信息技术安全总体评估指南、脆弱性评定、评估技术和工具.docx

《信息技术安全总体评估指南、脆弱性评定、评估技术和工具.docx》由会员分享，可在线阅读，更多相关《信息技术安全总体评估指南、脆弱性评定、评估技术和工具.docx（26页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、附录A（资料性）总体评估指南A. 1目的本章的目的是要涵盖用于提供评估结果的技术证据的通用指南。使用这些通用指南有助 于评估者所执行的工作能够满足客观性、可重复性和可再现性。A. 2抽样本节提供了抽样的通用指南。具体和详细的信息在那些必须进行抽样的特定评估者行为 元素相关的工作单元中给出。抽样是评估者的一个既定程序，据此检查某个能代表整个评估证据集合的子集，以允许 评估者不用对全部证据进行分析，就能足够信任特定评估证据的正确性。抽样的目的是为了 在保证足够保障级别的前提下以节约资源。对证据进行抽样可能出现两种结果： 该子集未揭示错误，因此评估者对所有证据的正确性产生一定的信任。 该子集揭示了错

2、误，因此使评估者对所有证据的有效性产生怀疑。即使找到了针对 所有错误的解决办法，也难以为评估者带来必要的信任。为此，评估者可能会增加 子集的大小，或停止对这个特定证据进行抽样。抽样是一种从一组本质特征相似的证据中获得可靠结论的技术，例如，通过一个明确定 义的过程产生的证据。在执行评估者行为时，实施GB/T 18336中标识的抽样和在通用评估方法工作项中所作 的特定抽样，是一种比较合算的方法。其他的抽样只在一些例外情况下才被允许，例如，某 项特殊评估活动的开销整体上与其他活动不成比例，且付出这种开销又无法相应地提高保障 时。在这种情况下，应制定在这些领域实施抽样的基本原理。TOE本身的庞大、复杂

3、，或内 在的众多安全功能要求，都不能成为使用抽样的充分理由，因为对于庞大复杂的TOE的评估 只是需要付出更多的努力。更确切地讲，旨在将这种例外限制在以下情况：TOE开发方法产 生了大量的关于特定GB/T 18336要求的素材，这些素材通常都需要被核查或检查，但这些 行为又不指望能够相应地提高保障性。考虑到对TOE安全目的及威胁可能产生的影响，需要论证抽样的合理性。这种影响取决 于因抽样而可能遗漏的内容。另外，还需要考虑抽样证据的性质，不能因抽样而降低或忽略 任何安全功能要求等。宜认识到，与TOE实现直接相关的证据抽样（例如，开发者测试结果）需要一种不同的 抽样方法，抽样与确定过程是否被遵循有关

4、。在很多情况下，评估者需要确定某个过程是否 被遵循，并建议一个抽样策略。对开发者的测试结果进行抽样的方法会有所不同。这是因为 前一种情况关心的是确保过程到位，而后者却是确定TOE是否被正确实现。通常，在与正确 实现TOE有关的情况下，宜分析比确保流程到位所需的更大的样本量。在某些情况下，评估者可能会更加重视开发者测试的重复性。例如，如果留给评估者执 行的独立测试与包含在广泛开发者测试集里的测试只有表面上不同（可能是因为开发者已经 执行了比满足覆盖（ATE_COV）和深度（ATE_DPT）所需的更多测试，），那么评估者将更加 关注开发者测试的重复性。需要注意的是，这并不一定意味着需要高百分比的样

5、品来重复开h）执行原本不打算执行的数据，或使其为可执行，包括涉及病毒的攻击（例如，将可 执行代码或命令置于文件中，当文件被编辑或访问时 可执行代码或命令会自动执 行，从而继承文件所有者所拥有的任何特权）；i）为组件生成非预期的输入，可产生出非预期的效果，攻击者可以利用这一点。例如， 如果用户获得了对底层操作系统的访问权，则TSF即被旁路，这个访问权可随登录 序列获得，通过在验证口令时，探测各种控制点击或转义序列的效果来完成；J）使低层组件所依赖的假设和属性失效，包括这样一类攻击，其通过突破应用程序的 限制，以获得对底层操作系统的访问权，从而旁路应用程序的TSF。在这种情况下， 无效的假设是：应

6、用程序的用户不可能获得这种访问权。可以设想针对底层数据库 管理系统上的应用程序进行类似的攻击，如果攻击者能够突破应用程序的限制，则 可以旁路TSF；k）基于读取存储在保护不足的区域中（当涉及保密性时）的敏感数据的攻击，包括以 下问题，这些问题宜被视为获取访问敏感数据的可能途径：1）磁盘清理；2）访问未受保护的内存；3）利用对共享可写文件或其他共享资源（例如交换文件）的访问；4）激活错误恢复以确定用户可以获得哪些访问权限。例如，在崩溃后，自动文件 恢复系统可以使用一个“失物招领”目录保存那些在磁盘上无标签的无头文件。 如果TOE执行强制访问控制，则需要调查这个目录保持在什么安全级别（例 如，在系

