公聽會-A - ISACA 國際電腦稽核協會-
Download
Report
Transcript 公聽會-A - ISACA 國際電腦稽核協會-
國際標準『ISO/IEC 15408』的介紹
ISO/IEC 15408 Information technology
─ Security techniques
─Evaluation Criteria for IT Security
報
15408
告
人 高國寶
中 華 民 國 九十年 十二月
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第1頁
報告內容(Contents)大綱
概論(part 1~part 3)
Part two
Part three
結論
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第2頁
概
論
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第3頁
ISO 15408 簡要說明
ISO/IEC 15408是由下面三個部份所組成:
第一部份(Part 1):介紹及一般化模型 (Introduction & General Model)
•定義IT安全評估並提供評估模式的一般概念及原則
第二部份(Part 2):安全之功能需求(Security functional requirements)
•建立一組功能元件作為表達TOE功能要求的標準
第三部份(Part 3):安全之保證需求(Security assurance requirements)
•建立一組保證元件作為表達TOE功能要求的標準
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第4頁
「共通規範計畫」的推動
由七個政府組織加以贊助,這些組織共同擁有「資訊技術
安全評估之共通準則」(簡稱「CC 」)的版權,並同
意作為日後持續發展與維護 ISO/IEC 15408 國際標準之
共享許可。然而,這些贊助組織仍保有使用、複製、散
佈、翻譯或在適當時候具有修改 CC 的權利。
(有關「共通規範計畫之贊助組織」的詳細資料交代請參考
第一部份(Part 1)的附錄 A。
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第5頁
贊助CC的組織有
加拿大的“通訊安全機構”
法國的“安全系統資訊服務中心”
德國的“聯邦資訊技術安全署”
荷蘭的“國家通訊安全局”
英國的“通訊電子安全部”
美國的國家標準及技術委員會(NIST)
美國的國家安全局(NSA) 。
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第6頁
範圍(Scope)
標準ISO/IEC 15408定義成“準則”,共通準則(Common Criteria,簡稱
CC)是作為評估資訊技術產品和系統安全性質(for evaluation of security
properties of IT products and systems) 的基礎之用,並藉由制定這種共通準則
的基礎,促使 IT 安全評估的結果能對更多人來說是有意義的。
在評估程序中制定了信任度等級(level of confidence),表示這個產品和系
統的安全功能與使用這些安全功能來滿足需求的保證度措施(assurance
measures);而評估的結果將有助於消費者決定 IT 產品或系統對他們預期
的應用是否有足夠的安全及是否能容忍使用時所具有的潛在安全風險
(security risk)。
CC 對發展具有 IT 安全功能的產品或系統及採購具有這種功能的商業產品/
系統是相當有用的導引(guide)。在評估期間,這種 IT 產品或系統就稱為
評估目標(Target Of Evaluation;TOE),包括了:作業系統、電腦網路、
分散式系統和應用程式等皆可被看成是進行評估的主體對象。
CC 說明對資訊的保護,這些保護使資訊不致遭到未經授權之公佈、修改或
遺失。相對上述安全的失敗有關的三種保護型態,一般分別稱為機密性
(confidentiality)、完整性(integrity)和可用性(availability)。
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第7頁
範圍(Scope)
共通準則(Common Criteria,簡稱CC)能應用於任何以硬體
(hardware)、韌體(firmware)或軟體(software)所實現之 IT 安全措
施。
某些主題因為涉及(或包括)特殊化技術或對 IT 安全來說是次要的,故不
