信息技術(shù)產(chǎn)品作為關(guān)鍵信息基礎(chǔ)設(shè)施的基本組成單元,其安全性高低是決定關(guān)鍵信息基礎(chǔ)設(shè)施抗攻擊能力強弱的重要因素,。隨著國家網(wǎng)絡(luò)強國建設(shè)的推進,,高安全等級產(chǎn)品及其測評越來越受到業(yè)界的重視。高安全等級測評是什么?怎么做?有何意義?中國信息安全測評中心(以下簡稱“測評中心”)信息安全實驗室主任張寶峰接受了我刊采訪,,就以上業(yè)界關(guān)心的問題進行了回答。
Q
測評中心是國內(nèi)信息技術(shù)產(chǎn)品測評領(lǐng)域的重要實踐者,,近期有企業(yè)的產(chǎn)品通過了貴中心的 EAL5+ 級測評,,請您介紹一下什么是 EAL5+ 級?
張寶峰:近期,,確有兩款產(chǎn)品通過了我中心的 EAL5+ 級測評,,分別是元心信息科技集團有限公司開發(fā)的“元心安全微內(nèi)核操作系統(tǒng) V2.0”和合肥大唐存儲科技有限公司研制的“存儲控制器芯片 DSS510”。下面,,我介紹一下 EAL 的基本概念,。
EAL(Evaluation Assurance Level),即評估保障級,,是一種度量信息技術(shù)產(chǎn)品安全保障能力的尺度,,此概念源自國際最廣泛采用的《信息技術(shù)安全評估準(zhǔn)則》(The Common Criteria forInformation Technology Security Evaluation), 簡稱 CC 標(biāo)準(zhǔn) ,。
該標(biāo)準(zhǔn)將信息技術(shù)產(chǎn)品的安全保障程度分為七個級別:EAL1 至 EAL7,。級別越高,其安全保障能力或安全功能正確實現(xiàn)的可信度就越高,,產(chǎn)品就能對抗更高級別的安全威脅,,適用于更高安全風(fēng)險環(huán)境。
EAL1-EAL2 可用于保護低價值的資產(chǎn),,抵御無意或低水平攻擊者的攻擊,。
EAL3-EAL4 可用于保護中等價值的資產(chǎn),抵御有組織團體的攻擊,。
EAL5 級可用于保護高價值的資產(chǎn),,抵御有組織團體的攻擊。
EAL6 級和 EAL7 級,,可用于保護高價值的資產(chǎn),,抵御國家級組織的攻擊。
本次兩家企業(yè)所通過的 EAL5+ 級,,又稱為“半形式化設(shè)計和測試級”,。產(chǎn)品通過該安全保障級,表明應(yīng)能抵御有組織團體的攻擊,,意味著開發(fā)者在產(chǎn)品設(shè)計,、研發(fā)、測試,、交付和運行等各階段,,要基于嚴格的商業(yè)開發(fā)實踐,獲得最大限度的安全保障,,并對產(chǎn)品的關(guān)鍵設(shè)計環(huán)節(jié)開展半形式化的分析和論證,。EAL5+ 代表 EAL5 增強級,是指在滿足 EAL5 級所有保障要求的基礎(chǔ)上,,對特定的保障要求進行了增加或增強,。
Q
原來 EAL5+ 級的概念來自于 CC 標(biāo)準(zhǔn)。這個標(biāo)準(zhǔn)經(jīng)常聽業(yè)內(nèi)人士提起,,請您再介紹一下,,CC 標(biāo)準(zhǔn)在國內(nèi)外的發(fā)展和應(yīng)用情況。
