爱华网
信息安全等级保护与分级认证
中国信息安全产品测评认证中心
陈晓桦
一、走近我国信息安全测评认证
什么是信息安全测评认证?首先我们需要了解测试、评估、认证这三个相互关联却实质各异的概念。
测试是一种技术操作,它按规定的程序对给定的产品、材料、设备等一种或多种特性进行判定;评估是对测试/检验产生的数据进行分析,形成结论的一种技术活动,由于目前计算机技术和自动化工具的发展,测试和评估往往是合为一体的。认证是指第三方依据程序对产品、过程或服务符合规定的要求给予书面保证(证书),用于评价产品质量和企业质量管理水平。认证以标准和测试、检验、评估的结果为依据。具体到信息安全测评认证,测评是指专门的机构根据一定的标准,通过对信息安全产品和信息系统进行测试和评估,确定产品或者系统能够达到安全级别可信程度。测评包括生产商自我测试与评估、用户测试、专家鉴定会、第三方测评等多种类型,是检验产品好坏和是否安全的根本手段。相对来说,来自第三方的测评是比较科学和客观的。信息安全的认证是代表国家对达到评价标准和标准要求的产品和系统进行的一种独立于用户和厂商之间的第三方的认可活动,表明其特点和功能达到了规定的要求。
信息安全测评认证具有重要的意义,它能促进信息技术产业的进步与成熟;提高信息技术产品的市场竞争力,帮助厂家发现问题,用更高更严的标准来要求制作,提升厂家的开发能力;有利于国家对信息安全产业和市场准入进行管理,合格产品的市场进入与流通,以及政府采购中产品安全性的保证;推动信息安全技术和标准化的进程。
在我国,经中央批准成立、国家质量监督检验检疫总局授权,中国信息安全产品测评认证中心代表国家开展信息安全测评认证工作,并依据国家有关产品质量认证和信息安全管理的法律法规,管理和运行国家信息安全测评认证体系。 目前,中国信息安全产品测评认证中心开展的认证业务主要包括以下四个方面:信息安全产品认证,信息系统安全认证、信息安全服务资质认证和注册信息
安全专业人员资质认证。主要的技术依据和方法包括:信息技术安全性评估准则(也称为通用评估准则,简称CC,等同于国际标准 ISO/IEC15408)、信息技术安全通用评估方法(CEM)、信息系统安全等级保障评估标准(SCC)、信息安全服务资质评估标(SPC)、信息安全专业人员注册准则,以及国家认证认可管理委员会批准的与安全技术、规范等相关的技术要求文件及其它国内外相关标准等。
产品认证:信息安全产品认证主要分为型号认证和分级认证两种。其中分级认证根据相应的标准又分成7个级别。中国信息安全产品测评认证中心目前开展的是1到5级的认证。其中,对电信智能卡的认证已达到5级,其他安全产品目前最高达到3级。
系统安全认证:系统安全认证的技术标准分为5个级别,目前,我们从技术、工程、管理和综合等方面开展了两个级别的系统认证工作。在实施过程中,主要分为方案评审、系统测评、系统认证等三个方面。其中,方案评审是为确定特定信息系统是否达到标准的安全性设计要求;系统测评是对运行中的信息系统的安全功能的技术测试、对信息系统安全技术和管理体系的调查取证和对特定系统运行情况是否达到标准的安全要求的评估;最后进行的系统的认证是对运行系统的组织管理体系的审核。
信息安全服务资质认证:信息安全服务资质认证主要是对信息安全系统服务提供商的资格状况、技术实力和实施安全工程过程质量保证能力等进行具体衡量和评价。服务资质认证的技术标准最高为五级,目前认证中心已开展1级和2级两个级别的认证。
信息安全人员资质认证:信息安全人员资格认证(简称CISP),是中国信息安全产品认证中心创立的一个品牌,它是对国家信息安全测评认证机构、信息安全咨询服务机构、社会各组织、团体、企业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的对信息系统的安全提供技术保障的专业岗位人员——“注册信息安全专业人员”的一种认证,是我国信息安全界的一种权威性的人员认证,主要包括CISO(管理者)、CISE(工程师)、CISA(审核员)等。多年来,中国信息安全产品测评认证中心在国内信息安全人员资质认证、人员培训方面开展了大量工作,目前,已授权12家企事业单位开展培训工
