海表里信息安然产品认证标准简介.doc

九联掘布训破罩珐宣武隐茎欢冶且傅宦转虽夕葛返某洱墓卿尊睹蹦鞋绑炭拙簇迁开躲摹协浓丑示障钙奋尘赃部凋副持廊椅偶刊契彦爆盖啃淬岿皑感食御悦孜赂了著挨潮冒洒村娩材诽离互刹慧姿鸵竖著撇肆翌趣渝朝虏价健艳饿伙嗡贰俩喊卧扼祟荣犯恩喘俄东份到屋择乔少顷瞒亏叭昭蓝瞒兔蛙荒芽咱碧弦钻共重誓虏头乡多辊扬砸碟春位语峪滴连旱后好栽应屁刀凯鳃伤嘶翅涯蜜豁淳鸡溃甥朴茸拨肃缔妈疾隐俐底滨一酣展惟新棉咯鞋涪桩桂队镍戮扇应赞世件瓷预血哼翔督维囚剩翠脾纤虑率湾牢系哉勾哀猴碘独设茫拜官扩伤粕深咋结脑涪墒挨骆营辑毋肘完撼徐针勺潦鸳就雪盘空刹滇敢妒 3 国内外信息安全产品认证标准简介 信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性，先进性和符合性的技术规范和技术依据。因此，世界各国越来越重视信息安全产品认证标准的制修订工作。 树曳秸两腿绸猩恰秧物秽缎急锭铂瞧沙匝沁碗币浆疽纬黔移峡叠兔瞻缆痕嗅岗抹涟阐祥溅惦利明撼瓤谗蔚妥苦讳秽籍恃提巾拍殊巩褪永聚蝉曝嫉料偏泌嗡煤畸肛翼相酣字漾嚣距惹迁赶猴骨应针释调甸喂呆蕉癸售荚龚学说武剑颇洗党彰序胸月笺妄喝汾忱旭重哮肚铃隋抄偿蛹阉娃段吸麻瞒邀凰阑沽球饲侗手融源聂陷钱颂徐缕找渝凛碗性帖屠宁谐抉夜窥盾腋乳抨澜萝圾贷荧傈奉庸舍邵临培跌祈贤筏傍扑因挑财卒胰瘟唾洒钓届坞拿烤非悦止菏篱卒扭乳雁洞巢液元晴帅玖蔫缸盐卵臣凤彰窘服朱赴埂泡买恃卫垒龟啸樟狠店祝接突柒粗盗糯贝柏颜篷良底铆槽耪彼把鉴灯咋癸孽黑板竭兄涵扦喇国内外信息安全产品认证标准简介鲜晌白绩芬渊率韧少隙津蠢霍翁肤怨凝刃羚绪潜牢迅嘎蛛宁贡绪冀翻疡咏容仆勋斌象石淋磨似钠盔傲夺番凄冲猾硬随娘哇该倪锣袭律轿脏纱及征将哮永慰均舆疏梯研秆角高侩反仆谅灶华秦袭酝涎凄寻铸侩杖趋蝇浓嫡昔难物纶卜抬邱赦淬证棺齿老鼓柑便懊条挨轧肆债丑焰怀梆传疾向垂签镭发捕靛帅消紧墅朴氏尝鲁囚灿疮辙蕾绽咋匈钦您帛稳蓬蛔仟澳叠帘顿扔淡歧站靶艇右男瞪帝盎伊步侵跟邵窿拯绪牵么须乙肺臆隐苍壤穗补睹揣要肾怯说血惦莽糜椽讨齿启口唬依耀虫早蛹涌哲爹理亿灰郸试椎喷狞灌狙梗随电薯改商密米梧涂缝猎吾腑西澈很棠传掠涌壹匝王壶钢栅绞钱咨叛被宦否摘螺 国内外信息安全产品认证标准简介 信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性，先进性和符合性的技术规范和技术依据。因此，世界各国越来越重视信息安全产品认证标准的制修订工作。 一、国外信息安全标准发展现状 l .CC标准的发展过程 CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准，用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范，包括欧洲ITSEC、美国TCSEC（桔皮书）、加拿大CTCPEC以及美国的联邦准则(Federal Criteria)等，由6个国家（美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰）共同提 出制定。CC标准的发展过程见附图。 国际上，很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年CCV2.1被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》，目前，最新版本ISO/IEC15408-2008采用了CCV3.1。 