Διασφάλιση και Αξιολόγηση Διασφάλιση και Αξιολόγηση Ασφάλειας Ασφάλειας

Συστημάτων και ΠροϊόντωνΣυστημάτων και Προϊόντων

Σωκράτης Κάτσικας

2

Θέματα συζήτησης

Βασικά χαρακτηριστικά Διασφάλισης (assurance) και Αξιολόγησης (evaluation)

Σκοπός, ζητήματα και μέθοδοι διασφάλισης

Διασφάλιση έργου Στόχοι, σκοποί, μέθοδοι και κριτήρια

αξιολόγησης Καταγραφή των πιο αξιόλογων

μεθοδολογιών αξιολόγησης

3

Εισαγωγικές παρατηρήσεις

Σε περιβάλλον όπου μελετάται η ασφάλεια ενός συστήματος ή ενός προϊόντος:

Η διασφάλιση πηγάζει από την ανάγκη διαβεβαίωσης ότι το σύστημα ή το προϊόν δεν περιλαμβάνει σφάλματα

Η αξιολόγηση με βάση ένα σύνολο αποδεκτών κανόνων, περιλαμβάνει την ύπαρξη μιας καλά ορισμένης διαδικασίας, η οποία μπορεί να οδηγήσει στο συμπέρασμα κατά πόσο το σύστημα ή το προϊόν είναι πράγματι ασφαλές

Είναι εμφανές ότι: Αν η προσπάθεια διασφάλισης ενός συστήματος ή ενός προϊόντος

αποτελεί μία δύσκολη διαδικασία, η αξιολόγηση είναι περισσότερο πολύπλοκη

Αφενός καμία μέθοδος διασφάλισης δεν μπορεί να παράγει ένα προϊόν που δε θα περιέχει σφάλματα, αφετέρου κανένα σύνολο κανόνων δεν μπορεί να αξιολογήσει και να αναδείξει ένα προϊόν ως απολύτως ασφαλές

4

Διασφάλιση (assurance)«Διασφάλιση είναι η κατ’ αρχήν εκτίμησή μας για την πιθανότητα «Διασφάλιση είναι η κατ’ αρχήν εκτίμησή μας για την πιθανότητα που έχει ένα σύστημα να μην αποτύχει με κάποιο συγκεκριμένο που έχει ένα σύστημα να μην αποτύχει με κάποιο συγκεκριμένο τρόπο»τρόπο»

Η εκτίμηση αυτή μπορεί να βασίζεται σε διάφορους παράγοντες, όπως:

Στις διαδικασίες που ακολουθήθηκαν κατά την υλοποίηση του συστήματος

Στην τεχνογνωσία και τις δυνατότητες της ομάδας ανάπτυξης. Στη χρήση αυστηρά τυποποιημένων μεθόδων κατά την ανάπτυξη

του συστήματος Στην αξιοποίηση συγκεκριμένων τεχνικών ελέγχου, αλλά και

διαδικασιών της αποτελεσματικότητας των τεχνικών ελέγχων

5

Σκοπός της Διασφάλισης«Σκοπός της διαδικασίας της διασφάλισης είναι να αποφευχθεί η «Σκοπός της διαδικασίας της διασφάλισης είναι να αποφευχθεί η ύπαρξη σφαλμάτων, με την ανίχνευσή τους είτε κατά τη φάση ύπαρξη σφαλμάτων, με την ανίχνευσή τους είτε κατά τη φάση σχεδίασης, είτε κατά τη διαδικασία ελέγχου και οπωσδήποτε πριν τη σχεδίασης, είτε κατά τη διαδικασία ελέγχου και οπωσδήποτε πριν τη διάθεση του συστήματος ή του προϊόντος στους τελικούς χρήστες»διάθεση του συστήματος ή του προϊόντος στους τελικούς χρήστες»

Σφάλματα υλοποίησης

– Εύκολη αντιμετώπιση– Απαίτηση επιπλέον, αλλά μικρού κόστους

Σχεδιαστικά σφάλματα– Επανασχεδιασμός του συστήματος ή του προϊόντος– Αλματώδης αύξηση του συνολικού κόστους ανάπτυξης

Ο σκοπός είναι:– Η εξάλειψη των σχεδιαστικών σφαλμάτων στα πρώτα στάδια

σχεδίασης και πριν τη χρήση του συστήματος ή του προϊόντος– Ο περιορισμός κατά το δυνατόν των σφαλμάτων υλοποίησης,

γνωρίζοντας εκ των προτέρων ότι κάποια από αυτά θα παραμείνουν στο σύστημα ή στο προϊόν το οποίο θα παραδοθεί σε χρήση

6

Βασικά χαρακτηριστικά συστημάτων και προϊόντων

Λειτουργικότητα (functionality)

Ισχύς των μηχανισμών (strength of mechanisms)

Υλοποίηση (implementation)

Ευχρηστία (usability)

Ζητήματα Διασφάλισης

7

Ζητήματα Διασφάλισης: Λειτουργικότητα

Εξαιρετικά σημαντική παράμετρος Δεν απολαμβάνει ανάλογης σημασίας Ανάπτυξη δομών για προστασία εσφαλμένων

πόρων Ανάπτυξη δομών ορθών πόρων με εσφαλμένο

τρόπο Αξιοποίηση μοντέλου Bell-LaPadula Ενδέχεται να οδηγηθούμε στη δημιουργία

περισσοτέρων προβλημάτων από όσα στοχεύουμε να επιλύσουμε

8

Αποτελεί το πιο γνωστό χαρακτηριστικό Τυγχάνει ιδιαίτερης προβολής Ανεξάρτητη από τη λειτουργικότητα, με

κάποιες εξαιρέσεις όπου αλληλεπιδρά με αυτήν

Ζητήματα Διασφάλισης: Ισχύς μηχανισμών

9

Ζητήματα Διασφάλισης: Υλοποίηση

Βασικός τομέας όπου εστιάζεται η προσπάθεια για διασφάλιση

Θεωρώντας ως δεδομένα:- Τη λειτουργικότητα του συστήματος- Την ισχύ των μηχανισμών

Η υλοποίηση του συστήματος ή του προϊόντος:- Είναι ορθή;- Έγινε με τρόπο που δε δημιουργεί προβλήματα;

Οι περισσότερες δυσλειτουργίες οφείλονται σε προγραμματιστικά σφάλματα

Τα σφάλματα υλοποίησης δεσμεύουν το μεγαλύτερο μέρος της προσπάθειας διασφάλισης συστημάτων και προϊόντων

10

Ζητήματα Διασφάλισης: Ευχρηστία

Αποτελεί τον αδύναμο κρίκο Σημαντική συνιστώσα αποτελεί η ανθρώπινη

διεπαφή Δε δίνεται η απαραίτητη προσοχή στις αδυναμίες

που προκύπτουν από τον ανθρώπινο παράγοντα

11

Διασφάλιση: Εταιρείες και Χρήστες – Δύο οπτικές

Η πλευρά του χρήστη:– Απλή λειτουργικότητα– Υψηλή ισχύς μηχανισμών– Μέσο επίπεδο διασφάλισης κατά την υλοποίηση– Υψηλό επίπεδο ευχρηστίας

Η πλευρά των εταιρειών:– Υψηλή λειτουργικότητα– Χαμηλή ισχύς μηχανισμών– Χαμηλό επίπεδο διασφάλισης κατά την υλοποίηση– Χαμηλό επίπεδο ευχρηστίας

12

Μέθοδοι Διασφάλισης

Διασφάλιση έργου Διασφάλιση διαδικασιών Ενδεχόμενη δραστηριοποίηση σε ενέργειες

συνεχιζόμενης διασφάλισης

13

Διασφάλιση έργου

Έλεγχος Ασφάλειας (Security Testing) Αυστηρά Τυποποιημένες Μέθοδοι

(Formal Methods) Έλεγχος των Ελέγχων

14

Διασφάλιση έργου: Έλεγχος Ασφάλειας

Κλασική προσέγγιση στο θέμα διασφάλισης ενός έργου (project assurance)

Μελέτη της τεκμηρίωσης του συστήματος ή του προϊόντος

Επανεξέταση του κώδικα

Διενέργεια ενός συνόλου ελέγχων

Στάδια της διαδικασίας

– Έλεγχος για αποκάλυψη «προφανών» σφαλμάτων

– Μελέτη για την παρουσία κλασικών τύπων σφαλμάτων

– Ύπαρξη λιγότερο συνηθισμένων προβλημάτων

Δομημένη διαδικασία με βάση τις απαιτήσεις ενός συγκεκριμένου περιβάλλοντος αξιολόγησης

15

Διασφάλιση έργου: Αυστηρά Τυποποιημένες Μέθοδοι (Formal Methods)

Διδάσκονται λεπτομερώς σε ακαδημαϊκά περιβάλλοντα

Βελτίωση της ασφάλειας στον τομέα των κρυπτογραφικών πρωτοκόλλων

Απαραίτητες κυρίως σε στρατιωτικές εφαρμογές

Βοηθούν στον έλεγχο της αρτιότητας των αποτελεσμάτων σε σχετικά απλές συσκευές και προγράμματα

