資通安全產品及保護剖繪 審驗作業要點簡介 報告人:許英明 國家通訊傳播委員會 99年 12月 27日
Contents q 前言 q 資通安全產品及保護剖繪評估作要點 q CCRA介紹 q 結語 1
前言 資安產品A ? ? ? 資安產品B 資安產品C 資安產品D 資安產品E 資安產品琳瑯滿目、消費者如何選購? ? ?? ? ?? ???? ?? 消費者? ? 消費者的疑惑? 1. 價格合理 、2. 安全可靠 、3. 功能可用 2
什麼是資通安全產品? 資訊產品 資安產品 定義 1. information product 2. 產品:手機、 LCD 3. 資 訊 產品 乃 基 於 電 子 式 並 結 合運算、 信及通訊等技術, 電 作 為聲音、 像、 片、 字、 影 圖 文 訊 號等資訊, 供取得、 理、 提 處 儲 存及傳播之用途。 1. inforamation security product 2. 產品: (如前述 13種 ) 3. 資 安 產品 乃 保 護 資 訊 及 資 訊 系 統 ,避 免 未 授 權 之 存 取 、使 用 、 洩露、 壞、 改、 破 修 閱讀 、 查 、 審 記錄或銷毀。 4. 指 具 備 資 通 技 術 安 全 防 護 措 施 或功能之硬體、 體、 體或三 韌 軟 者之任一組合。 同 都是做為資訊處理之目的 異 於 資 訊 處 理 過 程 中 ,若 無 任 何 於 資 訊 處 理 過 程 中 , 提 供 資 訊 若 資 訊 保 護 之 功 能 ,視 為 資 訊 產 保護之功能,視為資安產品 品 3 備註 普通硬碟視為資訊產品 提供加密功能之硬碟視為資安
資通安全產品類別 1 存取控制裝置與系統 Access Control Devices and Systems 2 生物辨識系統與裝置 Biometric Systems and Devices 3 界限保護裝置與系統 Boundary Protection Devices and Systems 4 資料保護 Data Protection 5 資料庫 Databases 6 偵測裝置與系統 Detection Devices and Systems 7 積 體 電 路 、 慧 卡 及 智 慧 Integrated Circuits, Smart Cards and Smart 智 Card related Devices and Systems 卡相關裝置與系統 8 金鑰管理系統 Key Management Systems 9 網 路 及 網 路 相 關 裝 置 與 系 Network and Network related Devices and Systems 統 10 作業系統 Operating Systems 11 其他裝置與系統 Other Devices and Systems 12 數位簽章產品 Products for Digital 13 可信賴計算 Trusted Computing 4
資通安全產品類別 -1 類 別 1 資安產品 名稱(英) 存 取 控 Access 制 裝 置 Control 與系統 Devices and Systems 廠牌產品 1. IBM Access Manager for Operation System 2. Citrix Xen. Deskt op 3. CA Identity Manager 用於何處 功能說明 用 於 透過此類 管 控 產 品 ,公 存 取 司可依不 公司內 同 部 門 、 部 資 職位給與 源 (如 不 同 權 限 員 來存取公 存 取 司 內部 資 文件 )。 源。 5
資通安全產品類別 -2 類 資安產品 名稱(英) 別 2 生 辨 系 與 置 物 識 統 裝 Biometric Systems and Devices 廠牌產品 1. Authentest Server v 1. 2. 6 2. Palm. Secure SDK Version 24 Premium 用於何處 功能說明 用於門 於門禁管 禁或登 制或登入 入系統 系 統 時 , 依生物特 徵做為合 法進入之 依據。 6
