课件12：第5-4节通用准则CC.ppt

信息系统安全性评估 5 4通用评估准则 CC 通用评估准则简称CC 已经于1999年12月正式由ISO组织所接受与颁布 成为全世界所公认的信息安全技术评估准则 不仅可以作为安全信息系统的评测标准 而且更可以作为安全信息系统设计与实现的标准与参考 5 4 1CC的由来与特色 GB T18336 2001 信息技术安全技术信息技术安全性评估准则 等同于ISO IEC15408 1999 通常也简称通用准则 CC 已于2001年3月正式颁布 该标准是评估信息技术产品和系统安全性的基础准则 ISO IEC15408 1999是国际标准化组织统一现有多种评估准则努力的结果 是在美国 加拿大 欧洲等国家和地区分别自行推出测评准则并具体实践的基础上 通过相互间的总结和互补发展起来的 CC发展的主要阶段为 1985年 美国国防部公布 可信计算机系统评估准则 TCSEC 即桔皮书 1989年 加拿大公布 可信计算机产品评估准则 CTCPEC 1991年 欧洲公布 信息技术安全评估准则 ITSEC 1993年 美国公布 美国信息技术安全联邦准则 FC 1996年 六国七方 英国 加拿大 法国 德国 荷兰 美国国家安全局和美国标准技术研究所 公布 信息技术安全性通用评估准则 CC1 0版 1998年 六国七方公布 信息技术安全性通用评估准则 CC2 0版 1999年12月 ISO接受CC为国际标准ISO IEC15408标准 并正式颁布发行 从CC的发展历史可以看出 CC源于TCSEC TCSEC针对操作系统的安全功能要求的评估 目前仍然可以用于对操作系统的评估 CC已经完全改进了TCSEC 全面地考虑了与信息技术安全性有关的所有因素 以 安全功能要求 和 安全保证要求 的形式提出了这些因素 这些要求也可以用来构建TCSEC的各级要求 CC定义了作为评估信息技术产品和系统安全性的基础准则 提出了目前国际上公认的表述信息技术安全性的结构 把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效的实施这些功能的保证要求 功能和保证要求又以 类 族 组件 的结构表述 组件作为安全要求的最小构件块 可以用 保护轮廓 安全目标 和 包 去构建 例如由保证组件构成典型的包 评估保证级 另外 功能组件还是连接CC与传统安全机制和服务的桥梁 以及解决CC同已有准则如TCSEC ITSEC的协调关系 如功能组件构成TCSEC的各级要求 CC分为三个部分 第1部分 简介和一般模型 正文介绍了CC中的有关术语 基本概念和一般模型以及与评估有关的一些框架 附录部分主要介绍保护轮廓 PP 和安全目标 ST 的基本内容 第2部分 安全功能要求 按 类 族 组件 的方式提出安全功能要求 提供了表示评估对象TOE targetofevaluation 安全功能要求的标准方法 除正文以外 每一个类还有对应的提示性附录作进一步解释 第3部分 安全保证要求 定义了评估保证级别介绍了PP 保护轮廓 和ST 安全目标 的评估 并按 类 族 组件 的方式提出安全保证要求 本部分还定义了PP和ST的评估准则 并提出了评估保证级别 即定义了评估TOE保证的CC预定义尺度 这被称为评估保证级别 CC的三个部分相互依存 缺一不可 第1部分是介绍CC的基本概念和基本原理 第2部分提出了技术要求 第3部分提出了非技术要求和对开发过程 工程过程的要求 这三部分的有机结合具体体现在PP和ST中 PP和ST的概念和原理由第1部分介绍 PP和ST中的安全功能要求和安全保证要求在第2 3部分选取 这些安全要求的完备性和一致性 由第2 3两部分来保证 通用性的特点 即给出通用的表达方式 如果用户 开发者 评估者 认可者等目标读者都使用CC的语言 互相之间就更容易理解沟通 用户使用CC的语言表述自己的安全需求开发者就可以针对性地描述产品和系统的安全性评估者也更容易有效客观地进行评估 并确保评估结果对用户而言更容易理解 具有内在完备性和实用性的特点 具体体现在 