IV. Phương pháp nghiên cứu
2.1.Tiêu chuẩn chung CommonCriteria CC
2.1.1. Khái niệm và mô hình chung của CC
2.1.1.1. Phạm vi và ngoài phạm vi của CC:
a. Phạm vi của CC:
CC được viết nhằm tới 3 đối tượng chính đó là nhà đánh giá, khách hàng và nhà phát triển và ba đối tượng trên hoàn toàn độc lập với nhau.
- Khách hàng: Là tất cả những đối tượng sử dụng SPATCNTT và đưa ra những
yêu cầu an toàn cho SPATCNTT họ cần. Khách hàng chính là tác giả viết PP. 1. Khách hàng sử dụng những kết quả đánh giá khác nhau để so sánh độc lập
mức độ an toàn của SPATCNTT. Giúp họ lựa chọn SPATCNTT mà họ cần. Kết quả đánh giá là quá trình phân tích sự mạo hiểm và chính sách an toàn có tổ chức.
2. CC còn hướng dẫn để khách hàng có thể tự thiết lập một Hồ sơ bảo vệ mô tả những yêu cầu an toàn mà họ cần làm cơ sở cho nhà phát triển đáp ứng nhu cầu, bằng cách thi hành và xây dựng SPATCNTT đáp ứng yêu cầu an toàn đó.
3. CC giúp khách hàng thi hành những biện pháp an toàn đối phó với việc mất an toàn đối với SPATCNTT bằng công nghệ hoặc từ phía người dùng.
- Nhà phát triển: Là những nhà phân tích, cung cấp và tạo ra SPATCNTT.
1. CC giúp nhà phát triển chuẩn bị điều kiện để đánh giá SPATCNTT của họ tạo ra.
2. Giúp họ xác định những yêu cầu an toàn sẽ thỏa mãn yêu cầu an toàn mà khách hàng đặt ra. Những yêu cầu này chứa đựng trong sự thực thi và xây dựng ST. ST xây dựng dựa vào những yêu cầu an toàn của khách hàng trong PP. Như vậy, nhà phát triển là tác giả viết nên ST.
3. Đặc biệt qua kết quả đánh giá nhà phát triển có thể thấy những điểm thiếu sót của SPATCNTT mà trước đó họ không biết, để khắc phục cho ra SPATCNTT hoàn thiện và tốt hơn.
- Nhà đánh giá: Là cơ quan sử dụng tiêu chuẩn CC, phương pháp luận và thí
nghiệm để đánh giá.
1. Nhà đánh giá có trách nhiệm trả lời câu hỏi khi nào quyết định về sự phù hợp của SPATCNTT tới những yêu cầu an toàn đặt ra.
Đặc tả SPATCNTT Phát triển SPATCNTT
Cấp chứng chỉ Đánh giá chương trình
CC
2. CC mô tả những hoạt động chung của nhà đánh giá sẽ thực hiện.
3. CC không chỉ rõ những thủ tục kèm theo để thực hiện hành động đánh giá. 4. Giúp nhà đánh giá quyết định câu trả lời về sự phù hợp của SPATCNTT.
- Những đối tượng khác: CC hướng vào sự thuyết minh và sự đánh giá những
thuộc tính an toàn của SPATCNTT. Nó cũng rất hữu ích cho ai có trách nhiệm hoặc quan tâm đến lĩnh vực đánh giá SPATCNTT.
1. Cơ quan chứng nhận đánh giá: Họ dựa vào kết quả đánh giá để cấp chứng nhận sản phẩm đó.
2. Nhà quản trị hệ thống: Sẽ hoạch định yêu cầu an toàn cho tổ chức của họ … 3. Nhà bảo trợ đánh giá (Sponsor): Cung cấp bằng chứng và đưa ra những yêu
cầu đánh giá cho nhà đánh giá.
