专题·CC标准 | CC标准认证助力企业安全能力建设 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 维沃移动通信有限公司贾科徐曼成明江赵尚林蒋辰郑蝶

随着数字化时代的到来，用户的个人隐私保护愈发受到重视。为了更好地保障用户终端设备的安全，维沃移动通信有限公司（以下简称“vivo”）积极推进了一系列安全标准认证工作，其中也包括以 ISO/IEC 15408 为依据的信息安全产品测评认证，即 CC 认证。作为 CC 认证的重要实践者，vivo 在认证过程中注重各项安全要求的落实和执行，确保产品具备高度的安全性和可靠性。同时，vivo 也注重与测评机构的合作，积极参与等同采用 ISO/IEC 15408 的国家标准 GB/T 18336 修订与推广工作，为行业提供更科学、更规范的标准指引。

一、国家标准 GB/T 18336 的修订

（一）GB/T 18336 的修订情况

ISO/IEC 15408 是国际信息技术（IT）产品安全评估标准，即通用准则（Common Criteria，简称“CC 标准”），适用于包括网络设备、应用程序、智能卡、操作系统、数据库和安全模块等各类信息技术产品，目的是建立一个各国都能接受的通用的信息技术产品安全性评估的标准。

我国在长期跟踪 CC 标准发展的基础上，在 CC1.0 成为国际标准后开始制定等同的国家标准，中国信息安全测评中心（以下简称“测评中心”）牵头制定，于 2001 年 3 月正式发布推荐性国家标准 GB/T 18336-2001《信息技术安全技术信息技术安全性评估准则》，后于 2008、2015 年两次组织修订工作，以保持国家标准与国际标准的一致性。

近年来，国际标准化组织启动了 ISO/IEC15408 标准内容的修订工作，标准的内容发生了较大变化。为了跟进国际信息安全标准技术发展和最新动向，保障我国在信息安全测评领域与国际同步的技术水平，同时为开发者、使用者、评估者提供更为全面、科学、规范的标准指引，测评中心牵头启动了国标 GB/T 18336-2015 的修订工作。2022年 2 月，GB/T 18336 的修订推进会在测评中心的组织下召开，期间向与会单位介绍了标准的总体修订情况，vivo 作为与会单位，积极参与了 GB/T 18336 第五部分的修订工作。修订工作分为三个阶段，对修订国标与国际标准间的一致性，修订国标与现行其他国家标准之间的一致性、修订国标五个部分彼此间的一致性等进行严谨校对。同时 vivo 也致力于与行业共同努力，助力我国信息技术产品安全技术标准的发展。在此过程中感受到了修订工作的科学性与严谨性，并对 CC 标准有了更加深刻的理解。目前，该系列国标已进入报批稿阶段，即将发布实施。

（二）GB/T 18336 的关键概念

GB/T 18336 中有六个关键概念：评估对象（TOE）、安全目标（ST）、安全功能要求（SFR）、保护轮廓（PP）、安全保障要求（SAR）和评估保障级（EAL）。评估对象（TOE）指的是作为评估对象的产品；安全目标（ST）是基于安全问题定义，针对 TOE 与实现相关的安全要求的陈述，并详细说明 TOE 的安全功能。保护轮廓（PP）是针对一类评估对象与实现无关的安全需求陈述，包括威胁分析、安全目的和安全要求等。保护轮廓是允许创建一些可重复使用的安全要求的集合。评估保障级（EAL）代表预定义保障级中的一个级别，每个 EAL 对应一组安全保障要求。

GB/T 18336 致力于保护资产免遭未授权的访问、修改，保护其机密性、完整性和可用性，提供了一套通用的安全功能及其保障措施要求，从而使得各个独立的IT产品的评估结果之间具有可比性。该标准可为具有安全功能的 IT 产品的开发、评估以及采购过程提供指导，具有一定的灵活性，可将其评估方法应用于范围广泛的一系列 IT 产品的众多安全属性的评估之中。这些 IT 产品的实现形式可以是硬件、固件或软件。基于 GB/T 18336 的评估过程，可为 IT 产品的安全功能及应用于 IT 产品的保障措施在满足这些要求的情况下建立一个信任级别。评估结果可帮助消费者确定该 IT 产品的实现是否满足其安全要求。