在 CC 範圍之內。下面舉些實例加以說明:
(1) CC 不包括與 IT 安全措施沒有直接相關的管理上安全措施之安全評估
規範。
(2) 不會特別地包含評估 IT 安全在實體的(physical)技術觀點(例如:電磁發
射控制)。
(3) CC 在評估監督機構使用的規範中,既不會說明評估方法也不會說明管理
上及法律上的架構(framework)。
(4) 對使用評估結果於產品或系統的認證(accreditation)之使用程序,不在
CC 所討論的範圍之內。
(5) 評估密碼演算法具有的品質之規範主題並不包括在 CC 之中。
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第8頁
常用縮寫
(1) CC ─ 共通準則(Common Criteria)
(2) EAL ─ 評估保證等級(Evaluation Assurance Level)
(3) IT ─ 資訊技術(Information Technology)
(4) PP ─ 保護剖繪(Protection Profile)
(5) SF ─ 安全功能(Security Function)
(6) SFP ─ 安全功能政策(Security Function Policy)
(7) SOF ─ 功能強度(Strength Of Function)
(8) ST ─ 安全目標(Security Target)
(9) TOE ─ 評估目標(Target Of Evaluation)
(10) TSC ─ TSF 控制範圍(TSF Scope of Control)
(11) TSF ─ TOE 安全功能(TOE Security Functions)
(12) TSFI ─ TSF 界面(TSF Interface)
(13) TSP ─ TOE 安全政策(TOE Security Policy)
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第9頁
共通準則藍圖(Roadmap)
消費者
( Consumers )
Part 1 作為背景資料及參
考用途 。是構成
PPs 之導引文件 。
發展者
( Developers )
作為 TOEs 需求發展
及闡述安全規格之背
景資料和參考文件 。
評估者
( Evaluators )
作為背景資料及參
考用途 。是構成
PPs 及 STs 之導
引文件 。
Part 2 作為闡述安全功能 作為解釋 TOEs 功能 作為評估規範決定
需求敘述之導引和 需求的敘述及闡述其 TOE 是否有效地符
參考文件 。
功能規格之參考文
合所聲明的安全功
件。
能時的強制性敘述 。
Part 3 作為決定所需的保 作為解釋 TOEs 保證 作為評估規範決定
證等級之導引文
需求的敘述及決定其 TOE 在評估 PPs
件。
保證方法之參考文
及 STs 保證等級時
件。
的強制性敘述 。
註: 對評估 IT 產品和系統的安全性質有關係的人大致有三種: TOE 消費者、
TOE 發展者(developers)及 TOE 評估者(evaluators)。這份已結構化文
件所提出的規範皆能滿足這三種人的要求,而且他們都是 CC 的主要使用者
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第10頁
概論(Overview)
當 CC 以 TOE 之 IT 安全性質的規格和評估為目的時,它也可能對所
有與 IT 安全有責任或有關的團體是有用的參考資料。
其它有關係的團體或人員(Others)也可以從 CC 內含的資訊中獲得
益處:
a) 須對決定及達成組織 IT 安全政策負責的系統管理者(custodians)
和系統安全人員(security officer);
b) 須對評估系統安全的適當性負責的內部及外部稽核人員
(auditors);
c) 須對於 IT 系統和產品的安全內容之規格負責的安全建造者
(architects)及設計者(designers);
d) 負責決定是否接受 IT 系統在特定的環境中之使用的認證人員
(accreditors)
e) 提出評估要求及支援之評估贊助者(sponsors of evaluation)
f) 負責管理及監督 IT 安全評估計畫的評估監督機構(evaluation
authorities)。
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第11頁
評估背景(Evaluation context)
評估規範
評估方法
評估方案
進行評估
最後
評估結果
批准/
發證
證書/註冊
列 表