張寶峰:CC 標(biāo)準(zhǔn)始于 1993 年 6 月,,并在1999 年被采納為國際標(biāo)準(zhǔn) ISO/IEC 15408,, 廣泛應(yīng)用于信息技術(shù)領(lǐng)域的安全性評估。國際上還成立了 CC 互認組織 CCRA(Common CriteriaRecognition Arrangement),,將 CC 作為產(chǎn)品測評的基礎(chǔ)標(biāo)準(zhǔn),,要求 CCRA 成員國對測評結(jié)果相互承認。截至目前,,共有 31 個 CCRA 成員國,,獲國際 CC 測評認證的信息技術(shù)產(chǎn)品多達 5000 余款。
2001 年,,測評中心牽頭,,將 CC 標(biāo)準(zhǔn)轉(zhuǎn)化為國家標(biāo)準(zhǔn) GB/T 18336《信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則》,并持續(xù)跟蹤標(biāo)準(zhǔn)更新,,當(dāng)前正開展 CC v4.0 的國家標(biāo)準(zhǔn)修訂,。二十年來,我國基于 GB/T 18336 標(biāo)準(zhǔn)開發(fā)了一系列配套標(biāo)準(zhǔn),。據(jù)不完全統(tǒng)計,,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會組織編制和審核通過的國家標(biāo)準(zhǔn)中,,約 40 項標(biāo)準(zhǔn)將 GB/T18336 作為編制依據(jù)或參考,直接應(yīng)用于主流信息技術(shù)產(chǎn)品的安全設(shè)計,、開發(fā),、測評認證和采購等環(huán)節(jié)。以測評中心為例,,依據(jù) GB/T18336 和相關(guān)配套國家標(biāo)準(zhǔn),,已完成數(shù)百家企業(yè)、2000 余款產(chǎn)品的 EAL 分級測評,,發(fā)現(xiàn)了大量產(chǎn)品中隱含的漏洞和風(fēng)險,,協(xié)助企業(yè)完成整改,提升了產(chǎn)品的安全性,,為產(chǎn)業(yè)界的安全和高質(zhì)量發(fā)展做出貢獻,,為網(wǎng)絡(luò)強國和數(shù)字中國建設(shè)發(fā)揮重要作用。
同時,,測評中心基于標(biāo)準(zhǔn)研究和測評實踐,,多次提出完善 CC 標(biāo)準(zhǔn)的觀點和理念,得到國際同行的關(guān)注和認可,。自 2017 年起,,測評中心石竑松博士作為國內(nèi)唯一受邀專家,加入到國際 CC標(biāo)準(zhǔn)編制組,,第一時間參與技術(shù)研究和標(biāo)準(zhǔn)編制,,為 CC 標(biāo)準(zhǔn)的發(fā)展和應(yīng)用做出重要貢獻;同年,,基于 CC 理念,,測評中心在 ISO/IEC JTC1/SC27WG3 工作組,牽頭立項國際標(biāo)準(zhǔn)《量子密鑰分發(fā)的安全要求,、測試和評估方法》,;2019 年,測評中心陳佳哲博士受邀參與國際重要標(biāo)準(zhǔn)《密碼模塊非侵入式攻擊緩解技術(shù)測試方法》的編制工作,。
當(dāng)然,,國內(nèi)還有許多測評認證機構(gòu)、科研院所和產(chǎn)業(yè)單位,,也在不同程度地開展 CC 標(biāo)準(zhǔn)研究和實踐,,對標(biāo)準(zhǔn)的發(fā)展和應(yīng)用做出許多貢獻,在此就不一一羅列,。
Q
顯然,,無論在 CC 標(biāo)準(zhǔn)研究還是實踐方面,國內(nèi)已經(jīng)開展了大量工作,。但是,,據(jù)了解,,國際上獲得 EAL5 級及以上級別測評認證的產(chǎn)品數(shù)量遠高于國內(nèi),請問原因是什么,?
