安全保证组件.doc

共同準則 Common Criteria 資訊技術安全評估共同準則第部：安全組件前言 本版本的「資訊技術安全評估共同準則（CC v3.1）」是自從CC v2.3在2005年出版以來，第一個主要修正版。 CC v3.1的目標如下：消除多餘的評估活動；減少/消除對產品最終的保證貢獻不多的活動；澄清某些CC的術語以減低誤解；重整評估活動的結構並重調評估活動的重點至獲取安全保證的領域；並且必要的話增加新的CC需求。 CC 3.1版本包含下列部分： - 第1部：導論與通用模型 - 第2部：安全功能組件 - 第3部：安全保證組件 商標： UNIX是「開放群組」（Open Group）在美國與其他國家登記的註冊商標。 Windows是「微軟公司」（Microsoft Corporation）在美國與其他國家登記的註冊商標。 法定通告： 底下列舉的7個政府組織對本版本的「資訊技術安全評估共同準則」都有貢獻。他們是「資訊技術安全評估共同準則」CC 3.1版第1部到第3部版權的共同擁有者，他們藉此應非獨家的許可證授與ISO/IEC，於ISO/IEC 15408國際標準持續發展/維護過程使用CC 3.1。然而，這些政府組織當他們覺得適合時，保留使用、拷貝、散佈、翻譯或修正CC 3.1的權利。 澳洲/紐西蘭：The Defence Signals Directorate and the Government Communications Security Bureau respectively; 加拿大：Communications Security Establishment; 法國：Direction Centrale de la Sécurité des Systèmes dInformation; 德國：Bundesamt für Sicherheit in der Informationstechnik; 日本：Information Technology Promotion Agency 荷蘭：Netherlands National Communications Security Agency; 西班牙：Ministerio de Administraciones Públicas and Centro Criptológico Nacional; 英國：Communications-Electronics Security Group; 美國：The National Security Agency and the National Institute of Standards and Technology. 目錄 1. 介紹 - 1 - 2. 範圍 - 2 - 3. 規範參考 - 3 - 4. 術語、定義、符號與縮寫 - 4 - 5. 概要 - 5 - 5.1. CC第3部架構 - 5 - 6. 保證典範 - 6 - 6.1. CC理念 - 6 - 6.2. 保證方法 - 6 - 6.2.1. 脆弱性涵義 - 6 - 6.2.2. 脆弱性原因 - 7 - 6.2.3. CC保證 - 7 - 6.2.4. 透過評估之保證 - 7 - 6.3. CC評估保證尺度 - 8 - 7. 安全保證組件 - 9 - 7.1. 安全保證類別、屬別與組件架構 - 9 - 7.1.1. 保證類別架構 - 9 - 7.1.2. 保證屬別架構 - 10 - 7.1.3. 保證組件架構 - 11 - 7.1.4. 保證元件 - 13 - 7.1.5. 組件分類 - 13 - 7.2. EAL架構 - 13 - 7.2.1. EAL名稱 - 14 - 7.2.2. 目標 - 14 - 7.2.3. 應用須知 - 14 - 7.2.4. 保證與保證等級間之關係 - 15 - 7.3. 合成保證套件(composed assurance package, CAP)架構 - 15 - 7.3.1. CAP名稱 - 16 - 7.3.2. 目標 - 16 - 7.3.3. 應用須知 - 16 - 7.3.4. 保證與保證等級間之關係 - 17 - 8. 評估保證等級 - 18 - 8.1. 評估保證等級概論 - 18 - 8.2. 評估保證等級詳述 - 20 - 8.3. 評估保證等級1（EAL1） － 功能性測試 - 20 - 8.4. 評估保證等級2（EAL2） － 結構性測試 - 22 - 8.5. 評估保證等級3（EAL3） － 條理化測試和檢查 - 24 - 8.6. 評估保證等級4（EAL4） － 條理化設計、測試和審查 - 26 - 8.7. 評估保證等級5（EAL5） － 半正規化設計及測試 - 28