繼上期介紹後,本期將就文件品質的重要性及其要求深入說明,並提出建言。
上篇已經針對評估文件的內容與深度做一清楚之介紹,本期將繼續介紹文件品質的重要性及其要求。配合上篇介紹之文件流程機制,於本篇最後提出產品提交共同準則驗證的建言以供參考,期望能提供欲參與共同準則評估之業主與開發者一個直接而有效的幫助。
評估文件
文件品質的重要性
共同準則評估之項目, 包含保護剖繪( P P,Protection Profile)與評估標的(TOE, Target of Evaluation)。其中,保護剖繪著重於描述在特定環境內所存在之威脅的安全需求,而評估標的為用以克服安全威脅所實作之資訊安全產品系統。對於有心想將所撰寫的保護剖繪,或是所開發產品送驗並能順利通過評估而取得驗證的業主與開發者而言,有一些注意及配合事項是申請評估者需要知道的。
一個高安全等級的評估案所需時程通常約需十二至十八個月方能完成,因此業主必須有強烈的意願將資源投入。首先,業主需要對於這項評估的必要性抱持相當程度的信心;其次,開發者對產品驗證的認同與配合亦為關鍵因素。最後,業主與開發者對於共同準則的標準、內容與要求,須獲致一定程度的認識。透過教育訓練與事前的宣導活動,讓所有參與的人員瞭解公司對於提交評估以取得認證的信心及需要大家配合的事項。其中尤其是在人力投入的程度達到共識,更是重要的成功因素。
我們知道,業主必須負責提供所有評估文件提交評估員進行評估工作。為有助於共同準則評估實驗室評估員正確進行評估,如何準備品質精良的評估文件,實為業主與開發者最重要的課題。我們知道,業主送交評估的最終目的,無外乎通過評估以取得認證;而資料與文件的準備方向,旨在滿足評估工作時的需要。故我們由評估員進行評估工作之文件需求開始探討,針對評估文件之證據資訊所需相關品質要求及其溝通方式,提供建議給業主參考。
文件品質的要求
為確保評估所需評估文件之品質,評估文件需要有良好的管理。除其正式版本之外,於實際評估進行時,有許多非正式版的評估文件供使用。此需視文件的特性與評估進行的方式,採行「先行審閱非正式版」,藉以協助評估案順利進行。將於下兩段中介紹相關之品質要求。
? 品質管理的必要性及其重要工作項目
通常的情況下,這些所需的評估文件於開發過程時程中不斷的異動,將陸續產生許多的版本。而進行評估時,為確保評估工作之技術正確性,以及科學工作方法之重要核心:「工作可重複性(Repeatable)」與「結果可重複出現性(Reproducible)」,所有評估時所需使用及參考的評估文件都必須是正確的版本。此為評估工作的基礎,也突顯版本控制的重要性。
因此,執行評估工作之單位(通常為共同準則評估實驗室),於開始進行評估時,便協請業主(最好連同開發者一同參與)共同制定所需評估文件以包含所有評估文件的目錄集。此目錄集可能是一堆文件的參考索引,並且包含足夠的資訊(例如:每份文件簡單扼要的摘要,或至少有個得以望文生義的名稱,並且指出有意義的段落之處)以協助評估員能輕易得到所需的評估文件。而且要記得,重點是評估文件所提供的資訊內容,並非特殊的文件架構。因此,可能一個工作項目會需要幾份不同文件之佐證參考,但也有可能某單一文件就符合所需,視其實際情況而定。
對於評估文件的管理,有三個重要的工作項目須妥善處理:
1.組態控管(Configuration Control)
此控管用以確保良好的版本控制。共同準則規範要求評估員必須於評估文件一收到後,就能清楚識別每個項目,並且確認是否已經擁有適切的文件版本。此外,更必須保存良好,以免內容經竄改或是資料不小心遺失。
2.最終處置(Disposal)
嚴格控管評估文件的使用與流向是一個重要的課題。尤其在整個評估案結束時,這些評估文件的最終處置應該採下列方式(擇一或是並行):歸還、存檔或是銷毀。
3.機密性(Confidentiality)考量
