GBT 18336。1-2001

中华人民共和国国家信息技术安全技术信息技术安全性评估准则第部分简介和一般模型发布实施国家质量技术监督局发布前言本标准等同采用国际标准信息技术安全技术信息技术安全性评估准则第部分简介和一般模型本标准介绍了信息技术安全性评估的基本概念并给出了信息技术安全性评估的一般模型并在附录和附录分别介绍了保护轮廓和安全目标在总标信息技术安全技术信息技术安全性评估准则下由以下几个部分组成第部分简介和一般模型第部分安全功能要求第部分安全保证要求本标准的附录和附录是提示的附录本标准的附录和附录是标准的附录本标准由国家质量技术监督局提出本标准由全国信息技术标准化技术委员会归口本标准由中国国家信息安全测评认证中心信息产业部电子第研究所国家信息中心复旦大学负责起草本标准主要起草人吴世忠龚奇敏陈晓桦李守鹏罗建中方关宝李鹤田吴亚飞雷利民叶红吴承荣黄元飞任卫红崔玉华本标准委托中国国家信息安全测评认证中心负责解释前言国际标准化组织和国际电工委员会形成了全世界标准化的专门体系作为或成员的国家机构通过相应组织所建立的涉及技术活动特定领域的委员会参加国际标准的制定和技术委员会在共同关心的领域里合作其他与和有联系的政府和非政府的国际组织也参加了该项工作国际标准的起草符合导则第部分的原则在信息技术领域和已经建立了一个联合技术委员会联合技术委员会采纳的国际标准草案分发给国家机构投票表决作为国际标准公开发表需要至少的国家机构投赞成票国际标准是由联合技术委员会信息技术与通用准则项目发起组织合作产生的与同样的文本由通用准则项目发起组织作为信息技术安全性评估通用准则发表有关通用准则项目的更多信息和发起组织的联系信息由的附录提供在信息技术安全技术信息技术安全性评估准则的总标题下由以下几部分组成第部分简介和一般模型第部分安全功能要求第部分安全保证要求附录和附录构成本部分的部分附录和附录仅供参考以下具有法律效力的提示已按要求放置在的所有部分在附录中标明的七个政府组织总称为通用准则发起组织作为信息技术安全性评估通用准则第至第部分称为版权的共同所有者在此特许在开发国际标准中非排他性地使用但是通用准则发起组织在他们认为适当时保留对的使用拷贝分发以及修改的权利中华人民共和国国家标准信息技术安全技术信息技术安全性评估准则第部分简介和一般模型国家质量技术监督局批准实施范围定义了作为评估信息技术产品和系统安全特性的基础准则由于历史和连续性的原因仍叫通用准则通过建立这样的通用准则库使信息技术安全评估的结果能被更多的人理解针对在安全性评估过程中信息技术产品和系统的安全功能及相应的保证措施提供了一组通用要求使各种独立的安全评估结果具有可比性评估过程为满足这些要求的产品和系统的安全功能以及相应的保证措施确定一个可信级别评估结果可以帮助用户确定信息技术产品和系统对他们的应用而言是否足够安全以及在使用中隐藏的安全风险是否可以容忍可用于具有信息技术安全功能的产品和系统的开发与采购指南在评估过程中这样的产品和系统被称为评估对象如操作系统计算机网络分布式系统以及应用等涉及信息保护以避免未经授权的信息泄露修改和无法使用与此对应的保护类型通常分别称之为保密性完整性和可用性除上述三个方面外还适用于信息安全的其他方面重点考虑人为的信息威胁无论其是否是恶意的但也可用于非人为因素导致的威胁此外还可适用于其他信息技术领域但对严格意义上信息技术安全之外的领域不做承诺适用于硬件固件和软件实现的信息技术安全措施当一些特定的评估仅适用于某些实现方法时这一点将在相关的准则中注明某些内容因涉及特殊的专业技术或仅是信息技术安全的外围技术不在的范围内例如不包括那些与信息技术安全措施没有直接关联的属于行政性管理安全措施的安全评估准则但是应该认识到安全的重要部分是通过诸如组织的个人的物理的程序的监控等行政性管理安全措施来实现的当行政性管理安全措施影响到信息技术安全措施对抗确定威胁的能力时这类管理安全措施在的运行环境中被认为是安全使用的前提条件对于信息技术安全性的物理方面诸如电磁辐射控制的评估虽然的许多概念是适用的但并不专门针对该领域然而也会专门涉及物理保护的一些方面并不涉及评估方法学也不涉及评估机构使用本规则的管理模式或法律框架但希望能在具有这样的框架和方法论的环境中用于评估评估结果用于产品和系统认可的过程不属于的范围产品和系统的认可是行政性的管理过程据此授权信息技术产品和系统在其整个运行环境中投入使用评估集中于产品和系统的信息技术安全部分以及直接影响到安全使用信息技术要素的那些运行环境因而评估结果是认可过程的有效依据但是当其他技术更适合于评价非信息技术相关的系统或产品的安全特性及其与信息技术安全部分的关系认可者应分别作出这些方面的认可不包括密码算法固有质量评价准则如果需要对嵌入的密码数学特性进行单独的评价则在使用的评估体制中必须提供这样的评价引用标准下列标准所包括的条文通过在本标准中引用而构成为本标准的条文本标准出版时所示版本均为有效所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性信息处理系统开放系统互连基本参考模型第部分安全体系结构定义通用缩略语以下缩略语在各部分中通用通用准则评估保证级信息技术保护轮廓安全功能安全功能策略功能强度安全目标评估对象控制范围安全功能接口安全策略术语表的范围本条只收录在中有特殊用法的术语在中使用的大多数术语或根据普遍接受的词典定义或根据普遍接受的或安全术语定义或根据熟知的安全性术语定义在中一些不便于定义的由通用术语组合成的复合词将在使用他们的地方进行解释在第部分和第部分的范例章条中可以见到术语和概念的解释术语表资产由安全策略保护的信息或资源赋值规定组件中的一个特定参数保证实体达到其安全性目的的信任基础攻击潜力可察觉的成功实施攻击的可能性如果发起攻击其程度用攻击者的专业水平资源和动机来表示增强将第部分若干个保证组件加入到或保证包中鉴别数据用于验证用户所声称身份的信息授权用户依据可以执行某项操作的用户类具有共同目的的