艾特赛克(atsec)针对GAO提出的NIAP CC体系难点做出回答
2006-04-102006年3月,美国Government Accountability Office(GAO)发表了一篇关于共同准则(Common Criteria)认证和监管机构NIAP执行工作的评估报告,题为“信息保障 国家机构的参与提供了利益,但也面临相当的挑战。”
本文由艾特赛克(atsec)信息安全公司提供,该公司多年来致力于大型软件组件的评估工作。本文解释了如何应对评估中的各项挑战,这些方法已经在atsec所完成的CC评估项目中得到很好的应用效果。当前的共同准则方法论的设置和NIAP的CC评估和认证体系,可以涵盖如何解决GAO提出的四项评估问题。很多GAO提出的挑战可以通过采用加强评估流程有效性的创新方法来应对。艾特赛克(atsec)已经通过实际的案例论证了GAO报告提出的问题可以通过这样的有效工作方式来解决。
请访问如下的链接阅读全文:
http://www.atsec.com/downloads/pdf/efficient_cc_evaluations.pdf
GAO的报告链接如下:
http://www.gao.gov/new.items/d06392.pdf
摘要
GAO报告指出了关于CCEVS实现中,共同准则评估方法中的优点和弊端。
优点包括:
- 有利于IT产品独立的评估和测试
- 国际认可的评估结果,有利于更加广泛的产品选型
- IT产品功能性的评估,包括指出并纠正其错误
- 改进厂商的开发流程,帮助改进当前产品甚至未来产品的整体质量
除了列举出了NIAP评估流程的上述优点,GAO报告同时指出了当前实施流程的如下弊端:
- 通过NIAP评估认证的产品不能总是满足代理机构的要求,从而限制了代理机构的收益和产品的使用。
- 厂商NIAP评估流程意识的欠缺,影响了产品评估和认证的时效性。
- 认证机构在认证产品时由数量和时间的限制,使得产品在获得认证之前,延误了代理机构的使用。
- 执行方法的欠缺和NIAP流程文档有效性的欠缺,使得难于展示整体有效性,难于提高产品的安全特性和功能,也难于提高厂商的开发流程。
GAO提出的这些弊端是当前CC参与者必须面对的实际问题。很多提及的弊端可以通过在当前CC和CCEVS范围内实施创新方法来解决,这些方法增强了评估流程有效性。改进流程的建议包括推动有用的保护轮廓(PP)开发;确保所有的参与者理解代理商需求和新兴的技术;分阶段评估,比如最初评估较低级别的EAL,从而为后续更严格的评估构建一个良好的平台;尽可能并行的开展开发、咨询和评估工作。提供尽可能广泛的共同准则(CC)培训机会;从评估实验室层面,要求高质量的评估工作和结果,从而最大限度的节省认证机构的时间。
当考虑改进评估流程时,还有一些其它的问题需要得到CC参与者的重视,但没有被GAO报告特别提出。从保障的维护方面,认证产品升级版本的快速再评估方法必须被制定。此外,CC评估与系统评估认证过程的结合将增强两个独立评估工作的价值。
由于评估工作多数由商业评估实验室来完成,NIAP作为认证机构应该与各个授权的评估机构合作去提出这些潜在问题的解决方案。本文中提及的案例将有助于所有的评估参与者,实现有效可行的流程。
关于艾特赛克(atsec)信息安全公司
艾特赛克(atsec)信息安全公司是一家独立且基于标准的IT(信息技术)安全咨询和评估服务公司,它结合丰富的技术知识以及国际经验,为客户提供具有商业导向的信息安全服务。2000 年,atsec 在欧洲的业务成功发展;随后以此为基础,于2003 年5月在美国扩大服务业务,并于近日设立中国的分支机构。atsec挖掘深入的安全、流程和标准专家技术,致力于IT安全需求的广泛的咨询工作,使得客户建立完整的安全管理流程,达到安全风险管理和提高数据、产品和业务流程可靠性的目的。atsec的客户包括诸多世界范围的知名公司,如IBM、惠普、宝马、SGI、Swisscom、RWE和Vodafone。