近些年来,我们越来越多在各类产品的招标文件中发现“IT产品信息安全证书EAL等级”相关的要求,尤其是面向出口以及关键领域的产品。也有越来越多的软硬件产品供应商开始了解EAL的认证流程
所说的CC 评估保障级(EAL)认证是什么?EAL认证又是如何申请的呢?
说起EAL就不得不提到CC,CC(Common Criteria for Information Technology Security Evaluation,信息安全评估通用准则)是针对信息技术产品安全评估的通用标准,根据评估保障级别不同,分为EAL1级至7级.国际标准组织(ISO)采纳CC为国际标准ISO/IEC 15408是对IT产品进行独立安全评估和认证的国际标准,ISO/IEC获得了全球30余个国家的共同认可,也是目前国际上互信程度最高的评估信息安全产品和系统安全特性的基础准则之一。我国在ISO/IEC15408的基础上提出了GB/T18336标准,是我国国家信息技术产品安全测评领域的基础性标准,也是我国国内评估信息安全产品和系统安全特性最具含金量的准则之一。
那么,如何申请一个EAL等级认证呢?
首先,EAL等级认证需要根据申请国内与国际的项目向目标的机构提交申请。申请受理后,需要确定安全目标(ST)并根据自身产品情况提交相关材料,也被我们称为“评估证据”。在这个过程中,我们需要需要相关技术供应商的支持,对产品进行各个方面的安全分析以满足安全目标,必要情况下还将涉及到产品的更新与改动。证据准备完毕后进入实验室的测试阶段,实验室将测试检查提交的证据是否符合要求与相关标准,对不符合要求的文档打回重新修改。最后实验室通过测试后,发证机构将做最后的把关,整体流程一般在1-2年左右。如果您申请的等级在EAL5+或者更高,那么还将在评估证据中利用形式化验证的推导满足标准要求,需要外部技术支持以及更长时间。
如果您没有对产品分析和撰写的条件,或者想减低拿证的时间,国内目前仅有望安科技作为EAL认证服务商完成过EAL5+等级的认证,望安也在认证过程中作为服务方推进认证流程,凭借技术经验完成了数十次的EAL等级认证,并帮助小米、中科海微等企业完成了EAL5+高等级认证,可以寻求帮助。
目前,国内仅有数千个产品取得了响应的EAL等级证书,作为含金量较高的认证项目,通过EAL认证不仅能帮助产品供应商保证自身的产品安全,更重要的是符合采购方的需求、增加自身的产品壁垒,获得客户认可和更多市场竞争优势。