评估保障等级
评估保障等级(Evaluation Assurance Level)简称EAL,是用数字级别说明产品依资讯技术安全评估共同准则(Common Criteria)评估的程度,从EAL1到EAL7。数字级别越高,评估时的严谨程度就越高,需要的佐证资料也越多,对于系统主要安全功能实施的信心程度也越高。EAL等级不会测量系统的安全性,只会说明系统要如何验证到什么程度。
若电脑系统要达到特定的评估保障等级,系统需要符合特定的保障需求(assurance requirements)。大部分的保障需求会和设计文件、设计分析、功能测试或渗透测试有关。若评估保障等级越高,表示文件、分析或是测试会更加的深入。一般而言,要达到较高评估保障等级,所花的金钱以及时间都会比较低的评估保障等级要多。若要求系统达到某评估保障等级,表示此系统满足该评估保障等级中的所有需求。
就算所有产品及系统都符合同一个保障需求,达到相同的一个评估保障等级,但这些产品的功能需求可能会不同。在产品进行评估时,会将认证产品的功能列在安全目标(Security Target,ST)文件中。因此,评估保障等级较高的产品,安全程度不一定高于等级较低的产品,还是要视二个产品的安全目标而定。产品是否符合特定的安全应用,要看产品安全目标中的功能是否满足该应用的安全需求。若二个产品的安全目标都可以满足需求,评估保障等级较高的产品会比较值得信赖。
保障等级
EAL1:功能检测(Functionally Tested)
EAL1需确认产品的功能正常,有证据以佐证系统可以正常运作,适用于安全威胁不严重的情形。若需要独立的保证来确定,系统会针对个人资讯或是类似资讯进行适当保护,可以使用EAL1。
EAL1会是使用者可以进行,针对评估目标(TOE)的评估,包括对某规格的独立测试,并且检查所提供的指引文件。EAL1设计的目的是要EAL1的评估可以在没有评估目标开发者的协助下进行,且用最少的成本进行。此一层级的评估可以佐证评估目标的功能和其文件一致,且针对已识别到(且写在文件中)的威胁,可以提供有效的保护。
EAL2:结构检测(Structurally Tested)
EAL2需要开发者提供设计资讯及测试结果,不过其付出心力和一般良好商业实务下的开发者相当。开发者应该不会因为EAL2而大幅增加成本,或是延长开发时间。EAL2适用于设计者或是使用者需要低度到中度的独立性安全保证,但还没有完整开发记录的情形。在为旧系统提升安全性时,常会遇到此一情形。
EAL3:系统测试及检查(Methodically Tested and Checked)
EAL3让严谨的开发者在开发阶段时,就以最积极的安全工程作法,尽全力保证产品安全,因此开发者会严格检查程式码,但针对已有的良好开发流程,不需作更动。EAL3适用于设计者或是使用者需要中度的独立性安全保证,并且对评估目标以及开发进行彻底的检视,但不打算大量修改的情形。
EAL4:系统设计、测试及审查(Methodically Designed, Tested and Reviewed)
EAL4让严谨的开发者在开发阶段时,就以最积极的安全工程作法,配合良好的商业实务,尽全力保证产品安全,过程严谨,但开发者不需特殊的知识、技术或是其他资源。若是在现有的产品线进行改造,EAL4是经济上可行的最高级别。EAL4适用于传统开发方式的评估目标,开发者或是用户需要中度或高度的独立保证安全性,且可以接受额外的安全相关工程成本的情形。
提供以使用者为基础,传统安全性的商业操作系统常会用EAL4来评估。以下是一些曾用EAL4评估,已过期的例子:例如IBM AIX[1]、HP-UX[1]、Oracle Linux、 NetWare、Solaris[1]、SUSE Linux Enterprise Server 9, 10[1][2][3]、Red Hat Enterprise Linux 5[4][5]、 Windows 2000 Service Pack 3、Windows 2003[1][6]、Windows XP[1][6]、Windows Vista[7][8]、 Windows 7[1][9]、Windows Server 2008 R2,[1][9] z/OS 2.1版[1]。
有多级别安全的操作系统至少会以EAL4来评估。目前认证还有效的有 SUSE Linux Enterprise Server 15(EAL 4+)[10]。曾有认证,但已过期的有Trusted Solaris、Solaris 10 Release 11/06 Trusted Extensions[11]、XTS-400的早期版本、VMware ESXi4.1版[12]、3.5版、4.0版、AIX 4.3、AIX 5L、AIX 6, AIX7、Red Hat 6.2及SUSE Linux Enterprise Server 11(EAL 4+)。
EAL5:半形式设计和测试(Semiformally Designed and Tested)
EAL5让开发者透过安全工程尽全力保证产品安全,安全工程是以严谨商业开发实务为其基础,并且应用专门的安全工程技术。这类的评估目标一般就是以达到EAL5保证为目的来进行设计和开发的。很可能EAL5需求的额外成本,相较于没有应用此特定技术的严谨开发流程来说,成本不算太高。EAL5适用于开发者或是使用者需要在已规划好的开发上,有高度独立确保的安全性,而且需要严谨开发流程,不会产生不合理成本的特殊安全工程技术。
许多智能卡的设备是以EAL5来评估,有些多层次安全设备也是如此,例如Tenix的Interactive Link。XTS-400(STOP 6)是多功能的操作系统,评估为EAL5+。
EAL6:半形式验证设计和测试(Semiformally Verified Design and Tested)
