白话说CC–稍有点小复杂的CC介绍
小黑:小白,小白听说了吗,中国金融认证中心(CFCA)信息安全实验室检测的一款芯片获得了EAL5+认证证书!
小白:听说啦,这可是行业内的大新闻呢。EAL5+级别可是CC体系中较高的评估保障级。以前咱们国家这个领域证书最多到EAL4+级别,现在终于有EAL5+的了,这可意味着国家在这个领域技术向着国际先进水平迈出了坚实的一步。
小黑:嗯嗯,听起来蛮振奋人心。说到CC还挺迷糊的,有道是以史为鉴可以知兴替,要不你先给我讲讲CC的背景吧。
小白:可以说CC顺着商业全球化的“运”,终结了标准各自为政的时代。自打上世纪70年代信息时代的到来,信息产品得到了普遍且广泛的应用,安全问题也随之成为了焦点。但是安全往往很敏感,跟政治关系密切。所以在CC出现之前,每个国家各自为政制定自己的产品安全评估的标准。3个代表性的标准是1983年美国发布的TCSEC、1991年由英法德荷欧洲四国制定的ITSEC,以及1993年加大拿制定的CTCPEC。
但是呢,分散的标准不利于全球化的商业活动。产品卖往不同国家,跨国企业不得不在各个国家分别进行认证。每个认证需要人力物力不说,这些认证还存在相同之处,企业还得重复劳动。此外,由于各个认证之间没有可比性,消费者在购买商品时需要花费大量时间去比较产品,这无形的增加消费者负担。有道是,天下大势合久必分,分久必合。终于大家坐不住了,在1993年,以美英为首的6国7集团决定联合制定一个通用标准Common Criteria,也就是CC,还成立了CC互认组织(CCRA)。
CC可厉害了!首先,CC适用于所有IT产品的检测,不管是硬件、软件还是固件,都能在同一个框架下评估;其次,CC融合了TCSEC、ITSEC、CTCPEC等标准,站在巨人肩膀上又超越了这些标准,更能适应信息技术的发展,这就为CC标准通用性提供了技术支撑;最厉害的是,CC评估结果在CCRA中互相认可。
CC自1995年建立以来,历经了多次演变。目前最新版是CC3.1版本,CC4.0版本正在修订中,预计2021年发布。20多年来,CC不改初心,一直朝着减少标准复杂性、适应新型产品需求,在保证安全性的同时降低评估成本方向发展。
小黑:CC发展有点像秦始皇统一度量衡的意思呀。听着还挺有意思的,再说说,CC具体都包括啥内容呀?
小白:目前的CC3.1版本包含三个内容,第一部分简介和一般模型,描述了CC体系中所使用的基本概念以及对PP(保护轮廓)和ST(产品的安全目标)的评估要求。第二部分是安全功能要求(SFR),用标准化方式描述IT产品可以提供的安全功能的特征。第三部分是安全保障要求(SAR),定义了为保证IT产品安全功能实现的正确性,开发者和评估者所需要活动。听着有点抽象吧,先听个大概,具体细节我们以后再解释。
小黑:哦,确实有点晕。那EAL5+是怎么回事,与CC三部分什么关系?
小白:EAL是评估保障级的缩写啦。把保障级看作置信度就好啦,信任的对象是:产品已经正确实现了其声称的安全措施。保障级的高低这样来理解吧,越高的保障级说明开发过程越规范化,送检方给评估者提供越多信息,评估的内容也越丰富,获证之后消费者就会越放心使用这款产品。一言以蔽之,通过高保障级的产品能让消费者更相信这款产品的确实现了其所声称的安全措施。
再多说一句吧,CC预定义了7个保障级,每个保障级由一些安全保障要求组成。满足了保障级相应的安全保障要求,就达到了相应的保障级。高保障级从深度和广度两方面扩展低保障级,以此增加消费者信心。举个小栗子,EAL5+在EAL4+基础上提高了要求,开发者需要用半形式化描述设计文档。
小黑:那CC的评估框架是啥呢? 为啥CC适用于所有IT产品呢?
