文 | 中国信息安全测评中心 高金萍 邓辉 贾炜 李凤娟
作为网络空间安全的重中之重,关键信息基础设施安全保护是维护国家网络安全和社会稳定的关键所在。世界主要国家出台的一系列网络安全战略、法律法规等政策指令,都在不断增强对关键信息基础设施的保护力度,信息技术产品作为关键信息基础设施的基本组成单元,其安全可控程度得到各国普遍的重视。ISO/IEC 15408《信息安全 网络安全和隐私保护 信息技术安全评估准则》(Information Technology—Security Techniques—Evaluation Criteria for IT Security),以下简称“CC 标准”,是对软件、硬件、固件形式的 IT 产品及其组合进行安全测评的基础标准,已在世界范围内应用近 30 年,成为目前国际信息安全测评认证领域应用最广、最具普适性的技术标准,在信息安全领域得到了广泛认可。2001 年,中国信息安全测评中心(以下简称“测评中心”)牵头,将 CC 标准转化为国家标准 GB/T 18336《信息技术 安全技术 信息技术安全评估准则》,后续二十余年中持续跟踪标准的更新,并以 GB/T 18336 为基础开展了一系列中国化的测评实践应用。
一、GB/T 18336 标准在我国的应用情况
作为基础标准,GB/T 18336 为产品消费者、开发者、评估者提供了基本的安全功能和保障要求,为各方以统一的视角认知 IT 产品安全提供了共同的“语言”。自 GB/T 18336 标准在我国应用实施以来,国内测评机构及相关单位依据该标准,制定了一系列信息技术产品国家标准,在全国信息安全标准化技术委员会 WG5 组织编制和审核通过的现行有效国家标准中,有近 40 项标准将 GB/T 18336 作为编制或参考依据。中国合格评定国家认可委员会(CNAS)以 GB/T 18336 作为信息安全、软件类实验室能力认可的重要内容,目前国内近二十家主流的检测实验室,申请依据 GB/T 18336 开展产品测评的能力认可。通过对 GB/T 18336 的本地化应用,很好地支撑了网络关键设备和网络安全专用产品的测评认证制度的实施。
二十多年来,测评中心依据 GB/T 18336 对数百家企业的两千余款产品进行了安全性测评,测评中发现产品存在诸如缓冲区溢出、拒绝服务、代码执行、逻辑错误等严重缺陷数千个,帮助企业进行产品漏洞修复和风险消控,有力保障了我国关键信息基础设施的安全,IT 产品提供商的研发生产流程不断规范,产品质量不断提高,极大提高了我国信息技术产品安全可控水平。凭借 GB/T 18336 与国际标准体系的接轨优势,助力部分企业理解测评要求,提升产品水平,走出国门,通过国际 CC 评估认证,拿到欧洲最严苛测评实验室的高保障级测评认证证书,逐渐缩短了与国外厂商的技术差距,并打入国际市场,取得一定的产品国际竞争力。行业用户单位依据测评结果采购更为安全的产品,提升了国家关键信息基础设施的整体网络安全保障水平。
同时,通过对 GB/T 18336 的深耕研究和测评实践,测评中心技术专家创新完善测评理念,获邀加入 ISO/IEC 15408 的修订工作组,担任 ISO/IEC 15408-2 联合编辑,深入国际标准开发进程,贡献中国智慧,为国际网络安全标准完善提供有力支撑。
二、新版 GB/T 18336 标准的变化及应用展望
CC 标准自 1996 年 1 月发布首版以来,已经过四个大版本若干个小版本的文本发布,其中 CC3.1 版本就有五个小版本的修订。标准修订之所以如此频繁,主要是由于该标准在国际应用的广泛性,以及 CC 互认协定(CCRA)组织对标准应用的推广和各方需求的积极响应,如通过每年召开的 CC 国际技术会议(ICCC)和各类安全技术国际社区(iTC)等,广泛接纳来自全世界的技术专家、产品开发者和用户、测评机构等提出的各类 IT 产品安全设计、测评经验和标准建议,积极应对信息技术发展所带来的各种威胁和挑战。
