----轉(zhuǎn)載自《中國信息安全》公眾號
信息技術(shù)產(chǎn)品作為關(guān)鍵信息基礎(chǔ)設(shè)施的基本組成單元,,其安全性高低是決定關(guān)鍵信息基礎(chǔ)設(shè)施抗攻擊能力強(qiáng)弱的重要因素,。隨著國家網(wǎng)絡(luò)強(qiáng)國建設(shè)的推進(jìn),高安全等級產(chǎn)品及其測評越來越受到業(yè)界的重視,。高安全等級測評是什么,?怎么做?有何意義,?中國信息安全測評中心(以下簡稱“測評中心”)信息安全實(shí)驗(yàn)室主任張寶峰接受了我刊采訪,,就以上業(yè)界關(guān)心的問題進(jìn)行了回答。
測評中心是國內(nèi)信息技術(shù)產(chǎn)品測評領(lǐng)域的重要實(shí)踐者,,近期有企業(yè)的產(chǎn)品通過了貴中心的 EAL5+ 級測評,,請您介紹一下什么是 EAL5+ 級?
張寶峰:近期,,確有兩款產(chǎn)品通過了我中心的 EAL5+ 級測評,,分別是元心信息科技集團(tuán)有限公司開發(fā)的“元心安全微內(nèi)核操作系統(tǒng) V2.0”和合肥大唐存儲科技有限公司研制的“存儲控制器芯片 DSS510”。下面,,我介紹一下 EAL 的基本概念,。
EAL(Evaluation Assurance Level),即評估保障級,,是一種度量信息技術(shù)產(chǎn)品安全保障能力的尺度,,此概念源自國際最廣泛采用的《信息技術(shù)安全評估準(zhǔn)則》(The Common Criteria forInformation Technology Security Evaluation), 簡稱 CC 標(biāo)準(zhǔn) ,。
該標(biāo)準(zhǔn)將信息技術(shù)產(chǎn)品的安全保障程度分為七個級別:EAL1 至 EAL7,。級別越高,其安全保障能力或安全功能正確實(shí)現(xiàn)的可信度就越高,,產(chǎn)品就能對抗更高級別的安全威脅,,適用于更高安全風(fēng)險環(huán)境。
EAL1-EAL2 可用于保護(hù)低價值的資產(chǎn),,抵御無意或低水平攻擊者的攻擊,。
EAL3-EAL4 可用于保護(hù)中等價值的資產(chǎn),抵御有組織團(tuán)體的攻擊,。
EAL5 級可用于保護(hù)高價值的資產(chǎn),,抵御有組織團(tuán)體的攻擊,。
EAL6 級和 EAL7 級,可用于保護(hù)高價值的資產(chǎn),,抵御國家級組織的攻擊,。
本次兩家企業(yè)所通過的 EAL5+ 級,又稱為“半形式化設(shè)計和測試級”,。產(chǎn)品通過該安全保障級,,表明應(yīng)能抵御有組織團(tuán)體的攻擊,意味著開發(fā)者在產(chǎn)品設(shè)計,、研發(fā),、測試、交付和運(yùn)行等各階段,,要基于嚴(yán)格的商業(yè)開發(fā)實(shí)踐,,獲得最大限度的安全保障,并對產(chǎn)品的關(guān)鍵設(shè)計環(huán)節(jié)開展半形式化的分析和論證,。EAL5+ 代表 EAL5 增強(qiáng)級,,是指在滿足 EAL5 級所有保障要求的基礎(chǔ)上,對特定的保障要求進(jìn)行了增加或增強(qiáng),。
原來 EAL5+ 級的概念來自于 CC 標(biāo)準(zhǔn),。這個標(biāo)準(zhǔn)經(jīng)常聽業(yè)內(nèi)人士提起,,請您再介紹一下,,CC 標(biāo)準(zhǔn)在國內(nèi)外的發(fā)展和應(yīng)用情況,。
