构建通用评估平台的有效方法.doc

一种构建通用评估平台的有效方法李晓峰 Email: Phone: 62528254-803中科院软件所信息安全国家重点实验室摘要：本文在分析GB18336、TSCEC和GB18759的评估内容，按照GB18336对评估内容从保障和功能需求两部分划分的思路，对TCSEC和GB17859评估内容进行重新组织，并且对应到GB18336中的保障需求和功能需求，在评估中可以为TCSEC和GB17859各个等级建立相应的等级模板从保障需求库和功能需求库中提取相应的内容，而GB18336则按ST的要求提取相应内容，从而将三个标准的评估统一在一个评估平台下。关键词：安全评估、等级保护1. 引言目前在国内安全评估中，主要参照标准为计算机信息系统安全保护等级划分准则（GB178591999）和信息技术安全性评估准则（GB18336-2001）， GB178591999是参照美国的可信计算系统评估准则（简称TCSEC）标准制定，而安全评估标准GB18336-2001与ISO/IEC 15408-1999、加拿大、法国、美国等七个国家制定的信息技术安全评估通用准则（简称CC）相对应。在国内评估市场中，目前存在以两个国标为基础的多安全评估标准共存的情况，在这种情况下找到在评估中充分融合这两个标准，使得可以在一个统一的评估平台下可分别依据这两个标准对测评系统进行评估的方法，具有重要的现实意义。首先在一个统一的平台下评估可以节省评估成本。第二是GB17859制定的年限较早，较之以前，人们对于安全评估有了更加深刻的认识，同时安全保障技术也有了进一步的提高，这就要求对GB17859具体执行解释时，应该具有了新的内容和含义。第三是早期的评估标准主要以政府和军队的安全需求为基准制定的，其并未充分考虑到商业信息系统对安全的需求，而在新的标准中充分考虑到了这一点，并将其融入评估标准中。由于TCSEC在安全评估中的重要位置，此文中将TCSEC与GB17859和GB18336一起加以讨论。文章首先分析了GB18336内容组织上的特点，以及评估的依据，然后分别分析了GB17859和TCSEC与GB18336在评估内容上的对应关系，基于上面这种对应关系，以GB18336评估思想为基础，给出一个通用评估平台的架构。2. GB18336的内容组织形式由于系统不可能达到绝对的安全，所以在系统安全设计时，只是考虑在系统的设计运行环境下使用何种安全保护措施来抵御可能的攻击，所以在安全评估中我们并不是去判定系统是否能够抵抗所有攻击，而是判断系统是否符合其设计安全目标。在GB18336中，对评估目标（简称TOE）的评估是建立在针对评估目标的安全目标文件（简称ST）的基础上，对某类的安全需求通过保护轮廓文件（PP）来描述。通常的ST是根据具体TOE的特点，在参照PP的基础上，而形成的一份设计和评估依据文档，比如数据库EAL3保护轮廓（PP）是对数据库这一类产品EAL3级安全环境、面临的威胁和所应具有的安全的功能等内容的一个概要说明，而ORACLE 8.0的ST是对ORACLE 8.0这一特定TOE的安全环境、威胁和安全功能等内容的说明，其在描述上比PP更加具体。由于PP和ST是设计和评估的基础，所以PP和ST中所描述的安全功能等内容是否能够满足其要求需要做出评估，在GB1836第三部分对PP和ST的评估做出了明确的要求。在GB18336中对TOE的功能要求体现在ST中“TOE概要规范”部分，在评估中，通过保障类来保障TOE正确地实现了ST中描述的安全功能和安全目标，并且满足其ST中所描述的保障需求。在GB18336中，对保障的要求集中体现在安全级别中，在GB18336中评估等级的划分是以保障类为依据的，而保障类又由多个保障族组成，每一个保障族都有一个保障目标，保障族又由一个或多个保障组件组成，每一个保障组件也有一个保障目标，保障组件保障目标是为了完成保障族中保障目标而分隔出来的子目标，通过实现保障族中的保障组件保障目标而完成此保障族的保障目标。在GB18336中保障组件又是由一个个保障元素组成，保障元素分别从开发者、评估者和证据的角度对保障组件所包含的内容和评估依据进行阐述。标准中的评估保障类共分七类，分别是配置管理（ACM）、交付和运行（ADO）、开发（ADV）、指导性文档（AGD）、生命周期支持（ALC）、测试（ATE）和脆弱性评定（AVA）。评估等级和保障类之间的关系以及各个保障类中的保障组件可参见GB18336第三部分。GB18336中的功能要求主要体现在ST中的功能规范部分，ST依据其安全目标、环境及其面临的威胁，选取相应的安全功能来抵制威胁，从而达到最终的安全目标。GB18336中安全功能类主要有11类，分别是安全审计类（FAU）、通信类（FCO）、密码支持类（FCS）、用户数据保护类（FDP）、表示和鉴别类（FIA）、安全管理类（FMT）、隐私类（FPR）、TSF保护类（FPT）、资源利用类（FRU）、TOE访问类（FTA）和可信路径/信道类（FTP）。