1国内外信息安全产品认证标准简介国内外信息安全产品认证标准简介信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性,先进性和符合性的技术规范和技术依据因此,世界各国越来越重视信息安全产品认证标准的制修订工作一、国外信息安全标准发展现状l .CC 标准的发展过程CC 标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准,用来评估信息系统和信息产品的安全性CC 标准源于世界多个国家的信息安全准则规范,包括欧洲 ITSEC、美国 TCSEC(桔皮书) 、加拿大 CTCPEC 以及美国的联邦准则(Federal Criteria)等,由 6 个国家(美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰)共同提出制定CC 标准的发展过程见附图国际上,很多国家根据 CC 标准实施信息技术产品的安全性评估与认证1999 年 CCV2.1 被转化为国际标准 ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》 ,目前,最新版本ISO/IEC15408-2008 采用了 CCV3.1。
用于 CC 评估的配套文档 CEM 标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法,并且跟随 CC 标准版本的2发展而更新CEM 标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法CEM 标准于2005 年成为国际标准 ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》 2. CC 标准内容介绍CC 标准共分为三部分,主要内容包括信息技术安全性评估的一般模型和基本框架,以及安全功能要求和安全保证要求,目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则CC 标准为不同国家或实验室的评估结果提供了可比性CC 标准的第一部分为简介和一般模型,描述了信息安全相关的基本概念和模型,以及 PP 和 ST 的要求PP 是为一类产品或系统定义信息安全技术要求,包括功要求和保证要求。
ST 则定义了一个既定评估对象(TOE-TarEet of aluation)的 IT 安全要求,并规定了该 TOE 应提供的安全功能和保证措施,以满足所提出的安全要求 ,ST 是开发者、评估者和用户之间对 TOE 安全特性和评估范圈达成一致的基础第二部分和第三部分描述了安全功能要求和安全保证要求,功能要求是对产品希望提供的安全功能或特征的描述;保证要求是功能要求能够得到满足的程度CC 标准根据安全保证要求预先定义了 7 个安全保证级(EALl~EAL7),安全保证能力由低到高逐级增强CC 标准由专门的开发组(CCDB)负责开发、维护、解释,根据检测认证工作实践,CCDB 也发布了很多技术支持文档作为检测认证的指导文件,其中有些文件必须参照执行,例如《攻击潜力在智能卡产品中的应用》 (CCDB-2009-03-001)等3 CC 认证概况为了推进信息技术产品的安全性评 估结果在国际间互认,减少重复检测认证,美国、加拿大、法国、德国、英国、荷兰等国于 1998 年 10 月发起并签署了CCRA(Common Criteria Recognition Arrangement)截止到 2011 年 12 月,CCRA 成员国已发展到 26 个。
根据协定要求,各 CCRA 成员国之间对 CCEALI—EAIA 级的评估结果相互承认CCRA 协定在一定程度上减少了信息安全产品的技术性贸易壁垒据 CC 官方网站公布的数据,截止到 2011 年 11 月,总共颁发了 1614 张认3证证书,注册了 219 个 PP,获得授权的检测机构近 60 个随着采用 CC 标准的国家越来越多,产品获得 CC 认证证书将有助于进入多个国家的市场二、国内信息安全标准介绍为了加强信息安全标准化工作的组织协调力度,国家标准化管理委员会批准成立了全国信息安全标准化技术委员会(简称“信安标委会”编号为 TC260)在信安标委会的协调与管理下,我国已经制修订了几十个信息安全标准,为信息安全产品检测认证提供了技术基础2001 年,我国将 ISO/IEC15408-1999 转化为国家推荐性标准 GB/T18336-2001 (CC V2.1)《信息技术 安全技术 信息技术安全性评估准则》 目前,国内最新版本 GB/T18336-2008 采用了 IS0/IEC15408-2005.即 CC V2.3我国信息安全标准借鉴了 GB/T 18336 结构框架和技术要求,包括安全功能要求、安全保证要求和安全保证级的定义方法,以及标准的框架结构等。
例如,GB/T20276-2006《信息安全技术智能卡嵌入式软件安全技术要求(EAL4 增强级)》借用了 PP 的结构和内容要求,包括安全环境、安全目的和安全要求(安全功能要求和安全保证要求)等内容,以及 CC 标准预先定义的安全保证级别(EAL4)同时,结合国内信息安全产品产业的实际情况,我国信息安全标准还规定了产品功能要求和性能要求,以及产品的测试方法有些标准描述产品分级要求时,还考虑了产品功能要求与性能要求方面的影响因素目前,我国已经根据现有信息安全标准开展了信息安全产品检测认证工作在信息安全产品认证认可制度建立后,中国信息安全认证中心已经颁发了近 230张中国国家信息安全产品认证证书,范围覆盖国内信息安全市场上的主要产品种类三、小结我国信息安全标准不仅借鉴了 CC 标准的技术特点,还结合了国内实际情况国内信息安全标准化工作水平还需要进一步提高,这就需要加大标准制修订的投入力度,考虑标准化应用的实际需求,尽快建立覆盖全面的信息安全标准体系,更好地服务于信息安全产业的发展,提升我国信息安全产品的安全技术水平和市场竞争力《认证技术认证技术》2012 年第年第 2 期期 作者:崔占华作者:崔占华 陈世翔陈世翔 。