1、1 印行年94年10月 本標準非經本局同意不得翻印 中華民國國家標準 CNS 總號 類號 ICS 35.040.00 X5068-115408-1 經濟部標準檢驗局印行 公布日期 修訂公布日期 93年1月9日 年月日 (共46頁) 資訊技術安全技術資訊技術安全評估準則第 1 部:簡介及一般模型 Information technology Security techniques Evaluation criteria for IT security Part 1: Introduction and general model 目錄 前言 3 1. 適用範圍 4 2. 用語釋義 6 2.1 共同
2、縮寫 6 2.2 詞彙範圍 6 2.3 詞彙. 6 3. 概觀. 10 3.1 介紹. 10 3.2 共同準則參用者 10 3.2.1 消費者 10 3.2.2 發展者 10 3.2.3 評估者 11 3.2.4 其它人員. 11 3.3 評估內涵 11 3.4 共同準則的組織 12 4. 一般模型 14 4.1 安全內涵 14 4.1.1 一般安全內涵 14 4.1.2 資訊技術安全內涵. 15 4.2 共同準則作法. 16 4.2.1 發展 16 4.2.2 評估TOE 18 4.2.3 運作 19 4.3 安全概念 19 4.3.1 安全環境. 20 4.3.2 安全目的. 21 4.3
3、.3 IT安全需求 21 4.3.4 TOE的彙總規格. 22 4.3.5 TOE的實作 22 4.4 共同準則描述的資料. 22 2 CNS 15408-1, X 5068-1 4.4.1 安全需求的表達 . 22 4.4.2 安全需求的使用 . 24 4.4.3 安全需求的來源 . 25 4.5 評估的型式 . 26 4.5.1 PP 評估 26 4.5.2 ST 評估 26 4.5.3 TOE 評估 26 4.6 保證的維護 . 26 5. 共同準則需求及評估結果 27 5.1 簡介 . 27 5.2 在 PP 和 ST 中的需求 27 5.2.1 PP 評估結果 . 28 5.3 在
4、TOE 中的需求 . 28 5.3.1 TOE 評估結果 . 28 5.4 評估結果的警告 28 5.5 TOE 評估結果的使用 . 29 附錄 A 共同準則計畫 (參考 ) . 30 A.1 背景 30 A.2 共同準則的發展 . 30 A.3 贊助組織 31 附錄 B 保護剖繪規格 (規定 ) . 33 B.1 概觀 . 33 B.2 保護剖繪的內容 . 33 B.2.1 內容和表示方式 33 B.2.2 PP 簡介 . 33 B.2.3 TOE 描述 . 34 B.2.4 TOE 安全環境 34 B.2.5 安全目的 35 B.2.6 IT 安全需求 . 35 B.2.7 應用須知 36
5、 B.2.8 理由闡述 36 附錄 C 安全標的的規格 (規定 ) 38 C.1 概觀 38 C.2 安全標的的內容 . 38 C.2.1 內容和表示方式 . 38 C.2.2 ST 介紹 . 38 C.2.3 TOE 描述 . 39 C.2.4 TOE 安全環境 39 3 CNS 15408-1, X 5068-1C.2.5 安全目的 40 C.2.6 IT 安全需求 . 40 C.2.7 TOE 彙總規格 41 C.2.8 PP 聲明 . 42 C.2.9 理由闡述 43 英中名詞對照表 . 45 附圖表列 圖 3.1 評估內涵 . 12 圖 4.1 安全觀念與關係 14 圖 4.2 評估
6、觀念與關係 15 圖 4.3 TOE 發展模型 . 17 圖 4.4 TOE 評估過程 . 18 圖 4.5 需求和規格推導 20 圖 4.6 需求的組織及構造 . 23 圖 4.7 安全需求的使用 24 圖 5.1 評估結果 . 27 圖 5.2 TOE 評估結果的使用 29 圖 B.1 保護剖繪內容 . 34 圖 C.1 安全標的內容 . 39 表格表列 表 3.1 共同準則藍圖 13 前言 本系列標準,包含下列部分: - 第 1 部:簡介及一般模型 - 第 2 部:安全功能需求 - 第 3 部:安全保證需求 本標準之附錄 B 及 C 為規範性文件,附錄 A 及 C 僅供參考。 備考 1.
