版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
信息安全技術保護輪廓和安全目標的產生指南(ISO/IECTR15446:2017,Informationtechnology—Securitytechniques—Guidefortheproductionofprotectionprofilesandsecuritytargets,NEQ)國家市場監(jiān)督管理總局國家標準化管理委員會信息安全技術保護輪廓和安全目標的產生指南GB/T20283—2020中國標準出版社出版發(fā)行北京市朝陽區(qū)和平里西街甲2號(100029)北京市西城區(qū)三里河北街16號(100045)2020年9月第一版關版權專有侵權必究IGB/T20283—2020 Ⅲ 1 13術語和定義 1 1 2 2 25.3保護輪廓和安全目標的使用 25.4保護輪廓/安全目標開發(fā)過程 65.5閱讀和理解保護輪廓和安全目標 66保護輪廓/安全目標引言 7符合性聲明 8安全問題定義 8.1簡述 8.2識別非正式的安全要求 8.3識別和確定威脅 8.4識別和確定策略 8.5識別和確定假設 8.6完成安全問題定義 209安全目的 9.1簡述 21 229.3識別非IT運行環(huán)境安全目的 229.4識別IT運行環(huán)境安全目的 239.5識別TOE安全目的 239.6產生安全目的基本原理 24 25 26 2611.2安全范型 2811.3確定安全功能要求 ⅡGB/T20283—2020 43 4413組合及部件TOE的保護輪廓和安全目標 45 45 47 4714.1低保障級的保護輪廓和安全目標 4714.2功能和保障包 48附錄A(資料性附錄)擴展組件定義示例 49ⅢGB/T20283—2020本標準代替GB/Z20283—2006《信息安全技術保護輪廓和安全目標的產生指南》,與-—修改了保護輪廓和安全目標概述(見第5章,2006年版的第4章);——修改了安全目的(見第9章,2006年版的第7章);——修改了安全要求(見第11章,2006年版的第8章);——修改了TOE概要規(guī)范(見第12章,2006年版的第9章);證包”(見2006年版的第5章、第6章、第10章、第11章和第13章);殊情況”(見第4章、第6章、第7章、第8章、第10章和第14章);示例”三個附錄(見2006年版的附本標準使用重新起草法參考ISO/IECTR15446:2017《信息技術安全技術保護輪廓和安全目——GB/Z20283—2006。GB/T20283—20201GB/T20283—2020保護輪廓和安全目標的產生指南1范圍和安全目標提供指導。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文GB/T18336—2015(所有部分)信息技術安全技術信息技術安全評估準則GB/T25069—2010信息安全技術術語3術語和定義GB/T25069—2010和GB/T18336.1—2015界定的術語和定義適用于本文件。4縮略語下列縮略語適用于本文件。COTS:商業(yè)現(xiàn)成品(CommercialOfftheShelf)CRL:證書撤銷列表(CertificateRevocationList)DAC:自主訪問控制(DiscretionaryAccessControl)DBMS:數(shù)據(jù)庫管理系統(tǒng)(DatabaseManagementSystem)EAL:評估保障級(EvaluationAssuranceLevel)IT:信息技術(InformationTechnology)LDAP:輕量目錄訪問協(xié)議(LightweightDirectoryAccessProtocol)OSP:組織安全策略(OrganizationalSecurityPolicy)PIN:個人身份識別碼(PersonalIdentificationNumber)PKI:公鑰基礎設施(PublicKeyInfrastructure)PP:保護輪廓(ProtectionProfile)SAR:安全保障要求(SecurityAssuranceRequirement)SFR:安全功能要求(SecurityFunctionalRequirement)SFP:安全功能策略(SecurityFunctionPolicy)2GB/T20283—2020SPD:安全問題定義(SecurityProblemDefinition)ST:安全目標(SecurityTarget)TOE:評估對象(TargetofEvaluation)TSF:TOE安全功能(TOESecurityFunctionality)TSFI:TOE安全功能接口(TOESecurityFunctionalityInterface)5保護輪廓和安全目標概述本章是對PP和ST的讀者、目的、開發(fā)過程和使用等方面的概述,以說明在使用GB/T18336—本標準適用于兩類讀者:a)IT專業(yè)人員:其具有一定安全知識,但并非信息安全評估方面的專家,且對GB/T18336—2015(所有部分)無過多了解;b)信息安全專家:其充分了解GB/T18336—2015(所有部分),并把開發(fā)PP和ST作為自己的工對于IT專業(yè)人員,本章將為其提供理解PP和ST的目的與結構的信息,以及便于其閱讀和理解PP和ST的背景信息。下文將詳細解釋PP和ST各部分的具體內容,并假定讀者具備GB/T18336—2015(所有部分)的知識。效且一致的方式來準備PP和ST。如果讀者不是信息安全方面的專家,也可使用本標準來開發(fā)PP或ST。但使用者仍需查詢、閱讀并理解與其要求相似的已發(fā)布的PP或ST,同時也可考慮向有必備領域專業(yè)知識和經驗的其他人尋求5.3保護輪廓和安全目標的使用GB/T18336—2015(所有部分)的主要目的是用于評估IT產品的安全性。“IT產品”一詞并未在GB/T18336—2015(所有部分)中實際定義,但是它可用于理解為利用信息技術構建的任何實體,包括由一個機構使用的完整的IT系統(tǒng),或者由某個產品制造商生產并銷售給許多不同或不相關客戶的IT產品可以多種方式在多種環(huán)境中使用,安全的概念將隨產品而變化。因此,由GB/T18336—2015(所有部分)產生的最終評估結果絕不是“此IT產品是安全的”,而是“此IT產品滿足這個安全規(guī)——在按照安全規(guī)范進行產品評估時強制要求分析特定內容;——允許對不同產品的安全規(guī)范進行比較。GB/T18336—2015(所有部分)規(guī)定了兩種不同類型的安全規(guī)范:保護輪廓和安全3GB/T20283—2020程中發(fā)揮了不同作用。產品可以是一個小到應用軟件或智能卡,大到操作系統(tǒng)或包含數(shù)百個不同組件——基于選擇的采購過程:即客戶可從現(xiàn)有產品中選擇某個產品。采用這種方式的花費相對低廉,——很難確定其需要何種類型的IT安全;——更難以確定一個聲稱有IT安全的給定產品是否是可用的,或有效地滿足其需求;為協(xié)助客戶解決上述困難,可使用GB/T18336—2015(所有部分)來評估產品,而保護輪廓與安全目標將在此過程中起到重要作用。以下兩節(jié)將就評估在采購過程中的作用進行說明。IT產品不是孤立工作的,其可被用戶使用在一個已包含安全措施的運行環(huán)境中,并假設在運行環(huán)a)客戶應以非正式的方式來確定其安全要求;b)客戶應將這些非正式的安全要求轉換成適合于開發(fā)者使用的更正式的規(guī)范;c)開發(fā)者應基于此規(guī)范開發(fā)產品。超出GB/T18336—2015(所有部分)的范圍,因此其不屬于本標準的范圍之內。