Common Criteria(安全評估共通準則)是由美國、英國、德國、法國及加拿大等國家所制訂的資安產品評估及驗證規範,並於1999年8月正式成為ISO國際標準(ISO/IEC 15408),被全球許多國家認定為是,經第三方實驗室驗證、最高層級的IT產品安全性認證。明年開始,臺灣政府單位的IT採購亦將指明通過Common Criteria認證過的產品,這是一個值得企業參考的做法。
|
|
| 臺灣電信技術中心資通安全實驗室通過TAF認證與NCC認可,已經累積足夠的資安技術能量,有能力進行CC驗證。圖為資通安全實驗室團隊成員,右2為臺灣電信技術中心資通安全組組長許碧姍,右1為資通安全組經理林家弘。 |
政策推動Common Criteria,2009年政府IT採購率先採用
CC認證已經是多數國家的資訊安全產品必備的認證,否則將無法進入市場,例如半導體晶片、防火牆、入侵偵測系統(IDS)或入侵防禦系統(IPS)等。古智仲以近來國際應用最多的電子護照(e-Passport)系統為例指出,整套系統的每個環節都以CC安全規範為主軸,向外伸展,從半導體晶片、護照、資料處理、讀取設備、系統以至龐大的後端處理平臺。
認識Common Criteria的7級安全評估等級
Common Criteria以7個安全評估等級,來界定安全性規範檢測的結果。在國際相互承認協議(CCRA)的基礎下,各國會承認EAL(Evaluation Assurance Level,簡稱EAL)等級1~4級的產品,至於EAL 5等級以上(包含EAL 5)的產品,由於屬於軍事等級的安全認證,因此各國有各各自的標準規範,並不會互通。
通過CC認證的知名IT產品一覽表
微軟專案經理Eric Bidstrup在MSDN的部落格中指出,有些產品很適合CC驗證,像是智慧卡的安全性驗證,然而,若要驗證規模較大、較為複雜的系統,則目前的CC驗證方式就需要調整。以下列出目前通過認證的知名IT產品,供大家參考。
網路相關設備
其它裝置與系統
政策推動Common Criteria,2009年政府IT採購率先採用
為了提升臺灣資安自主的能量,依據行政院資通安全會報的規範,政府機構要依照機敏程度分成3級單位,並分階段實施資訊安全管理系統(ISMS),除此之外,在IT產品的安全性認證規範上,也要跟上國際潮流,採用Common Criteria(安全評估共通準則,簡稱CC)標準。
|
|
| 國家通訊傳播委員會(NCC)技術管理處副處長羅金賢表示,臺灣引進Common Criteria(共通準則),也就是ISO 15408。所有IT產品在安全性驗證上,都有一個可遵循的指標。 |
明年政府IT採購 率先要求CC驗證
身為政策執行者的國家通訊傳播委員會副主委石世豪表示,政府將以2階段方式推廣,第一步就是推動政府單位看重Common Criteria認證,自2009年起,政府單位將優先採購通過Common Criteria驗證的IT產品。
Common Criteria(安全評估共通準則)是由美國、英國、德國、法國及加拿大等國家所制訂的資安產品評估及驗證規範,並於1999年8月正式成為ISO國際標準(ISO/IEC 15408),被全球許多國家認定為是,經第三方實驗室驗證、最高層級的IT產品安全性認證。
臺灣亦援引ISO 15408,納入CNS 15408國家標準。國家通訊傳播委員會技術管理處副處長羅金賢指出,CNS 15408是將原本的Common Criteria認證2.2和2.3版納入規範中,主要分成簡介模組、安全性功能模組與安全保護需求3部分,他說:「等到CC認證3.1版推出後,NCC也會立即將新的標準規範納入CNS 15408中。」
Common Criteria的效益
臺灣電信技術中心資通安全組組長許碧姍表示,ISO/IEC 15408提供IT產品廠商、產品開發者及產品評估者,一套可以共同依據的產品評估規範。她指出,就製造商而言,可依據由獨立機構所授予的Common Criteria安全評估保證等級(Evaluation Assurance Levels,EALs)及其本身的要求,規畫符合安全性的產品。就產品開發者而言,藉由ISO/IEC 15408結構性流程,可以從安全需求、功能規格、高階設計、低階設計及實作測試等各階段強化其安全性,並透過Common Criteria的評估申請,取得Common Criteria安全評估保證等級的認證,增加產品的市場競爭力及獲得消費者的信心。
