前言
1993年6月,加拿大、英国、法国、德国、荷兰和美国等国主导的通用准则(Common Criteria,CC)项目组织,开始了信息技术(Information Technology,IT)安全评估准则的起草工作。1994年4月,国际标准化组织(ISO)和国际电工委员会(IEC)的联合工作组ISO/IEC JTC1/SC27 WG3开始和CC项目组织合作编写针对信息技术产品(IT产品)和信息技术系统(IT系统)的安全评估准则。1996年ISO/IEC发布了基于CC v1.0的ISO/IEC 15408《信息技术 安全技术 信息技术安全评估准则》国际标准草案,并在1999年12月形成了基于CC v2.1的ISO/IEC 15408:1999《信息技术 安全技术 信息技术安全评估准则》国际标准。经过二十多年的发展,CC已历经多次修订,但由于历史延续性的原因,信息技术安全评估领域仍将用于IT产品安全评估的ISO/IEC 15408及其相关的ISO/IEC 18045《信息技术安全技术IT安全评估方法》(CEM)统称为通用评估准则,即CC。
尽管CC标准已在包括我国在内的全球各国信息安全测评领域得到了广泛应用,成为支持IT产品互联互通的国际标准,但目前国内还没有介绍基于CC/CEM的信息技术安全评估准则的中文教材。因此,本书的编写出于以下几个目的:一是要展现国内外IT产品安全评估准则的发展过程,以及基于CC标准的IT产品安全评估的基本概念,通过介绍信息技术安全评估准则发展历史让读者了解CC标准在IT产品安全评估工作中的地位和价值;二是对CC标准中安全功能和安全保障要求相关的类、族、组件和元素进行剖析和解读,让IT产品消费者和开发者掌握在保护轮廓(PP)和安全目标(ST)编制过程中CC组件的选择方法和组件元素的操作方法;三是从IT产品消费者的角度讲解如何通过PP结构来规范化表达用户对IT产品的安全要求;四是从IT产品开发者角度介绍如何使用ST结构中TOE概要规范(TSS)来论述他们提供IT产品的安全方案;五是从IT产品评估者角度介绍CC标准评估方法及其对评估工作中评估对象(TOE)进行安全评估的内容;最后一个目标是围绕IT产品的安全评估,介绍IT产品开发者如何准备TOE评估所需的评估证据,IT产品评估者如何使用合理的测试方法与技术对IT产品进行安全评估。
为此,本书安排了以下8章内容。
第1章 信息技术安全评估概述:一是回顾信息与信息技术、信息安全技术及其评估等基本概念之间的关系,通过介绍国内外信息技术安全标准化工作,论述CC标准在信息技术安全评估中的地位,包括我国信息安全评估方面与CC标准相关的工作;二是概述信息技术安全评估准则的发展历史,梳理CC标准基本概念,以及与其他区域性的信息技术安全评估准则之间的关系;三是阐明CC标准应用框架,讨论CC标准在安全需求开发、安全方案设计和安全评估中的用户群体和应用群体,并对CC互认协定(CCRA)、国家评估体制以及IT产品安全认证相关的概念和流程进行介绍。
第2章 通用评估准则的基本模型和方法:首先,通过论述CC标准的目的和预期用途来阐述CC标准的适用性;在此前提下,概述CC标准文档的组成及PP、ST、TOE等CC评估模型相关的核心概念,明确CC标准在描述IT产品的安全要求、表达安全方案和安全评估方法方面的定位;其次,对基于CC标准的评估模型,包括资产保护对策及PP、ST和TOE等类型安全评估基本概念进行剖析;最后,从TOE开发者和评估者角度简述CC标准中的TOE评估证据准备方法,以及和TOE安全评估相关的独立性和穿透性测试方法和技术。
第3章 安全功能组件和安全保障组件:围绕ISO/IEC 15408:2008(即GB/T 18336—2015)第2和第3部分文档内容,介绍用于规范IT产品安全功能要求表达的CC安全功能组件和安全保障组件内容及其使用方法,即CC第2部分列出的11个类、65个族和136个安全功能组件和CC第3部分列出的PP/ST评估这两个保障类和TOE以及组合TOE的6个评估保障类、38个族和89个安全保障组件,帮助TOE消费者和开发者理解如何在IT产品的安全要求开发和安全方案设计(即编制PP/ST)中选择这些安全功能和安全保障组件,以及如何对组件元素进行细化操作。
第4章 保护轮廓及其编制方法:依据GB/Z 20283《信息技术 安全技术 保护轮廓和安全目标产生指南》技术文件,按照GB/T 18336.1—2015附录B的PP结构,逐节讨论面向TOE消费者的IT产品安全需求(即PP)编制方法。在描述PP文档结构的过程中,将对安全问题、安全目的和安全要求相关内容的组织形式及它们之间的逻辑关系进行梳理。在描述保护轮廓编制方法过程中,将穿插论述如何将PP的目的、范围和编制方法映射至IT产品生命周期和用户IT产品采购的通用流程,以便最终用户理解PP编制在IT产品安全需求开发中的地位及其用途。
