为什么需要IT产品信息安全认证?

在上一集介绍了信息安全管理体系和ISO/IEC 27001以及ISO/IEC27701系列标准,也与大家分享了信息安全管理体系的重要性。在组织的信息安全管理体系运行之中,除了专业的人员和团队,合理的政策和流程以外,采用满足组织安全需求的IT产品,可以在技术上实现大量信息安全控制措施,弥补单纯依赖于人员和政策流程而存在的风险。

于是,组织面对的问题便成为:应该采用怎样的IT产品来满足和实现自身的安全需求?

一种方法是,对于拟采用的IT产品,额外请第三方测评机构,按照组织自身的安全要求所对应的标准进行测评,组织再根据测评结果评估该产品是否符合需求。这种做法费时费力,不具备可复制性,每采用一个新的产品都需要进行一次全新的第三方测评。

第二种方法是,根据组织自身的安全要求,选择通过满足企业自身安全要求的信息安全认证的IT产品。这种做法没有额外的费用,且信息安全认证已经表明了该产品经过独立第三方实验室的测评,满足对应的安全标准,每采用一个新的产品,组织只需要确保该产品通过对应等级的信息安全认证即可。

综上所述,我们可以看到IT产品的信息安全认证使得产品的生产厂商向组织(客户)提供了一种共同被认可的证明,证明产品可以达到确定的安全等级,满足确定的安全需求。同时,IT产品的信息安全认证也为组织在采购时,提供了明确的采购准则。

CommonCriteria(CC)标准概述:

Common Criteria(下简称“CC”)标准,是目前世界范围内,最全面、覆盖产品类别最广,同时也最复杂的IT产品信息安全评估标准,它是:

·     一个国际共认的诠释IT产品信息安全的框架

·     一个ISO标准(ISO/IEC15408)

·     可用作开发和采购具有IT信息安全功能的产品的指南

·     允许独立安全评估的结果与国际认可之间的可比性

·     用作检查和评估IT产品安全性的基础

目前,CC认证覆盖的产品类别和通过认证的产品占比如下图所示:

image.png

CC标准总共分为3个部分,分别为:

·     Part 1:介绍和通用模型

·     Part 2:安全功能组件

·     Part 3:安全保障组件

image.png

除了主标准之外,CC还提供了面向实验室评估人员的《通用评估方法》,以及一些支持性的文档,如CC官方编写的个别文档的解释和模板、德国BSI编写的CC用户指导、欧洲JHAS联盟编写的场地安全要求、硬件攻击方法等。

CC的核心概念:

·     Target of Evaluation(TOE):作为评估对象的产品或系统。 评估用于验证对目标所做的声明。 为了具有实际用途,评估必须验证目标的安全特性。

·     Security Target(ST):标识评估目标安全属性的文档。TOE是根据在其ST中建立的SFR(安全功能要求,参见下文)进行评估的,不多也不少。这使供应商可以定制评估以准确匹配其产品的预期功能。这意味着网络防火墙不必满足与数据库管理系统相同的功能要求,而且实际上可以针对完全不同的要求列表评估不同的防火墙。ST通常会发布,以便潜在客户可以确定已通过评估认证的特定安全功能。

·     Protection Profile(PP):通常由用户或用户社区创建的文件,用于标识与该用户相关的特定用途的一类安全设备的安全要求。产品供应商可以选择实施符合一个或多个PP的产品,并根据这些PP评估他们的产品。在这种情况下,PP可以作为产品ST的模板,或者ST的作者至少会确保相关PP中的所有要求也出现在TOE的ST文档中。寻找特定类型产品的客户可以专注于那些符合PP认证的产品,以满足他们的要求。

·     Security Functional Requirement(SFR):TOE可能提供的安全功能。CC提供了此类功能的要求的目录(Part 2)。即使同一类型的产品,SFR列表也可能因评估而异。尽管CC标准没有规定要包含在ST中的任何SFR,但它确定了一个功能的正确操作(例如根据角色限制访问的能力)依赖于另一个功能(例如识别单个角色的能力)的依赖性。

image.png

·     Security Assurance Requirement(SAR):产品开发和评估期间为确保符合所声明的安全功能而采取的措施的描述。例如,评估可能要求将所有源代码保存在变更管理系统中,或者执行完整的功能测试。CC提供了这些要求的目录(Part3),并且要求可能因评估而异。ST和PP中分别记录了对特定目标或产品类型的要求。

·     Evaluation Assurance Level(EAL):描述评估深度和严谨性的数字评级。每个EAL对应一个安全保障要求包(SARs),它涵盖了产品的完整开发,具有给定的严格级别。CC标准列出了7个级别,其中EAL 1是最基本的(因此实施和评估成本最低),而EAL 7是最严格(也是最昂贵的)。通常,ST或PP作者不会单独选择保障要求,而是选择这些包中的一个,可能会“增强”具有更高级别要求的某几个领域的保障要求。更高的EAL并不一定意味着“更好的安全性”,它们仅意味着TOE所声称的安全保障已经得到更广泛的验证,可以给客户和用户提供更强的信心。

image.png

CC的基础模型:

IT产品有需要存储、处理、传输的信息/数据,这些信息/数据是IT产品的最重要资产,这些资产具有很高的价值,因此对于恶意的主体来说,也具有很大的吸引力。这些恶意主体(如黑客等)会采取任何可能的方式对IT产品发起攻击,以期窃取、篡改或者变更这些资产。因此,IT产品需要设计不同的安全机制、设定要求的运行环境来保护这些资产。而对于保护措施实施的正确性与充分性的信心多少则共同构成了整个IT产品的保障程度。CC认证,即是对这样保障程度的评估赫尔认证。

 面向中国和全世界客户提供覆盖全部14个产品类别的完整的CC评估认证和咨询服务:

o   初识CC

·     针对CC标准的基础培训

·     TOE的范围选定

·     差距分析

·     ST准备的咨询服务

o   准备评估证据

·      CC文档体系培训

·     产品符合安全要求及提升安全性能的咨询服务

·     建立安全研发流程和产品生命周期管理的咨询服务

·     现场安全增强的咨询服务

o   评估TOE

·     文档审核及反馈

·     脆弱性分析和渗透性测试

·     评估观察报告

o   认证流程

·     准备认证机构所需的评估技术报告

·     支持认证机构的发证流程

TACSL的CC评估和认证流程如下图所示:

image.png

捡证网提供相关认证咨询服务,咨询电话(微信):13636483412 QQ: 495226609 邮箱:yangda@jz-cert.com