資通安全產品類別 -3 類 別 資安產品 名稱(英) 3 界 保 裝 與 統 Boundary Protection Devices and Systems 限 護 置 系 廠牌產品 用於何處 功能說明 Mc. Afee Network Security Platform Release 5. 1 2. Cisco Firewall Services Module(FWSM) Version 3. 1. (3. 17) for: Cisco Catalyst 6500 Switches and Cisco 7600 Series routers 做為保 護 內部 網路之 第一道 防線 。 此 類 產品 多為常見 之防火牆, 依事先設 定之防火 牆規則, 決定連線 之放行或 禁止。 1. 7
資通安全產品類別 -4 類 別 資安產品 名稱(英) 廠牌產品 4 資 料 保護 Data 1. PGP Desktop: Protection Enterprise Whole Disk Encryption Only Edition, Version 9. 10. 0 2. RSA® Data Loss Prevention Suite v 6. 5 用於 何處 用 於 保 護 資 料 不 外 洩 。 功能說明 此 類 產品 可 用來加密欲 保護之資料, 或者可將資 料做分級, 依 不同等級給 與不同使用 目 的 (如 是 否 允許列印或 8 是否允許傳
資通安全產品類別 -5 類 資安 別 產品 5 資 料 庫 名稱(英) 廠牌產品 Databases 1. Oracle Database 11 g Enterprise Edition with Oracle Database Vault Release 11. 1. 0. 7 with Critical Patch Updates up to and including July 2009 2. IBM DB 2 Version 9. 7 Enterprise Server Edition for Linux, Unix, and Windows 用於 何處 資 料 倉 儲 功能說明 此 類 產品 多為常見 之資料庫, 做為公司 資料倉儲 管理之用 途。 9
資通安全產品類別 -6 類 資安 名稱(英) 別 產品 6 偵 測 裝 置 與 系 統 廠牌產品 Detection 1. Enterasys Dragon Devices Intrusion Defense and System Version Systems 7. 2. 3 Running on Dragon Appliances 2. Symantec ™ Endpoint Protection Version 11. 0 3. Cisco Intrusion Prevention System (IPS) v 6. 0 Cisco 4200 Series Sensors 用於何處 功能說明 用 於 偵 此 類 產品 測是否 多 為 常 見 有惡意 之 入 侵 偵 之連線 測 系 統 , 或封包、 做 為 偵 測 封包內 連線是否 容是否 含 有 惡 意 含有惡 行 為 之 用 意程式。 途。 10
資通安全產品類別 -7 類 資安產品 名稱(英) 別 7 積 體 Integrated Circuits, 電 路 、 Smart 智 慧 Cards and 卡 及 Smart Card 智 慧 related 卡 相 Devices and 關 裝 Systems 置 與 系統 廠牌產品 1. Infineon Smart Card IC智 慧 卡 IC 2. NXP Secure PKI Smart Card Controllers 3. Samsung S 3 CC 9 LC 16 bit RISC 用於何處 功能說明 智慧卡 主 要 用 途 可用於 可 做 為 身 交通票 份 辨 識 、 證 、金 儲值等。 融卡、 健保卡、 儲值卡 等等。 11
資通安全產品類別 -8 類 資安產品 名稱(英) 別 8 金 鑰 管 理 系統 Key Managem ent Systems 廠牌產品 1. RSA CA system PKI 2. IBM Tivoli Directory Server Version 6. 2 3. Public Key Infrastructure Framework Version 2. 1 用於何處 功能說明 用 於 管 此 類 產品 理金鑰 多 為 公 開 金鑰基礎 建設相關 元 件 ,如 CA、 RA 等等。 12