張寶峰:確實存在此情況,。近 5 年國內(nèi)外的CC 測評數(shù)據(jù)顯示,國際上獲 EAL5 級測評認證的產(chǎn)品近 400 款,,獲 EAL6 級和 EAL7 級測評認證的產(chǎn)品 130 余款,;而國內(nèi)產(chǎn)品主要集中在 EAL3和 EAL4 級別,,在國內(nèi)通過 EAL5 級測評的產(chǎn)品數(shù)量僅是個位數(shù),,通過 EAL6 級和 EAL7 級的產(chǎn)品數(shù)量為 0。為打入國際市場,,極少數(shù)國內(nèi)企業(yè)的產(chǎn)品通過了國外檢測機構(gòu)的測評,,但也主要集中在 EAL4+ 級及以下級別??傮w來看,,國內(nèi)通過高保障級測評的產(chǎn)品數(shù)量與國外相比差距巨大。
究其原因,,我認為主要有以下三方面的因素,。一是國外信息技術(shù)發(fā)展早、起點高,,產(chǎn)業(yè)界和用戶對高安全等級產(chǎn)品更加重視,。二是高保障級測評要求高、難度大,、投入多,,涉及研發(fā)環(huán)境可控、源代碼級檢測,、高強度滲透測試,、供應(yīng)鏈安全評估等內(nèi)容,給研發(fā)企業(yè)帶來較大挑戰(zhàn),。三是國內(nèi)僅有少數(shù)測評機構(gòu)能夠開展高保障級測評,,對產(chǎn)業(yè)界的引導(dǎo)和促進不足。
可喜的是,,近幾年,,國內(nèi)企業(yè)已嘗試開展高安全等級產(chǎn)品的研發(fā),部分軟硬件產(chǎn)品通過了 EAL5+ 級測評,,這說明企業(yè)對安全的重視程度不斷增強,,安全研發(fā)能力有所提高。接下來,,需要產(chǎn)學(xué)研用各部門通力配合,,不斷提升我國信息技術(shù)產(chǎn)品的整體安全水平,,全力保障國家網(wǎng)絡(luò)安全。
Q
剛才您提到,,部分國內(nèi)產(chǎn)品因參與國際市場競爭需要,,申請并通過了國際 CC 測評,那么,,測評中心是否也可以對國外企業(yè)產(chǎn)品開展測評,,在測評流程上與國內(nèi)企業(yè)是否存在區(qū)別?
張寶峰:習(xí)近平總書記在第三屆中國國際進口博覽會開幕式上發(fā)表主旨演講時指出,,“中國將秉持開放,、合作、團結(jié),、共贏的信念,,堅定不移全面擴大開放,讓中國市場成為世界的市場,、共享的市場,、大家的市場,為國際社會注入更多正能量,?!?/p>
測評中心成立以來,一直致力于網(wǎng)絡(luò)信息安全測評事業(yè)的建設(shè)發(fā)展,,嚴格依據(jù)標(biāo)準(zhǔn),,為國內(nèi)外企業(yè)提供高質(zhì)量的產(chǎn)品測評服務(wù)。
多年來,,測評中心已與多家國外企業(yè)開展了良好合作,,對送測的產(chǎn)品開展了 EAL 分級測評工作。早在十年前,,三星公司的多款產(chǎn)品就通過了我們的 EAL4+ 級測評,。無論國內(nèi)外企業(yè),測評中心均基于實驗室認可質(zhì)量體系,,提供相同標(biāo)準(zhǔn)的測評服務(wù),,客觀公正地反映測評結(jié)果。
我們熱忱歡迎更多的國內(nèi)外企業(yè)送測其優(yōu)質(zhì)產(chǎn)品,,開展技術(shù)交流,,共同推進產(chǎn)品技術(shù)能力和安全性提升,為網(wǎng)絡(luò)空間安全做出相應(yīng)的貢獻,。
Q
剛才您提到,,國外已有許多產(chǎn)品通過了EAL6 和 EAL7 級等更高級別的測評。對這種高級別的測評,企業(yè)是否需達到一定的能力要求才能申請,?
