国外信息安全测评认证体系介绍

1、国外信息安全测评认证体系介绍国外信息安全测评认证体系介绍中国国家信息安全测评认证中心2000.6i国外信息安全测评认证体系介绍目 录前言美国的信息安全测评认证体系英国的信息安全测评认证体系澳大利亚的信息安全测评认证体系加拿大的信息安全测评认证体系德国的信息安全测评认证体系法国的信息安全测评认证体系荷兰的信息安全测评认证情况介绍西班牙信息安全测评认证体系以色列的信息安全测评认证情况介绍韩国的信息安全测评认证体系日本的信息安全测评认证情况介绍参考文献 第 页 共 77页前言全球信息技术的蓬勃发展，带动了信息安全产业的发展。但是，随着it安全产品种类的增多、功能综合性的增强、应用范围的扩大，it产品

2、的用户已不满足于生产厂商对其产品安全性的声明，这就需要一种全球统一、标准的评估方法，由可信第三方对it安全产品进行独立的定性和定量的测评认证。这种统一、标准的评估准则就是信息技术安全评估通用准则-cc，国际标准化组织已将cc 2.0版采纳成iso 15408。目前，cc已成为评估it安全产品的世界性通用准则。以美国、加拿大等国为首的it业发达国家分别于70年代和80年代就建立了国家的测评认证机构。这种国家认证机构通常都由国家的安全、情报、标准化等部门联合授权建立，国家认证机构通过对安全专业公司和研究所的授权和认可，建立相应评估机构或测评实验室，实施it安全性评估和认证，并以此构成国家测评认证体

3、系。从目前已建立了基于cc的信息安全测评认证体系的有关国家来看，都是由政府主管部门授权建立国家级认证机构，以保证测评认证的权威性、公正性。因此由国家权力部门对信息安全测评认证进行统一集中的管理已成为必然趋势。信息技术安全产品和系统的测评认证是一项综合、复杂和繁重的工作，因此，必须充分利用社会资源及技术力量，在国家认证机构的统一授权和监督指导下，进行安全产品的评估工作。一些有能力的大学、安全专业公司和研究所，可以申请成为授权的cc评估/测试实验室，在认证机构的监督管理下，对信息技术安全产品进行检测或对信息系统进行评估，并将结果提交认证机构批准。这些按地域或行业分布的评估机构将形成信息技术安全产品

4、评估的强大力量，并在国家认证机构的统一监督管理下，逐步形成信息技术安全产品的测评认证体系。基于cc的测评认证技术和体系，以美国、英国、加拿大最为成熟，他们已经建立了较完整的测评认证体系。欧洲几大国家如德国、法国等在90年代后期开始加大基于cc的测评认证工作，并取得了较大的进展。这些国家已经相继颁发了几类主要的信息技术安全产品认证证书，如操作系统、智能卡、防火墙、数据通信产品等等。除了在本国开展测评认证工作以外，这些发达国家已经开始进行测评结果的互认，并达成双边互认协定。亚洲的日本和韩国近几年也在吸收美国等国家建立测评认证的经验，开始建立符合自己国情的测评认证体系，并逐步开始颁发测评认证证书。美

5、国的信息安全测评认证体系1. 简介美国在信息技术方面一直处于世界领先地位，而且是信息安全测评认证的发源地。早在70年代，美国政府就意识到信息安全关系到国家安全和国家利益，随即展开了信息安全测评认证标准的研究工作，并于1985年由国防部（dod）正式公布了可信计算机系统评估准则（tcsec），即桔皮书，也就是国际公认的第一个计算机信息系统评估标准。评估目标仅限于政府部门和军队系统的计算机系统。进入90年代以后，随着互联网的蓬勃发展，以计算机系统为基础的it产品也出现了空前的繁荣景象。it产品不仅在政府部门、组织及各行各业得到广泛应用，而且伸入到社会生活的方方面面。从个人隐私到国家秘密，从电子商务

6、到国防安全，人们开始广泛关注这些it产品本身的安全性问题。1997年美国关键基础设施保护委员会的成立和相关法令的出台，使这一问题更加成为政府和公众关注的焦点。为了帮助消费者选择合适可用的it产品，保护国家的关键基础设施，同时为本国it产品的制造商提供更加广阔的商业机会，美国国家标准和技术研究所（nist）和国家安全局（nsa）于1997年共同组建了国家信息保证联盟（niap），并确立了信息技术通用准则评估和认证体系（ccevs）。niap专门负责基于通用准则（cc）的信息安全评估和认证，研究并开发相关的测评认证方法和技术。niap的认证机构由nist和nsa共同管理，负责ccevs的运作和维护

7、。该评估认证体系用于为政府部门和私有部门中广大的it安全产品制造商和消费者服务，其中包括增强it产品安全性的系统开发者、集成者，以及负责it产品获得安全功能并安全运行的机构。经过几年的运作，niap已建成了以6家授权的cc测试实验室为主的测试、评估、认证的完善体系。2. 发展过程美国政府历来将it产品和系统视为国家的信息基础设施的一部分，所以非常重视it产品安全性与可信赖性，不论是公有或私有部门的it产品和系统。为了履行公法100235（即1987年计算机安全法案）规定的责任，nist和nsa与政府和工业部门共同合作，开发并应用了信息安全技术、保证要求度量标准和信息技术安全标准，这对保护与美国

