Tiêu chuẩn quốc gia TCVN 14107:2024 về Công nghệ thông tin - Các kỹ thuật an toàn - Hồ sơ bảo vệ cho sản phẩm tường lửa ứng dụng web

TIÊU CHUẨN QUỐC GIA

TCVN 14107:2024

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HỒ SƠ BẢO VỆ CHO SẢN PHẨM TƯỜNG LỬA ỨNG DỤNG WEB

Information technology - Security techniques - Protection profile for Web Application Firewall

Lời nói đầu

TCVN 14107:2024 do Cục An toàn thông tin biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

 

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HỒ SƠ BẢO VỆ CHO SẢN PHẨM TƯỜNG LỬA ỨNG DỤNG WEB

Information Technology - Security techniques - Protection profile for Web Application Firewall

1  Phạm vi áp dụng

Tiêu chuẩn này quy định hồ sơ bảo vệ cho sản phẩm tường lửa ứng dụng web, thể hiện các yêu cầu chức năng an toàn (SFR) và yêu cầu đảm bảo an toàn (SAR) đối với sản phẩm tường lửa ứng dụng web.

Tiêu chuẩn này áp dụng vào quá trình đánh giá an toàn thông tin đối với sản phẩm tường lửa ứng dụng web theo các tiêu chí đánh giá được quy định trong TCVN 8709-1:2011 (ISO/IEC 15408-1:2009), TCVN 8709-2:2011 (ISO/IEC 15408-2:2008) và TCVN 8709-3:2011 (ISO/IEC 15408-3:2008).

2  Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là cần thiết để áp dụng đối với tiêu chuẩn này. Đối với tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả phiên bản sửa đổi, bổ sung).

TCVN 8709:2011 (ISO/IEC 15408:2009) toàn phần, “Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT” [CC].

TCVN 11386:2016 (ISO/IEC 18045:2008), “Công nghệ thông tin - Các kỹ thuật an toàn - Phương pháp đánh giá an toàn công nghệ thông tin” [CEM].

3  Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa trong TCVN 8709-1:2011 và các thuật ngữ sau:

3.1

Tài sản (assets)

Các thực thể mà chủ sở hữu Đích đánh giá (TOE) đặt giá trị vào đó.

3.2

Chỉ định (assignment)

Định rõ một tham số định danh trong một thành phần (của TCVN 8709) hoặc một yêu cầu.

3.3

Khả năng tấn công (attack potential)

Ước lượng về khả năng tấn công vào TOE biểu thị qua kinh nghiệm, tài nguyên và động cơ của kẻ tấn công.

3.4

Gia tăng (augmentation)

Việc thêm một hoặc nhiều yêu cầu vào một gói.

3.5

Dữ liệu xác thực (authentication data)

Thông tin được dùng để xác minh định danh đã tuyên bố của một người dùng.

3.6

Phục hồi tự động (automated recovery)

Phục hồi mà không cần sự can thiệp của người dùng.

3.7

Quản trị viên được ủy quyền (authorized administrator)

Người dùng được ủy quyền để vận hành và quản lý TOE một cách an toàn

3.8

Có thể (can/could)

Có thể được trình bày trong CHÚ THÍCH biểu thị các yêu cầu tùy chọn được áp dụng cho TOE theo lựa chọn của Tác giả ST.

3.9

Lớp (class)

Tập các họ TCVN 8709 cùng chia sẻ một mục tiêu chung.

3.10

Thành phần (component)

Tập nhỏ nhất lựa chọn được của các phần tử mà các yêu cầu có thể dựa vào.

3.11

Hệ quản trị cơ sở dữ liệu (Database Management System)

Một hệ thống phần mềm được cấu tạo để cấu hình và áp dụng cơ sở dữ liệu.

3.12

Giải mã (decryption)

Hành động phục hồi bản rõ từ bản mã bằng cách sử dụng khóa giải mã.

3.13

Tính phụ thuộc (dependency)

Mối quan hệ giữa các thành phần mà nếu trong đó một yêu cầu dựa trên thành phần phụ thuộc được đưa vào một PP, ST hoặc một gói thì yêu cầu dựa trên thành phần được phụ thuộc cũng thường phải được đưa vào PP, ST hoặc gói đó.

3.14

Phần tử (element)

Phát biểu cơ bản nhất về một yêu cầu an toàn.

3.15

Mã hóa (encryption)

Hành động chuyển đổi bản rõ thành bản mã bằng cách sử dụng khóa mã hóa.

3.16

Mức bảo đảm đánh giá (Evaluation Assurance Level)

Tập các yêu cầu đảm bảo rút ra từ TCVN 8709-3, biểu thị một điểm mốc trên cấp bậc bảo đảm được xác định trước trong bộ TCVN 8709, tạo thành một gói đảm bảo.

3.17

Thực thể bên ngoài (external entity)

Một người dùng hay thiết bị CNTT có thể tương tác với TOE từ bên ngoài ranh giới TOE.

CHÚ THÍCH: Một thực thể bên ngoài có thể được coi là một người dùng.

3.18

Họ (family)

Một nhóm các thành phần cùng chia sẻ một mục tiêu giống nhau song khác nhau về tầm quan trọng hay tính chặt chẽ.

3.19

Định danh (identity)

Việc biểu diễn các thực thể (chẳng hạn như người dùng, tiến trình hoặc ổ đĩa) xác định duy nhất trong ngữ cảnh của TOE.

3.20

Phép lặp (iteration)

Là việc sử dụng lặp lại một thành phần để thể hiện hai hoặc nhiều yêu cầu riêng biệt.

3.21

Truy cập cục bộ (local access)

Truy cập vào TOE bằng cách sử dụng cổng bảng điều khiển để quản lý TOE bởi quản trị viên, trực tiếp.

3.22

Quyền truy cập quản lý (management access)

Quyền truy cập vào TOE bằng cách sử dụng HTTPS, SSH, TLS... để quản lý TOE bởi quản trị viên, từ xa.

3.23

Bảng điều khiển quản lý (management console)

Chương trình ứng dụng cung cấp GUI, CLI... cho quản trị viên và cung cấp cấu hình và quản lý hệ thống.

3.24

Phục hồi thủ công (manual recovery)

Phục hồi thông qua máy chủ cập nhật... do người dùng thực hiện hoặc can thiệp của người dùng.

3.25

Đối tượng (object)

Thực thể thụ động trong TOE có chứa hoặc tiếp nhận thông tin, mà dựa vào đó các chủ thể thực thi các hoạt động.

3.26

Hoạt động (operation)

(đối với một thành phần của TCVN 8709) là sự sửa đổi hoặc lặp lại một thành phần.

