信息技术安全性评估准则 - ISO IEC 15408-1(GB18336)概述

需积分: 10 31 下载量 58 浏览量 更新于2024-07-31 1 收藏 359KB DOC 举报
"ISO IEC 15408-1(GB18336)是信息技术安全性评估准则的一部分,主要介绍了评估IT安全性的简介和一般模型。它基于ISO/IEC 15408-1:2005标准,并等同转化为中国的GB/T18336标准。该标准旨在为信息安全产品的评估提供一套全面的框架,确保其在设计、开发和运行过程中的安全性。" 《信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般模型》是一个重要的标准文档,用于指导和规范信息安全产品和服务的评估过程。这一部分首先定义了标准的适用范围,包括对信息安全相关术语和定义的阐述,以及一系列缩略语的解释,便于理解和应用。 标准的第4章介绍了概述,明确了GB/T18336的目标读者,包括安全评估专家、产品开发商、系统集成商以及对信息安全有需求的用户。同时,它还讨论了评估过程中的关键要素,如开发、TOE(Target of Evaluation,即被评估对象)的评估和运行阶段。文档的组织结构也在此部分进行了解析。 接着,第5章详细描述了一般模型。模型涵盖了安全相关的各种要素,包括一般安全因素和信息技术安全因素。此外,还定义了GB/T18336的方法,包括如何开发安全产品,如何进行TOE的评估,以及运行阶段的安全管理。这部分还涉及了安全环境、安全目的、IT安全要求和TOE的概要规范及实现。 在第5.5节中,标准规定了如何表达安全要求,以及不同类型的评估,如保护轮廓(PP)和安全目标(ST)的制定。这部分强调了要求的明确性和可评估性,以及如何将这些要求应用于实际的评估过程中。 第6章进一步详细阐述了GB/T18336的要求和评估结果,包括PP和ST中的要求、TOE内部的要求,以及评估的一致性和结果的应用。此部分为评估过程提供了清晰的指导,帮助确保评估的公正性和有效性。 附录A和B分别提供了保护轮廓和安全目标的规范格式,指导如何构建和表述这些关键的安全评估文档。 ISO IEC 15408-1(GB18336)是信息安全领域的一个核心标准,它为产品开发者、评估者和所有关注信息安全的组织提供了统一的评估框架,以确保信息技术的安全性和可靠性。通过遵循这一标准,可以提高信息系统的安全性,降低风险,保护数据和隐私,从而促进全球的信息安全实践。