信息技术安全性评估通用准则(CC) 的主要特征.pdf

信息技术安全性评估通用准则 C C 的主要特征 李守鹅 方关 宝 李 鹤田 中国国家信息安全侧评认证中心 摘要 本文是在深入研究和使用c c 的荃础上对cc主要特征的高 度概括 提 供了一种规范描述I T 产品或系统及其安全要求的 语言 将安全要求分为安 全功能类和安全保证 类 按照保证类要求将评估保证级分为七个级 通过开 发 评估和运行过程中的各种措施来保证I T 产品或系统安全性 关挂词 信息安 全 评估 安 全 功能 安 全保 证 保护 轮脚 即 安 全目 标 S T 保证级 一 c c 标准的目的与用途 c c 标准的目 的是确定适用于一切I T 安全产品 和系统的评估准则 具 有普适性和通用性 因此决定了 它必须具备足够的灵活性和可扩充性 以 便适用于各种产品 和系统 oc只规定 准则 不涉及评估方法 评估方法的 选择留给其体的评估体制确定 一个评估体制既可选用 通用评估方法 C E M 也可选择其它评估方法 但C p l 是目 前己 知的最好的评估方法 cc仍将信息安全的 三性 保密 性 完整性和可 用性 作为整个准则的 出发点 为不受特定技术的限 制I C c 准则中的安全要求不涉及其体的技术 采用c c 准则和C E R 方法进行的 评估 为不同 评估间评估结果的可比 性提供了 基础 不属于C c 的范围的有 人员和物理的安全措施 cc 的应用 如 行 政 法律 程序上的规定 认可与认证过程 互认安排冶密 码算法的定义 等 C c的使用对象有 I T产品 或系统的消费者 开发者或集成商 评估 者以 及审核员 认证人员及授权人员等 二 对T O E 安全的信任 开发 评估和运行 C C 万法通过开发 评估和运行过程中的各种措施 获得对竹安全性 的信任 开发 c c 不规定 任何 特定的 开 发 方法 和 生命 周 期 棋型 图I 只是 通过概 念J 的抽 象 提供讨论 的 基础 在 开 发阶 段 建 立的安 全 要 求对溯足用 户的安 全 目 的意义重大 除4 卜 在开 发过程的开 始阶段确定 合理的需求 否则就是用 再好的工程方法 最终产品也达不到预期用户的目 的 1 4 6 阅一 月 一卜 由 安全要求得出S T 中的T O E 概要规范 各个低层次的细化都是更详细的 设计分解 T O E 实现本身在抽象表示的 最底层 O C 准则区分功能规范 高 层设计 低层设计和实现等抽象层次 C C对设计表示方法没有规定 但应具备充分的设计表 达方法 该方法在 必要时应表明 1 每一层的细化是更高层的完全实例化 即所有离层抽象定义的 roE 安全功能 特性和行为都必须在低层上明确体现 2 每一层的细化是更高层的 精确实例化 即不存在离层所不需要的 低层抽象定义的T O E 安全功能 特性和行为 依据规定的 保证级 通常会要求开发者表明开发方法是 如何漪足c c 保证 要求的 评估 T O E 的 评估过 程可能与开 发 过程同 步 进行 或 防后 进行 T O E 评估的主姿 依据有 S T 等一系列T O E 证据 特评估的T O E 评估准则 方法和体制以及说 明 性材料和I T 安全专业知识 评估过程是确定T O E 对S T 中安全要求的满足状况 评估者依据评估准则 对T O E 进行评估井给出评估结果报告 通过评估获得的信任度依拍于所达到的 保证要求 如评估保证级 评估能够促成生产出更好的安全产品 通过评估可以 发现 T O E的错误或 脆弱性 以 便开发者纠正 从而减少以 后在运行中发生安全失 效的可能性 开 发者为迎接更 严格的 评估 在T O E 设计 和开发 时也 会更 加 细心 因 此 评 估过 程将间接地对最初孺求 开发过程 最终产品以 及运行环境产生积极的影晌 