CC 标准发展至今,已于 2022 年 8 月推出最新版的国际标准 ISO/IEC 15408-2022,该版标准修订过程历时 6 年,旨在大力解决标准存在的一些业界共识问题。测评中心同步牵头组织 80 余家产学研用单位共同开展 GB/T 18336-2015 标准的修订、试点验证、应用推广等工作。在此过程中,针对我国网络安全和信息技术发展现状,新标准、新理念、新方法的科学性、合理性及适用性得到进一步验证。与此同时,为提升标准的易读性和实操性,编制组在保证标准内容与国际 ISO/IEC 15408-2022 等同的基础上,更多采用中文本土化表达方式。目前,新版准则即将发布实施。
为切实发挥标准新理念对产业界及安全测评领域社会各方的实际作用,本文对新版标准中的新变化进行了深入分析和研究,并结合我国国情和产业现状,凝练和总结了部分可借鉴的内容。
(一)标准支持的两类安全评估方法及相关文本结构的调整,使得标准更具易用性、普适性和应用的一致性
随着信息技术的不断发展,IT 产品呈现出一些明显的特点,其中部分技术成熟的 IT 产品,产业界已在其架构、设计、功能实现、部署方式等方面形成共识,且产品应用广泛;与之形成对比的是伴随着新型 IT 技术的不断涌现,而产生的各类新型 IT 产品,如云、量子计算、区块链、隐私计算等技术,应运而生的各类 IT 产品,由于其依托的技术还未成熟或产品刚刚成型,产品部署后面临的安全风险、攻击技术等还都面临日新月异的变化,且产品未大范围应用。针对上述 IT 产品的不同特点,GB/T 18336 从概念到标准结构方面进行更新完善,更有针对性的支持这些不同产品的安全评估,以最大限度的优化评估流程并减少测评开销。
两类安全评估方法。新版 GB/T 18336 标准内容对两类安全评估方法提供支持。即“基于攻击(attack-based)”的评估方法和“基于规范(specification-based)”的评估方法。
首先,“基于攻击”的评估方法,应用 CC 标准的一般模型,即资产所有者、威胁主体在围绕资产价值上采取的对抗行为,开展安全评估,其目的是证明模型中资产所有者采取对策的充分性和正确性。“基于攻击”的评估方法以此为基础进行评估,在适用的被测产品和各类读者方面具有以下特点:
一是被测产品。使用该评估方法可针对所有 IT 产品开展安全评估,特别适用于新型 IT 产品、暂时没有形成产业统一技术规范的IT产品及芯片、密码模块等一旦部署很难替换的产品。
二是评估者。依据评估保障级(从低到高)EAL1-EAL7 的相关要求,执行不同级别所对应的脆弱性分析,可采用最新的攻击手段对被测产品开展穿透性测试,要求评估者掌握业界最新的技术实践和攻防手段。
三是开发者。对是否已有产品安全规范即保护轮廓(Protect Profile,PP)不做强制要求,只需要撰写符合待测产品实际情况的安全目标(ST)即可,要求开发者掌握业界最新的技术实践和一定的攻防知识。
四是消费者。依据 EAL 级别选择满足自身需求的 IT 产品,并需要分析产品的 ST 和评估报告以区分产品的具体差异。
第二类“基于规范”的评估方法,通过“精确符合性”“直接基本原理”等新概念,及 GB/T18336.4 对评估方法和活动的规范框架,使得“基于规范”的评估方法更加完备。与“基于攻击”的评估方法相比,“基于规范”的评估前提是必须具有产业各方一致认可的产品安全 PP 规范。同时,PP 配套有相关的支持文档,按照 GB/T 18336.4 的框架要求,规定出如何对 PP 中的各安全功能要求和保障要求开展评估活动,形成统一的评估方法和测试深度。在适用的被测产品和各类读者方面具有以下特点:
一是被测产品。使用该方法只能针对已具有 PP 的 IT 产品开展安全评估,适用于技术发展成熟、产业各方已形成共识的 IT 产品。
二是评估者。依据 PP 和支持文档进行评估,不需要按照评估保障级相关要求进行评估,不需要针对被测产品执行脆弱性分析,只评估被测产品对 PP 的符合性,支持文档规定了统一的评估方法。
三是开发者。需要完全依据 PP 来撰写 ST,即满足精确符合性,按照 PP 和支持文档的要求进行被测产品的安全功能设计、开发和自测。
四是消费者。只需要选择通过测评的产品即满足此类产品部署的安全需求。
