基于ＣＣ安全保障要求的數(shù)據(jù)采集系統(tǒng)安全工程

摘 要：探討了一種基于保障范圍的CC安全保障要求類層次結(jié)構(gòu)，并闡述了各層次下CC安全保障要求在軟件工程活動中的確立方法。在此基礎(chǔ)上，以一個面向CC EAL3評估級的安全數(shù)據(jù)采集系統(tǒng)的開發(fā)活動為背景，闡述了一種結(jié)合實際軟件工程活動的、基于CC安全保障類的安全工程方法。

關(guān)鍵詞：數(shù)據(jù)采集系統(tǒng); 安全工程; 通用評估準則

中圖法分類號：TP311．52 文獻標識碼：A 文章編號：1001-3695(2006)10-0137-03

Security Engineering for Data Acquisition System Based on CC

Security Assurance Requirements

XIANG Dong， WANG Runxiao， QIN Xiansheng， JIANG Xiaopeng

(College of Mechanical Engineering， Northwestern Polytechnical University， Xi’an Shanxi 710072， China)

Abstract:This paper presents a layered framework of CC security assurance requirements based on the assurance scope， and the concrete corresponding assurance methods integrated with the activities in software engineering. Based on this framework， this paper explains a security engineering method based on the CC security assurance requirements， by means of case study developing secure data acquisition system according to EAL3 in CC.

Key words:Data Acquisition System(DAS); Security Engineering; Common Criteria(CC)

數(shù)據(jù)采集系統(tǒng)（Data Acquisition System，DAS）是由計算機控制技術(shù)、計算機網(wǎng)絡(luò)以及智能儀表等組成的一組復(fù)雜系統(tǒng)，是工業(yè)控制系統(tǒng)的核心組成部分。隨著計算機控制及通信技術(shù)的不斷發(fā)展，數(shù)據(jù)采集系統(tǒng)正由傳統(tǒng)的封閉系統(tǒng)發(fā)展為基于標準網(wǎng)絡(luò)協(xié)議（如TCP/IP）以及PC控制的開放式網(wǎng)絡(luò)系統(tǒng)[1]。在這種情況下，網(wǎng)絡(luò)信息系統(tǒng)所面臨的威脅與風(fēng)險，同樣影響著數(shù)據(jù)采集系統(tǒng)的安全性[1]。由于工業(yè)數(shù)據(jù)采集系統(tǒng)通常運用在國民經(jīng)濟的重要支柱產(chǎn)業(yè)，迫切地需要尋找一種系統(tǒng)的數(shù)據(jù)采集系統(tǒng)安全解決方案。

安全工程是一項基于軟件工程以及安全技術(shù)的系統(tǒng)工程，其基本目的在于將系統(tǒng)的安全需求有機地集成到軟件開發(fā)的各個活動中，并通過工程中的過程控制確保實現(xiàn)。通用評估準則（Common Criteria，CC）[2~4]是用于評估信息產(chǎn)品與系統(tǒng)安全性的一套完整的框架，廣泛地適用于信息產(chǎn)品安全評估、安全需求工程、安全工程等領(lǐng)域。CC本身的完備性與一致性對信息產(chǎn)品的安全工程活動有著重要的參考價值和指導(dǎo)意義；另一方面，作為通用標準，CC本身并沒有給出對安全工程的具體執(zhí)行方法。如何結(jié)合CC框架進行信息產(chǎn)品的開發(fā)正在成為安全工程的一個新興的研究領(lǐng)域。

1 CC安全保障類框架分析

1．1 CC的核心思想

CC的核心思想在于將一個信息系統(tǒng)的安全性劃分為兩個相對獨立的層面，即安全功能要求和安全保障要求。安全功能是指信息系統(tǒng)應(yīng)當具有的安全需求，可以視為是系統(tǒng)需求的有機組成與補充；安全保障是指采用軟件工程、開發(fā)環(huán)境控制、交付運行控制以及自測等措施的系統(tǒng)工程，其目的在于確保安全功能要求得以準確完整地實現(xiàn)。

對應(yīng)上述的思想，CC提出了兩種基本的安全要求類，分別為安全功能要求類（Security Functional Requirement Class）和安全保障要求類（Security Assurance Requirement Class），詳細定義了國際上公認的常見安全功能及保障要求。結(jié)合CC提出的安全評估概念——PP(Protection Profile，保護輪廓)/ST（Security Target，安全目標），安全功能要求類為系統(tǒng)的安全需求開發(fā)提供了完備的基礎(chǔ)支撐，可以視為系統(tǒng)安全需求基本的、可復(fù)用的素材。