由于篇幅的限制，这里就不罗列GB18336中功能类、族及其组件，其详细内容参考GB18336第二部分，在下面的讨论中将直接引用这些类、族和组件。下面我们从对评估目标的功能要求和保障要求分别分析GB17859和TCSEC，并利用GB18336中的功能组件和保障组件来重新解释GB17859和TCSEC，从而使得这个三个评估标准可以共存与一个评估平台中。3. GB18759与GB18336之间的对应关系GB17859中计算机信息技术安全保护能力等级共分五级，分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级，其保护能力随着等级的增高而逐渐增强，各保护等级与安全要求对应关系见图表 1。同一类安全要求也随着等级的增高而有所增强。等级要求用户自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级自主访问控制有有有有有身份鉴别有有有有有数据完整性有有有有有客体重用有有有有审计有有有有强制访问控制有有有标记有有有隐蔽通道分析有有可信路径有有可信恢复有图表 1 GB17859安全级别与安全要求的对应关系为了找到GB17859和GB18336安全要求之间的对应关系，我们首先将GB17859中安全要求分为保障要求和功能要求。然后根据GB17859中的详细描述，将每一类安全功能要求进行罗列，根据其包含对象等内容找到GB18336中对应的组件，从而建立GB17859和GB18336之间的安全要求对应关系。下面以GB17859中对“自主访问控制”要求为例来说明如何将GB17859内容进行分解，并对应到GB18336中的组件上。GB17859第一级“用户自主保护级”对自主访问控制要求如图表 2。我们将其分解为一个个要求元素，同时将第二级、第三级、第四级和第五级也作同样的分解，由于功能要求上递增关系，用斜体加粗标识出增强的部分，各个等级对自主访问控制要求的分解如。图表 2 GB17859 用户自主保护级对自主访问控制要求的描述等级要求第一级1. 计算机系统可信计算基定义和控制系统中命名用户对命名客体的访问。2. 实施机制（例如：访问控制表）允许命名用户以用户和（或）用户组的身份规定并控制客体的共享；3. 防止非授权用户读取敏感信息。第二级1. 计算机系统可信计算基定义和控制系统中命名用户对命名客体的访问。2. 实施机制（例如：访问控制表）允许命名用户以用户和（或）用户组的身份规定并控制客体的共享；3. 防止非授权用户读取敏感信息。4. 并控制访问权限扩散。5. 自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。6. 访问控制的粒度是单个用户。7. 没有存取权的用户只允许由授权用户指定对客体的访问权。第三级1. 计算机系统可信计算基定义和控制系统中命名用户对命名客体的访问。2. 实施机制（例如：访问控制表）允许命名用户以用户和（或）用户组的身份规定并控制客体的共享；3. 防止非授权用户读取敏感信息。4. 并控制访问权限扩散。5. 自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。6. 访问控制的粒度是单个用户。7. 没有存取权的用户只允许由授权用户指定对客体的访问权。8. 阻止非授权用户读取敏感信息”。第四级与第三级要求完全相同。第五级1. 计算机系统可信计算基定义和控制系统中命名用户对命名客体的访问。2. 实施机制（例如：访问控制表）允许命名用户以用户和（或）用户组的身份规定并控制客体的共享；3. 并控制访问权限扩散。4. 自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。5. 没有存取权的用户只允许由授权用户指定对客体的访问权。6. 阻止非授权用户读取敏感信息。7. 访问控制能够为每个命名客体指定命名用户和用户组，并规定他们对客体的访问模式。图表 3 GB17859各个等级对自主访问控制要求的分解在GB18336功能描述中，只是对一安全功能作出的一个很抽象的描述，具体的策略等描述在GB18336的PP/ST中，而GB17859则在标准中对具体策略做了一定的描述，这使得GB18336中功能组件中要想从表述上和GB17859做到完全对应是不可能的， GB18336必须结合PP才能对应到GB17859中表述的内容。我们这里只指出GB18336功能组件和GB17859功能要求在覆盖范围上的一致，内容上的一致还要借助一个模板（见第5部分）。下面我们以GB17859中第五级对自主访问控制要求为例将其映射到GB18336的组件上。