保护轮廓 PP和 安全目标 ST的编制上 保护轮廓 PP主要用于表达一类产品或系统的用户需求 在标准化体系中可以作为安全技术类标准对待 PP的主要内容 对该类产品或系统的界定性描述 即确定需要保护的对象 确定安全环境 即指明安全问题 需要保护的资产 已知的威胁 用户的组织安全策略 产品或系统的安全目的 即对安全问题的相应对策 技术性和非技术性措施 信息技术安全要求 包括功能要求 保证要求和环境安全要求 这些要求通过满足安全目的 进一步提出具体在技术上如何解决安全问题 基本原理 指明安全要求对安全目的 安全目的对安全环境是充分且必要的 以及附加的补充说明信息 保护轮廓 编制 一方面解决了技术与真实客观需求之间的内在完备性 另一方面用户通过分析所需要的产品和系统面临的安全问题 明确所需的安全策略 进而确定应采取的安全措施 包括技术和管理上的措施 这样就有助于提高安全保护的针对性 有效性 安全目标 ST 在 保护轮廓 的基础上 通过将安全要求进一步针对性具体化 解决了要求的具体实现 常见的实用方案就可以当成 安全目标 对待 通过 保护轮廓 和 安全目标 这两种结构 就便于将CC的安全性要求具体应用到IT产品的开发 生产 测试 评估和信息系统的集成 运行 评估 管理中 5 4 2安全功能要求 CC定义了一系列的安全功能组件 用于描述保护轮廓或安全目标中所表述的评估对象 TOE TargetofEvaluation 所用信息技术的安全功能要求 这些要求描述了对TOE所期望的安全行为和期望达到的安全目标 这些要求还描述了用户可检测到的TOE的安全特性 检测可以是用户通过与TOE直接交互 即输入 输出 或通过TOE对刺激的响应来实现 安全功能组件用于描述与在假定的TOE操作环境中安全威胁的对抗 和 或对任何一个已确定的组织的安全策略与假设的安全要求 下面介绍 TOE的安全功能要求的组成概念各个安全功能组件的基本作用 5 4 2 1TOE安全功能模型 主体 主体 客体 信息 主体 TSF控制范围 TSC TOE的安全功能 TSF 增强TOE安全策略 TSP 安全属性 进程 安全属性 安全属性 安全属性 安全属性 资源 评估对象 TOE TOE安全功能截面 TSFI 用户远程IT产品 用户 它们实际是TOE安全功能模型 TOE是指包含资源的IT产品或系统 其中资源用于处理与存储信息 如存储介质 外围设备和计算能力 CPU时间 等 TOE评估是为了确信 规定的TOE安全策略 TSP 是针对TOE资源的 TSP定义了一些规则 TOE通过这些规则控制对其资源的访问 这样TOE就控制了所有信息与服务 TSP又可能由多个安全功能策略 SFP 构成 每一个SFP都有自己的控制范围 在其中定义了该SFP控制下的主体 客体和操作 SFP是通过安全功能 SF 实现的 TOE安全功能 TSF 为正确实施TSP而必须依赖的TOE的那些部分 包括所有与安全有关的软件 固件和硬件 统称为 访问监控器是TOE中实施访问控制策略的抽象机 访问确认机制是访问监控器概念的实现 它具有防拆卸 一直运行 简单到能够进行彻底的分析与测试 TSF中可能包括一个访问确认机制和其他一些安全功能 服务 TOE安全策略TSP策略集 资源 控制 安全功能策略SFP1 安全功能策略SFP2 安全功能策略SFPn 安全功能SF 安全功能SF 安全功能SF 评估对象TOE TOE的安全功能TSF TSF的安全范围TSC 访问监视器 TOE既可能是一个包含硬件 固定和软件的单个产品 也可能是一个分布式产品 如图5 3所示 在分布式TOE产品内包括多个单独的部分 每一部分都为TOE提供一种特别服务 各部分之间由内部通信信道互连 这种信道可以是处理器总线 也可以是包含TOE的内部网络 内部TOE传送 每一部分可拥有自己的TSF部分 它通过内部通信信道与本TSF内的其他部分交换用户数据与TSF数据 各个部分的TSF可以抽象地形成一个复合的TSF来实施TSP 图5 3分布式TOE内的安全功能图 TOE界面可以局限到特定的TOE 