二、国际 MDFPP 测评认证实践探索

目前，CC 评估认证是国际上信息技术产品安全领域中最受认可、要求最严格的顶级权威认证之一。许多行业将通过 CC 标准测评认证作为准入依据，并将部署 CC 认证的软件或硬件作为产品质量安全的保证。为避免重复评估，目前国际互认协定（CCRA）成员国已覆盖欧洲、中东、东南亚地区的 31 个国家，各国在 CCRA 的监管下开展工作，互认评估结果。目前，共有 18 个国家的相关机构拥有自己的评估认证体系并接受互认，13 个国家接受和认可来自上述成员国的认证结果。

2022 年，vivo 启动由瑞典 ATSEC 授权评估实验室开展的 CC 测评认证。测评产品为 vivo X Fold2，依据为国际移动设备相关的保护轮廓 MDFPP（Mobile Device Fundamental Protection Profile），该保护轮廓在 vivo 进行认证期间的最新版本为 3.3，明确了在企业使用场景中对于移动设备的安全要求。除此之外，还增加了针对用户日常频繁使用的蓝牙和 WLAN 功能的两个 PP-Module。

此次 vivo X Fold2 的测评认证流程可概括为三个阶段：评估准备阶段、评估阶段和认证审核阶段，在不同阶段依据 CC 安全认证标准要求的落实情况作出验证。

一是评估准备阶段。vivo 根据安全功能要求点检清单逐一确认当前认证机型安全功能的满足情况，并对每个安全功能进行举证。在此期间 vivo 也会对认证权限配置、测试环境配置、测试工具开发等进行协助输出。瑞典评估实验室最终会根据确认结果，使用测试工具逐项对安全功能进行验证，核实实际功能与 vivo 确认结果是否一致，并根据确认和验证结果输出初版 ST 等相关材料。认证准备阶段为最终认证机型评估奠定了基础。

二是正式评估阶段。该阶段大约需要 3 个月时间，由 vivo 提供 X Fold2 开展最终评估。最终评估时，评估实验室会基于预评估阶段已经确认的安全功能要求重新开展全量测试验证，评估过程较为严谨，每个功能的验证都需要在实验室现场进行，对于部分不能在瑞典实验室完成的测试项，实验室也会安排测试人员到 vivo 现场开展测试并记录测试过程，如测试蓝牙、Wi-Fi、通信频段等，需要在 vivo 屏蔽室开展，由对方技术顾问来 vivo 现场开展测试。评估实验室从手机安全审计、密码支持、用户数据保护、用户鉴别与认证、安全管理、安全功能保护、设备访问、可信信道等 8 个方面对 vivo X Fold2 从硬件、内核、框架到应用整体的安全性和保障能力进行了全面的安全评估。例如实验室会通过测试工具针对远程管控能力对设备逐一进行测试，包括控制锁屏策略、禁止麦克风等功能，以确保在实际使用过程中关键管控功能的有效性。测试过程发现的问题，vivo 需要及时修复，修复结果如果涉及系统层面问题，需要推送修复版本，并举证改动范围只涉及修改问题，如果不能举证，整体安全功能要求的测试验证需要重新开展。本阶段 vivo 协助评估实验室输出了最终版 ST、ASE 评估报告、AGD 评估报告、ALC 评估报告、AVA 评估报告、ATE 评估报告和最终 ETR 报告，这些材料分批提交给瑞典授权评估机构 CSEC 进行审核。

三是认证审核阶段，由瑞典评估实验室 ATSEC 向授权评估机构 CSEC 发起认证审核，从发起审核到获得证书大致需要 2 个月时间，期间如果存在问题可能会适当延期。证书上明确了特定机型和特定系统版本等信息，具有指定性，也就是说一次认证只对目标认证设备的认证当时状态有效。

