信息安全产品分级评估业务白皮书

国家信息安全测评信息安全产品分级评估业务白皮书版本：2.0©版权2008—中国信息安全测评中心二〇〇八年八月目录1．简介............................................................................................................11.1引言..................................................................................................11.2目的和意义.......................................................................................11.3业务范围...........................................................................................12．分级评估业务介绍.......................................................................................22.1业务特点.............................................................................................22.1.1国家权威，国际认可.................................................................22.1.2公平、公正、保密.....................................................................22.1.3技术成熟...................................................................................22.2业务需求.............................................................................................22.2.1对用户.......................................................................................22.2.2对企业.......................................................................................32.2.3对政府.......................................................................................32.3依据标准.............................................................................................32.4业务实施.............................................................................................32.4.1文档需求...................................................................................32.4.2业务流程...................................................................................52.4.3业务接口...................................................................................72.4.4评估内容...................................................................................72.4.5人员及时间................................................................................92.4.6资费标准...................................................................................92.4.7业务监督...................................................................................92.5业务输出.............................................................................................92.6FAQ..................................................................................................10-I-1．简介1.1引言目前，众多组织机构开展了针对安全产品的多样化的测评业务，这些测评业务为人们了解产品的功能特点及实现方式提供了良好的途径。然而，自身功能实现的好坏是否足以衡量一个产品的质量，为用户提供放心的使用环境呢？