國際標準『ISO/IEC 15408 』的介紹

E\KPMG 譯稿 \ISO 15408 簡報 -ISACACA.ppt 第 1頁

國際標準『 ISO/IEC 15408 』的介紹

ISO/IEC 15408 Information technology

─ Security techniques

─Evaluation Criteria for IT Security

報告人高國寶

中華民國九十年十二月15408


報告內容 (Contents) 大綱

概論 (part 1~part 3)

Part two

Part three

結論


概論


ISO 15408 簡要說明 ISO/IEC 15408 是由下面三個部份所組成：

第一部份 (Part 1) ：介紹及一般化模型 (Introduction & General Model)

• 定義 IT 安全評估並提供評估模式的一般概念及原則

第二部份 (Part 2) ：安全之功能需求（ Security functional requirements ）

• 建立一組功能元件作為表達 TOE 功能要求的標準

第三部份 (Part 3) ：安全之保證需求（ Security assurance requirements ）

• 建立一組保證元件作為表達 TOE 功能要求的標準


「共通規範計畫」的推動

由七個政府組織加以贊助，這些組織共同擁有「資訊技術安全評估之共通準則」（簡稱「 CC 」）的版權，並同意作為日後持續發展與維護 ISO/IEC 15408 國際標準之共享許可。然而，這些贊助組織仍保有使用、複製、散佈、翻譯或在適當時候具有修改 CC 的權利。

( 有關「共通規範計畫之贊助組織」的詳細資料交代請參考第一部份 (Part 1) 的附錄 A 。


贊助 CC 的組織有

加拿大的“通訊安全機構” 法國的“安全系統資訊服務中心”德國的“聯邦資訊技術安全署”荷蘭的“國家通訊安全局”英國的“通訊電子安全部”美國的國家標準及技術委員會 (NIST)美國的國家安全局 (NSA) 。


範圍 (Scope)

標準 ISO/IEC 15408 定義成“準則”，共通準則（ Common Criteria ，簡稱 CC ）是作為評估資訊技術產品和系統安全性質 (for evaluation of security properties of IT products and systems) 的基礎之用，並藉由制定這種共通準則的基礎，促使 IT 安全評估的結果能對更多人來說是有意義的。

在評估程序中制定了信任度等級（ level of confidence ），表示這個產品和系統的安全功能與使用這些安全功能來滿足需求的保證度措施（ assurance measures ）；而評估的結果將有助於消費者決定 IT 產品或系統對他們預期的應用是否有足夠的安全及是否能容忍使用時所具有的潛在安全風險（ security risk ）。

CC 對發展具有 IT 安全功能的產品或系統及採購具有這種功能的商業產品/ 系統是相當有用的導引（ guide ）。在評估期間，這種 IT 產品或系統就稱為評估目標（ Target Of Evaluation ； TOE ），包括了：作業系統、電腦網路、分散式系統和應用程式等皆可被看成是進行評估的主體對象。

CC 說明對資訊的保護，這些保護使資訊不致遭到未經授權之公佈、修改或遺失。相對上述安全的失敗有關的三種保護型態，一般分別稱為機密性（ confidentiality ）、完整性（ integrity ）和可用性（ availability ）。


範圍 (Scope)

共通準則（ Common Criteria ，簡稱 CC ）能應用於任何以硬體（ hardware ）、韌體（ firmware ）或軟體（ software ）所實現之 IT 安全措施。

某些主題因為涉及（或包括）特殊化技術或對 IT 安全來說是次要的，故不在 CC 範圍之內。下面舉些實例加以說明：

(1) CC 不包括與 IT 安全措施沒有直接相關的管理上安全措施之安全評估規範。 (2) 不會特別地包含評估 IT 安全在實體的 (physical) 技術觀點（例如：電磁發

射控制）。 (3) CC 在評估監督機構使用的規範中，既不會說明評估方法也不會說明管理上及法律上的架構（ framework ）。 (4) 對使用評估結果於產品或系統的認證（ accreditation ）之使用程序，不

