国外信息安全测评认证体系情况汇编

《国外信息安全测评认证体系情况汇编》由会员分享，可在线阅读，更多相关《国外信息安全测评认证体系情况汇编（69页珍藏版）》请在装配图网上搜索。

1、秘密国外信息安全测评认证体系情况汇编国家安全部2000.9目 录前 言美国的信息安全测评认证体系英国的信息安全测评认证体系澳大利亚的信息安全测评认证体系加拿大的信息安全测评认证体系德国的信息安全测评认证体系法国的信息安全测评认证体系荷兰的信息安全测评认证情况西班牙信息安全测评认证体系以色列的信息安全测评认证情况介绍韩国的信息安全测评认证体系日本的信息安全测评认证情况介绍前 言信息技术和网络空间，给社会的经济、科技、文化、教育和管理等各个方面注入了新的活力。人们在享受信息化带来的众多好处的同时，也面临着日益突出的信息安全问题。信息安全产品和信息系统固有的敏感性和特殊性，直接影响着国家的安全利益和

2、经济利益。政府部门、社会用户、生产厂商和执法机关对信息技术的“安全”、“可信”的要求十分迫切，安全性测评与认证成为信息化时代的客观需求。各国政府纷纷采取颁布标准，实行测评认证制度的方式，对信息安全产品的研制、生产、销售、使用和进出口实行严格有效的控制。美国从70年代就开始了信息安全测评认证工作，1989年由其国家安全局（NSA）与国家标准局（NIST）联合实施国家信息安全认证。英国、德国、法国、澳大利亚、加拿大、荷兰等国家也由国家安全部门或情报主管机构主管信息安全认证工作。先后建立起国家信息安全测评认证体系。芬兰、瑞典、西班牙、挪威、意大利、比利时等欧洲国家和日本、韩国等亚洲国家纷纷仿效，积极

3、开展信息安全测评认证工作。国外的信息安全测评认证体系由三部分组成：1）一个测评认证管理协调组织，一般由该国的情报安全机关和技术监督及标准化主管部门联合组织与管理；2）一个测评认证实体，通常是直属情报安全机关的职能部门，代表国家实行权威公正的认证；3）多个技术检测机构，这些检测机构为具有技术能力和工程经验的企业、公司或研究机关，其能力需达到各国国家实验室认可准则的要求。国外情报安全机关承担测评认证工作的原因主要有以下几点：1）信息安全是全球化带来的国际性问题，事关一国的国家主权、安全和经济利益；2）信息安全技术和产品直接影响到技术侦察、情报获取和目标监控；3）技术标准和技术壁垒日益成为国际斗争的

4、用力武器；4）信息技术是影响未来综合国力的高技术，需要实行有效控制；5）情报安全机关不是产业主管部门、也不是应用管理部门，可以做到客观和公正。由于信息安全直接涉及国家利益、安全和主权，各国政府对信息产品、信息系统安全性的测评认证要比其他产品更为严格。信息安全认证成为信息化时代国家测评认证工作的新领域。首先，在市场准入上，发达国家为严格进出口控制，通过颁布有关法律、法规和技术标准，推行安全认证制度，以控制国外进口产品和国内出口产品的安全性能。其次，对国内使用的产品，实行强制性认证，凡未通过强制性认证的安全产品一律不得出厂、销售和使用。第三，对信息技术和信息安全技术中的核心技术，由政府直接控制，如

5、密码技术和密码产品，多数发达国家都严加控制，即使政府允许出口的密码产品，其关键技术仍控制在政府手中。第四，在国家信息安全各主管部门的支持和指导下由标准化和质量技术监督主管部门授权并依托专业的职能机构提供技术支持，形成政府行政管理与技术支持相结合、相依赖的管理体制。本汇编汇集了西方主要国家和日本、韩国等亚洲国家信息安全测评认证体系的基本情况。供有关部门的领导参考。美国的信息安全测评认证体系1. 简介美国在信息技术方面一直处于世界领先地位，而且是信息安全测评认证的发源地。早在70年代，美国政府就意识到信息安全关系到国家安全和国家利益，随即展开了信息安全测评认证标准的研究工作，并于1985年由国防部

6、（DOD）正式公布了可信计算机系统评估准则（TCSEC），即桔皮书，也就是国际公认的第一个计算机信息系统评估标准。评估目标也仅限于政府部门和军队系统的计算机系统。进入90年代以后，随着互联网的蓬勃发展，以计算机系统为基础的IT产品也出现了空前的繁荣景象。IT产品不仅在政府部门、组织及各行各业得到广泛应用，而且伸入到社会生活的方方面面。从个人隐私到国家秘密，从电子商务到国防安全，人们开始广泛关注这些IT产品本身的安全性问题。1997年美国关键基础设施保护委员会的成立和相关法令的出台，使这一问题的更加成为政府和公众关注的焦点。为了帮助消费者选择合适可用的IT产品，保护国家的关键基础设施，同时为本国

7、IT产品的制造商提供更加广阔的商业机会，美国国家标准和技术研究所（NIST）和国家安全局（NSA）于1997年共同组建了国家信息保证联盟（NIAP），并确立了信息技术通用准则评估和认证体系（CCEVS）。NIAP专门负责基于通用准则（CC）信息安全评估和认证，研究并开发相关的测评认证方法和技术。NIAP的认证机构由NIST和NSA共同管理，负责CCEVS的运作和维护。该评估认证体系用于为政府部门和私有部门中广大的IT安全产品制造商和消费者服务，其中包括增强IT产品安全性的系统开发者、集成者，以及负责IT产品获得安全功能并安全运行的机构。经过几年的运作，NIAP已建成了以6家授权的CC测试实验室

