信息技術產品作為關鍵信息基礎設施的基本組成單元,其安全性高低是決定關鍵信息基礎設施抗攻擊能力強弱的重要因素。隨著國家網絡強國建設的推進,高安全等級產品及其測評越來越受到業界的重視。高安全等級測評是什么?怎么做?有何意義?中國信息安全測評中心(以下簡稱“測評中心”)信息安全實驗室主任張寶峰接受了我刊采訪,就以上業界關心的問題進行了回答。
Q
測評中心是國內信息技術產品測評領域的重要實踐者,近期有企業的產品通過了貴中心的 EAL5+ 級測評,請您介紹一下什么是 EAL5+ 級?
張寶峰:近期,確有兩款產品通過了我中心的 EAL5+ 級測評,分別是元心信息科技集團有限公司開發的“元心安全微內核操作系統 V2.0”和合肥大唐存儲科技有限公司研制的“存儲控制器芯片 DSS510”。下面,我介紹一下 EAL 的基本概念。
EAL(Evaluation Assurance Level),即評估保障級,是一種度量信息技術產品安全保障能力的尺度,此概念源自國際最廣泛采用的《信息技術安全評估準則》(The Common Criteria forInformation Technology Security Evaluation), 簡稱 CC 標準 。
該標準將信息技術產品的安全保障程度分為七個級別:EAL1 至 EAL7。級別越高,其安全保障能力或安全功能正確實現的可信度就越高,產品就能對抗更高級別的安全威脅,適用于更高安全風險環境。
EAL1-EAL2 可用于保護低價值的資產,抵御無意或低水平攻擊者的攻擊。
EAL3-EAL4 可用于保護中等價值的資產,抵御有組織團體的攻擊。
EAL5 級可用于保護高價值的資產,抵御有組織團體的攻擊。
EAL6 級和 EAL7 級,可用于保護高價值的資產,抵御國家級組織的攻擊。
本次兩家企業所通過的 EAL5+ 級,又稱為“半形式化設計和測試級”。產品通過該安全保障級,表明應能抵御有組織團體的攻擊,意味著開發者在產品設計、研發、測試、交付和運行等各階段,要基于嚴格的商業開發實踐,獲得最大限度的安全保障,并對產品的關鍵設計環節開展半形式化的分析和論證。EAL5+ 代表 EAL5 增強級,是指在滿足 EAL5 級所有保障要求的基礎上,對特定的保障要求進行了增加或增強。
Q
原來 EAL5+ 級的概念來自于 CC 標準。這個標準經常聽業內人士提起,請您再介紹一下,CC 標準在國內外的發展和應用情況。
張寶峰:CC 標準始于 1993 年 6 月,并在1999 年被采納為國際標準 ISO/IEC 15408, 廣泛應用于信息技術領域的安全性評估。國際上還成立了 CC 互認組織 CCRA(Common CriteriaRecognition Arrangement),將 CC 作為產品測評的基礎標準,要求 CCRA 成員國對測評結果相互承認。截至目前,共有 31 個 CCRA 成員國,獲國際 CC 測評認證的信息技術產品多達 5000 余款。
2001 年,測評中心牽頭,將 CC 標準轉化為國家標準 GB/T 18336《信息技術 安全技術 信息技術安全評估準則》,并持續跟蹤標準更新,當前正開展 CC v4.0 的國家標準修訂。二十年來,我國基于 GB/T 18336 標準開發了一系列配套標準。據不完全統計,全國信息安全標準化技術委員會組織編制和審核通過的國家標準中,約 40 項標準將 GB/T18336 作為編制依據或參考,直接應用于主流信息技術產品的安全設計、開發、測評認證和采購等環節。以測評中心為例,依據 GB/T18336 和相關配套國家標準,已完成數百家企業、2000 余款產品的 EAL 分級測評,發現了大量產品中隱含的漏洞和風險,協助企業完成整改,提升了產品的安全性,為產業界的安全和高質量發展做出貢獻,為網絡強國和數字中國建設發揮重要作用。
同時,測評中心基于標準研究和測評實踐,多次提出完善 CC 標準的觀點和理念,得到國際同行的關注和認可。自 2017 年起,測評中心石竑松博士作為國內唯一受邀專家,加入到國際 CC標準編制組,第一時間參與技術研究和標準編制,為 CC 標準的發展和應用做出重要貢獻;同年,基于 CC 理念,測評中心在 ISO/IEC JTC1/SC27WG3 工作組,牽頭立項國際標準《量子密鑰分發的安全要求、測試和評估方法》;2019 年,測評中心陳佳哲博士受邀參與國際重要標準《密碼模塊非侵入式攻擊緩解技術測試方法》的編制工作。
當然,國內還有許多測評認證機構、科研院所和產業單位,也在不同程度地開展 CC 標準研究和實踐,對標準的發展和應用做出許多貢獻,在此就不一一羅列。
Q
顯然,無論在 CC 標準研究還是實踐方面,國內已經開展了大量工作。但是,據了解,國際上獲得 EAL5 級及以上級別測評認證的產品數量遠高于國內,請問原因是什么?
