國際標準 『iso/iec 15408 』 的介紹
DESCRIPTION
國際標準 『ISO/IEC 15408 』 的介紹. ISO/IEC 15408 Information technology ─ Security techniques ─Evaluation Criteria for IT Security. 報 告 人 高國寶 中 華 民 國 九十年 十二月. 15408. 報告內容 (Contents) 大綱. 概論 (part 1~part 3) Part two Part three - PowerPoint PPT PresentationTRANSCRIPT
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 1頁
國際標準『 ISO/IEC 15408 』的介紹
ISO/IEC 15408 Information technology
─ Security techniques
─Evaluation Criteria for IT Security
報 告 人 高國寶
中 華 民 國 九十年 十二月15408
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 2頁
報告內容 (Contents) 大綱
概論 (part 1~part 3)
Part two
Part three
結論
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 3頁
概 論
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 4頁
ISO 15408 簡要說明 ISO/IEC 15408 是由下面三個部份所組成:
第一部份 (Part 1) :介紹及一般化模型 (Introduction & General Model)
• 定義 IT 安全評估並提供評估模式的一般概念及原則
第二部份 (Part 2) :安全之功能需求( Security functional requirements )
• 建立一組功能元件作為表達 TOE 功能要求的標準
第三部份 (Part 3) :安全之保證需求( Security assurance requirements )
• 建立一組保證元件作為表達 TOE 功能要求的標準
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 5頁
「共通規範計畫」的推動
由七個政府組織加以贊助,這些組織共同擁有「資訊技術安全評估之共通準則」(簡稱「 CC 」)的版權,並同意作為日後持續發展與維護 ISO/IEC 15408 國際標準之共享許可。然而,這些贊助組織仍保有使用、複製、散佈、翻譯或在適當時候具有修改 CC 的權利。
( 有關「共通規範計畫之贊助組織」的詳細資料交代請參考第一部份 (Part 1) 的附錄 A 。
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 6頁
贊助 CC 的組織有
加拿大的“通訊安全機構” 法國的“安全系統資訊服務中心”德國的“聯邦資訊技術安全署”荷蘭的“國家通訊安全局”英國的“通訊電子安全部”美國的國家標準及技術委員會 (NIST)美國的國家安全局 (NSA) 。
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 7頁
範圍 (Scope)
標準 ISO/IEC 15408 定義成“準則”,共通準則( Common Criteria ,簡稱 CC )是作為評估資訊技術產品和系統安全性質 (for evaluation of security properties of IT products and systems) 的基礎之用,並藉由制定這種共通準則的基礎,促使 IT 安全評估的結果能對更多人來說是有意義的。
在評估程序中制定了信任度等級( level of confidence ),表示這個產品和系統的安全功能與使用這些安全功能來滿足需求的保證度措施( assurance measures );而評估的結果將有助於消費者決定 IT 產品或系統對他們預期的應用是否有足夠的安全及是否能容忍使用時所具有的潛在安全風險( security risk )。
CC 對發展具有 IT 安全功能的產品或系統及採購具有這種功能的商業產品/ 系統是相當有用的導引( guide )。在評估期間,這種 IT 產品或系統就稱為評估目標( Target Of Evaluation ; TOE ),包括了:作業系統、電腦網路、分散式系統和應用程式等皆可被看成是進行評估的主體對象。
CC 說明對資訊的保護,這些保護使資訊不致遭到未經授權之公佈、修改或遺失。相對上述安全的失敗有關的三種保護型態,一般分別稱為機密性( confidentiality )、完整性( integrity )和可用性( availability )。
