信息技術產品作為關鍵信息基礎設施的基本組成單元，其安全性高低是決定關鍵信息基礎設施抗攻擊能力強弱的重要因素。隨著國家網(wǎng)絡強國建設的推進，高安全等級產品及其測評越來越受到業(yè)界的重視。高安全等級測評是什么？怎么做？有何意義？中國信息安全測評中心（以下簡稱“測評中心”）信息安全實驗室主任張寶峰接受了我刊采訪，就以上業(yè)界關心的問題進行了回答。

　　Q

　　測評中心是國內信息技術產品測評領域的重要實踐者，近期有企業(yè)的產品通過了貴中心的 EAL5+ 級測評，請您介紹一下什么是 EAL5+ 級？

　　張寶峰：近期，確有兩款產品通過了我中心的 EAL5+ 級測評，分別是元心信息科技集團有限公司開發(fā)的“元心安全微內核操作系統(tǒng) V2.0”和合肥大唐存儲科技有限公司研制的“存儲控制器芯片 DSS510”。下面，我介紹一下 EAL 的基本概念。

　　EAL（Evaluation Assurance Level），即評估保障級，是一種度量信息技術產品安全保障能力的尺度，此概念源自國際最廣泛采用的《信息技術安全評估準則》（The Common Criteria forInformation Technology Security Evaluation）， 簡稱 CC 標準 。

　　該標準將信息技術產品的安全保障程度分為七個級別：EAL1 至 EAL7。級別越高，其安全保障能力或安全功能正確實現(xiàn)的可信度就越高，產品就能對抗更高級別的安全威脅，適用于更高安全風險環(huán)境。

　　EAL1-EAL2 可用于保護低價值的資產，抵御無意或低水平攻擊者的攻擊。

　　EAL3-EAL4 可用于保護中等價值的資產，抵御有組織團體的攻擊。

　　EAL5 級可用于保護高價值的資產，抵御有組織團體的攻擊。

　　EAL6 級和 EAL7 級，可用于保護高價值的資產，抵御國家級組織的攻擊。

　　本次兩家企業(yè)所通過的 EAL5+ 級，又稱為“半形式化設計和測試級”。產品通過該安全保障級，表明應能抵御有組織團體的攻擊，意味著開發(fā)者在產品設計、研發(fā)、測試、交付和運行等各階段，要基于嚴格的商業(yè)開發(fā)實踐，獲得最大限度的安全保障，并對產品的關鍵設計環(huán)節(jié)開展半形式化的分析和論證。EAL5+ 代表 EAL5 增強級，是指在滿足 EAL5 級所有保障要求的基礎上，對特定的保障要求進行了增加或增強。

　　Q

　　原來 EAL5+ 級的概念來自于 CC 標準。這個標準經常聽業(yè)內人士提起，請您再介紹一下，CC 標準在國內外的發(fā)展和應用情況。

　　張寶峰：CC 標準始于 1993 年 6 月，并在1999 年被采納為國際標準 ISO/IEC 15408， 廣泛應用于信息技術領域的安全性評估。國際上還成立了 CC 互認組織 CCRA（Common CriteriaRecognition Arrangement），將 CC 作為產品測評的基礎標準，要求 CCRA 成員國對測評結果相互承認。截至目前，共有 31 個 CCRA 成員國，獲國際 CC 測評認證的信息技術產品多達 5000 余款。

　　2001 年，測評中心牽頭，將 CC 標準轉化為國家標準 GB/T 18336《信息技術 安全技術 信息技術安全評估準則》，并持續(xù)跟蹤標準更新，當前正開展 CC v4.0 的國家標準修訂。二十年來，我國基于 GB/T 18336 標準開發(fā)了一系列配套標準。據(jù)不完全統(tǒng)計，全國信息安全標準化技術委員會組織編制和審核通過的國家標準中，約 40 項標準將 GB/T18336 作為編制依據(jù)或參考，直接應用于主流信息技術產品的安全設計、開發(fā)、測評認證和采購等環(huán)節(jié)。以測評中心為例，依據(jù) GB/T18336 和相關配套國家標準，已完成數(shù)百家企業(yè)、2000 余款產品的 EAL 分級測評，發(fā)現(xiàn)了大量產品中隱含的漏洞和風險，協(xié)助企業(yè)完成整改，提升了產品的安全性，為產業(yè)界的安全和高質量發(fā)展做出貢獻，為網(wǎng)絡強國和數(shù)字中國建設發(fā)揮重要作用。