對於採購IT產品的企業而言,臺灣TUV資訊事業部經理古智仲說:「透過安全評估保證等級(EALs),企業用戶在採購IT產品時,對產品的安全等級比較有信心。」
全球許多國家的政府採購都以Common Criteria作為IT產品的安全性標準,像是美國、德國、澳洲等國家,近年來,日本、韓國、印度、中國等國家也察覺到資安產品驗證的國際趨勢,開始制訂各自的資安產品驗證標準制度。其中,日本企業若購買經CC驗證的產品,甚至可以抵稅。
在許多國家,CC認證已經是資訊安全產品必備的認證,否則將無法進入市場,例如半導體晶片、防火牆、入侵偵測系統(IDS)或入侵防禦系統(IPS)等。古智仲以近來國際應用最多的電子護照(e-Passport)系統為例指出,整套系統的每個環節都以CC安全規範為主軸,向外伸展,從半導體晶片、護照、資料處理、讀取設備、系統以至龐大的後端處理平臺。
反觀臺灣現況,先前政府和企業偏重在資安管理系統的推動,但對於資安產品的選用,一直沒有一個明確、共通、統一的規範,因此,也無法了解政府和企業所選用的IT軟、硬體產品,是否具有一定程度的安全性?這些產品的開發、設計是否有瑕疵?許碧姍說:「要能判斷IT產品是否具有足夠的安全性,必須有相當的專業能力,還得要實際參與產品的開發流程,才有可能排除這些使用上的顧慮。」
目前全世界有25個國家通用的Common Criteria(ISO 15408)共通國際標準,就是一個規範IT產品安全性驗證最好的標準。由於CC可用來評估資訊產品、系統與技術之安全性,並藉由共同準則的規範,將資訊安全等級的評估工作量化,許碧姍認為:「這使得產品安全性的評估結果更具意義。」
政府政策做多,累積資安自主能力
CC驗證的過程非常繁複,驗證時間也比較久,因此仍需要藉由政府擬訂產品驗證法規、建立驗證制度及制訂相關推動政策。
政府「挑戰2008:國家發展重點計畫」中,有一項建立IT軟、硬體產品安全性驗證體系計畫,屬於數位臺灣計畫分項中「寬頻到府600萬用戶」子計畫,自2005年開始,轉由交通部電信總局(2005年改制為國家通訊傳播委員會)負責產品驗證、驗證實驗室營運、人才培訓與加入國際組織等相關事宜。
國家通訊傳播委員會於是依據通訊傳播組織法第3條第8項的規定,在2007年6月完成IT軟、硬體產品安全驗證體系的建置。羅金賢表示,建立資安自主能力,有能力進行IT產品的測試、評估和驗證,不僅是資安自主能力提升的一項指標,也是國內資通安全基礎建設的一部分。
政府為了鼓勵IT廠商送產品去做CC驗證,第一階段會針對政府單位,石世豪說:「政府將以身作則,率先採購通過CC安全性驗證的產品。」最快在2009年,政府將會以行政命令方式,優先採購已經通過CC認證的IT產品,第二階段則是針對需要處理大量機敏資料的相關產業,例如電信業者,因為電信業者大量使用IP PBX與網路電話後,危險性相對提升。石世豪表示,目前將逐步以品質保證的方式,提升相關產品的安全性。
政府單位目前已經建立全國性資訊安全監控中心(Security Operation Center,SOC),與資訊安全管理系統(ISMS)的機制,再納入資通產品安全性驗證之後,許碧姍說:「如此從設備採購、使用、防護、監控,以至管理等各階段,就能有一套完整的資安管理作業程序。」
許碧姍說:「政府可以在事件發生前,做好預先防護準備;事件發生時,有完善緊急應變措施;及事件發生後,能有效進行追蹤改善程序。由政府機關帶頭,意味著我們對於資通產品驗證的重視程度,也代表著臺灣在資安政策的規畫方向上,可以與國際趨勢接軌。」
臺灣電信技術中心的資通安全實驗室已通過TAF(全國認證基金會)認證,並培訓相關人才,許碧姍說:「目前臺灣已經有能力進行Common Criteria安全性驗證,在臺灣驗證的成本只要國外的三分之一。」
不過,目前臺灣在推廣CC驗證還有一個困境有待突破。由於臺灣不是CCRA簽署的會員國之一,臺灣對於產品的驗證並不能因而獲得CCRA的25個會員國的承認,因而還無法達到臺灣一次驗證、全球通關的理想。為了突破這樣的困境,許碧姍表示,目前臺灣正積極爭取加入CCRA。