Hình 2. 1: Đặc tả đối tượng quanh CC b. Ngoài phạm vi của CC:
CC không bao hàm phương pháp luận đánh giá, đánh giá module mật mã, những biện pháp đối phó an toàn vật lý và những ứng dụng từ con người như: thủ tục hành chính, việc cấp chứng chỉ, xử lý việc, sắp đặt thủ tục đánh giá, các thủ tục công nhận lẫn nhau kết quả đánh giá của CCRA.
1. Thủ tục hành chính là những quy định về pháp luật, hay đó là hành lang pháp lý của riêng từng quốc gia để đưa ra thủ tục hành chính riêng cho quốc gia đó. Vì vậy, CC là chuẩn chung nên không thể bao hàm hành lang pháp lý riêng của từng quốc gia.
2. Một vấn đề của CC đó là không bao hàm đánh giá các module mật mã, trước đây tiêu chuẩn của Liên bang Nga đã đề cập tới. Vì module mật mã đã có tiêu chuẩn riêng dùng đánh giá nó. Mỹ và Canada đã đưa ra tiêu chuẩn đánh giá các thuật toán mật mã và nó đã chuẩn hóa thành FIPS 140, hiện nay có rất nhiều quốc gia đã tham gia chuẩn này.
2.1.1.2. Định nghĩa SPATCNTT và đích đánh giá TOE (adsbygoogle = window.adsbygoogle || []).push({});
a. Sản phẩm an toàn CNTT:
SPATCNTT là những sản phẩm CNTT (là một thực thể CNTT mà nhà phát triển hoặc chủ nhân đặt giá trị lên nó) như phần cứng (hardware), phần mềm (software), phần sụn (firmware) được tạo ra nhằm bảo vệ an toàn cho chủ thể nào đấy. Đơn giản là những ứng dụng an toàn nào đó được thiết kế cài đặt với những yêu cầu an toàn được đặt ra. Ví dụ: hệ thống tường lửa (Firewall), hệ điều hành an toàn, hệ thống phòng chống xâm nhập IPS …
b. Đích đánh giá TOE:
TOE (Target Of Evaluation): Chính là một phần hoặc SPATCNTT cụ thể khi đưa ra đánh giá, nó bao gồm cả tài liệu đi kèm hướng dẫn đánh giá và sử dụng. TOE là SPATCNTT nguyên thủy, tức bản thân nó phát triển làm nhiệm vụ an toàn chứ không phải là các sản phẩm khi cấu hình, cài đặt để sinh ra an toàn. Ví dụ: hệ thống tường lửa (Firewall), hệ điều hành an toàn, hệ thống phòng chống xâm nhập IPS …
Sản phẩm hoặc hệ thống là đối tượng của việc đánh giá. Việc đánh giá nhằm để xác nhận các tuyên bố về mục tiêu. Để được sử dụng thực tế, việc đánh giá phải xác minh tính năng bảo mật của mục tiêu. Điều này được thực hiện thông qua các biện pháp sẽ trình bày sau đây.
2.1.1.3. Hồ sơ bảo vệ (PP), Đích an toàn (ST) và mối quan hệ giữa chúng.
Đây là những định nghĩa quan trọng nhất ở phần 1 của nội dung CC, nó xuyên suốt quá trình phân tích và đánh giá SPATCNTT, khái niệm PP mãi đến Tiêu chuẩn của Liên bang Mỹ mới đưa ra, mang một ý nghĩa lớn, đột phá trong ngành đánh giá, là cơ sở để CC đưa ra tiếp định nghĩa ST và TOE.
a. Hồ sơ bảo vệ (PP):
Hồ sơ bảo vệ PP là tài liệu chính thức biểu thị một sự thi hành – tập hợp độc lập với những cài đặt, những yêu cầu chức năng an toàn và đảm bảo an toàn. PP là bản tóm tắt các đặc tả những yêu cầu chức năng an toàn và đảm bảo an toàn cần thiết của một dòng SPATCNTT khi gặp những yêu cầu an toàn từ phía người sử dụng. Ví dụ về tính độc lập: PP mô tả một dòng sản phẩm Windows nó hoàn toàn khác với sự mô tả Windows 2003, Windows 2000 hay Windows XP.
