国内外信息安全产品认证标准简介.docVIP

国内外信息安全产品认证标准简介 信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性，先进性和符合性的技术规范和技术依据。因此，世界各国越来越重视信息安全产品认证标准的制修订工作。 一、国外信息安全标准发展现状 l .CC标准的发展过程 CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准，用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范，包括欧洲ITSEC、美国TCSEC（桔皮书）、加拿大CTCPEC以及美国的联邦准则(Federal Criteria)等，由6个国家（美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰）共同提 出制定。CC标准的发展过程见附图。 国际上，很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年CCV2.1被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》，目前，最新版本ISO/IEC15408-2008采用了CCV3.1。 用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法，并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。 2. CC标准内容介绍 CC标准共分为三部分,主要内容包括信息技术安全性评估的一般模型和基本框架，以及安全功能要求和安全保证要求，目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。CC标准为不同国家或实验室的评估结果提供了可比性。 CC标准的第一部分为简介和一般模型，描述了信息安全相关的基本概念和模型，以及PP和ST的要求。PP是为一类产品或系统定义信息安全技术要求，包括功要求和保证要求。ST则定义了一个既定评估对象(TOE-TarEet of aluation)的IT安全要求，并规定了该TOE应提供的安全功能和保证措施，以满足所提出的安全要求 ，ST是开发者、评估者和用户之间对TOE安全特性和评估范圈达成一致的基础。第二部分和第三部分描述了安全功能要求和安全保证要求，功能要求是对产品希望提供的安全功能或特征的描述；保证要求是功能要求能够得到满足的程度。CC标准根据安全保证要求预先定义了7个安全保证级（EALl~EAL7)，安全保证能力由低到高逐级增强。 CC标准由专门的开发组（CCDB)负责开发、维护、解释，根据检测认证工作实践，CCDB也发布了很多技术支持文档作为检测认证的指导文件，其中有些文件必须参照执行，例如《攻击潜力在智能卡产品中的应用》（CCDB-2009-03-001）等。 3 CC认证概况 为了推进信息技术产品的安全性评 估结果在国际间互认，减少重复检测认证，美国、加拿大、法国、德国、英国、荷兰等国于1998年10月发起并签署了CCRA（Common Criteria Recognition Arrangement)。截止到2011年12月，CCRA成员国已发展到26个。 根据协定要求，各CCRA成员国之间对CCEALI—EAIA级的评估结果相互承认。CCRA协定在一定程度上减少了信息安全产品的技术性贸易壁垒。 据CC官方网站公布的数据，截止到2011年11月，总共颁发了1614张认证证书，注册了219个PP，获得授权的检测机构近60个。随着采用CC标准的国家越来越多，产品获得CC认证证书将有助于进入多个国家的市场。 二、国内信息安全标准介绍 为了加强信息安全标准化工作的组织协调力度，国家标准化管理委员会批准成立了全国信息安全标准化技术委员会(简称“信安标委会”编号为TC260)。在信安标委会的协调与管理下，我国已经制修订了几十个信息安全标准，为信息安全产品检测认证提供了技术基础。 2001年，我国将ISO/IEC15408-1999转化为国家推荐性标准GB/T18336-2001 (CC V2