这两类评估方法进一步增加了 GB/T 18336 标准的易用性、普适性和应用的一致性。既为技术成熟且应用广泛的 IT 产品,通过建立完备的 PP 及一致的评估方法,规范该类 IT 产品产业安全水平,为消费者比较和选择产品提供统一标准和安全信心。同时标准中以威胁分析为基础的“基于攻击”的评估方法,满足消费者对 IT 产品从低到高安全级别的需要,适用于所有信息技术产品,特别针对暂无 PP 的新型 IT 产品,提供了科学适用的安全评估方法。
标准结构由三部分扩为五部分。GB/T 18336-2015 及其之前各版本标准均由三部分构成,即 GB/T 18336.1《简介和一般模型》、GB/T 18336.2《安全功能组件》和 GB/T 18336.3《安全保障组件》。此次新版本较之前标准结构发生了较大变化,由三部分变化为五部分(详见下图)。
图 新版 GB/T 18336 结构变化情况
其中,GB/T 18336.3 的内容进行了扩展和重组,安全保障组件主体内容保留在第三部分中。GB/T 18336.4 的作用已在“基于规范”的评估方法中进行了介绍。GB/T 18336.5 包含评估保障级 EAL1-EAL7 和组合产品评估等预定义的安全包,以此对“包”概念及其使用进行了进一步完善,将产业各方已达成一致且具有特定用途的一组要求,形成预定义的功能包或保障包来使用,增加组件的易用性和重用性,并有助于标准使用者在评估时保持一致尺度,也有助于减少开发 PP 和 ST 的工作量。
(二)模块化、复合评估等新理念,适应现代信息技术产业细化分工和结构复杂 IT 产品测评的需要
随着 IT 产品功能和构成复杂度的增加,通过模块化(Modularity)分解、分层以达到设计和实现过程中的简化已成为主流做法。模块化设计除了体现在单一产品按功能模块分解,使基本功能模块最大程度的可复用,从而达到产品结构清晰、层次分明,更加易于管理和维护之外,还体现在复杂产品中不同产品部件由多个开发者实体分工协作,以达到进一步明确产业链分工,提高专业化程度的目的。
为此,新版 GB/T18336 通过模块化描述方法,扩展现有的 PP 概念,提出 PP 配置、PP 模块等新概念,以适用于“底座+模块”产品构成范式、多部件复杂 IT 产品等应用场景。以移动设备类产品为例,国际 CC 评估已按照 PP 配置方式进行,以“移动设备基础保护轮廓”(PP_MDF_V3.3)为基础PP,配合无线通信(MOD_WLANC_V1.0)、蓝牙(MOD_BT_V1.0)、生物特征识别(MOD_CPP_BIO_V1.1)等功能 PP 模块,通过“PP 配置=基础 PP+”的方式,形成符合实际产品应用的安全需求。
随着信息技术的飞速发展,多部件复杂 IT 产品呈现上升趋势,一个 IT 解决方案往往是由不同类型的提供商共同实现,同时不同部件产品又在不同评估认证机构通过了测评,那如何解决由这些部件组合而成的 IT 产品的安全评估问题?早在 GB/T 18336-2015 中已提出了“组合评估(Composed Evaluation)”的概念,并提出了相关的保障组件—组合(ACO)保障类和组合保障包(CAP),但适用的组合产品类型和评估结论都存在一定的局限性,体现在表中“被测组合产品的要求”和“评估结论”等方面。为了解决这些问题,新版标准提出了“复合评估(Composite Evaluation)”的概念,通过知识转移和证据重用的方法,很好地解决了多部件复杂 IT 产品的安全评估问题,即减少了重复测评、适用的范围更广,又给出了消费者比较接受的测评结论。
表 新版 GB/T 18336 标准中“组合评估”和“复合评估”的区别
(三)脆弱性分析中更加关注供应链安全,顺应 ICT 供应链的全球化和复杂性的特点及发展趋势
针对供应链的攻击与传统的针对 IT 产品本身的攻击相比,攻击者可利用的攻击面由 IT 产品本身的边界扩大到 IT 产品内部的所有部件,如代码、模块和服务,以及与这些模块相关的供应链上下游供应商的编码过程、开发工具和设备,任一部件在设计、开发、生产等任何一个生命周期阶段中,若存在安全问题都会直接影响 IT 产品的安全,攻击的范围明显扩大。针对供应链安全问题,新版 GB/T 18336 也进行了相关内容的完善。
