IEC 15408-3-09 (2014) 信息技术安全评估准则第三部分：安全保证要求

IEC 15408-3-09 (2014) 是信息技术安全评估领域的重要国际标准，基于 ISO/IEC 15408-3:2008 采用而来，是通用评估准则（Common Criteria, CC）的第三部分。该标准系统定义了安全保证要求（Security Assurance Requirements），为 IT 产品和系统的安全性评估提供了严格的度量基准。本文将对标准的版本背景、内容框架、实施要点及其与其他标准的关系进行全面技术解读。

一、标准概况与适用范围

IEC 15408-3-09 (2014) 是由国际电工委员会（IEC）与国际标准化组织（ISO）共同维护的通用评估准则系列的一部分，具体对应 ISO/IEC 15408-3:2008。该标准取代了早期的 CC 版本，并在 2014 年进行了确认更新，以保持与国际信息安全评估实践的一致性。

标准适用于需要以可重复、可比较的方式评估 IT 安全功能可靠性的任何组织，包括：

产品开发者——在设计阶段即明确保证目标，减少后期修正成本；
安全评估机构——获得标准化的评估方法与保证等级基准；
消费者与监管者——根据评估保障级别（EAL）做出采购或认可决策。

技术要点： IEC 15408-3 并不规定具体的评估方法或工具，而是定义了评估需要满足的保证要求及对应的评价准则。实际的评估流程和判定规则由配套标准 ISO/IEC 18045（CC 评估方法）提供。
在 2026 年，随着 CC 2022 版（含 15408-3:2022 更新）的推行，EAL 结构得到了进一步优化，但 IEC 15408-3-09 (2014) 仍是许多现有认证体系的核心参考。

二、主要技术内容与要求

1. 保证要求结构

标准采用分层的保证要求结构：

保证类（Assurance Class）——最高层分类，如 ADV（开发）、AGD（指导性文档）、ALC（生命周期支持）等；
保证族（Assurance Family）——类下的细化分组，例如 ADV 类包含 ADV_FSP（功能规范）、ADV_TDS（顶层设计）等族；
保证组件（Assurance Component）——最小的可评估单元，每个组件对应一组特定的评估行动和证据要求。

2. 评估保障级别（EAL）

标准预定义了七级评估保障级别（EAL1～EAL7），形成从“功能测试”到“形式化设计验证”的递增保证梯度。下表总结了各级别的主要特征：

EAL 级别	名称	核心保证特征	典型应用场景
EAL1	功能测试	基本功能测试，无设计分析	对安全完整性要求极低的系统
EAL2	结构测试	结构化的功能规范与独立测试	需要中等保证的非关键系统
EAL3	系统测试和检查	增加设计分析、环境测试	商用安全产品（如防火墙）
EAL4	系统设计、测试和评审	完整的生命周期支持、半形式化设计	主流操作系统、数据库管理系统
EAL5	半形式化设计和测试	半形式化模型、隐蔽通道分析	高安全需要（如智能卡安全芯片）
EAL6	半形式化验证设计和测试	结构化开发流程、接口形式化规范	安全内核、强保护密码模块
EAL7	形式化验证设计和测试	形式化模型与设计、一致性证明	极端安全场景（军事加密系统）

重要注意： 更高的 EAL 并不自动意味着“更安全”，而是代表评估的深度与严格性提升。产品安全功能的实际强度由 15408-2（功能要求）决定，而 15408-3 确保这些功能在开发、交付和运行中得到可靠的保证。
开发者应综合成本和风险选择适当的 EAL 级别，过度追求高 EAL 可能导致交付周期延长与不必要的开销。

3. 保证包与重用一个

标准允许开发者定义保证包（Assurance Package），即从不同类/族中选择指定组件形成定制的保证要求。预定义包即为 EAL1～EAL7，而 PP（保护轮廓）和 ST（安全目标）中可声明自定义包，以满足特定领域需求（如工业控制系统、云计算平台的安全保证增强）。