运行 当评估过的T O E 在实际环境中 运行使用时 可能出 现以 前未知的 错误或脆 弱性 或者需要修改对环境的暇设 这些问 压通过反馈 将要求开发者修改 T O E 或重新定义它的安全要求和环境假设 这些变化可能要求对T O E 进行1断 评估或加强其运行环境的安全性 以 便重新获得对T 倪的信软 三 I T 产品或系统描述一 一 P P 和S T 正如前面所说 cc 为普通适用的通用准则 那么针对一类具体的或一 个 特定的I T 产品 或系 统究竟 应该 有一 酬于 么 样的 安 全 妥求呢 这雌佑耍 解 决I T 产品或系统的描述问 翅 为 适应采用c c 准则的信息安全评估 c c 准 1 4 7 则一开始就提出了两个重要概念 一个是P P 另一个是S T P P 和S T是采 用C C 准则进行信息安全评估所必需的用于描述待评估I T 产品或系统的重要 文档 C C 中对P P 和S T 的 格式与内 容进行了 统一的规定 P P 和S T 使用C C 中提供的或符合c c 扩展规定的描述材料 如安全功能要求 安全保证要求 等 完整而准确地给出I T 产品或系统的总体描 述 从安全环境 安全目 的 安全要求到概要规范等 可以 说 包 括 说明 安 全 要 求 所 需 要的 材 料 库 既 安 全 某 求组 件 也 包括将这些材料组织进P P S T 或安全耍求包的格式与 规则 或者说C c 是描 述I T 产品和系统安全的语言 也是如何将安全要求组织成安全说明的语法 P P 是描述满足特定的消费者需求的一类T O E 的独立于实现的一组安全 要求 P P 回答的问 题是 我们在安全解决方案中需要什么 因此 P P 将 独立于实现 是 目 标 说明 任何想表达安全需求的人 如商业消费者 消费者团体 任何提供 产品以 支持I T 安全需求的 人等都可以 成为P P 的作者 S T 是依旗于实现的一组安全要求和说明 用来指定 T O E 的评估墓础 S T 回答的问 愚是 我们在安全解决方案中提供什么 因此S T 依软于实现 是 w 建造 说明 S T 的作者可能有 产品 销省者 产品开发者和 产品集成者 四 描述语言 安全功能与保证要求 C C中的安全要求分为两大类 一类是安全功能要求 另一类是安全保证 要求 一 安全功能 要求和安全保证 要求是C C 的 点 C C 中安全功能 和保证 要求 的层次划分都是类 族 组件和元紊 其中组件是说明安全耍求时的 最小 可选 择单位 安全功能要求用于在P P 和S T 中 说明 对T O E 的安全功能要求 C C 中 给出 的那些安全功能 要求 井不是所有I T 安全问 瓜的 确定答案 只是提供一组广 为理解的安全功能要求 用于创建反映市场需求的可信I T 产品或系统 这些 安全功能要求的确定 反映了当 前的 要求规范和 评估技术发展水平 因此 C C 不包括所有可能的安全功能要求 只 包括C C 标准发布时作者知晓井认为有价 值的那些要求 P P S T 作者有时可能 需要使用C C中 给出的安全功能要求之外 的 安 全 功能 要 求 这时P P S T 作 者 可 依 据C C 的 可 扩 展性 考虑 使 角本 标 准之 外的安全功能耍求 C C 中总共有1 1 个安全功能要求类和1 0 个安全保证 类 功能和保征类 功能保证 F A U类 安全审计A P E 类 即 评估 P C D 类 通信AS E 类 S T评估 F C S 类 密 码支 持A C M 类 配t管 理 F D P 类 用户数据保护凡 加类 交付和运行 琳 F I A 类 标识和鉴别A D V 类 开发 F l f f 类 安全管理A G O 类 指导性文档 F P R 类 隐私A 类 生命 周期 支持 F P T类 安全功能保护A