8、为主的测试、评估、认证的完善体系。2. 发展过程美国政府历来将IT产品和系统视为国家的信息基础设施的一部分，所以非常重视IT产品安全性与可信赖性，不论是公有或私有部门的IT产品和系统。为了履行公法100235（即1987年计算机安全法案）规定的责任，NIST和NSA与政府和工业部门共同合作，开发并应用了信息安全技术、保证要求度量标准和信息技术安全标准，这对保护与美国整个经济和国家安全利益相关的信息是至关重要的。二十多年来，NIST和NSA不断改进现用商业产品的IT安全性，他们主要集中于政府资助的项目，即制定出有效的IT安全评估准则。从1983年美国国防部发布可信计算机系统评估准则（TCSEC）

9、以来，其IT产品的测评认证发展过程大致可以分为三个阶段。1、 实施可信产品评估程序（TPEP）阶段；TPEP是由国家计算机安全中心（NCSC，前身为国防部计算机安全中心，1985年更名为NCSC）对照安全性标准进行计算机系统的评估程序。具体的工作由NCSC下属的一个独立单位负责。其主要目的是保证使用的可信产品满足了用户的运行要求；为一个可信系统提供可信产品；为可信产品的使用提供指导；为可信产品的安全功能和保证级别提供互操作性；TPEP已由TTAP取代。2、 实施可信技术评估程序（TTAP）阶段；TTAP是由美国国家安全局（NSA）和NIST推行的评估程序，其目的是准备将低可信级别的COTS（现

10、用商用）产品的评估商业化，即由商业评估实验室实施可信产品的评估。TTAP已经确定了商业评估实验室，进行由通用准则所描述的功能和保证级为EAL4及以下级别的产品评估（或TCSEC的C2可信级）。TTAP的和监督机制将保证评估的质量和公平性。而且TTAP可以就EAL3以下级别的评估与其他国家互认。目前TTAP既采用TCSEC标准，也采用CC准则，两类评估也是并存的。一旦CCEVS完善后，TTAP将停止运行。3、 实施通用准则评估认证程序（CCEVS）阶段；进入90年代以后，信息技术飞速发展，需要一种国际通用的标准来度量IT产品的安全性。1993年6月，由与CTCPEC（加拿大计算机产品评估准则）、

11、FC（美国联邦准则）、TCSEC和ITSEC（信息技术安全准则）有关的六个国家中七个相关政府组织集中了他们的成果，并将各自独立的准则集合成一个能被广泛接受的IT安全准则。其目的是解决统一各国标准中出现的概念和技术上的差异，并把结果提交给了ISO。1996年颁布了1.0版，1998年颁布了2.0版，1999年12月ISO正式将CC2.0作为国际标准ISO 15408发布。鉴于国际化发展的需要，同时为了达到IT安全领域COTS产品的更好的可比较性，NIST和NSA在NIAP之下建立了一套评估IT产品与标准一致性的程序，正式的名称为CCEVS，同时面向公有和私有部门服务。目前CCEVS已进入实施阶段

12、，内部质量管理、基础设施已日趋完善。3. 评估认证体系（CCEVS）CCEVS就是在NIAP管理下对IT产品与信息技术安全性评估通用准则（CC）的一致性进行评估的一套程序。CCEVS主要的参与者包括：1） IT安全评估发起（申请）者2） NIAP认证机构（NIST/NSA）3） 通用准则测试实验室除了以上列出的主要参与者外，NIST的国家自愿测试实验室认可程序（NVLAP）在CCEVS的运作中发挥着重要作用。NIAP及其CCEVS的简单组织框架可由图11表示：根据CCVES中的定义，发起者是指向认可的测试实验室申请对IT产品或系统进行安全评估并支付评估费用的当事人。发起者通常是该产品的开发商或

13、销售商，但也可能是某一政府机构、工业财团或其他寻求得到一项IT安全评估的组织。NIAP认证机构由NIST和NSA共同管理，其成员由NIST和NSA的技术/行政人员组成。认证机构在充分考虑公共和私有部门利益的基础上，按照已有的政策和程序批准认可的测试实验室参加测试和评估。认证机构还为各测试实验室提供技术指导，对IT安全评估结果与通用准则的一致性进行认证。国家安全局（NSA）国家标准和技术研究所（NIST）国家信息保证联盟NIAP测试和评估安全要求规范测试技术研究与开发通用准则评估认证体系（CCEVS）图11：NIAP及其CCEVS的组织框架IT安全评估由商业性的测试实验室负责实施，该测试实验室必

14、须是由NVLAP认可并由NIAP认证机构批准的。经批准的测试实验室称为通用准则测试实验室（CCTL）。成为CCTL的首要条件是要通过NVLAP的认可，NVLAP认可的目的是为了保证该实验室满足ISO/IEC导则25-校准和测试实验室能力的一般要求和具体IT安全评估方案的要求。NVLAP认可的范围包括测试实验室在进行IT安全评估中将用到的特定测试方法。测试实验室可从NIAP认证机构开发的已批准的测试方法列表中选择认可范围。因此认证机构还须维护已批准的测试方法列表。认证机构与NVLAP相互协调配合，以保证CCTL能得到及时适当的认可。得到NVLAP的认可并满足评估方案具体要求的一个CCTL，将被列

15、在NIAP批准的实验室列表上。由CCTL所做出的安全性评估结果，经认证机构评审通过后，签署通用准则认证证书。证书与相关的认证报告将表明，该IT产品由已认可的测试实验室使用与通用准则相一致的通用评估方法，对产品的安全目标中的功能与保证进行了评估。证书还表明IT安全评估是按照评估认证方案的规定条款进行的，而且评估机构做出的结论与评估过程中出现的证据相一致的。按照本评估认证方案成功通过评估与认证的IT产品，将由认证机构发布在已认证产品列表中。为了使IT产品获得CC认证证书，并被发布在已认证产品列表中，必须对明确的安全目标做出评估。一个安全目标可与保护轮廓一致或不一致。与特定的保护轮廓声明一致的安全目

