TIÊU CHUẨN QUỐC GIA TCVN 14107:2024 VỀ CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HỒ SƠ BẢO VỆ CHO SẢN PHẨM TƯỜNG LỬA ỨNG DỤNG WEB

• TCVN 8709-1:2011 Công nghệ thông tin – Các kỹ thuật an toàn – Các tiêu chí đánh giá an toàn CNTT – Phần 1: Giới thiệu và mô hình tổng quát.

• TCVN 8709-2:2011 Công nghệ thông tin – Các kỹ thuật an toàn – Các tiêu chí đánh giá an toàn CNTT – Phần 2: Các thành phần chức năng an toàn.

• TCVN 8709-3:2011 Công nghệ thông tin – Các kỹ thuật an toàn – Các tiêu chí đánh giá an toàn CNTT – Phần 3: Các thành phần đảm bảo an toàn.

Do thành phần TOE có thể không sử dụng một hệ điều hành độc lập theo phương pháp hiện thực hóa TOE (khi bảng điều khiển quản lý được nằm trong thành phần TOE), quản trị viên được ủy quyền nên chú ý rằng cài đặt hệ điều hành của thực thể CNTT bên ngoài hoạt động trong cùng một hệ điều hành không ảnh hưởng đến hoạt động an toàn của TOE.

Trong trường hợp loại Reverse Proxy, TOE được cài đặt bằng cách kết nối với bộ chuyển mạch và hoạt động như điểm kết nối duy nhất với ứng dụng web, nên được thiết lập để đảm bảo rằng yêu cầu truy cập web của người dùng vượt qua TOE bằng cách chuyển đổi địa chỉ IP của DNS được đăng ký trên máy chủ web và ứng dụng web.

Lớp chức năng an toàn

Thành phần chức năng an toàn

Ghi chú

FAU

FCS

(Mở rộng)

FDP

FIA

FMT

(Mở rộng)

FPT

FTA

FTP

Lớp chức năng an toàn

Thành phần chức năng an toàn

FAU

FCS

FDP

FIA

FMT

FPT

FTA

ₒ Nếu kết quả tự kiểm tra TOE không thành công, các chức năng phản hồi sẽ được thực hiện.

– Ví dụ về các chức năng phản hồi sẽ được thực hiện khi kết quả tự kiểm tra bị lỗi như sau:

• Gián đoạn thực thi chương trình, hiển thị màn hình thông báo cảnh báo, khởi động lại quy trình…

ₒ Nếu kết quả xác minh tính toàn vẹn của TOE là lỗi, các chức năng phản hồi sẽ được thực hiện.

– Ví dụ về các chức năng phản hồi sẽ được thực hiện khi kết quả xác minh tính toàn vẹn bị lỗi như sau:

• Gián đoạn thực thi chương trình, hiển thị màn hình thông báo cảnh báo…

a) Khởi động và tắt các chức năng kiểm toán;

b) Tất cả các sự kiện có thể kiểm toán được cho không chỉ định mức độ kiểm toán; và

c) [Chỉ định: Các sự kiện khác có thể kiểm toán được định nghĩa cụ thể].

a) Ngày và giờ của sự kiện, loại sự kiện, định danh chủ thể (nếu có), và kết quả (thành công hoặc thất bại) của sự kiện; và

b) Với mỗi kiểu sự kiện kiểm toán, dựa trên định nghĩa các sự kiện có thể kiểm toán của các thành phần chức năng bao gồm trong PP/ST,

[chỉ định: thông tin liên quan kiểm toán khác]

ₒ TOE sẽ tạo bản ghi kiểm toán cho các sự kiện kiểm toán chính.

– Bảng 3 bên dưới hiển thị các sự kiện kiểm toán mà bản ghi kiểm toán phải được tạo

Danh mục phụ

Sự kiện kiểm toán

Thông tin kiểm toán bổ sung

Danh mục phụ

Sự kiện kiểm toán

Thông tin kiểm toán bổ sung

a) Tích lũy hoặc kết hợp của [chỉ định: tập con các sự kiện đã kiểm toán xác định trước] được biết để chỉ ra khả năng phá hoại an toàn;

b) [chỉ định: bất kỳ quy tắc nào khác]

ₒ Nếu kết quả tự kiểm tra của TOE không thành công, chức năng phản hồi sẽ được thực hiện.

ₒ TOE sẽ thực hiện chức năng phản hồi nếu xác minh tính toàn vẹn không thành công.

ₒ TOE sẽ cung cấp một chức năng cho quản trị viên được ủy quyền để truy vấn bản ghi kiểm toán.

– Hồ sơ kiểm định chỉ được truy vấn thông qua chức năng an toàn do TOE cung cấp.

– TOE phải cung cấp bản ghi kiểm toán cho quản trị viên được ủy quyền để giải thích đúng thông tin.

ₒ TOE sẽ cung cấp chức năng cho người quản trị để chọn một điều kiện logic khi truy vấn các bản ghi kiểm toán và để tìm kiếm hoặc sắp xếp các bản ghi theo các điều kiện khác nhau.

ₒ Có thể truy vấn các sự kiện xảy ra trong một khoảng thời gian cụ thể và tổng lưu lượng bị chặn.

FCS_COP.1 Hoạt động mật mã]

FCS_CKM.4 Tiêu hủy khóa mật mã

ₒ TOE sẽ tạo các khóa mật mã theo một phương pháp an toàn.

– Ví dụ về các phương pháp sinh khóa mật mã an toàn như sau:

• Dẫn xuất khóa dựa trên mật khẩu (PKCS#5 v2.1(RFC 8018). NIST SP 800-132…)

• Dẫn xuất khóa với các khóa chia sẻ trước

• Sinh khóa sử dụng bộ tạo bit ngẫu nhiên (CTR_DRBG, HASH DRBG, HMAC_DRBG...)

– Bộ tạo bit ngẫu nhiên sẽ được triển khai tuân thủ các tiêu chuẩn trong và ngoài nước.

– Có thể tạo các cặp khóa phi đối xứng (khóa công khai/khóa riêng) hoặc khóa đối xứng bằng cách sử dụng các bit ngẫu nhiên được tạo bởi trình tạo bit ngẫu nhiên.

– Chỉ được sử dụng chức năng dẫn xuất khóa dựa trên mật khẩu để sinh khóa mã hóa khóa (KEK).

• Khóa mã hóa khóa ban đầu sẽ được tạo khác nhau cho mỗi TOE.

• Dữ liệu ban đầu cần thiết để sinh khóa mã hóa khóa có thể được nhập trực tiếp hoặc đưa vào từ các giá trị được lưu trữ trong thông tin lưu trữ như thẻ thông minh, USB an toàn, HSM (Hardware Security Module).

• Nên sử dụng các sản phẩm đã đạt được báo cáo kiểm tra chức năng an toàn hoặc chứng chỉ TCVN 8709 trong nước/nước ngoài cho thông tin lưu trữ.

• Nếu mật khẩu được sử dụng làm dữ liệu ban đầu để sinh khóa mã hóa khóa (KEK), giá trị được nhập tại thời điểm cài đặt ban đầu của sản phẩm có thể được lưu trữ và sử dụng, đồng thời dữ liệu được lưu trữ sẽ được bảo vệ khỏi các nỗ lực tiếp xúc trái phép.

TOE sẽ hủy một cách an toàn các khóa mật mã được tạo hoặc sử dụng trong TOE.

– Khi chấm dứt thực thi TOE, khi gọi chức năng xóa khóa mật mã, khi chấm dứt giao tiếp mật mã… tất cả các khóa mật mã và thông tin liên quan đến khóa mật mã đã hết hạn sẽ bị hủy.

– Khi hủy khóa mật mã có thể sử dụng phương pháp ghi đè ít nhất 3 lần với các giá trị 0 hoặc 1.

ₒ TOE sẽ sử dụng thuật toán mã hóa được đề xuất khi truyền và lưu trữ thông tin quan trọng.

ₒ Thuật toán mã hóa được đề xuất là thuật toán tiêu chuẩn có độ an toàn từ 112 bit trở lên. Ví dụ như sau:

– Thuật toán hàm băm: SHA-224 trở lên

– Thuật toán khóa đối xứng: Độ dài khóa 128 bit trở lên

– Thuật toán khóa công khai: RSA 2048 trở lên, DSA (2018, 224) trở lên

– Thuật toán chữ ký số: RSA- PSS 2048 trở lên

ₒ Tuy nhiên, việc sử dụng TDES (bao gồm 2 khóa và 3 khóa) không được phép.

ₒ Khi sử dụng mã hóa khối, chế độ ECB sẽ không được sử dụng nếu kích thước bản rõ lớn hơn kích thước khối mã hóa.

ₒ Khi sử dụng mật mã khối, Vector khởi tạo IV cố định sẽ không được sử dụng ở chế độ CFB hoặc OFB.

ₒ Ví dụ về các phương pháp sinh khóa mật mã an toàn như sau:

• Dẫn xuất khóa dựa trên mật khẩu (PKCS#5 v2.1(RFC 8018), NIST SP 800-132…)

• Dẫn xuất khóa với các khóa chia sẻ trước

• Sinh khóa bằng cách sử dụng bộ tạo bit ngẫu nhiên (CTR_DRBG, HASH DRBG, HMAC_DRBG…)

ₒ Bộ tạo bit ngẫu nhiên sẽ được triển khai tuân thủ các tiêu chuẩn trong và ngoài nước.

ₒ Có thể tạo các cặp khóa phi đối xứng (khóa công khai/khóa riêng) hoặc khóa đối xứng bằng cách sử dụng các bit ngẫu nhiên do bộ tạo bít ngẫu nhiên tạo ra.

ₒ Mật khẩu người dùng được TOE sử dụng để định danh và xác thực người dùng sẽ được lưu trữ bằng cách sử dụng mã hóa một chiều (Hash) để ngăn chặn việc giải mã.

– Khi thực hiện mã hóa một chiều, cần thêm và áp dụng một giá trị được tạo ngẫu nhiên gọi là muối cho mật khẩu.

– Giá trị muối không cần an toàn. Nó sẽ được tạo bằng bộ tạo bit ngẫu nhiên và kích thước phải ít nhất là 48 bit.

