Tiêu chí đánh giá an toàn thông tin năm 2024

495 lượt xem 125 download

DownloadVui lòng tải xuống để xem tài liệu đầy đủ

Nội dung Text: Tiêu chuẩn đánh giá an toàn thông tin

1. Tiêu chuẩn đánh giá an toàn thông tin Chương I Câu1: Hiểu được tính cấp thiết * Tại sao cần qua tâm đến ĐG ATTT Để hiểu về tính cấp thiết, đầu tiên ta phải về ĐG ATTT -ĐGATTT theo nghĩa rộng nhất là q.trình ĐG mức độ AT của TT cần được bảo vệ dưới 3 yêu cầu AT chính +Tính bí mật +Tính toàn vẹn +Tính sẵn sàng hoạt động -Mức độ ưu tiên tùy thuộc vào mục đích sử dụng mà mức ưu tiên yêu cầu nào *Tính cấp thiết -ATTT luôn được gắn liền với các phương tiện xử lý, lưu trữ và truyền tin -Trước đây các phương tiện như vậy thường đơn giản thô sơ và ko được tự động hóa. ĐGATTT mới chỉ hướng tới các HTCNTT chứ chưa phải SPCNTT -Hiện nay , các phương tiện CNTT được p.triển ngày càng nhiều về số lượng, đa dạng và phức tạp về chức năng hoạt động(phần mềm, phần cứng hay phần mềm+phần cứng kết hợp, cơ chết b.vệ k.soát hoạt động TT). Do đó cần phải ĐGAT đối với từng sp -Khi s.dụng các p.tiện CNTT trong các hoạt động CNTT ko những cần đảm bảo các chức năng mà còn cần đảm bảo các chức năng ATTT đặt ra cho chúng.Nếu sp ko đảm bảo được mức độ ATTT thì khi đem s.dụng có thể mang lại những tổn thất cực lớn -Muốn biết sp CNTT có đảm bảo mức độ ATTT mong muốn hay ko thì phải thông qua ĐGATTT để ước lượng chính xác mức độ ATTT của sp • Thực tế -Q.trình toàn cầu hóa kéo theo việc s.dụng CNTT và Internet cũng p.triển trên p.vi toàn cầu. Do đó ATTT là nhiệm vụ của toàn TG -Mạng máy tính p.triển làm cho các sp CNTT tăng lên gấp bội, phức tạp về chức năng cũng tăng lên=>đảm bảo ATTT trở nên khó khăn gấp bội -CNTT được s.dụng hầu hết trong tất cả các lĩnh vực nên các đe dọa ATTT ngày càng tăng về cả số lượng và mức độ -Đã đến lúc ko thể chấp nhận được sp CNTT đem ra s.dụng mà ko được đảm bảo ATTT .Ngay từ khâu t.kế, chế tạo phải được duy trì, k.soát trong suốt thời gian hoạt động cho tới khi ko còn được lưu hành sử dụng =>ĐGATTT gắn liền với p.tích, t.kế sp CNTT và pháp luật ATTT tạo thành một bộ ba tổng thẻ ATTT nhằm bảo vệ TT ở mức độ cao nhất có thể được Câu2.Các thuật ngữ và các khái niệm cơ bản a.sp CNTT (Information technology products) -Là 1 sự kết hợp phần cứng, phần mềm, phần sụn(firmware) cung cấp 1 chức năng được t.kế để s.dụng hay kết hợp s.dụng trong HT CNTT -Sp CNTT có thể là 1 sp đơn giản hay nhiều sp được cấu hình lại như 1 HT CNTT , mạng máy tính hay 1 giải pháp nhằm thỏa mãn những yêu cầu của người s.dụng Vd : 1 ứng dụng phần mềm(word, excel), HĐH, Thẻ thông minh b.AT CNTT (Information Technology Security) -Là tất cả các khía cạnh liên quan tới vấn đề xác định, đạt được và duy trì tính bí mật , toàn vẹn, tính sẵn sàng hoạt động, tính kế toán hoạt động, tính xác thực và tính tin cậy c. ĐGATTT (Information Security Evaluation) -Là q.trình thu được bằng chứng về đảm bảo ATTT và p.tích chúng theo những tiêu chí về chức năng ATTT và đảm bảo ATTT 1
2. -ĐGATTT cũng tạo ra độ đo tin cậy và chỉ ra được 1 sp CNTT đã đáp ứng các tiêu chí ATTT cụ thể đến mức nào d.Tiêu chí ĐGATTT (Information Technology Security Evaluation Criteria-ITSEC) -Là những y.cầu ATTT của sp CNTT dưới dạng 2 phạm trù cụ thể là chức năng và các yêu cầu đảm bảo +Yêu cầu chức năng xác định hành vi AT mong muốn +Yêu cầu đảm bảo là cơ sở cho việc đạt được độ đo AT xem có hiệu lực và cài đặt đúng đắn ko e.Mức đảm bảo đánh giá(Evaluation Assurance Level-EAL) -Là tập hợp các thành phần chức năng hoặc đảm bảo, được kết hợp để thỏa mãn 1 tập con các mục tiêu an toàn cụ thể -Mức đảm bảo đánh giá thường được gán cho sp CNTT sau q.trình ĐGATTT -EAL cho biết sp CNTT được s.dụng an toàn đến mức độ nào f.Hồ sơ bảo vệ(protechtion profile-PP) của một chủng loại sp CNTT là tập các y.cầu AT độc lập với sự cài đặt nhằm đáp ứng những y.cầu của người s.dụng g.Đích đánh giá(Target of Evaluation-TOE) -Gồm chính sp CNTT và tài liệu hướng dẫn người s.dụng và người q.trị của sp phục vụ cho việc ĐG h.Đích an toàn(Security Target-ST) -Là các y.cầu an toàn của 1 TOE xác định đồng thời mô tả các biện pháp AT chức năng và đảm bảo , do đó TOE đó cung cấp để thỏa mãn các y.cầu đã nêu. -Hay nói cách khác là: ST là tổ hợp hoàn chỉnh của những mục tiêu AT , những y.cầu chức năng và đảm bảo, những đặc tả vắn tắt và cơ sở hợp lý được s.dụng làm cơ sở để ĐG TOE đã được chỉ ra *QH giữa PP,ST và TOE ST A TOE A ST B TOE B PP ST C TOE C *Đ.nghĩa ĐGATTT (1):ĐGATTT là việc đánh giá PP, đích AT hay đích ĐG tuân theo những tiêu chí ATTT đã được đ.n (2):là việc ĐG sp CNTT hay PP tuân theo những y.cầu của những tiêu chí ATTT Câu3.Các tiêu chí ĐG của Bộ Quốc Phòng Mỹ, Châu Âu, CANADA và liên bang Mỹ a.Tiêu chí ĐG của Bộ Quốc Phòng Mỹ -Đây là HT tiêu chí ATCNTT đầu tiên của nhân loại , ra đời vào t8/1983 bởi BQP Mỹ với tên gọi là TCSEC(Trusted Computer System Evaluation Criteria) -Các tiêu chí trong TCSEC quan tâm tới các HT tin cậy x.lý d.liệu tự động về thương mại hiện hành -Đề cập tới các đặc tính an toàn và các biện pháp đảm bảo tối thiểu đối với mỗi đặc tả AT khác nhau +Yêu cầu of đặc tính nhằm tới các HT x.lý TT dựa trên các HĐH mục đích chung 2
3. +Y.cầu đặc tính AT có thể áp dụng cho các HT với m.trường đặc biệt như các bộ x.lý hay các máy tính k.soát q.trình liên lạc +Các y.cầu đảm bảo được áp dụng cho tất cả dạng m.trường và HT tính toán -Mục đích của các y.cầu này và của chính các tiêu chí là hướng tới 3 đối tượng +Cung cấp chuẩn ATTT cho các nhà s.xuất, giúp nhà sx biết TT để cài đặt các đặc tính ATTT cho sp, từ đó đáp ứng y.cầu của BQP +Cho phép BQP đánh giá công bằng và chính xác +Các ĐG phải được x.định ở các HT m.trường độc lập và m.trường cụ thể.Trung tâm AT quốc gia(National Security Center, NSC) sẽ ĐG sp đối với m.trường độc lập theo cách của q.trình ĐG sp thương mại(CPEP-Commercial Product Evaluation Process). ĐG độ tin cậy và các thuộc tính của sp thông qua m.trường vận hành cụ thể(ĐG chứng nhận) >Cung cấp cơ sở để chỉ rõ các y.cầu ATTT trong các đặc tả sp: X.