信息安全产品等级评估综述

network

信息安全产品等级评估综述
信息来源：中国计算机安全
作　　者：中国信息安全产品测评认证中心 刘　晖



一、等级评估简介
     现代社会越来越依赖于信息系统，信息系统的安全性也越来越成为企业、团体、乃至国家效益与稳定的关键。国家的信息化程度越高，其所面临的信息安全挑战就越多。如何成功地处理信息安全问题，从而在充分利用信息技术发展带来的好处的同时，保障发展的安全，具有极大的现实意义。


     网络安全产品分级评估的对象是信息技术产品和系统的安全功能及相应的保证措施，评估过程是为满足这些要求的产品和系统的安全功能以及相应的保证措施确定一个可信级别，使各种独立的安全评估结果具有可比性。不同的应用场合（或环境）对信息技术产品或系统能够提供的安全性保证程度的要求是不一样的，因为不同的使用环境面临的安全威胁是不同的，所保护的信息资产的价值也有大有小。因此，等级保护的核心在于“合理投入”、“分级进行保护、分类指导”、“分阶段实施”等。评估结果可帮助用户确定信息技术产品和系统就其应用而言是否足够安全，以及在使用中隐藏的安全风险是否可以容忍。


     中办发[2003]27号文《关于加强信息安全保障工作意见》和全国信息安全保障工作会议明确提出了我国在建立信息安全体制中等级保护的重要性。然而，等级保护思想不仅仅应用于信息安全保障，它对于信息安全体系的第一环安全评估工作，依然有着重要的作用。27号文件明确规定我国信息安全实施等级保护：执行过程控制标准适用于安全等级管理对安全系统及安全产品从设计、实现、检测、评估到监督、检查的管理需要；有相应的执法人员确保等级保护的贯彻执行。


二、等级评估的目的和意义
     信息技术安全产品评估是第三方对信息技术安全产品的安全性做出的独立保证，可以增强用户对已评估产品安全的信任。IT产品和系统拥有的信息是能使组织成功完成其任务的关键资源。此外，人们也要求保护IT产品和系统内的私人信息的私密性、可用性，并防止未授权的更改。当对信息进行正确控制以确保它能防止冒险，诸如不必要的或无保证的传播、更改或遗失，IT产品和系统应执行它们的功能。“IT安全”用于概括预防和缓解这些及类似的冒险。许多IT用户缺乏判断其IT产品和系统的安全性是否恰当的知识、经验和资源，他们并不希望仅仅依赖开发者的声明。用户可借助对IT产品和系统的安全分析（即安全评估）来增加他们对其安全措施的信心。通过评估不仅可以为政府及各行业的广大消费者提供信息技术安全产品的采购依据，而且可以推动信息技术安全产业的发展，提高信息安全科研和生产水平。产品评估为建立安全的信息系统和信息系统的安全评估奠定重要的基础，在一切信息系统的建设中，选用通过安全性评估的信息技术或信息技术安全产品，可以尽可能地降低系统或网络的安全风险，保护系统运营单位或组织的信息资产安全。同时，评估可以使产品的研制和生产过程逐步走向规范和标准化，引导生产厂商开发出满足国际或国家标准的产品，加快整个信息技术安全的标准化过程。信息技术安全产品评估既保护了用户的利益也保护了厂家的利益，最终为有效地建立起我国的信息安全保障体系服务。


三、等级评估的依据和级别划分
     产品评估的基础标准是GB/T 18336《信息技术 安全技术 信息技术安全性评估准则》。《信息技术安全通用评估方法》、各类产品的保护轮廓（PP）、安全技术要求、规范等是产品评估的重要依据。


     根据国家标准《信息技术 安全技术 信息技术安全性评估准则》（GB/T 18336－2001），信息技术安全产品的评估由低到高划分为7个级别，即评估保证级1（EAL1）——评估保证级7（EAL7）。这7个级别的高低次序在确定时权衡了各个级别所获得的保证以及达到该保证程度所需的评估代价和可行性。每个高级别的EAL都比所有较低级别的EAL表达更多的保证。EAL1到EAL7保证级别的不断增加，靠的是用同一保证族中一个更高级别的保证组件替换低级别中的相应组件 (即增加严格性、范围或深度)，或增加另一个保证族中的保证组件(例如，添加新的保证要求) 来实现。


