信息技術(shù)產(chǎn)品作為關(guān)鍵信息基礎(chǔ)設(shè)施的基本組成單元，其安全性高低是決定關(guān)鍵信息基礎(chǔ)設(shè)施抗攻擊能力強弱的重要因素。隨著國家網(wǎng)絡(luò)強國建設(shè)的推進，高安全等級產(chǎn)品及其測評越來越受到業(yè)界的重視。高安全等級測評是什么？怎么做？有何意義？中國信息安全測評中心（以下簡稱“測評中心”）信息安全實驗室主任張寶峰接受了我刊采訪，就以上業(yè)界關(guān)心的問題進行了回答。

　　Q

　　測評中心是國內(nèi)信息技術(shù)產(chǎn)品測評領(lǐng)域的重要實踐者，近期有企業(yè)的產(chǎn)品通過了貴中心的 EAL5+ 級測評，請您介紹一下什么是 EAL5+ 級？

　　張寶峰：近期，確有兩款產(chǎn)品通過了我中心的 EAL5+ 級測評，分別是元心信息科技集團有限公司開發(fā)的“元心安全微內(nèi)核操作系統(tǒng) V2.0”和合肥大唐存儲科技有限公司研制的“存儲控制器芯片 DSS510”。下面，我介紹一下 EAL 的基本概念。

　　EAL（Evaluation Assurance Level），即評估保障級，是一種度量信息技術(shù)產(chǎn)品安全保障能力的尺度，此概念源自國際最廣泛采用的《信息技術(shù)安全評估準(zhǔn)則》（The Common Criteria forInformation Technology Security Evaluation）， 簡稱 CC 標(biāo)準(zhǔn) 。

　　該標(biāo)準(zhǔn)將信息技術(shù)產(chǎn)品的安全保障程度分為七個級別：EAL1 至 EAL7。級別越高，其安全保障能力或安全功能正確實現(xiàn)的可信度就越高，產(chǎn)品就能對抗更高級別的安全威脅，適用于更高安全風(fēng)險環(huán)境。

　　EAL1-EAL2 可用于保護低價值的資產(chǎn)，抵御無意或低水平攻擊者的攻擊。

　　EAL3-EAL4 可用于保護中等價值的資產(chǎn)，抵御有組織團體的攻擊。

　　EAL5 級可用于保護高價值的資產(chǎn)，抵御有組織團體的攻擊。

　　EAL6 級和 EAL7 級，可用于保護高價值的資產(chǎn)，抵御國家級組織的攻擊。

　　本次兩家企業(yè)所通過的 EAL5+ 級，又稱為“半形式化設(shè)計和測試級”。產(chǎn)品通過該安全保障級，表明應(yīng)能抵御有組織團體的攻擊，意味著開發(fā)者在產(chǎn)品設(shè)計、研發(fā)、測試、交付和運行等各階段，要基于嚴(yán)格的商業(yè)開發(fā)實踐，獲得最大限度的安全保障，并對產(chǎn)品的關(guān)鍵設(shè)計環(huán)節(jié)開展半形式化的分析和論證。EAL5+ 代表 EAL5 增強級，是指在滿足 EAL5 級所有保障要求的基礎(chǔ)上，對特定的保障要求進行了增加或增強。

　　Q

　　原來 EAL5+ 級的概念來自于 CC 標(biāo)準(zhǔn)。這個標(biāo)準(zhǔn)經(jīng)常聽業(yè)內(nèi)人士提起，請您再介紹一下，CC 標(biāo)準(zhǔn)在國內(nèi)外的發(fā)展和應(yīng)用情況。

　　張寶峰：CC 標(biāo)準(zhǔn)始于 1993 年 6 月，并在1999 年被采納為國際標(biāo)準(zhǔn) ISO/IEC 15408， 廣泛應(yīng)用于信息技術(shù)領(lǐng)域的安全性評估。國際上還成立了 CC 互認(rèn)組織 CCRA（Common CriteriaRecognition Arrangement），將 CC 作為產(chǎn)品測評的基礎(chǔ)標(biāo)準(zhǔn)，要求 CCRA 成員國對測評結(jié)果相互承認(rèn)。截至目前，共有 31 個 CCRA 成員國，獲國際 CC 測評認(rèn)證的信息技術(shù)產(chǎn)品多達 5000 余款。