7、统高级），以及谁有权访问这个目录。评估者可以通过多种不同的方法来识别后门，这包括两种主要技术。首先，评估者在测 试期间无意中识别出可能被误用的接口。其次，通过在调试模式下测试TSF的每个外部接口， 来识别未被调用的模块，然后检查未被调用的代码来判断是否是后门。针对一个软件TOE,对子活动ADV_IMP.2和ALCLTAT.2,或者包含在保障包中的更高组件 进行评估，评估者可以在分析工具时，考虑编译器在编译阶段链接的库和包，以确定在此阶 段未引入后门。B. 3.2篡改篡改包括所有试图影响TSF行为的攻击（例如，破坏或使失效），如：a）访问TSF所依赖的具有保密性或完整性要求的数据；b）迫使TOE

8、应对异常或意外情况；c）禁用或延迟安全执行；d）物理修改TOE。评估者在独立脆弱性分析中，宜考虑以下各项（如果相关）：a）基于访问数据的攻击，其保密性或完整性受到保护，包括：1）直接或间接读取、写入或修改内部数据；2）在非预期的场景中或出于非预期的目的中使用组件；3）使用在更高抽象层中不可见的组件之间的接口。b）直接或间接读取、写入或修改内部数据，应当考虑以下攻击类型：1）读取内部存储的“秘密”，如用户口令；2）欺骗安全执行机制所依赖的内部数据；3）修改环境变量（如：逻辑名称），或配置文件或临时文件中的数据。c）可能欺骗受信任进程从而修改通常不会被访问的受保护文件；d）评估者还宜考虑以下“危险

9、特征”：1）和编译器一起驻留在TOE上的源代码（例如，修改登录相关的源代码）；2）交互式调试器和补丁工具（例如，修改可执行镜像文件）;3）在不存在文件保护的设备控制层进行更改的可能性；4）存在于源代码中的诊断代码；5）遗留在TOE中的开发者工具。e）使用在非预期的场景中或出于非预期的目的中使用组件，例如，当TOE是建立在操 作系统上的应用程序时，用户利用文字处理器或其他编辑器的知识，来修改自己的 命令文件（如获得更大的特权）；f）在更高抽象层中不可见的组件之间的接口，包括利用对资源的共享访问机制的攻击, 其中一个组件修改资源可以影响另一个（受信任的）组件的行为。例如，在源代码 级别，利用全局数

10、据或间接机制，如共享内存或信号量）；g）基于强迫TOE应对异常或非预期场景的攻击。包括：1）为组件生成非预期输入；2）使底层组件所依赖的假设和属性失效。h）为组件生成非预期输入，包括调查TOE在以下情况下的行为：1）命令输入缓冲区溢出，例如，攻击者可以利用“栈崩溃”或覆盖其他存储空间， 或者强制使用可能包含敏感信息（如明文口令）的崩溃转储；2）输入无效的命令或参数，包括向期望通过参数返回数据的接口提供只读参数， 或提供格式不正确而导致解析失败的输入（如SQL注入、格式字符串）；3）在审计跟踪中插入文件结束标记（例如，CTRL-Z或CTRL-D）或空字符。i）使底层组件所依赖的假设和属性失效，包

11、括利用代码中的错误进行攻击，而代码已 假定（显式或隐式）与安全相关的数据采用了特定格式或具有特定范围的值。在这 种情况下，评估者宜确定他们是否可以通过使数据采用不同的格式或不同的值来使 这些假设无效，如果可以，这是否会给攻击者带来优势；j） TSF的正确行为可以是基于某种假设的，然而在极端情况下，如果资源达到上限或 参数达到最大值时，此类假设可能无效。例如：当达到这些限制时，评估者宜考虑 （在可行的情况下）TOE的行为，例如：1）更改日期（例如，检查TOE在通过关键日期阈值时的行为）；2）填充磁盘；3）超过最大用户数；4）填充审计日志；5）在控制台上使安全警报队列饱和；6）使严重依赖通信组件的

12、多用户TOE的各个部分过载；7）用流量攻击网络或单个主机；8）填充缓冲区或字段。k）基于禁用或延迟执行安全措施的攻击包括以下内容：1）使用中断或调度功能扰乱排序；2）干扰并发；3）使用在更高抽象层中不可见的组件之间的接口。1）使用中断或调度功能扰乱排序，调查TOE的行为包括：1）中断指令（通过CTRL-C、CTRL-Y等）；2）在第一个中断被确认之前发出第二个中断。m）宜探索终止安全关键进程（如：审计守护进程）的影响。同样，可能会延迟审计日 志的记录，或警报的发出或接收，使其对管理员无用（因为攻击可能已经成功）；n）干扰并发，包括调查TOE在两个或两个以上主体尝试同时访问时的行为。可能TOE