16

Ύπαρξη σφαλμάτων από τους υπεύθυνους ελέγχου ή τους συντάκτες λιστών

Σκόπιμη εισαγωγή σφαλμάτων, με σκοπό τη μέτρηση του ποσοστού αυτών που θα ανιχνευθούν στη διαδικασία ελέγχου

Η ικανοποιητική προσέγγιση επιτυγχάνεται με την:

– Εισαγωγή σφαλμάτων με προσοχή

– Κατανομή των σφαλμάτων σε όλο το εύρος του συστήματος

Διασφάλιση έργου: Έλεγχος των Ελέγχων

17

Διασφάλιση Διαδικασιών Διαδικασία όπου δίνεται μεγαλύτερη έμφαση

Η παραγωγή κώδικα και λογισμικού από τους προγραμματιστές και τις εταιρείες, διαφοροποιούνται σε αριθμό σφαλμάτων και αξιοπιστίας, αντίστοιχα

Εξειδίκευση και αποδοτικότητα, μέσω του μοντέλου καταρράκτη (waterfall model)

Διόρθωση κώδικα από εκείνον που τον αναπτύσσει

Πλαίσιο κανόνων, με σκοπό τη διασφάλιση (CMM), που αποτελείται από πέντε επίπεδα:

– Αρχικό (Initial)

– Επαναλαμβανόμενο (Repeatable)

– Καθορισμένο (Defined)

– Ελεγχόμενο (Managed)

– Βελτιστοποιούμενο (Optimizing)

18

Κοινά χαρακτηριστικά με τη συγγραφή κώδικα

Για την ανακάλυψη ενός σφάλματος σε ένα σύστημα, το μοντέλο αναπαράστασης είναι η κατανομή Poisson : p = e-Et , όπου p η πιθανότητα να μη βρεθεί σφάλμα μετά από t τυχαίους ελέγχους, ενώ το E εξαρτάται από το ποσοστό των πιθανών εισόδων που επηρεάζει

Η πιθανότητα ο t-στος έλεγχος να αποτύχει είναι ανάλογη του k/t. Επομένως, ο MTBF είναι ανάλογος του t/k.

Κατά συνέπεια, το σύστημα πρέπει να ελέγχεται για χρόνο τουλάχιστον ίσο με τον MTBF.

Ενέργειες Συνεχιζόμενης Διασφάλισης

19

Αξιολόγηση

«Αξιολόγηση θεωρείται η διαδικασία συλλογής «Αξιολόγηση θεωρείται η διαδικασία συλλογής αποδείξεων διασφάλισης, η ανάλυση, καθώς και η αποδείξεων διασφάλισης, η ανάλυση, καθώς και η αντιπαραβολή τους με τεθέντα κριτήρια για την αντιπαραβολή τους με τεθέντα κριτήρια για την επίτευξη λειτουργικότητας και ασφάλειας»επίτευξη λειτουργικότητας και ασφάλειας»

Διεξάγεται από ανεξάρτητο φορέα Έχουν προταθεί διαφορετικά σύνολα κανόνων Βασικό πρότυπο TCSEC Βασικά χαρακτηριστικά αξιολόγησης:

– Στόχοι– Σκοποί και μέθοδοι– Δομή κριτηρίων αξιολόγησης– Συστήματα αξιολόγησης

20

Στόχοι της Αξιολόγησης

Πριν μελετηθούν οι σκοποί και οι μέθοδοι της αξιολόγησης πρέπει αρχικά να καταγραφεί το αντικείμενο – στόχος της αξιολόγησης (target of the evaluation – TOE)

Προϊόντα (products), τα οποία μπορούν να αξιοποιηθούν σε ποικιλία εφαρμογών και γι’ αυτό πρέπει να ικανοποιούν γενικές απαιτήσεις ασφάλειας

Συστήματα (systems), τα οποία έχουν επιλεγεί για να ικανοποιήσουν ανάγκες ασφάλειας σε συγκεκριμένο περιβάλλον εφαρμογής

21

Σκοποί και Μέθοδοι της Αξιολόγησης

Κατά το TCSEC:– Αξιολόγηση (evaluation) θεωρείται η διαδικασία

αποτίμησης κατά πόσο ένα αξιολογημένο προϊόν είναι κατάλληλο για μία συγκεκριμένη εφαρμογή

– Διαπίστευση (certification) θεωρείται η διαδικασία λήψης απόφασης κατά πόσο ένα ήδη πιστοποιημένο προϊόν μπορεί να χρησιμοποιηθεί σε μία συγκεκριμένη εφαρμογή

Οι επιλεγείσες μέθοδοι αξιολόγησης, θα πρέπει να ικανοποιούν απαιτήσεις όπως:– Επαναληψιμότητα (repeatability)– Επαναπαραγωγής (reproducibility)

22

Δομή Κριτηρίων Αξιολόγησης

Η αξιολόγηση της ασφάλειας αποσκοπεί στην παροχή της διαβεβαίωσης ότι ένα προϊόν ή σύστημα είναι ασφαλές Σχετικές ιδιότητες είναι:– Λειτουργικότητα (functionality)– Αποδοτικότητα (effectiveness)– Διασφάλιση (assurance)

Οι τρεις παραπάνω ιδιότητες αντιμετωπίζονται διαφορετικά, ανάλογα με τα πρότυπα (TCSEC, ITSEC)

23

Συστήματα Αξιολόγησης

Κυβερνητικές και στρατιωτικές υπηρεσίες των ΗΠΑ– Θέματα ασφάλειας υπολογιστικών συστημάτων– Πρώτες μεθοδολογίες αξιολόγησης ασφάλειας

Οι μεθοδολογίες αξιολόγησης έχουν απαιτήσεις:– Λειτουργικότητας (functionality requirements)– Διασφάλισης (assurance requirements)– Επίπεδα εμπιστοσύνης (levels of trust)

24

TCSEC - Τrusted Computer System Evaluation Criteria - Orange Book

Γενικά για το TCSEC Απαιτήσεις λειτουργικότητας Απαιτήσεις διασφάλισης Επίπεδα και κλάσεις αξιολόγησης Διαδικασία αξιολόγησης Περιορισμοί και προβλήματα του TCSEC

25

Γενικά για το TCSEC

Αναπτύχθηκε το 1983 στις ΗΠΑ και ίσχυσε έως το τέλος του 1999

Υπάρχουν έξι κλάσεις ασφάλειας(C1, C2, B1, B2, B3, A1), χωρισμένες σε τέσσερα επίπεδα (D, C, B, A)

Επηρεασμένο από το μοντέλο Bell-LaPadula Δεν ασχολείται με ζητήματα διαθεσιμότητας

26

TCSEC: Απαιτήσεις Λειτουργικότητας

Απαιτήσεις διακριτού ελέγχου προσπέλασης Απαιτήσεις επαναχρησιμοποίησης αντικειμένων Απαιτήσεις υποχρεωτικού ελέγχου προσπέλασης Απαιτήσεις ετικετών Απαιτήσεις ταυτοποίησης και αυθεντικοποίησης Απαιτήσεις έμπιστης διαδρομής Απαιτήσεις εποπτείας

Απαιτήσεις έμπιστης διαχείρισης ευκολιών Απαιτήσεις έμπιστης διαδικασίας επαναφοράς Απαιτήσεις ακεραιότητας του συστήματος

27

TCSEC: Απαιτήσεις Διασφάλισης

Απαιτήσεις διαχείρισης διαμόρφωσης Απαιτήσεις κατανομής εμπιστοσύνης Απαιτήσεις αρχιτεκτονικής συστήματος Απαιτήσεις προδιαγραφών σχεδίασης και

επαλήθευσης Απαιτήσεις ελέγχων Απαιτήσεις τεκμηρίωσης προϊόντων

28

TCSEC: Επίπεδα και Κλάσεις Αξιολόγησης 1(2)

D (καμία προστασία)Το προϊόν δεν κατάφερε να ανταποκριθεί στις απαιτήσεις κάποιας κλάσης

C1 (Discretionary Protection)Ελάχιστη προστασία, πληροί τις απαιτήσεις για Discretionary Access Control και Identification and Authentication

C2 (Control Access Protection)Είναι η πιο συνηθισμένη κλάση για εμπορικά προϊόντα και περιλαμβάνει ότι και το C1 και επιπλέον Object Reuse και Auditing

B1 (Labeled Security Protection)Περιλαμβάνει ότι και το C2 και επιπλέον Mandatory Access Control και Label για ένα περιορισμένο σύνολο αντικειμένων. Παράλληλα, υπάρχουν αυστηρότερες απαιτήσεις έλεγχου, ενώ απαιτείται και ανεπίσημη πολιτική ασφάλειας συνεπής ως προς τα αξιώματά της

29

B2 (Structured Protection)Περιλαμβάνει ότι και το Β1 και επιπλέον πλήρη Mandatory Access Control και Label. Ως νέες απαιτήσεις περιλαμβάνονται τα Trusted path, η συνέπεια με την αρχή των ελαχίστων δικαιωμάτων, μία πολιτική ασφάλειας που υπακούει σε αυστηρά τυποποιημένο μοντέλο που αποδεικνύει τη συνέπειά της καθώς και Descriptive Top Level Specification

