信息系统安全保护轮廓..doc

信息系统安全保护轮廓(PP)产生办法 1 前言 所谓安全保护轮廓（PP），具体来说，就是为了满足一系列的安全目标而提出的一整套相对应的功能和保证需求。一个PP可以重复使用于一些不同的应用中。 PP对于不同的团体均具有重要的意义。它叙述了用户实际的安全方法，为开发者提供了一套开发的基准，为学术界描述了一些很好的安全配置方法，为评估者提供了评估的标准。 PP定义了对应一类TOEs的独立于应用的一系列安全需求。这些TOEs能满足用户对IT安全的需要。因而，用户能够不参考任何特定的TOE去构造或引用一个PP来描述他们自己的IT安全需要。 PP应作为一个基于用户服务的文件来描述，尽量使PP用户不再去参考那些对于他们很难用到的资料。安全保护的原理应当明确的阐述，如果需要，可以单独提出。 PP可以是由用户来制定，也可以是由IT产品研发方来制定，同时也可以由任何其它对此感兴趣的团体来制定。PP给予了用户一种查阅特殊安全需求的方式，同时也使将来对这些需求进行评估变得简单易行。 一般而言，在安全目标（ST）中所包含的TOE的安全需求都应当在一个已存在的PP中详细叙述过，与PP中的需求保持一致。由一些已存在的PPs可以产生一个新的PP。 PP的内容结构 图1 PP内容构架 PP基本内容 PP介绍 PP介绍这部分内容应当包括执行PP注册登记所必需的文件管理和概要信 息。内容如下： PP识别应当提供对PP识别、编制目录、注册、参照所必需的标签和描述信息。 PP概述应当用简短的形式总结PP。概述必需足够详细，从而能够引起PP用户的兴趣。在PP目录和注册中，概述应独立出来作为摘要。 TOE描述 TOE描述这部分内容能帮助读者对于TOE安全需求的理解，应当对其产 品型号以及一般的IT特征加以叙述。 TOE描述同样提供了评估的内容。TOE描述中提供的信息将用在评估的过程中，来判别是否存在矛盾。由于一个PP一般不仅仅指代一个特定的应用，其所描述的TOE特征可以是假设。如果TOE是一个产品或系统，其首要功能是安全，PP的这部分内容将被用作是对TOE更广泛应用前景的叙述。 TOE安全环境 TOE安全环境应描述TOE所应用环境的安全方面，以及TOE期望被采用 的方式。陈述应包括如下内容： 假设描述了TOE的应用或想要应用的环境的安全方面，如： 有关TOE的使用信息，包括可能的应用，潜在的资产价值，对使用的可能的限制。 关于TOE使用环境的信息，包括物理的，人员的以及连接的方面。 威胁应当包括所有对TOE内部受特殊保护的资产的威胁。应当申明的是，不是所有在此环境中遇到的可能的威胁必需列举出来，列举出来的仅是与安全的TOE运行相关的那部分。 威胁应以一个辩明的威胁代理者，一次攻击的方式描述，而资产是攻击的主体。威胁代理者应当通过这些方面叙述，如专业知识，可用的资源和动机。 攻击应当通过攻击方法，可利用脆弱点和机会来描述。如果仅仅从组织的安全法规以及假设来推导，那么，威胁的描述就可以忽略了。 组织的安全法规的描述应确认和解释任何TOE必须遵守的组织的安全法规，解释和说明对于陈述任何一条法规都是必须的，这样有利于指定明确的安全目标。 如果TOE是分布式的，则TOE环境的各个独立的范围的安全环境的方方面面（假设，威胁，组织安全法规）必须讨论。 3.4 安全目标 安全目标这部分应当定义对TOE和其环境的安全目标。其内容应当涵盖已辩明的安全环境的所有方面。安全目标应当反映所陈述的目的，应能对抗所有已识别的威胁，并覆盖所有辩明的组织安全法规和假设。具体有如下的安全目标： TOE的安全目标应明确陈述，还须追踪到TOE会遭遇到的已知的威胁以及TOE须遵守的组织安全法规的各个方面。 环境的安全目标同样须明确陈述，还应追踪到TOE没有完全遭遇到的已辩明的威胁或TOE须不完全遵守的组织安全法规及假设的各个方面。 须注意的是，环境的安全目标也许是对TOE安全环境的假设部分的完全或部分重复叙述。 IT安全需求 PP的这部分内容详细定义了TOE及其环境应满足的IT安全需求。IT安全 需求具体包括如下内容： TOE安全需求定义了为了达到TOE的安全目标，TOE及其评估证据必须满足的功能的和保证的安全需求。TOE的安全需求叙述如下： TOE安全功能需求应当适当选择本文附录一内的功能组件来定义TOE的功能上的要求。 为了涵盖每一方面的要求，附录一的同一个组件有可能重复使用或使用同一需求的不同方面。 当在TOE安全保证需求有组件AVA_SOF.1(EAL2和更高)，TOE安全功能需求应通过概率和排列算法保证其最低的强度等级。所有的功能应当满足最低的等级，该等级需是如下等级中的一个：SOF-Basic, SOF-Medium, SOF-High。等级的选择应当与已确定的TOE安全目标一