它们也可以通过外部信道与其他IT产品交互 交互的形式有两种 1 TSF间传送 和远程可信IT产品之间的信息交换 2 TSF控制外传送是和不可信IT产品之间的信息交换 TSF控制范围 TSC 发生在TOE或TOE内部并且受TSP规则影响的这一系列交互 TSC包括一系列已定义的基于主体 客体和TOE内部操作的交互作用 但它不必包括TOE的所有资源 TSF界面 TSFI 包括人机交互式界面和应用开发的编程界面 TSFI定义了为实施TSP而提供的TOE安全功能的边界 通过这些界面可以访问TSF的资源中介或从TSF中获得信息 TOE用户分为 1 人类用户 分为本地和远程 所有的用户都位于TOE的外部 也在TSC的外部 用户通过TSFI与TOE交互 请求TOE提供服务 用户会话 用户与TSF的交互期 用户会话控制措施 用户鉴别 时间 访问TOE的方法 允许的并发会话数量等 授权用户 如果用户已经具有了执行某种操作所必须的权限或特权 则称该用户是已授权的 已授权的用户可以执行TSP定义的操作 2 外部IT实体 与TOE连接的外部智能设备 角色 是一组预先定义的一组规则 这些规则建立了TOE和用户间所允许的交互 TOE可以支持任意数目的角色定义 管理角色 标准中明确专门担负管理员责任的角色 例如 审计管理员 和 用户账号管理员 等 TOE的资源 是用于存储与处理信息的 实体是由资源产生的 有两类 一是主动实体 称为主体 是TOE内部行为发生的原因 并导致对信息的操作 二是被动实体 称为客体 是发出或接收信息的容器 介质 在TOE内有3类主体 1 已授权用户 代表遵从TSP所有规则的 例如UNIX进程 2 专用功能进程 可以轮流代表多个用户 例如在C S结构中可以找到的功能 3 TOE本身的一部分 例如可信进程 客体是可以由主体操作的对象 一个主体也可以成为操作对象 该主体也称为客体 信息 包含在客体中 用于说明信息流控制策略的 属性 用户 主体 信息和客体都具有 1 提示性属性 如文件名 只是用于 可增加对用户的友好性 2 安全属性 访问控制信息 则是专为TSP的强制实施而存在的 TOE中的数据 用户数据是存储在TOE资源中的信息 用户可根据TSP的规则对它们进行操作 而TSF对它们不附加任何特别意义 TSF数据是在做出TSP决策时TSF使用的信息 如果TSP允许的话 TSF数据可以受到用户的影响 安全属性 鉴别数据以及访问控制表 ACL 内容等都是TSF数据的例子 TSF数据 鉴别数据 安全属性 用户属性 客体属性 主体属性 信息属性 用户数据 TOE数据 图5 4用户数据和TSP数据的关系 数据保护的安全功能策略 SFP 1 访问控制SFP 是基于控制范围内的主体 客体和操作的属性做出策略决策的 在一组规则中使用这些属性控制各主体对客体的操作 2 信息流控制SFP 是基于控制范围内的主体和信息的属性 并支配主体对信息操作的一组规则做出策略决策的 信息的属性与信息相随 它可能与存储介质的属性相关联 也可能没有关联 如在多级数据库情形中 TSF数据 1 鉴别数据 用于验证向TOE请求服务的用户所声明的身份 口令是最普通的鉴别数据 而且还要求保密 但生物学鉴定设备 如指纹 视网膜的识别设备 就不依赖数据的保密 2 保密数据 一些鉴别数据 或防攻击而要求保密的数据 如访问矩阵 可信信道机制 依靠密码技术保护在信道中传输的信息 5 3 2 2安全功能组件 为了描述TOE的安全功能要求 在标准中一共定义了11个标准的功能类 它们是安全审计类 FAU 通信类 FCO 密码支持类 FCS 用户数据保护类 FDP 标识与鉴别类 FIA 安全管理类 FMT 隐秘类 FPR TSF保护类 FPT 资源利用类 FRU TOE访问类 FTA 和可信路径 信道类 FTP 标准还允许添加新的功能组件 标准对功能类的表述结构与方法给出了详细的文档格式规定 要求功能用类 族和组件和功能元素四级结构来表示 图5 5 5 7分别给出了功能类 功能族和组件的描述结构 图5 5功能类的结构 图5 6中 族行为用于叙述本功能族的安全目的 