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 8頁
範圍 (Scope)
共通準則( Common Criteria ,簡稱 CC )能應用於任何以硬體( hardware )、韌體( firmware )或軟體( software )所實現之 IT 安全措施。
某些主題因為涉及(或包括)特殊化技術或對 IT 安全來說是次要的,故不在 CC 範圍之內。下面舉些實例加以說明:
(1) CC 不包括與 IT 安全措施沒有直接相關的管理上安全措施之安全評估 規範。 (2) 不會特別地包含評估 IT 安全在實體的 (physical) 技術觀點(例如:電磁發
射控制)。 (3) CC 在評估監督機構使用的規範中,既不會說明評估方法也不會說明管理 上及法律上的架構( framework )。 (4) 對使用評估結果於產品或系統的認證( accreditation )之使用程序,不
在 CC 所討論的範圍之內。 (5) 評估密碼演算法具有的品質之規範主題並不包括在 CC 之中。
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 9頁
常用縮寫
(1) CC ─ 共通準則( Common Criteria ) (2) EAL ─ 評估保證等級( Evaluation Assurance Level ) (3) IT ─ 資訊技術( Information Technology ) (4) PP ─ 保護剖繪( Protection Profile ) (5) SF ─ 安全功能( Security Function ) (6) SFP ─ 安全功能政策( Security Function Policy ) (7) SOF ─ 功能強度( Strength Of Function ) (8) ST ─ 安全目標( Security Target ) (9) TOE ─ 評估目標( Target Of Evaluation ) (10) TSC ─ TSF 控制範圍( TSF Scope of Control ) (11) TSF ─ TOE 安全功能( TOE Security Functions ) (12) TSFI ─ TSF 界面( TSF Interface ) (13) TSP ─ TOE 安全政策( TOE Security Policy )
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 10頁
共通準則藍圖 (Roadmap)
消費者(Consumers )
發展者(Developers )
評估者(Evaluators )
Part 1 作為背景資料及參考用途。是構成PPs 之導引文件 。
作為 TOEs 需求發展及闡述安全規格之背景資料和參考文件 。
作為背景資料及參考用途。是構成 PPs 及 STs 之導引文件。
Part 2 作為闡述安全功能需求敘述之導引和參考文件。
作為解釋 TOEs 功能需求的敘述及闡述其功能規格之參考文件。
作為評估規範決定TOE 是否有效地符合所聲明的安全功能時的強制性敘述 。
Part 3 作為決定所需的保證等級之導引文件。
作為解釋 TOEs 保證需求的敘述及決定其保證方法之參考文件。
作為評估規範決定TOE 在評估 PPs
及 STs 保證等級時的強制性敘述 。
註 : 對評估 IT 產品和系統的安全性質有關係的人大致有三種: TOE 消費者、 TOE 發展者( developers )及 TOE 評估者( evaluators )。這份已結構化文 件所提出的規範皆能滿足這三種人的要求,而且他們都是 CC 的主要使用者
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 11頁
概論 (Overview)
當 CC 以 TOE 之 IT 安全性質的規格和評估為目的時,它也可能對所有與 IT 安全有責任或有關的團體是有用的參考資料。
其它有關係的團體或人員( Others )也可以從 CC 內含的資訊中獲得益處:
a) 須對決定及達成組織 IT 安全政策負責的系統管理者( custodians )
和系統安全人員( security officer ); b) 須對評估系統安全的適當性負責的內部及外部稽核人員 ( auditors ); c) 須對於 IT 系統和產品的安全內容之規格負責的安全建造者 ( architects )及設計者( designers ); d) 負責決定是否接受 IT 系統在特定的環境中之使用的認證人員 ( accreditors ) e) 提出評估要求及支援之評估贊助者( sponsors of evaluation ) f) 負責管理及監督 IT 安全評估計畫的評估監督機構( evaluation authorities )。