GB/T18336—2015(所有部分)假定客戶有能力確定其非正式的安全要求,否則,客戶最終購買的產品可能無法符合真正的安全要求。隱含的要求考慮在內;e)過于詳細:實際上已經寫有實施舉措,但并沒有寫為什么如此實施。在后期要求有所改動時,往往不能確定這些改動應如何實現(xiàn);4GB/T20283—2020若將這類客戶要求提交給開發(fā)者,可能使開發(fā)者產生誤解而導致出現(xiàn)其他問題。而評估者對要求在整個基于規(guī)范的采購過程中,重要的一步是要將客戶要求正式化,即基于GB/T18336—2015(所有部分)的安全要求,利用PP文檔予以正式化。PP文檔是以正式的、標準化的方式來定義客戶的安全要求。將PP作為規(guī)范使用部分)要求使用標準中明確定義的語言來描述這些要求。這種語言可確保PP具有如下特點:c)不拘于細節(jié):該語言在某種程度上進行了抽象。這和客戶要求緊密相關,客戶想知道做了什通過PP構建產品客戶可通過一個PP給出其正式要求,并提交給相關開發(fā)者。開發(fā)者將此PP作為產品研發(fā)的起開發(fā)者不可以隨意提交一個ST來響應客戶的PP,其ST應符合PP,即開發(fā)者提供的產品應涵蓋客戶的所有要求。ST相較PP有如下特點:與PP不兼容;ST指出其如何實現(xiàn)了客戶的要求。應以ST描述的那樣運行。a)開發(fā)者的ST遵從客戶的PP;b)開發(fā)者的產品遵從開發(fā)者的ST;c)開發(fā)者的產品符合客戶的PP并且滿足客戶的要求??蛻羧绻髮@些陳述進行獨立驗證,其可以借助第三方(如評估機構)依據(jù)GB/T18336—5GB/T20283—20202015(所有部分)的安全評估來檢查這些符合性聲明。在這個過程中,評估機構可通過PP、ST、產品和GB/T18336—2015(所有部分)來評估以下兩個聲明:a)ST遵從PP;b)產品遵從ST。a)客戶非正式的安全要求到PP的轉化過程。這個轉化過程不屬于GB/T18336—2015(所有部b)評估并不能“證明”合規(guī)性。GB/T18336—2015(所有部分)評估不提供一個絕對的保證來說明產品滿足PP,它只能基于PP或ST所指定的深度和廣度提供某種程度的保障。b)客戶應根據(jù)此規(guī)范確定該產品是否是最合適其想購買的產品。該規(guī)范如果是非正式的,那么它同中討論的非正式的客戶需求具有同樣的不足?;诖耍撘?guī)范同樣需要正式化,應如中所討論的那樣使用ST。這里的ST與在中討論的ST相同,但是有一個明顯的區(qū)別,由于ST不基于客戶的PP,此ST不能聲稱符合PP。開發(fā)者因為不知道客戶的特定需求,將不得不先預估市場需要什么,然后撰寫ST,無法匹配任何客戶的具體要求??蛻艨梢员容^一定數(shù)量產品的ST,并選擇一個最符合其要求的(可能也會考慮非安全性的要求,如價格)??蛻粢朕k法找出自己的非正式的安全要求(見),并與提供給自己的各個ST進行比正如5.3.2所述,生成非正式的客戶安全要求的過程不在GB/T18336—2015(所有部分)和本標準的范圍之內。要求與ST之間的比較也不在GB/T18336—2015(所有部分)的范圍之內。采購過程即可結束。開發(fā)者會提供證書來證明獨立的第三方(評估機構)已驗證了ST,并依據(jù)GB/T18336—2015(所a)證明客戶非正式的安全要求與ST之間是等價的。這個過程不屬于GB/T18336—20156GB/T20283—2020(所有部分)的范圍,如果證明錯誤,ST將不符合客戶的要求,產品同樣也有可能不符合客戶要求。b)評估并不“證明”合規(guī)性。GB/T18336—2015(所有部分)評估不提供一個絕對的保證來說明產品滿足ST,它只能基于ST所指定的深度和廣度提供某種程度的保障。5.3.4PP的其他用途保護輪廓也還有其他的用途。例如,標準制定機構或供應商協(xié)會可能為特定類型的應用指定一個PP作為最佳實踐的最低安全標準,政府和行業(yè)協(xié)會同意并授權使用。如果存在這種情況,客戶和開發(fā)者可能都需要遵守這些PP,也需提供附加的安全功能,以滿足自身的特定需求。組織機構指定或批準PP,要確保此類PP是最低程度的(僅要求絕對必要的)和切合實際的(不能要求開發(fā)者完成無法實現(xiàn)的功能或保障)。PP也可表達對某種特定類型安全產品的需求,即使其在發(fā)布時還未存在這樣的產品。這種情況者是PP的發(fā)起者可能已經找到其他方式來滿足他們的要求,而不想再購買這樣的產品。在GB/T18336.1—2015的附錄A和附錄B以及前文所述的內容中,有關PP和ST要求的陳述,a)定義安全問題;b)確定與安全問題對應的安全目的;c)定義滿足TOE安全目的安全要求;d)選取滿足安全要求的安全功能。不排除可能需要重復表述的情形。例如,定義安全要求時可能會突出表述所要滿足的安全目的或是在構建基本原理時,可能出現(xiàn)更多的重復。在基本原理中的所有問題都被消除后,才能假定PP或a)識別出新的威脅;b)改變組織安全策略;c)由于費用和時間上的限制,希望由TOE擔負或由TOE環(huán)境擔負的責任劃分發(fā)生變化;d)對于預期攻擊潛力的改變將影響TOE的安全問題定義。如果TOE是已開發(fā)好的產品,PP或ST作者可能已經有TOE安全功能的明確思考,那么安全關注點和安全目的的定義將不可避免地受到TOE安全解決方案的影響,此時PP與ST的開發(fā)過程可能本節(jié)內容可不提供給那些已擁有GB/T18336—2015(所有部分)知識的專家使用,其專門提供給那些對PP和ST知之甚少的讀者,這些讀者需要閱讀PP或ST以了解相關產品的安全能力。本節(jié)的目的是強調那些在評估范圍內可能被掩蓋的潛在疏漏或不足。7GB/T20283—2020詳細了解PP和ST的內容,可閱讀GB/T18336.1—2015附錄A和附錄B,其提供了有關安全目標和保護輪廓的詳細信息。同時,也可以查閱已經公布且普遍使用的其他PP和ST。PP或ST不能由一組簡單的屬性來概況,其描述了一系列復雜的安全屬性。如果不仔細閱讀PP或ST,在購買或使用該產品時,可能導致意外情況的發(fā)生。如果對GB/T18336—2015(所有部分)沒有深入了解,也幾乎很難理解PP或ST里的某些部分。PP或ST中較易理解的部分章節(jié)包含了關鍵信息,可用于理解PP要求的安全屬性或ST所描述的產品。相關且易讀的章節(jié)包括:c)運行環(huán)境下的安全目的;d)符合性聲明。5.5.2閱讀TOE概述在閱讀PP或ST時,一般首先要閱讀TOE概述,因為“TOE概述的目的是幫助TOE的潛在消費者,他們通過查找已評估的TOE或產品列表找到可能滿足他們安全需求,且是他們的硬件、軟件和固件支持的TOE”。(參見GB/T18336.1—2015的A.4.2)。TOE概述包括三個重要部分:a)TOE的用途及主要安全特性;c)需要的非TOE的硬件/軟件/固件??稍贕B/T18336.1—2015的A.4.2找到一些簡單例子。TOE用途及主要安全特性的描述是為了讓公眾對TOE在安全方面的能力以及在安全環(huán)境中的使用有一個大致的了解。TOE類型是描述TOE屬于IT產品的哪個通用類別(如防火墻、智能卡、局域網等)。GB/T18336—2015(所有部分)要求TOE概述應列出任何合理的預期,讀者可從TOE類型中找到不被TOE支持的預期。具體如下:a)如果TOE類型使人認為TOE具有某種安全功能,但它實際并不具備此功能,則TOE概述中應列出這個缺失的功能;b)如果TOE類型使人認為TOE可以在某環(huán)境中使用,但實際并不能在這樣的環(huán)境中使用,則TOE概述中應列出這一點。這些警告信息僅在PP或ST的這個部分出現(xiàn),PP或ST的作者后續(xù)可用備注的方式在適當位置使用此TOE。TOE(特別是軟件類型的TOE)有時不得不依靠硬件、固件和其他軟件才能運行,因此TOE概述應要標識出非TOE的硬件/軟件/固件。