信息安全测评认证系列文章之四信息安全产品等级评估程序.pdfVIP

信息安全测评认证系列文章之四 信息安全产品等级评估程序 中国信息安全产品测评认证中心 郭 颖 等级评估的标准，任务 材料。申请材料 (包括 《产品评估申请表 )应提交纸质版和 电子版各两份。 实验室在接到 申请材料后，将对申请进行审查。材料审查 1999年，ISO／IEC 15408(CC)正式发布后得到许多国家 分为形式化审查和技术审查，前者主要是审查申请材料的真实 的认可，目前已被广泛应用于IT安全评估 ，并且已有 17个国 性、一致性和完整性，后者主要是从技术角度审查申请材料 中 家参与了CC互认。为了与国际接轨，2001年我国正式发布了 国家标准GB／T18336 信息技术 安全技术 信息技术安全性 的技术内容是否准确全面，是否足以满足评估要求。若审查过 程中发现 申请材料不够全面或存在缺陷，无法满足评估要求， 评估准则》，就是等同于CC的标准。 则申请单位应该按照审查意见的要求及时补齐 申请材料，该过 CC作为评估信息技术产品安全的标准，提出了评估保证 级 (EAL)的概念，共分为七级。为了参与国际互认，2003年 程将重复进行直到申请材料满足要求为止。 申请材料的形式化审查和技术审查均合格后，评估机构将 11月中国信息安全产品测评认证中心信息安全实验室根据市场 需求、企业研发能力及生产保障能力，开始了网络安全产品的 给申请者发出受理通知书，申请者应于接到受理通知书后 10 个工作 日内到评估机构签订产品评估合同，并缴纳相应的评估 等级评估工作。等级评估的过程包括检查大量的文档和参考文 费用。 献，并涉及大量的概念和定义。本文阐述了CC的等级评估过 程。 2、准备评估 在正式开展评估工作前，评估申请者应该确保他的开发团 所有的评估都有两项任务：输入任务和输出任务。输入任 队和咨询者已经基于预期达到的评估保证级做好了充分的准 务是保证评估者在评估时能得到符合相应评估保证级要求的所 备，这样就可以转入检查文档和最终产生TOE安全 目标 (ST) 有必需的评估证据；输出任务是评估者在评估过程 中和评估结 的工作中去。 果后产生的报告一观察报告 (OR)和评估技术报告 (ETR)。 (1)检查文档 在最终产生TOE安全 目标之前，需要检查大量的文档，这 二，等级评估阶段划分 些文档主要包括配置管理文档、交付和运行文档，开发文档， 指导性文档、生命周期支持文