什麼是 FPT_RCV?
系統故障後的恢復過程,往往是安全漏洞最易滲入的時機。Common Criteria 的 FPT_RCV(Trusted Recovery)正是為此而生,它規範 TOE(Target of Evaluation)在故障或中斷後,必須能安全回到已知安全狀態,且整個恢復過程不得違反既有安全策略。
FPT_RCV 隸屬於 CC Part 2 的 FPT(Protection of the TSF)類別,核心訴求是確保TSF(TOE Security Functionality)的完整性在恢復流程中始終被維護,不因系統重啟或錯誤處理而遭破壞。
四個層次的 Trusted Recovery
FPT_RCV 依據自動化程度與資料保護強度,由低至高分為四個遞進層次,設計者可依系統風險等級選擇對應層次:
- FPT_RCV.1(Manual Recovery):系統無法自動恢復,需由授權管理員手動介入完成。
- FPT_RCV.2(Automated Recovery):針對特定故障情境,TSF 可自動恢復至安全狀態,無需人工干預。
- FPT_RCV.3(Automated Recovery without Undue Loss):自動恢復的同時,保證資料不發生不當遺失,確保資料完整性。
- FPT_RCV.4(Function Recovery):最高層次,要求每個 TSF 功能具備「原子性」——操作要嘛完整成功,要嘛完全回滾,不留中間狀態。
層次越高,對系統設計的要求越嚴苛。FPT_RCV.4 的原子性設計常見於金融交易系統、HSM(硬體安全模組)等高保證環境,確保即使電源突然中斷,系統狀態也絕不處於未定義的危險區間。
💡 重點整理
- FPT_RCV 確保恢復過程本身不成為安全弱點。
- 四層次由手動到自動、由允許資料遺失到原子性保護,逐級強化。
- 選擇層次時,應依 ST(Security Target)中定義的威脅模型與 EAL 等級決定。
- FPT_RCV.4 是最高保證層次,適用於不容許任何中間狀態的關鍵系統。
理解 FPT_RCV 的層次設計,有助於在撰寫 Security Target 時精準選擇符合系統風險情境的恢復策略,避免過度設計或保護不足。安全恢復不是事後補救,而是系統設計的核心一環。
📚 參考文獻
- Common Criteria Portal — Common Criteria for Information Technology Security Evaluation, Part 2: Security Functional Components(CCMB-2022-11-003)
https://www.commoncriteriaportal.org/cc/ - NIAP — National Information Assurance Partnership,CC 相關 Protection Profile 與 FPT 類別解說
https://www.niap-ccevs.org/
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言