định mức ATTT mà KH y.cầu đối với m.trường của họ -Tiêu chí để đưa ra các mục đích trên được chia thành 4 phân đoạn A,B,C,D. Mỗi phân đoạn lại thành các phân đoạn con(lớp) -Các tiêu chí xếp loại sp thuộc các lớp +C.sách AT +Kế toán hoạt động +Đảm bảo AT +Lập tài liệu *Các phân đoạn - Phân đoạn D: Bảo vệ tối thiểu +Chứa 1 lớp duy nhất(lớp D): Bảo vệ tối thiểu giành cho các HT được ĐG và ko qua được các y.cầu của các phân đoạn từ C-A -Phân đoạn C: Bảo vệ phân quyền, chứa 2 lớp +Lớp C1: Bảo vệ AT phân quyền giành cho sp cung cấp sự bảo vệ cần thiết(phân quyền).Điều này đạt được bằng tách giữa người s.dụng và d.liệu +Lớp C2: Bảo vệ truy nhập được k.soát giành cho các sp mà k.soát truy nhập mịn hơn các sp trong lớp C1: Đạt được với các thủ tục đăng nhập và k.soát và cô lập tài nguyên (tài nguyên tách hẳn với người sử dụng) -Phân đoạn B:bảo vệ tập trung, gồm 3 lớp +Lớp B1: >Bảo vệ AT gán nhãn >Chứa các đặc tính của C2 >Y.cầu gán nhãn d.liệu, k.soát truy cập tập trung trên các chủ thể và các đối tượng gán trên và tuyên bố ko hình thức của mô hình c.sách AT +Lớp B2: >Bảo vệ có cấu trúc >Dựa trên lớp B1 >Y.cầu công bố hình thức của c.sách ATTT và hoàn thiện tuân thủ k.soát truy nhập phân quyền và tập trung >Tăng cường cơ chế xác thực >Phải đề cập đến các kênh mật =>B2 chống truy cập trái phép +Lớp B3: Các miền AT >y.cầu như B2 >Xếp đặt các hành động của người s.dụng >Chống đột nhập HT >Các đặc tính AT cần cực kỳ tráng kiện và trơn tru >Gói AT ko cần thêm mã c.trình hay TT >HT cần hỗ trợ người q.trị và k.toán các thủ tục phục hồi, dự phòng 3
4. \=>B3 có khả năng cao chống lại sự truy cập trái phép -Phân đoạn lớp A: Bảo vệ được kiểm tra +Gồm 1 lớp A1: Thiết kế có k.tra +Chức năng lớp A1~ lớp B3 +Tuy nhiên, lớp A1 thực hiện triệt tiêu p.tích hình thức hơn là nhận thức được từ t.kế và k.tra hình thức của các đặc tính AT +P.tích này phải cung cấp mức đảm bảo cao là HT được cài đặt đúng đắn hơn * Ưu điểm -Quan tâm tới các tiêu chí AT: c.sách AT , kế toán h.động, đảm bảo AT, tính hợp lý phân chia các lớp, thông tin về các kênh mật và hướng dẫn kiểm định AT -Hướng tới x.dựng HT tiêu chí AT CNTT vạn năng nhằm tới người t.kế, sử dụng và kiểm định -Định hướng đến các HT ứng dụng quốc phòng cụ thể là OS +Tập trung vào các y.cầu bảo mật TT được x.lý loại trừ khả năng làm lộ TT này +Quan tâm nhiều đến nhãn AT và các quy trình xuất thông tin bảo mật *Nhược điểm -Các tiêu chí đảm bảo thực hiện hóa các p.tiện bảo vệ và c.sach an toàn mờ nhạt -Chưa có sự tách biệt giữa các y.cầu chức năng và đảm bảo -Các y.cầu k.soát tính toàn vẹn của các p.tiện b.vệ và hỗ trợ tính sẵn sàng của chúng đều ko đầy đủ -Khó chứng minh được 1 sp có thuộc lớp AT A1 hay ko b.Tiêu chí Đg của Châu Âu - Nhằm đến nhu cầu ĐG của sp thương mại và an toàn chính phủ -Phân tách khái niệm mức ĐG chức năng và đảm bảo -Có 10 mức từ F1 đến F10. F1~C1(TCSEC), F5~A1(TCSEC), từ F6 gán thêm các k.niệm +F6:Nguyên vẹn c.trình d.liệu +F7:Sẵn sàng làm việc của HT +F8:Nguyên vẹn liên lạc d.liệu +F9:Bí mật liên lạc d.liệu +F10:AT mạng, kể cả bí mật và nguyên vẹn -Y.cầu đảm bảo x.định lượng và kiểu kiểm định tính đúng đắn của sp. Gồm các mức +E1: Kiểm định +E2:Phân bố được k.soát và k.soát cấu hình +E3:Truy cập đến t.kế chi tiết và mã nguồn +E4:P.tích tổn thương tăng cường +E5:Tương ứng diễn giải được t.kế và mã nguồn +E6:Các mô hình hình thức và mô tả với các tương ứng hình thức giữa cả 2 -Mỗi sp có thể được ĐG cùng lúc với nhiều mức chức năng còn các mức ĐG đảm bảo có tính tích lũy -Chuyển đổi xấp xỉ các mức ITSEC sang TCSEC(các mức chức năng từ F6 ->F10 ko có sự tương ứng trực tiếp sang TCSEC) Chức năng Đảm bảo Phân chia mức TCSEC E0 D F1 E1 C1 F2 E2 C2 F3 E3 B1 F4 E4 B2 F5 E5 B3 F6 E6 A1 4
5. Function Ensure Phân chia mức TCSEC E0 D F1 E1 C1 F2 E2 C2 F3 E3 B1 F4 E4 B2 F5 E5 B3 F5 E6 A1 *Ưu điểm -Đưa ra khái niệm tính đảm bảo và tách riêng nó với tính chức năng *Nhược điểm -Vẫn có những khiếm khuyết ngay trong các HT đã được chứng nhận trong các tiêu chí về khả năng s.dụng những khiếm khuyết trong bảo vệ c.Tiêu chí ĐG của CANADA -ĐG tính hiệu quả các d.vụ AT của sp -Được t.kế cho chính phủ s.dụng mà ko nhằm tới các sp thương mại -Chia các y.cầu AT thành 2 nhóm: Chức năng và đảm bảo -Các y.cầu chức năng chứa 4 phạm trù chính sách +Bí mật +Toàn vẹn +Sắn sàng +Kế toán hoạt động -Các y.cầu đảm bảo gồm các mức ĐG từ thấp(T-0)đến cao(T-7) -Bao gồm các y.cầu về: cấu trúc, m.trường p.triển, bằng chứng p.triển, m.trường vận hành, lập tài liệu và kiểm định *Ưu điểm -Phân tách các y.cầu chức năng với các y.cầu đảm bảo và chất lượng thực hiện c.sách AT -Cấu trúc các y.cầu chức năng rõ ràng -Mô tả tất cả các khía cạnh chức năng -Phân chia độc lập các y.cầu về đảm bảo thực hiện c.sach AT -Quan tâm nhiều đến sự tương ứng lẫn nhau và tương ứng của tất cả các HT p.tiện đảm bảo AT *Nhược điểm -Các y.cầu về công nghệ t.kế phản ánh còn non yếu -Các phương pháp và p.tiện s.dụng ko đầy đủ chi tiết hóa d.Tiêu chí ĐG liên bang Mỹ *Mục tiêu -Bảo vệ sự đầu tư hiện hành trong công nghệ AT -Cải tiến q.trình ĐG đang tồn tại -Dự kiến đối với những cần thiết thay đổi của khách hàng -Thúc đẩy sự hòa hợp quốc tế trong ĐG AT CNTT -Đưa ra khái niệm PP +Là 1 tập các tiêu chí x.định 1 mức cụ thể của AT và tin cậy đối với 1 sản phầm đề cập -PP gồm các thành phần chức năng , đảm bảo p.triển và ĐG +Chức năng:X.định các đặc tính mà sp phải hỗ trợ t.kế để đáp ứng PP +Đảm bảo p.triển: Quy định mức độ mà mỗi sp phải hỗ trợ thiết kế, k.soát và s.dụng +Đảm bảo ĐG: Gồm các vấn đề như p.tích kênh mật, kiểm định ATTT -Định nghĩa 3 nhóm y.cầu +Chức năng:Được cấu trúc tốt và mô tả tất cả các khía cạnh chức năng của cơ sở tính toán tin cậy +Công nghệ t.kế: Đánh thức các nhà s.xuất s.dụng các công nghệ hiện đại của lập trình làm cơ sở cho việc khẳng định lại độ AT của sp 5