行政院研考會資訊處處長何全德表示,導入國際驗證標準的目的就是為了提升臺灣的資安能量,他說:「優先採購CC驗證產品的政策要能夠成功,除了NCC政策的推動,臺灣逐漸累積足夠的資安驗證能量外,能否突破政治藩籬,讓臺灣的IT產品安全性驗證能全球適用,將是主要的關鍵。」
採購產品認明CC驗證,打造企業安全環境
要打造安全的企業IT環境,需要一些關鍵性的條件配合,其中,選擇夠安全的產品就是一個重要的關鍵。許碧姍認為,企業在採購IT產品時,藉由CC驗證的規範,可充分了解各項產品是否符合企業內各種安全需求與規範,也可以針對同類型產品進行安全性衡量與評比。
許碧姍說:「雖然多數資安事件發生原因主要仍是人為因素,但若能在第一關──採購設備上,就以通過CC驗證的產品做為優先考量,後續發生資安事件的比例可以降低。」
上海商業銀行資訊研發處協理羅安昌表示,銀行對於資訊安全的要求較其他產業更為嚴格,上海商銀在IT產品的採購上,會看重產品是否通過CC安全性驗證,他說:「上海商銀會要求廠商提出產品安全驗證的證書或影本,這類安全性驗證對於IT採購決策的確有加分的效果。」
政府確定未來IT採購將優先採用經Common Criteria認證的之後,對於企業的IT採購決策將會開始發生影響力。永慶房屋資訊部協理陳澤維說:「這的確會影響永慶房屋未來對於IT採購的看法。」計畫未來參考政府這項政策,在採購上要求CC認證。
在臺灣開始接受Common Criteria這個國際趨勢之下,許碧姍建議,臺灣廠商若要自我提升,在產品研發及製造過程可以參考國外已獲得驗證產品的成功經驗,在產品開發時就納入市面上已公布的保護剖繪(Protection Profile)的項目,依照ISO/IEC 15408的標準進行產品設計及開發,將可有效提升產品在國際市場的競爭力。
許碧姍指出,CC結構性的流程,正好可以協助廠商強化其產品生命周期中各階段的安全性要求,不論是安全需求、功能規格、高階設計、低階設計以及實作測試等。雖然在臺灣尚未有明確的法令要求廠商,資通產品一定要取得CC驗證證書,「但已有不少國外客戶要求臺灣廠商,將CC的標準應用於產品研發及生產上,甚至要求取得國外證書。」她說。
臺灣電信技術中心資通安全組經理林家弘說:「IT產品製造或研發廠商,可以利用資安實驗室的研發和技術能力,協助產品開發的安全性。」許碧姍指出,透過驗證機關到府視察(Site Visit),將有助於IT產品製造商取得CC驗證,也確保開發環境的安全性。
CC驗證並非萬靈丹
雖然CC驗證已是國際潮流,對於廠商在製造與研發產品上提供安全性的指引,而企業在選擇產品時亦有可信的安全評估標準,但是CC驗證並非萬靈丹,仍有其不足之處。
其中一個問題在於,CC驗證的流程安全性,是在實驗室以安全腳本情境來驗證,雖然CC力求驗證流程能反應真實世界的問題,但終究不是真實世界。舉例而言,就好像是一個每天鑽研武功密笈的武當弟子,一旦面對街頭出身的丐幫弟子,可能會因為缺乏隨機應變的實戰能力,即使功夫依然高強,在街頭實戰中,就容易敗給實戰經驗豐富的丐幫弟子。
微軟專案經理Eric Bidstrup在MSDN的部落格中指出,Common Criteria現階段有其不足之處,導致較少企業用戶採用。他指出,實驗室與真實世界的安全性,最大的差異點在於實驗室是理論上的安全,並無法滿足現實世界中企業對IT安全性的要求。例如,以美國的存取控制保護剖繪(US Controlled Access Protection Profile)所規範的安全設定中,作業系統要開啟FTP伺服器,只能開啟1個,才能符合規範,然而,Eric Bidstrup指出,這樣的安全性設定,很難滿足企業實際的需求。
他指出,有些產品很適合CC驗證,像是智慧卡的安全性驗證,然而,若要驗證規模較大、較為複雜的系統,則目前的CC驗證方式就需要調整。
再者,CC的驗證流程通常需要比較長的時間,對於IT產品廠商而言,要投入很高的時間成本。以IT商用產品最高安全等級EAL 4+為例,要取得這個等級的驗證,至少需要12~16個月的時間。然而,許多IT廠商通常在產品推出18~36個月之後,就會陸續推出新的版本,那麼,新版本又得送驗證,才能確保新版本的安全性。在這種驗證時間與產品上市時間有極大時間落差下,IT廠商可能就不會把每個產品都送去驗證。