8、整个经济和国家安全利益相关的信息是至关重要的。二十多年来，nist和nsa致力于it产品的安全技术研究和开发，他们主要集中于政府资助的项目，即制定出有效的it安全评估准则。从1983年美国国防部发布可信计算机系统评估准则（tcsec）以来，其it产品的测评认证发展过程大致可以分为三个阶段。1、 实施可信产品评估程序（tpep）阶段；tpep是由国家计算机安全中心（ncsc，前身为国防部计算机安全中心，1985年更名为ncsc）对照安全性标准进行计算机系统的评估程序。具体的工作由ncsc下属的一个独立单位负责。其主要目的是保证使用的可信产品满足了用户的运行要求；为一个可信系统提供可信产品；为可信

9、产品的使用提供指导；为可信产品的安全功能和保证级别提供互操作性。tpep已由ttap取代。2、 实施可信技术评估程序（ttap）阶段；ttap是由美国国家安全局（nsa）和nist推行的评估程序，其目的是准备将低可信级别的cots（现用商用）产品的评估商业化，即由商业评估实验室实施可信产品的评估。ttap已经确定了商业评估实验室，进行由通用准则所描述的功能和保证级为eal4（或tcsec的c2可信级）及以下级别的产品评估。ttap的监督机制将保证评估的质量和公平性。而且ttap可以就eal3以下级别的评估与其他国家互认。目前ttap既采用tcsec标准，也采用cc准则，两类评估也是并存的。一旦

10、ccevs完善后，ttap将停止运行。3、 实施通用准则评估认证程序（ccevs）阶段；进入90年代以后，信息技术飞速发展，需要一种国际通用的标准来度量it产品的安全性。1993年6月，与ctcpec（加拿大计算机产品评估准则）、fc（美国联邦准则）、tcsec和itsec（信息技术安全准则）有关的六个国家中七个相关政府组织集中了他们的成果，并将各自独立的准则集合成一个能被广泛接受的it安全准则。其目的是解决统一各国标准中出现的概念和技术上的差异，并把结果提交给了iso。1996年颁布了1.0版，1998年颁布了2.0版，1999年12月iso正式将cc2.0作为国际标准iso 15408发布

11、。鉴于国际化发展的需要，同时为了达到it安全领域cots产品的更好的可比较性，nist和nsa在niap之下建立了一套评估it产品与标准一致性的程序，正式的名称为ccevs，同时面向公有和私有部门服务。目前ccevs已进入实施阶段，其内部质量管理、基础设施已日趋完善。3. 评估认证体系（ccevs）ccevs就是在niap管理下对it产品与信息技术安全性评估国际通用准则（cc）的一致性进行评估的一套程序。ccevs主要的参与者包括：1） it安全评估发起者2） niap认证机构（nist/nsa）3） 通用准则测试实验室除了以上列出的主要参与者外，nist的国家自愿测试实验室认可程序（nvla

12、p）在ccevs的运作中发挥着重要作用。niap及其ccevs的简单组织框架可由图11表示：国家安全局（nsa）国家标准和技术研究所（nist）国家信息保证联盟niap测试和评估安全要求规范测试技术研究与开发通用准则评估认证体系（ccevs）图11：niap及其ccevs的组织框架根据ccves中的定义，发起者是指请求认可的测试实验室对一件it产品进行安全评估并支付评估费用的当事人。发起者通常是该产品的开发商或销售商，但也可能是某一政府机构、工业财团或其他寻求得到一项it安全评估的组织。niap认证机构由nist和nsa共同管理，其成员由nist和nsa的技术/行政人员组成。认证机构在充分考虑

13、公共和私有部门利益的基础上，按照已有的政策和程序批准认可的测试实验室参加测试和评估。认证机构还为各测试实验室提供技术指导，对it安全评估结果与通用准则的一致性进行认证。it安全评估由商业性的测试实验室负责实施，该测试实验室必须是由nvlap认可并由niap认证机构批准的。经批准的测试实验室称为通用准则测试实验室（cctl）。成为cctl的首要条件是要通过nvlap的认可，nvlap认可的目的是为了保证该实验室满足iso/iec导则25-校准和测试实验室能力的一般要求【iso90】和具体it安全评估方案的要求。nvlap认可的范围包括测试实验室在进行it安全评估中将用到的特定测试方法。测试实验室

14、可从niap认证机构开发的已批准的测试方法列表中选择认可范围。因此认证机构还须维护已批准的测试方法列表。认证机构与nvlap相互协调配合，以保证cctl能得到及时适当的认可。得到nvlap的认可并满足评估方案具体要求的一个cctl，将被列在niap批准的实验室列表上。由cctl所做出的安全性评估结果，经认证机构评审通过后，签署通用准则认证证书。证书与相关的认证报告将表明，该it产品由已认可的测试实验室使用与通用准则相一致的通用评估方法，对产品的安全目标中的功能与保证进行了评估。证书还表明it安全评估是按照评估认证方案的规定条款进行的，而且评估机构做出的结论与评估过程中出现的证据相一致的。按照本