資通安全產品類別 -9 類 資安產品 名稱(英) 別 9 網 路 及 網 路 相 關 裝 置 與 系統 Network and Network related Devices and Systems 廠牌產品 1. Cisco Aironet無 線基地台 2. Compucat Secure Optical Switch 3. Microsoft® System Center Mobile Device Manager 2008 2. 交換器設備 3. UTM設備 用於何處 功能說明 用 於 網 此 類 產品 路相關 用 於 網 路 裝置 系統裡的 相關裝置。 13
資通安全產品類別 -10 類 資安產品 名稱(英) 別 10 作 業 系統 Operating Systems 廠牌產品 1. Windows Server 2003作 業系統 2. VMware® ESX 4. 0 Update 1 and v. Center Server 4. 0 Update 1 3. Apple Mac OS X 10. 6 用於何處 功能說明 做 為 電 此 類 產品 腦登入 多 為 常 見 之環境。之 作 業 系 統。 14
資通安全產品類別 -11 類 資安產品 名稱(英) 別 11 其 他 裝 置 與 系 統 Other Devices and Systems 廠牌產品 1. 1. Trend Virus. Wall防 毒 軟體 2. Fuji Xerox Docu. Centre-IV C 2260 Series Controller Software for Asia Pacific Version 3. Black. Berry® Device Software 5. 0. 0 用於何處 功能說明 無法分 不 符 合 其 類 之 產 它 12類 之 品。 產 品 ,皆 列為此類 別。 15
資通安全產品類別 -12 類 資安產品 名稱(英) 別 12 數 位 簽 章 產品 Products for Digital Signature s 廠牌產品 用於何處 功能說明 1. FAST Signature application, version 1 2. S-TRUST Sign-it Basiskomponente n 2. 1, v 2. 1. 7. 1 3. OPENLi. Mi. T Sign. Cubes Basiskomponente n 2. 1, Version 2. 1. 1. 1 with OPENLi. Mi. T PDF Plugin Version 2. 0. 1. 1 for Adobe 用 於 簽 署 電 子 文件。 此類產 品可提 供 產生 電子簽 章 、驗 證電子 簽章之 用途。 16
資通安全產品類別 -13 類 資安產品 名稱(英) 別 13 可 信 賴 計 算 Trusted Computin g 廠牌產品 用於何處 1. SLB 9635 TT 1. 2 / m 1566 a 13 HW a 13 / FW 03. 17. 0008. 00 保 護 系 統 設 定 不 被 更改。 功能說明 此類產 品於開 機時會 驗證系 統設定, 確保沒 有被惡 意修改。 17
資通安全產品及保護剖繪審驗作業要點 保護剖繪 (PP , Protection Profile) 指 為 滿 足 資 通 安 全 產品 評 估 標 的 製 作 之安全基本需求文件。 18
資通安全產品及保護剖繪審驗作業要點 我國資安產品 驗證體系 驗證機關 NCC 4. 驗證報告 2. 評估指導與建 議 4. 驗證報告 驗證機關 (Certification Body, CB) 指執行審驗之機關。 5. 核發審驗證 明 3. 評估技術報告 審 驗 證 明 1. 產品評估申請書 評估實驗室 TTC 3. 評估互動 送檢廠商 申請者 評估實驗室(Evaluation Laboratory, EL) 指對資通安全產品或保護剖繪具有評估資格及能力之實驗室。 19
資通安全產品審驗作業流程 申請者 NCC 驗證機關 電信技術中心 (評估實驗室) NCC 驗證機關 檢附評估申請相關文件,提出評估 申請 驗證申請收件;確認文件齊全 召開啟動會議 ;並判定受理驗證 進行評估作業 ;並完成評估技術報告 召開結案會議;審議是否合格 ? 核發共同準則審驗證明 20
資通安全產品及保護剖繪審驗作業要點 申請者-驗證文件 1. 申請書 2. 申請者身分證明文件 3. 資通安全產品驗證同意書 4. 評估 作計畫 5. 資通安全產品安全標的 6. 其他經驗證機關指定之資料 7. 儲存第一款至第五款文件電子檔之光碟片一份 21
