FPT_RCV可信恢复检测
1对1客服专属服务,免费制定检测方案,15分钟极速响应
发布时间:2025-07-06 13:15:03 更新时间:2025-07-05 13:15:03
点击:0
作者:中科光析科学技术研究所检测中心
1对1客服专属服务,免费制定检测方案,15分钟极速响应
发布时间:2025-07-06 13:15:03 更新时间:2025-07-05 13:15:03
点击:0
作者:中科光析科学技术研究所检测中心
FPT_RCV (Trusted Recovery) 可信恢复,是信息技术安全评估通用准则(Common Criteria, CC)中定义的一个重要的安全功能要求类(Class)。它关注的是可信产品或系统(TOE)在发生失效或服务中断后,能否以一种安全、可控、可预测且符合既定安全策略的方式进行恢复的能力。其核心目标是确保恢复过程本身不会破坏系统的安全状态,不会引入新的安全漏洞,并且能够将系统安全地恢复到操作中断之前或一个已知的安全状态。这对于维持系统的高可用性、完整性和机密性至关重要,特别是在关键基础设施、金融系统和高安全等级环境中。可信恢复不仅仅是系统能“重新启动”或“重启服务”,更强调恢复过程的“可信赖性”——即恢复机制的设计、执行和结果都需经过严格的安全验证与保障。
针对 FPT_RCV 的检测,通常会聚焦于以下几个核心项目:
1. 失效后处理 (Failure Handling After Failure): 检测系统在检测到自身安全功能失效后,是否能够及时、安全地终止服务或进入受限的安全状态,以防止失效蔓延或安全策略被违反。
2. 服务中断后处理 (Handling After Service Interruption): 检测系统在发生计划内(如维护)或计划外(如崩溃、掉电)服务中断后,恢复过程中是否:
3. 恢复过程的鲁棒性 (Robustness of Recovery Process): 检测恢复机制本身在面临异常输入、部分资源失效或其他干扰时,能否继续安全可靠地执行。
可信恢复检测通常需要结合多种软硬件工具来模拟故障、监控状态和分析结果:
1. 故障注入工具: 这是核心工具,用于模拟各种失效场景,例如: * 硬件层面: 使用可编程电源控制器模拟断电/掉电;使用硬件调试器/探针强制置位/复位信号;使用故障注入板卡模拟内存/总线错误。 * 软件层面: 使用调试器(如GDB, WinDbg)强制崩溃进程或修改内存/寄存器;使用专门的故障注入软件库或框架(如LLFI, GDB Python脚本)模拟程序错误或异常;利用操作系统提供的工具(如`kill -9`, `sysrq`)强制终止进程或触发内核恐慌。
2. 系统监控与分析工具: * 日志分析工具: 系统日志(syslog)、应用程序日志、审计日志的分析工具(如ELK Stack, Splunk, Graylog)用于追踪恢复过程中的事件序列和异常。 * 系统状态监控: 资源监控工具(如top, vmstat, iostat, perfmon)监控CPU、内存、磁盘I/O、网络等资源在恢复期间的使用情况。 * 进程追踪/调试器: 用于深入分析恢复进程中关键组件的执行流程和状态变化。 * 网络抓包工具: (如Wireshark, tcpdump) 监控恢复期间网络通信是否符合预期,有无敏感信息泄露。
3. 安全扫描与验证工具: * 配置检查工具: 验证恢复后的系统配置是否与安全基线一致。 * 文件完整性监控工具: (如AIDE, Tripwire) 检查关键系统文件和配置文件在恢复前后是否被篡改。 * 专用安全测试工具: 可能用于验证恢复后安全功能(如身份认证、访问控制)是否正常工作。
4. 测试管理平台: 用于管理测试用例、自动化测试执行、记录结果和生成报告。
可信恢复检测是一个系统性的过程,主要方法包括:
1. 基于规范的测试用例设计: * 深入分析产品的安全目标(ST)和安全功能要求规格说明(SFRs),特别是FPT_RCV相关的具体要求(如FPT_RCV.1, FPT_RCV.2, FPT_RCV.3等)。 * 根据要求提取出需要验证的“可信恢复”行为、状态和属性。 * 设计覆盖各种失效模式(硬件故障、软件崩溃、资源耗尽、配置错误、恶意攻击等)和服务中断场景(计划内重启、意外掉电、进程崩溃、网络中断等)的测试用例。
2. 故障注入测试: * 计划性注入: 在可控环境下,按照测试用例设计,使用前述故障注入工具精确地触发特定的失效。 * 监控与观察: 在注入故障和触发恢复过程中,使用监控工具全面记录系统的行为、状态变化、日志输出、资源使用情况。 * 结果验证: 恢复完成后,检查: * 系统是否成功恢复到预期状态?(安全功能是否可用?服务是否恢复?) * 系统状态是否安全且一致?(安全数据完整性?配置正确性?) * 恢复过程是否符合安全策略?(有无临时策略放宽导致的风险?) * 是否有未处理的错误、信息泄露或额外的安全事件发生?
3. 恢复过程策略一致性验证: * 检查恢复机制的设计文档和实现代码,确认其在恢复过程中如何处理特权操作、访问控制、审计等安全策略。 * 在测试中,特别关注恢复进程(通常是高特权进程)的操作是否受到约束,是否会产生违反安全策略的行为。
4. 鲁棒性测试: * 在恢复过程中,引入额外的干扰或资源限制(如CPU负载高、内存不足、磁盘空间满、网络拥塞),观察恢复机制能否继续安全地执行或安全地中止。
5. 文档审查: * 审查与可信恢复相关的设计文档、用户手册,确认其清晰描述了恢复机制的原理、操作步骤、预期行为以及管理员在恢复过程中的职责和操作限制。
FPT_RCV 可信恢复检测的核心依据标准是:
1. 通用准则 (Common Criteria, CC) - ISO/IEC 15408: * FPT_RCV 类定义: CC标准第2部分(安全功能要求)和第3部分(安全保障要求)详细定义了FPT_RCV类的目的、组件(如FPT_RCV.1 基本内部恢复/手动恢复, FPT_RCV.2 自动恢复, FPT_RCV.3 无过度损失自动恢复, FPT_RCV.4 功能恢复)以及评估对象(TOE)需要满足的具体要求。 * 评估保证等级 (EAL): 检测的深度和严格性取决于产品所声明的EAL等级(如EAL4+, EAL5)。更高的EAL等级要求更严格的设计文档、更彻底的分析(形式化或半形式化)和更全面的测试覆盖。
2. 产品特定的安全目标 (Security Target, ST): * ST文档定义了该产品具体的FPT_RCV要求(选择了哪个组件,做了哪些细化阐述,期望达到怎样的可信恢复能力)。ST是检测的直接依据和验收标准。
3. 产品安全功能规格说明 (Security Functional Requirements, SFRs): * SFRs文档(通常包含在ST中)以精确的语言描述了FPT_RCV功能的具体行为规范。检测结果必须证明产品实现了SFRs中声明的所有FPT_RCV要求。
4. 国家/区域特定标准: * 例如,中国国家标准GB/T 18336(等同于ISO/IEC 15408)。在中国进行CC认证必须遵循GB/T 18336。
5. 评估机构的检测规范和方法论: * 授权的评估机构(如中国信息安全测评中心)会根据CC标准和自身的方法学,制定更具体的检测操作指南和检查列表。
核心检测标准要点总结: 检测必须证明被测产品在经受指定类型的失效和服务中断后,其恢复机制能够严格按照产品ST/S
证书编号:241520345370
证书编号:CNAS L22006
证书编号:ISO9001-2024001
版权所有:北京中科光析科学技术研究所京ICP备15067471号-33免责声明