专题·CC标准 | 依托国家标准 GB/T 18336 推动产研高质量发展的探索与实践 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 奇安信科技集团股份有限公司王起立蔡欣桐

资质的全面性和级别是衡量产品综合竞争力最为关键的指标之一。国家标准 GB/T 18336《信息安全技术信息技术安全评估准则》已有 20 多年的历史，该标准等同采用国际标准 ISO/IEC 15408《信息安全网络安全和隐私保护信息技术安全评估准则》（以下简称“CC 标准”），是当前国际信息技术产品领域接受度最高、应用最广的安全测评标准。中国信息安全测评中心（以下简称“测评中心”）依据该标准进行产品测试评估，颁发的信息技术产品安全测评证书也是国内较具权威性和含金量的产品资质，获得政府、重要行业领域的广泛认可。

一、测试标准，检验产品的最好“试金石”

奇安信科技集团股份有限公司（以下简称“奇安信”）高度重视网络安全产品竞争力的持续提升，积极将 GB/T 18336 标准 EAL 等级的安全理念渗透到各个产品线，落实质量体系建设。在此基础上，公司积极申请相关国标测评，将标准测试作为产品的“磨刀石”和“试金石”。自 2009 年以来，公司防火墙、入侵检测、网闸、终端安全、数据安全、威胁检测与态势感知等多款主力产品均申请并取得基于 GB/T 18336 标准的信息技术产品安全测评证书资质。

GB/T 18336 标准规定的测评过程助力公司的研发管理、质量体系走向更加规范的轨道，有力提升了产品的安全稳定性和市场竞争力，主要体现在以下三个方面。

首先是系统安全性的全面提升。产品自身的安全性是客户采购产品的关键因素之一。网络安全产品本身也是软、硬件一体的系统，不可避免会存在缺陷或漏洞。GB/T 18336 测试标准对网络安全产品的系统安全性提出了较为严格的要求，例如高危漏洞必须修复，系统必须更新到最新版本。这一要求推动公司将保障产品自身安全性作为首要任务，不断提升产品的安全能力，从而给用户提供更为安全的服务。

其次是稳定性和可靠性方面的提升。GB/T18336 测试标准对设备的可靠性、稳定性、可运输性等提出全面要求。例如在稳定性可靠性的测试中，要求整个过程实现零丢包，设备稳定，并在可管理的状态下运行，这些都为产品的稳定可靠运行发挥了重要的促进作用。

最后是标准化和工程化的提升。GB/T 18336 测试标准对于整个产品从标识唯一性到研发管理的全生命周期可控性等都有明确要求。例如对产品配套的文档体系、初始的需求文档、研发设计文档、测试、bug、版本管理，交付等配套文档，都有体系化的要求。同时，对于产品、文档标识的命名、定义等，也提出了标准化要求。这些措施推动奇安信产品体系更快走向系统化和工程化，显著提升市场竞争力。

二、网关产品的 EAL4+ 测评实践

2022 年，奇安信安全网关产品申请了基于国家标准 GB/T 18336 标准的 EAL4+ 等级测评工作。测评的安全功能包括数据过滤、攻击防护（包括攻击防护和 IPS 功能）、地址转换、系统管理、用户管理、用户身份认证和安全审计七个子系统，这七个子系统就是评估对象（TOE）的逻辑功能范围。EAL4+ 等级测评对 TOE 进行了充分的评估测试，整个评估过程包括证据评估、性能测试、独立性测试、穿透性测试、现场核查、回归测试等阶段。

在 EAL4+ 的评估过程中，公司安全网关团队发现了包括用户管理、数据过滤方面的一些脆弱性问题以及 IPS 漏洞防护等问题。针对这些问题，公司对安全网关设计不合理的逻辑进行了梳理，及时对产品进行了改进。

除了功能测试的问题，产研团队的安全目标文档、功能规范文档、高层设计文档、实现表示文档等也被测评专家指出了一些问题，包括缺少 GB/T 18336 要求的内容，或内容不够详实，或缺少参数，或理解有误导致内容不符合标准要求等。反映出产研团队对 GB/T 18336 标准的理解还不够深入，需要在研发设计过程中将标准要求更加贯彻到位。

此外，在整个测评过程中，团队也愈发意识到安全目标文档、功能规范文档、设计文档、实现表示文档之间层层深入的关系。只有安全目标文档的安全功能要求全面准确，才能保障后面的文档不会遗漏和走偏。功能规范要实现对安全功能要求的追溯，并表述所有安全功能接口，设计文档中行为映射必须能够调用所有安全功能接口，实现表示进一步详细化并用代码语言描述 TSF。这些安全保障要求覆盖了产品需求到产品设计、产品开发的全过程，对提升奇安信产品的质量有非常好的实践意义。