CC安全保障類包括APE(Protection Profile Evaluation，保護輪廓評估)、ASE(Security Target Evaluation，安全目標評估)、ACM(Configuration Management，配置管理)、ADO(Delivery and Operation，發(fā)布和操作)、ADV(Development，開發(fā))、ALC(Life Cycle Support，生命周期支持)、ATE(Tests，測試)、AVA(Vulnerability Assessment，脆弱性分析)以及AGD(Guidance Documents，指南文檔)共九類。CC安全保障類為安全工程需要滿足的約束提供了完備的框架，并且獨立于工程具體的生命周期模型及開發(fā)方法。可以認為，符合CC安全保障要求的信息系統(tǒng)開發(fā)活動在安全方面是完備的、可信的。

為了有效地滿足CC安全保障類的要求，需要基于已有的、可行的軟件工程方法，將安全保障要求有機地、完整地集成到軟件工程活動中，構(gòu)造出協(xié)調(diào)的安全工程活動。

1．2 基于保障范圍的CC安全保障類層次體系結(jié)構(gòu)

從軟件工程的角度，我們基于CC安全保障類在工程活動中的保障范圍將CC安全保障類劃分為以下三層，分別為工作產(chǎn)品級保障、過程級保障和組織級保障（圖1），各層在安全工程中的作用范圍逐步放大。

（1）工作產(chǎn)品級保障。工作產(chǎn)品級保障對安全工程中的工作產(chǎn)品提出保障要求，是CC安全保障類對具體工作產(chǎn)品的內(nèi)容和描述的要求。工作產(chǎn)品級保障包括：

①APE/ASE。保障PP/ST的完備性、一致性、技術(shù)可行性以及PP/ST之間的一致性，是針對工作產(chǎn)品PP/ST的保障。

②ADV_FSP/ADV_HLD/ADV_LLD/ADV_SPM。保障系統(tǒng)設(shè)計階段的工作產(chǎn)品（包括需求規(guī)格說明文檔、系統(tǒng)高層設(shè)計文檔、系統(tǒng)底層設(shè)計以及安全策略模型等）與ST中安全功能的一致性，確保安全功能在設(shè)計中得到了正確和完整的實現(xiàn)，是針對設(shè)計活動工作產(chǎn)品的保障。

③AGD。保障用戶文檔的可讀性、一致性及完備性。

④ATE_FUN。保障測試用例、計劃以及測試規(guī)程的完備性。

⑤ACM_CAP/ACM_SCP。對配置管理中版本控制粒度、配置項覆蓋范圍提出了保障要求，是針對工作產(chǎn)品配置管理計劃的保障。

⑥AVA_MSU。保障安裝指導(dǎo)文件以及用戶指導(dǎo)文件的準確性，避免實際使用中用戶可能出現(xiàn)的引起系統(tǒng)安全隱患的錯誤操作。

(2)過程級保障。過程級保障對安全工程中的過程活動提出了約束與保障要求，是CC安全保障類蘊涵的對安全工程過程活動的指導(dǎo)思想。由于過程活動本身會帶來工作產(chǎn)品的產(chǎn)出，因此過程級保障可能同時包括對相關(guān)工作產(chǎn)品的保障要求，是工作產(chǎn)品級保障的超集。過程級保障包括：

①ADV_RCR。要求在設(shè)計活動中，必須始終貫穿需求規(guī)格、高層設(shè)計、底層設(shè)計以及編碼實現(xiàn)之間的完備性、一致性分析與檢查活動，并且產(chǎn)生相關(guān)的分析報告。

②ATE_COV/ATE_DPT/ATE_IND。要求在測試活動中，必須始終貫穿測試用例與系統(tǒng)安全需求之間完備性及測試粒度的分析與檢查活動，并且產(chǎn)生相關(guān)的分析報告；ATE_IND對測試活動開展的前提條件與輸入提出了明確的要求，包括系統(tǒng)應(yīng)當處于的狀態(tài)以及必須完成的文檔等。

③ADO。對于產(chǎn)品發(fā)布、現(xiàn)場安裝過程需要考慮的安全因素提出了明確的要求，包括版本的安全性、發(fā)布產(chǎn)品本身的安全性等。