– Số lần lặp phải được áp dụng càng lớn càng tốt. (ít nhất 1000 lần)

a) Chủ thể: máy khách web

b) Thông tin: Lưu lượng web do chủ thể truyền tải

c) Hoạt động: Yêu cầu HTTP, HTTPS đến máy chủ web và ứng dụng web

ₒ TOE sẽ có thể phát hiện và chặn lưu lượng truy cập bất thường bằng cách xác định xem lưu lượng truy cập web được tạo và truyền bởi người dùng không tin cậy có bình thường hay không.

ₒ TOE phải có khả năng cho phép hoặc chặn lưu lượng truy cập web (HTTP và HTTPS) chảy vào máy chủ web mục tiêu được bảo vệ theo các quy tắc do quản trị viên được ủy quyền thiết lập.

FMT_MSA.3 Khởi tạo các thuộc tính tĩnh

a) Chủ thể và thuộc tính an toàn chủ thể

b) Thông tin và thuộc tính an toàn thông tin

ₒ TOE sẽ có thể phát hiện và chặn lưu lượng truy cập bất thường bằng cách xác định xem lưu lượng truy cập web được tạo và truyền bởi người dùng không tin cậy có bình thường hay không.

– TOE sẽ phát hiện và chặn các kiểu tấn công khác nhau, chẳng hạn như danh sách lỗ hổng mới nhất được xuất bản bởi OWASP và các lỗ hổng được xác định bởi các cơ sở đánh giá và tổ chức chứng nhận để yêu cầu các biện pháp bắt buộc.

• Dấu hiệu phát hiện các cuộc tấn công web đã biết và lỗ hổng web sẽ được cung cấp bởi TOE.

– TOE sẽ phát hiện và chặn các cuộc tấn công từ chối dịch vụ HTTP và HTTPS của lớp L7.

• HTTP GET Flooding, CC(Cache-Control) Attack, Slow HTTP Header DoS, Slow HTTP Post DOS, Slow HTTP Read DoS…

– TOE sẽ phản hồi với các cuộc tấn công dựa trên web để vượt qua các chức năng an toàn của chính nó như sau.

• Các lỗ hổng Tệp ngắn IIS / Tiết lộ tên thư mục (tiết lộ thông tin máy chủ web IIS), tấn công Big-HTTP Request, tấn công bằng cách sử dụng các nhận xét SQL đã sửa đổi, kỹ thuật tấn công Method Confusion sử dụng nhầm lẫn giữa phương thức Get và Post…

– TOE sẽ cung cấp khả năng để cập nhật lên chữ ký mới nhất.

ₒ TOE sẽ có thể cho phép hoặc chặn lưu lượng truy cập web (HTTP và HTTPS) tới máy chủ web mục tiêu được bảo vệ theo các quy tắc do quản trị viên được ủy quyền đặt.

– Quản trị viên có thể đặt quy tắc phát hiện, quy tắc này sẽ hỗ trợ khớp mẫu bằng cách sử dụng biểu thức chính quy.

• Các quy tắc phát hiện và phân tích nội dung cho HTTP 1.0/1.1, HTTP 2.0 và các dịch vụ web (SOAP, WSDL, UDDI…) sẽ được áp dụng.

– Các luật phát hiện phải có khả năng thiết lập và kiểm soát dựa trên các loại thuộc tính an toàn cho chủ thể và thông tin.

• Ví dụ về thuộc tính an toàn chủ thể: địa chỉ IP, địa chỉ MAC, tên trình duyệt web, phiên bản trình duyệt web, tên hệ điều hành, phiên bản hệ điều hành…

• Ví dụ về thuộc tính an toàn thông tin: Phương thức, URL phiên bản HTTP, thông tin tiêu đề yêu cầu (Cookie, loại nội dung…), thông tin nội dung yêu cầu (Message-Body…)

– Phương thức danh sách trắng được khuyến nghị để kiểm soát luồng thông tin của các dịch vụ ứng dụng web (thư mục cụ thể, địa chỉ IP (truyền và nhận)) và phương thức danh sách đen được khuyến nghị để chặn lưu lượng truy cập web bất thường dựa trên chữ ký.

ₒ TOE sẽ tạo bản ghi kiểm toán kiểm toán cho các sự kiện kiểm toán chính.

– Bản ghi kiểm toán về lưu lượng web được phép và bị chặn bởi TOE sẽ được tạo.

• Kết quả cho phép và chặn lưu lượng truy cập web bằng FDP_IFF.1 sẽ được đưa vào.

ₒ TOE sẽ xác minh tính toàn vẹn của nội dung web và khi phát hiện lỗi toàn vẹn, nó sẽ thực hiện các hành động phản hồi (báo động, gửi thư, phục hồi…) do quản trị viên được ủy quyền đặt.

– Quản trị viên có thể lựa chọn nội dung trang web cần bảo vệ toàn vẹn (trang chủ, hình ảnh, tệp…).

ₒ Nếu xác thực người dùng không thành công liên tiếp nhiều lần như số đã đặt trong TOE, các chức năng xác thực và định danh sẽ bị hủy kích hoạt.

– Ví dụ về cách kích hoạt sau khi hủy kích hoạt các chức năng Định danh và xác thực như sau:

• Kích hoạt trong một khoảng thời gian nhất định sau khi khóa tài khoản

• Cung cấp các thông tin Định danh và xác thực khác để kích hoạt sau khi khóa tài khoản

– Định danh và xác thực bổ sung thông tin được lựa chọn trong FIA_UAU.1 có thể được cung cấp. Trong trường hợp xác thực không thành công với thông tin Định danh và xác thực bổ sung, nó sẽ được tính vào số lần xác thực người dùng không thành công.

– Số lần xác thực liên tiếp không thành công trong đó Định danh và xác thực bị hủy kích hoạt sẽ được cố định hoặc có thể đặt ở giá trị từ 5 trở xuống.

– Khi thực hiện hủy kích hoạt chức năng xác thực trong một khoảng thời gian nhất định, thời gian cần thiết để kích hoạt lại sẽ được cố định hoặc có thể cài đặt ở giá trị từ 5 trở lên.

ₒ Nếu quản trị viên xác thực không thành công liên tiếp nhiều lần như số đã đặt, TOE sẽ thông báo cho quản trị viên thông qua các thông tin có thể được kiểm tra ngay lập tức.

– Thông báo phải được thực hiện thông qua ít nhất một trong các báo động, tin nhắn văn bản, e-mail…

ₒ Nếu ID/mật khẩu là thông tin duy nhất để Định danh và xác thực người dùng, TOE phải đáp ứng các tiêu chí an toàn của Loại tiêu chí an toàn mật khẩu (1) khi đăng ký và thay đổi mật khẩu.

Mô tả

Nội dung

Ghi chú

Mô tả

Nội dung

Nhận xét

ₒ TOE sẽ cung cấp các chức năng xác thực và định danh dựa trên tài khoản/mật khẩu người dùng để xác minh danh tính của người dùng.

– Việc định danh và xác thực phải được thực hiện để xác nhận rằng người dùng là người dùng hợp pháp của TOE.

– Nếu được yêu cầu xác định và xác thực người dùng tồn tại trong các đại lý hoặc máy trạm cấu thành TOE, giá trị định danh sẽ là một giá trị duy nhất không được đăng ký trùng lặp.

• Khi xác thực người dùng, các thuộc tính bổ sung của đại lý hoặc máy trạm đã đăng ký cũng sẽ được xác thực.

• Các thuộc tính bổ sung: Địa chỉ IP là bắt buộc và ít nhất một trong các địa chỉ MAC, Số sê-ri và thông tin có thể định danh duy nhất chính tác nhân đó sẽ được sử dụng bổ sung.

ₒ Trong trường hợp TOE hỗ trợ các phương pháp định danh và xác thực bổ sung, để định danh và xác thực người dùng, TOE phải tự cung cấp các chức năng định danh và xác thực bổ sung hoặc bằng cách tương tác với các thực thể CNTT bên ngoài song song với định danh và xác thực dựa trên tài khoản người dùng và mật khẩu.

– Để cung cấp các chức năng định danh và xác thực bổ sung, có thể sử dụng thiết bị hỗ trợ 2FA tuân thủ các tiêu chuẩn FIDO, chứng chỉ, trình tạo mật khẩu dùng một lần (OTP)…

• Nếu nó được hỗ trợ trong môi trường vận hành TOE, nên sử dụng “thiết bị hỗ trợ 2FA tuân thủ các tiêu chuẩn FIDO”.

– Nếu các chức năng định danh và xác thực bổ sung được cung cấp bởi TOE, thì các chức năng này có thể được cung cấp bằng cách nhận các kết quả xác thực từ bên trong TOE hoặc từ sự tương tác với các thực thể CNTT bên ngoài.

• Nếu TOE cung cấp phương thức sử dụng chứng chỉ, thì việc xác thực chứng chỉ sẽ được thực hiện.

• Thông tin xác thực được sử dụng bởi các thực thể CNTT bên ngoài để thực hiện các phương pháp xác thực và định danh bổ sung sẽ được quản lý an toàn bởi các thực thể CNTT bên ngoài. Nếu TOE lưu trữ thông tin xác thực được sử dụng để thực hiện các phương thức xác thực và định danh bổ sung, các yêu cầu của FPT_PST.1 sẽ được áp dụng.

ₒ Nếu TOE xác thực các thực thể CNTT bên ngoài, TOE sẽ xác thực các thực thể CNTT bên ngoài tương tác.

ₒ TOE sẽ ngăn việc sử dụng lại thông tin xác thực của người dùng (sử dụng dấu thời gian, mã hóa ID phiên…)

– Bắt buộc phải áp dụng cho thông tin xác thực được sử dụng để định danh và xác thực dựa trên tài khoản/mật khẩu người dùng được lựa chọn trong FIA_UAU.1.

– Nếu TOE nhận thông tin xác thực từ người dùng để cung cấp phương thức xác thực và định danh bổ sung được lựa chọn trong FIA_UAU.1 thì bắt buộc phải áp dụng cho thông tin xác thực tương ứng.

