加強信息技術產(chǎn)品高保障級測評 提升關鍵信息基礎設施安全保障水平
2022-03-22 18:02:40
----轉載自《中國信息安全》公眾號
信息技術產(chǎn)品作為關鍵信息基礎設施的基本組成單元,,其安全性高低是決定關鍵信息基礎設施抗攻擊能力強弱的重要因素,。隨著國家網(wǎng)絡強國建設的推進,,高安全等級產(chǎn)品及其測評越來越受到業(yè)界的重視,。高安全等級測評是什么?怎么做,?有何意義,?中國信息安全測評中心(以下簡稱“測評中心”)信息安全實驗室主任張寶峰接受了我刊采訪,,就以上業(yè)界關心的問題進行了回答,。
測評中心是國內(nèi)信息技術產(chǎn)品測評領域的重要實踐者,,近期有企業(yè)的產(chǎn)品通過了貴中心的 EAL5+ 級測評,,請您介紹一下什么是 EAL5+ 級?
張寶峰:近期,確有兩款產(chǎn)品通過了我中心的 EAL5+ 級測評,分別是元心信息科技集團有限公司開發(fā)的“元心安全微內(nèi)核操作系統(tǒng) V2.0”和合肥大唐存儲科技有限公司研制的“存儲控制器芯片 DSS510”,。下面,我介紹一下 EAL 的基本概念。
EAL(Evaluation Assurance Level),,即評估保障級,,是一種度量信息技術產(chǎn)品安全保障能力的尺度,,此概念源自國際最廣泛采用的《信息技術安全評估準則》(The Common Criteria forInformation Technology Security Evaluation),, 簡稱 CC 標準 。
該標準將信息技術產(chǎn)品的安全保障程度分為七個級別:EAL1 至 EAL7,。級別越高,,其安全保障能力或安全功能正確實現(xiàn)的可信度就越高,產(chǎn)品就能對抗更高級別的安全威脅,,適用于更高安全風險環(huán)境,。
EAL1-EAL2 可用于保護低價值的資產(chǎn),抵御無意或低水平攻擊者的攻擊,。
EAL3-EAL4 可用于保護中等價值的資產(chǎn),抵御有組織團體的攻擊。
EAL5 級可用于保護高價值的資產(chǎn),,抵御有組織團體的攻擊,。
EAL6 級和 EAL7 級,,可用于保護高價值的資產(chǎn),,抵御國家級組織的攻擊。
本次兩家企業(yè)所通過的 EAL5+ 級,,又稱為“半形式化設計和測試級”,。產(chǎn)品通過該安全保障級,,表明應能抵御有組織團體的攻擊,,意味著開發(fā)者在產(chǎn)品設計,、研發(fā)、測試,、交付和運行等各階段,要基于嚴格的商業(yè)開發(fā)實踐,,獲得最大限度的安全保障,,并對產(chǎn)品的關鍵設計環(huán)節(jié)開展半形式化的分析和論證,。EAL5+ 代表 EAL5 增強級,,是指在滿足 EAL5 級所有保障要求的基礎上,對特定的保障要求進行了增加或增強,。
原來 EAL5+ 級的概念來自于 CC 標準,。這個標準經(jīng)常聽業(yè)內(nèi)人士提起,請您再介紹一下,,CC 標準在國內(nèi)外的發(fā)展和應用情況,。
張寶峰:CC 標準始于 1993 年 6 月,并在1999 年被采納為國際標準 ISO/IEC 15408,, 廣泛應用于信息技術領域的安全性評估,。國際上還成立了 CC 互認組織 CCRA(Common CriteriaRecognition Arrangement),將 CC 作為產(chǎn)品測評的基礎標準,,要求 CCRA 成員國對測評結果相互承認,。截至目前,共有 31 個 CCRA 成員國,,獲國際 CC 測評認證的信息技術產(chǎn)品多達 5000 余款,。
2001 年,測評中心牽頭,,將 CC 標準轉化為國家標準 GB/T 18336《信息技術 安全技術 信息技術安全評估準則》,并持續(xù)跟蹤標準更新,,當前正開展 CC v4.0 的國家標準修訂,。二十年來,我國基于 GB/T 18336 標準開發(fā)了一系列配套標準,。據(jù)不完全統(tǒng)計,,全國信息安全標準化技術委員會組織編制和審核通過的國家標準中,約 40 項標準將 GB/T18336 作為編制依據(jù)或參考,,直接應用于主流信息技術產(chǎn)品的安全設計,、開發(fā),、測評認證和采購等環(huán)節(jié)。以測評中心為例,,依據(jù) GB/T18336 和相關配套國家標準,,已完成數(shù)百家企業(yè)、2000 余款產(chǎn)品的 EAL 分級測評,,發(fā)現(xiàn)了大量產(chǎn)品中隱含的漏洞和風險,,協(xié)助企業(yè)完成整改,提升了產(chǎn)品的安全性,,為產(chǎn)業(yè)界的安全和高質(zhì)量發(fā)展做出貢獻,,為網(wǎng)絡強國和數(shù)字中國建設發(fā)揮重要作用。
同時,,測評中心基于標準研究和測評實踐,,多次提出完善 CC 標準的觀點和理念,得到國際同行的關注和認可,。自 2017 年起,,測評中心石竑松博士作為國內(nèi)唯一受邀專家,加入到國際 CC標準編制組,,第一時間參與技術研究和標準編制,,為 CC 標準的發(fā)展和應用做出重要貢獻;同年,,基于 CC 理念,,測評中心在 ISO/IEC JTC1/SC27WG3 工作組,牽頭立項國際標準《量子密鑰分發(fā)的安全要求,、測試和評估方法》,;2019 年,測評中心陳佳哲博士受邀參與國際重要標準《密碼模塊非侵入式攻擊緩解技術測試方法》的編制工作,。
當然,,國內(nèi)還有許多測評認證機構、科研院所和產(chǎn)業(yè)單位,,也在不同程度地開展 CC 標準研究和實踐,,對標準的發(fā)展和應用做出許多貢獻,在此就不一一羅列,。
顯然,,無論在 CC 標準研究還是實踐方面,國內(nèi)已經(jīng)開展了大量工作,。但是,,據(jù)了解,國際上獲得 EAL5 級及以上級別測評認證的產(chǎn)品數(shù)量遠高于國內(nèi),,請問原因是什么,?