B3 (Security Domains)Περιλαμβάνει ότι και το Β2 και επιπλέον απαιτεί περιορισμούς από τον πηγαίο κώδικα σχετικά με τη δομή, την πολυπλοκότητα και το μέγεθος. Επίσης το προϊόν πρέπει να υπόκειται σε πιο απαιτητικούς και αυστηρούς ελέγχους

A1 (Verified Protection)Από λειτουργικής άποψης είναι όμοια με την κλάση Β3, με σημαντική όμως διαφορά τη γενικότερη απαίτηση διασφάλισης με χρήση αυστηρά τυποποιημένων μεθόδων και τη συμμόρφωση με απαιτήσεις κατανομής εμπιστοσύνης, ελέγχων και τεκμηρίωσης προϊόντων

TCSEC: Επίπεδα και Κλάσεις Αξιολόγησης 2(2)

30

TCSEC: Η Διαδικασία της Αξιολόγησης

Φάσεις αξιολόγησης– Αίτηση

– Προκαταρκτική τεχνική επισκόπηση

– Κυρίως αξιολόγηση

Διατήρηση των βαθμίδων που είχαν τα προϊόντα μετά την αξιολόγησή τους και στις επόμενες εκδόσεις τους, μέσω της ένταξης αυτών στο πρόγραμμα διατήρησης βαθμίδας (RMP)

31

TCSEC: Περιορισμοί και Προβλήματα Αποτελούσε μεθοδολογία αρχικά σχεδιασμένη

για την αξιολόγηση λειτουργικών συστημάτων Επικεντρωνόταν στις ανάγκες ασφάλειας των

υπηρεσιών και του στρατού των ΗΠΑ Δε λαμβάνει υπόψη του καθόλου θέματα

ακεραιότητας ή διαθεσιμότητας Σημαντικότερα προβλήματα:

– Η βραδεία αλλά ουσιαστική τροποποίηση των κριτηρίων αξιολόγησης, προϊόντος του χρόνου.

– Η καθυστέρηση που παρουσιαζόταν για την ολοκλήρωση της διαδικασίας αξιολόγησης

32

TNI – Trusted Network Interpretation – Red Book

Γενικά για το TNI TNI – Μέρος Ι TNI – Μέρος ΙΙ Επίπεδα και Κλάσεις Αξιολόγησης Περιορισμοί και Προβλήματα του TNI

33

Γενικά για το TNI

Αποτελεί ένα σύστημα αξιολόγησης ασφάλειας δικτύων Αξιοποιεί και γενικεύει την προσέγγιση και την ορολογία

του TCSEC Διακρίνει τα δίκτυα σε:

– Διαπιστευμένα συνδεδεμένα αυτοματοποιημένα πληροφοριακά συστήματα

– Συστήματα μοναδικής εμπιστοσύνης Για την αντιμετώπιση των προβλημάτων, χωρίζεται σε

δύο μέρη:– Γενίκευση και ερμηνεία του TCSEC για περιβάλλον δικτύου– Λοιπές υπηρεσίες ασφάλειας

34

ΤΝΙ – Μέρος Ι

Οντότητες που είναι υπεύθυνες να θέτουν και εφαρμόζουν την πολιτική ασφάλειας:– Χρήστες– Πάροχοι υπηρεσιών– Διαχειριστές συστημάτων

Οι πολιτικές ασφάλειας ασχολούνται με θέματα:– Μυστικότητας (secrecy)– Ακεραιότητας (integrity)

Discretionary Access Control (DAC) Mandatory Access Control (MAC)

35

ΤΝΙ – Μέρος ΙI

Υπηρεσίες ασφάλειας που δεν υπάρχουν στο TCSEC, αλλά κρίνονται απαραίτητες σε περιβάλλοντα δικτύων

Κριτήρια:– Λειτουργικότητα (functionality)– Ισχύς (strength)– Διασφάλιση (assurance)

Βαθμοί επάρκειας υπηρεσιών:– Καμία διασφάλιση (none)– Ελάχιστη διασφάλιση (minimum – κλάση C1)– Ικανοποιητική διασφάλιση (fair – κλάση C2)– Καλή διασφάλιση (good – κλάση B2)– Μη διαθέσιμη – παρούσα (not offered – present)

36

TNI: Επίπεδα και Κλάσεις Αξιολόγησης

Οι κλάσεις του TNI καλύπτουν τυπικές απαιτήσεις ασφάλειας

Κλάση C– Καλύπτει περιβάλλοντα συνεργαζόμενων χρηστών– Δεν υπάρχουν σημαντικές απαιτήσεις ασφάλειας

Multi-level Security σύστημα– Ανάπτυξη σε περιβάλλοντα δικτύου– Αποτελείται από αυτοτελή συστατικά στοιχεία ενός επιπέδου– Δημιουργία μιας νέας κλάσης C2+ όπου τα συστατικά στοιχεία

θα πρέπει να παρέχουν DAC και υπηρεσία συναγερμού σε πραγματικό χρόνο (audit time alarm) και να μην παρέχουν MAC

37

TNI: Περιορισμοί και Προβλήματα

Κλήθηκε να αντιμετωπίσει ζητήματα που δεν απαντώνται στο TCSEC, με συνέπεια τη δημιουργία του TNI – Μέρος ΙΙ

Προέκυψαν προβλήματα από τη διττή φύση του TNI

Εξετάζει την ασφάλεια μόνο σε ένα είδος δικτύων, που συναντάται ολοένα και λιγότερο

Προσπαθεί να ανταγωνιστεί σαφώς πληρέστερες μεθοδολογίες (ISO)

38

CTCPEC – Canadian Trusted Computer Product Evaluation Criteria

Δημοσιεύτηκε το 1989 από την κυβέρνηση του Καναδά και βασιζόταν ιδιαίτερα στο TCSEC

Γίνεται διαχωρισμός μεταξύ λειτουργικών απαιτήσεων και απαιτήσεων διασφάλισης

Συνολικός κατάλογος απαιτήσεων διασφάλισης χωρισμένων σε κατηγορίες

Σχέδια προστασίας Νέες απαιτήσεις λειτουργικότητας

– Ακεραιότητα– Διαθεσιμότητα

Νέες απαιτήσεις διασφάλισης– Περιβάλλον ανάπτυξης

39

ITSEC – Information Technology System Evaluation Criteria

Γενικά για το ITSEC Απαιτήσεις Διασφάλισης Διαφορές μεταξύ ITSEC και TCSEC Επίπεδα και Κλάσεις Αξιολόγησης Η Διαδικασία αξιολόγησης του ITSEC Περιορισμοί και Προβλήματα του ITSEC

40

Γενικά για το ITSEC

Δημοσιεύτηκε το 1991, μετά από προσπάθεια δημιουργίας ενός κοινού Ευρωπαϊκού προτύπου αξιολόγησης ασφάλειας συστημάτων και προϊόντων

Το 1995 έγινε αποδεκτό από την Ευρωπαϊκή Ένωση Περιλαμβάνει 6+1 Επίπεδα Εμπιστοσύνης: (Ε1, Ε2, Ε3,

Ε4, Ε5, Ε6, E0) Πιστοποιημένο προϊόν ή σύστημα μετά τη λήψη σχετικής

πιστοποίησης Στόχος της Αξιολόγησης (Target of Evaluation – TOE) Ορισμός και άλλων συγκεκριμένων κλάσεων

λειτουργικότητας

41

ITSEC: Απαιτήσεις Διασφάλισης

Απαιτήσεις παρόμοιες με αυτές του TCSEC Προσέγγιση των θεμάτων διασφάλισης με βάση:

– Την ορθότητα (correctness)– Την αποτελεσματικότητα (effectiveness)

Οι Απαιτήσεις αποτελεσματικότητας είναι έξι με σημαντικότερες τις:– Καταλληλότητα των απαιτήσεων (suitability of

requirements)– Συσχετισμός των απαιτήσεων (binding of

requirements)

42

Διαφορές μεταξύ ITSEC και TCSEC Κάποιες από τις απαιτήσεις συστήματος στο TCSEC, δεν

περιλαμβάνονται στο ITSEC ως απαιτήσεις διασφάλισης Το TCSEC απαιτούσε αυστηρά τυποποιημένες τεχνικές για τις

προδιαγραφές σχεδίασης και την επαλήθευση στην κλάση Α1 Το ITSEC απαιτούσε μόνο την αντιστοίχηση μεταξύ του

υψηλότερου επιπέδου προδιαγραφών με τον κώδικα Επιπλέον το ITSEC έθετε απαιτήσεις σε γλώσσες προγραμματισμού

και μεταγλωττιστές Οι απαιτήσεις αποτελεσματικότητας του ITSEC προέτρεπαν στη

σύνταξη αρκετών αναλύσεων σημείων ευπάθειας:– Ανάλυση ευπαθειών σχεδιασμού– Ανάλυση ευχρηστίας– Ανάλυση γνωστών ευπαθειών– Απαίτηση για αποτελεσματικότητα της ισχύος των μηχανισμών