13、可以应付两个主体同时访问，但是存在更多主体时，其行为变得不那么明确。例如， 如果两个其他进程正在访问它所需要的资源，关键安全进程可能处于资源等待状态;o）使用在更高抽象层中不可见的组件之间的接口，可以提供一种方法，用以延迟与时 间强相关的可信进程；P）物理攻击可分为物理探测、物理操纵、物理修改和替换。1）对TOE内部进行物理探测，例如读取内部通信接口、线路或存储器。2）物理操纵可与TOE内部结构一起进行，目标是修改TOE的内部（例如，通过使 用激光故障注入作为交互过程），或TOE的外部接口（例如，通过电源或时钟故 障）及TOE环境（例如，通过改变温度）。3）物理修改TOE内部安全强制属性以继承

14、权限或其他在常规操作中应拒绝的功 能。可导致此类修改例子，如激光故障注入。基于物理修改的攻击也可导致对 TSF本身的修改，例如执行前在TOE内部程序数据传输中引起故障。注意，通 过修改TSF本身的这种旁路，可能危及每个TSF,除非有其他措施（可能是环 境措施）来防止攻击者物理访问TOE。4）在交付或使用期间，用另一个IT实体替换TOE。在将TOE从开发环境交付给 用户的过程中，通过采用安全的交付过程（如开发安全（ALJDVS）来防止过 程中替换的发生。TOE在使用过程中的替换，可以通过用户指南和运行环境， 使得用户能够确信他们正在与TOE进行交互。B.3.3直接攻击直接攻击包括识别任何必要的穿

15、透性测试，以达到测试概率或置换机制和其他机制的强 度，以确保它们能够承受直接攻击。例如，伪随机数生成器的特定实现具备安全机制种子所需的烯，这可能是一个有缺陷的 假设。概率或置换机制依赖于安全属性值的选择（例如，口令长度的选择）或用户人为输入的数 据（例如，口令的选择），假设应反映最坏的情况。在检查作为本子活动（安全目标、功能规范、TOE设计与实现）输入的评估证据时，应 确定概率或置换机制。并且任何其他TOE文档（例如，指导性文档）可能识别出其他概率或 置换机制。对于设计证据或指导性文档，包括了断言或假设（例如，关于每分钟可能进行的鉴别尝 试次数），评估者宜独立确认这些是正确的，这可以通过测试或

16、独立分析来实现。在脆弱性分析（AVA_VAN）中，不宜考虑依赖于密码算法弱点的直接攻击，因为这超出 了GB/T 18336.3-20XX的范围，在ADV和ATE活动中考虑了密码算法实现的正确性。B. 3. 4监控信息是关于实体属性之间关系的抽象视图，即如果TOE能够对一个信号作出反应，那么 这个信号就包含了一个系统的信息。TOE资源处理和存储由用户数据表示的信息，因此：a）通过TOE内部传输或从TOE输出，信息可随用户数据在主体之间流动；b）可以生成信息并传递给其他用户数据；c）可以通过监控对代表信息的数据的操作来获取信息。由用户数据表示的信息可以由诸如“分级分类”的安全属性来描述其特征，例如

17、非密、 秘密、机密、绝密，用以控制对数据的操作。这个信息以及安全属性可以通过操作来改变， 例如FDP_ACC.2可以描述通过“清洗”降低分类级别或通过数据组合提高分类级别。这是信 息流分析的一个方面，聚焦于受控主体对受控客体的受控操作。另一方面是对非法信息流的分析。这方面比直接访问包含由FDP_ACC族处理的用户数 据的客体更通用。对于在信息流控制策略控制下的信息，通过监控包含或与此信息相关的任 何对象的处理（例如，侧信道），可发现承载此信息的非强制信令通道。根据操纵资源的主 体以及观察这种操纵的主体或用户，可以识别出强制信令信道。一般来说，根据被修改或调 制的资源，隐蔽信道被识别为时间或存储

18、信道。至于其他监控攻击，TOE的使用要符合SFR。隐蔽信道通常适用于TOE具有不可观测和有多层隔离策略要求的情况。在脆弱性分析和 设计活动过程中，经常会发现隐蔽信道，因此宜进行测试。然而，通常这类监控攻击需要通 过专门的分析技术来识别，这个技术称之为“隐蔽信道分析”。这些技术已成为许多研究的 主题，并且有许多关于该主题的论文发表。宜向评估机授权构寻求隐蔽信道分析实施指南。非强制信息流监控攻击包括被动分析技术，以与指导性文档相对应的方式操作TOE,来 揭露TOE的内部敏感数据。侧信道分析包括基于TOE物理泄漏的密码分析技术。在TSF运算时，时间信息、功耗、能 量辐射等方面可能发生物理泄漏。时钟信

