白话说CC-信息安全通用标准CC是什么?评估保障级EAL有是什么?如何获得信息安全认证证书
白话说CC--稍有点小复杂的CC介绍
小黑:小白,小白听说了吗,中国金融认证中心(CFCA)信息安全实验室检测的一款芯片获得了EAL5+认证证书!
小白:听说啦,这可是行业内的大新闻呢。EAL5+级别可是CC体系中较高的评估保障级。以前咱们国家这个领域证书最多到EAL4+级别,现在终于有EAL5+的了,这可意味着国家在这个领域技术向着国际先进水平迈出了坚实的一步。
小黑:嗯嗯,听起来蛮振奋人心。说到CC还挺迷糊的,有道是以史为鉴可以知兴替,要不你先给我讲讲CC的背景吧。
小白:可以说CC顺着商业全球化的“运”,终结了标准各自为政的时代。自打上世纪70年代信息时代的到来,信息产品得到了普遍且广泛的应用,安全问题也随之成为了焦点。但是安全往往很敏感,跟政治关系密切。所以在CC出现之前,每个国家各自为政制定自己的产品安全评估的标准。3个代表性的标准是1983年美国发布的TCSEC、1991年由英法德荷欧洲四国制定的ITSEC,以及1993年加大拿制定的CTCPEC。
但是呢,分散的标准不利于全球化的商业活动。产品卖往不同国家,跨国企业不得不在各个国家分别进行认证。每个认证需要人力物力不说,这些认证还存在相同之处,企业还得重复劳动。此外,由于各个认证之间没有可比性,消费者在购买商品时需要花费大量时间去比较产品,这无形的增加消费者负担。有道是,天下大势合久必分,分久必合。终于大家坐不住了,在1993年,以美英为首的6国7集团决定联合制定一个通用标准Common Criteria,也就是CC,还成立了CC互认组织(CCRA)。
CC可厉害了!首先,CC适用于所有IT产品的检测,不管是硬件、软件还是固件,都能在同一个框架下评估;其次,CC融合了TCSEC、ITSEC、CTCPEC等标准,站在巨人肩膀上又超越了这些标准,更能适应信息技术的发展,这就为CC标准通用性提供了技术支撑;最厉害的是,CC评估结果在CCRA中互相认可。
CC自1995年建立以来,历经了多次演变。目前最新版是CC3.1版本,CC4.0版本正在修订中,预计2021年发布。20多年来,CC不改初心,一直朝着减少标准复杂性、适应新型产品需求,在保证安全性的同时降低评估成本方向发展。
小黑:CC发展有点像秦始皇统一度量衡的意思呀。听着还挺有意思的,再说说,CC具体都包括啥内容呀?
小白:目前的CC3.1版本包含三个内容,第一部分简介和一般模型,描述了CC体系中所使用的基本概念以及对PP(保护轮廓)和ST(产品的安全目标)的评估要求。第二部分是安全功能要求(SFR),用标准化方式描述IT产品可以提供的安全功能的特征。第三部分是安全保障要求(SAR),定义了为保证IT产品安全功能实现的正确性,开发者和评估者所需要活动。听着有点抽象吧,先听个大概,具体细节我们以后再解释。
小黑:哦,确实有点晕。那EAL5+是怎么回事,与CC三部分什么关系?
小白:EAL是评估保障级的缩写啦。把保障级看作置信度就好啦,信任的对象是:产品已经正确实现了其声称的安全措施。保障级的高低这样来理解吧,越高的保障级说明开发过程越规范化,送检方给评估者提供越多信息,评估的内容也越丰富,获证之后消费者就会越放心使用这款产品。一言以蔽之,通过高保障级的产品能让消费者更相信这款产品的确实现了其所声称的安全措施。
再多说一句吧,CC预定义了7个保障级,每个保障级由一些安全保障要求组成。满足了保障级相应的安全保障要求,就达到了相应的保障级。高保障级从深度和广度两方面扩展低保障级,以此增加消费者信心。举个小栗子,EAL5+在EAL4+基础上提高了要求,开发者需要用半形式化描述设计文档。
小黑:那CC的评估框架是啥呢? 为啥CC适用于所有IT产品呢?
