⽩话说CC-信息安全通⽤标准CC是什么?评估保障级EAL有是什么?如何获得信息安全认证证书
⽩话说CC--稍有点⼩复杂的CC介绍
⼩⿊:⼩⽩,⼩⽩听说了吗,中国⾦融认证中⼼(CFCA)信息安全实验室检测的⼀款芯⽚获得了EAL5+认证证书!
⼩⽩:听说啦,这可是⾏业内的⼤新闻呢。EAL5+级别可是CC体系中较⾼的评估保障级。以前咱们国家这个领域证书最多到EAL4+级别,现在终于有EAL5+的了,这可意味着国家在这个领域技术向着国际先进⽔平迈出了坚实的⼀步。
违停怎么处罚⼩⿊:嗯嗯,听起来蛮振奋⼈⼼。说到CC还挺迷糊的,有道是以史为鉴可以知兴替,要不你先给我讲讲CC的背景吧。
⼩⽩:可以说CC顺着商业全球化的“运”,终结了标准各⾃为政的时代。⾃打上世纪70年代信息时代的到来,信息产品得到了普遍且⼴泛的应⽤,安全问题也随之成为了焦点。但是安全往往很敏感,跟政治关系密切。所以在CC出现之前,每个国家各⾃为政制定⾃⼰的产品安全评估的标准。3个代表性的标准是1983年美国发布的TCSEC、1991年由英法德荷欧洲四国制定的ITSEC,以及1993年加⼤拿制定的CTCPEC。
匹空调是多少瓦
但是呢,分散的标准不利于全球化的商业活动。产品卖往不同国家,跨国企业不得不在各个国家分别进⾏认证。每个认证需要⼈⼒物⼒不说,这些认证还存在相同之处,企业还得重复劳动。此外,由于各个认证之间没有可⽐性,消费者在购买商品时需要花费⼤量时间去⽐较产品,这⽆形的增加消费者负担。有道是,天下⼤势合久必分,分久必合。终于⼤家坐不住了,在1993年,以美英为⾸的6国7集团决定联合制定⼀个通⽤标准Common Criteria,也就是CC,还成⽴了CC互认组织(CCRA)。
CC可厉害了!⾸先,CC适⽤于所有IT产品的检测,不管是硬件、软件还是固件,都能在同⼀个框架下评估;其次,CC融合了TCSEC、ITSEC、CTCPEC等标准,站在巨⼈肩膀上⼜超越了这些标准,更能适应信息技术的发展,这就为CC标准通⽤性提供了技术⽀撑;最厉害的是,CC评估结果在CCRA中互相认可。
CC⾃1995年建⽴以来,历经了多次演变。⽬前最新版是CC3.1版本,CC4.0版本正在修订中,预计2021年发布。20多年来,CC不改初⼼,⼀直朝着减少标准复杂性、适应新型产品需求,在保证安全性的同时降低评估成本⽅向发展。
⼩⿊:CC发展有点像秦始皇统⼀度量衡的意思呀。听着还挺有意思的,再说说,CC具体都包括啥内容呀?
⼩⽩:⽬前的CC3.1版本包含三个内容,第⼀部分简介和⼀般模型,描述了CC体系中所使⽤的基本概念以及对PP(保护轮廓)和ST(产品的安全⽬标)的评估要求。第⼆部分是安全功能要求(SFR),⽤标准化⽅式描述IT产品可以提供的安全功能的特征。第三部分是安全保障要求(SAR),定义了为保证IT产品安全功能实现的正确性,开发者和评估者所需要活动。听着有点抽象吧,先听个⼤概,具体细节我们以后再解释。
⼩⿊:哦,确实有点晕。那EAL5+是怎么回事,与CC三部分什么关系?
⼩⽩:EAL是评估保障级的缩写啦。把保障级看作置信度就好啦,信任的对象是:产品已经正确实现了其声称的安全措施。保障级的⾼低这样来理解吧,越⾼的保障级说明开发过程越规范化,送检⽅给评估者提供越多信息,评估的内容也越丰富,获证之后消费者就会越放⼼使⽤这款产品。⼀⾔以蔽之,通过⾼保障级的产品能让消费者更相信这款产品的确实现了其所声称的安全措施。
再多说⼀句吧,CC预定义了7个保障级,每个保障级由⼀些安全保障要求组成。满⾜了保障级相应的安全保障要求,就达到了相应的保障级。⾼保障级从深度和⼴度两⽅⾯扩展低保障级,以此增加消费者信⼼。举个⼩栗⼦,EAL5+在EAL4+基础上提⾼了要求,开发者需要⽤半形式化描述设计⽂档。
⼩⿊:那CC的评估框架是啥呢? 为啥CC适⽤于所有IT产品呢?