16、标必须针对该轮廓进行评估，以强化这一声明的正确性。IT产品安全评估的费用由发起者和负责实施评估的测试实验室之间协商确定。在方案运作的前两年，NIAP认证机构将免费为发起者和CCTL提供认证服务。CC认证证书的最后颁发、认证报告的发布、公布已认证产品等活动所需的实际费用，在受理评估之初一并交纳，而且认证机构保留两年后再评估的权利。图12表明了CCEVS中主要参加者之间的关系。ISO标准准则方法已批准实验室列表已批准测试方法列表认证报告已认证产品列表通用准则证书NIAP认证机构社团输入（政府、工业部门、学院）方案需要技术合作消费者组本国政府本国非政府国外政府国外非政府安全社团IT安全评估具体需要评

17、估结果 国家志愿实验室认可程序技术监督认可 通用准则测试实验室评估发起者图12：通用准则评估与认证体系（CCEVS）ISO/IEC (导则25)需要（IT产品或保护轮廓）4. 组织与管理4.1 IT安全评估发起者发起者是请求对一种IT产品或保护轮廓进行安全评估的个人或组织。发起者与IT产品或轮廓的关系依赖于产品或轮廓的种类和评估环境，大多数情况下，安全评估的发起者是IT产品或保护轮廓的实际开发者。然而，也不一定都是这种情况。安全评估的发起者可以是IT产品的增值分销商，或应用IT系统的组织或个人，而那个产品是该IT系统的关键部件。发起者也可以是独立承包人，作为试图履行合同要求的系统开发者或集成商

18、。如果评估发起者不是产品或保护轮廓开发者，发起者需要得到开发者协助，向CCTL提供必要的技术资料和重要交付件，以进行完整一致的IT安全评估。评估文件条款的具体细节由发起者和产品开发者之间的合约进行处理。4.2 NIAP认证机构NIAP认证机构的主要任务是为政府和工业部门提供适合的IT安全评估和认证服务。认证机构对其按照相关政策和程序进行的活动负全部责任。在适当的时候，对其政策和程序进行解释和修订。NIST和NSA负责向认证机构提供充足的资源以保证履行其职责。NIAP认证机构必须确保运行机制的合理性，以保护IT安全评估过程中参与各方的利益。由任何一方（如评估发起者、产品开发者或CCTL）引发的关

19、于CCEVS运作或其它活动的争议，将交由认证机构解决。如果认证机构也卷入了争议，则由NIST和NSA的高级管理层按照双方都认同的程序解决。4.2.1 人员组成认证机构的主任和副主任由NIST和NSA各自选出一人担任。认证机构的主任向NIAP的主任汇报管理和预算方面的工作，并向NIST和NSA证书颁发机构汇报方案执行方面的工作。一般情况下，认证机构主任和副主任任期两年，根据NIST和NSA的情况可延长任期。另外为给评估发起者和CCTL提供各种服务，认证机构拥有一定数量的技术和管理人员，包括认证人员、技术人员、各技术领域的专家等。具体说来，认证机构的人员组成如下：a) 主任（NIST或NSA）b)

20、 副主任（NIST或NSA）c) 技术顾问（NIST或NSA）d) 监督委员会（NIST、NSA、NVLAP、工业界）e) 技术人员（NIST和NSA）f) 管理人员（NIST和NSA）g) 招聘人员（如需要）图1-3给出了认证机构的组织框架。主任副主任质量主管资源主管合同培训人事资料/记录主管CCTL管理与联络证书维护技术监督主管记录管理文档控制证书管理解释认证图13：NIAP认证机构的组织框架4.2.2 主要职责认证机构的职责是：a) 制定CCEVS的政策与运作程序，保证其政策与运作程序的执行；b) 编纂CCEVS的组织、政策和运作程序，并对外公开；c) 批准CCTL参与CCEVS；d)

21、监督CCTL的活动，是否遵守、应用和解释了通用准则和通用评估方法；e) 如果一个CCTL已不能达到CCEVS的规定条款和条件，则将其从NIAP批准实验室列表中取消；f) 通告NIAP批准实验室列表的变化情况，包括增加或撤销CCTLs，以及实验室认可范围的变更情况；g) 保证CCEVS的运作程序是合理的，以保护与被评估IT产品或保护轮廓相关的敏感或专有信息，并保证严格遵守运作程序；h) 必要时为培训CCTL提供建议、指导、支持和标准；i) 对CCTL的评估技术报告进行评审，以保证评估结论与出现的证据相符合，而且正确运用了通用准则和通用评估方法；j) 通过监督委员会的活动，保证所有CCTL评估的一

22、致性；k) 对有关CCEVS的争议和技术问题，寻求各行业专家（如消费者、IT产品或保护轮廓开发者、测试实验室、研究者、标准组）的指导，给予解答并做出决定。l) 发布公开发行的认证报告，并为成功的评估颁发通用准则证书；m) 定期公布已认证产品表，对已发布认证报告和已颁发通用准则证书的所有IT产品和保护轮廓，提供详细情况；n) 将在其他国家完成评估、认证并获得与信息技术安全领域通用准则证书共同认可协议一致证书的IT产品，列入已认证产品列表；o) 保证通用准则证书或其他需要标识的文档中有适当的标记和记号；p) 保证充分考虑了CCEVS活动参与各方的利益；q) 对CCEVS描述中上下文中出现的争议做出

23、裁决；r) 批准与CCEVS有关的新闻发布或类似声明；s) 发布记述CCEVS活动的年度报告。为了保证CCEVS的实施，达到信息技术安全领域通用准则证书共同认可协议的要求，认证机构必须在安全测试和评估的各个方面保持高的技术水平和实力。这对评估活动的实施以及为参与CCEVS的评估发起者和CCTL提供必须的技术支持是至关重要的。为此，认证机构将保留向CCTLs派遣技术人员的权利，以在各个技术方面观察且/或参与基于通用准则的评估。这一方式被称为阴影评估。认证机构协调其与参加阴影评估的CCTL的管理和人员之间的关系，以保证不会影响测试实验室正在进行的评估活动。4.3 通用准则测试实验室CCTL是由NV