6. +Q.trình p.tích ĐG: Mang tính cách chung khá rõ và ko chứa các phương pháp luận cụ thể về kiểm định và nghiên cứu AT SP CNTT *Ưu điểm -S.dụng sự phân chia độc lập các y.cầu của mỗi nhóm -Xem xét đến việc khắc phục khuyết tật của các p.tiện AT -Đưa ra k.niệm PP *Nhược điểm -Phân tách y.cầu đảm bảo ĐG và p.triển =>có nhiều sự kết hợp các y.cầu đảm bảo=>có thể tạo ra nhiều hồ sơ tương tự nhau=>sự phức tạp thái quá cho việc ĐG và q.trình phân loại mức Câu4.Đánh giá AT Mật Mã -Các sp CNTT có thể có các module mật mã -ĐG các module mật mã độc lập với ĐGATTT : ĐGATTT chỉ q.tâm đến việc p.tích ĐG về sự cài đặt thực sự và đúng đắn của các module mật mã -1982 có chuẩn LB Mỹ 1027(US federal Standard 1027), đánh giá thiết bị mật mã dựa trên DES.Sau chuyển thành FIPS PUB 140 -Mỹ và CANADA liên kết thiết lập ra FIPS PUB 140-1như chuẩn ĐG đối với các module mật mã cho cả 2 quốc gia -Năm 2001 cập nhật thành FIPS PUB 140-2 -Hiện nay có chương trình kiểm tra hợp lệ module mật mã(Cryptographic Module Validation (CMV) program) -Module mật mã là gì +Module mật mã là tập hợp các phần cứng, phần sụn hay phần mềm hay tổ hợp nào đó chung để cài đặt các quá trình hay nguyên lý mật mã -FIB PUB 140-1 và FIPS PUB140-2 cung cấp những yêu cầu an toàn với module mật mã được cài đặt trong các HT máy tính liên bang -Có 4 mức ATTT từ 1-4 -Các yêu cầu của FIPS 140-1 gồm +Thiết kế cơ bản và lập tài liệu +Những giao diện module +AT vật lý +AT phần mềm +ATHĐH +Quản lý khoá -Các yêu cầu của FIPS 140-2 gồm các lĩnh vực liên quan đến thiết kế và cài đặt AT các module mật mã như +Đặc tả +Cổng giao diện +Môi trường vận hành +Quản lý khoá mật mã -Các mức an toàn của FIPS 140-2 +Mức AT1(thấp nhất) • Chỉ rõ FIPS chấp thuận thuật toán mật mã nhưng ko yêu cầu cơ chế AT vật lý trong module khi sử dụng thiết bị lắp đặt sản phẩm • Cho phép các thành phần phần mềm và phần sụn của module mật mã có thể thực hiện trong hệ thống tính toán chung sử dụng HĐH ko được ĐG +Mức AT2 • AT vật lý cao hơn mức 1, yêu cầu đóng dấu và bọc chắc chắn chống xâm nhập hay khoá chống cậy mở • Cung cấp xác thực dựa trên vai trò: Xác thực được vai trò của người vận hành có thẩm quyền • Cho phép mật mã một số phần mềm • Yêu cầu HĐH ít nhất đạt đến mức đánh giá EAL 2 của CC 6
7. +Mức AT3 • Yêu cầu AT vật lý tăng cường • Cố gắng ngăn ngừa những kẻ xâm nhập tiềm năng đạt được truy cập tới các tham số AT trọng yếu được giữ trong module • Cung cấp xác thực dựa trên định danh • Yêu cầu mạnh hơn đối với việc nhập hay đưa ra các tham số AT trọng yếu • Yêu cầu phải đạt đến mức EAL 3 của CC đối với PP, tuyến tin cậy và mô hình chính sách an toàn ko hình thức HĐH tin cậy được ĐG tương đương có thể được sử dụng +Mức AT4(cao nhất) • Cung cấp 1 phong bì bảo vệ xung quanh module mật mã với chủ định bảo vệ và đáp trả tất cả những cố gắng thử truy cập vật lý trái phép • Bảo vệ module mật mã chống lại thất thoát AT gây ra do những điều kiện môi trường hay những thất thường bên ngoài các dải vận hành bình thường của module về điện thế và nhiệt độ • Cho phép các thành phần phần mềm và phần sụn của module mật mã thực hiện HT tính toán chung, dùng HĐH đáp ứng những yêu cầu chức năng được chỉ ra đối với mức 3 và được ĐG tại mức đảm bảo ĐG CC là EAL4 hoặc cao hơn Chương II Câu 1: Phân biệt được khái niệm an toàn và tin cậy Các khái niệm liên quan đến an toàn và tin cậy trả lời • Hệ thống hay sản phẩm an toàn - HT hay sản phẩm ATTT là hệ thống hay sản phẩm có khả năng chống lại được tất cả các loại tấn công và mọi nơi mọi lúc - Những hệ thống hay sản phẩm như vậy mang tính chất lý tưởng. Thực tế không đáp ứng được mà chỉ có mức độ tiệm cận và chấp nhận được - Độ tin cậy phụ thuộc vào yêu cầu người sử dụng chứ ko fải người sản xuất hay người phân phối An toàn Tin cậy -Hoặc-Hoặc: Cái gì đó hoặc là an toàn -Chia mức: Có các mức độ tin cậy hoặc là kô an toàn -Sở hữu của người sản xuất -Sở hữu của người sử dụng -Kết luận: Dựa trên những đặc tính của -Đánh giá: Dựa trên bằng chứng và sự sản phẩm phân tích -Tuyệt đối: Ko hạn chế được dùng như -Tương đối: Được xét trong ngữ cảnh sử thế nào, ở đâu, khi nào và bởi ai dụng -Mục đích -Đặc chưng *Các khái niệm cơ bản 1.Tiến trình tin cậy: -Tiến trình có ảnh hưởng đến an toàn hệ thống -Tiến trình mà thự chiệ nó ko đúng hay ác ý có khả năng vi phạm chính sách an toàn hệ thống 2.Sản phẩm tin cậy: -Sản phẩm đã được đánh giá và đã được chấp nhận 3.Phần mềm tin cậy -Một bộ phận phần mềm của hệ thống mà hệ thống có thể dựa trên nó để bắt buộc tuân thủ chính sách an toàn 4.Cơ sở tính toán tin cậy 7
8. -Tập hợp tất cả các cơ chế bảo vệ trong một hệ thống tính toán bao gồm cả phần cứng, phần sụn và phần mềm kết hợp lại để bắt buộc tuân thủ chính sách an toàn thống nhất trên sản phẩm hay hệ thống 5.Hệ thống tin cậy -Hệ thống sử dụng các biện pháp tích hợp phần cứng và phầm mềm đủ để cho phép sử dụng nó xử lý thông tin nhạy cảm Câu 2: Hiểu về các chính sách an toàn +Phân biệt được chính sách an toàn quân sự và thương mại +Nắm rõ 1 số chính sách tiêu biểu trả lời *Chính sách an toàn là những yêu cầu về an toàn mà một hệ thống cần phải tuân thủ 1.Phân biệt chính sách an toàn quân sự và thương mại a.Chính sach an toàn quân sự -Dựa trên việc bảo vệ thông tin có xếp hạng -Mức độ xếp hạng: ko xếp hạng,hạn chế,giữ kín, bí mật và tuyệt mật -Tổ hợp xếp hạng và ngănđược gọi là lớp hay loại nội dung thông tin -Hai yêu cầu bắt buộc phải tuân thủ +Những yêu cầu nhạy cảm:Là những yêu cầu được phân cấp +Những yêu cầu cần thì mới biết: Không phân cấp -Mỗi người muốn truy cập tới thông tin nhạy cảm thì phải có trần cho phép -Trần là mức độ chỉ rõ +Mức nhạy cảm nhất định mà mọt người được tin cậy được phép truy cập +Cần phải biết một số loại thông tin nhạy cảm +Trần của một đối tượng là tổ hợp 2.Những chính sách an toàn thương mại -Chia thông tin thành 3 mức độ nhạy cảm: public, có sở hữu và nội bộ -Khác với chính sách an toàn quân sự +Ko có khái niệm trần +Ít thực hiện các quy định cho phép truy cập -Mới chú trọng đến quyền read access +Chỉ nhằm tới tính bí mật +Ít quan tâm đến tính toàn vẹn và sẵn sàng hoạt động 3.Một số chính sách an toàn thương mại điển hình a.Chính sách an toàn thương mại Clark-Wilson: -Tập trung vào tính nguyên vẹn của những giao dịch chính xác -Nguyên tắc +Người nhận hàng ko ký vào hoá đơn phân phát nếu ko nhận được đơn đặt hàng phù hợp +Người kế toán sẽ ko đưa ra sec nếu ko nhận được hoá đơn phân phát -Chỉ có người có thẩm quyền mới được phép ký vào hoá đơn phân phát và đơn đặt hàng -Thực hiện các bước theo thứ tự, thực hiện chính xác các bước đã liệt kê và xác thực những cá nhân thực hiện các bước tạo thành giao dịch chính xác b.Chính sách phân chia nhiệm vụ -Chính sách là sự phân chia trách nhiệm -Nguyên tắc +Trong công ty nhỏ một số người có thể đồng thời có thẩm quyền đưa đơn đặt hàng, nhận hàng hoá và viết séc +Để tránh sự lạm dụng, tốt nhất là cần có 3 người riêng biệt chịu trách nhiệm từng việc trên c.Chính sách an toàn bức tường trung hoa -Phản ánh những yêu cầu thương mại nhất định để bảo vệ truy cập thông itn -Là chính sách bí mật được khích lệ trong thương mại *Cơ sở của chính sách 8