19、息也可以被远程攻击者（通过网络访问TOE）收集。 基于功耗信息的攻击，要求攻击者处于TOE附近的环境中。窃听技术包括截获所有形式的能量，例如，计算机显示器的电磁或光辐射，不必一定要 在TOE的近场。监控还包括对协议缺陷的利用，例如对SSL实现的攻击。8. 3.5误用误用可能来自：a）不完备的指导性文件；b）不合理的指南；c） TOE的意外错误配置；d） TOE的强制例外行为。如果指导性文件不完备，用户可能不知道如何按照SFR操作TOE。评估者宜通过执行其他 评估来熟悉TOE,从而确定指导性文件是否完备。特别是，评估者宜考虑功能规范。本文件 中描述的TSF宜在指导性文件中描述，以供用户通过TSF

20、I进行安全管理和使用。此外，宜考 虑不同的操作模式以确保指导性文件为所有操作模式提供了指南。评估者可编制一份指导性文件与这些文件的非正式对照表。该对照表中的任何遗漏都表 示指导性文件不完备。如果该指导性文件对TOE的使用或运行环境的要求与ST不一致，或对安全维护要求过于 繁琐费力，则认为该指导性文件不合理。TOE可以使用多种方式帮助用户根据SFR使用该TOE,并防止无意的错误配置。当TOE处于 与SFR不一致的状态时，TOE可以使用相应功能（特性）来提醒用户。同时，TOE被交付时可 以附带增强指南，其包含了使用现有安全功能的建议、提示、程序等；例如，一个关于使用 审计功能来检测SFR何时受到损

21、害的指南指导性文件允许过渡到一个不安全状态，但要及时检测到这个状态，对此，评估者要考 虑TOE的功能、目的，以及运行环境安全目的，以得出这是否有合理预期的结论。TOE是否进入不安全状态，可以通过评估交付件来确定，例如作为TOE保障包内组件的证 据而提供的ST、功能规范和其他设计文档（例如，如果包含来自TOE设计（ADVJDS）的组件， 则要提供TOE/TSF设计规范）。TSF的强制例外行为实例，包括但不限于以下情况：a） TOE在启动、关闭或错误恢复时的行为；b）在极端情况下（有时称为过载或渐近），特别是这可导致TSF部分失效或禁用情况 下的TOE行为；c）任何无意的错误配置或篡改一节中提及的

22、攻击所引起的不安全使用。B.4识别潜在的脆弱性评估者可以在不同的活动中识别出潜在的脆弱性。这些脆弱性可能在评估活动中变得显 而易见，也可能在分析证据检索脆弱性的过程中被发现。8. 4.1偶遇脆弱性偶遇脆弱性是指评估者在进行评估活动时识别出潜在脆弱性，也就是说，对证据的分析 并不是为了明确查明潜在脆弱性。偶遇脆弱性的识别方法依赖于评估者的经验和知识,这些方法是由是由评估授权机构监 督和控制。此方法上是不可重复的，但将被记录下来，以确保报告的潜在脆弱性的结论的可 重复性。这种方法不需要正式的分析标准。根据知识和经验所提供的证据来确定潜在的脆弱性。 然而，这种识别方法并不局限于任何特定的证据子集。假

23、定评估者具有TOE技术知识，并已知公共领中记录的安全缺陷。这些知识可以从与TOE 类型相关的安全电子邮件列表中获得的，也可以由那些研究产品和技术中安全问题的组织所 发布的定期公告（错误、脆弱性和安全缺陷列表）中获得。这方面的知识预计不会扩展到具 体的会议记录或大学研究AVA_VAN.1或AVA_VAN.2的详细论文上。然而，为了确保所应用的知 识是最新的，评估者可能需要对公共域资料进行检索。对于AVA_VAN.3至AVA_VAN.5,对公开资料的检索则应包括大学和其他有关组织在研究活 动期间产生的会议记录和论文。可能出现这些情况的示例（评估者可能遇到潜在脆弱性）。a）当评估者在检查一些证据时，

24、触发了一个在类似产品类型中发现的潜在脆弱性的记 忆，而评估者认为被评估的TOE中也存在这个脆弱性；b）在检查一些证据时，评估者发现接口规范中的一个缺陷，此缺陷可以反映一个潜在 的脆弱性。这可能也包括，通过在IT安全出版物或评估者订阅的安全电子邮件列表中，阅读特定产 品类型的一般脆弱性来了解TOE中的潜在脆弱性。攻击方法可以直接从这些潜在脆弱性中开发出来。因此，在生成穿透性测试时，根据评 估者的脆弱性分析，宜对遇到的潜在脆弱性进行核对。没有明确的行为可让评估者遇到潜在 脆弱性。因此，评估者是通过AVA_VAN.L2E和AVA_VAN.*.4E中规定的隐含行为来指导工作。关于公共域脆弱性和攻击的当

