一、GB/T18336标准介绍
为建立我国信息技术产品安全技术要求,保障我国信息安全建设,2001年,中国信息安全测评中心牵头对国际标准ISO/IEC15408进行等同采用,形成了国家标准GB/T18336-2001《信息技术安全技术信息技术安全评估准则》(以下简称“GB/T18336”)。根据ISO/IEC15408的发展情况,先后修订形成GB/T18336-2008、GB/T18336-2015版,目前GB/T18336的第三次修订工作已接近尾声。现行的GB/T18336-2015版包括3部分,第1部分为简介和一般模型,定义了IT安全性评估的一般概念和原理,并提出了评估的一般模型。第2部分为安全功能要求,建立了一系列功能组件、族和类,作为表述评估对象(TargetofEvaluation,TOE)功能要求的标准方法。第3部分为安全保障要求,建立了一系列保障组件,作为表述TOE保障要求的标准方法。
GB/T18336以一种标准化的语言提出了产品安全相关功能组件和保障组件,标准抽象层次较高,适用于所有具有安全功能的IT产品的检测评估。针对具体的IT产品检测评估,可以通过开发具体的某一类产品标准规范,即保护轮廓(ProtectProfile,PP)来规范该类产品的安全需求和测试评估,提高产品的安全性和检测认证效率。
GB/T18336针对安全评估中的IT产品的安全功能及其保障措施提供了一套通用要求,这些IT产品的实现形式可以是硬件、固件或软件。标准全面阐述了涵盖IT产品整个生命周期的安全要求和评估方法,内容丰富全面,具备科学性、通用性、可扩展性等优点,可用于指导产品或系统的开发、生产、集成、运行和维护等。该标准在建设我国信息技术产品检测认证体系、促进国内产业发展等方面发挥了重要的支撑作用。我国标准研制单位以GB/T18336为依据,结合自身安全需求和行业技术特点,针对不同IT产品制定了一系列信息安全测评相关的国家标准和行业标准。
二、IT产品安全技术要求建立的思路与方法
本文中IT产品安全技术要求是指IT产品的PP,即分级安全技术要求,分级是指信息技术产品的评估保障级(EAL)。GB/T18336作为一项通用的信息安全评估标准,针对安全评估中的IT产品的安全功能及其保障措施提供了一套通用要求,对IT产品安全技术要求的建立有很强的指导作用。
建立IT产品安全技术要求时,要从TOE需保护的资产及面临的安全问题出发,论述为了抵抗威胁必须达到何种安全目的。为了便于理解,将安全目的进一步细化为一组规范性的安全功能要求,并选取与EAL对应的特定安全保障要求集合。具体思路如下:
(一)确定TOE
描述TOE定义、类型、用途、物理范围和逻辑范围等内容。其中,物理范围指构成TOE的硬件、固件、软件及指南的所有部分。在描述TOE物理范围时,可采用结构图或列表等形式描述TOE的所有构成部分,并对图表中的每一项进行详细解释。同时,应界定出物理评估边界,即哪些部分在评估范围之内,哪些部分在评估范围之外。逻辑范围是指TOE提供的安全能力。在描述TOE的逻辑范围时,应列出TOE提供的所有安全特征,并逐项进行详细描述。同时,应界定出逻辑评估边界,即哪些安全特征在评估范围之内,哪些安全特征在评估范围之外。
(二)识别安全问题,明确安全目的
通过确定TOE的范围,识别要保护的资产,分析威胁、组织安全策略、假设。
资产是由TOE策略保护的信息和资源,可能遭受威胁主体通过某种方法侵害但具有价值的实体,与TOE相关的资产可考虑信息资产、过程资产和物理资产三个类别。识别资产的过程可能成为识别保护重要资产所需措施的一部分。
威胁引发了对资产的风险,由威胁主体对资产执行的敌对行为组成。识别威胁主体需要考虑以下因素:通过损害资产可能获利的人;能够损害资产的人,即能够访问处理资产的IT系统的人;可能具有技术、机会、可用资源和动机的人或组织,其中可用资源可能是自动攻击或网络嗅探工具等。威胁描述应尽可能独立,仅涉及那些可能直接危害被保护资产的事件,并应唯一标识每个威胁。
组织安全策略(OSP)是指组织为保障其运转而规定的若干安全规则、程序、规范和指南。首先对照已存在的和相关的威胁,审查所有组织安全策略,然后再将策略写入安全技术要求,应唯一标识每个OSP。
假设说明了对运行环境所做的假设,可以涉及运行环境的物理、人员和连通性方面,但不能对TOE的行为做假设,应唯一标识每个假设。
安全目的是以简明抽象的方式对安全问题定义中所定义问题的预期解决方案进行的陈述,分为TOE安全目的和环境安全目的。安全目的明确地划分出了在TOE安全环境的上下文中由TOE实现和不由TOE实现的部分。
TOE安全目的,由TOE实现的技术措施来满足,应唯一标识TOE安全目的,需要遵循如下原则:一是安全目的应能帮助读者理解由TOE处理的安全需求的范围,而不必深入到实现的细节,TOE安全目的最好独立于实现;二是应确保已定义的安全目的不是对包含在威胁和OSP中内容的重述。