– Có thể ngăn chặn bằng cách mã hóa ID phiên hoặc đảm bảo tính duy nhất của ID phiên (bao gồm dấu thời gian và giá trị bit ngẫu nhiên, đặt thời gian kết thúc phiên…)

– Nếu TOE phát hiện nỗ lực sử dụng lại thông tin xác thực bị cấm được sử dụng lại, xác thực sẽ không thành cóng và một bản ghi kiểm toán sẽ được tạo cho sự kiện lỗi xác thực.

ₒ TOE sẽ không hiển thị nội dung khi hiển thị thông tin được sử dụng để xác thực trên thiết bị đầu ra.

– Nó sẽ được áp dụng khi thông tin xác thực được lựa chọn trong FIA_UAU.1 được hiển thị trên thiết bị đầu ra.

– Thông tin dùng để xác thực được xuất ra dưới dạng không hiển thị nội dung nhập, ví dụ: “*” hiển thị thay cho ký tư nhập vào.

– Khi người dùng đăng nhập, thông tin xác thực sẽ không bị lộ dưới dạng bản rõ trong vùng bộ nhớ.

ₒ Trong trường hợp lỗi định danh và xác thực, TOE sẽ không cung cấp phản hồi về nguyên nhân lỗi (ví dụ: tài khoản (ID) không tồn tại, lỗi mật khẩu…).

ₒ TOE sẽ cung cấp các chức năng xác thực và định danh dựa trên tài khoản/mật khẩu người dùng để xác minh danh tính của người dùng.

– Việc định danh và xác thực phải được thực hiện để xác nhận rằng người dùng là người dùng hợp pháp của TOE.

ₒ Khi hỗ trợ các phương pháp định danh và xác thực bổ sung, TOE sẽ tự cung cấp các chức năng định danh và xác thực bổ sung hoặc kết hợp với các thực thể CNTT bên ngoài, song song với định danh và xác thực dựa trên tài khoản/mật khẩu người dùng.

ₒ Nếu TOE xác thực các thực thể CNTT bên ngoài, TOE sẽ xác thực các thực thể CNTT bên ngoài tương tác

FMT_SMR.1 Các quy tắc an toàn

ₒ TOE sẽ cung cấp cho người quản trị được ủy quyền các chức năng quản lý an toàn để thiết lập và quản lý các chức năng an toàn, chính sách an toàn, dữ liệu quan trọng…

– Các chức năng quản lý an toàn bao gồm:

• Chức năng thêm, xóa hoặc thay đổi các điều kiện hoặc các quy tắc có thể xác định hoạt động của chức năng an toàn.

• Chức năng thêm, xóa hoặc thay đổi các hành động được thực hiện bởi TOE theo các điều kiện hoặc quy tắc.

• Một chức năng để chọn hoặc thay đổi cài đặt TOE

– Các chức năng quản lý an toàn được thực hiện bởi TOE được hiển thị trong Bảng 5 bên dưới:

Bảng 5 – Các chức năng quản lý an toàn được triển khai bởi TOE

ₒ Nếu bản thân tác nhân có chức năng quản lý an toàn, máy chủ sẽ có thể bật/tắt chức năng cài đặt tác nhân.

ₒ Dịch vụ liên lạc không hỗ trợ các kênh liên lạc được mã hóa sẽ có thể bị vô hiệu hóa. Trong quá trình vận hành TOE, nó sẽ hỗ trợ thực hiện tự kiểm tra định kỳ hoặc theo yêu cầu của người quản trị.

ₒ Để đảm bảo hoạt động chính xác, TOE sẽ thực hiện chức năng phản hồi do chính nó thực hiện hoặc chức năng phản hồi do quản trị viên đặt khi quá trình tự kiểm tra không thành công.

ₒ TOE sẽ cung cấp cho quản trị viên chức năng thực hiện xác minh tính toàn vẹn

ₒ TOE sẽ thực hiện chức năng phản hồi do chính nó thực hiện hoặc chức năng phản hồi do quản trị viên thiết lập khi xác minh tính toàn vẹn không thành công.

ₒ Nếu TOE cung cấp chức năng cập nhật trực tuyến hoặc cập nhật thủ công, thì chỉ các tệp cập nhật đã xác thực thành công mới được cài đặt hoặc áp dụng.

ₒ Nếu TOE không cung cấp chức năng tự động duy trì phiên bản hiện có khi cài đặt bản cập nhật không thành công, việc phục hồi thủ công bởi quản trị viên sẽ được hỗ trợ.

ₒ Các phiên bị khóa sẽ được mở khóa bởi quản trị viên hoặc thông qua chức năng xác thực người dùng cho mỗi phiên, sau khi hết thời gian khóa.

ₒ Ngoài ra, TOE có thể cung cấp chức năng gửi bản ghi kiểm toán tới máy chủ nhật ký bên ngoài bởi quản trị viên.

– Nếu nhật ký hệ thống được hỗ trợ, nó sẽ hỗ trợ truyền mã hóa qua nhật ký hệ thống qua TLS (RFC 5424) hoặc nhật ký hệ thống qua DTLS (RFC 6012).

– Thuật toán mật mã sử dụng, an toàn khóa mật mã, phương thức lưu trữ khóa mật mã phải đáp ứng yêu cầu “Bảo vệ khi lưu trữ khóa mật mã” của lớp FCS và FPT_PST.1.

ₒ TOE sẽ hạn chế chỉ cho phép các quản trị viên được ủy quyền thực hiện các chức năng quản lý an toàn có thể thiết lập và quản lý các quy tắc chặn và phát hiện lưu lượng truy cập web.

– Các chức năng quản lý an toàn như sau:

• Khả năng thêm, xóa hoặc thay đổi các điều kiện hoặc quy tắc hoạt động cho các chức năng an toàn phát hiện hoặc chặn lưu lượng truy cập web

• Cập nhật chữ ký (các mẫu phát hiện)

• Tạo chữ ký mới (các mẫu phát hiện)

• Thay đổi các ngưỡng tại các nơi mà chức năng chặn của TOE vận hành

• Thay đổi thời gian thực hiện hành động chặn lưu lượng

• Thay đổi danh sách trắng và danh sách đen địa chỉ hoặc dải IP

• Chức năng thêm, xóa, thay đổi hành động được thực hiện bởi TOE theo điều kiện hoặc quy tắc

– Chức năng xác minh của quản trị viên cho việc nhập các giá trị (hạn chế về ký tự không được chấp nhận, độ dài…) phải được cung cấp.

FDP_IFC.1 Kiểm soát luồng thông tin tập hợp con]

FMT_SMF.1 Định rõ các chức năng quản lý

FMT_SMR.1 Các quy tắc an toàn

ₒ Tác giả ST sẽ xác định thao tác chỉ định FMT_MSA.1.1 với tham chiếu đến Bảng C “Loại quản lý thuộc tính an toàn cho từng thành phần” nếu TOE hỗ trợ các chức năng quản lý thuộc tính an toàn.

ₒ Tác giả ST có thể xác định các hành động quản lý thuộc tính an toàn bổ sung ngoài chức năng quản lý được trình bày trong Bảng C “Loại quản lý thuộc tính an toàn cho từng thành phần”. Có thể trình bày các hành động quản lý các thuộc tính an toàn cho các yêu cầu bổ sung hoặc mở rộng ngoài các yêu cầu chức năng an toàn được xác định trong tài liệu này.

Bảng C – Loại quản lý thuộc tính an toàn cho từng thành phần

ₒ TOE sẽ có thể cho phép hoặc chặn lưu lượng truy cập web (HTTP và HTTPS) chảy vào máy chủ web mục tiêu được bảo vệ theo các quy tắc do quản trị viên được ủy quyền đặt.

– Quản trị viên có thể đặt quy tắc phát hiện, quy tắc này sẽ hỗ trợ khớp mẫu bằng cách sử dụng biểu thức chính quy.

• Các quy tắc phát hiện và phân tích nội dung cho HTTP 1.0/1.1, HTTP 2.0 và các dịch vụ web (SOAP, WSDL, UDDI...) sẽ được áp dụng.

– Các luật phát hiện phải có khả năng thiết lập và kiểm soát dựa trên các loại thuộc tính an toàn cho chủ thể và thông tin.

• Ví dụ về thuộc tính an toàn chủ thể: địa chỉ IP, địa chỉ MAC, tên trình duyệt web, phiên bản trình duyệt web, tên hệ điều hành, phiên bản hệ điều hành…

• Ví dụ về thuộc tính an toàn thông tin: Phương thức, URL, phiên bản HTTP, thông tin tiêu đề được yêu cầu (Cookie, Nội dung – Loại…), thông tin nội dung được yêu cầu (Message-Body...)

– Phương pháp danh sách trắng được khuyến nghị để kiểm soát luồng thông tin của các dịch vụ ứng dụng web (danh mục cụ thể, địa chỉ IP (truyền và nhận)) và phương pháp danh sách đen được khuyến nghị để chặn lưu lượng truy cập web bất thường dựa trên dấu hiệu.

FMT_SMR.1 Các quy tắc an toàn

ₒ TOE sẽ có thể cho phép hoặc chặn lưu lượng truy cập web (HTTP và HTTPS) chảy vào máy chủ web mục tiêu được bảo vệ theo các quy tắc do quản trị viên được ủy quyền đặt.

– Quản trị viên có thể đặt quy tắc phát hiện, quy tắc này sẽ hỗ trợ khớp mẫu bằng cách sử dụng biểu thức chính quy.

• Các quy tắc phát hiện và phân tích nội dung cho HTTP 1.0/1.1, HTTP 2.0 và các dịch vụ web (SOAP, WSDL, UDDI…) sẽ được áp dụng.

– Các luật phát hiện phải có khả năng thiết lập và kiểm soát dựa trên các loại thuộc tính an toàn cho chủ thể và thông tin.

• Ví dụ về thuộc tính an toàn chủ thể: địa chỉ IP, địa chỉ MAC, tên trình duyệt web, phiên bản trình duyệt web, tên hệ điều hành, phiên bản hệ điều hành…

• Ví dụ về thuộc tính an toàn thông tin: Phương thức, URL, phiên bản HTTP, thông tin tiêu đề được yêu cầu (Cookie, Nội dung – Loại…), thông tin nội dung được yêu cầu (Message-Body…)

– Phương pháp danh sách trắng được khuyến nghị để kiểm soát luồng thông tin của các dịch vụ ứng dụng web (thư mục cụ thể, địa chỉ IP (truyền và nhận)) và phương pháp danh sách đen được khuyến nghị để chặn lưu lượng truy cập web bất thường dựa trên chữ ký.

