每年一届的国际通用评估准则会议(ICCC: International Common Criteria Conference)如期于2008年9月底举行,ICCC是IT安全评估和认证领域最为大型且具有技术权威性的国际会议,为各领域的安全从业和研究人员提供IT安全论坛,并分享他们的经验和知识。参会人员包括各国信息安全认证的政府职能机构、评估机构、咨询机构、厂商,以及科学研究机构等。2008年的第九届ICCC在韩国美丽的济州岛(Jeju)举行,由韩国认证机构IT Security Certification Center主办。韩国从2006年5月便作为证书颁发国家之一,积极的加入了国际CC互认协定(CCRA: Arrangement of the Recognition of Common Criteria Certificates)的成员国家。
下面是笔者参加本届CC大会的一些个人感受。
1、 持续改进和关注
如果说上届罗马的CC会议,参会专家还是在针对通用评估准则(CC:Common Criteria)最新的3.1版本作初步的讨论,那么本届CC会议便全面展开了针对3.1版本进行评估和产品安全设计的实践和经验,专题讲演达到8篇,也是本届会议论文讲演最多的类别之一。笔者印象深刻的是,来自荷兰的Brightsight实验室的专家分享了他们在使用新版本进行生命周期支持(ALC)评估的经验,他指出新版本中ALC安全保障类更加明确,且使得评估更加简化;他也介绍了成功的重用ISO9000/9001文档证据进行ALC安全保障;Brightsight还分享了使用新版本完成智能卡IC的评估经验。此外,来自美国SAIC的专家讲解了如何使用CCv3.1执行脆弱性分析(Vulnerability Analysis)和渗透测试(Penetration test);来自德国CC认证机构BSI(德国联邦信息安全办公室)的Christian Krause提出了CC 3.1评估报告的指导。总体来说,国际安全业界已经全面在使用CC 3.1版本开展评估,且完成了诸多认证,达到了正面的效果。
与此同时,CC标准开发组CCDB(CC Development Board)紧锣密鼓地进行下一个版本CC标准的开发和研究工作,以及相关的开发和评估工具的技术讨论。本届CC会议共收集了7篇CCDB的工作进展汇报。CCDB汇报了2008年4月在伦敦召开分组议题会议的情况,包括针对基于证据的方法(Evidence-based Approach)、预先保障(Predictive Assurance)、编写更有意义的认证/验证报告(Writing a more meaningful certification/validation report)的各工作组工作;伦敦会议之后各工作组代表采用了Wiki等方式远程紧密协同工作,并希望在明确一定目标之后将此方式推广至更广泛的CC专家以便反馈意见和建议;按照CCDB工作组的汇报,CC v4版本预计2010年完成并发布使用。
尽管离步入CC v4时代还有几年,很多参会专家,如来自美国SAIC和英国SiVenure的讲演,在本届会议上已经对CC v4提出了自己的建议方法和改进意见。CC发展的未来方向相关的论文讲演也高达8篇之多,在CC标准发展方面可谓是众人拾柴火焰高。而来自atsec美国的Yi Mao从资产、威胁、风险、措施等角度分析了CC评估的实质目标,大胆地提出了当前标准在评估安全目标(ST:Security Target)的缺陷,并提出了具有建设性的解决方案:为ST导入保障措施,给出了对安全保障类ASE(安全目标评估:Security Target Evaluation)的调整提议。Yi Mao的讲演引起了很多参会专家的共鸣和深入讨论,当然更为细致完整的解决方案还需要各方的进一步努力。作为atsec首席科学家,也是CC标准的重要贡献者Helmut Kurth在很多的话题和讨论中提出了自己独到的建议和看法,他和微软公司(Microsoft)的Michael Grimm合作专题讲演的最后,对CC中安全开发过程提出了改进建议;另外,他和德国BSI的Susanne Pingel的合作讲演,提出了在CC结果中集成结构化要求的思路。
图:Michael Grimm(微软)和 Helmut kurth(atsec)
在会议的首日下午,来自CCRA互认协定成员国家日本、西班牙、意大利、新加坡、马来西亚、土耳其等国家的认证机构代表汇报了各国体系的最新进展。而总体来看技术类讲演,美国、英国和德国发表文章个数名列前茅,美国共发表了19篇论文讲演(1篇来自认证机构、4篇来自咨询公司、8篇来自评估机构、6篇来自厂商),德国共发表了11篇专题论文讲演(3篇来自认证机构、7篇来自评估机构、1篇来自厂商)。来自中国的官方机构对当前CC在中国的情况进行了介绍和分享,笔者将在本文最后一个章节阐述。