　　2001 年，測評中心牽頭，將 CC 標(biāo)準(zhǔn)轉(zhuǎn)化為國家標(biāo)準(zhǔn) GB/T 18336《信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則》，并持續(xù)跟蹤標(biāo)準(zhǔn)更新，當(dāng)前正開展 CC v4.0 的國家標(biāo)準(zhǔn)修訂。二十年來，我國基于 GB/T 18336 標(biāo)準(zhǔn)開發(fā)了一系列配套標(biāo)準(zhǔn)。據(jù)不完全統(tǒng)計，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會組織編制和審核通過的國家標(biāo)準(zhǔn)中，約 40 項標(biāo)準(zhǔn)將 GB/T18336 作為編制依據(jù)或參考，直接應(yīng)用于主流信息技術(shù)產(chǎn)品的安全設(shè)計、開發(fā)、測評認(rèn)證和采購等環(huán)節(jié)。以測評中心為例，依據(jù) GB/T18336 和相關(guān)配套國家標(biāo)準(zhǔn)，已完成數(shù)百家企業(yè)、2000 余款產(chǎn)品的 EAL 分級測評，發(fā)現(xiàn)了大量產(chǎn)品中隱含的漏洞和風(fēng)險，協(xié)助企業(yè)完成整改，提升了產(chǎn)品的安全性，為產(chǎn)業(yè)界的安全和高質(zhì)量發(fā)展做出貢獻，為網(wǎng)絡(luò)強國和數(shù)字中國建設(shè)發(fā)揮重要作用。

　　同時，測評中心基于標(biāo)準(zhǔn)研究和測評實踐，多次提出完善 CC 標(biāo)準(zhǔn)的觀點和理念，得到國際同行的關(guān)注和認(rèn)可。自 2017 年起，測評中心石竑松博士作為國內(nèi)唯一受邀專家，加入到國際 CC標(biāo)準(zhǔn)編制組，第一時間參與技術(shù)研究和標(biāo)準(zhǔn)編制，為 CC 標(biāo)準(zhǔn)的發(fā)展和應(yīng)用做出重要貢獻；同年，基于 CC 理念，測評中心在 ISO/IEC JTC1/SC27WG3 工作組，牽頭立項國際標(biāo)準(zhǔn)《量子密鑰分發(fā)的安全要求、測試和評估方法》；2019 年，測評中心陳佳哲博士受邀參與國際重要標(biāo)準(zhǔn)《密碼模塊非侵入式攻擊緩解技術(shù)測試方法》的編制工作。

　　當(dāng)然，國內(nèi)還有許多測評認(rèn)證機構(gòu)、科研院所和產(chǎn)業(yè)單位，也在不同程度地開展 CC 標(biāo)準(zhǔn)研究和實踐，對標(biāo)準(zhǔn)的發(fā)展和應(yīng)用做出許多貢獻，在此就不一一羅列。

　　Q

　　顯然，無論在 CC 標(biāo)準(zhǔn)研究還是實踐方面，國內(nèi)已經(jīng)開展了大量工作。但是，據(jù)了解，國際上獲得 EAL5 級及以上級別測評認(rèn)證的產(chǎn)品數(shù)量遠(yuǎn)高于國內(nèi)，請問原因是什么？

　　張寶峰：確實存在此情況。近 5 年國內(nèi)外的CC 測評數(shù)據(jù)顯示，國際上獲 EAL5 級測評認(rèn)證的產(chǎn)品近 400 款，獲 EAL6 級和 EAL7 級測評認(rèn)證的產(chǎn)品 130 余款；而國內(nèi)產(chǎn)品主要集中在 EAL3和 EAL4 級別，在國內(nèi)通過 EAL5 級測評的產(chǎn)品數(shù)量僅是個位數(shù)，通過 EAL6 級和 EAL7 級的產(chǎn)品數(shù)量為 0。為打入國際市場，極少數(shù)國內(nèi)企業(yè)的產(chǎn)品通過了國外檢測機構(gòu)的測評，但也主要集中在 EAL4+ 級及以下級別。總體來看，國內(nèi)通過高保障級測評的產(chǎn)品數(shù)量與國外相比差距巨大。