24、LAP认可，被NIAP认证机构列入批准实验室列表的测试实验室，必须满足以下规定：a). NIST手册150，程序与一般要求；b). NIST手册15020，信息技术安全测试通用准则；c). NIAP认证机构确定的特定IT安全评估准则与其他规定；通常，一个实验室成为CCTL的流程见图14：图14：CCEVS的CCTL批准过程满足CCEVS的要求实验室实验室-美国国内的实验室-非政府性质-接受政府的监督和参与现场评审管理者熟练程度测试质量手册评审NVLAP一般要求ISO25/9000CCT规范熟练程度测试NVLAP认可的实验室列表已批准的实验室列表NIAP的CCEVS认证机构CCTL与发起者就使用

25、NIAP批准的测试方法进行IT产品和保护轮廓的安全评估签署协议，测试方法是从通用准则和通用评估方法导出的。IT安全评估是按照CCEVS的政策和程序进行的。CCTL必须遵守最高标准的公平性、完整性和商业机密性，在CCEVS确立的指导原则下开展评估活动。在商业机密性方面，CCTL必须制定相应政策和程序，以保护敏感或专有信息。以上程序须由NVLAP和NIAP认证机构审计。实施特定IT安全评估的CCTL或者CCTL的员工，都不能与该项评估的结果有既定的利益关系。任何情况下，CCTL员工或评估组都不能参与：a) 同一IT产品或保护轮廓的开发与评估；b) 为评估发起者或产品/轮廓开发者提供有损于评估独立性

26、的咨询服务。因此，CCTL必须保证，任何与即将评估的IT产品或保护轮廓的评估证据产生有关的活动，不得与实验室对该产品或轮廓进行公正合理的评估活动发生冲突。上述利害冲突的指导原则须经NIAP认证机构和NVLAP的详细审查，以确保是满足条件的。认证机构和NVLAP是解决威胁安全评估完整性的潜在或实际利益冲突的最后裁决者。5. IT安全性评估过程5.1 IT安全评估的准备评估初期的大多数活动都是在评估发起者和CCTL之间进行的。发起者负责提供安全目标和即将成为评估目标（TOE）的相关IT产品。TOE的组件可以多种多样，包括硬件、固件和软件（或它们的组合）。TOE也可包括多种IT产品（有时指一个IT系

27、统），其中有些可能已经过评估。为保证IT安全评估的顺利进行，发起者必须向CCTL提供所有必需的文档。5.1.1 支持评估的咨询工作IT安全评估准备期间的咨询工作范围不受CCEVS的限制，而是由发起者和CCTL或其他顾问协商进行。然而，CCTL必须坚持NVLAP认可的条款和条件，以保证提供的建议不会影响任何评估中评估者的独立性或公正性。对每一项评估，CCTL应将代表评估发起人进行的任何咨询活动通报给认证机构。上述活动允许CCTL说明其在评估期间将保持独立性和公正性。5.1.2 安全目标安全目标不仅是将被评估的IT产品（如TOE）安全功能的规范，而且是关于产品运行环境的描述。产品评估发起者提供安全

28、目标，其中包括由发起者所作的关于IT产品的声明。安全目标的内容和陈述必须采用CC的语言。安全目标也可声明与某一个保护轮廓是一致的。5.1.3 交付件IT安全评估典型的交付件包括硬件、固件、软件或其他在产品开发过程中产生的技术文档。评估发起者必须保证为评估及时提供交付件。发起者应做出恰当的合同安排，以保证向CCTL提供评估交付件。如果TOE包含多个IT产品，其中一部分已经被评估，则评估发起者必须保证合同安排中包括发布以前评估结果的授权。IT安全评估的发起者必须确保CCTL和认证机构有权获得进行评估和认证所需的专有信息。如果不能得到专有信息，则CCTL不能进行该产品评估，认证机构也不能发布其认证报

29、告。认证机构和CCTL必须保证，不会将评估过程中的敏感或专有信息透露给未授权方，以免造成任何形式的信息泄露。CCTL应当明确规定专有信息的性质与范围，并运用适当的保护措施。5.1.4 评估准备发起者确定了评估目标和提供交付件的方法后，应提请CCTL开始产品评估。发起者也可使用完整的安全目标，从CCTL处得到评估建议。被选中进行评估的CCTL应当复查安全目标，以确保该安全目标为评估提供了合理的依据。发现任何问题应及时通知发起者，以便在评估开始前修改安全目标。当一项成功的评估被认为可行时，选中的CCTL应准备具体的TOE评估工作计划、一份评估进度表和交付件列表。5.1.5 方案开始发起者和选中进行

30、评估的CCTL将提议的评估上报认证机构，并请求正式进入方案实施，这时NIAP认证机构才开始介入IT安全评估。批准预期的评估进入方案实施前，认证机构需从发起者和CCTL处得到如下特定信息：a) 安全目标和TOE描述；b) 评估工作计划；c) 评估进度表。作为正式接受评估进入方案实施的一部分工作，认证机构须复查发起者和CCTL提交的文档，以评审所有参与方是否已为提议的评估作了充分的准备。这个初始的审查包括召开有发起者和CCTL的有关人员参加的会议，目的就是尽量减少评估与认证过程中各参与方的风险。为了有力支持NIAP的认证机构所要求的技术监督和认证活动，切实履行其职责，根据信息技术领域通用准则证书互

31、相认可协议，CCTL在没有得到对提议的评估进入实施的正式许可之前，不应启动实际的评估任务。图1-4概括了评估准备相关的活动：发起者说明进行一项IT产品安全评估的需求发起者提供安全目标并保证提供所有交付件发起者与CCTL联系，签订合同，开始安全评估认证机构正式接受提议的评估进入实施阶段认证体审查CCTL提供的文档CCTL向认证机构递交所需文档等待审查CCTL准备评估工作计划、可交付件列表和评估进度表图 1-4 IT安全评估的准备活动5.2 IT安全性评估的实施评估就是对IT产品与通用准则是否一致的评价。它判断该产品或TOE是不是很好地支持了安全目标中的功能和保证安全规范。目的是让实施评估的CCT

