功夫:2024-01-31 作者:ca88登陆平台
资质的全面性和级别是衡量产品综合竞争力最为关键的指标之一。。。。。。国度尺度 GB/T 18336《信息安全技术 信息技术安全评估准则》已有 20 多年的汗青,,,,,,该尺度等同选取国际尺度 ISO/IEC 15408《信息安全 网络安全和隐衷保;;;; 信息技术安全评估准则》(以下简称“CC 尺度”),,,,,,是当前国际信息技术产品领域接受度最高、利用最广的安全测评尺度。。。。。。
中国信息安全测评中心(以下简称“测评中心”)凭据该尺度进行产品测试评估,,,,,,宣告的信息技术产品安全测评证书也是国内较具权威性和含金量的产品资质,,,,,,获切当局、沉要行业领域的宽泛认可。。。。。。
ca88登陆平台科技集团股份有限公司(以下简称“ca88登陆平台”)高度器沉网络安全产品竞争力的持续提升,,,,,,积极将 GB/T 18336 尺度 EAL 等级的安全理想渗入到各个产品线,,,,,,落内容量系统建设。。。。。。在此基础上,,,,,,公司积极申请有关国标测评,,,,,,将尺度测试作为产品的“磨刀石”和“试金石”。。。。。。自 2009 年以来,,,,,,公司防火墙、入侵检测、网闸、终端安全、数据安全、威胁检测与态势感知等多款主力产品均申请并获得基于 GB/T 18336 尺度的信息技术产品安全测评证书资质。。。。。。
GB/T 18336 尺度划定的测评过程助力公司的研发治理、质量系统走向越发规范的轨路,,,,,,有力提升了产品的安全不变性和市场竞争力,,,,,,重要体此刻以下三个方面。。。。。。
首先是系统安全性的全面提升。。。。。。产品自身的安全性是客户采购产品的关键成分之一。。。。。。网络安全产品自身也是软、硬件一体的系统,,,,,,不成预防会存在缺点或缝隙。。。。。。GB/T 18336 测试尺度对网络安全产品的系统安全性提出了较为严格的要求,,,,,,例如高危缝隙必须建复,,,,,,系统必须更新到最新版本。。。。。。这一要求推动公司将保险产品自身安全性作为首要工作,,,,,,不休提升产品的安全能力,,,,,,从而给用户提供更为安全的服务。。。。。。
其次是不变性和靠得住性方面的提升。。。。。。GB/T18336 测试尺度对设备的靠得住性、不变性、可运输性等提出全面要求。。。。。。例如在不变性靠得住性的测试中,,,,,,要求整个过程实现零丢包,,,,,,设备不变,,,,,,并在可治理的状态下运行,,,,,,这些都为产品的不变靠得住运行阐扬了沉要的推进作用。。。。。。
最后是尺度化和工程化的提升。。。。。。GB/T 18336 测试尺度对于整个产品从标识唯一性到研发治理的全性命周期可控性等都有明确要求。。。。。。例如对产品配套的文档系统、初始的需要文档、研发设计文档、测试、bug、版本治理,,,,,,交付等配套文档,,,,,,都有系统化的要求。。。。。。同时,,,,,,对于产品、文档标识的定名、界说等,,,,,,也提出了尺度化要求。。。。。。这些措施推动ca88登陆平台产品系统更快走向系统化和工程化,,,,,,显著提升市场竞争力。。。。。。
2022 年,,,,,,ca88登陆平台安全网关产品申请了基于国度尺度 GB/T 18336 尺度的 EAL4+ 等级测评工作。。。。。。测评的安全职能蕴含数据过滤、攻击防护(蕴含攻击防护和 IPS 职能)、地址转换、系统治理、用户治理、用户身份认证和安全审计七个子系统,,,,,,这七个子系统就是评估对象(TOE)的逻辑职能领域。。。。。。EAL4+ 等级测评对 TOE 进行了充分的评估测试,,,,,,整个评估过程蕴含证据评估、机能测试、独立性测试、穿透性测试、现场核查、回归测试等阶段。。。。。。