三、实施/应用要点

实施 IEC 15408-3-09 (2014) 的评估通常包括以下阶段：

定义评估范围——基于 ST 确定评估目标、安全功能组件（SFR）和保证组件（SAR）；
证据准备——组织要求的设计文档、测试报告、配置管理记录等，确保满足所选 EAL 对应的所有组件；
评估机构介入——由获认可的第三方实验室按 ISO/IEC 18045 进行独立评估，输出《评估技术报告》；
认证决策——认证机构审核评估结果，颁发通用准则认证证书。

实施效益： 通过采用 IEC 15408-3 标准进行保证评估，组织可以系统化地展示产品的安全可信度，增强客户信任，并满足政府采购和行业准入要求。截至 2026 年，全球已有超过 2600 个产品获得基于 CC 的评估认证，覆盖网络设备、软件组件、密码模块等类别。

证据要求关键项

不同 EAL 下对证据的细化要求差异较大。以 EAL4 为例，典型证据包括：安全策略模型、半形式化的功能规范、结构化的顶层设计、测试覆盖分析、交付流程与配置管理记录。标准对每个保证组件都定义了“评估行动（Action Element）”，评估者据此逐项检查。

强制性要求： 根据标准附录 B，任何声称符合 IEC 15408-3 的评估必须完整覆盖所选保证包中的所有组件，不允许剪裁或跳过。即使在自定义包中，也不得降低组件要求的严格度。评估活动中发现的任何不符合项必须记录并对 ST 进行修改或重新设计。

四、与其他标准的关系

IEC 15408-3 是 CC 系列标准的核心之一，与其他标准紧密关联：

ISO/IEC 15408-1——综述与通用模型，定义 PP 和 ST 的框架，15408-3 的保证要求在此框架内使用；
ISO/IEC 15408-2——安全功能组件，与 15408-3 的保证要求共同构成评估基础；
ISO/IEC 18045:2022（CC 评估方法）——提供保证要求评估的具体工作单元与方法指南，是实施评估的操作手册；
IEC 62443 系列——针对工业控制系统的安全标准，引用 CC 的保证框架来定义系统的安全等级（SL），其中 IEC 15408-3-09 可作为 SL 保证要求的参考来源；
国标 GB/T 30278-2013——等效采用 ISO/IEC 15408 系列，在中国信息安全认证中直接引用保证要求。

在 2026 年的技术环境中，IEC 15408-3-09 (2014) 虽已逐步被新版 CC（2022）取代，但其核心保证组件、EAL 级别划分以及评估行动定义仍然作为国际互认的基础，被广泛用于测评机构的能力建设和工具链开发。

常见问题（FAQ）

问： IEC 15408-3-09 (2014) 与 ISO/IEC 15408-3:2008 有何区别？
答：两者技术内容完全一致。IEC 15408-3-09 (2014) 是加拿大标准机构（CSA）采用 ISO/IEC 15408-3:2008 后发布的编号，同时在 IEC 体系中以双编号出现。2014 年版本确认了标准的有效性，未引入实质性技术变更。

问：如何选择适当的 EAL 级别？
答：首先应评估产品的预期使用环境与面临的威胁。低风险环境可选择 EAL1～EAL2，普通商业应用推荐 EAL3～EAL4，高安全需要（如密码模块、安全网关）建议 EAL5 及以上。同时需考虑开发成本与认证周期，必要时可通过 PP 中的自定义包平衡保证强度和效率。

问：标准是否适用于软件即服务（SaaS）或云产品？
答：通用准则最初设计为针对传统 IT 产品的，但云服务场景亦可映射使用。CC 社区已发布针对云计算的保护轮廓（Cloud PP），其中引用了 IEC 15408-3 的保证组件，并补充了虚拟化、多租户等特定建模要求。评估时需配合最新 CC 支持文档（如 2022 版）进行。

问： EAL4 与 EAL5 的核心差异是什么？
答： EAL4 需要半形式化的功能规范和非形式化安全策略模型，而 EAL5 进一步要求半形式化的安全策略模型、半形式化的功能规范与顶层设计，并增加隐蔽通道分析和模块化设计证明。EAL5 的评估工作量通常是 EAL4 的 1.5～2 倍，证据要求也更为严格。

📥 标准文件下载

🔒

请等待 10 秒，广告加载完成后将自动显示下载链接