信息安全是我們這個時代最重要的話題之一。有一件事是肯定的：總會有攻擊者試圖利用軟件中的漏洞來濫用它。我們目前正在經歷網絡攻擊數量的快速增長。惡意行為者 - 通常是專業的罪犯或國家攻擊者 - 正在獲取機密信息，訪問系統以控制它們，或破壞它們以使其不再運行的程度。

然而，網絡攻擊的動機在共同標準中根本沒有作用（或只是從屬的），因為參與者被分配的角色使他們成為威脅。區分用戶是無意中危害系統還是攻擊者（由通用準則稱為威脅代理）故意攻擊系統。但是，這只有在從損害和“要保護的資產”（特別是系統的組成部分）的角度考慮這些類別時才重要。

通用標準認證的工作原理

考慮一個交互式展臺的制造商（系統集成商），他想要認證一系列新的展臺。為此，將全面檢查由硬件（SoC、支付終端和顯示器）和軟件（操作系統、硬件抽象層以及用于通過網絡訂購商品和支付的應用程序）組成的信息亭。

這是因為任何根據通用標準進行認證的人都有一個完整的系統，或IT產品/嵌入式系統（在通用標準中稱為評估目標，簡稱TOE），必須保護它免受上述參與者的損害。這包括（但不一定）硬件，必須保護硬件免受物理濫用，例如盜竊、操縱等;和軟件，必須根據某些范式進行評估。但是，也可以宣布其他安全目標。

系統集成商并不孤單。另一個實體（通常是測試實驗室）協助認證，并由權威機構（通常是政府）頒發認證。

所有可能和合理的參與系統的參與者都將被識別出來，例如用戶（客戶），程序員（他們可能出于任何動機安裝特洛伊木馬），以及肆意破壞信息亭的人。這些行為者所有可以想象的攻擊都將以共同準則的語言命名和分配。將指出如何消除或最小化此類攻擊的損害的對策，以便保護組件（資產）。最后，權威機構（例如德國聯邦信息安全辦公室（BSI））將驗證是否可以授予認證，然后授予或拒絕認證。

共同準則的哲學

通用準則是當前且定期維護的通用安全認證。它的設計方式使其可以盡可能普遍地使用，因此可以在任何地方使用，因此可以在任何地方使用，這與特定的DO-356A / ED-203A安全認證相反，例如，該認證是為航空電子系統設計的，并且僅用于那里（即飛機）。

通用準則經過明確設計，以便可以將來自IT安全研究的結果納入其中，因為結構足夠靈活，可以擴展或修改。這種靈活性還允許將大部分要求用于特定認證，例如 DO-356A/ED-203A。

因此，一方面，無論需要哪種特定認證，都可以相對方便地將已經認證的工件轉移到新項目中;另一方面，以這種方式預先認證的系統可以用作新項目的基礎。這對操作系統制造商來說是有意義的，因為這里不清楚操作系統是用于汽車、無人機、工業機器人、外骨骼還是衛星。

考慮一家飛機制造商，他們希望根據DO-356A / ED-203A對其航空電子系統進行認證，使用實時操作系統來保證應用程序是確定性的 - 方向舵必須并且將在一定時間內做出反應。在這種情況下，通用準則未涵蓋的要求很少。事實上，通用準則和DO-356A/ED-203A共有32項要求，這些要求完全或至少大部分一致，只有7項要求不適用。

對于為車輛電子系統設計的相對較新的ISO/SAE 21343標準，有93個全等或幾乎一致的要求，只有9個不在通用標準中。每個全等要求都可以映射到特定安全認證的相應要求。這并非巧合：大多數特定的安全認證都可以追溯到通用準則。

回到飛機制造商的例子：在這個政府支持的黑客攻擊和勒索團伙威脅要墜毀飛機的時代，網絡安全和功能安全現在密不可分。這要求軟件既要為安全和保障而設計，又要通過適當的認證來證明操作的完整性。

因此，在這種情況下，必須根據DO-356A/ED-203A和安全標準DO-178C進行認證。因此，為其項目尋找合適基礎的系統集成商將通過選擇根據相關行業安全標準認證（或易于認證）的操作系統來節省大量時間、精力和金錢，并且還根據通用標準進行了足夠高的認證，以涵蓋適用的行業特定網絡安全標準。

安全評估

就像 DO-178C 制定從 DAL D 到最高級別的 DAL A 的安全級別一樣，提高評估保證級別 （EAL） 可以保證對認證系統建立對 IT 安全的合理信心。然而，雖然DO-178C可以對安全性做出或多或少的明確陳述，但通用標準級別并不直接表明系統在安全/不安全二分法意義上的安全性，而是對系統的合理信任做出陳述。

這種間接的信任聲明是基于這樣一個事實，即在IT安全問題上沒有絕對的確定性。雖然統計（故障）概率證明了對 DAL A 等安全級別的信任，因為只分析了技術環境，人為因素對于通用準則和一般的 IT 安全具有決定性作用，因為我們正在處理一個對手，與技術系統不同，他可能導致系統隨意失敗。一個技術系統可能會失敗，但它不能做任何事情來導致自己失敗。

這種情況和共同準則的理念是由于這樣一個事實，即開放計算是對所有可能性進行的。這反映在評估過程中采用攻擊者的觀點并使用缺陷假設方法、滲透測試和其他措施等方法搜索漏洞（取決于級別）的程序中。

然而，或者正是由于這種方法，共同準則提供了一種藍圖或構建工具包，用于從頭開始設計系統，以便盡可能避免漏洞并使資產得到最佳保護。在評估這一點上投入的精力越多，對系統的信心就越大。這反映在水平增加時。