3.27

Hoạt động (operation)

(đối với một đối tượng) là kiểu đặc trưng của một hành động do một chủ thể thực hiện trên một đối tượng.

3.28

Chính sách an toàn của tổ chức (Organizational Security Policy)

Tập các quy tắc, thủ tục, hoặc hướng dẫn an toàn cho một tổ chức.

CHÚ THÍCH: Một chính sách có thể chỉ áp dụng cho một môi trường vận hành cụ thể.

3.29

Khóa riêng (Private Key)

Khóa mật mã được sử dụng trong thuật toán mã hóa phi đối xứng và liên kết duy nhất với một thực thể (chủ thể sử dụng khóa riêng), không được tiết lộ.

3.30

Hồ sơ bảo vệ (Protection Profile)

Tuyên bố độc lập về nhu cầu an toàn cho một loại TOE.

3.31

Thuật toán mật mã phi đối xứng (Public Key (asymmetric) cryptographic algorithm)

Thuật toán mã hóa sử dụng một cặp khóa công khai và khóa riêng.

3.32

Dịch vụ người dùng quay số xác thực từ xa (Remote Authentication Dial-In User Services)

Thực hiện định danh và xác thực người dùng bằng cách gửi thông tin như ID người dùng, mật khẩu, địa chỉ IP đến máy chủ xác thực, khi người dùng từ xa yêu cầu quyền truy cập.

3.33

Bộ tạo bít ngẫu nhiên (Random Bit Generator)

Một thiết bị hoặc thuật toán tạo ra một chuỗi nhị phân độc lập về mặt thống kê và không bị sai lệch. RBG được sử dụng cho ứng dụng mật mã thường tạo ra chuỗi bít 0 và 1 và chuỗi này có thể được kết hợp thành một khối bit ngẫu nhiên. RBG được phân loại thành loại xác định và không xác định. RBG loại xác định bao gồm một thuật toán tạo chuỗi bit từ giá trị ban đầu được gọi là “khóa gốc” và RBG loại không xác định tạo ra đầu ra phụ thuộc vào nguồn vật lý không thể đoán trước.

3.34

Khuyến nghị/được khuyến nghị (recommend/be recommended)

“Khuyến nghị” hoặc “được khuyến nghị” được trình bày trong CHÚ THÍCH là khuyến nghị không bắt buộc, nhưng được yêu cầu áp dụng cho các hoạt động an toàn của TOE.

3.35

Tinh chỉnh (refinement)

Bổ sung chi tiết cho một thành phần.

3.36

Tập phân vai (role)

Một tập các quy tắc xác định trước để thiết lập các tương tác được phép giữa một người dùng và TOE.

3.37

Khóa bí mật (secret key)

Khóa mật mã được sử dụng trong thuật toán mật mã đối xứng và chỉ đáp ứng với một hoặc một số thực thể, không được tiết lộ.

3.38

Chính sách chức năng an toàn (Security Function Policy)

Tập các quy tắc mô tả hành vi an toàn cụ thể được thực thi bởi TSF và được biểu thị như một tập các SFR.

3.39

Đích an toàn (Security Target)

Phát biểu phụ thuộc thực thi về các yêu cầu cần thiết của một TOE xác định.

3.40

Lựa chọn (selection)

Xác định cụ thể một hoặc nhiều khoản mục từ một danh sách trong một thành phần.

3.41

Tự kiểm tra (self-test)

Kiểm tra trước khi vận hành hoặc kiểm tra có điều kiện được thực hiện bởi mô-đun mật mã.

3.42

Lớp cổng bảo mật (Secure Sockets Layer)

Do Netscape phát triển, được đề xuất để cung cấp tính an toàn và tính toàn vẹn trên mạng máy tính và được tiêu chuẩn hóa thành bảo mật tầng vận chuyển (TLS).

3.43

Chủ thể (subject)

Bổ sung một hoặc nhiều yêu cầu vào một gói.

3.44

Kỹ thuật mật mã đối xứng (symmetric cryptographic technique)

Sơ đồ mã hóa sử dụng cùng một khóa bí mật trong chế độ mã hóa và giải mã, còn được gọi là kỹ thuật mã hóa khóa bí mật.

3.45

Đích đánh giá (TOE)

Một tập phần mềm, phần sụn và/hoặc phần cứng cùng với tài liệu hướng dẫn nếu có.

3.46

Tác nhân đe dọa (threat agent)

Thực thể có thể gây tác động không mong muốn vào tài sản.

3.47

An toàn tầng vận chuyển (Transport Layer Security)

Đây là giao thức liên lạc an toàn giữa máy chủ và máy khách dựa trên SSL và được mô tả trong RFC 2246.

3.48

Chức năng an toàn của TOE (TOE Security Functionality)

Tính năng kết hợp tất cả phần cứng, phần mềm, và phần sụn của TOE mà dựa vào đó TOE mới thực thi được chính xác các yêu cầu chức năng an toàn (SFR).

3.49

Dữ liệu TSF (Data TSF)

Dữ liệu cho việc hoạt động mà TOE dựa vào để thực thi các yêu cầu chức năng an toàn (SFR).

3.50

Người dùng (user)

Xem “thực thể bên ngoài”, người dùng trong máy chủ xác thực mạng LAN không dây sẽ là quản trị viên được ủy quyền, trong khi người dùng trong ứng dụng khách xác thực mạng LAN không dây sẽ là người dùng cuối được ủy quyền.

3.51

Dữ liệu người dùng (user data)

Dữ liệu dùng cho người dùng và không ảnh hưởng đến hoạt động của chức năng an toàn của TOE (TSF).

3.52

Ứng dụng web (Web Application)

Các ứng dụng được truy cập thông qua mạng như internet hoặc mạng nội bộ. Các ứng dụng thường được vận hành trong trình duyệt web hoặc môi trường có thể được kiểm soát bởi trình duyệt web và được hình thành bằng cách tích hợp các ngôn ngữ đánh dấu như HTML bằng cách sử dụng các ngôn ngữ lập trình có thể chạy trên trình duyệt web bao gồm JavaScript, Java Applet...

3.53

Nội dung web (Web Content)

Các tài liệu kỹ thuật số và nội dung đa thông tin được phân phối qua web. Tài liệu kỹ thuật số bao gồm các tệp tài liệu web, tệp hình ảnh... và nội dung đa thông tin bao gồm các tệp hoạt hình và video...

