Một số ràng buộc được xác định cho các SFR của CC_Part2 không giải quyết được trực tiếp bằng các chức năng của TOE, nhưng là một kết quả từ môi trường CNTT của TOE. Lý do các ràng buộc mất đi này được mô tả dưới đây:
Chú giải 1. Ràng buộc mất đi, FMT_SMR.1, liên quan đến sự phân công các vai trò quản lý an ninh của TOE, cụ thể trong các trường hợp này TOE thực hiện ủy quyền quản trị. Trong khi sản phẩm Check Point VPN-1/Firewall-1 không bao gồm các chức năng có liên quan đến sự phân công các vai trò quản trị Firewal cũng như không bao gồm trong các chức năng được lựa chọn cho TOE. Các lý do cho việc này là tất cả các truy cập đến vai trò quản trị phụ thuộc vào việc truy cập trực tiếp đến một nền tảng lưu trữ của một trong các thành phần có liên quan của TOE, ví dụ: máy chủ cho các thành phần giao diện quản lý, hoặc Management Server. Theo quan điểm này, yêu cầu được giải quyết bằng môi trường và phương pháp của việc sử dụng các giả định [E_AS1], [M_AS4], [M_AS6], [M_AS7.
Chú giải 2. EDP_ITT.1 (1) và (2) là các SFR rõ ràng để tham chiếu tới TOE này. Ràng buộc của chúng vào [CC_Part 2] conformant SFR FDP_ITT.1 (1) và (2) phản ánh thực tế là các yêu cầu này đòi hỏi phải triển khai những chức năng mà SFR EDP_ITT.1 (1) và (2) đòi hỏi phải có sẵn để gọi đến.
Chú giải 3. Ràng buộc mất đi, FMT_MSA.3, liên quan đến thực tế là TOE được an toàn trước khi khởi tạo các thuộc tính cơ sở liên quan tới chính sách của luồng thông tin. Trong trường hợp các kết nối SIC và VPN của mỗi một nền tảng truyền thông đã có một chứng chỉ PKI và các mã công cộng và riêng tư liên quan (hoặc các dữ liệu bí mật được chia sẻ) được cài đặt trên chúng. Điều này có thể đạt được bằng cách truy
nhập trực tiếp vào nền tảng và do đó được giải quyết cùng bằng các giả địn môi trườngh được xác định trong Chú giải 1.
Chú giải 4. Các ràng buộc FCS_CKM.1, FCS_CKM.4, FMT_MSA.2 cùng với FCS_COP.1 liên quan đến các vấn đề quản lý chính gắn với chức năng mã hóa. Tất cả các chức năng này được dựa trên các giao thức PKI, theo đó các khóa mật mã hoạt động được kiểm soát và tạo ra theo yêu cầu của quá trình hoạt động của các giao thức. Vì vậy, những phụ thuộc này được giải quyết bằng việc triển khai chính xác các giao thức tiêu chuẩn, đó là ra khỏi phạm vi của đánh giá TOE này. Cuối cùng tính hợp lệ của việc quản lý chính của các giao thức PKI này dựa trên sự an toàn của các dữ liệu mã riêng tư (private key) kết hợp với mã công khai (public key), và điều này được quản lý một phần bởi các giao thức tiêu chuẩn và thực tế là các mã riêng tư được cài đặt "out band" của một quá trình đòi hỏi phải truy cập trực tiếp đến một nền tảng cần để truyền thông; Có thể xem tại Chú giải 3.