43

ITSEC: Επίπεδα και Κλάσεις Αξιολόγησης Επίπεδο Ε0: Περιλάμβανε ένα προϊόν ή ένα σύστημα το οποίο δεν πληρούσε τα

κριτήρια ενός επιπέδου

Επίπεδο Ε1: Απαιτούσε ένα στόχο ασφάλειας έναντι του οποίου θα γινόταν η αξιολόγηση του προϊόντος ή του συστήματος

Επίπεδο Ε2: Απαιτούσε επιπλέον μία μη τυποποιημένη περιγραφή του λεπτομερούς σχεδιασμού του συστήματος ή προϊόντος, καθώς και έλεγχο διαμόρφωσης και διαδικασία ελέγχου διανομής

Επίπεδο Ε3: Είχε περισσότερο αυστηρές απαιτήσεις όσον αφορά την περιγραφή του λεπτομερούς σχεδιασμού του ΤΟΕ

Επίπεδο Ε4: Απαιτούσε ένα τυποποιημένο μοντέλο πολιτικής ασφάλειας, μία αυστηρότερη προσέγγιση της αρχιτεκτονικής του TOE και μία ανάλυση ευπαθειών στο επίπεδο σχεδιασμού

Επίπεδο Ε5: Αναφερόταν στην ανάγκη ύπαρξης αντιστοιχίας μεταξύ πηγαίου κώδικα και λεπτομερούς σχεδιασμού

Επίπεδο Ε6: Απαιτούσε την εκτεταμένη εφαρμογή αυστηρά τυποποιημένων μεθόδων

44

Η Διαδικασία Αξιολόγησης ITSEC Ξεχωριστές διαδικασίες για κάθε συμμετέχουσα χώρα Όλες οι διαδικασίες ήταν παρόμοιες και ακολουθούσαν

καλά ορισμένες οδηγίες Διαδικασία αξιολόγησης για το Ηνωμένο Βασίλειο:

– Πιστοποιημένα και εξουσιοδοτημένα ιδιωτικά εργαστήρια αξιολόγησης

– Έναρξη αργά στον κύκλο ζωής του προϊόντος– Ολοκλήρωση αξιολόγησης σε μικρό χρονικό διάστημα– Πολύ καλά δομημένη– Έναρξη, με την αξιολόγηση του στόχου ασφάλειας– Αντιπαράθεση του ΤΟΕ με το στόχο ασφάλειας– Πιο αυστηρή απαίτηση τεκμηρίωσης, σε σχέση με το TCSEC– Πλαίσιο συντήρησης πιστοποίησης

45

Περιορισμοί και Προβλήματα του ITSEC Πιθανά λάθη κατά τον προσδιορισμό των λειτουργικών

απαιτήσεων Λιγότερο αυστηρή διαδικασία αξιολόγησης, σε σχέση με

το TCSEC Δεν αξιολογούσε αν ένας στόχος ασφάλειας ήταν

χρήσιμος Έλλειψη επιτροπής που θα έκρινε την απόφαση της

ομάδας αξιολόγησης ή την ποιότητα της ίδιας της αξιολόγησης

Διμελείς ομάδες αξιολόγησης Ανυπαρξία τεχνικού σώματος, αποτελούμενου από

εξειδικευμένους επιστήμονες ευρείας αποδοχής Δεν υπήρχε παραδοτέο της τελικής κρίσης

46

CISR – Commercial International Security Requirements

Γενικά για το CISR Απαιτήσεις του CISR Επιπτώσεις του CISR στην αξιολόγηση Συστημάτων

47

Γενικά για το CISR

Αναπτύχθηκε το 1991 από ιδιωτικούς φορείς των ΗΠΑ Προσπάθεια για τη δημιουργία ενός συνόλου κανόνων,

με σκοπό την αξιολόγηση συστημάτων, με έμφαση σε τομείς σημαντικούς για τις επιχειρήσεις

Πρωτοβουλία και ανάπτυξη του σχεδίου από την American Express και την EDS - Electronic Data Systems

Συνδυασμός στοιχείων του TCSEC και του Germany’s IT-Security Criteria

Ανάπτυξη μιας νέας κλάσης C2+ Ικανοποιητικό επίπεδο ασφάλειας για τις επιχειρήσεις

48

Απαιτήσεις του CISR

Απαιτήσεις διασφάλισης αντίστοιχες με εκείνες της κλάσης C2

Εγχειρίδιο του διαχειριστή Απαιτήσεις DAC Απαιτήσεις ταυτοποίησης και αυθεντικοποίησης Απαιτήσεις εποπτείας και ελέγχου

49

Επιπτώσεις του CISR στην Αξιολόγηση Συστημάτων

Δεν αναδείχτηκε σε μία σημαντική μεθοδολογία αξιολόγησης

Σημαντική προσφορά στη ραγδαία αύξηση της προσπάθειας για ανάπτυξη νέων και πιο αποτελεσματικών και αξιόπιστων μεθοδολογιών στις αρχές του 1990

Πίεση στην κυβέρνηση των ΗΠΑ Επιρροή στα Federal Criteria

50

FC – The Federal Criteria

Γενικά για τα Federal Criteria Απαιτήσεις των Federal Criteria Επιπτώσεις των Federal Criteria στην Αξιολόγηση

Συστημάτων

51

Γενικά για τα Federal Criteria

Αναπτύχθηκαν το 1992 από το NIST – National Institute of Standards and Technology και την NSA – National Security Agency

Προσπάθεια να ξεπεραστούν τα προβλήματα των TCSEC και ITSEC

Επηρεασμένα από το TCSEC σε γενικά τεχνικά θέματα Ακολουθούσε τη λογική του ITSEC στο διαχωρισμό των

λειτουργικών απαιτήσεων από τις απαιτήσεις διασφάλισης

Αξιολόγηση προϊόντων με βάση Σχέδια Προστασίας Προσπάθεια δημιουργίας FIPS – Federal Information

Processing Standards

52

Απαιτήσεις των Federal Criteria

Κατάλογος που περιλάμβανε:– Όλες τις λειτουργικές απαιτήσεις του TCSEC– Απαιτήσεις από το CISR– Νέες απαιτήσεις

Πολιτική διαθεσιμότητας– Απαιτήσεις κατανομής πόρων– Απαιτήσεις ανοχής σε σφάλματα

Απαιτήσεις διαχείρισης ασφάλειας Απαιτήσεις διασφάλισης Απαίτηση διαδικασίας κύκλου ζωής

53

Επιπτώσεις των Federal Criteria στην Αξιολόγηση Συστημάτων

Αξιολογημένα Σχέδια Προστασίας (Protection Profiles)– Προσδιορισμός προβλήματος

– Συνοπτική περιγραφή προβλήματος

– Απειλές

– Περιβάλλον λειτουργίας

Στόχος ασφάλειας, ανεξάρτητος από τα προϊόντα Μητρώο εγκεκριμένων Σχεδίων Προστασίας ΡΡ

54

FIPS-140 Federal Information Processing Standards

Γενικά για το FIPS-140 Απαιτήσεις του FIPS-140 Επίπεδα Αξιολόγησης του FIPS-140-2 Αποτελέσματα της Χρήσης του FIPS-140

55

Γενικά για το FIPS-140

To FIPS-140-1 Υιοθετήθηκε το 1994 από κυβερνητικές υπηρεσίες των ΗΠΑ και την CSE – Canadian Security Establishment

Αναθεωρήθηκε το 2001 σε FIPS-140-2 Προωθείται από τους φορείς NIST (ΗΠΑ) και CSE

(Καναδάς) Πρόγραμμα CMV – Cryptographic Module Validation Ενδεχόμενη συμμετοχή στο CMV από το Ηνωμένο

Βασίλειο

56

Απαιτήσεις του FIPS-140 1(2)

Τέσσερα επίπεδα αυξανόμενης ασφάλειας FIPS-140-1

– Βασικός σχεδιασμός και τεκμηρίωση– Ρόλοι– Υπηρεσίες συστήματος– Φυσική ασφάλεια– Ασφάλεια λογισμικού και λειτουργικού συστήματος– Διαχείριση κλειδιών– Κρυπτογραφικοί αλγόριθμοι– Ανοχή και συμβατότητα με ηλεκτρομαγνητικές

ακτινοβολίες– Χαρακτηριστικά αυτοελέγχου

57

Απαιτήσεις του FIPS-140 2(2)

FIPS-140-2– Ασφαλής σχεδιασμός και υλοποίηση

κρυπτογραφικών τμημάτων– Προδιαγραφές, θύρες και διεπαφές– Μοντέλο πεπερασμένων καταστάσεων– Αυθεντικοποίηση– Διασφάλιση του σχεδιασμού και το μετριασμό

της έντασης των δυνητικών επιθέσεων

58

Επίπεδα Αξιολόγησης του FIPS-140-2 Επίπεδο Ασφάλειας 1:

Μικρότερος βαθμός ασφάλειας

Επίπεδο Ασφάλειας 2: Καλύτεροι φυσικοί μηχανισμοί από το Επίπεδο 1

Επίπεδο Ασφάλειας 3:Ακόμη καλύτεροι φυσικοί μηχανισμοί ασφάλειας

Επίπεδο Ασφάλειας 4: Μέγιστο επίπεδο ασφάλειας

59

Αποτελέσματα της χρήσης του FIPS-140

Σημαντική βοήθεια στη βελτίωση της ποιότητας και της ασφάλειας των κρυπτοσυστημάτων

Μέχρι τα μέσα του 2002 είχαν αξιολογηθεί 162 τμήματα κρυπτοσυστημάτων και 332 αλγόριθμοι κρυπτογράφησης

Από τα 162 τμήματα κρυπτοσυστημάτων:– 50% παρουσίασαν προβλήματα ασφάλειας– 95% περιείχαν σφάλματα στην τεκμηρίωσή του

Από τους 332 αλγόριθμους κρυπτογράφησης:– 25% περιείχαν προβλήματα ασφάλειας– 65% παρουσίαζαν σφάλματα στην τεκμηρίωσή του

Οι σχεδιαστές των συστημάτων και των αλγορίθμων διόρθωσαν τα προβλήματα αυτά στο αρχικό τους στάδιο, πριν καν χρησιμοποιηθούν σε εμπορικά περιβάλλοντα

60

CC – Common Criteria

Γενικά για τα CC Το Σχέδιο Προστασίας των CC Οι Απαιτήσεις των CC Απαιτήσεις Λειτουργικότητας των CC Οι απαιτήσεις Διασφάλισης των CC Επίπεδα Αξιολόγησης Διασφάλισης των CC Η διαδικασία Αξιολόγησης των CC Περιορισμοί και προβλήματα των CC

61

Γενικά για τα CC 1(3)

Αξιοποιεί την εμπειρία προηγούμενων μεθοδολογιών (TCSEC, ITSEC, TCCPEC, Federal Criteria)

Ανάπτυξη από κοινού από Καναδά, ΗΠΑ, Γαλλία, Γερμανία, Ολλανδία και Ηνωμένο Βασίλειο

Υπογραφή της διακήρυξης για τα CC με τίτλο ‘Arrangement on the Recognition of the Common Criteria Certifications in the Field of Information Technology Security’

– 1998: Καναδάς, ΗΠΑ, Γαλλία, Γερμανία, Ηνωμένο Βασίλειο– 1999: Αυστραλία, Ν. Ζηλανδία– 2002: Φινλανδία, Ελλάδα, Ιταλία, Ισραήλ, Ολλανδία, Ισπανία, Σουηδία,

Νορβηγία– 2003: Αυστρία– Στάδιο Προετοιμασίας: Ρωσία, Ινδία, Ν. Κορέα, Ιαπωνία

Ανάδειξη σε de facto standard στις ΗΠΑ το 1998 Οι Ευρωπαϊκές χώρες δεν αξιοποιούν πλέον το ITSEC Τα CC είναι πλέον επισήμως αποδεκτά ως ISO Standard 15408

62

Γενικά για τα CC 2(3)

Η μεθοδολογία των CC αποτελείται από τρία μέρη:– την τεκμηρίωση των CC (CC documents)– τη CC μεθοδολογία αξιολόγησης (Common Criteria evaluation methodology - CEM)– την τεκμηρίωση για μια συγκεκριμένη χώρα (CC National Scheme)

Η τεκμηρίωση των CC περιέχει μία σύνοψη της μεθοδολογίας και προσδιορίζει τις λειτουργικές απαιτήσει, τις απαιτήσεις διασφάλισης και τα επίπεδα αξιολόγησης διασφάλισης (Evaluation Assurance Levels - EALs)

Η CEM περιέχει λεπτομερείς οδηγίες για την αξιολόγηση προϊόντων ή συστημάτων σε κάθε επίπεδο EAL. Στην παρούσα φάση, η CEM είναι πλήρης μόνο για τα τέσσερα πρώτα επίπεδα EAL, όπως αυτά περιγράφονται στα CC, καθώς οι διακρατικές συμφωνίες για την αναγνώριση των αποτελεσμάτων περιορίζονται σε αυτά. Τα επίπεδα αυτά ανταποκρίνονται σε μικρές έως μέσες απαιτήσεις εμπιστοσύνης, ενώ τα τρία υψηλότερα επίπεδα που απομένουν, αναφέρονται σε συστήματα και προϊόντα υψηλής διασφάλισης (high assurance)

Τα CC National Schemes περιλαμβάνουν λεπτομέρειες για την υποδομή που είναι απαραίτητη για τη διενέργεια των αξιολογήσεων στη συγκεκριμένη χώρα. Κάθε χώρα μπορεί να εφαρμόσει τη CC μεθοδολογία με το δικό της τρόπο. Η τεκμηρίωση της CC και η CEM ορίζουν τα βασικά κριτήρια, τα επίπεδα EAL και τη γενικότερη στρατηγική της αξιολόγησης, αλλά η κάθε χώρα μπορεί να ακολουθεί διαφορετικές μεθόδους

63

Γενικά για τα CC 3(3)

Στη μεθοδολογία που ακολουθείται από τα CC, ορίζονται οι ακόλουθοι όροι:– Η πολιτική ασφάλειας ενός στόχου αξιολόγησης (TOE Security

policy - TSP) είναι ένα σύνολο κανόνων, οι οποίοι ρυθμίζουν τον τρόπο με τον οποίο οι πόροι ενός προϊόντος ή συστήματος προστατεύονται, κατανέμονται και γίνονται αντικείμενο διαχείρισης

– Οι λειτουργίες ασφάλειας ενός στόχου αξιολόγησης (ΤΟΕ Security Functions - TSF) είναι το σύνολο του απαραίτητου υλικού, λογισμικού και υλικολογισμικού, το οποίο πρέπει να χρησιμοποιηθεί για να γίνει ορθή εφαρμογή της πολιτικής ασφάλειας TSP. Ουσιαστικά, οι λειτουργίες TSF αποτελούν γενίκευση της έννοιας της TCB του TCSEC

– Στόχος ασφάλειας (Security Target – ST) είναι το σύνολο των απαιτήσεων και προδιαγραφών που αξιοποιούνται ως βάση αξιολόγησης ενός συγκεκριμένου προϊόντος ή συστήματος

64

Το Σχέδιο Προστασίας των CC

Η έννοια του Σχεδίου Προστασίας (PP - Protection Profile) στα Common Criteria προήλθε από τις κλάσεις λειτουργικότητας του ITSEC, τα σχέδια προστασίας των Federal Criteria και το CTCPEC. Η μορφή, η δομή και η ορολογία των σχεδίων PP διαφέρει από την αντίστοιχη των Federal Criteria, αλλά η βασική ιδέα παραμένει η ίδια. Ως Σχέδιο Προστασίας PP στα Common Criteria χαρακτηρίζεται ένα σύνολο απαιτήσεων ασφάλειας για μία κατηγόρια προϊόντων ή συστημάτων, το οποίο ικανοποιεί συγκεκριμένες ανάγκες των καταναλωτών, παραμένοντας ανεξάρτητο από την υλοποίηση

Το σχέδιο προστασίας PP περιέχει μία αναλυτική περιγραφή μιας κατηγορίας προϊόντων ή συστημάτων, υπό την οπτική των κίνδυνων, του περιβάλλοντος, των στόχων ασφάλειας και των απαιτήσεων των CC. Οι απαιτήσεις αυτές περιλαμβάνουν:

– τόσο τις απαιτήσεις λειτουργικότητας που επιλέγει ο δημιουργός του σχεδίου PP από το σύνολο αυτών που περιλαμβάνονται στα CC,

– όσο και τις απαιτήσεις διασφάλισης, οι οποίες περιλαμβάνονται σε κάποιο από τα επτά επίπεδα EAL, με δυνατότητα να προστεθούν επιπλέον απαιτήσεις από το σύνολο των διαθέσιμων.

Το τελευταίο μέρος του σχεδίου PP ορίζει τις αποδείξεις διασφάλισης. Τα σχέδια PP δεν είναι απαραίτητο να αξιολογηθούν και να εγκριθούν, όμως για όσα σχέδια αξιολογούνται η μέθοδος που ακολουθείται βασίζεται στην κλάση APE - Protection Profile Evaluation των CC.

