信息安全是我們這個(gè)時(shí)代最重要的話(huà)題之一。有一件事是肯定的：總會(huì)有攻擊者試圖利用軟件中的漏洞來(lái)濫用它。我們目前正在經(jīng)歷網(wǎng)絡(luò)攻擊數(shù)量的快速增長(zhǎng)。惡意行為者 - 通常是專(zhuān)業(yè)的罪犯或國(guó)家攻擊者 - 正在獲取機(jī)密信息，訪問(wèn)系統(tǒng)以控制它們，或破壞它們以使其不再運(yùn)行的程度。

然而，網(wǎng)絡(luò)攻擊的動(dòng)機(jī)在共同標(biāo)準(zhǔn)中根本沒(méi)有作用（或只是從屬的），因?yàn)閰⑴c者被分配的角色使他們成為威脅。區(qū)分用戶(hù)是無(wú)意中危害系統(tǒng)還是攻擊者（由通用準(zhǔn)則稱(chēng)為威脅代理）故意攻擊系統(tǒng)。但是，這只有在從損害和“要保護(hù)的資產(chǎn)”（特別是系統(tǒng)的組成部分）的角度考慮這些類(lèi)別時(shí)才重要。

通用標(biāo)準(zhǔn)認(rèn)證的工作原理

考慮一個(gè)交互式展臺(tái)的制造商（系統(tǒng)集成商），他想要認(rèn)證一系列新的展臺(tái)。為此，將全面檢查由硬件（SoC、支付終端和顯示器）和軟件（操作系統(tǒng)、硬件抽象層以及用于通過(guò)網(wǎng)絡(luò)訂購(gòu)商品和支付的應(yīng)用程序）組成的信息亭。

這是因?yàn)槿魏胃鶕?jù)通用標(biāo)準(zhǔn)進(jìn)行認(rèn)證的人都有一個(gè)完整的系統(tǒng)，或IT產(chǎn)品/嵌入式系統(tǒng)（在通用標(biāo)準(zhǔn)中稱(chēng)為評(píng)估目標(biāo)，簡(jiǎn)稱(chēng)TOE），必須保護(hù)它免受上述參與者的損害。這包括（但不一定）硬件，必須保護(hù)硬件免受物理濫用，例如盜竊、操縱等;和軟件，必須根據(jù)某些范式進(jìn)行評(píng)估。但是，也可以宣布其他安全目標(biāo)。

系統(tǒng)集成商并不孤單。另一個(gè)實(shí)體（通常是測(cè)試實(shí)驗(yàn)室）協(xié)助認(rèn)證，并由權(quán)威機(jī)構(gòu)（通常是政府）頒發(fā)認(rèn)證。

所有可能和合理的參與系統(tǒng)的參與者都將被識(shí)別出來(lái)，例如用戶(hù)（客戶(hù)），程序員（他們可能出于任何動(dòng)機(jī)安裝特洛伊木馬），以及肆意破壞信息亭的人。這些行為者所有可以想象的攻擊都將以共同準(zhǔn)則的語(yǔ)言命名和分配。將指出如何消除或最小化此類(lèi)攻擊的損害的對(duì)策，以便保護(hù)組件（資產(chǎn)）。最后，權(quán)威機(jī)構(gòu)（例如德國(guó)聯(lián)邦信息安全辦公室（BSI））將驗(yàn)證是否可以授予認(rèn)證，然后授予或拒絕認(rèn)證。

共同準(zhǔn)則的哲學(xué)

通用準(zhǔn)則是當(dāng)前且定期維護(hù)的通用安全認(rèn)證。它的設(shè)計(jì)方式使其可以盡可能普遍地使用，因此可以在任何地方使用，因此可以在任何地方使用，這與特定的DO-356A / ED-203A安全認(rèn)證相反，例如，該認(rèn)證是為航空電子系統(tǒng)設(shè)計(jì)的，并且僅用于那里（即飛機(jī)）。

通用準(zhǔn)則經(jīng)過(guò)明確設(shè)計(jì)，以便可以將來(lái)自IT安全研究的結(jié)果納入其中，因?yàn)榻Y(jié)構(gòu)足夠靈活，可以擴(kuò)展或修改。這種靈活性還允許將大部分要求用于特定認(rèn)證，例如 DO-356A/ED-203A。

因此，一方面，無(wú)論需要哪種特定認(rèn)證，都可以相對(duì)方便地將已經(jīng)認(rèn)證的工件轉(zhuǎn)移到新項(xiàng)目中;另一方面，以這種方式預(yù)先認(rèn)證的系統(tǒng)可以用作新項(xiàng)目的基礎(chǔ)。這對(duì)操作系統(tǒng)制造商來(lái)說(shuō)是有意義的，因?yàn)檫@里不清楚操作系統(tǒng)是用于汽車(chē)、無(wú)人機(jī)、工業(yè)機(jī)器人、外骨骼還是衛(wèi)星。

考慮一家飛機(jī)制造商，他們希望根據(jù)DO-356A / ED-203A對(duì)其航空電子系統(tǒng)進(jìn)行認(rèn)證，使用實(shí)時(shí)操作系統(tǒng)來(lái)保證應(yīng)用程序是確定性的 - 方向舵必須并且將在一定時(shí)間內(nèi)做出反應(yīng)。在這種情況下，通用準(zhǔn)則未涵蓋的要求很少。事實(shí)上，通用準(zhǔn)則和DO-356A/ED-203A共有32項(xiàng)要求，這些要求完全或至少大部分一致，只有7項(xiàng)要求不適用。

對(duì)于為車(chē)輛電子系統(tǒng)設(shè)計(jì)的相對(duì)較新的ISO/SAE 21343標(biāo)準(zhǔn)，有93個(gè)全等或幾乎一致的要求，只有9個(gè)不在通用標(biāo)準(zhǔn)中。每個(gè)全等要求都可以映射到特定安全認(rèn)證的相應(yīng)要求。這并非巧合：大多數(shù)特定的安全認(rèn)證都可以追溯到通用準(zhǔn)則。

回到飛機(jī)制造商的例子：在這個(gè)政府支持的黑客攻擊和勒索團(tuán)伙威脅要墜毀飛機(jī)的時(shí)代，網(wǎng)絡(luò)安全和功能安全現(xiàn)在密不可分。這要求軟件既要為安全和保障而設(shè)計(jì)，又要通過(guò)適當(dāng)?shù)恼J(rèn)證來(lái)證明操作的完整性。

因此，在這種情況下，必須根據(jù)DO-356A/ED-203A和安全標(biāo)準(zhǔn)DO-178C進(jìn)行認(rèn)證。因此，為其項(xiàng)目尋找合適基礎(chǔ)的系統(tǒng)集成商將通過(guò)選擇根據(jù)相關(guān)行業(yè)安全標(biāo)準(zhǔn)認(rèn)證（或易于認(rèn)證）的操作系統(tǒng)來(lái)節(jié)省大量時(shí)間、精力和金錢(qián)，并且還根據(jù)通用標(biāo)準(zhǔn)進(jìn)行了足夠高的認(rèn)證，以涵蓋適用的行業(yè)特定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

安全評(píng)估

就像 DO-178C 制定從 DAL D 到最高級(jí)別的 DAL A 的安全級(jí)別一樣，提高評(píng)估保證級(jí)別 （EAL） 可以保證對(duì)認(rèn)證系統(tǒng)建立對(duì) IT 安全的合理信心。然而，雖然DO-178C可以對(duì)安全性做出或多或少的明確陳述，但通用標(biāo)準(zhǔn)級(jí)別并不直接表明系統(tǒng)在安全/不安全二分法意義上的安全性，而是對(duì)系統(tǒng)的合理信任做出陳述。

這種間接的信任聲明是基于這樣一個(gè)事實(shí)，即在IT安全問(wèn)題上沒(méi)有絕對(duì)的確定性。雖然統(tǒng)計(jì)（故障）概率證明了對(duì) DAL A 等安全級(jí)別的信任，因?yàn)橹环治隽思夹g(shù)環(huán)境，人為因素對(duì)于通用準(zhǔn)則和一般的 IT 安全具有決定性作用，因?yàn)槲覀冋谔幚硪粋€(gè)對(duì)手，與技術(shù)系統(tǒng)不同，他可能導(dǎo)致系統(tǒng)隨意失敗。一個(gè)技術(shù)系統(tǒng)可能會(huì)失敗，但它不能做任何事情來(lái)導(dǎo)致自己失敗。

這種情況和共同準(zhǔn)則的理念是由于這樣一個(gè)事實(shí)，即開(kāi)放計(jì)算是對(duì)所有可能性進(jìn)行的。這反映在評(píng)估過(guò)程中采用攻擊者的觀點(diǎn)并使用缺陷假設(shè)方法、滲透測(cè)試和其他措施等方法搜索漏洞（取決于級(jí)別）的程序中。

然而，或者正是由于這種方法，共同準(zhǔn)則提供了一種藍(lán)圖或構(gòu)建工具包，用于從頭開(kāi)始設(shè)計(jì)系統(tǒng)，以便盡可能避免漏洞并使資產(chǎn)得到最佳保護(hù)。在評(píng)估這一點(diǎn)上投入的精力越多，對(duì)系統(tǒng)的信心就越大。這反映在水平增加時(shí)。

通用準(zhǔn)則的評(píng)估保證級(jí)別 （EAL）

如果要實(shí)現(xiàn)七個(gè) EAL 之一，則必須滿(mǎn)足某些條件。首先，對(duì)嵌入式系統(tǒng)進(jìn)行分級(jí)的重要三個(gè)維度是范圍、深度和嚴(yán)謹(jǐn)性。

范圍只是意味著嵌入式系統(tǒng)的一部分有多大（您也可以只認(rèn)證嵌入式系統(tǒng)的一部分 - 通用標(biāo)準(zhǔn)使您可以自由地認(rèn)證要認(rèn)證的內(nèi)容）。深度表示對(duì)產(chǎn)品的檢查有多細(xì)粒度，分析有多詳細(xì)。最后，嚴(yán)謹(jǐn)性表明評(píng)估的執(zhí)行程度。這包括正式證明某些東西是安全的。

根據(jù)預(yù)定義的矩陣，類(lèi)與子系列一起列出，每個(gè)子系列都提出了要認(rèn)證的嵌入式系統(tǒng)的目標(biāo)和要求。這里的三個(gè)維度是相應(yīng)班級(jí)級(jí)別的指南針。咨詢(xún)的領(lǐng)域（此處稱(chēng)為類(lèi)）包括開(kāi)發(fā)、指南文檔、生命周期支持、安全目標(biāo)評(píng)估（安全目標(biāo)是系統(tǒng)集成商證明其努力的中心文檔）、測(cè)試和漏洞評(píng)估。

例如，Test 類(lèi)包含深度 （ATE_DPT） 和功能測(cè)試 （ATE_FUN） 子系列等。深度（ATE_DPT）不要與前面提到的尺寸深度混淆。

要達(dá)到一定的 EAL，亞族的級(jí)別必須（至少）達(dá)到相應(yīng) EAL 級(jí)別所需的所有高度。例如，如果要達(dá)到 EAL 5，在類(lèi)測(cè)試中，對(duì)于亞族深度，至少必須達(dá)到亞族級(jí)別 3，這對(duì)應(yīng)于模塊化設(shè)計(jì)，而級(jí)別 1 對(duì)應(yīng)于基本設(shè)計(jì)。

對(duì)于 1 級(jí)的基本設(shè)計(jì)，只需要對(duì)安全功能 （TSF） 進(jìn)行（相對(duì)膚淺的）描述，并且這些功能如描述的那樣。在第 3 級(jí)，TSF 及其每個(gè)模塊都需要詳細(xì)說(shuō)明，描述（內(nèi)部）功能和接口以及這些功能和接口按指定的方式運(yùn)行。這里的范圍、深度和嚴(yán)謹(jǐn)性更大。《共同準(zhǔn)則》指出，通過(guò)披露，避免錯(cuò)誤的信心增加。因此，在所有類(lèi)別中，必須滿(mǎn)足某些次級(jí)目標(biāo)才能達(dá)到給定的水平。

EAL 3 或 5 – 有什么區(qū)別，加號(hào)是什么意思？

如果您以 PikeOS 等實(shí)時(shí)操作系統(tǒng)為例，它擁有當(dāng)前有效的認(rèn)證，并且之前在較低級(jí)別獲得認(rèn)證，您可以看到差異： PikeOS 分離內(nèi)核的先前認(rèn)證為 EAL 3+ 級(jí)別（加號(hào)表示除了必須達(dá)到的子族的所有級(jí)別外， 對(duì)在嵌入式系統(tǒng)上下文中似乎有意義的可選類(lèi)進(jìn)行了額外的評(píng)估）。

EAL 3 表示嵌入式系統(tǒng)已經(jīng)過(guò)系統(tǒng)測(cè)試和驗(yàn)證。這被理解為包括一個(gè)完整的安全目標(biāo)，其中已經(jīng)分析了安全功能要求（SFR），嵌入式系統(tǒng)的安全架構(gòu)的描述以了解其功能，接口描述和指導(dǎo)文檔。

功能、滲透測(cè)試和漏洞分析也是必要的，以滿(mǎn)足進(jìn)一步的要求，例如嵌入式系統(tǒng)的配置管理和安全交付程序的證明。通用準(zhǔn)則談到了開(kāi)發(fā)人員和用戶(hù)的整體中等安全級(jí)別，可以獨(dú)立確認(rèn)。

PikeOS 的分離內(nèi)核現(xiàn)已在 5.5.1 版本中達(dá)到 EAL 3+。這標(biāo)志著一些差異：除上述要求外，該級(jí)別還首次增加了模塊化安全功能設(shè)計(jì)（TSF，TOE安全功能）。

TSF 包括硬件、軟件和固件（即硬件抽象層，可以是 BIOS 或主板支持包），它們必須滿(mǎn)足所述要求 （SFR）。最大的區(qū)別在于，嵌入式系統(tǒng)不僅經(jīng)過(guò)了有條不紊的測(cè)試和檢查，而且以更結(jié)構(gòu)化的方式開(kāi)發(fā)，因此更具可分析性，并且存在半正式的描述。

在 PikeOS 的情況下，加號(hào) （+） 表示，除了 EAL 5 級(jí)別的所有要求外，可選類(lèi)AVA_VAN（漏洞分析）、ADV_IMP（實(shí)現(xiàn)表示）、ALC_DVS（開(kāi)發(fā)安全）、ALC_CMC（CM 功能）（等等）也已在最高級(jí)別 EAL 7 上實(shí)現(xiàn)。換句話(huà)說(shuō)，PikeOS在某些方面具有EAL 7級(jí)別。特別是對(duì)于漏洞分析類(lèi)，這對(duì)系統(tǒng)集成商來(lái)說(shuō)是一個(gè)很大的附加值，因?yàn)橐呀?jīng)證明，TOE的剩余漏洞只能被攻擊潛力為（在通用標(biāo)準(zhǔn)語(yǔ)言中）“超出高”的攻擊者利用。

這是可能的最高評(píng)級(jí)。它基于由以下因素確定的分?jǐn)?shù)：識(shí)別和利用所需的時(shí)間（經(jīng)過(guò)的時(shí)間）、所需的技術(shù)專(zhuān)業(yè)知識(shí)（不僅包括某些知識(shí)，還包括攻擊者的數(shù)量（專(zhuān)業(yè)知識(shí)）、TOE 設(shè)計(jì)和操作知識(shí)（TOE 知識(shí)）、“機(jī)會(huì)之窗”以及所需的設(shè)備， 例如利用所需的IT硬件/軟件或其他工具（設(shè)備）。

此外，EAL 5 要求對(duì)嵌入式系統(tǒng)進(jìn)行全面的配置管理，包括一定程度的自動(dòng)化，以及完整的接口描述。通用準(zhǔn)則確保以這種方式開(kāi)發(fā)的產(chǎn)品（與 EAL 3 不同）不僅可以承受基本級(jí)別的攻擊，還可以承受中等攻擊潛力。

由于PikeOS本質(zhì)上是一個(gè)具有實(shí)時(shí)能力的硬分離內(nèi)核，可以在空間和時(shí)間上（即分區(qū)和流）安全可靠地分離應(yīng)用程序，因此理論上，設(shè)法訪問(wèn)一個(gè)分區(qū)的攻擊者無(wú)法訪問(wèn)另一個(gè)分區(qū)。他也不能導(dǎo)致另一個(gè)權(quán)限提升，但在這種情況下只能訪問(wèn)這個(gè)單一的應(yīng)用程序。然而，即使這樣也不太可能，因?yàn)橛捎诒匦韬蛯?shí)現(xiàn)的安全功能和緩解技術(shù)（如安全啟動(dòng)或硬件 - 軟件信任鏈）存在非常嚴(yán)格的權(quán)限管理。

在EAL 5級(jí)別，系統(tǒng)集成商首次也需要一定程度的安全工程技術(shù)，但開(kāi)發(fā)成本 - 正如通用標(biāo)準(zhǔn)所述 - 并非不合理。這對(duì)最終產(chǎn)品意味著什么，只有在事先檢查要求后才能更精確地確定。但是，通用準(zhǔn)則還指出，創(chuàng)建安全產(chǎn)品的大量努力可以滿(mǎn)足高安全性要求，并且這一點(diǎn)已得到獨(dú)立確認(rèn)。

因此，EAL 5（在PikeOS的情況下，甚至是EAL 5+）在安全性和成本效益之間占據(jù)了最佳平衡點(diǎn)，并且憑借其豐富的功能，提供了創(chuàng)建現(xiàn)代，網(wǎng)絡(luò)和安全嵌入式系統(tǒng)的可能性。

審核編輯：郭婷