通用準則的評估保證級別 （EAL）

如果要實現七個 EAL 之一，則必須滿足某些條件。首先，對嵌入式系統進行分級的重要三個維度是范圍、深度和嚴謹性。

范圍只是意味著嵌入式系統的一部分有多大（您也可以只認證嵌入式系統的一部分 - 通用標準使您可以自由地認證要認證的內容）。深度表示對產品的檢查有多細粒度，分析有多詳細。最后，嚴謹性表明評估的執行程度。這包括正式證明某些東西是安全的。

根據預定義的矩陣，類與子系列一起列出，每個子系列都提出了要認證的嵌入式系統的目標和要求。這里的三個維度是相應班級級別的指南針。咨詢的領域（此處稱為類）包括開發、指南文檔、生命周期支持、安全目標評估（安全目標是系統集成商證明其努力的中心文檔）、測試和漏洞評估。

例如，Test 類包含深度 （ATE_DPT） 和功能測試 （ATE_FUN） 子系列等。深度（ATE_DPT）不要與前面提到的尺寸深度混淆。

要達到一定的 EAL，亞族的級別必須（至少）達到相應 EAL 級別所需的所有高度。例如，如果要達到 EAL 5，在類測試中，對于亞族深度，至少必須達到亞族級別 3，這對應于模塊化設計，而級別 1 對應于基本設計。

對于 1 級的基本設計，只需要對安全功能 （TSF） 進行（相對膚淺的）描述，并且這些功能如描述的那樣。在第 3 級，TSF 及其每個模塊都需要詳細說明，描述（內部）功能和接口以及這些功能和接口按指定的方式運行。這里的范圍、深度和嚴謹性更大?！豆餐瑴蕜t》指出，通過披露，避免錯誤的信心增加。因此，在所有類別中，必須滿足某些次級目標才能達到給定的水平。

EAL 3 或 5 – 有什么區別，加號是什么意思？

如果您以 PikeOS 等實時操作系統為例，它擁有當前有效的認證，并且之前在較低級別獲得認證，您可以看到差異： PikeOS 分離內核的先前認證為 EAL 3+ 級別（加號表示除了必須達到的子族的所有級別外， 對在嵌入式系統上下文中似乎有意義的可選類進行了額外的評估）。

EAL 3 表示嵌入式系統已經過系統測試和驗證。這被理解為包括一個完整的安全目標，其中已經分析了安全功能要求（SFR），嵌入式系統的安全架構的描述以了解其功能，接口描述和指導文檔。

功能、滲透測試和漏洞分析也是必要的，以滿足進一步的要求，例如嵌入式系統的配置管理和安全交付程序的證明。通用準則談到了開發人員和用戶的整體中等安全級別，可以獨立確認。

PikeOS 的分離內核現已在 5.5.1 版本中達到 EAL 3+。這標志著一些差異：除上述要求外，該級別還首次增加了模塊化安全功能設計（TSF，TOE安全功能）。

TSF 包括硬件、軟件和固件（即硬件抽象層，可以是 BIOS 或主板支持包），它們必須滿足所述要求 （SFR）。最大的區別在于，嵌入式系統不僅經過了有條不紊的測試和檢查，而且以更結構化的方式開發，因此更具可分析性，并且存在半正式的描述。

在 PikeOS 的情況下，加號 （+） 表示，除了 EAL 5 級別的所有要求外，可選類AVA_VAN（漏洞分析）、ADV_IMP（實現表示）、ALC_DVS（開發安全）、ALC_CMC（CM 功能）（等等）也已在最高級別 EAL 7 上實現。換句話說，PikeOS在某些方面具有EAL 7級別。特別是對于漏洞分析類，這對系統集成商來說是一個很大的附加值，因為已經證明，TOE的剩余漏洞只能被攻擊潛力為（在通用標準語言中）“超出高”的攻擊者利用。

這是可能的最高評級。它基于由以下因素確定的分數：識別和利用所需的時間（經過的時間）、所需的技術專業知識（不僅包括某些知識，還包括攻擊者的數量（專業知識）、TOE 設計和操作知識（TOE 知識）、“機會之窗”以及所需的設備， 例如利用所需的IT硬件/軟件或其他工具（設備）。

此外，EAL 5 要求對嵌入式系統進行全面的配置管理，包括一定程度的自動化，以及完整的接口描述。通用準則確保以這種方式開發的產品（與 EAL 3 不同）不僅可以承受基本級別的攻擊，還可以承受中等攻擊潛力。

由于PikeOS本質上是一個具有實時能力的硬分離內核，可以在空間和時間上（即分區和流）安全可靠地分離應用程序，因此理論上，設法訪問一個分區的攻擊者無法訪問另一個分區。他也不能導致另一個權限提升，但在這種情況下只能訪問這個單一的應用程序。然而，即使這樣也不太可能，因為由于必需和實現的安全功能和緩解技術（如安全啟動或硬件 - 軟件信任鏈）存在非常嚴格的權限管理。

在EAL 5級別，系統集成商首次也需要一定程度的安全工程技術，但開發成本 - 正如通用標準所述 - 并非不合理。這對最終產品意味著什么，只有在事先檢查要求后才能更精確地確定。但是，通用準則還指出，創建安全產品的大量努力可以滿足高安全性要求，并且這一點已得到獨立確認。

因此，EAL 5（在PikeOS的情況下，甚至是EAL 5+）在安全性和成本效益之間占據了最佳平衡點，并且憑借其豐富的功能，提供了創建現代，網絡和安全嵌入式系統的可能性。

審核編輯：郭婷