在 CC 所討論的範圍之內。 (5) 評估密碼演算法具有的品質之規範主題並不包括在 CC 之中。


常用縮寫

(1) CC ─ 共通準則（ Common Criteria ） (2) EAL ─ 評估保證等級（ Evaluation Assurance Level ） (3) IT ─ 資訊技術（ Information Technology ） (4) PP ─ 保護剖繪（ Protection Profile ） (5) SF ─ 安全功能（ Security Function ） (6) SFP ─ 安全功能政策（ Security Function Policy ） (7) SOF ─ 功能強度（ Strength Of Function ） (8) ST ─ 安全目標（ Security Target ） (9) TOE ─ 評估目標（ Target Of Evaluation ） (10) TSC ─ TSF 控制範圍（ TSF Scope of Control ） (11) TSF ─ TOE 安全功能（ TOE Security Functions ） (12) TSFI ─ TSF 界面（ TSF Interface ） (13) TSP ─ TOE 安全政策（ TOE Security Policy ）


共通準則藍圖 (Roadmap)

消費者（Consumers ）

發展者（Developers ）

評估者（Evaluators ）

Part 1 作為背景資料及參考用途。是構成PPs 之導引文件。

作為 TOEs 需求發展及闡述安全規格之背景資料和參考文件。

作為背景資料及參考用途。是構成 PPs 及 STs 之導引文件。

Part 2 作為闡述安全功能需求敘述之導引和參考文件。

作為解釋 TOEs 功能需求的敘述及闡述其功能規格之參考文件。

作為評估規範決定TOE 是否有效地符合所聲明的安全功能時的強制性敘述。

Part 3 作為決定所需的保證等級之導引文件。

作為解釋 TOEs 保證需求的敘述及決定其保證方法之參考文件。

作為評估規範決定TOE 在評估 PPs

及 STs 保證等級時的強制性敘述。

註 : 對評估 IT 產品和系統的安全性質有關係的人大致有三種： TOE 消費者、 TOE 發展者（ developers ）及 TOE 評估者（ evaluators ）。這份已結構化文件所提出的規範皆能滿足這三種人的要求，而且他們都是 CC 的主要使用者


概論 (Overview)

當 CC 以 TOE 之 IT 安全性質的規格和評估為目的時，它也可能對所有與 IT 安全有責任或有關的團體是有用的參考資料。

其它有關係的團體或人員（ Others ）也可以從 CC 內含的資訊中獲得益處：

a) 須對決定及達成組織 IT 安全政策負責的系統管理者（ custodians ）

和系統安全人員（ security officer ）； b) 須對評估系統安全的適當性負責的內部及外部稽核人員（ auditors ）； c) 須對於 IT 系統和產品的安全內容之規格負責的安全建造者（ architects ）及設計者（ designers ）； d) 負責決定是否接受 IT 系統在特定的環境中之使用的認證人員（ accreditors ） e) 提出評估要求及支援之評估贊助者（ sponsors of evaluation ） f) 負責管理及監督 IT 安全評估計畫的評估監督機構（ evaluation authorities ）。


評估背景（ Evaluation context ）

評估規範

評估方法

評估方案

進行評估批准 /發證

最後評估結果

證書 /註冊列表


Part 2

安全之功能需求（ Security functional requirements ）


Part 2 內容

第 1 條為共同準則第二編之簡介導論第 2 條介紹共同準則第二編功能元件之型錄第 3 條到第 13 條說明功能類別附錄 A為功能件潛在使用者提供了引起興趣之其他資訊，

包括一完整功能元件相關性對照參考表。附錄 B到附錄 M則對功能類別提供了應用備考。


安全功能需求範例

評估標的TOE 評估標的 TOE 安全功能介面TSFI

安全屬性評估標的TOE安全功能

(TSF)實施評估標的TOE安全政策

(TSP)

主體

主體

安全屬性

安全屬性

物件 /資訊

安全屬性資源

安全屬性處理

主體

評估標的安全功能TSF控制範圍 (TSC)