小白:CC之所以适用所有IT产品,因为CC找到了IT产品共通点,无论什么产品形式,最终的目的是保护IT产品内部的资产,比如用户数据是芯片所保护的资产之一。
因此CC框架要求产品开发者从资产出发,明确IT产品保护的资产,分析资产所有的安全问题(主要是来自外部的威胁,例如侧信道攻击导致信息泄露),然后根据安全问题提出保护资产的安全措施。然后CC从两个方向评估安全措施,一个是安全措施的充分性,即正确运行所有的安全措施可以抵御对资产的威胁;另一方面是确保所声称的安全措施实现的正确性。
充分性的评估,可以分析产品的安全目标中安全功能要求是否能解决所有的安全问题。正确性评估则需要根据安全保障要求定义的活动检查产品从研发、测试到交付过程中的各个环节,保证产品实现的正确性,避免在各个环节引入脆弱性。评估活动包括测试产品、检测产品的各种设计表示,检查产品开发环境的物理安全等。
小黑:说白了就是CC关注安全措施的正确性和充分性,SFR负责充分性,SAR负责正确性呗?
小白:机智~,无图无真相,看图:
小黑:前面说到评估需要每个产品有一个安全目标,反映其安全措施是否充分是吧?其实一类产品会面对同样的安全问题,每个产品都重复定义一遍好麻烦呀。如果两个相同类型的产品定义了不同的资产、安全问题怎么评估呢?对于这些问题CC有解决办法吗?
小白:没错,每个产品都需要有一个安全目标,因为产品的安全目标描述产品具体实现的安全功能,与实现紧密相连。对于一类产品的评估方法,CC的解决办法是一堆业界专家坐下来,对于某个类型产品定制一个PP(Protection Profile)。由PP定义此类产品需要保护的资产,所面临的安全问题,以及与实现无关的安全需求。因为业界专家共同编的PP嘛,所以定义的内容还是蛮有普适性的。目前国际上评估芯片产品用的是PP0084。简单说,产品的安全目标约等于 pp内容+实现相关内容,这就完美回避了你说的同类型产品定义了不同资产这种问题啦。说这么多,其实都可以理解为PP可以作为该类产品的检测依据啦。
小黑:对了,为啥老说国际CC和国内CC呢?他俩有啥区别?
小白:之前也说过,CC的评估结果在CCRA中互认,但是中国并不包括在CCRA之内。所以国内专家就参考ISO15408(也就是CC的国际化版)框架编写,同时加入了一些本土化的部分,就成为了国内的CC。本次EAL5+认证检测的依据GB/T 22186-2016也是参考了国际CC中芯片类PP,PP0035(PP0084的前一版)编写而成。是不是颇有点本是同根生的意味呢。
小黑:CC标准不错,那怎么保证标准的执行呢?谁去监督和检查呢?国内CC怎么认证的呢?
小白:好问题,国内外CC都使用的认证+检测的方式,来保证评估结果的客观性的。认证机构会定义一套专门的实施规则指导CC评估的实施。在国内,CCRC是IT产品信息安全认证中心,能够为通过认证的产品发证。CCRC的实施规则中采用国际最通用的认证模式:型式试验+工厂检查+获证监督这种模式。
认证参与者主要包括认证机构、送检企业和检测机构三方。送检企业提交产品资料,检测机构实施检测,认证机构对检测机构的检测活动进行监督和管理,审核检测机构出具的报告,审核通过后为送检企业颁发认证证书。具体问题可以咨询CFCA信息安全实验室,他们可是CCRC授权的检测实验室。
小黑::今天讲的内容太多了,我要回去消化一下,下次再和你聊啦
小白:好的。See you
白话说CC-信息安全通用标准CC是什么?评估保障级EAL有是什么?如何获得信息安全认证证书相关推荐
- 白话说CC--五分钟带你了解EAL4+与EAL5+的区别
前不久,由中国金融认证中心(CFCA)信息安全实验室检测的一款芯片获得了首个国内EAL5+认证证书.而在此之前,国内的芯片检测认证一直止步于EAL4+级别,如果想要过EAL5+及以上级别的检测认证,需 ...
