共同准则安全保证需求共同准则安全保证需求之简介.pdfVIP

共同準則安全保證需求共同準則安全保證需求之簡介之簡介 共同準則安全保證需求共同準則安全保證需求之之簡介簡介 趙志宏，李忠憲 wilson@nuk.edu.tw, jsli@mail.ncku.edu.tw 摘要：摘要 ： 摘要摘要 ：： 本文基於共同準則(CC)第三部份探討資訊產品安全保證的需求，透過共 同準則所定義的安全保證的類別、家族及元件，作為評估保護剖繪 (PP) 、安全目 標 (ST)及資訊產品 (TOE)安全等級分類的評估基礎，透過這樣的一個檢測標準， 其檢驗結果將可作為使用者在選購資訊產品時的參考。 關鍵詞：關鍵詞 ： 關鍵詞關鍵詞 ：： 1. 共同準則（Common Criteria ，簡稱CC ）。 2. 保護剖繪（ Protection Profile ，簡稱PP ）。 3. 安全標地（Security Target ，簡稱ST ）。 4. 資訊產品 (Target of Evaluation ，簡稱TOE) 。 一、一 、前言前言 一一 、、前言前言 資訊產品的安全主要就是要保障資訊產品與系統內部的資訊，他的正確與否 決定資訊產品是否可以順利運行。而且，這些資訊只容許有授權的人依據他們的 需要適時的更改，絕不可以給未被授權的人影響與修改。每當在執行資訊產品或 者系統的功能時，必須運用訊息，適當的控制防止資訊產品遭受攻擊 例如不需( 要或者沒有保證的通訊或改變 ) 。總之，資訊安全就是涵蓋保護以及減輕資訊產品 遭受這些危害。 很多的資訊產品的使用者，對於他們所使用的資訊產品缺乏專門技術以及相關 知識以判斷此產品是否值得信賴，而且他們又不想只是單單依據發展資訊產品的廠 1 商，所提供的安全保證來換得心理上的慰藉。所以使用者必須選擇其他途徑來增加 他對他所使用的資訊產品的信心。所以藉由有次序而且嚴謹的安全分析應運而生。 共同準則就是被期許當成一個安全分析的利器 ，他提供許多適當的資訊產品的評鑑 項目以及用來表示評估資訊安全要求的評鑑準則。這樣的準則更有助於跨廠商，跨 國際的認證不僅節省廠商再次作認證的手續，也給予消費者一個通用的準則，來 判斷所使用的產品是否合乎自身要求。 二、二 、共同準則的適用的對象共同準則的適用的對象 二二 、、共同準則的適用的對象共同準則的適用的對象 共同準則有三個適用對象群，這三個適用對象群將在資訊產品或系統的安 全評估中扮演相對應的角色，這三個角色分別為：資訊產品的消費者、資許產品 的開發者、資訊產品的評估者。在這份共同準則的文件中，支援這三個適用對象 的需求。他們也就是共同準則的最主要的使用者 。 消費者消費者 消費者消費者 共同準則對消費者將扮演著很重要的角色，他將為消費者提供一個管道，提 出資訊安全要求的選擇，也就是他將提供一個技術，讓消費者得以利用這種技術 表達他對資訊安全的要求為何。而這是很重要的，因為他的要求可以使得開發者 知道他的消費者的需求為何，以及如何改善。除此之外，共同準則所評估的安全 鑑定結果將可以用來與消費者的要求做比較，已確保消費者的要求確實被注意而 且改善。這些安全需求通常都用威脅分析與政策方向來描述，消費者也可以使用 評估的結果去跟其他的資訊產品或系統比較。 研發研發者者 研研發發 者者 共同準則可以支援研發者去評估他們的產品，或者幫助他們進行評估的工 作，用來確認他們的產品或系統滿足所有的安全要求。而且共同準則的評估方法 2 可以讓其他人去做資訊產品的評估，這裡所謂的其他人是指資訊產品研發人員以 外的人員。共同準則內容可以提供資訊產品去宣示他所能提供的安全要求，以及 他的安全等級為何。這些所謂的安全要求都會於共同準則中安全標的的文件中敘 述。這種文件可以根據多個保護剖繪寫出相對應的安全要求。共同準則也描述一 個研發者於資訊產品內部的安全功能