    每个保证级（EAL）都是一些保证组件的适当组合。除标准中明确定义的7个标准的保证级外，希望对产品进行评估的用户，还可以依据自己的特殊情况，定义自己的保证要求。然而，标准所允许的最常见的做法是在7个标准的评估保证级基础上增加额外的保证要求，即将没有包括在EAL中的保证族中的组件增加到EAL中，或用同一个保证族中的其它更高级别的保证组件替换EAL中原有的保证组件。形成7个标准评估保证级的增强级，即EAL1+——EAL7+，但是CC不允对EAL“减弱”。


    目前中国信息安全产品测评认证中心信息安全实验室开展了EAL1——EAL4四个评估保证级的评估工作，EAL5——EAL7三个级别的评估将视具体情况与委托方研究协商后确定。GB/T 18336中定义的7个评估保证级为：
1.评估保证级1(EAL1)——功能测试；
2.评估保证级2(EAL2)——结构测试；
3.评估保证级3(EAL3)——系统地测试和检查；
4.评估保证级4(EAL4)——系统地设计、测试和复查；
5.评估保证级5(EAL5)——半形式化设计和测试；
6.评估保证级6(EAL6)——半形式化验证的设计和测试；
7.评估保证级7(EAL7)——形式化验证的设计和测试。

四、评估保证级介绍
1．评估保证级1(EAL1)—功能测试
     EAL1适用于对正确运行需要一定信任的场合，但该场合对安全的威胁并不严重。EAL1通过独立的保证来说明，TOE对个人或类似信息的保护给予了应有的重视。实验室对客户提供的TOE进行EAL1评估，包括依据规范执行独立测试和检查客户提供的指南文档。在没有TOE开发者的帮助下，EAL1评估也能成功进行。EAL1评估所需费用最少。


     EAL1评估使用功能和接口规范以及指南文档对安全功能进行分析，了解安全行为，提供基本级别的保证。完成这种分析需要对TOE安全功能进行独立测试。EAL1与未评估的IT产品或系统相比，在安全保证上取得了有意义的增长。


2．评估保证级2(EAL2)—结构测试
     EAL2适用于以下情况：开发者或使用者需要对安全性作出低中级的独立（第三方）保证，而又缺乏现成可用的完整开发记录。在对已有系统采取安全措施或与开发者的接触受到限制时，可能会出现这种情况。EAL2评估在提供设计信息和测试结果时，需要开发者的合作，除此之外不要求开发方付出更多的努力，因此与EAL1相比不需要增加过多的费用和时间。


     EAL2评估使用功能和接口的规范、指南文档和TOE高层设计，对安全功能进行分析，了解安全行为，提供保证。完成这种分析需要进行的工作包括：TOE安全功能的独立性测试，开发者基于功能规范进行测试得到的证据，对开发者测试结果进行的选择性独立确认，功能强度分析，开发者搜寻明显脆弱性的证据。EAL2还将通过TOE的配置表，以及安全交付程序方面的证据来提供保证。通过要求开发者测试和脆弱性分析以及根据更详细的TOE规范完成的独立性测试，EAL2的安全保证与EAL1相比，有明显的增长。


3．评估保证级3(EAL3)－系统地测试和检查
      EAL3可使一个尽职尽责的开发者，在设计阶段能从正确的安全工程中获得最大限度的保证，而不需要对现有的合理开发实践作大规模的改变。EAL3适用的情况是：开发者或使用者需要对安全性做出中级的独立（第三方）保证。EAL3评估要求对TOE及其开发过程进行彻底调查，但不需进行实质上的重设计。


     EAL3评估使用功能和接口规范、指导性文档和TOE高层设计，对安全功能进行分析，了解安全行为，提供保证。完成这种分析需要进行的工作还包括：TOE安全功能的独立测试，开发者根据功能规范和高层设计进行测试取得证据，对开发者测试结果进行选择性独立确认，功能强度分析，开发者搜寻明显脆弱性的证据。EAL3还将通过开发环境控制措施的使用、TOE的配置管理和安全交付程序方面的证据提供保证。通过对安全功能和机制测试范围的更完整要求，以及要求相应的程序以说明TOE在开发过程中不会被篡改提供一定的信任，EAL3的安全保证与EAL2相比，有明显的增长。