PP mô tả hợp lý về các mối đe dọa cần được xác định trước và dự tính phương pháp sử dụng SPATCNTT. Trong khi xây dựng Hồ sơ bảo vệ, việc thêm vào các thuộc tính an toàn phải được cân nhắc kỹ giữa yêu cầu chức năng an toàn và đảm bảo an toàn.
PP ST1 ST2 ST3 TOE1 TOE2 TOE3
Tác giả của PP: tất cả những ai có nhu cầu cần SPATCNTT, như: khách hàng. Đánh giá PP: đánh giá xem liệu PP viết ra là đầy đủ, chắc chắn về mặt kỹ thuật hay chưa. Từ đấy làm cơ sở phát triển khung cho Đích an toàn ST.
b. Đích an toàn (ST – Security Target):
Là tổ hợp hoàn chỉnh của những mục tiêu an toàn, những yêu cầu chức năng an toàn và đảm bảo an toàn, những thuyết minh an toàn được sử dụng làm cơ sở đánh giá nhận dạng TOE.
Là những thi hành đáp lại những yêu cầu đòi hỏi về an toàn trong PP. Việc thi hành hoàn toàn phụ thuộc vào cài đặt và vận hành SPATCNTT cụ thể. Ví dụ: ST của Windows 2003 phụ thuộc vào các dạng thuộc tính an toàn Windows 2003. Cung cấp việc thiết kế hợp nhất những đặc tính, những hàm, những cơ chế an toàn để chống lại những đe dọa, đáp ứng những yêu cầu đòi hỏi trong PP.
ST đi phân tích những yêu cầu an toàn trong PP, hướng PP đến sản phẩm cụ thể là TOE. Dùng để trả lời câu hỏi:
- Bạn cung cấp một giải pháp an toàn như thế nào để đáp ứng những yêu cầu an toàn trong PP?
- Tác giả ST là ai?: Là nhà phát triển.
- Đánh giá ST: tức là đánh giá liệu sự đảm bảo an toàn tồn tại trong TOE có tuân theo chính sách an toàn đích đánh giá TSP (TOE Security Policy). Khảo sát những chức năng an toàn, có đầy đủ và hợp lý không. Kết quả của đánh giá ST là việc đưa ra những mô tả về phạm vi TOE chấp nhận tuân theo những yêu cầu an toàn.
Mối quan hệ giữa PP, ST, TOE:
Hình 2. 2: Mối quan hệ PP, ST và TOE
Qua mô hình cho ta thấy rất rõ một PP chứa nhiều ST và mỗi ST tương ứng với một TOE. Từ tổng quát không hình thức, CC đã xây dựng nên PP một cách tổng quát, ST đi vào phân tích PP, hướng PP tới SPATCNTT cụ thể là TOE. TOE được tạo ra trên cơ sở sự phân tích an toàn trong ST. Vậy để có SPATCNTT tốt thì khách hàng cần có một PP đầy đủ những yêu cầu an toàn, Nhà phân tích viết ST phải phân tích đầy
đủ yêu cầu an toàn và có thể bổ sung thêm yêu cầu an toàn nếu thấy cần thiết, hướng những yêu cầu này thành những câu lệnh, quy tắc để người xây dựng TOE thực hiện.
Người đánh giá sẽ có trách nhiệm đánh giá, kiểm định những yêu cầu an toàn đó có đầy đủ, chắc chắn, cài đặt, thi hành và xem PP. ST, TOE có tuân thủ TSP đến mức nào.