作,有600多人先后获得CISP资格的称号。
统计显示,截至2004年12月30日,中国信息安全产品测评认证中心对国内外进行的信息安全产品认证共计300多项;对信息系统的测评认证共计100多项;开展的信息安全专业人员认证共计600多人;对服务厂商的服务资质认证共计60多家。
二、信息安全等级保护
等级保护指信息和信息系统要实行等级保护,并根据业务重要程度和实际的安全需求进行保护。其中包括对相应信息安全产品和安全性进行分级测评认证,对信息安全服务资质、信息安全从业人员进行分级管理,对信息系统中发生的信息安全事件分等级响应处置。等级保护以“对信息安全分等级、按标准进行建设、管理和监督”为核心,通过分级保护、分类指导、分阶段实施、合理的投入等予以实施。
中办发[2003]27号文《国家信息化领导小组关于加强信息安全保障工作的意见》中强调要实行信息安全等级保护制度。最近,由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室四部委联合签发了一个关于信息安全等级保护工作的实施意见,又再次强调实行信息安全等级保护制度的重要性。
等级保护的必要性主要体现在两个方面:其一,对信息安全分级保护是客观需求。信息系统的建立目标是满足社会发展、社会生活的需要,是社会构成、行政组织体系及其业务体系的反映,这种体系在客观上需要分层次和分级别。其二,等级化保护符合信息安全发展规律。按组织结构和业务分布,分层、分类、分级进行保护和管理,分阶段推进等级保护建设,是做好国家信息安全保障工作必须遵循的客观规律。
在国家有关的宣传中,用了7个“有利于”来重点阐述等级保护的重要性:实行信息安全产品与系统、服务的等级保护,有利于建立长效机制,保证信息安全工作稳固、持久地进行;有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于突出重点,加强对涉及国家安全、经济命脉、社会为拟定的基础信息网络和重要信息系统的安全保护和管理监督;有利于明确国家、企业、个人的安全责任,强化政府监督职能,共同落实各项安全
建设和安全管理措施;有利于提高安全保护的科学性、针对性,推动网络安全服务机制的建立和完善;有利于采取系统、规范、经济有效、科学的管理和技术保障措施,提高整体安全技术和管理水平,保障信息系统安全正常运行;有利于信息安全保障技术和产业化的发展,真正做到“兴利除弊”,维护国家安全和社会公共利益,保护公民合法权益的信息网络安全总目标。
中办发[2003] 27号文提出了“积极防御,综合防范”的八字方针,这表明了目前我国信息安全保障工作的重点是在“防护”方面。等级保护主要是“保护”再加上“等级评定”。在等级保护里面,除了保护以外,还要加上等级的评定,从而使定级更加科学、保护更加有针对性。在等级保护的具体措施上包括以下几个步骤:首先,对信息安全等级制定相应的保护制度,从政策的层面、法律法规的层面制定措施;其次,对等级保护制定相应的标准,等级保护有自主保护、指导保护、监督保护、强制保护、专控保护等五种保护,是一种行政意义上的保护,但实际上,具体保护的强度和级别却需要靠客观的技术和标准来测评,因此,制定等级保护的技术标准是基础;另外,信息安全产品和信息系统的分级认证是科学定级的技术手段,技术认证和用户与官方的认可制度是信息系统等级保护持续性的保证。
说到技术标准,国内外专家有不同的看法,我认为,我们的技术标准应该是客观的。技术标准就像量身高的尺子一样,不会随着人的高矮而改变;也像小时、分、秒等计量单位一样,不会随着时间的变化而改变其计量的长度,多少年都不会发生变化。一个系统需要采用什么等级来保护,可以由领导来决定,但它的保护强度,是否达到相应的安全具体级别,则需要靠技术来测评。所以我们讲,制定等级保护的技术标准是基础。行政性的、或根据实际需要采取的保护等级如何与技术标准相对应,是需要我们研究的重点内容。当然,我们现有的一些技术标准,并不都是基础性标准,也需要与时俱进,作必要的修订。对基础性技术标准的制定和修定,应该是一件很严肃的工作。这是我们对技术标准的理解,也是对等级保护对应关系的一种理解。