3.54

Máy chủ web (Web Server)

Phần mềm máy chủ web nhận thông tin được yêu cầu của máy khách (trình duyệt web) thông qua giao thức HTTP và chuyển kết quả trở lại máy trạm. Nó nhận tài nguyên được yêu cầu của máy trạm dưới dạng URL (Bộ định vị tài nguyên thống nhất) và xử lý nó bằng cách ánh xạ nó với hệ thống tệp nội bộ hoặc khi nhận URL và giá trị đầu vào (ví dụ: ID, mật khẩu... tại màn hình đăng nhập) cùng nhau, xử lý nó như đã thỏa thuận trước đó và gửi kết quả cho máy trạm. Apache, nginx và Microsoft IIS (Dịch vụ thông tin Internet) là một số máy chủ web tiêu biểu nhất.

4  Ký hiệu và thuật ngữ viết tắt

AEAD	Authenticated Encryption with Associated Data	Chuẩn mật mã hóa có xác thực với dữ liệu được liên kết
AES	Advanced Encryption Standard	Chuẩn mã hóa nâng cao
CA	Certificate Authority	Tổ chức chứng thực
CBC	Cipher Block Chaining	Chế độ móc xích khối mã
CNTT	Information Technology	Công nghệ thông tin
CC	Common Criteria	Tiêu chí chung đánh giá an toàn CNTT
CEM	Common Methodology for Information Technology Security Evaluation	Phương pháp chung đánh giá an toàn công nghệ thông tin
CM	configuration management	Quản lý cấu hình
CRL	Certificate Revocation List	Danh sách các chứng thư bị thu hồi
DBMS	Database Management System	Hệ quản trị cơ sở dữ liệu
DH	Diffie-Hellman	Thuật toán/phương pháp trao đổi khóa Diffie-Hellman
DSA	Digital Signature Algorithm	Thuật toán chữ ký số
EAL	Evaluation Assurance Level	Mức bảo đảm đánh giá
ECDH	Elliptic Curve Diffie Hellman	Diffie-Hellman dựa trên đường cong elliptic
ECDSA	Elliptic Curve Digital Signature Algorithm	Thuật toán chữ ký số dựa trên đường cong elliptic
EEPROM	Electrically Erasable Programmable Read-Only Memory	Bộ nhớ chỉ đọc có thể lập trình xóa điện
FIPS	Federal Information Processing Standards	Các chuẩn xử lý thông tin liên bang
GCM	Galois Counter Mode	Chế độ Galois/ bộ đếm
HMAC	Keyed-Hash Message Authentication Code	Mã xác thực thông báo dựa trên hàm băm
HTTPS	HyperText Transfer Protocol Secure	Giao thức truyền dẫn siêu văn bản an toàn
IP	Internet Protocol	Giao thức Internet
IPsec	Internet Protocol Security	Giao thức an toàn Internet
NIST	National Institute of Standards and Technology	Viện tiêu chuẩn và công nghệ quốc gia (Hoa Kỳ)
OSP	Organizational security policy	Chính sách an toàn của tổ chức
PP	Protection Profile	Hồ sơ bảo vệ
RADIUS	Remote Authentication Dial-In User Services	Dịch vụ người dùng quay số xác thực từ xa
RBG	Random Bit Generator	Bộ tạo bit ngẫu nhiên
RSA	Rivest Shamir Adleman Algorithm	Thuật toán Rivest Shamir Adleman
SAR	Security Assurance Requirement	Yêu cầu bảo đảm an toàn
SD	Supporting Document	Tài liệu hỗ trợ
SFP	Security Function Policy	Chính sách chức năng an toàn
SFR	Security Functional Requirement	Yêu cầu chức năng an toàn
SHA	Secure Hash Algorithm	Thuật toán băm an toàn
SSH	Secure Shell	Vỏ bọc an toàn
SSL	Secure Sockets Layer	Lớp cổng bảo mật
ST	Security Target	Đích an toàn
TOE	Target of Evaluation	Đích đánh giá
TLS	Transport Layer Security	An toàn tầng vận chuyển
TSF	TOE Security Functionality	Chức năng an toàn TOE
TSS	TOE Summary Specification	Đặc tả tóm tắt của TOE
VPN	Virtual Private Network	Mạng riêng ảo

5  Giới thiệu Hồ sơ bảo vệ

5.1  Tổng quan về TOE

5.1.1  Tổng quan về tường lửa ứng dụng web

Tường lửa ứng dụng web hoặc WAF (sau đây gọi là “TOE”) được sử dụng để bảo vệ máy chủ web và ứng dụng web bằng cách phát hiện và ngăn chặn một cuộc tấn công thông qua việc xác định tính bình thường của yêu cầu người dùng HTTP và HTTPS lớp L7.

Chức năng chính của TOE là phát hiện và chặn luồng lưu lượng truy cập web độc hại vào máy chủ web và ứng dụng web theo chính sách an toàn.

5.1.2  Phạm vi và loại TOE

Định nghĩa của TOE trong Hồ sơ bảo vệ này là Tường lửa ứng dụng web phát hiện và ngăn chặn tấn công thông qua việc xác định tính bình thường của yêu cầu người dùng HTTP và HTTP lớp L7, được cung cấp dưới dạng thiết bị hoặc phần mềm. Bảng điều khiển quản lý có thể được bao gồm như một thành phần tùy chọn trong TOE, trong trường hợp này, nên được xác định là thành phần TOE trên tuyên bố về các mục tiêu an toàn của ST. Hồ sơ bảo vệ này xác định các yêu cầu an toàn tối thiểu chung phải được cung cấp bởi TOE.

5.1.3  Sử dụng TOE và các tính năng an toàn chính

TOE được sử dụng cho mục đích phát hiện và ngăn chặn luồng lưu lượng truy cập web vào máy chủ web và ứng dụng web vi phạm các chính sách an toàn do quản trị viên được ủy quyền thiết lập. TOE cung cấp chức năng phát hiện lưu lượng độc hại và ngăn chặn bằng cách so sánh lưu lượng truy cập web và luồng nội dung gói theo từng URL.

TOE cung cấp chức năng kiểm toán an toàn ghi lại các sự kiện chính dưới dạng dữ liệu kiểm toán khi chức năng an toàn và chức năng quản lý được vận hành; chức năng định danh và xác thực như xác minh danh tính của quản trị viên và xử lý lỗi xác thực; và chức năng bảo vệ TSF bao gồm bảo vệ dữ liệu được lưu trữ trong kho lưu trữ do TSF kiểm soát, tự kiểm tra TSF và xác minh tính toàn vẹn. Ngoài ra, nó bao gồm chức năng hỗ trợ mật mã như quản lý khóa mật mã và các Hoạt động mật mã để hỗ trợ IPSec, TLS, SSH, HTTPS và các giao tiếp được mã hóa khác để quản trị viên quản lý giao tiếp truy cập; chức năng quản lý an toàn để quản lý các chức năng an toàn và thuộc tính an toàn và định nghĩa về vai trò quản trị viên; và chức năng truy cập TOE để quản lý phiên truy cập của quản trị viên được ủy quyền.

