加强信息技术产品高保障级测评 提升关键信息基础设施安全保障水平
2022-03-22 18:02:40
----转载自《中国信息安全》公众号
信息技术产品作为关键信息基础设施的基本组成单元,其安全性高低是决定关键信息基础设施抗攻击能力强弱的重要因素。随着国家网络强国建设的推进,高安全等级产品及其测评越来越受到业界的重视。高安全等级测评是什么?怎么做?有何意义?中国信息安全测评中心(以下简称“测评中心”)信息安全实验室主任张宝峰接受了我刊采访,就以上业界关心的问题进行了回答。
测评中心是国内信息技术产品测评领域的重要实践者,近期有企业的产品通过了贵中心的 EAL5+ 级测评,请您介绍一下什么是 EAL5+ 级?
张宝峰:近期,确有两款产品通过了我中心的 EAL5+ 级测评,分别是必赢官网注册登录平台开发的“元心安全微内核操作系统 V2.0”和合肥大唐存储科技有限公司研制的“存储控制器芯片 DSS510”。下面,我介绍一下 EAL 的基本概念。
EAL(Evaluation Assurance Level),即评估保障级,是一种度量信息技术产品安全保障能力的尺度,此概念源自国际最广泛采用的《信息技术安全评估准则》(The Common Criteria forInformation Technology Security Evaluation), 简称 CC 标准 。
该标准将信息技术产品的安全保障程度分为七个级别:EAL1 至 EAL7。级别越高,其安全保障能力或安全功能正确实现的可信度就越高,产品就能对抗更高级别的安全威胁,适用于更高安全风险环境。
EAL1-EAL2 可用于保护低价值的资产,抵御无意或低水平攻击者的攻击。
EAL3-EAL4 可用于保护中等价值的资产,抵御有组织团体的攻击。
EAL5 级可用于保护高价值的资产,抵御有组织团体的攻击。
EAL6 级和 EAL7 级,可用于保护高价值的资产,抵御国家级组织的攻击。
本次两家企业所通过的 EAL5+ 级,又称为“半形式化设计和测试级”。产品通过该安全保障级,表明应能抵御有组织团体的攻击,意味着开发者在产品设计、研发、测试、交付和运行等各阶段,要基于严格的商业开发实践,获得最大限度的安全保障,并对产品的关键设计环节开展半形式化的分析和论证。EAL5+ 代表 EAL5 增强级,是指在满足 EAL5 级所有保障要求的基础上,对特定的保障要求进行了增加或增强。
原来 EAL5+ 级的概念来自于 CC 标准。这个标准经常听业内人士提起,请您再介绍一下,CC 标准在国内外的发展和应用情况。
张宝峰:CC 标准始于 1993 年 6 月,并在1999 年被采纳为国际标准 ISO/IEC 15408, 广泛应用于信息技术领域的安全性评估。国际上还成立了 CC 互认组织 CCRA(Common CriteriaRecognition Arrangement),将 CC 作为产品测评的基础标准,要求 CCRA 成员国对测评结果相互承认。截至目前,共有 31 个 CCRA 成员国,获国际 CC 测评认证的信息技术产品多达 5000 余款。
2001 年,测评中心牵头,将 CC 标准转化为国家标准 GB/T 18336《信息技术 安全技术 信息技术安全评估准则》,并持续跟踪标准更新,当前正开展 CC v4.0 的国家标准修订。二十年来,我国基于 GB/T 18336 标准开发了一系列配套标准。据不完全统计,全国信息安全标准化技术委员会组织编制和审核通过的国家标准中,约 40 项标准将 GB/T18336 作为编制依据或参考,直接应用于主流信息技术产品的安全设计、开发、测评认证和采购等环节。以测评中心为例,依据 GB/T18336 和相关配套国家标准,已完成数百家企业、2000 余款产品的 EAL 分级测评,发现了大量产品中隐含的漏洞和风险,协助企业完成整改,提升了产品的安全性,为产业界的安全和高质量发展做出贡献,为网络强国和数字中国建设发挥重要作用。
同时,测评中心基于标准研究和测评实践,多次提出完善 CC 标准的观点和理念,得到国际同行的关注和认可。自 2017 年起,测评中心石竑松博士作为国内唯一受邀专家,加入到国际 CC标准编制组,第一时间参与技术研究和标准编制,为 CC 标准的发展和应用做出重要贡献;同年,基于 CC 理念,测评中心在 ISO/IEC JTC1/SC27WG3 工作组,牵头立项国际标准《量子密钥分发的安全要求、测试和评估方法》;2019 年,测评中心陈佳哲博士受邀参与国际重要标准《密码模块非侵入式攻击缓解技术测试方法》的编制工作。
当然,国内还有许多测评认证机构、科研院所和产业单位,也在不同程度地开展 CC 标准研究和实践,对标准的发展和应用做出许多贡献,在此就不一一罗列。
显然,无论在 CC 标准研究还是实践方面,国内已经开展了大量工作。但是,据了解,国际上获得 EAL5 级及以上级别测评认证的产品数量远高于国内,请问原因是什么?
