专题·CC标准 | 信息技术安全评估准则新版标准的变化及应用展望
2024-1-15 18:8:31 Author: mp.weixin.qq.com(查看原文) 阅读量:17 收藏

CC 标准自 1996 年 1 月发布首版以来,已经过四个大版本若干个小版本的文本发布,其中 CC3.1 版本就有五个小版本的修订。标准修订之所以如此频繁,主要是由于该标准在国际应用的广泛性,以及 CC 互认协定(CCRA)组织对标准应用的推广和各方需求的积极响应,如通过每年召开的 CC 国际技术会议(ICCC)和各类安全技术国际社区(iTC)等,广泛接纳来自全世界的技术专家、产品开发者和用户、测评机构等提出的各类 IT 产品安全设计、测评经验和标准建议,积极应对信息技术发展所带来的各种威胁和挑战。

CC 标准发展至今,已于 2022 年 8 月推出最新版的国际标准 ISO/IEC 15408-2022,该版标准修订过程历时 6 年,旨在大力解决标准存在的一些业界共识问题。测评中心同步牵头组织 80 余家产学研用单位共同开展 GB/T 18336-2015 标准的修订、试点验证、应用推广等工作。在此过程中,针对我国网络安全和信息技术发展现状,新标准、新理念、新方法的科学性、合理性及适用性得到进一步验证。与此同时,为提升标准的易读性和实操性,编制组在保证标准内容与国际 ISO/IEC 15408-2022 等同的基础上,更多采用中文本土化表达方式。目前,新版准则即将发布实施。
为切实发挥标准新理念对产业界及安全测评领域社会各方的实际作用,本文对新版标准中的新变化进行了深入分析和研究,并结合我国国情和产业现状,凝练和总结了部分可借鉴的内容。
(一)标准支持的两类安全评估方法及相关文本结构的调整,使得标准更具易用性、普适性和应用的一致性
随着信息技术的不断发展,IT 产品呈现出一些明显的特点,其中部分技术成熟的 IT 产品,产业界已在其架构、设计、功能实现、部署方式等方面形成共识,且产品应用广泛;与之形成对比的是伴随着新型 IT 技术的不断涌现,而产生的各类新型 IT 产品,如云、量子计算、区块链、隐私计算等技术,应运而生的各类 IT 产品,由于其依托的技术还未成熟或产品刚刚成型,产品部署后面临的安全风险、攻击技术等还都面临日新月异的变化,且产品未大范围应用。针对上述 IT 产品的不同特点,GB/T 18336 从概念到标准结构方面进行更新完善,更有针对性的支持这些不同产品的安全评估,以最大限度的优化评估流程并减少测评开销。
两类安全评估方法。新版 GB/T 18336 标准内容对两类安全评估方法提供支持。即“基于攻击(attack-based)”的评估方法和“基于规范(specification-based)”的评估方法。
首先,“基于攻击”的评估方法,应用 CC 标准的一般模型,即资产所有者、威胁主体在围绕资产价值上采取的对抗行为,开展安全评估,其目的是证明模型中资产所有者采取对策的充分性和正确性。“基于攻击”的评估方法以此为基础进行评估,在适用的被测产品和各类读者方面具有以下特点:
一是被测产品。使用该评估方法可针对所有 IT 产品开展安全评估,特别适用于新型 IT 产品、暂时没有形成产业统一技术规范的IT产品及芯片、密码模块等一旦部署很难替换的产品。
二是评估者。依据评估保障级(从低到高)EAL1-EAL7 的相关要求,执行不同级别所对应的脆弱性分析,可采用最新的攻击手段对被测产品开展穿透性测试,要求评估者掌握业界最新的技术实践和攻防手段。
三是开发者。对是否已有产品安全规范即保护轮廓(Protect Profile,PP)不做强制要求,只需要撰写符合待测产品实际情况的安全目标(ST)即可,要求开发者掌握业界最新的技术实践和一定的攻防知识。
四是消费者。依据 EAL 级别选择满足自身需求的 IT 产品,并需要分析产品的 ST 和评估报告以区分产品的具体差异。
第二类“基于规范”的评估方法,通过“精确符合性”“直接基本原理”等新概念,及 GB/T18336.4 对评估方法和活动的规范框架,使得“基于规范”的评估方法更加完备。与“基于攻击”的评估方法相比,“基于规范”的评估前提是必须具有产业各方一致认可的产品安全 PP 规范。同时,PP 配套有相关的支持文档,按照 GB/T 18336.4 的框架要求,规定出如何对 PP 中的各安全功能要求和保障要求开展评估活动,形成统一的评估方法和测试深度。在适用的被测产品和各类读者方面具有以下特点:
一是被测产品。使用该方法只能针对已具有 PP 的 IT 产品开展安全评估,适用于技术发展成熟、产业各方已形成共识的 IT 产品。
二是评估者。依据 PP 和支持文档进行评估,不需要按照评估保障级相关要求进行评估,不需要针对被测产品执行脆弱性分析,只评估被测产品对 PP 的符合性,支持文档规定了统一的评估方法。
三是开发者。需要完全依据 PP 来撰写 ST,即满足精确符合性,按照 PP 和支持文档的要求进行被测产品的安全功能设计、开发和自测。
四是消费者。只需要选择通过测评的产品即满足此类产品部署的安全需求。
这两类评估方法进一步增加了 GB/T 18336 标准的易用性、普适性和应用的一致性。既为技术成熟且应用广泛的 IT 产品,通过建立完备的 PP 及一致的评估方法,规范该类 IT 产品产业安全水平,为消费者比较和选择产品提供统一标准和安全信心。同时标准中以威胁分析为基础的“基于攻击”的评估方法,满足消费者对 IT 产品从低到高安全级别的需要,适用于所有信息技术产品,特别针对暂无 PP 的新型 IT 产品,提供了科学适用的安全评估方法。
标准结构由三部分扩为五部分。GB/T 18336-2015 及其之前各版本标准均由三部分构成,即 GB/T 18336.1《简介和一般模型》、GB/T 18336.2《安全功能组件》和 GB/T 18336.3《安全保障组件》。此次新版本较之前标准结构发生了较大变化,由三部分变化为五部分(详见下图)。
图 新版 GB/T 18336 结构变化情况
其中,GB/T 18336.3 的内容进行了扩展和重组,安全保障组件主体内容保留在第三部分中。GB/T 18336.4 的作用已在“基于规范”的评估方法中进行了介绍。GB/T 18336.5 包含评估保障级 EAL1-EAL7 和组合产品评估等预定义的安全包,以此对“包”概念及其使用进行了进一步完善,将产业各方已达成一致且具有特定用途的一组要求,形成预定义的功能包或保障包来使用,增加组件的易用性和重用性,并有助于标准使用者在评估时保持一致尺度,也有助于减少开发 PP 和 ST 的工作量。
(二)模块化、复合评估等新理念,适应现代信息技术产业细化分工和结构复杂 IT 产品测评的需要
随着 IT 产品功能和构成复杂度的增加,通过模块化(Modularity)分解、分层以达到设计和实现过程中的简化已成为主流做法。模块化设计除了体现在单一产品按功能模块分解,使基本功能模块最大程度的可复用,从而达到产品结构清晰、层次分明,更加易于管理和维护之外,还体现在复杂产品中不同产品部件由多个开发者实体分工协作,以达到进一步明确产业链分工,提高专业化程度的目的。
为此,新版 GB/T18336 通过模块化描述方法,扩展现有的 PP 概念,提出 PP 配置、PP 模块等新概念,以适用于“底座+模块”产品构成范式、多部件复杂 IT 产品等应用场景。以移动设备类产品为例,国际 CC 评估已按照 PP 配置方式进行,以“移动设备基础保护轮廓”(PP_MDF_V3.3)为基础PP,配合无线通信(MOD_WLANC_V1.0)、蓝牙(MOD_BT_V1.0)、生物特征识别(MOD_CPP_BIO_V1.1)等功能 PP 模块,通过“PP 配置=基础 PP+”的方式,形成符合实际产品应用的安全需求。
随着信息技术的飞速发展,多部件复杂 IT 产品呈现上升趋势,一个 IT 解决方案往往是由不同类型的提供商共同实现,同时不同部件产品又在不同评估认证机构通过了测评,那如何解决由这些部件组合而成的 IT 产品的安全评估问题?早在 GB/T 18336-2015 中已提出了“组合评估(Composed Evaluation)”的概念,并提出了相关的保障组件—组合(ACO)保障类和组合保障包(CAP),但适用的组合产品类型和评估结论都存在一定的局限性,体现在表中“被测组合产品的要求”和“评估结论”等方面。为了解决这些问题,新版标准提出了“复合评估(Composite Evaluation)”的概念,通过知识转移和证据重用的方法,很好地解决了多部件复杂 IT 产品的安全评估问题,即减少了重复测评、适用的范围更广,又给出了消费者比较接受的测评结论。

