国家标准GB/T 18336《信息技术 安全技术 信息技术安全评估准则》(以下简称“GB/T 18336 标准”)等同采用国际安全标准 ISO/IEC 15408,是国家信息技术产品安全测评领域的基础性标准。在当前国家着力推进数字中国建设的大背景下,GB/T 18336 标准为强化信息技术产品安全性、提升产品国际竞争力、推动科研创新发展、维护国家网络安全起到了重要作用。
一
对国家网络空间安全的重要意义
随着全球数字化、信息化进程的不断加快,网络空间已经深入渗透到政治、军事、经济、文化和社会的各个领域,网络空间安全随之成为事关国家安全发展的重要议题。然而,随着网络空间安全事件频发,网络安全漏洞数量连年增加。据中国信息安全测评中心发布的《2022 年度网络安全漏洞态势报告》显示,自2018至 2022 年以来,新增网络安全漏洞数量呈现逐年增长态势,202年新增漏24,801 个,达到历史新高,较2021年相比涨幅19.28%,增速显著,其中超高危漏洞占比57.12%,超高危漏洞是高级持续性威胁(Advanced Persistent Threat,APT)所利用的重要资源。根据中国信息安全测评中心发布的《全球高级持续性威胁(APT)态势报告》,2022年全球APT攻击数量再创新高,呈现出攻击数量增长、目标区域拓展、目标机构泛化、攻击组织多源等特点。中国是APT 攻击的主要受害国,针对中国的 APT 攻击呈现持续高发状态,网络安全形势严峻。
我国防范APT攻击、提升我国整体网络安全水平至关需要在技术研究、产品设计、系统研发等阶段注重安全性要求,避免各类安全缺陷,并在产品上线服务前确保通过安全性测评,规避安全风险。因此,依据 GB/T 18336 标准在各类信息技术产品的设计和研制过程中进行评估和指导,对于有效提升信息技术产品的安全性具有重要的指导意义和推动作用。
二
对提升产品安全性的重要作用
GB/T 18336标准将产品安全水平定义为7个级别。根据美国通用准则门户网站及国内测评机构公开数据显示,国际上获得 EAL5 级及以上高级别测评认证的产品数量高于国内,究其原因有以下几个方面:一是国内信息技术发展相较于国外起步晚,对产品安全性的重视程度以及开发者的能力水平都还有提升空间,导致产品的安全水平较低,需要全面且可操作的测评标准,据此指导和促进产品的安全性设计研发;二是在欠缺安全性指导的背景下,业界难以找到技术攻关的突破口,缺少通过技术创新提升产品安全性等级的内生动力;三是高级别的安全测评难度大、投入多,国内能开展高保障级测评的机构较少,对产品安全性把关的能力不足。因此,为了提高国内信息技术产品安全性水平,需要充分发挥 GB/T 18336 标准的重要作用。
01.把关产品安全质量
在网络攻击日益频繁的背景下,由于各行业需求差异以及各自独特的安全防护需求,这就使得安全产品测评需要具备普遍性的安全测评能力,进而识别和检测各种常见安全缺陷和漏洞,同时还需具备一定程度的个性化适应能力。在 GB/T 18336 标准第1部分“简介和一般模型”中定义了安全测评范式结构,并针对各类产品的业务特点及安全需求,提出了一系列创新性的测评技术。这些技术可以有效地提升各类信息技术产品的安全性和质量,从而进一步筑牢关键信息基础设施的安全防线。
02.指导规范设计研发
产品设计不合理、代码编写不规范等都会导致信息技术产品的安全缺陷,而攻击者日益变化的攻击手段也给产品的安全性带来了巨大挑战。GB/T18336标准中所定义的安全功能要求和安全保障要求对信息技术产品可能存在的安全缺陷、安全威胁进行了全面而细致的梳理,并对每一类安全威胁都提出了严谨的安全防护需求,既能提高研发人员的重视程度,也提供了具体的安全性设计指导。因此,在方案设计、产品研发的过程中,可以充分利用和参考 GB/T 18336 标准,规范代码编写,加强安全设计和安全审计,从而规避安全缺陷。
03.促进创新技术攻关
网络安全威胁对信息技术安全产品产生了日益严重的危害,信息技术产品的安全等级需要向更高的级别做出技术创新。在 GB/T 18336 标准中定义了不同的安全性测评方法和安全功能要求,能够激励学术界和产业界开展自主创新,参照其中定义的安全要求进行技术能力自查,从而找到潜在的创新点和研究方向,开展针对性的前沿技术创新攻关,与人工智能、云计算等新兴技术相结合,攻克关键技术,提升核心竞争力,推动产品达到更高的安全等级,提升安全能力。
三
GB/T 18336标准在我国的应用情况
作为基础标准,自 GB/T 18336 标准在我国应用实施以来,国内测评机构及相关单位依据该标准,制定了一系列信息技术产品国家标准,在全国信息安全标准化技术委员会WG5组织编制和审核通过的现行有效国家标准中,有近 40项标准将 GB/T 18336 作为编制或参考依据。中国合格评定国家认可委员会(CNAS)以 GB/T 18336作为信息安全、软件类实验室能力认可的重要内容,目前国内近二十家主流的检测实验室,申请依据 GB/T 18336开展产品测评的能力认可。通过对 GB/T 18336 的本地化应用,很好地支撑了网络关键设备和网络安全专用产品的测评认证制度的实施。
二十多年来,测评中心依据 GB/T 18336 对数百家企业的两千余款产品进行了安全性测评,测评中发现产品存在诸如缓冲区溢出、拒绝服务、代码执行、逻辑错误等严重缺陷数千个,帮助企业进行产品漏洞修复和风险消控,有力保障了我国关键信息基础设施的安全,研发生产流程不断规范、产品质量不断提高,极大提高了我国信息技术产品安全可控水平。凭借 GB/T 18336与国际标准体系的接轨优势,助力部分企业理解测评要求,提升产品水平,走出国门,通过国际 CC 评估认证,拿到欧洲最严苛测评实验室的高保障级测评认证证书,逐渐缩短了与国外厂商的技术差距,并成功打入国际市场。行业用户单位依据测评结果采购更为安全的产品,提升了国家关键信息基础设施的整体网络安全保障水平。
同时,通过对 GB/T 18336的深耕研究和测评实践,测评中心技术专家创新完善测评理念,获邀加入ISO/IEC 15408的修订工作组,担任 ISO/IEC 15408-2联合编辑,深入国际标准开发进程,贡献中国智慧,为国际网络安全标准完善提供有力支撑。
四
新版 GB/T 18336 标准的变化及应用展望
CC标准自1996年1月发布首版以来,已经过四个大版本若干个小版本的文本发布。历时6年修订,终于于2022年8月推出最新版的国际标准ISO/IEC 15408-2022,旨在大力解决标准存在的一些业界共识问题。在此过程中,针对我国网络安全和信息技术发展现状,新标准、新理念、新方法的科学性、合理性及适用性得到进一步验证。对比新老版本重点变化情况如下:
1.标准支持的两类安全评估方法及相关文本结构的调整,使得标准更具易用性、普适性和应用的一致性
随着信息技术的不断发展,IT 产品呈现出一些明显的特点并在产业界达成共识,基于此新型IT技术的不断涌现且产生的各类新型IT产品,如云、量子计算、区块链、隐私计算等技术,由于其依托的技术还未成熟或产品刚刚成型,产品部署后面临的安全风险、攻击技术等还都面临日新月异的变化,且产品未大范围应用。针对上述IT产品的不同特点,GB/T 18336从概念到标准结构方面进行更新完善,更有针对性的支持这些不同产品的安全评估,以最大限度的优化评估流程并减少测评开销。
首先,“基于攻击”的评估方法,应用 CC 标准的一般模型,即资产所有者、威胁主体在围绕资产价值上采取的对抗行为,开展安全评估,其目的是证明模型中资产所有者采取对策的充分性和正确性。
