保护轮廓
保护轮廓(Protection Profile,简称PP)是依照ISO/IEC 15408以及资讯技术安全评估共同准则(Common Criteria, CC)为产品认证时,需要提供的文件。保护轮廓是通用形式的安全目标(Security Target,ST),一般是由使用者或是使用者社群所建立,针对信息保障的安全需求,提供一份和实施方式无关的规格书。PP中会包括威胁、安全objectives、假设、安全机能需求(SFR)、安全保障需求(SAR)以及其原因。
PP针对特定种类的资讯系统产品,说明一般性的安全评估准则,以确认特定供应商的声明是否有符合需求。PP一般也会标示由数字1到7组成的评估保障等级,说明在评估产品符合PP中所述的安全需求时,安全评估的深度以及严谨度(多半会反映在支持文件以及测试上)。
美国国家标准技术研究所(NIST)及美国国家安全局(NSA)已同意合作开发已验证的美国政府PP。
目的
[编辑]PP会针对一系列的系统或产品(称为评估目标,TOE),严谨的说明对应的安全问题,也说明要解决这个问题所需的安全需求,但不会具体说明需求实现的方式。PP也可能继承一个或多个PP的需求。
为了让产品可以依照Common Criteria评估并且取得认证,产品供应需要定义产品的安全目标(ST)文件,其中会符合一个或多个PP的内容。因此PP可以视为是产品ST的样版。
问题点
[编辑]资讯技术安全评估共同准则中有以数字表示的EAL,对不熟悉准则的人而言,比较EAL是最简单直觉的作法,但这容易造成误导。若不了解评估用到的ST以及PP中的安全特性,EAL本身的数字是没有意义的。技术上,要评估产品需要同时评估EAL以及功能需求。不过很不幸的,要确认PP中的安全特性是否符合应用所需,这需要非常强的IT安全知识。评估产品是一回事,这和决定某产品的CC评估是否符合特定应用,是完全不同的。目前还不清楚有哪些值得信赖的机构具有针对Common Criteria已评估产品,评估其系统应用性的深度IT安全知识。
这类评估的问题其实早就出现。约在几十年前,有一个大型的研究计划,要定义可以保护资讯的软件特性,评估其强度,并且将安全特性对应到特定的作业环境风险,当时就已提出类似的问题。结果记录在《Rainbow Series》中。其中的橘皮书没有用类似EAL和功能需求分开标示的作法,采用一个较早期的作法,将功能保护能力以及适当的保障需求放在同一个分类里,以此方式定义了七个分类。而黄皮书定义一个安全环境以及对应风险的矩阵,接着准确的说明在橘皮书的各个分类里,哪一种安全环境会有效。此作法为非专业人士判断某一产品是否适合特定应用,提供明确的作法。后来没有这种应用技术,算是用Common Criteria取代橘皮书的非预期结果。
有PP的安全设备
[编辑]已验证,美国政府的PP
[编辑]- 防毒软件[1](日落期限:2011.06.01)
- 金钥回复(Key Recovery)
- 凭证认证(Certification Authorities)[2]
- Tokens
- 数据库管理系统
- 防火墙
- 操作系统
- 主机型入侵检测系统(IDS/h)
已验证,非美国政府的PP
[编辑]参考资料
[编辑]- ^ Anti-Virus. [2023-11-02]. (原始内容存档于2023-11-02).
- ^ Certification Authorities. [2023-11-02]. (原始内容存档于2023-11-02).
- ^ M. Volkamer. Evaluation of Electronic Voting (Chapter 8). Springer. 2009. ISBN 978-3-642-01661-5. (原始内容存档于2013-02-03).
- ^ https://www.commoncriteriaportal.org/files/ppfiles/anssi-profil_PP-2014_01.pdf (页面存档备份,存于互联网档案馆) [裸网址]