臺灣電信技術中心資通安全組組長許碧姍認為,驗證時間過長的問題,可以透過CC驗證實驗室提供的諮詢顧問服務來解決,在產品開發的初期,便納入安全性驗證的項目與流程,既可強化與改善產品的安全性,也可以縮短CC驗證的時間。
面對CC驗證時間過長的問題,目前多數廠商都在產品剛推出時先驗證EAL 2至EAL 3+等級,讓驗證時間縮短在6個月至1年間,爾後在新版本更新時,再進一步驗證EAL 4等較高的等級。文⊙黃彥棻認識Common Criteria的7級安全評估等級
Common Criteria以7個安全評估等級,來界定安全性規範檢測的結果。在國際相互承認協議(CCRA)的基礎下,各國會承認EAL(Evaluation Assurance Level,簡稱EAL)等級1~4級的產品,至於EAL 5等級以上(包含EAL 5)的產品,由於屬於軍事等級的安全認證,因此各國有各各自的標準規範,並不會互通。
針對多數商用產品的最高等級為EAL 4,若廠商送產品驗證時,多增加EAL 5以上或其他不足功能的驗證,在通過驗證後,也只會標識為EAL 4+。若要在美國申請EAL 5至7級的產品驗證,就必須由美國政府「國家安全局 (NSA)」來執行。
EAL驗證需要較長的時間,光是EAL 1最初級的評估等級,測試、驗證的工作就需要花費3個月,隨的驗證等級越高,所需要花費的時間就越久,以商用產品驗證等級最高的EAL 4來說,一般而言起碼需要12~16個月的時間。也因為CC驗證時間長,驗證成本相對比較高。
若要進一步取得軍事等級EAL 5以上的驗證,甚至得花2年的時間。
此外,CC認證還有一個特別的要求,每個產品只要改版,新版產品就必須再驗證才能取得認證,如果產品有大幅改版,則認證時間勢必會延長。一般常見的認證狀況是,若有一新產品版本釋出,通常會先通過驗證等級稍低的驗證版本,隨著每次版本的升級或更新,往上取得更高階的驗證。
中興大學資訊管理系教授林詠章在〈歐盟資訊安全技術與政策發展現況之研究〉一文中提到,EAL(安全評估保證等級)等級越高,越是用於極高資產價及極高風險情況所需的極高安全應用環境。有了共同準則(Common Criteria),系統開發者可以更了解產品的安全需求,擬定未來產品發展的方向;對於系統管理員而言,可以知道電腦系統有哪些安全管理功能,做為擬定安全管理之策略;評估人員可以更正確且客觀地評估電腦系統的安全性,而安全稽查人員也可藉此來評估,系統管理員是否確實管理電腦系統。文⊙黃彥棻
|
Common Criteria的7級安全評估等級 |
|||
| 評估等級 | 審驗時間 | 內容 | 安全等級的說明 |
| EAL 1 | 3個月 | 功能檢測(Functionally Tested) | 只檢測一個產品最基礎的功能,不包含任何安全性的評估,不保證安全性。取得EAL1驗證等級,只表示這個產品能夠開機、執行,不涉及任何安全性議題。 |
| EAL 2
|
6個月 | 結構檢測(Structurally Tested) | EAL 2安全程度比EAL1高,EAL 2才開始會作安全上的檢測。會用寬鬆的標準作適當的原始碼檢查,但嚴謹程度低於EAL 3。 |
| EAL 3 | 9~12個月 | 系統測試及檢查(Methodically Tested and Checked) | EAL 3更嚴格檢查程式碼,但不需要重新翻修程式,也不會打斷整個開發流程。EAL 3不像EAL 4必須評估漏洞修補的成本,所以EAL3還是採用比EAL 4寬鬆的安全檢測標準。 |
| EAL 4
|
12~16個月 | 系統設計、測試及審查(Methodically Designed, Tested and Reviewed) | EAL 4是最常見的安全性驗證標準,例如Windows 2000、NetWare等都取得EAL 4以上的認證。只有到EAL 4時,大家才會接受這個驗 證,能有效確保系統的安全性,而供應商也會將漏洞修補包含在安全性檢測基本項目中。 |
| EAL 5
|
18~24個月 | 半正規設計和測試(Semiformally Designed and Tested) | EAL 5是一個比EAL 4要求更周延的的安全驗證等級,必須經過非常嚴格的驗證流程,花費的時間、成本都比EAL 4還高。但不見得需要取得EAL 5驗證。 |