张宝峰:确实存在此情况。近 5 年国内外的CC 测评数据显示,国际上获 EAL5 级测评认证的产品近 400 款,获 EAL6 级和 EAL7 级测评认证的产品 130 余款;而国内产品主要集中在 EAL3和 EAL4 级别,在国内通过 EAL5 级测评的产品数量仅是个位数,通过 EAL6 级和 EAL7 级的产品数量为 0。为打入国际市场,极少数国内企业的产品通过了国外检测机构的测评,但也主要集中在 EAL4+ 级及以下级别。总体来看,国内通过高保障级测评的产品数量与国外相比差距巨大。
究其原因,我认为主要有以下三方面的因素。一是国外信息技术发展早、起点高,产业界和用户对高安全等级产品更加重视。二是高保障级测评要求高、难度大、投入多,涉及研发环境可控、源代码级检测、高强度渗透测试、供应链安全评估等内容,给研发企业带来较大挑战。三是国内仅有少数测评机构能够开展高保障级测评,对产业界的引导和促进不足。
可喜的是,近几年,国内企业已尝试开展高安全等级产品的研发,部分软硬件产品通过了 EAL5+ 级测评,这说明企业对安全的重视程度不断增强,安全研发能力有所提高。接下来,需要产学研用各部门通力配合,不断提升我国信息技术产品的整体安全水平,全力保障国家网络安全。
刚才您提到,部分国内产品因参与国际市场竞争需要,申请并通过了国际 CC 测评,那么,测评中心是否也可以对国外企业产品开展测评,在测评流程上与国内企业是否存在区别?
张宝峰:习近平总书记在第三届中国国际进口博览会开幕式上发表主旨演讲时指出,“中国将秉持开放、合作、团结、共赢的信念,坚定不移全面扩大开放,让中国市场成为世界的市场、共享的市场、大家的市场,为国际社会注入更多正能量。”
测评中心成立以来,一直致力于网络信息安全测评事业的建设发展,严格依据标准,为国内外企业提供高质量的产品测评服务。
多年来,测评中心已与多家国外企业开展了良好合作,对送测的产品开展了 EAL 分级测评工作。早在十年前,三星公司的多款产品就通过了我们的 EAL4+ 级测评。无论国内外企业,测评中心均基于实验室认可质量体系,提供相同标准的测评服务,客观公正地反映测评结果。
我们热忱欢迎更多的国内外企业送测其优质产品,开展技术交流,共同推进产品技术能力和安全性提升,为网络空间安全做出相应的贡献。
刚才您提到,国外已有许多产品通过了EAL6 和 EAL7 级等更高级别的测评。对这种高级别的测评,企业是否需达到一定的能力要求才能申请?
张宝峰:前面谈到,通过 EAL6 或 EAL7 级测评,意味着产品将应用于高风险环境,保护高价值资产,用以对抗国家级攻击,要求更高、难度更大、检测更深。一个突出的要求,就是产品要经过半形式化甚至形式化验证设计和测试,即通过等价性验证、模型检验和定理证明等数学方法 ,完备地证明或验证产品功能需求是否得到满足,证明关键功能特征覆盖率是否达到 100%。此外,还必须进行安全模型分析、源代码级深度检测分析、高强度渗透测试等工作,要求企业产品具备极高的安全防护能力和技术能力,要求企业具备高水平的研发队伍和先进的研发测试装备,具备更加规范的研发管理流程和研发环境。
从测评要求和理念看,结构和功能越复杂的产品,在开展形式化和半形式化验证设计时,往往挑战更大。对于防护能力要求高但功能架构不太复杂的产品,反而更有机会挑战 EAL6、EAL7级测评,例如专用芯片、智能卡等。
值得一提的是,与软件开发不同,芯片的研制除了设计阶段,还需经过流片、封装等加工制造环节。一旦制造出来的芯片不符合要求,则需要重新流片,往往代价不菲,这就要求企业在芯片设计阶段严格把关、务求全面。基于多年测评实践和专项支持,测评中心具备了较好的高保障级测评基础,研究并形成了半形式化/形式化分析、算法分析、密码模块侧信道分析、电路侵入式分析等技术体系,自主研发了多个软硬件检测分析平台 , 在检测精度、检测效率和检测效果等方面具有一定的优势。
对于有测评意愿的芯片研发企业,我们可以提供前期咨询,帮助企业分析和选择适合的测评级别,减少不必要的后续损失。
测评周期一直是企业比较关注的问题。有企业反映,基于 CC 标准的测评周期会比较长,请问其原因是什么?我们有哪些举措帮助企业更快更好地通过测评?
张宝峰:国内外基于 CC 标准的测评周期较长,确实是企业非常关注的问题。多年实践表明,产品越复杂、安全等级越高,所需的测评周期就越长,主要原因如下:
第一,基于 CC 标准的安全性测评,覆盖面广,内在要求高。整个测评覆盖产品全生命周期,需要对产品的设计、实现、测试、交付过程、配置管理、研发环境、供应链等开展全面的评价。要达到标准要求,测评机构和企业都需较大工作量。国际上通过 EAL4+ 级测评的周期通常需要半年以上,通过 EAL5+ 级测评则需要 1 年以上。
第二,CC 重视测评证据,要求测评证据的完备性和有效性。CC 标准适用于具有安全功能的所有信息技术产品,其标准文本具有较高的技术特色和抽象概念。对于企业,特别是首次申请测评的企业,理解抽象概念存在一定难度,导致提供的测试证据不完备、不充分,往往消耗大量时间用于证据的补充和完善。
第三,CC 标准要求,必须完成对所有问题的整改和回归测试,这需要一定的周期。从测评实践看,绝大部分送测产品均存在不同程度的问题,尤其是首次送测的产品,有些甚至存在非常严重的漏洞和风险。问题的交互、确认和修改,也是导致测评周期较长的原因之一。
针对上述情况,我们开展了问题研究和流程优化,提早介入,加强与企业的沟通交流,为企业提供技术咨询和标准培训,减少企业反复修改的成本。此外,中心还构建了自动化测试平台、漏洞分析平台和源代码分析平台等工具,有效地提升了测试能力、提高了测试效率、缩短了测试时间。相信通过这些举措,将明显提升企业的测评体验。
通过您的介绍,让我们意识到高保障级测评的重要性,对其发展您还有什么建议?