FMT_SMR.1 Các quy tắc an toàn

ₒ TOE phải cung cấp cho người quản trị được ủy quyền các chức năng quản lý an toàn để thiết lập và quản lý các chức năng an toàn, chính sách an toàn, dữ liệu quan trọng…

– Các chức năng quản lý an toàn bao gồm:

• Chức năng thêm, xóa hoặc thay đổi các điều kiện hoặc các quy tắc có thể xác định hoạt động của chức năng an toàn.

• Chức năng thêm, xóa hoặc thay đổi các hành động được thực hiện bởi TOE theo các điều kiện hoặc quy tắc.

• Một chức năng để chọn hoặc thay đổi các thiết lập TOE

– Các chức năng quản lý an toàn được thực hiện bởi TOE được trình bày trong Bảng 5.

ₒ Người quản trị có thể cấp quyền cho từng người dùng hoặc từng nhóm.

ₒ Tài khoản người dùng (ID) là một giá trị duy nhất và sẽ không được đăng ký trùng lặp.

ₒ Số lần xác thực liên tiếp không thành công trong đó định danh và xác thực bị hủy kích hoạt sẽ được cố định hoặc có thể đặt ở giá trị từ 5 trở xuống.

ₒ Khi thực hiện hủy kích hoạt chức năng xác thực trong một khoảng thời gian nhất định, thời gian cần thiết để kích hoạt lại sẽ được cố định hoặc có thể cài đặt ở giá trị từ 5 phút trở lên.

ₒ Nếu ID/mật khẩu là thông tin duy nhất để định danh và xác thực người dùng, TOE phải đáp ứng tiêu chí an toàn, “Bảng A – Loại tiêu chí an toàn mật khẩu(1)” của FIA_SOS.1 khi đăng ký và thay đổi mật khẩu.

ₒ Nếu đầu vào ID/mật khẩu và các chức năng định danh và xác thực bổ sung được thực hiện đồng thời, TOE phải đáp ứng tiêu chí an toàn, “Bảng B – Loại tiêu chí an toàn mật khẩu(2)” của FIA_SOS.1 khi đăng ký và thay đổi mật khẩu.

ₒ Nếu đầu vào ID/mật khẩu và các chức năng định danh và xác thực bổ sung được thực hiện đồng thời, TOE phải đáp ứng các tiêu chuẩn an toàn, <Loại tiêu chuẩn an toàn mật khẩu(2)> của FIA_SOS.1 khi đăng ký và thay đổi mật khẩu.

ₒ Nếu thông tin xác thực cần thiết cho xác thực thực thể CNTT bên ngoài được yêu cầu thiết lập, TOE sẽ cung cấp chức năng thiết lập thông tin cần thiết cho xác thực thực thể CNTT bên ngoài.

– Mục tiêu ứng dụng có thể là khóa chia sẻ trước cho kết nối máy chủ xác thực, mật khẩu xác thực/mã hóa SNMP…

– Khi mật khẩu được sử dụng để xác thực thực thể CNTT bên ngoài, tiêu chí an toàn, Bảng A hoặc Bảng B của FIA_SOS.1 phải được tuân thủ.

ₒ TOE sẽ cung cấp một chức năng để giới hạn IP của các thiết bị đầu cuối quản lý có thể truy cập.

– Địa chỉ IP của các thiết bị đầu cuối quản lý sẽ có thể được đăng ký, xóa hoặc đã thay đổi.

– Các thiết bị đầu cuối quản lý có thể được truy cập bởi quản trị viên chỉ có quyền đọc thay vì cho mục đích quản lý (ví dụ: quản trị viên giám sát…) có thể được đăng ký và vận hành bổ sung.

– Mỗi lần chỉ có thể thêm một địa chỉ IP máy chủ duy nhất cho các thiết bị đầu cuối quản lý có thể truy cập.

– Phương pháp lựa chọn dải địa chỉ IP, chẳng hạn như 192.168.10.2~253 hoặc đăng ký bằng cách sử dụng 0.0.0.0, 192,168.10.*, bất kỳ… có nghĩa là toàn bộ dải mạng không được phép.

ₒ Khi cung cấp một chức năng yêu cầu mật khẩu để truy cập các thành phần bên trong của TOE hoặc các thực thể CNTT bên ngoài, TOE sẽ cung cấp chức năng thay đổi mật khẩu mặc định được sử dụng để truy cập các thành phần bên trong hoặc các thực thể CNTT bên ngoài.

– Ví dụ về mật khẩu mặc định bao gồm mật khẩu DBMS và mật khẩu máy chủ web/máy chủ WAS.

– Nếu TOE lưu trữ mật khẩu mặc định để truy cập DBMS, TOE sẽ cung cấp chức năng thay đổi mật khẩu mặc định.

– Ví dụ về thông tin xác thực bao gồm mật khẩu được sử dụng để xác thực TOE trong máy chủ SMTP.

– Tùy thuộc vào việc các chức năng định danh và xác thực bổ sung có được sử dụng đồng thời khi tạo mật khẩu hay không, các tiêu chí an toàn, <Loại tiêu chí an toàn mật khẩu(1)> hoặc <Loại tiêu chí an toàn mật khẩu(2)> của FIA_SOS.1 sẽ được tuân thủ.

– Nếu một tài khoản (ID) mặc định tồn tại trong TOE để truy cập DBMS/Máy chủ Web/Máy chủ WAS, chức năng thay đổi nó có thể được cung cấp.

ₒ Nếu một thực thể CNTT bên ngoài tương tác với TOE yêu cầu thông tin xác thực để xác thực TOE, thì TOE sẽ cung cấp một chức năng để thiết lập thông tin xác thực cần thiết để được xác thực bởi thực thể CNTT bên ngoài.

– Ví dụ về thông tin xác thực bao gồm mật khẩu được sử dụng để xác thực TOE trong máy chủ SMTP.

– Mật khẩu nên tuân thủ các tiêu chí an toàn, <Loại tiêu chí an toàn mật khẩu (2)> của FIA_SOS.1.

• Tuy nhiên, ngay cả các ký tự có trong tiêu chí an toàn mật khẩu cũng không được bao gồm các ký tự không được phép nhập bởi thực thể CNTT bên ngoài tương tác.

ₒ TOE sẽ cung cấp giao diện chỉ cho phép quản trị viên được ủy quyền truy cập cài đặt TOE và những người khác không phải quản trị viên được ủy quyền sẽ không thể truy cập cài đặt TOE.

– Truy cập có nghĩa là các thao tác như đọc, thay đổi và xóa…

ₒ Khi cung cấp chức năng sao lưu các cài đặt TOE ở dạng tệp bên ngoài, một chức năng mã hóa sẽ được cung cấp.

ₒ Đối với mã hóa, thuật toán mã hóa được sử dụng, an toàn khóa mã hóa và phương thức lưu trữ khóa mã hóa phải đáp ứng yêu cầu “bảo vệ khi lưu trữ khóa mã hóa” của lớp FCS và FPT_PST.1.

ₒ TOE sẽ cung cấp một chức năng để người quản trị kiểm tra nội dung và kết quả của việc xác minh tính toàn vẹn.

– Nội dung và kết quả xác minh tính toàn vẹn được xác nhận thông qua màn hình hiển thị, bản ghi kiểm toán.

ₒ TOE sẽ cung cấp chức năng để người dùng kiểm tra “thông tin định danh duy nhất của TOE”.

– Thông tin định danh TOE phải là duy nhất, người dùng có thể kiểm tra thông qua giao diện và không thể sửa đổi, thay đổi. Nó sẽ bao gồm những điều sau:

• Tên TOE, phiên bản TOE, bản phát hành TOE hoặc số bản dựng

– Nếu TOE bao gồm nhiều thành phần được tách biệt về mặt vật lý, thông tin định danh của mỗi thành phần phải là duy nhất, có thể được kiểm tra và không thể sửa đổi hoặc thay đổi bởi người dùng. Nó sẽ bao gồm những điều sau:

• Tên và phiên bản của TOE bao gồm thành phần, tên thành phần, phiên bản thành phần và số bản phát hành hoặc bản dựng của thành phần

– Một hệ thống quản lý phiên bản sẽ được áp dụng để kiểm tra bản vá của TOE/các thành phần và liệu các chức năng có được cải thiện hay không. (ví dụ: Trong trường hợp cải tiến chức năng và bản vá, một hệ thống thay đổi phiên bản chính, phiên bản phụ, số phát hành và số bản dựng cho từng trường hợp được thiết lập để theo dõi lý do thay đổi TOE/thành phần với thông tin phiên bản)

– Trong trường hợp thiết bị phần cứng, người dùng sẽ có thể xem thông tin định danh duy nhất của phần sụn ngoài thông tin định danh TOE thông qua giao diện TOE.

ₒ Một lượng thời gian nhất định, là lượng thời gian tích lũy sau khi kết nối kích hoạt khóa phiên người dùng hoặc hết thời gian phiên, quản trị viên có thể sửa lượng thời gian tích lũy từ giá trị 10 phút trở xuống hoặc đặt theo tỷ lệ đến số lần xác thực thất bại.

ₒ Bản ghi kiểm toán chỉ được truy vấn thông qua chức năng an toàn do TOE cung cấp.

ₒ Các lệnh giao diện người dùng (UI) và CLI có liên quan sẽ không được cung cấp để ngay cả quản trị viên được ủy quyền cũng không thể xóa hoặc thay đổi Bản ghi kiểm toán.

ₒ Ví dụ về các điều kiện để thông báo cho quản trị viên liên quan đến phản hồi mất bản ghi kiểm toán như sau.

– 90% trở lên của dung lượng đĩa thiết lập, 100 MB trở lên…

ₒ TOE sẽ hạn chế chỉ cho phép quản trị viên được ủy quyền thực hiện các chức năng quản lý an toàn có thể thiết lập và quản lý các quy tắc chặn và phát hiện lưu lượng truy cập web.