　　究其原因，我認(rèn)為主要有以下三方面的因素。一是國外信息技術(shù)發(fā)展早、起點高，產(chǎn)業(yè)界和用戶對高安全等級產(chǎn)品更加重視。二是高保障級測評要求高、難度大、投入多，涉及研發(fā)環(huán)境可控、源代碼級檢測、高強度滲透測試、供應(yīng)鏈安全評估等內(nèi)容，給研發(fā)企業(yè)帶來較大挑戰(zhàn)。三是國內(nèi)僅有少數(shù)測評機構(gòu)能夠開展高保障級測評，對產(chǎn)業(yè)界的引導(dǎo)和促進不足。

　　可喜的是，近幾年，國內(nèi)企業(yè)已嘗試開展高安全等級產(chǎn)品的研發(fā)，部分軟硬件產(chǎn)品通過了 EAL5+ 級測評，這說明企業(yè)對安全的重視程度不斷增強，安全研發(fā)能力有所提高。接下來，需要產(chǎn)學(xué)研用各部門通力配合，不斷提升我國信息技術(shù)產(chǎn)品的整體安全水平，全力保障國家網(wǎng)絡(luò)安全。

　　Q

　　剛才您提到，部分國內(nèi)產(chǎn)品因參與國際市場競爭需要，申請并通過了國際 CC 測評，那么，測評中心是否也可以對國外企業(yè)產(chǎn)品開展測評，在測評流程上與國內(nèi)企業(yè)是否存在區(qū)別？

　　張寶峰：習(xí)近平總書記在第三屆中國國際進口博覽會開幕式上發(fā)表主旨演講時指出，“中國將秉持開放、合作、團結(jié)、共贏的信念，堅定不移全面擴大開放，讓中國市場成為世界的市場、共享的市場、大家的市場，為國際社會注入更多正能量?！?/p>

　　測評中心成立以來，一直致力于網(wǎng)絡(luò)信息安全測評事業(yè)的建設(shè)發(fā)展，嚴(yán)格依據(jù)標(biāo)準(zhǔn)，為國內(nèi)外企業(yè)提供高質(zhì)量的產(chǎn)品測評服務(wù)。

　　多年來，測評中心已與多家國外企業(yè)開展了良好合作，對送測的產(chǎn)品開展了 EAL 分級測評工作。早在十年前，三星公司的多款產(chǎn)品就通過了我們的 EAL4+ 級測評。無論國內(nèi)外企業(yè)，測評中心均基于實驗室認(rèn)可質(zhì)量體系，提供相同標(biāo)準(zhǔn)的測評服務(wù)，客觀公正地反映測評結(jié)果。

　　我們熱忱歡迎更多的國內(nèi)外企業(yè)送測其優(yōu)質(zhì)產(chǎn)品，開展技術(shù)交流，共同推進產(chǎn)品技術(shù)能力和安全性提升，為網(wǎng)絡(luò)空間安全做出相應(yīng)的貢獻。

　　Q

　　剛才您提到，國外已有許多產(chǎn)品通過了EAL6 和 EAL7 級等更高級別的測評。對這種高級別的測評，企業(yè)是否需達到一定的能力要求才能申請？

　　張寶峰：前面談到，通過 EAL6 或 EAL7 級測評，意味著產(chǎn)品將應(yīng)用于高風(fēng)險環(huán)境，保護高價值資產(chǎn)，用以對抗國家級攻擊，要求更高、難度更大、檢測更深。一個突出的要求，就是產(chǎn)品要經(jīng)過半形式化甚至形式化驗證設(shè)計和測試，即通過等價性驗證、模型檢驗和定理證明等數(shù)學(xué)方法 ,完備地證明或驗證產(chǎn)品功能需求是否得到滿足，證明關(guān)鍵功能特征覆蓋率是否達到 100%。此外，還必須進行安全模型分析、源代碼級深度檢測分析、高強度滲透測試等工作，要求企業(yè)產(chǎn)品具備極高的安全防護能力和技術(shù)能力，要求企業(yè)具備高水平的研發(fā)隊伍和先進的研發(fā)測試裝備，具備更加規(guī)范的研發(fā)管理流程和研發(fā)環(huán)境。