对功能要求进行一般性描述 功能族内包含一个或多个组件 这些组件都可能被选用在PP ST和功能包中 一个功能族内的关系不一定是层次化的 但如果一个组件提供多种安全特性 那么它对别的组件而言是有层次的 管理要求是一种提示性信息 给出对组件的管理要求 审计要求说明与本功能族有关需要进行审计的安全性事件 功能族 族名 族行为 组件 组件 组件 审计 管理 组件层次 图5 6功能族的结构 图5 7给出了功能组件的描述结构 一个组件包含若干个相互独立的功能元素 功能元素是一个安全功能要求 它是标准中可标识的最小安全功能要求 依赖关系表示一个组件为完成某个安全功能对其他组件的依赖要求 图5 7功能组件的结构 组件 组件标识 依赖关系 功能元素 功能元素 功能元素 功能组件可执行的四种操作 1 反复 允许一个组件与不同的操作一起多次使用 当需要覆盖同一要求的不同方面时 如需要标识多个类型用户 允许使用同一组件来保护每个方面 2 赋值 允许对一个已标识参数的赋值 某些功能组件元素包含一些参数与变量 通过对它们赋值来满足某个特定的安全目标 3 选择 为缩小某个组件元素的范围 从列表中选取一个或多个条目的操作 4 细化 为了满足某安全目标 允许增加细节来对某个功能组件元素进行细化 各功能类的作用一 FAU类 安全审计 安全审计包括辨别 记录 存储和分析那些与安全有关的活动 即由TSP控制的行为 的相关信息 审计记录结果可以用来检测 判断发生了哪些与安全相关的活动以及这些活动是由哪个用户负责的 在安全审计中包括安全审计自动响应 安全审计数据产生 安全审计分析 安全审计查阅 安全审计事件选择和安全审计事件存储等6个功能族 TSF中要求每个审计记录中至少包括以下信息 a 事件的日期和时间 事件类型 主体身份 事件的结果 成功或失败 b 对每个审计事件类型 根据PP ST中的功能组件的可审计事件的定义 说明其他审计相关信息 二 FCO类 通信 该功能类提供两个族 原发抗抵赖与接收抗抵赖 它们专用于确保在数据交换中参与方的身份 这些族与确保信息传输的发起者的身份 原发证明 和确保信息传输的接收者的身份 接收证明 相关 这些族既确保发起者不能否认发送过的信息 又确保收信者不能否认收到过的信息 三 FCS类 密码支持 TSF可以利用密码功能来满足一些高级安全目的 这些功能包括 但不限于 标识与鉴别 抗抵赖 可信路径 可信信道和数据分隔 该类功能可用硬件 固件和 或软件来实现 在TOE执行密码功能时使用 FCS类包括两个族 密钥管理与密码运算 前者解决密码管理方面的问题 后者与密码在运算中使用的情况有关 四 FDP类 用户数据保护 这是一个很大的功能类 它包括13个功能族 这些族规定了与保护用户数据有关的安全功能要求与TOE安全功能策略 它们处理TOE内部在输入 输出和存储期间的用户数据以及和用户数据直接相关的安全属性 依据它们的作用 这些族被分为4大类 a 用户数据保护的安全功能策略组 包括访问控制策略族和信息流控制策略族 这些族中的组件用于命名用户数据保护的安全功能策略 并定义该策略的控制范围 b 用户数据保护形式组 为用户数据提供各种形式的安全保护 包括访问控制功能族 信息流控制功能族 内部TOE传输族 残留信息保护族 回滚族和存储数据的完整性族 回滚族的行为要求能够从当前状态回滚到以前的某个已知状态 具有撤消前一次或几次操作的结果的能力 以便保持用户数据的完整性 c 脱机存储 输入和输出组 这些族内的组件处理进出安全功能控制范围时的可信传输 包括数据鉴别族 向TSF控制范围之外输出族和从TSF控制范围之内或外输入族 d TSF间通信组 包括TSF间用户数据保密性传输保护族与TSF间用户数据完整性传输保护族 在这些族内的组件描述了在TOE的安全功能与其他可信的IT产品间的通信 五 FIA类 标识与鉴别 该功能类完成用户身份的建立与验证的安全功能要求 需要通过标识与鉴别的方式确保用户与正确的安全属性 如身份 组 角色 安全类或完整性类 相连接 对授权用户的明确标识以及为用户与主体关联正确的安全属性是实施预定安全策略的关键 