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第12頁
Part 2
安全之功能需求
(Security functional requirements)
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第13頁
Part 2 內容
第1條為共同準則第二編之簡介導論
第2條介紹共同準則第二編功能元件之型錄
第3條到第13條說明功能類別
附錄A為功能件潛在使用者提供了引起興趣之其他資訊,
包括一完整功能元件相關性對照參考表。
附錄B到附錄M則對功能類別提供了應用備考。
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第14頁
安全功能需求範例
評估標的 TOE
人之使用者
/遠端資訊
科技產品
安全屬性
主體
評估標的 TOE 安全功能介面
TSFI
評估標的TOE 安全功能
(TSF)
實施評估標的TOE 安全政策
(TSP)
物件/資訊
主體
安全屬性
安全屬性
資源
主體
安全屬性
處理
使用者
安全屬性
評估標的安全功能 TSF 控制範圍(TSC)
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第15頁
功能類別之結構
功能類別
類別之名稱
功能家族
家族之名稱
類別介紹
家族之行為
功能家族
元件
元件之識別
功能元素
相關性
元件之位階
管理
稽核
元件
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第16頁
元件之相關性
類別之名稱
1
家族1
2
3
1
家族2
2
3
2
家族3
1
4
3
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第17頁
Part 2 類別說明(3~13條文)
3
4
5
6
7
8
9
10
11
12
13
FAU類別:安全稽核
FCO類別:通訊
FCS類別:密碼支援
FDP類別:資料保護
FIA類別:識別及認證
FMT類別:安全管理
FPR類別:隱私
FPT類別:TSF保護
FRU類別:資源運用
FTA類別:TOE存取
FTP類別:可信賴之路徑/通道
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第18頁
3.FAU類別:安全稽核
安全稽核
安全稽核牽涉
到承認、記錄、儲
存及分析與安全相
關活動有關之資訊
(亦即為TSP所控制
之活動)。所產生
之稽核記錄可予以
檢查,判認哪些安
全相關活動發生及
誰應為它們負責。
FAU_ARP安全稽核自動回應
就所偵測之事件顯示安全遭潛在違反行為時所要採取之回應
FAU_GEN安全稽核資料產生
TSF控制範圍內所發生安全相關事件之記錄定義其需求
1
1
2
2
FAU_SAA安全稽核分析
分析系統活動及稽核資料
1
1
FAU_SAR安全稽核檢視
3
4
2
就經授權使用者可取用之稽核工具以助其檢視稽核資料定義其需求
3
FAU_SEL安全稽核事件選擇
1
TOE作業期間對被稽核事件之選擇定義其需求
1
2
3
4
FAU_STG安全稽核事件儲存
創造及維護安全稽核軌跡
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第19頁
4. FCO類別:通訊
本類別提供了兩家族,此兩家族之關切點特別
放在資料交換參與一方之身份確定上。
通訊
FCO_NRO原點來源之存證
1
2
來源不可否認性確保了資訊的發起者無法成功否認其已傳送資訊
FCO_NRR接收之存證
1
2
接收不可否認性確保了資訊的接收者不可否認其已接收資訊
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第20頁
5. FCS類別:密碼支援
運用密碼功能協助滿足數個高階安全目標。這些包括(但不侷
限於):識別及認證、不可否認性、可信賴之路徑、可信賴之
通道及資料分隔。
密碼支援
1
2
FCS_CKM 密碼金鑰管理
3
運用密碼功能協助滿足數個高階安全目標
FCS_COP密碼運算
1
4
運算須按指定之演算法及指定長度之密碼金鑰執行
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第21頁
6. FDP類別:資料保護(一)
對TOE內的使用者資料、輸入途中、輸出、儲存,連
同與使用者資料直接有關之安全屬性提出載明。
使用者資料保護
FDP_ACC 存取控制政策
1
2
存取控制SFP提出辨識
FDP_ACF 存取控制功能
1
對可落實於FDP_ACC中命名之存取控制政策之特定功能
FDP_DAU 資料認證
