為了確保IT軟、硬體產品在安全性驗證上,有一定的公信力,全球IT軟、硬體產品大廠紛紛以ISO 15408(Common Criteria)做為產品安全性驗證的國際標準。國家通訊傳播委員會(NCC)副主委石世豪表示,根據資通安全會報的要求,在2009年政府將優先採購通過ISO 15408驗證的產品。臺灣企業的IT主管們則認為,政府的採購行為同樣會影響企業的IT採購。
資通安全實驗室有能力執行Common Criteria認證
ISO 15408其實就是俗稱的Common Criteria(共通準則),全球政府與其他組織公認為獨立第三方IT軟、硬體產品安全性驗證的最高層級,是用來定義IT軟、硬體產品以及保護剖繪(Protection Profile,簡稱P.P.)的安全等級。
這種獨立第三方安全性認證是在國際相互承認協議(Common Criteria Recognition Arrangement,簡稱CCRA)的基礎原則下,各國承認對於通過Common Criteria驗證產品的安全性。目前全球已經有25個國家簽署CCRA,也就是說,通過Common Criteria安全性認證的產品,在這25個國家中都獲得認可。財團法人電信技術中心資通安全組經理林家弘表示,目前臺灣正積極爭取加入簽署CCRA,讓通過安全性驗證的IT產品可以彼此承認。
為了提升臺灣IT軟、硬體產品的安全性,國家通訊傳播委員會根據通訊傳播組織法第3條第8項的規定,於2007年6月完成IT軟、硬體產品安全驗證體系的建置,臺灣財團法人電信技術中心的資通安全實驗室,已經有能力進行Common Criteria安全性驗證。財團法人電信技術中心資通安全組組長許碧姍表示,臺灣有能力進行Common Criteria安全性認證,對於臺灣相關的IT軟、硬體產品廠商而言,可以減少送到國外檢測成本至少3分之2。
Common Criteria認證除了是國際標準ISO 15408之外,也是臺灣的國家標準CNS 15408,主要分成簡介模組、安全性功能模組與安全保護需求3部分。國家通訊傳播委員會技術管理處副處長羅金賢指出,CNS 15408是將原本的Common Criteria認證2.2和2.3版升級,「未來等到Common Criteria認證3.1版推出後,NCC也將會立即將新的標準規範納入CNS 15408中。」他說。
銀行公會送審全臺首件通過Common Criteria產品
目前臺灣第一件通過Common Criteria認證的就是由銀行公會專案小組訂定的「數位簽章產生器保護剖繪」。銀行公會金融業務電子化委員會副主任委員羅安昌表示,銀行公會申請的數位簽章保護剖繪通過資通安全實驗室的安全性認證,並取得EAL 4+的安全等級的審驗證明。
羅安昌進一步指出,銀行公會訂定出對數位簽章安全等級所需的保護剖繪,經由資通安全實驗室驗證安全性,並由NCC通過後,其他數位簽章的廠商則可以按照保護剖繪的安全性規範,製作相關的數位簽章產生器。此外,銀行公會目前還有一個POS上的加密設備T-SAM,正在進行Common Criteria的安全性認證。
許碧姍指出,除了銀行公會提出數位簽章保護剖繪通過Common Criteria安全性驗證,另一件銀行公會的加密產品正在送測外,臺灣也有一些商業軟體、多功能事務機和網路安全設備廠商,正在積極了解Common Criteria認證相關規範。她說,目前臺灣以智慧卡和網路安全產品為主要兩大類,積極取得Common Criteria認證的產品類別。
明年政府優先採購通過Common Criteria認證產品
國家通訊傳播委員會副主委石世豪表示,研考會長期以來對於政府使用資訊安全產品都有一定的要求,透過資通安全會報的行政命令做相關要求。石世豪指出,第一階段將以採購通過Common Criteria驗證的IT軟、硬體產品,「依照資通安全會報的規畫,預計在2009年政府採購IT相關軟、硬體產品時,將優先採購通過Common Criteria認證的產品。」他說。
根據資通安全會報的規畫,第二階段將規範需要處理大量機敏資料的產業,例如通訊業,因為大量使用IP PBX與網路電話,便利性雖然增加,但危險性也相對提升。石世豪表示,目前將逐步以品質保證的方式,提升相關產品的安全性。他也說,當臺灣有能力進行IT軟、硬體產品的安全性驗證時,對於國內IT設備生產製造廠商而言,也是一種正向的鼓舞作用。