- linux下cc命令,Linux cc 命令 command not found cc 命令详解 cc 命令未找到 cc 命令安装 - CommandNotFound ⚡️ 坑否...
显示行号 | 选择喜欢的代码风格 默认 GitHub Dune LakeSide Plateau Vibrant Blue Eighties Tranquil cc 命令运行系统的 C 编译器.这是 ...
- Learning Adobe Animate CC 学习Adobe Animate CC Lynda课程中文字幕
Learning Adobe Animate CC 中文字幕 学习Adobe Animate CC 中文字幕Learning Adobe Animate CC 使用Adobe Animate CC为网 ...
- 拿下两个世界第一,阿里人机对话模型成人工智能国际通用标准
近日,第七届对话系统技术挑战赛(DSTC7)中,阿里AI获得双料冠军,成最大赢家. DSTC7由来自微软研究院.卡耐基梅隆大学的科学家于2013年发起,是人工智能领域的权威学术比赛.它要求参赛的AI模 ...
- SSO的通用标准OpenID Connect
文章目录 简介 OpenID Connect是什么 ID Token 请求ID Token ID Token可以做什么 Open Connect认证码授权的例子 User Info 简介 OpenID ...
- php防止cc攻击代码,防cc攻击PHP防CC攻击实现代码
这种时候您的统计系统(可能是量子.百度等)当然也是统计不到的.不过我们可以借助于一些防攻击的软件来实现,不过效果有时并不明显.下面我提供一段PHP的代码,可以起到一定的防CC效果. 主要功能:在3秒内 ...
- 1月29日云栖精选夜读 | 拿下两个世界第一,阿里人机对话模型成人工智能国际通用标准...
近日,第七届对话系统技术挑战赛(DSTC7)中,阿里AI获得双料冠军,成最大赢家. 热点热议 拿下两个世界第一,阿里人机对话模型成人工智能国际通用标准 作者:阿里云头条 阿里云Kubernetes容器 ...
- sql2005关闭c2审核_C2审核–使用C2审核模式SQL Server审核和通用标准合规性
sql2005关闭c2审核 This article will cover SQL Server C2 auditing using C2 audit mode including an introd ...
- 腾讯云联合信通院等发布标准物模型平台,构建物联网行业通用标准
12月10日,腾讯云在IoT生态峰会上正式发布并上线针对物联网行业的标准物模型平台.腾讯标准管理中心总监代威表示,将在工业互联网联盟框架下联合各领域合作伙伴,通过标准物模型平台共同构建各类信息模型,让 ...
最新文章
- 2019嵌入式智能国际大会圆满落幕,7大专场精彩瞬间释出!
- 人工神经网络中为什么ReLu要好过于tanh和sigmoid function?
- yum安装出现Error: Package: glibc-headers-2.17-157.el7.x86_64 (centos7.3)类似报错解决方案
- Ubuntu命令行下安装,卸载软件包的过程
- 移动APP开发中8大安全问题
- linux /dev/null 21,/dev/null 21 21 与 的意思
- 科技推动时代发展,浅谈IT技术如何改善数据中心运维管理
- linux 监听数据包,linux下网络监听与发送数据包的方法(即libpcap、libnet两种类库的使用方法)...
- 网页边框和网页文字阴影
- Zabbix官方文件Zabbix图形树
- 语音识别基础知识_语音识别_CTI论坛
- 修改了一个YUV/RGB播放器
- Python3 类(2)
- 如何根据地理位置获取城市编码 / (高德地图) 获取城市编码API / 经纬度获取城市or城市编码
- 【计算机网络】1概述
- 华为笔记本电脑驱动Linux版,华为改进Linux笔记本电脑驱动程序
- 艾美捷胆固醇肉豆蔻酸酯说明书和相关研究
- MOS管寄生电容是如何形成的?
- 斗鱼直播Android开发二面被刷,真香!
- 转-----交叉验证、留一交叉验证、自助法