脆弱性分析(AVA)是 GB/T 18336 安全评估过程中的一项核心重要工作。AVA 要求评估者确认被测产品开发和预期运行中是否存在潜在的脆弱性,及脆弱性是否能够造成被测产品安全功能的破坏,以此带来资产的损失。新版标准中,评估者在执行脆弱性分析相关的穿透性测试中,所针对的分析对象从原先只包括被测产品,变化为被测产品和被测产品交付件中包含的第三方部件和被测产品依赖的 IT 产品,此调整是以更加系统、全面、普遍联系的视角看待产品安全。为此,接受评估的开发者除需要提供用于测试的产品之外,还需要提供相关的第三方部件列表,评估者依据列表中的部件清单对其是否存在已知漏洞进行分析。此处新变化正是 GB/T 18336 标准对近些年 IT 产品供应链安全问题凸显的有效应对,顺应了 ICT 供应链的全球化和复杂性的特点及发展趋势。
(四)增强了对 IT 产品全生命周期的安全控制,开发构件、缺陷和补丁的管理符合网络安全观念和规律
与关注供应链安全同等重要的是针对 IT 产品全生命周期的安全控制。GB/T 18336 中生命周期支持(ALC)相关要求是为 IT 产品在开发、生产、交付和维护期间,建立的安全规则和安全控制保障。此次修订,增加了对开发构件(ALC_TDA)的要求,目的是进一步增强对被测的 IT 产品开发过程或开发成果的信任。此要求关注的是开发过程中 IT 产品某些构件生成的真实性,通过核实被测产品的源代码、配置管理系统中的各配置项或通过开发工具生成被测产品副本等,来确认开发者提供的源代码是否属于被测产品。通过对这些重要构件的验证,建立起对 IT 产品整个开发过程的信任链。
此外,国际信息安全领域对 IT 产品全生命周期安全性的关注度逐渐增强,主要体现在以下两方面:一是对安全缺陷纠正(ALC_FLR)的重视,开发者应对产品投入使用后的安全性负责,预防缺陷发生,且一旦发现安全缺陷要通过可行的技术或管理手段,进行跟踪、纠正和控制。虽然此要求与评估保障级别(EAL)没有关联,但 CCRA 已将ALC_FLR 作为各成员国 IT 产品评估结果互认必须满足的条件之一。二是与缺陷纠正密切相关的补丁管理(ALC_PAM)将成为新增的安全保障要求。目前国际上包括 CC 组织、欧盟网络安全认证体制(EUCC)等均在对补丁的安全控制进行研究,正在制定中的国际技术规范 ISO/IEC TS 9569,其内容正是将对补丁的研发、确认和发布等全生命周期安全要求,增加到 CC 标准的相关规定,相信不远的将来 CC 标准中会出现补丁管理过程相关的安全要求。缺陷和补丁作为 IT 产品密不可分的组成部分,体现了网络安全动态性、对抗性、系统性的特点和规律,相关安全要求的新增和细化将会使 IT 产品全生命周期安全控制更加完善,安全评估工作的重要性越发凸显。
三、结 语
最新版的 GB/T 18336 标准即将发布实施,标准中新修订的内容在以下方面对产业发展和安全测评有重要的促进作用。一是对“基于规范”和“基于攻击”两类评估方法的支持,极大地增加了标准的易用性、普适性和应用的一致性,可为技术成熟且应用广泛的 IT 产品、以及新型 IT 产品制定安全技术要求和评价方法,分别提供技术指引,解决测评方法和深度较难统一等困境和难题。二是丰富完善了模块化和组合评估等概念和方法,顺应了产业链和复杂产品分工协作的趋势,丰富和优化我国信息技术产品安全标准制定框架和路线,为今后我国制定复杂 IT 产品安全标准,减少重复认证检测,提供重要的技术参考。三是注重 IT 产品及相关第三方部件全生命周期及供应链安全,特别是漏洞预防、修复、补丁安全管理等CC关注的安全热点问题,与动态性、对抗性、系统性等网络安全观念和规律相契合,为我国关键信息基础设施保护提供有力的产品级安全保障。
测评中心作为国内 GB/T 18336 标准的牵头研究和使用单位,致力于将新标准中的先进理念应用于我国信息安全测评认证领域,最大化地发挥其基础支撑和引领作用。同时,我们也将进一步加强对 GB/T 18336 标准的宣传力度,编制配套的解读说明性材料,完善配套标准,举办相应的标准培训和宣贯会议,紧密团结信息技术产业各方,相信新版 GB/T 18336 标准一定会为维护我国的网络安全发挥更大的作用。
(本文刊登于《中国信息安全》杂志2023年第11期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。