PP或ST并不要求應提供一個完整的、充分詳細的有關所有硬件/軟件/固件的標識信息,但標識信息應是完整的且充分詳細的,以便能確定TOE需要使用的主要外部硬件/軟件/固件。應仔細評估是否有TOE所依賴的非標準組件,確認這些組件是否適合現(xiàn)有的基礎設施、預算或公8GB/T20283—20205.5.3閱讀TOE描述某知名產品已被評估,但這并不意味著該產品所有的安全特性(甚至是大多數(shù)安全特性)都已被評估。可能只有某些安全功能特性被考慮,其余的都未作為被評估的安全功能的一部分。GB/T18336.1—2015中A.4.1描述禁止誤導性的TOE標識,但開發(fā)者總是僅僅使用產品名稱予以應付。需要檢查被評估的功能是否滿足需求。如果想要使用的安全功能被排除在外,則應對此加以留意。TOE描述最重要的作用之一就是讓ST讀者能發(fā)現(xiàn)這一點。為此TOE描述詳細論述了TOE的物理和邏輯范圍。軟件及指南部分的一個列表。該列表應在一定程度上進行詳細描述,使讀者對這些部分有一般性理解”(參見GB/T18336.1—2015中A.4.3)。的安全特征,使讀者獲得對這些安全特征的一般性理解。該描述應比TOE概述中描述的重要安全特物理范圍介紹了TOE各個部分,而邏輯范圍則說明TOE做什么。應仔細檢查TOE概述以確定需要的所有安全相關的功能是否都進行了評估,否則,不能從評估中獲得操作該功能的任何保障。例如,如果客戶希望產品具有遠程管理功能,但在邏輯范圍內并未提及遠程管理,那么遠程管理很可能未被評估,客戶如想按評估配置使用該產品,最好不要打開遠程管理功能。運行環(huán)境是指通常放置TOE的位置。為了使TOE正常工作,運行環(huán)境應滿足一定的約束條件。例如,如果某TOE是一個高可用性的服務器,那么此TOE需要保護以防被篡改。這種保護可以由這些類似的有關運行環(huán)境的要求會在PP或ST的運行環(huán)境安全目的一節(jié)中描述。這些目的的描述應由除TOE之外的事情來實現(xiàn),以便TOE滿足其安全要求??稍贕B/T18336.1—2015中A.7.2.2找到更多的運行環(huán)境安全目的的實例。這些都不是僅供參考的指導,而是讓TOE運轉的必要條件。這些目的應充分滿足,并由某個人或某個組織處理。如果這些目的中的任何一項沒有被滿足,TOE都有可能無法安全地正常工作。因此,確認是否能夠實現(xiàn)這些目的是至關重要的,如果其中有一項無法實現(xiàn),那這個TOE可能就不適合客戶使用。符合性聲明通常在PP或ST的顯著位置,一般是在開頭部分。它通常包括如下保護輪廓/安全目標聲明的符合性如下:——GB/T18336。聲明所使用的GB/T18336版本。 第2部分擴展或第2部分。這一部分定義了安全功能要求的結構,從消費者的角度看,兩種都是可以接受的。——第3部分擴展或第3部分。這一部分定義了安全保障要求的結構。如果是“第3部擴展”,這意味著PP和ST的開發(fā)者設計了他們自己的質量保障測試,從消費者的角度看,應詢問為什9GB/T20283—2020——TOE聲明符合性的包列表。通常只有一個這樣的包,它被命名為EAL1,EAL2,...,EAL7。這些EAL內容將在5.5.7中進一步討論。ST可能聲明符合的PP(但不強制),PP也可以聲明符合其他的PP。GB/T18336—2015(所有部分)不允許任何形式的局部符合,如果有引用的PP,則PP或ST應完全符合所引用的PP。PP符合性意味著PP或ST(如果ST是關于被評估的產品,那么該產品也一樣)滿足這一PP的所合性”。已發(fā)布的PP通常要求可論證符合性。這意味著ST聲稱符合PP,那ST應為PP中所描述的通用安全問題提出解決方案,但可以是與PP描述等同或更嚴格的任何方式。“等同但更嚴格”在GB/T18336—2015(所有部分)中有所定義,但原則上它意味著,PP和ST中可使用完全不同的陳述。嚴格符合性只用在不允許PP和ST存在任何差異的情況下。ST仍然可以引入額外的限制。如果5.5.7EAL及保障問題TOE概述和TOE描述可表明TOE能夠做什么(例如,由TOE提供的功能不能概括IT產品的所有功能)。一般功能相同的產品可通過不同的設置來使用。例如,同一個智能卡——存有少量數(shù)額的車票;——信用額度為1萬元的信用卡;——絕密設施的訪問控制措施。第一種情況。如果黑客設法破解了公共汽車的車票,其也許能夠免費乘搭公共汽車直到卡的參數(shù)變化。公共汽車公司的潛在收入損失并不顯著(前提是其他卡沒有被以同樣的方式所攻擊)。嚴重。這就涉及產品的保障問題。GB/T18336—2015(所有部分)評估通過檢查產品開發(fā)的諸多方面來GB/T18336—2015(所有部分)將保障分為27個類別(也稱為保障族)。在每類中,規(guī)定了不同級——0:不知道開發(fā)者是否已對產品進行了測試;——1:開發(fā)者針對產品的某些接口進行了一些測試;——2:開發(fā)者針對產品的所有接口進行了一些測試;——3:開發(fā)者針對產品的所有接口進行了大量測試。GB/T18336—2015(所有部分)設有7個預定義的級別,稱為評估保障級(EAL)。從EAL1到每個EAL可被看作是一個27個數(shù)字的集合,每一個對應一個子類別。例如,EAL1分配等級1給GB/T20283—202013子類別,分配等級0給其他14個子類別。而EAL2分配等級2給7個子類別,分配等級1給12個子類別,分配等級0給其他8個子類別。EAL是嚴格的等級體系,所以如果EALn分配了某一等級給某個子類別,那么EALn+1將分配相同或更高的等級給該子類別。嚴格來講,較高保障級也意味著成本的提高。在前面介紹的測試范圍中,為0的等級將意味著沒有成本,但對些操作。更高的保障幾乎總是意味著更多的成本。當然,更高的保障也降低了功能出現(xiàn)故障或含有可被利用漏洞的風險。針對EAL及此EAL的保障特性,在每個EAL列表中都配有描述,可見GB/T18336.3—2015中第7章的描述。本節(jié)主要是為了表述以下信息:a)可通過閱讀ST中的一些章節(jié)合理地來理解ST;曾有消費者表示需要一個EAL4級的防火墻,但即使通過GB/T18336—2015(所有部分)認證的例如,假設消費者需要一個提供包路由和HTTP/FTP代理服務功能的防火墻。某通過EAL4評估的路由器的TOE類型包含了防火墻,而作為路由器,其僅提供了包路由控制功能,因而不適合作為防火墻使用。更有甚者,如果一個通過評估的防火墻可提供代理服務,但其邏輯范圍又僅限于包路由,上述關于PP或ST的描述是PP和ST最基本的部分,其有助于非專業(yè)人員閱讀。如果想了解更多有關產品的信息,可嘗試閱讀TOE概要規(guī)范,其更詳細地介紹了TOE是如何實現(xiàn)的。TOE且可被用戶理解的TOE概要規(guī)范為目標。6保護輪廓/安全目標引言不需要給出額外的指導。PP引言包括以下要素:——PP標識;——TOE概述。ST引言包含以下要素:——ST和TOE標識;——TOE概述;——TOE描述。非顯而易見的部分是TOE概述中的“TOE的使用和主要安全特性”。TOE的使用是由PP或STGB/T20283—2020中的安全問題定義部分衍生來的,而TOE主要安全特性最好通過概括TOE的安全目的來描述,這可確保引言與PP或ST的更詳細部分保持一致。7符合性聲明本章針對PP或ST中的符合性聲明提供指導。ST符合性聲明的描述參見GB/T18336.1—2015中A.5,PP符合性聲明的描述參見GB/T18336.1—2015中B.5。PP或ST的符合性聲明描述了PP或ST應如何符合于:b)保護輪廓。此處列出PP或ST聲稱符合性的任何保護輪廓。一個簡單列表足以,此處不需要額外的信息。c)包。此處列出由PP或ST中引用的任何包。聲稱與一個在GB/T18336.3—2015中定義的保障包(EAL)具有符合性是很正常的,可能也帶有增強要求。