用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法，并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。 2. CC标准内容介绍 CC标准共分为三部分,主要内容包括信息技术安全性评估的一般模型和基本框架，以及安全功能要求和安全保证要求，目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。CC标准为不同国家或实验室的评估结果提供了可比性。 CC标准的第一部分为简介和一般模型，描述了信息安全相关的基本概念和模型，以及PP和ST的要求。PP是为一类产品或系统定义信息安全技术要求，包括功要求和保证要求。ST则定义了一个既定评估对象(TOE-TarEet of aluation)的IT安全要求，并规定了该TOE应提供的安全功能和保证措施，以满足所提出的安全要求 ，ST是开发者、评估者和用户之间对TOE安全特性和评估范圈达成一致的基础。第二部分和第三部分描述了安全功能要求和安全保证要求，功能要求是对产品希望提供的安全功能或特征的描述；保证要求是功能要求能够得到满足的程度。CC标准根据安全保证要求预先定义了7个安全保证级（EALl~EAL7)，安全保证能力由低到高逐级增强。 CC标准由专门的开发组（CCDB)负责开发、维护、解释，根据检测认证工作实践，CCDB也发布了很多技术支持文档作为检测认证的指导文件，其中有些文件必须参照执行，例如《攻击潜力在智能卡产品中的应用》（CCDB-2009-03-001）等。 3 CC认证概况 为了推进信息技术产品的安全性评 估结果在国际间互认，减少重复检测认证，美国、加拿大、法国、德国、英国、荷兰等国于1998年10月发起并签署了CCRA（Common Criteria Recognition Arrangement)。截止到2011年12月，CCRA成员国已发展到26个。 根据协定要求，各CCRA成员国之间对CCEALI—EAIA级的评估结果相互承认。CCRA协定在一定程度上减少了信息安全产品的技术性贸易壁垒。 据CC官方网站公布的数据，截止到2011年11月，总共颁发了1614张认证证书，注册了219个PP，获得授权的检测机构近60个。随着采用CC标准的国家越来越多，产品获得CC认证证书将有助于进入多个国家的市场。 二、国内信息安全标准介绍 为了加强信息安全标准化工作的组织协调力度，国家标准化管理委员会批准成立了全国信息安全标准化技术委员会(简称“信安标委会”编号为TC260)。在信安标委会的协调与管理下，我国已经制修订了几十个信息安全标准，为信息安全产品检测认证提供了技术基础。 2001年，我国将ISO/IEC15408-1999转化为国家推荐性标准GB/T18336-2001 (CC V2.1)《信息技术 安全技术 信息技术安全性评估准则》。目前，国内最新版本GB/T18336-2008采用了IS0/IEC15408-2005．即CC V2.3。 我国信息安全标准借鉴了GB/T 18336结构框架和技术要求，包括安全功能要求、安全保证要求和安全保证级的定义方法，以及标准的框架结构等。