第二类“基于规范”的评估方法,通过“精确符合性”“直接基本原理”等新概念,及 GB/T18336.4 对评估方法和活动的规范框架,使得“基于规范”的评估方法更加完备。与“基于攻击”的评估方法相比,“基于规范”的评估前提是必须具有产业各方一致认可的产品安全 PP 规范。同时,PP 配套有相关的支持文档,按照 GB/T 18336.4 的框架要求,规定出如何对 PP 中的各安全功能要求和保障要求开展评估活动,形成统一的评估方法和测试深度。
这两类评估方法进一步增加了 GB/T 18336 标准的易用性、普适性和应用的一致性。同时标准中以威胁分析为基础的“基于攻击”的评估方法,满足消费者对 IT 产品从低到高安全级别的需要,适用于所有信息技术产品,特别针对暂无 PP 的新型 IT 产品,提供了科学适用的安全评估方法。
与此同时此次新版本较之前标准结构发生了较大变化,由三部分变化为五部分。
新版 GB/T 18336 结构变化情况
2.模块化、复合评估等新理念,适应现代信息技术产业细化分工和结构复杂 IT 产品测评的需要
随着 IT 产品功能和构成复杂度的增加,通过模块化(Modularity)分解、分层以达到设计和实现过程中的简化已成为主流做法。模块化设计除了体现在单一产品按功能模块分解,使基本功能模块最大程度的可复用,从而达到产品结构清晰、层次分明,更加易于管理和维护之外,还体现在复杂产品中不同产品部件由多个开发者实体分工协作,以达到进一步明确产业链分工,提高专业化程度的目的。
为此,新版 GB/T18336 通过模块化描述方法,扩展现有的 PP 概念,提出 PP 配置、PP 模块等新概念,以适用于“底座+模块”产品构成范式、多部件复杂 IT 产品等应用场景。以移动设备类产品为例,国际 CC 评估已按照 PP 配置方式进行,以“移动设备基础保护轮廓”(PP_MDF_V3.3)为基础PP,配合无线通信(MOD_WLANC_V1.0)、蓝牙(MOD_BT_V1.0)、生物特征识别(MOD_CPP_BIO_V1.1)等功能 PP 模块,通过“PP 配置=基础 PP+”的方式,形成符合实际产品应用的安全需求。
为了解决多部件复杂IT产品的不同部件产品在不同评估认证机构通过了测评产生的安全评估问题,新版标准提出了“复合评估(Composite Evaluation)”的概念,通过知识转移和证据重用的方法,很好地解决了多部件复杂 IT 产品的安全评估问题,即减少了重复测评、适用的范围更广,又给出了消费者比较接受的测评结论。
新版 GB/T 18336 标准中“组合评估”和“复合评估”的区别
3.脆弱性分析中更加关注供应链安全,顺应 ICT 供应链的全球化和复杂性的特点及发展趋势
脆弱性分析(AVA)是GB/T 18336安全评估过程中的一项核心重要工作。AVA要求评估者确认被测产品开发和预期运行中是否存在潜在的脆弱性,及脆弱性是否能够造成被测产品安全功能的破坏,以此带来资产的损失。新版标准中,评估者在执行脆弱性分析相关的穿透性测试中,所针对的分析对象从原先只包括被测产品,变化为被测产品和被测产品交付件中包含的第三方部件和被测产品依赖的IT产品,此调整是以更加系统、全面、普遍联系的视角看待产品安全。为此,接受评估的开发者除需要提供用于测试的产品之外,还需要提供相关的第三方部件列表,评估者依据列表中的部件清单对其是否存在已知漏洞进行分析。此处新变化正是GB/T 18336 标准对近些年IT产品供应链安全问题凸显的有效应对,顺应了ICT供应链的全球化和复杂性的特点及发展趋势。
4.增强了对 IT 产品全生命周期的安全控制,开发构件、缺陷和补丁的管理符合网络安全观念和规律