三、信息安全分级测评认证
为什么要进行信息安全分级测评与认证?首先,这是为等级保护提供技术手段,落实国家等级保护政策的有效体现;其次是为保护用户的利益。分级测评认
证为政府提供信息技术安全产品、服务的采购依据,为各行业用户提供安全信心的保证;第三是为保护厂家的利益。通过信息安全分级测评认证,提升厂家的信息安全科研生产水平,使产品的研制和生产过程逐步走向规范化和标准化。 国际上信息安全分级测评认证标准的发展大致经历了以下过程:1985年美国国防部颁布了可信计算机的安全评估准则(TCSEC);在此基础上,1990年欧洲和加拿大分别制定了信息技术安全性评价准则(ITSEC)和可信计算机产品评价准则(CTCPEC);1991年美国制定联邦政府评价准则(FC);1995年,在前期的国际信息安全分级测评认证标准的基础上,由六国七方开始制定国际通用准则(CC),1999年CC成为国际标准(ISO/IEC 15408)。
信息安全等级保护需要对产品、系统、服务和人员等方面进行科学的级别评定。对信息安全分等级进行保护是测评认证工作的共同宗旨和方式。综观国际,各国都非常重视信息安全分级测评认证工作,美国1985年开始依据TCSEC评估,已进行20年的信息安全分级测评认证,其国家信息安全分级认证由国家安全局与国家标准研究所联合实施;在测评认证方法上,早期为TCSEC,现在为CC和CEM;目前与国际上十几个国家互认的级别达到四级;英国1991年开始依据ITSEC评估与认证,从1999年ISO/IEC 15408正式发布起,同时开始依据CC评估与认证。经过10多年的发展,信息安全分级测评认证工作已趋成熟。德国、法国、澳大利亚、加拿大、荷兰等国家也先后建立起国家信息安全测评认证体系,而且一开始就采用了分级认证;芬兰、瑞典、西班牙、挪威、意大利、比利时等欧洲国家和日本、韩国等亚洲国家纷纷仿效,积极开展信息安全测评认证工作。 从认证模式看,目前国际上通行的认证模式有8种:第一种是型式检验,以来样为主;第二种是型式试验+认证后监督——市场抽样检验;第三种是型式检验+认证后监督——工厂抽样检验;第四种是型式检验+认证后监督——市场和工厂抽样检验;第五是型式检验+工厂质量体系评定+认证后监督——质量体系复查+工厂和市场抽样检验;第六种是评定供方的质量体系;第七种是批量试验;第八种是全数试验。我国通常开展的是第五种形式,型式的检验+工厂检验评定+政府监督+质量体系复查+工厂质量抽样检验等。认证的流程主要有准备、测评、认证决定、证书的监督和维持四个阶段。
目前,我们把信息安全产品的测评认证分为7个级,并分别对应CC评估标准的
7个级别(EAL1——EAL7)。评估保证级1(EAL1)——功能测试;EAL2——结构测试;EAL3——系统地测试和检查;EAL4——系统地设计;EAL5——半形式化设计和测试;EAL6——半形式化验证的设计和测试;EAL7——形式化验证的设计和测试。在这7个级别中,获证的级别越高,其安全性和可信性就越高,产品就可对抗来自越高程度的威胁,同时也适用更高级别的风险环境。目前我们中心开展了EAL1——EAL5级别的认证工作,第五级目前只针对SIM卡、IC卡这样的产品,而1——4级可以对一般的网络安全产品进行认证。
由于在对信息安全产品高级别第7级的认证中,每一行代码都要求有形式化论证,要求撇开它们的属性、使用功能和用户的背景,从数学上来证明其安全性,这样做非常困难,代价也很高。因此,目前在全世界范围内,最高已做到EAL5级——半形式化测评认证。EAL5级以上的就做得非常的少了。
分级测评认证工作是一项技术强度高、程序严谨的工作。以下以网络安全产品4级认证为例作一介绍。