1
2
允許一個體對資訊之真實性負責(例如,使用數位簽章)
FDP_ETC 輸出至評估標的安全功能TSF控制外部之輸出
1
2
就TOE向外輸出之使用者資料定義其之功能
FDP_IFC 資訊流控制政策
1
2
就形成所辨識之TSP之資訊流控制部份等諸政策定義其控制範圍
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第22頁
6. FDP類別:資料保護(二)
FDP_IFF 資訊流控制功能
資訊流控制SFP及可指定其控制範圍之特定功能
1
2
3
4
5
6
1
FDP_ITC來自評估標的安全功能控制TSF外部之輸入
2
關係到對輸入之限制、決定所要之安全屬性及與使用
者資料結合之安全屬性之判讀
1
2
3
4
1
2
FDP_ITT 評估標的TOE內部轉送
TOE組成部份間轉送之使用者資料之保護
FDP_RIP 殘餘資訊保護
Deleted Information
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第23頁
6. FDP類別:資料保護(三)
FDP_ROL 轉返
1
2
1
2
undoing last operation or a series operation
FDP_SDI 儲存之資料整體性
影響儲存於記憶體或儲存裝置內的使用者資料
FDP_UCT 評估標的安全功能TSF間
使用者機密性轉送保護
1
使用外部通道而於不同TOE間或不同TOE上使用者轉送之使用者資料
FDP_UIT 評估標的安全功能TSF間
使用者資料整體性轉送保護
1
2
3
TSF與另一可信賴之資訊科技產品間傳送之使用者資料
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第24頁
7.FIA類別:識別及認證
識別及認證
FIA_AFL 認證失敗
就被宣稱之使用
者身份進行建立
及確認之功能
載明其要件。
1
不成功認證嘗試次數值之定義及TSF在認證嘗試失敗時,要採取的行動之要件
FIA_ATD 使用者屬性定義
1
支援TSP所需之使用者安全屬性與使用者之關聯的要件
1
FIA_SOS 秘密之規格
針對在提供的秘密上規範一些定義好的品質規準
1
2
2
3
4
FIA_UAU 使用者認證
5
使用者認證機制型態予以定義之
FIA_UID 使用者識別
1
執行要求使用者認證
FIA_USB 使用者主題連結
2
6
7
1
一經認證之使用者,典型來說,會啟動一主題。該使用者的安全屬性會與此主題結合
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第25頁
8.FMT類別:安全管理
安全管理
FMT_MOF 評估標的安全功能TSF之功能管理
本類別擬就TSF幾個
層面的管理予以規範
之:安全屬性、TSF
資料及功能。不同管
理角色及其互動,例
如能力之分隔,亦可
予以規定之。
1
1
准許經授權之使用者控制TSF內之管理功能
FMT_MSA 安全屬性管理
准許經授權之使用者控制安全屬性的管理
FMT_MTD 評估標的安全功能TSF資料管理
准許經授權使用者(角色)控制TSF資料管理
FMT_REV註銷
2
1
3
2
3
1
就TOE內各個個體之安全屬性的註銷提出載明
FMT_SAE 安全屬性截止到期
1
就實施安全屬性有效性之時限的能力提出載明
FMT_SMR 安全管理角色
對指派不同角色予使用者予以控制之
1
2
3
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第26頁
9.FPR類別:隱私
提供使用者保護,免遭其身份遭其他使用者發覺及不當使用。
隱私
FPR_ANO 匿名
1
2
確保使用者得使用資源或服務而無外洩其身份
2
FPR_PSE 用假名
1
使用者得使用資源或服務而無外洩其使用者身份
FPR_UNL 不可連結性
3
1
multiple use of resources or services
1
FPR_不可觀察性
2
3
確保使用者得使用資源或服務,而無其他人,尤其是第三者,能夠觀察到該資源或服務正被使用中。
4
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第27頁
10. FPT類別:TSF保護(一)
評估標的安全功能TSF保護
FPT_AMT 下層抽象機測試
TSF提供機制
的完整性與管
理及此TSF資
料完整性
1
對所依賴之下層抽象機所做之有關安全假設定義其要件。
FPT_FLS 失敗安全
1
確保在被辨識之失敗
FPT_ITA 輸出之評估標的安全功能TSF
資料的取用性
1
FPT_ITC 輸出之評估標的安全功能TSF