一個簡單列表足以,此處不需要額外的信息。這種符合性也適用于基于該PP或ST的任何TOE。如果已指定一個PP,應定義其他PP和ST如何符合此PP,這有如下兩種選擇:a)嚴格的符合性。從概念上講,這意味著PP/ST應包含這個PP上的一切。如果為正準備購買或開發(fā)的產品編寫一個準確、完整規(guī)范的PP,應要求嚴格的符合性。如果要指定一個PP用于任何其他目的,用可論證的符合性。如果聲稱與某功能包或其他的PP符合,那么安全問題定義、安全目的和安全要求,應與包或PP兼容。未有TOE同時實現(xiàn)所有的要求。8安全問題定義本章針對PP或ST中的SPD提供指導。GB/T18336.1—2015中A.6和B.6分別描述了PP和ST的安全問題定義。安全問題定義的目的是以一種正式的方式明確安全問題的本質和范圍,如圖1所示。安全問題定義是PP或ST最重要的部分,但并非所有保護輪廓和安全目標都含有安全問題定義(詳見第14章)。以下引自GB/T18336.1—2015:A.6.1)。GB/T20283—2020環(huán)境假設環(huán)境假設威脅分析安全問題如果定義的問題是錯誤的或含糊的,那么PP和ST的余下部分的內容也都將是錯誤的。更為糟糕來說,被作為采購規(guī)范或采購選擇參考標準的PP或者ST,明確好其安全問題定義是極為重要的。PP和ST的后續(xù)章節(jié)將結合其運行環(huán)境闡述TOE是如何處理這些問題的,因此安全問題定義清晰簡潔一致是很重要的。GB/T18336—2015(所有部分)未假設或授權安全問題定義的任何過程或方法。本章詳細說明了a)識別和確認非正式的安全要求;c)描述適用的策略;d)描述適用的假設;e)完成和檢查完整的SPD。不論采用何種方法,本標準假設安全問題定義代表了對現(xiàn)有的非正式安全要求的規(guī)范化描述。在寫到文檔中。因此,第一步是要識別和確認非正式的要求,盡管其不會在PP或ST中呈現(xiàn)。非正式的要求可能是顯而易見且明確的,但在某些情況下,開發(fā)SPD的很大一部分工作可能僅僅是識別非正式有兩方面并沒有被GB/T18336—2015(所有部分)所要求,但在實踐中發(fā)現(xiàn)其可以節(jié)省整體時間,a)描述不用考慮的威脅;b)形成一個關于SPD與非正式安全要求之間的基本原理。如果SPD不闡述基本原理,則會存在一定風險,導致部分非正式的要求可能會在制定SPD的過程安全功能的詳細信息。按照這個原則,本章將集中于安全問題方面。對于TOE如何滿足安全目的的討論將留給PP或ST的后續(xù)部分。若一個特定解決方案的任務是作為非正式安全要求的一部分,該解決方案將被表述為SPD中的一部分,以保障它被描述并且能夠合理約束后續(xù)設計決策??傆幸恍┯嘘P安全問題的相關事情和其預期的解決方案在安全問題定義開始之前就已知曉。這些要求和限制形成非正式的安全要求。因此,識別和描述非正式的安全要求是安全問題定義的第一步。GB/T20283—2020識別非正式的安全要求有多種方式。有可能存在本標準中描述的通用方法不能識別的情況,這就需要仔細全面地考慮安全要求。本節(jié)建議的潛在信息來源將輔助安全問題的識別。如果安全功能是一個用戶明確需求的一部分,安全風險評估需覆蓋整個系統(tǒng),包括采購的COTS產品,以識別出需要靠IT安全控制來減少的風如果缺少這三個要素的任何一個,則不會產生風險。這種形式的模型假定由GB/T18336—2015(所有部分)給出,如果實際的風險評估使用了相互矛盾的風險模型,在SPD中映射出的風險評估結果就會存在問題。或確定資產的價值時不能只從一個角度出發(fā)。循某些相似機構的業(yè)務特點或相關邏輯要求。即使一個策略以法律或合同為邏輯基礎,其規(guī)定的安全控制措施可能并不適用于特定的系統(tǒng)或組安全要求可能源于一種期望,它試圖證明某組織或者COTS產品可以實行的一些IT安全控制。這類安全問題非常適合GB/T18336—2015(所有部分)評估,因為,評估機構在評估完成后會頒發(fā)官方證書,并針對安全控制提供獨立的驗證。已發(fā)布的PP可用于標識適合的安全控制。組織可以實施這樣的策略,即IT產品應通過GB/T18336—2015(所有部分)評估。GB/T20283—2020安全風險評估的結果是有關安全問題定義的最佳信息來源。識別可接受的和不可接受的風險可以使安全問題在設計階段得到修正。如果以消除特定風險所需要的安全控制是難以實現(xiàn)或難以評估的,仍然可以通過用多種方法,使用多種安全控制,來應對不同的潛在風險,最終達到可接受的總體風險水平。慎使用其結果。相關信息可能不僅與待開發(fā)的IT產品相關,而且與其運行環(huán)境相關。該運行環(huán)境決定了對人員,程序和物理控制的可依賴水平。公共空間與密閉服務器機房有非常不同的安全需求。人員、程序和物但它們仍然要在安全環(huán)境中加以描述。事實上,確定安全問題定義的任何方面都應描述為非正式安全要求的一部分。a)該產品應應對潛在攻擊;b)該產品應具備的安全屬性或功能;c)該產品不需要具備的安全屬性或功能。這類區(qū)分是很重要的,因為它們在PP編制的后續(xù)步驟處理中要使用不同的方法。潛在的攻擊應被視為對TOE的威脅并予以應對。產品應具備應對該威脅的安全屬性和功能,包括規(guī)定的安全解決從不同來源獲得的非正式要求的不同部分可能會重復,甚至可能是矛盾的。這些有矛盾的信息需8.3識別和確定威脅潛在威脅。GB/T18336—2015(所有部分)并沒有指定任何用來識別威脅的特別方法。威脅分析和識別比定義組織安全策略和假設更加復雜和困難。但是如果非正式的要求主要來自組織安全策略或強制性要求(見8.2),則可能更優(yōu)先定義安全問題中的策略和假設(見8.4和8.5),然后再如本節(jié)所述方法進行威脅分析,最后重新審視并完成策略和假設的定義。如果策略和假設可以很容易a)決定要使用的分析方法;b)識別該方法所需的參與者;c)應用方法。識別威脅的最佳方法,取決于非正式的安全要求是如何得到的。如果要求是根據(jù)風險評價的結果GB/T20283—2020識別相關威脅。b)威脅數(shù)據(jù)庫搜索;威脅樹分析是一個針對問題分解的分析技術,廣泛應用于風險管理與可靠性工程領域。將經過深作為PP或ST中規(guī)定的實際威脅。威脅樹還提供了一個威脅選擇原理,并保障沒有相關威脅被忽略。數(shù)據(jù)庫搜索是基于一個或多個預定義的通用威脅數(shù)據(jù)庫,查看哪些條目與識別出的產品攻擊相匹配。數(shù)據(jù)庫搜索的優(yōu)點是可以考慮到各種各樣的威脅,這些威脅以一致的方式進行表述和規(guī)定。數(shù)據(jù)解為有多種類型的抽象資產,因為在COTS產品的案例中,要保護的實際資產對PP或ST編制者來說是未知的。GB/T18336—2015(所有部分)的威脅主體定義為“可對資產產生負面作用的實體”。當描述PPb)授權用戶;c)特權用戶;e)系統(tǒng)的所有者和開發(fā)者。攻擊者是指未經授權的,想要訪問受IT產品所保護的資產的人。這其中也包括經過授權卻故意隱瞞自己身份的用戶。對IT系統(tǒng)所有者來說,攻擊者是不可知的,除非其攻擊行為被檢測到,且能鏈接到一個確定身份的人。特權用戶是指已授權的,可用與安全策略相反的方式來使用IT產品的人,并且可以在資產所有者沒有明確許可的條件下訪問資產。大多數(shù)系統(tǒng)管理員應是特權用戶。當然,還有其他類型的特權用戶,如維修硬件和軟件的工程師。雖然IT產品無法對特權用戶的行為所造成的損害進行防護,但特權用戶要對自己的行為負責。管理員是指當IT產品安裝在運行環(huán)境上之后,那些負責其正確操作的人。管理員負責建立控制GB/T20283—2020系統(tǒng)的所有者和開發(fā)者是指那些負責規(guī)范、設計、實施一個系統(tǒng)或COTS產品的人。