会议最后公布了下届ICCC会议的举办国家 - 挪威。
2、 CC成为信息安全核心,且更面向应用层面
上述简要的说明了CC标准发展和各国体系的情况,而对于CC的实践层面,和往届会议一样,CC对于产品最终用户(End-User)的价值和影响注定备受关注。除此之外笔者最深的感触是CC已经成为了信息安全的核心要求,在很多领域趋于成熟(如智能卡、操作系统、边界防护和网络设备等),且更加面向应用层面。
在技术发展迅速的智能卡领域,CC无疑增强了智能卡产品的安全性和市场影响力,韩国三星(Samsung)公司指出随着执行CC评估,三星开发了很多具有创新且高级别的安全特性,产品安全级别不断提高;由于三星获得了很多的CC证书,在智能卡方面获得了更多的客户信任;三星的智能卡业务也通过引入CC理念获得了质的提高。此外,会议共有5篇对于智能卡和生物产品CC技术的专题讲演。
在操作系统评估领域,atsec无疑是领导者。继IBM和HP各系列大型主机上Linux操作系统评估项目的成功经验之后,atsec正在致力于微软Windows操作系统的评估工作。
在已经成熟的产品领域评估的基础上,随着CC新版本标准的发展和提高,CC面向的领域越来越广泛,且不断向高层的应用层面发展,比如在手机安全、企业管理平台、投票系统等领域。
3、 关注整合
上届罗马的CC会议,Fiona Pattinson(atsec)提出了CC和面向信息安全管理体系(ISMS)的标准ISO/IEC 2700x系列以及面向密码模块实现的FIPS 140-2标准的统一符合性建设思路。而本届CC会议,各个标准整合的建设实践更加深入和具体。
Juniper介绍了其产品致力于Common Criteria和FIPS有效认证的路线图。Juniper的JUNOS在2003年首获FIPS第二级认证,至今共完成了14个认证,10个评估正在进行.
而JUNOS的第一个CC EAL2级别的认证是在2004年完成的,至今共获得9个CC认证,4个CC评估正在进行。其认证的产品线包括防火墙、路由器、安全访问、入侵检测等。Juniper分享了其在认证上曾经的挑战和问题,并从市场角度出发,构建了自己的认证策略。在Juniper的建议中,笔者对以下两点印象深刻,通过接触一些中国的厂商之后也有同感:1,从市场角度至少提前3-5年进行认证计划;2,将评估和认证流程引入到产品开发计划周期中。
来自德国TUViT的专家分享了CC和CMMI在开发层面的整合和集成的方法。经过分析CC和CMMI在保障族、保障类、保障组件、EAL、扩展等方面都有类似点。经验认为,集成CC和CMMI-DEV是可行的,如EAL4可能要求CMMI成熟度3级别的一些要求。
来自IBM美国的William Penny的讲演话题直接地关注于如何管理诸多的、不断出现的标准,如Common Criteria、ISO/IEC 27001、CMVP(FIPS 140-2)、PCI、FISMA、HIPAA等。
4、 探讨与合作
在上届的CC会议,atsec的Gerald Krummeck和IBM的Penny共同讲演,探讨了如何开展复杂大型产品的评估,分别从评估人员和产品开发人员的角度提出了各自的看法,在会议上取得了很好的效果。
今年的CC会议上这样的合作明显增多,如atsec首席科学家Helmut Kurth分别和BSI、微软的合作讲演,atsec的David Ochel和美国BlueSpace公司Brian Vetter的合作论文,美国Sun和CGI公司对于智能卡的合作探讨,德国TUViT和BSI对于评估保障级别的议题的合作,等等。越来越多的合作说明业界各个角色都共同致力于标准和技术的发展。而在很多的议题讲演完成之后,也引起了听众的激烈讨论,有正面的意见也有不同的声音,积极地探讨有助于标准和技术的良性发展。
5、 “CC在中国”
来自中国国家认证认可监督管理委员会(CNCA)的刘卓慧在本届CC会议上介绍了CC在中国的情况,包括CC的进展、标准引入情况、CC实践、CC在中国的未来发展等话题。中国目前尚没有成为国际CC互认CCRA成员国家,该讲演还是吸引了来自各国的专家和业界同仁的关注。很多参会代表也提出了所关心的问题,如中国是否使用已有的PP开展评估工作;中国计划何时加入CCRA等。
此外本届韩国召开的CC会议也吸引了来自中国的评估机构和研究机构的诸多专家参加。atsec中国的员工也前来安排和管理自己的展位,并与参观代表进行洽谈。atsec的中国员工Yi Mao(基于美国工作)再次在CC会议上发表了论文讲演,得到了各方的好评。
图:atsec团队参加9ICCC
笔者希望在今后国际信息安全核心领域 – Common Criteria这个舞台上能够听到更多的来自中国的声音,看到更多中国的参与,展现给世界更多中国在信息安全领域先进的经验。
【发表评论0条】