通常,評估員有機會存取被業主視為商業機密之資訊(如:評估標的之原始設計資訊,開發之專門工具等),亦有可能於評估時涉及國家機密資訊。共同準則體制(Scheme)希望對於評估員維護評估時使用的評估文件內證據資料之機密性有適當的要求規範。例如,業主與開發者更是希望有額外更嚴格的「保密協議(NDA, Non-disclosure Agreement)」之簽訂,以確保其評估文件之機密性。上述的機密性要求規範,涵蓋各個層面,包含評估文件的接收、使用、儲存與最終處理等。
? 非正式版評估文件的使用
對於進行評估所需使用的評估文件,評估員往往需要使用已定稿並且正式公佈的版本。然而,於評估工作進行期間,會陸續有非正式版的評估文件可供參考。雖然這類文件版本無法用來作為最後評估結論(Verdict)的評判依據,但往往能提供評估員做一個非正式的判斷,使其能迅速提供建言,以協助評估案順利進行。
為能確保品質要求,並非所有資料文件都適合用此方式進行。經過仔細檢視後發現,是否採行「先行審閱非正式版」,需視文件的特性與評估進行的方式而定。適合的文件有:
1. 測試相關文件,評估員可藉此先行確認測試方法與內容之適切性。
2. 設計開發文件,具相關學識工作背景之評估員可藉此先暸解評估標的之設計。
3. 程式的原始碼或是硬體的線路圖,評估員可藉此評估開發者的實作規劃是否符合標準。
此外,於評估進行中佐以非正式版的方式,特別適合於評估工作與產品開發工作同時進行的情況。然而,此方式對於一些已經開發完成的產品,於面臨設計或實作上之問題時,或是原先開發時並未符合共同準則之安全規範而需提供額外功能之產品修改時,亦可應用。
產品提交共同準則驗證的建言
由上述兩項共同準則評估驗證工作所面臨之課題,需要業主與開發者配合才能使評估工作進行順利。首先,因應於評估所需資料之品質要求,業主與開發者所提供之評估所需評估文件,在共同準則的大前提下,必須先制定相關政策(Policy)以因應;並且對於與評估員之資料往返,預先建立良好而經雙方認可的機制(Protocol)。我們知道,對於每份評估文件的評估進行,觀察報告為一個良好的溝通機制。業主與開發者對於評估員於觀察報告中所提出之每一項目,皆應該逐項仔細探討,並修改相對應之評估文件內容或是表達方式,交由評估員再次評估。最後,評估員將產出一份評估技術報告,以呈現最終之評估結果。
如同先前所述,提供評估時所需的評估文件是業主的責任;然而,這個工作往往落在開發者身上。開發者除了致力於評估標的之開發之外,並需要另花時間製作符合共同準則標準的評估文件與文件等供評估使用;而這往往是未在預期的工作負荷範圍之內,故開發者的瞭解與配合往往是評估案順利進行與否的基本關鍵。
在台灣最常發生的狀況是,業主對於人力與時間之資源分配一開始並無考慮將參與共同準則評估,所以開發者除了缺乏共同準則之相關知識,並無法同時負荷產品開發與評估文件提供兩項工作。此時,勉強進行評估工作,往往因為重技術而輕文件的常規而導致評估文件製作之品質堪慮,而且時程延誤。
更有因此而使得開發者不願投入工作,或是與評估員無法配合而發生衝突,而大大影響評估工作之進行。基於上述情況,亟需要業主出面主導並清楚表明投入相當的資源之決心。務實之作法為:正式之共同準則評估專案啟動(kick-off)之前,業主就應該將欲投入之人力資源規劃妥當,妥善調配參與之開發者其工作分配,並取得當事人之瞭解與認同。藉此增進開發者之配合度,避免陷入文件品質不佳與時程延誤之惡性循環。此一良性的互動關係,是業主與開發者需要把握的機會。大家一齊努力,將評估文件之準備更為完善,以獲得最終「通過」之評估結果以順利取得認證。
以上為具有國內唯一之共同準則評估實驗室的電信技術中心(TTC),彙整其經驗而綜合整理歸納之結果,希望能提供協助。對於參與共同準則評估之業主與開發者而言,除本文所提到的有關評估文件提供之品質要求之外,更有許多文件內容的問題需要詳加研究。本文盼能拋磚引玉,以提供欲參與共同準則評估之業主與開發者一個直接而有效的幫助。