信息技术安全总体评估指南、脆弱性评定、评估技术和工具.docxVIP

（资料性）总体评估指南 目的 本章的目的是要涵盖用于提供评估结果的技术证据的通用指南。使用这些通用指南有助于评估者所执行的工作能够满足客观性、可重复性和可再现性。 抽样 本节提供了抽样的通用指南。具体和详细的信息在那些必须进行抽样的特定评估者行为元素相关的工作单元中给出。 抽样是评估者的一个既定程序，据此检查某个能代表整个评估证据集合的子集，以允许评估者不用对全部证据进行分析，就能足够信任特定评估证据的正确性。抽样的目的是为了在保证足够保障级别的前提下以节约资源。对证据进行抽样可能出现两种结果： 该子集未揭示错误，因此评估者对所有证据的正确性产生一定的信任。 该子集揭示了错误，因此使评估者对所有证据的有效性产生怀疑。即使找到了针对所有错误的解决办法，也难以为评估者带来必要的信任。为此，评估者可能会增加子集的大小，或停止对这个特定证据进行抽样。 抽样是一种从一组本质特征相似的证据中获得可靠结论的技术，例如，通过一个明确定义的过程产生的证据。 在执行评估者行为时，实施GB/T 18336中标识的抽样和在通用评估方法工作项中所作的特定抽样，是一种比较合算的方法。其他的抽样只在一些例外情况下才被允许，例如，某项特殊评估活动的开销整体上与其他活动不成比例，且付出这种开销又无法相应地提高保障时。在这种情况下，应制定在这些领域实施抽样的基本原理。TOE本身的庞大、复杂，或内在的众多安全功能要求，都不能成为使用抽样的充分理由，因为对于庞大复杂的TOE的评估只是需要付出更多的努力。更确切地讲，旨在将这种例外限制在以下情况：TOE开发方法产生了大量的关于特定GB/T 18336要求的素材，这些素材通常都需要被核查或检查，但这些行为又不指望能够相应地提高保障性。 考虑到对TOE安全目的及威胁可能产生的影响，需要论证抽样的合理性。这种影响取决于因抽样而可能遗漏的内容。另外，还需要考虑抽样证据的性质，不能因抽样而降低或忽略任何安全功能要求等。 宜认识到，与TOE实现直接相关的证据抽样（例如，开发者测试结果）需要一种不同的抽样方法，抽样与确定过程是否被遵循有关。在很多情况下，评估者需要确定某个过程是否被遵循，并建议一个抽样策略。对开发者的测试结果进行抽样的方法会有所不同。这是因为前一种情况关心的是确保过程到位，而后者却是确定TOE是否被正确实现。通常，在与正确实现TOE有关的情况下，宜分析比确保流程到位所需的更大的样本量。 在某些情况下，评估者可能会更加重视开发者测试的重复性。例如，如果留给评估者执行的独立测试与包含在广泛开发者测试集里的测试只有表面上不同（可能是因为开发者已经执行了比满足覆盖（ATE_COV）和深度（ATE_DPT）所需的更多测试，），那么评估者将更加关注开发者测试的重复性。需要注意的是，这并不一定意味着需要高百分比的样品来重复开发者测试；事实上，给定一个广泛的开发者测试集，评估者也许能够证明一个低百分比样本是合理的。 如果开发者使用自动测试套件进行功能测试，评估者通常更容易重新运行整个测试套件，而不是只重复开发者的测试样本。然而，评估者有义务检查自动测试是否会给出虚假的结果。因此，这意味着必须对自动测试套件的样本执行核查，在这种情况下，优先选择一些测试并确保足够的样本量这一原则同样适用。 无论何时进行抽样，宜遵循以下原则。 a）抽样不宜是随机的，而宜选择能代表所有证据的抽样。样本量和样本组成须始终合理。 b）当抽样与TOE的正确实现相关时，样本宜代表与被抽样领域有关的所有方面。特别是，选择宜涵盖各种组件、接口、开发者和运行场所和硬件平台类型。样本量宜与评估的成本效益相称，并取决于若干TOE相关因素（如TOE的规模和复杂度，文档的数量）。 c）同样，当抽样涉及到要明确获得开发者测试是可重复和可再现的证据时，所使用的样本必须足以代表开发者测试的所有不同方面，例如不同的测试管理体制。使用的样本必须足以检测开发者功能测试过程中的任何系统性问题。由重复开发者测试和执行独立测试而产生的评估贡献必须足以解决TOE的主要关注点。 d）如果抽样涉及到获得过程证据（例如访客控制或设计审查），评估者宜抽取足够的信息以获得对程序正被遵循的合理信心。 e）发起者和开发者不宜事先被告知样本的确切组成，以确保他们及时交付样品及配套的交付物，例如，按照评估时间表要求向评估者提供测试工具和设备。 f）样本的迭择应尽可能避免偏见（不宜总是选择第一个或最后一个项目）。理想的情况是，样本选择宜由评估者以外的人完成。 在样本中发现的错误可以分为系统性错误和偶然性错误。如果是系统性错误，则宜纠正问题并采用一个全新的样本。如果是偶然性错误，只要解释恰当，不需要新样本就可能解决问题，当然这些解释需要得到确认。在此情况下，评估者宜决定是扩大样本量还是使用不同的样本。 依赖关系 概