15、评估认证方案成功通过评估与认证的it产品，将由认证机构发布在已认证产品列表中。为了使it产品获得cc认证证书，并被发布在已认证产品列表中，必须对明确的安全目标做出评估。一个安全目标可与保护轮廓一致或不一致。与特定的保护轮廓声明一致的安全目标必须针对该轮廓进行评估，以强化这一声明的正确性。it产品安全评估的费用由发起者和负责实施评估的测试实验室之间协商确定。在方案运作的前两年，niap认证机构将免费为发起者和cctl提供认证服务。cc认证证书的最后颁发、认证报告的发布、公布已认证产品等活动所需的实际费用，在受理评估之初一并交纳，而且认证机构保留两年后再评估的权利。图12表明了ccevs中主要参加

16、者之间的关系。iso标准准则方法niap认证机构已批准实验室列表已批准测试方法列表认证报告已认证产品列表社团输入（政府、工业部门、学院）通用准则证书方案需要技术合作消费者组本国政府本国非政府国外政府国外非政府安全社团it安全评估具体需要评估结果 国家志愿实验室认可程序技术监督认可 通用准则测试实验室评估发起者图12：通用准则评估与认证体系（ccevs）iso/iec (导则25)需要（it产品或保护轮廓）4. 组织与管理4.1 it安全评估发起者发起者是请求对一种it产品或保护轮廓进行安全评估的个人或组织。发起者与it产品或轮廓的关系依赖于产品或轮廓的种类和评估环境，大多数情况下，安全评估的发

17、起者是it产品或保护轮廓的实际开发者。然而，也不一定都是这种情况。安全评估的发起者可以是it产品的增值分销商，或应用it系统的组织或个人，而那个产品是该it系统的关键部件。发起者也可以是独立承包人，作为试图履行合同要求的系统开发者或集成商。如果评估发起者不是产品或保护轮廓开发者，发起者需要得到开发者协助，向cctl提供必要的技术资料和重要交付件，以进行完整一致的it安全评估。评估文件条款的具体细节由发起者和产品开发者之间的合约进行处理。4.2 niap认证机构niap认证机构的主要任务是为政府和工业部门提供适合的it安全评估和认证服务。认证机构对其按照相关政策和程序进行的活动负全部责任。在适当

18、的时候，对其政策和程序进行解释和修订。nist和nsa负责向认证机构提供充足的资源以保证履行其职责。niap认证机构必须确保运行机制的合理性，以保护it安全评估过程中参与各方的利益。由任何一方（如评估发起者、产品开发者或cctl）引发的关于ccevs运作或其它活动的争议，将交由认证机构解决。如果认证机构也卷入了争议，则由nist和nsa的高级管理层按照双方都认同的程序解决。4.2.1 人员组成认证机构的主任和副主任由nist和nsa各自选出一人担任。认证机构的主任向niap的主任汇报管理和预算方面的工作，并向nist和nsa证书颁发机构汇报方案执行方面的工作。一般情况下，认证机构主任和副主任任

19、期两年，根据nist和nsa的情况可延长任期。另外为给评估发起者和cctl提供各种服务，认证机构拥有一定数量的技术和管理人员，包括认证人员、技术人员、各技术领域的专家等。具体说来，认证机构的人员组成如下：a) 主任（nist或nsa）b) 副主任（nist或nsa）c) 技术顾问（nist或nsa）d) 监督委员会（nist、nsa、nvlap、工业界）e) 技术人员（nist和nsa）f) 管理人员（nist和nsa）g) 招聘人员（如需要）图1-3给出了认证机构的组织框架。主任副主任质量主管资源主管合同培训人事资料/记录主管cctl管理与联络证书维护技术监督主管记录管理文档控制证书管理解释

20、认证图13：niap认证机构的组织框架4.2.2 主要职责通常，认证机构的职责是：a) 制定ccevs的政策与运作程序，保证其政策与运作程序的执行；b) 编纂ccevs的组织、政策和运作程序，并对外公开；c) 批准cctl参与ccevs；d) 监督cctl的活动，是否遵守、应用和解释了通用准则和通用评估方法；e) 如果一个cctl已不能达到ccevs的规定条款和条件，则将其从niap批准实验室列表中取消；f) 通告niap批准实验室列表的变化情况，包括增加或撤销cctls，以及实验室认可范围的变更情况；g) 保证ccevs的运作程序是合理的，以保护与被评估it产品或保护轮廓相关的敏感或专有信息

21、，并保证严格遵守运作程序；h) 必要时为培训cctl提供建议、指导、支持和标准；i) 对cctl的评估技术报告进行评审，以保证评估结论与出现的证据相符合，而且正确运用了通用准则和通用评估方法；j) 通过监督委员会的活动，保证所有cctl评估的一致性；k) 对有关ccevs的争议和技术问题，寻求各行业专家（如消费者、it产品或保护轮廓开发者、测试实验室、研究者、标准组）的指导，给予解答并做出决定。l) 发布公开发行的认证报告，并为成功的评估颁发通用准则证书；m) 定期公布已认证产品表，对已发布认证报告和已颁发通用准则证书的所有it产品和保护轮廓，提供详细情况；n) 将在其他国家完成评估、认证并获