– Các chức năng quản lý an toàn như sau:

• Khả năng thêm, xóa hoặc thay đổi các điều kiện hoặc quy tắc hoạt động cho các chức năng an toàn phát hiện hoặc chặn lưu lượng truy cập web

• Cập nhật chữ ký (mẫu phát hiện)

• Tạo chữ ký mới (mẫu phát hiện)

• Thay đổi ngưỡng tại đó chức năng chặn của TOE vận hành

• Thay đổi thời gian thực hiện hành động chặn lưu lượng

• Thay đổi danh sách trắng và danh sách đen địa chỉ hoặc dải IP

• Chức năng thêm, xóa, thay đổi hành động được thực hiện bởi TOE theo điều kiện hoặc quy tắc

– Chức năng xác minh cho đầu vào của quản trị viên các giá trị (hạn chế về ký tự không được chấp nhận, độ dài…) sẽ được cung cấp

FMT_SMR.1 Các quy tắc an toàn

1. [chỉ định: quy tắc kết hợp mật khẩu và/hoặc độ dài]

2. [chỉ định: quản lý khác như quản lý các ký tự đặc biệt không sử dụng được cho mật khẩu…]

1. [chỉ định: quy tắc kết hợp ID và/hoặc độ dài]

2. [chỉ định: quản lý khác như quản lý các ký tự đặc biệt không sử dụng được cho ID…]

ₒ Tài khoản người dùng (ID) là một giá trị duy nhất và sẽ không được đăng ký trùng lặp.

ₒ TOE sẽ cung cấp chức năng buộc thay đổi/tạo mật khẩu mặc định của quản trị viên trong lần truy cập ban đầu (truy cập quản lý, truy cập cục bộ) tới TOE.

– Nếu có mật khẩu mặc định, chức năng thay đổi mật khẩu mặc định sẽ được cung cấp trong lần truy cập ban đầu vào TOE, sau đó sẽ có thể quản lý và truy cập cục bộ vào TOE.

– Nếu không có mật khẩu mặc định, mật khẩu mới sẽ được tạo, sau đó có thể quản lý và truy cập cục bộ vào TOE.

• Mật khẩu phải tuân thủ các tiêu chí an toàn, <Loại Tiêu chí An toàn Mật khẩu (1)> hoặc <Loại Tiêu chí An toàn Mật khẩu (2)> của FIA_SOS.1.

– Nếu không có tài khoản (ID) mặc định, một tài khoản (ID) mới sẽ được tạo, sau đó có thể quản lý và truy cập cục bộ vào TOE.

1. Bảo vệ khi lưu trữ dữ liệu TSF (thông tin quan trọng)

ₒ TOE sẽ lưu trữ thông tin quan trọng theo cách an toàn khi lưu trữ bên trong TOE.

– Ít nhất khi TOE lưu trữ các thông tin quan trọng sau đây, nó sẽ được mã hóa và lưu trữ.

• Mật khẩu được TOE sử dụng để định danh và xác thực người dùng

• Thông tin xác thực được TOE sử dụng để định danh và xác thực bổ sung

• Khóa mã hóa dữ liệu (DEK)

– Khóa mã hóa dữ liệu (DEK) sẽ được mã hóa và lưu trữ bằng khóa mã hóa chính (KEK)

– Các yêu cầu liên quan đến việc sinh và lưu trữ khóa mã hóa khóa (KEK) phải đáp ứng yêu cầu “bảo vệ khi lưu trữ khóa mã hóa” của FCS_CKM.1(1), FCS_CKM.1(2) và FPT_PST.1.

– Khi TOE lưu trữ các thông tin sau, nó phải được lưu trữ bằng cách sử dụng mã hóa, kiểm soát truy cập…

• Thông tin được sử dụng để xác thực lẫn nhau khi TOE và các thực thể CNTT bên ngoài tương tác

• Cần có mật khẩu quản trị viên của máy chủ DBMS/máy chủ web/máy chủ WAS cho TOE để truy cập DBMS/máy chủ web/máy chủ WAS tồn tại bên trong hoặc bên ngoài TOE.

• Khóa mã hóa (khóa chia sẻ trước, khóa đối xứng, khóa riêng)

– Mật khẩu người dùng được TOE sử dụng để định danh và xác thực người dùng sẽ được lưu trữ bằng cách sử dụng mã hóa một chiều (băm) để ngăn chặn việc giải mã.

• Khi thực hiện mã hóa một chiều, cần thêm và áp dụng một giá trị được tạo ngẫu nhiên gọi là muối vào mật khẩu.

• Giá trị muối không cần an toàn. Nó sẽ được sinh bằng cách sử dụng bộ tạo bit ngẫu nhiên và kích thước phải ít nhất là 48 bit.

• Số lần lặp phải được áp dụng càng lớn càng tốt (ít nhất 1000 lần).

– Mật khẩu quản trị viên của máy chủ DBMS/máy chủ Web/máy chủ WAS... cần thiết cho hoạt động của TOE có thể được lưu trữ sau khi được mã hóa bằng cách áp dụng thuật toán mã hóa khóa công khai/khóa đối xứng.

– Khóa mã hóa có nghĩa là khóa chia sẻ trước, khóa đối xứng, khóa riêng… và bao gồm tất cả các khóa được sử dụng để truy cập quản lý TOE/truy cập cục bộ và cài đặt tương tác giữa các thành phần TOE.

– Mật khẩu và khóa mã hóa có trong thông tin quan trọng tối thiểu sẽ được mã hóa sẽ không được lưu trữ trong TOE bằng cách mã hóa cứng.

– Thuật toán mật mã sử dụng, độ an toàn khóa mật mã và phương thức lưu trữ khóa mật mã phải đáp ứng yêu cầu “bảo vệ khi lưu trữ khóa mật mã” của lớp FCS và FPT_PST.1.

2. Bảo vệ khi lưu trữ dữ liệu TSF (cài đặt, bản ghi kiểm toán)

ₒ TOE sẽ cung cấp chức năng để bảo vệ các giá trị cài đặt TOE được lưu trữ (chính sách an toàn, tham số cài đặt môi trường…) để chỉ quản trị viên được ủy quyền mới có thể truy cập.

– Đối với TOE kiểu thiết bị phần cứng, cài đặt TOE được lưu trữ bên trong sẽ được bảo vệ và đối với TOE kiểu phần mềm, cài đặt TOE được lưu trữ trong cửa hàng do TOE kiểm soát sau khi cài đặt.

– TOE sẽ cung cấp giao diện chỉ cho phép quản trị viên được ủy quyền truy cập cài đặt TOE và những người khác không phải quản trị viên được ủy quyền sẽ không thể truy cập cài đặt TOE

• Truy cập có nghĩa là các thao tác như đọc, thay đổi, xóa…

– Khi cung cấp chức năng để sao lưu cài đặt TOE ở dạng tệp bên ngoài, chức năng mã hóa sẽ được cung cấp.

– Trong quá trình mã hóa, thuật toán mã hóa được sử dụng, độ an toàn của khóa mã hóa và phương thức lưu trữ khóa mã hóa phải đáp ứng yêu cầu “bảo vệ khi lưu trữ khóa mã hóa” của lớp FCS và FPT_PST.1.

ₒ Nếu WAS (Tomcat, Jesus…) được bao gồm trong gói TOE, TOE sẽ thực hiện không bao gồm thông tin quan trọng trong nhật ký WAS.

– Thông tin quan trọng như mật khẩu và khóa mã hóa không được để ở dạng bản rõ trong nhật ký WAS.

ₒ TOE có thể mã hóa và lưu trữ Bản ghi kiểm toán một cách an toàn khi chúng được lưu trữ bên trong TOE.

– Thuật toán mật mã sử dụng, độ an toàn khóa mật mã và phương thức lưu trữ khóa mật mã phải đáp ứng yêu cầu “bảo vệ khi lưu trữ khóa mật mã” của lớp FCS và FPT_PST.1.

3. Bảo vệ khi lưu trữ khóa mật mã

ₒ TOE sẽ lưu trữ khóa mật mã một cách an toàn.

– Khóa mã hóa dữ liệu (DEK) có thể được lưu trữ bằng cách sử dụng khóa mã hóa khóa (KEK).

– Khóa mã hóa khóa (KEK) có thể được sinh qua nhiều giai đoạn của chuỗi khóa, trong đó khóa mã hóa khóa cuối cùng (KEK) có thể được mã hóa và lưu trữ bằng khóa mã hóa khóa (KEK) của giai đoạn trước.

– Không thể lưu trữ khóa mã hóa khóa (KEK) ngoại trừ khóa mã hóa khóa cuối cùng (KEK) trong chuỗi khóa.

– Khi khóa mật mã được lưu trữ bên ngoài TOE, nên sử dụng thông tin lưu trữ đã được xác minh về độ an toàn như thẻ thông minh, USB an toàn và thiết bị bảo vệ khóa (HSM).

• Nên sử dụng sản phẩm đã nhận được báo cáo kiểm tra chức năng an toàn hoặc chứng chỉ TCVN 8709 trong nước/nước ngoài cho thông tin lưu trữ.

– Mã hóa cứng và lưu trữ khóa mã hóa trong TOE là không được phép.

– Như thể hiện trong Bảng 6 bên dưới, người đăng ký phải xác định tất cả các khóa mật mã được sử dụng để lưu trữ và truyền trong TOE, đồng thời chứng minh tính an toàn bằng cách gửi danh sách và tài liệu giải thích về các phương pháp lưu trữ và hủy khóa.

Bảng 6 – Cách lưu trữ và hủy khóa mật mã

– Khi TOE lưu trữ các khóa mật mã (khóa chia sẻ trước, khóa đối xứng, khóa riêng…) được sử dụng để truy cập cục bộ/quản trị để quản lý TOE và để cài đặt tương tác với thiết bị riêng biệt, nó sẽ được bảo vệ và lưu trữ theo cách như mã hóa, kiểm soát truy cập…

ₒ TOE sẽ cung cấp chức năng để cập nhật chữ ký mới nhất.