| EAL 6 | 半正規查證設計和測試 (Semiformally Verified Design and Tested) | EAL 6驗證如同是針對客戶提出某些高風險、特殊的安全要求,不惜耗費時間、金錢,一定要達到客戶的安全性要求。要取得EAL6的驗證。安全是EAL 6的基本要求,這意味著,整個系統的開發都必須奠基在安全的要求上。 | |
| EAL 7
|
正規查證設計和測試 (Formally Verified Design and Tested) | EAL 7只有用於極度高度風險的系統,對系統的要求不只是能用而已,還必須具有極度高度的風險性要求。金錢和時間花費難以想像,只會用在具有特殊安全功能的特定系統中。 | |
| 資料來源:IBMTUV、國家通訊傳播委員會(NCC)、電信技術中心資通安全實驗室、〈歐盟資訊安全技術與政策發展現況之研究〉中興大學資訊管理系林詠章教授,iThome整理,2008年3月 | |||
|
銀行公會數位簽章拿下臺灣第1張CC認證 |
| 目前取得CC驗證的產品中,數量最多的是智慧卡。在臺灣,第一件通過CC驗證的,就是銀行公會的「數位簽章產生器保護剖繪」。銀行公會申請的「數位簽章保護剖繪」,在1月17日通過資通安全實驗室的CC認證,並取得EAL 4+安全等級的審驗證明。
銀行公會金融業務電子化委員會副主任委員羅安昌表示,銀行公會訂定出對數位簽章安全等級所需的保護剖繪,經由資通安全實驗室驗證安全性,並由NCC審核通過後,其他數位簽章的廠商則可以按照保護剖繪的安全性規範,製作相關的數位簽章產生器。銀行公會目前還有一個運用在POS上的加密設備T-SAM,正在進行CC安全性驗證。 臺灣電信技術中心資通安全組許碧姍表示,臺灣有一些商業軟體、多功能複合機和網路安全設備廠商,正在積極了解CC認證相關規範。她說,目前廠商送審的產品以智慧卡和網路安全產品為主。 國家通訊傳播委員會技術管理處副處長羅金賢表示,許多政府對於電器設備都有強制性驗證要求,但對於IT產品的安全性驗證卻沒有強制要求。他指出,電信技術中心資通安全實驗室有能力進行IT產品安全性驗證後,就能逐步達成臺灣資安能力自主的目的。文⊙黃彥棻 |
通過CC認證的知名IT產品一覽表
|
Common Criteria的7級安全評估等級 |
||
| 產品類別 | 產品名稱 | EAL等級 |
| 存取控制裝置與系統(Access Control Devices and Systems) | CA Access Control for Windows r8 | EAL 3 |
| CA eTrust Single Sign-On V7.0 | EAL 2 | |
| Citrix Password Manager,Enterprise Edition v4.5 | EAL 2+ | |
| IBM Tivoli Access Manager for e-Business V 5.1 with Fixpack 6 | EAL 3+ | |
| IBM Tivoli Access Manager for e-Business V 6.0 with Fixpack 3 | ||
| IBM Tivoli Access Manager for OS V5.1 with Fixpack 17 | ||
| IBM Tivoli Identity Manager V4.6 | ||
| I BM WebSphere Portal V 5.0.2 | EAL 2 | |
| Sun Java System Identity Manager | ||
| 邊界網路 保護設備(Boundary Protection Devices and Systems)
|
Astaro Security Gateway (ASG) Version 6.300 | EAL 2+ |
| Check Point VPN-1/FireWall-1 NGX | EAL 4+ | |
| Cisco Firewall Services Module (FWSM) V3.17 for: Cisco Catalyst 6500 Switches and Cisco 7600 Series routers |