22、得与信息技术安全领域通用准则证书共同认可协议一致证书的it产品，列入已认证产品列表；o) 保证通用准则证书或其他需要标识的文档中有适当的标记和记号；p) 保证充分考虑了ccevs活动参与各方的利益；q) 对ccevs描述中上下文中出现的争议做出裁决；r) 批准与ccevs有关的新闻发布或类似声明；s) 发布记述ccevs活动的年度报告。为了保证ccevs的实施，达到信息技术安全领域通用准则证书共同认可协议的要求，认证机构必须在安全测试和评估的各个方面保持高的技术水平和实力。这对评估活动的实施以及为参与ccevs的评估发起者和cctl提供必须的技术支持是至关重要的。为此，认证机构将保留向cctl

23、s派遣技术人员的权利，以在各个技术方面观察且/或参与基于通用准则的评估。这一方式被称为阴影评估。认证机构协调其与参加阴影评估的cctl的管理和人员之间的关系，以保证不会影响测试实验室正在进行的评估活动。4.3 通用准则测试实验室cctl是由nvlap认可，被niap认证机构列入批准实验室列表的测试实验室，必须满足以下规定：a). nist手册150，程序与一般要求；b). nist手册15020，信息技术安全测试通用准则；c). niap认证机构确定的特定it安全评估准则与其他规定；通常，一个实验室成为cctl的流程见图14：图14：ccevs的cctl批准过程满足ccevs的要求实验室实验室

24、-美国国内的实验室-非政府性质-接受政府的监督和参与现场评审管理者熟练程度测试质量手册评审nvlap一般要求iso25/9000cct规范熟练程度测试nvlap认可的实验室列表已批准的实验室列表niap的ccevs认证机构cctl与发起者就使用niap批准的测试方法进行it产品和保护轮廓的安全评估签署协议，测试方法是从通用准则和通用评估方法导出的。it安全评估是按照ccevs的政策和程序进行的。cctl必须遵守最高标准的公平性、完整性和商业机密性，在ccevs确立的指导原则下开展评估活动。在商业机密性方面，cctl必须制定相应政策和程序，以保护敏感或专有信息。以上程序须由nvlap和niap认

25、证机构审计。实施特定it安全评估的cctl或者cctl的员工，都不能与该项评估的结果有既定的利益关系。任何情况下，cctl员工或评估组都不能参与：a) 同一it产品或保护轮廓的开发与评估；b) 为评估发起者或产品/轮廓开发者提供有损于评估独立性的咨询服务。因此，cctl必须保证，任何与即将评估的it产品或保护轮廓的评估证据产生有关的活动，不得与实验室对该产品或轮廓进行公正合理的评估活动发生冲突。上述利害冲突的指导原则须经niap认证机构和nvlap的详细审查，以确保是满足条件的。认证机构和nvlap是解决威胁安全评估完整性的潜在或实际利益冲突的最后裁决者。5. it安全性评估过程5.1 it安

26、全评估的准备评估初期的大多数活动都是在评估发起者和cctl之间进行的。发起者负责提供安全目标和即将成为评估目标（toe）的相关it产品。toe的组件可以多种多样，包括硬件、固件和软件（或它们的组合）。toe也可包括多种it产品（有时指一个it系统），其中有些可能已经过评估。为保证it安全评估的顺利进行，发起者必须向cctl提供所有必需的文档。5.1.1 支持评估的咨询工作it安全评估准备期间的咨询工作范围不受ccevs的限制，而是由发起者和cctl或其他顾问协商进行。然而，cctl必须坚持nvlap认可的条款和条件，以保证提供的建议不会影响任何评估中评估者的独立性或公正性。对每一项评估，cct

27、l应将代表评估发起人进行的任何咨询活动通报给认证机构。上述活动允许cctl说明其在评估期间将保持独立性和公正性。5.1.2 安全目标安全目标不仅是将被评估的it产品（如toe）安全功能的规范，而且是关于产品运行环境的描述。产品评估发起者提供安全目标，其中包括由发起者所作的关于it产品的声明。安全目标的内容和陈述必须采用cc的语言。安全目标也可声明与某一个保护轮廓是一致的。5.1.3 交付件it安全评估典型的交付件包括硬件、固件、软件或其他在产品开发过程中产生的技术文档。评估发起者必须保证为评估及时提供交付件。发起者应做出恰当的合同安排，以保证向cctl提供评估交付件。如果toe包含多个it产品

28、，其中一部分已经被评估，则评估发起者必须保证合同安排中包括发布以前评估结果的授权。it安全评估的发起者必须确保cctl和认证机构有权获得进行评估和认证所需的专有信息。如果不能得到专有信息，则cctl不能进行该产品评估，认证机构也不能发布其认证报告。认证机构和cctl必须保证，不会将评估过程中的敏感或专有信息透露给未授权方，以免造成任何形式的信息泄露。cctl应当明确规定专有信息的性质与范围，并运用适当的保护措施。5.1.4 评估准备发起者确定了评估目标和提供交付件的方法后，应提请cctl开始产品评估。发起者也可使用完整的安全目标，从cctl处得到评估建议。被选中进行评估的cctl应当复查安全目

