COMMON CRITERIA(簡稱CC,中文名為“通用準(zhǔn)則”)是一套國際標(biāo)準(zhǔn)(ISO/IEC 15408),用于評估信息技術(shù)產(chǎn)品和系統(tǒng)的安全性,允許對工業(yè)、政府、汽車、B2B、B2C 等眾多環(huán)境中最廣泛的產(chǎn)品進(jìn)行安全識別。它是由國際標(biāo)準(zhǔn)化組織(ISO)和國際電工委員會(IEC)聯(lián)合發(fā)布的標(biāo)準(zhǔn),目的是為信息技術(shù)產(chǎn)品和系統(tǒng)的安全認(rèn)證提供一個統(tǒng)一的框架。隨著新型物聯(lián)網(wǎng)技術(shù)和用例的出現(xiàn),通用標(biāo)準(zhǔn)正在成功過渡到新領(lǐng)域,使產(chǎn)品提供商能夠展示最高的產(chǎn)品質(zhì)量,同時也被用作 SESIP、GSMA、PSA 等新興標(biāo)準(zhǔn)的指導(dǎo)原則。
近期Keysight Riscure支持北京智芯微電子科技有限公司自主研發(fā)的 “樞紐”操作系統(tǒng)獲得信息技術(shù)安全評估準(zhǔn)則EAL5增強(qiáng)級(CC EAL5+)證書,成為國內(nèi)工業(yè)操作系統(tǒng)領(lǐng)域首家獲得國際CC EAL5+安全認(rèn)證的公司,也是智芯公司第一張國際CC EAL5+證書, 標(biāo)志著智芯公司“樞紐”操作系統(tǒng)在安全性和可靠性方面達(dá)到了行業(yè)領(lǐng)先水平,為工業(yè)控制系統(tǒng)的安全防護(hù)樹立了行業(yè)新標(biāo)桿。
智芯公司的CC EAL5+認(rèn)證證書
獲得COMMON CRITERIA 證書正在成為國內(nèi)產(chǎn)品提供商保障消費者安全,提升自身產(chǎn)品質(zhì)量和市場競爭力及進(jìn)入海外市場的殺手锏,越來越得到各大公司的重視。之后我們將陸續(xù)分享COMMON CRITERIA 認(rèn)證的相關(guān)知識。
1. COMMON CRITERIA的背景與目標(biāo)
在信息技術(shù)產(chǎn)品和系統(tǒng)的快速發(fā)展和廣泛應(yīng)用的背景下,確保這些產(chǎn)品和系統(tǒng)的安全性變得尤為重要。為了減少產(chǎn)品安全性評估的重復(fù)性工作和提高評估過程的透明度與一致性,COMMON CRITERIA應(yīng)運而生。其目標(biāo)是通過制定統(tǒng)一的安全評估標(biāo)準(zhǔn),幫助消費者、開發(fā)者以及認(rèn)證機(jī)構(gòu)評估和驗證信息技術(shù)產(chǎn)品和系統(tǒng)的安全性,確保它們能夠滿足特定的安全需求和功能。
2. COMMON CRITERIA的主要內(nèi)容
COMMON CRITERIA的框架包括三個主要組成部分:
安全目標(biāo)(Security Target, ST):
是對某一特定信息技術(shù)產(chǎn)品或系統(tǒng)在安全性方面要求的明確描述。它列出了該產(chǎn)品或系統(tǒng)必須滿足的安全需求和特性,并且可以作為評估的基礎(chǔ)。
安全需求(Security Requirements):
通過功能安全性和保障機(jī)制來定義產(chǎn)品或系統(tǒng)應(yīng)具備的具體安全需求。具體包括以下幾個方面:
? 認(rèn)證和身份驗證
? 密碼安全
? 用戶數(shù)據(jù)及隱私保護(hù)
? 完整性保障
? 訪問控制
? 安全管理
? 資源安全使用
? 通信及信道安全
? 安全審計等
保障等級(Evaluation Assurance Level, EAL):
COMMON CRITERIA通過評估產(chǎn)品或系統(tǒng)在不同層次的安全需求來確定保障等級,EAL的等級從1到7不等。EAL越高,意味著評估的深度和嚴(yán)格程度越高,所需的技術(shù)證據(jù)和測試也越多。
3. COMMON CRITERIA的保障等級
COMMON CRITERIA定義了7個保障等級(EAL1至EAL7),每個等級對應(yīng)不同的安全評估深度和復(fù)雜性:
EAL1:
功能性測試,入門級別的評估。側(cè)重于基本功能的測試,適用于關(guān)注安全功能正確性而非健壯性的產(chǎn)品。
EAL2:
結(jié)構(gòu)化測試,要求對產(chǎn)品的設(shè)計和實現(xiàn)進(jìn)行基本的審查,確保安全機(jī)制存在。EAL2要求開發(fā)者測試、脆弱性分析和獨立測試等驗證活動,適用于低等到中等獨立安全評估需求的產(chǎn)品。
EAL3:
系統(tǒng)地測試和檢查,要求進(jìn)行全面的功能和實現(xiàn)驗證,評估過程更加有條理,既關(guān)注設(shè)計又關(guān)注實現(xiàn)。在EAL2的基礎(chǔ)上,EAL3要求更詳盡的設(shè)計和功能規(guī)范文檔,并引入了開發(fā)環(huán)境控制的要求,適用于需要中等安全評估的產(chǎn)品。
EAL4:
系統(tǒng)地設(shè)計、測試和審查,適用于要求較高安全性的產(chǎn)品,除更詳盡的設(shè)計文檔,完整的接口規(guī)范外,EAL4對評估對象的安全功能的具體實現(xiàn)進(jìn)行代碼審計和脆弱性分析,基于分析結(jié)果制定滲透測試的測試計劃,適用于中等到高等獨立安全評估需求的產(chǎn)品。
EAL5:
半形式化設(shè)計和測試,涉及到較為復(fù)雜的安全性分析和測試。EAL5要求安全功能模塊化、設(shè)計文檔半形式化,適用于對安全性有高等級要求的系統(tǒng)。
EAL6:
半形式化驗證的設(shè)計和測試,需要進(jìn)行大量的測試和驗證,EAL6要求對安全策略進(jìn)行形式化建模和驗證,對于設(shè)計文檔、代碼實現(xiàn)、開發(fā)環(huán)境安全、滲透測試強(qiáng)度等也有更高的要求,適用于對安全高度敏感的產(chǎn)品。
EAL7:
形式化驗證的設(shè)計和測試,EAL7是最高等級的安全保障,通常僅用于少數(shù)特定聚焦有限安全功能的產(chǎn)品,EAL7通過完備的形式化驗證提供最高程度的信心。
4.COMMON CRITERIA的應(yīng)用
COMMON CRITERIA在多個領(lǐng)域中得到了廣泛應(yīng)用,包括但不限于:
智能卡和安全元件
智能卡廣泛應(yīng)用于許多行業(yè):電子護(hù)照、身份證、交通票務(wù)、電子健康。通用標(biāo)準(zhǔn)方法可用于認(rèn)證智能卡的三層架構(gòu):集成電路(IC)、卡操作系統(tǒng)(平臺)及其應(yīng)用程序。
電信設(shè)備
路由器、交換機(jī)、網(wǎng)關(guān)和類似產(chǎn)品都是安全關(guān)鍵型產(chǎn)品,最終客戶端通常需要安全保證證書(如通用標(biāo)準(zhǔn))。在某些情況下,例如,政府機(jī)構(gòu)投標(biāo),擁有一份通用標(biāo)準(zhǔn)證書可能是準(zhǔn)入要求。
隨著新的高附加值應(yīng)用程序向手機(jī)(支付、DRM、身份識別、生物識別等)轉(zhuǎn)移,安全問題也隨之出現(xiàn)。通用標(biāo)準(zhǔn)是對手機(jī)設(shè)備或手機(jī)應(yīng)用程序進(jìn)行評估的完美解決方案。
eIDAS和可信服務(wù)
eIDAS法規(guī)為數(shù)字簽名、HSM或時間戳產(chǎn)品提供了歐洲監(jiān)管環(huán)境。歐洲委員會通過規(guī)定一組保護(hù)框架(Protection Profile)指定通用標(biāo)準(zhǔn)作為評估這類產(chǎn)品強(qiáng)度的方法。
其他IT產(chǎn)品
對于許多IT產(chǎn)品(如商業(yè)軟件、軟件即服務(wù)、云計算平臺或硬件安全模塊)來說,通用標(biāo)準(zhǔn)是實現(xiàn)安全保證和營銷差異的合適選擇。
5. COMMON CRITERIA的優(yōu)勢
標(biāo)準(zhǔn)化與一致性
COMMON CRITERIA為安全評估提供了全球統(tǒng)一的框架和標(biāo)準(zhǔn),有助于減少不同國家和地區(qū)之間的評估差異。
提高信任度
通過COMMON CRITERIA認(rèn)證的產(chǎn)品或系統(tǒng),能有效增強(qiáng)用戶和客戶對其安全性的信任。
支持國際互認(rèn)
不同國家和地區(qū)間的認(rèn)證機(jī)構(gòu)可以互相承認(rèn)其他國家的COMMON CRITERIA認(rèn)證結(jié)果,有助于跨國企業(yè)的安全要求統(tǒng)一。
促進(jìn)安全產(chǎn)品的開發(fā)
開發(fā)者在設(shè)計產(chǎn)品時,會按照COMMON CRITERIA的要求,確保其產(chǎn)品具備所需的安全功能。
6. COMMON CRITERIA的挑戰(zhàn)
盡管COMMON CRITERIA為信息安全領(lǐng)域提供了很多好處,但也存在一些挑戰(zhàn):
高成本和復(fù)雜性:
進(jìn)行高等級的安全評估往往需要大量的資源、時間和成本。
適應(yīng)快速變化的技術(shù):
隨著技術(shù)的快速發(fā)展,COMMON CRITERIA的標(biāo)準(zhǔn)和評估方法需要不斷更新,以適應(yīng)新的技術(shù)環(huán)境和安全需求。