(3)組織級保障。組織級保障對整個安全工程的基礎(chǔ)支撐和環(huán)境提出了約束和保障要求，是CC安全保障類蘊涵的對安全工程綜合的指導(dǎo)思想。組織級保障貫穿于系統(tǒng)的整個周期，并為其提供基礎(chǔ)的支撐，并不隸屬于具體的過程。組織級保障包括：

①ALC。ALC_DVS要求開發(fā)環(huán)境具有安全性特性，從而需要制定組織級安全策略，對環(huán)境中的物理設(shè)施、人員以及管理流程等進行安全措施頒布；ALC_FLR提出了缺陷閉環(huán)修訂的要求，因而需要制定一個完善的缺陷修訂規(guī)程和計劃，在整個安全工程中持續(xù)地實施；ALC_LCD對產(chǎn)品生命周期模型的選擇提出了要求，從而需要建立組織級的生命周期模型庫以及選擇標準與指南。

②AVA。AVA_SOF要求開展系統(tǒng)的安全功能強度分析，AVA_VLA要求開展系統(tǒng)的脆弱性分析，從而需要從組織級制定脆弱管理規(guī)程并與其他安全工程活動集成。

1．3 CC安全保障類在安全工程中的確立方法

CC安全保障類的層次劃分思想進一步證明了安全保障類是獨立于具體的軟件開發(fā)方法和模型的。我們可以基于既有的軟件工程活動確立安全保障要求，構(gòu)造出符合CC安全保障的安全工程，具體地說：

(1)對于工作產(chǎn)品級保障，采用軟件工程活動中常用的工作產(chǎn)品檢查單（Checklist）加以確立，即將保障類的要求編寫成為對應(yīng)工作產(chǎn)品的檢查單，作為工作產(chǎn)品的合格標準，并結(jié)合評審活動確保檢查單中的約束得以滿足。

(2)對于過程級保障，提取安全保障類的約束和要求，并反映到相關(guān)過程活動的規(guī)程文件中，包括過程文件、指南等軟件工程文檔，以指導(dǎo)軟件過程活動的開展。

(3)對于組織級保障，需要建立支撐和貫穿整個安全工程的活動，并與既有的其他過程有機地集成在一起。

綜上所述，我們通過表1來描述CC安全保障要求在安全工程中的確立方法。

表1 CC安全保障要求在安全工程中的確立方法

保障范圍安全保障類/族確立方法作用項工作產(chǎn)品

級保障APEASEADV_FSP/ADV_SPMADV_HLDADV_LLDAGD/AVA_MSUATE_FUNACM_CAP/ACM_SCPAVA_MSU檢查單PPST需求規(guī)格說明系統(tǒng)設(shè)計/概要設(shè)計詳細設(shè)計用戶指導(dǎo)文檔（用戶手冊）測試規(guī)程/測試用例/測試計劃配置管理計劃產(chǎn)品安裝文檔過程級

保障ADV_RCRATE_COV/ATE_DPT/ATE_INDADO過程文件

和指南開發(fā)階段過程文件/指南文件測試階段過程文件/指南文件發(fā)布/安裝階段過程文件/指南文件組織級

保障ALC_DVS建立組織級的安全開發(fā)環(huán)境ALC_FLR建立安全工程全生命周期的缺陷修訂規(guī)程ALC_LCD建立組織級的生命周期模型庫以及選擇標準與指南AVA建立組織級的脆弱性分析規(guī)程

2 基于CC安全保障類的SCDAS安全工程

2．1 SCDAS概況

SCDAS(Secure Data Acquisition System，安全數(shù)據(jù)采集系統(tǒng))是基于OPC(OLE for Process Control)數(shù)據(jù)采集規(guī)范的通用數(shù)據(jù)采集系統(tǒng)，是西北工業(yè)大學(xué)自主知識產(chǎn)權(quán)的產(chǎn)業(yè)化項目——NWPUPCS過程控制系統(tǒng)的核心組成部分。SCDAS是一個可以獨立運行的系統(tǒng)，支持基于OPC規(guī)范的數(shù)據(jù)監(jiān)控與組態(tài)配置。SCDAS設(shè)定的用戶權(quán)限包括系統(tǒng)管理員、數(shù)據(jù)監(jiān)控管理員以及數(shù)據(jù)配置管理員共三類基本角色，不同的角色擁有不同的訪問控制策略。SCDAS共分為數(shù)據(jù)采集層與數(shù)據(jù)業(yè)務(wù)層。數(shù)據(jù)采集層通過OPC規(guī)范控制現(xiàn)場設(shè)備數(shù)據(jù)；數(shù)據(jù)業(yè)務(wù)層實現(xiàn)系統(tǒng)邏輯控制以及數(shù)據(jù)調(diào)度與管理。