29、标，以确保该安全目标为评估提供了合理的依据。发现任何问题应及时通知发起者，以便在评估开始前修改安全目标。当一项成功的评估被认为可行时，选中的cctl应准备具体的toe评估工作计划、一份评估进度表和交付件列表。5.1.5 方案开始发起者和选中进行评估的cctl将提议的评估上报认证机构，并请求正式进入方案实施，这时niap认证机构才开始介入it安全评估。批准预期的评估进入方案实施前，认证机构需从发起者和cctl处得到如下特定信息：a) 安全目标和toe描述；b) 评估工作计划；c) 评估进度表。作为正式接受评估进入方案实施的一部分工作，认证机构须复查发起者和cctl提交的文档，以评审所有参与方是否

30、已为提议的评估作了充分的准备。这个初始的审查包括召开有发起者和cctl的有关人员参加的会议，目的就是尽量减少评估与认证过程中各参与方的风险。为了有力支持niap的认证机构所要求的技术监督和认证活动，切实履行其职责，根据信息技术领域通用准则证书互相认可协议，cctl在没有得到对提议的评估进入实施的正式许可之前，不应启动实际的评估任务。图1-5概括了评估准备相关的活动：认证体审查cctl提供的文档认证机构正式接受提议的评估进入实施阶段发起者说明进行一项it产品安全评估的需求发起者提供安全目标并保证提供所有交付件cctl向认证机构递交所需文档等待审查发起者与cctl联系，签订合同，开始安全评估cct

31、l准备评估工作计划、可交付件列表和评估进度表图 15：it安全评估的准备活动5.2 it安全性评估的实施评估就是对it产品与通用准则是否一致的评价。它判断该产品或toe是不是很好地支持了安全目标中的功能和保证安全规范。目的是让实施评估的cctl出具一份公正的报告，陈述toe是否满足了安全目标。cctl使用交付件列表中的交付件，根据评估工作计划进行toe的it安全评估。在评估过程中，如果发起者向cctl提供更多的信息，评估工作计划可能会随之变动。任何时候都鼓励cctl与认证机构讨论技术问题、出现的异常情况或有关评估的问题。cctl将it安全评估结果编写成文，作为评估的成果。发起者和cctl应将问

32、题观察报告通知认证机构，其中包括评估期间toe中的问题和与通用准则或通用评估方法相关的问题。一般说来，cctl应与发起者直接接触，以解决和找出评估中的问题。只有在下述情况下才递交观察报告：a) 当有发起者和cctl不能解决的特定问题或争议时；b) 需要认证机构的指导或解释时。当发生与产品有关的争议或问题时，发起者应向认证机构和cctl提出详细建议，以解决报告中的争议或问题以及这一过程的时限。如果存在不可能解决的争议或问题，且认证机构认为这会影响评估时，认证机构应与发起者联系，讨论潜在的影响和可能的折衷方法。根据与cctl的合同，发起者可以：a) 放弃it安全性评估；b) 与认证机构协商，在接受

33、问题及其对认证的影响下，讨论是否继续安全评估；c) 重新安排评估进度，并与认证机构协商，必要时可对toe进行修改。当产生的争议或问题与通用准则、通用评估方法或ccevs本身有关的时，认证机构在收到观察报告后，将依次采取以下措施：a) 评价直接的争议或问题，对该项it安全评估做出初步结果；b) 组成由cctl的安全和测试团体代表和技术专家参加的技术工作组，在ccevs内部解决争议或问题。c) 如果需要，将按照已确定的程序，与国际上的相关标准研究组、技术委员会或其他合适的机构联合，寻求解决问题或争议的方法。5.3 评估结论it安全评估的结果由cctl记录并生成评估技术报告。报告的内容和证据的表述应

34、与通用准则和通用方法一致。cctl应按一定形式组织评估技术报告，以便允许去掉专有或敏感信息。cctl应向认证机构和评估发起者提交两种版本的报告：a) 完整的评估技术报告（包括专有和/或敏感信息）b) 有删节的评估技术报告（仅删除专有和/或敏感信息的报告）发起者可就报告中使人误解的、不公正或不准确之处与cctl进行协商。图16简略表示了it安全评估的行动和结论的相关活动。图 16 it安全评估的实施和结论cctl记录评估结果作为工作成果cctl完成评估，向认证机构和发起者提交评估技术报告认证机构审查评估报告，决定进行认证cctl向发起者和认证机构提交观察报告cctl针对安全目标进行安全目标和to