该类中包括鉴别失败 用户属性定义 秘密的规范 用户鉴别 用户标识和用户 主体的绑定等6个功能族 它们实现对用户的身份判断与验证 判断是否授权可与TOE交互 授权用户是否连接了正确的安全属性等功能 安全审计 用户数据保护等功能类要想生效 就要建立在对用户的正确标识与鉴别上 六 FMT类 安全管理 该类试图规定TSF对安全属性 TSF数据与功能的管理 也可以规定不同的管理角色和它们之间的交互 如分离能力 设置该类有以下目的 a TSF数据的管理 例如对标志的管理 b 安全属性的管理 例如对访问控制表和能力表的管理 c TSF功能的管理 例如功能的选择 影响TSF的行为的规则或条件 d 安全角色的定义 七 FPR类 隐秘 FPR类支持隐秘要求 这些要求可以为用户提供其身份不被其他用户发现或滥用的保护 八 FPT类 TSF保护 该类包含了16功能族 一方面与提供TSF 和特定的TSP无关 机制的完整性和管理有关 另一方面与TSF数据 和TSP数据的特定内容无关 的完整性有关 FPT类是专门用于TSF数据的保护 而FDP类用于对用户数据的保护 但在FPT类的族中可能出现与FDP类中完全相同的组件 从FPT类的观点看 TSF有以下三部分 a TSF的抽象机器 它可以是虚拟的 也可以是物理机器 这取决于评估执行时特定的TSF的实现方法 b TSF的实现方法 在抽象机上执行并实现实施TSP的机制 c TSF的数据 该数据是指导实施TSP的管理数据库 九 FRU类 资源利用 该类提供三族分别来支持所需资源的诸如运行能力和 或存储能力等应用能力 容限失效族提供保护 以防止由TOE失败引起的容限不可用 工作优先级族确保资源将被分配到更重要的和时间要求更苛刻的任务中 而且不能被优先级更低的任务所垄断 资源分配族提供可用资源的使用限制 但防止用户垄断资源 十 FTA类 TOE访问 该类指定功能要求用以控制用户会话的建立 十一 FTP类 可信路径 可信信道 该类的各族为用户和TSF之间提供了一条需要的可信通信路径 并且在TSF和IT产品之间也提供了一条需要的可信通信路径 可信路径和信道有以下的一般特点 a 通信路径由所使用的内部的和外部的通信的信道构成 对组件而言是适当的 它是孤立于TSF数据的一鉴别后的子集的 也是独立于TSF和用户数据的暗示要求的 b 通信路径的启用通过用户和 或TSF来实现 对组件而言是适当的 c 通信路径有能力保证用户是和正确的TSF通信的 并且TSF也是和正确的用户通信的 对组件而言是适当的 在这个范例里 一可信信道是一条可能由任何一边信道启动的通信信道 并且依据信道的各边的鉴别提供了不可批判的特性 一条通信路径通过一保证的直接的TSF的交互活动为用户提供了实施其功能的一种方法 可信路径通常用于诸如最初的鉴别和 或证明的用户操作中 但也可能用于一用户会话过程中的其他时刻 可信路径的改变可能由用户或TSF启动完成 用户的反应通过可信路径而不被不可信运用所修改或暴露 5 4 3安全保证要求 CC标准的第3部分定义了CC的保证 Assurance 要求 它包括用以衡量保证级别的评估保证级别 EAL 用以组成保证级别的每个保证组件 以及PP和ST的评估准则 保证是实现系统安全功能的保障 提出了对TOE开发的非技术要求和对开发过程 工程过程的保障性要求 本节介绍CC保证要求的基本内容与保证级别的评估准则 5 4 3 1安全保证要求的基本概念 1 CC的基本原则CC的基本原则是 尽可能清楚地描述那些对安全的威胁 并提出达到安全目的安全方法 具体地说 防止脆弱性被利用或减少因一个脆弱性被利用而导致的破坏程度 采纳一定的方法以便于今后识别 减少 甚至消除脆弱性 2 保证方法CC的基本原则是保证基于对IT产品或系统的评估 积极的调查 是可信的 评估是提供保证的传统方法 并且是预评估准则文件的基础 CC建议由专业评估员衡量文档和已完成的IT产品或系统的有效性 这些专家将在范围 深度和严格性上不断深化 3 脆弱性产生的原因与意义以下的失败能导致脆弱性 要求 