T E 类 侧试 F R U 类 资源利用A V A 类 脆弱性评定 F T A类 T O E 访问 八 州类 维护 F T P 类 可信路径 信道 表1 安全功能类和安全保证类 五 T O E 安全保证的2度 评估保证级 cc 定义了7 个按级排序的评估保证级 E A L I E A L 7 即 提供了 一个递增 的尺度 该尺度在确定时 权衡了 各个级别 所获得的保证以 及达到该保证程度所 需的 评估 代价和可行性 每一个E A L 都要比 所有较低的E A L 表达更多的保 证 从E A L I 到E A L T 的保证不断增加 是 靠用同 一 保证族中的一个更高级别的 保证组件替换低级别中的相应组件 即 增加严格性 范围 或深度 以 及增加 另一个保证族中的保证组件 例如 添 加新的 要求 来实现的 每 个 保 证 级 E A L 都 是 一 些 保 证 组 件的 适 当 组 合 除cc中 明 确 定 义的7 个保证级外 G C 还允许对E A L 增强 即 将没有包括在E A L 中的保证族中的组 件增加到 能 中 或用同一个 保证族中 的其它 更高 级别的保证组件替换 E A L 中原有的保证组件 不过C C 不允对E A L 减弱气 cc 中 各保证级 E A U 的定义如下 注 本部分的加黑字体是为了 突出 与 前一评估保证级不同之处 I 评估保证级I E A L I 功能洲试 E A L I适用的 场合是对正确运行需要一定的 信任 但在该场合下对安全的 威胁井不严重 E A L 1 通过独立的保证说明 T O E 对个人或类似信息的 保护给予 了应有的重视 E A L I 为 客户提 供的T O E 评 估 包 括 依据规 范的 独 立侧 试和 对 所提供的 指 南文档的检查 在没有T O E 开发者的招助下 E A L 1 评估也能 成功进行 E A L I 评估所需费用最 少 经E A L I 评估后将提供如下证据 T O E 的功能 行为 与文档一致 T O E 对已 标 识的威胁提供了 有用的保护 E A U 概要 E A L I 评 估 使 用 功 能 和 接口 规 范 以 及 指 南 文 档 对 安 全 功 能 进 行 分 析 了 解 安 全行为 提供基本级别的保证 这种分析由T O E 安全功能的独立侧 试所支持 E A L I 较未评估的I T 产品 或系统相比 在 保证上取 得了 有愈义的 增 长 2 评估保证级2 E A L 幻一结构测试 1 4 9 在交 付设计 信息 和侧 试结果时 E A L 2 需 要开发 者的 合 作 除 此不要 求开 发方付出更多的努力 因此与E A U相比 就不需要增加过多的费用和时间 投入 E A L 2适 用于 这样的 情况 开发者 或 使用者需 耍一种 低级 到中 级的 独立 保 证的安全性 而又缺乏现成可用的完整开 发记 录 在对遗留下来的系统采取安 全措施或者与开发者的 接近受到局限时 可能会出 现这种情况 E A L 2 评估概要 3 1 1 2 评估使用功能和接口 的规范 指南文档和T O E 高 层设计 对安全功 能进行分析 了 解安全行为 提供保证 这种分析由 如下内 容所支持 T O E 安全功能的独 立性洲 试 开发者 基于功 能规范进行侧试得到的证据 对开发者侧 试结果的 选择性独 立确认 功能强 度 分析 开发者搜寻明显脆弱性 如 公开的脆弱性 的证据 E A L 2 也将 通过T O E 的配里表 以 及安全交付程序方面的 证据来提供保证 E A L 2 通过要求开发者测 试 脆弱性分析和基于更详细的T O E 规范的 独立性 测试 便保证较E A L 1 实现了 有愈义的增长 3 评估保证级3 E A L 3 一系统地洲试和检查 E A L 