Kết luận: Như vậy một SPATCNTT khi được đánh giá sẽ dùng hình thức đánh giá là:
dùng tiêu chí CC và phương pháp luận CEM để đánh giá PP/ST và sau đó đưa TOE vào phòng thí nghiệm để kiểm định cho ra kết quả đánh giá, kết quả đánh giá được cơ quan cấp thẩm quyền sử dụng làm bằng chứng cấp chứng chỉ. Đánh giá SPATCNTT phụ thuộc rất nhiều vào việc chọn Tiêu chuẩn đánh giá và Phương pháp luận đánh giá. Việc đánh giá, kiểm định và chứng nhận SPATCNTT nằm ở hai cơ quan tách bạch và gồm 4 khâu cơ bản: (1) đánh giá Hồ sơ bảo vệ PP; (2) đánh giá Đích an toàn ST; (3) đưa Đích đánh giá TOE vào kiểm định trong phòng thí nghiệm; (4) cấp chứng chỉ công nhận. Đồng thời, từ mô hình trên ta thấy mức độ tinh tế của CC, nó phân tích SPATCNTT theo thuật toán chia để trị. CC phân tích sản phẩm theo hướng (Top - Down) từ PP đến TOE. Đây là kiểu phân tích truyền thống được CC áp dụng triệt để.
2.1.1.4. Những chính sách an toàn tổ chức, Những đe dọa, Những giả định, Môi trường đánh giá.
a. Chính sách an toàn có tổ chức:
Là tập các thiết lập, quy tắc thủ tục, thi hành và những nguyên tắc chỉ đạo để chống lại những đe dọa. Là những hành động, thao tác mà bắt buộc TOE tuân theo TSP.
b. Những đe dọa: (adsbygoogle = window.adsbygoogle || []).push({});
Là những đối tượng công khai hoặc tiềm ẩn có khả năng gây mất an toàn, tổn thương đến thông tin, bao gồm tất cả hoàn cảnh hoặc sự kiện gây ra thiệt hại một cách tiềm tàng tới SPATCNTT như: sự phá hủy, sự tiết lộ, sự chỉnh sửa dữ liệu hoặc từ chối dịch vụ. Đi sâu từng đe dọa ta sẽ có hiểm họa cụ thể đối với SPATCNTT. Các hiểm họa được chia làm ba chủng loại: (1) hiểm họa đe dọa đến tính bí mật của thông tin, (2) hiểm họa đe dọa đến tính toàn vẹn của thông tin, (3) hiểm họa đe dọa đến khả năng chối bỏ dịch vụ hay tổng quát hơn là tính sẵn sàng.
c. Những giả định:
Là những đe dọa tiềm ẩn hoặc công khai dựa vào môi trường để nâng lên thành mức giả định hay ở mức đe dọa cao nhất, có thể hiểu sự giả định về an toàn SPATCNTT giúp nhà phân tích đưa ra giải pháp an toàn tối ưu cho SPATCNTT.
2.1.1.5. Môi trường an toàn và sự khắc phục những đe dọa tới môi trường.
Gồm môi trường phát triển và môi trường sử dụng. Trong môi trường phát triển và sử dụng chúng ta phân chúng làm 2 loại đó là môi trường CNTT và phi CNTT:
Môi trường CNTT: Là môi trường đặt TOE vào hoạt động trong môi trường CNTT hay sản phẩm CNTT ảnh hưởng đến TOE.
Môi trường phi CNTT: Bao gồm lĩnh vực môi trường tự nhiên như: địa lý, kinh tế, chính trị, bao gồm: điều kiện tự nhiên phù hợp để phát triển CNTT, hành lang pháp lý, các Tiêu chuẩn đánh giá (TCSEC, CC …), các quy tắc để phát triển sản phẩm an toàn, kỹ thuật sáng chế …
Khắc phục những đe dọa tới môi trường: Nhà phát triển và nhà đánh giá hướng người sử dụng SPATCNTT theo tài liệu hướng dẫn để SPATCNTT của họ đạt mức cao nhất, đảm bảo SPATCNTT của họ tránh được tác nhân đe dọa từ người dùng. Còn tác nhân đe dọa tiềm ẩn do cố tình hoặc vô ý là những rủi ro tồn tại trong sản phẩm. Ví dụ: thiếu sót của sản phẩm, lỗi do chính phần mềm lập trình hoặc nhà phát triển cố tình cài đặt mã ác ý vào trong sản phẩm. Tất cả các yếu tố này cần phải được khắc phục để có sản phẩm tốt hơn.