子类的集合组件可包含在或一个包中的最小可选元素集连通性允许与之外的实体进行交互的特性包括在任何环境和配置下通过任意距离的有线或无线方式的数据交换依赖关系各种要求之间的关系一种要求要达到其目的必须依赖另一种要求的满足元素不可再分的安全要求评估依据确定的准则对或的评价评估保证级由第部分中保证组件构成的包该包代表了预先定义的保证尺度上的某个位置评估管理机构依据评估体制在特定团体中贯彻确定标准和监督团体内各种评估质量的管理机构评估体制指导评估管理机构在特定团体中使用的管理与法定框架扩展把不包括在第部分中的功能要求或第部分中的保证要求增加到或中外部实体在之外与其交互的任何可信或不可信的产品或系统子类一组具有共同安全目的但侧重点或严格性可能不同的组件的集合形式化在完备数学概念基础上采用具有确定语义并有严格语法的语言表达的个人用户与交互的任何个人身份能唯一标识一个授权用户的表示比如字符串它可以是全名缩写名或假名非形式化采用自然语言表达的内部通信信道中各分离部分间的通信信道内部传送中各分离部分之间的数据通信间传送与其它可信产品安全功能之间的数据通信反复一个组件在不同操作中多次使用客体在中由主体操作的包含或接收信息的实体组织安全策略组织为保障其运转而规定的若干安全规则过程规范和指南包为了满足一组确定的安全目的而组合在一起的一组可重用的功能或保证组件如产品软件固件或硬件的包其功能用于或组合到多种系统中保护轮廓满足特定用户需求与一类实现无关的一组安全要求参照监视器执行访问控制策略的抽象机概念参照确认机制具有以下特性的参照监视器概念的一种实现防篡改一直运行简单到能对其进行彻底的分析和测试细化为组件添加细节角色一组预先确定的规则规定在用户和之间许可的交互秘密为了执行特定必须只能有授权用户或才知晓的信息安全属性用于执行的与主体用户或客体相关的信息安全功能为执行中一组紧密相关的规则子集而必须依赖的部分安全功能策略执行的安全策略安全目的意在对抗特定的威胁满足特定的组织安全策略和假设的陈述安全目标作为指定的评估基础的一组安全要求和规范选择从组件的项目表中指定一项或几项半形式化采用具有确定语义并有严格语法的语言表达的功能强度安全功能的一种指标表示通过直接攻击其基础安全机制攻破所设计的安全功能所需要的最小代价基本级功能强度一种功能强度级别分析表明本级别安全功能足够对抗低潜力攻击者对安全的偶发攻击中级功能强度一种功能强度级别分析表明本级别安全功能足够对抗中等潜力攻击者对安全直接或故意的攻击高级功能强度一种功能强度级别分析表明本级别安全功能足够对抗高等潜力攻击者对安全有有组织的攻击主体在中实施操作的实体系统具有特定目的和运行环境的专用装置评估对象作为评估主体的产品及系统以及相关的管理员和用户指南文档资源中可用或可消耗的所有东西安全功能正确执行所必须依赖的全部硬件软件和固件的集合安全功能接口一组交互式人机接口或编程应用编程接口接口通过它访问调配资源或者从中获取信息安全策略规定中资产管理保护和分配的一组规则安全策略模型执行的安全策略的结构化表示控制外传送与不受控制的实体交换数据可信信道和远程可信产品间的一种通信方式该方式对的支持具有必要的置信度可信路径用户和间的一种通信方式该方式对的支持具有必要的置信度数据产生的或为产生的数据这些数据可能会影响的操作控制范围可与或在中发生的并服从规则的交互集合用户在之外与交互的任何实体个人用户或外部实体用户数据由用户产生或为用户产生的数据这些数据不影响的操作概述本章介绍的主要概念确定目标读者评估环境和组织材料的方法引言产品和系统拥有的信息是能使组织成功完成其任务的关键资源此外人们也要求保护产品和系统内的私人信息的私密性可用性并防止未授权的更改当对信息进行正确控制以确保它能防止冒险诸如不必要的或无保证的传播更改或遗失产品和系统应执行它们的功能安全用于概括预防和缓解这些及类似的冒险许多用户缺乏判断其产品和系统的安全性是否恰当的知识经验和资源他们并不希望仅仅依赖开发者的声明用户可借助对产品和系统的安全分析即安全评估来增加他们对其安全措施的信心可用来选择恰当的安全措施它包括了评估安全需求的准则的目标读者有三组都关心产品和系统的安全性评估的读者用户开发者和评估者中提出的准则从文档结构上支持所有三个组的需求他们都被认为是的主要使用者正如下文所述这三个组都能从该准则中受益用户当用户选择安全要求来表达他们的组织需求时起到重要的技术支持作用从写作安排上确保评估满足用户的需求因为这是评估过程的根本目的和理由用户可以用评估结果来决定一个已评估的产品和系统是否满足他们的安全需求这些需求通常是风险分析和政策导向的结果分等级的保证要求使用户可以用评估结果来比较不同的产品和系统为用户尤其是用户群和利益共同体提供一个独立于实现的框架称为保护轮廓用户在保护轮廓里表明他们对评估对象中的安全措施的特殊需求开发者也为开发者在准备和协助评估产品或系统以及确定每种产品和系统要满足的安全需求方面提供支持只要有一个相关的评估方法和双方对评估结果的认可协定还可以在准备和协助开发者的评估方面支持除开发者之外的其他人结构还可以通过评估特定的安全功能和保证来声称符合特定的安全需求每一个的需求都包含在一个名为安全目标的与实现相关的概念中广大用户的需求由一个或多个提供描述的安全功能可被开发者包括在内可用来确定责任和行为以支持评估所必要的证据它也定义证据的内容和表现形式评估者包含评估者判定与其安全需求一致时所使用的准则用于描述评估者通常执行的一系列行为和执行这些行为所基于的安全功能值得注意的是没有规定执行这些行动的过程其他读者由于面向的安全特性的规范和评估它也可以作为对安全有兴趣或有责任的所有团体的参考资料其他能够从所包含的信息中获益的群体有系统管理员和系统安全管理员负责确定和达到组织的安全策略和需求内部和外部审计员负责评定系统安全性能是否充分安全规划和设计者负责规范系统和产品的安全内容认可者负责认可一个系统在特定环境中的使用评估发起者负责请求和支持一个评估评估机构负责管理和监督安全评估