ccidnet????

出版日期:2004-08-09 总期号:1337 本年期号:58

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
华东专刊
华南专刊
东北专刊
西南专刊
 安全认证要看档次
——信息安全产品EAL3等级认证诞生
文 本报记者 高岚

  说起信息安全产品的评测,人们首先想到的往往是“发证”。的确,无论是由公安部颁布的销售许可证,还是由安全部、保密局或是各个行业颁发的其他各种证书,其目的都是相同的——在某个领域合法销售信息安全产品的准入凭证。所以,有人戏称大多数评测机构为“发证的”。但是,现在,用户们对于信息安全产品的渴望是分级——明确指出信息安全产品的安全性高低,以便于他们按需采购。现在,信息安全产品的分级认证机制终于在千呼万唤下出台了。

  7月29日,中国信息安全产品测评认证中心宣布:首批通过中国信息安全产品测评认证中心认证EAL3等级的信息安全产品诞生了,它们是:上海金诺网络安全技术发展股份有限公司研发的金诺网安入侵检测系统(KIDS)V8.2、北京启明星辰信息技术有限公司的天阗入侵检测与管理系统V6.0、北京天融信科技有限公司的网络卫士防火墙NGFW4000 V2。

  回应市场呼唤

  信息安全产品评测分级制的诞生是顺应市场发展所需。十年前,在企业级信息安全产品刚刚诞生,产品种类单一,厂商数量不多,大多数用户不了解信息安全,用户数量屈指可数的时候,以粗放式的“发证”方式来管理信息安全品销售,是无可厚非的。但是,今天,信息安全产品分类越来越细,厂商数量达到数百家,信息安全产品已经成为广大用户不可或缺的时候,如果还是用“发证”来管理这个巨大的市场的话,显然存在着若干缺陷。

  首先,不利于信息安全产品的完善与发展。单纯的准入机制,将所有的信息安全产品放到了一条起跑线上,好的显不出来,差的发现不了。这种鱼目混杂的做法,在极端情况下,将使得生产厂商们放弃对产品的精益求精,而单纯追求产品种类的增加及产品型号的扩展,使得我们国产的安全设备越做越差。

  其次,也不利于用户有效地选择所需的安全产品。众所周知,采购安全产品的目的就是保护安全,而且,用户不同,具体应用不同,不同系统的安全性要求不同,相应的安全投资计划也不同,采购重点不同。例如,对于一个金融企业,其存放用户个人金融资料的服务器意义重大,它自然要对该服务器重点保护,舍得投以重资。如果没有分级机制,单凭安全厂商们的一面之词,金融企业很难判断,到底哪家的哪个产品最好,最能让它放心使用。

  27号文件提出的信息安全管理等级保护制度,恰恰就是对信息安全产品分级制的呼唤。

  

  EAL 7个评估保证级别内容表


  安全产品上台阶

  为了积极促进信息技术安全产品的分级认证工作,使产品的研制和生产过程逐步走向规范和标准化,引导生产厂商开发出符合国际标准或国家标准,满足政府、行业、企业需求的产品,中国信息安全产品测评认证中心实行了信息安全产品分级认证。他们将信息安全等级认证具体分成了7个级别。目前,他们有能力和正在做的是EAL1至EAL4级的测评认证工作。这也标志着我国信息安全技术以及测评认证能力的提高。目前,除SIM卡具有EAL4增强级认证外,信息安全产品EAL3级认证是网络安全产品最高等级的国家信息安全认证。其中,EAL1级认证适合于个人及简单商用环境,EAL2级认证适用于一般商用,EAL3级认证能够满足具有适当安全需求的政府、特定商业用户及军用的要求。对此,中国信息安全产品测评认证中心副主任陈晓桦的评价是:相对于EAL2、EAL1级认证,EAL3级认证有了本质性的提高,一般来说,通过了该中心原有评测的产品都可达到1级或者2级认证的标准。但是,要想通过EAL3级认证的产品,却需要经过精心的准备过程,以这次的3个产品为例,认证过程几乎都经过了近1年。通过EAL3级认证,既标志着我国信息安全产品、技术达到了一个高水平,也标志着我国信息安全测评认证水平迈上了一个新的高台阶。

  通过此次认证的厂商代表之一,主管此次认证过程的天融信公司产品管理中心经理刘辉介绍说,他认为EAL等级认证的过程与软件成熟度CMM的认证非常类似,该过程将对厂商产品开发流程、人员分配状况、软件开发环境等过程进行严格监控,仅仅是提交给信息安全测评认证中心的产品资料就是厚厚的一叠。

  国内厂商能走出国门

  据测评认证中心介绍,比EAL3级认证更高的EAL4级认证现在正在着手准备中,目前,上海金诺公司已经申报了该项认证。据悉,EAL4级认证将需要厂商提交产品的核心源代码,而且,该过程将更漫长,所需时间“至少一年”。

  其实,实行分级认证一方面体现了我国信息安全产品管理的一个新的里程碑,另一方面,也标志着我国的信息安全产业开始与与国际接轨。

  据介绍,我国现行的EAL级认证是将国际相关标准进行本地化的产物。目前,测评认证中心正在申办国内有关标准被国际标准化组织认可,一旦该申请被批准,将标志着我国现行认证体制与国际的完全接轨;同时证明,我国将有能力对国外信息安全产品进行国际化的分级认证,保证信息安全产业的公平竞争。更重要的是,这将意味着,我国的信息安全产品供应商将有能力迈出国门,以高技术无障碍地参与到国际市场的大舞台中。