?針對國家信息安全產品(EAL4+)的評估和咨詢,DPLS實驗室提供國內EAL4+安全認證流程和技術要點的相關培訓和咨詢,包括:
EAL4+安全標準分析
EAL4+安全認證流程
EAL4+技術要點分析
DPLS實驗室為CC、EMVCo、FIPS140、米尚、EAL4+、黑盒測試、滲透測試等國際國內行業測試項目提供培訓和咨詢。
國家信息安全產品簡介(EAL)
?在信息安全領域,壹般根據系統本身及其環境的特點,采取不同的保護措施,即不同的保護級別(EAL)。為了適應IT技術安全發展和國際標準化的需要,安全評估標準也在不斷優化和完善。
EAL的分類
根據信息安全技術的評價標準,即CC,信息技術安全產品的評價分為1-7個等級:
EAL1:功能測試
EAL2:結構測試
EAL3:系統的測試和檢查
EAL4:系統設計、測試和審查
EAL5:半正式設計和測試
EAL6:半形式驗證的設計和測試
EAL7:形式驗證的設計與測試
EAL 4+簡介
EAL4+是《信息技術安全評估準則》(GB/T 36950-2018)中的評估級別(系統設計、測試和審查級別)之壹,是安全保障的專項認證。讓開發者從正確的安全工程中得到最大的保障,這是基於良好的商業開發實踐,非常嚴格,但不需要大量的專業知識、技能等資源。在經濟合理的條件下,EAL4+是改造現有生產線所能達到的最高水平。
EAL 4+(智能卡產品)評估內容
針對智能卡產品的信息技術安全評估,采用了GB/T18336中EAL4+的所有保證組件,並增加了ADV_INT.1的模塊化,增強了漏洞分析與評估組件AVA_VLA.3的中間抗力,以應對智能卡產品可能面臨的威脅和日益復雜的應用環境。
EAL4+級通過分析TOE的安全功能規範、高層設計、低層設計、編碼等設計文檔,確認其安全功能是否正確實現,提供保障。此外,安全保證是通過壹個非正式的TOE安全策略魔術獲得的。
在EAL4+級評測中,TOE安全功能的正確性還通過TOE安全功能的獨立測試、開發者基於功能規範和高層設計進行的測試及其測試結果的獨立確認、安全功能強度的分析、開發者尋找漏洞的證據、證明其可以抵禦具有中級攻擊潛力的滲透攻擊者的獨立漏洞分析來驗證。
EAL4+還可以通過使用開發環境控制措施、額外的TOE配置管理(包括自動化)和安全交付程序的證據來提供保證。