CC第三部分安全保障要求有助於安全開發者提高開發系統的安全保障能力,開發人員可以參照CC第三部分採取措施來減少出現脆弱性的可能性,降低(有意利用或者無意觸發)脆弱性,以及由上述脆弱性導致的破壞程度。在CC中可以以確定產品安全特性為目的,對產品進行評估的主動調查來提供對系統安全性的保障。CC標準的評估技術包括但不限於以下這些:❑ 檢查過程和程序是否正在被使用。
❑ 分析TOE各設計表示之間的一致性。
❑ 對照要求,分析TOE的設計表示。
❑ 驗證證據。
❑ 分析指導性文檔。
❑ 分析所開發的功能測試和所提供的結果。
❑ 獨立的功能測試。
❑ 脆弱性分析(包括缺陷假設)。
❑ 滲透性測試。
在安全保障要求部分CC標準定義了7個遞增的評估保證等級,保證是指對功能產生信心的方法。保證要求中包含開發者行為,也包括產生的證據以及評估者行為。上述的保證類,確保了安全功能在TOE的整個生命週期中正確有效地實施,這些保證類是定義評估保證等級的基礎,也是具體TOE評估的依據和準則。隨著EAL1~EAL7評估保證級的逐級增加,對開發系統的安全保障要求不斷加強,通過確定需要的EAL保障級,在開發中參考使用並在開發結束後展開相應測評,可極大提高軟件的安全性。
CC標準對於軟件安全開發有著重要的指導意義。從安全開發的角度來看,CC標準為開發者提供了以下支持:
❑ 為開發者在確定其產品或系統所要滿足的安全需求方面提供支持。
❑ 為他們準備和協助對其產品或系統的評估提供支持。
❑ 通過評估證實產品或系統的安全功能,保證滿足特定的安全需求。
❑ 標準中提出的安全功能可被開發者在其產品或系統中實現,促進其技術進步。
❑ 標準中的保證要求可幫助開發者規範其研發、生產和集成等過程,提高生產管理能力。
分享到:
