与国际接轨,引领新质生产力--长扬科技深度参与的18336系列国家标准发布
2024年4月25日,长扬科技参与研制的网络安全技术国家标准GB/T 18336—2024《网络安全技术 信息技术安全评估准则》(以下简称GB/T 18336)正式发布。GB/T 18336标准由全国网络安全标准化技术委员会(TC260)归口,长扬科技网络安全及标准化专家全程参与了该系列网络安全技术国家标准的内容研制工作。
一、标准简介
GB/T 18336—2024《网络安全技术 信息技术安全评估准则》系列标准由中国信息安全测评中心牵头编写,该标准等同采用了信息技术安全认证的国际标准 ISO/IEC 15408,即Common Criteria for Information Technology Security Evaluation(信息技术安全评估准则,下文简称CC)的2022版本。
CC标准综合了已有的信息安全准则和标准,如美国的TCSEC、欧洲的ITSEC、加拿大的CTCPEC等,形成一个更全面的框架。此框架旨在确保IT产品安全的规范、实施及评估流程,均能在与其目标使用环境相匹配的水平上,以严格、标准化且可复制的方式进行。
在该框架中,用户可以使用保护配置文件(PP) 指定安全功能要求(SFR) 和安全功能保证要求(SAR)。企业可以实施和声明其产品的安全属性,从而为信息技术产品安全奠定坚实的技术框架和基础。这一框架为各类信息技术产品提供了建立安全技术要求的基准和依据,且并不受限于具体的产品实现方式。企业还可以寻求专业实验室的协助,评估其产品是否满足声明的安全要求,进而获得CC认证。
CC认证的目的多重而显著:旨在提高通过成功评估的安全增强型IT产品和保护配置文件的可用性;确保对IT产品和保护配置文件的评估始终维持高标准;减轻因重复进行IT产品评估和保护配置文件编写的负担;同时提升保护配置文件和IT产品的验证/认证流程的成本效益和效率。
CC的核心概念和定义包括:
评估目标 (TOE)
保护配置文件 (PP)
安全目标 (ST)
安全功能要求 (SFR)
安全保证要求 (SAR)
评估保证级别 (EAL)
其中,评估保证级别(EAL)共划分了7个级别,如下图所示:
每个EAL对应于一套安全功能保证要求,它涵盖了产品在一定严格程度上的完整开发过程。CC列出了七个级别的EAL,其中EAL 1是最基本的,EAL 7是最严格的。当前,CC已成为国际上衡量IT技术安全性的普遍准则和评估方法。众多政府、企业以及组织均将“是否具备CC认证”视为采购软件或硬件产品时的重要考量标准,甚至将其列为必要条件。
二、本版本系列标准修订内容
GB/T 18336信息技术安全评估通用标准等同转化CC:2022,是自2017年作为CC v3.1修订版5发布以来的第一个重大修订版。
历史上,CC系列标准和共同评估方法(CEM)是由通用标准认可安排组织(CCRA)开发和维护的,随后标准由ISO(国际标准化组织)和IEC(国际电工委员会)发布。
CC:2022的ISO版本分五部分发布,即ISO/IEC 15408-1:2022至15408-5:2022,CEM:2022的ISO版本为ISO/IEC 18045:2022。
本系列标准包括以下五部分:
第1部分:通用模型介绍
第2部分:安全功能组件
第3部分:安全保证组件
第4部分(新增):评估方法和活动规范框架
第5部分(新增):预定义的安全需求包
值得注意的是,CC:2022将第4部分和第5部分作为CC的新增部分,是在新的ISO/IEC 15408:2022系列编辑期间交付的,代表了对以前版本CC v3.1版本5的实质性改进。
三、标准应用范围
GB/T 18336标准的核心目标是推动信息技术产业安全性的提升,确保消费者、开发者、评估者、技术工作组及其他相关人员均能从中获益。最新版本的标准特别针对五大类目标读者:消费者、开发者、评估者、技术开发组以及其他人员。
消费者可以根据评估结果,对不同信息技术产品进行比较,从而选择满足其特定需求的产品;