5.1.4  Môi trường hoạt động không phải TOE và TOE

Môi trường hoạt động của TOE được xác định trong Hồ sơ bảo vệ này bao gồm loại “In Line” hoặc “Reverse Proxy”, là loại mạng trong đó TOE trở thành điểm kết nối duy nhất.

Hình 1 là một ví dụ về môi trường hoạt động chung của loại “In Line”. TOE được đặt ngay phía trước máy chủ web và ứng dụng web để phát hiện và chặn luồng lưu lượng truy cập web độc hại vào máy chủ web và ứng dụng web.

Hình 1 - Môi trường hoạt động của TOE (ví dụ: loại “In Line”)

Hình 2 là một ví dụ về môi trường hoạt động chung của kiểu Reverse Proxy, một trong những môi trường hoạt động đa dạng được áp dụng cho các trường hợp khó cài đặt vật lý In Line. TOE, được đặt ngay trước vùng web để hoạt động như một điểm kết nối duy nhất của máy chủ web và các ứng dụng web cần được bảo vệ, đặt địa chỉ IP của máy chủ web đã đăng ký trong DNS làm địa chỉ IP của TOE hoặc định cấu hình lưu lượng yêu cầu web được truyền từ máy khách web thông qua bộ chuyển đổi L4 để được gửi đến TOE.

Hình 2 - Môi trường hoạt động của TOE (ví dụ: loại Reverse Proxy)

TOE được cài đặt và vận hành bên trong tổ chức được bảo vệ bởi tường lửa... TOE được đặt trong môi trường vật lý an toàn, chỉ quản trị viên mới có thể truy cập được.

Quản trị viên được ủy quyền sẽ truy cập vào TOE thông qua trình duyệt web, giao tiếp nối tiếp và chương trình quản lý... và sẽ thực hiện quản lý an toàn thông qua giao tiếp an toàn như IPSec, TLS, SSH và HTTPS.

Trong môi trường vận hành của TOE, có thể tồn tại các thực thể CNTT bên ngoài như máy chủ NTP để đồng bộ hóa thời gian, Máy chủ nhật ký để lưu trữ và quản lý dữ liệu kiểm toán, Máy chủ thư điện tử để thông báo cho quản trị viên được ủy quyền trong trường hợp mất dữ liệu kiểm toán... Tác giả ST của TOE tuân thủ Hồ sơ bảo vệ này sẽ xác định tất cả các thực thể CNTT bên ngoài tương tác với TOE trong ST.

Các thành phần khác như máy chủ NTP nằm ngoài TOE là môi trường vận hành TOE. Ngoài ra, những thành phần đó (ví dụ: các chức năng không liên quan gì đến các tính năng an toàn của Tường lửa ứng dụng web) không liên quan đến các yêu cầu chức năng an toàn (sau đây gọi là “SFR”) có thể được loại trừ khỏi phạm vi của TOE hoặc được phân loại thành non-TSF của TOE có xem xét phạm vi vật lý của TOE...

Hồ sơ bảo vệ này đã được phát triển có xem xét nhiều loại triển khai TOE khác nhau. Tác giả ST tuân thủ Hồ sơ bảo vệ này, sẽ mô tả mọi phần cứng, phần mềm hoặc phần sụn không phải TOE mà TOE yêu cầu để vận hành.

Tác giả ST phải có yêu cầu chức năng an toàn bắt buộc có điều kiện được xác định trong Hồ sơ bảo vệ này, nếu các điều kiện sau được đáp ứng.

- Nếu TOE cung cấp các cơ chế xác thực và định danh bổ sung (ví dụ: phương thức xác thực dựa trên chứng chỉ, phương thức OTP...) ngoài định danh và xác thực dựa trên ID/PW, FIA_UAU.5 sẽ được đưa vào.

- Khi cung cấp các chức năng định danh và xác thực bổ sung, TOE có thể cung cấp các chức năng đó bằng cách nhận kết quả xác thực của các thực thể CNTT bên ngoài tương tác với TOE (ví dụ: thiết bị hỗ trợ 2FA tuân thủ các tiêu chuẩn FIDO) và theo đó FPT_LEE.1 (Extended) sẽ được đưa vào thay vì FIA_UAU.5. Trong trường hợp này, thông tin xác thực được sử dụng bởi các thực thể CNTT bên ngoài để thực hiện các phương pháp xác thực và định danh bổ sung được quản lý an toàn bởi các thực thể CNTT bên ngoài, do đó, các mục tiêu an toàn cho môi trường vận hành sẽ được bổ sung tương ứng.

- Trong trường hợp người dùng (quản trị viên được ủy quyền) truy cập trực tiếp vào máy chủ quản lý thông qua trình duyệt web hoặc chương trình truy cập đầu cuối, FTP_TRP.1 sẽ được bao gồm. Giả sử rằng máy chủ web là môi trường vận hành TOE và nếu đường truyền thông an toàn được cung cấp thông qua giao tiếp giữa trình duyệt web của người dùng và máy chủ web, Tác giả ST sẽ thêm các mục tiêu an toàn cho môi trường vận hành thay vì bao gồm FTP_TRP.1. Và nếu trình duyệt web của người dùng truy cập máy chủ TOE thông qua máy chủ web, chẳng hạn như khi máy chủ web và máy chủ TOE được tách biệt về mặt vật lý để thực hiện giao tiếp, thì FTP_TRP.1 được đưa vào để cung cấp đường dẫn an toàn giữa máy chủ TOE và người dùng, và FTP_ITC,1 sẽ được đưa vào để cung cấp một kênh an toàn giữa máy chủ web và máy chủ TOE. FPT_ITT.1 sẽ được bao gồm khi truyền dữ liệu TSF giữa các thành phần TOE được tách biệt về mặt vật lý (ví dụ: Nếu giao tiếp giữa bảng điều khiển quản lý TOE và máy chủ quản lý được thực hiện trực tiếp, FPT_ITT.1 sẽ được bao gồm).

- Khi TOE tương tác với các thực thể CNTT bên ngoài (ví dụ: máy chủ thư, máy chủ nhật ký...), FTP_ITC.1 sẽ được đưa vào.