4．评估保证级4(EAL4)—系统地设计、测试和复查
     EAL4可使开发者从正确的安全工程中获得最大限度的保证。开发者需要良好的商业开发实践经验，虽然要求很严格，但并不需要大量专业知识、技巧和其它资源。在经济许可的条件下，对已存在的生产线进行翻新时，EAL4是能够达到的最高级别。因此EAL4适用于以下情况：开发者或使用者需要对传统的商品化TOE的安全性做出中高级独立的（第三方）保证，并准备负担额外的安全工程费用。


     EAL4评估使用功能和完整的接口规范、指导性文档、TOE高层设计和低层设计、实现子集，对安全功能进行分析，了解安全行为，提供保证，并且通过非形式化TOE安全政策模型获得额外保证。完成这些分析需要进行的工作还包括：TOE安全功能的独立测试，开发者根据功能规范和高层设计进行测试得到的证据，对开发者测试结果有选择地进行独立确认，功能强度分析，开发者搜寻脆弱性的证据，以及为证明可抵御具有低等攻击潜力的穿透性攻击者的攻击而进行的独立的脆弱性分析。EAL4还将通过使用开发环境控制措施，以及TOE自动配置管理和安全交付程序证据，提供保证。EAL4通过进一步要求设计描述，实现子集，以及增强机制和有关程序，为说明TOE在开发或交付过程中不被篡改提供了一定的信任，使安全保证与EAL3相比，有明显的增长。


5．评估保证级5 (EAL5) —半形式化设计和测试
     EAL5允许开发者从严格采用商业开发实践，并适度应用专门安全工程技术的安全工程中获得最大限度的保证。这种TOE开发是为达到EAL5保证的目的而设计和开发的。相对于严格开发而不应用专门技术而言，由EAL5 要求引起的额外开销不会很大。 EAL5 适用于以下情况：开发者和使用者在按计划进行的开发中需要对安全性做出高级别的独立（第三方）保证，并且需要严格的开发方法，避免由专业安全工程技术引起的不合理开销。


     EAL5评估使用功能和完整的接口规范、指导性文档、TOE 的高层和低层设计以及全部实现，对安全功能进行分析，了解安全行为，提供保证，并且通过TOE安全政策的形式化模型、功能规范和高层设计的半形式化表示以及它们之间对应性的半形式化证明获得额外保证，此外还需要TOE的模块化设计。 完成这些分析需要进行的工作还包括：TOE安全功能的独立测试，开发者根据功能规范、高层设计和低层设计进行测试得到的证据，对开发者测试结果有选择地进行独立确认，功能强度分析，开发者搜寻脆弱性的证据，以及为证明可抵御具有中等攻击潜力的穿透性攻击者的攻击而进行的独立的脆弱性分析。另外还需要对开发者的隐蔽信道分析进行确认。 EAL5 还将通过使用开发环境控制措施，以及包括自动化在内的全面的TOE配置管理和安全交付程序证据，提供保证。EAL5通过要求半形式化的设计描述、整个实现，更结构化（因而更具有可分析性）的体系结构，隐蔽信道分析，以及增强机制和有关程序，为说明TOE在开发过程中不会被篡改提供一定的信任，使安全保证与EAL4相比，有明显的增长。


6．评估保证级6 (EAL6) —半形式化验证的设计和测试
     EAL6使开发者把安全工程技术应用于严格的开发环境，以便生产出优质昂贵的TOE，用来保护高价值的资产，避免重大风险，从而获得高度的保证。因此EAL6 适用于那些将应用于高风险环境下的安全TOE的开发，高风险环境中受保护的资产值得花费额外的开销。


