1 范圍

      本標(biāo)準(zhǔn)規(guī)定了對EAL2級和EAL3級的安全辦公U盤進(jìn)行安全保護(hù)所需要的安全功能要求和安全保障要求。

      本標(biāo)準(zhǔn)適用于安全辦公U盤的測試、評估，也可用于指導(dǎo)該類產(chǎn)品的研制和開發(fā)。

2 規(guī)范性引用文件

      下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 18336-2015（所有部分）信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則

      GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

      GB/T 28458-2012 信息安全技術(shù) 安全漏洞標(biāo)識與描述規(guī)范

3 術(shù)語、定義和縮略語

3.1 術(shù)語和定義

      GB/T 18336-2015、GB/T 20984-2007、GB/T 25069-2010和GB/T 28458-2012界定的以及下列術(shù)語和定義適用于本文件。

3.1.1

      安全辦公U盤 security office USB disk

      一種基于USB接口建立用戶與可信網(wǎng)或非可信網(wǎng)中PC機(jī)之間的連接，實(shí)現(xiàn)應(yīng)用功能及安全功能的移動存儲介質(zhì)。如用戶與PC機(jī)之間的信息交換、用戶認(rèn)證、安全審計、信息加密、信息存儲等。

3.2 縮略語

      下列縮略語適用于本文件。

      CM：配置管理（Configuration Management）

      EAL：評估保障級（Evaluation Assurance Level）

      PIN：個人識別碼（Personal Identification Number）

      SF：安全功能（Security Function）

      SFP：安全功能策略（Security Function Policy）

      ST：安全目標(biāo)（Security Target）

      TOE：評估對象（Target of Evaluation）

      TSF：TOE安全功能（TOE Security Functionality）

4 評估對象描述

      安全辦公U盤用于實(shí)現(xiàn)用戶與PC機(jī)之間的信息交換、用戶認(rèn)證、安全審計、信息加密、信息存儲等功能。運(yùn)行過程中，管理員對安全辦公U盤實(shí)施管理，確保其數(shù)據(jù)的可用性、完整性及保密性。運(yùn)行環(huán)境如圖1所示。

圖1 TOE運(yùn)行環(huán)境示意圖

      安全辦公U盤包括主機(jī)接口、USB控制器、存儲區(qū)三大部分，目的在于滿足一定程度辦公要求的前提下防止信息泄露，其整體內(nèi)部邏輯結(jié)構(gòu)描述如圖2所示。

圖2 TOE邏輯結(jié)構(gòu)

      其中，各部分的功能包括：

      a）主機(jī)接口：提供安全辦公U盤與PC機(jī)建立連接的接口。

      b）USB控制器：

      1）提供讀寫接口控制模塊：此模塊作用一是當(dāng)用戶試圖建立安全辦公U盤與PC機(jī)之間的連接時，USB控制器中的讀寫接口控制模塊首先得到響應(yīng)，對安全辦公U盤身份及用戶需求進(jìn)行識別。作用二是當(dāng)識別結(jié)束后，建立用戶與不同存儲區(qū)之間的連接。

      2）提供用戶認(rèn)證與鑒別模塊：當(dāng)讀寫模塊對安全辦公U盤識別成功后，如用戶需要對保護(hù)存儲區(qū)進(jìn)行操作，則U盤中的用戶認(rèn)證和鑒別模塊得到響應(yīng)，提供認(rèn)證和初始化服務(wù)，對用戶身份進(jìn)行識別。

      3) 提供密碼模塊：此模塊作用一是在身份識別過程中，提供相關(guān)密碼機(jī)制以認(rèn)證用戶權(quán)限，最終賦予合法用戶使用安全辦公U盤的能力，獲取權(quán)限的用戶通過讀寫接口控制模塊和加密模塊對存儲區(qū)進(jìn)行操作。作用二在于對保護(hù)存儲區(qū)中的數(shù)據(jù)進(jìn)行加密保護(hù)。