　　從測評要求和理念看，結(jié)構(gòu)和功能越復(fù)雜的產(chǎn)品，在開展形式化和半形式化驗證設(shè)計時，往往挑戰(zhàn)更大。對于防護能力要求高但功能架構(gòu)不太復(fù)雜的產(chǎn)品，反而更有機會挑戰(zhàn) EAL6、EAL7級測評，例如專用芯片、智能卡等。

　　值得一提的是，與軟件開發(fā)不同，芯片的研制除了設(shè)計階段，還需經(jīng)過流片、封裝等加工制造環(huán)節(jié)。一旦制造出來的芯片不符合要求，則需要重新流片，往往代價不菲，這就要求企業(yè)在芯片設(shè)計階段嚴(yán)格把關(guān)、務(wù)求全面。基于多年測評實踐和專項支持，測評中心具備了較好的高保障級測評基礎(chǔ)，研究并形成了半形式化/形式化分析、算法分析、密碼模塊側(cè)信道分析、電路侵入式分析等技術(shù)體系，自主研發(fā)了多個軟硬件檢測分析平臺 , 在檢測精度、檢測效率和檢測效果等方面具有一定的優(yōu)勢。

　　對于有測評意愿的芯片研發(fā)企業(yè)，我們可以提供前期咨詢，幫助企業(yè)分析和選擇適合的測評級別，減少不必要的后續(xù)損失。

　　Q

　　測評周期一直是企業(yè)比較關(guān)注的問題。有企業(yè)反映，基于 CC 標(biāo)準(zhǔn)的測評周期會比較長，請問其原因是什么？我們有哪些舉措幫助企業(yè)更快更好地通過測評？

　　張寶峰：國內(nèi)外基于 CC 標(biāo)準(zhǔn)的測評周期較長，確實是企業(yè)非常關(guān)注的問題。多年實踐表明，產(chǎn)品越復(fù)雜、安全等級越高，所需的測評周期就越長，主要原因如下：

　　第一，基于 CC 標(biāo)準(zhǔn)的安全性測評，覆蓋面廣，內(nèi)在要求高。整個測評覆蓋產(chǎn)品全生命周期，需要對產(chǎn)品的設(shè)計、實現(xiàn)、測試、交付過程、配置管理、研發(fā)環(huán)境、供應(yīng)鏈等開展全面的評價。要達到標(biāo)準(zhǔn)要求，測評機構(gòu)和企業(yè)都需較大工作量。國際上通過 EAL4+ 級測評的周期通常需要半年以上，通過 EAL5+ 級測評則需要 1 年以上。

　　第二，CC 重視測評證據(jù)，要求測評證據(jù)的完備性和有效性。CC 標(biāo)準(zhǔn)適用于具有安全功能的所有信息技術(shù)產(chǎn)品，其標(biāo)準(zhǔn)文本具有較高的技術(shù)特色和抽象概念。對于企業(yè)，特別是首次申請測評的企業(yè)，理解抽象概念存在一定難度，導(dǎo)致提供的測試證據(jù)不完備、不充分，往往消耗大量時間用于證據(jù)的補充和完善。

　　第三，CC 標(biāo)準(zhǔn)要求，必須完成對所有問題的整改和回歸測試，這需要一定的周期。從測評實踐看，絕大部分送測產(chǎn)品均存在不同程度的問題，尤其是首次送測的產(chǎn)品，有些甚至存在非常嚴(yán)重的漏洞和風(fēng)險。問題的交互、確認(rèn)和修改，也是導(dǎo)致測評周期較長的原因之一。