即IT产品或者系统具有所有需要的功能和特色 但仍然可能包含着脆弱性 使得产品或系统在安全方面不合适或者无效 构造 即IT产品或系统不符合规范 和 或由于糟糕的构造标准或不正确的系统设计选择导致脆弱性 操作 即IT产品或者系统的构造是正确的 且符合正确的规范 但是在操作中由于不适当的控制导致脆弱性 假定有积极地寻求违反安全策略漏洞的威胁者 他们无论是为了非法获取还是出于善意 其行动都是不安全的 IT的失效将会导致很大的风险 因此 破坏IT安全可能造成重大的损失 破坏IT安全的事件主要来源于在应用IT处理业务过程中 有意地利用或无意地触发了系统的脆弱性 应该采取一定的步骤阻止在IT产品和系统中出现脆弱性 切实可行的话 脆弱性应该进行以下三种方式的处理 消除 即应该采取积极的步骤揭露 除去或者抵消所有可执行的脆弱性 最小化 即应该采取积极的步骤减少任何可执行的脆弱性的潜在影响 使之达到一个可接受的残留程度 监视 即应该采取积极的步骤 以确保发现任何执行残留脆弱性的企图 以便采取能限制破坏的步骤 4 CC保证保证是信任IT产品或者系统符合其安全目的的基础 保证可源于对诸如未证实的声明 有关的先期经验 或者特定经验等原始资料的参考 然而 CC通过积极的调查来提供保证 积极的调查是对IT产品或者系统的评估 以确定其安全特性 评估是获取保证的传统手段 并且是CC方法的基础 a 对过程和程序的分析和检查 b 检查正在使用的过程和程序 c 对评估对象 TOE 设计说明之间的一致性分析 d 针对要求对评估对象 TOE 设计说明进行的分析 e 证据的验证 f 指导性文档的分析 g 对所开发的功能测试和所提供的结果的分析 h 独立的功能测试 i 脆弱性分析 包括缺陷假设 j 渗透性测试 CC的原则断言更大的评估努力将得到更好的保证 然而目的是运用最小的努力来得到必要的保证级别 增加努力的程度基于 范围 因为包含更多的IT产品或者系统 所以需要更大的努力 深度 因为它被展开到一个更好层次的设计和实现细节 所以需要更大的努力 严格性 因为要以更有条理的 更形式化的方式应用 所以需要更大的努力 5 4 3 2安全保证要求的内容 安全保证要求也是采用保证类 保证族 保证组件 保证元素四级结构描述的 保证要求的最大抽象集合称作一个类 每一个类包含多个保证族 每一个族又包含多个保证组件 每一个组件又包含多个保证元素 类和族都是用来提供划分保证要求的分类法 而组件是用来规定PP和ST中的保证要求的 以下简要介绍各个保证类及其所包含的保证族的主要功能 1 ACM类 配置管理 配置管理 CM 通过要求在细化和修改TOE和其他有关信息的过程中的规则 控制 有助于确保能保护TOE的完整性 配置管理 CM 阻止对TOE进行非授权的修改 添加或删除 这保证了TOE和评估所用的文件确实是那些准备用来分发的文件 2 ADO类 分发和操作 保证类ADO定义了有关安全地分发 安装 操作TOE的措施 程序和标准的要求 以确保TOE提供的安全保护在传输 安装 启动和操作时不被削弱 3 ADV类 开发 保证类ADV定义了从ST中说明的TOE摘要到实际的TSF的逐步细化的一系列要求 每一个有结果的TSF表示都提供信息以帮助评估员决定TOE的功能要求是否已经满足了 4 AGD类 指导性文件 保证类AGD定义了对开发者提供的可操作文档的易懂性 覆盖面和完整性方面指导性的要求 该文档提供两种类型的信息 一种是对用户 另一种是对管理员 这是TOE安全操作的一个重要因素 5 ALC类 生命周期支持 保证类ALC 通过采用一个为TOE开发的所有步骤所定义的生命周期模型 定义了保证要求 这个生命周期包括纠正缺陷的程序和策略 正确使用工具和技术 以及保护开发环境的安全措施 6 ATE类 测试保证类ATE陈述了阐明TSF满足TOE安全功能要求的测试要求 7 AVA类 脆弱性评定保证类AVA定义了直接有关可利用的脆弱性标识的要求 特别地 它指出了在构造 操作 误用或错误配置TOE时引入的脆弱性 5 4 4AMA类 保证维护 保证类AMA的目的是维护保证级别 