人之使用者/ 遠端資訊科技產品

使用者


功能類別之結構

功能類別類別之名稱

類別介紹

功能家族

功能家族家族之名稱

家族之行為

元件之位階

管理

稽核元件

元件元件之識別

功能元素

相關性


元件之相關性

類別之名稱家族 1

家族 2

家族 3

1 2 3

2 3

1

12

34


Part 2 類別說明 (3~13 條文 )

3 FAU 類別：安全稽核 4 FCO 類別：通訊 5 FCS 類別：密碼支援 6 FDP 類別：資料保護 7 FIA 類別：識別及認證 8 FMT 類別：安全管理 9 FPR 類別：隱私 10 FPT 類別： TSF保護 11 FRU 類別：資源運用 12 FTA 類別： TOE 存取 13 FTP 類別：可信賴之路徑 /通道


3.FAU 類別：安全稽核安全稽核

FAU_STG安全稽核事件儲存

FAU_SEL安全稽核事件選擇

FAU_SAR安全稽核檢視

FAU_SAA安全稽核分析

FAU_GEN安全稽核資料產生

FAU_ARP安全稽核自動回應

3

1

2

1

1

1

2

2

2

4

3

1

41

3

安全稽核牽涉到承認、記錄、儲存及分析與安全相關活動有關之資訊（亦即為 TSP所控制之活動）。所產生之稽核記錄可予以檢查，判認哪些安全相關活動發生及誰應為它們負責。