小白:CC之所以适用所有IT产品,因为CC找到了IT产品共通点,无论什么产品形式,最终的目的是保护IT产品内部的资产,比如用户数据是芯片所保护的资产之一。
因此CC框架要求产品开发者从资产出发,明确IT产品保护的资产,分析资产所有的安全问题(主要是来自外部的威胁,例如侧信道攻击导致信息泄露),然后根据安全问题提出保护资产的安全措施。然后CC从两个方向评估安全措施,一个是安全措施的充分性,即正确运行所有的安全措施可以抵御对资产的威胁;另一方面是确保所声称的安全措施实现的正确性。
充分性的评估,可以分析产品的安全目标中安全功能要求是否能解决所有的安全问题。正确性评估则需要根据安全保障要求定义的活动检查产品从研发、测试到交付过程中的各个环节,保证产品实现的正确性,避免在各个环节引入脆弱性。评估活动包括测试产品、检测产品的各种设计表示,检查产品开发环境的物理安全等。
小黑:说白了就是CC关注安全措施的正确性和充分性,SFR负责充分性,SAR负责正确性呗?
小白:机智~,无图无真相,看图:
小黑:前面说到评估需要每个产品有一个安全目标,反映其安全措施是否充分是吧?其实一类产品会面对同样的安全问题,每个产品都重复定义一遍好麻烦呀。如果两个相同类型的产品定义了不同的资产、安全问题怎么评估呢?对于这些问题CC有解决办法吗?
小白:没错,每个产品都需要有一个安全目标,因为产品的安全目标描述产品具体实现的安全功能,与实现紧密相连。对于一类产品的评估方法,CC的解决办法是一堆业界专家坐下来,对于某个类型产品定制一个PP(Protection Profile)。由PP定义此类产品需要保护的资产,所面临的安全问题,以及与实现无关的安全需求。因为业界专家共同编的PP嘛,所以定义的内容还是蛮有普适性的。目前国际上评估芯片产品用的是PP0084。简单说,产品的安全目标约等于 pp内容+实现相关内容,这就完美回避了你说的同类型产品定义了不同资产这种问题啦。说这么多,其实都可以理解为PP可以作为该类产品的检测依据啦。
小黑:对了,为啥老说国际CC和国内CC呢?他俩有啥区别?
小白:之前也说过,CC的评估结果在CCRA中互认,但是中国并不包括在CCRA之内。所以国内专家就参考ISO15408(也就是CC的国际化版)框架编写,同时加入了一些本土化的部分,就成为了国内的CC。本次EAL5+认证检测的依据GB/T 22186-2016也是参考了国际CC中芯片类PP,PP0035(PP0084的前一版)编写而成。是不是颇有点本是同根生的意味呢。
小黑:CC标准不错,那怎么保证标准的执行呢?谁去监督和检查呢?国内CC怎么认证的呢?
小白:好问题,国内外CC都使用的认证+检测的方式,来保证评估结果的客观性的。认证机构会定义一套专门的实施规则指导CC评估的实施。在国内,CCRC是IT产品信息安全认证中心,能够为通过认证的产品发证。CCRC的实施规则中采用国际最通用的认证模式:型式试验+工厂检查+获证监督这种模式。
认证参与者主要包括认证机构、送检企业和检测机构三方。送检企业提交产品资料,检测机构实施检测,认证机构对检测机构的检测活动进行监督和管理,审核检测机构出具的报告,审核通过后为送检企业颁发认证证书。具体问题可以咨询CFCA信息安全实验室,他们可是CCRC授权的检测实验室。
小黑::今天讲的内容太多了,我要回去消化一下,下次再和你聊啦
小白:好的。See you
原文链接:https://blog.csdn.net/finery77/article/details/103531157?ops_request_misc=&request_id=a30996b8c5f84ee488f17d06ee06ab66&biz_id=&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~koosearch~default-18-103531157-null-null.268%5Ev1%5Econtrol&utm_term=cc%E9%98%B2%E6%8A%A4
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/21070