Common Criteria以7個安全評估等級,來界定安全性規範檢測的結果。在國際相互承認協議(CCRA)的基礎下,各國會承認EAL(Evaluation Assurance Level,簡稱EAL)等級1~4級的產品,至於EAL 5等級以上(包含EAL 5)的產品,由於屬於軍事等級的安全認證,因此各國有各各自的標準規範,並不會互通。
針對多數商用產品的最高等級為EAL 4,若廠商送產品驗證時,多增加EAL 5以上或其他不足功能的驗證,在通過驗證後,也只會標識為EAL 4+。若要在美國申請EAL 5至7級的產品驗證,就必須由美國政府「國家安全局 (NSA)」來執行。
EAL驗證需要較長的時間,光是EAL 1最初級的評估等級,測試、驗證的工作就需要花費3個月,隨的驗證等級越高,所需要花費的時間就越久,以商用產品驗證等級最高的EAL 4來說,一般而言起碼需要12~16個月的時間。也因為CC驗證時間長,驗證成本相對比較高。
若要進一步取得軍事等級EAL 5以上的驗證,甚至得花2年的時間。
此外,CC認證還有一個特別的要求,每個產品只要改版,新版產品就必須再驗證才能取得認證,如果產品有大幅改版,則認證時間勢必會延長。一般常見的認證狀況是,若有一新產品版本釋出,通常會先通過驗證等級稍低的驗證版本,隨著每次版本的升級或更新,往上取得更高階的驗證。
中興大學資訊管理系教授林詠章在〈歐盟資訊安全技術與政策發展現況之研究〉一文中提到,EAL(安全評估保證等級)等級越高,越是用於極高資產價及極高風險情況所需的極高安全應用環境。有了共同準則(Common Criteria),系統開發者可以更了解產品的安全需求,擬定未來產品發展的方向;對於系統管理員而言,可以知道電腦系統有哪些安全管理功能,做為擬定安全管理之策略;評估人員可以更正確且客觀地評估電腦系統的安全性,而安全稽查人員也可藉此來評估,系統管理員是否確實管理電腦系統。文⊙黃彥棻
| Common Criteria的7級安全評估等級 |
| 評估等級 | 審驗時間 | 內容 | 安全等級的說明 |
| EAL 1 | 3個月 | 功能檢測(Functionally Tested) | 只檢測一個產品最基礎的功能,不包含任何安全性的評估,不保證安全性。取得EAL1驗證等級,只表示這個產品能夠開機、執行,不涉及任何安全性議題。 |
| EAL 2 | 6個月 | 結構檢測(Structurally Tested) | EAL 2安全程度比EAL1高,EAL 2才開始會作安全上的檢測。會用寬鬆的標準作適當的原始碼檢查,但嚴謹程度低於EAL 3。 |
| EAL 3 | 9~12個月 | 系統測試及檢查(Methodically Tested and Checked) | EAL 3更嚴格檢查程式碼,但不需要重新翻修程式,也不會打斷整個開發流程。EAL 3不像EAL 4必須評估漏洞修補的成本,所以EAL3還是採用比EAL 4寬鬆的安全檢測標準。 |
| EAL 4 | 12~16個月 | 系統設計、測試及審查(Methodically Designed, Tested and Reviewed) | EAL 4是最常見的安全性驗證標準,例如Windows 2000、NetWare等都取得EAL 4以上的認證。只有到EAL 4時,大家才會接受這個驗 證,能有效確保系統的安全性,而供應商也會將漏洞修補包含在安全性檢測基本項目中。 |
| EAL 5 | 18~24個月 | 半正規設計和測試(Semiformally Designed and Tested) | EAL 5是一個比EAL 4要求更周延的的安全驗證等級,必須經過非常嚴格的驗證流程,花費的時間、成本都比EAL 4還高。但不見得需要取得EAL 5驗證。 |
| EAL 6 | | 半正規查證設計和測試 (Semiformally Verified Design and Tested) | EAL 6驗證如同是針對客戶提出某些高風險、特殊的安全要求,不惜耗費時間、金錢,一定要達到客戶的安全性要求。要取得EAL6的驗證。安全是EAL 6的基本要求,這意味著,整個系統的開發都必須奠基在安全的要求上。 |
| EAL 7 | | 正規查證設計和測試 (Formally Verified Design and Tested) | EAL 7只有用於極度高度風險的系統,對系統的要求不只是能用而已,還必須具有極度高度的風險性要求。金錢和時間花費難以想像,只會用在具有特殊安全功能的特定系統中。 |
| 資料來源:IBMTUV、國家通訊傳播委員會(NCC)、電信技術中心資通安全實驗室、〈歐盟資訊安全技術與政策發展現況之研究〉中興大學資訊管理系林詠章教授,iThome整理,2008年3月 |
Comments