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 12頁
評估背景( Evaluation context )
評估規範
評估方法
評估方案
進行評估 批准 /發證
最後評估結果
證書 /註冊列 表
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 13頁
Part 2
安全之功能需求( Security functional requirements )
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 14頁
Part 2 內容
第 1 條為共同準則第二編之簡介導論第 2 條介紹共同準則第二編功能元件之型錄第 3 條到第 13 條說明功能類別 附錄 A為功能件潛在使用者提供了引起興趣之其他資訊,
包括一完整功能元件相關性對照參考表。 附錄 B到附錄 M則對功能類別提供了應用備考。
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 15頁
安全功能需求範例
評估標的TOE 評估標的 TOE 安全功能介面TSFI
安全屬性評估標的TOE安全功能
(TSF)實施評估標的TOE安全政策
(TSP)
主體
主體
安全屬性
安全屬性
物件 /資訊
安全屬性資源
安全屬性處理
主體
評估標的安全功能TSF控制範圍 (TSC)
人之使用者/ 遠端資訊科技產品
使用者
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 16頁
功能類別之結構
功能類別 類別之名稱
類別介紹
功能家族
功能家族家族之名稱
家族之行為
元件之位階
管理
稽核元件
元件 元件之識別
功能元素
相關性
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 17頁
元件之相關性
類別之名稱家族 1
家族 2
家族 3
1 2 3
2 3
1
12
34
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 18頁
Part 2 類別說明 (3~13 條文 )
3 FAU 類別:安全稽核 4 FCO 類別:通訊 5 FCS 類別:密碼支援 6 FDP 類別:資料保護 7 FIA 類別:識別及認證 8 FMT 類別:安全管理 9 FPR 類別:隱私 10 FPT 類別: TSF保護 11 FRU 類別:資源運用 12 FTA 類別: TOE 存取 13 FTP 類別:可信賴之路徑 /通道
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 19頁
3.FAU 類別:安全稽核安全稽核
FAU_STG安全稽核事件儲存
FAU_SEL安全稽核事件選擇
FAU_SAR安全稽核檢視
FAU_SAA安全稽核分析
FAU_GEN安全稽核資料產生
FAU_ARP安全稽核自動回應
3
1
2
1
1
1
2
2
2
4
3
1
41
3
安全稽核牽涉到承認、記錄、儲存及分析與安全相關活動有關之資訊(亦即為 TSP所控制之活動)。所產生之稽核記錄可予以檢查,判認哪些安全相關活動發生及誰應為它們負責。
TSF 控制範圍內所發生安全相關事件之記錄定義其需求
就所偵測之事件顯示安全遭潛在違反行為時所要採取之回應
TOE 作業期間對被稽核事件之選擇定義其需求
創造及維護安全稽核軌跡
就經授權使用者可取用之稽核工具以助其檢視稽核資料定義其需求
分析系統活動及稽核資料
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 20頁
4. FCO 類別:通訊
通訊
FCO_NRR 接收之存證
FCO_NRO原點來源之存證
1
1
2
2
本類別提供了兩家族,此兩家族之關切點特別 放在資料交換參與一方之身份確定上。
來源不可否認性確保了資訊的發起者無法成功否認其已傳送資訊
接收不可否認性確保了資訊的接收者不可否認其已接收資訊
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 21頁
5. FCS 類別:密碼支援
密碼支援
FCS_CKM 密碼金鑰管理
FCS_COP 密碼運算
3
1
4
2
1
運用密碼功能協助滿足數個高階安全目標。這些包括(但不侷限於):識別及認證、不可否認性、可信賴之路徑、可信賴之通道及資料分隔。
運用密碼功能協助滿足數個高階安全目標
運算須按指定之演算法及指定長度之密碼金鑰執行
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 22頁
6. FDP 類別:資料保護 (一 )
使用者資料保護