7、 本標準是參照 ISO/IEC15408 系列標準制定;而 ISO/IEC15408 系列標準是由共同準則( Common Criteria, CC)計畫贊助組織,將其資訊技術安全評估共同準則第 1 部至第 3 部,授與 ISO/IEC 而制定之國際標準。 2. ISO/IEC JTC/SC27 根據共同準則詮釋管理委員會( Common Criteria Interpretation Management Board, CCIMB)已在修訂共同準則相關資訊。根據 CCIMB 公布的資料,資訊技術安全評估共同準則於本標準審定時已有多處修正,參考時宜多加注意(參考網址: http :/moncr
8、iteria.org/ccc/ri/finalIndex.jsp)。 4 CNS 15408-1, X 5068-1 1.適用範圍 ISO/IEC 15408 之多份標準系列準則,均根基於歷史及薪傳之目的遵照共同準則( Common Criteria, CC),它是作為評估資訊技術( Information Technology, IT),產品和系統安全性質的基礎之用途,並藉由制定這種共同準則的基礎促使 IT 安全評估的結果能對更多人來說是有意義的。 共同準則允許在獨立的安全評估結果之間可以進行比較。它藉由提供 IT 產品和系統的安全功能及在安全評估期間使用的保證措施的共同需求集來達成。評估過
9、程中制定了信任度等級,表示這個產品和系統的安全功能與使用這些安全功能來滿足需求的保證度措施。評估的結果將有助於消費者決定 IT 產品或系統對他們預期的應用是否夠安全及是否能容忍使用時所具有的潛在安全風險。 共同準則對發展具有 IT 安全功能的產品或系統及採購具有這種功能的商業產品 /系統是相當有用的導引。在評估期間,這種 IT 產品或系統就稱為評估標的( Target Of Evaluation, TOE),包括像作業系統、電腦網路、分散式系統和應用程式等皆可以是 TOE。 共同準則說明對資訊的保護,這些保護使資訊不至遭到未經授權之揭露、修改或漏失。相對上述安全的失敗有關的三種保護型態,一般分
10、別稱為機密性、完整性和可用性。共同準則也能應用於在這三種之外的其它 IT 安全議題。共同準則特別著眼在起因於人為活動(不管是惡意與否)所造成對資訊安全的威脅,但它也同樣能應用於某些非人為的威脅的情況。此外,共同準則可能會應用在其它 IT 領域中,但無法保證在全然的 IT 安全範圍之外亦能勝任。 共同準則也能應用於以硬體、韌體或軟體所實現之 IT 安全措施。特殊的評估觀點只準備應用於某些實作方法,它將會在有關的標準陳述中指明。 某些主題因為涉及(或包括)特殊化技術或對 IT 安全來說是次要的,故不在共同準則範圍之內。下面指出一些例子: (a) 共同準則不包括與 IT 安全措施沒有直接相關的管理安
11、全措施之安全評估準則。然而,一般認為 TOE 安全最重要的部分能透過管理上,例如:組織、人員、實體及程序控制的措施來達成。在 TOE 作業環境之管理上安全措施作為安全使用的假設,會對 IT 安全措施中抵抗可辨識威脅之能力有影響。 (b) 不特別包含評估 IT 安全的實體技術觀點(例如:電磁發射控制)。但是這裡所提出的大多數觀念亦可應用在此領域中,尤其是共同準則提出了一些保護 TOE實體的觀點。 (c) 共同準則在評估機構( evaluation authority)使用的準則中,既不會說明評估方法也不會說明管理上及法律上的架構。然而,一般期望在這種架構和方法的內涵中共同準則可被作為評估用途的使
12、用。 (d) 對使用評估結果於產品或系統的認證( accreditation)之使用程序,不在共同準則所討論的範圍之內。產品或系統的認證是管理過程,藉此得到允許在整個作業環境中操作 IT 產品或系統之授權。評估焦點集中在產品或系統的 IT 安全部分及作業環境中可能會直接地影響 IT 元件安全使用的部分。評估過程的結果對 5 CNS 15408-1, X 5068-1認證過程當然是有用的輸入資訊。然而,如同其它更適合對非 IT 相關的產品或系統的安全性質及其他與 IT 安全部分的關係來評鑑的技術一樣,認證員( accreditors)宜就這些方面作個別準備。 (e) 共同準則中不包含針對評鑑密碼
