保護輪廓

保護輪廓(Protection Profile,簡稱PP)是依照ISO/IEC 15408以及資訊技術安全評估共同準則(Common Criteria, CC)為產品認證時,需要提供的文件。保護輪廓是通用形式的安全目標(Security Target,ST),一般是由使用者或是使用者社群所建立,針對信息保障的安全需求,提供一份和實施方式無關的規格書。PP中會包括威脅、安全objectives、假設、安全機能需求(SFR)、安全保障需求(SAR)以及其原因。

PP針對特定種類的資訊系統產品,說明一般性的安全評估準則,以確認特定供應商的聲明是否有符合需求。PP一般也會標示由數字1到7組成的評估保障等級,說明在評估產品符合PP中所述的安全需求時,安全評估的深度以及嚴謹度(多半會反映在支持文件以及測試上)。

美國國家標準技術研究所(NIST)及美國國家安全局(NSA)已同意合作開發已驗證的美國政府PP。

目的

PP會針對一系列的系統或產品(稱為評估目標,TOE),嚴謹的說明對應的安全問題,也說明要解決這個問題所需的安全需求,但不會具體說明需求實現的方式。PP也可能繼承一個或多個PP的需求。

為了讓產品可以依照Common Criteria評估並且取得認證,產品供應需要定義產品的安全目標(ST)文件,其中會符合一個或多個PP的內容。因此PP可以視為是產品ST的樣版。

問題點

資訊技術安全評估共同準則中有以數字表示的EAL,對不熟悉準則的人而言,比較EAL是最簡單直覺的作法,但這容易造成誤導。若不瞭解評估用到的ST以及PP中的安全特性,EAL本身的數字是沒有意義的。技術上,要評估產品需要同時評估EAL以及功能需求。不過很不幸的,要確認PP中的安全特性是否符合應用所需,這需要非常強的IT安全知識。評估產品是一回事,這和決定某產品的CC評估是否符合特定應用,是完全不同的。目前還不清楚有哪些值得信賴的機構具有針對Common Criteria已評估產品,評估其系統應用性的深度IT安全知識。

這類評估的問題其實早就出現。約在幾十年前,有一個大型的研究計劃,要定義可以保護資訊的軟體特性,評估其強度,並且將安全特性對應到特定的作業環境風險,當時就已提出類似的問題。結果記錄在《Rainbow Series英语Rainbow Series》中。其中的橘皮書沒有用類似EAL和功能需求分開標示的作法,採用一個較早期的作法,將功能保護能力以及適當的保障需求放在同一個分類裡,以此方式定義了七個分類。而黃皮書定義一個安全環境以及對應風險的矩陣,接著準確的說明在橘皮書的各個分類裡,哪一種安全環境會有效。此作法為非專業人士判斷某一產品是否適合特定應用,提供明確的作法。後來沒有這種應用技術,算是用Common Criteria取代橘皮書的非預期結果英语Unintended consequences

有PP的安全設備

已驗證,美國政府的PP

  • 防毒軟體[1](日落期限:2011.06.01)
  • 金鑰回復(Key Recovery)
  • 憑證認證(Certification Authorities)[2]
  • Tokens
  • 資料庫管理系統
  • 防火牆
  • 作業系統
  • 主機型入侵檢測系統(IDS/h)

已驗證,非美國政府的PP

  • 智慧卡
  • 遠端電子投票系統[3]
  • 可信系統環境[4]

參考資料

  1. ^ Anti-Virus. [2023-11-02]. (原始内容存档于2023-11-02). 
  2. ^ Certification Authorities. [2023-11-02]. (原始内容存档于2023-11-02). 
  3. ^ M. Volkamer. Evaluation of Electronic Voting (Chapter 8). Springer. 2009. ISBN 978-3-642-01661-5. (原始内容存档于2013-02-03). 
  4. ^ https://www.commoncriteriaportal.org/files/ppfiles/anssi-profil_PP-2014_01.pdf页面存档备份,存于互联网档案馆[裸網址]

外部連結