在 EAL4+ 的评估过程中,,,,,,公司安全网关团队发现了蕴含用户治理、数据过滤方面的一些脆弱性问题以及 IPS 缝隙防护等问题。。。。。。针对这些问题,,,,,,公司对安全网关设计不合理的逻辑进行了梳理,,,,,,实时对产品进行了改进。。。。。。
除了职能测试的问题,,,,,,产研团队的安全指标文档、职能规范文档、高层设计文档、实现暗示文档等也被测评专家指出了一些问题,,,,,,蕴含短缺 GB/T 18336 要求的内容,,,,,,或内容不够详实,,,,,,或短缺参数,,,,,,或理解有误导致内容不切合尺度要求等。。。。。。反映出产研团队对 GB/T 18336 尺度的理解还不够深刻,,,,,,必要在研发设计过程中将尺度要求越发贯彻到位。。。。。。
此表,,,,,,在整个测评过程中,,,,,,团队也愈发意识到安全指标文档、职能规范文档、设计文档、实现暗示文档之间层层深刻的关系。。。。。。只有安全指标文档的安全职能要求全面正确,,,,,,能力保险后面的文档不会遗漏和走偏。。。。。。职能规范要实现对安全职能要求的追忆,,,,,,并表述所有安全职能接口,,,,,,设计文档中行为映射必须可能挪用所有安全职能接口,,,,,,实现暗示进一步具体化并用代码说话描述 TSF。。。。。。这些安全保峻峭求覆盖了产品需要到产品设计、产品开发的全过程,,,,,,对提升ca88登陆平台产品的质量有极度好的实际意思。。。。。。
ca88登陆平台一向严把质量关,,,,,,关注研发过程质量不松弛。。。。。。通过安全网关产品 EAL4+ 等级的测评过程,,,,,,索求出一条推动开发系统改进、质量严格管控的建设蹊径。。。。。。
(一)专项幼组,,,,,,持续改进
得益于 EAL4+ 等级测评过程中与测评中心的深刻沟通和培训,,,,,,公司逐步意识到萦绕开发系统的安全性改进势在必行。。。。。。为此,,,,,,质量部门召集了质量、技术、业务等多方专家,,,,,,以及参加过 EAL4+ 测评的产线掌管人共同钻研,,,,,,结合当前ca88登陆平台开发系统与尺度要求的差距,,,,,,从安全开发现实落地关键点工具引入等方面进行了合规性分析,,,,,,鉴别后续系统改进的方向,,,,,,组成多个专项改进幼组,,,,,,在软件开发流程中的各个环节,,,,,,进行安全合规化改进,,,,,,增长安全性要求。。。。。。
(二)阶段执行,,,,,,持续改进
从需要阶段起头,,,,,,产研团队美满了需要清单的编写要求,,,,,,要求从此阶段就进行有效的安全性分析,,,,,,并引入了威胁建模。。。。。。在设计阶段,,,,,,产研团队改进了架构设计模板,,,,,,推动安全架构设计落地,,,,,,并要求设计阶段进行攻击面分析。。。。。。在开发阶段,,,,,,产研团队通过颁布代码安全规范,,,,,,引入代码安全测试工具,,,,,,构建安全开发库,,,,,,整合各治理平台流程以满足安全性要求。。。。。。在测试阶段,,,,,,产研团队开发了利用安全测试用例库,,,,,,引入了软件组件安全测试工具,,,,,,规范化安全性测试流程。。。。。。在装置部署阶段,,,,,,产研团队颁布利用安全数署规范,,,,,,美满安全基础设施治理。。。。。。
与此同时,,,,,,质量专项幼组全程参加针对开发流程各环节的改进,,,,,,并在需要评审、技术架构评审、开发验收评审,,,,,,TR 评审等关键质量活动中加强对改进落地的查抄,,,,,,持续对研发过程数据和产品质量数据进走运营治理,,,,,,并对在查抄和运营过程中发现的问题进行分析总结,,,,,,凭据分析了局发展有针对性地改进活动,,,,,,推进安全性要求的合理化落地。。。。。。各专项改进带来的成效显著,,,,,,后续多款产品都顺利通过了 EAL3 级和 EAL4+ 级测评。。。。。。
(三)沉淀经验,,,,,,构建系统