張寶峰:前面談到,,通過 EAL6 或 EAL7 級測評,意味著產(chǎn)品將應(yīng)用于高風(fēng)險環(huán)境,,保護高價值資產(chǎn),,用以對抗國家級攻擊,要求更高,、難度更大,、檢測更深。一個突出的要求,,就是產(chǎn)品要經(jīng)過半形式化甚至形式化驗證設(shè)計和測試,,即通過等價性驗證、模型檢驗和定理證明等數(shù)學(xué)方法 ,完備地證明或驗證產(chǎn)品功能需求是否得到滿足,,證明關(guān)鍵功能特征覆蓋率是否達到 100%,。此外,,還必須進行安全模型分析,、源代碼級深度檢測分析、高強度滲透測試等工作,,要求企業(yè)產(chǎn)品具備極高的安全防護能力和技術(shù)能力,,要求企業(yè)具備高水平的研發(fā)隊伍和先進的研發(fā)測試裝備,具備更加規(guī)范的研發(fā)管理流程和研發(fā)環(huán)境,。
從測評要求和理念看,,結(jié)構(gòu)和功能越復(fù)雜的產(chǎn)品,在開展形式化和半形式化驗證設(shè)計時,,往往挑戰(zhàn)更大,。對于防護能力要求高但功能架構(gòu)不太復(fù)雜的產(chǎn)品,反而更有機會挑戰(zhàn) EAL6,、EAL7級測評,,例如專用芯片、智能卡等,。
值得一提的是,,與軟件開發(fā)不同,芯片的研制除了設(shè)計階段,,還需經(jīng)過流片,、封裝等加工制造環(huán)節(jié)。一旦制造出來的芯片不符合要求,,則需要重新流片,,往往代價不菲,這就要求企業(yè)在芯片設(shè)計階段嚴格把關(guān)、務(wù)求全面,?;诙嗄隃y評實踐和專項支持,測評中心具備了較好的高保障級測評基礎(chǔ),,研究并形成了半形式化/形式化分析,、算法分析、密碼模塊側(cè)信道分析,、電路侵入式分析等技術(shù)體系,,自主研發(fā)了多個軟硬件檢測分析平臺 , 在檢測精度、檢測效率和檢測效果等方面具有一定的優(yōu)勢,。
對于有測評意愿的芯片研發(fā)企業(yè),,我們可以提供前期咨詢,幫助企業(yè)分析和選擇適合的測評級別,,減少不必要的后續(xù)損失,。
Q
測評周期一直是企業(yè)比較關(guān)注的問題。有企業(yè)反映,,基于 CC 標(biāo)準(zhǔn)的測評周期會比較長,,請問其原因是什么?我們有哪些舉措幫助企業(yè)更快更好地通過測評,?
張寶峰:國內(nèi)外基于 CC 標(biāo)準(zhǔn)的測評周期較長,,確實是企業(yè)非常關(guān)注的問題。多年實踐表明,,產(chǎn)品越復(fù)雜,、安全等級越高,所需的測評周期就越長,,主要原因如下:
第一,,基于 CC 標(biāo)準(zhǔn)的安全性測評,覆蓋面廣,,內(nèi)在要求高,。整個測評覆蓋產(chǎn)品全生命周期,需要對產(chǎn)品的設(shè)計,、實現(xiàn),、測試、交付過程,、配置管理,、研發(fā)環(huán)境、供應(yīng)鏈等開展全面的評價,。要達到標(biāo)準(zhǔn)要求,,測評機構(gòu)和企業(yè)都需較大工作量,。國際上通過 EAL4+ 級測評的周期通常需要半年以上,通過 EAL5+ 級測評則需要 1 年以上,。
第二,,CC 重視測評證據(jù),要求測評證據(jù)的完備性和有效性,。CC 標(biāo)準(zhǔn)適用于具有安全功能的所有信息技術(shù)產(chǎn)品,,其標(biāo)準(zhǔn)文本具有較高的技術(shù)特色和抽象概念。對于企業(yè),,特別是首次申請測評的企業(yè),,理解抽象概念存在一定難度,導(dǎo)致提供的測試證據(jù)不完備,、不充分,,往往消耗大量時間用于證據(jù)的補充和完善。
第三,,CC 標(biāo)準(zhǔn)要求,,必須完成對所有問題的整改和回歸測試,這需要一定的周期,。從測評實踐看,,絕大部分送測產(chǎn)品均存在不同程度的問題,尤其是首次送測的產(chǎn)品,,有些甚至存在非常嚴重的漏洞和風(fēng)險,。問題的交互,、確認和修改,,也是導(dǎo)致測評周期較長的原因之一。
針對上述情況,,我們開展了問題研究和流程優(yōu)化,,提早介入,加強與企業(yè)的溝通交流,,為企業(yè)提供技術(shù)咨詢和標(biāo)準(zhǔn)培訓(xùn),,減少企業(yè)反復(fù)修改的成本。此外,,中心還構(gòu)建了自動化測試平臺,、漏洞分析平臺和源代碼分析平臺等工具,有效地提升了測試能力,、提高了測試效率,、縮短了測試時間。相信通過這些舉措,,將明顯提升企業(yè)的測評體驗,。
Q
通過您的介紹,讓我們意識到高保障級測評的重要性,對其發(fā)展您還有什么建議,?