Chú giải 5. TOE không bao gồm việc hỗ trợ cho các giao diện truyền thông để xác thực nội dung và các dịch vụ LDAP được yêu cầu bởi các SFR, FTP_ITC.1 (1) và (2). Tuy nhiên, sự tin cậy cần thiết cho các giao diện này không chỉ thực hiện bằng các chức năng của TOE mà còn bởi cấu hình chính xác của môi trường cho TOE, mà cụ thể là các dịch vụ bên ngoài được cài đặt trên một mạng được bảo vệ như yêu cầu bởi giả định [E_AS4]. Trường hợp một Firewall Module yêu cầu truy cập từ xa các chức năng này, phải cần thiết rằng chức năng VPN của sản phẩm phải được cấu hình để cung cấp một kênh được bảo vệ tới các mạng được bảo vệ là nơi đặt các máy chủ này, VD. Một chính sách an toàn phù hợp được cài đặt trên một module Firewall như đã chỉ ra tại [M_AS1].
Chú giải 6. Việc bảo vệ của kết nối mạng tới một dịch vụ xác thực bên ngoài. Ví dụ: Radius (FIA_UAU.5.2 a) và xác thực chữ ký kỹ thuật số (FIA_UAU.5.2 c) sử dụng chức năng VPN của sản phẩm. Có thể áp dụng cho các trường hợp tương tự như đã xem xét tại các Chú giải 4 và 5.
● Cơ sở các yêu cầu
TOE được dự định để sử dụng trong nhiều môi trường khác nhau, bao gồm cung cấp bảo vệ cho các mạng từ Internet và các mạng của các hãng bên thứ ba khác. Mức độ đảm bảo EAL4 phù hợp với các các môi trường có nhiều nguy cơ như vậy và cùng nhận thức thông thường của người dùng sẽ là một mức độ cần thiết và đầy đủ cho các sản phẩm an toàn tương tự.
Các yêu cầu an toàn hỗ trợ lẫn nhau
Các yêu cầu về chức năng an toàn được nêu ra trong phần 8 của tài liệu này để xác định và giải quyết mỗi mục tiêu an toàn được nêu ra để xử lý một nguy cơ đe dọa đã xác định.
Các yêu cầu đảm bảo an ninh được chỉ ra nhằm phù hợp với TOE
Các ràng buộc giữa các yêu cầu chức năng an toàn được xác định trong tài liệu này được minh họa, các biệt lệ được giải thích. Theo như định nghĩa, các hoạt động này hỗ trợ lẫn nhau.
Do đó, tập các yêu cầu an toàn được địnhu nghĩa cũng nhau trong ST có thể thấy rằng hoàn toàn phù hợp và hỗ trợ lẫn nhau.
Cơ sở sức mạnh chức năng Claim (Strength of Function Claim)
Bản thân TOE không chứa các hàm phù hợp với Strength of Function Claim.
c. Tóm tắt đặc tả của TOE
Các chức năng an toàn IT hỗ trợ lẫn nhau
Bảng 6 chứng minh rằng tất cả các SFR có hỗ trợ lẫn nhau
Bảng 7 (dưới đây) chỉ ra các chức năng an toàn của TOE có liên quan trong việc triển khai mỗi SRF. Ở mức độ ban đầu, mô tả các chức năng được gắn với các SFR được ánh xạ, tuy nhiên giải thích chi tiết hơn được cung cấp trong cột Mô tả (comment) của bảng. Do đó các chức năng an toàn hỗ trợ lẫn nhau.