Hình 2. 3:Sơ đồ môi trường phát triển và sử dụng
2.1.1.6. Mục tiêu an toàn.
Như trên đã trình bày 3 định nghĩa chính sách an toàn, đe doạ và giả định. Từ đấy ta phân tích đưa ra những mục tiêu an toàn cho một SPATCNTT. Cũng chính là cơ sở khoa học viết nên PP/ST và TOE.
Hình 2. 4: Phân tích để đưa ra mục tiêu an toàn
Mô hình an toàn tổng thể của một SPATCNTT phụ thuộc vào các yếu tố sau:
Một là: Những đe dọa tiềm ẩn hoặc công khai trực tiếp trên sản phẩm (đây có thể là đe dọa vô hình hoặc vô ý của nhà phát triển SPATCNTT gây nên những thiếu sót của sản phẩm…).
Hai là: Những chính sách an toàn có tổ chức.
Ba là: Những giả định về an toàn.
Từ (1) những đe dọa kết hợp (2) chính sách an toàn (3) chúng ta đưa ra (4) mục tiêu an toàn cho TOE. Từ mục tiêu an toàn chúng ta đưa ra (6) yêu cầu an toàn. Yêu cầu an toàn đó phân ra làm hai yêu cầu, đó là (9) yêu cầu chức năng an toàn và (10) yêu cầu đảm bảo an toàn. Đây là đích cuối cùng mà sản phẩm bắt buộc tuân theo. Từ (1) những đe dọa, (2) những chính sách an toàn về kết hợp với giả định chúng ta đưa ra được (5) mục tiêu bao quanh SPATCNTT.
Như vậy CC đã cung cấp cho chúng ta khung khoa học đưa ra những yêu cầu an toàn tổng thể cho sản phẩm chúng ta cần thiết kế. Đó là yêu cầu chức năng an toàn, yêu cầu đảm bảo an toàn, yêu cầu an toàn môi trường CNTT và yêu cầu an toàn cho môi trường phi CNTT. Vậy để có SPATCNTT tốt thì tất cả các đe dọa phải được đưa
Đe dọa (1) Những chính sách an toàn có tổ chức (2) Những giả định (3) Những mục tiêu an toàn cho TOE
(4)
Những mục tiêu an toàn bao quanh sản phẩm
(5)
Những yêu cầu an toàn cho Môi trường
phi CNTT (8) Những yêu cầu an toàn
cho môi trường CNTT (7)
Những yêu cầu an toàn TOE
(6)
Đặt TOE vào yêu cầu chức năng an toàn
(9)
Những yêu cầu an toàn cho môi trường CNTT (adsbygoogle = window.adsbygoogle || []).push({});
Những yêu cầu chức năng an toàn Những yêu cầu đảm bảo an toàn Những yêu cầu mà PP/ST và TOE đáp ứng được EALs
ra đầy đủ, chính sách an toàn phải tốt và tất cả đe dọa công khai hoặc tiềm ẩn phải được nâng lên mức giả định.
2.1.1.7. Mức đảm bảo đánh giá EAL
Sau khi SPATCNTT được đánh giá thành công thì sẽ được xếp mức đảm bảo đánh giá. Hay mức đảm bảo đánh giá là tập hợp các thành phần chức năng an toàn và đảm bảo an toàn được kết hợp để thỏa mãn một tập con các mục tiêu an toàn xác định. Mức đảm bảo đánh giá được gán cho SPATCNTT sau quá trình đánh giá thành công. Qua mức đánh giá khách hàng có thể biết được SPACNTT có đáp ứng được yêu cầu đòi hỏi của họ không và sản phẩm đó an toàn đến mức nào.
Hình 2. 5: Mô hình đưa ra mức đánh giá
2.1.1.8. Định nghĩa Lớp, Thành phần, Phần tử, Gói.
CC đã xác định được cấu trúc của sản phẩm gồm PP, ST, TOE. Và phân các