張寶峰:黨中央和習(xí)近平總書記高度重視網(wǎng)絡(luò)安全工作,,國家“十四五”規(guī)劃綱要明確提出,統(tǒng)籌發(fā)展和安全,,建設(shè)更高水平的平安中國,,全面加強網(wǎng)絡(luò)安全保障體系和能力建設(shè)。國務(wù)院近期印發(fā)的《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》中也提出,,著力強化數(shù)字經(jīng)濟安全體系,,增強網(wǎng)絡(luò)安全防護能力,加強網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè),,推廣使用安全可靠的信息產(chǎn)品,、服務(wù)和解決方案。
基于 CC 標(biāo)準(zhǔn)的測評,,特別是高保障級測評,,不僅能夠讓企業(yè)持續(xù)改進其產(chǎn)品的安全性,提升產(chǎn)品質(zhì)量,,也能為產(chǎn)品使用者提供更多的安全保障和信心,。從國家關(guān)鍵信息基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)的建設(shè)運營部門,到各行業(yè)和企業(yè)信息系統(tǒng)的管理者,,肩負著構(gòu)建更加安全可控的網(wǎng)絡(luò)設(shè)施的任務(wù),,使用高安全、高質(zhì)量的信息技術(shù)產(chǎn)品是其中重要一環(huán),。鑒于目前國內(nèi)高安全等級產(chǎn)品的現(xiàn)狀,,我個人有以下幾點建議。
加強高安全等級產(chǎn)品使用力度,,進一步筑牢關(guān)鍵信息基礎(chǔ)設(shè)施安全防線,。在關(guān)鍵信息基礎(chǔ)設(shè)施后續(xù)建設(shè)過程中,為保護高價值資產(chǎn),,抵御有組織團體和國家級網(wǎng)絡(luò)攻擊,,可在高風(fēng)險環(huán)境中逐步推進高安全等級產(chǎn)品的部署和應(yīng)用,以政策需求引導(dǎo)產(chǎn)業(yè)發(fā)展,,如在核心重要領(lǐng)域采購的關(guān)鍵產(chǎn)品,,盡可能達到 EAL5 級及以上。
加強產(chǎn)業(yè)政策引導(dǎo),,進一步加大優(yōu)質(zhì)數(shù)字資源供給,。在產(chǎn)業(yè)層面,出臺鼓勵政策,,引導(dǎo)企業(yè)加大資源投入,,加強企業(yè)高安全等級產(chǎn)品的研發(fā)能力,,加快關(guān)鍵核心技術(shù)自主創(chuàng)新,提升產(chǎn)品的國際競爭力,,進一步提高我國網(wǎng)絡(luò)空間安全防御水平,,為我國數(shù)字經(jīng)濟高速發(fā)展保駕護航。
加強網(wǎng)絡(luò)空間國際交流合作,,進一步貢獻中國智慧,。網(wǎng)絡(luò)空間是人類的共同家園,網(wǎng)絡(luò)安全也是各國面臨的共同挑戰(zhàn),。建議加強國際技術(shù)交流與合作,,積極參與國際標(biāo)準(zhǔn)和國際規(guī)則的研究制定,共同促進新技術(shù)新應(yīng)用健康發(fā)展,,及時提出中國方案,,發(fā)出中國聲音,攜手構(gòu)建網(wǎng)絡(luò)空間命運共同體,。