9. -Những người trong các côn.g ty hoạt động trong các lĩnh vực khác nhau thương mâu thuẫn về quyền lợi -Mâu thuẫn này xảy ra khi một người có thể đạt được thông tin nhạy cảm về các công ty cạnh tranh *Nguyên tắc phân chia thông tin thành các đối tượng(tệp) -Mỗi công ty có một file riêng -Nhãn: Chứa các đối tượng liên quan đến một công ty -Lớp mâu thuẫn: Chứa tất cả các nhóm đối tượng với các công ty cạnh tranh *Nguyên tắc truy cập thông tin -Một người có thể truy cập thông tin bất kỳ ngoài thông tin từ các công ty khác nhau trong cùng một lớp mâu thuẫn -Trong một lớp mâu thuẫn; 1 người chỉ có thể truy cập các đối tượng của một công ty cạnh tranh -Các công ty cạnh tranh khác trong lớp đó đóng với anh ta -Người đó có thể chuyển sang lớp mâu thuẫn mà anh ta chưa truy cập lần nào và cũng chỉ có thể truy cập vào một công ty cạnh tranh trong lớp này * Chính sách bức tường Trung Hoa là chính sách bí mật được khích lệ thương mại trong khi đa số các chính sách thương mại tập trung vào tính toàn vẹn Câu 3: Các mô hình an toàn trả lời 1.Mục đích của mô hình an toàn và ưu điểm của nó -Mô hình an toàn được dùng để kiểm định tính đầy đủ và phù hợp của một chính sách an toàn cụ thể -Lập tài liệu một chính sách an toàn -Khái niệm hoá, thiết kế một cài đặt và kiểm tra cài đặt đó có đáp ứng những yêu cầu của nó không *ưu điểm -Quyết định sự truy cập của người dùng vào đối tượng -Chính sách được thiết lập bên ngoài môi trường bất kỳ 2. Một số mô hình an toàn tiêu biểu a. Mô hình dàn an toàn truy cập -Dàn là một cấu trúc toán học của các phần tử dưới một toán tử quan hệ +Các phần tử của dàn được sắp xếp thứ tự bộ phận +Mỗi cặp phần tử của dàn luôn tồn tai cận trên và cận dưới +Phần tử lớn nhất của dàn là +Phần tử nhỏ nhất của dàn là b. Mô hình an toàn Bell-Lapadula -Là sự mô tả hình thức các tuyến đường cho phép của luồng thông tin trong hệ thống an toàn *Mục đích -Nhận biết được liên lạc cho phép ở đâu là quan trọng để duy trì bảo mật -Xđịnh những y.cầu AT đối với những HT điều khiển tương tranh dliệu tại những mức nhạy cảm khác nhau *Hạn chế -Chỉ quan tâm tới tính bảo mật -Chưa chỉ ra cách thay đổi với các quyền truy cậpcũng như cách tạo ra và xoá các chủ thể của các đối tượng c. Mô hình toàn vẹn Biba: - Mục đích: Ngăn chặn sự sửa đổi dữ liệu không thích hợp - Đề cập đến vấn đề toàn vẹn, bơ qua vấn đề bí mật - Tính chất quan trọng: No read down + No write up d.Mô hình Graham – Denning: - Bao gồm: + Tập chủ thể + Tập các đối tượng + Tập các quyền 9
10. + Và một ma trận kiểm soát truy cập Ma trận kiểm soát truy cập: Hàng chứa các chủ thể, cột chứa các đối tượng -Nội dung cá phần tử của ma trận thể hiện quyền của chủ thể đối với đối tượng -Với mỗi đối tượng có một chủ thể được chỉ định, gọi là chủ sở hữu với những quyền đặc biệt -Với mỗi chủ thể, có một chủ thể khác được chỉ định, gọi là người kiểm soát với những đặc quyền đặc biệt -Có 8 quy tắc bảo vệ cơ bản: + Cách tạo an toàn một đối tượng + Cách tạo an toàn một chủ thể + Cách xóa an toàn một đối tượng + Cách xóa an toàn một chủ thể + Cách cung cấp an toàn quyền truy nhập đọc + Cách cung cấp an toàn quyền truy nhập trao quyền + Cách cung cấp an toàn quyền truy nhập xóa + Cách cung cấp an toàn quyền truy nhập chuyển đổi (transfer) - Sử dụng những câu lệnh: Command c(x1, ….., xk) If r1 in M(xs1,) e.Mô hình Harríon-Ruzzo-Ullman -ĐN hệ thống cấp phép -Chỉ ra cách thay đổi các quyền -Sử dụng các câu lệnh Command c(X1,…,Xk) If r1 in M(Xs1, Xo1)and…Rm in M(Xsm, Xom) then OP1….OP1(operation) f. Mô hình Take – Grant: - Đưa ra một hệ thống như một đồ thị + Các đỉnh: chủ thể hoặc đối tượng + Các cung: gán nhãn, biểu thị các quyền của đỉnh xuất phát đối với đỉnh mà cung đi tới - Gồm 4 phép toán: Create, Delete, Take và Grant + Create và Delete giống với phép toán của mô hình Graham – Denning + Take và Grant là hai phép toán mới - Mô hình này có ích vì nó nhận biết được những điều kiện mà qua đó người sử dụng có thể truy cập đến một đối tượng Câu4.Nhân an toàn a.Cơ sở tính toán tin cậy(Trusted Computing Base-TCB) - Là những cơ chế gồm tổ hợp của các phần mềm, phần sụn, và phần cứng có trách nhiệm bắt buộc tuân thủ các chính sách an toàn(theo định nghĩa chính sách an toàn da cam) b.Mô hình giám sát tham chiếu (Reference Monitor) bắt buộc tuân thủ những quan hệ truy nhập có thẩm quyền giữa những chủ thể và những đối tượng của hệ thống - Yêu cầu thiết kế khi cài đặt: + Biệt lập + Đầy đủ + Kiểm tra c.Nhân AT (theo định nghĩa của sách Da Cam) là các thành phần phần mềm, phần sụn và phần cứng của TCB để cài đặt khái niệm mô hình giám sát tham chiếu * Ưu điểm khi tiếp cận theo hướng nhân AT: + Đơn giản + Tiện lợi khi thiết kế những hệ thống tin cậy cao * Nhược điểm: + Cài đặt nhân AT làm giảm năng suất hệ thống 10
11. + Sự có mặt của nhân không đảm bảo rằng nó chứa tất cả các chức năng AT hoặc được cài đặt đúng đắn + Đôi khi kích cỡ của nhân AT có thể lớn Câu 5.Phạm vi an toàn - Là ranh giới tưởng tượng của TCB + Những hệ thống tin cậy cao, TCB phải được thiết kế và cài đặt sao cho các thành phần hệ thống nằm trong gianh giới này + Giao diện xuyên qua phạm vi AT phải tuân thủ những yêu cầu AT của hệ thống - Đối với hệ thống phân tán và những hệ thống hỗ trợ ghép nối mạng: + Toàn bộ hệ thống máy tính hay thậm chí là một mạng cục bộ có thể nằm bên trong phạm vi AT được kết nối với thế giới bên ngoài qua hệ thống tin cậy thường được gọi là cổng kết nối (Gateway) + Đó là điểm kiểm soát liên lạc giữa những hệ thống, những mạng tin cậy và mạng không tin cậy - Đối với một HĐH mục đích chung, dựa trên thiết kế nhân +TCB gồm có nhân và những tiến trình tin cậy - Đối với HĐH chuyên dụng: + TCB có thể gồm những phần của những ứng dụng hoặc thậm chí toàn bộ hệ thống - Phạm vi AT là ranh giới tách biệt TCB với phần còn