纵观国内外信息安全界，安全事件屡有发生，产品商业机密遭到泄露，这给用户带来了极大的危害。显然，产品设计是否全面、是否提供了足够的保密措施、保障文档是否完善，都会对用户的使用起到至关重要的作用。信息安全产品分级评估是指依据国家标准GB/T18336—2001，综合考虑产品的预期应用环境，通过对信息安全产品的整个生命周期，包括技术，开发、管理，交付等部分进行全面的安全性评估和测试，验证产品的保密性、完整性和可用性程度，确定产品对其预期应用而言是否足够安全，以及在使用中隐含的安全风险是否可以容忍，产品是否满足相应评估保证级的要求。1.2目的和意义信息安全产品分级评估的目的是促进高质量、安全和可控的IT产品的开发，分级评估的具体的目的和意义包括：1）对信息安全产品依据国家标准进行分级评估；2）判定产品是否满足标准中的安全功能和安全保证要求；3）有助于在涉及国家安全的信息安全领域中加强产品的安全性和可控性，维护国家和用户的安全利益；4）促进中国信息安全市场的优胜劣汰机制的建立和完善，规范市场。1.3业务范围具有信息技术安全功能的产品，如：防火墙，IDS/IPS、智能卡、网闸、桌面控制、审计等。第1页，共10页2．分级评估业务介绍2.1业务特点2.1.1国家权威，国际认可中心多年来依据国家授权对外开展信息安全产品测评业务，是代表国家对信息安全产品的最高认可，出具的测评报告具有极高的权威性。中心依据国标GB/T18336—2001开展分级评估业务，该标准等同采用国际标准ISO/IEC15408:1999，所采用的评估方法均为国际通用方法，具备强大的国际认可基础。2.1.2公平、公正、保密中心是第三方的独立测评机构，不代表任何商业组织的利益，出具的测评报告以事实为依据，以公平、公正为准则，为最终客户的产品选购提供了良好的依据。我中心有成熟和完善的代码管理控制机制，可对厂家送测的产品源代码进行保密处理，确保不外泄。2.1.3技术成熟多年来，中心是国内唯一开展产品分级评估业务的专业职能机构。长期以来从事信息安全产品分级评估工作，使中心拥有一支专业的评估队伍，研发出丰富的评估技术手段，在承担国内标准的制定工作的同时，了解国内外对信息安全产品的最新要求及实时动态，其成熟的技术代表了业内领先水平。2.2业务需求统观国际发展趋势，国际知名企业，如微软、IBM等陆续加入到分级评估的队伍中。分级评估涉及的产品领域也在不断壮大，防火墙、IDS、网络交换机、操作系统等纷纷参与到分级评估的业务中。分级评估是促进国内企业的产品迈向国际化的重要一步。2.2.1对用户不同的应用环境要求信息技术产品所提供的安全性保证程度不同，因为不同的使用环境面临的安全威胁不同，所保护的信息资产的价值也有大有小。分级评估业务可以为最终用户全面判断产品的安全性好坏提供依据，用户可以结合其对产品的预期使用环境，全方位的衡量该产品是否能够满足自身需求。第2页，共10页同时，评估结果可以帮助用户确定信息安全产品对其预期应用环境而言是否足够安全，以及考量在使用中隐藏的安全风险是否可以被容忍。2.2.2对企业分级评估对产品需求、设计、开发、测试等整个生命周期均有严格的要求，企业通过分级评估可以提升产品安全设计水平。分级评估从企业策略、开发环境、开发过程的控制、产品的安全交付等方面作出了要求，能够规范内部整体研发流程，从各个方面杜绝漏洞存在及泄密事件发生的可能。分级评估是国际化的需要，通过分级评估的产品在我国入世后占据绝对的竞争优势。2.2.3对政府通过分级评估，可以了解国内企业生产研发整体水平，加强行业监管，提升全行业产品整体水平，使整体信息安全产业尽快与国际接轨。2.3依据标准此项业务的依据标准：zGB/T18336—2001《信息技术安全技术信息技术安全性评估准则》同时，参考的标准包括：z《通用评估方法》z产品相应保证级的安全技术要求z产品相关国家和国际标准2.4业务实施2.4.1文档需求根据业务内容的要求，申请方需提交的资料包括：z分级评估申请书z分级文档（注：见表1中的文档）z实现安全功能的源代码（注：EAL4以上需要此项）第3页，共10页表1各级所需文档（EAL1-EAL5）第4页，共10页2.4.2业务流程图1业务流程图第5页，共10页信息安全产品分级评估流程主要分为受理阶段、预评估阶段、评估阶段和注册阶段共四个阶段：1）受理阶段申请方向中心提出分级评估申请。由受理部门对申请方提交的申请书进行申请审查。通过审查后，将进入下一阶段。如果未通过审查，受理部门会根据提交资料的实际情况提出书面反馈意见，申请方应根据反馈意见进行补充或修改，并于5个工作日内，提交修改后资料。逾期未提交，将被认为自动放弃本次评估申请。2）预评估阶段受理完成后，相关文档将被转给评估部门，评估部门对文档资料进行技术审查，来判定提交的的资料内容是否符合要求。如果未通过审查，评估部门会根据提交资料的实际情况提出书面反馈意见，申请方应根据反馈意见进行补充或修改，并于10个工作日内，提交修改后的文档。逾期未提交，将被认为自动放弃本次评估。通过审查后，评估部门根据申请的级别制定评估方案。3）评估阶段评估方案制定完成后，评估部门通知申请方评估工作正式启动，并将需申请方配合的相关事宜一并告知，申请方应按评估进度提交符合测试部门要求的产品。评估组人员根据评估方案，严格遵照评估进度开展评估工作，必要时可要求申请方提供技术支持，及配合完成有关操作。评估中出现的属于申请方的问题，评估组出具观察报告交由申请方签字确认，如果问题极为严重，必要时可终止评估活动。评估组人员根据各评估内容的评估结果，进行综合评定，并出具评估技术报告，该报告将作为产品是否通过分级评估的直接依据。报告和评估记录交由评审组完成审核，评估组人员根据审核意见对报告和记录进行修改，并最终由评审组进行确认，通过后进入下一阶段。4）注册阶段通过评估的产品，本中心对其进行注册及颁发证书，并将结果公布于中心的网站和杂志。证书有效期为3年，在证书有效期届满前3个月内，由申请方向中心提出分级评估维持申请。通