共同準則審驗證明 產品名稱:防火牆 產品類型: 界限保護裝置與系統 產品版本:V 3. 1 保護剖繪:PP 001 評估保證等級:EAL 4+ 申請者名稱:台科公司 評估實驗室名稱:電信技術中心 驗證報告編號:NCC 9901 審驗日期: 99年 12 月27 日 國家通 訊傳播 委員會 載於本證明之資通安全產品,業經本會認可之評估實驗室 採用資訊技術安全評估共同準則(第 3. 1版)及資訊技術安 全評估共同方法論(第 3. 1版)執行評估。經評估實驗室及 本會評估及驗證結果符合本會資通安全驗證相關規定,並 非對其安全性之背書及保證。本證明僅表示被驗證產品及 其版本符合其宣稱之保證等級。 國家通訊傳播委員會主任委員 蘇 蘅 22
資通安全產品及保護剖繪審驗作業要點 EAL 7 評估保證等級 EAL 6 EAL 5 EAL 4 EAL 3 EAL 2 系統 化設 計、測 試和 審查 半正 結構 系統 半正 規化 功能 性測 化測 規化 查證 試和 測試 試 設計 設計 檢查 和測 和測 評估保證等級(Evaluation Assurance Level, EAL) 試 試 指依共同準則及共同方法論評估及驗證資通安全產品 EAL 1 或保護剖繪,獲得之安全保證等級。 正規 化查 證設 計和 測試 23
Evaluation Assurance Level Summary 資 通安全產品及保護剖繪審驗作業要 Assurance Class Configuration Management Delivery and Operation Development Guidance Documents Life Cycle Support Tests Vulnerability Assessment Assurance Family ACM_AUT ACM_CAP ACM_SCP ADO_DEL ADO_IGS ADV_FSP ADV_HLD ADV_IMP ADV_INT ADV_LLD ADV_RCR ADV_SPM AGD_ADM AGD_USR ALC_DVS ALC_FLR ALC_LCD ALC_TAT ATE_COV ATE_DPT ATE_FUN ATE_IND AVA_CCA AVA_MSU AVA_SOF AVA_VLA 點 Assurance Components by Evaluation Assurance Level EAL 1 EAL 4 EAL 5 EAL 6 EAL 7 1 1 2 2 3 4 4 5 5 1 2 3 3 3 1 1 2 2 2 3 1 1 1 1 1 2 3 3 4 1 2 2 3 4 5 1 2 3 3 1 2 3 1 1 2 2 3 1 3 3 3 1 1 EAL 2 2 1 EAL 3 1 1 1 1 1 2 2 3 1 2 3 3 2 2 2 3 3 1 1 2 2 2 2 3 1 2 2 1 1 1 2 2 3 3 1 1 1 1 2 3 4 4 24
資通安全產品及保護剖繪審驗作業要點 評 估 保 證 等 級 評估所需時間預估 EAL 4 12~16個月 EAL 3 8~10個月 EAL 2 4~6個月 EAL 1 2~3個月 可行性評估 3~5天 25
共同準則審驗證明 產品名稱:防火牆 產品類型: 界限保護裝置與系統 產品版本:V 3. 1 保護剖繪:PP 001 評估保證等級:EAL 4+ 申請者名稱:台科公司 評估實驗室名稱:電信技術中心 驗證報告編號:NCC 9901 審驗日期: 99年 12 月27 日 國家通 訊傳播 委員會 載於本證明之資通安全產品,業經本會認可之評估實驗室 採用資訊技術安全評估共同準則(第 3. 1版)及資訊技術安 全評估共同方法論(第 3. 1版)執行評估。經評估實驗室及 本會評估及驗證結果符合本會資通安全驗證相關規定,並 非對其安全性之背書及保證。本證明僅表示被驗證產品及 其版本符合其宣稱之保證等級。 國家通訊傳播委員會主任委員 蘇 蘅 26
資通安全產品及保護剖繪審驗作業要點用詞定義 (1/4) q 評估技術報告 (Evaluation Technical Report, ETR) Ø 指 評 估 實 驗 室 為 評 估 資 通 安 全 產品 或 保 護 剖 繪 撰 寫之技術報告,提供驗證機關作為驗證報告之依據。 q 審驗 (Certification) Ø 指 對 資 通 安 全 產品 或 保 護 剖 繪 以 符 合 特 定 安 全 需 求,由驗證機關出具書面證明之程序。 q 驗證報告(Certification Report, CR) Ø 指驗證機關依評估實驗室提供之評估技術報告, 確 認其遵循共同準則、 同方法論及評估程序撰寫之 共 報告。 27