lại của hệ thống  Phải có tuyến đường tin cậy giữa người sử dụng và TCB để những thành phần không tin cậy không thể phá hỏng chủ định của người sử dụng hoặc đánh lừa người dùng Vậy phạm vi AT chỉ gồm những thành phần của hệ thống có trách nhiệm duy AT hệ thống Câu 6.Những nguyên lý hệ thống thông tin 1.Những nguyên lý chuẩn C2 - C2 là lớp kiểm soát truy nhập phân quyền - C2 có 4 nguyên lý nguyên thủy: + Chính sách AT + Kế toán hoạt động + Đảm bảo + Lập tài liệu * Chính sách AT: - Là những yêu cầu chính xác và rõ ràng mà hệ thống bắt buộc tuân thủ - Có 2 tiêu chí con: + Kiểm soát truy nhập phân quyền: TCB cần định nghĩa và kiểm soát sự truy nhập của những người dùng đến đối tượng có định danh + Sử dụng lại đối tượng: Cần gõ bỏ mọi thẩm quyền truy nhập đến đối tượng của chủ thể trước đó * Kế toán hoạt động: - Phải giữ một cách có chọn lọc và bảo vệ thông tin kiểm toán - Có 2 tiêu chí con: +Nhận biết và xác thực: -Yêu cầu những người sử dụng khai báo danh tính trước khi thực hiện hành động - Phải xác thực được danh tính người sử dụng +Kiểm toán: Cần tạo ra, duy trì và bảo vệ nội dung kiểm toán *Đảm bảo: -Phải đảm bảo được hệ thống bắt buộc tuân thủ bốn yêu cầu AT - Có hai tiêu chí con: + Đảm bảo vận hành: -Cần chứa miền cho vận hành của TCB - Cần đảm bảo tính toàn vẹn hệ thống + Đảm bảo vòng đời: - Cần kiểm định những cơ chế AT - Những cơ chế này phải làm việc nhưu công bố trong tài liệu hệ thống * Lập tài liệu: - Có bốn tiêu chí con 11
12. + Hướng dẫn người sử dụng về đặc tính AT: - Mô tả những cơ chế bảo vệ được cung cấp - Hướng dẫn cách dùng cho người sử dụng +Sách hướng dẫn tiện ích tin cậy: - Đưa ra những cảnh bảo về chức năng và quyền hạn cần được kiểm soát khi thực hiện tiện ích AT -Đưa ra những thủ tục kiểm tra và duy trì các tệp kiểm toán và cấu trúc bản ghi kiểm toán chi tiết cho mỗi kiểu sự kiện kiểm toán + Lập tài liệu kiểm định: Là tài liệu mô tả: - Kế hoạch kiểm định - Thủ tục kiểm định - Kết quả kiểm định + Lập tài liệu thiết kế: - Mô tả triết lí bảo vệ của người sản xuất - Giải thích cách chuyển triết lí đó sang TCB => Tóm lại: - Các nguyên lí chuẩn C2 chỉ mang tính chất tổng quát, không chỉ rõ về mặt thực hành -Cần nhận biết kiểu SP và hệ thống thông dụng khi áp dụng một mạng máy tính cụ thể -Không có những SP hoàn toàn tuân theo các nguyên lí của chuẩn C2 2.Nguyên lý GSSP -Là một tập hợp những nguyên lí thâm nhập rộng để thực thi bảo vệ thông tin - Do ủy ban GSSP của Hiệp hội AT các hệ thống thông tin (ISSA) phát triển - Liên quan đến những cá nhân quản lí AT các hệ thống thông tin hơn là SP thông tin -Còn đang biến động -Hiện nay chúng ta đã có: Phân cấp các nguyên lí thành ba mức: +Những nguyên lí thâm nhập rộng + Những nguyên lí chức năng rộng + Những nguyên lí chi tiết a. Nguyên lý thâm nhập rộng: - Định nghĩa rõ ràng, thừa nhận kế toán hoạt động và quy trách nhiệm ATTT b. Nguyên lý nhận thức: - Tất cả những người có nhu cầu cần biết có thể truy cập đến những nguyên lí, những chuẩn, những quy định hay những cơ chế ATTT và các hệ thống thông tin và cần được thông tin về những đe dọa có thể áp dụng đối với ATTT c. Nguyên lí về đạo đức: Thông tin cần được sử dụng và quản trị ATTT cần được thực hiện một cách có đạo đức d.Nguyên lí nhiều bên: Những nguyên lí, những chuẩn, những quy định và những cơ chế đối với ATTT và các hệ thống thông tin cần đề cập những xem xét và những quan điểm của tất cả các bên quan tâm e. Nguyên lí tỉ lệ: Những kiểm soát ATTT cần phải tỉ lệ với những rủi ro sửa đổi hay từ chối sử dụng hoặc làm lộ thông tin f.Nguyên lí tích hợp: Những nguyên lí, những chuẩn, những quy định và những cơ chế đối với ATTT cần phải được phối hợp và tích hợp với nhau và với những chính sách, những thủ tục của tổ chức để tạo ra và duy trì AT trong toàn hệ thống thông tin g. Nguyên lí kịp thời: Tất cả các bên được kế toán hoạt động cần hành động một cách phối hợp, kịp thời để ngăn chặn hoặc đáp trả những vị phạm hay đe doạn đến những ATTT và hệ thống thông tin h. Nguyên lí đánh giá: Những rủi ro đến thông tin và hệ thống thông tin cần được đánh giá định kỳ i. Nguyên lí công bằng: quản lí cần phải tôn trọng những quyền và nhân phẩm của mọi cá nhân khi thiết lập chính sách và khi lựa chọn, thực thi và bắt buộc tuân thủ những biện pháp ATTT Những nguyên lí chức năng rộng: 12
13. 1. Chính sách ATTT – Quản lí cần đảm bảo rằng chính sách và nhwungx chuẩn hỗ trợ, những vạch ranh giới, những thủ tục và những hướng dẫn được phát triển 2.Nhận thức và giáo dục: Quản lí cần phải truyền đạt chính sách ATTT đến tất cả đội ngũ cán bộ và đảm bảo rằng tất cả đã nhận thức phù hợp. Giáo dục bao gồm các chuẩn, những vạch ranh giới, những rhur tục, những hướng dẫn 3. Kế toán hoạt động: Quản lí cần giữ cho tất cả các bên được kế toán hoạt động đối với truy cập và sử dụng của họ đối với thông tin như trên, sửa đổi, sao chép và xóa và hỗ trợ những nguồn tài nguyên CNTT. Cần phải có khả năng ghi lại ngày, giờ và trách nhiệm đến tận những cá nhân đối với tất cả các sự đáng ghi nhớ 4.Quản lí thông tin: Quản lí cần lập danh mục đều đặn và định giá những tài sản thông tin và chỉ định mức nhạy cảm và quan trọng, Thông tin như là tài sản cần phải được định danh duy nhất và trách nhiệm đối với nó phải được chỉ định 5.Quản lí môi trường: Quản lí cần xem xét và đền bù những rủi ro cố hữ cho môi truonwg vên trong và bên ngoài nơi mà những tài sản thông tin và những tìa nguyên hỗ trợ CNTT và tài sản được lưu trữ, truyền hay sử dụng 6.Trình độ đội ngũ cán bộ: Quản lí cần thiết lập và kiểm tra trình độ liên quan đến tính toàn vẹn, cần thì mới biết và năng lực kỹ thuật của tất cả các bên được truy cập đến tài sản thông tin hay tài nguyên hỗ trợ CNTT 7.Toàn vẹn hệ thống: quản lí cần đảm bảo rằng tất cả những tính chất của các hệ thống và các đặc trưng 8.Vòng đời của các hệ thống thông tin: Quản lí cần đảm bảo rằng AT hướng đến tất cả các giai đoạn của vòng đời của hệ thống 9. Kiểm soát truy cập quản lý: 10.Kế hoạch đối phó bất trắc và tính liên tục vận hành 11.quản lý rủi ro thông tin 12.AT hạ tầng cơ sở và AT mạng 13.Yêu cầu hợp đồng, pháp lý và quy định của ATTT 14.Những thực hành đạo đức. 3.Những nguyên lý an toàn cụ thể(chi tiết) Có nhiều nguyên lý hỗ trợ 1 hay nhiều nguyên lý chức năng mở rộng. Chương III Câu 1: Nắm rõ về các yêu cầu chức năng và các yêu cầu đảm bảo.Hiểu rõ chức năng và bản chất các yêu cầu trả lời 1.Những yêu cầu chức năng an toàn(SFR) - SFR theo cấu trúc phân cấp từ cao xuống thấp: lớp, họ , tp, ptử. - Mô tả hành vi mong đợi của TOE. 1.1. Lớp chức năng kiểm toán FAU *Mục đích: - Giám sát, lưu trữ, phân tích và báo cáo thông tin ên quan đến các sự kiện an toàn 1.2.Lớp liên lạc FCO *Mục đích -Đảm bảo định danh của những bên phát và nhận liên lạc của thông tin được truyền dẫn, chống lại khả năng chống chối bỏ liên lạc 1.3.Lớp hỗ trợ mật mã FCS *Mục đích -Quản lý và kiểm soát việc vận hành sử dụng các khoá mật mã 1.4.Lớp bảo vệ dữ liệu *Mục đích 13