13、演算法所具品質之準則。若是需要對在 TOE 中所含密碼學之數學性質做獨立評鑑時,共同準則所應用的評估方案必須對這種評鑑有準備。 6 CNS 15408-1, X 5068-1 2.用語釋義 2.1 共同縮寫 下列各縮寫常見於共同準則各冊文件中: APE 保證剖繪評估 (Assurance Protection Profile Evaluation) ASE 保證安全標的評估 (Assurance Security Target Evaluation) CC 共同準則( Common Criteria)在 ISO/IEC 15408 之系列標準中,是具有歷史背景之名稱,取代 ISO 中“資訊技術
14、安全評估”的正式名稱。 EAL 評估保證等級( Evaluation Assurance Level) IT 資訊技術( Information Technology) PP 保護剖繪( Protection Profile) SF 安全功能( Security Function) SFP 安全功能政策( Security Function Policy) SOF 功能強度( Strength Of Function) ST 安全標的( Security Target) TOE 評估標的( Target Of Evaluation) TSC TSF 控制範圍( TSF Scope of Con
15、trol) TSF TOE 安全功能( TOE Security Function) TSFI TSF 介面( TSF Interface) TSP TOE 安全政策( TOE Security Policy) 2.2 詞彙範圍 第 2.2 節只包含共同準則所有文件在特定方面所使用的術語( term)。在共同準則文件中所使用的大多數的術語是根據公認的字典定義、 ISO 安全相關詞彙或其它有名的安全相關的術語收集文件,而能夠普遍接受的術語定義。一些常見術語的組合也會在共同準則中使用,而當不存在於詞彙定義中時,則將在使用的內涵中解釋清楚。在共同準則本系列標準第 2 部及第 3 部中所使用的術語解釋
16、及在特殊情況下使用到的觀念,都能夠在它所出現的章節範例中找到。 2.3 詞彙( Glossary) ( 1)資產( Asset) TOE 對策所保護的資訊或資源。 ( 2)指定( Assignment)組件中已識別參數的規格。 ( 3)保證( Assurance)個體滿足其安全目的之信任依據。 ( 4)攻擊潛在性( Attack potential)察覺一個成功攻擊的可能性。一旦發動攻擊以攻擊者的專業知識、資源及動機表達查覺潛在攻擊之可能性。 ( 5)擴增( Augmentation)本標準第 3 部中的 EAL 或保證套件中增加一個或多個保證組件。 ( 6)鑑別資料( Authenticat
17、ion data)用來查證使用者聲明其身分之資訊。 ( 7)經授權使用者( Authorized user)一得依據 TSP 而執行某項作業之使用者。 7 CNS 15408-1, X 5068-1( 8) 類別( Class)具有共同特點( focus)之屬別的群集。 ( 9) 組件( Component)包含在 PP、 ST 或套件中之最小可選擇的元件集合。 ( 10)連接性( Connectivity) TOE 的性質,它能允許與 TOE 外部的 IT 個體之間進行交互作用,包括跨越任何距離的環境或配置下,藉由有線或無線的方式進行資料交換。 ( 11)相依性( Dependency)需求
18、之間的關係,使得此需求通常必須滿足其它相關的需求才能達到目的。 ( 12)元件( Element)不可分割的安全需求。 ( 13)評估( Evaluation)依據已定義的準則來評鑑 PP、 ST 或 TOE。 ( 14)評估保證等級( Evaluation Assurance Level, EAL)由本系列標準第 3部中的保證組件所組成的套件,它表示共同準則已預先定義之保證尺度上的某一點。 ( 15) 評估機構 ( Evaluation authority) 使用評估方案為特定社群 ( community)實作共同準則的組織。因此社群中的組織能確立標準及監督評估品質。 評估方案( Evalu