　　同時，測評中心基于標準研究和測評實踐，多次提出完善 CC 標準的觀點和理念，得到國際同行的關注和認可。自 2017 年起，測評中心石竑松博士作為國內唯一受邀專家，加入到國際 CC標準編制組，第一時間參與技術研究和標準編制，為 CC 標準的發(fā)展和應用做出重要貢獻；同年，基于 CC 理念，測評中心在 ISO/IEC JTC1/SC27WG3 工作組，牽頭立項國際標準《量子密鑰分發(fā)的安全要求、測試和評估方法》；2019 年，測評中心陳佳哲博士受邀參與國際重要標準《密碼模塊非侵入式攻擊緩解技術測試方法》的編制工作。

　　當然，國內還有許多測評認證機構、科研院所和產業(yè)單位，也在不同程度地開展 CC 標準研究和實踐，對標準的發(fā)展和應用做出許多貢獻，在此就不一一羅列。

　　Q

　　顯然，無論在 CC 標準研究還是實踐方面，國內已經開展了大量工作。但是，據(jù)了解，國際上獲得 EAL5 級及以上級別測評認證的產品數(shù)量遠高于國內，請問原因是什么？

　　張寶峰：確實存在此情況。近 5 年國內外的CC 測評數(shù)據(jù)顯示，國際上獲 EAL5 級測評認證的產品近 400 款，獲 EAL6 級和 EAL7 級測評認證的產品 130 余款；而國內產品主要集中在 EAL3和 EAL4 級別，在國內通過 EAL5 級測評的產品數(shù)量僅是個位數(shù)，通過 EAL6 級和 EAL7 級的產品數(shù)量為 0。為打入國際市場，極少數(shù)國內企業(yè)的產品通過了國外檢測機構的測評，但也主要集中在 EAL4+ 級及以下級別。總體來看，國內通過高保障級測評的產品數(shù)量與國外相比差距巨大。

　　究其原因，我認為主要有以下三方面的因素。一是國外信息技術發(fā)展早、起點高，產業(yè)界和用戶對高安全等級產品更加重視。二是高保障級測評要求高、難度大、投入多，涉及研發(fā)環(huán)境可控、源代碼級檢測、高強度滲透測試、供應鏈安全評估等內容，給研發(fā)企業(yè)帶來較大挑戰(zhàn)。三是國內僅有少數(shù)測評機構能夠開展高保障級測評，對產業(yè)界的引導和促進不足。

　　可喜的是，近幾年，國內企業(yè)已嘗試開展高安全等級產品的研發(fā)，部分軟硬件產品通過了 EAL5+ 級測評，這說明企業(yè)對安全的重視程度不斷增強，安全研發(fā)能力有所提高。接下來，需要產學研用各部門通力配合，不斷提升我國信息技術產品的整體安全水平，全力保障國家網(wǎng)絡安全。

　　Q

　　剛才您提到，部分國內產品因參與國際市場競爭需要，申請并通過了國際 CC 測評，那么，測評中心是否也可以對國外企業(yè)產品開展測評，在測評流程上與國內企業(yè)是否存在區(qū)別？

　　張寶峰：習近平總書記在第三屆中國國際進口博覽會開幕式上發(fā)表主旨演講時指出，“中國將秉持開放、合作、團結、共贏的信念，堅定不移全面擴大開放，讓中國市場成為世界的市場、共享的市場、大家的市場，為國際社會注入更多正能量。”