張寶峰:CC 標(biāo)準(zhǔn)始于 1993 年 6 月,并在1999 年被采納為國際標(biāo)準(zhǔn) ISO/IEC 15408,, 廣泛應(yīng)用于信息技術(shù)領(lǐng)域的安全性評估,。國際上還成立了 CC 互認(rèn)組織 CCRA(Common CriteriaRecognition Arrangement),將 CC 作為產(chǎn)品測評的基礎(chǔ)標(biāo)準(zhǔn),,要求 CCRA 成員國對測評結(jié)果相互承認(rèn),。截至目前,共有 31 個 CCRA 成員國,,獲國際 CC 測評認(rèn)證的信息技術(shù)產(chǎn)品多達(dá) 5000 余款,。
2001 年,測評中心牽頭,,將 CC 標(biāo)準(zhǔn)轉(zhuǎn)化為國家標(biāo)準(zhǔn) GB/T 18336《信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則》,,并持續(xù)跟蹤標(biāo)準(zhǔn)更新,當(dāng)前正開展 CC v4.0 的國家標(biāo)準(zhǔn)修訂,。二十年來,,我國基于 GB/T 18336 標(biāo)準(zhǔn)開發(fā)了一系列配套標(biāo)準(zhǔn)。據(jù)不完全統(tǒng)計,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會組織編制和審核通過的國家標(biāo)準(zhǔn)中,,約 40 項(xiàng)標(biāo)準(zhǔn)將 GB/T18336 作為編制依據(jù)或參考,,直接應(yīng)用于主流信息技術(shù)產(chǎn)品的安全設(shè)計、開發(fā),、測評認(rèn)證和采購等環(huán)節(jié),。以測評中心為例,依據(jù) GB/T18336 和相關(guān)配套國家標(biāo)準(zhǔn),,已完成數(shù)百家企業(yè),、2000 余款產(chǎn)品的 EAL 分級測評,發(fā)現(xiàn)了大量產(chǎn)品中隱含的漏洞和風(fēng)險,,協(xié)助企業(yè)完成整改,提升了產(chǎn)品的安全性,,為產(chǎn)業(yè)界的安全和高質(zhì)量發(fā)展做出貢獻(xiàn),,為網(wǎng)絡(luò)強(qiáng)國和數(shù)字中國建設(shè)發(fā)揮重要作用。
同時,,測評中心基于標(biāo)準(zhǔn)研究和測評實(shí)踐,,多次提出完善 CC 標(biāo)準(zhǔn)的觀點(diǎn)和理念,得到國際同行的關(guān)注和認(rèn)可,。自 2017 年起,,測評中心石竑松博士作為國內(nèi)唯一受邀專家,加入到國際 CC標(biāo)準(zhǔn)編制組,,第一時間參與技術(shù)研究和標(biāo)準(zhǔn)編制,,為 CC 標(biāo)準(zhǔn)的發(fā)展和應(yīng)用做出重要貢獻(xiàn);同年,,基于 CC 理念,,測評中心在 ISO/IEC JTC1/SC27WG3 工作組,牽頭立項(xiàng)國際標(biāo)準(zhǔn)《量子密鑰分發(fā)的安全要求,、測試和評估方法》,;2019 年,測評中心陳佳哲博士受邀參與國際重要標(biāo)準(zhǔn)《密碼模塊非侵入式攻擊緩解技術(shù)測試方法》的編制工作,。
當(dāng)然,,國內(nèi)還有許多測評認(rèn)證機(jī)構(gòu)、科研院所和產(chǎn)業(yè)單位,,也在不同程度地開展 CC 標(biāo)準(zhǔn)研究和實(shí)踐,,對標(biāo)準(zhǔn)的發(fā)展和應(yīng)用做出許多貢獻(xiàn),在此就不一一羅列,。
顯然,,無論在 CC 標(biāo)準(zhǔn)研究還是實(shí)踐方面,國內(nèi)已經(jīng)開展了大量工作。但是,,據(jù)了解,,國際上獲得 EAL5 級及以上級別測評認(rèn)證的產(chǎn)品數(shù)量遠(yuǎn)高于國內(nèi),請問原因是什么,?
