测试评估

信息安全产品分级评估
  • 开放性
  • 通用性
  • 完备性
  • 实用性

定义

综合考虑产品预期应用环境,通过对信息安全产品的全生命周期,包括安全性设计、配置管理、开发安全、交付运行等阶段进行安全性评估和测试,验证产品的安全性是否达到预期安全目标。

流程

客户提交

  • 客户提供被测产品以及与产品相关的安全性设计、配置管理、开发安全、交付运行等测评文档

测评

  • 采用产品测试、文档评审、渗透测试、工厂检查等测评方式对该产品是否符合《GB/T 18336:2008信息技术、安全技术、信息技术安全性评估准则》某个EAL级别的要求给出测评报告

CC简介

信息安全产品分级评估依据国际标准“信息技术安全评价通用准则(The Common Criteria for Information Technology security Evaluation,CC ),等同于ISO/IEC15408和GB/T 18336 ,是验证产品能否打入国际市场的重要测评手段。

CC的发展历程

  • 1985年,美国国防部公布《可信计算机系统评估准则》(TCSEC)即桔皮书
  • 1989年,加拿大公布《可信计算机产品评估准则》(CTCPEC)
  • 1991年,欧洲公布《信息技术安全评估准则》(ITSEC)
  • 1993年,美国公布《美国信息技术安全联邦准则》(FC)
  • 1996年,六国七方(英国、加拿大、法国、德国、荷兰、美国国家安全局和美国标准技术研究所)公布《信息技术安全性通用评估准则》(CC 1.0版)
  • 1998年,六国七方公布《信息技术安全性通用评估准则》(CC 2.0版)
  • 1999年12月,ISO接受CC为国际标准ISO/IEC 15408标准,并正式颁布发行

CC中定义了以下7个评估保证级

  • 评估保证级1(EAL1)——功能测试
  • 评估保证级2(EAL2)——结构测试
  • 评估保证级3(EAL3)——系统地测试和检查
  • 评估保证级4(EAL4)——系统地设计、测试和复查
  • 评估保证级5(EAL5)——半形式化设计和测试
  • 评估保证级6(EAL6)——半形式化验证的设计和测试
  • 评估保证级7(EAL7)——形式化验证的设计和测试
国家互联网应急中心实验室
北京市朝阳区裕民路甲3号
京ICP备10012421号-2  邮编: 100029
电话: (010)82992175