　　測評中心成立以來，一直致力于網(wǎng)絡信息安全測評事業(yè)的建設發(fā)展，嚴格依據(jù)標準，為國內外企業(yè)提供高質量的產品測評服務。

　　多年來，測評中心已與多家國外企業(yè)開展了良好合作，對送測的產品開展了 EAL 分級測評工作。早在十年前，三星公司的多款產品就通過了我們的 EAL4+ 級測評。無論國內外企業(yè)，測評中心均基于實驗室認可質量體系，提供相同標準的測評服務，客觀公正地反映測評結果。

　　我們熱忱歡迎更多的國內外企業(yè)送測其優(yōu)質產品，開展技術交流，共同推進產品技術能力和安全性提升，為網(wǎng)絡空間安全做出相應的貢獻。

　　Q

　　剛才您提到，國外已有許多產品通過了EAL6 和 EAL7 級等更高級別的測評。對這種高級別的測評，企業(yè)是否需達到一定的能力要求才能申請？

　　張寶峰：前面談到，通過 EAL6 或 EAL7 級測評，意味著產品將應用于高風險環(huán)境，保護高價值資產，用以對抗國家級攻擊，要求更高、難度更大、檢測更深。一個突出的要求，就是產品要經過半形式化甚至形式化驗證設計和測試，即通過等價性驗證、模型檢驗和定理證明等數(shù)學方法 ,完備地證明或驗證產品功能需求是否得到滿足，證明關鍵功能特征覆蓋率是否達到 100%。此外，還必須進行安全模型分析、源代碼級深度檢測分析、高強度滲透測試等工作，要求企業(yè)產品具備極高的安全防護能力和技術能力，要求企業(yè)具備高水平的研發(fā)隊伍和先進的研發(fā)測試裝備，具備更加規(guī)范的研發(fā)管理流程和研發(fā)環(huán)境。

　　從測評要求和理念看，結構和功能越復雜的產品，在開展形式化和半形式化驗證設計時，往往挑戰(zhàn)更大。對于防護能力要求高但功能架構不太復雜的產品，反而更有機會挑戰(zhàn) EAL6、EAL7級測評，例如專用芯片、智能卡等。

　　值得一提的是，與軟件開發(fā)不同，芯片的研制除了設計階段，還需經過流片、封裝等加工制造環(huán)節(jié)。一旦制造出來的芯片不符合要求，則需要重新流片，往往代價不菲，這就要求企業(yè)在芯片設計階段嚴格把關、務求全面?；诙嗄隃y評實踐和專項支持，測評中心具備了較好的高保障級測評基礎，研究并形成了半形式化/形式化分析、算法分析、密碼模塊側信道分析、電路侵入式分析等技術體系，自主研發(fā)了多個軟硬件檢測分析平臺 , 在檢測精度、檢測效率和檢測效果等方面具有一定的優(yōu)勢。

　　對于有測評意愿的芯片研發(fā)企業(yè)，我們可以提供前期咨詢，幫助企業(yè)分析和選擇適合的測評級別，減少不必要的后續(xù)損失。

　　Q

　　測評周期一直是企業(yè)比較關注的問題。有企業(yè)反映，基于 CC 標準的測評周期會比較長，請問其原因是什么？我們有哪些舉措幫助企業(yè)更快更好地通過測評？

　　張寶峰：國內外基于 CC 標準的測評周期較長，確實是企業(yè)非常關注的問題。多年實踐表明，產品越復雜、安全等級越高，所需的測評周期就越長，主要原因如下：

　　第一，基于 CC 標準的安全性測評，覆蓋面廣，內在要求高。整個測評覆蓋產品全生命周期，需要對產品的設計、實現(xiàn)、測試、交付過程、配置管理、研發(fā)環(huán)境、供應鏈等開展全面的評價。要達到標準要求，測評機構和企業(yè)都需較大工作量。國際上通過 EAL4+ 級測評的周期通常需要半年以上，通過 EAL5+ 級測評則需要 1 年以上。