三、全周期覆盖，严控质量推动开发体系改进

奇安信一直严把质量关，关注研发过程质量不松懈。通过安全网关产品 EAL4+ 等级的测评历程，探索出一条推动开发体系改进、质量严格管控的建设路径。

（一）专项小组，持续改进

得益于 EAL4+ 等级测评过程中与测评中心的深刻沟通和培训，公司逐渐意识到围绕开发体系的安全性改进势在必行。为此，质量部门召集了质量、技术、业务等多方专家，以及参与过 EAL4+ 测评的产线负责人共同研讨，结合当前奇安信开发体系与标准要求的差距，从安全开发实际落地关键点工具引入等方面进行了合规性分析，识别后续体系改进的方向，组成多个专项改进小组，在软件开发流程中的各个环节，进行安全合规化改进，增加安全性要求。

（二）阶段实施，持续改进

从需求阶段开始，产研团队完善了需求清单的编写要求，要求从此阶段就进行有效的安全性分析，并引入了威胁建模。在设计阶段，产研团队改进了架构设计模板，推进安全架构设计落地，并要求设计阶段进行攻击面分析。在开发阶段，产研团队通过发布代码安全规范，引入代码安全测试工具，构建安全开发库，整合各管理平台流程以满足安全性要求。在测试阶段，产研团队开发了应用安全测试用例库，引入了软件组件安全测试工具，规范化安全性测试流程。在安装部署阶段，产研团队发布应用安全部署规范，完善安全基础设施管理。

与此同时，质量专项小组全程参与针对开发流程各环节的改进，并在需求评审、技术架构评审、开发验收评审，TR 评审等关键质量活动中加强对改进落地的检查，持续对研发过程数据和产品质量数据进行运营管理，并对在检查和运营过程中发现的问题进行分析总结，根据分析结果开展有针对性地改进活动，促进安全性要求的合理化落地。各专项改进带来的效果显著，后续多款产品都顺利通过了 EAL3 级和 EAL4+ 级测评。

（三）沉淀经验，构建体系

在持续改进和实践积累的过程中，我们也从业内先进的体系中不断吸取经验。最终参考安全开发生命周期（SDLC）、开源软件安全成熟度模型（OpenSAMM）、开发安全运维一体化（DevSecOps）等软件安全开发实践，构建了奇安信的软件安全开发体系，该体系覆盖了安全需求、安全设计、安全开发、安全测试和安全部署运维等各阶段工作（如下图所示）。

图奇安信 SDLC 流程图

其中，SDLC 是一套完整的安全工程方法，其核心理念是将安全考虑集成在软件开发的每一个阶段，以减少软件中漏洞数量并将安全缺陷降低到最低程度。软件保障成熟度模型（SAMM）是一个开放框架，可帮助组织制定和实施针对组织面临的特定风险量身定制的软件安全策略。DevSecOps 是一种集开发、安全和运维于一体的新型软件开发和运营模式，它强调在快速迭代和持续交付的背景下，将安全性融入整个软件开发过程中，实现开发、安全和运维的协同和一体化。

在全新的奇安信软件安全开发体系的指引下，产品研发从业务需求到产品交付实施实现全链路、端到端的安全检查，整个流程确保产品安全防护能力不断提升，为软件植入安全“基因”。

四、落实新标准新要求，迈向质量新阶段

GB/T 18336 标准实施多年来，已经在行业内实现了较全面的覆盖，对于推动全行业产品开发体系改进、质量严格管控、标准化和工程化提升等起到重要作用，受到了网安企业以及广大客户的高度认可。

相比前版标准，新的国家标准 GB/T 18336 不仅聚焦于产品本身，还针对会影响产品安全性、一致性等各类相关因素，相应的测评内容更加全面，从而对产品质量进行了全流程、全维度的保障。

首先，新标准强调了流程的规范性提升。GB/T 18336 新标准立足全链条的过程管理，涵盖了需求、设计、开发、测试、发布、上市、评审等全研发过程，在各个环节都提出了更高的规范性要求。

其次，新标准更强调相关配套的质量把控。产品的安全性不是一个孤立因素，新国标不仅聚焦产品主机，还将光盘、手册、文档体系，以及其他配套的相关产品纳入到强要求之中，对产品安全性给予更加立体全面的保障。

再次，强调了产品开发环境的安全性和质量。新国标对环境的安全性提出了更全面要求，例如 GB/T 18336 标准第 1 部分中，提出“检查 TOE 开发环境的物理安全性”，要求所有研发网络，都需要和办公网络相隔离，在权限管理方面更加严格。

最后是产品构件安全的一致性。例如，GB/T 18336 标准第 3 部分中，安全保障组件中增加了复合产品包（COMP）内容，明确规定了复合产品 TOE 评估所需的一系列安全保障组件包。COMP 的制定，指导并要求了产品的基础部件和依赖部件等需要全方位系统级的考虑，防止产生各部件组合后安全的不一致性问题，导致交付客户产品存在差异而影响使用效果和安全性。

总体来看，GB/T 18336 标准站在了产品研发的全流程、全要素、全链条的更高视角，去落实各项保障措施，由此来推动产品的安全性和一致性迈向更高的水平，对推动整个网络安全行业的产品质量持续提升，具有积极而深远的意义。

（本文刊登于《中国信息安全》杂志2023年第11期）

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图了解详情