程序评估上下文为了使评估结果达到更好的可比性评估应在权威的评估体制框架内执行该框架规定了标准监控评估质量并管理评估的工具以及评估者必须遵守的规则并不规定对管理框架的要求但是不同评估机构的管理框架必须是一致性的以使这样的评估结果可以互认图描述了构成评估上下文的主要部分图评估上下文通用评估方法学有助于提供结果的可重复性和客观性但仅靠方法学本身不够充分许多评估准则需要使用专家判断和一定的背景知识而这些更难达到一致为了增强评估结果的一致性最终的评估结果应提交给一个认证过程该过程是一个针对评估结果的独立的检查过程并生成最终的证书或正式批文该证书通常是公开的要说明的是认证过程是使得安全准则应用得到更好一致性的一种手段评估体制方法学和认证过程是管理评估体制的评估机构的责任不属的范围的文档组织由一系列不同但又相互关联的部分组成这些部分描述中所用的术语在第章解释第部分简介和一般模型是的简介它定义了安全评估的一般概念和原理并提出了评估的一般模型第部分也提出了若干结构这些结构可用于表达安全目的用于选择和定义安全要求以及用于书写产品和系统的高层次规范另外每一部分都针对该部分目标读者来陈述第部分安全功能要求建立一系列功能组件作为表达功能要求的标准方法第部分列出了一系列功能组件子类和类第部分安全保证要求建立一系列保证组件作为表达保证要求的标准方法第部分列出一系列保证组件子类和类第部分也定义了和的评估准则并提出了评估保证级即定义了评定保证的预定义尺度这被称为评估保证级为支持上面所列的的三个部分将出版其他类型的文档包括技术上的基本原理和指导文档表列出了主要的三组读者及其可能感兴趣的内容表使用指南用户开发者评估者第部分用于了解背景信息和参考的指导性结构用于了解背景信息开发安全要求和形成的安全规范的参考用于了解背景信息和参考和的指导性结构第部分在阐明安全功能要求的描述时用作指导和参考用于解释功能要求和生成功能规范的参考当确定是否有效地符合已声明的安全功能时用作评估准则的强制性描述第部分用于指导保证需求级别的确定当解释保证要求描述和确定的保证措施时用作参考当确定的保证和评估和时用作评估准则的强制描述一般模型本章提出了贯穿使用的一般概念其中也包括使用这些概念的上下文以及使用这些概念的方法第部分或第部分在使用这些概念的基础上进一步展开并假设使用了本章描述的方法本章假定读者已具备安全的一些知识并非作为该领域的教材用一系列安全性概念和术语来讨论安全性对这些概念和术语的理解是有效运用的前提条件但是这些概念本身又是相当通用的无意将这类安全的问题限于应用安全上下文一般安全上下文安全涉及保护资产不受威胁威胁可依据滥用被保护资产的可能性进行分类应该考虑所有的威胁类型但在安全领域内与恶意的或其他人类活动相关的威胁应给予更多的重视图说明了高层次概念和关系图安全概念和关系保护关注的资产是那些对资产赋予价值的所有者的责任实际或假定的威胁主体对资产也赋予了一定的价值并希望以违背所有者初衷的方式滥用资产所有者将会意识到这种威胁可能致使资产损坏对所有者而言资产中的价值将会降低安全性损坏一般包括但又不仅包括以下几项资产破坏性地暴露于未授权的接收者丧失保密性资产由未授权地更改而损坏丧失完整性或资产的访问权被未授权地剥夺丧失可用性资产所有者应分析可能的威胁并确定哪些存在于他们的环境其结果就是风险这种分析会有助于对策的选择以应对风险并将其降低到一个可接受的水平对策用以减少脆弱性并满足资产所有者的安全策略直接或间接的为其他部分提供引导在对策使用后仍会有残留的脆弱性这些残留的脆弱性仍可以被威胁者利用从而造成了资产的残余风险资产所有者会通过给出其他的约束来寻求最小的残余风险在资产所有者将其资产暴露于特定威胁之前所有者需要确信其对策足以应付面临的威胁所有者自己可能没有能力对对策的所有方面加以判断但可以寻求对对策的评估评估结果是对保证性可达到程度的描述即信任对策能用于降低所保护资产的风险该描述还将对策的保证性进行分级保证性是对策的特性这种特性是信任正确操作的基础资产所有者可以根据此描述决定是否接受将资产暴露给威胁所冒的风险图说明了这种关系图评估概念和关系通常资产所有者应当对资产负责并应能对作出接受暴露资产于威胁前的决定进行论证这就需要上述评估结果是可以论证的那么评估应产生客观的可重复的可被引用作证据的结论信息技术安全环境许多资产是以信息的形式被产品或系统所储存处理和传送以满足信息所有者的需求信息所有者可能会要求严格控制任何对此类信息数据的传播和修改他们可能会要求产品或系统实现某些专门的安全控制作为所采用的对付数据威胁的部分对策为了满足特定的需要而获取和建造系统出于经济上的原因往往充分利用现有常用的产品如操作系统通用组件和硬件平台一个系统实现的安全对策可能利用低层产品的功能并依赖于对产品安全功能的正确操作所以产品评估也可以作为系统安全评估的一部分当一个产品可以集成到或被考虑集成到多个系统时该产品安全方面的评估可独立进行并建立一个被评估的产品目录这样做更经济这种评估的结果应支持产品在多个系统中的应用避免不同系统中为检查产品的安全性进行不必要的重复工作一个系统的认可者在确定和非对策是否为数据提供了适当保护方面与信息所有者的权力相当并可决定是否允许系统运行该认可者可以要求对对策进行评估以确定对策是否提供充分的保护以及指定的对策是否被系统正确实现这类评估可以采取不同的形式和严格程度这取决于所使用的规则或认可者方法对安全性的信任是通过开发评估和操作过程中的各种措施获得的开发不规定任何特定的开发方法和生命周期模型图描述了安全要求和评估对象之间关系的基本假设该图用于提供讨论的基础不应理解为某一种方法如瀑布法比另一种方法如原型法更优越重要的是在开发阶段建立的安全要求对满足用户的安全目的意义重大除非在开发过程的开始阶段确定合适的需求否则即便用再好的工程方法其最终产品也不能达到预期用户的目的该过程的基础是将安全要求细化为安全目标中的概要规范每个低层次的细化代表具有更为详细设计的设计分解最低的抽象表示是实现本身并不规定一套