張寶峰:確實(shí)存在此情況,。近 5 年國內(nèi)外的CC 測評數(shù)據(jù)顯示,國際上獲 EAL5 級測評認(rèn)證的產(chǎn)品近 400 款,,獲 EAL6 級和 EAL7 級測評認(rèn)證的產(chǎn)品 130 余款,;而國內(nèi)產(chǎn)品主要集中在 EAL3和 EAL4 級別,在國內(nèi)通過 EAL5 級測評的產(chǎn)品數(shù)量僅是個位數(shù),,通過 EAL6 級和 EAL7 級的產(chǎn)品數(shù)量為 0,。為打入國際市場,極少數(shù)國內(nèi)企業(yè)的產(chǎn)品通過了國外檢測機(jī)構(gòu)的測評,,但也主要集中在 EAL4+ 級及以下級別,。總體來看,,國內(nèi)通過高保障級測評的產(chǎn)品數(shù)量與國外相比差距巨大,。
究其原因,我認(rèn)為主要有以下三方面的因素,。一是國外信息技術(shù)發(fā)展早,、起點(diǎn)高,產(chǎn)業(yè)界和用戶對高安全等級產(chǎn)品更加重視,。二是高保障級測評要求高,、難度大、投入多,,涉及研發(fā)環(huán)境可控,、源代碼級檢測、高強(qiáng)度滲透測試,、供應(yīng)鏈安全評估等內(nèi)容,,給研發(fā)企業(yè)帶來較大挑戰(zhàn)。三是國內(nèi)僅有少數(shù)測評機(jī)構(gòu)能夠開展高保障級測評,,對產(chǎn)業(yè)界的引導(dǎo)和促進(jìn)不足,。
可喜的是,近幾年,,國內(nèi)企業(yè)已嘗試開展高安全等級產(chǎn)品的研發(fā),,部分軟硬件產(chǎn)品通過了 EAL5+ 級測評,這說明企業(yè)對安全的重視程度不斷增強(qiáng),,安全研發(fā)能力有所提高,。接下來,,需要產(chǎn)學(xué)研用各部門通力配合,不斷提升我國信息技術(shù)產(chǎn)品的整體安全水平,,全力保障國家網(wǎng)絡(luò)安全,。
剛才您提到,部分國內(nèi)產(chǎn)品因參與國際市場競爭需要,,申請并通過了國際 CC 測評,,那么,測評中心是否也可以對國外企業(yè)產(chǎn)品開展測評,,在測評流程上與國內(nèi)企業(yè)是否存在區(qū)別,?
張寶峰:習(xí)近平總書記在第三屆中國國際進(jìn)口博覽會開幕式上發(fā)表主旨演講時指出,“中國將秉持開放,、合作,、團(tuán)結(jié)、共贏的信念,,堅(jiān)定不移全面擴(kuò)大開放,,讓中國市場成為世界的市場、共享的市場,、大家的市場,為國際社會注入更多正能量,。”
測評中心成立以來,,一直致力于網(wǎng)絡(luò)信息安全測評事業(yè)的建設(shè)發(fā)展,嚴(yán)格依據(jù)標(biāo)準(zhǔn),,為國內(nèi)外企業(yè)提供高質(zhì)量的產(chǎn)品測評服務(wù),。
多年來,測評中心已與多家國外企業(yè)開展了良好合作,,對送測的產(chǎn)品開展了 EAL 分級測評工作,。早在十年前,三星公司的多款產(chǎn)品就通過了我們的 EAL4+ 級測評,。無論國內(nèi)外企業(yè),,測評中心均基于實(shí)驗(yàn)室認(rèn)可質(zhì)量體系,提供相同標(biāo)準(zhǔn)的測評服務(wù),,客觀公正地反映測評結(jié)果,。
我們熱忱歡迎更多的國內(nèi)外企業(yè)送測其優(yōu)質(zhì)產(chǎn)品,開展技術(shù)交流,,共同推進(jìn)產(chǎn)品技術(shù)能力和安全性提升,,為網(wǎng)絡(luò)空間安全做出相應(yīng)的貢獻(xiàn)。
剛才您提到,,國外已有許多產(chǎn)品通過了EAL6 和 EAL7 級等更高級別的測評,。對這種高級別的測評,企業(yè)是否需達(dá)到一定的能力要求才能申請?