FDP_ETC 輸出至評估標的安全功能 TSF 控制外部之輸出
FDP_IFC 資訊流控制政策
FDP_DAU 資料認證
FDP_ACF 存取控制功能
FDP_ACC 存取控制政策
1
1
1
1
2 1
2
2
2
對 TOE 內的使用者資料、輸入途中、輸出、儲存,連同與使用者資料直接有關之安全屬性提出載明。
存取控制 SFP 提出辨識
對可落實於 FDP_ACC 中命名之存取控制政策之特定功能
允許一個體對資訊之真實性負責(例如,使用數位簽章)
就 TOE 向外輸出之使用者資料定義其之功能
就形成所辨識之 TSP 之資訊流控制部份等諸政策定義其控制範圍
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 23頁
6. FDP 類別:資料保護 (二 )
FDP_ITC來自評估標的安全功能控制 TSF 外部之輸入
FDP_ITT 評估標的 TOE 內部轉送
FDP_IFF 資訊流控制功能 3
2
4
1
5
6
1
1
2
3
2
4
FDP_RIP 殘餘資訊保護 1 2
Deleted Information
資訊流控制 SFP 及可指定其控制範圍之特定功能
關係到對輸入之限制、決定所要之安全屬性及與使用者資料結合之安全屬性之判讀
TOE 組成部份間轉送之使用者資料之保護
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 24頁
6. FDP 類別:資料保護 (三 )
FDP_UIT 評估標的安全功能 TSF間使用者資料整體性轉送保護
FDP_UCT 評估標的安全功能 TSF間使用者機密性轉送保護
FDP_ROL 轉返
FDP_SDI 儲存之資料整體性
1
1
1 2
1
2
2
3
undoing last operation or a series operation
影響儲存於記憶體或儲存裝置內的使用者資料
使用外部通道而於不同 TOE 間或不同 TOE 上使用者轉送之使用者資料
TSF 與另一可信賴之資訊科技產品間傳送之使用者資料
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 25頁
7.FIA 類別:識別及認證
識別及認證
FIA_USB 使用者主題連結
FIA_UAU 使用者認證
FIA_UID 使用者識別
FIA_SOS 秘密之規格
FIA_ATD 使用者屬性定義
FIA_AFL 認證失敗
1
3
1
1
2
5
1
1
2
2 6
4
17
就被宣稱之使用者身份進行建立及確認之功能載明其要件。
不成功認證嘗試次數值之定義及 TSF 在認證嘗試失敗時,要採取的行動之要件
支援 TSP 所需之使用者安全屬性與使用者之關聯的要件
針對在提供的秘密上規範一些定義好的品質規準
使用者認證機制型態予以定義之
執行要求使用者認證
一經認證之使用者,典型來說,會啟動一主題。該使用者的安全屬性會與此主題結合
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 26頁
8.FMT 類別:安全管理 安全管理
FMT_MOF 評估標的安全功能 TSF之功能管理
FMT_SMR 安全管理角色
FMT_SAE 安全屬性截止到期
FMT_REV 註銷
FMT_MTD 評估標的安全功能 TSF資料管理
FMT_MSA 安全屬性管理
1
1
3
1
2
1
1
2
21
3
3
本類別擬就 TSF 幾個層面的管理予以規範之:安全屬性、 TSF資料及功能。不同管理角色及其互動,例如能力之分隔,亦可予以規定之。
准許經授權之使用者控制 TSF 內之管理功能
准許經授權之使用者控制安全屬性的管理
准許經授權使用者(角色)控制 TSF 資料管理
就 TOE 內各個個體之安全屬性的註銷提出載明
對指派不同角色予使用者予以控制之
就實施安全屬性有效性之時限的能力提出載明
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 27頁
9.FPR 類別:隱私
隱私
FPR_ANO 匿名
FPR_PSE 用假名
FPR_UNL 不可連結性
FPR_ 不可觀察性
1 2
12
3
1
1 2
3
4
提供使用者保護,免遭其身份遭其他使用者發覺及不當使用。
multiple use of resources or services
確保使用者得使用資源或服務而無外洩其身份
使用者得使用資源或服務而無外洩其使用者身份
確保使用者得使用資源或服務,而無其他人,尤其是第三者,能夠觀察到該資源或服務正被使用中。
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 28頁
10. FPT 類別: TSF 保護 (一 )
評估標的安全功能 TSF保護
FPT_ITI 輸出之評估標的安全功能 TSF資料的整體性
FPT_ITA 輸出之評估標的安全功能 TSF資料的取用性