专有的设计表示方法的要求应有充分的设计表达方法该方法应在需要时以足够详细的程度表明每个层次的细化是更高层次的完全实例化这就是说所有的高层次抽象定义的安全功能特性和行为都必须在低层次上明确体现每个层次的细化是更高层次的精确实例化这就是说不存在低层次抽象定义的功能特性和行为不为高层次定义所需要的保证准则区分诸如功能规范高层设计低层设计和实现等抽象层次依据规定的保证级可能要求开发者表明开发方法是如何满足保证要求的图评估对象开发模型评估图描述的评估过程可能与开发过程同步进行或随后进行评估过程的主要输入有一系列证据包括作为评估基础的评估过的需要评估的评估准则方法学和体制另外说明性材料例如的应用注释和评估者及评估组织的安全专业知识也常用来作为评估过程的输入图评估过程评估过程的预期结果是对满足中安全要求的确认其形式是评估者依据评估准则对得出的一个或多个记载调查结果的报告这些报告对产品或系统的实际用户和潜在用户非常有用对开发者也同样有用通过评估获得的信任度依赖于所达到的保证要求即评估保证级评估通过两种途径促成产生更好的安全产品评估意在发现错误或脆弱性以便开发者纠正从而减少在以后操作中安全失效发生的可能性或为了迎接严格的评估开发者在设计和开发时会更加细心因此评估过程对最初需求开发过程最终产品以及操作环境产生强烈的虽然是间接的但又是积极的影响运行用户可选择评估后的用在他们的环境中一旦运行可能出现以前未知的错误或脆弱性或者需要修改对环境的假设作为运行的结果可以通过反馈要求开发者修改或重新定义它的安全要求和环境假设这些变化可能要求重新评估或加强其运行环境的安全性在一些情况中只需评估需要修改部分以便重获对的信赖尽管中包括了保证性维护准则但并不包括重新评估的详细过程以及评估结果的重复使用安全概念在支持安全开发和评估的工程过程和管理框架的方面评估准则是最有用的本条仅提供例证和指导并不限制可能使用的分析过程开发方法评估体制当使用并且考虑到元素保护资产的能力时才适用为了表明资产是安全的安全考虑必须体现在所有层次的表述中包括从最抽象到在其运行环境中的最终实现这些表述层次如下面章条所描述可以用来表征和讨论安全问题但这些层次本身并不表明最终的实现真实地具有所要求的安全行为或是可信的要求在某层次上的表述包含在该层次上描述的原理即该层次必须包含一个合理的令人信服的论据以表明它和更高层次一致而且它是自我完备的正确的并且内在一致的陈述与邻近更高级别描述相一致的基本原理将有助于的正确性直接表明与安全目的相一致的基本原理在对抗威胁和执行组织安全策略的有效性方面提供支持如图所述将表述分成不同的层次阐明了一种方法通过它在开发一种或时就能导出安全要求和规范所有安全要求从根本上均来源于对的用途和环境的考虑该图并不限制和的开发方法而在于阐明一些分析方法的结果是怎么与和的内容相联系的安全环境安全环境包括所有明确相关的法规组织安全政策习惯专门技术和知识因此它定义了使用的背景和规则安全环境也包括环境里固有的或外来的安全威胁为建立安全环境或的作者必须考虑以下几点物理环境指所有与安全相关的运行环境包括已知的物理和人员的安全配置保护需要资产指由执行安全要求安全策略的元素来保护的资产这可包括可直接相关的资产如文件和数据库也包括间接受安全要求保护的资产如授权凭证和实现本身用途说明产品类型和可能的用途安全策略威胁和风险的调查将作出下列有关安全的专门陈述假设的陈述如果环境满足该假设可以被认为是安全的对评估而言该陈述可以作为公理而接受资产安全威胁的陈述该陈述应指明相关的安全分析中发现的所有威胁使用下述词汇表征一个威胁即威胁主体假定的攻击方法作为攻击基础的任何脆弱性和被攻击的资产名称安全风险的评价包括每一种威胁实际发生的可能性该威胁成功实施的可能性以及可能造成的破坏后果组织安全策略的陈述该陈述将明确相关的策略和规则对一个系统可明确提及这样的策略然而对通用的产品或产品类则需要做出关于组织安全策略的相应工作假设图要求和规范的导出安全目的安全环境的分析结果可用来陈述对抗确定的威胁并说明确定的组织安全策略和假设的安全目的安全目的应与已说明的运行目标或产品用途以及有关的所有物理环境知识相一致确定安全目的的意图是为了阐明所有的安全考虑并指出哪些方面是直接由处理还是由它的环境来处理这种归类的基础是以工程判断安全策略经济因素和可接受的风险决策相整合的过程环境安全目的应在领域内用非技术的或程序的方式来实现安全要求只针对及其环境的安全目的安全要求安全要求是将安全目的细化为一系列及其环境的安全要求一旦这些要求得到满足就可以保证达到它的安全目的在不同种类功能要求和保证要求下提出安全要求功能要求从用于支持安全的那些功能中征集并定义期望的安全行为第部分定义了的功能要求例如标识鉴别安全审计以及原发抗抵赖功能当包括由概率或排列机制例如口令和散列函数实现的安全功能时保证要求应规定与宣称的安全目的一致的最小强度等级此时等级可为基本级功能强度中级功能强度高级功能强度中的任一个要求这样的功能满足最小的级别或至少是可选择定义的专门等级对给定的一组功能要求的保证程度可以改变所以通常它以保证组件构建的严格程度递增的方式来表示第部分使用这些组件定义了的保证要求和一个评估保证级的尺度保证要求包含了开发者行为产生的证据以及评估者行为例如对开发过程的严格性约束以及要求查找并分析潜在安全脆弱性的影响通过合理选择的安全功能可以确保达到一定的安全目的这种保证来源于以下两个因素对安全功能正确实现的信任也就是评估它们是否被正确实现对安全功能的有效性的信任也就是评估它们是否确实满足所陈述的安全目的安全要求通常包括出现期望行为和避免不期望行为通过使用或检验一般可以证明存在的期望行为但并不总是能明确证明不存在不期望行为检验设计评审实现评审非常有助于减少存在不期望行为的风险基本原理陈述有助于证明不存在不期望的行为概要规范在安全目标中提供的概要规范定义了安全要求的实例化它提供满足功能要求的高层次安全功能定义以及确保满足保证要求的措施实现实现是基于的安全功能要求和中概要规范