張寶峰:前面談到,,通過 EAL6 或 EAL7 級測評,,意味著產(chǎn)品將應(yīng)用于高風(fēng)險環(huán)境,保護(hù)高價值資產(chǎn),,用以對抗國家級攻擊,,要求更高、難度更大,、檢測更深,。一個突出的要求,就是產(chǎn)品要經(jīng)過半形式化甚至形式化驗(yàn)證設(shè)計和測試,,即通過等價性驗(yàn)證,、模型檢驗(yàn)和定理證明等數(shù)學(xué)方法 ,完備地證明或驗(yàn)證產(chǎn)品功能需求是否得到滿足,證明關(guān)鍵功能特征覆蓋率是否達(dá)到 100%,。此外,,還必須進(jìn)行安全模型分析、源代碼級深度檢測分析,、高強(qiáng)度滲透測試等工作,,要求企業(yè)產(chǎn)品具備極高的安全防護(hù)能力和技術(shù)能力,要求企業(yè)具備高水平的研發(fā)隊(duì)伍和先進(jìn)的研發(fā)測試裝備,,具備更加規(guī)范的研發(fā)管理流程和研發(fā)環(huán)境,。
從測評要求和理念看,結(jié)構(gòu)和功能越復(fù)雜的產(chǎn)品,,在開展形式化和半形式化驗(yàn)證設(shè)計時,,往往挑戰(zhàn)更大。對于防護(hù)能力要求高但功能架構(gòu)不太復(fù)雜的產(chǎn)品,,反而更有機(jī)會挑戰(zhàn) EAL6,、EAL7級測評,例如專用芯片,、智能卡等,。
值得一提的是,與軟件開發(fā)不同,,芯片的研制除了設(shè)計階段,,還需經(jīng)過流片、封裝等加工制造環(huán)節(jié),。一旦制造出來的芯片不符合要求,,則需要重新流片,往往代價不菲,,這就要求企業(yè)在芯片設(shè)計階段嚴(yán)格把關(guān),、務(wù)求全面,。基于多年測評實(shí)踐和專項(xiàng)支持,,測評中心具備了較好的高保障級測評基礎(chǔ),,研究并形成了半形式化/形式化分析、算法分析,、密碼模塊側(cè)信道分析,、電路侵入式分析等技術(shù)體系,自主研發(fā)了多個軟硬件檢測分析平臺 , 在檢測精度,、檢測效率和檢測效果等方面具有一定的優(yōu)勢,。
對于有測評意愿的芯片研發(fā)企業(yè),我們可以提供前期咨詢,,幫助企業(yè)分析和選擇適合的測評級別,,減少不必要的后續(xù)損失。
測評周期一直是企業(yè)比較關(guān)注的問題,。有企業(yè)反映,,基于 CC 標(biāo)準(zhǔn)的測評周期會比較長,請問其原因是什么,?我們有哪些舉措幫助企業(yè)更快更好地通過測評,?
張寶峰:國內(nèi)外基于 CC 標(biāo)準(zhǔn)的測評周期較長,確實(shí)是企業(yè)非常關(guān)注的問題,。多年實(shí)踐表明,,產(chǎn)品越復(fù)雜、安全等級越高,,所需的測評周期就越長,主要原因如下:
第一,,基于 CC 標(biāo)準(zhǔn)的安全性測評,,覆蓋面廣,內(nèi)在要求高,。整個測評覆蓋產(chǎn)品全生命周期,,需要對產(chǎn)品的設(shè)計、實(shí)現(xiàn),、測試,、交付過程、配置管理,、研發(fā)環(huán)境,、供應(yīng)鏈等開展全面的評價。要達(dá)到標(biāo)準(zhǔn)要求,,測評機(jī)構(gòu)和企業(yè)都需較大工作量,。國際上通過 EAL4+ 級測評的周期通常需要半年以上,,通過 EAL5+ 級測評則需要 1 年以上。
第二,,CC 重視測評證據(jù),,要求測評證據(jù)的完備性和有效性。CC 標(biāo)準(zhǔn)適用于具有安全功能的所有信息技術(shù)產(chǎn)品,,其標(biāo)準(zhǔn)文本具有較高的技術(shù)特色和抽象概念,。對于企業(yè),特別是首次申請測評的企業(yè),,理解抽象概念存在一定難度,,導(dǎo)致提供的測試證據(jù)不完備、不充分,,往往消耗大量時間用于證據(jù)的補(bǔ)充和完善,。
第三,CC 標(biāo)準(zhǔn)要求,,必須完成對所有問題的整改和回歸測試,,這需要一定的周期。從測評實(shí)踐看,,絕大部分送測產(chǎn)品均存在不同程度的問題,,尤其是首次送測的產(chǎn)品,有些甚至存在非常嚴(yán)重的漏洞和風(fēng)險,。問題的交互,、確認(rèn)和修改,也是導(dǎo)致測評周期較長的原因之一,。
針對上述情況,,我們開展了問題研究和流程優(yōu)化,提早介入,,加強(qiáng)與企業(yè)的溝通交流,,為企業(yè)提供技術(shù)咨詢和標(biāo)準(zhǔn)培訓(xùn),減少企業(yè)反復(fù)修改的成本,。此外,,中心還構(gòu)建了自動化測試平臺、漏洞分析平臺和源代碼分析平臺等工具,,有效地提升了測試能力,、提高了測試效率、縮短了測試時間,。相信通過這些舉措,,將明顯提升企業(yè)的測評體驗(yàn)。
通過您的介紹,,讓我們意識到高保障級測評的重要性,,對其發(fā)展您還有什么建議,?
