国家信息安全产品(EAL4+)测评咨询

国家信息安全产品(EAL4+)测评咨询

0

DPLS Lab作为行业领先的信息安全检测实验室,我司汇集了一批行业检测专家,参与金融、交通、社保、卫生、广电、物联网、生物识别、GP、智能门锁等行业标准编写与制定工作。

针对国家信息安全产品(EAL4+)测评咨询,DPLS Lab提供国内EAL4+安全认证流程及技术要点的相关培训和咨询。

 

 


针对国家信息安全产品(EAL4+)测评咨询,DPLS Lab提供国内EAL4+安全认证流程及技术要点的相关培训和咨询,包括:

  • EAL4+安全标准解析
  • EAL4+安全认证流程
  • EAL4+技术要点解析

DPLS Lab提供国际CC、EMVCo、FIPS140、商密、EAL4+、黑盒测试、渗透测试等国际国内行业检测项目的相关培训和咨询工作。

国家信息安全产品(EAL)简介

在信息安全领域,一般依据系统自身及其环境特点,采取不同程序的保护措施,也就是不同的级别保护(EAL(Evaluation Assurance Level)),为了使用IT技术安全发展和国际标准化的需求,安全评估标准不断优化、改进。

EAL的等级划分

根据信息安全技术评估准则,即CC,信息技术安全产品的评估由1-7个等级来划分:

  1. EAL1:功能测试
  2. EAL2:结构测试
  3. EAL3:系统的测试和检测
  4. EAL4:系统的设计、测试、复查
  5. EAL5:半形式化设计和测试
  6. EAL6:半形式化验证的设计和测试
  7. EAL7:形式化验证的设计和测试

EAL 4+的介绍

EAL4+是安全保障的专项认证(GB/T 36950-2018)《信息技术安全评估准则》的其中一个评估等级(系统的设计,测试、复查级)。使开发人员从正确的安全工程中获得最大限度的保证,这种安全工程基于良好的商业开发实践,这种实践很严格,但并不需要大量专业知识,技巧和其他资源。在经济合理的条件下,对一个已经存在的生产线进行翻新时,EAL4+是所能达到的最高级别。

EAL 4+的测评内容(智能卡产品)

EAL4+总体结构

对智能卡产品信息技术安全性评估采用了GB/T18336中EAL4+的全部保证组件,并增加了ADV_INT.1模块化,增强了脆弱性分析评定类组件AVA_VLA.3中级抵抗力,以应对智能卡产品可能面临的威胁和日益复杂的应用环境。

EAL4+级通过对TOE的安全功能规范、高层设计、低层设计、编码等设计文档进行分析,确认其安全功能是否正确实现来提供保障。还通过TOE安全策略的一个非形式化魔性额外获得安全保证。

在EAL4+级评估中,还通过对TOE安全功能进行独立测试、对开发者基于功能规范和高层设计进行的测试及其测试结果进行独立确认、对安全功能强度分析、对开发者搜索脆弱性的证据以及证明可抵御具有中级攻击潜力的穿透性攻击者的独立脆弱性分析来验证所实现的TOE安全功能的正确性。

EAL4+还能通过使用开发环境控制措施、包括自动化在内的额外的TOE配置管理和安全交付程序的证据来提供保证。