19、ation scheme)在特定社群中由評估機構應用共同準則下的行政及管理架構。 ( 16)延伸( Extension)在 PP 或 ST 中增加共同準則本系列標準第 2 部不包括的功能需求及 /或本系列標準第 3 部不包括的保證需求。 ( 17)外部 IT 個體( External IT entity)在 TOE 外部與 TOE 互相作用之任何可信賴或不可信賴的 IT 產品或系統。 ( 18)屬別( Family)具有共同安全目的之組件群集,但得在強調事項或嚴謹度上有所差異。 ( 19)正規( Formal)使用語法受限制之語言及根基於良好數學觀念之語意來表達。 ( 20)使用人( Huma
20、n user)任何與 TOE 互相作用的人員。 ( 21)身分( Identity)識別唯一經授權使用者的表示方式(例如:字串),它可為使用者全名、縮寫或其匿名。 ( 22)非正規的( Informal)使用自然語言來表達。 ( 23)內部通訊通道( Internal communication channel)在 TOE 不同部分之間的通訊通道。 ( 24) TOE 內部的轉送( Internal TOE transfer)在 TOE 不同部分之間轉送資料。 ( 25) TSF 之間的轉送( Inter-TSF transfer)在 TOE 與其它可信賴 IT 產品的安全功能之間傳送資料。
21、( 26)迭次( Iteration)使用含有不同的運作的組件一次以上。 ( 27) 物件( Object)在 TSC 中包含或接收資訊的個體,且根據主體( subject)來執行運作。 ( 28)組織安全政策( Organizational security policy)組織根據其運作所利用 8 CNS 15408-1, X 5068-1 的一個或多個安全規則、程序、實務或導引。 ( 29)套件( Package)可再利用的功能或保證組件集合(例如: EAL),組件組合在一起後能滿足一組所識別的安全目的。 ( 30)產品( Product) IT 軟體、韌體及 /或硬體的套件,可提供功能設
22、計之使用或納入在多功能系統中。 ( 31)保護剖繪( Protection Profile, PP) TOE 中與實作獨立的安全需求集合之目錄,可以滿足特定顧客的需求。 ( 32)參考監視器( Reference monitor)可執行 TOE 存取控制政策的抽象機器概念。 ( 33)參考驗核機制( Reference validation mechanism)實作參考監視器的概念,具有下列性質:它能抵抗竄改、經常使用及容易進行仔細的分析和測試。 ( 34)精細化( Refinement)對組件增加細部的敘述。 ( 35)角色( Role)預先定義的規則集合,規定使用者和 TOE 之間允許的交
23、互作用。 ( 36)秘密( Secret)只有經授權使用者所須知道的資訊及 /或 TSF 為了要執行特定 SFP 的資訊。 ( 37)安全屬性( Security attribute)主體、使用者及 /或物件用來實施 TSP的相關資訊。 ( 38)安全功能( Security Function, SF) TOE 一部分,必須依據與 TSP 密切相關的規則子集合來執行。 ( 39)安全功能政策( Security Function Policy, SFP) SF 執行的安全政策。 ( 40)安全目的( Security objective)欲抵抗已知威脅及 /或滿足已知的組織安全政策與假設敍述。
24、 ( 41)安全標的( Security Target, ST)安全需求的集合及規格,用來作為評估已知 TOE 的基礎。 ( 42)選取( Selection)在組件列表中設定一個或多個項目。 ( 43)半正規的( Semiformal)使用具有語意明確而語法受限制的語言來表達。 ( 44)功能強度( Strength Of Function, SOF)認定 TOE 安全功能的能力。藉由直接攻擊其基礎的安全機制,來表示假設需要擊敗所期望的安全行為之最小努力。 ( 45)基本功能強度( SOF-basic) TOE 功能強度的等級,表示攻擊者具有最低的攻擊可能性會對 TOE 安全造成無意破壞而提
25、供的適當保護功能。 ( 46)中等功能強度( SOF-medium) TOE 功能強度的等級。它表示攻擊者具有中等的攻擊可能性會對 TOE 安全造成有意且明顯破壞而提供的適當保護功能。 ( 47)高等功能強度( SOF-high) TOE 功能強度的等級。它表示攻擊者具 9 CNS 15408-1, X 5068-1有最高的攻擊可能性會對 TOE 安全造成計畫性及組織性的蓄意破壞而提供的適當保護功能。 ( 48)主體( Subject) TSC 中可致使運作執行的個體。 ( 49)系統( System)具有特別用途及運作環境的特定 IT 設置。 ( 50)評估標的( TOE) IT 產品或系統