這些人雖然資產對威脅分析來說非常重要,需要得到正確地識別。大多數(shù)威脅分析方法可以處理不精確或重疊的敵對行為,但需可辨識并清楚地描述資產。本節(jié)提供一個詳細方法來確定需要由一個特定的IT產品保護的資產或資產類型。針對一個系統(tǒng),作為系統(tǒng)組成部分的受保護資產往往會被準確地識別。針對一個COTS產品,產與IT系統(tǒng)相關的資產通常分為三類:a)信息資產;b)過程資產;c)物理資產。信息資產表現(xiàn)為對組織有價值的數(shù)據(jù)。信息資產類型示例如下:——一般數(shù)據(jù);——系統(tǒng)數(shù)據(jù);—-—客戶數(shù)據(jù)。專業(yè)數(shù)據(jù)庫表現(xiàn)為對一些用戶有價值的信息。例如人事數(shù)據(jù)庫(只對人力資源部門有價值)或客戶數(shù)據(jù)庫(只對部門的訂單處理、銷售的人有價值)。客戶數(shù)據(jù)可以指那些不歸系統(tǒng)所有者占有的數(shù)據(jù)或一個特殊的合法數(shù)據(jù)。息資產表現(xiàn)出來。將系統(tǒng)數(shù)據(jù)與其他數(shù)據(jù)區(qū)分開來是必要的。如果系統(tǒng)數(shù)據(jù)被修改或刪除,TSF可能失效或不能正況下資產可分為兩類,一個表現(xiàn)為TSF數(shù)據(jù),另一個表現(xiàn)為受產品保護的所有其他數(shù)據(jù),稱為用戶數(shù)據(jù)。數(shù)據(jù)加以區(qū)別。TSF數(shù)據(jù)類型示例如下:-—TSF配置數(shù)據(jù);——鑒別信息數(shù)據(jù)庫;--—審計記錄。關數(shù)據(jù)在未被應用程序處理的情況下幾乎毫無價值。過程資產類型示例如下:——財務;——通信;——后勤;GB/T20283—2020——制造;——辦公自動化。財務應用可能包括工資、投資管理或賬戶管理。通信系統(tǒng)包括電子郵件或網絡信息處理。后勤系統(tǒng)可能包括訂單處理、倉庫控制和資源調度。制造應用可能包括實時過程控制。辦公自動化可能覆蓋結構化文本處理。物理資產表現(xiàn)為實際的信息處理設備,用于支持信息——關鍵網絡基礎設施;——便攜式電腦;——數(shù)據(jù)中心。物理保護或被排除在外,或由運行環(huán)境來提供,并且通過假設來處理。物理資產一般不會出現(xiàn)在理資產可能要在PP或ST中體現(xiàn)。不是要識別出大量的資產或資產類型,如果兩種資產或資產類型有相同攻擊和攻擊后果的潛在可能性,應將其組合成一個復合資產類型。大多數(shù)TOE只會保護兩種類型的資產,即TSF數(shù)據(jù)和用戶數(shù)據(jù)。GB/T18336—2015(所有部分)沒有提供任何關于如何描述敵對行為方面的指導。至于威脅主體,最好的建議是列舉出盡可能簡單的一系列行為。一個簡單且廣泛的敵對行為集如下:——不適當?shù)脑L問;——訪問權的不當傳遞;——拒絕合法訪問;別處理。作為非正式安全要求的一部分,許多類型的威脅可能不用考慮,這或是因為其已被排除在IT產品在COTS產品中,應用上面的威脅排除方法是很普通的事情。例如,假設買方希望購買一個專業(yè)毒功能。容忍威脅通常是在系統(tǒng)環(huán)境中發(fā)現(xiàn)的。這要求對資產價值進行評估,而COTS產品制造商不會去做這些事情。GB/T20283—2020在許多IT產品中,事先就已決定了要包括安全功能,而不是通過實際威脅的獨立分析導出這些安還會使產品包括用戶標識與鑒別功能。威脅的相關信息通常在IT產品應具備的屬性列表中顯而易見。如果不是,它需要被證實,然后添威脅表明了IT產品可能被攻擊的可能途徑。因此,針對威脅描述的措辭最好方法是使用動詞,如如果威脅的主體、資產和敵對行為是相似的,那么威脅可以這主要表現(xiàn)在威脅主體方面,大多數(shù)類型的威脅通常與該類型的主體相關聯(lián)。有些專門針對管理員的威脅類型可能因此而無需考慮。其他類基本的抽象機未能執(zhí)行其相關的安全模型。威脅分析有可能沒有識別出任何適用于TOE的威脅,這在GB/T18336—2015(所有部分)評估中安全問題定義也應包含一系列TOE應遵守的OSP。對比威脅,策略一般更容易識別和描述。組織安全策略是IT產品應做的事情的聲明,這與所面臨的威脅或其他情況無關,一個清晰且適當?shù)牟呗钥蓞⒖既缦玛愂觯篜.IDAUTH管理員在訪問任何TOE功能或數(shù)據(jù)之前要驗證自己的身份。像威脅描述一樣,用一個策略名來開始策略的描述。策略的大多數(shù)的PP和ST的作者將策略以“P”開頭命名。在GB/T18336—2015(所有部分),策略通常被稱為OSP。本標準通常采用簡單的術語“策略”來多數(shù)適用的策略應在非正式安全要求的識別過程或在威脅分析過程中已被確定。然而,最終應做GB/T20283—2020一個檢查用來識別任何與安全問題相關的策略。策略用于規(guī)定如下內容:-——要在TOE中納入強制性的安全功能;—-——將用于實現(xiàn)特定安全功能(這隱含T策略也可以被用來代替威脅,如下列情況:——無法確定某個特定的威脅是否已存在,但策略已決定進行保護以應對這種威脅;——策略已決定如何應對特定的威脅。例如,規(guī)定某種控制措施來防止攻擊,或規(guī)定在發(fā)生攻擊時該如何處理;——策略已決定采用特殊方法來應對一些相關威脅。在最后的檢查過程中識別出的策略可能需要對前期的安全問題定義活動進行修正,例如,刪除已被新策略覆蓋的威脅。策略陳述有時也會出現(xiàn)誤用情況,其所陳述的要求實際上不能由TOE來完成,而是應由TOE的運行環(huán)境來執(zhí)行。如果一個要求不能被TOE所實現(xiàn),正確做法是將其作為涉及運行環(huán)境的假設。如果策略既不能由TOE來執(zhí)行,也不能由運行環(huán)境來執(zhí)行,那這樣的策略就是毫無意義的。在識別安全問題、解決問題的過程中,所提出的TOE邊界可能需要更改,以實現(xiàn)TOE功能和運行環(huán)境之間的轉換。這可能會導致策略成為假設,或假設成為策略,或者為顧及新的TOE邊界而重新規(guī)定策略或假設。同樣,在能被分解成若干處理不同安全問題部件的組合TOE中,一個部件的假設通常被另一個部件作為策略來要求。在這種情況下,細致的策略陳述將有助于策略在其他SPD中作為假設來使用,以確保兼容性和檢查的一致性。可能存在這樣的情況,即在準備安全問題定義時,還不清楚策略是由TOE還是TOE運行環(huán)境來實現(xiàn)。當安全功能的要求較為明確時,這個問題可以在安全目的的定義過程中予以解決。TOE安全目的和環(huán)境安全目的都可以反向鏈接到策略,一個策略甚至可部分由TOE實現(xiàn),部分由環(huán)境實現(xiàn)。并非所有的安全問題都需要策略,這在GB/T18336—2015(所有部分)評估中是完全可以接受的,描述策略的章節(jié)可保留為空,以表明無可適用的策略。8.5識別和確定假設安全問題定義的第三個方面是應包含一系列適當?shù)募僭O,用以限制或排除TOE內部的安全特性。假設是針對事項的聲明,用以表明這些事項無需IT產品來實現(xiàn),也不需考慮威脅或其他事項,假設只是在陳述事實。一個明確且表述良好的假設可參考如下陳述:A.PHYSICALTOE將放置在一個物理安全的地方。假設有兩個用途:—-—要表明一個特定控制或控制類型將由運行環(huán)境提供,并不是由TOE提供;-—要表明特定威脅或威脅類型不用考慮,因為在假定的運行環(huán)境中,它們將不存在或者并不重要。應加以區(qū)分環(huán)境控制方面的假設與未被考慮的威脅方面的假設,因為前者是由GB/T18336—2015(所有部分)要求的,而后者是本標準的建議,以簡化顯示安全目的涵蓋只適用于威脅和策略。