TSF 控制範圍內所發生安全相關事件之記錄定義其需求

就所偵測之事件顯示安全遭潛在違反行為時所要採取之回應

TOE 作業期間對被稽核事件之選擇定義其需求

創造及維護安全稽核軌跡

就經授權使用者可取用之稽核工具以助其檢視稽核資料定義其需求

分析系統活動及稽核資料


4. FCO 類別：通訊

通訊

FCO_NRR 接收之存證

FCO_NRO原點來源之存證

1

1

2

2

本類別提供了兩家族，此兩家族之關切點特別放在資料交換參與一方之身份確定上。

來源不可否認性確保了資訊的發起者無法成功否認其已傳送資訊

接收不可否認性確保了資訊的接收者不可否認其已接收資訊


5. FCS 類別：密碼支援

密碼支援

FCS_CKM 密碼金鑰管理

FCS_COP 密碼運算

3

1

4

2

1

運用密碼功能協助滿足數個高階安全目標。這些包括（但不侷限於）：識別及認證、不可否認性、可信賴之路徑、可信賴之通道及資料分隔。

運用密碼功能協助滿足數個高階安全目標

運算須按指定之演算法及指定長度之密碼金鑰執行


6. FDP 類別：資料保護 (一 )

使用者資料保護

FDP_ETC 輸出至評估標的安全功能 TSF 控制外部之輸出

FDP_IFC 資訊流控制政策

FDP_DAU 資料認證

FDP_ACF 存取控制功能

FDP_ACC 存取控制政策

1

1

1

1

2 1

2

2

2

對 TOE 內的使用者資料、輸入途中、輸出、儲存，連同與使用者資料直接有關之安全屬性提出載明。

存取控制 SFP 提出辨識

對可落實於 FDP_ACC 中命名之存取控制政策之特定功能

允許一個體對資訊之真實性負責（例如，使用數位簽章）

就 TOE 向外輸出之使用者資料定義其之功能

就形成所辨識之 TSP 之資訊流控制部份等諸政策定義其控制範圍


6. FDP 類別：資料保護 (二 )

FDP_ITC來自評估標的安全功能控制 TSF 外部之輸入

FDP_ITT 評估標的 TOE 內部轉送

FDP_IFF 資訊流控制功能 3

2

4

1

5

6

1

1

2

3

2

4

FDP_RIP 殘餘資訊保護 1 2

Deleted Information

資訊流控制 SFP 及可指定其控制範圍之特定功能

關係到對輸入之限制、決定所要之安全屬性及與使用者資料結合之安全屬性之判讀

TOE 組成部份間轉送之使用者資料之保護


6. FDP 類別：資料保護 (三 )

FDP_UIT 評估標的安全功能 TSF間使用者資料整體性轉送保護

FDP_UCT 評估標的安全功能 TSF間使用者機密性轉送保護

FDP_ROL 轉返

FDP_SDI 儲存之資料整體性

1

1

1 2

1

2

2

3

undoing last operation or a series operation

影響儲存於記憶體或儲存裝置內的使用者資料

使用外部通道而於不同 TOE 間或不同 TOE 上使用者轉送之使用者資料

TSF 與另一可信賴之資訊科技產品間傳送之使用者資料


7.FIA 類別：識別及認證

識別及認證

FIA_USB 使用者主題連結

FIA_UAU 使用者認證

FIA_UID 使用者識別

FIA_SOS 秘密之規格

FIA_ATD 使用者屬性定義

FIA_AFL 認證失敗

1

3

1

1

2

5

1

1

2

2 6

4

17

就被宣稱之使用者身份進行建立及確認之功能載明其要件。

不成功認證嘗試次數值之定義及 TSF 在認證嘗試失敗時，要採取的行動之要件

支援 TSP 所需之使用者安全屬性與使用者之關聯的要件

針對在提供的秘密上規範一些定義好的品質規準

使用者認證機制型態予以定義之

執行要求使用者認證

一經認證之使用者，典型來說，會啟動一主題。該使用者的安全屬性會與此主題結合


8.FMT 類別：安全管理安全管理

FMT_MOF 評估標的安全功能 TSF之功能管理

FMT_SMR 安全管理角色

FMT_SAE 安全屬性截止到期

FMT_REV 註銷

FMT_MTD 評估標的安全功能 TSF資料管理

FMT_MSA 安全屬性管理

1

1

3

1

2

1

1

2

21

3

3

本類別擬就 TSF 幾個層面的管理予以規範之：安全屬性、 TSF資料及功能。不同管理角色及其互動，例如能力之分隔，亦可予以規定之。

准許經授權之使用者控制 TSF 內之管理功能

准許經授權之使用者控制安全屬性的管理

准許經授權使用者（角色）控制 TSF 資料管理

就 TOE 內各個個體之安全屬性的註銷提出載明

對指派不同角色予使用者予以控制之

就實施安全屬性有效性之時限的能力提出載明