最终，vivo X Fold2 于 2023 年 5 月 10 日正式获得最新版 CC MDFPP V3.3 的安全认证，成为全球首款获得该认证的折叠屏机型。本次 vivo X Fold2 进行的整机安全认证过程涉及系统和硬件层面功能梳理与验证，识别了流程管控方面的不足，使得vivo对于整机安全管理流程与机制更加完善。

三、企业安全理念的提升

CC 测评认证作为国际安全的优秀实践，在整个过程中可以感受到其流程的完备性和执行过程的严谨性，与 vivo 内部的安全能力建设有较高的耦合度。通过此次测评认证，vivo 在产品研发和安全管理方面得到不同程度的提升。

在战略层面，结合业务实践，vivo 制定了安全隐私工作主攻的 7 大技术方向，以确保安全技术的领先性和可落地性，可概括为 PROTECT 战略，持续为用户产品安全与隐私保驾护航，其中 P 代表隐私、R 代表数据风险、O 代表产品对象安全、T 代表关键安全技术、E 代表安全工程、C 代表合规管理、最后的 T 代表安全攻防。

在工程实施层面，为确保安全工作的稳定高效执行，让安全工作依赖于制度而不是个人，vivo 在内部制定了覆盖产品全生命周期的安全研发流程，并不断借鉴包括 CC 标准在内的业界优秀的安全实践，形成安全能力在流程中落地。首先，在产品需求阶段根据业务场景识别安全需求，并纳入安全质量目标中，作为产品安全验收的依据标准。其次，在开发阶段需要开展威胁建模分析、安全设计、三方引入评估、代码扫描、安全点检等活动，保障在设计和开发过程中充分识别风险并消减风险。随后的验证阶段，需要根据前序的活动交付件输出安全测试方案和测试用例，并最终输出测试报告，当各项安全指标都达标后才允许上线发布。安全是动态的，在产品上市后也需要持续提供安全服务能力，vivo 建立了安全应急响应机制，以快速响应用户在产品使用中的安全问题。

此外，针对手机安全的特点，vivo 于 2022 年自主研发了端侧系统级安全风险检测引擎——千镜可信引擎，并将其能力开放，以期与合作伙伴一起更全面地守护消费者用机安全。千镜可信引擎主要通过在端侧对手机芯片、内核、框架和应用各层级进行综合可信度量，判断手机的整体安全状态；它从“正确的设备”“正确的人”和“正确的数据”三个维度，对消费者和企业客户提供支付安全、隐私保护、应用安全、系统安全和风控增强等场景的可信服务。2023 年 3 月，在国际电信联盟 ITU-T SG17 会议中，以千镜可信引擎核心技术为基础的两项移动智能终端安全国际标准立项提案《移动终端完整性保护的安全指南》（ITU-TX.mt-integrity：security guidelines for mobile terminal integrity protection）和《评估移动终端安全的安全指标 / 特征》（ITU-T X.mt-feature：security features to assess mobile terminal security）获得批准；在 2023 中国国际大数据产业博览会上 vivo 千镜可信引擎作为行业首个端侧系统级综合安全风险检测引擎也获得了“2023 优秀科技成果奖”。

四、结语

CC 标准积极吸纳学术界与产业界的智慧，不断完善更新，提出新的理念和方法，紧跟当前网络安全现状与未来发展趋势。目前，修订后的 GB/T 18336 发布在即，为完善我国网络安全测评标准体系提供了重要支撑，同时也将进一步促进国内信息技术产品与新技术新应用安全性的提升。CC 的多维度安全评测理念与 vivo 的安全隐私方面的理念不谋而合，CC 测评在产品评估和安全管理方面为行业提供借鉴和指引。未来，vivo 将继续秉持着用户至上的理念，不断提升产品的品质和安全性，为用户提供更好的使用体验，并为广大消费者的数字生活保驾护航。

（本文刊登于《中国信息安全》杂志2023年第11期）

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图了解详情