25、前信息，可能由其他方（例如：评估授权机构）提供给评 估者。在生成穿透性测试时，评估者在核对遇到的脆弱性和攻击方法时须考虑到这些信息。9. 4. 2分析4. 2. 1 概述以下分析类型是根据评估者的行为来提出的。10. 4. 2. 2非结构化分析由评估者执行的非结构化分析（用于子活动评估（AVAJAN.2）允许评估者考虑一般 脆弱性（如B. 3中所讨论的）。评估者还将运用他们对类似技术类型缺陷的经验和知识。B. 4. 2. 3重点关注在进行评估活动的过程中，评估者还可以识别关注领域。这些是TOE证据的特定部分， 评估者对其有一些保留，尽管该证据满足与该证据相关联的活动的要求。例如，一个特定的 接

26、口规范看起来特别复杂，因此可能导致在开发或操作TOE时出现错误。在这个阶段，没有 明显的潜在脆弱性，但需要进一步调查。这超出了偶遇的范围，因此需进一步调查。潜在脆弱性与关注领域的区别：a）潜在脆弱性-一评估者知道可用于利用弱点的攻击方法，或者评估者知道与TOE相关 的脆弱性信息；b）关注领域-评估者可以根据其他地方提供的资料，将关注视为一种潜在脆弱性。在 读取接口规范时，评估者发现，由于接口的极端（不必要的）复杂性，潜在脆弱性可能就在 该区域内，尽管通过这个初步检查，脆弱性并不明显。识别潜在脆弱性的重点方法是对证据进行分析，目的是通过所含信息识别任何明显的潜 在脆弱性。这是一种非结构化的分析，

27、因为方法不是预先确定的。这种识别潜在脆弱性的方 法可用于子活动评估（AVA_VAN.3）所需的独立的脆弱性分析中。这种分析可以通过不同的方法来实现，已达到相应的信任水平。这些方法都没有严格的 证据审查格式。所采取的方法由评估者对证据的评估结果，来确定其满足AVA/AGD子活动的要求。因此， 对存在潜在脆弱性的证据的调查可以由以下任一因素导致：a）在进行评估活动期间对证据进行审查时识别的关注领域；b）依靠特定的功能来提供分隔，在架构设计分析期间识别（如评估子活动（ADV_ARC.1）, 需要进一步分析以确定它不能被旁路；c）证据的代表性检查，来假设TOE的潜在脆弱性点。评估者将报告采取了哪些行为

28、来证据中的识别潜在脆弱性。然而，评估者可能无法在检 查开始前描述识别潜在脆弱性的步骤。该方法将随着评估活动的结果而演变发展。对为满足TOE评估指定的SAR所提供的任何证据的检查，都可能会引起关注领域。还须考 虑公开可获取的信息。评估者执行的活动可以重复进行，就TOE的保障级而言，可以得出相同的结论，尽管为 得出这些结论所采取的步骤可能有所不同。由于评估者记录的是分析所采用的形式，为得出 这些结论所采取的实际步骤也是可以重复的。B. 4. 2. 4有条不紊有条不紊分析方法采用对证据进行结构化检查的形式。这种方法要求评估者指定分析将 采取的结构和形式（即与重点关注识别方法不同，分析执行的方式是预先

29、确定的）。该方法 是依据要考虑的信息以及如何/为何要考虑这些信息来指定的。这种识别潜在脆弱性的方法 可以在子活动评估（AVA_VAN.4）和子活动评估（AVA_VAN.5）所需的独立的脆弱性分析中使 用。这种对证据的分析是经过深思熟虑和预先计划的，需要考虑到所有被识别为分析输入的 证据。所有为满足保障包中规定的（ADV）保障要求而提供的证据，都被用作潜在脆弱性识别 活动的输入。对这一分析使用了“有条不紊”的描述符，以试图说明此分析的特点，即对潜在脆弱性 的识别是采取有序和有计划的方法。在检查中要采用“方法”或“系统”。评估者要描述所 使用的方法，包括要考虑的证据、要检查的证据中的信息、要考虑这

30、些信息的方式，以及要 产生的假设。以下提供一些假设可能采用的例子。a）考虑在外部接口处攻击者可用接口的畸形输入；b）检查安全机制，如域分隔，假设内部缓冲区溢出导致分隔降级；c）分析以识别在TOE实现表示中创建的任何对象，这些对象不完全由TSF控制，并可能 被攻击者用来破坏SFR。例如，评估者可以识别接口是TOE中的潜在弱点，并指定一种方法来分析“功能规范和 TOE设计中提供的所有接口将被分析以假设潜在脆弱性”，并继续解释假设中使用的方法。这种识别方法将提供一个TOE攻击计划，该计划由完成对TOE潜在脆弱性的穿透性测试的 评估者来执行。识别方法的基本原理，将为在TOE上进行的确定利用的覆盖范围和