Yêu cầu các chức năng an toàn TOE Các chức năng an toàn TOE Mô tả FDP_IFC.1 (1) FDP_IFF.1 (1) AC2, AC3, AC4, AC5, AC6, AC7, AC8, AC9, AC10, AC11, AC12, AC13, AC14
Các chức năng an toàn xác định các khía cạnh khác nhau của việc kiểm soát lưu lượng được thực hiện bở các thành phần Firewall Module của TOE
FMT_MSA.1 (1) AC1 Chức năng an toàn [AC1] chỉ ra (một phần) rằng TOE cung cấp khả năng quản trị thông qua Management Server để biên dịch và tải Firewall Security Policy và xác định các luật chuyển đổi. Với các thành phần bao gồm các hoạt động được phép trên các thuộc tính an ninh phục vụ cho việc kiểm
Yêu cầu các chức năng an toàn TOE Các chức năng an toàn TOE Mô tả
soát lưu lượng thông tin của module firewall, có thể thấy rằng chức năng an toàn AC1 thỏa mãn yêu cầu an toàn chức năng FMT_MSA.1(1)
FMT_MSA.3 (1) AC2 Chức năng an toàn AC2 đảm bảo rằng luôn có một chính sách an toàn tường lửa được thực thi bởi TOE. TOE được cung cấp với một chính sách mặc địnhđược sử dụng như là các chính sách ban đầu bởi TOE cho đến khi nó được cung cấp với một chính sách tùy chỉnh bởi một quản trị viên.Chính sách an toàn tường lửa mặc định cung cấp "các giá trị hạn chế mặc định” được tham chiếu theo FMT_MSA.3 (1). Chức năng an toàn AC1 cho phép người quản trị xác định một chính sách an toàn tường lửa thay thế hoặc "tùy chỉnh". Nếu được quy định, chính sách tùy chỉnh sẽ cung cấp "giá trị ban đầu thay thế " được tham chiếu FMT_MSA.3 (1)
FMT_SMF.1 (1) AC1 Chức năng an toàn AC1 cung cấp khả năng cho người quản trị thực hiện việc tải FireWall Security Policy và các luật chuyển đổi địa chỉ vào TOE. Các thành phần này bao gồm các chức năng quản lý an toàn đã được liệt kê trong FMT_SMF.1(1)
FDP_IFC.1 (2) FDP_IFF.1 (2)
AC2, AC3, AC4
Chính sách an toàn Desktop cung cấp một phiên bản cắt giảm của các chức năngđược cung cấp bởi Module
Firewall.
FMT_MSA.1 (2) AC1 Rất nhiều SF liên quan với FIREWALL-SFP, POLICY-SERVER-SFP và SIC-SFP cũng hỗ trợ tính năng này
FMT_MSA.3 (2) AC2 Chức năng an toàn AC2 đảm bảo rằng luôn luôn có một chính sách an toàn cho máy tính để bàn được
Yêu cầu các chức năng an toàn TOE Các chức năng an toàn TOE Mô tả
thực thi bởi TOE. TOE được cung cấp với một chính sách mặc định được sử dụng như là các chính sách ban đầu cho TOE (được thực thi trong quá trình khởi động của SecureClient) cho đến khi nó được cung cấp với một chính sách tùy chỉnh được tải về từ Policy Server.Chính sách an toàn desktop mặc định cung cấp "các giá trị hạn chế mặc định” được tham chiếu theo FMT_MSA.3(1). Chức năng an toàn AC1 cho phép người quản trị xác định một chính sách an toàn desktop thay thế hoặc "tùy chỉnh". Nếu được quy định, chính sách tùy chỉnh sẽ cung cấp "các giá trị thay thế ban đầu" tham chiếu bởi FMT_MSA.3 (2).
FMT_SMF.1 (2) AC1 Chức năng an toàn AC1 cung cấp khả năng cho người quản trị thực hiện việc biên dịch và tải Desktop Security Policy vào TOE. Khả năng này bao gồm các chức năng quản lý an toàn đã được liệt kê trong FMT_SMF.1(2) FDP_ACC.1 FDP_ACF.1 AC10, AC11, AC15 Chứng thực người dùng phục vụ hai mục đích trong TOE, đầu tiên là để cho phép truy cập vào các dịch vụ bên ngoài khi TOE có yêu cầu xác thực và thứ hai để xác thực quyền truy cập vào Policy Server của TOE trước khi xác nhận hoặc tải của một chính sách an toàn desktop. Việc an toàn này liên quan đến trường hợp thứ hai.
FMT_MSA.1 (2b) AC1 Rất nhiều SF có liên quan đến FIREWALL-SFP và SIC-SFP cũng hỗ trợ tính năng này.
