新的一般準則安全評估架構和 Windows 2000 評估
C2 是指由「國家安全局」(National Security Agency,NSA)「國家電腦安全中心」(National Computer Security Center,NCSC) 所建立的電腦系統安全評估等級。建立 C2 評估之電腦系統組態的安全功能,被美國政府評斷為值得信賴的功能,可以用在尚未分類但又機密的資料。在「美國可靠電腦系統評估準則」(或「橘皮書」) 當中,指定了 C2 評估的標準。英國「電腦和電子安全群組」(Computer and Electronics Security Group,CESG) 也是利用「歐洲資訊技術安全評估準則」(European Information Technology Security Evaluation Criteria,ITSEC) 來評估產品。Microsoft® Windows NT® 3.5 和 Windows NT® 4.0 都是經過 TCSEC 和 ITSEC,而順利完成 C2 評估的。 <https://www.microsoft.com/technet/security/news/c2eval.mspx )。
在 1998 後半年,美國及其他國家政府開始採用稱為「一般準則」(Common Criteria) 的新安全評估架構,取代 TCSEC 和 ITSEC 程序。Microsoft Windows® 2000 及其後繼產品都將採用「一般準則」評估。這一點提供了有關 Microsoft 規劃 Windows 2000 評估的背景資訊。
一般準則
這個新的安全評估架構稱為「資訊技術安全評估的一般準則」(Common Criteria for Information Technology Security Evaluation,CCITSE)。 由於「一般準則」是採國際標準,因此由某國評估授權機構以「一般準則」發出的評估結果,在國際上都能夠通用。在「一般準則」下,產品類別 (如作業系統) 是根據指定安全功能要求之「保護設定檔」的基本需求而加以評估的。您可以開發「保護設定檔」,將它套用到作業系統、防火牆、智慧卡、或其他可能符合安全需求的產品。「一般準則」針對被評估的產品,指定了一系列的「評估確定等級」(Evaluation Assurance Levels,EAL)。EAL 越高,表示產品安全功能執行的正確度和有效度越高。有關某些「一般準則」評估活動 (包括測試在內) 的詳細資訊,請參閱「國家電腦安全中心」(National Computer Security Center,NCSC) 網站,網址為: <https://www.radium.ncsc.mil/tpep/library/ccitse/cem.html 。
可控式存取保護設定檔
NCSC 開發了「可控式存取保護設定檔」(Controlled Access Protection Profile,CAPP),取代 TCSEC C2 評估需求。CAPP 針對「資訊技術」(Information Technology,IT) 產品,指定了一組安全功能和確定需求。採用 CAPP 的產品,支援可在個別使用者和資料物件上強制套用存取限制的存取控制,而它所提供的稽核功能,也可以記錄在系統當中所發生的安全相關事件。CAPP 可以讓分散式作業系統 (亦即,在網路組態當中) 根據 CAPP 加以評估。有關 CAPP 的詳細資訊,請造訪 ( https://www.radium.ncsc.mil/tpep/library/protection_profiles/CAPP-1.d.pdf )。
CAPP 和 C2 的關係
CAPP 是從 TCSEC 類別 C2 的基本需求衍生而來。CAPP 所描述的安全功能和確定,與 TCSEC 類別 C2 所要求的一樣。
將 Windows 2000 當作 CAPP 相容系統 Windows 2000 是針對 CAPP 相容系統特別設計的,完全符合其基本需求,甚且超越其中許多條件。Microsoft 已經確認要以「一般準則」評估作為網路作業系統的 Windows 2000。這種評估方法會產生下列各項的評估組態:執行 Windows 2000 Professional 的工作站、執行 Windows 2000 Server 和 Windows 2000 Advanced Server 的伺服器、以及執行 Windows 2000 的網域控制站 (其中包括並且利用 Windows 2000 目錄服務、IPSEC 服務、加密檔案系統 (EFS) 和復原服務、以及採網域架構的原則管理在內)。
