【正确答案】
B
【答案解析】[解析] B正确。通用准则在评估过程中使用保护配置文档。这是一种用来描述目前市场上不存在产品的真实需求的机制。保护配置文档包含一套安全需求、安全需求的含义与理由,以及预期产品需要的相应评估保证级别(Evaluation Assurance Level, EAL)。这个保护配置文档描述了环境假设、目标、预期功能及预期保证级别,列出了相关威胁以及如何通过特定目标控制这些相关威胁。保护配置文档也调整了期望在新产品中实现的每个保护机制的强度的保证级别和需求。保护配置文档基本上是在说:“这就是我们所需要的新产品。”
A不正确。因为评估目标(Target of Evaluation, ToE),即图中所缺的三块的第二个块,就是按照通用准则正在评估的实际产品。正如保护配置文档中所陈述的那样,“这就是我们所需要的新产品”,ToE是供货商创建的、能够满足配置文档中描述的所有需求的产品。当行业中出现了提供某种特定功能和安全性的新产品的需求时,就会有人制定保护配置文档来概括这种需求。然后会有供应商创建这种新产品来满足这种需求,该新产品就叫做ToE。
C不正确。因为安全目标(Security Target),即图中所缺的第三块,是供应商对保护配置文档中所描述的、评估目标所实现的满足所需解决方案的安全功能和保证机制的书面解释。正如保护配置文档中所描述的,“这就是我们所需要的”,ToE是满足这种需求的产品,安全目标是对该ToE如何一一对应保护配置文档所做的解释。评估人员把ToE与这3点对比之后,再结合通用准则提出的实际需求,为该产品给出一个评估保证级别(Evaluation Assurance Level, EAL)。
D不正确。因为评估保证级别(Evaluation Assurance Level, EAL)概括了通用准则中所使用的保证等级。它本质上是这些标准用于描述某一特定产品所要求的保证和安全的等级系统。评估人员评估产品时,会根据所做的所有测试为该产品定一个EAL值。这个值基本上就是这个产品在经过所有测试之后所得到的等级。通用准则所使用的保证等级系统与先前标准所使用的不同。它拥有规格说明包,产品要想获得相应等级的话,就必须满足相应“包”中的规格说明。这些等级和“包”统称为EALs。一旦某个产品取得某种等级,顾客便能够在评估产品一览表(Evaluated Products List, EPL)上看到这个信息,也就便能明白哪个产品的安全保证最佳。所以,如果你打算购买一款产品并且要求该产品必须满足一定的安全保证说明,那么你便可以对照EPL来看一下它是否满足你的需要。