　　第二，CC 重視測評證據(jù)，要求測評證據(jù)的完備性和有效性。CC 標準適用于具有安全功能的所有信息技術產品，其標準文本具有較高的技術特色和抽象概念。對于企業(yè)，特別是首次申請測評的企業(yè)，理解抽象概念存在一定難度，導致提供的測試證據(jù)不完備、不充分，往往消耗大量時間用于證據(jù)的補充和完善。

　　第三，CC 標準要求，必須完成對所有問題的整改和回歸測試，這需要一定的周期。從測評實踐看，絕大部分送測產品均存在不同程度的問題，尤其是首次送測的產品，有些甚至存在非常嚴重的漏洞和風險。問題的交互、確認和修改，也是導致測評周期較長的原因之一。

　　針對上述情況，我們開展了問題研究和流程優(yōu)化，提早介入，加強與企業(yè)的溝通交流，為企業(yè)提供技術咨詢和標準培訓，減少企業(yè)反復修改的成本。此外，中心還構建了自動化測試平臺、漏洞分析平臺和源代碼分析平臺等工具，有效地提升了測試能力、提高了測試效率、縮短了測試時間。相信通過這些舉措，將明顯提升企業(yè)的測評體驗。

　　Q

　　通過您的介紹，讓我們意識到高保障級測評的重要性，對其發(fā)展您還有什么建議？

　　張寶峰：黨中央和習近平總書記高度重視網(wǎng)絡安全工作，國家“十四五”規(guī)劃綱要明確提出，統(tǒng)籌發(fā)展和安全，建設更高水平的平安中國，全面加強網(wǎng)絡安全保障體系和能力建設。國務院近期印發(fā)的《“十四五”數(shù)字經濟發(fā)展規(guī)劃》中也提出，著力強化數(shù)字經濟安全體系，增強網(wǎng)絡安全防護能力，加強網(wǎng)絡安全基礎設施建設，推廣使用安全可靠的信息產品、服務和解決方案。

　　基于 CC 標準的測評，特別是高保障級測評，不僅能夠讓企業(yè)持續(xù)改進其產品的安全性，提升產品質量，也能為產品使用者提供更多的安全保障和信心。從國家關鍵信息基礎設施和重要領域信息系統(tǒng)的建設運營部門，到各行業(yè)和企業(yè)信息系統(tǒng)的管理者，肩負著構建更加安全可控的網(wǎng)絡設施的任務，使用高安全、高質量的信息技術產品是其中重要一環(huán)。鑒于目前國內高安全等級產品的現(xiàn)狀，我個人有以下幾點建議。

　　加強高安全等級產品使用力度，進一步筑牢關鍵信息基礎設施安全防線。在關鍵信息基礎設施后續(xù)建設過程中，為保護高價值資產，抵御有組織團體和國家級網(wǎng)絡攻擊，可在高風險環(huán)境中逐步推進高安全等級產品的部署和應用，以政策需求引導產業(yè)發(fā)展，如在核心重要領域采購的關鍵產品，盡可能達到 EAL5 級及以上。

　　加強產業(yè)政策引導，進一步加大優(yōu)質數(shù)字資源供給。在產業(yè)層面，出臺鼓勵政策，引導企業(yè)加大資源投入，加強企業(yè)高安全等級產品的研發(fā)能力，加快關鍵核心技術自主創(chuàng)新，提升產品的國際競爭力，進一步提高我國網(wǎng)絡空間安全防御水平，為我國數(shù)字經濟高速發(fā)展保駕護航。

　　加強網(wǎng)絡空間國際交流合作，進一步貢獻中國智慧。網(wǎng)絡空間是人類的共同家園，網(wǎng)絡安全也是各國面臨的共同挑戰(zhàn)。建議加強國際技術交流與合作，積極參與國際標準和國際規(guī)則的研究制定，共同促進新技術新應用健康發(fā)展，及時提出中國方案，發(fā)出中國聲音，攜手構建網(wǎng)絡空間命運共同體。