的实现实现是通过一个应用安全和工程的技巧和知识的过程来达到的如果正确有效地实现了中包含的所有安全要求将达到其安全目的描述材料提出了进行评估的框架通过对证明和分析提出要求可以得到更为客观有用的评估结果包括了一系列通用结构和一种能表达与安全相关方面交流的语言并使得那些负责安全的人能从以前的经验和他人的专门技术中获益安全要求的表达定义了一系列结构这些结构将已知有效的安全要求构成有意义的组合体这些组合体可用来为预期的产品和系统建立安全要求表达安全要求的不同结构之间的关系将在下面描述见图图要求的组织和结构安全要求以类子类组件这种层次结构组织以帮助用户定位特定的安全要求对功能和保证方面的要求使用相同的风格组织方式和术语类类是安全要求的最高层次组合一个类中所有成员关注同一个安全焦点但覆盖的安全目的范围不同类的成员被称为子类子类子类是若干组安全要求的组合这些要求共享同样的安全目的但在侧重点和严格性上有所区别子类的成员被称为组件组件组件描述一个特定的安全要求集它是结构中最小的可选安全要求集子类内具有相同目的的组件部分以安全要求强度或能力递增的顺序排列部分以相关的非层次关系的方式组织在某些实例中一个子类只有一个组件因而是不可能排序的组件由单个元素组成元素是安全要求最低层次的表达并且是能被评估验证的不可分割的安全要求组件间的依赖组件间可能存在依赖关系当一个组件无法充分表达安全要求并且依赖于另一个组件的存在时就产生依赖关系依赖关系可以存在于功能组件之间保证组件之间功能和保证组件之间组件间依赖关系描述是组件定义的一部分为了保证达到要求的完备性当把组件加入到适当的和中时应满足相应的依赖关系组件允许的操作组件可以像在中定义的那样使用或者通过使用组件允许的操作对组件进行裁剪以满足特定的安全策略或对抗确定的威胁每一个组件标识并定义了组件是否允许赋值和选择操作在哪些情况下可对组件使用这些操作以及使用这些操作的后果任何一个组件均允许反复和细化操作这四个操作如下所述反复在不同操作时多次使用同一组件赋值在使用组件时规定待填入的参数选择从组件项目表中选定若干项细化在使用组件时增加额外的细节一些需要的操作可以在内完成整体或部分地或者留在内完成不过所有操作必须在内完成安全要求的使用定义了三种类型的要求结构包和还定义了一系列表达大多数团体需求的安全准则作为主要的专业知识用于产生上述结构开发的中心观念是尽可能使用中所定义的安全要求组件这些组件都代表众所周知易于理解的领域图表明了这些不同结构间的关系包包是组件的特定组合包可以描述一组满足部分指定安全目的的功能和保证要求包可重复使用可用来定义那些公认有用的对满足特定安全目的有效的要求包可用于构造更大的包和评估保证级是在第部分中预先定义的保证包一个保证级是评估保证要求的一个基线集合每一评估保证级定义一套一致的保证要求合起来评估保证级构成一个预定义保证级尺度图安全要求的应用保护轮廓保护轮廓包含一套或来自或明确阐述的安全要求它应包括一个评估保证级可能增加附加的保证组件可以对一组的安全要求做与实现无关的描述这些要求是同安全目的完全一致的可反复使用还可用来定义那些公认有用的对满足特定安全目的有效的功能和保证要求也包括安全目的和安全要求的基本原理的开发者可以是用户团体产品开发者或其它对定义这样一系列通用要求有兴趣的团体为用户提供了一套引用一组特定安全要求的方法并有助于将来对这些要求进行评估安全目标安全目标包括一系列安全要求这些要求可以引用可以直接引用中的功能或保证组件也可以明确阐述可以对特定的安全要求进行描述通过评估可以证明这些要求对满足指定目的是有用当然和有效的包括的概要规范同时还包括安全要求和目的以及它们的基本原理是所有团体对提供什么样的安全性达成一致的基础安全要求的来源安全要求可以通过使用下列输入来构造已有的的安全要求可用来充分地表达或完全满足中的安全要求已有的可以作为一个新的基础已有的包或中部分安全要求可能已在一个被使用的包中表述过了第部分定义的是一组预定义的包或的保证要求应包括第部分的某个已有的功能或保证要求组件或中的功能或保证要求可以用第部分或第部分的组件直接表达扩展的要求第部分没有的功能要求或第部分没有的保证要求可以包括在或中应尽可能使用第部分或第部分已有的安全要求使用已存在的有助于保证满足一组公认的已知用途的要求进而有利于被广泛认可评估类型评估评估是依照第部分的评估准则进行的其目标是为了证明是完备的一致的技术合理的并适合于表达一个可评估的要求评估针对的评估是依照第部分的评估准则进行的评估具有双重目标首先是为了证明是完备的一致的技术合理的因而适合于作为相应评估的基础其次当某一宣称与某一一致时证明正确满足的要求评估评估是使用一个已经评估过的作为基础是依照第部分的评估准则进行的这样的评估目标是为了证明满足中的安全要求保证的维护依照第部分提到的评估准则以一个已评估的为基础进行保证的维护其目的是确保中已建立的保证得到维持并当或其环境发生变化时将继续满足它的安全要求通用准则要求和评估结果引言本章给出和评估的预期结果或者评估将分别产生评估过的或目录评估将产生在评估框架中使用的中间结果见图图评估结果评估过程应能产生出能引为证据的客观的和可重复的结果甚至当没有绝对客观的尺度描述安全评估结果时也应如此存在一套评估标准是评估的必须前提这样的评估才可以得到有意义的结果并且也提供了评估机构之间的对评估结果互认的基础但标准的应用中包含了主观的和客观的因素这也是对安全不可能进行精确的和通用评定的原因与有关的评定代表了对的安全特性进行专门考察时的裁决这种评定并不保证在任何特殊的应用环境下的适用性在特定应用环境下使用一个的决策应基于对多个安全因素的考虑包括评估裁决保护轮廓和安全目标的要求定义了一套能满足许多团体需求的安全准则是围绕这样一个中心观点开发的即在和中描述的安全要求时尽可能使用第部分的安全功能组件和第部分的及保证组件因为它们是公认的和已被理解的也意识到可能需要未列出的功能和保证要求以完整表达对安全的要求以下内容适用于包容这些扩展的功能和保证要