3可便一个尽职尽贵的开发者 在设计阶段能从正确的安全工程中 获 得最大限度的保证 而不 需 要对 现有的 合理的 开 发实践作 大 规模 的改 变 E A L 3适用的情况是 开发者或使用者需要中 级独立保证的安全性 并要 求对T O E 及其开 发 过程进行 彻底 调查 而不 需进行 实质上的 设 计 E A L 3 评估概要 E A L 3 评 估 使 用 功 能 和 接口 规 范 指 导 性 文 档 和T O E 高 层 设 计 对 安 全 功 能 进行分析 了 解安全行为 提供保证 这种分析由 如下内 容所支持 T O E 安全功能的独立性测试 开发者根据功 能规范和商层设计进行侧试得到的证据 对开发者测试结果的选择性独立确 认 功能强度分析 开发者搜寻明显脆弱性 如公开的脆弱性 的证据 E A L 3 还将通过开发环境控制措施的 使用 T O E 的 配里管理和 安全交付程序 方面的证据提供保证 E A L 3 通过要求更完整的安全功能 和机制的 侧试范圈 以 及要求相应的 程序 以 说明T O E 在开发过程中不会被慈改提 供一定的信任 使保证较E A L 2 实现了 有 意义的增长 4 评估保证 级4 E A L 4 一系统 地设计 测 试和复 查 E A U 可 使开 发者从正 确的 安 全工 程中 获得 最 大限 度的 保证 这种安全 工 程基于良 好的商业开发实践 这种实践虽 然很严格 但井不需要大t专业知识 技巧和其它资源 在经济可行的条件下 对一个己 经存在的生 产线 进行翻新时 E A L 4 是 所能 达到 的 最高 级别 因 此E A L 4 适 用的 情况 是 开 发 者 或 使 用 者 对 传 统 的 商 品 化T O E 需 要 一 个 中 级到高级的 独立保证的安全性 并准各负担倾外的安全专用工程费用 E A L 4 评估概要 E A L 4 评估通过使用功能和 完整的接口 规范 指导性文档 T O E 高层设计和 低层设 计 实 现子 集 对安 全功能 进 行 分 析 了 解安全 行为 提供 保证 井且 通过非形式化T O E 安全政策棋型获得翻外保证 这种分析由下述内 容所支持 T O E 安全功能的独立侧试 开发着根据功能 1 匆 规范和高层设计进行测试得到的证据 对开发者测 试结果有选择地进行独立确 认 功能强度分析 开发者搜寻 脆弱性的证据 以 及为证明可抵御具有低等攻 击潜力的穿透性攻击者的攻击而进行的独 立的 脆弱性分 析 E A L A还将通过开发环境控制措施的 使用 以 及包括自 动化在内的 倾外的 物E 配t管理和安全交付程序证据 提供保证 E A L 4 通过要求更多 的设计描述 实现的 子 集 以 及要求增进的机制和有关 程序为说明 T O E在开发或交付过程中不会被挂改 提供一定的信任 使保证较 E A U 实现了有愈义的增长 5 评估保证级5 E 从5 一半形式化设计和测试 E A L 5允许开发者从严格采用商业开发实践 并适度应用制 7 安全工程技 术的安全工程中获得最大限 度的保证 这样的T O E 的开发将很可能是为了 达到 E A L 5保证的目 的而设计和开发的 相对于严格开发而不应用专门技术而言 由E A L 5要求引起的额外开销可能不会很大 E A L 5 适用的情况是 开发者和使用者在按计划的开发中豁要高级别的独立 保证的安全性 并且需要严格的开发方法 避免由专业安全工程技术引起的不 合理开销 E A L 5 评估概要 E A L 5评估通过使用功能和完整的接口 规范 指导 性文档 T O E的高层和 低层设计以 及全部实现 对安全功能 进行分 析 了 解安全行为 提供保证 井 且通过T O E 安全政策的 形式化棋型 功能规范和高层设计的半形式化衰示以 及 它们之间对应性的半形式化证明获得额外保证 