《国外信息安全测评认证体系简介.doc》由会员分享,可在线阅读,更多相关《国外信息安全测评认证体系简介.doc(22页珍藏版)》请在三一办公上搜索。
1、国外信息安全测评认证体系简介1、 信息安全度量基准1、1 信息安全测评认证标准的发展在信息技术方面美国一直处于领导地位,在有关信息安全测评认证方面美国也是发源地。早在70年代美国就开展信息安全测评认证标准研究,并于1985年由美国国防部正式公布了可信计算机系统评估准则(TCSEC)即桔皮书,也就是大家公认的第一个计算机信息系统评估标准。在随后的十年里,不同的国家都开始主动开发建立在TCSEC基础上的评估准则,这些准则更灵活、更适应了IT技术的发展。可信计算机系统评估准则(TCSEC)开始主要是作为军用标准,后来延伸至民用。其安全级别从高到低分为A、B、C、D四类,级下再分A1、B1、B2、B3
2、、C1、C2、D等7级。欧洲的信息技术安全性评估准则(ITSEC)1.2版于1991年由欧洲委员会在结合法国、德国、荷兰和英国的开发成果后公开发表。ITSEC作为多国安全评估标准的综合产物,适用于军队、政府和商业部门。它以超越TCSEC为目的,将安全概念分为功能与功能评估两部分。加拿大计算机产品评估准则(CTCPEC)1.0版于1989年公布,专为政府需求而设计,1993年公布了3.0版。作为ITSEC和TCSEC的结合,将安全分为功能性要求和保证性要求两部分。美国信息技术安全联邦准则(FC)草案1.0版也在1993年公开发表,它是结合北美和欧洲有关评估准则概念的另一种标准。在此标准中引入了“
3、保护轮廓(PP)”这一重要概念,每个轮廓都包括功能部分、开发保证部分和评测部分。其分级方式与TCSEC不同,充分吸取了ITSEC、CTCPEC中的优点,主要供美国政府用,民用和商用。由于全球IT市场的发展,需要标准化的信息安全评估结果在一定程度上可以互相认可,以减少各国在此方面的一些不必要开支,从而推动全球信息化的发展。国际标准化组织(ISO)从1990年开始着手编写通用的国际标准评估准则。该任务首先分派给了第1联合技术委员会(JTC1)的第27分委员会(SC27)的第3工作小组(WG3)。最初,由于大量的工作和多方协商的强烈需要,WG3的进展缓慢。在1993年6月,由与CTCPEC、FC、T
4、CSEC和ITSEC有关的六个国家中七个相关政府组织集中了他们的成果,并联合行动将各自独立的准则集合成一系列单一的、能被广泛接受的IT安全准则。其目的是解决原标准中出现的概念和技术上的差异,并把结果作为对国际标准的贡献提交给了ISO。并于1996年颁布了1.0版,1998年颁布了2.0版,1999年12月ISO正式将CC2.0作为国际标准ISO 15408发布。在CC中充分突出“保护轮廓”,将评估过程分为“功能”和“保证”两部分。此通用准则是目前最全面的信息技术安全评估准则。下图就清楚描述了到目前为止信息技术安全评测标准的发展史。1991年欧洲信息技术安全性评估准则(ITSEC)1996年国际
5、通用准则(CC)1985年美国可信计算机系统评估准则(TCSEC)1990年加拿大可信计算机产品评估准则(CTCPEC)1991年美国联邦准则(FC)1999年国际标准(ISO 15408)1、2 信息安全性度量标准信息技术安全性评估通用准则,通常简称通用准则(CC),是评估信息技术产品和系统安全特性的基础准则。通过建立信息技术安全性评估的通用准则库,使得其评估结果能被更多的人理解,更多人信任,并且让各种独立的安全评估结果具有可比性,从而达到互相认可的目的。此标准是现阶段最完善的信息技术安全性评估标准,我国也将采用这一标准对产品、系统和系统方案进行测试、评估和认可。通用准则内容分三部分,其中第
6、1部分“简介和一般模型”,第2部分“安全功能要求”,第3部分“安全保证要求”。在保证要求部分分以下7个评估保证级:(1) 评估保证级别1(EAL1)功能测试(2) 评估保证级别2(EAL2)结构测试(3) 评估保证级别3(EAL3)功能测试与校验(4) 评估保证级别4(EAL4)系统地设计、测试和评审(5) 评估保证级别5(EAL5)半形式化设计和测试(6) 评估保证级别6(EAL6)半形式化验证的设计和测试(7) 评估保证级别7(EAL7)形式化验证的设计和测试通用准则评估保证级与常见的几种安全测评标准的对应关系见下表。CCT C S E C F C C T C P E C I T S E