張寶峰:確實存在此情況。近 5 年國內外的CC 測評數據顯示,國際上獲 EAL5 級測評認證的產品近 400 款,獲 EAL6 級和 EAL7 級測評認證的產品 130 余款;而國內產品主要集中在 EAL3和 EAL4 級別,在國內通過 EAL5 級測評的產品數量僅是個位數,通過 EAL6 級和 EAL7 級的產品數量為 0。為打入國際市場,極少數國內企業的產品通過了國外檢測機構的測評,但也主要集中在 EAL4+ 級及以下級別。總體來看,國內通過高保障級測評的產品數量與國外相比差距巨大。
究其原因,我認為主要有以下三方面的因素。一是國外信息技術發展早、起點高,產業界和用戶對高安全等級產品更加重視。二是高保障級測評要求高、難度大、投入多,涉及研發環境可控、源代碼級檢測、高強度滲透測試、供應鏈安全評估等內容,給研發企業帶來較大挑戰。三是國內僅有少數測評機構能夠開展高保障級測評,對產業界的引導和促進不足。
可喜的是,近幾年,國內企業已嘗試開展高安全等級產品的研發,部分軟硬件產品通過了 EAL5+ 級測評,這說明企業對安全的重視程度不斷增強,安全研發能力有所提高。接下來,需要產學研用各部門通力配合,不斷提升我國信息技術產品的整體安全水平,全力保障國家網絡安全。
Q
剛才您提到,部分國內產品因參與國際市場競爭需要,申請并通過了國際 CC 測評,那么,測評中心是否也可以對國外企業產品開展測評,在測評流程上與國內企業是否存在區別?
張寶峰:習近平總書記在第三屆中國國際進口博覽會開幕式上發表主旨演講時指出,“中國將秉持開放、合作、團結、共贏的信念,堅定不移全面擴大開放,讓中國市場成為世界的市場、共享的市場、大家的市場,為國際社會注入更多正能量。”
測評中心成立以來,一直致力于網絡信息安全測評事業的建設發展,嚴格依據標準,為國內外企業提供高質量的產品測評服務。
多年來,測評中心已與多家國外企業開展了良好合作,對送測的產品開展了 EAL 分級測評工作。早在十年前,三星公司的多款產品就通過了我們的 EAL4+ 級測評。無論國內外企業,測評中心均基于實驗室認可質量體系,提供相同標準的測評服務,客觀公正地反映測評結果。
我們熱忱歡迎更多的國內外企業送測其優質產品,開展技術交流,共同推進產品技術能力和安全性提升,為網絡空間安全做出相應的貢獻。
Q
剛才您提到,國外已有許多產品通過了EAL6 和 EAL7 級等更高級別的測評。對這種高級別的測評,企業是否需達到一定的能力要求才能申請?
張寶峰:前面談到,通過 EAL6 或 EAL7 級測評,意味著產品將應用于高風險環境,保護高價值資產,用以對抗國家級攻擊,要求更高、難度更大、檢測更深。一個突出的要求,就是產品要經過半形式化甚至形式化驗證設計和測試,即通過等價性驗證、模型檢驗和定理證明等數學方法 ,完備地證明或驗證產品功能需求是否得到滿足,證明關鍵功能特征覆蓋率是否達到 100%。此外,還必須進行安全模型分析、源代碼級深度檢測分析、高強度滲透測試等工作,要求企業產品具備極高的安全防護能力和技術能力,要求企業具備高水平的研發隊伍和先進的研發測試裝備,具備更加規范的研發管理流程和研發環境。
從測評要求和理念看,結構和功能越復雜的產品,在開展形式化和半形式化驗證設計時,往往挑戰更大。對于防護能力要求高但功能架構不太復雜的產品,反而更有機會挑戰 EAL6、EAL7級測評,例如專用芯片、智能卡等。
值得一提的是,與軟件開發不同,芯片的研制除了設計階段,還需經過流片、封裝等加工制造環節。一旦制造出來的芯片不符合要求,則需要重新流片,往往代價不菲,這就要求企業在芯片設計階段嚴格把關、務求全面。基于多年測評實踐和專項支持,測評中心具備了較好的高保障級測評基礎,研究并形成了半形式化/形式化分析、算法分析、密碼模塊側信道分析、電路侵入式分析等技術體系,自主研發了多個軟硬件檢測分析平臺 , 在檢測精度、檢測效率和檢測效果等方面具有一定的優勢。
對于有測評意愿的芯片研發企業,我們可以提供前期咨詢,幫助企業分析和選擇適合的測評級別,減少不必要的后續損失。
Q
測評周期一直是企業比較關注的問題。有企業反映,基于 CC 標準的測評周期會比較長,請問其原因是什么?我們有哪些舉措幫助企業更快更好地通過測評?