即当TOE或其环境发生改变时 TOE可以继续满足它的安全目标 在这个类中的每个族都确定了在成功地评估TOE之后开发者和评估者应有的行为 虽然有些要求可能是在评估的时候执行 保证维护计划 AMA AMP 族确定了当TOE或其环境改变时 开发者用以确保能维护建立在已评估了的TOE基础上的保证 所要实施的计划或程序 TOE组件分类报告 AMA CAT 族确定了根据TOE组件 如 TSF子系统 适当的安全性对它们进行分类 这个分类将作为开发者进行安全影响分析的重点 保证维护证据 AMA EVD 族主要寻求建立一种信任关系 即开发者将根据保证维护计划来维护TOE保证 安全影响分析 AMA SIA 族寻求建立一种信任关系 即在TOE通过评估之后 开发者将通过对所有可能影响TOE的改变进行安全影响分析 以维护TOE保证 5 4 5TOE的评估保证级别 评估保证级别 EAL 提供一个增长的尺度 该尺度可以使得要取得的保证级别所花的费用和获得保证度之间得到平衡 在评估结束时在一个TOE中标识出保证的各个概念 以及在TOE操作使用过程中标识出对保证进行维护的各个概念 并非第三部分中的所有族和组件都包括在EAL中 这一点是很重要的 这并不是等于说它们不提供有意义的和预期的保证 相反 希望这些族和组件能被认为是一个EAL的附加说明 即在那些PP和ST中它们可提供有用的东西 5 4 5 1评估保证级别 EAL 概述 正如在下一节里所总结的那样 在CC中对TOE的保证等级定义了七级有序的评估保证级别 它们按级别排列 每一级EAL要比其下的所有EAL描述更多的保证 EAL级别的增加靠替换来自同一保证族的一个更高级别的保证组件 例如 增加的严格性 范围 深度 和添加来自另外一个保证族的保证组件 例如 添加新的要求 来实现 EAL包含保证组件的一个适当组合 确切地说 每个EAL最多包括每个保证族的一个组件 而且指明了每个组件的所有保证依赖性 尽管EAL是在CC中定义的 它还是可以用来表示其他保证组件 特别地 增添 这个概念允许 从不包括在EAL中的保证族 向EAL中增加保证组件或允许对一个EAL 用同一个保证族的其它更高级别的保证组件 替换保证组件 在CC中定义的保证结构中 只有EAL可以增添 但不允许减少 增添时需要在声明部分证明其有效性和把保证组件的增值添加到EAL中 一个EAL也能够通过明确陈述的要求来扩展 5 4 5 2评估保证级别 评估保证级别划分为从EAL1到EAL7七个等级 而这七个等级又与所支持的保证组件功能的强弱有密切关系 但篇幅原因 这里也不能给出每个保证组件的功能说明 需要的话 只能查阅CC评估准则的第3部分 一 EAL1 功能测试 EAL1可以用于需要对正确操作有一定信任 但认为对安全的威胁并不严重的场合 适用于需要独立的保证在人员和相似信息保护方面已经做了足够的重视的 EAL1对一个未经评估的IT产品或系统提供了一个有意义的额外保证 二 EAL2 结构测试 在交付设计信息和测试结果方面 EAL2需要开发者的合作 但不要超出良好商业运作的一致性而损害开发方的利益 这样 就不能要求过多地投入附加的费用和时间 因此EAV2适合与以下情况 在缺乏完整的开发记录的有效情况下 开发者或者使用者需要一种中等以下级别的独立的安全保证 在保护遗留的系统时或者同开发者的交流受到限制时 可能会出现这种情况 EAL2通过由以下的因素来提供支持 对TOE安全功能的独立性测试 开发者基于功能规范进行测试得到的证据 对开发者测试结果选择的独立确认 功能强度分析 开发者针对明显脆弱性查找到的证据 如 在公共领域 EAL2还通过一个对TOE的配置列表和安全分发过程的证据来提供保证 EAL2在EAL1基础上有意识地增加了保证 这是通过对开发者测试的需要 脆弱性分析和基于更详细的TOE规范的独立性测试来实现 三 EAL3 方法测试和校验 在设计阶段中 EAL3允许开发者在已有的合理开发实践没有作重大改变的情况下 从肯定的安全工程中获得最大程度的保证 因此 EAL3适用于开发者或用户需要一个中等级别的独立的保证安全 