7、C EAL1-EAL2C 1-E 1EAL3C 2T- 1T- 1E 2EAL4B 1T- 2T- 2E 3-T- 3T- 3-T- 4-EAL5B 2T- 5T- 4E 4EAL6B 3T- 6T- 5E 5EAL7A 1T- 7T- 6E 6-T- 7-1、3 国际互认早在1995年,CC项目组成立了CC国际互认工作组,此工作组于1997年制订了过度性CC互认协定,并在同年10月美国的NSA和NIST、加拿大的CSE和英国的CESG签署了该协定。1998年5月德国的GISA、法国的SCSSI也签署了此互认协定。当时由于依照了CC1.0版,因此互认的范围限于评估保证级13。1999年10月澳
8、大利亚和新西兰的DSD加入了CC互认协定。此时互认范围发展为评估保证级14,但证书发放机构限于政府机构。在今年,又有荷兰、西班牙、意大利、挪威、芬兰、瑞典、希腊等国加入了此互认协定,日本、韩国、以色列等也正在积极准备加入此协定。目前的证书发放机构也不再限于政府机构,非政府的认证机构也可以加入此协定,但必须有政府机构参与或授权。2、 国家信息安全测评认证体系2、1 组织结构从目前已建立了基于CC的信息安全测评认证体系的有关国家来看,每个国家都具有自己的国家信息安全测评认证体系,并且基本上都专门成立了信息安全测评认证机构,由认证机构管理通过了实验室认可的多个CC评估/测试实验室,认证机构一般受国家
9、安全或情报部门和国家标准化部门控制。归纳起来,常见的组织结构图如下:国家安全主管部门国家标准化部门政府授权的认证机构授权监管技术监管国家安全/情报部门CC评估/测试实验室提交报告在这样的组织结构中,认证机构在国家安全主管部门的监管和国家技术监督主管部门的认可/授权下,负责对安全产品的安全性实施评估和认证,并颁发认证证书。认证机构作为公正的第三方,它的存在对于规范信息安全市场,强化产品的生产者和使用者的安全意识都将起到积极的作用。为利用社会上的资源和技术力量,一些商业机构的试验室,可以申请成为授权的CC评估/测试实验室,在认证机构的监督管理下,对安全产品进行检测或对信息系统进行评估,并将结果提交
10、认证中机构。2、2 信息安全测评认证体系国际上,目前基于CC的信息安全测评认证体系一般具有如下形式:已批准实验室名单已批准测试方法目录认证报告已认证产品目录通用准则证书CC及其通用评估方法其他测评认证标准测评认证机构技术支持方案需求消费者群体:本国政府、本国非政府外国政府、外国非政府信息安全有关组织实验室认可机构技术监督评估结果CC测试实验室认可评估发起者ISO/IEC导则25要求IT 产品或保护轮廓2、3 各国测评认证体系A、美国美国于1997年由国家标准技术研究所和国家安全局共同组建了国家信息保证伙伴(NIAP),专门负责基于CC信息安全测试和评估,研究并开发相关的测评认证方法和技术。在国
11、家安全局中对NIAP具体管理由专门管理涉密信息系统的信息系统安全办公室负责。有关美国信息安全的测评认证组织架构图示如下:国家标准技术研究所国家信息保证伙伴国家安全局安全要求规范测试和评估测评技术研究和开发CC评估认证方案CC评估认证方案是各个引入CC进行信息安全测评认证的国家,具体如何依据CC开展信息安全评估和认证工作的规划,也是国际互认协定的一个重要内容。在美国此方案的具体实施由NIAP的认证机构负责,其目的是既可以保证对信息技术产品和系统第三方安全测试,也可以使得整个信息安全测评认证体系置于国家控制范围之内。NIAP认证机构的正副主任由国家标准技术研究所和国家安全局共同任命,在行政和预算方
12、面认证机构主任向NIAP的主任汇报,在有关评估认证方案的运作方面则向国家标准技术研究所和国家安全局的证书发行机构汇报,证书发行机构有NIST的信息技术实验室和NSA的信息系统安全办公室。NIAP认证机构的核心技术人员主要是国家标准技术研究所和国家安全局的人员,也有部分招聘来的技术人员。NIAP认证机构具有下图所示的一些职能:NIAP认证机构资源管理质量管理培训管理评估活动指派认证人员ISO导则65ISO9000系列内审技术监督联系数据/记录管理NVLAPCC测试实验室厂家CC项目合作伙伴证书已认证产品目录已认可实验室名单已认可测试方法目录评估记录配置管理- CC评估认证方案文档- NVLAP精
