¿Qué es la certificación EAL4+?
? Para la evaluación y consulta de productos nacionales de seguridad de la información (EAL4+), el Laboratorio DPLS brinda capacitación y consultas relevantes sobre el proceso de certificación de seguridad nacional EAL4+ y puntos técnicos, que incluyen:
Análisis del estándar de seguridad EAL4+
Proceso de certificación de seguridad EAL4+
Análisis de puntos clave técnicos EAL4+
El laboratorio DPLS proporciona CC, EMVCo, FIPS140, Mishang, EAL4+, pruebas de caja negra, pruebas de penetración y otras industrias nacionales e internacionales. proyectos de prueba Proporcionar capacitación y consultoría.
Introducción a los Productos Nacionales de Seguridad de la Información (EAL)
? En el ámbito de la seguridad de la información generalmente se adoptan diferentes medidas de protección en función de las características del propio sistema y de su entorno, es decir, diferentes niveles de protección (EAL). Para adaptarse a las necesidades del desarrollo de la seguridad de la tecnología de TI y la estandarización internacional, los estándares de evaluación de la seguridad también se optimizan y mejoran constantemente.
Clasificación de EAL
Según el estándar de evaluación de la tecnología de seguridad de la información, concretamente CC, la evaluación de los productos de seguridad de la tecnología de la información se divide en los niveles 1-7:
EAL1: Pruebas funcionales
EAL2: Pruebas estructurales
EAL3: Pruebas e inspección del sistema
EAL4: Diseño, pruebas y revisión del sistema
EAL5: Diseño y pruebas semiformales
EAL6: Diseño y pruebas de verificación semiformal
EAL7: Diseño y pruebas de verificación formal
EAL 4+ Introducción
EAL4+ es uno de los niveles de evaluación (niveles de diseño, prueba y revisión del sistema) en los "Criterios de evaluación de seguridad de tecnología de la información" (GB/T 36950-2018). Es una certificación especial para el aseguramiento de la seguridad. . Permita que los desarrolladores obtengan la mayor protección con una ingeniería de seguridad correcta, que se basa en buenas prácticas de desarrollo comercial y es muy estricta, pero no requiere muchos conocimientos, habilidades y otros recursos profesionales. En condiciones económicamente razonables, EAL4+ es el nivel más alto que se puede alcanzar transformando las líneas de producción existentes.
Contenido de la evaluación de EAL 4+ (producto de tarjeta inteligente)
Para la evaluación de la seguridad de la tecnología de la información de productos de tarjetas inteligentes, se adoptan todos los componentes de garantía de EAL4+ en GB/T18336 y ADV_INT. 1 se agrega La modularidad mejora la resistencia intermedia del componente de análisis y evaluación de vulnerabilidades AVA_VLA.3 para hacer frente a las amenazas que pueden enfrentar los productos de tarjetas inteligentes y el entorno de aplicación cada vez más complejo.
El nivel EAL4+ proporciona garantía al analizar las especificaciones de la función de seguridad, el diseño de alto nivel, el diseño de bajo nivel, la codificación y otros documentos de diseño de TOE para confirmar si sus funciones de seguridad se implementan correctamente. Además, las garantías de seguridad se obtienen a través de una política mágica de seguridad informal del TOE.
En la evaluación del nivel EAL4+, la exactitud de la función de seguridad TOE también pasó las pruebas independientes de la función de seguridad TOE, las pruebas del desarrollador basadas en especificaciones funcionales y diseño de alto nivel, y la confirmación independiente de la resultados de pruebas y la solidez de la función de seguridad verificada mediante análisis, evidencia de desarrolladores que buscan vulnerabilidades y análisis de vulnerabilidades independientes que demuestran que puede proteger contra atacantes de infiltración con potencial de ataque de nivel medio.
EAL4+ también puede brindar seguridad mediante el uso de controles del entorno de desarrollo, administración de configuración TOE adicional (incluida la automatización) y evidencia de procedimientos de entrega seguros.