||
| Cisco IOS Firewall V12.3.14T/12.44T | ||
| Cisco Secure PIX Firewall V6.2.2 | EAL 4 | |
| Fortinet UTM | EAL 4+ | |
| Juniper Networks NetScreen 5GT/5XT: 25/50/204/208/500/5200/5400 |
||
| Juniper Networks ISG 1000 /2000 | ||
| Microsoft ISA Server 2004 SP2 V4.0.3443.594 | ||
| Nokia IP130/IP350 / IP380 Firewall / VPN Appliances with Check Point VPN-1/FireWall-1 NG |
EAL 4 | |
| Nortel Alteon Switched Firewall V 2.0.3 with Hotfix 315/NG_FP3_HFA_315 |
||
| Secure Computing 3Com Embedded Firewall V1.5.1 | EAL 2 | |
| Symantec Enterprise Firewall v8.0 | EAL 4 | |
| Symantec Gateway Security 400 Series v2.1(Firewall Engine Only) | EAL 2 | |
| Symantec Gateway Security v2.0 5400 Series(Firewall Engine Only) | EAL 4 | |
| Symantec Mail Security 8300 Series Appliances V5.0 | EAL 2 | |
| Symantec ManHunt | EAL 3 | |
通過CC認證的知名IT產品一覽表
|
Common Criteria的7級安全評估等級 |
||
| 產品類別 | 產品名稱 | EAL等級 |
| 網路相關設備(Network and Network related Devices and Systems) | J-BxGMR4 and J-FxGMR4 | EAL 2 |
| HP OpenView Select Acces v5.2 | ||
| HP Opsware System 4.5 Patch 1 | ||
| Juniper Networks M/T/J series Routers. | EAL 3+ | |
| Juniper JUNOScope IP service Manager 8.2R2 | ||
| Symantec Security Information Manager V4.5 | EAL 2 | |
| 作業系統
(Operating systems)
|
IBM AIX 5L for POWER V 5.2 | EAL 4+ |
| Apple Mac OS X v10.3.6 | EAL 3 | |
| Apple Mac OS X Server V10.3.6 | ||
| Blue Coat ProxySG OS v3.2.4.8 | EAL 2 | |
| HP-UX 11i v2 | EAL 4+ | |
| HP Tru64 UNIX V5.1A | EAL 1 | |
| IBM AIX 5L for POWER V 5.2 | EAL 4+ | |
| IBM AIX 5L for POWER V5.3 | ||
| IBM z/OS V1.6 | EAL 3+ | |
| IBM z/OS V1.7/1.8 | EAL 4+ | |
| Microsoft Exchange Server 2003 Enterprise Edition V6.5.7226.0 and Hotfix MS05-021 |
||
| Microsoft Windows 2003 / Windows XP | ||
| Microsoft Windows Server 2003 and Microsoft Windows XP | ||