65

Οι Απαιτήσεις των CC

Τα CC ορίζουν απαιτήσεις λειτουργικότητας και διασφάλισης, ενώ ακολούθως χρησιμοποιούν τις απαιτήσεις διασφάλισης για να ορίσουν τα επίπεδα EAL. Οι απαιτήσεις είναι οργανωμένες σε ένα σχετικά πολύπλοκο σύστημα ονοματοδοσίας (naming) και αρίθμησης (numbering). Παρόλα αυτά, το σύστημα είναι σαφώς πιο ευκολόχρηστο από εκείνα που χρησιμοποιούσαν οι προηγούμενες μεθοδολογίες

Οι απαιτήσεις είναι διαιρεμένες σε κλάσεις βασιζόμενες στον κοινό τους σκοπό. Αυτές οι κλάσεις αποτελούνται από επιμέρους υποκλάσεις που ονομάζονται οικογένειες (families). Οι οικογένειες περιέχουν συστατικά στοιχεία, τα οποία περιλαμβάνουν προσδιορισμό λεπτομερών απαιτήσεων και δευτερογενώς εξαρτώμενων απαιτήσεων, καθώς και μία καταγραφή της ιεραρχίας τους

66

Απαιτήσεις Λειτουργικότητας των CC 1(4)

Υπάρχουν έντεκα κλάσεις με απαιτήσεις λειτουργικότητας, καθεμία από τις οποίες περιλαμβάνει μία ή περισσότερες οικογένειες απαιτήσεων. Αναλυτικότερα, υπάρχουν οι ακόλουθες κλάσεις:

Κλάση FAU - Security Audit: Περιέχει απαιτήσεις για την εποπτεία και τήρηση ημερολόγιου (audit). Περιλαμβάνει έξι οικογένειες, οι οποίες αναφέρονται σε αυτόματη απόκριση ημερολογίου, δημιουργία δεδομένων ημερολογίου, ανάλυση στοιχείων εποπτείας, ανασκόπηση στοιχείων εποπτείας, επιλογή γεγονότων - στοιχείων ημερολογίου, αποθήκευση γεγονότων – στοιχείων ημερολογίου

Κλάση FCO - Communication: Περιλαμβάνει δύο οικογένειες απαιτήσεων, που πραγματεύονται τη μη-αποποίηση προέλευσης και τη μη-αποποίηση παραλαβής. Τα CC είναι η πρώτη μεθοδολογία που καλύπτει αυτές τις απαιτήσεις

Κλάση FCS – Cryptographic Support: Περιλαμβάνει δύο οικογένειες που ασχολούνται με τη διαχείριση κλειδιών και τη λειτουργία της κρυπτογραφίας. Θέματα που σχετίζονται με αλγορίθμους κρυπτογράφησης και άλλα θέματα σχετικά με την υλοποίηση, μπορούν να μελετηθούν με χρήση του FIPS-140-2

67

Απαιτήσεις Λειτουργικότητας των CC 2(4)

Κλάση FDP – User Data Protection: Περιλαμβάνει δέκα τρεις οικογένειες που ασχολούνται με την προστασία των δεδομένων του χρήστη. Ειδικότερα ασχολούνται με πολιτικές έλεγχου πρόσβασης (π.χ. DAC), αντίστοιχες λειτουργίες πολιτικών ελέγχου πρόσβασης, πολιτικές ροής δεδομένων (π.χ. MAC), αντίστοιχες λειτουργίες πολιτικών ροής δεδομένων, επαναχρησιμοποίηση αντικειμένων, αυθεντικοποίηση δεδομένων, επαναφορά, ακεραιότητα αποθηκευμένων δεδομένων, προστασία εμπιστευτικότητας χρήστη κατά την εξωτερική μεταφορά TSF δεδομένων (inter-TSF), προστασία ακεραιότητας χρήστη κατά την εξωτερική μεταφορά TSF δεδομένων, εξαγωγή σε εξωτερικό έλεγχο TSF (export to outside TSF control), εισαγωγή από το εξωτερικό του TSF ελέγχου, καθώς και εσωτερική μεταφορά ΤΟΕ (Internal TOE Transfer)

Κλάση FIA – Identification and Authentication: Περιλαμβάνει έξι οικογένειες που θέτουν απαιτήσεις ταυτοποίησης χρηστών, αυθεντικοποίησης χρηστών, αποτυχίας αυθεντικοποίησης, ορισμού ιδιοτήτων χρηστών, προσδιορισμού μυστικών και αντιστοίχηση χρήστη / αντικειμένου

68

Απαιτήσεις Λειτουργικότητας των CC 3(4)

Κλάση FMT – Security Management: Περιλαμβάνει έξι οικογένειες που θέτουν απαιτήσεις διαχείρισης των ιδιοτήτων ασφάλειας, διαχείρισης TSF δεδομένων, διαχείρισης ρόλων, διαχείρισης λειτουργιών TSF, ανάκλησης, καθώς και λήξης των ιδιοτήτων ασφάλειας (security attribute expiration)

Κλάση FPR - Privacy: Περιλαμβάνει απαιτήσεις που σχετίζονται με την προστασία της ιδιωτικότητας. Οι οικογένειες αναφέρονται στην ανωνυμία (anonymity), τα ψευδώνυμα (pseudonymity), τη μη-διασυνδεσιμότητα (unlinkability) και τη μη-παρατηρησιμότητα (unobservability). Τα CC είναι η πρώτη μεθοδολογία που περιλαμβάνει σχετικές απαιτήσεις

Κλάση FPT – Protection of Security Functions: Περιέχει δέκα έξι οικογένειες με θέματα προστασίας των λειτουργιών ασφάλειας. Συγκεκριμένα οι οικογένειες σχετίζονται με TSF φυσική προστασία, μεσολάβηση αναφοράς (reference mediation), διαχωρισμό πεδίων, ελέγχους αφαιρετικών μηχανών, ελέγχους TSF, αξιόπιστη επαναφορά, διαθεσιμότητα εξαγώγιμων TSF δεδομένων, εμπιστευτικότητα εξαγώγιμων TSF δεδομένων, ακεραιότητα εξαγώγιμων TSF δεδομένων, εσωτερική μεταφορά TSF δεδομένων στο προϊόν ή το σύστημα, αποκάλυψη επανάληψης, πρωτόκολλο συγχρονισμού κατάστασης, χρονοσφραγίδες, εξωτερική συνέπεια TSF δεδομένων, εσωτερική συνέπεια TSF δεδομένων μεταφοράς, καθώς και TSF αυτοελέγχους

69

Απαιτήσεις Λειτουργικότητας των CC 4(4)

Κλάση FRU – Resource Utilization: Περιέχει τρεις οικογένειες απαιτήσεων, που σχετίζονται με ανοχή σε σφάλματα, κατανομή πόρων, καθώς και προτεραιότητα κατά την κατανομή πόρων, απαίτηση που περιλαμβάνεται πρώτη φορά σε σύστημα αξιολόγησης

Κλάση FTA – TOE Access: Περιέχει έξι οικογένειες απαιτήσεων, οι οποίες μελετούν θέματα περιορισμών σε πολλαπλές συνεξελισσόμενες συνόδους, κλειδώματος συνόδου, ιστορικού προσπελάσεων, ιστορικού εγκαταστάσεων συνόδων, δείκτη προσπέλασης προϊόντος ή συστήματος (product or system access banners), καθώς και περιορισμών εισόδου στο σύστημα

Κλάση FTP – Trusted Path: Περιέχει δύο οικογένειες απαιτήσεων, οι οποίες μελετούν θέματα προστασίας έμπιστου διαύλου επικοινωνίας, αλλά για πρώτη φορά και θέματα προστασίας εξωτερικού TSF έμπιστου διαύλου επικοινωνίας

70

Οι Απαιτήσεις Διασφάλισης των CC 1(2)

Τα CC περιλαμβάνουν δέκα κλάσεις απαιτήσεων διασφάλισης, με καθεμία να περιλαμβάνει μία ή περισσότερες οικογένειες απαιτήσεων. Από τις κλάσεις αυτές, οι τρεις χαρακτηρίζονται ως ειδικού σκοπού, αφού στοχεύουν στην αξιολόγηση σχημάτων προστασίας, στην αξιολόγηση στόχων ασφάλειας και στη διατήρηση της διασφάλισης, αντίστοιχα. Αναλυτικότερα, υπάρχουν οι κλάσεις:

Κλάση APE – Protection Profile Evaluation: Περιέχει έξι οικογένειες, εκ των οποίων οι πέντε αφορούν τα πέντε συστατικά μέρη των σχεδίων PP και η έκτη απαιτήσεις που δεν περιέχονται στα CC

Κλάση ASE – Security Target Evaluation: Περιέχει οκτώ οικογένειες, μία για καθένα από τα οκτώ τμήματα του ST. Η λογική της είναι παρόμοια με αυτή της προηγούμενης κλάσης APE

Κλάση ACM – Configuration Management: Περιέχει τρεις οικογένειες, που θέτουν θέματα αυτοματοποίησης CM, δυνατοτήτων CM και εύρους CM

Κλάση ADO – Delivery and Operation: Περιέχει δύο οικογένειες, που θέτουν θέματα διανομής και εγκατάστασης, καθώς και δημιουργίας και εκκίνησης

Κλάση ADV - Development: Περιέχει επτά οικογένειες, που θέτουν θέματα προσδιορισμού λειτουργικότητας, χαμηλού επιπέδου σχεδιασμού, αναπαράστασης υλοποίησης, TSF internals, υψηλού επιπέδου σχεδιασμού, συμφωνίας αναπαράστασης, καθώς και μοντελοποίησης πολιτικής ασφάλειας

71

Οι Απαιτήσεις Διασφάλισης των CC 2(2)