SCDAS面向CC EAL3評估級，在安全功能要求方面采用NIST頒布的PPPCSRF[3]作為系統(tǒng)安全功能需求；在安全保障要求方面按照CC EAL3安全保障包制定系統(tǒng)的安全工程。

2．2 SCDAS安全工程模型

SCDAS安全工程共分為五個主要階段：準備及計劃、需求設(shè)計、結(jié)構(gòu)設(shè)計與實現(xiàn)、測試以及交付與使用。CC安全保障要求與整個安全工程活動有機地集成在一起，如圖2所示。

(1)準備及計劃階段。進行SCDAS開發(fā)支撐環(huán)境建設(shè)，主要活動包括：

①按照ALC_DVS/ALC_FLR的保障要求建立組織級的安全開發(fā)環(huán)境以及缺陷消除支持，并在整個工程活動中貫徹實施。

②按照AVA_SOF/AVA_VLA的保障要求建立組織級的脆弱性分析支持，并在整個工程活動中貫徹實施。

③按照ALC_LCD的保障要求進行生命周期選擇活動。將SCDAS瀑布模型作為產(chǎn)品生命周期模型，并定義了各個階段的度量方法，確保生命周期是可度量的。

④按照ALC_TAT的保障要求進行開發(fā)方法與工具選擇活動，持續(xù)到底層設(shè)計階段之前。

⑤完成配置管理計劃，并按照ACM_CAP/ACM_SCP進行檢驗。

(2)需求設(shè)計階段。進行SCDAS的需求規(guī)格開發(fā)，主要活動包括：

①PP/ST開發(fā)。SCDAS依據(jù)PCSRF作為系統(tǒng)PP，并以此進行ST開發(fā)。PCSRF可視為數(shù)據(jù)采集系統(tǒng)高層安全概要性功能描述；ST可視為PCSRF在SCDAS實際產(chǎn)品設(shè)計中的精化與落實。在ST開發(fā)過程中，我們識別出了SCDAS所用的用戶權(quán)限、對應(yīng)的角色和權(quán)限，對于PP中的安全功能要求進行了精化，使SCDAS的安全需求更加容易理解。ST必須基于ASE要求審核通過。

②安全策略開發(fā)。基于SCDAS實際環(huán)境下的用戶權(quán)限與保護的數(shù)據(jù)資源，建立SCDAS系統(tǒng)全局的訪問控制模型以及信息流模型，并基于ADV_SPM進行審核通過。安全策略是對ST安全目標的進一步精化，能夠有效地指導(dǎo)SCDAS安全需求的開發(fā)。

③需求規(guī)格開發(fā)。基于ST以及安全策略，完成系統(tǒng)的安全需求規(guī)格設(shè)計，并基于ADV_FSP要求審核。

④用戶文檔開發(fā)。基于系統(tǒng)需求規(guī)格進行用戶文檔開發(fā)活動，并在測試階段開始時完成。用戶文檔必須基于AGD以及AVA_MSU要求審核。

⑤測試文檔開發(fā)。基于系統(tǒng)需求規(guī)格，按照ATE_COV/ATE_DPT/ATE_IND的要求進行測試文檔（計劃、用例、規(guī)程）開發(fā)的過程活動，持續(xù)到測試階段。SCDAS系統(tǒng)的測試用例開發(fā)采用基于需求用例的開發(fā)方法，即通過需求用例推導(dǎo)相應(yīng)的測試用例，從而保障測試與安全需求一致性約束。

⑥制定發(fā)布及安裝規(guī)程。按照ADO的保障要求制定系統(tǒng)發(fā)布及安裝規(guī)程，并在進入交付及使用階段時完成。發(fā)布流程需要確保SCDAS產(chǎn)品版本的正確性，并確保沒有安全信息的泄漏；安裝和運行流程用于確保產(chǎn)品在實際環(huán)境中正確、安全地安裝。

SCDAS通過并行開發(fā)的方式，在需求階段引入用戶文檔、測試文檔以及發(fā)布安裝規(guī)程開發(fā)活動，有效地縮短了整個產(chǎn)品的開發(fā)周期。