資料的機密性
1
遠端可信賴資訊科技產品間移動之TSF資料的取用性之漏失預防規則
TSF與一遠端可信賴資訊科技產品間傳輸中之TSF資料的外洩防護規則
FPT_ITI 輸出之評估標的安全功能TSF
資料的整體性
1
2
傳送中之TSF資料,免遭未經授權變更之保護規則
FPT_ITT 評估標的TOE內部其安全功能
TSF資料轉送
1
2
3
TOE各個部份間傳送時所受之保護
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第28頁
10. FPT類別:TSF保護(二)
1
FPT_PHP 評估標的安全功能TSF
實體保護
2
3
1
2
3
2
3
FPT_RCV 可信賴之復原
判知TOE之啟動無發生保護受洩漏,且在作業中斷後
,可以復原而無保護受洩漏之情事
FPT_RPL 重送之偵測
4
1
各種型態之實體之重送及後續改正行動提出載明
FPT_RVM 參考中介
1
所有需政策實施的行動均由該TSF對照該SFP而被驗證之
FPT_SEP 領域分隔
1
至少有一安全領域可為TSF自身執行所取用 ,以免遭受竄改
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第29頁
10. FPT類別:TSF保護(三)
FPT_SSP狀態同步協定
1
2
分散式系統同步協定
FPT_STM 時戳
1
FPT_TDC 評估標的安全功能TSF之間
資料一致性
1
一TOE或有需要與另一可信賴資訊科技產品交換TSF資料
FPT_TRC 評估標的TOE內部其
安全功能TOE TSF
資料複製一致性
1
保TSF資料於TOE內部遭複製時的一致性
FPT_TST 評估標的安全功能TSF
自我測試
1
對某個期待其為正確之作業所做的自我測試
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第30頁
11.FRU類別:資源運用
資源運用
FRU_FLT容錯
1
2
提供了保護,對抗TOE失敗引發之能力無法取用性
FRU_PRS 服務之優先權
1
2
確保資源會予配置至較重要或時間具關鍵性之任務,
且無法為優先權較低之任務所壟斷
FRU_RSA 資源配置
1
2
對可取用資源的使用提供了限制,因而預防了使用者壟斷資源
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第31頁
12.評估標的TOE存取
評估標的TOE存取
FTA_LSA可選擇選取屬性範圍之限制
1
使用者得為一交談而選取之交談安全屬性之範圍
FTA_MCS多同步交談之限制
使用者的同步交談數之界限置放
1
2
1
FTA_SSL 交談鎖定
互動性交談鎖定及解除鎖定。
2
3
FTA_TAB 評估標的TOE存取旗幟
1
向使用者顯示有關TOE適當使用之組態的規勸性警告訊息
FTA_TAH 評估標的TOE存取歷史
1
使用者對其帳號的成功及不成功存取嘗試歷史
FTA_TSE 評估標的TOE交談建立
1
就拒絕一使用者與TOE建立一交談之許可
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第32頁
13.FTP類別:可信賴之路徑/通道
可信賴路徑/通道
FTP_ITC 評估標的安全功能TSF間
可信賴之通道
1
與其他可信賴資訊科技產品間的一可信賴通道之創造
FTP_TRP 可信賴之路徑
1
建立及維護對使用者及TSF的可信賴通訊
「可信賴通道」為一得由通道任一側啟動之通訊
通道,且其能就通道兩側之身份提供存證特徵。
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第33頁
Part 2 總結
3
4
5
6
7
8
9
10
11
12
13
FAU類別:安全稽核
FCO類別:通訊
FCS類別:密碼支援
FDP類別:資料保護
FIA類別:識別及認證
FMT類別:安全管理
FPR類別:隱私
FPT類別:TSF保護
FRU類別:資源運用
FTA類別:TOE存取
FTP類別:可信賴之路徑/通道
安全之
功能需求
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第34頁
Part 3
安全之保證需求
(Security assurance requirements)
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第35頁
Part 3 架構
條款1係此CC第3部份的簡介和範例
條款2說明保證類別、家族、元件和評估保證等級的顯示結構以及其
間關係。它亦記述條款8至14所述保證類別和家族的特性