⼩⽩:CC之所以适⽤所有IT产品,因为CC到了IT产品共通点,⽆论什么产品形式,最终的⽬的是保护IT产品内部的资产,⽐如⽤户数据是芯⽚所保护的资产之⼀。
因此CC框架要求产品开发者从资产出发,明确IT产品保护的资产,分析资产所有的安全问题(主要是来⾃外部的威胁,例如侧信道攻击导致信息泄露),然后根据安全问题提出保护资产的安全措施。然后CC从两个⽅向评估安全措施,⼀个是安全措施的充分性,即正确运⾏所有的安全措施可以抵御对资产的威胁;另⼀⽅⾯是确保所声称的安全措施实现的正确性。
充分性的评估,可以分析产品的安全⽬标中安全功能要求是否能解决所有的安全问题。正确性评估则需要根据安全保障要求定义的活动检查产品从研发、测试到交付过程中的各个环节,保证产品实现的正确性,避免在各个环节引⼊脆弱性。评估活动包括测试产品、检测产品的各种设计表⽰,检查产品开发环境的物理安全等。
教师节的内容简短⼩⿊:说⽩了就是CC关注安全措施的正确性和充分性,SFR负责充分性,SAR负责正确性呗?抖音怎么加好友
⼩⽩:机智~,⽆图⽆真相,看图:
⼩⿊:前⾯说到评估需要每个产品有⼀个安全⽬标,反映其安全措施是否充分是吧?其实⼀类产品会⾯对同样的安全问题,每个产品都重复定义⼀遍好⿇烦呀。如果两个相同类型的产品定义了不同的资产、安全问题怎么评估呢?对于这些问题CC有解决办法吗?
⼩⽩:没错,每个产品都需要有⼀个安全⽬标,因为产品的安全⽬标描述产品具体实现的安全功能,与实现紧密相连。对于⼀类产品的评估⽅法,CC的解决办法是⼀堆业界专家坐下来,对于某个类型产品定制⼀个PP(Protection Profile)。由PP定义此类产品需要保护的资产,所⾯临的安全问题,以及与实现⽆关的安全需求。因为业界专家共同编的PP嘛,所以定义的内容还是蛮有普适性的。⽬前国际上评估芯⽚产品⽤的是PP0084。简单说,产品的安全⽬标约等于 pp内容+实现相关内容,这就完美回避了你说的同类型产品定义了不同资产这种问题啦。说这么多,其实都可以理解为PP可以作为该类产品的检测依据啦。
红外线水平仪⼩⿊:对了,为啥⽼说国际CC和国内CC呢?他俩有啥区别?
⼩⽩:之前也说过,CC的评估结果在CCRA中互认,但是中国并不包括在CCRA之内。所以国内专家就参考ISO15408(也就是CC的国际化版)框架编写,同时加⼊了⼀些本⼟化的部分,就成为了国内的CC。本次EAL5+认证检测的依据GB/T 22186-2016也是参考了国际CC中芯⽚类PP,PP0035(PP0084的前⼀版)编写⽽成。是不是颇有点本是同根⽣的意味呢。
⼩⿊:CC标准不错,那怎么保证标准的执⾏呢?谁去监督和检查呢?国内CC怎么认证的呢?
⼩⽩:好问题,国内外CC都使⽤的认证+检测的⽅式,来保证评估结果的客观性的。认证机构会定义⼀套专门的实施规则指导CC评估的实施。在国内,CCRC是IT产品信息安全认证中⼼,能够为通过认证的产品发证。CCRC的实施规则中采⽤国际最通⽤的认证模式:型式试验+⼯⼚检查+获证监督这种模式。
认证参与者主要包括认证机构、送检企业和检测机构三⽅。送检企业提交产品资料,检测机构实施检测,认证机构对检测机构的检测活动进⾏监督和管理,审核检测机构出具的报告,审核通过后为送检企业颁发认证证书。具体问题可以咨询CFCA信息安全实验室,他们可是CCRC授权的检测实验室。
⼩⿊::今天讲的内容太多了,我要回去消化⼀下,下次再和你聊啦
⼩⽩:好的。See you
>关于时间的句子
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论