32、L出具一份公正的报告，陈述TOE是否满足了安全目标。CCTL使用交付件列表中的交付件，根据评估工作计划进行TOE的IT安全评估。在评估过程中，如果发起者向CCTL提供更多的信息，评估工作计划可能会随之变动。任何时候都鼓励CCTL与认证机构讨论技术问题、出现的异常情况或有关评估的问题。CCTL将IT安全评估结果编写成文，作为评估的成果。发起者和CCTL应将问题观察报告通知认证机构，其中包括评估期间TOE中的问题和与通用准则或通用评估方法相关的问题。一般说来，CCTL应与发起者直接接触，以解决和找出评估中的问题。只有在下述情况下才递交观察报告：a) 当有发起者和CCTL不能解决的特定问题或争议时；

33、b) 需要认证机构的指导或解释时。当发生与产品有关的争议或问题时，发起者应向认证机构和CCTL提出详细建议，以解决报告中的争议或问题以及这一过程的时限。如果存在不可能解决的争议或问题，且认证体机构认为这会影响评估时，认证机构应与发起者联系，讨论潜在的影响和可能的折衷方法。根据与CCTL的合同，发起者可以：a) 放弃IT安全性评估；b) 与认证机构协商，在接受问题及其对认证的影响下，讨论是否继续安全评估；c) 重新安排评估进度，并与认证机构协商，必要时可对TOE进行修改。当产生的争议或问题与通用准则、通用评估方法或CCEVS本身有关的时，认证机构在收到观察报告后，将依次采取以下措施：a) 评价直

34、接的争议或问题，对该项IT安全评估做出初步结果；b) 组成由CCTL的安全和测试团体代表和技术专家参加的技术工作组，在CCEVS内部解决争议或问题。c) 如果需要，将按照已确定的程序，与国际上的相关标准研究组、技术委员会或其他合适的机构联合，寻求解决问题或争议的方法。5.3 评估结论IT安全评估的结果由CCTL记录并生成评估技术报告。报告的内容和证据的表述应与通用准则和通用方法一致。CCTL应按一定形式组织评估技术报告，以便允许去掉专有或敏感信息。CCTL应向认证机构和评估发起者提交两种版本的报告：a) 完整的评估技术报告（包括专有和/或敏感信息）b) 有删节的评估技术报告（仅删除专有和/或敏

35、感信息的报告）发起者可就报告中使人误解的，不公正或不准确之处与CCTL进行协商。图15简略表示了IT安全评估的行动和结论的相关活动。图 15 IT安全评估的实施和结论CCTL记录评估结果作为工作成果CCTL完成评估，向认证机构和发起者提交评估技术报告认证机构审查评估报告，决定进行认证CCTL向发起者和认证机构提交观察报告CCTL针对安全目标进行安全目标和TOE的评估认证机构授权CCTL进行评估；提供技术监督5.4 保护轮廓的评估评估保护轮廓的目的是证明该保护轮廓是完整、一致且是技术上合理的，因此可以用作一个或多个被评估TOEs的需求的描述语言。发起人负责向实施评估的CCTL提交保护轮廓。此外，

36、发起者可以向CCTL提供与保护轮廓开始有关的任何文档。NIAP认证机构在同意预期的保护轮廓评估进入实施阶段之前，CCTL和发起者必须向认证机构提供如下信息：a) 保护轮廓b) 评估工作计划c) 评估进度表随着IT产品的评估，CCTL将轮廓的评估结果写进评估技术报告。报告中的内容和证据的表述应与通用准则和通用方法的相关内容一致。这份报告提交给NIAP认证机构和评估发起者。发起者可就保护轮廓评估技术报告中使人误解的、不公正或不准确之处与CCTL进行协商。6. 技术监督与认证6.1 技术监督技术监督是NIAP认证机构一贯采取的方式，以保证CCEVS内的评估和认证活动是严格按照通用准则、通用方法、信息

37、技术领域通用准则证书互相认可协议以及CCEVS特定的政策和程序的规定进行的。技术监督包括对CCTLs和特定评估的监督。通用准则方案强调实验室认可程序的重要性，以确保商业测试机构具有持续进行IT产品安全评估的能力。然而，设计分析和测试的双重需要带来的IT安全评估的复杂性，使这一类型的评估有其特殊性。为了保证对所有可实施IT评估的CCTL的公平性，需要CCEVS内部的一致性。这些复杂性和一致性要求使技术监督显得尤为重要。技术监督开始于NIAP认证机构同意IT安全评估进入方案实施阶段。评估期间，认证机构将与CCTL和评估发起者通过如下方式保持联系：a) 提供IT安全评估成功进行的技术和非技术领域的信

38、息；b) 要求得到对认证过程非常重要的技术和非技术领域的信息；c) 共同合作，解决重要的技术问题。认证机构实施的技术监督，须保证CCTL对特定IT安全评估和保证级别的确定，完整正确地运用了通用准则和通用方法。技术监督和评估监督的目的是尽可能减少CCEVS参与各方（即NIAP认证机构、CCTLs和评估起者）的风险。一般说来，监督过程相关活动的多少、种类和强度取决于如下因素：a) 安全目标中的保证要求（即预先确定的CC评估保证级别和发起人确定的保证包）；b) 评估目标（TOE）的复杂性；c) CCTL在IT产品评估中的经验。为了建立代表CCTL和评估发起者利益的技术监督水平，认证机构将发布严格的指

