您现在的位置：首页 > 检测项目 > 其他检测

FPT_RCV可信恢复检测

1对1客服专属服务，免费制定检测方案，15分钟极速响应

可选形式：电子报告纸质报告

可选语言：中文报告英文报告

发布时间：2025-07-06 13:15:03 更新时间：2025-07-05 13:15:03

点击：0

作者：中科光析科学技术研究所检测中心

FPT_RCV 可信恢复检测概述

FPT_RCV (Trusted Recovery) 可信恢复，是信息技术安全评估通用准则（Common Criteria, CC）中定义的一个重要的安全功能要求类（Class）。它关注的是可信产品或系统（TOE）在发生失效或服务中断后，能否以一种安全、可控、可预测且符合既定安全策略的方式进行恢复的能力。其核心目标是确保恢复过程本身不会破坏系统的安全状态，不会引入新的安全漏洞，并且能够将系统安全地恢复到操作中断之前或一个已知的安全状态。这对于维持系统的高可用性、完整性和机密性至关重要，特别是在关键基础设施、金融系统和高安全等级环境中。可信恢复不仅仅是系统能“重新启动”或“重启服务”，更强调恢复过程的“可信赖性”——即恢复机制的设计、执行和结果都需经过严格的安全验证与保障。

FPT_RCV 可信恢复检测项目

针对 FPT_RCV 的检测，通常会聚焦于以下几个核心项目：

1. 失效后处理 (Failure Handling After Failure): 检测系统在检测到自身安全功能失效后，是否能够及时、安全地终止服务或进入受限的安全状态，以防止失效蔓延或安全策略被违反。

2. 服务中断后处理 (Handling After Service Interruption): 检测系统在发生计划内（如维护）或计划外（如崩溃、掉电）服务中断后，恢复过程中是否：

保持安全状态：恢复期间是否始终维持最低限度的安全策略执行。
恢复安全功能：能否正确无误地恢复所有安全相关功能。
恢复安全数据：关键安全数据（如审计日志、访问控制列表、加密密钥材料等）在恢复后是否保持完整性、一致性和机密性。
最小化信息泄露：恢复过程本身是否不会导致敏感信息的非授权泄露。
一致性：恢复后的系统状态是否与中断前（或预期的安全基线）保持一致，且符合安全目标。

3. 恢复过程的鲁棒性 (Robustness of Recovery Process): 检测恢复机制本身在面临异常输入、部分资源失效或其他干扰时，能否继续安全可靠地执行。

FPT_RCV 可信恢复检测仪器与工具

可信恢复检测通常需要结合多种软硬件工具来模拟故障、监控状态和分析结果：

1. 故障注入工具： 这是核心工具，用于模拟各种失效场景，例如： * 硬件层面：使用可编程电源控制器模拟断电/掉电；使用硬件调试器/探针强制置位/复位信号；使用故障注入板卡模拟内存/总线错误。 * 软件层面：使用调试器（如GDB, WinDbg）强制崩溃进程或修改内存/寄存器；使用专门的故障注入软件库或框架（如LLFI, GDB Python脚本）模拟程序错误或异常；利用操作系统提供的工具（如`kill -9`, `sysrq`）强制终止进程或触发内核恐慌。

2. 系统监控与分析工具： * 日志分析工具：系统日志（syslog）、应用程序日志、审计日志的分析工具（如ELK Stack, Splunk, Graylog）用于追踪恢复过程中的事件序列和异常。 * 系统状态监控：资源监控工具（如top, vmstat, iostat, perfmon）监控CPU、内存、磁盘I/O、网络等资源在恢复期间的使用情况。 * 进程追踪/调试器：用于深入分析恢复进程中关键组件的执行流程和状态变化。 * 网络抓包工具： (如Wireshark, tcpdump) 监控恢复期间网络通信是否符合预期，有无敏感信息泄露。

3. 安全扫描与验证工具： * 配置检查工具：验证恢复后的系统配置是否与安全基线一致。 * 文件完整性监控工具： (如AIDE, Tripwire) 检查关键系统文件和配置文件在恢复前后是否被篡改。 * 专用安全测试工具：可能用于验证恢复后安全功能（如身份认证、访问控制）是否正常工作。

4. 测试管理平台： 用于管理测试用例、自动化测试执行、记录结果和生成报告。

FPT_RCV 可信恢复检测方法

可信恢复检测是一个系统性的过程，主要方法包括：

1. 基于规范的测试用例设计： * 深入分析产品的安全目标（ST）和安全功能要求规格说明（SFRs），特别是FPT_RCV相关的具体要求（如FPT_RCV.1, FPT_RCV.2, FPT_RCV.3等）。 * 根据要求提取出需要验证的“可信恢复”行为、状态和属性。 * 设计覆盖各种失效模式（硬件故障、软件崩溃、资源耗尽、配置错误、恶意攻击等）和服务中断场景（计划内重启、意外掉电、进程崩溃、网络中断等）的测试用例。

2. 故障注入测试： * 计划性注入：在可控环境下，按照测试用例设计，使用前述故障注入工具精确地触发特定的失效。 * 监控与观察：在注入故障和触发恢复过程中，使用监控工具全面记录系统的行为、状态变化、日志输出、资源使用情况。 * 结果验证：恢复完成后，检查： * 系统是否成功恢复到预期状态？（安全功能是否可用？服务是否恢复？） * 系统状态是否安全且一致？（安全数据完整性？配置正确性？） * 恢复过程是否符合安全策略？（有无临时策略放宽导致的风险？） * 是否有未处理的错误、信息泄露或额外的安全事件发生？

3. 恢复过程策略一致性验证： * 检查恢复机制的设计文档和实现代码，确认其在恢复过程中如何处理特权操作、访问控制、审计等安全策略。 * 在测试中，特别关注恢复进程（通常是高特权进程）的操作是否受到约束，是否会产生违反安全策略的行为。

4. 鲁棒性测试： * 在恢复过程中，引入额外的干扰或资源限制（如CPU负载高、内存不足、磁盘空间满、网络拥塞），观察恢复机制能否继续安全地执行或安全地中止。

5. 文档审查： * 审查与可信恢复相关的设计文档、用户手册，确认其清晰描述了恢复机制的原理、操作步骤、预期行为以及管理员在恢复过程中的职责和操作限制。

FPT_RCV 可信恢复检测标准

FPT_RCV 可信恢复检测的核心依据标准是：

1. 通用准则 (Common Criteria, CC) - ISO/IEC 15408： * FPT_RCV 类定义： CC标准第2部分（安全功能要求）和第3部分（安全保障要求）详细定义了FPT_RCV类的目的、组件（如FPT_RCV.1 基本内部恢复/手动恢复, FPT_RCV.2 自动恢复, FPT_RCV.3 无过度损失自动恢复, FPT_RCV.4 功能恢复）以及评估对象（TOE）需要满足的具体要求。 * 评估保证等级 (EAL)：检测的深度和严格性取决于产品所声明的EAL等级（如EAL4+, EAL5）。更高的EAL等级要求更严格的设计文档、更彻底的分析（形式化或半形式化）和更全面的测试覆盖。

2. 产品特定的安全目标 (Security Target, ST)： * ST文档定义了该产品具体的FPT_RCV要求（选择了哪个组件，做了哪些细化阐述，期望达到怎样的可信恢复能力）。ST是检测的直接依据和验收标准。

3. 产品安全功能规格说明 (Security Functional Requirements, SFRs)： * SFRs文档（通常包含在ST中）以精确的语言描述了FPT_RCV功能的具体行为规范。检测结果必须证明产品实现了SFRs中声明的所有FPT_RCV要求。

4. 国家/区域特定标准： * 例如，中国国家标准GB/T 18336（等同于ISO/IEC 15408）。在中国进行CC认证必须遵循GB/T 18336。

5. 评估机构的检测规范和方法论： * 授权的评估机构（如中国信息安全测评中心）会根据CC标准和自身的方法学，制定更具体的检测操作指南和检查列表。

核心检测标准要点总结： 检测必须证明被测产品在经受指定类型的失效和服务中断后，其恢复机制能够严格按照产品ST/S