假設描述應盡量短,突出重點,并為每個假設設定一個簡短的名稱。按照慣例,假設名稱一般以關于運行環(huán)境的假設可分為三類:——物理保護;——人員和程序;20GB/T20283—2020——TOE的外部技術功能。A.INTERNETTOE要與互聯(lián)網隔離。A.NO_DEV_TOOLS在TOE的運行環(huán)境中,不允許再出現(xiàn)開發(fā)者對系統(tǒng)進行功能性修改的工具。在許多情況下,策略和威脅將會由TOE和部分環(huán)境協(xié)同處理。例如,TOE內的技術控制措施可很多假設都可能在確定非正式的安全要求或威脅分析過程中被識別出來。在安全問題定義過程假設。其次,是與IT運行環(huán)境所提安全功能相關的假設。最后,是關于威脅不被考慮的假設。這些假有些安全問題可能不需要任何假設,這在GB/T18336—2015(所有部分)評估過程中是完全可以最后的階段是完成SPD。這涉及兩個任務:——執(zhí)行一致性和完整性檢查來確認SPD可準確地描述安全問題。威脅、策略和假設的陳述對評估目的來說是非常明確的,因此在GB/T素映射到非正式的安全要求,并表明這個覆蓋是完整的。如果要求發(fā)生改變,基本原理可使SPD更容一致性和完整性檢查應檢查所有在安全問題范圍內的約束和要求是否已反映在策略或假設中,應檢查所有識別出的威脅是否可通過某種方式予以抵抗或不予考慮。SPD的所有策略、威脅和假設應可反向鏈接到原始的非正式的安全要求,可通過創(chuàng)建一個交叉引用表來顯示這種一致性和完整性。21GB/T20283—20209安全目的本章針對GB/T18336.1—2015中A.7和中B.7的要求,就ST或PP中的安全目的提供指導。至于安全目的,GB/T18336.1—2015中B.7指向了GB/T18336.1—2015中A.7,暗示兩者的預期內容是安全目的是安全問題預期反應的簡明陳述(見GB/T18336.3—2015的9.4.1和10.4.1)。如果安全目的被表示為所需安全功能的概述和結構,并且提供了一個SFR細節(jié)與SPD抽象問題定義之間的鏈GB/T18336—2015(所有部分)定義了兩種類型的安全目的:如圖2所示。安全問題安全問題組織安全策略環(huán)境安全目的安全目的TOE安全目的假設威脅所有的PP和ST都應確定環(huán)境安全目的,低保障級的PP和ST(見第14章)不必指定TOE安全GB/T18336—2015(所有部分)未設定編制安全目的的特定過程或方法論,用戶可以使用任意方法。本章介紹了一種在實踐中嘗試和測試過并且在許多組織和環(huán)境中十分有用的簡單方法,此方法包括如下步驟:b)確定非IT運行環(huán)境目的;c)確定IT運行環(huán)境目的;d)確定TOE目的;e)確定安全目可反向鏈接回已被GB/T18336—2015(所有部分)指出安全目的應簡明扼要,在實踐中,需要在以下兩方面之間取得22GB/T20283—2020a)安全目的應有助于讀者理解在安全問題定義中標識的那些安全問題是由TOE來處理。理想情況下,TOE安全目的應與實現(xiàn)是無關的。關注的重點是安全目的是什么,而不是如何去實現(xiàn)安全目的。b)應確保安全目的的定義不是在重復安全問題定義中的威脅、OSP等信息,應以一種不同的方式去說明如何應對安全問題。當構建安全目的和安全要求基本原理時,應檢查安全目的的細節(jié)描述是否正確。如果其中一個原造成的。明確的TOE安全目的定義有助于確保選擇的安全功能要求滿足安全目的,也有助于最大限度地減少TOE評估的成本和時間。某些看似可能與TOE相關的威脅,在經過風險分析和環(huán)境因素的考慮之后,應判斷其可不被考慮或可被忽略。如果遵循本標準推薦的方法,將在SPD階段將這些威脅識別為假設。這類威脅不會產生——與非IT運行環(huán)境相關的;——與IT運行環(huán)境相關的;——與TOE功能相關的。這種區(qū)分表明:需要物理控制的策略只適用于非IT環(huán)境,針對TOE潛在的攻擊威脅面對的是被分成兩個:——T.EAVESDROP(通信),分配給IT運行環(huán)境;-T.EAVESDROP(內部),分配給TOE功能。失的條目也會造成安全目的的缺失,這將在PP/ST驗證過程中帶來繁重的檢測成本。9.3識別非IT運行環(huán)境安全目的與TOE相比,定義其運行環(huán)境的安全目的更加容易,并且非IT運行環(huán)境安全目的比IT運行環(huán)境為確定這些安全目的,第一步是應把所有分配給非IT運行環(huán)境的假設改寫為和它們一一對應的安全目的。在PP和ST中以及TOE評估過程中不再對環(huán)境安全目的做進一步分析。其他非IT運行環(huán)境安全目的可能包括:a)建立和實施以確保TOE安全使用的程序(特別是根據(jù)環(huán)境的假設);在此階段確定這些目的可能很難,因為其與TOE安全目的相關。如果這些目的比較明顯就添加環(huán)境安全目的的識別命名通常以“OE”開頭,這有助于與通常以“O”開頭的TOE安全目的進行區(qū)GB/T20283—2020也包含在目的描述中。大多數(shù)非IT運行環(huán)境目的來自于假設。單獨從威脅中導出的環(huán)境安全目的可能彌補在安全問題9.4識別IT運行環(huán)境安全目的IT運行環(huán)境目的識別技術與非IT操作環(huán)境的識別技術是相同的,將其與非IT目的分開是非常重按照慣例,IT運行環(huán)境目的以“OE”開頭的命名方法進行識別。針對它們的描述中應包括“IT環(huán)早期版本允許為IT環(huán)境目的指定安全要求,以便定義和解釋它們是如何被實現(xiàn)的,這在GB/T18336—2015(所有部分)中是不允許的。在組合產品中,一個域的IT環(huán)境安全目的將成為其他安全域的TOE目的。9.5識別TOE安全目的TOE安全目的是最重要且最難表述。與環(huán)境安全目的不同的是它們將被用來作為推導出TOE安全功能要求的依據(jù)。安全目的陳述應能清楚地表達且明確它們的意圖,并在安全要求和安全問題之間提供詳細且良好的可追溯性。本節(jié)建議基于安全功能的類型來對TOE目的進行組織,并與GB/T18336.2—2015的安全功能類識別TOE目的的第一步應將前面分配給TOE的威脅和策略列表重新排序,以便把相關威脅和策略放在一起。應注意的是沒有關于TOE功能的假設,因為假設只涉及運行環(huán)境。對于具體PP或ST的威脅和策略分組形式將取決于相關TOE的特性。如果分組與GB/T18336.2—2015的安全功能要求結構有關,那么這有助于生成SFR。f)安全架構要求(所需的屬性和約束);這個分組與第11章提及的安全要求結構之間存在者密切聯(lián)系,以便識別和確定安全功能要求。下一步是為選定的安全服務和安全防護要求類型給出簡單的定義。此過程不是試圖分析和總結安全問題定義,而是應從SPD反向鏈接到非正式安全要求。通過非正式安全要求可以很容易得出每種類24GB/T20283—2020將安全服務列表與威脅和策略列表相比較。對于每個安全服務,判斷與哪個策略和威脅是相關。將未匹配的策略和威脅歸為其他安全服務。下一步,將與每個服務相關的威脅和政策分成通用和具體的相關要求。通用要求應適用于服務定TOE安全目的用來對抗威脅,這通過移除或阻止構成威脅的必要要素來實現(xiàn)。例如移除威脅主體理訪問控制的環(huán)境目的)。威脅也可被間接處理,例如通過實施問責審計行為,熟練的實踐阻止偶然的并不是所有的威脅都可被防止。有時最好的行動就是檢測相一部分。這個過程通常用于確定遺漏的運行環(huán)境相關安全目的。例如,如果告警被選擇作為特定威脅的保護從TOE目的完全移動到運行環(huán)境,反之亦然。