以及需要在没有重大的再工程的情况下对TOE和其开发进行彻底调查 EAL3通过对安全功能进行分析以提供保证 它依靠功能和接口的规范 指导性文件和TOE的高层设计 来理解安全行为 EAL3通过由以下的因素来提供支持 对TOE安全功能的独立性测试 开发者基于功能规范和高层设计进行测试得到的证据 对开发者测试结果选择的独立确认 功能强度分析 开发者对明显脆弱性查找到的证据 如 在公共领域 EAL3还通过开发环境控制的使用 TOE配置管理和安全分发过程的证据来提供保证 EAL3在EAL2的基础上有意识的增加了保证 这是通过要求更完备的安全功能 机制和 或过程的测试范围 以提供TOE在开发中不会被篡改的一些信任来实现的 四 EAL4 系统地设计 测试和评审 EAL4允许开发者从积极的安全工程中获得最大保证 这种安全工程基于良好的商业开发实践 这种实践虽然很严格 但并不需要专门的知识 技巧和其它资源 在经济上合理的条件下对一个已经存在的生产线进行翻新时 EAL4是所能达到的最高级别 因此EAL4适用的情况是 开发者或使用者需要一个中等到高等级别的有关传统的日用TOE的独立保证安全 并且准备花费额外的特殊安全工程费用 EAL4通过对安全功能的分析以提供安全保证 它靠功能和完整接口的规范 指导性文件 TOE高层设计和低层设计和实现的一个子集等来理解安全行为 也可通过一个非形式化的TOE安全策略模型来获得额外的保证 EAL4通过由以下的因素来提供支持 TOE安全功能的独立性测试 开发者基于功能规范和高层设计的测试的证据 对开发者测试结果进行选择性的独立确认 功能强度分析 开发者搜索脆弱性的证据 以及阐明了对低等攻击可能性进行渗透攻击抵制的独立的脆弱性分析 EAL4还靠开发环境控制的使用 包括自动化的额外的TOE配置管理和安全分发过程的证据来提供保证 EAL4在EAL3基础上有意识的增加了保证 这是通过要求更多的设计描述 实现的一个子集 改进的机制和 或能提供TOE不会在开发和分发过程中被篡改的信任的过程来实现的 五 EAL5 半形式化设计和测试 EAL5允许一个开发者从安全工程中获得最大保证 这种安全工程是一种严格的商业开发实践 并且属于专业安全工程技术的中等水平的应用 这样的TOE可能将在设计和开发方面得到EAL5的保证 相对于没有应用专业技术的严格开发而言 可能可归于EAL5要求上的额外开销将不会很大 所以EAL5非常适用的情况是 开发者和用户需要在计划好的开发中有一个高级别的独立保证安全 并需要一个没有无故开销的严格的开发方法 EAL5通过对安全功能的分析来提供保证 它靠功能的和完整接口的规范 指导性文档 TOE高层和低层设计和所有的实现来理解安全行为 可以通过以下这些方式获得额外的保证 TOE安全策略的形式化模型和一个功能规范和高层设计的半形式化表示以及它们之间的对应关系的一个半形式化阐明 此外还需要一个模块化的TOE设计 EAL5通过由以下的因素来提供支持 TOE安全功能的独立性测试 基于功能规范的开发者测试的证据 高层设计和低层设计 对开发者测试结果进行选择性的独立确认 功能强度分析 开发者搜索脆弱性的证据 以及阐明了对中等攻击可能性进行渗透攻击的抵制的一个独立脆弱性分析 这种分析也包括对开发者的隐蔽信道分析的确认 EAL5也通过开发环境控制的使用 包括自动化的和全面的TOE配置管理和安全分发过程的证据等来提供保证 EAL5在EAL4的基础上有意识的增加了保证 这是通过要求半形式化的设计描述 整个实现 更结构化 且可分析 的体系 隐蔽信道分析 改进的机制和能够相信TOE将不会在开发中被篡改的过程来实现的 六 EAL6 半形式化验证的设计和测试 EAL6允许开发者通过在一个严格的开发环境中使用安全工程技术来获得高度保证 以便生产一个优异的TOE来保护高价值的资源避免重大的风险 所以EAL6适用于以下情况 即安全TOE的开发应用于高风险的地方 在这里所保护的资源值得花费的额外开销 EAL6通过对安全功能的分析来提供保证 它靠功能的和完整接口的一个规范 指导性文档 T