26、及其相關管理人員和使用者的導引文件皆為評估的主體。 ( 51) TOE 資源( TOE resource) 在 TOE 中可再利用或可消耗的事物。 ( 52) TOE 安全功能( TOE Security Function, TSF)所有必須依據正確的 TSP 執行之 TOE 硬體、軟體和韌體組成的集合。 ( 53) TOE 安全功能介面( TOE Security Function Interface, TSFI)無論是交談式(人機介面)或程式化(應用程式介面)的介面集合。 TOE 資源存取是透過 TSF 居間處理或直接從 TSF 獲得資訊。 ( 54) TOE 安全政策( TOE Secu
27、rity Policy; TSP)制定 TOE 中資產如何管理、保護及分配的規則集。 ( 55) TOE 安全政策模型( TOE security policy model) TOE 執行的安全政策的結構化表示。 ( 56) TSF 控制之外的轉送( Transfer outside TSF control)不受 TSF 控制的資料轉送。 ( 57)可信賴通道( Trusted channel) TSF 與遠端可信賴 IT 產品能具有必須信任的通訊以支援 TSP 的方式。 ( 58)可信賴路徑( Trusted path)使用者與 TSF 能具有必須信任的通訊以支援 TSP 的方式。 ( 59
28、) TSF 資料( TSF data) TOE 所產生可能會影響 TOE 運作的資料。 ( 60) TSF 控制範圍( TSF Scope of Control)在 TOE 中或 TOE 之間受限於 TSP 規則所能發生的互相作用之集合。 ( 61)使用者( User)任何在 TOE 外部並與 TOE 互相影響的個體。 ( 62)使用者資料( User data)使用者所產生不會影響 TSF 運作的資料。 10 CNS 15408-1, X 5068-1 3.概觀 本章介紹共同準則的主要觀念,可用來識別有關主要讀者、評估內涵和方法所要說明的資料。 3.1 介紹 IT 產品或 IT 系統所持有的
29、資訊是組織推展相關任務成功與否的關鍵資源。此外,每個人對於 IT 產品所包含的個人資訊能確實保持私密、在需要時可使用及不會遭受未授權的修改能持有合理的期待。 IT 產品或 IT 系統應該在執行其功能的同時,針對有害或未經授權的散播、更改或漏失的危險,行使適當的控制以保證資訊能受到保護。防止及緩和這類的危險就是術語 IT 安全的範圍。 許多 IT 的消費者對於判斷他們的 IT 產品或系統的安全是否具備適當的信任度缺乏必須的知識、專業技術或資源,但是他們也不希望完全聽信產品發展者的說詞。消費者可能因此藉由分析其安全,以對 IT 產品或系統的安全措施增加信任度(即安全評估)。 共同準則能用來選擇適當
30、的 IT 安全措施,而且它包含用來評估安全需求的準則。 3.2 共同準則參用者 對評估 IT 產品和系統的安全性質有關係的人大致有三種: TOE 消費者、 TOE發展者及 TOE 評估者。這份文件所提出的準則皆被結構化以能支援這三種人的要求,而他們都被認為是共同準則的主要使用者。下面段落將解釋這三種人從準則中能獲取之益處。 3.2.1 消費者 共同準則在支援消費者選取 IT 安全需求以表示他們組織要求的技術方面扮演著重要的角色。共同準則被撰寫成保證評估的結 果能滿足消費者的要求,這也是評估過程的基本用途和理由。 消費者能使用評估的結果來幫助他決定已評估過的產品或系統是否會滿足他們的安全要求,而
31、這些安全要求典型上被認為是風險分析和政策指導的結果。消費者也能夠使用評估的結果來比較不同的產品或系統,而以階層式來表示保證需求能夠符合這個要求。 提供消費者(尤其是有關的消費群及社群)一個實作獨立的結構,稱為保護剖繪( PP),以表達他們對 TOE 中安全措施的特別需求 3.2.2 發展者 共同準則目的是準備及協助支援發展者評估他們的產品或系統,並確定每個產品或系統要滿足的安全需求。相關的評估方法及對評估結果具有相互承認協議,將進一步允許共同準則支援 TOE 發展者之外的準備及協助評估發展者的 TOE。 共同準則結構能用來作為 TOE 所聲明要符合評估的特定安全功能及保證之確定需求。每個 TO