| Microsoft Windows 2000 Professional, Server, and Advanced Server with SP3 and Q326886
|
||
| NetApp Data ONTAP V6.5.2R1/ V 7.0.3 /V7.0.4 | EAL 2 | |
| Oracle Enterprise Linux V4.4/4.5 | EAL 4+ | |
| Red Hat Enterprise Linux V4.1 AS | ||
| Red Hat Enterprise Linux V4.1 WS | ||
| Red Hat Enterprise Linux 3 | EAL 2 | |
| Red Hat Enterprise Linux AS V3.2/V3.3/V4.4 | EAL 3+ | |
| Enterprise Linux Version 5 | EAL 4+ | |
| Sun Solaris 10.3.5/ Solaris 10.11.6 | ||
| Novell SuSE Linux Enterprise Server V8 | EAL 2+ | |
| Novell SuSE Linux Enterprise Server V8.3 | EAL 3+ | |
| Novell SuSE Linux Enterprise Server V9 with certification-sles-ibm-eal4 package | EAL 4+ | |
| Novell SuSE Linux Enterprise Server 10 SP1 | ||
| EMC VMware ESX Server 2.5.0 & VirtualCenter 1.2.0 | EAL 2 | |
| 資料來源:www.CommonCriteriaPortal.org,2008年3月 | ||
|
Common Criteria的7級安全評估等級 |
||
| 產品類別 | 產品名稱 | EAL等級 |
| 其他裝置與系統(Other Devices and Systems) | BEA WebLogic Server 8.1 SP5 | EAL 2+ |
| BMC CONTROL-SA | EAL 2 | |
| CA Integrated Threat Management r.8.0.445 | EAL 3 | |
| Canon、Fuji Xerox、HP、OKI、Lexmark、Danka、Konica Minolta、Kyocera Mita、Ricoh、Sharp、Toshiba等廠牌的多功能複合機 | EAL 2~3 | |
| Check Point Integrity Agent, version 6.5.063.145 | EAL 4+ | |
| Secure Computing IronMail Secure Email Gateway Software Version 4.0.0 | EAL 2 | |
| Cisco VoIP Telephony Solution | EAL 1 | |
| eEye Retina Network Security Scanner V5.4.21.53 | EAL 2 | |
| CA eTrust Audit r8 | ||
| CA eTrust Security Command Center r8 SP1 with_CR2 patch | ||
| IBM Tivoli Access Manager for e-business 4.1 with Fixpack 5 | EAL 3+ | |
| IBM Tivoli License Compliance Manager, Version 2.2, Fix Pack 1 | EAL 2+ | |
| IBM WebSphere Application Server V6.1.0.2 | EAL 4+ | |
| IBM ISS SiteProtector, Proventia A, Proventia G,and Network Sensor | EAL 2 | |