9.FPR 類別：隱私

隱私

FPR_ANO 匿名

FPR_PSE 用假名

FPR_UNL 不可連結性

FPR_ 不可觀察性

1 2

12

3

1

1 2

3

4

提供使用者保護，免遭其身份遭其他使用者發覺及不當使用。

multiple use of resources or services

確保使用者得使用資源或服務而無外洩其身份

使用者得使用資源或服務而無外洩其使用者身份

確保使用者得使用資源或服務，而無其他人，尤其是第三者，能夠觀察到該資源或服務正被使用中。


10. FPT 類別： TSF 保護 (一 )

評估標的安全功能 TSF保護

FPT_ITI 輸出之評估標的安全功能 TSF資料的整體性

FPT_ITA 輸出之評估標的安全功能 TSF資料的取用性

FPT_ITC 輸出之評估標的安全功能 TSF資料的機密性

FPT_ITT 評估標的 TOE 內部其安全功能 TSF資料轉送

FPT_FLS 失敗安全

FPT_AMT 下層抽象機測試

1

1

1

1

21

1

2

3

TSF提供機制的完整性與管理及此 TSF資料完整性

對所依賴之下層抽象機所做之有關安全假設定義其要件。

確保在被辨識之失敗

遠端可信賴資訊科技產品間移動之 TSF 資料的取用性之漏失預防規則

TSF 與一遠端可信賴資訊科技產品間傳輸中之 TSF 資料的外洩防護規則

傳送中之 TSF 資料，免遭未經授權變更之保護規則

TOE 各個部份間傳送時所受之保護


10. FPT 類別： TSF 保護 (二 )

FPT_RCV 可信賴之復原

FPT_PHP 評估標的安全功能 TSF實體保護

1

1

3

3

2

4

2

FPT_RPL 重送之偵測

FPT_RVM 參考中介

FPT_SEP 領域分隔

1

1

1 2 3

所有需政策實施的行動均由該 TSF對照該 SFP而被驗證之

至少有一安全領域可為 TSF 自身執行所取用 ,以免遭受竄改

判知 TOE 之啟動無發生保護受洩漏，且在作業中斷後，可以復原而無保護受洩漏之情事

各種型態之實體之重送及後續改正行動提出載明


10. FPT 類別： TSF 保護 (三 )

FPT_TST 評估標的安全功能 TSF自我測試

FPT_TRC 評估標的 TOE 內部其安全功能 TOE TSF資料複製一致性

FPT_TDC 評估標的安全功能 TSF之間資料一致性

FPT_STM 時戳

FPT_SSP 狀態同步協定

1

1

1 2

1

1

分散式系統同步協定

一 TOE 或有需要與另一可信賴資訊科技產品交換 TSF 資料

保 TSF 資料於 TOE 內部遭複製時的一致性

對某個期待其為正確之作業所做的自我測試


11.FRU 類別：資源運用

資源運用

FRU_RSA 資源配置

FRU_FLT容錯

FRU_PRS 服務之優先權

1

1

1

2

2

2

提供了保護，對抗 TOE失敗引發之能力無法取用性

確保資源會予配置至較重要或時間具關鍵性之任務，且無法為優先權較低之任務所壟斷

對可取用資源的使用提供了限制，因而預防了使用者壟斷資源


12. 評估標的 TOE 存取評估標的 TOE 存取

FTA_TSE 評估標的 TOE交談建立

FTA_TAH 評估標的 TOE 存取歷史

FTA_TAB 評估標的 TOE 存取旗幟

FTA_SSL 交談鎖定

FTA_MCS多同步交談之限制

FTA_LSA可選擇選取屬性範圍之限制

1

1

1

2

1

1

2

1

3

使用者得為一交談而選取之交談安全屬性之範圍

使用者的同步交談數之界限置放

互動性交談鎖定及解除鎖定。

向使用者顯示有關 TOE適當使用之組態的規勸性警告訊息

使用者對其帳號的成功及不成功存取嘗試歷史

就拒絕一使用者與 TOE建立一交談之許可


13.FTP 類別：可信賴之路徑 /通道

可信賴路徑 /通道

FTP_TRP 可信賴之路徑

FTP_ITC 評估標的安全功能 TSF間可信賴之通道

1

1

「可信賴通道」為一得由通道任一側啟動之通訊通道，且其能就通道兩側之身份提供存證特徵。

與其他可信賴資訊科技產品間的一可信賴通道之創造

建立及維護對使用者及 TSF 的可信賴通訊


Part 2 總結

3 FAU 類別：安全稽核 4 FCO 類別：通訊 5 FCS 類別：密碼支援 6 FDP 類別：資料保護 7 FIA 類別：識別及認證 8 FMT 類別：安全管理 9 FPR 類別：隱私 10 FPT 類別： TSF保護 11 FRU 類別：資源運用 12 FTA 類別： TOE 存取 13 FTP 類別：可信賴之路徑 /通道