39、导原则，详细规定在CCEVS内部技术监督活动的实施方法。6.2 认证过程 认证就是提供独立的确认，证实安全评估是按照CCEVS的条款进行的，CCTL的结论与其评估技术报告中的事实是相符的。认证机构通过认证过程来保证方案内的评估运用了通用准则和通用方法，得到了一致的技术结论。认证过程的最后一步就是由认证机构发布正式报告颁布通用准则证书。认证体为每一项IT安全评估指定一个代表或认证员，作为与CCTL和评估发起者的主要联系人。评估过程中，CCTL和发起者也指定一个联系人，与认证机构保持联系。认证机构将让其代表监督评估并执行一些认证活动。根据对特定评估的认证要求，认证员可以参加CCTL和/或发起者召集

40、的评估进展审查会或其他会议，这也是成功评估和认证所必须的。安全评估结束后，认证机构审查CCTL生成的评估技术报告，确定TOE满足安全目标的程度。如果是保护轮廓的评估，则要审查保护轮廓的一致性、完整性和合理性的程度。认证机构还需确认，评估是按照通用准则、通用评估方法和CCEVS的程序进行的，而且评估报告为最终的认证报告提供了适当的基础。认证机构将保留与CCTL联系的权利，以得到澄清有关评估问题的信息且/或得到支持报告中的所有结论的具体技术证据和结果。IT安全评估的结果将写入最终认证报告，认证报告是由认证员与NIAP选派的技术代表协商后准备的。报告的大部分信息来自于CCTL的评估技术报告，其目的是

41、提供TOE与其安全目标如何一致的声明，或者是保护轮廓如何满足了通用准则和通用方法要求的声明。认证机构发布认证报告，并不表示TOE保证不会有任何的可利用的弱点，也不表示保护轮廓对特定的运行环境提供了一套合适的安全要求。认证机构审查后，认证报告草案将发给评估发起者和CCTL，以确认以下信息：a) 报告结论是准确的；b) 不存在任何使本报告无效的因素；c) 清除了所有的专有和/或敏感信息。随后，由发起者和CCTL进行外部审查，再由认证员将评估技术报告提交给认证机构监督委员会进行审查和评论。监督委员会批准后，认证机构发布最终认证报告，总结并确认了CCTL的评估结果（评估是正确实施的，通用准则、通用评估

42、方法和其他程序也是正确应用的，CCTL的结论与引述的证据也是相符的）认证报告将是公开文件，没有专有或敏感信息，所有权归认证机构。如果发起者要翻印和分发认证报告，须得到认证机构的授权并保持报告的完整性。6.3 通用准则证书一旦最终认证报告被认证机构批准，就要签发通用准则证书。NIST和NSA作为NIAP的共同参与者，是CCEVS中的证书签署机构。每个机构的高级执行官将在证书上签字，表明接受证书上的各项内容。证书颁发给安全评估的发起者后，还须将其产品列入NIAP的认证产品列表。证书仅适用于与评估配置相同的IT产品的版本，或者已评估保护轮廓的特定版本。根据认证机构发布的认证报告和通用准则证书，发起者

43、应当只销售其已评估过的IT产品或保护轮廓。对某个IT产品或保护轮廓颁发了CC证书，并不表明NIST、NSA或美国政府的其他机构对该IT产品或保护轮廓的认可。通用准则证书的维护过程（如后续IT产品或保护轮廓的发布或版本扩展）由通用准则证书维护程序管理。预料到会有再次评估需要的发起者，在首次评估的初期就希望考虑一种证书维护方法，以减少将来的评估活动。进行IT产品或保护轮廓的首次评估时，为了考虑到再次评估或证书维护的需要，发起者需与CCTL密切协作。图1-6 总结了与监督和认证过程有关的活动。认证机构正式接受提议的安全评估进入实施阶段认证机构与发起者/CCTL联系，处理问题，检查进展CCTL向认证机

44、构提交最终ETR，请求审查和评论认证机构发布最终认证报告，签发CC证书发起者和CCTL审查认证报告草稿，向认证机构提出意见认证体审查最终ETR，解决CCTL关心的问题图 16 技术监督与认证活动7. 目前情况7.1 政府支持美国政府历来将IT产品和系统作为国家的信息基础设施，对信息系统安全的测评认证工作非常重视，在相关的法令、条例中都有明确的指示。如在总统决策令第63号、1996年计算机安全法案及管理和预算办公室（OMB）的公告A-130中都要求有关政府部门密切配合NIST和NSA的工作，这些政府部门包括首席信息主管（CIO）委员会、GSA（General Service Administra

45、tion）、管理和预算办公室（OMB）。这些部门都下设有专门的信息安全专门机构，如CIO委员会下设有安全委员会，GSA下设有信息安全办公室。在美国白宫2000年1月公布的“信息系统保护国家规划”中，要求：GSA、DOD和OMB须与NSA、NIST协作修订政府采购条例，以使联邦政府获取符合现行标准的信息保证产品、系统和服务。GSA和OMB要制定详细的程序和最后时间期限，促使联邦政府机构采纳和实施新的政府采购条例。计划在2001年1月之前，建议使用经过评估和认证过的COTS（现用商用产品） IA（识别与鉴别）或有IA功能的IT产品；到2002年7月，指定系统中使用的所有COTS IA或具备IA功能

46、的IT产品，只能选用已评估认证过的产品。7.2 CCEVS日趋完善由于美国多年来在基于TCSEC的评估认证方面技术和经验的积累，使其向基于CC的IT安全性评估和认证过渡得非常顺利。从1998开始基于CC的评估以来，CCEVS的范围已经包括了IT产品和保护轮廓的CC评估和认证，评估保证级别可以从1级到4级，主要的参与者有IT产品或保护轮廓的发起人、IT产品或保护轮廓的开发者、通用准则测试实验室以及CCEVS的认证机构。1999年，总共进行了七件IT产品的CC评估，其中有四件是在美国国内的实验室完成的。截止2000年6月，NIAP已相继完成了其内部质量管理文档，并预计在年内完成所有的程序文档。具体