FPT_ITC 輸出之評估標的安全功能 TSF資料的機密性
FPT_ITT 評估標的 TOE 內部其安全功能 TSF資料轉送
FPT_FLS 失敗安全
FPT_AMT 下層抽象機測試
1
1
1
1
21
1
2
3
TSF提供機制的完整性與管理及此 TSF資料完整性
對所依賴之下層抽象機所做之有關安全假設定義其要件。
確保在被辨識之失敗
遠端可信賴資訊科技產品間移動之 TSF 資料的取用性之漏失預防規則
TSF 與一遠端可信賴資訊科技產品間傳輸中之 TSF 資料的外洩防護規則
傳送中之 TSF 資料,免遭未經授權變更之保護規則
TOE 各個部份間傳送時所受之保護
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 29頁
10. FPT 類別: TSF 保護 (二 )
FPT_RCV 可信賴之復原
FPT_PHP 評估標的安全功能 TSF實體保護
1
1
3
3
2
4
2
FPT_RPL 重送之偵測
FPT_RVM 參考中介
FPT_SEP 領域分隔
1
1
1 2 3
所有需政策實施的行動均由該 TSF對照該 SFP而被驗證之
至少有一安全領域可為 TSF 自身執行所取用 ,以免遭受竄改
判知 TOE 之啟動無發生保護受洩漏,且在作業中斷後 ,可以復原而無保護受洩漏之情事
各種型態之實體之重送及後續改正行動提出載明
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 30頁
10. FPT 類別: TSF 保護 (三 )
FPT_TST 評估標的安全功能 TSF自我測試
FPT_TRC 評估標的 TOE 內部其安全功能 TOE TSF資料複製一致性
FPT_TDC 評估標的安全功能 TSF之間資料一致性
FPT_STM 時戳
FPT_SSP 狀態同步協定
1
1
1 2
1
1
分散式系統同步協定
一 TOE 或有需要與另一可信賴資訊科技產品交換 TSF 資料
保 TSF 資料於 TOE 內部遭複製時的一致性
對某個期待其為正確之作業所做的自我測試
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 31頁
11.FRU 類別:資源運用
資源運用
FRU_RSA 資源配置
FRU_FLT容錯
FRU_PRS 服務之優先權
1
1
1
2
2
2
提供了保護,對抗 TOE失敗引發之能力無法取用性
確保資源會予配置至較重要或時間具關鍵性之任務, 且無法為優先權較低之任務所壟斷
對可取用資源的使用提供了限制,因而預防了使用者壟斷資源
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 32頁
12. 評估標的 TOE 存取評估標的 TOE 存取
FTA_TSE 評估標的 TOE交談建立
FTA_TAH 評估標的 TOE 存取歷史
FTA_TAB 評估標的 TOE 存取旗幟
FTA_SSL 交談鎖定
FTA_MCS多同步交談之限制
FTA_LSA可選擇選取屬性範圍之限制
1
1
1
2
1
1
2
1
3
使用者得為一交談而選取之交談安全屬性之範圍
使用者的同步交談數之界限置放
互動性交談鎖定及解除鎖定。
向使用者顯示有關 TOE適當使用之組態的規勸性警告訊息
使用者對其帳號的成功及不成功存取嘗試歷史
就拒絕一使用者與 TOE建立一交談之許可
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 33頁
13.FTP 類別:可信賴之路徑 /通道
可信賴路徑 /通道
FTP_TRP 可信賴之路徑
FTP_ITC 評估標的安全功能 TSF間可信賴之通道
1
1
「可信賴通道」為一得由通道任一側啟動之通訊通道,且其能就通道兩側之身份提供存證特徵。
與其他可信賴資訊科技產品間的一可信賴通道之創造
建立及維護對使用者及 TSF 的可信賴通訊
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 34頁
Part 2 總結
3 FAU 類別:安全稽核 4 FCO 類別:通訊 5 FCS 類別:密碼支援 6 FDP 類別:資料保護 7 FIA 類別:識別及認證 8 FMT 類別:安全管理 9 FPR 類別:隱私 10 FPT 類別: TSF保護 11 FRU 類別:資源運用 12 FTA 類別: TOE 存取 13 FTP 類別:可信賴之路徑 /通道
安全之功能需求
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 35頁
Part 3
安全之保證需求( Security assurance requirements )
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 36頁
Part 3 架構