張寶峰:確實存在此情況,。近 5 年國內(nèi)外的CC 測評數(shù)據(jù)顯示,國際上獲 EAL5 級測評認證的產(chǎn)品近 400 款,,獲 EAL6 級和 EAL7 級測評認證的產(chǎn)品 130 余款,;而國內(nèi)產(chǎn)品主要集中在 EAL3和 EAL4 級別,在國內(nèi)通過 EAL5 級測評的產(chǎn)品數(shù)量僅是個位數(shù),,通過 EAL6 級和 EAL7 級的產(chǎn)品數(shù)量為 0,。為打入國際市場,極少數(shù)國內(nèi)企業(yè)的產(chǎn)品通過了國外檢測機構的測評,,但也主要集中在 EAL4+ 級及以下級別,。總體來看,,國內(nèi)通過高保障級測評的產(chǎn)品數(shù)量與國外相比差距巨大,。
究其原因,我認為主要有以下三方面的因素,。一是國外信息技術發(fā)展早,、起點高,產(chǎn)業(yè)界和用戶對高安全等級產(chǎn)品更加重視,。二是高保障級測評要求高,、難度大、投入多,,涉及研發(fā)環(huán)境可控,、源代碼級檢測、高強度滲透測試,、供應鏈安全評估等內(nèi)容,,給研發(fā)企業(yè)帶來較大挑戰(zhàn)。三是國內(nèi)僅有少數(shù)測評機構能夠開展高保障級測評,,對產(chǎn)業(yè)界的引導和促進不足,。
可喜的是,近幾年,,國內(nèi)企業(yè)已嘗試開展高安全等級產(chǎn)品的研發(fā),,部分軟硬件產(chǎn)品通過了 EAL5+ 級測評,這說明企業(yè)對安全的重視程度不斷增強,,安全研發(fā)能力有所提高,。接下來,需要產(chǎn)學研用各部門通力配合,,不斷提升我國信息技術產(chǎn)品的整體安全水平,全力保障國家網(wǎng)絡安全,。
剛才您提到,,部分國內(nèi)產(chǎn)品因參與國際市場競爭需要,,申請并通過了國際 CC 測評,那么,,測評中心是否也可以對國外企業(yè)產(chǎn)品開展測評,,在測評流程上與國內(nèi)企業(yè)是否存在區(qū)別?
張寶峰:習近平總書記在第三屆中國國際進口博覽會開幕式上發(fā)表主旨演講時指出,,“中國將秉持開放,、合作、團結,、共贏的信念,,堅定不移全面擴大開放,讓中國市場成為世界的市場,、共享的市場,、大家的市場,為國際社會注入更多正能量,。”
測評中心成立以來,,一直致力于網(wǎng)絡信息安全測評事業(yè)的建設發(fā)展,嚴格依據(jù)標準,,為國內(nèi)外企業(yè)提供高質(zhì)量的產(chǎn)品測評服務,。
多年來,測評中心已與多家國外企業(yè)開展了良好合作,,對送測的產(chǎn)品開展了 EAL 分級測評工作,。早在十年前,三星公司的多款產(chǎn)品就通過了我們的 EAL4+ 級測評,。無論國內(nèi)外企業(yè),,測評中心均基于實驗室認可質(zhì)量體系,提供相同標準的測評服務,,客觀公正地反映測評結果,。
我們熱忱歡迎更多的國內(nèi)外企業(yè)送測其優(yōu)質(zhì)產(chǎn)品,開展技術交流,,共同推進產(chǎn)品技術能力和安全性提升,,為網(wǎng)絡空間安全做出相應的貢獻。
剛才您提到,,國外已有許多產(chǎn)品通過了EAL6 和 EAL7 級等更高級別的測評,。對這種高級別的測評,企業(yè)是否需達到一定的能力要求才能申請,?