32、E 需求包含在一個實作相依的結構中,稱為安全標的( ST)。而一個或多個 PP 能提供概略的消費者需求基礎。 11 CNS 15408-1, X 5068-1共同準則描述發展者在 TOE 中能包含的安全功能。共同準則能夠決定對支援 TOE 評估的責任和動作所必須的證據,同時它也定義證據的內容和表示方式。 3.2.3 評估者 共同準則包含評估者在執行判斷 TOE 能符合其安全需求所使用的準則。共同準則描述評估者欲實現之一般化動作的集合以及執行這些動作的安全功能。注意共同準則不會詳細說明實現這些動作所要遵循的程序。 3.2.4 其它人員 當共同準則以 TOE 之 IT 安全性質的規格和評估為目的時
33、,它也可能對所有與 IT 安全有責任或有關的團體是有用的參考資料。其它可以從共同準則內含的資訊中獲得益處的群體有: (a) 須對決定及達成組織 IT 安全政策負責的系統管理者( custodian)和系統安全官員( security officer)。 (b) 須對評鑑系統安全的適當性負責的內部及外部稽核人員。 (c) 須對 IT 系統和產品的安全內容之規格負責的安全建造者及設計者。 (d) 負責決定是否接受 IT 系統在特定的環境中之使用的認證人員。 (e) 提出評估要求及支援的評估贊助者( sponsor of evaluation)。 (f) 負責管理及監督 IT 安全評估計畫的評估機構
34、。 3.3 評估內涵 為了要在評估結果之間獲得較大的可比較性,宜在可信賴的評估方案架構中執行評估,此方案設立標準、監督評估品質及執行評估設備與評估者必須遵循的規則。 共同準則不會說明管理架構的需求。然而對評估結果能達到相互承認的目標而言,在不同評估機構的管理架構之間一致性是必須的。圖 3.1 描述形成評估內涵的主要元件。 使用共通的評估方法對於結果的可重覆性和客觀性有助益,但是僅有此是不夠的。許多的評估準則需要使用專業技術的判斷及背景知識,因而對於一致性的目標更是難以達成。為了要加強評估結果的一致性,最終的評估結果可以提交至驗證過程。驗證過程是對評估結果進行獨立的檢驗,以產生最終的憑証或批准,
35、而證書通常是公認有效的。注意驗證過程是應用 IT 安全準則所獲得較多一致性的方式。 評估方案、評估方法和驗證過程是評估機構在執行評估方案應負的責任且不包含在共同準則的範圍之內。 12 CNS 15408-1, X 5068-1 圖 3.1 評估內涵 評估規範評估方法評估方案進行評估批准/發證最後評估結果證書/註冊列表3.4 共同準則的組織 下列指出共同準則中各部所敘述不同的但相關的內容,每部敘述時所使用的術語會在本標準第 4 節解釋。 (a) 第 1 部:簡介及一般模型( Introdunction and general model)。介紹共同準則所定義 IT 安全評估的一般觀念和原理並提出
36、一個用來評估安全的一般化模型。第 1 部中也提到對產品及系統表達 IT 安全目的、選擇及定義 IT 安全需求和撰寫高階規格的結構。此外,會根據每位主要讀者分別說明共同準則各部的用途。 (b) 第 2 部:安全功能需求( Security functional requirements)。建立一個功能組件的集合,作為表達 TOE 功能需求的標準方式。本系列標準第 2部記載著功能組件、屬別和類別的集合。 (c) 第 3 部:安全保證需求( Security assurance requirements)。建立一個保證組件的集合作為表達 TOE 保證需求的標準方式。本系列標準第 3 部記載著保證組件
37、、屬別和類別的集合。本系列標準第 3 部也定義了評估 PP及 ST 和提出評估保證等級( Evaluation Assurance Level, EAL)。評估保證等級是共同準則預先定義用來估計 TOE 保證的等級。 上面列出支援共同準則的 3 部文件,一般預期將有其它類型的文件會陸續發表,包括有關技術上的理由闡述資料及導引文件。 下列表格提出三個基本的主要讀者群對共同準則每 1 部有關係的部分。 13 CNS 15408-1, X 5068-1表 3.1 共同準則藍圖 消費者 發展者 評估者 第 1 部 作為背景資料及參考用途,是構成 PP 之導引文件。 作為 TOE 需求發展及闡述安全規格