31、深度提供 证据。B.5使用攻击潜力B.5. 1开发者考虑到威胁环境和保障组件的选择,PP/ST作者在PP/ST开发过程中使用了攻击潜力。这 可假设TOE攻击者所拥有的攻击潜力通常分为基本、增强型基本、中等或高等。另外，PP/ST 可能希望指定假设攻击者拥有的个别因素的特定级别（例如，假设攻击者是TOE技术类型的 专家，可以使用专用设备）。PP/ST作者需要考虑在风险评估期间开发的威胁概况（这超出了GB/T 18336的范围，但 在安全问题定义方面可用于PP/ST开发的输入，或在ST直接基本原理的情况下，作为需求声 明）。根据以下各节所讨论的方法之一来考虑这种威胁概况，将允许说明TOE所要抵抗的

32、攻 击潜力。B.5. 2评估者在ST评估和脆弱性评定活动中，评估者特别以两种不同的方式来考虑攻击潜力。攻击潜力是评估者在进行脆弱性分析子活动时而使用的，用以确定TOE是否能够抵抗具 有特定攻击潜力攻击者发起的攻击。如果评估者确定TOE中存在可利用的潜在脆弱性，则必 须考虑到预期环境的各个方面（包括攻击者的攻击潜力假设），以确定该脆弱性确实是可利 用的。因此，使用ST威胁表述中提供的信息，评估者需要确定攻击者实施攻击所需的最小攻击 潜力，并得出关于TOE抵抗攻击的一些结论。表B.1证实了这种分析与攻击潜力之间的关系。表B.1脆弱性测试和攻击潜力脆弱性组件TOE能够抵抗具有如下攻 击潜力的攻击者具

33、有如下攻击潜力的攻击 者才可利用残余脆弱性VAN. 5高等更高等VAN. 4中等高等VAN. 3增强型基本中等VAN. 2基本增强型基本VAN. 1基本增强型基本上表中残余脆弱性一列中的“超高等”表示攻击者要具有比“高等”更强的攻击潜力, 才可利用潜在脆弱性。这种被归类为残余脆弱性的情况反映了这样一个事实，即TOE中存在 一个已知弱点，但在当前的运行环境中，由于假定了攻击潜力，该弱点无法被利用。在任何级别的攻击潜力中，由于运行环境中有防止脆弱性被利用的对策，利用潜在脆弱 性可被被视为“不可行的”。脆弱性分析适用于所有的TSFI,包括访问概率或置换机制的TSFI。不对TSFI的设计和执 行的正确

34、性做任何假设；也不对攻击方法或攻击者与TOE的交互做限制一如果攻击是可能的, 那么在脆弱性分析时就要予以考虑。如表B. 1所示，对脆弱性保障组件的成功评估反映出TSF 的设计和实现是为了防范所需的威胁级别。评估者没有必要对每个潜在的脆弱性都进行攻击潜力计算。在某些情况下，在开发攻击 方法时.，开发和运行该攻击方法所需的攻击潜力是否与攻击者在运行环境中假定的攻击潜力 相匹配是显而易见的。对于任何被确定为可利用的脆弱性，评估者都要进行攻击潜力计算, 以确定利用适合于为攻击者假定的攻击潜力级别。只要有必要计算攻击潜力，就应采用下述的方法，除非评估授权机构提供了应用替代方 法的强制性指南。下面的表B.

35、 2和表B. 3中的数值未经数学证明。因此，这些示例表中给出的 值可能需要根据技术类型和具体环境进行调整。评估者宜寻求评估授权机构的指南。B.6计算攻击潜力B. 6.1攻击潜力的应用B. 6. 1. 1 概述攻击潜力是专业知识、资源和动机的函数。有多种方法来表示和量化这些因素。此外, 可能还有其他适用于特定TOE类型的因素。B. 6. 1.2动机的处理动机是一种攻击潜在因素，能够用来描述与攻击者及其渴望的资产有关的若干方面。首先,动机可以暗示攻击的可能性一一人们可以从一个被描述为高度动机的威胁中推断 攻击即将发生，或者预期不会有来自非动机威胁的攻击。然而，除了这两种极端的动机外, 很难从动机中

36、推导出攻击发生的概率。其次，动机可以暗示资产的价值，无论是资金还是其他方面，对攻击者或资产持有人来 说都是如此。与价值不大的资产相比，价值很高的资产更有可能引发攻击。然而，除了以一 种非常普遍的方式外，很难将资产价值与动机联系起来，因为资产的价值是主观的一一它在 很大程度上取决于资产持有人对其赋予的价值。第三，动机可以暗示攻击者实施攻击的专业知识和资源。可以推断，动机强烈的攻击者 很可能获得足够的专业知识和资源来挫败保护资产的措施。相反，如果攻击者的动机较低, 可以推断出具有丰富经验和资源的攻击者不愿意来实施攻击。在准备和实施评估的过程中，动机的三个方面都要考虑到。第一个方面，攻击的可能性，

