ISO/IEC 15408 (CC)标准浅析——张耀疆(CISSP)
CC是当前信息安全的最新国际标准。它是在TESEC、ITSEC、CTCPEC、FC等信息安全标准的基础上综合形成的。
CC定义了一套能满足各种需求的IT安全准则,共分为三部分:第一部分——简介和一般模型;第二部分——安全功能要求;第三部分——安全保证要求。其中心内容是:当在PP(安全保护框架)和ST(安全目标)中描述TOE(评测对象)的安全要求时,应尽可能使用其与第二部分描述的安全功能组件和第三部分描述的安全保证组件相一致。
CC在第一部分描述了对安全保护框架(PP)和安全目标(ST)的要求。与传统的软件系统设计相比较,PP实际上就是安全需求的完整表示,ST则是通常所说的安全方案。CC在第二部分和第三部分,分别详细介绍了为实现PP和ST所需要的安全功能要求和安全保证要求,并对安全保证要求进行了等级划分(共分为七个等级)。对于安全功能要求,CC虽然没有进行明确的等级划分,但是在对每一类功能进行具体描述时,要求上还是有差别的。
CC明确指出不在其范围的内容包括:
与信息技术安全措施没有直接关联的属于行政管理的安全措施,虽然这类安全管理措施是技术安全措施的前提;
信息技术安全性的物理方面;
密码算法的质量评价。
CC在对安全保护框架和安全目标的一般模型进行介绍以后,分别从安全功能和安全保证两方面对IT安全技术的要求进行了详细描述,主要内容如下:
1)安全功能要求
CC将安全功能要求分为以下11类:
安全审计类;
通信类(主要是身份真实性和抗抵赖);
密码支持类;
用户数据保护类;
标识和鉴别类;
安全管理类(与TSF有关的管理);
隐秘类(保护用户隐私);
TSF保护类(TOE自身安全保护);
资源利用类(从资源管理角度确保TSF安全);
TOE访问类(从对TOE的访问控制确保安全性);
可信路径/信道类。
这些安全类又分为族,族中又分为组件。组件是对具体安全要求的描述。从叙述上看,每一个族中的具体安全要求也是有差别的,但CC没有以这些差别作为划分安全等级的依据。
如果对CC的十一个安全类的内容稍加分析便可看出,其中的前七类的安全功能是提供给信息系统使用的,而后四类安全功能是为确保安全功能模块(TSF)的自身安全而设置的。因而可以看成是对安全功能模块自身安全性的保证。
2)安全保证要求
安全保证要求在对安全保护框架和安全目标的评估进行说明以后,将具体的安全保证要求分为以下8类:
配置管理类;
分发和操作类;
开发类;
指导性文档类;
生命周期支持类;
测试类;
脆弱性评定类;
保证的维护类。
按照对上述8类安全保证要求的不断递增,CC将TOE分为7个安全保证级,分别是:
第一级:功能测试级;
第二级:结构测试极;
第三级:系统测试和检查级;
第四级:系统设计、测试和复查级;
第五级:半形式化设计和测试级;
第六级:半形式化验证的设计和测试级;
第七级:形式化验证的设计和测试级。