信息安全评估准则（CC）的重大变化及对标准的影响

　　一、 概述

　　国际信息技术安全通用评估准则(Common Criteria for Information Technology Security Evaluation，简称CC)是美国、英国、法国、德国、荷兰、加拿大六国历经20多年制定的评估信息安全产品和系统安全特性的基础准则，它不但提出了信息安全评估的模型和原则，而且还对信息安全产品和系统的安全功能需求和安全保证要求做出了明确的规定，是确保信息安全产品和系统安全的一个指导性文件。

　　CC最早源于1985年美国国防部发布的《可信计算机系统评估准则》（TCSEC）。1993年至1996年，经过研究开发，产生了《信息技术安全通用评估准则》，简称CC标准。

　　1996年6月，CC第一版发布；1998年5月，CC第二版发布；1999年10月，CC V2.1版发布，同年12月，ISO采纳 CC，并作为国际标准ISO/IEC 15408发布。2001年，我国将ISO/IEC 15408等同转化为国家标准--GB/T 18336-2001《信息技术安全性评估准则》。2004年1月，CC V2.2版发布，2005年7月，CC发展委员会(CCDB)发布了CC3.0征求意见稿，对CC V2.2版做了重大修改，也说明CC正经历着其1999成为国际标准ISO/IEC 15408后的又一次重大变更。美国等CCRA成员国对CC3.0的反应积极，美国国内的所有信息安全产品评估都可立即启用CC3.0，且从2006年7月14日起，安全保护轮廓PP的评估必须使用该标准，并规定自2008年1月1日起，所有评估机构必须彻底改用CC3.0。

　　本文对CC的发展和CC3.0新版本的特点作了介绍，对新版本的变更进行了详细的描述，最后对新版本可能给我们带来的影响进行了分析，并提出几点启示和思考。

　　二、CC3.0的特点

　　1.简单、清晰、融会贯通

　　CC3.0在内容上作了最大可能的简化，其中第二部分的长度由V2.2版本的354页缩减为130页，还不到原来的一半。它将安全功能要求中安全审计、通信、密码支持等11个安全类合并为安全审计、通信、数据保护和隐私等6个安全类，将CC V2.2版本中67个安全族压缩为45个安全族。此外，CC3.0使用的术语比较统一，数量上有了明显的减少，且术语的使用尽可能做到一致和清晰。

　　2.结构合理，重点突出

　　为了适应新时期信息安全产品和系统的安全测评需求，CC3.0的第三部分几乎重写了一遍，结构也作了重新组织。新版本删去了过去那些在评估中多次重复的相似过程和工作，将重点集中在对安全保证影响最大的一些领域，如数据的安全保护和安全审计等。

　　3.便于阅读和理解

　　为便于开发者的阅读和理解，CC3.0在内容上进行了重新编排，如对开发(ADV)类中的“设计表示”要求进行了简化，不再要求很多密级，这不但方便了开发者，也使评估者在理解产品的体系结构和安全功能时得到了更大的帮助。

　　4.支持组合产品

　　对可兼容的组合产品， CC3.0增加了安全保证类ACO。

　　三、CC3.0的主要变化

　　1.第一部分的变化

　　CC第一部分的变化主要针对的是定义。CC此次删除了大量术语，并新增了开发环境、指南文档、操作、操作环境、（TOE）运行等词汇。此外，CC对“can”、“may”、“shall”和“should”的详细含义及用法也做了特别解释。

　　该部分的改动还包括：(1)在“概述”一章中阐述了产品和TOE的关系以及产品在安装时的参数问题；(2)在“一般模型”中将安全划分为运行环境中的安全和开发环境中的安全，并因此对原模型进行了修改；(3)以独立两章的形式分别介绍了保护轮廓和评估结果，且ST不再与PP集中放在一起介绍，以更明晰的方式阐明了PP、ST和TOE评估之间的关系；(4)在附录中详细介绍了ST和PP的内容，并与安全保证要求ASE（安全目标评估）和APE（保护轮廓评估）做了对应；(5)将原版本5.3节“安全概念”中的CC组件的组织结构、操作模式等内容集中在附录3中进行介绍，并添加了对“扩展组件”含义的解释以及对如何定义扩展组件的说明。“扩展组件”的详细阐述十分重要，它从机理上保证了CC的“开放性”有章可循。

　　2.第二部分的变化

　　广大厂商和评估机构在使用CC2.x的实践中发现，CC是非常复杂的，直接导致了在书写PP和ST时产生诸多问题。另外，CC2.x第二部分中很多安全功能要求的详细程度各不相同：有些非常详细，几乎与具体的实现相关，而另一些则非常泛泛。因此，CC第二部分在3.0版中实现了全面革新，复杂的术语全部简化，甚至干脆删除，概念更加清晰，示例也更加一致。

　　CC3.0目前只有6个安全类，45个安全族，篇幅也大为缩减。它将TOE的安全行为分解为以下5个较大的、相对独立的领域：
　　(1)内部安全行为----发生在TOE内部的安全行为，例如访问控制。
　　(2)与TOE的外部实体发生联系----标识、鉴别等要求。
　　(3)保护TOE和外部实体间的通信----保密性、完整性、不可否认性等。
　　(4)安全审计----对安全相关事件的记录和响应。
　　(5)保护TOE安全功能----TOE保护自身，防止破坏、物理威胁、资源耗尽等。

　　有关方面认为，上述改变将有助于以更一致和无歧义的方式书写和理解保护轮廓与安全目标。采用CC V2.2可表达的所有安全要求完全可以用CC3.0表达，只不过所使用的具体安全功能类不同而已。

