国际CC认证体系和CCRA简介
2007-01-26标准历史和发展
共同准则(CC)标准源于世界多个国家的信息安全的准则规范,包括欧洲ITSEC、美国TCSEC(桔皮书)、加拿大CTCPEC以及美国的联邦准则(Federal Criteria)等。这些准则规范在CC发展历程上均得到了各国大力支持,因为早在CC制定之初便达成了共识:采用一套公共的准则规范为IT保障类产品的广泛用户群体提供最大的便利。CC标准很有意义的贡献之一便是将安全功能需求(Security functional requirements)和安全保障需求(Security assurance requirements)通过标准独立的两个部分分开(Part2和Part3)。评估将在特定的安全功能要求上选择适合产品自身条件和产品用户要求的安全保障需求,或者选择欲定义的安全保障级别(EAL)。
国际CC标准由专门的共同准则开发组(CCDB)负责开发和维护。1998年标准开发组的参与国联合了其他国家共同签署了共同准则互认协定(CCRA)[1],其中协定很重要的部分是明确了该体系下认证产品可以得到广泛的认可,目前互认的安全保障级别(EAL)最高为4级。该协定组织明确规定了共同准则和共同评估方法论(CEM:Common Evaluation Methodology)作为互认协定所使用的的标准基础。
除此之外,许多尚未加入到互认协定的国家和机构,也将CC作为关键的标准进行使用,并对CC的发展起到了重要的作用;经过国际范围的不断审核,国际标准组织(ISO)正式采纳CC标准为ISO/IEC 15408(Parts 1-3),CEM为ISO/IEC 18045。CC标准不仅仅用于CCRA成员国家 [1],还应用于其它广泛的国家和地区,例如欧盟范围所采用的另一个认可体系SOGIS。中国的CC认证体系也是很典型的例子,中国引入了ISO/IEC 15408标准作为GB/t 18336国家标准,但中国目前并没有加入到CCRA。
目前CC标准已经发展到第三版本,最新版本为CC v3.1,并于2006年年底正式被国际体系所采用。但是CC当前使用的版本CC v2.3与新版本CC v3.1会在之后的2-3年或者更长时间的评估和认证工作中共存。就像八、九十年代所流行的TCSEC和ITSEC,近期才正式停止使用,而且针对目前原有的产品认证结果还可以进行一定的维护工作。
认证体系
目前共有12个国家和地区的相关机构拥有自己的评估认证体系进行认证证书的颁发并接受互认(Certificate authorizing),它们是澳大利亚、加拿大、法国、德国、日本、韩国、荷兰、新西兰、挪威、西班牙、英国和美国;而另外的12个国家可以接受和认可来自上述国家颁发的认证结果(Certificate consuming),它们是奥地利、捷克、丹麦、芬兰、希腊、匈牙利、印度、以色列、意大利、新加坡、瑞典和土耳其。
在CCRA体系中,成员国家的相关政府职能机构负责签署互认协定并最终成为成员国家,同时其认证机构需要在CCRA监管之下开展工作。对于认证流程和实施方法,中国体系与CCRA体系的模式基本类似,尽管中国目前并不是CCRA互认成员国家。
中国国家信息安全产品测评认证中心经过中国认证机构国家认可委员会(CNAB)授权,并受国家信息安全测评认证管理委员会直接管理。目前中国的体系也在不断的调整和优化,以适应更加严格、复杂、广泛的产品评估认证要求。
而CCRA体系,管理职责一方面由CCRA承担,通过周期性审核评定确保各个国家测评认证体系的质量,该任务基于CCRA附录D、附录G.3、以及附录H的要求说明开展工作。另一方面由国家层面的管理职能机构负责,比如美国体系下,其共同准则评估与认证体系(CCEVS)是美国国家信息安全保障合作组织(NIAP)的一部分,而NIAP则隶属于美国国防部(DoD)下属的国家安全部(NSA)的信息保障部门。在德国,CC评测认证体系由德国BSI(The Bundesamt fur Sicherheit in der Informationstechnik)负责开展,总部位于波恩(Bonn)的德国BSI机构成立于1991年,截至2006年初共有员工450人左右,该机构作为德国联邦政府的IT安全权威部门,协同德国内部和国际合作伙伴负责全面的信息安全工作,如密码、网络安全以及各类相关认证。
无论是中国还是欧美国家评测实验室的授权和认可工作都十分的谨慎和严格,需要遵从一系列的审核以及符合性要求,例如ISO/IEC 17025针对测评实验室的授权要求。中国体系下测评机构应接受国家信息安全产品测评认证中心的现场审核,而且必须通过中国实验室国家认可委员会(CNAL)的认可[2],CNAL也是国际实验室认可合作组织(ILAC)的成员之一(www.ilac.org ),ILAC拥有包括美国国家实验室自愿认可组织(NVLAP)和CNAL在内的约52个成员国家性组织,并存在其互认协定。目前除了国家评测中心自身中国约有14家CC测评机构,其中计算机测评中心、上海测评中心、深圳测评中心等5家已正式授权。而CCRA体系之下,美国的CC评测实验室授权工作是由美国国家标准和技术学会(NIST)下属的国家实验室自愿认可组织(NVLAP)联合NIAP共同展开的。美国授权评测实验室其列表如下:
- Arca CCTL
- atsec information security corporation
- Booz Allen & Hamilton Common Criteria Testing Laboratory
- COACT Inc. CAFE Laboratory
- Computer Sciences Corporation
- Criterian Independent Labs
- CygnaCom Solutions, Inc
- InfoGard Laboratories, Inc.