此外还需要T O E 的 棋块化设计 这种分析由 下列内 容所支持 T O E 安全功能的 独立翻峨i 开发者根据功能 规范 高层设计和低层设计进行测试得到的证据 对开发者侧试结果有选择地 进行独立确认 功能强度分析 开 发者搜寻脆弱性的证据 以 及为证明可抵御 具有中等攻击潜力的穿透性攻击者的 攻击而 进行的 独立的脆珊性分 析 这种 分 析也包括对开发者的隐蔽信道分析的确认 E A L 5还将通过开 发环境控制措施的使用 以 及 包括自 动化在内的全面的 T O E 配T管理和安全交付程序证据 提供保证 E A L 5通过要求半形式化的设计描述 整个实现 更结构化 因而更具 有 可分析性 的体系结构 隐蔽信道分析 以 及 要求 增进的 机制和有关程序为说 明T O E 在开发过程中不会被慈改提供一定的 信任 使保证较E A L 4 实现了 有意 义的增长 6 评 估 保 证 级6 E A L 6 一 半 形 式 化 验 证 的 硬 计 和 测 试 E A L 6可使开发者 通 过把安 全工 程技术 应 用于 严格 的开 发环 坑 以 便生 产 出 优质昂贵的T O E 用来保护高价值的 资产 避免 重大风险 而获祝商度的 保 证 因此E A L 6 适用于应用于高风险 环境下的 安全T O E 的开发 高风险环境中 受保护的资产值得花费 额外的开销 E A L 6 评估撰要 E A 6评估通过使用功能和完整的 接口 规范 指南 文档 T 佣 高层和低层 设 计以 及实现的 结构 化 表 示 对安 全 功能 进行分 析 了 解安全 行为 提供保证 井且通过T O E 安全政策的形式化模型 功能规范 高 层设计和 低层设计的半 形 1 51 式化表示以 及它们之间对应性的半形式化证明获得额外保证 此外还需要T O E 的 模块化与层次化的设计 这 种分析由 下列内 容所支持 T O E 安 全 功能 的 独立测 试 开发者 根据功能 规范 高层设计和低层设计进行 测试得到的证据 对开发者侧试结果有选择地 进行独立确认 功能强度分 析 开发者搜导脆弱性的 证据 以 及为证明 可抵御 具 有高等级攻击潜力的穿透性攻击者的 攻击而进行的独立的 脆弱性分析 这种 分析也包括对开发者的系统化隐蔽信道分析的确认 IE还 将 通 过 使 用 结 构 化 的 开 发 过 程 开 发 环 境 控 制 措 虑 以 及 包 括 完 全自 动化 在内 的全面的T O E 配it管理和安 全交 付程 序证据 提供保证 E A L 6 通过要求更全面的 分析 实现的结构化表示 更体系化的结构 如 分 层 更 全面的独立脆弱性分析 系统化的脸 蔽信 道 标识 以 及增进的配里管 理和开发环峨控制 使保证较E A L 5 实现了有意义的增长 7 评估保证级7 E A L 7 一形式化验证的设计和测试 E A U 适用于用于极高风险环境或者那些资产 价值高值得花更高代价加以 保护的环境中 的安全T O E 的开发 目 前E A L 7 的实际应用局限于 具有坚固 集中 的安全功能的T O E 它们能经得住广泛的形式化分析 E A L 7 评估概要 E A U 评估通过使用功能 和完整的接口 规范 指南文档 T O E高层和低层 设计 以及实现的结构化表示 J对安全功能进行分析 了 解安全行为 提供保 证 并且通过T O E 安全政策的形式化模型 功能规 范和高 层设计的 形式化表示 低 层设计的半形式化表示 以 及 如果 适当 的话 它 们之间对应性的 形式化和 半形式化证明获得匆 l 卜 保证 此外还孺要T O E 的模块化 层次化且简单的设计 这种分析由下列内 容所支持 T O E 安全功能的 独立 侧试 开发者根据功能 规范 高层设计和低层设计和实现表示进行侧试得到的证据 