安全之功能需求


Part 3

安全之保證需求（ Security assurance requirements ）


Part 3 架構

條款 1 係此 CC第 3部份的簡介和範例條款 2說明保證類別、家族、元件和評估保證等級的顯示結構以及其

間關係。它亦記述條款 8至 14所述保證類別和家族的特性條款 3、 4和 5提供 PP和 ST評估準則簡介，以及該等評估所使用家族和元件的詳細解釋

條款 6提供詳細的 EAL定義條款 7 提供保證類別簡介，後續條款 8至 14提供詳細的該等類別定

義條款 15和 16提供保證維護評估標準簡介，以及該等家族和元件的詳

細定義附錄 A提供保證元件之間相關性的摘要附錄 B提供 EAL和保證元件之間的交互參照


保證原理

CC 原理係應清楚說明對安全和組織安全政策承諾的威脅，且針對其意欲的目的充份論證建議的安全措施。

採用可減少發生弱點的可能性、實施弱點的能力 (也就是蓄意私自利用或無意觸發 )，以及減少從所採行弱點發生損壞的程度的適當措施。

應該採用可方便後續鑑別弱點以及抵消、緩和及 /或通知弱點已經被利用或觸發的適當措施。


保證方式

CC 提議藉由資深評估員和利用大幅強調範圍、深度和嚴謹性，以衡量文件及其所產生的 IT 產品或系統的有效性。

CC不排除 ( 也不批評 )其它獲得保證的方法的相關指標。持續研究獲得保證的可供選擇方法。


避免弱點步驟

消除 -意即應該採取有效步驟以暴露和刪除或銷除所有可實行的弱點

極小化 -意即應該採取有效步驟以減少 (至可接受的殘餘程度 ) 實施任何一弱點的潛在衝擊

監測 -意即應該採取有效步驟以確保可發現實施一剩餘弱點的任何嘗試，使得可採取步驟以限制損壞


弱點會因下列因素而產生

需求（ requirement） -意即 IT產品或系統可能擁有其所需的所有功能和特性，但仍包含不適合安全或使安全無效的弱點

構造（ construction） -意即 IT產品或系統不符合其規格及 /或因不良結構化標準或不正確設計選擇的結果造成了弱點

操作（ operation） -意即 IT產品或系統已依一正確規格正確地建構，但因在操作上不充分管制的結果造成了弱點


經由下列評估的保證

分析和檢查各項程序檢查正在應用的程序分析在 TOE設計顯示之間的對應關係依需求分析 TOE設計顯示驗證證據分析指導文件分析所發展的功能性測試和所提供的結果獨立功能性測試弱點 (包括瑕疵假說 )分析滲透測試