14. -Bảo vệ dữ liệu người dùng và những thuộc tính an toàn gắn kết với nó trong đích đánh giá -Bảo vệ dữ liệu được nhập về, xuất đi và lưu dữ liệu 1.5.Lớp nhận biết và xác thực *Mục đích -Đảm bảo nhận biết rõ ràng những người sdụng có thẩm quyền và sự gắn kết đúng đắn của những thuộc tính an toàn với người sdụng và chủ thể 1.6.Lớp quản lý an toàn FMT *Mục đích - Quản lý các thuộc tính, dữ liệu và chức năng an toàn -Xác định các vai trò an toàn 1.7.Lớp riêng tư FPR *Mục đích -Bảo vệ người sử dụng chống lại sự khám phá và sử dụng sai danh tính của họ 1.8.Lớp bảo vệ các chứng năng an toàn của đích đánh giá FPT *Mục đích -Duy trì tính nguyên vẹn của các chức năng quản lý và dữ liệu của các chứng năng an toàn của đích đánh giá 1.9 Lớp hiệu dụng tài nguyên FRU *Mục đích -Đảm bảo sự sẵn sàng của các tài nguyên hệ thống thông qua khả năng kháng lỗi và cấp phát dịch vụ bởi sự ưu tiên 1.10. Lớp truy cập đích đánh giá FTA *Mục đích - Kiểm soát việc thiết lập phiên làm việc của người sử dụng 1.11. Lớp kênh và tuyến tin cậy FTP *Mục đích - Cung cấp tuyến liên lạc tin cậy giữa những người sử dụng và những chức năng an toàn của đích đánh giá và giữa chức năng an toàn của đích đánh giá và các sp CNTT tin cậy khác 2.Những yêu cầu đảm bảo SAR -Tổ chức phân cấp như tổ chức phân cấp những yêu cầu chức năng an toàn 2.1 Lớp đánh giá hồ sơ bảo vệ APE *Mục đích - Chứng tỏ rằng PP là đầy đủ, phù hợp và hoàn chỉnh về mặt kỹ thuật 2.2 Lớp đánh giá đích an toàn ASE *Mục đích -Chứng tỏ rằng đích an toàn là đầy đủ, phù hợp và hoàn chỉnh về mặt kỹ thuật 2.3 Lớp quản lý cấu hình ACM *Mục đích - Kiểm soát quá trình mà qua quá trình này đích đánh giá và tài liệu liên quan của nó được phát triển , tinh chỉnh và sửa đổi 2.4 Lớp vận hành và phân phát ký hiệu ADO *Mục đích - Đảm bảo sự phân phát, cài đặt, sinh và khởi hoạt đúng đắn của đích đánh giá 2.5 Lớp phát triển ký hiệu ADV *Mục đích - Đảm bảo rằng quá trình phát triển là có phương pháp bởi việc yêu cầu các mức thiết kế và đặc tả khác nhau 2.6. Lớp các tài liệu hướng dẫn AGD *Mục đích - Đảm bảo rằng tất cả các khía cạnh liên quan của việc vận hành và sử dụng an toàn của đích đánh giá đều được lập tài liệu trong hướng dẫn người quàn trị và người sử dụng 14
15. 2.7. Lớp hỗ trợ vòng đời ALC *Mục đích - Đảm bảo rằng những quá trình có phương pháp đều được tuân thủ trong những pha vận hành và duy trì sao cho tính nguyên vẹn an toàn ko thể bị phá vỡ 2.8 Lớp an toàn kiểm định ATE *Mục đích - Đảm bảo sự bao hàm kiểm định đầy đủ, độ sâu kiểm định và kiểm định độc lập và kiểm định chức năng 2.9 Lớp ước lượng tổn thương AVA *Mục đích - Phân tích sự tồn tại của những tổn thương tiềm tàng 2.10 Lớp duy trì sự đảm bảo AMA *Mục đích - Đảm bảo rằng đích đánh giá sẽ tiếp tục đáp ứng được đích an toàn Câu 2: Nắm rõ các EAL -Thông thường các sản phẩm mới chỉ đạt tới EAL4 - mỗi EAL có mối ràng buộc về giá thành, lịch trình, kiểm tra &nhiệm vụ. -Mục địch: Đảm bảo TOE ko bị bảo vệ quá kỹ lưỡng hoặc quá lơi là. *Phát triển dựa trên phân lớp các lớp đảm bảo: -Từ EAL1-EAL7 gồm: +Quản lý cấu hình +vận hành và phân phát + phát triển +tài liệu hướng dân +Hỗ trợ vòng đời +các phép kiểm định +đánh giá tổn thương =>+Các yêu cầu EAL +các yêu cầu mới +các yêu cầu đảm bảo AT chủ yếu +các yêu cầu đảm bảo AT hỗ trợ +phân cấp tăng lên của mỗi thành phần *Các mức EAL1:Mức đảm bảo an toàn được kiểm định chức năng EAL2:Mức đảm bảo an toàn được kiểm định cấu trúc EAL3:Mức đảm bảo an toàn được kiểm định và kiểm tra có phương pháp EAL4:Mức đảm bảo an toàn được thiết kế, kiểm định và duyệt lại có phương pháp EAL5:Mức đảm bảo an toàn được thiết kế và kiểm định bán hình thức EAL6:Mức đảm bảo an toàn được kiểm định và thiết kế có thẩm định bán hình thức EAL7:Mức đảm bảo an toàn được kiểm định và thiết kế có thẩm định hình thức, mức này thể hiện kiểm định hộp trắng Câu 3: Phân biệt PP&ST a. PP -Là tài liệu hình thức phản ánh một tập độc lập với cài đặt của những yêu cầu an toàn cả về chức năng và đảm bảo đối với sản phẩm hay hệ thống CNTT đáp ứng những nhu cầu cụ thể của khách hàng -Quá trình phát triển hồ sơ bảo vệ hướng dẫn khách hàng làm sáng tỏ, xác định và xác nhận tính hợp lệ những yêu cầu an toàn của họ=>KQ cuối cùng được sử dụng để chuyển tải những yêu cầu này đến các nhà sản phát triển tiềm năng và cung cấp cơ sở để phát triển đích an toàn và đánh giá hình thức đối với sản phẩm 15
16. -Mục đích của PP : +Phát biểu bài toán an toàn một cách chặt chẽ đối với một tập hay một bộ đã cho của các hệ thống hay sp CNTT chính là đích đánh giá +Chỉ rõ những yêu cầu an toàn hướng đến bài toàn đó nhưng ko chỉ rõ xem những yêu cầu này sẽ cài đặt như thế nào b. Đích an toàn -Là một sự hưởng ứng phụ thuộc vào cài đặt đối với một PP +PP chỉ đặc tả những yêu cầu chức năng và đảm bảo an toàn +ST cung cấp một thiết kế chi tiết mà khi nó kết hợp với những cơ chế an toàn chức năng và những tiêu chuẩn đảm bảo an toàn cụ thể sẽ hoàn thành được những yêu cầu này -Đánh giá ST tập trung vào việc kiểm tra xem nó có diễn giải phù hợp , chính xác, đầy đủ và hoàn thiện hay kô của những yêu cầu trong PP -ST được viết ra bởi nhà phát triển sản phẩm nhằm hưởng ứng một PP và được đọc bởi những khách hàng tiềm năng và được kiểm duyệt bởi nhà đánh giá Chương IV Câu 1: Hiểu được bản chất của CEM Trả lời CEM(Common Evaluation Methodogy-Phương pháp luận đánh giá chung) -CEM cung cấp hướng dẫn cụ thể cho người đánh giá + Vận dụng và diễn giải