13、通测试接受评估确认解释- 观测报告- 观测决定- 国内解释- 国外解释在美国的测评认证体系中CC测试实验室一般是由一些商业机构承办,但需要通过国家自愿实验室认可计划(NVLAP)的认可。在认可CC测试实验室时除满足导则25的要求以外,还需要满足CC评估认证方案的一些特殊要求如NIST手册150和NIST手册150-20,并要求精通信息安全测试技术和接受NIAP认证机构的监督。NIAP认证机构将对外公布所有通过认可的实验室名单。美国的测评认证体系结构图如下:ISO/IEC (导则 25)要求认可消费者群体本国政府本国非政府外国政府外国非政府安全团体NIAP认证机构ISO15408(CC)及其通用
14、评估方法(CEM)政府、业界和学术界等团体的要求已批准实验室名单已批准测试方法目录认证报告已认证产品目录通用准则证书国家非官方实验室认可计划(NVLAP)评估结果方案需求技术监督技术合作CC测试实验室评估发起者IT 产品或保护轮廓B、英国英国的IT安全评估认证体系是1991年由商业工业部(DTI)和通信电子安全小组(CESG)共同建立的,依据的评估认证标准主要是CC及其评估方法和ITSEC及其评估方法。英国的IT安全评估认证机构(CB)行政上由CESG领导。CESG作为一个文职机构隶属于政府通讯指挥部(GCHQ),其前身是通讯电子安全局,它负责保证政府和军事通信的安全。CESG的认证人员负责专
15、业能力、技术目标和商业秘密方面的最高技术标准的开发。在英国的IT安全评估认证体系,评估体系管委会负责制订国家信息安全评估认证政策,监督认证机构和仲裁诉讼及争议。它由评估认证体系的高级执行官,认证机构主任,CESG、DTI和国防部(MOD)的高级官员,其他政府部门和工业界的代表组成,其主席由CESG的人员担任。它直接向内阁会议建议和汇报认证机构的财政和资源状况。认证机构具体实施IT评估认证体系的运作,由CESG指派高级执行官,其工作人员来至CESG或由CESG招聘,负责监管商业评估机构(CLEF)。l IT安全评估认证是在认证机构的监督下,由商业评估机构(CLEF)来实现。CLEF是认证机构指定
16、并通过英国国家实验室认可机构(UKAS)认可的一些实验室,其业务受认证机构监督并与CESG签署相关合同。评估发起者是一些要求评估某一评估对象(产品或系统)的组织或个人,开发者是指生产评估对象的组织,发起者有时就是开发者。而委托者是指负责一个信息系统安全的组织或个人。综上所述,英国的IT安全评估认证体系结构图如下:委托者认证报告证书UKASCLEF开发者认证机构发起者评估体系管委会实验室认可认证评估工作程序观测报告评估技术报告批准和使用信息系统制订策略和技术监督观测报告评估对象指定CLEF安全目标评估对象安全目标可交付性可交付性观测报告C、加拿大早在1989年加拿大就开始评估IT安全,当时主要依
17、据TCSEC及其评估方法,随着CTCPEC的提出,加拿大逐步建立起了自己的IT安全产品评估和认证体系。为适应全球信息化发展需要,在参与开发CC的同时,于1998年加拿大政府推出了新的IT安全产品测评认证体系,即加拿大的CC评估和认证体系(CCS)。CCS的目的是在加拿大国内提供低成本高效率的ITS产品评估,保证评估的质量,逐步提高评估产品的可用性,并改善评估和认证过程的效率和成本代价。确切地说,CCS是加拿大一种度量IT安全产品和系统可信度的独立的第三方评估和认证服务。CCS的具体实施由加拿大通信安全研究所(CSE)负责,为此CSE特建立了一个CC认证机构(CB),此认证机构的主要职责有:批准
18、建立CC评估机构(CCEF);对CCEF提供技术支持和指导;监督评估活动的进行;确保认证评估结果的一致性;协调对外关系,如国际上的交流和推动评估结果的互认。加拿大通信安全研究所作为加拿大政府的密码和安全机构,是加拿大联邦政府负责通信安全和计算机安全的专业技术机构。根据加拿大信息技术安全测试和评估(ITSET)机构认可程序,所有的CC评估机构(CCEF)都要经过加拿大标准委员会(SCC)的认可,并由CSE的认证机构批准认可的实验室进行CC评估,监督CC评估和认证体系(CCS)的运作并对评估结果进行认证。D、法国1995年9月1日,“法兰西共和国期刊办” (Journal Officiel de
