1、信息安全产品分级评估是指依据国家标准 GB/T 183362001,综合考虑产品的预期应用环境,通过对信息安全产品的整个生命周期,包括技术,开发、管理,交付等部分进行全面的安全性评估和测试,验证产品的保密性、完整性和可用性程度,确定产品对其预期应用而言是否足够安全,以及在使用中隐含的安全风险是否可以容忍,产品是否满足相应评估保证级的要求。中国信息安全产品测评认证中心多年来依据国家授权对外开展信息安全产品测评业务,是代表国家对信息安全产品的最高认可,出具的测评报告具有极高的权威性。 中国信息安全产品测评认证中心依据国标 GB/T 183362001 开展分级评估业务,该标准等同采用国际标准 IS
2、O/IEC 15408:1999,所采用的评估方法均为国际通用方法,具备强大的国际认可基础。产品分级评估(EAL)是评估保证要求的一个基线集合。每一评估保证级定义一套一致的保证要求,合起来,评估保证级构成预定义的 GB/T 18336 保证级尺度。在 GB/T 18336 中定义了以下 7 个评估保证级:(1) 评估保证级 1(EAL1)功能测试;(2) 评估保证级 2(EAL2)结构测试;(3) 评估保证级 3(EAL3)系统地测试和检查;(4) 评估保证级 4(EAL4)系统地设计、测试和复查;(5) 评估保证级 5(EAL5)半形式化设计和测试;(6) 评估保证级 6(EAL6)半形式化
3、验证的设计和测试;(7) 评估保证级 7(EAL7)形式化验证的设计和测试。分级评估是通过对信息技术产品的安全性进行独立评估后所取得的安全保证等级,表明产品的安全性及可信度。获得的认证级别越高,安全性与可信度越高,产品可对抗更高级别的威胁,适用于较高的风险环境。 不同的应用场合(或环境)对信息技术产品能够提供的安全性保证程度的要求不同。产品认证所需代价随着认证级别升高而增加。通过区分认证级别满足适应不同使用环境的需要。7 个级别的高低次序在确定时权衡了各个级别所获得的保证、达到该保证度所需的测评认证代价,以及测评认证工作的可行性。每个高级别的认证级别都要比所有较低级别提供更多的保证,通过在同一保证类中高级别的保证组件替换低级别的相应组件(即增加严格性、范围或深度),或增加另一个保证类中的保证组件(例如,添加新的保证要求)来实现。目前中国信息安全产品测评认证中心开展了 EAL14 级四个认证级别的认证工作。