　　有必要指出，FMI类（Class FMI: Miscellaneous）是在前述五项主要的安全行为域外添加的，其本身并没有明确的含义，只是将前五个安全类中无法涵盖的要求集中列出而已。其中，FMI_TIM取自原CC版本，FMI_RND和FMI_CHO则属新加入。

　　经分析认为，FMI是CC3.0征求意见稿中最不稳定的内容。尤其是将FMI_CHO视作安全功能实在有些牵强。这个安全族只能用于书写PP，旨在供PP作者以灵活方式列出多个可控选择的安全功能。

　　3.第三部分的变化

　　CCDB认为，相对于第二部分而言，这一部分的变化具有更加深远的意义。所有的变化都是为了增强TOE的保证能力，并使评估机构能将更多的精力投入到真正重要的保证要求中去。CC V2.2中的很多安全保证类得到了整合或删除，此外还增加了新的安全保证类，以减轻评估中遇到的大量难题。

　　在书写形式上，CC也不再按原来的“开发者行为元素-证据的内容和形式元素-评估者行为元素”的格式展开，大大方便了TOE开发者的阅读。

　　ASE/APE（安全目标评估/保护轮廓评估）Security Target Evalution

　　CC2.2中，ASE和APE类包含很多需要评估员重复做的元素，这对提高保证能力毫无用处。另外，原版本也没有透彻地说明如何判断假设、威胁、组织安全策略或安全目的陈述是否充分。因此常常出现ST/PP轻松通过了评估，但最终用户却不知道TOE/产品究竟能不能真正满足其需求的情况。

　　ASE/APE的改写就是为了提高ST/PP的适用性，同时优化ST/PP的评估工作。新版本描述了什么是“好”的假设、威胁、组织安全策略和安全目的声明，并特别说明，TOE概要规范的目的就是为了解释TOE对安全要求的满足性。

　　ACM/ADO/AGD/ALC（配置管理/交付和运行/指导性文件/生命周期支持）

　　对ACM/ADO/AGD/ALC的更新主要基于这样的考虑：这几类安全保证要求之间的界限不明朗，需要重新组织内容。例如，ACM中的配置管理要求要作用于TOE的整个生命周期，因此它更应该是ALC的内容；而AGD中描述的管理员行为也同样包含在TOE启动行为之中，而后者却在ADO中描述。

　　因此上述四类安全保证整合成了两个安全类：ALC类和AGD类。前者侧重于发生在开发场所的要求，后者则侧重于发生在用户场所的要求。

　　ADV（开发）

　　厂商和测评机构对ADV类的反映最为激烈，提交的问题也多种多样。人们普遍认为其存在内容缺失、重点不突出、粒度太粗、难以操作等问题。

　　CC3.0针对上述问题作了很大努力，尤其是拉开了EAL各级之间对ADV要求的差距，对安全体系结构也提出了要求，删除了一些很难实现或工作量不合理的内容。

　　ATE（测试）

　　ATE部分改动不大，只是针对ADV及其术语的变更而做了调整。

　　AVA（脆弱性评定）

　　改动后的AVA只有一个族：AVA_VAN。PP/ST中删除的安全功能分析并入了这里，另外AVA中原有的“误用”（AVA_MSU）此次被移至AGD类。CC3.0还提出了一种利用公共信息来实施的最低级别的脆弱性分析。

　　ACO（组合）

　　各个测评机构普遍遇到过组合产品的测试问题。由于这些组合产品中常有部分或全部组件已通过了评估，对这类产品应使用何种方法学以及投入多大的测评工作量，往往成为困扰各机构的共性问题。为此CC3.0添加了ACO类，共包括ACO_COR（组合的基本原理）、ACO_DEV（开发证据）、ACO_REL（组件之间的依赖性）、ACO_TBT（基础TOE测试）和ACO_VUL（组合脆弱性测试）。CC3.0期望，能够从这几个角度去比较合理地判断组合产品的安全性。显然，这种方法学已经在最大可能地试图降低重复劳动。

　　四、可能对我们带来的影响

　　自1999年CC上升为国际标准ISO/IEC 15408以来，CCDB与ISO始终保持着密切联系，此次由全世界CC的各类使用者共同推动发布的CC3.0必然会导致ISO/IEC 15408的相应改版，这会直接影响到我国等同采用ISO/IEC 15408后发布的国家标准GB/T 18336。此外，由于我国近年来发布或正在制定的信息安全标准普遍参照了GB/T 18336，因此这对我国信息安全标准的影响面是全方位的。另外，基于CC的信息安全测评机构也会受到CC改版的影响。但我认为这种影响的程度不会太大。

　　相关信息（郑洪仁）

　　我国的安全性评估准则国家标准是：
　　GB/T 18336.1-2001 信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般模型（idt ISO/IEC 15408-1:1999）
　　GB/T 18336.2-2001 信息技术 安全技术 信息技术安全性评估准则 第2部分:安全功能要求（idt ISO/IEC 15408-2:1999）
　　GB/T 18336.2-2001 信息技术 安全技术 信息技术安全性评估准则 第3部分:安全保证要求（idt ISO/IEC 15408-3:1999）
　　上述三项国家标准的内容详见计算机行业标准化网网站的“安全技术国家标准简介”。

　　这三项国际标准已修订为：
　　ISO/IEC 15408-1:2005 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1: Introduction and general model（共41页）
　　ISO/IEC 15408-2:2005 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 2: Security functional requirements（共227页）
　　ISO/IEC 15408-3:2005 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 3: Security assurance requirements（共149页） 　　

　　相应的GB/T 18336三项国家标准于2006年开始修订。