條款3、4和5提供PP和ST評估準則簡介,以及該等評估所使用家族和
元件的詳細解釋
條款6提供詳細的EAL定義
條款7 提供保證類別簡介,後續條款8至14提供詳細的該等類別定義
條款15和16提供保證維護評估標準簡介,以及該等家族和元件的詳細
定義
附錄A提供保證元件之間相關性的摘要
附錄B提供EAL和保證元件之間的交互參照
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第36頁
保證原理
CC原理係應清楚說明對安全和組織安全政策承諾的威脅,
且針對其意欲的目的充份論證建議的安全措施。
採用可減少發生弱點的可能性、實施弱點的能力(也就是
蓄意私自利用或無意觸發),以及減少從所採行弱點發生
損壞的程度的適當措施。
應該採用可方便後續鑑別弱點以及抵消、緩和及/或 通知
弱點已經被利用或觸發的適當措施。
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第37頁
保證方式
CC提議藉由資深評估員和利用大幅強調範圍、深度和嚴
謹性,以衡量文件及其所產生的IT產品或系統的有效性。
CC不排除(也不批評)其它獲得保證的方法的相關指標。
持續研究獲得保證的可供選擇方法。
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第38頁
避免弱點步驟
消除-意即應該採取有效步驟以暴露和刪除或銷除
所有可實行的弱點
極小化-意即應該採取有效步驟以減少(至可接受的
殘餘程度)實施任何一弱點的潛在衝擊
監測-意即應該採取有效步驟以確保可發現實施一
剩餘弱點的任何嘗試,使得可採取步驟以限制損壞
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第39頁
弱點會因下列因素而產生
需求(requirement)-意即IT產品或系統可能擁有其
所需的所有功能和特性,但仍包含不適合安全或使安
全無效的弱點
構造(construction)-意即IT產品或系統不符合其規
格及/或因不良結構化標準或不正確設計選擇的結果造
成了弱點
操作(operation)-意即IT產品或系統已依一正確規
格正確地建構,但因在操作上不充分管制的結果造成
了弱點
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第40頁
經由下列評估的保證
分析和檢查各項程序
檢查正在應用的程序
分析在TOE設計顯示之間的對應關係
依需求分析TOE設計顯示
驗證證據
分析指導文件
分析所發展的功能性測試和所提供的結果
獨立功能性測試
弱點(包括瑕疵假說)分析
滲透測試
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第41頁
共同準則保證規定
保證類別
類別名稱
保證元件
元件鑑別
類別簡介
保證家族
家族名稱
目的
應用注意事項
目的
相關性
元件階層
保證元素
應用注意事項
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第42頁
保證元素
開發者行動元素:開發者應執行的作業
證據元素的內容和顯示:所需要的證據
評估員行動元素:評估員應執行的作業。
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第43頁
3.保護剖繪和安全目標評估標準
此條款介紹PP和ST的評估標準
PP評估的目標是證實PP是完整性、一致性、技術
性健全且因此適用於使用作為一或更多可評估
TOE的各種需求聲明
ST評估的目標係證實ST係完整、一致、技術健全
,且因此適用於使用作為對應TOE評估的基礎
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第44頁
4.類別APE:保護剖繪評估
PP評估的目標是證實PP是完整性、一致性和技術性健全。
類別 APE :保護剖繪評估
APE_DES :保護剖繪,TOE說明
1
協助瞭解TOE的安全需求
APE_ENV :保護剖繪,安全環境
1
判斷在 PP 的IT安全需求是否充份
APE_INT :保護剖繪,PP簡介
1
包含運作PP登錄所必要的文件管理和綜覽資訊
APE_OBJ :保護剖繪,安全目的
1
評估安全目的以證實所述目的足以述明安全問題
APE_REQ :保護剖繪,IT安全需求
1
於一TOE所選擇,且在PP說明或引用的IT安全需求
APE_SRE :保護剖繪,明確述明的IT安全需求
1
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第45頁
5.類別 ASE:安全目標評估
類別 ASE:安全目標評估
