TC260-N0007智能卡嵌入式软件安全技术要求.pdf

文件编号：TC260 N0007 日 期：2004 年8 月10 日 标题：《智能卡嵌入式软件安全技术要求》（征求意见稿） 来源：WG5 工作组 内容摘要：标准征求意见稿 标准编制说明 页数： 70 文件类型： 标准征求意见稿 征求意见起止时间：2004 年8 月10 日至2004 年9 月15 日 信息安全标准化技术委员会(TC260)WG5 联系人：许耀伟 通信地址：北京市丰台区蒲黄榆路1 号 电话：010 传真：010 电子邮件：xywsohu@ GB/T ×××××—×××× 智能卡嵌入式软件安全技术要求 编制说明 1. 编制背景 为了建立和完善国家信息安全标准体系，贯彻和落实《关于加强信息安全保障工作的意 见》（中办发[2003]27 号）的文件精神，根据我国信息化建设的实际需要，我们遵照国际通用 的测评准则GB/T18336 （即：ISO/IEC15408 或 通用准则CC ）研究制定了一系列信息产品安 全技术要求标准，为实现信息安全的等级保障提供支持。本标准是关于智能卡嵌入式软件（或 芯片操作系统COS ）的安全技术要求标准（或保护轮廓）。 本标准使用GB/T18336 定义的安全描述的组件与语法实例化某类产品或系统的信息安全 技术要求，包括安全功能要求与安全保证要求，针对具体的安全环境（用“假设”、“威胁” 和“组织安全政策”描述），以此为基础分层、逻辑、合理地展开“安全目的”、“安全功能要 求”、“安全保证要求”，并验证与展示了所使用技术的正确性、功能覆盖的完备性、对应关系 的一致性等安全原理。 本标准为保护智能卡（非）易失性存储器中程序和数据的机密性和完整性，保持嵌入式 软件中安全强制组件和安全相关组件的必威体育官网网址性和完整性，定义了一组与具体实现无关的、完 整的、紧密关联的最小安全要求集合；全面描述了使用环境和面临的威胁；陈述了相应保证 级别应达到的安全目的和必须满足的安全要求。它为智能卡嵌入式软件的开发、测评和应用 提供了内在一致的交互平台。 2. 编制原则 智能卡嵌入式软件安全技术要求标准的编制立足于我国IT 产业发展的现状，满足信息安 全产品测评基准的需求，规范与指导产品生产者的技术与能力。编制过程中本着“科学、合 理、系统、适用”的原则，注重先进性、实用性、可操作性以及开发和评估过程中的技术含 量。为保证标准的先进性，我们参考了一系列国际先进标准和经验（见下），同时查阅国内相 关行业规范，如：银行卡规范、石化加油卡规范等。在考虑标准先进性、实用性的同时，也 兼顾与我国现有政策、法规与标准规范的符合性。本标准的制定参考的主要标准有： （1）GB/T 18336.1/2/3—2001 信息技术 安全技术 信息技术安全性评估准则 II GB/T ×××××—×××× （2 ）CEM Part 1: Introduction and general model, Version 0.6 97/01/11 —— Common Methodology for Information Technology Security Evaluation （3 ）CEM Part 2: Evaluation Methodology, Version 1.0 August 1999 —— Common Methodology for Information Technology Security Evaluation （4 ）Smart Card Integrated Circ