Tác giả ST sẽ bao gồm FAU_STG.1, một yêu cầu chức năng an toàn bắt buộc có điều kiện, trong ST khi chức năng lưu trữ dấu vết kiểm toán được bảo vệ được triển khai trong TOE. Nếu chức năng không được triển khai trong TOE, chức năng đó phải được cung cấp trong môi trường vận hành (ví dụ: sử dụng DBMS...) và theo đó, các mục tiêu an toàn cho môi trường vận hành phải được thêm vào.

Tác giả ST sẽ bao gồm FPT_STM.1, một yêu cầu chức năng an toàn tùy chọn, trong ST nếu TOE thực hiện một chức năng cung cấp tem thời gian tin cậy. Nếu chức năng không được triển khai trong TOE, chức năng đó phải được cung cấp bởi môi trường vận hành (ví dụ: được cung cấp bởi hệ điều hành...) và theo đó, các mục tiêu an toàn cho môi trường vận hành phải được bổ sung.

Các yêu cầu chức năng an toàn tùy chọn có thể được triển khai tùy chọn trong TOE. Tuy nhiên, khi TOE cung cấp thêm các khả năng liên quan, Tác giả ST phải bao gồm các SFR tương ứng. Tác giả ST phải chú ý không bỏ qua các yêu cầu chức năng an toàn cho các tính năng an toàn do TOE cung cấp bằng cách tham khảo các lưu ý ứng dụng khi áp dụng từng yêu cầu chức năng an toàn tùy chọn liên quan đến khả năng áp dụng của các yêu cầu chức năng an toàn tùy chọn.

5.2  Quy ước

Ký hiệu, định dạng và quy ước được sử dụng trong tiêu chuẩn này nhất quán với Tiêu chí chung (CC) để đánh giá an toàn công nghệ thông tin.

TCVN 8709 cho phép thực hiện một số thao tác đối với các yêu cầu chức năng: lặp lại, chỉ định, lựa chọn và tinh chỉnh. Mỗi thao tác được sử dụng trong tiêu chuẩn này.

Lặp lại

Lặp lại được sử dụng khi một thành phần được lặp lại với các hoạt động khác nhau. Kết quả của phép lặp được đánh dấu bằng số lần lặp trong ngoặc đơn sau mà định danh thành phần, được biểu thị là (Số lần lặp).

Chỉ định

Điều này được sử dụng để chỉ định các giá trị cụ thể cho các tham số không xác định (ví dụ: độ dài mật khẩu). Kết quả của phép chỉ định được biểu thị trong dấu ngoặc vuông như [giá trị chỉ định].

Lựa chọn

Điều này được sử dụng để chọn một hoặc nhiều tùy chọn do TCVN 8709 cung cấp khi nêu yêu cầu. Kết quả lựa chọn được hiển thị dưới dạng gạch chân và in nghiêng.

Tinh chỉnh

Điều này được sử dụng để thêm chi tiết và do đó hạn chế hơn nữa một yêu cầu. Kết quả của sự tinh chỉnh được thể hiện bằng bản in đậm.

Tác giả Đích an toàn (ST)

Điều này được sử dụng để đại diện cho quyết định cuối cùng của các thuộc tính được thực hiện bởi Tác giả ST. Hoạt động của Tác giả ST được biểu thị trong dấu ngoặc nhọn, như trong {quyết định bởi Tác giả ST}. Ngoài ra, các hoạt động của SFR không được hoàn thành trong Hồ sơ bảo vệ phải được hoàn thành bởi Tác giả ST.

“CHÚ THÍCH” được cung cấp để làm rõ mục đích của các yêu cầu, cung cấp thông tin cho các mục tùy chọn trong quá trình triển khai và xác định tiêu chí "Đạt/Không đạt" cho một yêu cầu. Các CHÚ THÍCH được cung cấp với các yêu cầu tương ứng nếu cần thiết.

6  Các yêu cầu tuân thủ

6.1  Yêu cầu tuân thủ TCVN 8709

TCVN 8709		Tiêu chí chung để đánh giá an toàn công nghệ thông tin, Phiên bản 3.1, Sửa đổi 5 • TCVN 8709-1:2011 Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô hình tổng quát. • TCVN 8709-2:2011 Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức năng an toàn. • TCVN 8709-3:2011 Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 3: Các thành phần đảm bảo an toàn.
Yêu cầu tuân thủ	Phần 2  Các thành phần chức năng an toàn	Mở rộng: FDP_EDI.1, FMT_PWD.1, FPT_LEE.1, FPT_PST.1, FPT_TUD.1
	Phần 3  Các thành phần đảm bảo an toàn	Tuân thủ
	Gói	Đã tăng cường : EAL1 tăng cường (ATE_FUN.1)

6.2  Yêu cầu tuân thủ PP

Hồ sơ bảo vệ này không yêu cầu tuân thủ các PP khác.

6.3  Yêu cầu tuân thủ gói

Hồ sơ bảo vệ này yêu cầu tuân thủ gói đảm bảo EAL1 được tăng cường bằng ATE_FUN.1.

6.4  Cơ sở yêu cầu tuân thủ

Vì tiêu chuẩn này không yêu cầu tuân thủ với các Hồ sơ bảo vệ khác, nên không cần thiết phải mô tả sở cứ của yêu cầu tuân thủ.

6.5  Tuyên bố tuân thủ PP

Tiêu chuẩn này yêu cầu “tuân thủ chặt chẽ PP” của bất kỳ ST hoặc PP, yêu cầu tuân thủ tiêu chuẩn này.

7  Các mục tiêu an toàn

Các mục tiêu an toàn được xử lý bằng phương pháp kỹ thuật và thủ tục được hỗ trợ từ môi trường vận hành nhằm cung cấp chức năng an toàn TOE một cách chính xác.

Các mục tiêu an toàn cho môi trường hoạt động:

OE.LOG_BACKUP

Quản trị viên được ủy quyền định kỳ kiểm tra dung lượng lưu trữ dữ liệu kiểm toán dự phòng trong trường hợp mất dữ liệu kiểm toán và tiến hành sao lưu dữ liệu kiểm toán (máy chủ nhật ký bên ngoài hoặc thiết bị lưu trữ riêng...) để ngăn chặn mất dữ liệu kiểm toán.

OE.PHYSICAL_CONTROL

TOE phải được đặt trong môi trường an toàn về mặt vật lý mà chỉ quản trị viên được ủy quyền mới được phép truy cập và các thông tin bảo vệ được cung cấp.

