Posts

Showing posts from September 6, 2009

認識Common Criteria的7級安全評估等級

Common Criteria以7個安全評估等級,來界定安全性規範檢測的結果。在國際相互承認協議(CCRA)的基礎下,各國會承認EAL(Evaluation Assurance Level,簡稱EAL)等級1~4級的產品,至於EAL 5等級以上(包含EAL 5)的產品,由於屬於軍事等級的安全認證,因此各國有各各自的標準規範,並不會互通。 針對多數商用產品的最高等級為EAL 4,若廠商送產品驗證時,多增加EAL 5以上或其他不足功能的驗證,在通過驗證後,也只會標識為EAL 4+。若要在美國申請EAL 5至7級的產品驗證,就必須由美國政府「國家安全局 (NSA)」來執行。 EAL驗證需要較長的時間,光是EAL 1最初級的評估等級,測試、驗證的工作就需要花費3個月,隨的驗證等級越高,所需要花費的時間就越久,以商用產品驗證等級最高的EAL 4來說,一般而言起碼需要12~16個月的時間。也因為CC驗證時間長,驗證成本相對比較高。 若要進一步取得軍事等級EAL 5以上的驗證,甚至得花2年的時間。 此外,CC認證還有一個特別的要求,每個產品只要改版,新版產品就必須再驗證才能取得認證,如果產品有大幅改版,則認證時間勢必會延長。一般常見的認證狀況是,若有一新產品版本釋出,通常會先通過驗證等級稍低的驗證版本,隨著每次版本的升級或更新,往上取得更高階的驗證。 中興大學資訊管理系教授林詠章在〈歐盟資訊安全技術與政策發展現況之研究〉一文中提到,EAL(安全評估保證等級)等級越高,越是用於極高資產價及極高風險情況所需的極高安全應用環境。有了共同準則(Common Criteria),系統開發者可以更了解產品的安全需求,擬定未來產品發展的方向;對於系統管理員而言,可以知道電腦系統有哪些安全管理功能,做為擬定安全管理之策略;評估人員可以更正確且客觀地評估電腦系統的安全性,而安全稽查人員也可藉此來評估,系統管理員是否確實管理電腦系統。文⊙黃彥棻 Common Criteria的7級安全評估等級 評估等級 審驗時間 內容 安全等級的說明 EAL 1 3個月 功能檢測(Functionally Tested) 只檢測一個產品最基礎的功能,不包含任何安全性的評估,不保證安全性。取得EAL1驗證等級,只表示這個產品能夠開機、執行,不涉及任何安全性議