共同準則保證規定

類別名稱

類別簡介

保證類別

保證家族家族名稱

目的

元件階層

應用注意事項

保證元件元件鑑別

目的

應用注意事項

相關性

保證元素


保證元素

開發者行動元素：開發者應執行的作業

證據元素的內容和顯示：所需要的證據

評估員行動元素：評估員應執行的作業。


3. 保護剖繪和安全目標評估標準

此條款介紹 PP和 ST的評估標準

PP評估的目標是證實 PP是完整性、一致性、技術性健全且因此適用於使用作為一或更多可評估 TOE的各種需求聲明

ST評估的目標係證實 ST係完整、一致、技術健全，且因此適用於使用作為對應 TOE評估的基礎


4. 類別 APE ：保護剖繪評估

類別 APE：保護剖繪評估

APE_DES ：保護剖繪 ,TOE說明

1

APE_ENV：保護剖繪 ,安全環境

APE_INT：保護剖繪 ,PP簡介

APE_OBJ：保護剖繪 ,安全目的

APE_REQ：保護剖繪 ,IT 安全需求

APE_SRE：保護剖繪 ,明確述明的 IT 安全需求

1

1

1

1

1

PP評估的目標是證實 PP是完整性、一致性和技術性健全。

評估安全目的以證實所述目的足以述明安全問題

包含運作 PP登錄所必要的文件管理和綜覽資訊

判斷在 PP 的 IT 安全需求是否充份

協助瞭解 TOE 的安全需求

於一 TOE 所選擇，且在 PP 說明或引用的 IT 安全需求


5. 類別 ASE ：安全目標評估

APE_DES ：保護剖繪 ,TOE說明

ASE_ENV ：安全目標，安全環境

A SE_INT ：安全目標， ST 簡介

ASE_OBJ ：安全目標，安全目的

ASE_PPC ：安全目標， PP 聲明

ASE_REQ ：安全目標， IT 安全需求

ASE_SRE ：安全目標，明確述明的 IT 安全需求

ASE_TSS ：安全目標， TOE 摘要規格

1

1

1

1

1

1

1

1

類別 ASE ：安全目標評估

ST 評估的目標係證實 ST係完整、一致、技術健全，且因此適用於使用作為對應 TOE 評估的基礎。

協助瞭解 TOE 的安全需求

判斷 ST 的 IT 安全需求是否充份

包含鑑別和索引資料

證實所述目的足以述明安全問題

安全目標 PP聲明的評估目標係判斷 ST是否是 PP 的一正確實例

IT 安全需求，需要加以評估以確定它們是內部一致性

要求允許評估員判斷清晰陳述的要求

提供符合功能性需求的安全功能高階定義


6. 評估保證等級評估保證等級 (EALs)提供以獲取該保證程度的成本和可行性，而獲得的平衡保證等級的遞增尺度

EAL1可適用於對正確操作需要一些信賴的場所，但是對安全的威脅並不視為嚴重EAL2適用於開發者或使用者在缺乏完整發展記錄可用性下，需要一低至中等級獨立保証安全的環境。 EAL3適用於開發者或使用者要求一適當等級的獨立保証安全的環境，且需要完整調查 TOE和其發展環境而不需要實質再造工程。EAL4適用於開發者或使用者在傳統物件 TOE裡需要一中至高等級的獨立保証安全的環境，且準備發生額外的安全性特定技術成本。


6. 評估保證等級

EAL5適用於開發者或使用者在一規劃的發展裡，要求一高階獨立保証安全的環境，且要求一嚴謹的發展方式而不會發生可歸屬於專家安全工程技術的不合理成本。

EAL6 允許開發者從安全工程技術的應用至嚴謹的發展環境，以產生額外費用 TOE以保護高值資產免於重大風險以獲得較高等級保證 (適用於發展安全 TOE於高風險情況的應用 )