      4）提供審計模塊：此模塊作用是將TOE運(yùn)行過程中與安全功能相關(guān)的信息進(jìn)行審計，并將其存儲在加密存儲區(qū)。

      c）存儲區(qū)：存儲需被TSF保護(hù)的數(shù)據(jù)，此區(qū)域應(yīng)在取得合法用戶認(rèn)證的情況下，方可使用。

      1）公共存儲區(qū)域：存儲辦公程序（如office、adobe等）。

      2）保護(hù)存儲區(qū)：存儲用戶數(shù)據(jù)、TSF數(shù)據(jù)。

5 安全問題定義

5.1 資產(chǎn)

      需要保護(hù)的資產(chǎn)：

      ——TSF數(shù)據(jù)（保護(hù)存儲區(qū)中的數(shù)據(jù)，如TOE中的訪問控制列表、審計日志、安全配置數(shù)據(jù)、密鑰等信息）；

      ——用戶數(shù)據(jù)（公共存儲區(qū)中的數(shù)據(jù)，如用戶的加密信息、非加密信息、辦公軟件等信息）。

      注：ST編寫者根據(jù)具體的應(yīng)用情況細(xì)化對資產(chǎn)的描述。

5.2 威脅

5.2.1 仿冒欺騙（T．Spoof）

      攻擊者通過偽裝成為合法的用戶或?qū)嶓w，來試圖旁路安全辦公U盤的安全控制策略。

5.2.2 故障利用（T．Failur  xploitation)

      攻擊者可通過分析TOE的運(yùn)行故障以獲取TSF數(shù)據(jù)、用戶數(shù)據(jù)或?yàn)E用TOE的安全功能。

      這些故障可能是通過改變TOE的運(yùn)行環(huán)境而觸發(fā)的，也可能是由于TOE本身的設(shè)計缺陷而自發(fā)產(chǎn)生的，這些故障可能導(dǎo)致TOE的代碼、系統(tǒng)數(shù)據(jù)或執(zhí)行過程發(fā)生錯誤，使TOE在故障下運(yùn)行，從而導(dǎo)致敏感數(shù)據(jù)泄露。

5.2.3 數(shù)據(jù)殘留（T．DatData_ResResidue)

      攻擊者可利用未被刪除或安全處理的TOE運(yùn)行記錄對TOE進(jìn)行非法操作。

5.2.4 重復(fù)猜測（T．Repeatpeat_Guess

      攻擊者使用反復(fù)猜測鑒別數(shù)據(jù)的方法，并利用所獲信息，對安全辦公U盤實(shí)施攻擊。例如：攻擊者可能對PIN碼進(jìn)行重復(fù)猜測以獲取各種權(quán)限。

5.2.5 程序破壞（T．Program＿Damage）

      攻擊者讀取、修改或破壞重要的安全辦公U盤自身程序安全，例如攻擊者可能通過逆向分析、驅(qū)動加載、線程注入、進(jìn)程掛鉤等技術(shù)可能破壞程序的正常運(yùn)行，也可能刪除某些重要程序。

5.2.6 重放攻擊（T．Replay＿Attack） play_At

      攻擊者利用所截獲的有效標(biāo)識和鑒別數(shù)據(jù)，訪問和使用由安全辦公U盤提供的功能。例如：攻擊

者可能通過嗅探等方式截獲有效用戶的鑒別數(shù)據(jù)，并可能使用這些鑒別數(shù)據(jù)以訪問敏感內(nèi)容等。

5.2.7 非授權(quán)訪問（T．Unauthorized＿Access）

      攻擊者試圖通過旁路安全辦公U盤安全機(jī)制的方法，訪問和使用各種安全功能。例如：攻擊者可能繞過PIN碼身份驗(yàn)證訪問文件保險箱、繞過認(rèn)證服務(wù)器的訪問控制策略。

5.2.8 數(shù)據(jù)泄露（T．Data＿Leak）

      攻擊者（例如某未授權(quán)用戶）通過各種技術(shù)手段獲取到本地存儲、傳輸過程中的敏感業(yè)務(wù)數(shù)據(jù)，造成數(shù)據(jù)泄露。例如攻擊者可能通過解密手段獲取數(shù)據(jù)，造成數(shù)據(jù)泄露。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。