47、情况如下：1. CCEVS第1号出版物：NIAP信息技术安全性通用准则评估和认证体系组织、管理和运作概念；（1999年5月份已发布第二版）2. CCEVS第2号出版物：NIAP信息技术安全性通用准则评估和认证体系认证机构动作程序标准；（已发布）3. CCEVS第3号出版物：NIAP信息技术安全性通用准则评估和认证体系技术监督和认证程序；（预计2000年7月发布）4. CCEVS第4号出版物：NIAP信息技术安全性通用准则评估和认证体系通用准则测试实验室指南；（预计2000年8月发布）5. CCEVS第5号出版物：NIAP信息技术安全性通用准则评估和认证体系IT安全评估发起者指南；（预计2000

48、年8月发布）6. CCEVS第6号出版物：NIAP信息技术安全性通用准则评估和认证体系证书维护程序；（预计2000年9月发布）除了加强内部建设外，NIAP还不断拓展与业界的合作，共同推动CC和CCEVS的健康发展。1999年NIAP与业界共同建立了智能卡安全性用户组和医疗信息系统安全论坛，并由它发起成立了实验室认可研究组、电信交换机保护轮廓开发研究组。组织了6次CC培训和13次保护轮廓设计的培训。目前NIAP批准的通用准则测试实验室（CCTL）有六个，它们是为：1、 Arca系统实验室2、 BAH实验室3、 CoAct公司4、 计算机科学公司5、 Cygnacom解决公司6、 科学应用国际公司

49、最新公布的已完成CC认证的产品或系统有以下7个：1、 heck Point FireWall-1 Version, Version 4.0 (SP 5)2、 Cisco PIX Firewall 5203、 Dragonfly Guard Model G1.24、 Dragonfly Companion Version 3.025、 Lucent Managed Firewall Version 3.06、 Lucent Managed Firewall Version 4.07、 2in1 PC(TM) 8. 国际认可情况美国是最早主张推行基于CC评估结果国际互认的国家之一。经过两年的紧张磋

50、商后，1998年10月，来自美国、加拿大、法国、德国和英国的政府组织签署具历史意义的CC评估互认协议。该协议的正式名字为信息技术安全领域通用准则证书互认协议。其目的主要有如下四点：1、 保证IT产品和保护轮廓的评估是按照通行的一致的标准进行的，并大大增加了人们对这些产品和轮廓安全性的信心；2、 扩大已评估的、安全增强的IT产品和保护轮廓的国际应用范围；3、 减少对IT产品和保护轮廓的重复评估；4、 不断改善IT产品和保护轮廓的安全性评估和认证过程的效率与成本效益。英国的信息安全测评认证体系1. 简介英国的IT安全测评认证体系是1991年由英国贸易和工业部（DTI）和掌管英国电子情报的皇家通信电

51、子安全局（CESG）共同建立的，依据的评估认证标准主要是CC及其评估方法和ITSEC及其评估方法。英国的IT安全评估认证机构（CB）行政上由CESG领导。CESG作为一个文职机构隶属于政府通讯总局（GCHQ），其前身是通讯电子安全局，它负责保证政府和军事通信的安全。CESG的认证人员负责专业能力、技术目标和商业秘密方面的最高技术标准的开发。在英国的IT安全测评认证体系中，评估体系管委会负责制订国家信息安全评估认证政策，监督认证机构和仲裁诉讼及争议。它由测评认证体系的高级执行官，认证机构主任，CESG、DTI和国防部（MOD）的高级官员，其他政府部门和工业界的代表组成，其主席由CESG的人员担任

52、。它直接向内阁会议建议和汇报认证机构的财政和资源状况。认证机构具体实施IT测评认证体系的运作，由CESG指派高级执行官，其工作人员来自CESG或由CESG招聘，负责监管商业评估机构（CLEF）。IT安全评估认证是在认证机构的监督下，由商业评估机构（CLEF）来实现。CLEF是认证机构授权并通过英国国家实验室认可机构（UKAS）认可的实验室，其业务受认证机构监督并与CESG签署相关合同。目前已获认可的CLEF有五个。英国是最先签署基于CC评估的认证证书互认协议的国家之一。2. 发展过程1985年，英国政府的通信电子安全局（CESG）作为负责HMG电子安全的技术权威机构，建立了首批评估机构，以对政

53、府的计算机系统进行安全评估。这些评估机构就是现在CLEF的先身。1987年，英国政府的贸工部（DTI）建立了商用计算机安全中心，以检查对商业化IT产品正式安全评估的应用情况。这就促使形成了一套评估的标准和运用这些标准的方案轮廓，也就是后来为人们所熟知的“绿皮书”。这些标准在1989年经过试用并广泛征求了工业界的意见。英国政府认识到测评认证体系的建立，不仅对会使国家的信息安全事业受益，而且会促进整个IT产业的发展。所以到1989年12月，由DTI和CESG联合建立英国IT安全性评估和认证体系ITSECS。并于1990年7月4日正式启动，实际的运作开始于1991年5月1日，也就是在这一年的6月，欧

54、洲议会颁布了“信息技术安全性评估准则（ITSEC）”标准。ITSECS的主要目有是：满足业界和政府对IT产品和系统进行低成本高效率的安全评估和认证的需求，并提供一个证书国际间认可的框架。从ITSECS开始运作起到现在，英国的评估认证机构仍进行以ITSEC为标准的评估和认证。在通用准则成为国际标准后，也开始了以CC为标准的评估和认证，可以签发两种样式的证书，这种共存的局面还将持续一段时间。3. 测评认证体系1989年12月，英国政府宣布建立新的评估认证体系，以评估认证信息技术产品和系统安全功能的可信度。正式名称为英国IT安全性测评认证体系。建立该测评认证体系的目的就是满足业界和政府对IT产品和系