ₒ Nếu chức năng cập nhật được cung cấp, TOE sẽ cung cấp chức năng tự động duy trì phiên bản hiện có khi cài đặt cập nhật không thành công.

– Nếu nó không được hỗ trợ bởi TOE, việc phục hồi thử công bởi quản trị viên sẽ được hỗ trợ.

– Nhà tài trợ sẽ mô tả chi tiết quy trình phục hồi thủ công của quản trị viên trong các sản phẩm bàn giao.

1. Tự kiểm tra máy chủ TOE, chức năng phản hồi và tạo bản ghi kiểm toán

ₒ TOE sẽ thực hiện tự kiểm tra trong quá trình khởi động (hoặc thực thi)/vận hành ban đầu theo định kỳ hoặc theo yêu cầu của quản trị viên.

– Khi khởi động (hoặc thực thi) TOE lần đầu bắt buộc phải thực hiện tự kiểm tra và trong quá trình vận hành phải hỗ trợ thực hiện tự kiểm tra định kỳ hoặc theo yêu cầu của người quản trị.

– Mục tiêu tự kiểm tra có nghĩa là quy trình chính của TOE và phải kiểm tra xem quy trình có chạy bình thường không.

– Đối tượng tự kiểm tra có thể được lựa chọn bởi người nộp đơn, nhưng nếu trạng thái bất thường của thực thể (ví dụ: lỗi, dừng…) ảnh hưởng đến chức năng an toàn của TOE, thì thực thể tương ứng sẽ được đưa vào làm đối tượng tự kiểm tra.

– Lịch sử tự kiểm tra sẽ được xác nhận thông qua đầu ra màn hình, Bản ghi kiểm toán.

– TOE kiểu thiết bị phần cứng phải đáp ứng các yêu cầu sau.

• Tự kiểm tra sẽ được thực hiện để phát hiện lỗi trong phần cứng (ví dụ: bộ nhớ, flash, NIC…) và phần mềm (ví dụ: quy trình…) được bao gồm trong phạm vi của TOE khi khởi động và trong khi vận hành TOE.

– Nếu tồn tại các thành phần TOE tách biệt về mặt vật lý, việc tự kiểm tra sẽ được thực hiện bằng cách chọn các đối tượng bao gồm tất cả các thành phần.

– Nhà tài trợ mô tả chi tiết chức năng tự kiểm tra trong hồ sơ đệ trình.

ₒ Nếu kết quả tự kiểm tra TOE không thành công, nó sẽ thực hiện chức năng phản hồi.

– TOE sẽ thực hiện chức năng phản hồi đã triển khai hoặc chức năng phản hồi do quản trị viên thiết lập để đảm bảo hoạt động chính xác.

– Bản ghi kiểm toán sẽ được tạo ra cho kết quả tự kiểm tra.

– Ví dụ về các chức năng phản hồi được thực hiện khi kết quả tự kiểm tra là lỗi như sau.

• Chấm dứt chương trình, hiển thị màn hình thông báo cảnh báo, khởi động lại quá trình…

– Chức năng quản lý an toàn có thể được cung cấp để quản trị viên thiết lập chức năng phản hồi.

2. Xác minh tính toàn vẹn của máy chủ TOE, chức năng phản hồi và tạo bản ghi kiểm toán

ₒ TOE sẽ cung cấp chức năng để xác minh tính toàn vẹn của chính nó và các giá trị cài đặt của nó.

– Xác minh tính toàn vẹn bao gồm các giá trị cài đặt TOE (tệp cấu hình…) và bản thân TOE (quy trình, thư viện, tệp thực thi…).

– Xác minh tính toàn vẹn sẽ được thực hiện khi TOE được thực thi lần đầu (hoặc khởi động) và xác minh tính toàn vẹn định kỳ có thể được thực hiện bổ sung.

– Đối tượng xác minh tính toàn vẹn có thể được nhà tài trợ lựa chọn, nhưng nếu trạng thái bất thường của thực thể (ví dụ: lỗi, dừng…) ảnh hưởng đến chức năng an toàn của TOE, thì thực thể tương ứng sẽ được đưa vào làm đối tượng xác minh tính toàn vẹn.

– Nếu tồn tại các thành phần TOE tách biệt về mặt vật lý, việc xác minh tính toàn vẹn sẽ được thực hiện bằng cách chọn các đối tượng để bao gồm tất cả các thành phần.

– Phải cung cấp chức năng để người quản trị thực hiện xác minh tính toàn vẹn.

– Thuật toán mật mã được sử dụng, độ an toàn của khóa mật mã và phương thức lưu trữ khóa mật mã phải đáp ứng các yêu cầu về “bảo vệ khi lưu trữ khóa mật mã” của lớp FCS và FPT_PST.1.

ₒ Nếu kernel hệ điều hành hoặc cấp kernel mô-đun được bao gồm trong phạm vi của TOE, thì TOE sẽ cung cấp chức năng để xác minh tính toàn vẹn của kernel hệ điều hành hoặc cấp kernel mô-đun.

– Khi xác minh tính toàn vẹn bằng phương pháp so sánh giá trị băm, thuật toán mật mã được sử dụng, an toàn khóa mật mã và phương thức lưu trữ khóa mật mã phải đáp ứng các yêu cầu về “bảo vệ khi lưu trữ khóa mật mã” của lớp FCS và FPT_PST.1.

ₒ TOE sẽ cung cấp chức năng cho quản trị viên để kiểm tra nội dung và kết quả của việc xác minh tính toàn vẹn.

– Nội dung và kết quả xác minh tính toàn vẹn sẽ được kiểm tra thông qua màn hình hiển thị và bản ghi kiểm toán.

ₒ TOE sẽ thực hiện chức năng phản hồi nếu xác minh tính toàn vẹn không thành công.

– TOE sẽ thực hiện chức năng phản hồi được triển khai của chính nó hoặc chức năng phản hồi do quản trị viên thiết lập.

– Bản ghi kiểm toán sẽ được tạo ra cho kết quả xác minh tính toàn vẹn.

– Ví dụ về các chức năng phản hồi được thực hiện khi kết quả xác minh tính toàn vẹn bị lỗi như sau:

• Ngắt chương trình thực thi, hiển thị màn hình thông báo cảnh báo…

– Chức năng quản lý an toàn có thể được cung cấp để quản trị viên thiết lập chức năng phản hồi

ₒ TOE sẽ cung cấp một chức năng cho người dùng để kiểm tra “thông tin định danh duy nhất của TOE”.

– Thông tin định danh TOE phải là duy nhất, người dùng có thể kiểm tra thông qua giao diện và không thể chỉnh sửa hoặc thay đổi. Nó sẽ bao gồm những điều sau đây.

• Tên TOE, phiên bản TOE, số bản phát hành hoặc bản dựng TOE

– Nếu TOE bao gồm nhiều thành phần được tách biệt về mặt vật lý, thông tin định danh của từng thành phần phải là duy nhất, có thể được kiểm tra và người dùng không thể sửa đổi hoặc thay đổi. Nó sẽ bao gồm những điều sau:

• Tên và phiên bản của TOE bao gồm thành phần, Tên thành phần, Phiên bản thành phần, Số bản phát hành hoặc bản dựng thành phần.

– Nên áp dụng một hệ thống quản lý phiên bản có thể kiểm tra xem TOE và các thành phần TOE có được vá lỗi và cải tiến chức năng hay không.

(ví dụ: Trong trường hợp cải thiện bản vá và chức năng, hệ thống thay đổi phiên bản chính phiên bản phụ, số phát hành và số bản dựng cho từng trường hợp được thiết lập để theo dõi lý do thay đổi các thành phần TOE/TOE với thông tin phiên bản)

– Trong trường hợp thiết bị phần cứng, người dùng sẽ có thể xem thông tin định danh duy nhất của phần sụn ngoài thông tin định danh TOE thông qua giao diện TOE.

ₒ TOE sẽ cung cấp chức năng cập nhật chữ ký mới nhất.

ₒ Trong trường hợp cung cấp chức năng cập nhật, TOE sẽ xác minh tính hợp lệ của các tệp cập nhật TOE trước khi cài đặt hoặc áp dụng các tệp cập nhật.

– Nếu TOE cung cấp chức năng cập nhật trực tuyến hoặc cập nhật thủ công, thì chỉ các tệp cập nhật đã thành công trong việc xác minh tính hợp lệ mới được cài đặt hoặc áp dụng.

– Xác minh tính toàn vẹn là bắt buộc khi xác minh tính hợp lệ của các tệp cập nhật và sẽ được thực hiện bằng xác minh chữ ký số, xác minh giá trị băm công khai…

– Khi xác minh chữ ký số, xác minh tính hợp lệ của chứng chỉ (trong vòng 1 năm hiệu lực) sẽ được thực hiện.

– Thuật toán mật mã và an toàn khóa mật mã phải đáp ứng các yêu cầu của lớp FCS.

– Kết quả xác nhận hồ sơ cập nhật (thành công/thất bại) sẽ được kiểm toán và ghi lại.

ₒ Nếu chức năng cập nhật được cung cấp, TOE sẽ cung cấp chức năng tự động duy trì phiên bản hiện có khi cài đặt cập nhật không thành công.

– Một bản ghi kiểm toán sẽ được tạo cho kết quả cài đặt bản cập nhật và lý do thất bại.

– Nếu nó không được hỗ trợ bởi TOE, việc phục hồi thủ công bởi quản trị viên sẽ được hỗ trợ.

– Nhà phát triển sẽ mô tả chi tiết quy trình phục hồi thủ công của quản trị viên trong các sản phẩm bàn giao.

ₒ TOE sẽ không cho phép truy cập trùng lặp vào TOE với cùng một tài khoản người dùng hoặc cùng một đặc quyền.

– Nếu người dùng đăng nhập bằng cùng một tài khoản trên một thiết bị đầu cuối khác sau khi đăng nhập, phải chặn truy cập mới hoặc chấm dứt truy cập trước đó.

– Đăng nhập trùng lặp với cùng một đặc quyền sẽ không được phép.

– Một bản ghi kiểm toán sẽ được tạo khi truy cập trùng lặp bị chặn.

ₒ TOE sẽ cung cấp chức năng hạn chế IP của các thiết bị đầu cuối quản lý có thể truy cập.