在持续改进和实际堆集的过程中,,,,,,我们也从业内先进的系统中不休汲取经验。。。。。。最终参考安全开产性命周期(SDLC)、开源软件安全成熟度模型(OpenSAMM)、开发安全运维一体化(DevSecOps)等软件安全开发实际,,,,,,构建了ca88登陆平台的软件安全开发系统,,,,,,该系统覆盖了安全需要、安全设计、安全开发、安全测试和安全数署运维等各阶段工作(如下图所示)。。。。。。

图 ca88登陆平台 SDLC 流程图
其中,,,,,,SDLC 是一套齐全的安全工程步骤,,,,,,其主题理想是将安全思考集成在软件开发的每一个阶段,,,,,,以削减软件中缝隙数量并将安全缺点降低到最低水平。。。。。。软件保险成熟度模型(SAMM)是一个盛开框架,,,,,,可援手组织造订和执行针对组织面对的特定风险量身定造的软件安全战术。。。。。。DevSecOps 是一种集开发、安全和运维于一体的新型软件开发和运营模式,,,,,,它强调在急剧迭代和持续交付的布景下,,,,,,将安全性融入整个软件开发过程中,,,,,,实现开发、安全和运维的协同和一体化。。。。。。
在全新的ca88登陆平台软件安全开发系统的指引下,,,,,,产品研发从业务需要到产品交付执行实现全链路、端到端的安全查抄,,,,,,整个流程确保产品安全防护能力不休提升,,,,,,为软件植入安全“基因”。。。。。。
GB/T 18336 尺度执行多年来,,,,,,已经在行业内实现了较全面的覆盖,,,,,,对于推动全行业产品开发系统改进、质量严格管控、尺度化和工程化提升等起到沉要作用,,,,,,受到了网安企业以及宽大客户的高度认可。。。。。。
相比前版尺度,,,,,,新的国度尺度 GB/T 18336 不仅聚焦于产品自身,,,,,,还针对会影响产品安全性、一致性等各类有关成分,,,,,,相应的测评内容越发全面,,,,,,从而对产品质量进行了全流程、全维度的保险。。。。。。
首先,,,,,,新尺度强调了流程的规范性提升。。。。。。GB/T 18336 新尺度安身全链条的过程治理,,,,,,涵盖了需要、设计、开发、测试、颁布、上视注评审等全研发过程,,,,,,在各个环节都提出了更高的规范性要求。。。。。。
其次,,,,,,新尺度更强调有关配套的质量把控。。。。。。产品的安全性不是一个孤立成分,,,,,,新国标不仅聚焦产品主机,,,,,,还将光盘、手册、文档系统,,,,,,以及其他配套的有关产品纳入到强要求之中,,,,,,对产品安全性赐与越发立体全面的保险。。。。。。
再次,,,,,,强调了产品开发环境的安全性和质量。。。。。。新国标对环境的安全性提出了更全面要求,,,,,,例如 GB/T 18336 尺度第 1 部门中,,,,,,提出“查抄 TOE 开发环境的物理安全性”,,,,,,要求所有研发网络,,,,,,都必要和办公网络相隔离,,,,,,在权限治理方面越发严格。。。。。。
最后是产品构件安全的一致性。。。。。。例如,,,,,,GB/T 18336 尺度第 3 部门中,,,,,,安全保险组件中增长了复合产品包(COMP)内容,,,,,,明确划定了复合产品 TOE 评估所需的一系列安全保险组件包。。。。。。COMP 的造订,,,,,,领导并要求了产品的基础部件和依赖部件等必要全方位系统级的思考,,,,,,预防产生各部件组合后安全的不一致性问题,,,,,,导致交付客户产品存在差距而影响使用成效和安全性。。。。。。
总体来看,,,,,,GB/T 18336 尺度站在了产品研发的全流程、全身分、全链条的更高视角,,,,,,去落实各项保险措施,,,,,,由此来推动产品的安全性和一致性迈向更高的水平,,,,,,对推动整个网络安全行业的产品质量持续提升,,,,,,拥有积极而深远的意思。。。。。。
本文登载于《中国信息安全》杂志2023年第11期
文 | ca88登陆平台科技集团股份有限公司 王起立 蔡欣桐
旗下网站
关于ca88登陆平台
95015服务热线
微信公家号
立即拨打