政府採購行為影響民間企業IT採購方向
羅金賢表示,世界各國的潮流趨勢,除了積極推動IT產品通過Common Criteria安全性驗證外,多數由政府率先採用經過驗證的產品。依照資通安全會報的規畫,在2009年政府採購IT產品中,可望優先採購通過Common Criteria認證的產品。
政府優先採購經過Common Criteria認證的IT產品,對於民間企業的IT採購上,的確產生部分的影響力。永慶房屋資訊部協理陳澤維便坦言,資安範疇廣博,這種具有國際性的安全性認證有助於企業在IT採購上較為單純化,當政府率先引進並採用這樣國際性的認證,進而優先採購相關IT產品,的確會影響他對IT採購的看法。
羅安昌也是上海商業銀行資訊研發處協理,他表示,銀行對於資訊安全的要求較其他產業更為嚴格,許多相關IT產品的採購上,IT產品是否通過Common Criteria安全性認證,的確是上海商銀在IT採購上的重點。
羅安昌說:「上海商銀會要求所有通過各種安全驗證的IT產品,提供相關證書或影本,」這類的安全性驗證,對於IT採購的確有加分的效果。
華義國際資訊長謝安表示,類似Common Criteria安全性認證越多,對企業採購上都是相對保證,「尤其是資安產品上,華義國際在IT採購上,特別會看重是否有安全性的認證。」信義房屋資訊部執行協理江元麒以及威達電集團營運處協理張素碧則認為,「Common Criteria安全性認證對於IT採購的確有加分,但類似認證目前仍非IT採購時的必要條件。」文⊙黃彥棻
Common Criteria的7項安全性評估保證等級(EAL) |
||
| 所謂的安全性評估等級保證(Evaluation Assurance Level,簡稱EAL)是依據Common Criteria等級1~7的安全性規範檢測結果所認定的安全等級。
在國際相互承認協議(CCRA)的基礎下,各國承認EAL 1~4安全等級的產品,至於EAL 5等級以上(包含EAL 5)的產品,屬於軍事等級的安全認證,各國標準有各自標準規範、並不互通。多數商用產品等級最高為EAL 4,若多增加EAL 5以上的部分功能,在認證上多為EAL 4+。 此外,Common Criteria在認證的與其他認證不同之處在於:每一個版本都需要經過認證,尤其產品經過大改版,認證時間必須延長。 |
||
| 評估等級 | 內容 | 功能說明 |
| EAL 1 | 功能檢測(Functionally Tested) | 檢驗產品及相關文件的符合性,確認產品行為是否符合文件宣稱 的用途 |
| EAL 2 | 結構檢測(Structurally Tested) | 經過評估來測試產品的結構,包括產品的設計歷程和測試 |
| EAL 3 | 方法檢測及檢驗(Methodically Tested and Checked) | 評估產品的設計階段,獨立驗證程式開發者的測試結果,也評估程式開發者的漏洞檢查程度、開發環境控制及產品的組態管理 |
| EAL 4 | 方法設計、檢測、檢驗及評論(Methodically Designed, Tested and Reviewed) | 更深入分析產品的開發與實作階段,所需的安全工程成本可能更高 |
| EAL 5
|
半正規設計及檢測(Semiformally Designed and Tested) | 需要更正式檢驗設計過程與實作階段,分析產品因應攻擊和防止隱密通道的能力,特別是針對高風險性的環境。 在美國,EALs 5-7 的評估必須由美國政府「國家安全局 (NSA)」來執行 |
| EAL 6 | 半正規驗證設計及檢測(Semiformally Verified Design and Tested) | |
| EAL 7 | 正規驗證設計及檢測 (Formally Verified Design and Tested) | |
| 資料來源:IBM、Wikipedia、TUV,iThome整理,2008年1月 | ||
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