FMT_MSA.3 (2b) AC2 Trong bối cảnh của TOE, các giá trị mặc định hạn chế tham chiếu bởi FMT_MSA.3 (2b) liên quan tới Desktop Security Policy mặc định được gọi khi SecureClient được khởi động. Các giá trị khởi tạo thay thế được tham chiếu bởi FMT_MSA.3 (2b) liên quan đến đến một chính sách an ninh tùy chỉnh cho
Yêu cầu các chức năng an toàn TOE Các chức năng an toàn TOE Mô tả
toàn AC2 đảm bảo rằng Desktop Security Policy có liên quan (mặc định hoặc tùy chỉnh) được áp dụng cho tất cả các gói tin IP cá nhân tham gia vào tất cả các hoạt động với một VPN-1 Secure Client.
FMT_SMF.1 (2b) AC1 Chức năng an toàn AC1 cung cấp khả năng cho người quản trị thực hiện việc biên dịch và tải Desktop Security Policy vào Management Server và sau đó vào Policy Server. Tính năng này đáp ứng các yêu cầu của FMT_SMF.1(2b)
EDP_ITT.1 (1) SIC1 Chức năng an toàn SIC1 cung cấp cho TOE khả năng thiết lập một kết nối an toàn và tin cậy giữa Check Point Management Server và TOE có phân tách về mặt vật lý. Kết nối này sẽ ngăn chặn việc tiết lộ, sửa đổi lưu lượng truy cập giữa TOE và máy chủ quản lý theo yêu cầu của EDP_ITT.1 (1)
EDP_ITT.1 (2) VPN1 Chức năng an toàn VPN1 cung cấp cho TOE khả năng thiết lập một kết nối an toàn và tin cậy giữa TOE và một client có kích hoạt VPN và phân tách về mặt vật lý. Kết nối này sẽ ngăn chặn việc tiết lộ, sửa đổi lưu lượng truy cập giữa TOE và client có kích hoạt VPN theo yêu cầu của EDP_ITT.1 (2) FPT_RVM.1 AC2, AC4 Chức năng an toàn AC2 đảm bảo rằng Chính
sách an toàn FireWall và Chính sách an toàn Desktop được thực thi ở tất cả các lần trên tất cả các gói tin IP đi qua TOE, trong khi chức năng an toàn AC4 quy định cụ thể các hành động để TOE thực hiện việc cho phép đối với các gói tin IP. Việc thực hiện các chức năng này đảm bảo rằng tất cả các yêu cầu đối với các luồng thông tin qua TOE, ngay cả với những lúc khởi động, được chặn bởi các cơ chế kiểm tra và là đối tượng của các chính sách an toàn. Tuy nhiên điều quan trọng cần lưu ý là các mục tiêu môi trường ESO1 cũng phải được đáp ứng để thỏa mãn các yêu cầu FPT_RVM.1
Yêu cầu các chức năng an toàn TOE Các chức năng an toàn TOE Mô tả
khi mục tiêu này đảm bảo rằng nền tảng đã được cấu hình đúng để ngăn chặn các luồng thông tin đi qua (tức là các cổng vật lý được cấu hình chính xác và việc chuyển tiếp IP bị hệ điều hành vô hiệu hóa).