37、是可能激发开发者进行评估的原因。如果开发者认为攻击者有足够的动机来发动攻击，那么 评估能够保障TOE有能力挫败攻击者的努力。在运行环境明确的情况下，例如在系统评估中， 攻击的动机水平可能是已知的，并将影响对策的选择。考虑到第二个方面，资产持有者可能认为资产的价值（无论如何衡量）足以激发攻击者 对他们进行攻击。一旦认为有必要进行评估，就会考虑攻击者的动机，以确定其可能尝试的 攻击方法，以及在这些攻击中使用的专业知识和资源。一旦检查完毕，开发者就能选择适当 的保障级别，特别是AVA要求组件，要与威胁的攻击潜力相称。在评估过程中，特别是作为 完成脆弱性评定活动的结果,评估者要确定TOE在其运行环境中

38、，是否足以挫败具有专业知识 和资源的攻击者。PP作者可以量化攻击者的动机，因为PP作者对TOE （符合PP的要求）所处的运行环境有 更深入的了解。因此，动机可以构成PP中攻击潜力表达的明确部分，以及量化动机的必要方 法和措施。B. 6. 2刻画攻击潜力B. 6. 2. 1 概述本节描述了决定攻击潜力的因素，并提供了一些指导方针，以帮助消除评估过程中这方 面的一些主观性。B. 6. 2. 2确定攻击潜力确定攻击的攻击潜力，相当于识别创建攻击所付出的努力，并证实它能够成功地应用于 TOE （包括设置或构建任何必要的测试设备），从而利用TOE中的脆弱性。要证明该攻击能够 成功应用，需要考虑在扩大结果

39、以创建有用攻击时遇到的任何困难。例如，一个实验揭示了 保密性数据项（如密钥）的某些位或字节，需要考虑如何获得剩余的数据项（在这个例子中， 某些位可能被进一步的实验直接测量,而其他部分可能通过不同技术来发现,如穷举搜索）。 可能没有必要进行所有的实验来识别完整的攻击，前提是这次攻击确实证明已经获得对TOE 资产的访问权，并且根据AVA_VAN组件的目标，可以在脆弱性利用中实际实施完整的攻击。 在某些情况下,根据AVA_VAN组件的目标，证明攻击可以实际实施的唯一方法是完全执行攻击, 然后根据实际需要的资源对其进行评级。假设潜在脆弱性识别的输出之一是一个脚本，该脚 本逐步描述如何实施攻击，以利用T

40、OE另一实例上的脆弱性。在许多情况下，评估者会估计利用的参数，而不是进行全面利用。估计值及其基本原理 将记录在评估技术报告中。B. 6. 2. 3需要考虑的因素在分析利用脆弱性所需的攻击潜力时, 宜考虑下列因素。a）识别和利用所需的时间（耗用时间）；b）所需的专家技术专长（专业技能）；c） TOE的设计和操作知识（TOE知识）；d）机会窗口；e）所需要的IT硬件/软件或其他设备。在许多情况中，这些因素不是独立的，而是可以在不同程度上相互替代。例如，专业知 识或硬件/软件可以代替时间。以下是对这些因素的讨论（每个因素的水平按数量级递增顺 序进行讨论）。在这种情况下，在利用阶段会考虑“成本较低”的

41、组合。彩蜴对/同是指攻击者识别TOE中可能存在的特定潜在脆弱性、开发攻击方法和维持对TOE 发起攻击的持续努力所花费的总时间。在考虑这个因素时，使用最坏的情况来估计所需的时 间量。这个因素的分类如下：a）不到一天；b） 一天到一周之间；c） 一周和两周之间；d）两周到一个月之间；e）每增加一个月（最多六个月）会导致增加一个值；f）六个月以上。专业技勉旨的是对基本原理、产品类型或攻击方法（如网络协议、Unix操作系统、缓冲 区溢出）等通用知识的掌握水平。这个因素的分类如下：a）外行：与专家或精通者相比，外行没有特别的专业知识；b）精通者：知识渊博，熟悉产品或系统的安全行为；c）专家：熟悉底层算法

42、、协议、硬件、结构、安全行为、所采用的安全原则和概念、 新攻击定义的技术和工具、密码学、产品的典型攻击、攻击方法等。引入“多重专家”级别是为了考虑这样一种情况，即针对攻击的不同步骤，需要专家级 级别的不同领域的专业知识。可能需要若干类型专业知识的情况。默认情况下，选择不同专业因素中较高的那一个。 在非常特殊的情况下，可以使用“多重专家”级别，但宜注意的是，专业知识必须涉及严格 不同的领域，如软硬件（HW）操作和密码学。磔初次是指与TOE有关的具体专业知识。这有别于一般的专业知识，但并非与之无关。 这个因素的分类如下：。a）关于TOE的公共信息（例如从互联网上获得的信息）；b）关于TOE的受限信