     EAL6 评估使用功能和完整的接口规范、指南文档、TOE高层和低层设计以及实现的结构化表示，对安全功能进行分析，了解安全行为，提供保证。并且通过TOE安全政策的形式化模型、功能规范、高层设计和低层设计的半形式化表示以及它们之间对应性的半形式化证明获得额外保证。此外还要求TOE设计的模块化与层次化。完成这些分析需要进行的工作还包括：TOE安全功能的独立测试，开发者根据功能规范、高层设计和低层设计进行测试得到的证据，对开发者测试结果有选择地进行独立确认，功能强度分析，开发者搜寻脆弱性的证据，以及为证明可抵御具有高等级攻击潜力的穿透性攻击者的攻击而进行的独立的脆弱性分析。另外还需要对开发者对隐蔽信道的系统分析进行确认。 EAL6 还将使用结构化的开发过程、开发环境控制措施，以及包括完全自动化在内的全面的TOE配置管理和安全交付程序证据，提供保证。EAL6通过要求更全面的分析，实现的结构化表示，更体系化的结构，更全面的独立脆弱性分析，系统化的隐蔽信道标识，以及增进的配置管理和开发环境控制，使安全保证与EAL5相比，有明显的增长。


7．评估保证级7(EAL7) —形式化验证的设计和测试
     EAL7 适用于用于极高风险环境或者那些资产价值高值得花更高代价加以保护的环境中的安全TOE的开发。目前EAL7的实际应用局限于具有坚固集中的安全功能的TOE，它们能经得住广泛的形式化分析。


     EAL7评估使用功能和完整的接口规范、指南文档、TOE 高层和低层设计、以及实现的结构化表示，对安全功能进行分析，了解安全行为，提供保证，并且通过TOE安全政策的形式化模型、功能规范和高层设计的形式化表示，低层设计的半形式化表示，以及它们之间对应性的形式化和半形式化证明获得额外保证。此外还需要TOE的模块化、层次化且简单的设计。完成这些分析需要进行的工作还包括：TOE安全功能的独立测试，开发者根据功能规范、高层设计和低层设计和实现表示进行测试得到的证据，对开发者测试结果的全部独立确认，功能强度分析，开发者搜寻脆弱性的证据，以及为证明可抵御具有高等级攻击潜力的穿透性攻击者的攻击而进行的独立的脆弱性分析。另外还需要对开发者对隐蔽信道的系统分析进行确认。 EAL7 还将使用结构化的开发过程、开发环境控制措施，以及包括完全自动化在内的全面的TOE配置管理和安全交付程序证据，提供保证。EAL7通过要求使用形式化表示和形式化对应性进行更全面的分析，以及更全面的测试，使安全保证与EAL6相比，有明显的增长。


     纵观世界，各国政府在充分认识到全球化和信息化利弊的基础上，高度重视本国信息安全产业的发展。信息安全概念经历了物理安全、计算机安全、通信安全、网络安全等概念的发展与演化，信息安全与信息保障已发展为以机密性、完整性、可用性、可鉴别性和抗抵赖性的安全服务为核心，使用信息安全的技术措施、管理措施、运行措施和维护措施等手段实现信息系统的安全，信息技术安全测评标准也经历了从TCSEC、ITSEC、CTCPEC、FC、CC过程演化与发展。安全不是绝对的，在一个国家的信息安全保障体系建设中，等级评估的作用不可忽视。根据CCEVS的统计数字，目前国外已有20多家的防火墙通过了EAL2和EAL4级认证，有近10家入侵检测产品通过了EAL2和EAL3级认证，除此之外通过等级评估的产品还有智能卡、PKI、VPN、防病毒、操作系统和网管产品等。


     中国信息安全产品测评认证中心2001年底正式开展SIM卡和芯片操作系统COS的等级评估。2003年10月开展了对网络安全产品的等级评估，截止2004年7月30日，已有3个厂家的网络安全产品通过了中国信息安全产品测评认证中心的EAL3级认证，它们分别为：天融信公司的网络卫士防火墙 NGFW4000（V2）、金诺网安公司的入侵检测系统（KIDS V8.2）以及启明星辰公司的天阗入侵检测与管理系统（V6.0）。目前尚有多个防火墙、入侵检测系统和安全操作系统正在评估之中。