38、之背景資料和參考文件。 作為背景資料及參考用途,是構成 PP 及 ST 之導引文件。 第 2 部 作為闡述安全功能需求敘述之導引和參考文件。作為解釋 TOE 功能需求的敘述及闡述其功能規格之參考文件。 作為評估準則決定 TOE 是否有效地符合所聲明的安全功能時的強制性敘述。 第 3 部 作為決定所需的保證等級之導引文件。 作為解釋 TOE 保證需求的敘述及決定其保證方法之參考文件。 作為評估準則決定 TOE 在評估 PP 及 ST 保證等級時的強制性敘述。 14 CNS 15408-1, X 5068-1 4.一般模型 本章提出共同準則所有文件會普遍使用的觀念,包括文件中使用的觀念及共同準則應
39、用這些觀念的方法。本系列標準第 2 部和第 3 部將延伸這些觀念並假定所敘述的方法能被使用。本章假設讀者具備某些 IT 安全的知識並且不會在這方面多做介紹。 共同準則使用一些安全觀念和術語來討論安全。瞭解這些觀念和術語對有效運用共同準則是必要的。然而,這些相當普遍的觀念是不會限制共同準則所能應用 IT 安全問題的種類。 4.1 安全內涵 4.1.1 一般安全內涵 安全涉及在威脅中保護資產,此處,這些威脅歸類為對受保護資產造成損害。所有的威脅種類都宜被考慮;但是在安全領域中特別需要注意的是那些惡意或與其它人類活動相關的威脅。圖 4.1 舉例說明其高階化的觀念和關係。 圖 4.1 安全觀念與關係
40、風險威脅起因資產威脅脆弱性對策擁有者利用可能知道可能具有減少導致對增加對欲最小化重視欲損害且/或能破壞引起利用能藉以減少防護資產利益是擁有者的責任,擁有者賦予那些資產具有某種價值。真實或假設的威脅起因也可能賦予資產某種價值,並探索與擁有者利益相反而濫用資產的方法。擁有者將認定此威脅可能對資產造成損害,導致擁有者將會減少資產的價值。安全相關的特定危害通常包括(但不受限於)對未授權接受者公佈資產的危害(喪失機密性)、對資產因未授權修改的危害(喪失完整性)或未授權剝奪存取資產(喪失可用性)所造成的危害。 資產擁有者將會分析可能的威脅以決定何者適用於他們的環境中,這種結果就是熟知的風險。這項分析在選取
41、對策來抵抗風險及降低到可接受的程度是 15 CNS 15408-1, X 5068-1有助益的。 利用對策來減少資產擁有者(直接或間接地提供其它團體指引)的弱點及符合其安全政策,可能在採取對策後仍然存在剩餘的弱點。這些弱點相對代表威脅起因可資利用的剩餘資產風險程度,而擁有者將會試圖在限制條件下將風險減到最少。 圖 4.2 評估觀念與關係 風險擁有者資產信任度對策保證保證技術產生減少對需要評估給定證據給予由於擁有者必須在他們允許將其資產暴露在特定威脅之前,對資產能適當的抵抗威脅之對策有信心。擁有者本身可能不會具備判斷所有對策觀點的能力,而因此可能試圖評估對策。評估結果陳述了對策降低對須受保護資產
42、的風險所提供之保證其可信賴的程度。此陳述指定對策的保證等級,保證在適當運作下對策的性質能給予信任度之依據。這份陳述可被資產擁有者用來決定是否接受資產暴露在這些威脅的風險。圖 4.2 舉例說明這些關係。 資產擁有者通常對這些資產具有應負的責任,而且宜對決定接受資產暴露在這些威脅的風險能夠防禦,這是需要來自可防禦的評估結果陳述。因此,評估宜產生可引用作為證據之客觀與可重複的結果。 4.1.2 資訊技術安全內涵 許多資產在 IT 產品或系統中是以資訊的形式來儲存、處理和傳輸,以符合資訊擁有者所設定的需求。資訊擁有者可能需要嚴格控制散佈及修改任何資訊的表示方式(資料)。他們可能要求 IT 產品或系統實
43、作 特定的安全控制, 16 CNS 15408-1, X 5068-1 以作為抵抗對資料造成的威脅之整體安全政策的一部分。 採購及建構 IT 系統以符合特定的需求,並因為經濟上的理由可對已存在有價值的 IT 產品做最大的利用,這些 IT 產品如作業系統、一般用途的應用程式組件和硬體平台。系統實作的 IT 安全對策可能使用基本 IT 產品的功能且與 IT 產品安全功能的正確性運作有關。故此 IT 產品可能因此受到評估的限制而成為 IT 系統安全評估的一部分。 當 IT 產品被納入或被考慮納入到多重 IT 系統中時,單獨地評估產品的安全及建立已評估過產品的目錄是具有較好的成本優勢。這樣的評估結果證