　　針對上述情況，我們開展了問題研究和流程優(yōu)化，提早介入，加強與企業(yè)的溝通交流，為企業(yè)提供技術(shù)咨詢和標(biāo)準(zhǔn)培訓(xùn)，減少企業(yè)反復(fù)修改的成本。此外，中心還構(gòu)建了自動化測試平臺、漏洞分析平臺和源代碼分析平臺等工具，有效地提升了測試能力、提高了測試效率、縮短了測試時間。相信通過這些舉措，將明顯提升企業(yè)的測評體驗。

　　Q

　　通過您的介紹，讓我們意識到高保障級測評的重要性，對其發(fā)展您還有什么建議？

　　張寶峰：黨中央和習(xí)近平總書記高度重視網(wǎng)絡(luò)安全工作，國家“十四五”規(guī)劃綱要明確提出，統(tǒng)籌發(fā)展和安全，建設(shè)更高水平的平安中國，全面加強網(wǎng)絡(luò)安全保障體系和能力建設(shè)。國務(wù)院近期印發(fā)的《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》中也提出，著力強化數(shù)字經(jīng)濟安全體系，增強網(wǎng)絡(luò)安全防護能力，加強網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)，推廣使用安全可靠的信息產(chǎn)品、服務(wù)和解決方案。

　　基于 CC 標(biāo)準(zhǔn)的測評，特別是高保障級測評，不僅能夠讓企業(yè)持續(xù)改進其產(chǎn)品的安全性，提升產(chǎn)品質(zhì)量，也能為產(chǎn)品使用者提供更多的安全保障和信心。從國家關(guān)鍵信息基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)的建設(shè)運營部門，到各行業(yè)和企業(yè)信息系統(tǒng)的管理者，肩負(fù)著構(gòu)建更加安全可控的網(wǎng)絡(luò)設(shè)施的任務(wù)，使用高安全、高質(zhì)量的信息技術(shù)產(chǎn)品是其中重要一環(huán)。鑒于目前國內(nèi)高安全等級產(chǎn)品的現(xiàn)狀，我個人有以下幾點建議。

　　加強高安全等級產(chǎn)品使用力度，進一步筑牢關(guān)鍵信息基礎(chǔ)設(shè)施安全防線。在關(guān)鍵信息基礎(chǔ)設(shè)施后續(xù)建設(shè)過程中，為保護高價值資產(chǎn)，抵御有組織團體和國家級網(wǎng)絡(luò)攻擊，可在高風(fēng)險環(huán)境中逐步推進高安全等級產(chǎn)品的部署和應(yīng)用，以政策需求引導(dǎo)產(chǎn)業(yè)發(fā)展，如在核心重要領(lǐng)域采購的關(guān)鍵產(chǎn)品，盡可能達到 EAL5 級及以上。

　　加強產(chǎn)業(yè)政策引導(dǎo)，進一步加大優(yōu)質(zhì)數(shù)字資源供給。在產(chǎn)業(yè)層面，出臺鼓勵政策，引導(dǎo)企業(yè)加大資源投入，加強企業(yè)高安全等級產(chǎn)品的研發(fā)能力，加快關(guān)鍵核心技術(shù)自主創(chuàng)新，提升產(chǎn)品的國際競爭力，進一步提高我國網(wǎng)絡(luò)空間安全防御水平，為我國數(shù)字經(jīng)濟高速發(fā)展保駕護航。

　　加強網(wǎng)絡(luò)空間國際交流合作，進一步貢獻中國智慧。網(wǎng)絡(luò)空間是人類的共同家園，網(wǎng)絡(luò)安全也是各國面臨的共同挑戰(zhàn)。建議加強國際技術(shù)交流與合作，積極參與國際標(biāo)準(zhǔn)和國際規(guī)則的研究制定，共同促進新技術(shù)新應(yīng)用健康發(fā)展，及時提出中國方案，發(fā)出中國聲音，攜手構(gòu)建網(wǎng)絡(luò)空間命運共同體。