19、la Rpublique Franaise)发表了总理政府令建立法国IT安全性评估认证体系。依据IT安全性评估认证体系,在信息系统安全指导中心(DCSSI)专门成立了认证机构SCSSI,由它批准并监督IT安全评估机构(ITSEF),并在评估工作完成后负责颁发认证证书。DCSSI报告给代表所有法国认证体系用户的IT安全认证管理委员会。基于评估结果,将证书连同认证报告一同公布。认证报告另外包含了产品如何使用的信息。评估结果意味着给定产品或系统的特定版本。对产品或系统的任何改动都会是此结果无效。维护的目的是提供一种保持保证级别的方法,而不需要ITSEF进行完整的评估。在IT安全认证管理委员会的管理之
20、下,ITSEF经实验室认可机构COFRAC和认证机构SCSSI共同认可和批准,IT安全评估机构(ITSEF)进行评估工作。ITSEF对产品进行评估,完成评估技术报告,经信息技术安全认证中心认可,可以获得认证。ITSEF基于的技术标准是ITSEC和ITSEM、CC和CEM,质量体系标准是NF EN 45001或导则25、NF EN 45011或导则65。目前已批准了六家商业性评估机构。IT安全评估机构(ITSEF)是允许进行评估工作的组织。在法国方案领导下,评估机构作为独立于开发者和出资者的第三方。综上所述,法国的IT安全评估认证体系结构图如下:IT安全认证管理委员会认可机构(COFRAC)认证
21、机构SCSSI证书IT安全认证中心ITSEFITSEFITSEFIT安全评估机构认可颁发批准E、德国1991年,德国议会成立了德国信息安全局(BSI),它是联邦高级机构,归属内务部,专门负责信息安全的管理、测评与认证、安全防护和咨询等工作。BSI有现有340个员工,6个部门,其中的第二部门专门负责信息安全基础设施、认证、认可和培训,主要包括职能有安全风险研究、评估准则开发和信息技术系统或组件的安全性测评以及安全证书的颁发。在整个德国认证体系中,重要的部门认证机构(CB)也隶属于BSI。德国的认证体系结构图如下:申请者认证机构评估机构产品/系统认证报告申请认证评估报告评估报告监控F、荷兰荷兰是制
22、订欧洲信息技术安全评估准则(ITSEC)的四个国家之一,荷兰在九十年代中期进行了建立评估认证体系的一次不成功尝试。在过去的几年里,采用了ITSEC和ITSEM进行一些评估工作,但因为缺少官方的体系,而没有批准官方的证书。在1997年,在政府内开始了一个新的计划,目的是在不久的将来设立一可操作的体系。评估认证体系由政府部门荷兰国家通讯安全局(NLNCSA)负责具体实施。NLNCSA主要负责荷兰政府的信息安全技术性事务,共有三个部门,其中第三部门专门负责软件技术、安全评估和认证。现在NLNCSA由外交事务部管理,到2000年底将作为国家安全部的一个部门,受内务和王国关系部直接领导。荷兰的评估认证体
23、系由特殊信息安全委员会BIB委员会开发,并受BIB委员会的监督。BIB委员会由内务和王国关系部、防务部、外交事务部、综合事务部(PM办公室)、司法部、商业部、运输部、公共建设和水管理部、财政部等部门的人员组成,主席由国家安全部主任担当。NLNCSA在整个评估认证体系中充当认证机构,所有评估机构都得通过它的批准和实验室认可机构的认可才能开展评估工作,并受NLNCSA监督。评估机构所依据的技术标准是CC和CEM,质量体系标准是EN45001、EN45011和ISO导则 25。BIB委员会实验室认可机构证书NLNCSA认证机构IT安全评估机构认可颁发批准监督评估报告G、澳大利亚为了满足日益增长的IT
24、安全评估的要求,澳大利亚于1994年建立了“澳大利亚信息安全评估计划”(AISEP),该计划是一个商业计划,效仿了英国的CLEF体系,其目的是为澳大利亚政府提供经过商业化可行评估的可信安全产品和系统。澳大利亚国防部(DOD)的国防信号管理局(DSD)是澳大利亚联邦政府的信息安全机构,DSD作为“澳大利亚信息安全评估计划”(AISEP)的认证机构,在AISEP政策管理委员会(MPB)的指导下,负责AISEP的运作并对评估结果进行认证,MPB的主席由DSD的信息安全部门主管出任。此外DSD还负责制定认证和评估的标准、条例,并对认证和评估工作提供指导和协助。具体负责评估工作的信息安全评估机构AISE
