专题·CC标准 | 基于GB/T 18336在存储控制器领域的测评探索与应用
2024-2-2 17:13:22 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线:010-82341063

文 | 合肥大唐存储科技有限公司 顾申 吴海成
GB /T 18336《信息技术 安全技术 信息技术安全评估准则》对信息技术产品整个生命周期进行全面的安全评估和测试,提供了一个科学、客观、权威的信息技术产品安全评价方法。通过验证产品的保密性、完整性和可用性程度,确定产品是否足够安全,以及在使用中可能隐含的安全风险是否可容忍,产品是否满足相应评估保障级的安全要求。2022 年 1 月,合肥大唐存储科技有限公司(以下简称“大唐存储”)的一款“存储控制器芯片 DSS510”产品在中国信息安全测评中心(以下简称“测评中心”)正式通过了国内现行商用安全最高等级—EAL5+ 安全测评,该测评依据国家标准《信息技术 安全技术 信息技术安全评估准则》(GB/T 18336-2015)开展,该产品也是目前存储行业的全国首例且唯一通过 EAL5+ 的存储控制器芯片。

一、GB/T 18336 的修订工作

评估保障级 EAL(Evaluation Assurance Level)是一种度量信息技术产品安全保障能力的尺度,此概念源自国际最广泛采用的 ISO/IEC15408《信息安全 网络安全和隐私保护 信息技术安全评估准则》(以下简称“CC 标准”)。CC 标准是目前国际上对信息技术产品安全测评认证最完善、最权威、应用最广、最具普适性的技术标准,已在全球信息安全领域得到了广泛认可。

2001 年,测评中心牵头将 CC 标准首次转化为国家标准 GB/T 18336《信息技术 安全技术 信息技术安全评估准则》,并于 2021 年 9 月开始进行 GB/T 18336 第三次的修订工作。标准编制成员单位涵盖了国内主流测评认证机构、科研院所和研发单位,各参编单位具有良好的标准研究和实践经验,为标准的修订提供了坚实基础。在标准修订过程中,大唐存储深度参与了 GB/T 18336 第 2 部分《安全功能组件》的修订工作,主要对 FCO 类、FCS 类、FPR 类、FPT 类及相关附录部分进行了修订和校对。
标准中将安全功能要求抽象为类、族、组件等层次化概念,这些概念适用于广泛的信息安全产品,既是对其要满足的安全功能共性部分进行的高度概括,又是对特定信息安全产品具体安全参数定义的规范和要求。如何对这些抽象概念进行准确的描述,使其顺应中文习惯,不易产生歧义,又要做到标准语言的逻辑缜密,不产生逻辑漏洞,这是在标准修订过程中面临的最大挑战。
新版标准增加的FCS_RBG“随机比特生成”族、FCS_RNG“随机数生成”族,对信息安全产品中使用的随机数发生器进行了定义和分类,并对随机数发生器的评估和测试方法进行了规范,包括推荐使用的熵源,随机数发生器启动时及启动后所需做的缺陷检测,输出随机数的质量检测等方面。大唐存储通过多年从事通信、密码行业的知识背景和实际经验,从专业的角度对标准文本进行准确的定义和描述,对易混淆的概念进行准确的区分和定义,同时结合标准中列举的案例,使得标准阅读者可以轻松理解此项安全功能组件真正的含义。
因此,FCS_RBG 族和 FCS_RNG 族已经对随机比特生成和随机数生成提供了一套准确、完整的定义和规范。从某种意义上来说,随机数发生器是一个信息安全产品安全性的根本,对它进行有效的规范和要求是从根本上提升了信息安全产品的安全性。大唐存储“存储控制器芯片 DSS510”贯彻了标准中对于随机数发生器的设计要求和测试要求,从实践角度来看,在标准的修订过程中更能体会标准的必要性和科学性。
通过对 GB/T 18336 的修订,及时对标国际信息安全标准技术发展和最新动向,使其具有更好的时效性、连贯性和可操作性,使我国在信息安全测评领域保持与国际同步的技术水平,同时为开发者、使用者、测评者提供更为全面、科学、规范的标准指引。

二、对 GB/T 18336 测评探索

IC 智能卡安全芯片是国内最早将 GB/T 18336 标准引入研发流程的产品品类,大唐产品研发团队具备国内外智能卡安全芯片产品 EAL 认证的技术经验和实战经验,因此对 GB/T 18336 标准有深入的理解。GB/T 18336 是从安全的角度出发,对信息安全类产品从产品定义、产品开发、产品测试、产品生产、产品交付、产品使用全生命周期进行测评的标准。

