資安產品驗證作業 報告人:許英明 國家通訊傳播委員會 97年 11月 24日
Contents q 我國資安產品驗證體系 q 資通安全產品及保護剖繪審驗作業要點 q CCRA介紹 1
我國資安產品驗證體系 2
3
資通安全產品及保護剖 繪審驗作業要點 4
資通安全產品及保護剖繪審驗作業要點 q 依據 Ø 「國家通訊傳播委員會組織法」 ü 第三條第八款規定 – 本會掌理資通安全之技術規範及管制 q 法律位階 Ø 本會法令 ü 行政規則 – 作業規定類 – 「資通安全產品及保護剖繪審驗作業要點 – 96. 6. 13公布實施 」 5
作業要點用詞定義 (1/4) q 資通安全產品 Ø 指具備資通技術安全防護措施或功能之硬體、韌體、軟體或三者之任一組合。 Ø 如 : 換 器 、 由 器 、門 禁 管 制 系 統 、 毒 系 統 、 火 牆 、 侵 偵 測 系 統 、 交 路 防 防 入 入 侵防禦系統等。 q 保護剖繪 (Protection Profile, PP) Ø 指為滿足資通安全產品評估標的製作之安全基本需求文件。 Ø 如 : 行 公 會 PP文 件 內 容 : 銀 IT Security Requirements ( TOE Security Functional Requirements 、 TOE Security Assurance Requirements 等) q 資 訊 技 術 安 全 評 估 共 同 準 則 (Common Criteria for Information Technology Security Evaluation, CC) Ø 指 資 通 安 全 產品 及 保 護 剖 繪 之 安 全 功 能 及 安 全 保 證 之 國 際 共 同 規 範 , 國 際 即 標準組織之 ISO/IEC 15408(第 2. 1版 , 1996. 06)規範。(CNS 15408 93. 01. 09) q 資 訊 技 術 安 全 評 估 共 同 方 法 論 (Common Methodology for Information Technology Security Evaluation, CEM) Ø 指 依 共 同 準 則 評 估 及 驗 證 資 通 安 全 產品 及 保 護 剖 繪 之 安 全 功 能 及 安 全 保 證 等 級 時 , 遵 循 之 方 法 及 程 序 , 國 際 標 準 組 織 之 ISO/IEC 18405 (第 2. 1版 , 應 即 1996. 06)規範。 6
作業要點用詞定義 q (2/4) 申請者 Ø Ø q q 指申請評估及驗證之資通安全產品及其相關使用手冊。 如:銀行公會的數位簽章產生器、全宏公司的安全晶片。 Ø Ø q 指申請資通安全產品或保護剖繪之評估及驗證者。 如:銀行公會的 PP申請及全宏公司的安全晶片申請。 指為資通安全產品能符合保護剖繪或特定安全需求製作之規格文件。 如 : 行 公 會 的 數 位 簽 章 產生 器 ,其 ST內容 包 括 PP introduction、TOE Description 、 銀 TOE Security Environment 、 Security Objectives、IT Security Requirements 、 Rationale 、 Appendix等。 評估標的 (Target of Evaluation, TOE) 安全標的 (Security Target, ST) 評估保證等級( Evaluation Assurance Level, EAL) 指 依 共 同 準 則 及 共 同 方 法 論 評 估 及 驗 證 資 通 安 全 產品 或 保 護 剖 繪 , 得 之 安 全 保 證 等 獲 級。 Ø 如: EAL 1、 EAL 2、 EAL 3、 EAL 4、 EAL 5、 EAL 6、 EAL 7共 7級。 Ø q 驗證機關(Certification Body, CB) Ø Ø 指執行審驗之機關。 如: NCC(台灣 ) 、 CSE(加拿大 )、 IPA(日本 )、 CSEC(瑞典 )、 ITSCC(韓國 )、 BSI(德國 )。 7
作業要點用詞定義 (3/4) q 評估實驗室(Evaluation Laboratory, EL) Ø 指對資通安全產品或保護剖繪具有評估資格及能力之實驗室。 Ø 如: TTC(台灣 )、 CSC(澳紐 )、 Oppida(法國 ) 、 BT(英國 )等 q 審驗 Ø 指 對 資 通 安 全 產品 或 保 護 剖 繪 以 符 合 特 定 安 全 需 求 , 驗 證 機 關 出 由 具書面證明之程序。 Ø 如:審核ETR、 OR、 SER等資料 →共同準則審驗證明。 q 觀察報告(Observation Report, OR) Ø 指 評 估 實 驗 室 評 估 資 通 安 全 產品 或 保 護 剖 繪 時 , 待 澄 清 事 項 或 有 對 爭議問題提出之觀察文件。 Ø 如:銀行公會觀察報告。 q 評估技術報告 (Evaluation Technical Report, ETR) Ø 指 評 估 實 驗 室 為 評 估 資 通 安 全 產品 或 保 護 剖 繪 撰 寫 之 技 術 報 告 , 提 供驗證機關作為驗證報告之依據。 Ø 如:銀行公會評估技術報告。 8
作業要點用詞定義 (4/4) q 驗證報告(Certification Report, CR) Ø 指驗證機關依評估實驗室提供之評估技術報告, 確認其遵循共同準則、 共同方法論及評估程序撰寫之報告。 Ø 如:銀行公會驗證報告、全宏公司驗證報告。 q 驗證產品清單 Ø 指 經 審 驗 合 格 之 資 通 安 全 產品 或 保 護 剖 繪 相 關 資 訊 , 括 申 請 者 、 包 產 品或保護剖繪名稱、評估保證等級、審驗日期等。 申請者 產品或保護剖繪名 稱 評估保證等 級 審驗日期 1 銀 行 公 數位簽章產生器 會 EAL 3 97. 1. 10 2 全 宏 公 安全晶片 司 EAL 3+ 備註 97. 11. 10 9
評估及驗證規範 q 共同準則 →ISO/IEC 15408 q 共同方法論 →ISO/IEC 18405 q 其他由本會訂定公告之技術規範 Ø 中華民國國家標準( CNS 15408) Ø 國際標準組織所訂標準 Ø 區域標準組織所訂標準 10
評估及驗證類別 (1/2) q 存取控制裝置與系統( Access Control Devices and q q q Systems) 界限保護裝置與系統( Boundary Protection Devices and Systems) 資料庫(Databases) 資料保護(Data Protection) 偵測裝置與系統( Detection Devices and Systems) 數位簽章裝置與系統( Digital Signature Devices and Systems) 11
評估及驗證類別 (2/2) q 積 體 電 路 、智 慧 卡 及 智 慧 卡 相 關 裝 置 與 系 統 ( q q Integrated Circuits, Smart Cards and Smart Card related Devices and Systems) 金鑰管理系統( Key Management Systems) 網路及網路相關裝置與系統( Network and Network related Devices and Systems) 作業系統(Operating Systems) 其他裝置與系統( Other Devices and Systems) 12
審驗作業程序 (1/5) q 初步評估 Ø 申請者申請驗證時, 先向評估實驗室申請評估, 評估實 應 由 驗 室 就 申 請 驗 證 之 資 通 安 全 產品 或 保 護 剖 繪 進 行 初 步 評 估 , 經 評 估 為 可 行 案 件 時 出 具 評 估 作 計 畫 ( 項 目 及 內容 請 參 其 考 「 通 安 全 產品 及 保 護 剖 繪 審 驗 作 業 要 點 」 附 件 二 ) 作 為 資 之 , 申請驗證之依據。 q 正式評估及驗證之前置作業 Ø 驗證機關先行核對申請者檢附之文件, 已齊全者, 召開 認 應 啟 動 會 議 , 通 知 申 請 者 及 評 估 實 驗 室 參 與 說明 , 定 是 否 並 決 受理該驗證申請案 。 13
審驗作業程序 (2/5) q 初步評估 Ø 申請者申請驗證時, 先向評估實驗室申請評估, 評估實驗室就申 應 由 請 驗 證 之 資 通 安 全 產品 或 保 護 剖 繪 進 行 初 步 評 估 , 評 估 為 可 行 案 件 經 時 出 具 評 估 作 計 畫 ( 項 目 及 內容 請 參 考 「 通 安 全 產品 及 保 護 剖 其 資 繪審驗作業要點」之附件二,如下),作為申請驗證之依據。 項 目 內 容 說 明 評 估 實 驗 室 基 本 資 評估實驗室名稱、主導評估員、評估人員 料 申請者基本資料 產品開發者、申請者 產品 或 保 護 剖 繪 評 評估產品或保護剖繪名稱、版本與日期、評估 估 保證等級 評估標的之說明 評估 作依據之說明 評估 作規劃 評 估 作 之 目 的 、 估 作 之 範 圍 、 估 14 評 評 作 之預計時程、評估 作測試需求說明
審驗作業程序 (3/5) q 正式評估及驗證之前置作業 Ø 驗證機關先行核對申請者檢附之文件, 已齊全者, 召開啟動會 認 應 議 , 通 知 申 請 者 及 評 估 實 驗 室 參 與 說明 , 定 是 否 受 理 該 驗 證 申 並 決 請案。 Ø 如:銀行公會啟動會議紀錄 15
審驗作業程序 (4/5) q 正式評估作業 Ø 驗證機關判定得受理驗證後, 評估實驗室依第三點所定技 由 術規範進行評估,驗證機關得視需要派員督導。 Ø 評估實驗室發現待澄清事項, 向申請者提出觀察報告, 應 並 副 知 驗 證 機 關 , 申 請 者 提 出 說明 ; 有 爭 議 問 題 時 , 估 實 由 遇 評 驗室應向驗證機關提出爭議問題提案處理單( 參考「 通安 請 資 全 產品 及 保 護 剖 繪 審 驗 作 業 要 點 」 附 件 三 ) 檢 附 相 關 觀 察 之 及 報告並由驗證機關處理之。 16
審驗作業程序 (5/5) q 驗證作業 Ø 評估實驗室完成評估後, 應將資通安全產品或保護剖繪之評估結果, 製 作 資 通 安 全 產品 或 保 護 剖 繪 評 估 技 術 報 告 ( 參 考 「 通 安 全 產品 請 資 及保護剖繪審驗作業要點」之附件四、附件五)並提報驗證機關。 Ø 驗證機關依評估實驗室之評估技術報告及相關申請文件初步做成驗 證報告後, 召開結案會議並通知評估實驗室及申請者參與。 證 應 驗 報告經討論無誤, 經驗證機關審議核可後, 驗證機關核發共同 並 由 準 則 審 驗 證 明 ( 參 考 「 通 安 全 產品 及 保 護 剖 繪 審 驗 作 業 要 點 」 請 資 之 附 件 六 、 件 七 ) 該 資 通 安 全 產品 或 保 護 剖 繪 之 驗 證 產品 清 單 應 公 附 。 布於本會網站。 請者未取得共同準則審驗證明前, 得對媒體發 申 不 表任何評估及驗證結果之不當聲明或促銷資訊。 Ø 資通安全產品或保護剖繪之驗證報告, 經驗證機關審議認未合格者, 不予核發共同準則審驗證明, 列舉不符合事項, 書面通知申請 並 以 者 於 三 個 月 內改 善 ; 請 者 得 向 驗 證 機 關 重 新 申 請 複 審 ; 請 複 審 仍 申 申 未合格者,應將結果通知申請者。 17
評估之檢附文件 q 申請資通安全產品評估所需文件 Ø 資通安全產品安全標的 Ø 其他經評估實驗室指定之文件 q 申請保護剖繪評估所需文件 Ø 保護剖繪 Ø 其他經評估實驗室指定之文件 18
驗證之檢附文件 (1/2) q 申 請 資 通 安 全 產品 驗 證 , 填 具 申 請 書 ( 參 考 「 通 應 請 資 安 全 產品 及 保 護 剖 繪 審 驗 作 業 要 點 」 附 件 八 ) 檢 附 之 並 下列文件 Ø 申請者身分證明文件 Ø 資 通 安 全 產品 驗 證 同 意 書 ( 參 考 「 通 安 全 產品 及 保 護 剖 繪 請 資 Ø Ø 審驗作業要點」之附件九) 評估 作計畫 資通安全產品安全標的 其他經驗證機關指定之資料 儲存上述文件電子檔之光碟片一份 19
驗證之檢附文件 (2/2) q 申請保護剖繪驗證, 填具申請書( 參考「 通安全 應 請 資 產品 及 保 護 剖 繪 審 驗 作 業 要 點 」 附 件 十 ) 檢 附 下 列 之 並 文件 Ø 申請者身分證明文件 Ø 保 護 剖 繪 驗 證 同 意 書 ( 參 考 「 通 安 全 產品 及 保 護 剖 繪 審 請 資 Ø Ø 驗作業要點」之附件十一) 評估 作計畫 保護剖繪 其他經驗證機關指定之資料 儲存上述文件電子檔之光碟片一份 20
注意事項 q 資 通 安 全 產品 取 得 共 同 準 則 審 驗 證 明 後 , 名 稱 、 其 型 號、 本或安全功能變更者, 申請者得就變更部分 版 原 重新申請驗證。保護剖繪有相同情形者,亦同。 q 申請者取得共同準則審驗證明後, 發現其檢附資料 經 偽造或虛偽不實者,該證明失其效力。 Ø 共同準則審驗證明失其效力者, 由本會通知原申請者, 應 自 接 獲 通 知 之 日 起 三 個 月 內, 得 就 相 同 名 稱 、 號 、 本 或 安 不 型 版 全功能重新申請驗證。 情形特殊, 經本會核准者, 在此 但 且 不 限。 Ø 前項情形者, 會應將其事由公告於本會全球資訊網, 將 本 並 其產品資料自驗證產品清單中移除。 21
CCRA介紹 22
CCRA q 1998年 美 國 、 國 、 國 與 加 拿 大 等 五 國 提 議 簽 署 資 安 產品 英 德 法 共 同 準 則 驗 證 證 明 書 相 互 承 認 協 議 (Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security, CCRA) q CCRA條 款 於 2000年 定 案 , 內容 共 包 括 了 以 下 二 十 個 項 目 : 定 其 協 的目的、 定的精神、 員資格、 圍、 外、 義、 認條件、 協 會 範 例 定 承 自 願性的定期性評鑑、 版品、 訊的分享、 的參與者、 定的管 出 資 新 協 理、 議、 包商的採用、 定的費用、 訂、 效、 與的自願性 爭 承 協 修 期 參 終止、協定之起始日及協定的效力等。 q CCRA會員身分可以是 Ø 授與證書會員( Certificate Authorizing Participant, CAP) ü 授 與 證 書 會 員 有 權 指 派 運 作 於 其 國 內符 合 CCRA條 款 第 一 條 規 定 之 驗 證 機構出具資訊技術產品及保護剖繪的驗證證明書者。 Ø 接受證書會員( Certificate Consuming Participant, CCP) ü 接 受 證 書 會 員 , 不 具 備 資 訊 技 術 產品 安 全 評 估 的 能 力 , 表 示 接 受 授 與 因 但 證 書 會 員 之 驗 證 機 構 所 出 具 的 資 訊 技 術 產品 及 保 護 剖 繪 的 安 全 評 估 及 驗 證報告。 23
CCRA Members (授與證書會員) Consumers (接受證書會員) Producers India Finland Greece Spain Korea Netherlands Norway Japan Canada France Germany UK USA Australia New Zealand Italy Certificate Certificate Certificate Hungary Czech Evaluation Validation / Certification Accreditation Certificate Sweden CCRA Certificate Market Certificate Market • 24 Countries on CCRA as of 2006 • 12 CAP and 12 CCP Market Certificate Market Israel Market Austria Denmark Turkey Singapore 24
CCRA Members 加入歷程 CAP(授與證書會員國 )*12 1999. 10 澳洲 2000. 5 紐西 芬蘭 蘭 希腊 義大利 西班牙 挪威 荷蘭 1998. 10 加拿大 法國 德國 英國 美國 2006. 3 挪威 荷蘭 2003. 11 日本 2002. 2 瑞典 2000. 10 以色列 2006. 8 2006. 5. 9 西班牙 韓國 2005. 3 新加 坡 2002. 11 奧地利 2003. 9 匈牙 利 土耳 其 2004. 9 捷克 CCP(接受證書會員國 2005. 4 印度 2006. 6. 7 丹麥 25
CAP會員國現有體制分佈圖 NSS KECS UKITSEC NSCIB GECS CCECCS JISEC CCEVS FECS AISEP SECS 26
簡報完畢 敬請指教 27
Скачать презентацию 資安產品驗證作業 報告人 許英明 國家通訊傳播委員會 97年 11月 24日 Contents
502ed44cc9fdd05866051f5f0eaa392f.ppt