55、统安全性进行低成本高效率的评估和认证需求。并就欧洲信息技术安全性评估准则（ITSEC）和通用准则（CC）的要求，提供一个证书国际互认的框架。方案的主要参与者包括：1） 管理委员会；2） 认证机构（CB）；3） 商业性评估机构（CLEFs）；4） 发起者；5） 开发者；6） 委托者；各参与方间的关系可参照如下评估认证流程图21。委托者认证报告证书UKASCLEF开发者认证机构发起者评估体系管委会实验室认可认证评估工作程序观测报告评估技术报告批准和使用信息系统制订策略和技术监督观测报告评估对象授权CLEF安全目标评估对象安全目标可交付性可交付性观测报告图2.1：英国ITSECS流程图该评估认证方案

56、自1990年7月4日生效，经过一段时间的准备后，于1991年和一季度开始运行。方案由英国政府通信电子安全局（CESG）在管理委员会的指导下运行，为业界和政府的各个部门提供评估和认证服务。方案中的认证机构（CB）负责对IT产品和系统的评估结果进行认证，并处理与别的国家互认证书的事务。当然认证机构需要遵守EN45011标准关于CB质量程序的要求，相当于ISO导则65的要求。英国的信息安全测评认证体系还确定了实施IT安全性评估的组织和程序框架，包括商业评估机构（CLEFs）的授权，确定了批准CLEF的技术和程序。CLEF由英国认可机构（UKAS）按照NAMAS认可标准M10和认可条例M11的规定进行

57、，UKAS的认可标准与ISO导则25和EN45001是一致的。除此之外，还要考虑与质量保证相关的标准如ISO9000、EN2900、BS5750系列。对CLEF的认可执行严格的标准，目的就是使其在将来的评估活动中遵守如下原则：1、 公平性原则；所有的评估都不能持有偏见。无论是CLEF本身还是CLEF的职员，均不能与评估对象的评估结果存在商业或经济利益关系。2、 客观性原则；任何结果的获得均要有的证据，尽可能减小个人的主观判断或意见。3、 可重复性原则；由相同的组织按照相同的安全要求集进行的同一个产品或系统的重复评估，应当产生与首次评估一样的结果。4、 再现性原则；由不同的组织按照相同的安全要求

58、集进行的同一个产品或系统的评估，应当产生与首次评估一样的结果。除了对CLEF的一般要求外，还需满足一定的保密要求，比如执行特定的政策和程序，保护专有权利和信息，以维护产商业机密。认证机构（CB）在评估活动中的作用主要有三个方面：1、 在同意一个提议的评估进入方案实施前，原则上决定TOE是否为可认证的。2、 采取与TOE的保证级别相的方式对整个评估活动进行监督，定期举行与CLEF的会议。3、 评审评估结果，视情况颁发证书。4. 组织与管理ITSECS的参与方包括管理委员会、认证机构、CLEFs、评估发起者、开发者、委托者，各方的职责如下。4.1 管理委员会管理委员会为CB提供高层指导，保证IT评

59、估和认证的高效运作，更好地为政府和业界服务。委员会的成员包括ITSECS的高级执行官、认证机构主任、其它来自CESG、DTI、MOD的高层人士，还有政府文职部门和业界的代表。委员会的主席由CESG的高能代表担任。ITSECS管理委员会的主要职责包括：1） 制定ITSECS运作的政策和目标，充分考虑厂商、采购者、委托者的指定要求；2） 考虑、批准并保持-CB的运作-整个ITSECS的运作-CLEFs的授权-ITSECS的CLEF授权程序3） 就CB的财政和资源情况向政府的相关委员会提出建议；4） 接受并考虑CB运作的年度报告；5） 与相关的政府委员会保持较好的关系；6） 发布年度报告；7） 对与

60、ITSECS的内容相关的争议做出裁决。管理委员会负责向CB提供充足的资源，并通过ITSECS的条款直接管理评估的质量。4.2 认证机构ITSECS的认证机构在管理委员会的直接领导下工作。办公地点设在CESG内，其成员包括CESG的职员和CESG的合约人，由CESG的高级执行官领导。CB的主要职责包括：1） 授权CLEFs，并通过UKAS的认可保留再审核的权利；直接监督CLEF的工作和活动；2） 为CLEFs的培训提供建议、支持和标准；3） 登记CLEF职员的评估状态；4） 确认安全目标（ST）并批准评估工作计划；5） 登记ITSECS的所有评估活动；6） 认证按照ITSECS进行评估的评估结果

61、，提供已认证产品的详细情况；7） 批准发布与ITSECS相关的新闻和声明；8） 保持与国内和国际上证书互认机构的联络；9） 向管理委员会的每次会议提供报告；10） 开发和维护英国的评估方法，保证与国际标准和方法发展的一致性；4.3 商业性评估机构CLEFs所有CLEFs均需与CESG签订合约，按照ITSECS实施评估活动。一个商业性实验室被授权为CLEF的首要条件是它必须遵守由管理委员会制定的ITSECS的所有条例。CLEF接受CB和UKAS的详细审查，以确保它能真正履行职责。在整个评估活动中，它要向CB汇报所有相关的事项。CLEF必须遵守商业机密性和高标准的公正性，必须遵守国家安全标准等等。

62、CLEF的授权政策是由管理委员会不断修订的，具体内容包括CLEF的数量及有效期限、CLEF授权的合约条款等。这样做的目的是让ITSECS作为一个整体，保持其高效性和连续性，也使具备商业竞争力的CLEF提供更好的评估服务。有关CLEF的授权程序，包括对其质量和管理、安全与保密制度、职员资格和培训的详细要求等。4.4 评估发起者发起者通常是指请求对一个产品或系统进行安全性评估的个人或组织，它有资格获得最后生成的报告。发起者与TOE的关系可根据TOE的性质或其它因素而有所不同，比如它可以是IT产品的制造商或IT系统的采购者。也有可能这个关系不是非常直接的，如发起者是与采购者有合同关系的开发者或集成者，要求为采购者提供安全的系统。评估发起者的动机可能是多种多样的，ITSECS没有对发起者的动机进行描述。评估发起者的义务在UKSP的第4号出版物中有详细描述。5. IT安全性评估过程5.1 安全性评估的准备准备阶段的目的是在