对开发者测试结 果的全部独立确认 功能强度分析 开发者搜寻脆弱性的 证据 L 及为 证明可 抵御具有高等级攻击潜力的穿透性攻击者的攻击而进行的独立的脆弱性分析 这种分析也包括对开发者的系统化隐蔽信道分 析的 确认 E A U 还将通过使用结构化的开发过程 开发 环境控制描施 以及包括完 全自 动化在内的全面的T O E RT管理和安全交付程序证据 提供保证 E A U通过要求使用形式 化表示和 形式化对应性进行更 全面的分 析 以 及更 全面的侧试 使保证较 E A L 6 实现了有盆义的增长 气 六 理解评估 内容与含义 评估是提供保证的传统方法 也是c c 的基础 专业 评估员 在不断茵调范 围 深度和严格性的基础上 衡f文档和已 完成的I T 产品或系统的 有效性 应用I T处理业务 过程中 可能 会发生破坏I T安全的事件 跪弱性被有意 利用或无意地触发 产生脆弱性的很潇有 不合理的 妥求 不合理的设计和不 适当的运行控制 应该采取一定的 措施防止在I T 产品 和系统中出 现脆弱性 如梁可 行 应 使脆弱性得到消除 最小化或监视 保证是I T 产品或系统符 合其安全目 的的 信任基础 C C 准且 恤过积极的调 1 5 2 查 即 评估提供保证 从而确定I T 产品或系统的安全特性 评估技术包括 1 分析并板查过程和程序 2 检查 过程和程序是 否 被使用 3 分析评估对象 T O E 设计表述之间的一致性 4 针对要求分析评估对象 T O E 的设计表述 5 脸证证据 8 分析指南文档 7 分析所开发的功能侧试和所提供的结果 8 独立的功能测试 9 分析脆弱性 包括缺陷 假设 1 0 穿透性侧试 更好的 保证潭于更大的评估努力 而评估者所追 求的目 标是用最小的努力 来获得必要的评估保证级 评估 努力的程度取决于评估的范围 深度和严格程 度 C C 标准涉及的评估有P P 评估 S T 评估和T O E 评估 其中S T 评估通常包含 在T O E 评估中 即任愈一个T O E 的评估都 包括相应的S T 的评估 一般无独立 的S T 评估 对于T O E 评估 评估是对保证 要求而言的 为达到表示形式的统一 O C 将P P 和S T 评估的 评估准则也以评估保证类和 族的形式给出 但这些保证类和族与说明安全保证要求的保证类和族是不同 的 通俗地 讲P P 和S T 评估 相当 于安 伞 哭 求和方 案的 评审 只不 过是cc中已 经 严格规定了 对它们的评估准则 即0C中己 经指出了 评估员 应遵从的具体行为 P P 评估的目 标是 证明P P 的 完各性 一致性 技术合理性 以及适子表 达可评估的T O E 的要求 S T 评估的目 标是 1 证 明S T 的 完 备 性 一 致 性 技 术 食 理 性 从 而 适 于 作 为 相 应T O E 评估的基础 2 当S T 声明与某P P 一致时 证明S T 正确满足该P P 的耍求 T O E 评估使 用已 经评估过的S T 为 基础 按照cc 中的 评估准则进行 丁E 的 评估目 标是 证明T O E 满足S T 中的安全要求 因 此 评估员 在进行T O E 评 估时 第一步要完成S T 的评估 待S T 评估完成后 可能还不能对S T 作最终 评估裁定 才开始对n产品或系统本身进行评估 根据不同的 评估保证级别 E A L 分别对保证要求类下的保证族中的 相应保证要求组件进行评估 尽管 不同的T O E 要求的评估保证级别 E A L 可能不同 但T O E 的 评估墓本都会涉 及到C C 中 安全 保证耍求的 每个 类 别 不同 的E A L 其在同一 保 证类中 选 择的 安全保证要求组件可能不同 例如高级别的E A L 与低 级别的E A L 相比 将选择 同一保