开发者可以了解评估产品所需提交的证据材料以及产品必须达到的安全要求,进而提升产品的安全性和企业的安全保障能力;
评估者获得了明确的评估判断标准,并规范了执行相关评估的通用行为;
由消费者、开发者、评估者和专业学者等组成技术工作组,依据本标准可开发某一类或特定信息技术产品安全技术要求,制定指南或相关技术文件;
此外,其他人员如系统安全管理者、审计员、评估授权机构和专业学者等,也可以将本标准作为重要的技术参考,以支持他们在企业安全角色中的工作。
在我国,GB/T 18336—2024标准是测评机构对产品测试的基础标准。自 GB/T 18336 标准在我国应用实施以来,国内测评机构及相关单位依据该标准,制定了一系列信息技术产品国家标准,在全国现行有效国家标准中,有40余项标准将 GB/T 18336 作为编制或参考依据。另外,以本标准作为参考的更多信息安全产品国家标准正在研制中。
中国合格评定国家认可委员会(CNAS)以 GB/T 18336作为信息安全、软件类实验室能力认可的重要内容。目前,国内近二十家主流的检测实验室,申请依据 GB/T 18336开展产品测评的能力认可。通过对 GB/T 18336 的本地化应用,有效支撑了网络关键设备和网络安全专用产品的测评认证制度的实施。常见的ST为具有安全功能的信息技术产品,如:防火墙、WAF、IDS/IPS、智能卡、芯片、USBKey、扫描器、安全审计、数据库、操作系统等。目前受理的级别包括:EAL1、EAL2、EAL3、EAL4、EAL5、EAL6、EAL7;及相应增强级,如 EAL3+、EAL4+、EAL5+。
四、标准应用展望
GB/T 18336标准的发布,不仅为信息技术产品的安全测评工作提供了权威依据,同时也为信息技术产业在提升产品安全性及企业整体安全保障水平上指明了方向,成为产业发展的重要指引。
GB/T 18336标准的实施,有力推动了信息技术产品的安全测评工作,为国家网络安全筑起坚实防线,并为网络安全法律制度的执行提供了坚实的基础支撑。同时,该标准在我国信息技术产品安全性评估标准体系的构建中发挥了基础框架作用,引领了我国网络安全评估技术的创新与发展。GB/T 18336标准的发布,提升了基础软硬件的安全可控水平,为增强我国ICT产业的国际竞争力提供了规范性、指导性的支持。凭借GB/T18336与国际标准体系的接轨优势,还将助力国内企业走出国门,提升海外市场竞争力。
五、CC系列标准重点缩略语表
信息来源:
全国标准信息公共服务平台:
https://std.samr.gov.cn//gb/search/gbDetailed?id=173829859DA41AA5E06397BE0A0AA311
标准下载(CC:2022及历史版本):
长扬科技标准化工作
自公司成立以来,长扬科技积极参与行业标准制定工作推动行业进步和发展。截至目前,长扬科技牵头和参与制定/修订网络安全国家标准、行业标准及团体标准150余项,参与标准研究项目或技术白皮书20余项。在“关键信息基础设施保护”、“工业互联网企业网络安全”、“信息技术应用创新”、“网络安全专用产品”、“网络安全产品互联互通”、“网络安全管理体系”、“数据安全”、“软件供应链安全”、“网络安全人才培养”等重点方向均有覆盖。同时,长扬科技可为电力、石油石化、轨道交通、城市市政、化工、智能制造、钢铁冶金等行业客户提供标准化咨询服务,协助客户开展企业标准、外部标准(国标、行标、团标)的立项与编制工作。
长扬科技积极响应二十大报告强调的“实施标准提升行动,加快构建适应高质量发展要求的标准体系,推动商品和服务质量不断提高,更好满足人民群众改善生活需要”等内容,以推动行业发展为己任,致力于打造专业化、标准化安全产品及服务团队,通过大量的研发投入、行业研究、实践积累,加入多个标准化组织,不断探索行业技术发展方向和产业提升路径,持续加大标准化工作的投入力度,为行业规范化、标准化工作持续贡献力量!