OE.SECURITY_MAINTENANCE

Khi môi trường mạng bên trong thay đổi do thay đổi cấu hình mạng, tăng/giảm Máy chủ Web và tăng/giảm ứng dụng Web..., các chính sách an toàn và môi trường thay đổi phải được phản ánh ngay lập tức với các chính sách vận hành TOE trong để duy trì cùng một mức độ an toàn như trước đây.

OE.TRUSTED_ADMIN

Quản trị viên được ủy quyền của TOE phải là người dùng không độc hại, đã được đào tạo thích hợp cho các chức năng quản lý TOE và hoàn thành chính xác các nhiệm vụ theo hướng dẫn của quản trị viên.

OE.OPERATION_SYSTEM_REINFORCEMENT

Quản trị viên được ủy quyền của TOE sẽ đảm bảo độ tin cậy và an toàn của hệ điều hành bằng cách thực hiện củng cố các lỗ hổng mới nhất của hệ điều hành mà TOE được cài đặt và vận hành.

CHÚ THÍCH: Do thành phần TOE có thể không sử dụng một hệ điều hành độc lập theo phương pháp hiện thực hóa TOE (khi bảng điều khiển quản lý được nằm trong thành phần TOE), quản trị viên được ủy quyền nên chú ý rằng cài đặt hệ điều hành của thực thể CNTT bên ngoài hoạt động trong cùng một hệ điều hành không ảnh hưởng đến hoạt động an toàn của TOE.

OE.SNGLE_POINT_OF_CONNECTION

Kết nối với máy chủ web hoặc ứng dụng web chỉ nên được truy cập thông qua TOE.

CHÚ THÍCH: Trong trường hợp loại Reverse Proxy, TOE được cài đặt bằng cách kết nối với bộ chuyển mạch và hoạt động như điểm kết nối duy nhất với ứng dụng web, nên được thiết lập để đảm bảo rằng yêu cầu truy cập web của người dùng vượt qua TOE bằng cách chuyển đổi địa chỉ IP của DNS được đăng ký trên máy chủ web và ứng dụng web.

8  Các yêu cầu an toàn

Các yêu cầu an toàn xác định các yêu cầu chức năng an toàn và các yêu cầu đảm bảo phải được đáp ứng bởi TOE yêu cầu tuân thủ Tiêu chuẩn này.

Các yêu cầu chức năng an toàn có trong Tiêu chuẩn này được tham chiếu từ TCVN 8709 Phần 2 và Phụ lục A: Định nghĩa các thành phần mở rộng của tiêu chuẩn này.

Ngoài ra, các yêu cầu chức năng an toàn được phân loại thành SFR bắt buộc, SFR bắt buộc có điều kiện và SFR tùy chọn, như sau:

• Các SFR bắt buộc: được yêu cầu triển khai bắt buộc trong “Tường lửa ứng dụng web”

• Các SFR bắt buộc có điều kiện: bắt buộc phải triển khai nếu các điều kiện đã nêu được đáp ứng.

• Các SFR tùy chọn: không bắt buộc phải triển khai trong “Tường lửa ứng dụng web”. Tuy nhiên, khi TOE cung cấp thêm các khả năng liên quan, Tác giả ST phải bao gồm các SFR tương ứng.

Bảng sau đây tóm tắt các yêu cầu chức năng an toàn được sử dụng trong PP:

Bảng 1 - Các yêu cầu chức năng an toàn

Lớp chức năng an toàn	Thành phần chức năng an toàn		Ghi chú
FAU	FAU_ARP.1	Cảnh báo an toàn	SFR bắt buộc
	FAU_GEN.1	Tạo dữ liệu kiểm toán	SFR bắt buộc
	FAU_SAA.1	Phân tích khả năng xâm phạm	SFR bắt buộc
	FAU_SAR.1	Soát xét kiểm toán	SFR bắt buộc
	FAU_SAR.3	Soát xét kiểm toán có chọn lựa	SFR bắt buộc
	FAU_STG.1	Lưu trữ các vết kiểm toán có bảo vệ	SFR bắt buộc có điều kiện
	FAU_STG.3	Hành động trong trường hợp có thể mất dữ liệu kiểm toán	SFR bắt buộc có điều kiện
	FAU_STG.4	Ngăn chặn mất mát dữ liệu kiểm toán	SFR bắt buộc có điều kiện
FCS	FCS_CKM. 1	Sinh khóa mật mã	Bắt buộc SFR
	FCS_CKM.2	Phân phối khóa mật mã	SFR tùy chọn
	FCS_CKM.4	Tiêu hủy khóa mật mã	SFR bắt buộc
	FCS_COP.1	Hoạt động mật mã	SFR bắt buộc
	FCS_RGB.1 (Mở rộng)	Tạo bit ngẫu nhiên	SFR bắt buộc
FDP	FDP_IFC.1	Kiểm soát luồng thông tin tập hợp con	SFR bắt buộc
	FDP_IFF.1	Các thuộc tính an toàn đơn giản	SFR bắt buộc
	FDP_ED1.1 (Mở rộng)	Hành động phản hồi và xác minh tính toàn vẹn của dữ liệu được lưu trữ bên ngoài	SFR bắt buộc
FIA	FIA_AFL.1	Xử lý lỗi xác thực	SFR bắt buộc
	FIA_SOS.1	Thẩm tra của các bí mật	SFR bắt buộc
	FIA_UAU.1	Khoảng thời gian xác thực	SFR bắt buộc
	FIA_UAU.4	Các cơ chế xác thực đơn	SFR bắt buộc
	FIA_UAU.5	Cơ chế đa xác thực	SFR bắt buộc có điều kiện
	FIA_UAU.7	Phản hồi xác thực có bảo vệ	SFR bắt buộc
	FIA_UID.1	Khoảng thời gian định danh	SFR bắt buộc
FMT	FMT_MOF.1	Các cơ chế hoạt động của quản lý chức năng an toàn	SFR bắt buộc
	FMT_MSA.1	Quản lý các thuộc tính an toàn	SFR bắt buộc
	FMT_MSA.3	Khởi tạo các thuộc tính tĩnh	SFR bắt buộc
	FMT_MTD.1	Quản lý dữ liệu TSF	SFR bắt buộc
	FMT_PWD.1 (Mở rộng)	Quản lý ID và mật khẩu	SFR bắt buộc
	FMT_SMF.1	Định rõ các chức năng quản lý	SFR bắt buộc
	FMT_SMR.1	Các quy tắc an toàn	SFR bắt buộc
FPT	FPT_ITT.1	Bảo vệ vận chuyển dữ liệu nội bộ TSF cơ bản	SFR bắt buộc có điều kiện
	FPT_LEE.1 (Mở rộng)	Các thực thể bên ngoài có thể liên kết - xác thực	SFR bắt buộc có điều kiện
	FPT_PST.1(Mở rộng)	Bảo vệ cơ bản dữ liệu TSF được lưu trữ	SFR bắt buộc
	FPT_RCV.2	Phục hồi tự động	SFR bắt buộc
	FPT_STM.1	Thẻ thời gian tin cậy	SFR tùy chọn
	FPT_TST.1	Kiểm tra TSF	SFR bắt buộc
	FPT_TUD.1(Mở rộng)	Cập nhật bản vá an toàn TSF	SFR bắt buộc
FTA	FTA_SSL.1	Khóa phiên khởi tạo bởi TSF	SFR bắt buộc có điều kiện
	FTA_SSL.3	Kết thúc phiên khởi tạo bởi TSF	SFR bắt buộc có điều kiện
	FTA_TSE.1(1)	Thiết lập phiên TOE	SFR bắt buộc
	FTA_TSE.1(2)	Thiết lập phiên TOE	SFR bắt buộc có điều kiện
FTP	FTP_ITC.1	Kênh tin cậy liên TSF	SFR bắt buộc có điều kiện
	FTP_TRP.1	Đường dẫn tin cậy	SFR bắt buộc có điều kiện

8.1  Yêu cầu chức năng an toàn (SFR bắt buộc)

WAF yêu cầu tuân thủ Tiêu chuẩn này phải đáp ứng các SFR bắt buộc sau đây:

Bảng 2 - Các yêu cầu chức năng an toàn bắt buộc

Lớp chức năng an toàn	Thành phần chức năng an toàn
FAU	FAU_ARP.1	Cảnh báo an toàn
	FAU_GEN.1	Tạo dữ liệu kiểm toán
	FAU_SAA.1	Phân tích khả năng xâm phạm
	FAU_SAR.1	Soát xét kiểm toán
	FAU_SAR.3	Soát xét kiểm toán có chọn lựa
FCS	FCS_CKM.1	Sinh khóa mật mã
	FCS_CKM.4	Tiêu hủy khóa mật mã
	FCS_COP.1	Hoạt động mật mã
	FCS_RBG.1(Mở rộng)	Tạo bit ngẫu nhiên
FDP	FDP_IFC.1	Kiểm soát luồng thông tin tập hợp con
	FDP_IFF.1	Các thuộc tính an toàn đơn giản
	FDP_EDI.1(Mở rộng)	Hành động phản hồi và xác minh tính toàn vẹn của dữ liệu được lưu trữ bên ngoài
FIA	FIA_AFL.1	Xử lý lỗi xác thực
	FIA_SOS.1	Thẩm tra của các bí mật
	FIA_UAU.1	Khoảng thời gian xác thực
	FIA_UAU.4	Các cơ chế xác thực đơn
	FIA_UAU.7	Phản hồi xác thực có bảo vệ
	FIA_UID.1	Khoảng thời gian định danh
FMT	FMT_MOF.1	Các cơ chế hoạt động của quản lý chức năng an toàn
	FMT_MSA. 1	Quản lý thuộc tính an toàn
	FMT_MSA.3	Khởi tạo thuộc tính tĩnh
	FMT_MTD.1	Quản lý dữ liệu TSF
	FMT_PWD.1(Mở rộng)	Quản lý ID và mật khẩu
	FMT_SMF.1	Đặc tả chức năng quản lý
	FMT_SMR.1	Vai trò an toàn
FPT	FPT_PST.1(Mở rộng)	Bảo vệ truyền dữ liệu TSF nội bộ cơ bản
	FPT_RCV.2	Phục hồi tự động
	FPT_TST.1	Thử nghiệm TSF
	FPT_TUD.1 (Mở rộng)	Cập nhật bản vá an toàn TSF
FTA	FTA_MCS.2	Giới hạn thuộc tính trên từng người dùng theo các phiên đồng thời
	FTA_TSE.1(1)	Thiết lập phiên TOE

8.1.1  Kiểm toán an toàn (FAU)

8.1.1.1  FAU ARP.1 Cảnh báo an toàn

Phân cấp	Không có thành phần nào khác.
Các thành phần phụ thuộc	FAU_SAA.1 Phân tích khả năng xâm phạm.
FAU_ARP.1.1	TSF cần thực hiện [chỉ định: danh sách các hành động] khi phát hiện một vi phạm an toàn tiềm năng
CHÚ THÍCH: ₒ Nếu kết quả tự kiểm tra TOE không thành công, các chức năng phản hồi sẽ được thực hiện. - Ví dụ về các chức năng phản hồi sẽ được thực hiện khi kết quả tự kiểm tra bị lỗi như sau: • Gián đoạn thực thi chương trình, hiển thị màn hình thông báo cảnh báo, khởi động lại quy trình... ₒ Nếu kết quả xác minh tính toàn vẹn của TOE là lỗi, các chức năng phản hồi sẽ được thực hiện. - Ví dụ về các chức năng phản hồi sẽ được thực hiện khi kết quả xác minh tính toàn vẹn bị lỗi như sau: • Gián đoạn thực thi chương trình, hiển thị màn hình thông báo cảnh báo...

8.1.1.2  FAU_GEN.1 Tạo dữ liệu kiểm toán

Phân cấp	Không có thành phần nào khác.
Các thành phần phụ thuộc	FPT_STM.1 Thẻ thời gian tin cậy
FAU_GEN.1.1	TSF phải có khả năng tạo ra một bản ghi kiểm toán cho các sự kiện có thể kiểm toán được sau: a) Khởi động và tắt các chức năng kiểm toán; b) Tất cả các sự kiện có thể kiểm toán được cho không chỉ định mức độ kiểm toán; và c) [Chỉ định: Các sự kiện khác có thể kiểm toán được định nghĩa cụ thể].
FAU_GEN.1.2	Trong mỗi bản ghi kiểm toán, TSF phải ghi lai tối thiểu các thông tin sau: a) Ngày và giờ của sự kiện, loại sự kiện, định danh chủ thể (nếu có), và kết quả (thành công hoặc thất bại) của sự kiện; và b) Với mỗi kiểu sự kiện kiểm toán, dựa trên định nghĩa các sự kiện có thể kiểm toán của các thành phần chức năng bao gồm trong PP/ST, [chỉ định: thông tin liên quan kiểm toán khác]

 

CHÚ THÍCH: ₒ TOE sẽ tạo bản ghi kiểm toán cho các sự kiện kiểm toán chính. - Bảng 3 bên dưới hiển thị các sự kiện kiểm toán mà bản ghi kiểm toán phải được tạo

Bảng 3 - Các sự kiện kiểm toán chính cần được ghi lại một cách bắt buộc

Danh mục phụ	Sự kiện kiểm toán	Thông tin kiểm toán bổ sung
Định danh và xác thực	Đăng nhập và đăng xuất của người dùng
	Đăng ký, thay đổi, xóa người dùng
	Đạt đến ngưỡng cho các lần xác thực người dùng không thành công và các hành động được thực hiện
	Tất cả thay đổi của mật khẩu
Quản lý an toàn	Đăng ký, xóa, thay đổi địa chỉ IP của các thiết bị đầu cuối quản lý
	Thực thi chức năng quản lý an toàn và tất cả các thay đổi và sự tiêu hủy của các giá trị thuộc tính an toàn.	Thay đổi dữ liệu thuộc tính an toàn
	** Tuy nhiên, trong số các chức năng quản lý an toàn, các chức năng “Truy vấn bản ghi kiểm toán” và “Truy vấn thông tin phiên bản TOE” bị loại trừ
	Thay đổi Tài khoản mặc định (ID)/Mật khẩu
	cơ chế ngăn chặn (blocking) địa chỉ truy cập đầu cuối có quản lý
Quản lý phiên tin cậy	Khóa hoặc chấm dứt phiên của người dùng
	Hành động phản hồi khi phát hiện các lần đăng nhập trùng lặp của cùng một tài khoản
	Từ chối các phiên mới dựa trên giới hạn về số lượng phiên đồng thời
Sinh khóa mật mã	Lỗi sinh khóa mật mã
Hoạt động mật mã	Lỗi Hoạt động mật mã (bao gồm loại Hoạt động mật mã)
Bản ghi kiểm toán	Khởi động và tắt các chức năng kiểm toán TOE ở dạng thiết bị H/W

- Bảng 4 bên dưới hiển thị các sự kiện kiểm toán mà các bản ghi kiểm toán có thể được tạo khi cung cấp một chức năng.

Bảng 4 - Các sự kiện kiểm toán phải được ghi lại khi cung cấp chức năng

Danh mục phụ	Sự kiện kiểm toán	Thông tin kiểm toán bổ sung
Tự bảo vệ	Thực hiện tự kiểm tra	chức năng an toàn với tự kiểm tra thất bại
	Thực hiện xác minh tính toàn vẹn của bản thân TOE	Các thành phần với xác minh tính toàn vẹn thất bại
Cập nhật bảo vệ	Cập nhật các tệp được xác minh hợp lệ bởi quản trị viên
	Cập nhật bảo vệ
Bản ghi kiểm toán	Thực hiện xác minh tính hợp lệ của tệp cập nhật
	Khởi động và tắt chức năng kiểm toán TOE dưới dạng phần mềm
Quản lý an toàn	bản ghi kiểm toán

ₒ Nếu TOE phát hiện nỗ lực sử dụng lại thông tin xác thực bị cấm sử dụng lại, xác thực sẽ không thành công và một bản ghi kiểm toán về sự kiện lỗi xác thực sẽ được tạo.

ₒ Hồ sơ đánh giá sẽ được tạo ra cho các kết quả tự kiểm tra.

ₒ Nội dung và kết quả xác minh tính toàn vẹn sẽ được xác nhận thông qua màn hình hiển thị, các bản ghi kiểm toán.

ₒ Bản ghi kiểm toán sẽ được tạo ra cho kết quả xác minh tính toàn vẹn.

ₒ Cập nhật tệp xác nhận kết quả (thành công • thất bại) sẽ được ghi lại trong bản ghi kiểm toán.

ₒ Bản ghi kiểm toán sẽ được tạo cho kết quả cài đặt bản cập nhật và lý do thất bại.

ₒ Bản ghi kiểm toán sẽ được tạo khi chức năng khóa hoặc chấm dứt phiên được kích hoạt.

ₒ Bản ghi kiểm toán sẽ được tạo khi chặn truy cập trùng lặp.

ₒ Bản ghi kiểm toán không được chứa nhiều thông tin hơn mức cần thiết.

- Các nội dung ít nhất phải có trong bản ghi kiểm toán như sau:

• Ngày và giờ của sự kiện, loại sự kiện, danh tính của đối tượng gây ra sự kiện (ví dụ: tài khoản, quy trình, IP...) và kết quả của sự kiện (thành công • thất bại)

- Thông tin như vậy vì thông tin xác thực (ví dụ: mật khẩu...) và khóa mã hóa sẽ không được lưu trữ trong bản ghi kiểm toán.

ₒ Dữ liệu nhạy cảm (ví dụ: mật khẩu, số đăng ký cư trú...) sẽ không được ghi lại hoặc sẽ được tạo ra bằng cách xử lý bằng mặt nạ nếu việc ghi lại là không thể tránh khỏi.

ₒ Mỗi thành phần của TOE sẽ tạo Bản ghi kiểm toán bằng cách sử dụng thông tin thời gian tin cậy.

- Thông tin về thời gian tin cậy nên sử dụng thông tin về thời gian do máy chủ NTP hoặc hệ điều hành cung cấp.

ₒ Nếu WAS (Tomcat, Jesus...) được bao gồm trong gói TOE, TOE sẽ được triển khai sao cho thông tin quan trọng không được bao gồm trong nhật ký WAS.

- Nó có thể được triển khai sao cho chỉ có thể để lại nhật ký trong lưu trữ bàn ghi kiểm toán của TOE mà không rời khỏi nhật ký WAS.

- Thông tin quan trọng như mật khẩu và khóa mã hóa sẽ không được để lại ở dạng bản rõ trong nhật ký WAS.

ₒ TOE sẽ tạo bản ghi kiểm toán cho các sự kiện kiểm toán chính.

- TOE sẽ tạo các bản ghi kiểm toán cho lưu lượng web được phép và bị chặn bởi TOE.

• Bao gồm kết quả cho phép và chặn lưu lượng truy cập web theo FDP_IFF.1.

- Có thể hỏi các sự kiện xảy ra trong một khoảng thời gian cụ thể và tổng lượng lưu lượng bị chặn.

- Các bản ghi kiểm toán sẽ được tạo cho các hành động quản lý an toàn liên quan đến các quy tắc chặn và phát hiện lưu lượng truy cập web do quản trị viên thực hiện trong lớp FMT.

- Bản ghi kiểm toán ít nhất phải bao gồm ngày và thời gian của sự kiện, loại sự kiện, danh tính của đối tượng gây ra sự kiện và kết quả của sự kiện.

8.1.1.3  FAU_SAA.1 Phân tích khả năng xâm phạm