环境安全目的,既要由TOE环境实现的技术手段来满足,也要由非IT手段来满足。TOE不处理或不能处理的安全需求的环境安全目的必须被标识出来,首先通过依次对每个未被TOE完全处理的威胁、OSP和假设,编辑出一个安全目的的清单,然后作以下两步处理:一是在清单中增加可以覆盖该项目的一个新的安全目的,或者映射一个已有的合适的安全目的到该项目,必要的时候可以修改已有的安全目的;二是当构成安全目的基本原理时,应精练这个清单,需要确保安全目的是作为整体来对抗威胁或满足OSP和假设的。与TOE安全目的相同,环境安全目的也应使用唯一性标识以便于引用。
(三)选取安全要求组件
通常情况下,安全要求选自GB/和GB/中的组件。但是为了满足安全目的,可能需要一些特殊的安全要求,就需要在本部分自定义新组件,称为扩展组件。基于扩展组件的安全要求,称为扩展安全要求,与安全功能要求和安全保障要求的所有目的相同。
安全要求包括安全功能要求(SFR)和安全保障要求(SAR)两个方面,SFR对TOE预期安全行为进行清晰、无歧义且定义准确的描述,是TOE安全目的的转化。通常以一个较详细且抽象的形式表述,但必须是一个完全的转化,并且独立于任何特定的技术解决方案。SAR对TOE获得保障而采取的预期活动进行清晰、无歧义且规范的描述。
SFR和SAR的选择以组件为单位,组件中所有已定义的元素都应包括进来。应根据安全目的选择支持性的SFR,尤其要考虑SFR应该是相互支持、紧密结合且有效的一个整体。需要保护的资产价值越高,面临的风险越大,用于保护资产的安全功能要求的保障级别就越高。任何组织可通过定义其自身的策略和规则来确定保障级别,以确保把其资产面临的风险降到可以接受的水平,然后定义组织中所用到的产品所需的保障级别。如果已有保障包大体可以提供所需的保障级,但缺少针对特定领域的安全目的所需的保障包,那么,就需要包含增强的保障要求以满足安全目的。
选择组件时,需要注意组件之间的依赖关系,以便全面包含必要的SFR和SAR,要注意同一类中不同组件之间可能存在的层次关系,一个组件应当包括在子类内其他组件中规定的全部要求元素。在引用组件时,需要遵循反复、赋值、选择、细化等对组件的操作原则。
(四)保证符合基本原理
保证符合基本原理包含安全目的的基本原理、安全要求基本原理和满足依赖关系的基本原理。
安全目的的基本原理应该通过交叉引用的表格来将威胁、OSP和假设与安全目的进行映射。每个安全目的至少被映射一项威胁、OSP或假设,而每一威胁、OSP和假设至少应被一项安全目的所涵盖,在引用表时,提供非形式化的交叉引用信息来表明安全目的是充分满足安全需求的。
安全要求基本原理说明了安全要求的充分必要性基本原理。通过制定一张追溯表表明SFR与TOE安全目的的对应关系,提供一个证实,该证实分析满足实现TOE安全目的的相关SFR的有效性,即证明所有TOE安全目的都已由SFR做了有效对应。对安全目的,要说明这些IT安全要求不仅是必需的,而且是充分的。
满足依赖关系的基本原理要求在选取安全要求组件时,必须满足所选组件之间的相互依赖关系,需要通过表格分别列出所选安全功能要求组件和安全保障要求组件的依赖关系。
(五)评估安全技术要求
完成安全技术要求基本制定后,需要对其进行评估,评估完成后才能对外发布。评估严格依据GB/定义的APE类:PP评估的要求进行,评估要求证实安全技术要求是技术合理和内部一致的。
三、实践案例
智能摄像头产品实现的主要安全特性包含:安全审计、密码支持、安全管理、TSF保护、数据保护。其中智能摄像头产品提供了审计日志,监测了安全相关事件;密码支持提供了对密码运算的支持;安全管理实现了授权管理员对安全功能、TSF数据、安全角色的管理;TSF保护提供了保障TOE处于安全状态的能力;数据保护保障了传输中数据的保密性和完整性。
该安全技术要求未定义组织安全策略,定义的假设为管理平台、可信用户和物理保护。
四是保证符合基本原理。基本原理描述了威胁与安全目的对应关系、假设与安全目的对应关系、安全要求与安全目的的对应关系、安全功能要求组件依赖关系、安全保障要求组件依赖关系,使其满足基本原理要求。
五是评估安全技术要求。完成《智能摄像头产品安全技术要求(评估保障级3增强级)》后,依据GB/定义的APE类:PP评估的要求,从PP引言、符合性声明、安全问题定义、安全目的、扩展组件定义、安全要求6方面进行评估,证实该实践是技术合理且内部一致的。
四、结语
在GB/T18336的推广实施过程中,通过大量的IT产品检测认证,我们积累了丰富的标准应用实践经验,推动着我国信息技术安全性评估标准的不断更新和相关标准的制定,不断完善信息技术安全性评估标准体系,使其具备强大的生命力,在我国信息系统安全建设中发挥了更重要的作用,有力地维护了我国网络安全。
(本文刊登于《中国信息安全》杂志2023年第11期)