張寶峰:前面談到,,通過 EAL6 或 EAL7 級測評,意味著產(chǎn)品將應用于高風險環(huán)境,保護高價值資產(chǎn),,用以對抗國家級攻擊,,要求更高、難度更大,、檢測更深,。一個突出的要求,就是產(chǎn)品要經(jīng)過半形式化甚至形式化驗證設計和測試,,即通過等價性驗證,、模型檢驗和定理證明等數(shù)學方法 ,完備地證明或驗證產(chǎn)品功能需求是否得到滿足,證明關鍵功能特征覆蓋率是否達到 100%,。此外,,還必須進行安全模型分析、源代碼級深度檢測分析,、高強度滲透測試等工作,,要求企業(yè)產(chǎn)品具備極高的安全防護能力和技術能力,要求企業(yè)具備高水平的研發(fā)隊伍和先進的研發(fā)測試裝備,,具備更加規(guī)范的研發(fā)管理流程和研發(fā)環(huán)境,。
從測評要求和理念看,結構和功能越復雜的產(chǎn)品,,在開展形式化和半形式化驗證設計時,,往往挑戰(zhàn)更大。對于防護能力要求高但功能架構不太復雜的產(chǎn)品,,反而更有機會挑戰(zhàn) EAL6,、EAL7級測評,例如專用芯片,、智能卡等,。
值得一提的是,與軟件開發(fā)不同,,芯片的研制除了設計階段,,還需經(jīng)過流片、封裝等加工制造環(huán)節(jié),。一旦制造出來的芯片不符合要求,,則需要重新流片,往往代價不菲,,這就要求企業(yè)在芯片設計階段嚴格把關,、務求全面?;诙嗄隃y評實踐和專項支持,,測評中心具備了較好的高保障級測評基礎,,研究并形成了半形式化/形式化分析、算法分析,、密碼模塊側信道分析,、電路侵入式分析等技術體系,,自主研發(fā)了多個軟硬件檢測分析平臺 , 在檢測精度,、檢測效率和檢測效果等方面具有一定的優(yōu)勢。
對于有測評意愿的芯片研發(fā)企業(yè),,我們可以提供前期咨詢,,幫助企業(yè)分析和選擇適合的測評級別,減少不必要的后續(xù)損失,。
測評周期一直是企業(yè)比較關注的問題,。有企業(yè)反映,基于 CC 標準的測評周期會比較長,,請問其原因是什么,?我們有哪些舉措幫助企業(yè)更快更好地通過測評?
張寶峰:國內(nèi)外基于 CC 標準的測評周期較長,,確實是企業(yè)非常關注的問題,。多年實踐表明,產(chǎn)品越復雜,、安全等級越高,,所需的測評周期就越長,主要原因如下:
第一,,基于 CC 標準的安全性測評,,覆蓋面廣,內(nèi)在要求高,。整個測評覆蓋產(chǎn)品全生命周期,,需要對產(chǎn)品的設計、實現(xiàn),、測試,、交付過程、配置管理,、研發(fā)環(huán)境,、供應鏈等開展全面的評價。要達到標準要求,,測評機構和企業(yè)都需較大工作量,。國際上通過 EAL4+ 級測評的周期通常需要半年以上,通過 EAL5+ 級測評則需要 1 年以上,。
第二,,CC 重視測評證據(jù),,要求測評證據(jù)的完備性和有效性。CC 標準適用于具有安全功能的所有信息技術產(chǎn)品,,其標準文本具有較高的技術特色和抽象概念,。對于企業(yè),特別是首次申請測評的企業(yè),,理解抽象概念存在一定難度,,導致提供的測試證據(jù)不完備、不充分,,往往消耗大量時間用于證據(jù)的補充和完善,。
第三,CC 標準要求,,必須完成對所有問題的整改和回歸測試,,這需要一定的周期。從測評實踐看,,絕大部分送測產(chǎn)品均存在不同程度的問題,,尤其是首次送測的產(chǎn)品,有些甚至存在非常嚴重的漏洞和風險,。問題的交互,、確認和修改,也是導致測評周期較長的原因之一,。
針對上述情況,,我們開展了問題研究和流程優(yōu)化,提早介入,,加強與企業(yè)的溝通交流,,為企業(yè)提供技術咨詢和標準培訓,減少企業(yè)反復修改的成本,。此外,,中心還構建了自動化測試平臺、漏洞分析平臺和源代碼分析平臺等工具,,有效地提升了測試能力,、提高了測試效率、縮短了測試時間,。相信通過這些舉措,,將明顯提升企業(yè)的測評體驗。
通過您的介紹,,讓我們意識到高保障級測評的重要性,,對其發(fā)展您還有什么建議?