随着移动互联网和物联网技术的快速发展,各种处理器芯片、存储芯片、网络芯片等广泛应用在各个领域,信息爆炸的时代也带来了更大的安全隐私泄露风险。作为数字信息时代内生安全存储的重要环节,SSD 存储产品不能仅仅提供基本功能,更需要从安全的角度重新审视产品。针对行业中可能存在的没有足够的安全风险意识、没有对安全攻击和安全防护技术有全面了解的技术与产品,我们认为在 GB/T 18336 的指导下可以帮助企业更好地规范研发过程,提升产品安全性,应对可能存在的安全风险:
一是明确安全需求。在产品研发初期,定义安全需求的阶段,对安全威胁没有全面的认识。GB/T 18336 第一部分中描述了“安全问题定义”与“安全目的”“安全要求”之间的关系,对如何对抗“威胁”给出了方向性指导。对于 IC 类的 TOE 来说,安全威胁包括但不限于物理操纵攻击、信息泄露、故障利用、生命周期功能滥用、逻辑攻击、随机数缺陷攻击等。安全威胁实际直接对应了安全攻击技术,分别由侵入式攻击、半侵入式攻击和非侵入式攻击所覆盖。只有明确了“威胁”,了解相关攻击方法,才能确定对应的安全目的,进而制定清晰的安全需求。
二是完善安全设计。在产品研发过程中,还会存在安全设计不全面的问题。在明确的安全目的的情况下,就需要定义一系列的安全功能要求去满足安全目的。《信息技术 安全技术 信息技术安全评估准则 第 2 部分:安全功能组件》定义了安全审计、通信、密码支持、用户数据保护、标识和鉴别等 11 个类,每一个类下又包含若干个具体的族和组件,具体定义了产品可能需要支持的安全功能。研发企业还要根据自身产品安全等级的定位,定义相关与产品安全功能相关的安全保障组件。《信息技术 安全技术 信息技术安全评估准则 第 3 部分:安全保障组件》中定义了开发类(ADV)、指导性文档类(AGD)、生命周期支持类(ALC)等与安全功能开发过程密切相关的类,通过安全架构、功能规范、实现表示、安全策略模型、用户指南等各个方面确保安全功能的正确实现。
三是充分开展安全测试。GB/T18336 定义了测试类(ATE),通过与开发文档的紧密配合,对各项安全功能子系统、模块及接口开展全面测试,明确要求测试的覆盖范围和测试深度,从测试的广度和深度给予了指导。
四是规范开发过程控制。GB/T 18336 不仅仅局限于产品自身安全性的评估,更是对产品开发的整个生命周期过程有着严格的规范和要求。GB/T 18336 第三部分中定义的生命周期支持类(ALC)从配置管理、交付程序、开发环境安全、缺陷纠正、开发工具和技术等多方面对开发交付生命周期提出安全保障要求,研发企业可根据自身产品的认证要求选择不同的组件等级,将其应用到产品的开发交付过程中。

三、GB/T 18336 测评实践对提升产品竞争力发挥重要作用

大唐存储依托早期从事安全芯片开发的团队优势,具备完整的国际国内 EAL 认证经验,此次依据国标 GB/T 18336-2015,在测评中心通过 EAL5+ 测评的芯片是大唐存储最新研制的存储控制器芯片DSS510,该芯片首次将高安全级芯片防护技术应用于存储控制器芯片领域。采用 28nm 工艺,4 核 CPU,支持 SATA3.0 和 PCIE Gen3.0*4,支持国密算法 SM2、SM3、SM4,具备环境异常检测、物理探测防护、存储安全保护、固件鉴别等安全功能,实现了高安全、高性能、低成本。

从美国通用准则门户网站数据可知,目前通过了国际 CC EAL5+ 的主流智能卡安全芯片产品,广泛应用于金融、电子商务、政府等对安全等级要求较高的领域。与通过国际 EAL5+ 的智能卡安全芯片(如:意法半导体、三星)相比,DSS510 在物理安全防护、环境安全防护、系统安全防护、随机数发生器、算法安全防护和固件安全等安全特性方面具备竞争力,在随机数发生器相关安全机制设计方面考虑的安全风险更充分,安全设计更可靠。DSS510 具备多个真物理随机源,并且在芯片上是分散布局的。即使在最极端的攻击场景下,只要有一个真物理随机源可以正常工作,都不会给随机数发生器的运行造成影响。另外,在真物理随机源之后,配备上电检测和在线检测电路,实时监测真物理随机源的输出是否发生完全失败或有统计特性的缺陷,可及时检测到真物理随机源失效或者遭受攻击。

四、思考与展望

大唐存储将以此次 EAL5+ 测评为起点,继续不断地提高产品的安全性,同时将新版 GB/T 18336 中的新标准、新技术理念引入到公司的下一代存储控制器芯片的设计之中。

最新修订的国标 GB/T 18336 即将正式发布,标志着 GB/T 18336 应用新篇章的开启。我们愿意与行业内同行携手,共同推动 GB/T 18336 标准在更多的信息安全产品中的应用。同时,我们希望推广 GB/T 18336 的应用范围并不局限于信息安全产品的研发企业,而应更多面向下游信息安全产品的最终用户。
我们发现,用户往往不理解 EAL 的含义,不清楚安全等级之间的区别,以及这些等级如何解决安全问题。这意味着用户可能对标准知之甚少,还没有意识到产品面临诸多潜在的安全风险,安全意识亟待提升。
同时,我们建议诸如测评中心等权威的第三方检测机构,以各种形式对标准进行推广和宣传。例如,从大量积累的测试攻击案例中提取典型的攻击案例和安全漏洞,并以生动易懂的形式进行宣传和发布,这将帮助普通大众更好地理解我们所面临的信息环境中存在的安全问题,以及如何应对和解决这些问题。
相信通过产业界同仁的共同努力,国标 GB/T 18336 将在信息技术领域得到更广泛的应用,在其指导下,将会有更多基于 GB/T 18336 设计的产品通过各种不同等级的安全测评。这将进一步提升我国信息技术产业的技术能力和安全可控水平,推动我国信息技术不断向前发展。

(本文刊登于《中国信息安全》杂志2023年第11期

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图 了解详情


文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664204613&idx=2&sn=d03ee7df09a8ab2af445af18a21efc35&chksm=8b598bbcbc2e02aa7ceb6e9f31db20a9455622720bfcd9c2e37538850f5de9b9efa41a9932b5&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh