跳到主要內容

深入解析 Security Functional Requirements:Common Criteria 框架中定義 TOE 安全行為的核心要素

在 Common Criteria(CC)框架中,Security Functional Requirements(SFR) 定義了 TOE 必須實作的具體安全功能,是 Security Target 與 Protection Profile 的核心骨幹,直接決定產品能否通過評估認證。

SFR 的結構與分類

CC Part 2 將 SFR 組織成 11 個功能類別(Class),涵蓋 FAU(稽核)、FIA(身份鑑別與識別)、FAC(存取控制)等核心領域。每個 SFR 由類別(Class)、家族(Family)與元件(Component)三層命名,例如 FIA_UAU.2 代表「任何動作前須完成使用者鑑別」。元件內含元素(Element),是最小的不可分割需求單位,評估者會逐一驗證每個元素是否被 TOE 滿足。SFR 之間可透過相依性(Dependency)關聯,撰寫 ST 時必須完整解析相依鏈,否則評估將無法通過。

SFR 在 ST 與 PP 中的角色

Protection Profile(PP)定義某類產品的通用 SFR 基線,例如防火牆 PP 會規範必要的封包過濾與稽核需求。Security Target(ST)則針對特定 TOE 選取並精化(Refine)SFR,將抽象需求轉化為可驗證的實作聲明。精化(Refinement)允許廠商在不降低安全強度的前提下調整措辭;迭代(Iteration)則允許同一元件被多次引用以覆蓋不同情境。SFR 必須與安全目標(Security Objectives for TOE)完整對應,任何未被 SFR 覆蓋的目標都將成為評估缺口,導致 EAL 認證失敗。

💡 重點整理

  • 命名規則:三層結構(Class.Family.Component)精確定位每項安全需求。
  • 相依性管理:撰寫 ST 時須完整解析 SFR 相依鏈,不可遺漏。
  • 精化與迭代:在不弱化安全強度前提下,可調整或多次引用同一元件。
  • 目標對應:每條安全目標必須有對應的 SFR,形成完整可追溯矩陣。

SFR 是 Common Criteria 評估的最小可驗證單位。精確選取、完整相依、嚴格對應三項原則,決定了 ST 的品質與 TOE 能否順利取得目標 EAL 等級。

📚 參考文獻

  1. Common Criteria for Information Technology Security Evaluation – Part 2: Security Functional Components, Version 3.1 Revision 5 (CCMB-2017-04-002) https://www.commoncriteriaportal.org/cc/
  2. Common Criteria Portal – Protection Profiles & Certified Products https://www.commoncriteriaportal.org/pps/

⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。

留言