表 新版 GB/T 18336 标准中“组合评估”和“复合评估”的区别

(三)脆弱性分析中更加关注供应链安全,顺应 ICT 供应链的全球化和复杂性的特点及发展趋势
针对供应链的攻击与传统的针对 IT 产品本身的攻击相比,攻击者可利用的攻击面由 IT 产品本身的边界扩大到 IT 产品内部的所有部件,如代码、模块和服务,以及与这些模块相关的供应链上下游供应商的编码过程、开发工具和设备,任一部件在设计、开发、生产等任何一个生命周期阶段中,若存在安全问题都会直接影响 IT 产品的安全,攻击的范围明显扩大。针对供应链安全问题,新版 GB/T 18336 也进行了相关内容的完善。
脆弱性分析(AVA)是 GB/T 18336 安全评估过程中的一项核心重要工作。AVA 要求评估者确认被测产品开发和预期运行中是否存在潜在的脆弱性,及脆弱性是否能够造成被测产品安全功能的破坏,以此带来资产的损失。新版标准中,评估者在执行脆弱性分析相关的穿透性测试中,所针对的分析对象从原先只包括被测产品,变化为被测产品和被测产品交付件中包含的第三方部件和被测产品依赖的 IT 产品,此调整是以更加系统、全面、普遍联系的视角看待产品安全。为此,接受评估的开发者除需要提供用于测试的产品之外,还需要提供相关的第三方部件列表,评估者依据列表中的部件清单对其是否存在已知漏洞进行分析。此处新变化正是 GB/T 18336 标准对近些年 IT 产品供应链安全问题凸显的有效应对,顺应了 ICT 供应链的全球化和复杂性的特点及发展趋势。
(四)增强了对 IT 产品全生命周期的安全控制,开发构件、缺陷和补丁的管理符合网络安全观念和规律
与关注供应链安全同等重要的是针对 IT 产品全生命周期的安全控制。GB/T 18336 中生命周期支持(ALC)相关要求是为 IT 产品在开发、生产、交付和维护期间,建立的安全规则和安全控制保障。此次修订,增加了对开发构件(ALC_TDA)的要求,目的是进一步增强对被测的 IT 产品开发过程或开发成果的信任。此要求关注的是开发过程中 IT 产品某些构件生成的真实性,通过核实被测产品的源代码、配置管理系统中的各配置项或通过开发工具生成被测产品副本等,来确认开发者提供的源代码是否属于被测产品。通过对这些重要构件的验证,建立起对 IT 产品整个开发过程的信任链。
此外,国际信息安全领域对 IT 产品全生命周期安全性的关注度逐渐增强,主要体现在以下两方面:一是对安全缺陷纠正(ALC_FLR)的重视,开发者应对产品投入使用后的安全性负责,预防缺陷发生,且一旦发现安全缺陷要通过可行的技术或管理手段,进行跟踪、纠正和控制。虽然此要求与评估保障级别(EAL)没有关联,但 CCRA 已将ALC_FLR 作为各成员国 IT 产品评估结果互认必须满足的条件之一。二是与缺陷纠正密切相关的补丁管理(ALC_PAM)将成为新增的安全保障要求。目前国际上包括 CC 组织、欧盟网络安全认证体制(EUCC)等均在对补丁的安全控制进行研究,正在制定中的国际技术规范 ISO/IEC TS 9569,其内容正是将对补丁的研发、确认和发布等全生命周期安全要求,增加到 CC 标准的相关规定,相信不远的将来 CC 标准中会出现补丁管理过程相关的安全要求。缺陷和补丁作为 IT 产品密不可分的组成部分,体现了网络安全动态性、对抗性、系统性的特点和规律,相关安全要求的新增和细化将会使 IT 产品全生命周期安全控制更加完善,安全评估工作的重要性越发凸显。

文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664203031&idx=1&sn=e6a8a59972bea011dde316ef17fe5b47&chksm=8b5981eebc2e08f8c426f5758e6b7c81f919bc6ba0ae268079fa10017faff8216525ff5e78f0&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh