Tiêu chuẩn CC đánh giá an ninh sản phẩm CNTT

Nếu các bạn là sinh viên Học Viện Kỹ Thuật Mật Mã thì các bạn đều được học bộ môn tổng quan về tiêu chuẩn đánh giá CC, Bộ môn này 2 tác giả (Trần Quang Kỳ và Đặng Vũ Sơn). Lĩnh vực đánh giá an ninh cho sản phẩm CNTT là lĩnh vực rất mới đối với Việt Nam, Nền móng đặt viên gạch đầu tin cho ngành đánh giá sử dụng tiêu chí chung CC đang bắt nguồn xây dựng từ ở VN đó là Ban cơ yếu chính phủ

Tổng quan CCà

CC viết tắt của cụm từ tiếng anh “Common Criteria for Information Technology Security Evaluation” là tài liệu hình thức về các yêu cầu an toàn của SPATCNTT dưới 2 phạm trù cụ thể đó là yêu cầu chức năng an toàn và yêu cầu đảm bảo an toàn. CC được dùng để đặc tả, ước lượng và là cơ sở để chỉ ra những bằng chứng đảm bảo an toàn của SPATCNTT. Nội dung CC phân ra làm 3 phần riêng biệt, nhưng nội dung của từng phần thống nhất và phụ thuộc vào nhau. CC đã được chứng nhận ISO/IEC 15408.

Phần 1: Giới thiệu chung và mô hình tổng quan: Đưa ra những định nghĩa và thuật ngữ quan trọng làm cơ sở xuyên suốt 3 phần nội dung của CC.

Phần 2: Những yêu cầu chức năng an toàn: Đặc tả những yêu cầu chức năng an toàn làm cơ sở xây dựng các tài liệu khác như Hồ sơ bảo vệ PP, Đích an toàn ST. Phần này chứa tất cả yêu cầu chức năng an toàn được phân lớp về nhiều lĩnh vực. Tác giả của PP/ST có thể lựa chọn yêu cầu chức năng trong phần 2 này để xây dựng sản phẩm phù hợp với mức an toàn họ cần.

Phần 3: Những yêu cầu đảm bảo an toàn: Phần này tập hợp những yêu cầu đảm bảo an toàn được phân lớp nhằm hướng dẫn công tác đánh giá và xây dựng tài liệu đánh giá. Tập hợp các yêu cầu đảm bảo được xếp theo một cách đặc biệt được gọi là Mức đảm bảo đánh giá EAL (Evaluation Assurance Level). EAL cho biết SPATCNTT an toàn đến mức nào. CC phân ra làm 7 mức đảm bảo đánh giá. Từ EAL1->EAL4 thường gọi là mức đảm bảo an toàn thấp và EAL4-> EAL7 gọi là mức đảm bảo an toàn cao.

CC hướng tới nội dung như sau: Hỗ trợ vòng đời phát triển, kiểm định, đánh giá tổn thương…. của SPATCNTT. Thể hiện hình dưới:

Tóm tắt lịch sử phát triển CC

Vào 1973 Bộ Quốc Phòng Mỹ cũng đã đưa ra những tài liệu hướng dẫn các kỹ thuật và thủ tục thi hành nghiên cứu và đánh giá đảm bảo chia sẻ tài nguyên hệ thống và chủ yếu hướng vào an toàn máy tính hay Computersec có tên tiếng anh là “ADP Computer Security Manual Techniques and Procedures for Implementing, Deactivating, Testing, and Evaluating Secure Resource Sharing ADP Systems”, được tái bản lần 2 vào năm 1979. Nhưng mãi đến năm 1983 thì Tiêu chí đánh giá đầu tiên mới chính thức ra đời.

Thứ nhất: Tiêu chí TCSEC (Trusted Computer System Evaluation Criteria) ra đời vào năm 1983, được tái bản lần 2 vào năm 1985 chúng ta thường gọi là sách da cam (lấy theo tên gọi màu bìa sách) của Bộ Quốc Phòng Mỹ. Đây là quốc gia có nền khoa học phát triển bậc nhất của thế giới, Tiêu chí này phục vụ cho: Quốc phòng và an ninh, Các hệ thống tin cậy thương mại, Các hệ điều hành mục đích chung, Các môi trường hệ thống tính toán nên nó thiên về tính bí mật và chủ yếu dùng để đánh giá hệ điều hành an toàn. Tiêu chí này còn rất thô sơ, nhưng nó cũng đã phân SPATCNTT thành các phân lớp an toàn như: Phân lớp D bảo vệ tối thiểu, Phân lớp C bảo vệ phần quyền, Phân lớp B bảo vệ tập chung và phân lớp A bảo vệ kiểm soát.

Thứ hai: Tiêu chí ITSEC (Information Technology Security Evaluation Criteria) ra đời 1991 của Châu Âu gồm Anh, Pháp, Đức, Hà Lan. Tiêu chí này đã phân SPATCNTT ra thành 2 yêu cầu an toàn, đó là yêu cầu chức năng an toàn và yêu cầu đảm bảo an toàn. Đối tượng áp dụng Tiêu chí gồm: Các sản phẩm thương mại, Các sản an toàn chính phủ và nó được chia 3 mức bảo vệ đó là: An toàn cơ sở tức sản phẩm chống lại các tấn công ngẫu nhiên, An toàn trung bình nếu sản phẩm chống lại và hạn chế tấn công có tài nguyên, An toàn mức cao là sản phẩm có khả năng vượt qua tấn công của người trình độ cao. Như vậy Tiêu chí của Châu Âu đã có điểm vượt bậc hơn hẳn so với Tiêu chí của Bộ Quốc Phòng Mỹ, tuy nhiên Tiêu chí này đã thừa nhận những yếu điểm của mình về an toàn, nên khi đánh giá ta vẫn thường dùng cả 2 Tiêu chí để chuyển đổi qua lại lẫn nhau TCSEC và ITSEC.

Thứ ba: Tiêu chí CTCPEC (Canadia Trusted Computer Evaluation Criteria) ra đời 1993 là Tiêu chí của Canada, chẳng những Tiêu chí này phân SPATCNTT thành yêu cầu chức năng an toàn và đảm bảo an toàn như Tiêu chí ITSEC mà nó còn phân chia thành các phạm trù an toàn trong 2 yêu cầu chức năng an toàn và đảm bảo an toàn. Như phạm trù các mức chức năng gồm: Phạm trù sẵn sàng, Phạm trù bí mật, Phạm trù nguyên vẹn, Phạm trù kế toán. Đối tượng áp dụng: Các sản phẩm của chính phủ.

Thứ tư: Tiêu chí Liên Bang Nga trực thuộc tổng thống Liên Bang Nga. Thực chất nó là 5 tài liệu hướng dẫn của quốc gia này dùng hướng dẫn cách sử dụng SPATCNTT và hệ thống vận hành an toàn. Nội dung hướng tới 2 Tiêu chí: Các chỉ số mức bảo vệ an toàn cho phương tiện kỹ thuật tính toán để chống lại các truy cập trái phép và Tiêu chí bảo vệ hệ thống tự động tính toán. Trong Tiêu chí này nó có đề cập đến việc đánh giá mô đun mật mã.

Thứ năm: Tiêu chí Liên Bang Mỹ ra đời với tên gọi FC (Federal Criteria for Information Technology) vào năm 1993. FC là sự kết hợp 2 Tiêu chí TCSEC và CTCPEC, Tiêu chí này đã thừa hưởng những tính chất cũng như khắc phục những thiếu sót của 2 Tiêu chí trên. Tiêu chí này lần đầu tiên đưa ra định nghĩa những yêu cầu chức năng, những yêu cầu công nghệ thiết kế và những yêu cầu về quá trình phân tích đánh giá. Và đặc biệt nó lần đầu tiên đưa ra khái niệm Hồ sơ bảo vệ PP. Đây là một bước đột phá rất mới của Tiêu chí này và nội dung của Tiêu chí này dùng soạn thảo CC sau này.

Thứ sáu: Nhu cầu thực tế đòi hỏi về một Tiêu chí thống nhất, đầy đủ và tiên tiến. Chính vì vậy Tiêu chí CC phiên bản 1.0 chính thức được đưa vào hoạt động với tên đầy đủ là: Information Technique Evaluation Criteria For Security. Nó là Tiêu chí đầy đủ nhất, tiên tiến nhất mang đầy đủ bản chất nội dung của các Tiêu chí trước và đồng thời nó khắc phục được khuyết điểm, đưa ra nhiều thuộc tính mới so với Tiêu chí trước đó, CC là thước đo vạn năng để ước lượng mức độ đảm bảo an toàn của SPATCNTT. Phiên bản đầu tin được cấp chuẩn ISO/IEC 15408 là CC phiên bản 2.1 vào tháng 12/1999.

Các phiên bản của CC

o 1996 phiên bản 1.0 CC đầu tiên ra đời còn dự án đã có trước đó.

o 08/1999 phiên bản 2.1 CC xuất bản.

o 01/2004 phiên bản 2.2 CC xuất bản.

o 08/2004 phiên bản 2.3 CC xuất bản. Đây là phiên bản em sẽ tìm hiểu để đánh giá PP của hệ thống IPS trong đồ án tốt nghiệp của mình.

o 03/2005 phiên bản 3.0 CC xuất bản.

o 12/2006 phiên bản 3.1 CC xuất bản.

Như vậy chỉ trong vòng 10 năm phát triển CC đã đưa ra rất nhiều phiên bản của mình, thể hiện được sự phát triển nhanh chóng của ngành đánh giá. Hiện nay phiên bản mới nhất là CC 3.1, nhưng chưa được sử dụng phổ biến vì chưa đến độ chín muồi của nó, chúng ta thường dùng phiên bản 2.3 vì thói quen cũng như độ chín muồi của nó. Nhưng các tổ chức chuẩn chung đang hướng chúng ta dùng CC 3.1 với nhiều lần chỉnh sửa và bổ sung. Hiện nay có rất nhiều tài liệu hướng dẫn cách sử dụng CC từ phiên bản 2.3 lên 3.1.

Đánh giá SPATCNTT là lĩnh vực tương đối mới đối với Việt Nam chúng ta hiện nay. Tài liệu tiếng việt viết đầy đủ nhất về Tiêu chí chung đầu tiên ở Việt Nam có lẽ là giáo trình “Tiêu chuẩn đánh giá an toàn thông tin” của 2 tác giả Đặng Vũ Sơn và Trần Quang Kỳ thuộc Ban cơ yếu chính phủ. Tài liệu tiếng anh về Tiêu chí rất nhiều, nhưng để đọc hiểu được những tài liệu này, chúng ta cần có đủ kiến thức về an toàn và CNTT.

Khái niệm quan trọng Liên Quan.

Sản phẩm an toàn CNTT:

SPATCNTT là những sản CNTT (thực thể CNTT mà nhà phát triển hoặc chủ nhân đặt giá trị lên nó) như phần cứng, phần mền, phần sụn (Firmware) được tạo ra làm nhiệm vụ an toàn, nó được tạo ra nhằm bảo vệ an toàn cho chủ thể nào đấy. Đơn giản là những ứng dụng an toàn nào đó được thiết kế cài đặt với những yêu cầu an toàn được đặt ra. Ví dụ: hệ thống tường lửa (Firewall), hệ điều hành an toàn, hệ thống phòng chống xâm nhập IPS….

Đích đánh giá TOE:

TOE (Target Of Evaluation): Chính là một phần, hoặc SPATCNTT cụ thể khi đưa ra đánh giá, nó bao gồm cả tài liệu đi kèm hướng dẫn đánh giá và sử dụng. TOE là SPATCNTT nguyên thuỷ tức bản thân nó phát triển làm nhiệm vụ an toàn, chứ không phải là các sản phẩm khi cấu hình, cài đặt để mới sinh ra an toàn. Ví dụ: hệ thống tường lửa (Firewall), hệ điều hành an toàn, hệ thống phòng chống xâm nhập IPS….

- Đánh giá TOE: Tức ta sử dụng phòng thí nghiệm để kiểm định xem liệu TOE có “qua”, “không qua” hay “không kết luận được” những tính năng an toàn mô tả trong ST, nó độc lập với sự đưa ra kết quả đánh giá của Đích an toàn ST. Và nếu thành công tức là kết quả đánh giá ST và TOE phù hợp nhau thì SPATCNTT đó được kết luận “qua” và được cấp chứng nhận bởi cơ quan có thẩm quyền.

Hồ sơ bảo vệ (PP), Đích an toàn (ST) và mối quan hệ giữa chúng

Đây là những định nghĩa quan trọng nhất ở phần 1 nội dung của CC nó xuyên suốt quá trình phân tích và đánh giá SPATCNTT, khái niệm PP mãi đến Tiêu chí FC của Liên Bang Mỹ mới đưa ra, mang ý nghĩa lớn, đột phá trong ngành đánh giá, là cơ sở để CC đưa ra tiếp định nghĩa ST và TOE.

Hồ sơ bảo vệ PP:

Hồ sơ bảo vệ PP là tài liệu hình thức biểu thị một sự thi hành –tập hợp độc lập với những cài đặt, những yêu cầu chức năng an toàn và đảm bảo an toàn. PP là bản tóm tắt các đặc tả những yêu cầu chức năng an toàn và đảm bảo an toàn cần thiết của một dòng SPATCNTT khi gặp những yêu cầu an toàn từ phía người sử dụng. Ví dụ về tính độc lập: PP mô tả một dòng sản phẩm Windown nó hoàn toàn khác với sự mô tả Windown 2003, Windown 2000 hay Windown XP

PP mô tả hợp lý về các mối đe dọa cần được xác định trước và dự tính phương pháp sử dụng sử dụng SPATCNTT. Trong khi xây dựng Hồ sơ bảo vệ, việc thêm vào các thuộc tính an toàn phải được cân nhắc kỹ giữa yêu cầu chức năng an toàn và đảm bảo an toàn.

Đích an toàn ST:

Là tổ hợp hoàn chỉnh của những mục tiêu an toàn, những yêu cầu chức năng an toàn và đảm bảo an toàn, những thuyết minh an toàn được sử dụng làm cơ sở đánh giá nhận dạng TOE.

Là những thi hành đáp lại những yêu cầu đòi hỏi về an toàn trong PP. Nó Thi hành hoàn toàn phụ thuộc vào cài đặt và vận hành SPATCNTT cụ thể. Ví dụ: ST của Windown 2003 phụ thuộc vào các thuộc tính an toàn Windown 2003. . Cung cấp việc thiết kế hợp nhất những đặc tính, những hàm, những cơ chế an toàn để chống lại những đe dọa, đáp ứng những yêu cầu đòi hỏi trong PP.

ST đi phân tích những yêu cầu an toàn trong PP, hướng PP đến sản phẩm cụ thể là TOE.

- Đánh giá ST: Tức ta đánh giá liệu sự đảm bảo an toàn tồn tại trong TOE có tuân theo chính sách an toàn đích đánh giá TSP (TOE Security Policy). Khảo sát những chức năng an toàn, có đầy đủ và hợp lý không. Kết quả của đánh giá ST là việc đưa ra những mô tả về phạm vi TOE chấp nhận tuân theo những yêu cầu an toàn.

Kết luận: Như vậy một SPATCNTT khi được đánh giá nó được đánh giá hình thức là: dùng Tiêu chí CC và Phương pháp luận CEM để đánh giá PP/ST và sau đó đưa TOE vào phòng thí nghiệm để kiểm định cho ra kết quả đánh giá, kết quả đánh giá được cơ quan cấp thẩm quyền sử dụng làm bằng chứng cấp chứng chỉ. Đánh giá SPATCNTT nó phụ thuộc rất nhiều vào việc chọn Tiêu chí đánh giá và Phương pháp luận đánh giá. Việc đánh giá, kiểm định và chứng nhận SPATCNTT nằm ở hai cơ quan tách bạch và nó gồm 4 khâu cơ bản: (1) đánh giá Hồ sơ bảo vệ PP; (2) đánh giá Đích an toàn ST; (3) đưa Đích đánh giá TOE vào kiểm định trong phòng thí nghiệm; (4) cấp chứng chỉ công nhận.

· Định nghĩa Lớp, Thành phần, Phần tử, Gói và mối quan hệ giữa chúng

CC đã xác định được cấu trúc của sản phẩm gồm PP, ST, TOE. Và nó phân các yêu cầu an toàn thành 2 yêu cầu là yêu cầu chức năng an toàn và yêu cầu đảm bảo an toàn. Trong các yêu cầu ấy CC lại chia thành các Lớp, Họ, Thành phần, Phần tử và Gói. Ta đi tìm hiểu nó.

o Lớp:

Là tập hợp các Họ mà chúng cùng chia sẻ một ý định chung về an toàn, nhưng khác nhau về khả năng bao phủ các mục tiêu an toàn. Các lớp dùng cho những mục tiêu tổ chức.

o Họ:

Là tập hợp các Thành phần mà chúng cùng chia sẻ các mục tiêu an toàn nhưng khác nhau ở sự chặt chẽ và sự nhấn mạnh. Các họ dùng cho những mục tiêu tổ chức.

o Thành phần:

Mô tả thực tế tập hợp những yêu cầu an toàn, tập hợp được thiết lập chọn lựa nhỏ nhất về an toàn.

o Phần tử:

Là thành viên của Thành phần và không thể lựa chọn từng phần tử riêng rẽ. Người ta phải lựa chọn tất cả các phần tử an toàn có trong một thành phần cho những yêu cầu an toàn mong muốn.

CC đã các chia yêu cần an toàn đến mức phần tử, cũng tương đương chúng ta có thể tác động đến an toàn SPATCNTT ở mức phần tử, mức sâu nhất của sản phẩm mà ta không thể chia nhỏ được nữa.

o Gói:

Là tập hợp các thành p

Những mức đảm bảo đánh giá (EALs)

Khi một SPATCNTT đã được đánh giá “qua”, nó được xếp mức đảm bảo an toàn. CC phân ra 7 mức đảm bảo an toàn từ EAL1 -> EAL7. Mức đánh giá càng cao thể hiện sản phẩm an toàn càng cao. Mức an toàn cao hơn được xây dựng trên cơ sở mức an toàn thấp hơn kế cận nhưng yêu cầu cao hơn về phạm vi, chiều sâu và độ nghiêm ngặt)

Cơ sở cho việc chọn mức an toàn

o Giá trị tài sản mà SPATCNTT cần bảo vệ.

o Mức độ mạo hiểm của tài sản bắt đầu được can thiệp.

o Trạng thái hiện hành của sản phẩm trong định nghĩa cấu trúc TOE.

o An toàn cho môi trường của SPATCNTT.

o Sự phát triển, sự đánh giá, sự bảo trì của SPATCNTT.

o Môi trường của những đối tác.

o Những yêu cầu chức năng phụ thuộc của SPATCNTT.

· Những yêu cầu của các mức đảm bảo đánh giá EALs

EAL1: Phương pháp kiểm định về mặt chức năng:

EAL2: Phương pháp kiểm định về cấu trúc:

EAL3: Phương pháp kiểm định và kiểm tra:

EAL4: Phương pháp thiết kế, kiểm định và xem lại:

EAL5: Thiết kế và kiểm tra bán hình thức:

EAL6: Xác minh thiết kế và kiểm tra bán hình thức:

EAL7: Xác minh thiết kế và kiểm tra hình thức:

• Tổng quan về CEM

Giới thiệu chung:

CEM viết tắt của cụm từ tiếng anh (Common Methodology for Information Security Evaluation) là tài liệu bao gồm hệ thống các nguyên tắc, các thủ tục, các tiến trình cơ bản để có thể tiến hành đánh giá một SPATCNTT. CEM là tài liệu hướng dẫn Tiêu chuẩn chung CC đánh giá sự phù hợp về an toàn mà chỉ dùng Tiêu chí và các chứng cứ để đánh giá. CEM giúp giảm hành vi đánh giá thừa, giảm chi phí đánh giá, cho ra kết quả đánh giá duy nhất khi đánh giá độc lập một sản phẩm ở những nơi khác nhau.

Phiên bản đầu tiên của CEM ra đời năm 1999 phiên bản CEM 1.0, tiếp đến CEM v2.2 năm 2004 và CEM 2.3 tháng 8/2005 đây là CEM ta đang xét trong đồ án này. Hiện nay đã có CEM 3.1.

CEM 2.3 được viết phục vụ nhằm vào việc hướng dẫn đánh giá Tiêu chí chung CC 2.3. Nó được viết bởi Ban Quản Lý Thi Hành Tiêu chí Chung viết tắt CEMEB. Hiện nay nó mới được viết để hướng dẫn đánh giá EAL1 đến EAL4, các mức cao hơn đang được CEMEB tiến hành viết. Nếu đánh giá qua mức cao thì nó đã qua ở mức thấp hơn. CEM luôn thoả mãn bốn tính chất lớn: Tính vô tư, Tính khách quan, Tính lặp lại tái tạo, Tính mạnh của những kết quả.

· Các phép toán trên thành phần

Iteration: Phép lặp cho phép một thành phần được sử dụng nhiều hơn một lần với các phép toán khác nhau.

Assignment: Phép gán cho phép đặc tả các tham số.

Selection: Phép lựa chọn cho phép đặc tả một hoặc nhiều mục từ một danh sách.

Refinement: Phép cải tiến cho phép thêm các chi tiết.

Nó được dùng khi muốn bao hàm các khía cạnh khác nhau của cùng một yêu cầu (ví dụ định danh một hoặc nhiều kiểu người dùng). Iteration được dùng ở mức thành phần yêu cầu, không nhất thiết phải nhắc lại toàn bộ văn bản mà chỉ cần nhắc lại những phần yêu cầu có sự thay đổi.

Một số thành phần có các phần tử mà chứa các tham số cho phép tác giả PP/ST chỉ rõ tập các giá trị để hợp nhất vào PP hoặc ST để thỏa mãn một mục tiêu an toàn. Những phần tử này rõ ràng xác định mỗi tham số và buộc phải gán các giá trị cho tham số đó.

Kết luận: CEM đã đưa ra 4 phép toán mở rộng nhằm nâng cao sự bao quát khía cạnh an toàn cho Tiêu chí CC, nó bổ sung sự chặt chẽ và trình bày khoa học những vấn đề an toàn mà CC không bao phủ được. Chúng ta có thể nói 4 phép toán này làm tăng giá trị của CEM, chẳng những CEM dùng để hướng dẫn đánh giá mà chúng còn đưa ra 4 phép toán bao phủ khía cạnh an toàn mà CC không thể bao phủ hết.

Mối quan hệ CEM và CC

Qua sơ đồ dưới ta thấy từng Lớp, Họ, Thành phần, Phần tử trong CC tương ứng với CEM là những hoạt động, hành động. CC luôn đặt ra những quy định cái gì cần phải đạt được còn CEM hướng dẫn để xem cái đó có thể đạt được hay không. CC hướng tới 3 đối tượng chính còn CEM hướng tới nhà đánh giá và các đối tượng khác có thể tham khảo nhằm hiểu được những đánh giá.

• CEM hướng dẫn đánh giá lớp đảm bảo APE

Các mối quan hệ của đánh giá PP

Các hoạt động để xây dựng một đánh giá PP đầy đủ bao gồm:

· Tác vụ đầu vào

Hoạt động đánh giá PP, gồm các hoạt động con

o Đánh giá mô tả TOE.

o Đánh giá môi trường an toàn.

o Đánh giá phần giới thiệu PP.

o Đánh giá các mục tiêu an toàn.

o Đánh giá các yêu cầu an toàn CNTT.

o Đánh giá các yêu cầu an toàn CNTT được nêu rõ ràng.

· Tác vụ đầu ra

Các hoạt động đánh giá xuất phát từ các yêu cầu đảm bảo APE trong CC phần 3

Hoạt động đánh giá PP

Gồm các hoạt động con:

Đánh giá mô tả TOE (APE_DES.1).

Đánh giá môi trường an toàn (APE_ENV.1).

Đánh giá giới thiệu PP (APE_INT.1).

Đánh giá mục tiêu an toàn (APE_OBJ.1).

Đánh giá các yêu cầu an toàn CNTT (APE_REQ.1).

Đánh giá các yêu cầu an toàn CNTT được nêu rõ (APE_SRE.1).

Đánh giá mô tả TOE:

Mục đích: Xác định liệu mô tả TOE có bao gồm thông tin thích đáng để có thể hiểu được mục tiêu của TOE và chức năng của nó không, và xác định liệu phần mô tả có đầy đủ và phù hợp không.

Đầu vào: PP.

Hành động APE_DES.1.1E.

APE_DES.1-1: Nhà đánh giá sẽ khảo sát mô tả TOE để xác định nó mô tả kiểu sản phẩm hay kiểu hệ thống (Firewall, Smartcard, Crypto-modem, Web server, …) của TOE.

APE_DES.1-2: Nhà đánh giá xác định xem mô tả TOE có đầy đủ để người đọc hiểu một cách tổng quan về cách sử dụng chủ định của sản phẩm hay hệ thống không, từ đó cung cấp bối cảnh đánh giá.

Nếu thiếu những chức năng cần có thì Nhà phát triển xác định xem mô tả TOE có bàn luận thỏa đáng về điều này không.

Ví dụ: Phần mô tả TOE của kiểu sản phẩm firewall nêu nó không thể được kết nối tới các mạng.

Như vậy người đánh giá sẽ khảo sát phần mô tả TOE để xác định nó có mô tả về các tính năng CNTT của TOE trong phần các thuật ngữ chung không.

Nhà đánh giá xác định xem phần mô tả TOE có bàn luận về CNTT và cụ thể các tính năng an toàn được yêu cầu bởi TOE ở mức chi tiết có đủ để người đọc hiểu tổng quan về các tính năng đó không.

Hành động APE_DES.1.2E

APE_DES.1-3: Nhà đánh giá sẽ khảo sát PP để xác định phần mô tả TOE có chặt chẽ không, tức là liệu người đọc chủ định (nhà phát triển, nhà đánh giá hay khách hàng) có hiểu được chủ đề và cấu trúc của các câu trong phần mô tả TOE không.

APE_DES.1-4: Nhà đánh giá sẽ khảo sát PP để xác định phần mô tả TOE có phù hợp nội tại không, tức là có xác định được mục đích chung của TOE không.

Hành động APE_DES.1.3E

APE_DES.1-5: Nhà đánh giá sẽ khảo sát PP để xác định phần mô tả TOE có phù hợp với các phần khác của PP hay không. Cụ thể người đánh giá xác định xem phần mô tả TOE có mô tả về các đe dọa, các tính năng an toàn hay cấu hình của TOE mà không được xét ở một nơi nào khác trong PP không.

Đánh giá môi trường an toàn (APE_ENV.1):

Mục tiêu: Xác định liệu phần này có cung cấp định nghĩa rõ ràng và đầy đủ về các vấn đề an toàn mà TOE và môi trường TOE đã được nêu không.

Đầu vào: PP

Hành động APE_ENV.1.1E

APE_ENV.1-1: Nhà đánh giá sẽ khảo sát tuyên bố trong môi trường an toàn TOE để xem PP có xác định và giải thích các giả định an toàn hay không.

Nhà đánh giá xác định xem các giả định về việc sử dụng chủ định TOE như ứng dụng chủ định của TOE, giá trị tiềm năng của những tài sản yêu cầu TOE bảo vệ và những hạn chế có thể trong việc sử dụng TOE.

Nhà đánh giá xác định xem mỗi giả định về cách sử dụng chủ định của TOE có được giải thích đủ chi tiết để khách hàng biết được nó phù hợp với yêu cầu của họ an toàn. Nếu những giả định này không được hiểu một cách rõ ràng thì kết quả cuối cùng có thể là khách hàng sẽ sử dụng TOE trong môi trường không giống như trong giả định của họ an toàn.

Nhà đánh giá xác định xem các giả định về môi trường sử dụng TOE có chứa các khía cạnh an toàn vật lý, tổ chức cán bộ và kết nối không:

- Khía cạnh an toàn vật lý: Bao gồm các giả định về vị trí vật lý của TOE hay các thiết bị ngoại vi gắn kèm để TOE có thể thực hiện các chức năng một cách an toàn. Ví dụ:

1. Hạn chế vùng điều khiển của người quản trị chỉ là một người.

2. Tất cả việc lưu file cho TOE đều phải thực hiện ở workstation mà TOE chạy trên đó.

3. Khía cạnh an toàn tổ chức cán bộ: Bao gồm các giả định về những người dùng và người quản trị của TOE hoặc những vấn đề khác như các tác nhân đe dọa tiềm năng bên trong môi trường của TOE. Ví dụ:

4. Giả định là những người dùng phải có những kĩ năng hay kiến thức chuyên môn nào đó.

5. Giả định người dùng phải có mức trần tối thiểu nào đó.

6. Giả định người quản trị sẽ cập nhật CSDL diệt virus hàng tháng.

- Khía cạnh an toàn kết nối: Bao gồm các giả định cần tạo những kết nối giữa TOE và các hệ thống CNTT hay các SPATCNTT khác. Ví dụ:

1. Giả định ổ đĩa ngoài có ít nhất 100MB để lưu trữ các log file.

2. Giả định ổ đĩa mềm bị vô hiệu hóa.

3. Giả định không kết nối TOE với mạng không tin cậy.

APE_ENV.1-2: Nhà đánh giá sẽ khảo sát tuyên bố của môi trường an toàn

TOE để xác định xem nó có xác định và giải thích các đe dọa không. Nếu các mục tiêu an toàn của TOE và môi trường của nó chỉ xuất phát từ các giả định và các chính sách an toàn có tổ chức thì tuyên bố về các đe dọa không cần phải có trong PP, trong trường hợp này đơn vị công việc này không ứng dụng được và được coi là thỏa mãn.

Nhà đánh giá xác định xem tất cả các đe dọa được xác định có được giải thích rõ ràng dưới dạng tác nhân đe dọa được xác định, tấn công và chủ thể của tấn công không.

Nhà đánh giá cũng xác định xem các tác nhân đe dọa có được đại diện bởi các tài nguyên, ý kiến chuyên môn không và các tấn công có được đại diện bởi các phương pháp tấn công, các điểm yếu bất kỳ bị lợi dụng không.

APE_ENV.1-3: Nhà đánh giá sẽ khảo sát tuyên bố của môi trường an toàn TOE để xác định xem nó có nhận ra và giải thích các chính sách an toàn có tổ chức không.

Nếu các mục tiêu an toàn của TOE và môi trường của nó chỉ xuất phát từ các giả định và các chính sách an toàn có tổ chức thì tuyên bố về các đe dọa không cần phải có trong PP, trong trường hợp này đơn vị công việc này không ứng dụng được và được coi là thỏa mãn.

Nhà đánh giá xác định xem các tuyên bố về chính sách an toàn có tổ chức có được tạo thành dưới dạng các quy tắc, lệ thường hay hướng dẫn mà TOE hay môi trường của nó phải tuân theo không. Chính sách an toàn có tổ chức như yêu cầu sinh Password và mã hóa để xác thực một chuẩn do chính phủ quy định.

Nhà đánh giá xác định xem mỗi chính sách an toàn có tổ chức có được giải thích hoặc thể hiện đủ chi tiết để có thể hiểu rõ ràng không.

Hành động APE_ENV.1.2E

APE_ENV.1-4: Nhà đánh giá sẽ khảo sát tuyên bố của môi trường an toàn TOE để xác định xem nó có chặt chẽ không, tức là người đọc (người đánh giá và khách hàng) có thể hiểu được không.

APE_ENV.1-5: Nhà đánh giá sẽ khảo sát tuyên bố của môi trường an toàn TOE để xác định xem có phù hợp nội tại không. Ví dụ:

- Tuyên bố chứa một đe dọa mà ở đó phương pháp tấn công không thuộc khả năng của tác nhân đe dọa của nó không.

- Tuyên bố chứa một chính sách an toàn có tổ chức “TOE sẽ không được kết nối với Internet” và một đe dọa mà tác nhân lại xuất phát từ Internet.

Đánh giá giới thiệu PP (APE_INT.1):

Mục đích: Xác định liệu phần giới thiệu PP có đầy đủ và phù hợp với tất cả các phần của PP không và liệu có xác định đúng PP không.

Đầu vào: PP

Hành động APE_INT.1.1E

APE_INT.1-1: Nhà đánh giá sẽ kiểm tra xem phần giới thiệu PP có cung cấp thông tin định danh, mục lục, đăng kí và tham khảo bổ sung PP không.

Người đánh giá xác định thông tin xác định PP bao gồm:

- Thông tin cần thiết để quản lý và xác định PP một cách duy nhất (ví dụ tiêu đề của PP, số phiên bản, ngày phát hành, tác giả, tổ chức tài trợ).

- Thông tin về phiên bản của CC được dùng để phát triển PP.

- Thông tin đăng kí (nếu PP đã được đăng kí trước khi đánh giá ).

- Tham khảo bổ sung (nếu PP được so sánh với các PP khác).

- Thông tin thêm (như trong lược đồ yêu cầu).

APE_INT.1-2: Nhà đánh giá sẽ kiểm tra xem phần giới thiệu PP có cung cấp tổng quan về PP ở dạng tường thuật không. Tổng quan về PP là phần tóm tắt nội dung của PP (mô tả chi tiết hơn so với phần mô tả TOE) giúp cho người dùng tiềm năng có thể xác định được liệu họ có cần PP này không.

Hành động APE_INT.1.2E

APE_INT.1-3: Nhà đánh giá sẽ khảo sát phần giới thiệu PP để xác định xem nó có chặt chẽ không, tức là người đọc chủ định (nhà phát triển, người đánh giá và khách hàng) có hiểu không.

APE_INT.1-4: Nhà đánh giá sẽ khảo sát phần giới thiệu PP để xác định xem nó có phù hợp nội tại hay không (so với tổng quan của PP).

Hành động APE_INT.1.3E

APE_INT.1-5: Nhà đánh giá sẽ khảo sát PP để xem phần giới thiệu PP có phù hợp với các phần còn lại của PP không.

Nhà đánh giá sẽ xác định xem tổng quan của PP có cung cấp chính xác tóm tắt TOE không. Cụ thể người đánh giá xác định xem tổng quan về PP có phù hợp với mô tả TOE không và có nêu hay ẩn chứa sự có mặt của các tính năng an toàn mà không thuộc phạm vi đánh giá hay không.

Nhà đánh giá cũng xác định xem tuyên bố CC có phù hợp với phần còn lại của PP không.

Đánh giá mục tiêu an toàn:

Mục đích: Xác định xem liệu các mục tiêu an toàn có được mô tả đầy đủ và phù hợp không và xác định xem các mục tiêu an toàn có chống lại các đe dọa được xác định không, có đạt được các chính sách an toàn có tổ chức được xác định và phù hợp với các giả định đã nêu không.

Đầu vào: PP

Hành động (APE_OBJ.1.1E)

APE_OBJ.1-1: Nhà đánh giá sẽ kiểm tra xem tuyên bố mục tiêu an toàn có xác định các mục tiêu an toàn và môi trường hay không, xác định xem với mỗi mục tiêu an toàn có được đặc tả rõ ràng hay không, liệu nó được chủ định dùng với TOE, với môi trường hay cả hai.

APE_OBJ.1-2: Nhà đánh giá khảo sát cơ sở hợp lý của các mục tiêu an toàn để xác định xem có thể lần lại các khía cạnh của các đe dọa đã xác định để được chống lại không hoặc các khía cạnh của các chính sách an toàn có tổ chức mà TOE thỏa mãn từ các mục tiêu an toàn không.

Nhà đánh giá xác định xem có thể lần lại ít nhất một đe dọa hay một chính sách an toàn có tổ chức từ mỗi mục tiêu an toàn không. Nếu thiếu khả năng lần lại tức là cơ sở hợp lý của các mục tiêu an toàn không đầy đủ, các đe dọa hay chính sách an toàn có tổ chức không đầy đủ hoặc mục tiêu an toàn không không có tác dụng.

Do đó một hoặc nhiều mục tiêu có thể chỉ ra toàn bộ một đe dọa ứng với môi trường.

APE_OBJ.1-3: Nhà đánh giá sẽ xác định cơ sở hợp lý của các mục tiêu an toàn để xác định xem có thể lần lại các đe dọa được xác định để đối phó bởi môi trường của TOE hoặc các chính sách an toàn có tổ chức mà môi trường TOE thỏa mãn hoặc các giả định mà môi trường TOE thỏa mãn từ các mục tiêu an toàn ứng với môi trường không.

Nhà đánh giá xác định xem có thể lần lại được ít nhất một giả định, đe dọa hay chính sách an toàn có tổ chức từ mỗi mục tiêu an toàn không. Thiếu khả năng lần lại tức là cơ sở hợp lý của mục tiêu an toàn không đầy đủ, các đe dọa, các giả định hay chính sách an toàn có tổ chức không đầy đủ hay mục tiêu an toàn ứng với môi trường không có tác dụng.

APE_OBJ.1-4: Nhà đánh giá sẽ khảo sát cơ sở hợp lý của các mục tiêu an toàn để xác định xem với mỗi đe dọa có lý lẽ phù hợp mà các mục tiêu an toàn thích hợp để chống lại không.

Nếu không có mục tiêu an toàn nào lần lại được đe dọa thì đơn vị công việc này không thành công.

Nhà đánh giá xác định xem lý lẽ chứng minh cho một đe dọa mà tất cả mục tiêu an toàn lần vết trở lại được có đạt được không, đe dọa có bị loại bỏ không, đe dọa có bị giảm bớt xuống mức chấp nhận được không hay các ảnh hưởng của đe dọa có bị giảm nhẹ không.

Nhà đánh giá cũng xác định xem mỗi mục tiêu an toàn mà lần vết trở lại đe dọa, khi đạt được có góp phần để loại bỏ, giảm bớt hay giảm nhẹ đe dọa đó không.

Ví dụ về việc xóa một đe dọa:

- Loại bỏ khả năng sử dụng một phương pháp tấn công của một tác nhân.

- Ngăn chặn dẫn đến loại bỏ sự phát triển của tác nhân đe dọa.

- Loại bỏ tác nhân đe dọa (Ví dụ: loại bỏ các máy từ một mạng mà thường xuyên phá mạng đó).

Ví dụ về giảm bớt một đe dọa:

- Hạn chế tác nhân đe dọa trong các phương pháp tấn công.

- Hạn chế các tác nhân đe dọa theo cơ hội.

- Giảm khả năng một tấn công được đưa ra mà thành công.

- Yêu cầu kiến thức chuyên môn hay các tài nguyên lớn hơn từ tác nhân đe dọa.

Ví dụ về giảm nhẹ ảnh hưởng của một đe dọa:

- Tạo các back-up thường xuyên của tài sản.

- Có những bản sao dự phòng của TOE.

- Thường xuyên thay đổi khóa của phiên giao tiếp.

APE_OBJ.1-5: Nhà đánh giá sẽ khảo sát cơ sở hợp lý của các mục tiêu an toàn để xác định xem với mỗi chính sách an toàn có tổ chức có chứa lý lẽ phù hợp mà các mục tiêu an toàn bao hàm chính sách đó.

Nếu không có mục tiêu an toàn nào lần trở lại được chính sách an toàn có tổ chức thì đơn vị công việc này không thành công.

Nhà đánh giá sẽ xác định xem lý lẽ ứng với chính sách an toàn có tổ chức có chứng minh được nếu tất cả các mục tiêu an toàn lần lại được chính sách an toàn có tổ chức thì chính sách này được cài đặt không.

Nhà đánh giá cũng xác định xem mỗi mục tiêu an toàn mà lần lại được chính sách an toàn có tổ chức, khi đạt được thì thực tế có góp phần vào việc cài đặt chính sách đó không.

APE_OBJ.1-6 Nhà đánh giá sẽ khảo sát cơ sở hợp lý của các mục tiêu an toàn để xác định xem mỗi giả định có chứa lý lẽ thích hợp không, nếu không mục tiêu an toàn nào lần lại được giả định thì đơn vị công việc này không thành công.

Hành động (APE_OBJ.1.2E)

APE_OBJ.1-7: Nhà đánh giá sẽ khảo sát các mục tiêu an toàn để xem chúng có chặt chẽ không.

APE_OBJ.1-8: Nhà đánh giá sẽ khảo sát các mục tiêu an toàn để xác định xem nó có đầy đủ không.

APE_OBJ.1-9: Nhà đánh giá sẽ khảo sát các mục tiêu an toàn để xác định xem nó có phù hợp nội tại hay không.

ÁP DỤNG CC VÀ CEM ĐÁNH GIÁ HỒ SƠ BẢO VỆ PHIÊN BẢN 1.1 HỆ THỐNG PHÒNG CHỐNG XÂM NHẬP CỦA KISA

Đánh giá PP phiên bản 1.1 của hệ thống IPS

Giới thiệu IPS " Bỏ qua"

· Phần 1: Giới thiệu Hồ sơ bảo vệ ( PP )

Đây là Hồ sơ bảo vệ được phát triển bởi: Cơ Quan An Toàn Thông Tin Hàn Quốc (KISA) và được mở rộng xác nhận yêu cầu chức năng tới sự trang bị hệ thống phòng chống xâm nhập (IPS). Phát triển Hồ sơ bảo vệ dựa trên những yêu cầu của hệ thống phòng chống xâm nhập. Người quản trị có khả năng dùng Hồ sơ bảo vệ để đề xuất những yêu cầu an toàn, duy trì an toàn cho hệ thống.

1.1 Nhận biết PP:

o Tiêu đề: PP hệ thống phòng chống xâm nhập mạng máy tính.

o Nhà bảo trợ: NIS, MIC.

o Nhà phát triển: Bộ phận đánh giá SPATCNTT, đội lập kế hoạch đánh giá, KISA.

o Người đóng góp: Nhóm chuyên gia phát triển PP Firewall.

o Đánh giá dùng CC v2.3

o Mức an toàn đánh giá: EAL4.

o Hồ sơ bảo vệ v1.1 phát triển 24/12/2005.

o Số đăng ký: PP-009

o Kết quả đánh giá: Qua

o Từ khoá: Hệ thống phòng chống xâm nhập, điều khiển luồng thông tin và Firewall.

1.2 Tổng quan PP:

Đây là PP xác định những yêu cầu an toàn của hệ thống phòng chống xâm nhập mạng, nó được dùng với ý nghĩa bảo vệ thông tin mạng bên trong khỏi kẻ tấn công từ mạng bên ngoài.

Nhà phát triển ST có thể thêm những yêu cầu an toàn mức cao hơn so với những yêu cầu an toàn trong PP khi phát triển hệ thống IPS. Hồ sơ bảo vệ nó xác định những đe dọa, những giả định và chính sách an toàn có tổ chức, đồng thời mô tả những mục tiêu an toàn bên trong hệ thống IPS. Những yêu cầu chức năng và những yêu cầu đảm bảo an toàn độc lập với môi trường thi hành IPS. PP cung cấp cơ sở hợp lý cho những mục tiêu và những yêu cầu an toàn.

- Độ mạnh của chức năng SOF (Strength of Function) trong PP: Mức trung bình.

Điều khoản và định nghĩa:

Điều khoản và định nghĩa được dùng ở đây nó có cùng ý nghĩa trong CC.

o SOF:

Những biểu thị quy tắc chức năng an toàn thể hiện công sức tối thiểu để có thể chống lại những tấn công tiềm tàng.

o SOF-Trung bình:

Độ mạnh của chức năng của TOE, khi chúng ta phân tích PP phải chỉ ra được chức năng cung cấp bảo vệ chống lại được những đe dọa trực tiếp hoặc những xâm nhập định trước về an toàn mà ta có thể sở hữu được tấn công ấy hoặc làm dịu xuống cuộc tấn công này.

o Người dùng:

Tất cả thực thể (con người hoặc thực thể CNTT bên ngoài) bên ngoài TOE mà liên quan đến TOE.

o Sự nhận biết:

Việc duy nhất để xác định người dùng hợp pháp, bằng định danh đầy đủ hoặc không đầy đủ.

o Vai trò:

Là tập hợp quy tắc được thiết lập cho phép tương tác giữa người dùng và TOE.

o Dữ liệu TSF:

Dữ liệu được tạo bởi TOE và nó ảnh hưởng đến thao tác của TOE.

1.5 Cấu trúc Hồ sơ bảo vệ của IPS:

· Phần 2: Mô tả TOE

Hệ thống phòng chống xâm nhập IPS tạo ra từ phần cứng, phần mền, phần sụn. Nó giữ chức năng bảo vệ những tài sản của mạng bên trong, phát hiện và ngăn chặn các xâm nhập từ bên ngoài. IPS thi hành chức năng phát hiện, ngăn ngừa các xâm nhập từ bên ngoài và kiểm soát lưu lượng mạng từ mạng bên ngoài tới mạng bên trong trên khoảng thời gian thực.

Mô tả TOE

Môi trường ngoài Internet:

Hiện nay nhiều kẻ tấn công thông qua Internet để tấn công vào máy chủ cung cấp dịch vụ nằm ở mạng bên trong một cách bất hợp pháp nhờ sử dụng tầng mạng (Network layers). Tuy nhiên thời gian gần đây virut và các cuộc tấn công xuất hiện trên Internet rất nhiều chủ yếu xuất hiện ở tầng ứng dụng. Vì thế các cuộc tấn công bằng virut và tin tặc (hacking) thường xuyên xảy ra khi Internet ngày càng mở rộng như hiện nay.

Bởi vậy hệ thống máy tính và dịch vụ mạng dễ dàng bị phát hiện các điểm yếu tổn thương, dẫn đến những sự cố xâm phạm như tin tặc, tấn công thông qua thư điện tử, virut và sâu mạng nhanh chóng tăng lên.

Môi trường sử dụng TOE:

Để theo dõi được lưu lượng mạng từ bên ngoài vào bên trong thì người quản trị TOE phải theo dõi và kiểm soát lưu lượng mạng bằng những chính sách an toàn.

TOE phân đối tượng xung quanh làm hai kiểu thực thể đó là người dùng và máy tính:

Một là: Thực thể CNTT là người dùng, phải được người quản trị xác thực định danh và dữ liệu song mới cho phép kết nối TOE.

Hai là: Thực thể CNTT là các máy tính cung cấp các dịch vụ mạng bên trong thông qua TOE tới các máy tính bên ngoài. TOE bảo vệ kiểm soát kết nối chính từ thực thể CNTT tới máy tính mạng bên trong.

Hình 4. 2 Mô hình đặt hệ thống IPS vào trong môi trường hoạt động

Chức năng an toàn TOE:

TOE sẽ phát hiện và ngăn chặn các xâm phạm lưu lượng từ mạng Internet vào mạng bên trong, bảo vệ an toàn cho tài sản thông tin và nguồn tài nguyên mạng bên trong. Xâm phạm lưu lượng thông tin bao gồm: truy cập dịch vụ bất hợp pháp, các gói mạng không gửi theo cấu trúc bình thường, các gói mạng chứa sâu mạng, virut và các gói tấn công dịch vụ làm thiệt hại đến tài nguyên mạng bên trong….

TOE sẽ trang bị quy tắc phục hồi tổn thương thông tin và có khả năng ngăn ngừa tấn công gần như là phát hiện tính dễ tổn thương của hệ thống máy tính. TOE có thể lập tức điều khiển ngăn ngừa những virut mới, sâu mạng mới hoặc có thể thay đổi cuộc tấn công.

TOE sẽ giám sát và bảo vệ tất cả lưu lượng mạng từ bên ngoài tới bên trong. Tuy nhiên TOE sẽ đảm bảo thi hành ở mức cao và bảo vệ tổn thương để chống lại biến cố lỗi.

· Phần 3: Môi trường an toàn TOE

Môi trường đảm bảo an toàn và những giả định mô tả an toàn của môi trường TOE. Những đe dọa an toàn có thể nhanh chóng đáp trả bằng những tác nhân tài sản của TOE bằng môi trường hoặc chính sách có tổ chức. Nó cung cấp những quy tắc, thủ tục, thi hành, những yêu cầu hướng dẫn được chấp nhận bởi TOE.

3.1 Những giả định:

Những giả định sẽ ứng dụng tới môi trường thao tác TOE và tuân theo PP.

o An toàn vật lý:

TOE sẽ hướng vào môi trường an toàn vật lý đó là hạn chế người quản trị chỉ duy nhất một người.

o Duy trì an toàn:

Khi môi trường mạng bên trong thay đổi, tức lúc ta thay đổi cấu hình mạng bên trong thì số máy tính, dịch vụ tăng thêm hoặc giảm bớt …Thay đổi môi trường và chính sách an toàn sẽ ngay lập tức phản chiếu chính sách an toàn trong TOE, như vậy mức an toàn đó phải được duy trì như trước đấy bởi TOE.

o Người quản trị tin cậy:

Người quản trị hợp pháp TOE sẽ không cho người dùng bất kỳ bất hợp pháp truy cập, Người quản trị có đầy đủ quyền đào tạo, quyền quản trị chức năng TOE và nghĩa vụ của họ là thiết lập đầy đủ quyền theo tài liệu hướng dẫn quản trị.

o Củng cố hệ điều hành:

Sự tin cậy và an toàn của hệ điều hành tức là sự đảm bảo an toàn các hoạt động trực tiếp hoặc từ xa của người quản trị lên TOE. TOE sẽ củng cố được thiếu sót của hệ điều hành bằng các luật trong TOE.

o Điểm kết nối:

Khi chúng ta cài đặt và thao tác trên mạng, nhánh mạng từ bên ngoài tới bên trong. Tất cả đều kết nối một đường duy nhất thông qua TOE.

3.2 Những đe dọa:

PP xác định những đe dọa an toàn từ những tác nhân đe dọa bên ngoài tới những tài sản được bảo vệ bởi TOE, chính TOE và môi trường thao tác TOE.

Tài sản chính được bảo vệ bởi TOE là tài nguyên máy tính và dịch vụ mạng DMZ của mạng bên trong. Những tác nhân đe dọa bên ngoài tấn công tài nguyên máy tính từ truy cập bất hợp pháp hoặc làm mất đi tính sẵn sàng.

Tác nhân đe dọa là những người dùng chung máy tính hoặc thực thể CNTT từ mạng ngoài truy cập đến máy tính vào mạng bên trong. Tác nhân đe dọa nó giữ ở mức thấp nhất kiến thức chuyên sâu, tài nguyên và những động cơ. TOE cho rằng khả năng các tác nhân đe dọa tới sự phát hiện tổn thương có thể gây hại ở mức thấp. Đe dọa phân biệt thông tin tổn thương tức là kẻ tấn công bất hợp pháp có thể làm tổn hại đến thông tin hoặc thiệt hại đến tài nguyên của máy tính, bằng cách thu thập các thông tin tổn thương làm tổn hại đến hệ điều hành và các ứng dụng. TOE sẽ bảo vệ tài sản từ đe dọa và phân biệt các tổn thương.

3.2.1 Những đe dọa trên TOE

o Giả mạo:

Tác nhân đe dọa có thể giả mạo như người quản trị hợp lệ để truy cập TOE.

o Sự cố:

TOE có thể không cung cấp dịch vụ một cách bình thường tới người dùng khi có sự cố xuất hiện từ tấn công bên ngoài.

o Thất bại bản ghi:

Bộ nhớ có thể bị thiếu dẫn đến các biến cố liên quan đến an toàn có thể không được ghi lại.

o Lưu lựơng thông tin bất hợp pháp :

Máy tính mạng bên trong có thể bị xâm nhập từ các gói mạng chứa thông tin mà không được thừa nhận từ mạng bên ngoài.

o Truy cập dịch vụ bất hợp pháp :

Tác nhân đe dọa có thể ngắt dịch vụ đang hoạt động bình thường được cung cấp bởi máy tính mạng bên trong bằng những truy cập bất hợp pháp từ máy tính mạng bên trong.

o Truyền gói dị thường :

Tác nhân đe dọa có thể làm sai lệch thao tác trong hệ thống mạng bên trong bằng cách truyền trên mạng những gói dị thường.

o Tấn công tính tổn thương mới:

Tác nhân đe dọa có thể tấn công sử dụng tính tổn thương mới trong hệ thống máy tính của mạng bên trong tới TOE hoặc môi trường TOE.

o Tấn công từ chối dịch vụ :

Tác nhân đe dọa có thể ngắt dịch vụ của hệ thống mạng bằng cách gửi yêu cầu một cách bất thường làm cho dịch vụ khác bị ngắt, dẫn đến hệ thống có thể xập.

o Cố gắng xác thực liên tục:

Tác nhân đe dọa có thể truy cập TOE bởi sự cố gắng xác thực liên tục.

o Sự truy cập vòng:

Tác nhân đe dọa có thể truy cập TOE qua đường vòng chức năng an toàn của TOE.

o Giả mạo địa chỉ:

Tác nhân đe dọa có thể truy cập bất hợp pháp tới mạng bên trong bởi những nguồn địa chỉ giả mạo như địa chỉ thực của mạng bên trong.

o Sự thay đổi dữ liệu TSF không hợp pháp:

Dữ liệu TSF có thể bị thay đổi mà không được xác thực như đe dọa tấn công tràn bộ đệm đến TOE.

3.2.2 Những đe dọa tới môi trường thao tác TOE

o Thiếu hụt quản trị:

TOE có thể bị cấu hình, quản lý và sử dụng các phương pháp thiếu an toàn từ người quản trị.

o Phân phối và cài đặt:

TOE có thể bị suy yếu an toàn trong khi xử lý phân phối và cài đặt.

3.3 Chính sách an toàn có tổ chức:

Chính sách an toàn có tổ chức mô tả trong các phần sẽ được quan sát trong TOE và tuân theo PP.

o Kiểm toán:

Tất cả những hoạt động an toàn liên quan, những sự kiện an toàn liên quan

sẽ được ghi lại và bảo trì. Dữ liệu bản ghi sẽ được xem lại.

o Quản lý an toàn

Người quản trị hợp pháp sẽ quản lý TOE luôn luôn an toàn.

· Phần 4: Những mục tiêu an toàn

Gồm mục tiêu an toàn trong TOE và mục tiêu an toàn môi trường TOE. Mục tiêu an toàn TOE trực tiếp hướng vào TOE và mục tiêu an toàn môi trường hướng vào miền CNTT, kỹ thuật hoặc những phương tiện thủ tục .

4.1 Mục tiêu an toàn cho TOE

o Tính sẵn sàng:

TOE sẽ cung cấp dịch vụ một cách bình thường khi gặp sự cố hỏng hóc từ những tấn công bất ngờ hoặc tấn công từ mạng bên ngoài bằng sự duy trì chức năng tối thiểu.

o Kiểm toán:

TOE sẽ ghi lại và bảo trì những vấn đề bất ngờ liên quan đến an toàn, theo dõi những vấn đề liên quan đến an toàn và cung cấp phương tiện để xem lại bản ghi dữ liệu đó.

o Quản trị:

TOE sẽ cung cấp phương tiện cho người quản trị hợp pháp TOE để quản lý hiệu quả các phương pháp an toàn.

o Cắt đứt gói dị thường:

TOE cắt đứt gói dị thường và giữ lại cấu trúc gói đó thông quan TOE.

o Cắt đứt tấn công từ chối dịch vụ DOS:

Cho phép dịch vụ mạng của máy tính được bảo vệ, sử dụng một cách bình thường. TOE sẽ cắt đứt dịch vụ tài nguyên bất thường tạo bởi kẻ tấn công.

o Định danh:

TOE sẽ định danh những người dùng truy cập TOE và tất cả thực thể CNTT bên ngoài là các chủ thể mà TOE quản lý lưu lượng thông tin từ nó tạo ra.

o Xác thực:

TOE sẽ xác định sự phù hợp của người quản trị trước khi cho quyền truy cập vào TOE và sau khi người quản trị đã định danh.

o Quản lý lưu lượng thông tin:

TOE sẽ quản lý lưu lượng thông tin không hợp pháp từ mạng bên ngoài tới mạng bên trong bằng chính sách an toàn thích hợp.

o Bảo vệ dữ liệu TSF:

TOE sẽ bảo vệ dữ liệu TSF từ sự làm lộ, sửa đổi hay xoá không hợp pháp.

4.2 Mục tiêu an toàn cho môi trường

o An toàn vật lý:

TOE sẽ định vị trong môi trường an toàn vật lý tới truy cập mà chỉ có người quản trị hợp pháp mới có quyền.

o Duy trì an toàn:

Khi môi trường mạng bên trong thay đổi dẫn đến thay đổi cấu hình, tăng thêm hoặc giảm bớt máy tính, dịch vụ…Thay đổi môi trường và chính sách an toàn ngay lập tức chính sách TOE sẽ điều chỉnh để duy trì an toàn ở mức như trước đấy.

o Quản trị tin cậy:

Người quản trị hợp pháp của TOE sẽ là những người dùng không hiểm độc. Hoàn thành sự đào tạo thích hợp trên những chức năng quản trị TOE và sự hoàn thành thi hành thích hợp và đúng đắn theo tài liệu hướng dẫn quản trị.

o Quản lý an toàn:

TOE sẽ mô tả và cài đặt phương pháp an toàn, quản lý an toàn và sử dụng phương pháp an toàn bởi người quản trị hợp pháp.

o Củng cố hệ điều hành :

Sự tin cậy và an toàn của hệ điều hành tức là sự đảm bảo an toàn các họat động trực tiếp hoặc từ xa của người quản trị lên TOE. TOE sẽ củng cố được thiếu sót của hệ điều hành bằng các luật trong TOE.

o Kết nối duy nhất:

Khi chúng ta cài đặt và thao tác trong mạng những nhánh mạng bên ngoài và bên trong tất cả truyền thông qua TOE.

o Đổi mới danh sách tổn thương:

Sự bảo vệ chống lại tấn công bên ngoài sử dụng tính tổn thương mới của máy tính thuộc mạng bên trong. Người quản trị phải làm mới và quản lý cơ sở dữ liệu trên việc quản lý tổn thương của TOE.

· Phần 5: Những yêu cầu an toàn CNTT

5.1 Những yêu cầu chức năng an toàn TOE

o SOF của PP là “trung bình”

Những lớp chức năng	Những thành phần chức năng
Kiểm toán an toàn	FAU_ARP.1	Cảnh báo an toàn.
	FAU_GEN.1	Sinh dữ liệu kiểm toán .
	FAU_GEN.2	Liên kết danh tính người sử dụng.
	FAU_SAA.1	Phân tích xâm phạm tiềm tàng.
	FAU_SAR.1	Xem lại kiểm toán.
	FAU_SAR.3	Có thể lựa chọn .
	FAU_SEL.1	Kiểm soát có chọn lọc.
	FAU_STG.1	Lưu trữ dấu vết kiểm toán có bảo vệ.
	FAU_STG.3	Các hành động trong trường hợp mất mát dữ liệu kiểm toán.
	FAU_STG.4	Ngăn ngừa sự mất mát dữ liệu kiểm toán.
Bảo vệ dữ người dùng	FDP_IFC.1(1)	Quản lý tập con luồng thông tin 1.
	FDP_IFC.1(2)	Quản lý tập con luồng thông tin 2.
	FDP_IFF.1	Những thuộc tính an toàn đơn giản.
Định danh và xác thực	FIA_AFL.1	Sự xác thực hỏng.
	FIA_ATD.1(1)	Định nghĩa thuộc tính người dùng 1.
	FIA_ATD.1(2)	Định nghĩa thuộc tính người dùng 2.
	FIA_UAU.1	Tính toán thời gian xác thực.
	FIA_UAU.7	Bảo vệ sự phản hồi xác thực.
	FIA_UID.2(1)	Sự định danh người dùng trước bất kỳ hành động nào 1.
	FIA_UID.2(2)	Sự định danh người dùng trước bất kỳ hành động nào 2.
Quản lý an toàn	FMT_MOF.1	Quản lý hành vi chức năng an toàn.
	FMT_MSA.1	Quản lý những thuộc tính an toàn.
	FMT_MSA.3	Khởi hoạt thuộc tính .
	FMT_MTD.1	Quản lý dữ liệu TSF.
	FMT_MTD.2	Quản lý giới hạn trên dữ liệu TSF.
	FMT_SMF.1	Định rõ quản lý chức năng.
	FMT_SMR.1	Vai trò an toàn.
Bảo vệ TSF	FPT_AMT.1	Kiểm tra bộ máy trừu tượng.
	FPT_FLS.1	Sự thất bại với việc bảo tồn trạng thái an toàn.
	FPT_RVM.1	Không có tính đường vòng của TSP.
	FPT_SEP.1	Sự ngăn cách miền TSF.
	FPT_STM.1	Tem thời gian đáng tin cậy.
	FPT_TST.1	Kiểm định TSF.
Tiện ích tài nguyên	FRU_FLT.1	Kháng lỗi suy biến
	FRU_RSA.1	Tối đa những chỉ tiêu.
Truy cập TOE	FTA_SSL.1	TSF khoá những phiên truy cập.
	FTA_SSL.3	TSF Kết thúc truy cập.
Kênh và tuyến tin cậy	FTP_ITC.1	Kênh tin cậy TSF.

Những yêu cầu chức năng trong PP hệ thống phòng chống xâm nhập của KISA

5.1.1 Kiểm toán an toàn

o FAU_ARP.1: Những cảnh báo an toàn:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FAU_ARP.1.1: TSF sẽ lưu giữ danh sách xác định những thực thi của tác giả ST trên sự phát hiện những vi phạm tiềm tàng đến an toàn.

- Những phần phụ thuộc:

FAU_SAA.1 phân tích những vi phạm tiềm tàng.

o FAU_GEN.1: Sinh dữ liệu kiểm toán:

- Sự phân cấp: Không có sự phân cấp với thành phần khác

FAU_GEN.1.1: TSF có khả năng sinh bản ghi kiểm toán về những sự kiện kiểm toán sau:

+ Cài đặt hoặc tắt những chức năng kiểm toán.

+ Tất cả sự kiện có thể kiểm toán ở mức tối thiểu về kiểm toán.

+ (Assignment: Chỉ rõ những định nghĩa khác về kiểm toán có thể).

FAU_GEN.1.2: TSF sẽ ghi lại bên trong mỗi bản ghi kiểm toán mức tối thiểu thông tin dưới đây:

+ Ngày và thời gian sự kiện, kiểu sự kiện, xác định chủ thể, kết quả của các sự kiện (thành công hoặc thất bại).

+ Mỗi kiểu sự kiện kiểm toán dựa trên những định nghĩa về sự kiện có thể kiểm toán của thành phần chức năng chứa trong PP/ST. (Assignment: Kiểm toán thông tin khác có liên quan).

- Những thành phần phụ thuộc phụ thuộc:

FPT_STM.1 tem thời gian tin cậy.

o FAU_GEN.2: Liên kết danh tính người sử dụng:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FAU_GEN.2.1: TSF có thể kết hợp mỗi sự kiện kiểm toán với định danh của của người dùng gây ra sự kiện ấy.

- Những thành phần phụ thuộc:

FAU_GEN.1: Phát sinh dữ liệu kiểm toán.

FIA_UID.1: Khoảng thời gian để định danh.

o FAU_SAA.1: Phân tích xâm phạm tiềm tàng:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FAU_SAA.1.1: TSF sẽ áp dụng tập quy tắc theo dõi các sự kiện kiểm toán, những quy tắc chỉ ra sự xâm phạm tiềm tàng TSP.

FAU_SAA.1.2: TSF sẽ bắt buộc những quy tắc sau cho giám sát những sự kiện kiểm toán.

+ Sự tích trữ hoặc sự kết hợp của (Assignment: Tập con định nghĩa những sự kiện kiểm toán) cho biết xâm phạm tiềm tàng an toàn.

+ Chỉ định một vài quy tắc khác.

- Những thành phần phụ thuộc:

FAU_GEN.1 phát sinh dữ liệu kiểm toán .

o FAU_SAR.1: Xem lại kiểm toán:

- Những thành phần phụ thuộc: Không có sự phân cấp.

FAU_SAR.1.1: TSF sẽ cung cấp cho người quản trị hợp pháp khả năng như đọc (tất cả bản ghi) từ những bản ghi kiểm toán.

FAU_SAR.1.2: TSF sẽ cung cấp cho người dùng hiểu được những bản ghi kiểm toán một cách thích hợp.

- Những thành phần phụ thuộc:

FAU_GEN.1 phát sinh dữ liệu kiểm toán .

o FAU_SAR.3 Xem lại kiểm toán một cách lựa chọn:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FAU_SAR.3.1: TSF sẽ cung cấp khả năng thi hành (Selection: Tìm kiếm, lựa chọn và sắp xếp) dữ liệu kiểm toán trên cơ sở (Assignment: Liên quan đến logic).

- Những thành phần phụ thuộc:

FAU_SAR.1 xem lại dữ liệu kiểm toán.

o FAU_SEL.1: Kiểm toán lựa chọn:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FAU_SEL.1.1: TSF có thể bao gồm hoặc loại trừ những sự kiện kiểm toán có thể từ tập những sự kiện kiểm toán dựa vào những thuộc tính sau:

+ Selection: Định danh đối tượng, định danh người dùng, định danh những chủ thể, định danh máy tính và kiểu sự kiện.

+ Assignment: Danh sách thêm vào những thuộc tính dựa trên cơ sở kiểm toán lựa chọn.

- Những thành phần phụ thuộc:

FAU_GEN.1: Phát sinh dữ liệu kiểm toán .

o FAU_STG.1: Lưu trữ dấu vết kiểm toán có bảo vệ:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FAU_STG.1.1: TSF sẽ bảo vệ những bản ghi lưu trữ kiểm toán từ những phát hiện bất hợp pháp.

FAU_STG.1.2 : TSF sẽ có thể ngăn cản, dò tìm những chỉnh sửa bất hợp pháp tới những bản ghi lưu trữ kiểm toán trong việc theo dõi kiểm toán.

- Những thành phần phụ thuộc:

FAU_GEN.1 phát sinh dữ liệu kiểm toán .

o FAU_STG.3 Hành động trong trường hợp mất dữ liệu kiểm toán:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FAU_STG.3.1: TSF sẽ (Assignment: Hành động trong trường hợp mất dữ liệu kiểm toán) nếu như theo dõi kiểm toán trội hơn (Assignment: pre-defined limit) .

- Những thành phần phụ thuộc:

FAU_STG.1 lưu trữ dấu vết kiểm toán có bảo vệ .

o FAU_STG.4: Ngăn ngừa mất mát dữ liệu kiểm toán:

- Sự phân cấp: FAU_STG.3 hành động trong trường hợp mất dữ liệu kiểm toán.

FAU_STG.4.1: TSF (Selection: Một trường hợp “ lờ đi những sự kiện kiểm toán có thể ” “ ngăn ngừa những sự kiện kiểm toán có thể, trừ người dùng hợp pháp được chỉ rõ là đúng.” “ ghi đè lên những bản ghi kiểm toán cũ ” và những hành động tới việc lưu giữ trong trường hợp lưu trữ kiểm toán bị hỏng nếu như kiểm toán đầy đủ).

- Những thành phần phụ thuộc:

FAU_STG.1 lưu trữ dấu vết kiểm toán có bảo vệ

5.1.2 Bảo vệ dữ liệu người dùng

o FDP_IFC.1(1): Kiểm soát tập hợp con luồng thông tin 1:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FDP_IFC.1.1: TSF sẽ bắt buộc (từ chối tất cả những chính sách) của chủ thể, thông tin và thao tác kiểm soát luồng thông tin từ kiểm soát chủ thể bao phủ bởi chính sách chức năng an toàn SFP (Security Function Policy) trên danh sách dưới đây:

+ Thực thể: Thực thể CNTT bên ngoài không hợp pháp cho việc gửi thông tin.

+ Thông tin: Gửi lưu lượng từ thực thể đến nơi khác thông qua TOE.

+ Thao tác: Cho qua khi cho phép quy tắc sẵn sàng.

- Những thành phần phụ thuộc:

FDP_IFF.1 những thuộc tính an toàn đơn giản.

o FDP_IFC.1(2): Kiểm soát tập hợp con luồng thông tin 2:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FDP_IFC.1.1: TSF bắt buộc (cho phép tất cả những chính sách trong danh sách) của chủ thể, thông tin và các thao tác kiểm soát luồng thông tin từ kiểm soát chủ thể bao phủ bởi SFP.

+ Thực thể: Thực thể CNTT bên ngoài không hợp pháp cho việc gửi thông tin.

+ Thông tin: Gửi lưu lượng từ thực thể đến nơi khác thông qua TOE.

+ Ngăn chặn khi những quy tắc đã sẵn sàng.

- Những thành phần phụ thuộc:

FDP_IFF.1 những thuộc tính an toàn đơn giản.

o FDP_IFF.1: Những thuộc tính an toàn đơn giản:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FDP_IFF.1.1: TSF sẽ phải (Assignment: Kiểm soát luồng thông tin SFP) của chủ thể và thuộc tính an toàn đơn giản của thông tin cơ sở dưới đây:

(Assignment: Danh sách chủ thể và kiểm soát thông tin ở dưới SFP cho mỗi thuộc tính an toàn.)

FDP_IFF.1.2: TSF cho phép luồng thông tin giữa kiểm soát chủ thể và kiểm soát luồng thông tin, kiểm soát thao tác nếu như những quy tắc sau được giữ:

(Assignment: Cho mỗi thao tác, những thuộc tính an toàn cơ sở trên mối quan hệ phải được lưu giữ giữa chủ thể và những thuộc tính an toàn thông tin).

FDP_IFF.1.3: TSF sẽ phải (Assignment: Thêm vào những quy tắc SFP kiểm soát luồng thông tin.)

FDP_IFF.1.4: TSF sẽ cung cấp (Assignment: Danh sách thêm vào những khả năng SFP.)

FDP_IFF.1.5: TSF sẽ cho phép lưu lượng thông tin rõ ràng cơ sở trên những quy tắc dưới (Assignment: Những quy tắc, trên thuộc tính an toàn cho phép luồng thông tin rõ ràng.)

FDP_IFF.1.6: TSF từ chối dứt khoát luồng thông tin cơ sở trên những quy tắc sau:

+ TSF sẽ ngăn chặn những yêu cầu kết nối thông tin từ thực thể CNTT của mạng bên ngoài, giữ lại địa chỉ IP của thực thể mạng bên trong.

+ TSF sẽ ngăn chặn những yêu cầu kết nối thông tin từ thực thể CNTT của mạng bên ngoài giữ lại địa chỉ IP của thực thể quảng bá.

+ TSF sẽ ngăn chặn những yêu cầu kết nối thông tin từ thực thể CNTT của mạng bên ngoài giữ lại gói thông tin có cấu trúc không bình thường.

+ Những quy tắc khác xác định bởi tác giả ST.

- Những thành phần phụ thuộc:

FDP_IFC.1 kiểm soát tập con luồng thông tin.

MT_MSA.3 khởi hoạt thuộc tính.

5.1.3 định danh và xác thực

o FIA_AFL.1 Trình bày xác thực hỏng:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FIA_AFL.1.1: TSF sẽ phát hiện khi người quản trị cấu hình xác thực số nguyên bên trong chỉ định những khoảng giá trị chấp nhận được, sự xác thực không thành công cố gắng xảy ra liên quan tới (Assignment: Danh sách những sự kiện xác thực).

FIA_AFL.1.2: Khi chúng ta định nghĩa sự cố gắng xác thực không thành công nó sẽ giám sát hoặc vượt qua (met or surpassed) TSF sẽ (Assignment: Danh sách các hành động.).

- Những thành phần phụ thuộc:

FIA_UAU.1 khoảng thời gian xác thực.

o FIA_ATD.1(1): Định nghĩa những thuộc tính người dùng 1:

- Sự phân cấp: Không có sự phân cấp với thành phần khác..

FIA_ATD.1.1: TSF sẽ duy trì danh sách dưới đây thuộc tính thuộc về thực thể CNTT .

+ Địa chỉ IP.

+ Những thuộc tính an toàn người dùng được xác định bởi tác giả ST.

- Những thành phần phụ thuộc: Không có thành phần phụ thuộc.

o FIA_ATD.1(2): Định nghĩa những thuộc tính người dùng 2:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FIA_ATD.1.1: TSF sẽ duy trì danh sách thuộc tính thuộc về người quản trị dưới đây:

+ Địa chỉ IP

+ Những thuộc tính an toàn người dùng được xác định bởi tác giả ST.

- Những thành phần phụ thuộc: không có sự phân cấp với thành phần khác.

o FIA_UAU.1: Khoảng thời gian xác thực :

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FIA_UAU.1.1: TSF sẽ cho phép xác định những danh sách hành động gián tiếp trên người dùng đại diện thực thi trước khi người dùng xác thực.