25、F由DSD批准,并要经过NATA的认可。具体的认证和证书颁发由DSD下设的认证小组(CG)和认证机构(ACA)实施。H、西班牙在1995年欧盟议会建议推行ITSEC之后,西班牙当局就主动参与了信息技术安全评估和认证互认协议的准备和实施,并于1995年由信息系统安全和数据保护技术委员会(SSITAD)制订了西班牙评估认证体系(SECS),并同年12月通过内务部信息化高级委员会(SCI)的批准生效。西班牙SSITAD负责制定和执行西班牙政府在信息安全方面的政策,包括国内和国际上的政策。它隶属于内务部信息化高级委员会(SCI),主要职能包括提出政策框架、解释与安全相关的法律问题、描述和制定方法和原则
26、以及开展国际间合作等。在SECS方案中,国家认证局(ONC)是认证机构,它将通过法令的形式正式确定,但ONC需满足互认协议的要求。其IT安全评估机构(ITSEF)将通过协议的条款认可。目前西班牙国内有几个ITSEF从事信息技术评估,主要是安全性评估,对象是国防部门和私人工业的产品。I、以色列以色列标准化协会SII受商业部监督,是准备、出版和认证以色列及国际标准的独立官方机构。该协会的活动包括所有的工业,特别是包括了软件业在内的高新技术行业。它与许多主要的实验室和世界上许多标准组织保持着互认关系。其组织结构如下:主 席指导委员会主 席质量和认证工 业建 筑标准化工业分部的实验室负责国际和本国标准
27、的实现,包括从食品到IT产品的认证。其体系结构如下:工业分部EMC和保险实验室化学和食品实验室电气和电子实验室IT实验室以色列是世界上公认的IT安全行业的领先国家之一。IT实验室是以色列标准协会中的一个分部。它负责实施有关质量和测试相关的活动,它还是美国NSTL的授权实验室。IT实验室的主要活动包括:l 测试和评估在以色列开发的产品;l 进行NSTL授权的测试;l 开发和实现IT产品的国内和国际方案,比如BS-7799很快就要成为以色列IT安全标准的框架;l 开发符合ISO/IEC标准的软件;l IT实验室在开发以色列的IT安全标准的标准委员会中起领导作用。以色列安全产品行业非常希望成立一个本
28、国的CC权威机构,SII的IT实验室希望能够制定这样一个评估方案,使本国的工业得到更多的发展机遇。作为国家的标准组织,SII可以很自然地拓展这一活动。目前已有两家研究机构愿意加入这一评估方案的制定。它们是特拉维夫大学的计算机科学学院和Ben Gurion大学的计算机科学分部。J、韩国依据韩国的信息安全评估和认证体系,其评估机构由国家信息安全局(KISA)直接领导。韩国信息安全局(KISA)于1996年4月在信息和通讯部(MIC)成立。1999年修订了信息化和促进框架条例法案,并于今年修订了IT产品和认证指南。KISA有以下的主要任务:l 支持MIC制定信息安全相关的法律和政策;l 制定IT安全
29、产品评估准则;l 评估IT安全产品;l 支持MIC认可CA,并操作和管理根CA;l 操作和管理CERTCC-KR;l 研究和开发信息安全的密码技术。开始时,对于IT产品的评估有两种方案:一种是公共部分,另一种是政府部分。对于公共部分,KISA既是评估机构,也是认证实体。但是对于政府部分,KISA只是评估机构,而由国家智能服务(NIS)作为认证实体。根据新修订的法案和指南,唯一的一种方案覆盖了公共和政府两部分。在新方案中,国家智能服务(NIS)是认证实体,KISA是评估机构。K、日本日本于2000年2月由内阁办公室专门在机械和信息工业局下成立了新的信息安全部门信息技术促进局,其中设立的信息安全中
30、心包括下列部门:l 规划部l 防计算机病毒部l 防非授权计算机访问部l 密码研究组l 安全评估方案组l CC特种部但目前日本的信息安全评估认证体系正在建设之中。3、 各国的发展现状美国现在美国已建立了可信计算机评估的基础,进一步完善了国家信息安全测评认证体系,即是CC评估认证体系。目前已认可的通用准则测试实验室(CCTL)有六个,具体为:l Arca系统实验室l BAH实验室l CoAct公司l 计算机科学公司l Cygnacom解决公司l 科学应用国际公司最新公布的已完成CC认证的产品或系统有以下7个: Check Point FireWall-1 Version, Version 4.0