EAL7適用於發展應用在極高風險情況，及 /或高值資產證明較高成本的安全 TOE。實際應用 EAL7目前限制於針對會接納擴充正規分析的安全功能 TOE。


8. 類別 ACM ：組態管理

類別 ACM;組態管理

ACM_AUT CM 自動操作

ACM_CAP CM 能力

ACM_SCP CM 範圍

1 2

1 2 3 4 5

1 2 3

組態管理 (CM) 有助於確保保持 TOE 的完整性，其係藉由在 TOE精細化和修改程序所需要的訓練和控制以及其它相關資訊來要求

述明將會發生組態項目意外或未經授權修改的可能性

確保 CM 系統可追蹤所有必要的 TOE 組態項目

用來控制組態項目的自動作業等級


9. 類別 ADO ：遞送和操作

定義與安全遞送有關的措施、程序和標準以及 TOE 的安裝和操作使用的需求，確保 TOE 所提供的安全保護在傳輸、安裝、啟動和操作期間不會被破解。

類別 ADO ：遞送和操作

ADO_DEL 遞送

ADO_IGS 安裝、產生和啟動

1 2 3

1 2

維護在傳輸 TOE 予使用者期間的安全程序

由管理者配置和啟動以展示與 TOE 主複本具有相同的保護性質


10. 類別 ADV ：發展

保證類別 ADV從 ST裡的 TOE摘要規格下至實際的實施，定義TSF 階段式精細化的需求

ADV_FSP 功能性規格

ADV_HLD 高階設計

ADV_IMP 實施顯示

ADV_INT TSF 內部事宜

ADV_LLD 低階設計

ADV_RCR 顯示符合性

ADV_SPM 安全政策模型

1 2 3 4

2 3 4 5

1 2 3

1 2 3

1 2 3

1 2 3

1 2 3

ADV 類別 :發展

1

使用者可見到的介面和 TSF 行為

說明 TSF 根據主要的結構單元 (也就是子系統 )並將這些單元關聯到它們所提供的功能

以原始程式碼，韌體，硬體圖面等擷取在支援分析裡 TSF 的詳細內部作用。

TSF 的內部結構，需求為模組化、分層、政策強化機制的複雜性的極小化說明

低階設計提供 TSF 子系統正確且有效地被精細化過的保證

各種不同 TSF 顯示之間的相關性

提供額外的保證，即功能規格內的安全功能強制 TSP裡的政策


11. 類別 AGD ：指導文件表達開發者所提供的操作性文件的可理解性、涵蓋範圍和完整性的需求

類別 AGD ：指導文件

AGD_ADM 管理者指南

AGD_USR 使用者指南

1

1

確保環境限制條件能被 TOE 管理者和操作者了解

協助確保使用者能夠以安全方式操作 TOE


12. 類別 ALC ：生命週期支援

類別 ALC：生命週期支援

ALC_DVS 發展安全

ALC_FLR 缺點矯正

ALC_LCD 生命週期定義

ALC_TAT 工具和技術

1 2

1 2 3

1 2 3

1 2 3

藉由採用一良好定義的生命週期模型來定義保證需求

發展安全涵蓋在發展環境所使用的實體性、程序性、人員和其它安全措施

確保在 TOE受開發者支援時， TOE消費者所發現的缺點會追蹤和改正。

建立 TOE 的發展和維護的模型

發展、分析和實現 TOE 的工具


13. 類別 ATE ：測試保證類別 ATE述明證實TSF 滿足 TOE 安全功能需求的測試需求。

類別 ATE 測試

ATE_COV 涵蓋範圍

ATE_DPT 深度

ATE_FUN 功能性測試

ATE_IND 獨立測試

1 2 3

1 2 3

1 2

1 2 3

處理開發者對 TOE 執行功能性測試的完整性

處理開發者測試 TOE 的詳細程度

確定 TSF展示滿足其 ST 需求所必要的性質

TOE 的功能性測試的程度，必須由開發者以外的一團體執行 ( 例如第三團體 )


14. 類別 AVA ：弱點評估

類別 AVA：弱點評估

AVA_CCA 隱密通道分析

AVA_MSU 誤用

AVA_SOF TOE 安全功能能力

AVA_VLA Vulnerability 分析

1 2 3

1 2 3

1

1 2 3 4

保證類別 AVA 定義表達鑑別可利用弱點的需求。明確地，它述明 TOE製作、操作、誤用或不正確架構所引入的弱點。

分析表達發現和分析會違反意欲 TSP 的非預期通信通道

管理者或使用者能合理判斷 TOE是否適當配置且以不安全方式操作

藉由一機率式（ probabilistic ）或安排式（ permutational ）機制 ( 例如一密碼或雜湊函數 ) 實現

鑑別在發展作業不同精細步驟所潛在引入的缺點


15. 保證維護範例提供維護保證類別 (AMA) 支援在一保證維護範例上的交談

TOE

再評

TOE

監測

TOE

接受

TOE

評估


16.AMA 類別：保證維護

保證維護類別提供依 CC 檢定 TOE 之後欲被應用之需求

類別AMA：維護保證

AMA_AMP 保證維護計劃

AMA_CAT TOE要件歸類報告

AMA_EVD 保證維護的證據

AMA_SIA 安全衝擊分析

1

1

1

1 2

確保當 TOE 或其環境變更時，認證的 TOE裡的保證維護已被建立

當作針對用開發者的安全衝擊分析，並為後續重新評估 TOE 。

建立 TOE裡的保證開發者維護的信賴

執行影響 TOE 的所有變更的安全影響分析


Part 3 總結

條款 1 係此 CC第 3部份的簡介和範例條款 2說明保證類別、家族、元件和評估保證等級

的顯示結構以及其間關係。它亦記述條款 8至 14所述保證類別和家族的特性

條款 3、 4和 5提供 PP和 ST評估準則簡介，以及該等評估所使用家族和元件的詳細解釋

條款 6提供詳細的 EAL定義條款 7 提供保證類別簡介，後續條款 8至 14提供

詳細的該等類別定義條款 15和 16提供保證維護評估標準簡介，以及該

等家族和元件的詳細定義附錄 A提供保證元件之間相關性的摘要附錄 B提供 EAL和保證元件之間的交互參照

安全之保證需求


問題與討論

ISO/IEC 15408 是由下面三個部份所組成：

第一部份 (Part 1) ：介紹及一般化模型第二部份 (Part 2) ：安全之功能需求第三部份 (Part 3) ：安全之保證需求

Documents

國際標準 『ISO/IEC 15408 』 的介紹

國際標準『ISO/IEC 15408 』的介紹