《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》.pdfVIP

GB/T20276-2006 信 息 安 全 技 术 智 能 卡 嵌 入 式 软 件 安 全 技 术 要 求 ( E A L 4 增 强 级 ) Information security technology—Security requirements for smartcard embedded software(EAL4+) 自 2006-12-1 起执行 目次 前言 引言 1 范围 2 规范性引用文件 3 术语和定义 4 智能卡嵌入式软件描述 4.1 概述 4.2 特征 5 安全环境 5.1 资产 5.2 假设 5.3 威胁 5.4 组织安全策略 6 安全目的 6.1 智能卡嵌入式软件安全目的 6.2 环境安全目的 7 安全要求 7.1 智能卡嵌入式软件安全要求 7.2 环境安全要求 8 基本原理 8.1 安全目的基本原理 8.2 安全要求基本原理 8.3 满足依赖关系的基本原理 参考文献 前言 本标准由全国信息安全标准化技术委员会提出并归口。 本标准主要起草单位：中国信息安全产品测评认证中心。 本标准主要起草人：李守鹏、徐长醒、付敏、简余良、凌晨、潘莹、杨永生、祁斌、黄 小鹏、杨延辉、李昊、赵子渊、李永禄。 引言 智能卡应用范围的扩大和应用环境复杂性的增加，要求知能卡嵌入式软件具有更强的保 护数据能力。 本标准在 GB/T 18366—2001 中规定的 EAL4 级安全要求组件的基础上，增加了模块化组 件（ADV_INT），并且将脆弱性分析要求由可以抵御低等攻击的组件（AVA VLA.2）提升到可 以抵御中级攻击潜力攻击的组件（AVA VLA.3）。 本标准仅给出了智能卡嵌入式软件应满足的安全技术要求，对智能卡嵌入式软件的具体 技术实现方式，方法等不做描述。 信息安全技术智能卡嵌入式软件 安全技术要求(EAL4增强级) 1 范围 本标准规定了对 EAL4 增强级的智能卡嵌入式软件进行安全保护新需要的安全技术要 求。 本标准适用于智能卡嵌人式软件的研制、开发、测试、评估和产品的采购。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其 随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准 达成协议的各方研究是否可使用这些文件的最新版本。凡不注日期的引用文件，其最新版本 适用于本标准。 GB／T 1833.6—2001 信息技术 安全技术 信息技术安全性评估准则 第1 部分：简介和 一般模型(idt ISO／IEC 15408-1：1999) GB／T 18336.2—2001 信息技术 安全技术 信息技术安全性评估准则 第 2 部分：安全 功能要求(idt ISO/IEC 15408-2：1999) GB／1 18336.3—2001 信息技术 安全技术 信息技术安全性评估准则 第 3 部分：安全 保证要求 (idt ISO／IEC 15408-3：1999) 3 术语和定义 GB／T 18336—2001确立的以及下列术语和定义适用于本标准。 3.1 应用软件 application software 智能卡嵌入式软件的一部分，架构于基础软件之上，实现智能卡的应用功能。 3.2 基础软件 basic software 智能卡嵌入式软件的核心部分，实现智能卡的核心功能，如：操作系统、通用例程和解 释器等。 3.3 个人化数据 personalization data 在个人化阶段写人的个性化数据。 3.4 预个人化数据