những SAR + Những hành động của nhà phát triển SAR - Đối tượng sử dụng: + Người đánh giá chính mà áp dụng CC + Người cấp chứng nhận + Người tài trợ đánh giá + Người phát triển + Người viết PP/ST + Những người khác muốn quan tâm - CEM gồm có hai phần và một mục bổ sung * Phần 1: + Xác định những nguyên lí làm nền cho những đánh giá + Vạch ra những vai trò của nhà tài trợ, nhà phát triển, nhà đánh giá và nhà thẩm quyền đánh giá quốc gia * Phần 2: + Đặc tả phương pháp luận thông qua những tác vụ, tác vụ con, hoạt động, hoạt động con, hành động và đơn vị công việc của người đánh giá + Mục bổ sung: hướng dẫn đánh giá cho họ khắc phụ sai sót của lớp đảm bảo vòng đời ALC_FLR -CEM tập trung vào những hành động mà người đánh giá phải tiến hành * Mục đích: Xác định những yêu cầu tiêu chí chung CC đối với TOE đã được đề cập đến. - CEM tập trung vào những hành động mà những người đánh giá phải tiến hành Mục đích: Xác định những yêu cầu tiêu chí chung CC đối với TOE đã được đề cập đến -Những nguyên tắc đánh giá của CEM: +Tính phù hợp: Các hoạt động đánh giá phải phù hợp +Tính vô tư: Tất cả những đánh giá không được thiên lệch +Tính khách quan: Những kết quả đánh giá được đưa ra với các quan điểm mang tính chủ quan tối thiểu nhất +Tính lập lại và tính tái tạo: Đánh giá lặp lại cùng một TOE hay PP đối với cùng những yêu cầu, cùng một bằng chứng đánh giá phải thu được cùng những kết quả + Tính mạnh của những kết quả: Những kết quả đánh giá phải đầy đủ và chính xác về mặt kĩ thuật - Các bên tham gia trong quá trình đánh giá: 16
17. Nhà tài trợ: Là thực thể muốn cho đánh giá được thực hiện + Có thể là khách hàng hay cơ quan của nhà phát triển + Có trách nhiệm khởi hoạt quan hệ hợp đồng với người đánh giá và cung cấp tất cả những công cụ CC được yêu cầu đối với đánh giá Nhà phát triển là thực thể sinh ra những sản phẩm CC * Trách nhiệm: +Cung cấp hỗ trợ đối với người đánh giá trên cơ sở được yêu cầu + Thực hiện những phần tử hành động của nhà phát triển được đặc tả bởi EAL trong PP + Duy trì nội dung gắn kết và sự thể hiện của bằng chứng Nhà đánh giá: Là người thuộc cơ quan thực hiện việc đánh giá + Trực tiếp tham gia nhiều nhất vào một quá trình đánh giá + Nhận bằng chứng đánh giá từ nhà phát triển hoặc từ nhà tài trợ + Thực hiện các thao tác thành phần về đánh giá + Đưa kết quả của các hành động đánh giá cho cơ quan có thẩm quyền đánh giá Cơ quan có thẩm quyền đánh giá (Evaluation Authotity – Người có xác nhận hợp lệ): +Là tổ chức có tư cách pháp nhân có trách nhiệm thiết lập và duy trì một lược đồ đánh giá +Theo dõi quá trình đánh giá do nhà đánh giá thực hiện + Phát hành các báo cáo về chứng nhận phê chuẩn, cấp giấy phép Người giám sát (Overseer): + Là người theo dõi toàn bộ quá trình đánh giá đề đảm bảo việc đánh giá được thực hiện theo đúng chỉ dẫn của CC và CEM +Do cơ quan có thẩm quyền đánh giá cử ra +Chấp nhận hoặc không chấp nhận kết luận cuối cùng +Dẫn chứng bằng tài liệu và biện hộ quyết định giám sát với người có thẩm quyền đánh giá Mối quan hệ giữa các bên tham gia đánh giá: - Được phép: Có ảnh hưởng với nhau nhưng không vi phạm các nguyên tắc trong đánh giá -Không: Nếu các bên ảnh hưởng đến nhau có thể dẫn đến vi phạm các nguyên tắc đánh giá -Các kết luận có thể của người đánh giá: Qua: + Tất cả những phần tử hành động hợp thành của người đánh giá đều được đáp ứng + Tất cả những yêu cầu đều được áp dụng + Nhà phát triển thỏa mãn được tất cả - SFR - SAR - Những phần tử hành động của nhà phát triển - Nội dung và thể hiện của những tiêu chí bằng chứng * Không kết luận được * Một số thuật ngữ của CEM: - Báo cáo kĩ thuật: + Là báo cáo lập tài liệu bản phán quyết tổng thể và luận chứng của nó + Do người đánh giá viết và được đệ trình cho người xác nhận hợp lệ và nhà tài trợ 17
18. \=> Mục đích: Lập tài liệu và luận chứng về những kết quả đánh giá đặc biệt là tính hợp lí của bản phán quyết + Trước tiên nó được gửi cho nhà tài trợ và nhà thẩm quyền quốc gia + Sau đó là nhà phát triển và những khách hàng tiềm năng - Báo cáo quan sát (OR): Là báo cáo yêu cầu làm rõ hoặc chỉ rõ những vấn đề xảy ra trong quá trình đánh giá + Do người đánh giá đưa ra + Mục đích: Được coi là tài liệu đánh giá hình thức đề ra yêu cầu làm rõ một số điểm và nhận biết các vấn đề có thể xảy ra - Hoạt động (Activity): Là việc áp dụng của một lớp đảm bảo CC - Hoạt động con (Subactivity): Là việc áp dụng thành phần đảm bảo của CC - Hành động (Action): + Là phần tử hành động của người đánh giá + Hoặc được mô tả rõ ràng như các hành động của người đánh giá hoặc được xuất phát rõ ràng từ các hành động của người phát triển trong các thành phần đảm bảo của CC phần 3 (hàm ý là các hành động của người đánh giá) - Tác vụ (Task) và tác vụ con (Subtask): Là công việc đánh giá cụ thể của CEM mà nó không nhận được trực tiếp từ những yêu cầu của CC Tại mức cao của những tác vụ đánh giá có thể chia làm 2 loại: + Tác vụ đầu vào (quản lý bằng chứng đánh giá) + Tác vụ đầu ra Mục đích của tác vụ đầu vào: Đảm bảo cho người đánh giá có một tập bằng chứng đầy đủ và hiện hành Nhà tài trợ có trách nhiệm cung cấp tất cả bằng chứng cho người đánh giá + CEM đề xuất bổ sung chi tiết số bằng chứng để cung cấp một danh sách với những số phiên bản hiện hành - Người đánh giá có trách nhiệm đối với ba tác vụ con của tác vụ đầu vào: + Duy trì cấu hình chính xác của bằng chứng được cung cấp và bảo vệ nó khỏi sửa đổi hoặc mất mát vô tình hoặc có chủ ý + Bảo vệ tính bí mật của bằng chứng phù hợp với tính nhạy cảm được xác định bởi nhà tài trợ + Giải phóng bằng chứng đánh giá sau khi sử dụng xong bằng cách đồng thuận lần nhau với nhà tài trợ - Mục đích của tác vụ đầu ra: Lập tài liệu những quan sát và những kết luận sinh ra từ quá trình tiến hành đánh giá + CEM đặc tả nội dung và định dạng của thông tin nhận được để đảm bảo tính phù hợp và tính lặp lại của đánh giá + CEM chỉ xác định nội dung thông tin chấp thuận tối thiểu của những báo cáo đánh giá + CEM xác định hai tác vụ con đầu ra: Báo cáo quan sát và báo cáo đánh giá - Phán quyết (Verdict): Qua, không qua hay không kết luận được do người đánh giá đưa ra tương ứng với phần tử hành động của người đánh giá CC, thành phần hay lớp đảm bảo - Đơn vị công việc (Work Unit): Là đơn vị nhỏ nhất của hành động đánh giá nhận được từ phần tử hành động của người đánh giá hay phần tử nôi dung và thể hiện bằng chứng - Cách đọc kí hiệu: (sgk, ví dụ: 3:ADO_ISG.1-2) *Bằng chứng đánh giá -Tác vụ đầu vào -Các hoạt động con -Tác vụ đầu ra -Thể hiện của tác vụ kỹ thuật Câu 2: Đánh giá PP - Nội dung của PP: + Thông tin về PP 18