第五级对自主访问控制要求包含主体对客体访问的控制（图表 3中的1、2、3、4、5、7）和对敏感数据访问的限制（图表 3中的6），GB17859第五级对自主访问控制要求与GB18336组件间的对应关系如图表 4。GB17859GB18336计算机系统可信计算基定义和控制系统中命名用户对命名客体的访问。FDP_ACC.2要求每个确定的访问控制策略覆盖所有被其控制的主体和客体间的操作。实施机制（例如：访问控制表）允许命名用户以用户和（或）用户组的身份规定并控制客体的共享；FDP_ACF.1允许TSF执行基于安全属性和命名属性组的访问控制。控制访问权限扩散。FDP_ACC.2自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。FDP_ACF.1没有存取权的用户只允许由授权用户指定对客体的访问权。FMT_SMR.1阻止非授权用户读取敏感信息。FMT_SMR.1允许授权用户管理特定的安全属性访问控制能够为每个命名客体指定命名用户和用户组，并规定他们对客体的访问模式。FDP_ACC.2图表 4GB17859第五级对自主访问控制的要求与GB18336对应关系由于两个标准术语、表述风格及描述详细程度的不同，使得上述对应过程将是一个烦杂的手工过程，有些要求的描述GB18336比GB17859中的详细，有些要求的描述GB17859比GB18336具体，所以建立这种对应关系只能是一种大致上的对应，当要想建立一个清晰对应关系时，我们要将这两个标准放在同一个抽象级别上，如对同一个产品进行评估，这样就可以在这两个标准之间建立一个比较严格的对应关系。在上面的表中我们并未列由于组件的依赖关系引出的组件，其依赖组件可以通过查阅标准来完成。在GB17859中，主要是对计算机信息系统在功能上作出了要求，在保障方面，只是对隐蔽通道分析作出了明确的要求，图表 5给出了GB17859第五级中所有的功能要求与GB18336功能组件或族间的一个对应关系。GB17859GB18336自主访问控制完全访问控制FDP_ACC.2基于安全属性的访问控制FDP_ACF.1静态属性初始化FMT_SMR.1身份鉴别用户鉴别FIA_UAU用户标识FIA_UID用户主体绑定FIA_USB数据完整性存储数据的完整性FDP_SDITSF间用户数据传送的完整性保护FDP_UIT客体重用残余信息保护FDP_RIP审计安全审计类FAU强制访问控制访问控制策略FDP_ACC.2用户标识FIA_UAU用户鉴别FIA_UID标记分级安全属性FDP_IFF.2可信路径可信路径类FTP可信恢复可信恢复FPT_RCV图表 5 GB17859功能要求与GB18336功能组件之间的对应关系GB17859中第五级中对隐通道的要求对应GB18336中的“彻底的隐通道分析”（AVA_CCA.3）。GB17859各个等级与GB18336组件或族间的对应关系，可以根据上面的方法而分别建立。4. TCSEC与GB18336之间的对应关系由于在TCSEC中上一级的评估内容总是多于下一级，并且要求更严格，找到TCSEC A1级与GB18336之间的对应关系后，很容易将其应用到低等级中，所以下面的分析均以TCSEC A1级（设计验证级）为例来分析TCSEC中的评估内容。TCSEC中对A1级的要求内容组织见图表 6。图表 6 TCSEC中A1级要求内容及其组织形式在TCSEC中安全功能要求和安全保障要求混合在一起，并未做出明确的区分，为了找到TCSEC与GB18336之间的对应关系，我们将TCSEC对TOE所作的要求按照GB18336的思想划分为功能要求和保障要求。我们采用将GB17859对应到GB18336相同的方法建立TCSEC到GB18336的对应方法，具体过程在此不在赘述，TCSEC功能需求与GB18336的功能族的对应关系见图表 7。TCSECGB18336自主访问控制访问控制策略FDP_ACC访问控制功能FDP_ACF客体重用残余信息保护FDP_RIP标签的完整性存储数据的完整性FDP_SDI被标记信息输出到多级设备输出到TSF控制之外FDP_ETC被标记信息输出到单级设备输出到TSF控制之外FDP_ETC标记可读的输出信息输出到TSF控制之外FDP_ETC主体敏感性标签用户表示FIA_UID设备标签强制访问控制MAC访问控制策略FDP_ACC访问控制功能FDP_ACF信息流控制策略FDP_IFC信息流控制功能FDP_IFF标识和验证表示和验证FIA可信路径可信路径FTP_TRP审计设计FAU系统完整性TSF自检FPT_TST可信能力的管理安全角色管理FMT_SMR可信恢复可信恢复FPT_RCV图表 7 TCSEC中功能需求与GB18336功能组件之间的对应关系TCSEC中的保障要求随着级别的增高而增强，对于同一保障要求，高级别要比低级别更强，GB18336中保障组件也有一个保障强度递增的关系。