Κλάση AGD – Guidance Documentation: Περιέχει δύο οικογένειες, που θέτουν θέματα καθοδήγησης διαχειριστή και καθοδήγησης χρήστη

Κλάση ALC – Life Cycle: Περιέχει τέσσερις οικογένειες, που θέτουν θέματα ανάπτυξης της ασφάλειας, αποκατάστασης σφαλμάτων, εργαλείων και τεχνικών, καθώς και προσδιορισμού κύκλου ζωής

Κλάση ΑΤΕ - Tests: Περιέχει τέσσερις οικογένειες, που θέτουν θέματα οριζόντιας κάλυψης ελέγχων, βάθους ελέγχων, λειτουργικών ελέγχων, καθώς και ανεξαρτησίας ελέγχων

Κλάση AVA – Vulnerabilities Assessment: Περιέχει τέσσερις οικογένειες, που θέτουν θέματα ανάλυσης συγκαλυμμένων διαύλων (covert channels), εσφαλμένης χρήσης, ισχύος των λειτουργιών, καθώς και ανάλυσης ευπαθειών

Κλάση AMA – Maintenance of Assurance: Περιέχει τέσσερις οικογένειες, που θέτουν θέματα σχεδιασμού συντήρησης διασφάλισης, αναφοράς κατηγοριοποίησης τμημάτων συστήματος ή προϊόντος, συντήρησης αποδείξεων διασφάλισης, καθώς και ανάλυσης επιπτώσεων ασφάλειας

72

Επίπεδα Αξιολόγησης Διασφάλισης των CC 1(4)

Τα CC περιλαμβάνουν επτά επίπεδα αξιολόγησης διασφάλισης:

ΕAL1 Functionally Tested: Η αξιολόγηση της διασφάλισης στο επίπεδο αυτό βασίζεται στην ανάλυση των λειτουργιών ασφάλειας με βάση λειτουργικές προδιαγραφές και προδιαγραφές διεπαφών. Η ανάλυση περιλαμβάνει τη διενέργεια ανεξάρτητων ελέγχων. Το επίπεδο EAL1 προκύπτει για συστήματα ή προϊόντα που χρειάζονται κάποια διασφάλιση, αλλά οι απειλές ασφάλειας είναι ουσιαστικά περιθωριακές

ΕAL2 Structurally Tested: Η αξιολόγηση της διασφάλισης σε αυτό το επίπεδο βασίζεται στην ανάλυση των λειτουργιών ασφάλειας, συμπεριλαμβανομένου και του σχεδιασμού υψηλού επιπέδου. Η ανάλυση περιλαμβάνει τη διενέργεια ανεξάρτητων ελέγχων όπως συνέβαινε στο επίπεδο EAL1, αλλά επιπλέον και αποδείξεις που προέρχονται από την ανάπτυξη του προϊόντος ή του συστήματος και οι οποίες βασίζονται στις λειτουργικές προδιαγραφές, την επαλήθευση των αποδείξεων, καθώς και την αναζήτηση ευπαθειών για προφανή σφάλματα

ΕAL3 Methodically Tested and Checked: Η ανάλυση των λειτουργιών ασφάλειας σε αυτό το επίπεδο είναι αντίστοιχη με αυτή του επιπέδου EAL2 με την προσθήκη της χρήσης ελέγχων στο περιβάλλον ανάπτυξης και τα θέματα διαχείρισης της διαμόρφωσης. Επιπλέον, ο σχεδιασμός υψηλού επιπέδου πρέπει να έχει χρησιμοποιηθεί ως βάση για τον έλεγχο του προϊόντος από το προσωπικό ανάπτυξης

73

Επίπεδα Αξιολόγησης Διασφάλισης των CC 2(4)

ΕAL4 Methodically Designed, Tested and Reviewed: Το επίπεδο αυτό προσθέτει το σχεδιασμό χαμηλού επιπέδου, μία πλήρη περιγραφή των διεπαφών και ένα υποσύνολο της υλοποίησης για την είσοδο που δέχεται η ανάλυση λειτουργίας ασφάλειας. Απαιτείται, επίσης, ένα μη τυποποιημένο μοντέλο της πολιτικής ασφάλειας του προϊόντος ή συστήματος. Άλλα μέτρα διασφάλισης στο EAL4 απαιτούν πρόσθετη διαχείριση διαμόρφωσης, συμπεριλαμβανομένων και διαδικασιών αυτοματισμού. Το EAL4 είναι το υψηλότερο επίπεδο που είναι σκόπιμο για ανασχεδιασμό (retrofitting) της υπάρχουσας γραμμής παραγωγής. Το επίπεδο αυτό είναι εφαρμόσιμο στα συστήματα για τα οποία απαιτείται μέτριο έως υψηλό επίπεδο ασφάλειας

ΕAL5 Semi-formally Designed and Tested: Το επίπεδο αυτό προσθέτει επιπλέον την απαίτηση για πλήρη υλοποίηση για την είσοδο στην ανάλυση λειτουργίας ασφάλειας του ΕAL4. Απαιτείται ένα αυστηρά τυποποιημένο μοντέλο, μερικώς τυποποιημένες λειτουργικές προδιαγραφές, μερικώς τυποποιημένο σχέδιο υψηλού επιπέδου και μία μερικώς τυποποιημένη αντιστοιχία μεταξύ των διαφορετικών επιπέδων προδιαγραφών. Ο σχεδιασμός του προϊόντος ή του συστήματος πρέπει να χαρακτηρίζεται από τμηματοποίηση (modular). Η αναζήτηση ευπάθειας πρέπει να αντιμετωπίζει επιθέσεις με μέτριες δυνατότητες επίθεσης και πρέπει να παρέχει μία ανάλυση συγκαλυμμένων διαύλων (covert channel analysis), ενώ η διαχείριση διαμόρφωσης πρέπει να είναι περιεκτική. Το επίπεδο EAL5 εφαρμόζεται σε συστήματα ή προϊόντα στα οποία απαιτείται υψηλό επίπεδο ασφάλειας

74

Επίπεδα Αξιολόγησης Διασφάλισης των CC 3(4)

ΕAL6 Semi-formally Verified Design and Tested: Το επίπεδο αυτό απαιτεί μία δομημένη παρουσίαση της υλοποίησης, μαζί με μία πλήρη υλοποίηση για την είσοδο στην ανάλυση λειτουργίας ασφάλειας του ΕAL5. Επιπλέον πρέπει να περιληφθεί μία μερικώς αυστηρά τυποποιημένη σχεδίαση χαμηλού επιπέδου. Η σχεδίαση πρέπει να υποστηρίξει διάταξη σε επίπεδα, ενώ πρέπει να χαρακτηρίζεται από τμηματοποίηση. Η αναζήτηση ευπαθειών στο EAL6 πρέπει να μπορεί να καλύπτει ιδιαίτερα επικίνδυνες επιθέσεις διείσδυσης, ενώ η ανάλυση συγκαλυμμένων διαύλων πρέπει να είναι συστηματική. Είναι απαραίτητο να έχει χρησιμοποιηθεί, συνολικά, μια δομημένη διαδικασία ανάπτυξης

ΕAL7 Formally Verified Design and Tested: Το επίπεδο EAL7 απαιτεί μία αυστηρά τυποποιημένη παρουσίαση των λειτουργικών προδιαγραφών και έναν υψηλού επιπέδου σχεδιασμό. Η επιβεβαίωση των αποτελεσμάτων των δοκιμών από ανεξάρτητους φορείς πρέπει να είναι πλήρης. Το επίπεδο EAL7 εφαρμόζεται σε ιδιαίτερες καταστάσεις εξαιρετικά υψηλής επικινδυνότητας που απαιτούν ολοκληρωμένες λύσεις από τεχνολογίες ασφάλειας

75

Επίπεδα Αξιολόγησης Διασφάλισης των CC 4(4)

Στον παρακάτω πίνακα, απεικονίζεται η αντιστοίχηση επιπέδων στα TCSEC, ITSEC και Common Criteria

TCSEC ITSEC Common Criteria

D E0 Δεν υπάρχει αντίστοιχο

Δεν υπάρχει αντίστοιχο Δεν υπάρχει αντίστοιχο ΕAL1

C1 E2 ΕAL2

C2 E3 ΕAL3

B1 E4 ΕAL4

B2 E5 ΕAL5

B3 E6 ΕAL6

A1 E7 ΕAL7

76

Η Διαδικασία Αξιολόγησης των CC 1(2)

Η διαδικασία αξιολόγησης με βάση τα CC, στις ΗΠΑ ελέγχεται από το NIST Οι αξιολογήσεις εκτελούνται από ολιγομελείς επιτροπές διαπιστευμένων

εργαστηρίων από το NIST και διενεργούνται έναντι αμοιβής Πολλά από τα εργαστήρια αξιολόγησης διαθέτουν τμήματα ή συνεργάτες, οι οποίοι

μπορούν να παρέχουν συμβουλευτικό έργο στους προμηθευτές για επίτευξη αποτελεσματικότερης προετοιμασίας για την επερχόμενη αξιολόγηση