| IBM System z 的LPAR | EAL 5 | |
| Juniper Networks Secure Access Family Release 5.1R2 | EAL 2 | |
| McAfee IntruShield Intrusion Detection System | EAL 3 | |
| McAfee Secure Content Management Appliance Version 4.0 | EAL 2 | |
| McAfee VirusScan Enterprise v8.5i and McAfee ePO v3.6 | EAL 2+ | |
| McAfee Foundstone 5.0.4 | EAL 2 | |
| Microsoft Certificate Server 2003 | EAL 4+ | |
| Microsoft Windows Server 2003 Certificate Server | ||
| Oracle Internet Directory 10g | ||
| Novell Sentinel from Novell Version 5.1.1 | EAL 2 | |
| Trend Micro InterScan VirusWall 3.52 for NT Trend Micro InterScan VirusWall 3.6 for Solaris, HP-UX, and Linux |
EAL 4 | |
| RIM BlackBerry Enterprise Server Version 4.1.3. | EAL 2+ | |
|
EMC Celerra Network Server v5.5
|
||
| EMC Symmetrix Access Control EnginuityTM 5771 | ||
| 資料來源:www.CommonCriteriaPortal.org,2008年3月 | ||
|
臺灣推廣CC的優勢與困境 |
| 臺灣推廣CC驗證最大的困境在於,臺灣不是CCRA簽署的會員國之一,臺灣對於產品的驗證並不能因而獲得CCRA的25個會員國的承認。
因為如此,臺灣TUV資訊事業部經理古智仲說:「電信技術中心資通安全實驗室通過的CC驗證,還不能做到臺灣一次驗證、全球通關的理想。」為了突破這樣的困境,臺灣電信技術中心資通安全組組長許碧姍表示,「目前臺灣正積極爭取加入CCRA。」 臺灣電信技術中心資通安全組經理林家弘指出:「目前國家傳播委員會可以針對通過資安實驗室認證的產品,核發臺灣認可的CC驗證,但還不能針對其他國家的產品核發CC驗證。」 古智仲表示,對於外銷廠商而言,電信技術中心資通安全實驗室的CC驗證缺乏一定的吸引力,但對於內銷而言,若有足夠的利多,仍可吸引IT廠商送驗產品。 臺灣同時也參考CCRA會員國的作法,明確制訂相關規範。許碧姍表示:「CC驗證除了可作為政府機關建置IT系統時的採購考量,也可供大型企業參考,」當政府、企業內的重要資訊系統,都能採用已驗證過安全性的產品,將有助於提升資訊系統的安全性。 CC驗證初期的確面臨有很多推廣上的困難。回憶過去政府在推行資安管理制度(ISMS),初期也的確遭遇到不少瓶頸及挑戰。但從事後證明,當初投入的心血的確有顯著的成效,有助於降低政府面臨的資訊安全風險,間接的降低資安事件的發生。 臺灣電信技術中心資通安全組組長許碧姍說:「唯有透過政府的力量,才能帶動國內對於資訊安全產品驗證的重視。」她說:「現在投入或許不容易看出成果,但可以確定的是,現在不做,將來一定會後悔。」除了無法與國外資安技術相比外,國內資安廠商更有可能會喪失產品技術研發的優勢。 CC驗證推廣要能夠成功,除了政府政策大力支持,民間有足夠的技術能量養成(例如電信技術中心資通安全實驗室),古智仲認為,「民間企業的投入才是成功最大的關鍵。」企業願意採購通過CC驗證的產品,製造商也就願意將產品送驗,。 全世界推廣CC驗證的國家中,日本的推廣經驗相當特別。林家弘表示,日本企業若採購經過CC驗證的IT產品,將可以享有政府投資抵減的優惠 |
熱門新聞
2024-12-02
2024-11-29
2024-12-02
2024-11-30
2024-12-02
