第九届国际通用评估准则会议(ICCC: International Common Criteria Conference,简称CC大会)于2008年9月23至25日在韩国济州岛新罗大酒店召开。中国信息安全测评中心及其授权测评机构派出由17人组成的代表团参加了会议。此次会议的主办方为韩国信息安全认证机构,即韩国国家情报服务局的IT安全认证中心(NIS誷 ITSCC)。
一、会议基本情况
参加本届CC大会的代表分别来自各个国家的认证机构、测评实验室和企业。9月23日上午为开幕式全体会议,主要内容为开幕致辞、主题演讲和CC管理委员会的年度工作报告。9月23日下午至25日上午,大会分A、B、C三个分会场进行分组交流与研讨。其中,会场A主要是CC开发组(CCDB)就CC4.0版本新特性和新的发展方向进行介绍。日本、西班牙、意大利、马来西亚、新加坡、土耳其等CC成员国分别介绍了CC在本国的发展和应用状况,中国信息安全认证中心也介绍了我国CC的发展情况及未来设想;会场B主要针对一些新的PP,CC在智能卡、生物识别、RFID测评中的应用情况,高保证级测评认证方法进行交流研讨;会场C涉及CC互认协议(CCRA ),CC与软件生命周期、CMMI、源代码测试、其他安全标准等的关系,现场评估与认证等。
本次CC大会还有18个厂商和评估机构参展,包括:三星电子、Penta Security Systems、LG CNS、SECUI 、NOWCOM、DDS、INFOSEC Technologies 、NicsTech 、KOSYAS(Korea System Assurance) 、KISIA(Korea Information Security Industry Association) 、KISA (Korea Information Security Agency)、IT Security Certification Center(ITSCC)、KTL(Korea Testing Laboratory)、atsec、TUV Informationstechnik GmbH (TUViT)、Secuware、AhnLab。 另外,本次CC大会在9月24日下午还安排了CC基础培训,介绍CC基本情况。会议最后宣布第10届ICCC大会将于2009年9月在挪威举行。
二、会议主要内容
会议首先进行了三个主题演讲,第一个是由韩国SungKyunKwan 大学Tai-Myoung Chung教授所作的题为“信息安全的跨国合作”的演讲,主要阐述了现代互联网时代信息安全问题主要涉及病毒和蠕虫、黑客和恶意软件、网络欺骗等,这些安全问题已发展为跨国界问题,需要进行国际合作才能更好地应对信息安全问题,并建议从技术、政策及人员三方面进行合作。第二个是由德国Technischen Universitt Hamburg-Harburg大学教授Dieter Gollmann所作的题为“信息安全测试目标的变迁”的演讲,主要介绍了随着信息技术的发展,信息安全测试目标也在变化。从最初的大型机、个人电脑到现在的互联网,我们所关注的目标已由个人电脑,操作系统等系统软件,到现在的应用程序。目前,信息安全问题主要集中在上层的应用程序中,比如SQL注入、跨站脚本等,所以,安全测试问题应重点关注更接近于终端用户的应用层。第三个是由韩国三星电子高级副总裁Chilhee Chung博士所作的题为“通过CC推进智能卡业务”的演讲,主要介绍了三星智能卡产业的发展,在智能卡开发和生产中应用CC进行安全测试,提高了智能卡的安全性,同时通过CC的认证也大大推动了三星智能卡业务在国际市场上的发展情况。
在分组会议中,主要就CC第4版建议、CC的具体应用、CC测试中的产品及工具、以及CC发展情况进行了交流。
针对CC第4版,代表们主要提出了一些能更好发挥CC作用的修改意见,如:增加适用于通用软件产品、大型复杂产品的内容,提高测评过程效率,使测评认证过程时间短、成本低。英国CESG (the Communications-Electronics Security Group)针对EAL1、EAL2存在的问题提出了一个低级别的CCTM(Claims Tested Mark Scheme),并与EAL1、EAL2进行了比较。有专家建议应使CC 第二部分更容易为非专业人员理解和接受,使测试报告对用户更有用。
澄清CC术语,消除冗余的评估活动,减少或消除对保证能力贡献不大的评估活动,重新构造可增进保证能力的评估活动,增加一些新的要求,避免CC v3.0中出现的错误,保护开发人员的投入。在评估方法原理、安全目标、设计证据、指南文档、生命周期证据、测试、脆弱性分析、评估输出、可替代的保证级等方面进行改进。
在源码安全分析方面,来自Oracle公司的安全专家提出应该在CC测评中增加源码安全性分析工具作为EAL的补充。他提出,漏洞产生的时间可分为设计阶段和实现阶段,产生的原因可分为安全机制原因和其它原因。通用漏洞中,如SQL注入,XSS,缓冲区溢出等是在实现阶段非安全机制的原因造成的,而弱强度审计、非一致访问控制等则是设计阶段由于安全机制的原因造成的。从分布上来看,CC关注的是在设计阶段由于安全机制造成的漏洞问题,而源码安全性测试则关注那些在实现阶段非安全机制原因造成的漏洞问题。通过两者互补能更大范围地对漏洞问题进行检测。源码检测工具可以检测出成千上万的漏洞,但很难区分哪些是误报的,哪些是有用的警告信息,哪些是重要的漏洞,可以利用CC的威胁模型帮助分析这些测试结果。源码检测工具应该是EAL结构之外增加的工具,而不是嵌入于EAL结构之中。
在CC应用方面,会议就多方面内容进行了广泛交流,如:CC测评认证情况、CC认证过程辅助工具、CC认证过程管理工具、形式化工具在智能卡安全开发中的应用、CC中的生物测定学、CC在智能卡领域的应用、CC在电子护照和电子钞票领域的应用、企业管理方案PP、电子投票系统的PP等。
三、会议主要收获
本次会议使我们认识到,CC已成为国际社会广泛认可的信息安全测评标准,目前已经有24个国家加入了CC互认。我国也应该充分认识到CC标准的价值,加大政策和资金投入,加强CC标准的研究、应用与推广工作。特别是,目前公开发布的CC标准评估方法只有EAL1-EAL4,各国都在研究和提出自己的EAL5-EAL7评估方法,我国也应高度重视这些高级别的评估方法的研究工作。
目前,国际社会越来越关注CC在信息安全发展中所发挥的作用,尤其是应用系统的安全应该作为CC今后发展和应用的重要领域。CC发展多年,安全评估对象在不断丰富,信息安全问题与应用系统密切相关,当前应用安全是一个重点和热点,应注重开展应用系统的安全测评。
CC在智能卡安全测评领域得到了广泛的应用,尤其在欧洲,智能卡方面的测评研究与实践都极为活跃,评估保证级都处于EAL4以上的级别。另外,在生物识别技术、RFID等领域CC标准测评也得到了较好的研究与应用。
CC作为国际上公认的信息安全测评标准,正在不断发展和完善。如何在IT产品生命周期中恰当地应用CC,提高CC测评的时效性及成本效益,发挥不同保证级的测评价值,是国际社会广泛关注的问题。每年一度的CC大会为各国提供了一个良好的交流平台,也为促进CC发展提供了宝贵的经验。
