1.2.2 信息安全评估模型及要素

作为国际公认的信息安全评估标准CC,其体系具有高度的抽象性、模块性和可重用性,对信息安全评估领域的研究具有深远的影响。自发布以来,通用准则CC一直持续对信息安全评估模型和评估方法进行研究,演化并推出新的版本。2022年11月,CC在其3.1版第5修正版基础上,又一次进行了较大的扩充,形成并发布了CC 2022版。在参照CC 2022及其他国内外信息安全评估标准和研究的基础上,下面参照CC的最新版本,从面向安全评估的安全问题定义和信息安全评估模型两部分对信息安全评估过程进行介绍,如图1-5所示。

图1-5 安全问题定义与TOE、运维环境和安全要求的关系

1.面向安全评估的安全问题定义

理论上而言,针对目标系统进行安全问题的定义是对其进行安全评估的重要前提。图1-5界定了评估对象及其所处的运维环境,才能制定对应的安全目的,裁剪生成对应的安全要求。安全问题的定义通常包括给定评估对象所面临的安全威胁、评估系统所对应组织的安全策略集和安全假定等。

(1)安全威胁

信息系统的安全威胁是指那些可以对信息系统资产带来安全威胁的要素。安全威胁可以分为自然威胁和人为威胁两大类。前者主要是指自然界的灾难,例如地震、洪水等。后者则包括众多的人为(无意的或者有意的)因素,例如网络攻击、恶意代码等。具体而言,各类信息资产所面临的常见的安全威胁如下:

•物理环境所面临的安全威胁主要有火灾、水灾、地震、雷击、物理侵入和电力故障等。

•网络基础设施所面临的安全威胁主要有非法接入、网络嗅探和物理性破坏等。

•系统和应用软件资产面临的安全威胁主要有软硬件故障、网络攻击和恶意代码等。

•数据资产面临的安全威胁主要有泄密、篡改和抵赖等。

•人员面临的安全威胁主要有操作失误、越权、滥用和社会工程等。

(2)安全策略集

评估系统所对应组织的安全策略集主要包括评估对象及其运行环境所实施的安全策略,通常包括组织在信息系统部署和运维时应遵循的安全规则、安全过程和指南等。

例如,“政府组织所用的IT产品均应遵循口令生成和加密的国家标准。”

(3)安全假定

安全假定指评估对象的安全功能正常运转所需要运行环境提供的安全条件。如果评估对象部署在不具备这些安全条件的运营环境中,就无法保证其正常行使其安全功能。一般情况下,安全假定主要包括运行环境相关的人员、物理环境及其系统连通性。例如,经过培训有资质的人员,拥有物理门禁的场所和对外连通网络的可信性等都可以作为安全假定。

2.信息安全评估模型

为不失一般性,信息安全评估模型可以视为一个三元组ISAM(评估对象、评估标准和评估方法)。下面分别针对该模型中的评估对象、评估标准和评估方法加以介绍。

(1)评估对象

评估对象即被评估的系统或者产品。在CC中,评估对象就是TOE。评估对象可以是单一的软硬件产品,也可以是它们组合在一起形成的信息系统。

评估对象基本上由信息资产集组成。不同类型的信息资产,有可能需要参照不同的具体评估体系来实施安全评估。

评估对象内部资产之间的组织关系,可能影响到安全威胁在其内部的传播效果,进而影响评估对象在系统层面所面临的风险。因此,近期的CC版本对于TOE之间的组织协同关系越来越重视,把这些组织关系初步归纳为依赖、嵌入和组合等几种类型。

理论上而言,作为评估对象的信息系统,其部署所在的运营环境应该也被纳入评估范围。不过,由于CC中对单个信息产品评估的独立性,运营环境虽被提及但并没有被其标准和方法所覆盖。

(2)评估标准

大部分情况下,不同类型的信息资产,需要参照不同的评估标准来实施具体的安全评估。例如,针对操作系统的评估依据和针对防火墙产品的评估依据会有所区别。在CC中,这种针对不同类型的信息资产制定的评估标准和依据,以保护轮廓(PP)形式呈现。

评估标准主要从安全功能和安全保障两方面出发,分别从多个维度对安全需求进行详细描述。安全功能方面的需求主要有安全审计、身份鉴别、加密、数据保护、通信安全、安全管理、隐私安全、资源利用、可信路径等。安全保障则从安全评估的角度分别对评估对象、评估标准和安全目标等的设计、评估对象的研发测试和生命周期支撑、脆弱性分析等提出要求。

(3)评估方法

评估方法是一项以评估证据为输入并以评估结果报告为输出的过程。在CC体系中,评估过程包含活动、子活动、行动和工作单元等,评估技术有访谈、分析、检查和测试。一般地,评估方法的设计和描述包括方法介绍、方法之间的依赖关系、输入、工具、评估人员资质、报告要求、方法依据和所涉及的评估活动等。

评估过程依据评估标准内部涉及的安全要素派生而出。例如,在CC体系中,评估过程主要根据PP中的安全保证需求(SAR)和安全功能需求(SFR)模块进行设计,分别对应其中的类、组、组件等安全要素,形成活动、子活动、行动和工作单元等。

事实上,除了上述的主要安全要素之外,在安全评估过程中还有其他安全要素对其评估过程和结果产生影响,例如,攻击者、威胁和运营环境等。但这些安全要素可以以关联要素的形式补充结合到评估对象、评估标准和评估方法当中去。