Từ [E_AS1] đến [E_AS4], và từ [M_AS1] đến [M_AS12] bao gồm
Đó là khẳng định rằng tất cả các giả định này được giải quyết bằng mục tiêu môi trường [ESO1], [ESO2] và [ESO7]. Đáp ứng những mục tiêu này sẽ đảm bảo rằng TOE được cài đặt và hoạt động trong một môi trường phù hợp với môi trường và phương pháp sử dụng trong giả định. Việc ánh xạ các giả định với các mục tiêu cũng giống như chỉ ra trong định nghĩa của các mục tiêu trong phần 4.2
Trong phân tích những mối đe dọa dưới đây, lưu ý rằng các mục tiêu môi trường [ESO1], [ESO2], trong đó yêu cầu tất cả các giả định môi trường đã đạt được trong thực tế , tiềm ẩn trong việc chống lại tất cả các mối đe dọa. Điều này là do chức năng chính xác của TOE dẫn đến việc đạt được các mục tiêu an ninh đã yêu cầu các thành phần của TOE phải được được xây dựng và cấu hình chính xác và bảo vệ chống giả mạo. Trường hợp một giả định cụ thể là đặc biệt quan trọng để giải quyết một mối đe dọa, nó được nhấn mạnh trong trình bày về các mối đe dọa dưới đây.
[T1]
Nguy cơ của một máy chủ trên một trong những mạng kết nối về mặt vật lý đang cố thiết lập các thông tin liên lạc trái phép với một máy chủ trên một mạng kết nối vật lý khác được chỉ ra và giải quyết bởi [SO1], [SO2], [SO3]. Những đối tượng này triển khai các quy tắc lọc tường lửa (kiểm soát luồng gói tin IP) và do đó, kiểm soát trực tiếp tất cả (và ngăn chặn nếu không hợp lệ) các thông tin liên lạc giữa
các mạng kết nối. Chúng cũng cung cấp việc chuyển đổi các địa chỉ mạng và có thể ẩn địa chỉ hiện diện trên một mạng kết nối từ các mạng khác, do đó phòng chống việc liên lạc trên mạng với các địa chỉ ẩn.
[T2]
Nguy cơ một máy chủ trên một trong những mạng kết nối vật lý có thể đang cố gắng truy cập các dịch vụ (không được phép truy cập) của một mạng kết nối vật lý khác được chỉ ra và giải quyết bởi [SO1]. [SO1] triển khai các quy tắc và chính sách tường lửa và do đó dàn xếp trực tiếp xem truy cập được phép hay không.
[T3]
Nguy cơ một người trên mạng bên ngoài có thể đang cố gắng để đạt được truy cập vào một trong các mạng nội bộ kết nối vật lý bằng cách sử dụng các tấn công giả mạo địa chỉ mạng được chỉ ra và giải quyết trực tiếp bằng [SO1] (triển khai các quy tắc tường lửa). Ngoài ra các mục tiêu [SO2] và [SO3], thực hiện việc ẩn và dịch địa chỉ nội bộ, giảm thiểu việc tiết lộ các thông tin cần thiết để dẫn tới một tấn công giả mạo địa chỉ có hiệu quả.
[T4]
Nguy cơ một người trên mạng bên ngoài có thể cố gắng để đạt được truy cập vào một trong các mạng nội bộ được kết nối về mặt vật lý bằng cách sử dụng các cuộc tấn công định tuyến nguồn IP được chỉ ra và giải quyết bởi [SO1], trực tiếp triển khai các quy tắc tường lửa.
[T5]
Nguy cơ một người trên mạng bên ngoài có thể cố gắng để đạt được truy cập vào một trong các mạng nội bộ có kết nối vật lý bằng cách sử dụng các tấn công phân mảnh gói tin IP được chỉ ra và giải quyết trực tiếp bởi [SO1], cụ thể được chỉ ra tại yêu cầu FDP_IFF.1 trực tiếp xác định chức năng này như một khía cạnh của kiểm soát lưu lượng thông tin.
[T6]
Nguy cơ về việc cố gắng để thiết lập các thông tin liên lạc sẽ dẫn đến một hành vi vi phạm chính sách an toàn của sản phẩm có thể không được phát hiện trong một cách kịp thời được chỉ ra và giải quyết bởi [SO4] và [ESO6]. [SO4] yêu cầu rằng sản phẩm có thể để ghi lại các sự kiện như vậy và tạo ra các cảnh báo qua đó cung cấp một phương tiện để cung cấp cảnh báo kịp thời. Điều này được hỗ trợ bởi [ESO6].
[T7]
[SO4] và [ESO2] chỉ ra nguy cơ một người trên mạng bên ngoài có thể tạo ra các sự kiện đủ để thực hiện truy vết nhằm mục đích gây quá tải việc ghi nhật ký truy vết và do đó ngăn chặn việc truy vết hoạt động chính xác trong tương lai. [SO4]
và FMT_MOF.1 (2) cho phép chính sách đóng và chuyển đổi các bản ghi truy vết được thực thi bởi TOE. Ngoài ra [ESO2] yêu cầu các giả định [M_AS10] được chỉ ra trong các chính sách và nó yêu cầu các bản ghi truy vết được quản lý phù hợp hoặc sản phẩm dừng xử lý cho đến khi nó là một lần nữa có thể để ghi lại các bản ghi truy vết của nó.