FIA_UAU.1.2: TSF yêu cầu mỗi người dùng xác thực thành công trước khi cho phép một vài TSF khác hành động gián tiếp đại diện người dùng.

- Những thành phần phụ thuộc:

FIA_UID.1 khoảng thời gian xác thực.

o FIA_UAU.7: Bảo vệ sự phản hồi xác thực

- Sự phân cấp: Không có sự phân cấp với thành phần khác..

FIA_UAU.7.1: TSF sẽ cung cấp duy nhất (Assignment: Danh sách phản hồi) quản trị xác thực tiến trình.

- Những thành phần phụ thuộc: Không có những thành phần phụ thuộc nào

o FIA_UID.2(1) Định danh người dùng trước bất cứ hành động nào:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FIA_UID.2.1: TSF sẽ yêu cầu xác định bản thân người dùng trước khi cho phép TSF khác gián tiếp đại diện người dùng.

- Những thành phần phụ thuộc: Không có những thành phần phụ thuộc nào.

o FIA_UID.2(2): Định danh người dùng trước bất kỳ hành động nào:

- Sự phân cấp: FIA_UID.1 thời gian của định danh.

FIA_UID.2.1: TSF sẽ yêu cầu mỗi người dùng nhận dạng bản thân họ trước khi cho phép TSF khác hành động gián tiếp đại diện người dùng.

- Những thành phần phụ thuộc: Không có những thành phần phụ thuộc nào.

5.1.4 Quản lý an toàn:

o FMT_MTD.1: Quản lý dữ liệu TSF:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FMT_MTD.1.1: TSF sẽ giới hạn khả năng tới (Selection: Thay đổi mặc định, truy vấn, chỉnh sửa, xoá, làm sạch (Assignment: Những thao tác khác) (chỉ định danh sách dữ liệu TSF)) cho tới (Assignment: Vai trò định danh hợp lệ).

- Những thành phần phụ thuộc:

FMT_SMR.1 vai trò an toàn.

FMT_SMF.1 đặc tả của những chức năng quản lý.

o FMT_MSA.1: Quản lý những thuộc tính an toàn:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FMT_MSA.1.1: TSF sẽ bắt buộc (Assignment: Kiểm soát truy cập SFP, kiểm soát luồng thông tin SFP) hạn chế khả năng (Selection: Thay đổi mặc định, truy vấn, chỉnh sửa, xoá, (Assignment: Những thao tác khác)) những thuộc tính an toàn (Assignment: Danh sách thuộc tính an toàn) tới (Assignment: Vai trò của định danh hợp lệ).

-Những thành phần phụ thuộc:

FDP_ACC.1 kiểm soát tập con truy cập hoặc.

FDP_IFC.1 kiểm soát tập con luồng thông tin.

FMT_SMR.1 vai trò của an toàn.

FMT_SMF.1 Đặc tả những chức năng quản lý.

o FMT_MSA.3: khởi hoạt thuộc tính:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FMT_MSA.3.1: TSF sẽ bắt buộc (Assignment: Kiểm soát truy cập SFP, kiểm soát luồng thông tin SFP ) tới sự cung cấp (Selection: Hạn chế, cho phép, ( Assignment: Đặc tính riêng khác) những giá trị mặc định cho những thuộc tính an toàn cái đó được sử dụng bắt buộc SFP.

FMT_MSA.3.2 TSF sẽ cho phép (Assignment: Vai trò của định danh hợp lệ) tới những giá trị ban đầu luân phiên được chỉ rõ ghi đè lên giá trị mặc định khi mà đối tượng hoặc thông tin được tạo ra.

- Những thành phần phụ thuộc:

FMT_MSA.1 quản lý những thuộc tính an toàn.

FMT_SMR.1 những vai trò an toàn.

o FMT_MTD.1: Quản lý dữ liệu TSF:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FMT_MTD.1.1: TSF sẽ hạn chế khả năng (Selection: Thay đổi mặc định, truy vấn, chỉnh sửa, xoá, (Assignment: Những thao tác khác)). (Assignment: Danh sách dữ liệu TSF) cho tới (Assignment: Vai trò định danh hợp lệ).

- Những thành phần phụ thuộc:

FMT_SMR.1 vai trò an toàn.

FMT_SMF.1 đặc tả những chức năng quản lý.

o FMT_MTD.2: Quản lý sự giới hạn trên dữ liệu TSF:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FMT_MTD.2.1: TSF hạn chế đặc tả của giới hạn cho (Assignment: Danh sách dữ liệu TSF) tới ( Assignment: Những vai trò định danh hợp lệ).

FMT_MTD.2.2: TSF sẽ giữ những hành động cho phép, nếu dữ liệu TSF là quá mức, dấu giới hạn.

- Những thành phần phụ thuộc:

FMT_MTD.1 quản lý dữ liệu TSF.

FMT_SMR.1 những vai trò an toàn.

o FMT_SMF.1: Đặc tả những vài trò quản lý:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FMT_SMF.1.1: TSF có khả năng thực thi cho phép những chức năng quản lý an toàn: (Assignment: Danh sách những vai trò quản lý an toàn bởi cung cấp bởi TSF).

- Những thành phần phụ thuộc: Không có những thành phần phụ thuộc nào

o FMT_SMR.1: Những vai trò an toàn:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FMT_SMR.1.1: TSF sẽ duy trì được những vai trò (Assignment: Những vài trò định danh hợp pháp).

FMT_SMR.1.2: TSF có khả năng kết hợp những vai trò với người dùng.

- Những thành phần phụ thuộc:

FIA_UID.1 thời gian định danh.

o FPT_TST.1: Kiểm tra TSF

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FPT_TST.1.1: TSF sẽ chạy bộ phận kiểm định (Selection: Trong thời gian đầu khởi động, xác định kỹ thời gian thao tác bình thường, yêu câu xác thực người dùng (Assignment: Những điều kiện kiểm tra cần được xuất hiện dưới kiểm định)) tới sự mô tả thao tác chính xác của TSF. Thao tác (Selection: (Assignment: Phần của TSF) TSF).

FPT_TST.1.2: TSF cung cấp khả năng xác minh tính toàn vẹn tới người dùng hợp lệ (Selection: (Assignment: Phần của TSF) dữ liệu TSF).

FPT_TST.1.3 : TSF cung cấp khả năng xác minh tính toàn vẹn tới người dùng hợp lệ bảo quản mã thực thi TSF.

- Những thành phần phụ thuộc: Không có thành phần nào

5.1.5 Sự bảo vệ TSF

o FPT_AMT.1: kiểm định bộ máy trừu tượng

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FPT_AMT.1.1: TSF sẽ chạy bộ kiểm định (Selection: Trong thời gian đầu khởi động, định kỹ thời gian thao tác bình thường, yêu câu xác thực người dùng, (Assignment: Những điều kiện khác)) tới sự mô tả thao tác đúng đắn cảu giả định an toàn cung cấp bởi bộ máy trừu tượng nằm ở dưới TSF.

- Những thành phần phụ thuộc: Không có thành phần nào.

o FPT_FLS.1: Sự thất bại việc bảo tồn trạng thái an toàn

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FPT_AMT.1.1: TSF sẽ dữ gìn trạng thái an toàn kiểu thất bại sau xuất hiện (Assignment: Danh sách kiểu thất bại trong TSF)

- Những thành phần phụ thuộc:

ADV_SPM.1: Mô hình chính sách an toàn đích đánh giá không hình thức.

o FPT_RVM.1: Không có tính đường vòng của TSP:

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FPT_RVM.1.1: TSF sẽ bảo đảm chức năng bắt buộc TSP trước sự cho phép xử lý thành công của TSF.

- Những thành phần phụ thuộc: Không có thành phần nào.

o FPT_SEP.1: Sự ngăn cách miền TSF

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FPT_SEP.1.1: TSF sẽ duy trì miền an toàn bảo vệ tránh sự giao thoa với chủ thể không tin cậy.

FPT_SEP.1.2: TSF sẽ bắt buộc sự tách bạch giữa miền an toàn của chủ thể trong TSF.

- Những thành phần phụ thuộc: Không có thành phần nào.

o FPT_STM.1: Các tem thời gian tin cậy

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FPT_STM.1.1: TSF sẽ trang bị tem thời gian tên cậy để gán nhãn lên hoạt động của mình.

- Những thành phần phụ thuộc: Không có thành phần nào.

o FPT_TST.1: Kiểm tra TSF

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FPT_TST.1.1: TSF sẽ chạy bộ phận kiểm định (Selection: Trong thời gian đầu khởi động, xác định kỹ thời gian thao tác bình thường, yêu câu xác thực người dùng (Assignment: Những điều kiện kiểm tra cần được xuất hiện dưới kiểm định)) tới sự mô tả thao tác chính xác của TSF. Thao tác (Selection: (Assignment: Phần của TSF) TSF).

FPT_TST.1.2: TSF cung cấp khả năng xác minh tính toàn vẹn tới người dùng hợp lệ (Selection: (Assignment: Phần của TSF) dữ liệu TSF).

FPT_TST.1.3: TSF cung cấp khả năng xác minh tính toàn vẹn tới người dùng hợp lệ, bảo quản mã thực thi TSF.

- Những thành phần phụ thuộc: Không có thành phần nào.

5.1.6 Tiện ích tài nguyên

o FRU_FLT.1: Kháng lỗi suy biến

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FRU_FLT.1.1: TSF sẽ bảo đảm thao tác của (Assignment: Danh sách ứng dụng TOE) khi những thất bại sau xuất hiện (Assignment : Danh sách thất bại)

- Những thành phần phụ thuộc:

FPT_FLS.1 Bảo tồn trạng thái an toàn ký hiệu .

o FRU_RSA.1: Tối đa những chỉ tiêu

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FRU_RSA.1.1: TSF sẽ bắt buộc tối đa của những sản phẩm tài nguyên cho phép (Assignment: Những tài nguyên kiểm soát) (Selection: Cá nhân sử dụng, xác định nhóm của người dùng và những chủ thể) có thể dùng (Selection: Đồng thời trong suốt thời gian xác định).

- Những thành phần phụ thuộc: Không có thành phần nào.

5.1.7 Truy cập TOE

o FTA_SSL.1: Khoá phiên khởi hoạt chức năng an toàn đích đánh giá

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FTA_SSL.1.1 : TSF sẽ khoá phiên tương tác sau (Assigment: Trong thời không hoạt động bởi người dùng) bởi: Những thiết bị ghi đè lên làm cho dữ liệu hiện thời không đọc được và làm mất khả năng hoạt động người dùng hơn là việc mở phiên làm việc.

FTA_SSL.1.2: TSF yêu cầu những sự kiện cho phép xuất hiện tới việc mở phiên: (Assigment: Những sự kiện xuất hiện).

- Những thành phần phụ thuộc:

FIA_UAU.1 tính thời gian xác thực.

o FTA_SSL.3: Dừng khởi hoạt chức năng an toàn đích đánh giá

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FTA_SSL.3.1: TSF sẽ kết thúc phiên làm việc (Assigment: Thời gian người dùng không hoạt động).

- Những thành phần phụ thuộc: Không có thành phần nào.

1.5.8 Kênh và tuyến tin cậy

o FTP_ITC.1: Kênh tin cậy giữa các chức năng an toàn đích đánh giá

- Sự phân cấp: Không có sự phân cấp với thành phần khác.

FTP_ITC.1.1: TSF sẽ cung cấp kênh truyền thông giữa nó và sản phẩm CNTT tin cậy.

FTP_ITC.1.2: TSF sẽ cho phép (Selection: TSF, sản phẩm tin cậy từ xa) tới sự truyền thông kênh tin cậy.

FTP_ITC.1.3: TSF sẽ khởi động truyền thông kênh tin cậy cho (Assigment: Danh sách chức năng yêu cầu kênh tin cậy ).

- Những thành phần phụ thuộc: Không có thành phần nào.

5.2 Yêu cầu đảm bảo an toàn TOE

Những yêu cầu an toàn cho Hồ sơ bảo vệ này phù hợp với những thành phần phần 3 của nội CC v2.3. Nó thể hiện như bảng dưới và phù hợp với đánh giá đảm bảo mức EAL4.

Lớp đảm bảo an toàn	Thành phần đảm bảo an toàn
Quản lý cấu hình	ACM_AUT.1	Tự động quản lý cấu hình bộ phận
	ACM_CAP.4	Hỗ trợ phát sinh và những thủ tục chấp nhận
	ACM_SCP.2	Phạm vi quản lý cấu hình theo dõi vấn đề
Vận hành và phân phát	ADO_DEL.2	Phát hiện việc sửa đổi
	ADO_IGS.1	Các thủ tục cài đặt, phát sinh và khởi động
Phát triển	ADV_FSP.2	Những giao diện ngoài xác định đầy đủ
	ADV_HLD.2	Thiết kế mức cao bắt tuân thủ an toàn
	ADV_IMP.1	Tập con sự thi hành chức năng an toàn Đích đánh giá TSF
	ADV_LLD.1	Thiết kế mức thấp có mô tả
	ADV_RCR.1	Biểu thị phù hợp không hình thức
	ADV_SPM.1	Mô hình chính sách an toàn Đích đánh giá không hình thức
Những tài liệu hướng dẫn	AGD_ADM.1	Hướng dẫn người quản trị
	AGD_USR.1	Hướng dẫn người sử dụng
Những hỗ trợ vòng đời	ALC_DVS.1	Nhận biết những biện pháp an toàn
	ALC_LCD.1	Mô hình vòng đời nhà phát triển xác định
	ALC_TAT.1	Những công cụ phát triển hoàn toàn xác định
Các phép kiểm định	ATE_COV.2	Phân tích phạm vi
	ATE_DPT.1	Kiểm định thiết kế mức cao
	ATE_FUN.1	Kiểm định chức năng
	ATE_IND.2	Kiểm định độc lập - mẫu
Đánh giá tổn thương	AVA_MSU.2	Tính hợp lệ của phân tích
	AVA_SOF.1	Sức mạnh của đánh giá chức năng an toàn Đích đánh giá
	AVA_VLA.2	Phân tích tổn thương độc lập

Yêu cầu đảm bảo PP hệ thống phòng chống xâm nhập của KISA

5.2.1 Quản lý cấu hình

ACM_AUT.1: Tự động quản lý cấu hình bộ phận.

ACM_CAP.4: Hỗ trợ phát sinh và những thủ tục chấp nhận.

ACM_SCP.2: Phạm vi quản lý cấu hình theo dõi vấn đề.

Nội dung chúng ta tham chiếu mục 2.5.2 chương 2.

5.2.2 Vận hành và phân phát

ADO_DEL.2: Phát hiện việc sửa đổi.

ADO_IGS.1: Các thủ tục cài đặt, phát sinh và khởi động.

Nội dung chúng ta tham chiếu mục 2.5.2 chương 2

5.2.3 Phát triển

ADV_FSP.2: Những giao diện ngoài xác định đầy đủ.

ADV_HLD.2: Thiết kế mức cao bắt tuân thủ an toàn.

ADV_IMP.1: Thiết kế mức cao bắt tuân thủ an toàn.

ADV_LLD.1: Thiết kế mức thấp có mô tả.

ADV_RCR.1: biểu thị phù hợp không hình thức.

ADV_SPM.1: Mô hình chính sách an toàn Đích đánh giá không hình thức.

Nội dung chúng ta tham chiếu mục 2.5.2 chương 2

5.2.4 :Những tài liệu hướng dẫn

AGD_ADM.1 hướng dẫn quản trị.

AGD_USR.1: Hướng dẫn người sử dụng.

Nội dung chúng ta tham chiếu mục 2.5.2 chương 2

5.2.5: Hỗ trợ vòng đời

ALC_DVS.1: Nhận biết những biện pháp an toàn.

ALC_LCD.1: Mô hình vòng đời nhà phát triển xác định.

ALC_TAT.1: Những công cụ phát triển hoàn toàn xác định.

Nội dung chúng ta tham chiếu mục 2.5.2 chương 2

5.2.6 Các phép kiểm định

ATE_COV.2: Phân tích phạm vi.

ATE_DPT.1: Kiểm định thiết kế mức cao.

ATE_FUN.1: Kiểm định chức năng.

ATE_IND.2 : Kiểm định độc lập - mẫu.

Nội dung chúng ta tham chiếu mục 2.5.2 chương 2

5.2.7 Đánh giá tổn thương

AVA_MSU.2: Tính hợp lệ của phân tích.

AVA_SOF.1: Sức mạnh của đánh giá chức năng an toàn Đích đánh giá.

AVA_VLA.2 phân tích tổn thương độc lập.

Nội dung chúng ta tham chiếu mục 2.5.2 chương 2

· Phần 6: Ghi chú ứng dụng của PP

Đây là Hồ sơ bảo vệ “hệ thống phòng chống xâm nhập mạng” và xác định những yêu cầu an toàn trên hệ thống phòng chống xâm nhập tới sự bảo vệ tài nguyên mạng bên trong. Hồ sơ bảo vệ có thể dùng để phát triển sản phẩm hoặc có thể quảng bá sản phẩm. Người dùng hệ thống có thể chọn lọc, thao tác và quản lý bên trong sản phẩm. Hồ sơ bảo vệ bao gồm những yêu cầu an toàn tối thiểu, nhà phát triển sẽ định nghĩa môi trường an toàn thêm vào PP.

· Phần 7: Cơ sở hợp lý

Đây là phần mô tả mục tiêu an toàn trên cơ sở của môi trường an toàn (những đe dọa, những tổn thương và chính sách an toàn có tổ chức) và cơ sở hợp lý của những yêu cầu an toàn tới những mục tiêu an toàn đầy đủ. Cơ sở hợp lý sẽ trình bày TOE cung cấp hiệu quả đo đạc an toàn CNTT trong môi trường an toàn TOE.

7.1 Cơ sở hợp lý của những mục tiêu an toàn:

7.1.1 Cơ sở hợp lý của những mục tiêu an toàn TOE.

Cơ sở hợp lý của những mục tiêu an toàn trình bày chỉ rõ những mục tiêu an toàn về sự thích hợp đầy đủ, những vấn đề an toàn điều khiển là quan trọng, phần nào hơn.

Cơ sở hợp lý mô tả những mục tiêu an toàn dưới đây:

Mỗi giả định, đe dọa và chính sách an toàn có tổ chức được điều khiển bởi ít nhất một mục tiêu an toàn .

Mỗi mục tiêu an toàn điều khiển ít nhất một giả định, đe dọa và chính sách an toàn tổ chức.

o O.Tính sẵn sàng:

Mục tiêu an toàn của TOE cung cấp tới tính sẵn sàng TOE. Tức cung cấp một dịch vụ mạng tối thiểu khi TOE ở trạng thái quá tải bởi những tấn công bởi những kẻ công kích hoặc những biến cố hoặc hỏng hóc trong TOE.

Bởi vậy mục tiêu an toàn đảm bảo TOE cho sự đáp trả tấn công tới T.Hỏng hóc. T.Thay đổi dữ liệu không hợp pháp TSF. T.Đe dọa truy cập vòng. T. Hỏng bản ghi, và đe dọa tới sự bão hoà khả năng lưu trữ bản ghi kiểm toán.

o O.Kiểm toán:

Người dùng hợp pháp sự kiện kiểm toán những bản ghi TOE khi người dùng đang sử dụng những chức năng an toàn. TOE đảm bảo cung cấp những phương tiện duy trì an toàn và xem lại những bản ghi sự kiện kiểm toán. TOE cung cấp chức năng điều khiển khi trạng thái bão hoà dữ liệu kiểm toán. Đảm bảo tạo bản ghi kiểm toán tới định nghĩa sự phát hiện tới của tấn công thông qua bản ghi kiểm toán trong trường cố gắng xác thực liên tục, tấn công giả mạo, tấn công từ chối dịch vụ, truyền gói có cấu trúc dịch thường.

Bởi vậy mục tiêu an toàn điều khiển: T.Sự giả dạng. T.Hỏng bản ghi. T Truyền gói bất thường. T. Tấn công từ chối dịch vụ. T.Cố gắng xác thực liên tục. T.Giả mạo địa chỉ. T .Thay đổi dữ liệu không hợp pháp thông qua bản ghi kiểm toán và sự hỗ trợ. P.kiểm toán trên chính sách an toàn tổ chức.

o O.Quản lý:

Chính sách an toàn thực thi của tổ chức, tập hợp quy tắt TOE kiểm soát luồng thông tin, kiểm soát truy cập hợp pháp tới mạng bên trong. TOE cung cấp phương tiện tới quản lý an toàn TOE và dữ liệu TSF như dữ liệu cấu hình TOE và quản lý một cách tốt nhất những tổn thương đơn giản… .

Bởi vậy mục tiêu hỗ trợ những mục tiêu an toàn của TOE, P. Quản lý an toàn trên chính sách an toàn tổ chức như điều khiển: T.Sự đi vào của luồng thông tin bất hợp pháp. T.Tấn công tính tổn thương mới. T.Truy cập dịch vụ bất hợp pháp. TE.Sự thiếu hutj quản lý và cung cấp phương tiện cho người quản trị hợp pháp tới quản lý an toàn TOE.

o O.Bảo vệ dữ liệu TSF:

Tấn công bất ngờ từ bên ngoài hoặc biến cố của sự hỏng hóc trong TOE, thay đổi dữ liệu TSF không được sự đồng ý của người quản trị.

Mục tiêu an toàn điều khiển những đe dọa của: T.Sự hỏng hóc và T.Thay đổi dữ liệu TSF không hợp pháp.

o O.Cắt đứt gói bất thường:

Đây là mục tiêu an toàn đảm bảo cho gói không hợp chuẩn giao thức TCP/IP từ lưu lượng bên ngoài tới mạng bên trong, các gói sẽ được lưu lại địa chỉ.

Mục tiêu an toàn điều khiển những đe dọa của: T.Chuyển đổi những gói bất thường. T.Giả mạo địa chỉ.

o O.Tránh tấn công từ chối dịch vụ:

Kẻ tấn công có thể tấn công từ chối dịch vụ tới máy tính mạng bên trong bởi sự truyền thông qua TOE. TOE sẽ ngăn chặn người dùng đặc biệt từ việc loại trừ quyền sở hữu tài nguyên của máy tính đặc biệt, bởi vậy nó đảm bảo cho người sử dụng một cách bình thường.

Mục tiêu an toàn điều khiển những đe dọa của: T.Tấn công từ chối dịch vụ và T.Giả mạo địa chỉ.

o O.Định danh:

Người dùng sẽ phân chia đâu là người quản trị quản lý TOE bởi các kết nối đến TOE với xác thực các thực thể bên ngoài thông qua TOE không phải xác thực đơn giản tới người dùng máy tính mạng bên trong. Có 2 trường hợp yêu cầu định danh đó là là chức năng yêu cầu định danh người quản trị và định danh thực thể CNTT bên ngoài.

Mục tiêu an toàn điều khiển những đe dọa của: T.Sự giả dạng. T.Từ chối dịch vụ. T.Giả mạo địa chỉ. T.chuyển đổi gói bất thường. T.Cố gắng xác thực liên tục. T.Thay đổi dữ liệu TSF bất hợp pháp và P.Hỗ trợ kiểm toán .

o O.Xác thực:

Người truy cập đến TOE phải được xác thực, tuy nhiên những yêu cầu xác thực truy cập TOE có thể gây nên tổn thương từ những kẻ tấn công bên ngoài bằng việc cố gắng xác thực liên tục.

TOE sẽ đảm bảo kỹ thuật xác thực tới sự kéo dài tấn công của sự cố gắng xác thực liên tục tới mức bảo vệ của tấn công bên ngoài. Mục tiêu an toàn điều khiển tấn công của: T.Sự giả dạng. T.Sự cố gắng xác thực liên tục.

o O.Kiểm soát luồng thông tin:

TOE kiểm soát luồng thông tin phù hợp tới những chính sách an toàn bởi cài đặt bắt đầu phân ra đâu là mạng ngoài và đâu là mạng bên trong. Đây là mục tiêu an toàn xác định được đảm bảo tránh được tấn công trên mạng như Virut thư hoặc dịch vụ Web bao gồm thông tin bất hợp pháp và truy cập tới dịch vụ không được phép. TOE đảm bảo an toàn mạng bên trong bởi những kiểm soát tấn công và ngăn ngừa chống đi vào mạng bên trong bằng tập những tập quy tắc.

Mục tiêu an toàn điều khiển những đe dọa của: T.thông tin đi vào bất hợp pháp. T.Truy cập dịch vụ bất hợp pháp và. T.Truy cập vòng.

7.1.2 Cơ sở hợp lý của những mục tiêu an toàn cho môi trường.

o OE.An toàn vật lý:

Mục tiêu an toàn cho sự đảm bảo an toàn môi trường cho TOE bởi những định vị và thao tác trong an toàn vật lý. Chống lại tấn công vật lý và việc cố gắng thay đổi TOE. Đây là mục tiêu an toàn hỗ trợ những giả định. An toàn vật lý và những điều khiển đe dọa của: T.truy cập vòng.

o OE.Duy trì an toàn:

Khi thay đổi môi trường mạng bên trong tới việc thay đổi cấu hình mạng bên trong sẽ thêm vào/bớt đi các máy tính và thêm vào hoặc bớt đi các dịch vụ…Mục tiêu an toàn là những yêu cầu tới việc hỗ trợ tổn thương của: A.Duy trì an toàn tới điều khiển đe dọa của T.Tấn công tính tổn thương mới.

o OE.Quản trị tin cậy:

Mục tiêu an toàn cho môi trường đảm bảo an toàn người quản trị hợp pháp của TOE có thể tin cậy. Đây là những yêu cầu hỗ trợ tổn thương của: A.Quản trị tin cậy. P.Quản lý an toàn và điều khiển những đe dọa của TE.Sự thiếu hụt quản lý và TE.Phân phối và cài đặt.

o OE.Quản lý an toàn:

Mục tiêu an toàn cho môi trường đảm bảo cho TOE tới phân phối và cài đặt trong phương pháp an toàn và cấu hình, quản lý và dùng trong phương pháp an toàn bởi người quản trị hợp pháp. Mục tiêu điều khiển những đe dọa của T.Hỏng hóc. T.Tấn công tính tổn thương mới. TE.Thiếu hụt quản lý. TE.Phân phối cài đặt và hỗ trợ giả định của A.An toàn vật lý. P.Chính sách an toàn có tổ chức và P.Quản lý an toàn.

o OE.Củng cố hệ điều hành:

Mục tiêu an toàn cho môi trường đảm bảo cho hệ điều hành tới sự an toàn và tin cậy bởi thực thi thao tác, loại trừ những dịch vụ hoặc những phương tiện của hệ điều hành không yêu cầu bởi TOE và sự tăng cường trên tổn thương của hệ điều hành. Mục tiêu an toàn là những yêu cầu hỗ trợ giả định của A.Củng cố hệ điều hành điều khiển những đe dọa của T.Hỏng hóc. T.Tấn công tính tổn thương mới.

o OE.Kết nối duy nhất:

Mục tiêu an toàn cho đảm bảo những môi trường cho tất cả truyền thông giữa mạng bên ngoài và bên trong thông qua TOE. Mục tiêu điều khiển những đe dọa của: T.Truy cập vòng và hỗ trợ giả định của A.Kết nối duy nhất.

o OE.Làm mới những danh sách tổn thương:

Mục tiêu cho việc làm mới đảm bảo môi trường và quản lý của dữ liệu trong quan hệ tới quản lý tổn thương bởi TOE trong thứ tự bảo vệ chống lại tấn công bên ngoài tổn thương mới của TOE và những tài nguyên mạng bên trong bảo vệ bởi TOE. Mục tiêu điều khiển những đe dọa của T.Tấn công tính tổn thương mới.

7.2 Cơ sở hợp lý của những yêu cầu an toàn:

7.2.1 Cơ sở hợp lý của những chức năng an toàn TOE.

Cơ sở hợp lý của những yêu cầu chức năng an toàn TOE mô tả dưới đây:

Một mục tiêu an toàn TOE điều khiển ít nhất một yêu cầu chức năng an toàn TOE.

Một yêu cầu chức năng an toàn điều khiển ít nhất một mục tiêu an toàn TOE.

Mục đích an toàn Những yêu cầu chức năng an toàn	O. Tính sẵn sàng	O. Kiểm toán	O. Quản lý	O. Bảo vệ dữ liệu TSF	O. Cắt đứt gói dị thường	O. Tránh tấn công dịch vụ	O. Định danh	O. Xác thực	O. Kiểm soát luồng thông tin
FAU_ARP.1		X
FAU_GEN.1		X
FAU-GEN.2		X
FAU_SAA.1		X
FAU_SAR.1		X
FAU_SAR.3		X
FAU_SEL.1		X
FAU_STG.1		X
FAU_STG.3		X
FAU_STG.4		X
FDP_IFC.1 (1)									X
FDP_IFC.1 (2)									X
FDP_IFF.1					X				X
FIA_AFL.1								X
FIA_ATD.1 (1)		X			X	X	X		X
FIA_ATD.1 (2)		X					X
FIA_UAU.7			X	X				X
FIA_UID.2 (1)								X
FIA_UID.2 (2)		X			X	X	X		X
FMT_MOF.1	X		X
FMT_MSA.1			X	X					X
FMT_MSA.3			X	X					X
FMT_MTD.1			X	X
FMT_MTD.2	X		X
FMT_SMF.1			X
FMT_SMR.1			X				X	X
FPT_AMT.1	X			X
FPT_FLS.1	X								X
FPT_RVM.1									X
FPT_SEP.1				X					X
FPT_STM.1		X
FPT_TST.1	X			X
FRU_FLT.1	X								X
FRU_RSA.1						X
FTA_SSL.1				X
FTA_SSL.3
FTP_ITC.1			X	X

Cơ sở hợp lý của những chức năng an toàn TOE

7.3 Cơ sở hợp lý của sự phụ thuộc:

7.3.1 Sự phụ thuộc của các chức năng an toàn TOE

Thứ tự	Những thành phần chức năng	Những phụ thuộc	Số phụ thuộc.
1	FAU_ARP.1	FAU_SAA.1	4
2	FAU_GEN.1	FPT_STM.1	29
3	FAU_GEN.2	FAU_GEN.1 FIA_UID.1	2 17
4	FAU_SAA.1	FAU_GEN.1	2
5	FAU_SAR.1	FAU_GEN.1	2
6	FAU_SAR.3	FAU_SAR.1	5
7	FAU_SEL.1	FAU_GEN.1 FMT_MTD.1	2 21
8	FAU_STG.1	FAU_GEN.1	2
9	FAU_STG.3	FAU_STG.1	8
10	FAU_STG.4	FAU_STG.1	8
11	FDP_IFC.1	FDP_IFF.1	12
12	FDP_IFF.1	FDP_IFC.1 FMT_MSA.3	11 20
13	FIA_AFL.1	FIA_UAU.1	15
14	FIA_ATD.1
15	FIA_UAU.1	FIA_UID.1	17
16	FIA_UAU.7	FIA_UAU.1	15
17	FIA_UID.2
18	FMT_MOF.1	FMT_SMF.1 FMT_SMR.1	23 24
19	FMT_MSA.1	[FDP_ACC.1 hoặc FDP_IFC.1] FMT_SMF.1 FMT_SMR.1	11 23 24
20	FMT_MSA.3	FMT_MSA.1 FMT_SMR.1	19 24
21	FMT_MTD.1	FMT_SMF.1 FMT_SMR.1	23 24
22	FMT_MTD.2	FMT_MTD.1 FMT_SMR.1	21 24
23	FMT_SMF.1
24	FMT_SMR.1	FIA_UID.1	17
25	FPT_AMT.1
26	FPT_FLS.1	ADV_SPM.1	Những yêu cầu đảm bảo an toàn
27	FPT_RVM.1
28	FPT_SEP.1
29	FPT_STM.1
30	FPT_TST.1	FPT_AMT.1	25
31	FRU_FLT.1	FPT_FLS.1	26
32	FRU_RSA.1
33	FTA_SSL.1	FIA_UAU.1	15
34	FTA_SSL.3
35	FTP_ITC.1

Sự phụ thuộc những yêu cầu chức năng

7.3.2 Sự phụ thuộc yêu cầu đảm bảo an toàn

Sự phụ thuộc của mỗi gói đảm bảo cung cấp thông tin bảo vệ hệ thống CC được thoả mãn.

7.4 Cơ sở hợp lý SOF:

Những tài sản bảo vệ bởi TOE là tài nguyên máy tính và dịch vụ của tổ chức như thông tin lưu trữ trong máy tính. Tác nhân đe dọa được xem xét mức thấp sự thành thạo, tài nguyên và động lực. Trong trường hợp truy cập của người quản trị TOE cài đặt và thao tác trong mạng bên trong và truy cập bên ngoài được xác thực từ người quản trị. Bởi vậy mức chọn độ mạnh chức năng là “trung bình”.

4.4.3: Đánh giá PP phiên bản 1.1 hệ thống phòng chống xâm nhập của KISA

· Sơ lược về PP phiên bản 1.1 hệ thống phòng chống xâm nhập và cơ quan đánh giá SPATCNTT của Hàn Quốc:

Quá trình phát triển PP phiên bản 1.1 hệ thống phòng chống xâm nhập của KISA:

Phiên bản đầu tiên 1.0 được viết 24/5/2005 nó được đánh giá thoả mãn mức EAL4 (qua ở mức thấp). Vì vậy phiên bản 1.1 đã ra đời trong một thời gian ngắn (21/12/2005). Nó viết nhằm phục vụ việc đánh giá, tham chiếu đến CC 2.3 và khắc phục thiếu sót của phiên bản 1.0 là: Những giả định xoá mức tấn công và liệt kê đe dọa liên quan đến nội dung thông tin, chỉnh sửa mức tấn công từ mức trung xuống mức thấp trong điều khiển thành phần phân tích tổn thương độc lập AVA_VLA.2, chỉnh sửa ghi chú ứng dụng gán nhãn thời gian tin cậy lên thành phần tem thời gian tin cậy FPT_STM.1, có thể duy trì trong môi trường CNTT của TOE, thành phần sự kháng lỗi suy biến FRU_FLT.1 để mô tả việc xoá những kiểu lỗi ứng dụng và những thao tác không hoàn thành để cho phép nhà phát triển khắc phục và phát triển tiếp sản phẩm. Ngoài ra chỉnh sửa lỗi biên tập và hỗ trợ nội dung…và nó đã đánh giá qua mức EAL4 (qua ở mức trung bình) có thể nói là mức cao cho đến thời điểm này .

Hàn Quốc có 3 cơ quan chức năng chính tham gia xây dựng quá trình đánh giá:

- Bộ Thông Tin và Truyền Thông Hàn Quốc (MIC): Nhiệm vụ lập ra chính sách, đạo luật.

- Cơ Quan Tình Báo Quốc Gia (NIS): Cấp chứng nhận đánh giá.

- Cơ Quan An Toàn Thông Tin Hàn Quốc (KISA): Là cơ quan đánh giá, cung cấp phòng thí nghiệm đánh giá.

· Đánh giá: Đây cũng chính là nội dung đưa ra bản báo cáo kỹ thuật.

Phần 1: Giới thiệu :

o Sơ đồ đánh giá: PP này đánh giá bởi sơ đồ đánh giá sau: Gồm 4 pha

o Pha chuẩn bị: KISA tư vấn đánh giá tức là lý giải hệ thống đánh giá, phương pháp lập tài liệu đánh giá khi phát triển thành sản phẩm, tài liệu sau tư vấn đánh giá (lập tài liệu PP phiên bản 1.1 hệ thống phòng chống xâm nhập) và xin đánh giá.

o Pha đánh giá: KISA sẽ gặp nhà phát triển và nhà có thẩm quyền NIS để đánh giá môi trường phát triển nếu cần. Áp dụng chuẩn và CEM đánh giá PP đòi hỏi EAL4.

o Pha hoàn thành đánh giá: Khi hoàn thành đánh giá PP hệ thống phòng chống xâm nhập thì KISA gửi báo cáo đánh giá: gồm báo cáo kỹ thuật, báo cáo giám sát chuyển nó cho nhà thẩm quyền NIS để xin cấp chứng nhận cho PP.

o Pha chứng nhận đánh giá: Các chứng cứ giao nộp chính là báo cáo kỹ thuật, báo cáo giám sát và NIS cấp chứng nhận cho PP.

o Pha quản lý sau đánh giá: Ghi danh PP đã được chứng nhận, duy trì tính hợp lệ chứng nhận.

Từ pha đánh giá trên ta đưa ra mô hình đánh giá PP giữa các cơ quan như sau:

o Nhà phát triển:

Wan s. Yi, Philyong Kang, Yungi Seong, Eunjoo La thuộc Cơ Quan An Toàn Thông Tin Hàn Quốc KISA. Đây cũng chính là cơ quan đánh giá PP Và là nhà bảo trợ cho đánh giá PP.

Phần 2: Công việc đánh giá:

o Chuẩn bị:

Chuẩn bị CEM 2.3 và lớp yêu cầu đảm bảo an toàn APE trong CC 2.3 để đánh giá PP. Ta có thể tham chiếu đến mục 3.3 chương 3.

o Lý giải đánh giá:

Đánh giá mô tả TOE ( APE-DES.1): Gồm 3 hành động như sau:

- Đầu vào: Hồ sơ bảo vệ hệ thống IPS của KISA. Cụ thể phần 2 Mô tả Đích đánh giá trong nội dung của PP hệ thống IPS.

- Hành động:

+ Hành động APE_DES.1.1 E:

1. PP mô tả TOE là một hệ thống thống phát hiện xâm nhập IPS

2. Phần mô tả TOE rất đầy đủ, cụ thể PP đã nêu được hoạt động chung và phạm vi của hệ thống IPS:

Hoạt động chung: Giám sát phát hiện và phòng chống xâm phạm tiềm tàng, bảo vệ tài sản thông tin và tài nguyên của mạng bên trong bằng cách ngăn chặn truy cập dịch vụ bất hợp pháp, tất cả các gói mạng dị thường, gói mạng chứa sâu và virut, tấn công từ chối dịch vụ nhờ IPS trang bị quy tắc phục hồi tổn thương, điều khiển ngăn ngừa virut, sâu mạng, thay đổi tấn công, chống lại biến cố lỗi.

Ranh giới: TOE phân đối tượng tác động làm 2 thực thể đó là: thực thể CNTT là người dùng kết nối tới TOE thông qua quản trị viên và các máy tính cung cấp các dich vụ mạng bên trong (vùng mạng DMZ…) thông qua TOE tới các máy tính bên ngoài.

+ Hành động APE_DES.1.2E:

1. Ta thấy phần mô tả TOE rất chặn chẽ, cấu trúc của nó người đọc rất dễ hiểu. Cụ thể nêu ra môi trường xung quanh tác động đến hệ thống IPS, từ đó đưa ra chức năng IPS cần phải làm nhiệm vụ gì.

Hệ thống IPS bao gồm môi trường bên ngoài Internet và môi trường đưa IPS vào hoạt động. Và PP cũng đã đưa ra mô hình tổng quan khi TOE đưa vào hoạt động (mô hình 3.3 đặt TOE vào hoạt động).

2. PP đã mô tả được mục đích chung của TOE đó là: Ngăn chặn các xâm phạm từ mạng bên ngoài vào mạng bên trong, bảo vệ tài sản thông tin và nguồn tài nguyên của mạng bên trong.

+ Hành động APE_DES.1.3E:

1. Phần mô tả TOE nó phù hợp với các thành phần khác của PP. Đây là phần nêu lên hoạt động tổng quan của hệ thống IPS, nó là nền để phần sau của PP phân tích sâu hơn vào hệ thống IPS.

Kết luận: Qua phần mô tả TOE, PP đã mô tả những thông tin thích đáng qua đó ta có thể hiểu được mục tiêu và chức năng của TOE, mô tả thông tin một cách đầy đủ và thích hợp. Đây cũng chính là mục đích thể hiện của phần mô tả TOE.

Đánh giá môi trường an toàn (APE_ENV.1): Gồm 2 hành động như sau:

- Đầu vào: Hồ sơ bảo vệ hệ thống IPS của KISA. Cụ thể phần 3 Môi trường an toàn TOE trong nội dung PP hệ thống IPS .

- Hành động:

+ Hành động APE_EVN.1.1E:

1. Khảo sát những tuyên bố về môi trường nó hoàn toàn tồn tại và những giả định được lý giải rất rõ. Thể hiện:

Giả định an toàn về hệ thống IPS gồm: An toàn vật lý, duy trì an toàn, quản trị tin cậy, củng cố hệ điều hành và điểm kết nối. Mức giả định này PP đã nêu được bao quát tất cả các khía cạnh bên ngoài ảnh hưởng đến an toàn TOE. Đây là môi trường Internet và môi trường khi đưa TOE vào hoạt động.

Khía cạnh vật lý nó giả định hạn chế vùng kiểm soát của người quản trị. Khía cạnh người dùng nó giả định người dùng có kỹ năng và kiến thức chuyên môn ở mức thấp. Khía cạnh kết nối nó giả định TOE kết nối mạng Iternet không tin cậy.

2. Môi trường an toàn đã xác định được những đe dọa và giải thích về các đe dọa rất kỹ và rõ ràng.

Ví dụ: đe dọa giả mạo giải thích “ Tác nhân đe dọa có thể giả mạo như một người quản trị hợp lệ để truy câp TOE”…Ta có thể tham chiếu đến mục 3.2. Những đe dọa trong nội dung của PP hệ thống IPS.

3. Môi trường an toàn đã nhận ra chính sách cần và giải thích được những chính sách an toàn có tổ chức đó.

Chính sách an toàn có tổ chức gồm: Kiểm toán và quản lý an toàn. Kiểm toán nó được tạo thành dưới quy tắc và được giải thích đầy đủ chi tiết người đọc có thể hiểu dễ dàng “Tất cả hoạt động liên quan đến an toàn đều sẽ được ghi lại và bảo trì, dữ liệu bản ghi sẽ được xem lại”. Quản lý an toàn đây là quy định của tổ chức “ Người quản trị hợp pháp sẽ quản lý TOE luôn an toàn”

+ Hành động APE_EVN.1.2E:

1. Môi trường an toàn mô tả rất chặt chẽ, qua đây người đọc dễ dàng

hiểu về vấn đề an toàn trong môi trường.

Thể hiện: Ban đầu ta đưa giả định về an toàn, từ giả định đấy đưa ra đe dọa liên quan đến giả định an toàn, gồm de dọa tới TOE và môi trường TOE. Từ đe dọa ta đưa ra được chính sách an toàn có tổ chức để bảo đảm an toàn cho TOE.

2. Mô trường an toàn mô tả rất phù hợp và phù hợp với nội tại, đó là hệ thống IPS

Kết luận: Phần môi trường an toàn nó cung cấp rõ ràng đầy đủ vấn đề an toàn cho hệ thống IPS và môi trường của hệ thống IPS. Đây là mục đích của phần nội dung này.

Đánh giá giới thiệu PP (APE_INT.1): Gồm 3 hành động sau:

- Đầu vào: Hồ sơ bảo vệ IPS của KISA. Cụ thể phần 1: Giới thiệu PP trong nội dung của hệ thống IPS.

- Hành động:

+ Hành động APE_INT.1.1E.

1. PP đã cung cấp thông tin định danh, mục lục và đăng ký trong phần giới thiệu của PP

Định danh: Tên PP: Hồ sơ bảo vệ hệ thống phòng chống xâm nhập phiên bản 1.1 của KISA. Nhận biết: Nằm trong mục 1.1 phần Giới thiệu PP của PP hệ thống phòng chống xâm nhập phiên bản 1.1.

2. Phần giới thiệu PP này đã nêu được tổng quan về PP và tóm tắt được nội dung PP, thể hiện phần 1.2 và 1.5 trong nội dung PP hệ thống IPS.

Tổng quan: Vấn đề an toàn giải thích trong PP này là: Bảo vệ thông tin mạng bên trong khỏi kẻ tấn công bên ngoài bằng cách xác định đe dọa, giả định, chính sách an toàn, những yêu cầu chức năng và đảm bảo an toàn. Cấu trúc của PP hệ thống phòng chống xâm nhập tuân theo nội dung chuẩn của một PP. Thể hiện mục 1.5 phần Giới thiệu PP của PP hệ thống phòng chống xâm nhập phiên bản 1.1. Những quy ước trong PP được nêu rõ trong phần 1.3 phần Giới thiệu PP của PP hệ thống phòng chống xâm nhập phiên bản 1.1.

+ Hành động APE_INT.1.2E.

1. Phần giới thiệu PP này rất chặt chẽ, người đọc có thể hiểu được PP qua phần giới thiệu này.

Qua phần giới thiệu ta biết PP đang mô tả hệ thống IPS, mục đích của nó bảo vệ mạng bên trong.

2. Phần giới thiệu PP nó phù hợp và phù hợp với nội tại vì chúng ta đang khảo sát hệ thống IPS.

+ Hành động APE_INT.1.3E.

1. Phần giới thiệu PP phù hợp với các phần còn lại của PP, nó là thông tin nền cho ta hiểu tổng quan về hệ thống IPS.

Kết luận: Qua đánh giá phần này ta thấy nó rất đầy đủ và phù hợp tất cả các phần của PP, nó xác định đúng mục đích giới thiệu về hệ thống IPS.

Đánh giá mục tiêu an toàn (APE_OBJ.1) : Gồm 1 hành động sau:

- Đầu vào: Hồ sơ bảo vệ IPS của KISA. Cụ thể phần 4: Mục tiêu an toàn trong nội dung PP hệ thống IPS.

- Hành động:

+ Hành động (APE_OBJ.1.1E).

1. Tuyên bố mục tiêu an toàn trong PP nó được đặc tả rất rõ ràng, thể hiện tất cả mục tiêu an toàn đưa ra đều được giải thích rõ ràng. Ví dụ: Mục tiêu an toàn định danh: TOE sẽ định danh những người dùng truy cập TOE và tất cả các thực thể CNTT bên ngoài là các chủ thể mà TOE quản lý lưu lượng thông tin từ nó tạo ra.

2. PP đã đưa ra những mục tiêu an toàn này với những chính sách có tổ chức hoặc tài sản của TOE để chống lại những đe dọa một cách đầy đủ. Nó đưa ra đầy đủ mục tiêu an toàn cho hệ thống phòng chống xâm nhập. Nhiều mục tiêu an toàn có thể chỉ ra toàn bộ đe dọa tương ứng với môi trường an toàn. Như mục tiêu quản trị tin cậy, duy trì an toàn, an toàn vật lý…Thể hiện rõ hơn ở bảng 7.

3. Trong PP này mỗi mục tiêu an toàn có thể lần lại ít nhất một giả định, đe dọa hay chính sách an toàn tổ chức. Như mục tiêu an toàn vật lý chúng ta có thể lần lại đây là giả định về an toàn vật lý, chính sách có tổ chức là quản lý an toàn và đe dọa này là đe dọa về vật lý, tiếp cận TOE. Thể hiện rõ hơn ở bảng 7.

4. Ta thấy PP trình bày mỗi đe dọa lại được xác định bởi mục tiêu an toàn để chống lại những đe dọa đó. Như đe dọa tấn công DOS thì mục tiêu an toàn của nó đã đưa ra cắt đứt tấn công DOS bằng quy tắc của TOE, hoặc truyền gói dị thường mục tiêu an toàn đã đưa ra cắt đứt gói dị thường bằng quy tắc TOE….Thể hiện ở bảng dưới.

5. Tất cả mục tiêu an toàn ta có thể lần lại chính sách an toàn. Thể hiện rõ hơn ở bảng 7. Ví dụ: Mục tiêu an toàn quản lý lưu lượng, định danh ta có thể lần lại đây là chính sách quản lý an toàn.

6. Tất cả mục tiêu an toàn trong PP đều có thể lần lại những giả định an toàn. Thể hiện rõ hơn ở bảng 7.

7. Mục tiêu an toàn thể hiện rất chặt chẽ. Từ de dọa tới TOE và môi trường TOE ta đưa ra được mục tiêu an toàn cho TOE và môi trường TOE.

8. Mục tiêu an toàn được liệt kê đầy đủ. Thể hiện ở bảng 7.

9. Mục tiêu an toàn trình bày phù hợp với nội tại của PP. đưa ra mục tiêu an toàn cho hệ thống phòng chống xâm nhập. Thể hiện rõ hơn ở bảng 7.

Kết luận: Tất cả mục tiêu an toàn trong PP được mô tả đầy đủ và phù hợp, chống lại những đe dọa và phù hợp với các giả định an toàn. Đây cũng chính là mục tiêu của họ mục tiêu an toàn nay.

Đánh giá yêu cầu CNTT ( APE_REQ.1): Gồm 2 hành động sau:

- Đầu vào: PP của KISA. Cụ thể phần 5 Những yêu cầu CNTT trong nội dung PP hệ thống phòng chống xâm nhập.

Khi ta đưa ra mục tiêu an toàn cho PP. Vậy ta phải đưa ra yêu cầu đáp ứng mục tiêu đó bằng cách chọn lựa yêu cầu chức năng và đảm bảo an toàn thích hợp trong phần 2 và 3 của CC.

Việc chọn lựa yêu cầu chức năng an toàn phụ thuộc vào: Tính nhạy cảm, hiện thân tài sản cần bảo vệ, nhiệm vụ thi hành của hệ thống, hậu quả khi hệ thống mất an toàn. Từ mục tiêu trên ta chọn lựa chức năng như mục 5.1 phần Những yêu cầu an toàn CNTT trong nội dung của PP hệ thống phòng chống xâm nhập phiên bản 1.1. Tuân theo sơ đồ sau:

Ta thấy mỗi SFRs ánh xạ đến một hoặc nhiều mục tiêu an toàn và mỗi mục tiêu an toàn lại ánh xạ ít nhất một SFRs. Ví dụ Mục tiêu an toàn sẵn sàng ánh xạ đến yêu cầu chức năng Quản lý hành vi chức năng an toàn FMT_MOF.1, Quản lý giới hạn trên dữ liệu TSF FMT_MTD.2, Sự thất bại với việc bảo tồn trạng thái an toàn FTP_ SLS .1 , Kiểm tra TSF FPT_TST.1 và kháng lỗi suy biến FRU_FLT.1 . Yêu cầu chức năng FTP_ STM .1 ánh xạ đến mục tiêu an toàn là Kiểm toán và kiểm soát luồng thồng tin.

Việc chọn lựa lớp đảm bảo an toàn phụ thuộc vào: Giá trị tài sản cần bảo vệ, tính khả thi về kỹ thuật, thời gian chi phí đánh giá và phát triển sự phụ thuộc SAR và SFR. Mục tiêu đặt ra là đảm bảo an toàn mức ELA4. Nên ta đưa được ra những lớp đảm bảo an toàn như mục 5.2 phần Những yêu cầu an toàn CNTT nội dung của PP hệ thống phòng chống xâm nhập phiên bản 1.1. Tuân theo sơ đồ sau:

Trong PP có thể chấp nhận các phần tử với các phép toán không hoàn thành, tức là PP có thể chứa các tuyên bố yêu cầu an toàn CNTT mà các phép toán Assignment hay Selection không hoàn thành. Các phép toán này sẽ được hoàn thành trong ST, điều này làm cho nhà phát triển ST có sự mềm dẻo hơn khi phát triển TOE và ST tương ứng.

Các thành phần CC không chứa 4 phép toán được phép là Assignment (gán), Iteration (lặp), Selection (lựa chọn) và Refinement (cải tiến). Phép Assignment và Selection chỉ dùng ở chỗ chỉ định cụ thể trong một thành phần. Còn phép Iteration và Refinement thì cho dùng cho tất cả các thành phần.

- Hành động:

+ Hành động APE_REQ.1.1E.

1. Từ những mục tiêu an toàn PP đã chọn lọc những yêu cầu chức năng an toàn chứa trong phần 2 của CC 2.3.

2. Tất cả tham chiếu tất cả các yêu cầu chức năng an toàn của TOE là chính xác.

3. Tất cả yêu cầu chức năng trong PP nhắc lại đều chính xác với yêu cầu chức năng trong CC 2.3.

4. Tất cả yêu cầu đảm bảo trong PP xác định đều chính xác và phù hợp với đảm bảo mức EAL4 trong CC.

5. Tất cả tham chiếu các yêu cầu đảm bảo an toàn của TOE là chính xác.

6. Tất cả yêu cầu đảm bảo trong PP nhắc lại đều chính xác trong nội dung phần 2 của CC.

7. Tất cả biện luận PP đều dựa trên đòi hỏi đảm bảo an toàn mức EAL 4 trong CC.

8. Tuyên bố mức đảm bảo của PP hoàn toàn hợp lý. Nó được phân tích trên cơ sở yêu cầu của CC.

9. Những yêu cầu tương ứng với môi trường CNTT được nhận ra rất phù hợp.

10. Tất cả yêu cầu chức năng an toàn trong TOE đều được PP nhận ra.

11. Tất cả yêu cầu chức năng an toàn đều được thực hiện đúng và chính xác với mục đích phân tích của nó.

12. Trong PP này không chứa phép toán không hoàn thành.

13. Tất cả các yêu cầu chức năng an toàn CNTT phụ thuộc được nêu ra rõ ràng và hợp lý. Thể hiện mục 7.3.1 trong nội dung của PP hệ thống IPS.

Ví dụ: Thành phần báo động an toàn FAU_ARP.1 phụ thuộc vào thành phần phân tích vi phạm tiềm năng FAU_SAA.1. Và nó được nêu lên rất rõ các nhiệm vụ của từng thành phần an toàn.

14. Cơ sở hợp lý của yêu cầu an toàn được lý giải hợp lý cho tất cả yêu cầu an toàn phụ thuộc. Thể hiện mục 7.3.1 (cụ thể bảng 4) trong nội dung PP hệ thống phòng chống xâm nhập.

15. Khảo sát PP có chứa tuyên bố độ mạnh chức năng tối thiếu SOF là ở mức “ SOF trung bình”.

16. Khảo sát PP chưa nhận ra các yêu cầu chức năng an toàn TOE bất kỳ về độ mạnh cụ thể.

17. Khảo sát cơ sở hợp lý PP nó chưa chứng minh được độ mạnh tối thiểu của mức chức năng.

18. Khảo sát cơ sở hợp lý PP các yêu cầu an toàn đều được lần lại mục tiêu an toàn của TOE. Thể hiện mục 7.2.1 trong nội dung của PP hệ thống IPS. Ví dụ: Thành phần yêu cầu chức năng an toàn có tên là kiểm định bộ máy trừu tượng ký hiệu là FPT_AMT.1 ta có thể lần lại mục tiêu an toàn “Tính sẵn sàng và bảo vệ dữ liệu TSF”.

19. Khảo sát cơ sở hợp lý ta thấy yêu cầu an toàn đối với môi trường đều lần lại các mục tiêu an toàn đến môi trường. Ví dụ: thành phần yêu cầu an toàn vai trò an toàn ký hiệu FMT_SMR.1 ta có thể lần lại mục tiêu an toàn cho môi trường an toàn TOE là “ Mục tiêu an toàn. Thể hiện rõ hơn mục 7.2.1 trong nội dung của PP hệ thống IPS.

20. Khảo sát cơ sở hợp lý PP mỗi mục tiêu an toàn đều chứa lời giải thích phù hợp với yêu cầu chức năng TOE. Ví dụ: Mục tiêu an toàn bảo vệ dữ liệu TSF “TOE bảo vệ dữ liệu TSF từ việc làm lộ, sửa đổi hay xoá không hợp” mục tiêu an toàn này đi kèm với an toàn chức năng sau:

Bảo vệ sự phản hồi xác thực FIA_UAU.7: “ FIA_UAU.7.1: TSF sẽ cung cấp duy nhất (Assignment: Danh sách phản hồi ) quản trị xác thực tiến trình.”

Quản lý những thuộc tính an toàn FMT_MSA.1 “FMT_MSA.1.1: TSF sẽ bắt buộc (Assignment: Kiểm soát truy cập SFP, kiểm soát luồng thông tin SFP) hạn chế khả năng (Selection: Thay đổi mặc định, truy vấn, chỉnh sửa, xoá, (Assignment: Những thao tác khác)) những thuộc tính an toàn (Assignment: Danh sách thuộc tính an toàn) tới (Assignment: Vai trò của định danh hợp lệ).Những thành phần phụ thuộc: FDP_ACC.1 kiểm soát tập con truy cập hoặc FDP_IFC.1 kiểm soát tập con luồng thông tin, MT_SMR.1 vai trò của an toàn, FMT_SMF.1 Đặc tả những chức năng quản lý”

Khởi hoạt thuộc tính FMT_MSA.3 “FMT_MSA.3.1: TSF sẽ bắt buộc (Assignment: Kiểm soát truy cập SFP, kiểm soát luồng thông tin SFP) tới sự cung cấp (Selection: Hạn chế, cho phép, (Assignment: Đặc tính riêng khác) những giá trị mặc định cho những thuộc tính an toàn cái đó được sử dụng bắt buộc tới SFP.

FMT_MSA.3.2 TSF sẽ cho phép (Assignment: Vai trò của định danh hợp lệ) tới những giá trị ban đầu luân phiên được chỉ rõ ghi đè lên giá trị mặc định khi mà đối tượng hoặc thông tin được tạo ra. Những thành phần phụ thuộc: FMT_MSA.1 quản lý những thuộc tính an toàn”

Quản lý dữ liệu TSF: FMT_MTD.1 “FMT_MTD.1.1: TSF sẽ hạn chế khả năng ( Selection: Thay đổi mặc định, truy vấn, chỉnh sửa, xoá, (Assignment: Những thao tác khác)) ( Assignment: Danh sách dữ liệu TSF) tới (Assignment: Vai trò định danh hợp lệ). Những thành phần phụ thuộc: FMT_SMR.1 vai trò an toàn , FMT_SMF.1, đặc tả những chức năng quản lý”

Kiểm tra máy trừu tượng FPT_AMT.1 “FPT_AMT.1.1: TSF sẽ chạy bộ kiểm định (Selection: Trong thời gian đầu khởi động, định kỹ thời gian thao tác bình thường, yêu cầu xác thực người dùng, (Assignment: Những điều kiện khác)) tới sự mô tả thao tác đúng đắn của giả định an toàn cung cấp bởi bộ máy trừu tượng nằm ở dưới TSF.”

Sự ngăn cách miền TSF: FPT_SEP.1 “FPT_SEP.1.1: TSF sẽ duy trì miền an toàn bảo vệ tránh sự giao thoa với chủ thể không tin cậy. FPT_SEP.1.2: TSF sẽ bắt buộc sự tách bạch giữa miền an toàn của chủ thể trong TSF.

Kiểm tra TSF: FPT_TST.1 “FPT_TST.1.1: TSF sẽ chạy bộ phận kiểm định (Selection: Trong thời gian đầu khởi động, định kỹ thời gian thao tác bình thường, yêu cầu xác thực người dùng (Assignment: Những điều kiện kiểm tra cần được xuất hiện dưới kiểm định)) tới sự mô tả thao tác chính xác của TSF. Thao tác( Selection:(Assignment: Phần của TSF) TSF). FPT_TST.1.2: TSF cung cấp khả năng xác minh tính toàn vẹn tới người dùng hợp lệ ( Selection:(Assignment: Phần của TSF) dữ liệu TSF). FPT_TST.1.3 : TSF cung cấp khả năng xác minh tính toàn vẹn tới người dùng hợp lệ bảo quản mã thực thi TSF.

Kênh tin cậy giữa các chức năng an toàn đích đánh giá: FTP_ITC.1 “FTP_ITC.1.1: TSF sẽ cung cấp kênh truyền thông giữa nó và sản phẩm CNTT tin cậy. FTP_ITC.1.2 : TSF sẽ cho phép (Selection: TSF, sản phẩm tin cậy từ xa) tới sự truyền thông kênh tin cậy. FTP_ITC.1.3 : TSF sẽ khởi động truyền thông kênh tin cậy cho ( Assigment: Danh sách chức năng yêu cầu kênh tin cậy ).

Khoá phiên khởi hoạt chức năng an toàn đích đánh giá FTA_SSL.1 “FTA_SSL.1.1 : TSF sẽ khoá phiên tương tác sau (Assigment: Trong thời gian không hoạt động bởi người dùng) bởi: Những thiết bị ghi đè lên làm cho dữ liệu hiện thời không đọc được và làm mất khả năng hoạt động người dùng hơn là việc mở phiên làm việc.FTA_SSL.1.2: TSF yêu cầu những sự kiện cho phép xuất hiện tới việc mở phiên: (Assigment: Những sự kiện xuất hiện)”.

+ Hành động (APE_REQ.1.2E):

1. Tất cả những yêu cầu CNTT PP trình bày rất chặt chẽ.

2. Tất cả những yêu cầu CNTT PP thể hiện rất đầy đủ với yêu cầu SPATCNTT là hệ thống IPS.

3. Tất cả những yêu cầu CNTT PP thể hiện phù hợp với nội tại. Đây là đặc tính xung quanh thể hiện hệ thống phòng chống xâm nhập.

Kết luận: Tất cả yêu cầu an toàn TOE và các yêu cầu an toàn ứng với môi trường CNTT được mô tả đầy đủ và phù hợp, cung cấp đầy đủ cơ sở thích hợp để phát triển TOE. Đây cũng chính là mục tiêu của họ chức năng an toàn này.

Đánh giá những các yêu cầu an toàn CNTT được nêu rõ:

PP không đưa ra thêm những yêu cầu chức năng không nằm trong CC. Trong trường hợp này CC 2.3 bao quát hết yêu cầu chức năng an toàn chứa trong PP này.

Phần 3: Kết luận và khiến nghị:

o Đánh giá PP (APE)

1. Giới thiệu Hồ sơ bảo vệ phiên bản 1.1 hệ thống phòng chống xâm nhập cung cấp sự phù hợp thông tin cần thiết trong định danh PP. Bởi vậy kết luận APE_INT.1 là “qua”.

2. Mô tả TOE trong Hồ sơ bảo vệ phiên bản 1.1 hệ thống phòng chống xâm nhập, mô tả mục tiêu và chức năng của TOE là phù hợp tới sự hiểu biết là nhất quán, phù hợp nội tại và các phần của PP. Bởi vậy kết luận APE_DES.1 là “qua”.

3. Môi trường an toàn TOE Hồ sơ bảo vệ phiên bản 1.1 hệ thống phòng chống xâm nhập, cung cấp rõ ràng và xác định phù hợp những vấn đề an toàn trong TOE và môi trường của những giả định, những đe dọa và những chính sách an toàn tổ chức. Bởi vậy kết luận APE_ENV.1 qua.

4. Mục tiêu an toàn Hồ sơ bảo vệ phiên bản 1.1 hệ thống phòng chống xâm nhập, xác định định danh đe dọa, định danh chính sách an toàn đã hoàn tất và phù hợp với định danh những giả định. Bởi vậy kết luận APE_OBJ.1 “qua”.

5. Những yêu cầu an toàn CNTT Hồ sơ bảo vệ phiên bản 1.1 hệ thống phòng chống xâm nhập thoả mãn đầy đủ tất cả những mục tiêu an toàn và những yêu cầu CNTT trong CC không xung đột. Bởi vậy kết luận APE_REQ.1 là “qua”.

6. Những yêu cầu Hồ sơ bảo vệ phiên bản 1.1 hệ thống phòng chống xâm nhập là một ứng dụng nếu PP chứa đựng những yêu cầu an toàn CNTT tham chiếu phần 2 và 3 của CC. Bởi vậy kết luận APE_SRE.1 là “qua”.

Kết luận: Phán quyết tổng thể: kết luận APE là “qua”.

Hồ sơ bảo vệ phiên bản 1.1 định nghĩa những yêu cầu an toàn cho hệ thống phòng chống xâm nhập bảo vệ mạng bên trong và tài nguyên máy tính của tổ chức. Không tìm thấy khuyến cáo sau khi xem lại những phần của PP này. PP có thể được sử dụng như sau: Nhà phát triển sản phẩm hoặc nhà cung cấp sản phẩm phát triển ST phù hợp với tất cả nội dung trong Hồ sơ bảo vệ và có thể dùng chúng cho việc lựa chọn, thao tác và quản lý sản phẩm dự định dùng.

Những chức năng chính của TOE là: “phát hiện và ngăn chặn luồng thông tin bất thường từ mạng Internet tới mạng bên trong, bởi vậy nó bảo vệ tài sản thông tin và tài nguyên của mạng bên trong”

o Những chính sách quản lý luồng thông tin:

1. Chính sách từ chối (FDP_IFC.1(1)): Từ chối tất cả các truy cập, ngoại lệ khi có những quy tắc cho phép rõ ràng.

2. Chính sách cho phép (FDP_IFC.1(2)): Cho phép tất cả các truy cập, ngoại trừ của những chính sách ngăn chặn rõ ràng.

TOE sẽ ngăn chặn tấn công khai thác những tổn thương hệ thống máy tính, nó thay đổi những tấn công bằng việc cập nhật những tổn thương mới.

o Ngăn chặn tấn công DOS:

1. Định nghĩa chỉ tiêu tối đa trên một người dùng để bảo vệ những tài nguyên (FRU_RSA.1) .

TOE sẽ giám sát và bảo vệ tất cả lưu lượng mạng từ bên ngoài tới bên trong. Bởi vậy TOE sẽ đảm bảo thi hành bảo vệ mức cao và sẵn sàng cao để chống cự lại những biến cố có lỗi.

o TOE đảm bảo sẵn sàng:

1. Duy trì được trạng thái đảm bảo tới biến cố hỏng hóc (FPT_FLS.1).

2. Duy trì chức năng an toàn chính tới biến cố hỏng hóc (FRU_FLT.1).

Phần 6: Báo cáo quan sát OR:

o Thông tin định danh:

Đây là bản báo cáo quan sát đánh giá PP hệ thống phòng chống xâm nhập của KISA, sự phù hợp và xác nhận PP phiên bản 1.1 hệ thống phòng chống xâm nhập (Network Intrusion Prevention System Protection Profile V1.1) được hoàn thành 12/4/2009.

Tất cả các bước đánh giá đều diễn ra thuận lợi. Đặc biệt PP không có đưa vào những yêu cầu chức năng an toàn mở rộng nên các khâu đánh giá này được bỏ qua, giảm được khâu đánh giá, tăng lên sự đảm bảo an toàn cho đánh giá.

Kết luận: Như vậy chúng ta đã đánh giá hoàn thành một PP hệ thống phát hiện xâm nhập được phát triển bởi KISA, đánh giá qua mức đảm bảo an toàn EAL4, trạng thái “trung bình”.

4.2 Nhận xét về sự kết hợp CEM và CC trong đánh giá PP hệ thống IPS của KISA.

4.2.1 Nhận xét về các phép toán dùng trong PP.

Chúng ta thấy CEM đã biện luận hoàn hảo cho đánh giá PP hệ thống phòng chống xâm nhâp, CEM đưa ra quy trình lý luận cách đưa ra bằng chứng từ PP để thoả mãn đòi hỏi lớp APE trong CC. Đặc biệt CEM đã đưa ra được 4 phép toán: Iteration, Assignment, Refinement, Selection mà CC chưa bao phủ hết những tính năng này. Những phép toán này đã làm ta có thể mô tả tất cả các khía cạnh an toàn, tăng thêm tính khoa học, rõ ràng trong đánh giá. PP hệ thống phòng chống xâm nhập đã dùng 2 phép toán Assignment và Selection thể hiện rất rõ trong phần 5 nội dung PP hệ thống phòng chống xâm nhập. Các phép toán này đã mô tả những thuộc tính an toàn mà CC chưa thể bao phủ hết.Qua đây ta thấy tầm quan trọng của CEM đối với CC.

Trong PP có thể chấp nhận các phần tử với các phép toán không hoàn thành, tức là PP có thể chứa các tuyên bố yêu cầu an toàn CNTT mà các phép toán Assignment hay Selection không hoàn thành. Các phép toán này sẽ được hoàn thành trong ST, điều này làm cho nhà phát triển ST có sự mềm dẻo hơn khi phát triển TOE và ST tương ứng. Phép Assignment và Selection chỉ dùng ở chỗ chỉ định cụ thể trong một thành phần. Còn phép Iteration và Refinement thì cho dùng cho tất cả các thành phần.

Như vậy PP hệ thống IPS đã dùng 2 phép toán Assignment và Selection Không hoàn thành để chỉ định cụ thể các thành phần chức năng an toàn. Ví du: Thành phần chức năng an toàn Quản lý dữ liệu (FMT_MTD.1) của PP hệ thống phòng chống xâm nhập, phần tử của nó như sau:

FMT_MTD.1.1: TSF sẽ giới hạn khả năng tới (Selection: Thay đổi mặc định, truy vấn, chỉnh sửa, xoá, làm sạch (Assignment: Những thao tác khác) (chỉ định danh sách dữ liệu TSF)) cho tới (Assignment: Vai trò định danh hợp lệ).

Ở đây PP chỉ nêu ra phép toán không hoàn thành, tức chỉ đặt vấn đề còn giải quyết vấn đề chính là tác giả ST/TOE. Qua đây ta thấy mức độ tổng quan của PP vì mô tả dòng sản phẩm. ST là bản phân tích và đưa ra yêu cầu cụ thể mà PP yêu cầu và hướng PP thành sản phẩm cụ thể là TOE bằng cách đưa điều kiện phù hợp vào các phép toán với điều kiện mà PP nêu ra. Như phép toán trên, phép Selection là phép lựa chọn và tác giả ST sẽ lựa chọn chức năng an toàn thích hợp với SPATCNTT mà cần thiết kế như phải thoả mãn yêu cầu của PP đặt ra là “Thay đổi mặc định, truy vấn, chỉnh sửa, xoá và làm sạch”. Ngoài ra ST cũng có thể thêm vào những chức năng an toàn mà PP không yêu cầu để thoả mãn đòi hỏi SPATCNTT mà cần thiết kế. Tương tự PP đã nêu phép toán Assigment là phép gán, trong phép này PP đã nêu gán “Những thao tác, danh sách dữ liệu TSF” nhưng phép gán này nằm bên trong phép Selection nên nó cũng là điều kiện của phép lựa chọn này. Phép Assigment nêu lên tác giả của ST cần gán chức năng an toàn là “ vai trò định danh hợp lệ”.

Kết luận: Như vậy PP hệ thống IPS đã nêu được tính mở của mình, chính vì thế từ PP ta có thể thiết kế nhiều ST cho ra nhiều TOE, phù hợp với yêu cầu CC nêu ra thiết lập một PP. Bên cạnh đó ta thấy những khía cạnh an toàn mà CC chưa bao phủ hết mà chỉ nhờ vào các phép toán mà CEM đưa ra. CEM ngoài việc hướng dẫn đưa ra bằng chứng đánh giá, mà nó đưa ra phép toán. Như ví dụ ở trên nếu không có CEM, CC không thể chỉ được (TSF giới hạn khả năng tới một vấn đề cụ thể hoặc CC liệt kê). Chính điều này làm CC không thể bao phủ hết khía cạnh an toàn và không có độ mở cho ST mở rộng thêm khía cạnh an toàn cần thiết. Vì vậy nó đã được thay vào bởi phép toán Selection và Assigment. Một lần nữa ta lại thấy được kết hợp hoàn hảo giữa CEM và CC.

4.2.2 Khả năng đáp ứng CC 2.3 và CEM 2.3 vào đánh giá PP hệ thống IPS của KISA.

CC và CEM đã áp dụng thành công đánh giá PP này, CC 2.3 đã bao hàm tất cả yêu cầu chức năng trong mà PP yêu cầu. PP không đưa ra những yêu cầu chức năng an toàn nằm bên ngoài CC. Chính vì vậy khâu đánh giá phần này được bỏ qua. Điều này thể hiện CC 2.3 có thể áp dụng hoàn hảo cho đánh giá PP phiên bản 1.1 hệ thống IPS của KISA. Và nó qua mức “trung bình” Thể hiện SOF “ trung bình” và cung cấp vừa đủ chức năng an toàn và đảm bảo cần thiết. Tương lai ta đang chờ một PP hệ thống IPS có thể qua mức EAL4 nhưng ở mức “Cao” như (EAL 4+) hoặc đánh giá mức EAL5 nếu có thể từ KISA hoặc từ cơ quan phát triển IPS và đánh giá khác.