31、(SP 5) - Cisco PIX Firewall 520 Dragonfly Guard Model G1.2 Dragonfly Companion Version 3.02 Lucent Managed Firewall Version 3.0 Lucent Managed Firewall Version 4.0 2in1 PC(TM) 英国英国在比较完善的基于ITSEC的IT安全评估认证体系基础上,开展基于CC的评估认证和国际间互认工作。现有的CLEF有以下五个:l Admiral Management Services公司l EDS Defence 公司l Logica UK公
32、司 l Syntegra实验室l IBM Global Services公司目前完成CC认证的有以下6个产品或系统: Borderware Version 6.1.1 Firewall Server Safegate Firewall Version 2.0.2 SeNTry 2020 Oracle Version 7.2 on NT 3.5.1 Entrust Authority from Entrust/PKI V 5.0 Entrust/RA from Entrust/PKI 5.0法国法国是欧洲、1998年的6国和2000年的13国相互认可协议的成员。已批准了六家商业性评估机构。已完成
33、的IT安全认证的产品和系统有:l 操作系统 (19) :Windows NT4 SP3,Trusted Solaris,,AIX,HP-UX,SCO,l 智能卡 (18) :Banking,Javacard,Multos,l 智能卡终端 (28) :在德国托管认证l 防火墙 (16) :Netwall,Firewall-1, PIX,Gauntlet,Lucent,l 数据库 (7) :Oracle,Informix,Ingres,l PC (19) :Access Control,Hard disk protection,l 其它 (11) :Encryption,PKI,德国已授权建立了以
34、下7个评估机构,这些机构主要是安全专业公司。l debis Systemhaus Information Security Services GmbHl Competence Center Informatik (CCI) GmbHl Industrieanlagen-Betriebsgesellschaft (IABG) mbHl Tele Consulting (TC) GmbHl TV Informationstechnik (TVIT) GmbHl TV Nord e.V.l Vossloh System-Technik (VST) GmbH1999年3月为“AIX V4.3.1 B1
35、/EST-X V2.0.1”颁发了第一个CC证书。1999年11月为“菲利普智能卡控制器P8WE5032V0B”颁发了CC证书。目前重点认证的产品有:l 智能卡l 防火墙l 数据通信产品。依据CC,已完成的IT安全认证的产品和系统有: B1/EST-X Version 2.0.1 with AIX Version 4.3 Philips Smart Card Controller P8WE5032V0B加拿大目前共有三家公司的实验室获得了由SCC的认可小组进行了现场检查和评审,这三家CCEF只能进行EAL1到EAL4级的评估,而且对评估员还要进行必要的培训。这三家CCEF是:l CGI 信息系
36、统管理咨询公司l LGS 集团公司下属的DOMUS信息技术安全实验室l EWA 加拿大公司依据CC,已完成的IT安全认证的产品和系统有: Black Hole Firewall version 3.01 E2 for SPARCstations荷兰目前的评估结构只有一个,即是荷兰应用科学研究所所辖的TNO。TNO作为独立的第三方,目前有大约25个雇员,每年营业额有2百万美圆。TNO的客户有国防部(MOD)、政府和工业界。澳大利亚从1996年12月开始第一个产品评估,至今已颁发了13个认证证书,授权了三家信息安全评估机构,培养了一支高水平的评估员队伍。而且AISEP已在1999年9月被接纳为CC