條款 1 係此 CC第 3部份的簡介和範例 條款 2說明保證類別、家族、元件和評估保證等級的顯示結構以及其
間關係。它亦記述條款 8至 14所述保證類別和家族的特性 條款 3、 4和 5提供 PP和 ST評估準則簡介,以及該等評估所使用家族和元件的詳細解釋
條款 6提供詳細的 EAL定義 條款 7 提供保證類別簡介,後續條款 8至 14提供詳細的該等類別定
義 條款 15和 16提供保證維護評估標準簡介,以及該等家族和元件的詳
細定義 附錄 A提供保證元件之間相關性的摘要 附錄 B提供 EAL和保證元件之間的交互參照
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 37頁
保證原理
CC 原理係應清楚說明對安全和組織安全政策承諾的威脅,且針對其意欲的目的充份論證建議的安全措施。
採用可減少發生弱點的可能性、實施弱點的能力 (也就是蓄意私自利用或無意觸發 ),以及減少從所採行弱點發生損壞的程度的適當措施。
應該採用可方便後續鑑別弱點以及抵消、緩和及 /或 通知 弱點已經被利用或觸發的適當措施。
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 38頁
保證方式
CC 提議藉由資深評估員和利用大幅強調範圍、深度和嚴謹性,以衡量文件及其所產生的 IT 產品或系統的有效性。
CC不排除 ( 也不批評 )其它獲得保證的方法的相關指標。持續研究獲得保證的可供選擇方法。
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 39頁
避免弱點步驟
消除 -意即應該採取有效步驟以暴露和刪除或銷除 所有可實行的弱點
極小化 -意即應該採取有效步驟以減少 (至可接受的 殘餘程度 ) 實施任何一弱點的潛在衝擊
監測 -意即應該採取有效步驟以確保可發現實施一 剩餘弱點的任何嘗試,使得可採取步驟以限制損壞
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 40頁
弱點會因下列因素而產生
需求( requirement) -意即 IT產品或系統可能擁有其所需的所有功能和特性,但仍包含不適合安全或使安全無效的弱點
構造( construction) -意即 IT產品或系統不符合其規格及 /或因不良結構化標準或不正確設計選擇的結果造成了弱點
操作( operation) -意即 IT產品或系統已依一正確規格正確地建構,但因在操作上不充分管制的結果造成了弱點
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 41頁
經由下列評估的保證
分析和檢查各項程序 檢查正在應用的程序 分析在 TOE設計顯示之間的對應關係 依需求分析 TOE設計顯示 驗證證據 分析指導文件 分析所發展的功能性測試和所提供的結果 獨立功能性測試 弱點 (包括瑕疵假說 )分析 滲透測試
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 42頁
共同準則保證規定
類別名稱
類別簡介
保證類別
保證家族家族名稱
目的
元件階層
應用注意事項
保證元件元件鑑別
目的
應用注意事項
相關性
保證元素
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 43頁
保證元素
開發者行動元素:開發者應執行的作業
證據元素的內容和顯示:所需要的證據
評估員行動元素:評估員應執行的作業。
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 44頁
3. 保護剖繪和安全目標評估標準
此條款介紹 PP和 ST的評估標準
PP評估的目標是證實 PP是完整性、一致性、技術 性健全且因此適用於使用作為一或更多可評估 TOE的各種需求聲明
ST評估的目標係證實 ST係完整、一致、技術健全 ,且因此適用於使用作為對應 TOE評估的基礎
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 45頁
4. 類別 APE :保護剖繪評估
類別 APE:保護剖繪評估
APE_DES :保護剖繪 ,TOE說明
1
APE_ENV:保護剖繪 ,安全環境
APE_INT:保護剖繪 ,PP簡介
APE_OBJ:保護剖繪 ,安全目的
APE_REQ:保護剖繪 ,IT 安全需求
APE_SRE:保護剖繪 ,明確述明的 IT 安全需求
1
1
1
1
1
PP評估的目標是證實 PP是完整性、一致性和技術性健全。
評估安全目的以證實所述目的足以述明安全問題
包含運作 PP登錄所必要的文件管理和綜覽資訊
判斷在 PP 的 IT 安全需求是否充份
協助瞭解 TOE 的安全需求
於一 TOE 所選擇,且在 PP 說明或引用的 IT 安全需求