求和中包容的任何扩展的功能或保证要求必须清晰和明确地表达以便评估和证实可以参照已有的功能和安全组件描述的详细程度和方式应声明评估结果是通过使用扩展功能或保证要求得到的组合在或中的扩展功能或保证要求应满足第部分中或类的要求评估结果包括有评估准则以便评估者说明一个是否完备一致技术上正确因而适用于对可评估的要求进行描述的评估结果为通过不通过通过评估的才能登记注册内的要求包含评估准则以便评估者判定是否满足了中描述的安全要求在的评估中利用评估者能够说明的指定安全功能是否满足功能要求进而有效地达到的安全目的的指定安全功能是否正确地实现的安全要求定义了公认的安全评估标准适用的工作领域一个的安全要求如果只使用中的功能和保证要求进行描述该可以按照进行评估使用没有包含的保证包时必须说明其理由不过也存在这样的可能无法直接使用描述安全要求意识到了评估这样的必要性但是附加要求属于的公认的适用领域之外因此这种评估的结果应作相应声明这种声明会使评估结果不为相关评估机构广泛接受的评估结果应包括与一致性的陈述运用的术语描述的安全将使间在安全特性上进行一般意义的比较成为可能评估结果评估结果应说明对满足指定要求的可信程度的评估结果为通过或不通过通过评估的才能登记注册评估结果的声明评估的通过结果应说明对或满足指定要求的可信程度评估结果应分别针对第部分功能要求第部分保证要求或直接针对按下列进行说明第部分一致当功能要求只建立在第部分的功能组件上或是第部分一致的第部分扩展如果功能要求包含有第部分中没有的功能组件或是第部分扩展的第部分一致如果保证要求是以或保证包形式存在的而该或保证包只基于第部分中的保证组件或是第部分一致的第部分增强如果安全要求是以或保证包形式存在的并加上第部分中其他保证组件或是第部分增强的第部分扩展如果安全要求是以形式存在的而又是与第部分之外的附加的保证要求相联系的或以保证包形式存在的该包有或完全是第部分之外的保证要求或是第部分扩展的一致只有当与的所有部分一致时它才是一致的评估结果的应用对评估结果的使用而言产品和系统是不同的图表明处理评估结果的选择方式产品可以被评估并按聚集程度连续递增排列编目直至达到可操作的系统水平此时它们就可以进行与系统认可相关的评估的开发需要相应考虑到所吸收的已评估产品和所引用的安全属性随后的评估会产生一系列的评估结果这些结果记录了评估的裁决对有广泛用途的产品评估后应将评估结果的概要列入已评估产品的目录以使它在广阔的安全产品市场中可用当已包含或将包含在一个面对评估并且已安装妥当的系统中它的评估结果对系统认可者是可用的当认可者使用组织专用的认可准则而认可准则要求进行评估时应考虑的评估结果评估结果是系统认可过程的输入之一以作出是否接受系统运行风险的决策图评估结果的应用附录提示的附录通用准则项目通用准则项目的背景是一系列对评估准则开发的努力的结果这些准则用于评估在国际团体内应用广泛的安全性在年代早期美国开发了可信计算机系统评估准则在随后的十年里不同的国家都开始启动开发建立在概念上的评估准则这些准则更灵活更适应了技术的发展在欧洲信息技术安全评估准则版于年由欧洲委员会在法国德国荷兰和英国的联合开发后公开发表在加拿大加拿大可信计算机产品评估准则版作为和的结合于年公开发表在美国信息技术安全联邦标准草案版也在年公开发表它是结合北美和欧洲有关评估准则概念的另一种方法国际标准化组织从年开始开发通用的国际标准评估准则新的标准是对全球市场上对互认标准化安全评估结果的需求作出的反应该任务赋予给第一联合技术委员会的第分委员会的第工作小组最初由于大量的工作和多方协商的强烈需要的进展缓慢通用准则的开发在年月和的发起组织在下一条中说明集中了他们的力量并开始了联合行动将各自独立的准则集合成一组单一的能被广泛使用的安全准则这一行动被称为项目它的目的是解决原标准中出现的概念和技术上的差异并把结果作为对国际标准的贡献提交给了发起组织的代表建立了编辑委员会来开发随后和建立了联系通过联系渠道向提供了几个的早期版本作为和交流的结果从年开始这些版本被采纳为准则若干部分继续工作的草案年月完成版在年月被采纳作为委员会草案而散发而后项目使用版完成了大量的试验性评估并收集了对文档的广泛公众评论随后基于从试用中得到的意见公众评论和与的相互交流项目对承担了广泛的修订工作修订工作由的接任者现在称为执行委员会完成的于年月完成了的测试版并把它提送给把它改进后作为第委员会草案其后若干中间的草案版本被非正式地提供给的专家作为对草案的反馈接收了一系列直接来自专家和经投票来自国家机构的意见并对此作出了反应这个过程最终产生了版为了历史的和连续性的目的已经同意在文档中继续使用通用准则这一术语虽然认为在行文中的正式名称应为信息技术安全性评估准则通用准则项目发起组织下面列出的七个欧洲和北美的官方组织组成了项目发起组织在从事从开始到完成的开发过程中这些组织几乎提供了所有的成果这些组织也是他们各自国家政府的评估机构版的技术开发已经完成上述组织已经承诺将用版代替他们各自的评估准则加拿大通信安全组织准则协调者计算机和网络安全加拿大渥太华终端汇票箱电话传真电子邮件法国信息安全系统服务中心电话传真电子邮件德国德国信息安全局电话传真电子邮件荷兰荷兰国家通信安全局电话传真电子邮件英国通信电子安全团体电话传真电子邮件美国国家标准和技术研究院计算机安全局电话传真电子邮件美国国家安全局电话传真电子邮件附录标准的附录保护轮廓规范综述一个为一类定义了一组与实现无关的安全要求这种是用来满足一般用户对安全的需求因而用户可以不必参考特定的就能建立或引用来表示他们对安全的需求本附录包括在描述形式上对的要求第部分第章包括的保证类以保证组件的形式包含了这些要求用于的评估保护轮廓的内容内容与形式应满足本附录对内容的要求将以面向用户文档的形式给出它应尽量少地引用用户无易得到的材料必要时应单独提供基本原理图中描述了的内容应按其建立文档大纲图保护轮廓内容引言引言将包括文档管理和进行注册所必要的信息如下所述标识应提供的标记和描述的必要信息供标识编目注