19. + Mô tả TOE + Môi trường an toàn AT của TOE + Những mục tiêu an toàn + Những yêu cầu an toàn - Khách hàng (giao PP cho người đánh giá) -> người đánh giá (đánh giá hình thức, gửi kết quả đánh giá cho người có thẩm quyền chứng nhận) -> người có thẩm quyền (cấp phát chứng nhận) - Các hoạt động đánh giá một PP đầy đủ: + Tác vụ đầu vào + Hoạt động đánh giá PP, gồm các hoạt động con • Đánh giá mô tả TOE • Đánh giá môi trường ATTT • Đánh giá phần giới thiệu PP • Đánh giá các mục tiêu AT • Đánh giá các yêu cầu AT CNTT • Đánh giá các yêu cầu AT CNTT được nêu rõ ràng + Tác vụ đầu ra 1. Đánh giá mô tả TOE - Mục đích: Xác định: + Xác định thông tin mô tả TOE giúp hiểu được mục tiêu và chức năng của TOE +Xác định phần mô tả có đầy đủ và phù hợp không - Đầu vào: PP - Các hành động: + Hành động APE_DES.1.1E APE_DES.1-1: Người đánh giá sẽ khảo sát mô tả TOE để xác định nó mô tả kiểu SP Người đánh giá xác định xem mô tả TOE có đầy đủ để người đọc hiểu một cách tổng quát về cách sử dụng chủ định của SP hay hệ thống không, từ đó cung cấp bối cảnh đánh giá Nếu thiếu những chức năng cần có thì người đánh giá xác định xem mô tả TOE có bàn luận thỏa đáng về điều này không Ví dụ: Phần mô tả TOE của kiểu SP Firewall nêu nó không thể được kết nối tới các mạng. - người đánh giá xác định xem phần mô tả TOE có bàn luận về CNTT và cụ thể các tính năng AT được yêu cầu bởi TOE ở mức chi tiết có đủ để người đó đọc hiểu thông qua các tính năng đó không - Hành động APE_DES.1-3: Người đánh giá sẽ khảo sát PP để xác định phần mô tả TOE có chặc chẽ không, tức là liệu người đọc chủ định (người phát triển, người đánh giá hay khách hàng) có hiểu được chủ đề và cấu trúc của các câu trong phần mô tả TOE không - APE_DES.1-4: Người đánh giá sẽ khảo sát PP để xác định phần mô tả TOE có phù hợp nội tại không, tức là có xác định được mục đích chung của TOE không - Hành động APE_DES.1.3E + APE_DES.1-5: Người đánh giá sẽ khảo sát PP để xác định phần mô tả TOE có phù hợp với các phần khác của PP không + Cụ thể người đánh giá xác định xem phần mô tả TOE có mô tả về các đe dọa, các tính năng an toàn hay cấu hình của TOE mà không được xét ở một nơi nào khác trong PP không 2. Đánh giá môi trường AT (APE_EVN.1) - Mục tiêu: Xác định liệu mục này có cung cấp định nghĩa rõ ràng và đầy đủ về các vấn đề AT mà TOE và môi trường của nó đã được nêu không - Đầu vào: PP - Hành động APE_EVN.1.1E 19
20. + APE_EVN.1-1: Người đánh giá sẽ khảo sát phần tuyên bố trong môi trường AT TOE để xác định xem nó có xác định và giải thích các giả định không + Người đánh giá xác định xem các giả định về việc sử dụng chủ định của TOE như ứng dụng chủ định của TOE, giá trị tiềm năng của những tài sản yêu cầu TOE bảo vệ và những hạn chế có thể trong việc sử dụng TOE + Người đánh giá xác định xem mỗi giả định về cách sử dụng chủ định của TOE có được giải thích đủ chi tiết để khách hàng biết được nó phù hợp với yêu cầu của họ + Nếu những giả định này không được hiểu một cách rõ ràng thì kết quả cuối cùng có thể là khách hàng sẽ sử dụng TOE trong môi trường không giống như trong giả định của họ. + Người đánh giá xác định xem các giả định về môi trường sử dụng TOE có chứa các khía cạnh vật lí, tổ chức cán bộ và kết nối không Khía cạnh vật lý bao gồm các giả định về vị trí vật lí của TOE hay các thiết bị ngoại vi gắn kèm để TOE có thể thực hiện các chức năng một cách AT VD: Hạn chế vùng điều khiển của người quản trị chỉ là một người Tất cả việc lưu file cho TOE đều phải thực hiện ở workstation mà TOE chạy trên đó Khía cạnh tổ chức cán bộc chứa các giả định về những người dùng và người quản trị của TOE hoặc những vấn đề khác như các tác nhân đe dọa tiềm năng bên trong môi trường của TOE VD: 1. Giả định là những người dùng phải có những kĩ năng hay kiến thức chuyên môn nào đó 2. Giả định người dùng phải có mức trần tối thiểu nào đó 3. Giả định người quản trị sẽ cập nhật CSDL diệt virus hàng tháng Khía cạnh kết nối bao gồm các giả định cần tạo những kết nối giữa TOE và các hệ thống CNTT hay các SP khác. VD: 1. Giả định ổ đĩa ngoài có ít nhất 100MB để lưu trữ các log file 2. Giả định ổ đĩa mềm bị vô hiệu hóa 3. Giả định không kết nối TOE với mạng không tin cậy + APE_EVN.1-2: Người đánh giá sẽ khảo sát tuyên bố của môi trường AT TOE để xác định xem nó có xác định và giải thích các đe dọa không + Nếu các mục tiêu AT của TOE và môi trường của nó chỉ xuất phát từ các giả định và các chính sách AT có tổ chức thì tuyên bố về các đe dọa không cần thiết phải có trong PP, trong trường hợp này đơn vị công việc này không ứng dụng được và được coi là thỏa mãn + Người đánh giá xác định xem tất cat các đe dọa dc xác định có dc giải thích rõ ràng dưới dạng tác nhân đe dọa dc xác định ,tấn công và chủ thể của tấn công không + Người đánh giá cũng xác định xem các tác nhân đe dọa có được đại diện bởi các tài nguyên, ý kiến chuyên môn k,và các tấn cong có dc đại diên bỏi các phương pháp tấn công ,các điểm yếu bát kỳ bị lợi dụng k ? + APE_ENV.1-3 : Người ĐG sẽ khảo sát tuyen bố của môi trường AT TOE để xác định xem nó có nhậ ra và giải thích các chính sách AT có tổ chức k + Nếu các mục tiêu AT của TOE và mối trường của nó chỉ xuất phát từ các giả đinh và các chính sách AT có tổ chức thì tuyên bố về các đe dọa không cần phải có trong PP, trong trường hợp này đơn vị công việc này không áp dụng được và được coi là thỏa mãn + Người đánh giá xác định xem các tuyên bố về chính sách an toàn có tổ chức có được tạo thành dưới dạng các quy tắc lệ thường hay hướng dẫn mà TOE hay môi trường của nó phải tuân theo hay không. Chính sách AT có tổ chức như yêu cầu sinh password và mã hóa để xác thực một chuẩn do chính phủ quy định + Người đánh giá xác định xem mỗi chính sách an toàn có tổ chức có được giải thích và hoặc thể hiện đủ chi tiết để có thể hiểu rõ ràng không 20