超级会员免费看
信息安全开发的本体论方法
1. 通用准则基础
在信息安全领域,ISO/IEC 15408 通用准则标准(CC)是一种领先的保障方法。当评估的风险较高或资产价值显著时,它能为应用程序提供可靠的 IT 解决方案。
保障指的是对 IT 产品或系统满足指定安全目标的信心,即与这些目标相关的内置安全功能和代表措施在威胁出现时将有效。保障可通过评估保障级别(EAL1 到 EAL7)来衡量,并且取决于开发过程的严格程度。开发者声称达到某个 EAL 级别,并提供相应证据,经过对 IT 产品或系统(评估目标,TOE)、其安全规范(安全目标,ST)及相关证据的评估,可获得认证。
CC 方法包括以下过程:
-
IT 安全开发过程
:为给定的 TOE 制定安全目标(ST),最终确定 TOE 的安全功能。
-
TOE 开发过程
:使用假定的技术进行 TOE 开发。
-
IT 安全评估和认证过程
:这里暂不讨论。
IT 安全开发过程的主要阶段包括:安全问题定义、安全目标设定、安全需求确定以及 TOE 安全功能的制定。在此过程中,会开发和完善 TOE 安全模型。开发者需要精确且通用的规范手段(设计模式),以将安全相关内容填充到模型结构中。CC 标准仅提供安全功能(SFR)和保障(SAR)组件作为安全需求的规范手段,而开发者可自由定义称为泛型的规范手段用于其他阶段。
TOE 开发过程包括准备证据,证明 TOE 及其安全功能满足 EAL 要求。这些证据涉及 TOE 开发、指导文档、生命周期定义、测试和漏洞评估等方面,其细节由所声称 EAL 的 SAR 组件决定。开发者需要模式和程序来为给定的 TOE 和声称的 EAL 准备证据,并且在将 TOE 安全模型细化为 TOE 模型时,需要控制许多复杂的关系。
2. 引言
上述两个过程都需要设计模式,如规范手段和证据模板,以及掌握它们在模型间关系的能力。这些问题可以组织成一个知识库,便于检索和重用设计数据,促进变更管理。为实现这一目标,有人提出应用本体论方法。
本体论代表了给定领域中术语的形式规范以及它们之间的关系。本体论允许以明确且相互认可的方式分析、共享和重用知识,近年来在包括信息安全在内的许多学科中得到了发展。
相关工作主要涉及以下方面的建模:
-
CC 安全功能需求(SFRs)
:SFRs 映射到先前指定的安全目标,两者都用本体论表达,映射通过 GenOM CC 本体论工具完成。
-
CC 安全保障需求(SARs)
:基于本体论的工具用于支持评估人员,而非 IT 安全开发者。
然而,现有的本体论存在不足,它们既不能为 CC 合规的 IT 安全开发过程的所有阶段提供规范手段,也无法表达整个 IT 安全开发过程和为评估过程准备的证据。
3. 通用准则的本体论方法
基于之前的工作,有人提出了 CC 合规的 IT 安全开发框架(ITSDF),使用 UML/OCL 方法对与 IT 安全开发过程相关的数据结构和子过程进行建模,并开发了规范手段的模型。这些手段包括 CC 组件和引入的半正式泛型(增强泛型),其功能类似于 CC 组件,允许参数化、操作、派生、迭代等。最终构建了支持开发者的计算机工具。
在此基础上,进一步开展了基于本体论方法的研究。首先提出了安全目标本体论(STO),涵盖了所有 IT 安全开发阶段的概念,以改进 ITSDF 框架。随后,研究了规范手段本体论(SMO),并在防火墙和运动传感器项目中进行了验证。这两个本体论被集成到 IT 安全开发本体论(ITSDO)中,表达了整个 CC 方法。
ITSDO 基于知识工程原则开发,使用了 OWL(Web 本体语言)和斯坦福大学的 Protege 本体编辑器和知识获取系统。其开发过程包括:
1.
定义领域和范围
:研究与本体论相关的事项,确定领域内的本体论术语和本体论能力问题。例如,“执行给定组织安全策略(OSP)或应对给定威胁的安全目标是什么?”“如何通过安全目标维护给定假设?”等。
2.
定义类层次结构和类属性
:类层次结构创建了领域内术语的分类法,有些类具有抽象意义,有些类有实例(个体)。个体代表规范手段,如泛型、CC 功能和保障组件、证据及其模式等。
3.
知识获取和知识库构建
:通过知识获取、创建个体并填充其属性(槽)来构建知识库。
ITSDO 为 IT 安全开发过程提供了与安全目标模型和规范手段相关的设计模式。以下是具体示例:
示例 1:安全目标规范的本体论方法
以数字行驶记录仪系统的运动传感器为例。通过 Protege 工具展示了与 CC 规范相关的第一组设计模式,包括安全目标(ST)、保护轮廓(PP)及其低保障版本,以及用于组成它们的部分。这些由 ITSDO 概念层次结构(本体论类)的一部分表示。同时,展示了安全问题定义的本体论模型,使用增强泛型和 CC 定义的组件填充 CC 规范结构。例如,TDA_Generic 类表示对 TOE 的直接攻击,TIT_Generic 类表示对 TOE IT 环境的攻击,TPH_Generic 类表示对 TOE 物理环境的攻击。插入的泛型可在项目级别进行细化,点击泛型可查看其详细信息。
示例 2:评估证据的本体论表示
以 MyFirewall 项目为例,展示了证据的管理。一组证据由 EvidDoc_4MyFirewall_EAL4plus 个体表示,它包含三个基本证据来源:EAL 包中 SAR 隐含的基本证据、被更高严格程度 SAR 替代的证据以及可选添加的 SAR 隐含的证据。例如,ADV_FSP_EAL_4 证据基于 Tmpl_ADV_FSP_4 模板,依据 Guide_ADV_FSP_fam 指南进行准备。
示例 3:简单知识库查询
使用 Protege 查询功能,以 MyFirewall 项目为例,展示了如何检索 TOE 安全功能和证据。例如,SFDP_FwlAdminAuth 功能实现了 FIA_UID.2 用户识别、FIA_UAU.2 用户认证和 FIA_AFL_1 认证失败处理等功能组件。
以下是 ITSDO 开发过程的 mermaid 流程图:
graph LR
A[定义领域和范围] --> B[定义类层次结构和类属性]
B --> C[知识获取和知识库构建]
| 过程 | 描述 |
|---|---|
| 定义领域和范围 | 研究 IT 安全和 TOE 开发过程的不同方面,确定术语和能力问题 |
| 定义类层次结构和类属性 | 创建术语分类法,确定类和个体 |
| 知识获取和知识库构建 | 获取知识,创建个体并填充属性 |
4. 本体论方法的优势与展望
将整个通用准则开发方法表示为本体论和相关知识库具有显著优势。通过在接近实际的项目中进行验证,发现这种方法带来了多方面的益处:
-
提高术语理解
:有助于 IT 安全开发者、评估人员、用户和其他利益相关者(CC 消费者)更好地理解所使用的术语,减少沟通障碍。
-
表达模型关系
:能够清晰地表达安全项目中模型之间的水平和垂直关系,使项目结构更加清晰。
-
模型转换
:在使用特定技术开发 IT 产品或系统时,能够将统一抽象的 CC 模型转换为具体的模型。
然而,目前包含数百个知识库项的 ITSDO 仍处于原型阶段,还需要进行多方面的改进和完善,具体如下:
-
知识库扩展
:进一步丰富知识库的内容,以涵盖更多的安全场景和需求。
-
深入开发
:对 ITSDO 进行更深入的开发,提升其功能和性能。
-
引入复杂问题
:设计更复杂的能力问题,增强其解决实际问题的能力。
-
更多项目验证
:在更多实际项目中进行验证,确保其在不同环境下的有效性和可靠性。
以下是本体论方法优势和待改进方面的列表:
-
优势
:
- 提高术语理解
- 表达模型关系
- 模型转换
-
待改进方面
:
- 知识库扩展
- 深入开发
- 引入复杂问题
- 更多项目验证
为了更清晰地展示 ITSDO 从原型到成熟应用的发展路径,下面给出 mermaid 流程图:
graph LR
A[ITSDO 原型] --> B[知识库扩展]
B --> C[深入开发]
C --> D[引入复杂问题]
D --> E[更多项目验证]
E --> F[成熟应用]
| 发展阶段 | 任务 |
|---|---|
| 知识库扩展 | 增加知识库内容 |
| 深入开发 | 提升功能和性能 |
| 引入复杂问题 | 设计复杂能力问题 |
| 更多项目验证 | 在实际项目中验证 |
| 成熟应用 | 广泛应用于 IT 安全开发 |
综上所述,本体论方法为 IT 安全开发提供了一种有效的途径,虽然目前 ITSDO 还存在一些不足,但通过持续的改进和完善,有望在未来的 IT 安全领域发挥重要作用,为保障 IT 系统的安全可靠运行提供有力支持。
扫一扫
69
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