43、息（例如，在开发者组织内控制并根据保密协议与其他组织共享的 知识）；c）关于TOE的敏感信息（例如，在开发者组织内的不同团队之间共享的知识，其仅限特 定团队的成员才能访问）；d）关于TOE的关键信息（例如，只有少数人知道的知识，获取此信息的途径非常严格, 在必须知情和签订个人承诺的情况下才可获取）。TOE的知识可以根据设计抽象而获得，尽管这只能在一个TOE接一个TOE的基础上完成。 一些TOE设计可能是公共来源（或严重基于公共来源），因此设计表现形式也被归类为公共 或最多受限制的，而其他TOE的实现表示是非常严格控制的，因为它会给攻击者提供有助于 攻击的信息，因此被认为是敏感的，甚至是关键的。

44、可能会出现需要几种类型的知识的情况。在这种情况下，就选择不同知识因素较高的一 个。物会窗也是一个重要的考虑因素，并与耗用时间因素有关。识别或利用脆弱性可能需 要对TOE进行大量访问，以便增加其被检测到的可能性。某些攻击方法可能需要大量的离线 工作，并且只需要短暂访问TOE即可利用。访问可以是连续的，也可经过多个会话来实现。对于某些TOE,机会窗口可能等同于攻击者能够获得的TOE的样本数。试图穿透TOE并破 坏SFR可能造成TOE被破坏，导致TOE的样本无法用于进一步的测试，例如硬件设备。在这些 情况下，TOE的分布是受控制的，因此攻击者必须努力以获取更多的TOE样本。这个因素的分类如下：a）

45、“不必要/无限制”的访问意味着攻击不需要任何形式的机会来实现，因为在访问TOE 的过程中没有被检测的风险，访问用于攻击的TOE的样本数量也没有问题；b） “容易”意味着需要的访问时间少于一天，并且执行攻击所需的TOE样本数量不超过 10个；c） “中等”意味着需要的访问时间少于一个月，并且执行攻击所需的TOE样本数量不超 过100个;发者测试；事实上，给定一个广泛的开发者测试集，评估者也许能够证明一个低百分比样本 是合理的。如果开发者使用自动测试套件进行功能测试,评估者通常更容易重新运行整个测试套件, 而不是只重复开发者的测试样本。然而，评估者有义务检查自动测试是否会给出虚假的结果。 因此，这

46、意味着必须对自动测试套件的样本执行核查，在这种情况下，优先选择一些测试并 确保足够的样本量这一原则同样适用。无论何时进行抽样，宜遵循以下原则。a）抽样不宜是随机的，而宜选择能代表所有证据的抽样。样本量和样本组成须始终合 理。b）当抽样与TOE的正确实现相关时,样本宜代表与被抽样领域有关的所有方面。特别是， 选择宜涵盖各种组件、接口、开发者和运行场所和硬件平台类型。样本量宜与评估的成本效 益相称，并取决于若干TOE相关因素（如TOE的规模和复杂度，文档的数量）。c）同样，当抽样涉及到要明确获得开发者测试是可重复和可再现的证据时，所使用的 样本必须足以代表开发者测试的所有不同方面，例如不同的测试管

47、理体制。使用的样本必须 足以检测开发者功能测试过程中的任何系统性问题。由重复开发者测试和执行独立测试而产 生的评估贡献必须足以解决TOE的主要关注点。d）如果抽样涉及到获得过程证据（例如访客控制或设计审查），评估者宜抽取足够的 信息以获得对程序正被遵循的合理信心。e）发起者和开发者不宜事先被告知样本的确切组成，以确保他们及时交付样品及配套 的交付物，例如，按照评估时间表要求向评估者提供测试工具和设备。f）样本的迭择应尽可能避免偏见（不宜总是选择第一个或最后一个项目）。理想的情 况是，样本选择宜由评估者以外的人完成。在样本中发现的错误可以分为系统性错误和偶然性错误。如果是系统性错误，则宜纠正 问

48、题并采用一个全新的样本。如果是偶然性错误，只要解释恰当，不需要新样本就可能解决 问题，当然这些解释需要得到确认。在此情况下，评估者宜决定是扩大样本量还是使用不同 的样本。A.3依赖关系A. 3.1概述一般来讲，可以按任何顺序或并行方式执行所需的评估活动、子活动和行为。然而，评 估者必须考虑他们之间存在的各种依赖关系。本节提供了关于不同活动、子活动和行为之间 的依赖关系的通用指南。A. 3.2活动之间的依赖关系在某些情况下，不同的保障类可能会推荐甚至要求相关活动的执行顺序。一个具体的实 例就是ST评估活动。ST评估活动早于任何TOE评估子活动，因为ST是它们得以进行的基础和 背景。然而，在完成TOE评估之前，可能无法对ST评估作出最终裁定，因为TOE评估期间，可 能会根据活动发现的结果对ST进行变更。A.3.3子活动之间的依赖关系评估者必须考虑GB/T 18336.3-20XX中确定的组件之间的依赖关系。大多数依赖关系是 单向的，例如