這些變化都是預期的。其應重復幾次,直到得到一個明確的覆蓋所有類別的安全目的列表。同描述通用保護要求(直接關聯(lián)到一個主要目的)一樣,特殊的策略有時被用來約束相關的技術解決方案。這種類型的約束應被表示為一個與通用要求關聯(lián)的從屬目的。有時威脅也可直接對應到一個從屬安全目的,此時可將次要的安全目的直接映射到問題源。這樣另一個定義從屬目的是所需的控制類型。控制可以是預防性的(阻止事件發(fā)生)、檢測性的(預測一個事件發(fā)生)或糾正性的(修復事件的后果)。下面是一個預防性的安全目的的例子,其要求TOE對用戶進行標識和鑒別:訪問控制和信息流控制的安全目的也歸入預防類。授權訪問一般要求TOE應執(zhí)行多個訪問控制下面是一個檢測性的安全目的的例子,其要求TOE可提供原發(fā)抗抵賴性的能力:下面是一個糾正性的安全目的的例子,其要求TOE對檢測到的入侵做出響應:不要期望安全目的和威脅或策略之間的一一對應,處理一個的的方法應是TOE執(zhí)行的一部分。GB/T20283—2020需要進一步排除。除了低保障要求的評估,基本原理在GB/T18336—2015(所有部分)中是必要的,并在PP/ST中進行驗證。產生基本原理的方法是準備一個SPD與目的之間的關系表,并檢查是否有任何不一致。提供足夠的覆蓋范圍,這可以通過充分性來進行檢查。如果一個PP或ST聲稱符合其他PP,基本原理應表明TOE安全目的與被引用PP的安全目的陳述是一致的。當PP或ST作者有可能無法準確確定安全功能要求和保障要求時,將不得不改進GB/T18336.2—2015或GB/T18336.3—2015的現(xiàn)有組件。在這種情況下允許定義擴展組件,本章旨在為擴展組件提供指導。應說明的是應盡可能避免使用擴展組件定義。使用擴展組件將使得很難去比較不同產品在安全功能和保障要求之間的不同。相反,應盡可能地使用GB/T18336—2015(所有部分)現(xiàn)有組件,只有在現(xiàn)有組件不能滿足條件的時候才使用擴展組件。GB/T18336.1—2015要求以類似GB/T18336—2015(所有部分)現(xiàn)有組件的方式定義擴展要求。最好采用與GB/T18336—2015(所有部分)相同的結構來描述擴展組件。關于擴展組件的命名,應確認如果這個組件符合其中一個已經在GB/T18336—2015(所有部分)中定義的類或者族,就應以這個類名或者族名加上一個指示符進行命名。ST或PP作者可更容易獲取擴展組件以及按照其要求進行初始化。使用GB/T18336.2—2015功能組件作為模型擴展SFR組件將涉及:a)定義的SFR擴展組件要與GB/T18336.2—2015組件在一個相似的抽象水平上;b)使用與GB/T18336.2—2015組件相似的風格和語法;c)使用與GB/T18336.2—2015組件相同的拓撲結構和命名方法。GB/T18336.2—2015功能組件的表現(xiàn)形式的具體特點包括:a)大多數(shù)功能要求以TSF應或者TSFa)應包含的任何賦值或者選擇操作應由ST或者PP作者完成;b)指出應在PP或者ST之中的對其他SFR的依賴關系;為未包括在GB/T18336.2—2015中的擴展SFR命名,應使用GB/T18336.2—2015的拓撲結構現(xiàn)有的類擴展組件可以被插入到適當?shù)奈恢?。當擴展組件和現(xiàn)有類是無關命名時,為了明確其新的擴展安全要求,可以構建“EX”類或者在組件名后加上“EX”。如何定義擴展組件應在PP或者ST的應用說明中予以解釋。應注意的是,擴展組件命名規(guī)范不應與GB/T18336.2—2015沖突。26GB/T20283—2020附錄A提供了一個關于擴展組件的例子,并且指明它和GB/T18336.2—2015中定義的組件類似。附錄A中的例子,描述擴展的安全功能組件的方法也能描述擴展保障組件。當該保障活動不包含在GB/T18336.3—2015的現(xiàn)有組件中時,為安全目標或保護輪廓中所描述的產品定義一個特別保障活動是可以的。除了以類似于描述在GB/T18336.3—2015中的保障組件方法,擴展保障組件還需要擴展保障組件的定義中應提供下列要素:a)開發(fā)者活動;b)開發(fā)者應提供內容和形式元素的要求;c)評估者活動。GB/T18336.3—2015指出與保障組件關聯(lián)的要素特征如下:b)開發(fā)者應提供內容和形式元素;c)評估者行為元素有兩種形式:——評估者活動形式通常為:評估者應確認所提供的信息滿足證據(jù)的內容和形式的所有要求;當定義擴展保障組件時,還需要定義在評估中符合擴展保障組件的評估者工作單元。工作單元應本章針對PP或ST中的IT安全要求提供指導。PP或ST指定IT安全要求分為兩類:a)TOE安全功能要求(SFR):指出TOE的安全功能應滿足以實現(xiàn)其安全目的的要求;b)TOE安全保障要求(SAR):指出實現(xiàn)SFR所需要的保障級別。TOE安全目的安全功能要求安全保障要求GB/T18336.2—2015GB/T18336.3—2015如圖3所示,IT安全要求的一個顯著特征就是應盡可能地使用GB/T18336.2—2015中定義的安全組件和GB/T18336.3—2015中定義的保障組件來構建。使用GB/T18336—2015(所有部分)是為GB/T20283—2020了在IT安全要求呈現(xiàn)的方式上保證一定程度的標準化,使用GB/T18336—2015(所有部分)來表示IT安全要求是為了更加方便地比較PP與ST??赡艽嬖谶@樣的情況:在GB/T18336.2—2015或GB/T18336.3—2015中沒有適當?shù)墓δ芙M件或的IT安全要求應是無歧義的、可評估的,并且其表達方式與GB/T18336—2015(所有部分)中的組件結構相似。GB/T18336.2—2015和GB/T18336.3—2015中的每個安全組件都有其在GB/T18336—2015(所有部分)中的唯一參考:--—“F”表明其為功能要求;—-—“AU”表明其屬于SFR中的安全審計類;—-—“GEN”表明其屬于安全審計類中的安全審計數(shù)據(jù)產生族;b)GB/T18336.3—2015中的組件也使用類似的方法,只是通過追加一個字母來指明其屬于哪一——字母“E”表明其屬于評估者行為元素,是評估者實施的行為?!?—“DV”表明其屬于SAR中的開發(fā)類;表明其屬于開發(fā)類中的TOE設計族;義的元素也應包含在PP或ST中。需要注意的是,組件之間存在兩種關系能夠作用于選擇IT安全要求的過程:a)一個族中的組件可能存在層次關系,這表明該族中的一個組件包括同族另一個組件中指定的所有要求。比如,F(xiàn)AU_STG.4與FAU_STG.3存在層次關系,因為后者定義的所有都包含在前者中。然而,F(xiàn)AU_STG.4與FAU_STG.1之間沒有層次關系,故在相同的PP或ST中有可能包含這兩個組件。b)組件可能依賴其他族中的組件,這表明當一個組件不能夠滿足要求時,需要依能或與另一個組件的交互,才能正常發(fā)揮其自身功能。比如,F(xiàn)IA_UAU.1(對用戶身份的鑒別)依賴于FIA_UID.1(需標識用戶)。這些組件也應包含在一個PP或ST中,否則這些依賴被認為與威脅和安全目的無關。28GB/T20283—2020為了更好地理解GB/T18336.2—2015中為安全功能要求所定義的類、族和組件的結構,本標準對GB/T18336.2—2015中第5章描述的安全功能范型進行說明。GB/T18336—2015(所有部分)提供安全范型的目的是為構建TOE安全功能模型提供一個基礎,以表明TOE安全目的都被該安全功能模型所覆蓋。前面章節(jié)中提到的范型,在這里可以用來構建一個安全功能的抽象模型,之后再使用GB/T18336.2—2015中定義的SFR來表述。以下章節(jié)為如何構建這樣的模型以及如何使用SFR進行描述提供了指導。過TOE功能(如其他系統(tǒng)的網絡服務)的控制才能訪問(至少對一些實體來說是這樣的)?!鎯?包括內存和磁盤空間);--—CPU時間;GB/T18336.1—2015中的用戶是這樣定義的:TOE以外的,并與TOE交互(或可能交互)的任何實體(人或IT)。GB/T18336.1—2015中的主體是這樣定義的:TOE內部的,對客體執(zhí)行操作的主動實體。用戶和主體是向TOE請求服務從而處理客體和資源的主動實體。為了實現(xiàn)安全目的,TOE在對資源進行使用時應遵循一些需要強制執(zhí)行的規(guī)則。這些規(guī)則可以控作為這些規(guī)則所有參數(shù)的列表舉例如下:——發(fā)起請求的實體的類型和身份;——發(fā)起請求的實體的其他屬性;——請求指定的資源的類型和身份;——請求指定的資源的其他屬性;——請求的類型;——日期和時間;——TOE的內部狀態(tài)。定外部實體集合或組的外部實體,對于TOE來說識別(或可能需要鑒別)這個集合或組就已——TOE維護一個允許使用處于TSF(TOE安全功能)控制下的外部實體列表(或可能同時維護它們的安全屬性)。在這種情況下需要有管理這個外部實體列表以及它們的安全屬性的功能(假設列表是非靜態(tài)的)。GB/T20283—2020外部實體和主體在請求服務并使用受控的資源時都需要使用TSF接口(TSFI)。定過程的一部分,主體的安全屬性將經常被修改來反映綁定的情況。例如,TOE的主體繼承了外部實對不同類型客體的訪問和使用控制規(guī)則通常是有區(qū)別的。為了避免混淆,GB/T18336—2015(所過在獨立的SFR中引用SFP來表明SFR所屬的安全功能策略。一個安全功能策略總是需要一個定義的域是完整的。之后,針對主體或用戶在使用客體或資源時的操作所執(zhí)行的規(guī)則被定義為SFP的一部在SFP中起重要作用的安全屬性的管理要求同時也是SFP的一部分,其中包括定義SFP中實體的安活動實體(用戶或主體)使用特定集合的操作訪問和利用特定集合的客體或資源而制定的規(guī)則,以及管理在這些規(guī)則中所用到的安全屬性的功能。一個典型的例子就是操作系統(tǒng)中針對文件系統(tǒng)的訪問控制策略。進程是主動實體,其中一些進程代表用戶進行操作,因此具有從用戶綁定時的安全屬性所派生出來的安全屬性。對文件系統(tǒng)的操作如中還存在管理進程或文件系統(tǒng)的安全屬性的操作。其他的SFP可能規(guī)定外部實體直接而非通過中間主體執(zhí)行的操作。例如防火墻,它控制外部系統(tǒng)如何使用網絡服務和功能。有主動的實體(發(fā)起請求的外部系統(tǒng))、客體(外部系統(tǒng)請求的目標)和操作(網絡服務)。這個SFP中的規(guī)則可能基于操作中的外部系統(tǒng)身份、操作種類(如使用的端口)、操作上下文(比如一個指定端口的連接是否事先被建立)和網絡包內容。略作為其中一個SFP,一個強制訪問控制策略作為一個附加的SFP。盡管受SFP約束的用戶、主體、客體和操作集合是同一個,但SFP的規(guī)則和這些規(guī)則中使用的安全屬性的集合是不同的。訪問控制策略是從資源和客體以及TOE允許的主動實體(在TOE內部或外部)在這些資源和客體上進行的操作的角度來對TOE安全功能進行建模的。因此導出TOE安全功能模型的訪問控制的第一步就是標識出TOE提供的資源、客體、操作以及觸發(fā)操作的主體和用戶。這個模型一開始只應包含從TOE安全目的和從PP或ST最初描述的TOE戶。為一個已知產品或系統(tǒng)開發(fā)ST的時候,TOE的安全模型中應存在這些定義的實體。當然在定義制策略的一致性和完整性。定義TOE安全功能模型中不存在的實體將會在評估過程中導致不少問題,這是因為在GB/T18336—2015中假設SFR和SFR提到的實體是TOE中存在的抽象實體,且這些實體在TOEGB/T20283—2020定義主體和用戶對資源和客體進行訪問和使用操作的規(guī)則,以滿足TOE安全目的。為一個已知TOE定義ST的規(guī)則應嘗試從模型定義實體的真實行為中抽象而來,以保證TOE實現(xiàn)的規(guī)則是模型中規(guī)則的嚴格細化?;鞠嗤?的規(guī)則分組到安全功能策略中。為每個安全功能策略命名,以便能夠唯一標這些主體和客體的安全屬性如何初始化。為主體和客體的非靜態(tài)安全屬性的管理定義規(guī)則。這些規(guī)則可能包括外部實體通過TSFI所觸發(fā)屬性初始化的規(guī)則。有些情況下用戶不需要注冊,用戶能夠請求服務并且使用他們所具有的證書進行標識和鑒別。這些證書可能也包括用戶的安全屬性。在這些情況下,需要定義如何接受和校對證書的規(guī)則。為用戶的標識和鑒別(如果需要)定義規(guī)則。這些規(guī)則定義了用戶應出示的證書(證書類型,證書的如果TOE支持用戶與主體綁定的功能,那么包括這些綁定的規(guī)則需要被定義。這些規(guī)則可能包括:——需要滿足允許綁定的條件;能還有要定義如何管理這些安全屬性的規(guī)則。在GB/T18336—2015(所有部分)的范型中,用戶是使用TOE接口請求服務的TOE外部實體。用戶在能夠使用TOE服務之前可能需要注冊,或者TOE允許未經注冊的用戶也可以請求服務。在多數(shù)情況下,TOE通過用戶的某些安全屬性來決定是否對其提供服務。用戶安全屬性可由用戶附帶著請求一起提交,也可從TOE存儲的用戶或用戶組的數(shù)據(jù)中提取出來。第一種情況下,TOE需要保證用戶提交的安全屬性是可信的。這意味著在用戶合理使用安全屬性證用戶或用戶組中成員所聲明的身份正確性的規(guī)則。這個過程叫作鑒別,即用戶向TOE提交用來對的參數(shù)如何管理。GB/T20283—2020某些情況下TOE會使用自身的一個主體來代表用戶執(zhí)行動作。在這樣的情況下,主體與用戶通過TSF綁定,當主體綁定到用戶時,TSF會有相應的規(guī)則來定義主體的安全屬性是如何產生的。很多——標識并定義可以訪問TOE的用戶種類(以及每類用戶可能具有的安全屬性集);——標識每種在使用TOE功能前需要注冊的用戶;鑒別時需要的條件;——定義如何管理鑒別過程的規(guī)則(包括對鑒別中所用證書的管理);——為每類用戶定義如何管理用戶安全屬性的規(guī)則;安全屬性如何設置
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 《電源轉移》課件
- 《實木家具調研報告》課件
- 《香港言語治療服務》課件
- 課件人力資源開發(fā)與
- 2024年醫(yī)療設備采購與供應合同3篇
- 2024年生產車間承包與人力資源整合合同范本3篇
- 改裝環(huán)衛(wèi)三輪車協(xié)議書(2篇)
- 2024年物聯(lián)網技術在農業(yè)中的應用合同
- 2025年梧州貨運從業(yè)資格證模擬考試
- 2025年珠海道路運輸從業(yè)資格證考試內容是什么
- 福建百校2025屆高三12月聯(lián)考歷史試卷(含答案解析)
- 鑄牢中華民族共同體意識-形考任務1-國開(NMG)-參考資料
- 農業(yè)經濟學智慧樹知到期末考試答案章節(jié)答案2024年華南農業(yè)大學
- 電網建設項目施工項目部環(huán)境保護和水土保持標準化管理手冊(變電工程分冊)
- 國開電大本科《西方經濟學(本)》網上形考(作業(yè)一至六)試題及答案
- 冷凍結晶技術+膜過濾組合工藝處理硫酸鈉廢水的優(yōu)越性
- 廣西中藥飲片項目建議書(范文模板)
- 上海中級口譯口試部分歷年真題集錦(含答案)
- 《高一家長會物理教師代表發(fā)言稿5篇》
- 揮發(fā)性有機物治理技術(1)匯編
- 整式的加減化簡求值專項練習100題經典實用
評論
0/150
提交評論