EAL6是以让高价值资产避免特定风险为目的,让开发者在严谨开发环境下,应用专门的安全工程技术,开发高度安全保证的优质评估目标。因此,EAL6适用于开发应用在高风险情境下的安全评估目标,其要保护资产的价值超过所增加的开发成本。
Green Hills软件的INTEGRITY-178B实时操作系统,是属于EAL6+的等级[1]。
EAL7:形式验证设计和测试(Formally Verified Design and Tested)
EAL7适用于开发在高风险情境下的安全评估目标,且保护资产的价值会高过其开发成本的情形,是最高等级的保障等级。
EAL7的实际应用目前只在高度强调安全功能的评估目标,且安全功能很容易进行广泛形式分析的应用。Tenix Interactive Link的Data Diode Device产品,以及Fox-IT的Fox Data Diode产品(单向资料通讯设备)声称有依EAL7的加强版(EAL7+ )[14]。
保障等级的意涵
以技术层面来说,较高等级的EAL意味着其评估过程满足了更严谨的品质保证要求。一般会假设达到更高EAL等级的系统,其安全机能会更可靠(因此所需的第三方分析以及安全专家进行的测试是这个方向的合理依据),不过可支持此假设的证据还不多。
对成本和时程的影响
美国政府问责署在2006年发表了有关资讯技术安全评估共同准则评估的报告,总结了一系统从EAL2到EAL4专案的成本以及时程。EAL2的时程约在4到10个月不等,EAL4的时程从9到24个月不等。
在1990年代中期到末期,供应商在相当于EAL4的评估,约花费100万到250万美元的费用,有关Microsoft Windows安全评估的费用,还没有对应的报告可以佐证。
EAL要求的增强版
有些情形下的评估,除了特定EAL的最低需求外,还会加入额外的保证需求。正式的标示方式会在EAL的数字后面加上augmented,并且加上新增需求的代号列表。若用缩写表示,供应商一般会用加号表示有增加的需求(如EAL4+)。
EAL标示方式
在资讯技术安全评估共同准则中有提到标示EAL的方式:在EAL后直接加上1到7的数字,不用空格隔开(例如EAL1、EAL3、EAL5)。实务上,有些国家会在EAL和数字中间加上空格(EAL 1、EAL 3、EAL 5)。数字后面的加号是供应商标示有增加需求的非正式作法(EAL4+或EAL 4+)。
参考资料
- ^ 1.00 1.01 1.02 1.03 1.04 1.05 1.06 1.07 1.08 1.09 Common Criteria certified product list. [2008-04-28]. (原始内容存档于2013-12-31).
- ^ Certification Report for SUSE Linux Enterprise Server 9 (PDF). [2008-04-28]. (原始内容 (PDF)存档于2015-09-23).
- ^ SUSE Linux Enterprise Server 10 EAL4 Certificate. [2008-04-28]. (原始内容存档于2008-05-22).
- ^ Red Hat Enterprise Linux Version 5 EAL4 Certificate. [2007-06-16]. (原始内容存档于2007-06-19).
- ^ Red Hat Customer Portal. [2023-10-26]. (原始内容存档于2012-07-07).
- ^ 6.0 6.1 Windows Platform Products Awarded Common Criteria EAL 4 Certification 互联网档案馆的存档,存档日期2006-04-20.
- ^ Myers, Tim. Windows Vista and Windows Server 2008 are Common Criteria Certified at EAL4+. Microsoft. [May 15, 2013]. (原始内容存档于2013-11-11).
- ^ National Information Assurance Partnership Common Criteria Evaluation and Validation Scheme (PDF). [May 15, 2013]. (原始内容 (PDF)存档于March 27, 2014).
- ^ 9.0 9.1 Microsoft Windows 7, Windows Server 2008 R2 and SQL Server 2008 SP2 Now Certified as Common Criteria Validated Products. [2023-10-26]. (原始内容存档于2017-08-26).
- ^ SUSE Linux Enterprise Server 15 SP2 (PDF). Common Criteria Portal. [9 September 2022]. (原始内容存档 (PDF)于2023-12-26).
- ^ Solaris 10 Release 11/06 Trusted Extensions EAL 4+ Certification Report (PDF). [2023-10-27]. (原始内容存档 (PDF)于2023-10-27).
- ^ VMware Common Criteria Evaluation & Validation (CCEVS). [2019-01-27]. (原始内容存档于2020-01-28).
- ^ IBM System z Security (页面存档备份,存于互联网档案馆); IBM System z partitioning achieves highest certification (页面存档备份,存于互联网档案馆)
- ^ Certifications - Fox-IT. (原始内容存档于2020-09-23).