35、e的评估认证机构授权cctl进行评估；提供技术监督5.4 保护轮廓的评估评估保护轮廓的目的是证明该保护轮廓是完整、一致且是技术上合理的，因此可以用作一个或多个被评估toes的需求的描述语言。发起人负责向实施评估的cctl提交保护轮廓。此外，发起者可以向cctl提供与保护轮廓开始有关的任何文档。niap认证机构在同意预期的保护轮廓评估进入实施阶段之前，cctl和发起者必须向认证机构提供如下信息：a) 保护轮廓b) 评估工作计划c) 评估进度表随着it产品的评估，cctl将轮廓的评估结果写进评估技术报告。报告中的内容和证据的表述应与通用准则和通用方法的相关内容一致。这份报告提交给niap认证机构和

36、评估发起者。发起者可就保护轮廓评估技术报告中使人误解的、不公正或不准确之处与cctl进行协商。6. 技术监督与认证6.1 技术监督技术监督是niap认证机构一贯采取的方式，以保证ccevs内的评估和认证活动是严格按照通用准则、通用方法、信息技术领域通用准则证书互相认可协议以及ccevs特定的政策和程序的规定进行的。技术监督包括对cctls和特定评估的监督。通用准则方案强调实验室认可程序的重要性，以确保商业测试机构具有持续进行it产品安全评估的能力。然而，设计分析和测试的双重需要带来的it安全评估的复杂性，使这一类型的评估有其特殊性。为了保证对所有可实施it评估的cctl的公平性，需要ccevs

37、内部的一致性。这些复杂性和一致性要求使技术监督显得尤为重要。技术监督开始于niap认证机构同意it安全评估进入方案实施阶段。评估期间，认证机构将与cctl和评估发起者通过如下方式保持联系：a) 提供it安全评估成功进行的技术和非技术领域的信息；b) 要求得到对认证过程非常重要的技术和非技术领域的信息；c) 共同合作，解决重要的技术问题。认证机构实施的技术监督，须保证cctl对特定it安全评估和保证级别的确定，完整正确地运用了通用准则和通用方法。技术监督和评估监督的目的是尽可能减少ccevs参与各方（即niap认证机构、cctls和评估起者）的风险。一般说来，监督过程相关活动的多少、种类和强度取

38、决于如下因素：a) 安全目标中的保证要求（即预先确定的cc评估保证级别和发起人确定的保证包）；b) 评估目标（toe）的复杂性；c) cctl在it产品评估中的经验。为了建立代表cctl和评估发起者利益的技术监督水平，认证机构将发布严格的指导原则，详细规定在ccevs内部技术监督活动的实施方法。6.2 认证过程 认证就是提供独立的确认，证实安全评估是按照ccevs的条款进行的，cctl的结论与其评估技术报告中的事实是相符的。认证机构通过认证过程来保证方案内的评估运用了通用准则和通用方法，得到了一致的技术结论。认证过程的最后一步就是由认证机构发布正式报告颁布通用准则证书。认证机构为每一项it安全

39、评估指定一个代表或认证员，作为与cctl和评估发起者的主要联系人。评估过程中，cctl和发起者也指定一个联系人，与认证机构保持联系。认证机构将让其代表监督评估并执行一些认证活动。根据对特定评估的认证要求，认证员可以参加cctl和/或发起者召集的评估进展审查会或其他会议，这也是成功评估和认证所必须的。安全评估结束后，认证机构审查cctl生成的评估技术报告，确定toe满足安全目标的程度。如果是保护轮廓的评估，则要审查保护轮廓的一致性、完整性和合理性的程度。认证机构还需确认，评估是按照通用准则、通用评估方法和ccevs的程序进行的，而且评估报告为最终的认证报告提供了适当的基础。认证机构将保留与cct

40、l联系的权利，以得到澄清有关评估问题的信息且/或得到支持报告中的所有结论的具体技术证据和结果。it安全评估的结果将写入最终认证报告，认证报告是由认证员与niap选派的技术代表协商后准备的。报告的大部分信息来自于cctl的评估技术报告，其目的是提供toe与其安全目标如何一致的声明，或者是保护轮廓如何满足了通用准则和通用方法要求的声明。认证机构发布认证报告，并不表示toe保证不会有任何的可利用的弱点，也不表示保护轮廓对特定的运行环境提供了一套合适的安全要求。认证机构审查后，认证报告草案将发给评估发起者和cctl，以确认以下信息：a) 报告结论是准确的；b) 不存在任何使本报告无效的因素；c) 清除

41、了所有的专有和/或敏感信息。随后，由发起者和cctl进行外部审查，再由认证员将评估技术报告提交给认证机构监督委员会进行审查和评论。监督委员会批准后，认证机构发布最终认证报告，总结并确认了cctl的评估结果（评估是正确实施的，通用准则、通用评估方法和其他程序也是正确应用的，cctl的结论与引述的证据也是相符的）认证报告将是公开文件，没有专有或敏感信息，所有权归认证机构。如果发起者要翻印和分发认证报告，须得到认证机构的授权并保持报告的完整性。6.3 通用准则证书一旦最终认证报告被认证机构批准，就要签发通用准则证书。nist和nsa作为niap的共同参与者，是ccevs中的证书签署机构。每个机构的高