与关注供应链安全同等重要的是针对IT产品全生命周期的安全控制。GB/T 18336中生命周期支持(ALC)相关要求是为 IT 产品在开发、生产、交付和维护期间,建立的安全规则和安全控制保障。此次修订,增加了对开发构件(ALC_TDA)的要求,目的是进一步增强对被测的 IT 产品开发过程或开发成果的信任。此要求关注的是开发过程中 IT 产品某些构件生成的真实性,通过核实被测产品的源代码、配置管理系统中的各配置项或通过开发工具生成被测产品副本等,来确认开发者提供的源代码是否属于被测产品。通过对这些重要构件的验证,建立起对 IT 产品整个开发过程的信任链。
此外,国际信息安全领域对 IT 产品全生命周期安全性的关注度逐渐增强,主要体现在以下两方面:一是对安全缺陷纠正(ALC_FLR)的重视,开发者应对产品投入使用后的安全性负责,预防缺陷发生,且一旦发现安全缺陷要通过可行的技术或管理手段,进行跟踪、纠正和控制。虽然此要求与评估保障级别(EAL)没有关联,但 CCRA 已将ALC_FLR 作为各成员国 IT 产品评估结果互认必须满足的条件之一。二是与缺陷纠正密切相关的补丁管理(ALC_PAM)将成为新增的安全保障要求。
新版 GB/T 18336 标准中“组合评估”和“复合评估”的区别
五
总结与思考
GB/T 18336标准的应用实施,对于提高国内信息技术产品的安全性整体水平,规范安全测评流程和方法论,健全网络安全测评的关键环节,筑牢关键信息基础设施安全防线等方面都起到了重要的支撑作用。一是在科研任务执行、工程系统研发的全生命周期中, GB/T 18336 等标准为参考,规避安全缺陷,提升产品安全质量;二是持续追踪领域前沿、推动技术创新,努力提升核心竞争力,为使信息技术产品达到更高的安全等级而不断精进;三是在 GB/T 18336 标准的指导下优化人才培养模式,为国家持续培养安全意识高、安全技术卓越的高素质人才,从而为维护国家安全提供更有力的支撑和保障。
同时标准中新修订的内容在以下方面对产业发展和安全测评有重要的促进作用。一是对“基于规范”和“基于攻击”两类评估方法的支持,极大地增加了标准的易用性、普适性和应用的一致性。二是丰富完善了模块化和组合评估等概念和方法,为今后我国制定复杂IT产品安全标准,减少重复认证检测,提供重要的技术参考。三是注重IT产品及相关第三方部件全生命周期及供应链安全,与动态性、对抗性、系统性等网络安全观念和规律相契合,为我国关键信息基础设施保护提供有力的产品级安全保障。
(文章来源:《中国信息安全》杂志2023年第11期)
✦
END
✦
浙江望安科技有限公司
浙江望安科技有限公司是以“形式化验证”和“安全认证”为核心的安全服务及产品提供商。公司致力于为国家重大项目、关键系统及行业企业提供安全保障。业务覆盖航空航天、国防、轨道交通、区块链、物联网、工业控制、芯片设计、操作系统、数据库等重大行业。
公司提供信息技术安全评估标准CC EAL1-EAL7级安全保障级别、IEC 61508、ISO 26262、GM/T国密以及FIPS等高等级安全认证咨询与技术服务,已与国内外多个认证/检测机构建立联合实验室、签署合作协议等。公司拥有自主知识产权的软件源码形式化测试与验证工具W-AVC、基础软硬件形式化建模与验证工具W-Cert、CC安全认证全周期实施平台W-CaaS等工具平台。公司核心技术和工具已应用于载人航天工程、中航工业集团、航天科技集团、航天科工集团、中国军事科学院、中国信科、小米科技、中国移动、中科海微、元心科技等,覆盖国家重点行业及企业。
联系我们
公司官网: www.wonsec.com
联系方式: 400-675-8118
公司邮箱: wangan@wonsec.com
咨询热线:18358509111 运营中心:400-675-8118
E-mail:wangan@wonsec.com 邮政编码:312000
地址:浙江省绍兴市柯桥区齐贤街道柯桥经济技术开发区西环路586号科创大厦A座507-508
版权所有 Copyright ©2019-2020 浙江望安科技有限公司 网络备案号:浙ICP备19042838号-1
