1、网络安全产品等级评估所依据的标准
GB/T18336《信息技术 安全技术 信息技术安全性评估准则》是网络产品等级评估所依据的基础标准。《信息技术安全通用评估方法》、各类产品的保护轮廓(PP)、安全技术要求、规范等是产品评估的重要依据。
2、网络安全产品等级评估的适用范围
网络安全产品等级评估涉及信息保护,以避免未经授权的信息泄露、修改和无法使用。除上述三个方面外,评估还适用于信息安全的其它方面,并可适用于其他信息技术领域,但不涉及严格意义上信息技术安全之外的领域。
3、开展网络安全产品等级评估的意义
网络安全产品等级评估的目标是信息技术产品和系统的安全功能及相应的保证措施,评估过程为对产品和系统的安全功能以及相应的保证措施确定一个可信级别,使各种独立的安全评估结果具有可比性。评估结果可以帮助用户确定信息技术产品和系统对其应用而言是否足够安全,以及在使用中隐藏的安全风险是否可以容忍。
4、区分评估保证级别的目的
不同的应用场合(或环境)对信息技术产品或系统所提供的安全性保证程度的要求是不一样的,因为不同的使用环境面临的安全威胁是不同的,所保护的信息资产的价值也有大有小。因此,等级保护的核心在于“合理投入”、“等级进行保护、分类指导”、“分阶段实施”等。
5、目前已开展了哪几类产品的等级评估?
中国信息安全产品测评认证中心现已开展多类产品的等级评估业务,其中包括防火墙、入侵检测系统、扫描系统、网络隔离设备、安全操作系统等。截至2004年7月30日,已有3家厂商的产品通过了目前国内网络产品最高级认证——EAL3级认证。
6、国外网络安全产品等级评估现状
根据CCEVS(通用准则评估认证程序)的统计数字,目前国外已有20多家的防火墙产品通过了EAL2和EAL4级认证,有近10家入侵检测产品通过了EAL2和EAL3级认证,除此之外通过等级评估的产品还有智能卡、PKI、VPN、防病毒、操作系统和网管产品等。
7、国内网络安全产品等级评估现状
截至2004年7月30日,已有3家厂商的网络安全产品通过了中国信息安全产品测评认证中心的“信息安全产品EAL3级认证”,分别是天融信的网络卫士防火墙 NGFW4000(V2)、金诺网安入侵检测系统(KIDS V8.2)和启明星辰的天阗入侵检测与管理系统(V6.0)。 同时,现有多个防火墙、入侵检测系统和安全操作系统正在评估中。
8、EAL3级评估包括哪几方面的内容?
EAL3级评估主要针对信息技术产品和系统的安全功能及相应的保证措施进行,具体内容包括安全目标(ST)的评估和对TOE文档的核查以及测试三方面的内容。TOE文档是产品和系统保证措施实施的证据,包括配置管理文档、交付运行文档、开发文档、生命周期文档、指导性文档、测试文档和脆弱性分析文档。TOE安全功能通过测试得以验证,包括功能测试和穿透性测试。
9、什么是穿透性测试?
等级评估的一个重要内容是对TOE进行脆弱性分析,探知产品或系统安全脆弱性的存在,其主要目的是确定TOE能够抵抗具有不同等级攻击潜能的攻击者发起的穿透性攻击。因此,穿透性测试就是在TOE预期使用环境下进行的测试,以确定TOE中潜在的脆弱性的可利用程度。