– Có thể đăng ký, xóa, thay đổi địa chỉ IP của các thiết bị đầu cuối quản lý.

– Các thiết bị đầu cuối quản lý có thể truy cập được đối với quản trị viên chỉ có quyền truy cập đọc thay vì cho mục đích quản lý (ví dụ: quản trị viên giám sát) có thể được đăng ký bổ sung để hoạt động.

– IP của các thiết bị đầu cuối quản lý có thể truy cập có thể được thêm từng cái một dưới dạng IP máy chủ.

– Không được phép đăng ký bằng cách lựa chọn dải địa chỉ IP như 192.168.10.2~253 hoặc bằng cách sử dụng 0.0.0.0, 192.168.10.*, bất kỳ, nghĩa là toàn bộ dải mạng.

Lớp chức năng an toàn

Thành phần chức năng an toàn

Điều kiện bổ sung SFR

Ghi chú

Trong trường hợp các bản ghi kiểm toán được truyền và lưu trữ cho các thực thể CNTT bên ngoài trong thời gian thực.

Trong trường hợp cung cấp chức năng cập nhật trực tuyến thông qua máy chủ cập nhật của nhà phát triển.

ₒ TOE sẽ bảo vệ các bản ghi kiểm toán không bị xóa hoặc thay đổi.

– Một chức năng sẽ được triển khai để lưu trữ bản ghi kiểm toán trong bộ lưu trữ cục bộ hoặc để truyền và lưu trữ bản ghi kiểm toán cho một thực thể CNTT bên ngoài trong thời gian thực.

– Các lệnh giao diện người dùng (UI) và CLI có liên quan sẽ không được cung cấp để ngay cả quản trị viên được ủy quyền cũng không thể xóa hoặc thay đổi bản ghi kiểm toán.

– Việc truy cập của người không được phép sẽ được kiểm soát để bảo vệ bản ghi kiểm toán được lưu trữ.

– Nếu không thể thực hiện đầy đủ chức năng an toàn TOE, thì môi trường vận hành TOE có thể hỗ trợ lưu trữ dấu vết kiểm toán được bảo vệ.

• Ví dụ: Khi các bản ghi kiểm toán được lưu trữ trong DBMS được cài đặt trên cùng hệ điều hành với TOE, các chức năng xác thực và định danh của DBMS có thể được sử dụng để bảo vệ việc xóa hoặc sửa đổi bởi người dùng trái phép.

– Nếu Bản ghi kiểm toán được lưu trữ trong máy chủ nhật ký bên ngoài TOE, giao tiếp được mã hóa sẽ được thực hiện.

• Nếu nhật ký hệ thống được hỗ trợ, thì việc truyền mã hóa sẽ được hỗ trợ thông qua nhật ký hệ thống qua DTLS(RFC 5424), DTLS(RFC 6012)…

ₒ Trong trường hợp kích thước của bản ghi kiểm toán đạt đến dung lượng được xác định trước, TOE sẽ thực hiện các hành động phản hồi như thông báo cho quản trị viên.

– Một chức năng sẽ được thực hiện để lưu trữ Bản ghi kiểm toán trong bộ lưu trữ cục bộ hoặc để truyền và lưu trữ Bản ghi kiểm toán cho một thực thể CNTT bên ngoài trong thời gian thực.

– Có chức năng thông báo cho người quản trị. Ví dụ về chức năng như sau.

• Cảnh báo màn hình, gửi email cho quản trị viên…

– Ví dụ về các điều kiện để thông báo cho quản trị viên về việc mất bản ghi kiểm toán như sau.

• Dung lượng đĩa cài đặt còn 90% trở lên, 100MB trở lên…

– Ngoài ra, có thể cung cấp chức năng cho quản trị viên gửi bản ghi kiểm toán đến máy chủ nhật ký bên ngoài.

• Nếu nhật ký hệ thống được hỗ trợ, thì việc truyền mã hóa sẽ được hỗ trợ thông qua nhật ký hệ thống qua DTLS (RFC 5424), DTLS (RFC 6012)…

• Thuật toán mật mã được sử dụng, an toàn khóa mật mã và phương pháp lưu trữ khóa mật mã phải đáp ứng “bảo vệ khi lưu trữ khóa mật mã” yêu cầu của lớp FCS và FPT_PST.1.

ₒ Trong trường hợp dung lượng lưu trữ bản ghi kiểm toán đầy, TOE sẽ phản hồi lỗi không lưu theo cách thích hợp.

– Một chức năng sẽ được triển khai để lưu trữ bản ghi kiểm toán trong bộ lưu trữ cục bộ hoặc để truyền và lưu trữ bản ghi kiểm toán cho một thực thể CNTT bên ngoài trong thời gian thực.

– Ví dụ về chức năng phản hồi trong trường hợp không lưu được như sau.

• Ghi đè các bản ghi kiểm toán cũ nhất, lưu nén các bản ghi kiểm toán..

ₒ Trong trường hợp TOE hỗ trợ các phương thức xác thực và định danh bổ sung, TOE sẽ tự cung cấp các chức năng định danh và xác thực bổ sung hoặc bằng cách tương tác với các thực thể CNTT bên ngoài, song song với định danh và xác thực dựa trên tài khoản/mật khẩu người dùng.

– Để cung cấp các chức năng định danh và xác thực bổ sung, có thể sử dụng thiết bị hỗ trợ 2FA tuân thủ các tiêu chuẩn FIDO, chứng chỉ, trình tạo mật khẩu dùng một lần (OTP)…

• Nếu nó được hỗ trợ trong môi trường vận hành TOE, nên sử dụng “thiết bị hỗ trợ 2FA tuân thủ các tiêu chuẩn FIDO”.

– Nếu các chức năng định danh và xác thực bổ sung được cung cấp trong TOE, thì các chức năng này có thể được cung cấp bằng cách nhận kết quả xác thực từ bên trong TOE hoặc từ các thực thể CNTT bên ngoài tương tác.

• Nếu TOE cung cấp phương pháp sử dụng chứng nhận, thì việc xác thực chứng chỉ sẽ được thực hiện.

• Thông tin xác thực được sử dụng bởi các thực thể CNTT bên ngoài để thực hiện các phương pháp xác thực và định danh bổ sung sẽ được quản lý an toàn bởi các thực thể CNTT bên ngoài. Nếu TOE lưu trữ thông tin xác thực được sử dụng để thực hiện các phương thức xác thực và định danh bổ sung, các yêu cầu của FPT_PST.1 sẽ được áp dụng.

ₒ TOE sẽ truyền bằng cách sử dụng kênh được mã hóa để bảo vệ dữ liệu được truyền giữa các thành phần TOE (ví dụ: chính sách an toàn, lệnh điều khiển, bản ghi kiểm toán…)

– Để truyền thông được mã hóa an toàn, tính an toàn và tính toàn vẹn sẽ được cung cấp bằng các giao thức chuẩn.

• Các giao thức liên lạc mã hóa an toàn bao gồm HTTPS (được triển khai bằng TLS), TLS (TLS 1.2-RFC5246 trở lên), SSH (SSH V2-RFC 4251, 4254)…

– Không được phép sử dụng giao thức riêng.

– Thuật toán mật mã sử dụng, độ an toàn khóa mật mã và phương thức lưu trữ khóa mật mã phải đáp ứng yêu cầu “bảo vệ khi lưu trữ khóa mật mã” của lớp FCS và FPT_PST.1.

ₒ Trong trường hợp TOE hỗ trợ các phương thức xác thực và định danh bổ sung, TOE sẽ tự cung cấp các chức năng định danh và xác thực bổ sung hoặc bằng cách tương tác với các thực thể CNTT bên ngoài, song song với định danh và xác thực dựa trên tài khoản/mật khẩu người dùng.

– Để cung cấp các chức năng định danh và xác thực bổ sung, có thể sử dụng thiết bị hỗ trợ 2FA tuân thủ các tiêu chuẩn FIDO, chứng chỉ, trình tạo mật khẩu dùng một lần (OTP)…

• Nếu nó được hỗ trợ trong môi trường vận hành TOE, nên sử dụng “thiết bị hỗ trợ 2FA tuân thủ các tiêu chuẩn FIDO”.

– Nếu các chức năng định danh và xác thực bổ sung được cung cấp trong TOE, thì các chức năng này có thể được cung cấp bằng cách nhận kết quả xác thực từ bên trong TOE hoặc từ các thực thể CNTT bên ngoài tương tác.

• Nếu TOE cung cấp phương pháp sử dụng chứng nhận, thì việc xác thực chứng chỉ sẽ được thực hiện.

• Thông tin xác thực được sử dụng bởi các thực thể CNTT bên ngoài để thực hiện các phương pháp xác thực và định danh bổ sung sẽ được quản lý an toàn bởi các thực thể CNTT bên ngoài. Nếu TOE lưu trữ thông tin xác thực được sử dụng để thực hiện các phương thức xác thực và định danh bổ sung, các yêu cầu của FPT_PST.1 sẽ được áp dụng

a) xóa hoặc ghi đè thiết bị hiển thị, làm cho nội dung hiện tại không thể đọc được;

b) vô hiệu hóa bất kỳ hoạt động nào của thiết bị hiển thị/truy cập dữ liệu của người dùng ngoài việc mở khóa phiên.

ₒ TOE sẽ cung cấp chức năng khóa hoặc chấm dứt phiên nếu nó không được sử dụng trong một khoảng thời gian nhất định sau khi phiên người dùng được kết nối.

– Thông tin thời gian được sử dụng sẽ được áp dụng dựa trên thời gian của máy chủ.

– Sau khi kết nối, trong một khoảng thời gian nhất định được cấu hình sẵn, kích hoạt khóa phiên hoặc chấm dứt.

• Quản trị viên có thể cố định một khoảng thời gian nhất định trong khoảng 10 phút hoặc ít hơn thời gian khóa phiên, và cài đặt số lần xác thực không thành công.

– Sau khi hết thời gian khóa, phiên bị khóa sẽ được mở khóa bởi người quản trị hoặc thông qua chức năng xác thực người dùng cho từng phiên.

– Một bản ghi kiểm toán sẽ được tạo khi khóa phiên hoặc chức năng kết thúc được kích hoạt.