資通安全產品及保護剖繪審驗作業要點 用詞定義 (2/4) q 資 訊 技 術 安 全 評 估 共 同 準 則 (Common Criteria for Information Technology Security Evaluation, CC) Ø 指 資 通 安 全 產品 及 保 護 剖 繪 之 安 全 功 能 及 安 全 保 證 之 國 際 共 同規範,即國際標準組織之 ISO/IEC 15408規範。 q 資 訊 技 術 安 全 評 估 共 同 方 法 論 (Common Methodology for Information Technology Security Evaluation, CEM) Ø 指 依 共 同 準 則 評 估 及 驗 證 資 通 安 全 產品 及 保 護 剖 繪 之 安 全 功 能及安全保證等級時, 遵循之方法及程序, 國際標準組 應 即 織之 ISO/IEC 18405規範。 28
資通安全產品及保護剖繪審驗作業要點 評估及驗證規範 q 共同準則 (CC ; Common Criteria ; ISO/IEC 15408 V 3. 1) q 共同方法論 (CEM ; Common Methodology Evaluation) q 其他由本會訂定公告之技術規範 Ø 中華民國國家標準( Chinese National Standards, CNS- CNS 15408) Ø 國際標準組織所訂標準 Ø 區域標準組織所訂標準 29
CCRA介紹 1998年 美 國 、 國 、 國 與 加 拿 大 等 五 國 提 議 簽 署 英 德 法 資 安 產品 共 同 準 則 驗 證 證 明 書 相 互 承 認 協 議 (Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security, CCRA) q CCRA條 款 於 2000年 定 案 , 內容 共 包 括 了 以 下 二 十 個 其 項目: 協定的目的、 協定的精神、 會員資格、 範圍、 例外、 定義、 認條件、 願性的定期性評鑑、 版品、 訊 承 自 出 資 的分享、 的參與者、 定的管理、 議、 包商的採 新 協 爭 承 用、 定的費用、 訂、 效、 與的自願性終止、 定 協 修 期 參 協 之起始日及協定的效力等。 30
CCRA介紹 CCRA會員身分: 接受證書會員 (CCP, Certificate Consuming Participant 接受證書會員,因不具備資訊技術產品安全評估的能力, 但表示接受授與證書會員之驗證機構所出具的資訊技術產 品及保護剖繪的安全評估及驗證報告。 授與證書會員 (CAP, Certificate Authorizing Participant 授與證書會員有權指派運作於其國內符合 CCRA條款第 一條規定之驗證機構出具資訊技術產品及保護剖繪的驗 證證明書者。 31
CCRA介紹 Malaysia Czech Turkey Austria CAP(13) Hungary Certificate Denmark Canada Japan France Germany UK Norway Netherlands Korea India USA Australia New Zealand Italy Singapore CCP(12) Spain Sweden Israel Greece Finland Pakistan 授與證書會員國 (CAP):具備核發CC證書之權限。 接受證書會員國 (CCP):僅能接受CAP會員國所核發之證書。 現有共同準則國際組織會員國 32
CCRA介紹 NSS 挪威 UKITSEC KECS NSCIB荷蘭 GECS 德國 CCECCS CCEVS 義大利 SECS 西班 牙 FECS 法國 JISEC AISEP CAP會員國現有體制分佈圖 33
結語 選購一 件經過嚴謹 評估 及 審驗 程序 而領有 審驗證明 的資安產品是消費者的福氣 讓您買得 放心 、用得安心 、資安不要您 操心 參考法規:資通安全產品及保護剖繪審驗作業要點 34
簡報完畢 敬請指教 35
Скачать презентацию 資通安全產品及保護剖繪 審驗作業要點簡介 報告人 許英明 國家通訊傳播委員會 99年 12月 27日
0a6491e791a6f2f997db2e0c0565c8a4.ppt