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 46頁
5. 類別 ASE :安全目標評估
APE_DES :保護剖繪 ,TOE說明
ASE_ENV :安全目標,安全環境
A SE_INT :安全目標, ST 簡介
ASE_OBJ :安全目標,安全目的
ASE_PPC :安全目標, PP 聲明
ASE_REQ :安全目標, IT 安全需求
ASE_SRE :安全目標,明確述明的 IT 安全需求
ASE_TSS :安全目標, TOE 摘要規格
1
1
1
1
1
1
1
1
類別 ASE :安全目標評估
ST 評估的目標係證實 ST係完整、一致、技術健全,且因此適用於使用作為對應 TOE 評估的基礎。
協助瞭解 TOE 的安全需求
判斷 ST 的 IT 安全需求是否充份
包含鑑別和索引資料
證實所述目的足以述明安全問題
安全目標 PP聲明的評估目標係判斷 ST是否是 PP 的一正確實例
IT 安全需求,需要加以評估以確定它們是內部一致性
要求允許評估員判斷清晰陳述的要求
提供符合功能性需求的安全功能高階定義
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 47頁
6. 評估保證等級評估保證等級 (EALs)提供以獲取該保證程度的成本和可行性,而獲得的平衡保證等級的遞增尺度
EAL1可適用於對正確操作需要一些信賴的場所,但是對安 全的威脅並不視為嚴重EAL2適用於開發者或使用者在缺乏完整發展記錄可用性下 ,需要一低至中等級獨立保証安全的環境。 EAL3適用於開發者或使用者要求一適當等級的獨立保証安 全的環境,且需要完整調查 TOE和其發展環境而不需要實質 再造工程。EAL4適用於開發者或使用者在傳統物件 TOE裡需要一中至高等級的獨立保証安全的環境,且準備發生額外的安全性特定技術成本。
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 48頁
6. 評估保證等級
EAL5適用於開發者或使用者在一規劃的發展裡,要求一高 階獨立保証安全的環境,且要求一嚴謹的發展方式而不會 發生可歸屬於專家安全工程技術的不合理成本。
EAL6 允許開發者從安全工程技術的應用至嚴謹的發展 環境,以產生額外費用 TOE以保護高值資產免於重大 風險以獲得較高等級保證 (適用於發展安全 TOE於高風 險情況的應用 )
EAL7適用於發展應用在極高風險情況,及 /或高值資產 證明較高成本的安全 TOE。實際應用 EAL7目前限制於 針對會接納擴充正規分析的安全功能 TOE。
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 49頁
8. 類別 ACM :組態管理
類別 ACM;組態管理
ACM_AUT CM 自動操作
ACM_CAP CM 能力
ACM_SCP CM 範圍
1 2
1 2 3 4 5
1 2 3
組態管理 (CM) 有助於確保保持 TOE 的完整性,其係藉由 在 TOE精細化 和修改程序所需要的訓練和控制以及其它相關資訊來要求
述明將會發生組態項目意外或未經授權修改的可能性
確保 CM 系統可追蹤所有必要的 TOE 組態項目
用來控制組態項目的自動作業等級
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 50頁
9. 類別 ADO :遞送和操作
定義與安全遞送有關的措施、程序和標準以及 TOE 的安裝和操作使用的需求, 確保 TOE 所提供的安全保護在傳輸、安裝、啟動和操作期間不會被破解。
類別 ADO :遞送和操作
ADO_DEL 遞送
ADO_IGS 安裝、產生和啟動
1 2 3
1 2
維護在傳輸 TOE 予使用者期間的安全程序
由管理者配置和啟動以展示與 TOE 主複本具有相同的保護性質
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 51頁
10. 類別 ADV :發展
保證類別 ADV從 ST裡的 TOE摘要規格下至實際的實施,定義TSF 階段式精細化的需求
ADV_FSP 功能性規格
ADV_HLD 高階設計
ADV_IMP 實施顯示
ADV_INT TSF 內部事宜
ADV_LLD 低階設計
ADV_RCR 顯示符合性
ADV_SPM 安全政策模型
1 2 3 4
2 3 4 5
1 2 3
1 2 3
1 2 3
1 2 3
1 2 3
ADV 類別 :發展
1
使用者可見到的介面和 TSF 行為
說明 TSF 根據主要的結構單元 (也就是子系統 )並將這些單元關聯到它們所提供的功能
以原始程式碼,韌體,硬體圖面等擷取在支援分析裡 TSF 的詳細內部作用。
TSF 的內部結構,需求為模組化、分層、政策強化機制的複雜性的極小化說明
低階設計提供 TSF 子系統正確且有效地被精細化過的保證
各種不同 TSF 顯示之間的相關性