第5章 安全目标及其编制方法:依据GB/Z 20283《信息技术 安全技术 保护轮廓和安全目标产生指南》技术文件,一方面概述ST和PP之间的关系,另一方面按照GB/T 18336.1—2015附录A的ST结构,逐节讨论编制面向TOE开发者的安全方案,即需要考虑的ST文档结构、内容和格式要求及它们之间的关系,并从TOE消费者的角度解读ST是如何通过其第7节的TOE概要规范满足它声称所依照的PP安全需求的。论述过程将体现从常见的IT产品生命周期和用户IT产品采购通用流程中定位ST编制的重要性。
第6章 通用评估准则的具体评估流程和方法:ISO/IEC 15408—3《信息技术 安全技术IT安全评估准则——第3部分:安全保障组件》、ISO/IEC 18045《信息技术 安全技术IT安全评估方法》和各国评估机构发布的CC评估体制规定了执行PP/ST/TOE安全评估的相关活动、子活动、行为及工作单元,以及如何执行和由谁执行等IT产品安全评估相关的方法和内容。各国评估机构发布的安全评估体制按照CCRA构建在CEM标准之上,提供了关于信息技术安全评估过程如何执行和管理的细节。因此,本章将在前面章节的知识基础上介绍面向TOE评估者的CEM标准内容,包括评估方法、评估模型、预定义评估保障级别、PP/ST/TOE等目标对象的评估内容与方法。
第7章 评估证据及其准备方法:TOE开发者在交付一个待评估的IT产品(TOE样品)之前,通常需要基于相关的PP,在ST中细化TOE安全问题和安全目的,描述相关安全要求;然后针对这些安全要求,确定TOE安全功能(TSF)和评估范围。换句话说,TOE开发者首先应该按照GB/Z 20283《信息技术 安全技术 保护轮廓和安全目标产生指南》编制ST。在此基础上,为保证评估活动的有效性,TOE开发者应先审核IT产品的研发(设计和实现)、生命周期支持以及功能测试等方面是否满足ST规定的安全保障要求。为此TOE开发者需要准备面向IT产品安全评估的相关评估证据,以便评估者可以按CEM规定的标准化活动完成IT产品的测试,保证安全评估的质量和效率。因此,本章先介绍IT产品评估过程中TOE开发人员的职责,再详细介绍ST文档、开发类文档、指导性文档、生命周期类文档、测试类文档等评估证据的编制方法和要求。
第8章 测试方法和技术:CEM提供了覆盖PP/ST中保障要求的评估规范编制、评估证据文档输入要求、评估过程、PP、ST、TOE、ACO等安全保障组件的安全评估内容。虽是面向TOE评估者编写的,但CEM并没有给出CC测试实验室(CCTL)的评估人员需要使用的TOE安全功能(TSF)符合性测试和穿透性测试的具体方法与技术。因此,本章将从TOE评估者角度,阐述如何依据评估发起人提供的ST及其相关的评估证据,对IT产品安全功能进行独立性测试,对TOE开发过程和TOE安全性进行脆弱性评定。TOE安全功能的独立性测试需要CCTL按照ST中的安全功能要求,对被测TOE安全功能的正确性进行验证测试。脆弱性评定关注IT产品是否存在安全缺陷,通过采用脆弱性分析技术和穿透性测试方法找出TOE设计或实现上的缺陷,在未来的TOE运行过程中这些缺陷可能导致对安全功能的破坏行为。因此,本章主要介绍评估过程中CCTL使用的独立性测试和脆弱性评定两种测试、分析方法和技术,包括用于TOE评估的常用穿透性测试技术。
本书覆盖了应用GB/T 18336—2015所涉及的各类用户的工作内容,不同读者在阅读时可根据自己在IT产品安全评估中的角色选择相应的章节,对照CC/CEM及其相关指南文档理解相关的内容。例如,IT产品的消费者只需阅读前4章,以掌握CC中PP、ST、TOE、安全要求相关的类、族、组件和元素、安全评估等核心概念,理解安全问题和安全目的定义、安全要求和基本原理的论述方法等,以便编制和理解PP文档;IT产品的开发者可在阅读前4章的基础上,进一步阅读第5章和第7章,以增强对ST编制工作中的安全组件选择和元素操作、特定安全要求的扩展组件定义、TOE安全功能规范和安全原理论述,以及评估证据准备等内容的理解;IT产品的评估者应阅读本书的所有章节,以掌握CC/CEM中的信息技术安全评估规范化方法,在理解CC核心概念和评估模型、评估技术和评估证据准备要求的基础上,有效地执行PP、ST和TOE安全评估活动;认证监管者可以通过阅读本书相关章节中CC/CEM基本概念和安全评估方法,以及国家评估体制、安全评估报告编制方法等内容,更好地开展IT产品认证工作。
编者
2020年4月