根据TCSEC的描述，可以将TCSEC中有关保障的需求对应到GB18336中保障类和组件（见图表 8）。TCSECGB18336系统结构模块化ADV_INT.1复杂性降低ADV_INT.2复杂性最小化ADV_INT.3隐通道分析隐通道分析AUA_CCA.1系统化隐通道分析AUA_CCA.2穷尽式的隐通道分析AUA_CCA.3安全测试范围证据ATE_COV.1范围分析ATE_COV.2范围的严格分析ATE_COV.3测试高层设计ATE_DPT.1测试低层设计ATE_DPT.2测试实现表示ATE_DPT.3功能测试ATE_FUN.1顺序的功能测试ATE_FUN.2独立性测试（一致性）ATE_IND.1独立性测试（抽样）ATE_IND.2独立性测试（全部）ATE_IND.3开发者脆弱性分析AVA_VLA.1独立的脆弱性分析AVA_VLA.2中级抵抗力AVA_VLA.3高级抵抗力AVA_VLA.4设计描述和验证非形式化功能规范ADV_FSP.1完全定义的外部接口ADV_FSP.2半形式化功能规范ADV_FSP.3形式化功能规范ADV_FSP.4描述性高层设计ADV_HLD.1安全加强的高层设计ADV_HLD.2半形式化高层设计ADV_HLD.3半形式化高层解释ADV_HLD.4形式化高层设计ADV_HLD.5描述型低层设计ADV_LLD.1半形式化低层设计ADV_LLD.2形式化低层设计ADV_LLD.3非形式化对应性论证ADV_RCR.1半形式化对应性论证ADV_RCR.2形式化对应性论证ADV_RCR.3非形式化评估目标安全策略模型ADV_SPM.1半形式化评估目标安全策略模型ADV_SPM.2形式化评估目标安全策略模型ADV_SPM.3配置管理部分CM自动化ACM_AUT.1完全CM自动化ACM_AUT.2版本号ACM_ACP.1配置项ACM_ACP.2授权控制ACM_ACP.3产生支持和接受程序ACM_ACP.4高级支持ACM_ACP.5评估目标CM范围ACM_SCP.1跟踪CM范围问题ACM_SCP.2CM范围开发工具ACM_SCP.3可信发布交付过程ADO_DEL.1修改监测ADO_DEL.2修改防止ADO_DEL.3安装、生成和启动过程ADO_IGS.1日志生成ADO_IGS.2安全特性使用指南管理员指南AGD_ADM.1用户指南AGD_USR.1可信人员操作手册测试文档测试文档应包含功能测试ATE_FUN、隐通道分析AVA_CCA、表示对应性ADV_RCR中的内容设计文档设计文档应包含开发类ADV中所设计内容和隐通道分析AVA_CCA的内容图表 8 TCSEC保障要求与GB18336保障类和保障组件之间的对应关系5. 通用评估平台架构将TCSEC和GB17859对应到GB18336的过程是，先按照功能要求和保障要求将TCSEC和GB17859中的评估内容进行重新划分，然后分别对应到GB18336的功能要求和保障要求上，其过程见图表 9。在构建统一的评估平台中，我们可以先根据GB18336的评估内容分别建立功能需求库和保障需求库，然后根据GB17859和TCSEC中的评估要求，分别建立GB17859和TCSEC各个评估等级对应的评估模板，此评估模板的作用与GB18336中的ST的作用相似，评估模板应该至少包括以下内容：l 使用的标准l 评估等级l 依据功能组件库提出的对安全功能的描述l 保障要求在评估中，需要从模板中提取功能要求，并根据模板中保障要求从保障库中提取相应的保障组件，最终形成具体的评估内容。在对形成的评估内容进行逐项评估中，可以使用一个公用的评估方法库，这个评估方法库可以依据一些评估方法文档以及评估者的经验建立而成，并且可以在不同标准中共用，从而有效降低评估成本，减少人为因素的影响，使得评估更加有效、可信。而依据GB18336标准的评估过程与GB18336标准中描述的相同，在此不再赘述。图表 10是一个通用平台的基本框架示意图。图表 9 TCSEC和GB17859内容重新组织过程图表 10将TCSEC、GB17859和GB18336组织在一个评估平台中的示意图6. 总结本文在分析GB18336、GB17859和TCSEC基础上，按照GB18336评估内容组织方式和评估过程，对其余两个标准的内容按照功能要求和保障要求重新进行组织，在统一了组织方式的前提下，通过将GB17859第五级对应到GB18336的示例，给出了对应的具体方法。由于三个标准在某些功能描述的抽象层次不同，我们引入了评估模板的概念，通过为TCSEC和GB17859建立各个等级的评估模板，不但可以使三个标准在评估内容上得到有效的统一，同时利用评估模板的概念将三个标准的评估过程有机地统一了起来，使得这三个标准可以真正共存与一个评估平台下。参考资料：1 信息技术安全评估准则GB/T 18