- SAIC Common Criteria Testing Laboratory
德国BSI体系下的评测实验室共有10余家,其中包括邻国荷兰的评测实验室TNO,列表如下:
- atsec information security
- Atos Origin GmbH
- CSC Deutschland Solutions GmbH
- datenschutz nord GmbH
- DFKI (Deutsches Forschungszentrum fur Kunstliche Intelligenz)
- Industrieanlagen-Betriebsgesellschaft (IABG) mbH
- media transfer AG
- Secunet SWISS-IT AG
- SRC Security Research & Consulting GmbH
- Tele Consulting (TC) GmbH
- TNO-ITSEF BV
- T-Systems GEI GmbH
- TUV Informationstechnik (TUVIT) GmbH
在美国和德国等国际CC评估体系下,认证机构(CB)并不直接为评估申请者进行产品评测,而评测工作由上述授权的商业评测机构来完成,例如美国CCEVS和德国BSI作为CB只负责产品的认证,以及对评估机构提供结果的审核,对评估机构的定期监督审计和监管。而对于评估申请者(一般是产品厂商),需要与评测实验室直接联络来完成评测认证工作。
中国与CCRA体系另一个重要区别在于针对产品版本管理的认证细节和证书有效期,这也是各个体系所关注,且需要不断探讨和提高的问题之一。基于中国信息安全产品测评和认证中心体系下,产品认证证书的有效期为三年,有效期内测评认证中心会对获证产品抽样检查或审核。中国国家信息安全认证证书和认证标志三年有效期满后,用户对同一产品须另行申请认证,这样可以更好地推动用户不断提高该产品的技术水平和质量水平,适应不断发展的技术和技术标准。而基于CCRA的认证体系没有对产品证书的有效期做任何限制,这意味着产品证书对当前版本的产品终身有效;而任何产品版本升级或补丁更新,认证机构均需要重新进行认证流程。故而在CCRA体系下,CC标准第三部分的安全保障需求中的保障维护Assurance Maintenance(AMA)类目前没有得到使用。CCRA体系可以为认证申请者针对当前的版本产品带来很大的便利,无需维护证书的有效期或者接受定期审核检查,但同样带来关于产品版本升级的不方便性和问题,针对这些问题,atsec评估实验室的专家们通过在国际范围的实际评估的项目经验获得一些心得和结论,并在2006年西班牙第七届CC国际大会(ICCC)上与更多地CC专家和参与者进行分享和讨论。
认证活动
如图4所示中国国家信息安全产品测评认证中心的认证产品统计明细,首例通过认证的产品在1999年完成,之后截至2006年9月共计完成了374项产品的评测和认证。[2]
同样地,基于CCRA体系由CCRA官方网站数据显示的产品认证情况如图5所示[11]。由于体系和分类标准的差异,本图表所使用的产品类别信息没有与中国体系使用完全等同的分类方式。
下表显示了中国体系和国际体系的一些认证结果数据。CCRA的数据来源于CC官方网站所显示的列表,但其中不包括2005年12月31日之后完成认证的产品,也不包括EAL5或者更高级别的产品;另外有些认证申请者由于机密性考虑,要求不公开其证书和产品信息,故而此统计数据也不包括这些产品。
|
|
评测实验室个数 |
2005年完成认证产品数量 |
完成认证产品总数 |
|
中国体系 |
15 |
38 |
374 |
|
澳大利亚 & 新西兰 |
3 |
3 |
13 |
|
加拿大 |
3 |
18 |
42 |
|
法国 |
6 |
14 |
79 |
|
德国 |
14 |
22 |
73 |
|
日本 |
3 |
18 |
29 |
|
荷兰 |
1 |
0 |
0 |
|
挪威 |
2 |
0 |
0 |
|
英国 |
5 |
8 |
49 |
|
美国 |
10 |
48 |
104 |
|
CCRA合计 |
47 |
146 |
389 |
结束语
本文简要地描述了CC标准的国际使用情况,以及和中国现行体系的一些对比。国际CCRA体系的评测认证开始于1998年,而中国体系最早始于1997年,基本历经了同样的时间。
虽然中国的评测认证体系还没有正式与国际CCRA成员国家开展产品认证的协同合作,但可以看到中国与国际CCRA采用基本类似的评测认证体系,基本遵从同样技术层面的评测准则和方法论。不仅仅是CC咨询或者评估者,越来越多的产品开发者和产品用户开始理解CC评估的真正价值和意义,他们对于标准的发展也起到了至关重要的作用,比如目前国内外很多切实从产品用户需求角度提出的经典的保护轮廓(PP)被广为采纳和使用。中国CC领域专家已经和国际CC组织开展了很多技术层面的交流,相信通过各国的共同努力,产品认证体系和测评标准会进一步的完善和提高。
[1] Arrangement on the Recognition of Common Criteria Certificates In the field of Information Technology Security. May 2000
[2] 国家信息安全产品测评认证中心官方网站http://www.itsec.gov.cn/
[3] CC官方网站http://www.commoncriteriaportal.org