通过CC国际安全认证 开拓IT产品国际市场
2006-07-06共同准则(以下简称“CC”)作为国际ISO/IEC 15408标准被很多国家所关注,如美国、加拿大、日本、新加坡、韩国、澳大利亚、以及德国、法国为代表的欧盟国家等;多于20个国家政府官方已经签署了CC互认协定(CCRA),从而在任何CCRA成员国完成认证的产品可以得到其他国家的认可。
中国IT发展非常迅速,近些年出现了很多具有国际竞争力的网络或者安全类产品,然而日趋成熟的国内市场也使得很多的知名公司将目光放到海外的市场,故而基于CC的评估认证则成为必要。如:美国信息产品采购政策明确要求官方采购安全产品必须通过CC认证;法国制定了公共管理领域CC认证的推荐规章;欧盟的信息与网络安全解决方案、电子签名,以及欧洲中央银行系统都要求通过CC认证;德国在多媒体法中规定电子签名系统必须获得CC认证;在欧美以及新加坡等国家许多招标文件中明确的要求产品通过CC安全认证以及特定的安全保障级别。CC认证的产品范围十分广泛,近几年国际上主要以操作系统(如Linux)、智能卡、网络设备为主,而国内当前更关注于防火墙、入侵检测等安全产品的CC评估。
不仅仅为了获得国际认证,IT厂商投资进行产品的安全性评估还会带来多方面的回报:增加客户的信任度和认可度;减少产品中存在的缺陷和风险;减少使用中由于安全问题带来的影响品牌或者声誉的风险;评估所取得的结果可以直接作为市场或者销售的重要资料证明;由于CC认证结果的国际互认性,厂商、客户及其商业合作伙伴无需投入资金进行产品的评测;使产品更加易于维护,从而节省成本。
中国目前还没有加入CCRA的互认协定,因此着眼于国际市场的厂商应该选择国际知名的评估机构协助其获得产品的认证。atsec信息安全公司是为数不多的同时获得美国国家安全信息保障合作组织(NIAP)评测与认证体系(CCEVS)和德国信息安全管理部门(BSI)授权的CC评估实验室之一,在全球范围提供专业的CC评估认证服务。在CC的官方门户网站上可以查到该评估实验室所完成的成功案例,atsec在最具难度的操作系统的评测项目中具有绝对的优势。
CC评估认证工作已经形成了成熟的流程和体系,所花费的时间和资金将依赖于产品的保护轮廓(PP)和安全目标(ST),以及所定义的安全功能和安全保障级别等要求。厂商应根据产品的自身特点,选择合适的机会尽早着手评估认证工作,从而保证并推进海外市场的开拓。
关于艾特赛克(atsec)信息安全公司
艾特赛克(atsec)信息安全公司是一家独立且基于标准的IT(信息技术)安全咨询和评估服务公司,它结合丰富的技术知识以及国际经验,为客户提供具有商业导向的信息安全服务。2000 年,atsec 在欧洲的业务成功发展;随后以此为基础,于2003 年5月在美国扩大服务业务,并于近日设立中国的分支机构。atsec挖掘深入的安全、流程和标准专家技术,致力于IT安全需求的广泛的咨询工作,使得客户建立完整的安全管理流程,达到安全风险管理和提高数据、产品和业务流程可靠性的目的。atsec的客户包括诸多世界范围的知名公司,如IBM、惠普、宝马、SGI、Swisscom、RWE和Vodafone。