張寶峰:國內外基于 CC 標準的測評周期較長,確實是企業非常關注的問題。多年實踐表明,產品越復雜、安全等級越高,所需的測評周期就越長,主要原因如下:
第一,基于 CC 標準的安全性測評,覆蓋面廣,內在要求高。整個測評覆蓋產品全生命周期,需要對產品的設計、實現、測試、交付過程、配置管理、研發環境、供應鏈等開展全面的評價。要達到標準要求,測評機構和企業都需較大工作量。國際上通過 EAL4+ 級測評的周期通常需要半年以上,通過 EAL5+ 級測評則需要 1 年以上。
第二,CC 重視測評證據,要求測評證據的完備性和有效性。CC 標準適用于具有安全功能的所有信息技術產品,其標準文本具有較高的技術特色和抽象概念。對于企業,特別是首次申請測評的企業,理解抽象概念存在一定難度,導致提供的測試證據不完備、不充分,往往消耗大量時間用于證據的補充和完善。
第三,CC 標準要求,必須完成對所有問題的整改和回歸測試,這需要一定的周期。從測評實踐看,絕大部分送測產品均存在不同程度的問題,尤其是首次送測的產品,有些甚至存在非常嚴重的漏洞和風險。問題的交互、確認和修改,也是導致測評周期較長的原因之一。
針對上述情況,我們開展了問題研究和流程優化,提早介入,加強與企業的溝通交流,為企業提供技術咨詢和標準培訓,減少企業反復修改的成本。此外,中心還構建了自動化測試平臺、漏洞分析平臺和源代碼分析平臺等工具,有效地提升了測試能力、提高了測試效率、縮短了測試時間。相信通過這些舉措,將明顯提升企業的測評體驗。
Q
通過您的介紹,讓我們意識到高保障級測評的重要性,對其發展您還有什么建議?
張寶峰:黨中央和習近平總書記高度重視網絡安全工作,國家“十四五”規劃綱要明確提出,統籌發展和安全,建設更高水平的平安中國,全面加強網絡安全保障體系和能力建設。國務院近期印發的《“十四五”數字經濟發展規劃》中也提出,著力強化數字經濟安全體系,增強網絡安全防護能力,加強網絡安全基礎設施建設,推廣使用安全可靠的信息產品、服務和解決方案。
基于 CC 標準的測評,特別是高保障級測評,不僅能夠讓企業持續改進其產品的安全性,提升產品質量,也能為產品使用者提供更多的安全保障和信心。從國家關鍵信息基礎設施和重要領域信息系統的建設運營部門,到各行業和企業信息系統的管理者,肩負著構建更加安全可控的網絡設施的任務,使用高安全、高質量的信息技術產品是其中重要一環。鑒于目前國內高安全等級產品的現狀,我個人有以下幾點建議。
加強高安全等級產品使用力度,進一步筑牢關鍵信息基礎設施安全防線。在關鍵信息基礎設施后續建設過程中,為保護高價值資產,抵御有組織團體和國家級網絡攻擊,可在高風險環境中逐步推進高安全等級產品的部署和應用,以政策需求引導產業發展,如在核心重要領域采購的關鍵產品,盡可能達到 EAL5 級及以上。
加強產業政策引導,進一步加大優質數字資源供給。在產業層面,出臺鼓勵政策,引導企業加大資源投入,加強企業高安全等級產品的研發能力,加快關鍵核心技術自主創新,提升產品的國際競爭力,進一步提高我國網絡空間安全防御水平,為我國數字經濟高速發展保駕護航。
加強網絡空間國際交流合作,進一步貢獻中國智慧。網絡空間是人類的共同家園,網絡安全也是各國面臨的共同挑戰。建議加強國際技術交流與合作,積極參與國際標準和國際規則的研究制定,共同促進新技術新應用健康發展,及時提出中國方案,發出中國聲音,攜手構建網絡空間命運共同體。