册和交叉引用概述以叙述形式概述概述应足够详细使一个潜在用户可以据此确定是否有价值概述作为一个独立摘要也可用于编目和注册描述的这部分应描述以帮助了解它的安全要求同时还应说明的产品类型和一般的特性描述提供了用于评估的上下文在描述中给出的信息将用于在评估过程中识别不一致性的地方由于一般并不指明特定的实现描述的特性可能是假设的如果是一个以安全功能为主要功能的产品或系统则的本部分可以用来描述更广泛的应用环境安全环境安全环境的陈述应描述所处的应用环境和期望的使用方式中的安全问题该陈述应包括如下几点假设的描述应描述环境的安全问题将在或拟在这个环境里使用这包括下述几点关于预期使用方式的信息包括预期的应用潜在的资产价值可能的使用限制关于使用环境的信息包括物理的人员的和连通性等方面威胁的描述应包括对资产的所有威胁这些资产是在中或在其环境内需要特定保护的值得注意的是不是所有在环境里遭遇的可能威胁都必须列出只有那些与的安全运行相关的威胁才需要列出威胁应通过已确定的威胁主体攻击和作为攻击对象的资产来描述威胁主体应通过诸如专门技术可用资源和动机等来描述攻击应通过诸如攻击方法可利用的脆弱性和时机等来描述如果安全目的仅仅源于组织安全策略和假设那么对威胁的描述可以省略组织安全策略的描述应确定必须遵守的所有组织安全策略陈述或规则必要时还应加以说明如果使用某个策略来建立清晰的安全目的就必需对策略陈述进行说明和解释如果安全目的仅仅源于威胁和假设那么对组织安全策略的描述可以省略如果在物理上是分开的可能有必要在安全环境方面假设威胁组织安全策略分别地对不同区域进行讨论安全目的安全目的的陈述定义及其环境的安全目的安全目的应涉及已确定安全环境的所有方面安全目的应反映所陈述的意图并应适于对抗所有已知的威胁覆盖所有已知的组织安全策略和假设应指明以下两类安全目的注意当威胁或组织安全策略部分被所覆盖并部分被它的环境所覆盖那么相关的目的将在每个种类中重复应明确说明安全目的并且可追溯到所对抗的已知威胁或可满足的组织安全策略应明确说明环境安全目的并且可追溯到已知的无法完全对抗的威胁或无法完全满足的组织安全政策及假设注意环境的安全目的可能是安全环境陈述的假设部分全部或部分的重述安全要求这部分定义或其环境应满足的详细的安全要求安全要求应按下列方式描述安全要求的陈述应定义功能和保证安全要求和为评估所提供的证据应满足这些要求以便达到的安全目的安全要求包括如下内容安全功能要求的陈述应把功能要求定义为从第部分中提取的适当功能组件当必须覆盖同一要求的不同方面时例如标识多类用户可以重复使用例如使用反复操作第部分的组件来覆盖每一个方面当包括在安全保证要求如和更高的中时安全功能要求应说明由概率或排列机制如口令或散列函数实现的安全功能最低的强度级别所有这样的功能应达到最低级别最低级别可以是基本级功能强度中级功能强度高级功能强度之一级别的选择应与安全目的一致也可根据情况为选定的功能要求定义功能强度的尺度以满足的某些安全目的作为安全功能强度评估的一部分应评定单个安全功能所宣称的强度以及整体的最小强度级别是否被满足安全保证要求的陈述应使用第部分的一个或其保证组件增强来表达同时也允许通过明确说明增加的保证要求来扩展这些要求可以不取自第部分环境安全要求的陈述是可选的该陈述应确定的环境应满足的安全要求如果没有声称依赖环境可以忽略的这部分要注意的是非环境的安全要求尽管在实际中常常是有用的但因它们与实现没有直接关系不要求它们成为的正式部分下列通用条件应同样适用于及其环境的安全功能和保证要求的表达所有安全要求都应引用第部分或第部分适用的安全要求组件来表达对所有或部分安全要求而言如果第部分或第部分的安全组件都无法使用时可以明确说明这些安全要求不引自所有安全功能和保证要求均应准确无歧义地表达才能进行一致性评估和论证现有的通用准则功能或保证要求的详细程度和表达方式应当作一个典范来使用当选择了规定的需要操作赋值或选择的安全组件时应使用这些操作将要求细化到必要的程度以便论证安全目的都已满足任何要求的但又不在内执行的操作同样应说明通过使用要求组件的操作安全要求可根据情况在必要时规定或禁止特定安全机制的使用所有安全要求之间的依赖关系都应满足依赖关系可以通过在安全要求内包含相关的要求或对环境提出要求来满足应用注解这个可选的部分可能包括额外的支持信息该信息对构造评估或使用是相关或有用的基本原理这部分提出用于评估的依据这些依据将支持是一个完整的紧密结合的要求集合满足该的应在安全环境内提供一组有效的安全对策基本原理应包括以下几点安全目的基本原理应阐明安全目的可追溯到在安全环境里指明的所有方面并且能覆盖所有的这些方面安全要求基本原理应阐明系列安全要求及其环境是适合于满足并可追溯到安全目的应阐明以下几点将及其安全环境的功能和保证要求组件相结合能满足所述的安全目的该组安全要求一起构成一个互相支持且内在一致的整体安全要求的选择应说明理由所有下列情况都应当专门说明选择第部分或第部分中没有的要求选择不包括在中的保证要求不满足依赖关系已选择的功能强度级别和任何一个明确宣称的功能强度是符合安全目的的这部分材料可能篇幅太大不一定对所有用户都适合和有用因此可以单独发行附录标准的附录安全目标规范综述一个包括确定的的安全要求以及提供的规定安全功能和保证措施以满足所述的安全要求对一个而言是开发者评估者用户在安全特性和评估范围之间达成一致的基础一个读者不限于对制造和评估负有责任但也可能负有管理营销购买安装配置操作和使用的责任可能包含或宣称符合一个或多个的要求最初在条中定义中要求的内容时并未考虑到的这类一致性声明的影响中提出了一致性声明对所需内容的影响本附录以描述的方式说明了的各种要求第部分第章的保证类以保证组件的方式描述了同样的要求以用于对的评估安全目标的内容内容与形式应满足本附录的内容要求应是一个面向用户使用的文档应尽可能少地引用用户不易得到的其他材料必要时应单独提供基本原理图中描述了的内容应按其建立文档大纲引言引言应包括以下的文档管理和概述信息标识应提供必要的标