1
APE_DES :保護剖繪,TOE說明
協助瞭解TOE的安全需求
ASE_ENV :安全目標,安全環境
1
判斷ST的IT安全需求是否充份
ST評估的目標係證實 ST
係完整、一致、技術健全
,且因此適用於使用作為
對應TOE評估的基礎。
A SE_INT :安全目標, ST 簡介
1
包含鑑別和索引資料
ASE_OBJ :安全目標,安全目的
1
證實所述目的足以述明安全問題
ASE_PPC :安全目標, PP 聲明
1
安全目標PP聲明的評估目標係判斷ST是否是PP的一正確實例
ASE_REQ :安全目標, IT 安全需求
1
IT安全需求,需要加以評估以確定它們是內部一致性
ASE_SRE :安全目標,明確述明的
IT 安全需求
1
要求允許評估員判斷清晰陳述的要求
ASE_TSS :安全目標, TOE 摘要規格
1
提供符合功能性需求的安全功能高階定義
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第46頁
6.評估保證等級
評估保證等級(EALs)提供以獲取該保證程度的成本和可行
性,而獲得的平衡保證等級的遞增尺度
EAL1可適用於對正確操作需要一些信賴的場所,但是對安
全的威脅並不視為嚴重
EAL2適用於開發者或使用者在缺乏完整發展記錄可用性下
,需要一低至中等級獨立保証安全的環境。
EAL3適用於開發者或使用者要求一適當等級的獨立保証安
全的環境,且需要完整調查TOE和其發展環境而不需要實質
再造工程。
EAL4適用於開發者或使用者在傳統物件TOE裡需要一中至
高等級的獨立保証安全的環境,且準備發生額外的安全性特
定技術成本。
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第47頁
6.評估保證等級
EAL5適用於開發者或使用者在一規劃的發展裡,要求一高
階獨立保証安全的環境,且要求一嚴謹的發展方式而不會
發生可歸屬於專家安全工程技術的不合理成本。
EAL6允許開發者從安全工程技術的應用至嚴謹的發展
環境,以產生額外費用TOE以保護高值資產免於重大
風險以獲得較高等級保證(適用於發展安全TOE於高風
險情況的應用)
EAL7適用於發展應用在極高風險情況,及/或高值資產
證明較高成本的安全TOE。實際應用EAL7目前限制於
針對會接納擴充正規分析的安全功能TOE。
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第48頁
8.類別ACM:組態管理
組態管理(CM)有助於確保保持TOE的完整性,其係藉由 在TOE精細化
和修改程序所需要的訓練和控制以及其它相關資訊來要求
類別 ACM;組態管理
ACM_AUT CM
自動操作
1
2
用來控制組態項目的自動作業等級
ACM_CAP CM
能力
1
2
3
4
5
述明將會發生組態項目意外或未經授權修改的可能性
ACM_SCP CM
範圍
1
2
3
確保CM系統可追蹤所有必要的TOE組態項目
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第49頁
9.類別ADO:遞送和操作
定義與安全遞送有關的措施、程序和標準以及TOE的安裝和操作使用的需求,
確保TOE所提供的安全保護在傳輸、安裝、啟動和操作期間不會被破解。
類別 ADO :遞送和操作
ADO_DEL 遞送
1
2
3
維護在傳輸TOE予使用者期間的安全程序
ADO_IGS 安裝、產生和啟動
1
2
由管理者配置和啟動以展示與TOE主複本具有相同的保護性質
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第50頁
10.類別 ADV:發展
ADV類別 :發展
ADV_FSP 功能性規格
1
2
3
4
2
3
4
使用者可見到的介面和TSF行為
ADV_HLD 高階設計
1
5
說明 TSF 根據主要的結構單元(也就是子系統)並將這些單元關聯到它們所提供的功能
ADV_IMP 實施顯示
1
2
3
以原始程式碼,韌體,硬體圖面等擷取在支援分析裡TSF的詳細內部作用。
ADV_INT TSF 內部事宜
1
2
3
TSF的內部結構,需求為模組化、分層、政策強化機制的複雜性的極小化說明
ADV_LLD 低階設計
1
2
3
低階設計提供 TSF 子系統正確且有效地被精細化過的保證
ADV_RCR 顯示符合性
1
2
3
1
2
3
保證類別ADV從
ST裡的TOE摘要
規格下至實際的
實施,定義TSF
階段式精細化的
需求
各種不同TSF顯示之間的相關性
ADV_SPM 安全政策模型
提供額外的保證,即功能規格內的安全功能強制 TSP裡的政策