44、實宜在某種程度上可以表示多重 IT 系統中所納入的產品,而不需要對 IT 系統安全檢驗進行多餘且重複的工作。 IT 系統認證人員具備資訊擁有者的權力,以決定是否 IT 與非 IT 安全對策的組合對資料提供適當的保護,且能決定是否允許系統進行運作。認證人員可能要求評估 IT 對策以決定是否這些 IT 對策能提供適當的保護及是否特定的對策可以被 IT 系統適當地實作。這種評估可獲得不同形式和程度的精確性,它和認證人員及所使用的規則是有關的。 4.2 共同準則作法 對 IT 安全的信任度能透過發展、評估及運作處理中可能採取的動作來獲得。 4.2.1 發展 共同準則不會強制任何特定的發展方法或生命週期
45、模型。圖 4.3 描述了有關安全需求和 TOE 之間關係的基本假設。本圖可用來提供 作為討論內涵,而且不宜被解釋為主張對某一種方法,(例如:階層化瀑布法)比另外一種(例如:雛形設計法)較為偏好。 IT 發展所利用的安全需求對提供消費者有效的安全目的是必要的。除非在發展過程開始到最後產品完成時(不管是多麼優良的設計)能規定適當的需求,否則可能無法符合消費者預期的目的。 17 CNS 15408-1, X 5068-1圖 4.3 TOE 發展模型 安全需求原始程式/硬體描述高階設計功能規格TOE 實作設計及實作精細化對應分析及整合測試在 TOE 發展模型過程中,將安全需求精細化的表示在安全標的(
46、security target, ST)的 TOE 彙總規格中。每個較低層次的精細化表示具有附加的設計細節之設計分解。而最低的抽象表示就是 TOE 本身的實作。 共同準則不會強制一組特定的設計表示方法。共同準則的需求宜具有充分的設計表示方法,以提出足夠的細緻程度來說明,但需要: (a) 每個精細化層次都是較高層次的完整詳細說明。(也就是所有在較高層次定義的 TOE 安全功能、性質及行為都必須在較低層次中提出說明)。 (b) 每個精細化層次都是較高層次的精確詳細說明。(也就是較高層次不需要定義在較低抽象層次的 TOE 安全功能、性質及行為)。 共同準則保證準則確定了功能規格、高階設計、低階設計及
47、實作之設計抽象層次。根據規定的保證程度,發展者可能需要說明發展方法如何能符合共同準則的保證需求。 18 CNS 15408-1, X 5068-1 圖 4.4 TOE 評估過程 評估規範評估方案評估方法發展TOE評估TOE安全需求(PP及ST)TOE及評估證據評估結果TOE運作迴授(Feedback)4.2.2 評估 TOE 如圖 4.4 所描述, TOE 評估過程可能和 TOE 發展同時實行或者緊接其後。 TOE 評估的主要輸入有: (a) TOE 證據集,包括作為 TOE 評估基礎之已評估過的 ST。 (b) 評估所需要的 TOE 。 (c) 評估準則、方法及方案。 此外,供參考的資料(如
48、共同準則的應用須知)和評估者與評估社群對 IT 安全專業技術等都能用來作為評估的輸入。 評估過程所預期的結果為確認 TOE 能滿足其在 ST 陳述的安全需求,並產生一個或多個由評估準則所決定評估者的調查結果有關於 TOE 的文件報告,這些報告就像對發展者一樣,會對 TOE 代表的產品或系統實際的或潛在的消費者將是相當有用的。 經由評估所獲得的信任程度相依於符 合保證需求(例如:評估保證等級)相依。 能夠以兩種方式獲致較好 IT 安全產品的評估。評估意在識別發展者能更正 TOE 中的錯誤或脆弱性,並藉此減少將來會產生安全失敗的可能運作。而且在準備做精確評估時,發展者可能更要注意 TOE 的設計及
49、發展。所以評估過程間接地運用在初始需求、發展過程、最終產品及作業環境上會具有相當好的正面效果。 19 CNS 15408-1, X 5068-14.2.3 運作 消費者可能會在他們的環境中選擇使用已評估過的 TOE。一旦 TOE 開始運作,可能許多事前所不知道的錯誤與脆弱性會出現或者需要修改若干的環境假設條件。根據運作的結果來實行回授能要求發展者修正 TOE 或者重新定義其安全需求與環境假設條件。此改變可能會要求 TOE 重新評估或加強其運作環境的安全。在某些情況下,可能只需要對 TOE 中更新的部分進行評估以恢復其信任度。雖然共同準則包含適用於保證維護的準則,但是重新評估之詳細程序(包括評估結果的重複使用)是超出共同準則範圍之外。 4.3 安全概念 評估標準在支援安全的 TOE 發展及評估之工程處理及管理架構內涵中是最有用的。本節只提供作為例證及導引用途,而且不打算限制共同準則中所使用的分析過程、發展方法或評估方案。 當使用 IT 且擔心 IT 組件防護資產的