– Nó sẽ được áp dụng cho tất cả quản lý và truy cập cục bộ có trong TOE.

ₒ TOE sẽ cung cấp chức năng khóa hoặc chấm dứt phiên nếu nó không được sử dụng cho khoảng thời gian nhất định sau khi phiên người dùng được kết nối.

– Thông tin thời gian được sử dụng sẽ được áp dụng dựa trên thời gian của máy chủ.

– Một khoảng thời gian nhất định đề cập đến lượng thời gian tích lũy sau khi kết nối kích hoạt khóa phiên hoặc chấm dứt.

• Quản trị viên có thể cố định một khoảng thời gian nhất định trong khoảng 10 phút hoặc ít hơn thời gian khóa phiên, cài đặt tương ứng với số lần xác thực không thành công.

– Sau khi hết thời gian khóa, phiên bị khóa sẽ được mở khóa bởi người quản trị hoặc thông qua chức năng xác thực người dùng cho từng phiên.

– Một bản ghi kiểm toán sẽ được tạo khi khóa phiên hoặc chức năng kết thúc được kích hoạt.

– Nó sẽ được áp dụng cho tất cả quản lý và truy cập cục bộ có trong TOE

ₒ Trong trường hợp cần xác định và xác thực người dùng tồn tại trong tác nhân hoặc máy trạm cấu thành TOE, giá trị định danh sẽ là một giá trị duy nhất không được đăng ký trùng lặp.

– Trong quá trình xác thực người dùng, các thuộc tính bổ sung của tác nhân hoặc máy trạm đã đăng ký cũng sẽ được xác thực.

– Các thuộc tính bổ sung: Địa chỉ IP là bắt buộc và ít nhất một trong số địa chỉ MAC, số sê-ri và thông tin có thể xác định duy nhất chính tác nhân đó sẽ được sử dụng bổ sung.

ₒ Trong trường hợp tương tác với các thực thể CNTT bên ngoài được hỗ trợ, TOE sẽ truyền dữ liệu bằng kênh liên lạc được mã hóa để bảo vệ dữ liệu được truyền khi tương tác với các thực thể CNTT bên ngoài.

– Để liên lạc Bảng mật mã an toàn, tính an toàn và tính toàn vẹn phải được cung cấp bằng cách sử dụng các giao thức tiêu chuẩn.

• Các giao thức liên lạc mã hóa an toàn bao gồm HTTPS (được triển khai bằng TLS), TLS (TLS 1.2-RFC5246 trở lên). SSH (SSH V2-RFC 4251, 4254)…

– Không được phép sử dụng giao thức riêng.

– Kênh liên lạc mật mã có thể được triển khai trực tiếp trong TOE hoặc được cung cấp bởi TOE bằng cách sử dụng môi trường vận hành.

– Yêu cầu này sẽ được áp dụng khi TOE cung cấp chức năng tương tác với các thực thể CNTT bên ngoài để cung cấp chức năng an toàn.

– Nếu dữ liệu truyền không được bảo vệ bằng kênh liên lạc mật mã khi tương tác với các thực thể CNTT bên ngoài, thì sự cần thiết phải bảo vệ tính an toàn và tính toàn vẹn của dữ liệu được truyền sẽ được chứng minh.

– Các dịch vụ liên lạc không hỗ trợ các kênh liên lạc mật mã sẽ có thể bị vô hiệu hóa.

– Thuật toán mật mã sử dụng, độ an toàn khóa mật mã và phương thức lưu trữ khóa mật mã phải đáp ứng yêu cầu “bảo vệ khi lưu trữ khóa mật mã” của lớp FCS và FPT_PST.1.

ₒ Trong trường hợp bản ghi kiểm toán được lưu trữ trong máy chủ nhật ký bên ngoài TOE, giao tiếp bằng mật mã sẽ được thực hiện.

– Nếu nhật ký hệ thống được hỗ trợ, thì việc truyền mã hóa sẽ được hỗ trợ thông qua nhật ký hệ thống qua DTLS(RFC 5424), DTLS(RFC 6012)…

ₒ Trong quá trình truy cập quản lý, TOE sẽ truyền dữ liệu bằng cách sử dụng kênh liên lạc mật mã để bảo vệ dữ liệu được truyền.

– Để liên lạc bằng mật mã an toàn, tính an toàn và tính toàn vẹn phải được cung cấp bằng cách sử dụng các giao thức tiêu chuẩn.

• Các giao thức liên lạc mã hóa an toàn bao gồm HTTPS (được triển khai bằng TLS), TLS (TLS 1.2-RFC5246 trở lên), SSH (SSH V2-RFC 4251, 4254)…

– Không được phép sử dụng giao thức riêng.

– Kênh truyền thông mật mã có thể được triển khai trực tiếp trong TOE hoặc được TOE cung cấp bằng cách sử dụng môi trường vận hành.

– Thuật toán mật mã sử dụng, độ an toàn khóa mật mã và phương thức lưu trữ khóa mật mã phải đáp ứng yêu cầu “bảo vệ khi lưu trữ khóa mật mã” của lớp FCS và FPT_PST.1.

Lớp chức năng an toàn

Thành phần chức năng an toàn

ₒ Phân phối khóa mật mã FCS_CKM.2 là một yêu cầu chức năng có thể triển khai có chọn lọc (“SFR tùy chọn”) và nếu TOE cung cấp thêm chức năng trên, Tác giả ST sẽ đưa yêu cầu này vào SFR.

ₒ Nếu Tác giả ST bao gồm SFR này, thì định nghĩa vấn đề an toàn và các mục tiêu an toàn sẽ được đưa ra bổ sung, nếu cần.

ₒ Khóa được sử dụng trong phương thức thiết lập khóa mật mã được xác định trong FCS_CKM.2.1 phải liên quan đến khóa được tạo trong FCS_CKM.1.1 của FCS_CKM.1

ₒ Mỗi thành phần của TOE sẽ tạo Bản ghi kiểm toán bằng cách sử dụng thông tin thời gian tin cậy.

– Thông tin về thời gian tin cậy sẽ sử dụng thông tin về thời gian do máy chủ NTP hoặc hệ điều hành cung cấp.

Lớp đảm bảo an toàn

Thành phần đảm bảo an toàn

ASE_ECD.1 Định nghĩa các thành phần mở rộng.

ASE_REQ.1 Các yêu cầu an toàn đã tuyên bố.

ASE_REQ.1 Các yêu cầu an toàn đã tuyên bố.

ADV_FSP.1 Đặc tả chức năng cơ bản.

AGD_OPE.1 Hướng dẫn người dùng vận hành.

AGD_PRE.1 Quy trình chuẩn bị.

AGD_OPE.1 Hướng dẫn người dùng vận hành.

AGD_PRE.1 Quy trình chuẩn bị.

STT

Yêu cầu chức năng an toàn

Phụ thuộc

Tham khảo

Loại SFR

1

FAU_ARP.1

FAU_SAA.1

3

Bắt buộc

2

FAU_GEN.1

FPT_STM.1

Sở cứ (1)

Bắt buộc

3

FAU_SAA.1

FAU_GEN.1

2

Bắt buộc

4

FAU_SAR.1

FAU_GEN.1

2

Bắt buộc

5

FAU_SAR.3

FAU_SAR.1

4

Bắt buộc

6

FAU_STG.1

FAU_GEN.1

2

Bắt buộc có điều kiện

7

FAU_STG.3

FAU_STG.1

Sở cứ (2)

Bắt buộc có điều kiện

8

FAU_STG.4

FAU_STG.1

Sở cứ (2)

Bắt buộc có điều kiện

9

FCS_CKM.1

[FCS_CKM.2 hoặc FCS_COP.1]

10, 12

Bắt buộc

FCS_CKM.4

11

10

FCS_CKM.2

[FDP_ITC.1 hoặc FDP_ITC.2 hoặc FCS_CKM.1]

9

Tùy chọn

FCS_CKM.4

11

11

FCS_CKM.4

[FDP_ITC.1 hoặc FDP_ITC.2 hoặc FCS_CKM.1]

9

Bắt buộc

12

FCS_COP.1

[FDP_ITC.1 hoặc FDP_ITC.2 hoặc FCS_CKM.1]

9

Bắt buộc

FCS_CKM.4

11

13

FCS_RBG.1

–

–

Bắt buộc

14

FDP_IFC.1

FDP_IFF.1

15

Bắt buộc

15

FDP_IFF.1

FDP_IFC.1

14

Bắt buộc

FMT_MSA.3

26

16

FDP_EDI.1

–

–

Bắt buộc

17

FIA_AFL.1

FIA_UAU.1

19

Bắt buộc

18

FIA_SOS.1

–

–

Bắt buộc

19

FIA_UAU.1

FIA_UID.1

23

Bắt buộc

20

FIA_UAU.4

–

–

Bắt buộc

21

FIA_UAU.5

–

–

Bắt buộc có điều kiện

22

FIA_UAU.7

FIA_UAU.1

19

Bắt buộc

23

FIA_UID.1

–

–

Bắt buộc

24

FMT_MOF.1

FMT_SMF.1

29

Bắt buộc

FMT_SMR.1

30

25

FMT_MSA.1

[FDP_ACC.1 hoặc FDP_IFC.1]

14

Bắt buộc

FMT_SMF.1

29

FMT_SMR.1

30

26

FMT_MSA.3

FMT_MSA.1

25

Bắt buộc

FMT_SMF.1

30

27

FMT_MTD.1

FMT_SMF.1

29

Bắt buộc

FMT_SMR.1

30

28

FMT_PWD.1

FMT_SMF.1

29

Bắt buộc

FMT_SMR.1

30

29

FMT_SMF.1

–

–

Bắt buộc

30

FMT_SMR.1

FIA_UID.1

23

Bắt buộc

31

FPT_ITT.1

–

–

Bắt buộc có điều kiện

32

FPT_LEE.1

–

–

Bắt buộc có điều kiện

33

FPT_PST.1

–

–

Bắt buộc

34

FPT_RCV.2

AGD_OPE.1

–

Bắt buộc

35

FPT_STM.1

–

–

Tùy chọn

36

FPT_TST.1

–

–