COMMON CRITERIA是一個重要的國際標(biāo)準(zhǔn),旨在通過統(tǒng)一的信息技術(shù)安全評估框架,幫助確保產(chǎn)品和系統(tǒng)的安全性。它對開發(fā)商、消費者以及安全評估機(jī)構(gòu)都起到了重要的指導(dǎo)作用,為信息安全管理提供了可靠的支持。然而,隨著技術(shù)的不斷發(fā)展,如何使COMMON CRITERIA更加靈活和適應(yīng)新興技術(shù),也將是未來發(fā)展的一個重要方向。
Keysight Riscure 是荷蘭國家計劃 NSCIB(Netherlands Scheme for Certification in the Area of IT Security)認(rèn)可實驗室,可執(zhí)行最高評估保證級別的通用標(biāo)準(zhǔn)評估。隨著上市時間和成本降低的壓力越來越大,Keysight Riscure 認(rèn)為產(chǎn)品開發(fā)和認(rèn)證之間需要緊密聯(lián)系,我們的服務(wù)組合在開發(fā)時考慮到了最大的靈活性,能夠無縫融入任何開發(fā)階段。
因此,Keysight Riscure 不斷挑戰(zhàn)傳統(tǒng)的認(rèn)證方法,同時積極尋找新方法為市場帶來更多價值,使我們的合作伙伴能夠有效地將不同的認(rèn)證計劃組合在一起。Keysight Riscure 很自豪,有NXP、高通、Trustonic,智芯,紫光展銳等公司信任我們,幫助他們應(yīng)對全球互聯(lián)世界帶來的挑戰(zhàn)。
Keysight Riscure作為國際CC EAL5+認(rèn)證的權(quán)威測評機(jī)構(gòu),業(yè)務(wù)涵蓋國際CC、IOT、汽車R155/R156、支付安全等多種檢測、認(rèn)證業(yè)務(wù)。CC認(rèn)證是對IT產(chǎn)品進(jìn)行獨立安全評估和認(rèn)證的國際標(biāo)準(zhǔn),是全球范圍內(nèi)接受度最廣、安全要求最高、行業(yè)影響最大的信息安全產(chǎn)品認(rèn)證之一。
Keysight Riscure不僅提供CC認(rèn)證服務(wù),同時也針對開發(fā)者,測評人員和項目管理人員提供相關(guān)的培訓(xùn)。您可以通過下載培訓(xùn)介紹幫助您了解我們課程的內(nèi)容。如果您有興趣根據(jù)國際CC通用標(biāo)準(zhǔn)的要求來認(rèn)證您的產(chǎn)品或解決方案,也可以留下您的聯(lián)系方式,會有專業(yè)人士與您聯(lián)系。
關(guān)于是德科技
是德科技(NYSE:KEYS)啟迪并賦能創(chuàng)新者,助力他們將改變世界的技術(shù)帶入生活。作為一家標(biāo)準(zhǔn)普爾 500 指數(shù)公司,我們提供先進(jìn)的設(shè)計、仿真和測試解決方案,旨在幫助工程師在整個產(chǎn)品生命周期中更快地完成開發(fā)和部署,同時控制好風(fēng)險。我們的客戶遍及全球通信、工業(yè)自動化、航空航天與國防、汽車、半導(dǎo)體和通用電子等市場。我們與客戶攜手,加速創(chuàng)新,創(chuàng)造一個安全互聯(lián)的世界。
-
物聯(lián)網(wǎng)
+關(guān)注
關(guān)注
2927文章
45914瀏覽量
388333 -
是德科技
+關(guān)注
關(guān)注
21文章
984瀏覽量
83243 -
智芯
+關(guān)注
關(guān)注
0文章
47瀏覽量
8082
原文標(biāo)題:Keysight Riscure COMMON CRITERIA (CC) 認(rèn)證服務(wù)
文章出處:【微信號:KeysightGCFM,微信公眾號:是德科技快訊】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
智芯公司工業(yè)級eSIM安全芯片榮獲EAL5+認(rèn)證
智芯公司榮獲TüV南德功能安全操作系統(tǒng)產(chǎn)品認(rèn)證證書
智芯公司安全藍(lán)牙芯片獲得BQB權(quán)威認(rèn)證
全國首個!深開鴻LiteOS-M操作系統(tǒng)內(nèi)核榮獲EAL5+安全認(rèn)證!

敏實集團(tuán)榮獲DEKRA德凱認(rèn)證證書
智芯微電子“樞紐”操作系統(tǒng)獲國際CC EAL5+安全認(rèn)證
秒尼科MUNIK助力裕芯電子榮獲ISO26262 ASIL-D功能安全流程認(rèn)證證書

智芯公司“樞紐”操作系統(tǒng)通過CC EAL5+認(rèn)證
愛芯元智榮獲DEKRA德凱TCL3汽車功能安全認(rèn)證證書
國內(nèi)首家!航芯安全芯片ACL16榮獲EAL6+證書

匯頂科技新一代安全芯片榮獲CC EAL6+安全認(rèn)證
再獲突破!匯頂科技新一代安全芯片榮獲CC EAL6+安全認(rèn)證

評論