记和描述信息以控制和标识和它所指的概述以叙述形式概述概述应有足够的细节提供给的潜在用户以便他们决定对该是否有兴趣概述也可作为一个单独的摘要包含在已评估产品一览表中一致性声明应说明与任何可评估的一致性声明就像在第部分条中指明的一样图安全目标内容描述的这一部分应描述以帮助理解它的安全要求并说明产品或系统的类型的范围和边界用通用术语同时以物理方式硬件软件组件或模块和逻辑方式由提供的和安全特征描述描述提供了评估上下文在描述中给出的信息将用于在评估过程中识别出不一致的地方如果是一个以安全功能为主要功能的产品或系统则的本部分可以用来描述更广泛的应用环境安全环境安全环境的陈述应描述所处的应用环境和期望的使用方式中的安全问题该陈述包括以下几点假设的描述应描述环境的安全问题将在或拟在这个环境里使用这包括下述几点关于预期使用方式的信息包括预期的应用潜在的资产价值可能的使用限制关于使用环境的信息包括物理的人员的和连通性等方面威胁的描述应包括对资产的所有威胁这些资产是在中或在其环境内需要特定保护的值得注意的是不是所有在环境里遭遇的可能威胁都必须列出只有那些与的安全运行相关的威胁才需要列出威胁应通过已确定的威胁主体攻击和作为攻击对象的资产来描述威胁主体应通过诸如专门技术可用资源和动机等来描述攻击应通过诸如攻击方法可利用的脆弱性和时机等来描述如果安全目的仅仅源于组织安全策略和假设那么对威胁的描述可以省略组织安全策略的描述应确定必须遵守的所有组织安全策略陈述或规则必要时还应加以说明如果使用某个策略来建立清晰的安全目的就必需对策略陈述进行说明和解释如果安全目的仅仅源于威胁和假设那么对组织安全策略的描述可以省略如果在物理上是分开的可能有必要在安全环境方面假设威胁组织安全策略分别地对不同区域进行讨论安全目的安全目的的陈述定义及其环境的安全目的安全目的应涉及已确定安全环境的所有方面安全目的应反映所陈述的意图并应适于对抗所有已知的威胁覆盖所有已知的组织安全策略和假设应指明以下两类安全目的注意当威胁或组织安全策略部分被所覆盖并部分被它的环境所覆盖那么相关的目的将在每个种类中重复应明确说明安全目的并且可追溯到所对抗的已知威胁或可满足的组织安全策略应明确说明环境安全目的并且可追溯到已知的无法完全对抗的威胁或无法完全满足的组织安全政策及假设注意环境的安全目的可能是安全环境陈述的假设部分全部或部分的重述安全要求这部分定义或其环境应满足的详细的安全要求安全要求应按下列方式描述安全要求的陈述应定义功能和保证安全要求和为评估所提供的证据应满足这些要求以便达到的安全目的安全要求包括如下内容安全功能要求的陈述应把功能要求定义为从第部分中提取的适当功能组件当必须覆盖同一要求的不同方面时例如标识多类用户可以重复使用例如使用反复操作第部分的组件来覆盖每一个方面当包括在安全保证要求如和更高的中时安全功能要求应说明由概率或排列机制如口令或散列函数实现的安全功能最低的强度级别所有这样的功能应达到最低级别最低级别可以是基本级功能强度中级功能强度高级功能强度之一级别的选择应与安全目的一致也可根据情况为选定的功能要求定义功能强度的尺度以满足的某些安全目的作为安全功能强度评估的一部分应评定单个安全功能所宣称的强度以及整体的最小强度级别是否被满足安全保证要求的陈述应使用第部分的一个或其保证组件增强来表达同时也允许通过明确说明增加的保证要求来扩展这些要求可以不取自第部分环境安全要求的陈述是可选的该陈述应确定的环境应满足的安全要求如果没有声称依赖环境可以忽略的这部分要注意的是非环境的安全要求尽管在实际中常常是有用的但因它们与实现没有直接关系不要求它们成为的正式部分下列通用条件应同样适用于及其环境的安全功能和保证要求的表达所有安全要求都应引用第部分或第部分适用的安全要求组件来表达对所有或部分安全要求而言如果第部分或第部分的安全组件都无法使用时可以明确说明这些安全要求不引自标准所有安全功能和保证要求均应准确无歧义地表达才能进行一致性评估和论证现有的通用准则功能或保证要求的详细程度和表达方式应当作一个典范来使用应使用任何所需的操作把要求展开至足够详细的程度以表明安全目的已达到所有对要求组件的指定操作均应完成所有安全要求之间的依赖关系都应满足依赖关系可以通过在安全要求内包含相关的要求或对环境提出要求来满足概要规范概要规范应定义安全要求的实例化该规范描述符合安全要求的安全功能和保证措施注意在某些情况下概要规范的一部分信息可能与要求的一部分信息等同概要规范包括下列内容安全功能的陈述应包含安全功能并说明这些功能是如何满足安全功能要求的该陈述将包括一个在功能和要求间的双向映射清楚表示哪个功能满足哪个要求并表明所有的要求都达到每一个安全功能至少要满足一个安全功能要求安全功能应以非形式化的方式定义其详细程度应足够理解其含义中引用的所有安全机制应可追溯到相关的安全功能这样就可看到每一个功能实现时使用的安全机制当包括在保证要求里时应指明所有利用概率和变换机制例如口令或散列函数实现的安全功能故意或偶然的攻击破坏这些机制的可能性是与安全相关的应提供所有这些功能的安全功能强度分析每一个指定功能的强度应确定并声明为基本级功能强度中级功能强度高级功能强度中的一个或另选定义明确的特定级别所提供的功能强度证据应足够评估者作出独立的判断确认所声称的强度是足够和正确的保证措施的陈述指出的保证措施这些措施已声明是满足所陈述的保证要求的保证措施可被追溯到保证要求这样可以看出哪些措施满足哪些要求如果合适的话保证措施的定义可以引用相关的质量计划生命周期计划和管理计划声明可以根据情况作与一个或多个的一致性声明如果作了任何一致性声明就应包括声明陈述其中包括解释理由和其他支持材料以证实该声明对目的和要求的陈述其内容和表达会受的声明的影响通过对每一个所声明的考察以下情况后来概括对的影响如果没有一致性声明那么目的和要求的完整表达应按本附录的规定来完成也不需要任何声明如果声明仅符合的要求没有更进一步的限制那么对的引用就足以确定和证明目的和要求重述的内容是不必要