[T8]
Nguy cơ việc tiết lộ thông tin trái phép có thể xảy ra trong quá trình truyền tin giữa hai máy chủ được bảo vệ bởi các tường lửa VPN-1/FireWall-1, được chỉ ra và giải quyết bởi [SO6] và [ESO4]. [SO6] cho phép sử dụng các biện pháp mã hóa [ESO4] để bảo vệ tính an toàn của thông tin được truyền giữa các các thành phần tường lửa của sản phẩm
[T9]
Nguy cơ về việc có thể có những cố gắng không bị phát hiện để sửa đổi các nội dung dữ liệu được truyền đi giữa hai máy chủ được bảo vệ bởi các tường lửa VPN- 1/FireWall-1, được chỉ ra và giải quyết bởi [SO6] và [ESO4]. [SO6] cho phép sử dụng các biện pháp mã hóa [ESO4] để bảo vệ sự toàn vẹn của dữ liệu được truyền giữa các thành phần tường lửa của sản phẩm.
[T10]
Nguy cơ có thể là nỗ lực của người sử dụng trái phép để vượt qua được các biện pháp xác thực máy trạm đã được định nghĩa được chỉ ra và giải quyết bởi [SO7] và [ESO5]. [SO7] cho phép sử dụng các dịch vụ xác thực người dùng [ESO5].
[T11]
Nguy cơ các kết nối có thể được thiết lập để vượt qua các phương pháp phân tích nội dung gói tin đã được định nghĩa (VD. các luật firewall hoặc chính sách an toàn tường lửa) được chỉ ra và giải quyết bởi [SO7] và [ESO5]. [SO7] cho phép việc sử dụng các dịch vụ phân tích nội dung [ESO5].
[T12]
[SO8] và [ESO2] xác định các nguy cơ rằng các vấn đề với tính không sẵn sàng của một tường lửa từ xa (remote firewall) có thể bị khai thác. [SO8] yêu cầu phải có sẵn việc giám sát từ xa theo ‘thời gian thực’ để có thể cung cấp khả năng cảnh báo một vấn đề tiềm năng, và [ESO2] yêu cầu các giả định môi trường được đáp ứng theo cấu hình, giám sát và quản lý chung của các thành phần để giảm thiểu rủi ro của các nguy cơ như vậy.
[T13]
[SO5] và [ESO3] xác định và giải quyết các nguy cơ tiết lộ trái phép các thông tin được truyền đi giữa một tường lửa VPN-1/FireWall-1 từ xa và Management Server. [SO5] cho phép [ESO3] thành lập một kênh liên lạc thông tin an toàn đáng tin
cậy giữa các module của sản phẩm và yêu cầu này, bao gồm việc sử dụng các biện pháp mã hóa để bảo vệ tính an toàn và tính toàn vẹn của thông tin truyền đi
[T14]
[SO5] và [ESO3] xác định và giải quyêt các nguy cơ về các cố gắng không bị phát hiện nhằm mục đích sửa đổi thông tin được truyền đi giữa một tường lửa
Firewall-1/VPN-1 từ xa với Management Server. [SO5] cho phép [ESO2] thiết lập một kênh thông tin liên lạc an toàn và tin cậy giữa các thành phần của sản phẩm và yêu cầu này bao gồm việc sử dụng các message digest để phát hiện các hành vi vi phạm.
[T15]
Nguy cơ có thể có những nỗ lực trái phép để truy cập một trong những mạng nội bộ được kết nối về mặt vật lý thông qua một máy VPN-1 SecureClient được xác định và giải quyết bằng [SO6] để kích hoạt [ESO4].
b. Cơ sở các yêu cầu an toàn
Giới thiệu
Phần này sẽ chứng minh các yêu cầu an toàn cho TOE và yêu cầu an toàn cho môi trường CNTT cần thiết và đầy đủ như thế nào để giải quyết các mục tiêu an ninh tại Mục 4.
Cơ sở các yêu cầu chức năng TOE
Bảng 4 cho thấy rằng tất cả các TOE SFR có thể được ánh xạ tới các mục tiêu TOE nêu, và tất cả các mục tiêu an toàn TOE được ánh xạ tới ít nhất một SFR TOE. Các phần phụ sau bảng, mô tả phạm vi của các mục tiêu an toàn bởi các SFR.
[SO1] [SO2] [SO3] [SO4] [SO5] [SO6] [SO7] [SO8]
FDP_IFC.1 (1) X FDP_IFF.1 (1) X X X X FMT_MSA.1 (1) X FMT_MSA.3 (1) X FMT_SMF.1 (1) X FDP_IFC.1 (2) X FDP_IFF.1 (2) X FMT_MSA.1 (2) X FMT_MSA.3 (2) X
[SO1] [SO2] [SO3] [SO4] [SO5] [SO6] [SO7] [SO8] FMT_SMF.1 (2) X FDP_ACC.1 X FDP_ACF.1 X X FMT_MSA.1 (2b) X FMT_MSA.3 (2b) X FMT_SMF.1 (2b) X EDP_ITT1(1)(EXP) X EDP_ITT1(2)(EXP) X FPT_RVM.1 X FMT_MOF.1 (1) X FMT_MSA.1 (3) X FMT_SMF.1 (3) X X FAU_GEN.1 X FAU_SAA.1 X FAU_SAR.1 (1) X FAU_SAR.1 (2) X FAU_SAR.3 X FMT_MOF.1 (2) X FMT_SMF.1 (4) X