(3)結(jié)構(gòu)設(shè)計與實現(xiàn)階段。活動包括SCDAS高層設(shè)計、底層設(shè)計以及實現(xiàn)，并貫穿基于ADV_RCR的設(shè)計一致性分析活動。高層設(shè)計建立SCDAS體系結(jié)構(gòu)，將系統(tǒng)劃分為數(shù)據(jù)采集層（基于OPC Server的現(xiàn)場數(shù)據(jù)采集）以及數(shù)據(jù)邏輯層（基于OPC Client的數(shù)據(jù)訪問以及系統(tǒng)應(yīng)用邏輯處理），對各層的接口以及相關(guān)交互進行描述，并基于ADV_HLD對設(shè)計進行檢查。底層設(shè)計描述高層設(shè)計中各層次的模塊組成、模塊接口與交互，以及模塊內(nèi)部邏輯，并基于ADV_LLD驗證。

(4)測試階段。基于通過ATE_FUN驗證的測試文檔、通過AGD以及AVA_MSU驗證的用戶指導(dǎo)文檔，對SCDAS進行驗證測試。

(5)交付與使用階段。依照SCDAS發(fā)布、安裝和運行流程完成產(chǎn)品的發(fā)布與現(xiàn)場安裝使用。

3 相關(guān)研究

文獻[5]提出了一種基于CC安全功能類的系統(tǒng)的安全產(chǎn)品開發(fā)方法，對于基于CC安全功能要求的安全工程方法有一定的指導(dǎo)意義；文獻[6~9]提出了幾種CC保障類與軟件工程階段的映射方案，但并沒有給出保障類在活動中的確立方法。本文在上述研究基礎(chǔ)上，結(jié)合實際的工程經(jīng)驗提出了基于保障范圍的CC安全保障類層次體系，并對不同保障范圍的安全保障類的確立方法給出了工程經(jīng)驗，建立了一種與CC安全保障類緊密集成的安全工程方法，可以更好地推廣到實際的安全工程活動中。

4 總結(jié)

基于CC安全保障類的安全工程利用CC框架的完備性，能夠有效地確保系統(tǒng)在過程方面的安全性，CC安全保障類蘊涵的思想同時為安全工程的發(fā)展提供了借鑒。通過本文提出的安全工程方法開發(fā)的SCDAS，在一個可控的開發(fā)周期以及成本范圍內(nèi)順利開發(fā)完成，并且很好地滿足了CC EAL3安全保障要求，證明了本方法在實際工程活動中的可行性。

參考文獻：

[1]System Protection Profile:Industrial Control Systems[EB/OL]. http://www.nist.org，2004.

[2]The International Organization for Standardization and the International Electrotechnical Commission， Joint Technical Committee 1. Common Criteria for Information Technology Security Evaluation， Part1: Introduction and General Model[R].2004.

[3]The International Organization for Standardization and the International Electrotechnical Commission， Joint Technical Committee 1. Common Criteria for Information Technology Security Evaluation， Part2: Security Functional Requirements[R].2004.

[4]The International Organization for Standardization and the International Electrotechnical Commission， Joint Technical Committee 1. Common Criteria for Information Technology Security Evaluation， Part3: Security Assurance Requirements[R]. 2004.

[5]J J Whitmore. A Method for Designing Secure Solutions[J]. IBM Systems Journal， 2001，40:747-768.

[6]石文昌，孫玉蕓.通過CC標準的思想確定RSLinux的安全可信度[J].廣西科學(xué)，2001，8(1):1518.

[7]Sang ho Kim， et al. A Case Study in Applying Common Criteria to Development Process of Virtual Private Network[J]. Lecture Notes in Computer Science， 2004，3043:608-616.

[8]Sang Ho Kim， et al. A Case Study in Applying Common Criteria to Development Process to Improve Security of Software Products[J]. Lecture Notes in Computer Science， 2004，3043:10691077.

[9]Taihoon Kim， et al. A Relationship between Security Engineering and Security Evaluation[J]. Lecture Notes in Computer Science， 2004，3046:717-724.

作者簡介：

向冬（1975-），男，上海人，博士研究生，主要研究方向為制造自動化軟件及安全技術(shù)；王潤孝（1957-），男，陜西蒲城人，教授，博導(dǎo)，主要研究方向為先進制造技術(shù)、機電控制及自動化；秦現(xiàn)生（1958-），男，陜西西安人，教授，博導(dǎo)，主要研究方向為先進制造技術(shù)、機電控制及自動化；姜曉鵬（1975-），男，陜西人，博士研究生，主要研究方向為先進制造技術(shù)。

注:本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文