Οι αξιολογήσεις διεξάγονται για τα σχέδια προστασίας PP, για τα συστήματα ή τα προϊόντα και για τους αντίστοιχους στόχους ασφάλειας που έχουν τεθεί

Συνήθως ένας προμηθευτής επιλέγει ένα αναγνωρισμένο εργαστήριο για να αξιολογήσει ένα σύνολο απαιτήσεων PP, ή ένα προϊόν ή σύστημα. Μόλις ολοκληρωθούν οι διαπραγματεύσεις και καταστρωθεί το βασικό πρόγραμμα αξιολόγησης, το εργαστήριο πρέπει να συντονιστεί με την αρμόδια επιβλέπουσα επιτροπή. Ακολούθως το εργαστήριο αξιολόγησης πρέπει να καταστρώσει ένα σχέδιο εργασίας και να συντονίσει το πρόγραμμα αξιολόγησης με τον ενδιαφερόμενο και την επιβλέπουσα επιτροπή. Η αξιολόγηση των σχεδίων προστασίας συνεχίζεται σύμφωνα με το CEM και σύμφωνα με τα προγράμματα που συμφωνούνται από το εργαστήριο αξιολόγησης και τους συντάκτες των απαιτήσεων PP. Όταν η αξιολόγηση ολοκληρωθεί, το εργαστήριο παρουσιάζει τα συμπεράσματά του στην επιβλέπουσα επιτροπή, η οποία αποφασίζει εάν πρέπει να απονεμηθεί πιστοποίηση με το αντίστοιχο επίπεδο EAL

77

Η Διαδικασία Αξιολόγησης των CC 2(2)

Η αξιολόγηση ενός προϊόντος ή ενός συστήματος είναι πιο σύνθετη σε σχέση με την αξιολόγηση των απαιτήσεων PP, αφού υπάρχουν περισσότερα στοιχεία προς αξιολόγηση. Πρέπει να παρασχεθεί από τον προμηθευτή ένα προσχέδιο του στόχου ασφάλειας του προϊόντος ή του συστήματος, ώστε να μπορέσει το εργαστήριο να συντονίσει το πρόγραμμα με την επιβλέπουσα επιτροπή. Αν και ο προμηθευτής και το εργαστήριο αξιολόγησης πρέπει να συντονίζουν τα χρονοδιαγράμματα προετοιμασίας των παραδοτέων τους, η διαδικασία δε διαφέρει από την προαναφερθείσα για τα σχέδια προστασίας. Όταν το εργαστήριο ολοκληρώσει την αξιολόγηση, παρουσιάζει τα συμπεράσματα στην επιβλέπουσα επιτροπή, η οποία έχει την αρμοδιότητα να αποφασίσει εάν πρέπει να επικυρωθεί η αξιολόγηση του προϊόντος ή του συστήματος και να απονεμηθεί πιστοποίηση με το αντίστοιχο επίπεδο EAL

78

Περιορισμοί και Προβλήματα των CC

Τα CC εξετάζουν πολλά ζητήματα ασφάλειας στα οποία άλλες μεθοδολογίες αξιολόγησης είχαν αντιμετωπίσει προβλήματα. Παρόλα αυτά, τα CC δεν είναι μία πλήρης μεθοδολογία– Με πρώτη προσέγγιση φαίνεται ότι τα σχέδια προστασίας και οι στόχοι

ασφάλειας των CC υποφέρουν από τις ίδιες αδυναμίες με το ITSEC. Αυτό σε κάποιο βαθμό είναι αληθές

– Τα σχέδια προστασίας PP ή οι στόχοι ασφάλειας ST δεν είναι τόσο ισχυρά όσο οι κλάσεις του TCSEC, αφού δεν έχουν χρησιμοποιηθεί ικανό χρονικό διάστημα ώστε να αποκαλυφθούν ενδεχόμενα προβλήματά τους

– Μερικές από τις απαιτήσεις των CC αποτελούν ουσιαστικά έκφραση απαιτήσεων προηγούμενων μεθοδολογιών. Αυτές οι ώριμες απαιτήσεις και η συνεκτική διαδικασία των CC μπορούν να συμβάλουν στην πληρότητα, τη συνέπεια και την τεχνική ακρίβεια των σχεδίων προστασίας PP ή των στόχων ασφάλειας ST που προκύπτουν. Η σαφήνεια κατά την έκφραση των απαιτήσεων μπορεί να βοηθήσει σημαντικά, αλλά η ακρίβεια ενός στόχου ασφάλειας ST εναπόκειται στον προμηθευτή και την ομάδα αξιολόγησης

79

SSE-CMM System Security Engineering – Capability Maturity Model

Εναλλακτική Προσέγγιση στο Πρόβλημα της Αξιολόγησης

Γενικά για το SSE-CMM

Κατηγορίες Διαδικασιών για Αξιολόγηση

Επίπεδα Ωριμότητας

80

Μια Εναλλακτική Προσέγγιση στο Πρόβλημα της Αξιολόγησης

Δε φαίνεται να υπάρχουν σημαντικές διαφορές μεταξύ της αξιολόγησης διαδικασιών με τη χρήση ενός μοντέλου δυνατοτήτων (capability model) και της αξιολόγησης της λειτουργικότητας της ασφάλειας με κάποιο μοντέλο διασφάλισης (assurance model)

Μοντέλα δυνατοτήτων:– Ορίζουν απαιτήσεις για τις διαδικασίες – Αποτιμούν την ωριμότητα μιας διαδικασίας

Μεθοδολογίες τύπου Common Criteria:– Ορίζουν απαιτήσεις για τη λειτουργικότητα της ασφάλειας – Εκτιμούν πόση διασφάλιση παρέχεται για τη λειτουργικότητα

Αυτές οι ομοιότητες οδήγησαν στην άποψη ότι ένα μοντέλο ωριμότητας, όπως το CMM, μπορεί να αξιοποιηθεί για να αποτιμηθούν οι δυνατότητες των διαδικασιών τεχνολογίας της ασφάλειας (security engineering) στα πλαίσια ενός οργανισμού

81

Γενικά για το SSE-CMM 1(2)

Το SSE-CMM System Security Engineering – Capability Maturity Model είναι μία μεθοδολογία προσανατολισμένη σε διαδικασίες για την ανάπτυξη ασφαλών συστημάτων

Βασίζεται στο SE-CMM Software Engineering Capability Maturity Model

Αναπτύχθηκε το 1997 από μία κοινή ομάδα εξειδικευμένων επιστημόνων σε θέματα ασφάλειας υπολογιστικών συστημάτων από το χώρο της βιομηχανίας και των κυβερνητικών υπηρεσιών των ΗΠΑ

Σκοπός του ήταν η προώθηση της τεχνολογίας της ασφάλειας ως μιας καλά ορισμένης, ώριμης και μετρήσιμης διαδικασίας

82

Γενικά για το SSE-CMM 2(2)

Το SSE-CMM είναι οργανωμένο με βάση διαδικασίες (procedures) και επίπεδα ωριμότητας (maturity levels). Οι διαδικασίες καθορίζουν τις ανάγκες που πρέπει να ικανοποιηθούν από τη διαδικασία της τεχνολογίας ασφάλειας, ενώ τα επίπεδα ωριμότητας κατηγοριοποιούν τις διαδικασίες σύμφωνα με το βαθμό επίτευξης του τεθέντος στόχου. – Δυνατότητα μιας διαδικασίας (process capability) θεωρείται το σύνολο

των αποτελεσμάτων που μπορούν να επιτευχθούν ακολουθώντας τη διαδικασία αυτή

– Απόδοση μιας διαδικασίας (process performance) θεωρείται το μέτρο των αποτελεσμάτων που επιτεύχθηκαν

– Ωριμότητα μιας διαδικασίας (process maturity) ορίζεται ως ο βαθμός στον οποίο μία διαδικασία είναι καλά ορισμένη, διαχειρίσιμη, μετρήσιμη, ελεγχόμενη και αποδοτική

83

Κατηγορίες Διαδικασιών για Αξιολόγηση

Το SSE-CMM περιλαμβάνει έντεκα κατηγορίες διαδικασιών που αξιολογούνται – Διαχείριση ελέγχων ασφάλειας (administer security controls)– Αποτίμηση επίπτωσης (assess impact)– Αποτίμηση επικινδυνότητας (assess security risk)– Αποτίμηση απειλών (assess threat)– Αποτίμηση ευπαθειών (assess vulnerability)– Δημιουργία επιχειρήματος διασφάλισης (build assurance argument)– Συντονισμός ασφάλειας (coordinate security)– Παρακολούθηση κατάστασης ασφάλειας συστήματος (monitor system

security posture)– Εισαγωγή στοιχείων σχετικών με ασφάλεια (provide security input)– Προσδιορισμός αναγκών ασφάλειας (specify security needs)– Επικύρωση και επαλήθευση ασφάλειας (verify and validate security)

Κάθε κατηγορία περιλαμβάνει ένα στόχο και ένα σύνολο βασικών διαδικασιών που υποστηρίζουν αυτό το στόχο