提供額外的保證,即功能規格內的安全功能強制 TSP裡的政策
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 52頁
11. 類別 AGD :指導文件 表達開發者所提供的操作性文件的可理解性、涵蓋範圍和完整性的需求
類別 AGD :指導文件
AGD_ADM 管理者指南
AGD_USR 使用者指南
1
1
確保環境限制條件能被 TOE 管理者和操作者了解
協助確保使用者能夠以安全方式操作 TOE
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 53頁
12. 類別 ALC :生命週期支援
類別 ALC:生命週期支援
ALC_DVS 發展安全
ALC_FLR 缺點矯正
ALC_LCD 生命週期定義
ALC_TAT 工具和技術
1 2
1 2 3
1 2 3
1 2 3
藉由採用一良好定義的生命週期模型來定義保證需求
發展安全涵蓋在發展環境所使用的實體性、程序性、人員和其它安全措施
確保在 TOE受開發者支援時, TOE消費者所發現的缺點會追蹤和改正。
建立 TOE 的發展和維護的模型
發展、分析和實現 TOE 的工具
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 54頁
13. 類別 ATE :測試 保證類別 ATE述明證實TSF 滿足 TOE 安全功能需求的測試需求。
類別 ATE 測試
ATE_COV 涵蓋範圍
ATE_DPT 深度
ATE_FUN 功能性測試
ATE_IND 獨立測試
1 2 3
1 2 3
1 2
1 2 3
處理開發者對 TOE 執行功能性測試的完整性
處理開發者測試 TOE 的詳細程度
確定 TSF展示滿足其 ST 需求所必要的性質
TOE 的功能性測試的程度,必須由開發者以外的一團體執行 ( 例如第三團體 )
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 55頁
14. 類別 AVA :弱點評估
類別 AVA:弱點評估
AVA_CCA 隱密通道分析
AVA_MSU 誤用
AVA_SOF TOE 安全功能能力
AVA_VLA Vulnerability 分析
1 2 3
1 2 3
1
1 2 3 4
保證類別 AVA 定義表達鑑別可利用弱點的需求。明確地,它述明 TOE製作、操作、誤用或不正確架構所引入的弱點。
分析表達發現和分析會違反意欲 TSP 的非預期通信通道
管理者或使用者能合理判斷 TOE是否適當配置且以不安全方式操作
藉由一機率式( probabilistic )或安排式( permutational ) 機制 ( 例如一密碼或雜湊函數 ) 實現
鑑別在發展作業不同精細步驟所潛在引入的缺點
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 56頁
15. 保證維護範例提供維護保證類別 (AMA) 支援在一保證維護範例上的交談
TOE
再評
TOE
監測
TOE
接受
TOE
評估
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 57頁
16.AMA 類別:保證維護
保證維護類別提供依 CC 檢定 TOE 之後欲被應用之需求
類別AMA:維護保證
AMA_AMP 保證維護計劃
AMA_CAT TOE要件歸類報告
AMA_EVD 保證維護的證據
AMA_SIA 安全衝擊分析
1
1
1
1 2
確保當 TOE 或其環境變更時,認證的 TOE裡的保證維護已被建立
當作針對用開發者的安全衝擊分析,並為後續重新評估 TOE 。
建立 TOE裡的保證開發者維護的信賴
執行影響 TOE 的所有變更的安全影響分析
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 58頁
Part 3 總結
條款 1 係此 CC第 3部份的簡介和範例 條款 2說明保證類別、家族、元件和評估保證等級
的顯示結構以及其間關係。它亦記述條款 8至 14所述保證類別和家族的特性
條款 3、 4和 5提供 PP和 ST評估準則簡介,以及該等評估所使用家族和元件的詳細解釋
條款 6提供詳細的 EAL定義 條款 7 提供保證類別簡介,後續條款 8至 14提供
詳細的該等類別定義 條款 15和 16提供保證維護評估標準簡介,以及該
等家族和元件的詳細定義 附錄 A提供保證元件之間相關性的摘要 附錄 B提供 EAL和保證元件之間的交互參照
安全之保證需求
E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 59頁
問題與討論
ISO/IEC 15408 是由下面三個部份所組成:
第一部份 (Part 1) :介紹及一般化模型 第二部份 (Part 2) :安全之功能需求 第三部份 (Part 3) :安全之保證需求