42、级执行官将在证书上签字，表明接受证书上的各项内容。证书颁发给安全评估的发起者后，还须将其产品列入niap的认证产品列表。证书仅适用于与评估配置相同的it产品的版本，或者已评估保护轮廓的特定版本。根据认证机构发布的认证报告和通用准则证书，发起者应当只销售其已评估过的it产品或保护轮廓。对某个it产品或保护轮廓颁发了cc证书，并不表明nist、nsa或美国政府的其他机构对该it产品或保护轮廓的认可。通用准则证书的维护过程（如后续it产品或保护轮廓的发布或版本扩展）由通用准则证书维护程序管理。预料到会有再次评估需要的发起者，在首次评估的初期就希望考虑一种证书维护方法，以减少将来的评估活动。进行it产

43、品或保护轮廓的首次评估时，为了考虑到再次评估或证书维护的需要，发起者需与cctl密切协作。图1-7 总结了与监督和认证过程有关的活动。认证机构正式接受提议的安全评估进入实施阶段认证机构发布最终认证报告，签发cc证书图 17 技术监督与认证活动认证体审查最终etr，解决cctl关心的问题发起者和cctl审查认证报告草稿，向认证机构提出意见cctl向认证机构提交最终etr，请求审查和评论认证机构与发起者/cctl联系，处理问题，检查进展7. 目前情况7.1 政府支持美国政府历来将it产品和系统作为国家的信息基础设施，对信息系统安全的测评认证工作非常重视，在相关的法令、条例中都有明确的指示。如在总统

44、决策令第63号、1996年计算机安全法案及管理和预算办公室（omb）的公告a-130中都要求有关政府部门密切配合nist和nsa的工作，这些政府部门包括首席信息主管（cio）委员会、gsa（general service administration）、管理和预算办公室（omb）。这些部门都下设有专门的信息安全专门机构，如cio委员会下设有安全委员会，gsa下设有信息安全办公室。在美国白宫2000年1月公布的“信息系统保护国家规划”中，要求：gsa、dod和omb须与nsa、nist协作修订政府采购条例，以使联邦政府获取符合现行标准的信息保证产品、系统和服务。gsa和omb要制定详细的程序和最

45、后时间期限，促使联邦政府机构采纳和实施新的政府采购条例。计划在2001年1月之前，建议使用经过评估和认证过的cots（现用商用产品） ia（识别与鉴别）或有ia功能的it产品；到2002年7月，指定系统中使用的所有cots ia或具备ia功能的it产品，只能选用已评估认证过的产品。7.2 ccevs日趋完善由于美国多年来在基于tcsec的评估认证方面技术和经验的积累，使其向基于cc的it安全性评估和认证过渡得非常顺利。从1998开始基于cc的评估以来，ccevs的范围已经包括了it产品和保护轮廓的cc评估和认证，评估保证级别可以从1级到4级，主要的参与者有it产品或保护轮廓的发起人、it产品或

46、保护轮廓的开发者、通用准则测试实验室以及ccevs的认证机构。1999年，总共进行了七件it产品的cc评估，其中有四件是在美国国内的实验室完成的。截止2000年6月，niap已相继完成了其内部质量管理文档，并预计在年内完成所有的程序文档。具体情况如下：1. ccevs第1号出版物：niap信息技术安全性通用准则评估和认证体系组织、管理和运作概念；（1999年5月份已发布第二版）2. ccevs第2号出版物：niap信息技术安全性通用准则评估和认证体系认证机构运作程序标准；（已发布）3. ccevs第3号出版物：niap信息技术安全性通用准则评估和认证体系技术监督和认证程序；（预计2000年7月

47、发布）4. ccevs第4号出版物：niap信息技术安全性通用准则评估和认证体系通用准则测试实验室指南；（预计2000年8月发布）5. ccevs第5号出版物：niap信息技术安全性通用准则评估和认证体系it安全评估发起者指南；（预计2000年8月发布）6. ccevs第6号出版物：niap信息技术安全性通用准则评估和认证体系证书维护程序；（预计2000年9月发布）除了加强内部建设外，niap还不断拓展与业界的合作，共同推动cc和ccevs的健康发展。1999年niap与业界共同建立了智能卡安全性用户组和医疗信息系统安全论坛，并由它发起成立了实验室认可研究组、电信交换机保护轮廓开发研究组。组织

48、了6次cc培训和13次保护轮廓设计的培训。目前niap批准的通用准则测试实验室（cctl）有六个，它们是为：1、 arca系统实验室2、 bah实验室3、 coact公司4、 计算机科学公司5、 cygnacom解决公司6、 科学应用国际公司最新公布的已完成cc认证的产品或系统有以下7个：1、 heck point firewall-1 version, version 4.0 (sp 5)2、 cisco pix firewall 5203、 dragonfly guard model g1.24、 dragonfly companion version 3.025、 lucent mana

49、ged firewall version 3.06、 lucent managed firewall version 4.07、 2in1 pc(tm) 8. 国际认可情况美国是最早主张推行基于cc评估结果国际互认的国家之一。经过两年的紧张磋商后，1998年10月，来自美国、加拿大、法国、德国和英国的政府组织签署具历史意义的cc评估互认协议。该协议的正式名字为信息技术安全领域通用准则证书互认协议。其目的主要有如下四点：1、 保证it产品和保护轮廓的评估是按照通行的一致标准进行的，并大大增加了人们对这些产品和轮廓安全性的信心；2、 扩大已评估的、安全增强的it产品和保护轮廓的国际应用范围；3、