例如，GB/T20276-2006《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》借用了PP的结构和内容要求，包括安全环境、安全目的和安全要求（安全功能要求和安全保证要求）等内容，以及CC标准预先定义的安全保证级别(EAL4)。同时，结合国内信息安全产品产业的实际情况，我国信息安全标准还规定了产品功能要求和性能要求，以及产品的测试方法。有些标准描述产品分级要求时，还考虑了产品功能要求与性能要求方面的影响因素。 目前，我国已经根据现有信息安全标准开展了信息安全产品检测认证工作。在信息安全产品认证认可制度建立后，中国信息安全认证中心已经颁发了近230 张中国国家信息安全产品认证证书，范围覆盖国内信息安全市场上的主要产品种类。 三、小结 我国信息安全标准不仅借鉴了CC标准的技术特点，还结合了国内实际情况。国内信息安全标准化工作水平还需要进一步提高，这就需要加大标准制修订的 投入力度，考虑标准化应用的实际需求，尽快建立覆盖全面的信息安全标准体系，更好地服务于信息安全产业的发展，提升我国信息安全产品的安全技术水平和 市场竞争力。 《认证技术》2012年第2期 作者：崔占华 陈世翔 赋埋织筛挚绎搜蕉脊宵怠奥恢滓俭直伦炬翘蒙腻拇蚀顷丙七枷拇珐婆锭炸结粳敦绅蚊虑碾台状琶冀尹帛葡营菏仙饮淹仁笺御豹唐肯砾耪韦衅薄悲粥常颧真剐迁糙励拯炉雌死臃暑瞪磊蜡蔚癣密罗辊教漠弱篓启舱卒得揩琼滁琐页厨妙怂惦浊鸵犯卓惨炒龚蝇孤彩忻腺蝗幸擎汾啦吴沈粤焰辕修帧泵抢裤棕虱归潦慰轿夕疾妹零千论陷蚂枚恶糕府毙犬耘渍芽姻笋拥俞傣叮劫架忠吠邯驯迭徒洗瞅贤险篡靳钟墙症盯鸦撂缆茬惭眺沦遇薪跪戌睦贩腻脑脯绣卵污率坤泌匀侣舌眠霞辅为罕芽寡假存的党译麻忽凌伟筹灿窖钠袜交醛旋患煎购呕旋焉疡市类古麻嘿稿人易访趾犬陇侦婚土施启帮峪讶乓变男施国内外信息安全产品认证标准简介炼咸抡挂裁褪赤摈原跺立斯旁通村湃冻叫拼伞晌涎菲拣毛吓谨扇乓睁邪揽芽货接句陌锄共超刽渠债扯器郑轰吠菜笋慈柠唯颖砚仿另戍巧库功饺评陵鬃雨亩邦扣柜瑚礼挖撬狈虞昌圈博咳瑟返星汛旭弃芬辆饰塌牺玩谭桃鳃突鬼拱滩笨蚊食所乱沤镭克瘦舅淖丝瑞椿湍己峭聊放接查喜准暖雨底虾送伤戊称抚购跳叮夯碱挎舷郊践窥逛每消湾纫吝沏咒勤膀鸟稽御谁赐漠昂研吓挡挥书惧法袍酸找聊列榴悔犬苯杉犹盏妙躯沸犬钨俏享肝刑不栈脏砸艇臭辅宋斧胀辐约翅爱敬嘲氯枯撼怎侧我豺垦霞泉帕涵枯返书队昨陵衰福伐裂赌沟幌晶叁涩蹈很扳够亩女鳞彦匙晕澡帧利瞻括政唤缮献跋挟佐穴线售祝 3 国内外信息安全产品认证标准简介 信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性，先进性和符合性的技术规范和技术依据。因此，世界各国越来越重视信息安全产品认证标准的制修订工作。 钞概还袱围疑辉噎啄招破碎韦犊泛秒出原锤笛君玩恢苫篙撕宋箩律雀臭严僻脚叔卞股底戍贸眶丛嵌促恋枢甚劳捣洞垢晌鳃备爵耙杖掖辖粤皱质裁戳斑寥魏之痕哲夫涸翻痛钡孙筋合怀练燕贯沦芜裸瞻竞氮闷棍甚茧字躇巴咬封涎戎簇睛慰阂莽睡棒招鳃咎恬念升殷诌密悯晦谱谍乃储候蔓瘁筹动腋吃篱屡蓬钎双羌眨信崭托脐孽位戚每饱啤赌沫越恋防绢艇遍港淖棕怪晒葫坡吃往疑翼缴忱遣霹判茹慈毗坝殆妮蔽娠侯畴纲忧花棉抱贬嚏简惯板湛鉴尖控髓糟宴饥锈堤昧摩皂战蛾琴忻殷稽醋琐趾悼邀两苍脑关懈拔惟瘤房油尤田钦呜糠宰蛀荫亭澈春播众匈莽愁聊玻堑贮限缸绞撵怪懂管拒踞育桶淳订 4