37、MRA成员,从2000年1月开始了以CC和CEM为标准的规范的信息安全评估和认证工作,澳大利亚已经形成了信息安全产品和系统评估认证的完善体系。西班牙两个可以实施CC评估的ITSEF是INTA/CESTI和LGAI。INTA是通过认可的实验室,评估的设备和适当的人员都已经准备就绪。第二家是LGAI,其评估和测试范围包括所有的工业领域。此外还有两个限制范围的评估方案:一保密信息的IT评估方案,建立于1998年,方案的执行者及程序类似于ITSEC的评估和认证;技术上与国家现行认证方案一致并且使用MRA的相关术语;准备和德国、意大利、英国签定双边互认协议。二是电子签名产品的评估方案,确立于2000年2
38、月,认证机构是Secretara General de Comunicaciones;根据国家认可机构(ENAC)认可评估机构;采用的标准公开发布在正规的杂志上。以色列SII准备积极推动CC准则在以色列的实施,关和一些公司、IT实验室一起研究制定本国的CC准则。还准备在国内认可一些实验室,积极筹备加入CCMRA。而且促使以色列政府部门使用IT产品时考虑CC的要求。目前以色列国内的软件安全产品很多,包括了IT安全的各个方面,下面是几个典型的IT安全产品:防火墙Checkpoint,NetGuard,SpearHead, WhaleVPNRadGuard, CheckpointCVPAladdin
39、,Finjan,Pelican电子邮件Aliroo鉴别First-Access,ComSense智能卡ComSense加密和PKIAlgorithmic-Research,NDS韩国已评估产品1. 1998. 11. SecureShield-Firewall V1.0 2. 1999. 2.SecureWorks V1.03. 1999. 6.Inter-Guard4. 2000. 1.Hwarang V2.05. 2000. 1.SUHOSHIN V2.0正在评估产品1. Magic Castle2. SecureWorks V2.0(for x86)3. SUHOSHIN V2.0(fo
40、r AIX4.3)4. SecureWorks V2.0(for Sparc)5. SUHOSHIN V3.0(for x86)6. SUHOSHIN V3.0(for Sparc)此外,KISA正在开发入侵监测系统、用户鉴别的智能卡和电子商务CA服务器的评估准则。4、 今后的发展趋势加拿大1. 广泛征求CCEF对评估工作的意见;2. 拓展业务范围,开展防火墙、PKI、IDS、SAS、智能卡和生物特征测定等产品的评估;3. 开发智能卡和生物特征测定产品评估的方法;4. 更新CCS的出版物;5. 建立脆弱性数据库;6. 进一步完善质量控制过程。荷兰新方案的目标是到2000年底,荷兰国家通讯安全局
41、(NLNCSA)将在内务和王国关系部领导下,可以得到更广泛的认同。澳大利亚1. 使澳大利亚的信息安全能力得到更为广泛的认可;2. 进一步加强信息安全产品和系统评估认证工作的力度;3. 继续保持商业化和政府支持的运行机制;4. 扩大互相认可范围,为本国工业创造更广更新的机遇;5. 加大信息安全评估基础设施的建设和资金投入力度;6. 开发政府发起的保护轮廓。西班牙政府批准SCES计划并成立相应的ONS,这是西班牙政府迎接21世纪信息安全挑战的积极举措。CC准则将对SECS的实施产生积极影响。以色列以色列准备在2000年第四季度开始进行试验性的CC评估。测试和评估将包括测试目标的全面评估以及安全性、
42、性能、管理可用性测试。韩国通过使用IT产品评估的国际标准ISO/IEC 15408的努力,KISA正在进入发展按照通用准则进行IT产品评估,并加入国际相互认可协议的过程中。KISA将不断尽最大的努力去尽快完成。成立了通用准则任务组,目的是加入国际相互认可协议 - 参与者:NIS,MIC,KISA - 任务 使用CC进行评估 加入相互认可协议 确定途径日本1. 建立认证/确认体制,包括: 确认机构 认证机构 认可机构2. 建立安全评估实验室;3. 为使用评估的产品/系统提供宽松政策,如: 首相批准的“千年工程” 构建对抗黑客和其他威胁的信息系统保护基金会的行动计划;4. 在不久的将来成为CC成员。