FMT_MOF.1 (1) AC1 Chức năng an toàn AC1 cung cấp (một phần) khả năng cho phép người quản trị thực hiện bật (start) và tắt (stop) TOE, do đó đáp ứng các yêu cầu của FMT_MOF.1(1)
FMT_MSA.1 (3) RS1 Chức năng an toàn RS1 cung cấp cho người quản trị thực hiện truy nhập vào TOE thông qua Management Server để lấy thông tin về trạng thái hiện tại của TOE, do đó đáp ứng các yêu cầu của FMT_MSA.1(3)
FMT_SMF.1 (3) AC1, RS1 Chức năng an toàn AC1 cung cấp cho người quản trị khả năng bật và tắt TOE. Chức năng an toàn RS1 cung cấp cho người quản trị khả năng trích xuất thông tin về trạng thái hiện tại của TOE. Hai chức năng an toàn này cùng nhau đáp ứng các yêu cầu chức năng an toàn FMT_SMF.1(3)
FAU_GEN.1 AUD1,AUD2, AUD3
Chức năng truy vết được bật và tắt cùng với TOE và không thể tắt đi khi TOE vẫn còn hoạt động. Do đó chúng ta có thể coi rằng cụm từ “khởi động và tắt chức năng truy vết” đồng nghĩa với cụm từ “khởi động và tắt của TOE”. Chức năng an toàn AUD1 đảm bảo rằng các bản ghi truy vết luôn được tạo ra để ghi nhận việc khởi động và tắt của TOE. Chức năng an toàn AUD2 cung cấp cho TOE khả năng tạo ra các bản ghi truy vết cho mỗi gói tin IP đi qua firewall. Điều này đảm bảo rằng mọi nỗ lực để thiết lập một kết nối thông qua TSF có thể bị lưu vết. Cuối cùng chức năng an toàn AUD3 quy định cụ thể nội dung của các bản ghi truy vết bao gồm các yêu
Yêu cầu các chức năng an toàn TOE Các chức năng an toàn TOE Mô tả
lại ba chức năng an toàn này đã đáp ứng tất cả các yêu cầu của FAU_GEN.1
FAU_SAA.1 AUD6 Chức năng an toàn AUD6 cung cấp cho TOE khả năng tạo ra các thông điệp cảnh báo và các bản ghi truy vết theo quy định cụ thể trong chính sách an toàn tường lửa. Chức năng này bảo đảm đáp ứng các yêu cầu chức năng an toàn FAU_SAA.1
FAU_SAR.1(1) AUD4 Chức năng an toàn AUD4 cung cấp cho người quản trị khả năng hiển thị trên Management Server các bản ghi truy vết tới thời điểm hiện tại hoặc một tập tin nhật ký truy vết cụ thể. Tính năng này đáp ứng các yêu cầu FAU_SAR.1(1).
FAU_SAR.1(2) AUD4 Chức năng an toàn AUD4 quy định cụ thể các tiêu chí lựa chọn có thể được sử dụng để chọn các bản ghi lưu vết. Với các tiêu chí này bao gồm phạm vi của ngày tháng, phạm vi thời gian và các hành động cụ thể, chúng đáp ứng yêu cầu của FAU_SAR.3. FMT_MOF.1 (2) AUD1, AUD2,
AUD5
Chức năng an toàn AUD1 cung cấp cho một quản trị viên có thẩm quyền khả năng xác định việc tạo ra các bản ghi truy vết dựa trên các quy tắc trong chính sách an toàn tường lửa và chính sách an toàn máy tính để bàn. Chức năng an toàn AUD2 xác định phạm vi của các quy tắc cho các chính sách an toàn tường lửa/máy tính để bàn bằng cách bảo đảm rằng nó có thể tạo ra một bản ghi truy vết cho mỗi gói IP đi qua một giao diện mạng được định nghĩa. Các chức năng an toàn này kết hợp với nhau cung cấp cho người quản trị (và cũng chỉ hạn chế trong phạm vi khả năng của người quản trị) để xác định và sửa đổi các bản ghi truy vết. Ngoài ra, đối với mô-đun tường lửa, chức năng an toàn AUD5 cung cấp cho quản trị viên khả năng đóng file nhật ký (log fiel) hiện hành và chuyển đổi vào một tập tin nhật ký mới, trong khi đối với VPN-1
Yêu cầu các chức năng an toàn TOE Các chức năng an toàn TOE Mô tả
SecureClient AUD5 cho phép người quản trị xác định một chính sách cho SecureClient để chuyển đổi các tập tin truy vết. Những khả năng này, thực hiện cùng nhau, đáp ứng các yêu cầu của FMT_MOF.1