一个网络产品要进行EAL4级认证,需要经过准备、正式测评和认证三个阶段。
在准备阶段,首先需要提交包括安全目标、功能规范、TOE安全策略模型、高层设计等多达13、14种的材料;然后对这些提交的材料、产品文档等以文档形式化审查和技术审查、现场考察等形式进行预评估,根据预评估结果了解相关证据、生产流程、安全功能、安全保证措施以及相关文档规范是否能达到相应级别的安全要求。并提供必要的技术指导和交流、调整或改进的建议,以保证TOE达到受理要求,开展后续评估工作。
完成预评估后召开项目启动会议,这同时标志着正式测评工作的开始。项目启动会议确定双方参与人员及联系方式。然后开始进行ST评估、TOE评估及现场核查,同时对产品的生命周期支持、配置管理、交付和运行文档、指导性文档、脆弱性分析文档等进行一系列的测试和评估。在由测评中心按照国际标准的规范文本格式撰写的安全目标文档中,不仅要对申请的文档进行评估,提供必要技术指导和交流、根据具体的情况作具体的建议。还要对产品的安全技术要求、产品的具体实现、针对现实的威胁的具体设计、安全功能对威胁的解决等都一一注明,阐释清楚。测评人员还通过对产品状况、配置管理和交付开发环境的现场核查,
了解其生产过程是否满足相应安全和管理的要求。
当整个测评过程完成以后,测评中心根据安全产品所达到的安全级别测评结果和厂商提出的申请,对符合要求的信息安全产品进行EAL4级的认证,并颁发认证证书。
四、分级测评认证是大势所趋
在信息技术飞速发展的21世纪,保障国家信息安全,对信息安全产品、系统、服务等进行分级测评认证已成为大势所趋。第一,它是国家的总体要求,是有关政策的要求。根据国家相关部委文件的要求,2005年开始贯彻落实等级保护政策。第二,它是现实的需求。信息安全等级保护需要不同安全级别的产品、系统、服务资质和人力资源。一个系统是否安全,它离不开里面的IT产品的安全性和安全产品,它们的安全性如何,需要在分级评估的基础上,才能对系统的安全性作出适当的判定。第三,它有相应的推动因素,近期国家相关8部委签发了国认证联[2004]57号文件,其中提到信息安全产品将逐步实行3C认证(中国强制认证),同时要求通过强制认证的产品纳入国家的采购范围。政府优先采购通过认证的高级别的安全产品,将进一步加强国家的信息安全保障工作。第四,它是用户的需求。用户要选择通过认证的产品,尤其要选择高级别的产品,用户包括各个部委和行业的用户,他们在信息安全保障工作中间对信息安全产品、安全服务提供提出了分级的要求,并且要选用相应级别的产品和服务。案例显示,联通公司2004年发了一个招标通知,其中有一条说明是:应标的SIM卡厂商,若获得中国信息安全产品测评认证中心4级认证证书的厂商可加6分,在评标满分为100分的情况下,6分是不容轻视的,很多厂商正是由于没有这个证书,而失去了竞争机会。由此足以看出分级认证证书,尤其是高级证书的含金量。此外,我国信息安全分级测评认证的相关技术、标准、方法和程序已日趋成熟,能够为开展这项工作提供高质量、高效率的服务。
毫无疑问,在信息技术突飞猛进的今天,信息安全已成为国家安全的重要内容之一,正是基于对国家安全和国家建设的重要意义,信息安全等级保护与分级认证正日益受到各国政府的重视。在国际上,分级测评认证已成为一种必然趋势。美国、英国、法国等西方发达国家在信息安全测评认证方面都广泛采用分级认证的标准。以美国为例,从2002年7月起,它的政府和军队采购就已经规定必须
优先选用通过CC认证的产品。在我国,全国信息安全保障工作会议的召开、中办发[2003]27号文的发布、由四部委牵头的联合发文以及近日国家认证认可监督管理委员会牵头制定的国认证联[2004]57号文等规定的颁布,这一系列重大举措均体现出我国政府对于新时期实施信息安全等级保护与分级认证工作的高度重视,相信我国的信息安全等级保护与分级认证工作将在中央领导的高度重视和全社会的推动、支持下越做越好。
百度搜索“爱华网”,专业资料,生活学习,尽在爱华网