Windows 2000 CC 評估辨識項 (evidence) 在以 C2 評估 Windows NT 3.5 和 Windows NT 4.0 時,評估人員是根據 Microsoft 內部設計規格、以及評估人員和 Microsoft 開發人員之間的技術問題與回答,來建立他們的工作。新的 CC 評估處理程序要求廠商以一份簡單、獨立 (self-contained) 的套件,提供符合特定 CC 內容需求的評估辨識項。比方說,每一個 Windows 2000 外部安全相關介面的規格,都必須陳述它所實施的特定安全檢查,以及它所引介的特定安全效果。Microsoft 正在投資建立 CC 相容的設計規格,以及對應的 Windows 2000 測試辨識項。Microsoft 希望能夠針對 Windows 2000 的後繼產品,維護這個 CC 相容的辨識項。
目前的 Windows 2000 評估狀態
Microsoft Windows 2000 目前是在評估階段當中。Microsoft 已經與 SAIC ( <https://www.saic.com/securebiz/cctl.html ) 簽約,尋求開發評估辨識項的支援,以及 SAIC 一般準則評估實驗室的服務。NIAP ( <https://niap.nist.gov/ ) 已經向 Microsoft 確認,SAIC 的評估小組基本上已經完成第一階段的評估作業。在完成第一階段評估作業最重要的里程碑時,由 Microsoft 提出的 Windows 2000 安全目標,已經評估了下列幾個方面:
- 它所陳述的評估目標 (TOE) 說明。
- 它所陳述的安全環境。
- 它所陳述的安全方針。
- 它所陳述的「可控式存取保護設定檔」相容宣告。
- 它所明確陳述的 IT 安全基本需求。
- 它所陳述的 TOE 摘要規格。
Microsoft 也在排程內通過了折衷辦法,產生 Windows 2000 符合 EAL4 「一般準則」評估需求的辨識項。這些辨識項包括下列幾項:
- 與安全相關之 Windows 2000 外部介面的設計規格。
- Windows 2000 安全相關外部介面的有效程度測試報告。
下述辨識項可以用於 SAIC 評估小組的檢查:
Microsoft 組態管理 (CM) 系統,負責保護 Windows 系列作業系統的開發和維護處理的整合性。
Windows 系列作業系統的 Microsoft 產品交付程序。
Microsoft 對 Windows 系列作業系統的壽命週期支援。
針對下列各項的安全相關外部介面所設定的 CC 相容設計規格和測試碼:
Windows 執行元件 (亦即,核心)。
IO 元件,其中更細分為下列元件:
- 核心 IO 管理員。
- 檔案系統,包括 NTFS 和 EFS。
- 網路,包括以 IPSEC 實作 Windows TCP/IP,以及 Windows CIFS 實作在內。
當地安全授權機構 (Local Security Authority,LSA) 元件,其中包括下列各項:
- Kerberos 驗證軟體。
- NTLM 驗證軟體。
- SChannel (SSL)。
- 「安全原則」設定。
- LDAP。
- 目錄複寫。
2001 後半年的主要活動
SAIC 評估小組打算全速評估 Microsoft 辨識項。他們將使用來源碼和現場測試系統, 檢查 Microsoft 測試碼和文件的一致性。同時,也將造訪 Microsoft Windows 部門,確認 Windows 軟體開發和維護的記錄範例,都有實際遵守。Microsoft 會交付剩下的 Windows 2000 評估辨識項,包括 CC 相容管理員和使用者手冊,以及使用一些「群組原則」物件安全範本所做的評估組態。在未來的 Windows 版次當中,如果有任何錯誤會影響到特定的 CC 安全需求,Microsoft 也會加以修正。
摘要
經由 NIAP 認可的獨立 SAIC 評估人員,正根據「一般準則」評估方法, 檢查 Microsoft 辨識項的精確度和完成度。而由美國 NIAP (國家資訊確定合作關係) 負責監視這項評估作業。NIAP ( <https://niap.nist.gov/ ) 是美國的 CC 評估授權機構。CC 評估完成之後,會產生一份定案的「評估技術報告」(Evaluation Technical Report,ETR),送交 NIAP 進行認證。