50、减少对it产品和保护轮廓的重复评估；4、 不断改善it产品和保护轮廓的安全性评估和认证过程的效率与成本。 目前，认可美国签发的cc证书的国家有：英国、加拿大、澳大利亚、新西兰、法国、德国。证书级别为eal1到eal4。英国的信息安全测评认证体系1. 简介英国的it安全评估认证体系是1991年由贸易和工业部（dti）和通信电子安全组（cesg）共同建立的，依据的评估认证标准主要是cc及其评估方法和itsec及其评估方法。英国的it安全评估认证机构（cb）行政上由cesg领导。cesg作为一个文职机构隶属于政府通讯指挥部（gchq），其前身是通讯电子安全局，它负责保证政府和军事通信的安全。cesg

51、的认证人员负责专业能力、技术目标和商业秘密方面的最高技术标准的开发。在英国的it安全评估认证体系中，评估体系管委会负责制订国家信息安全评估认证政策，监督认证机构和仲裁诉讼及争议。管委会由评估认证体系的高级执行官、认证机构主任、cesg、dti和国防部（mod）的高级官员以及其他政府部门和工业界的代表组成，其主席由cesg的人员担任。它直接向内阁会议建议和汇报认证机构的财政和资源状况。认证机构具体实施it评估认证体系的运作，由cesg指派高级执行官，其工作人员来自cesg或由cesg招聘，负责监管商业评估机构（clef）。it安全评估是在认证机构的监督下，由商业评估机构（clef）来实现。cle

52、f是认证机构授权并通过英国国家实验室认可机构（ukas）认可的一些实验室，其业务受认证机构监督并与cesg签署相关合同。目前已有认可的clef有五个。英国是最先签署基于cc评估的认证证书互认协议的国家之一。2. 发展过程1985年，英国政府的通信电子安全局（cesg），作为负责hmg(英国王陛下政府)电子安全的技术权威机构，建立了首批评估机构，以对政府的计算机系统进行安全评估。这些评估机构就是现在clef的先驱。1987年，英国政府的贸工部（dti）建立了商用计算机安全中心，以检查对商业化it产品正式安全评估的应用情况。这就促使形成了一套评估的标准和运用这些标准的方案轮廓，也就是后来为人们所熟

53、知的“绿皮书”。这些标准在1989年经过试用并广泛征求了工业界的意见。英国政府认识到评估认证体系的建立，不仅对会使国家的信息安全事业受益，而且会促进整个it产业的发展。所以到1989年12月，由dti和cesg联合建立英国it安全性评估和认证体系itsecs。并于1990年7月4日正式启动，实际的运作开始于1991年5月1日，也就是在这一年的6月，欧洲议会颁布了itsec标准。itsecs的主要目的是：满足业界和政府对it产品和系统进行低成本高效率的安全评估和认证的需求，并提供一个证书国际认可的框架。从itsecs开始运作起到现在，英国的评估认证机构仍进行以itsec为标准的评估和认证。在通用

54、准则成为国际标准后，也开始了以cc为标准的评估和认证，可以签发两种样式的证书，这种共存的局面还将持续一段时间。3. 评估认证体系1989年12月，英国政府宣布建立新的评估认证方案，以评估认证信息技术产品和系统安全功能的可信度。正式名称为英国it安全性评估认证体系。建立该评估认证体系的目的就是满足业界和政府对it产品和系统安全性进行低成本高效率的评估和认证需求。还就英国信息技术安全性评估准则（itsec）和通用准则（cc）的要求，提供一个证书国际互认的框架。方案的主要参与者包括：1） 管理委员会；2） 认证机构（cb）；3） 商业化评估机构（clefs）；4） 发起者；5） 开发者；6） 委托者

55、；各参与方间的关系可参照如下评估认证流程图21。委托者认证报告证书ukasclef开发者认证机构发起者评估体系管委会实验室认可认证评估工作程序观测报告评估技术报告批准和使用信息系统制订策略和技术监督观测报告评估对象授权clef安全目标评估对象安全目标可交付性可交付性观测报告图2.1：英国itsecs流程图该评估认证方案自1990年7月4日生效，经过一段时间的准备后，于1991年第一季度开始运行。方案由英国政府通信电子安全组（cesg）在管理委员会的指导下运行，为业界和政府的各个部门提供评估和认证服务。方案中的认证机构（cb）负责对it产品和系统的评估结果进行认证，并处理与别的国家互认证书的事务。当然认证机构需要遵守en45011标准关于cb质量程序的要求，相当于iso导则65的要求。方案还确定了实施it安全性评估的组织和程序框架，包括商业评估机构（clefs）的授权，确定了批准clef的技术和程序。clef由英国认可机构（ukas）按照namas认可标准m10和认可条例m11的规定进行，ukas的认可标准与iso导则25和en45001是一致的。除此之外，还要考虑与质量保证相关的标准如iso9000、en2900、bs5750系列。对clef的认可执行严格的标准，目的就是使