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第51頁
11.類別 AGD:指導文件
表達開發者所提供的操作性文件的可理解性、涵蓋範圍和完整性的需求
類別 AGD :指導文件
AGD_ADM
管理者指南
1
確保環境限制條件能被TOE管理者和操作者了解
AGD_USR
使用者指南
1
協助確保使用者能夠以安全方式操作TOE
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第52頁
12.類別ALC:生命週期支援
藉由採用一良好定義的生命週期模型來定義保證需求
類別 ALC :生命週期支援
ALC_DVS 發展安全
1
2
發展安全涵蓋在發展環境所使用的實體性、程序性、人員和其它安全措施
ALC_FLR 缺點矯正
1
2
3
確保在TOE受開發者支援時,TOE消費者所發現的缺點會追蹤和改正。
ALC_LCD 生命週期定義
1
2
3
1
2
3
建立TOE的發展和維護的模型
ALC_TAT 工具和技術
發展、分析和實現TOE的工具
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第53頁
13.類別ATE:測試
保證類別ATE述明證實
TSF滿足TOE安全功能需
求的測試需求。
類別 ATE 測試
ATE_COV 涵蓋範圍
1
2
3
處理開發者對TOE執行功能性測試的完整性
ATE_DPT 深度
1
2
3
處理開發者測試TOE的詳細程度
ATE_FUN 功能性測試
1
2
確定TSF展示滿足其ST需求所必要的性質
ATE_IND 獨立測試
1
2
3
TOE的功能性測試的程度,必須由開發者以外的一團體執行 (例如第三團體)
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第54頁
14.類別 AVA:弱點評估
保證類別 AVA 定義表達鑑別可利用弱點
的需求。明確地,它述明TOE製作、操作
、誤用或不正確架構所引入的弱點。
類別 AVA :弱點評估
AVA_CCA 隱密通道分析
1
2
3
分析表達發現和分析會違反意欲TSP的非預期通信通道
AVA_MSU 誤用
1
2
3
管理者或使用者能合理判斷TOE是否適當配置且以不安全方式操作
AVA_SOF TOE 安全功能能力
1
藉由一機率式(probabilistic)或安排式(permutational)
機制(例如一密碼或雜湊函數)實現
AVA_VLA Vulnerability 分析
1
2
3
4
鑑別在發展作業不同精細步驟所潛在引入的缺點
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第55頁
15.保證維護範例
提供維護保證類別(AMA)支援在一保證維護範例上的交談
TOE
評估
TOE
接受
TOE
TOE
監測
再評
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第56頁
16.AMA 類別:保證維護
保證維護類別提供依CC檢定TOE之後欲被應用之需求
類別 AMA:維護保證
AMA_AMP 保證維護計劃
1
確保當TOE或其環境變更時,認證的TOE裡的保證維護已被建立
AMA_CAT TOE 要件歸類報告
1
當作針對用開發者的安全衝擊分析,並為後續重新評估TOE。
AMA_EVD 保證維護的證據
1
建立TOE裡的保證開發者維護的信賴
AMA_SIA 安全衝擊分析
1
2
執行影響TOE的所有變更的安全影響分析
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第57頁
Part 3 總結
條款1係此CC第3部份的簡介和範例
條款2說明保證類別、家族、元件和評估保證等級的
顯示結構以及其間關係。它亦記述條款8至14所述保
證類別和家族的特性
條款3、4和5提供PP和ST評估準則簡介,以及該等評
估所使用家族和元件的詳細解釋
條款6提供詳細的EAL定義
條款7 提供保證類別簡介,後續條款8至14提供詳細
的該等類別定義
條款15和16提供保證維護評估標準簡介,以及該等
家族和元件的詳細定義
附錄A提供保證元件之間相關性的摘要
附錄B提供EAL和保證元件之間的交互參照
安全之
保證需求
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第58頁
問題與討論
ISO/IEC 15408是由下面三個部份所組成:
第一部份(Part 1):介紹及一般化模型
第二部份(Part 2):安全之功能需求
第三部份(Part 3):安全之保證需求
E\KPMG譯稿\ISO 15408簡報-ISACACA.ppt
第59頁