文 | 中国科学院信息工程研究所 刘奇旭 冯云 谭儒 靳泽
国家标准GB/T 18336《信息技术 安全技术 信息技术安全评估准则》(以下简称“GB/T 18336 标准”)等同采用国际安全标准 ISO/IEC 15408,是国家信息技术产品安全测评领域的基础性标准。在当前国家着力推进数字中国建设的大背景下,GB/T 18336 标准为强化信息技术产品安全性、提升产品国际竞争力、推动科研创新发展、维护国家网络安全起到了重要作用。
一、对国家网络空间安全的重要意义
随着全球数字化、信息化进程的不断加快,网络空间已经深入渗透到政治、军事、经济、文化和社会的各个领域,网络空间安全随之成为事关国家安全发展的重要议题。然而,随着网络空间安全事件频发,网络安全漏洞数量连年增加。据中国信息安全测评中心发布的《2022 年度网络安全漏洞态势报告》显示,自 2018 至 2022 年以来,新增网络安全漏洞数量呈现逐年增长态势,2022 年新增漏洞 24,801 个,达到历史新高,较 2021 年相比涨幅 19.28%,增速显著,其中超高危漏洞占比57.12%,超高危漏洞是高级持续性威胁(Advanced Persistent Threat,APT)所利用的重要资源。根据中国信息安全测评中心发布的《全球高级持续性威胁(APT)态势报告》,2022 年全球 APT 攻击数量再创新高,呈现出攻击数量增长、目标区域拓展、目标机构泛化、攻击组织多源等特点。中国是APT 攻击的主要受害国,针对中国的 APT 攻击呈现持续高发状态,网络安全形势严峻。2022 年,西北工业大学遭到美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)的网络攻击,存在安全漏洞的服务器成为攻击者构建攻击链路、实施攻击的重要因素。
由此可见,各类信息技术产品的安全性对于我国防范 APT 攻击、提升我国整体网络安全水平至关重要,这就需要在技术研究、产品设计、系统研发等阶段注重安全性要求,避免各类安全缺陷,并在产品上线服务前确保通过安全性测评,规避安全风险。因此,依据 GB/T 18336 标准在各类信息技术产品的设计和研制过程中进行评估和指导,对于有效提升信息技术产品的安全性具有重要的指导意义和推动作用。
二、对提升产品安全性的重要作用
GB/T 18336 标准将产品安全水平定义为 7 个级别。根据美国通用准则门户网站及国内测评机构公开数据显示,国际上获得 EAL5 级及以上高级别测评认证的产品数量高于国内,究其原因有以下几个方面:一是国内信息技术发展相较于国外起步晚,对产品安全性的重视程度以及开发者的能力水平都还有提升空间,导致产品的安全水平较低,需要全面且可操作的测评标准,据此指导和促进产品的安全性设计研发;二是在欠缺安全性指导的背景下,业界难以找到技术攻关的突破口,缺少通过技术创新提升产品安全性等级的内生动力;三是高级别的安全测评难度大、投入多,国内能开展高保障级测评的机构较少,对产品安全性把关的能力不足。因此,为了提高国内信息技术产品安全性水平,需要充分发挥 GB/T 18336 标准的重要作用。
(一)把关产品安全质量
在网络攻击日益频繁的背景下,各行各业都在寻求加强安全防护,对信息技术产品的安全需求也在不断增长。然而,由于各个行业在业务运营、用户群体等方面存在差异,以及各自独特的安全防护需求,这就使得安全产品测评需要具备普遍性的安全测评能力,进而识别和检测各种常见安全缺陷和漏洞,同时还需具备一定程度的个性化适应能力。在 GB/T 18336 标准第 1 部分“简介和一般模型”中定义了安全测评范式结构,并针对各类产品的业务特点及安全需求,提出了一系列创新性的测评技术。这些技术可以有效地提升各类信息技术产品的安全性和质量,从而进一步筑牢关键信息基础设施的安全防线。
(二)指导规范设计研发
产品设计不合理、代码编写不规范等都会导致信息技术产品的安全缺陷,而攻击者日益变化的攻击手段也给产品的安全性带来了巨大挑战。GB/T18336 标准中所定义的安全功能要求和安全保障要求对信息技术产品可能存在的安全缺陷、安全威胁进行了全面而细致的梳理,并对每一类安全威胁都提出了严谨的安全防护需求,既能提高研发人员的重视程度,也提供了具体的安全性设计指导。因此,在方案设计、产品研发的过程中,可以充分利用和参考 GB/T 18336 标准,规范代码编写,加强安全设计和安全审计,从而规避安全缺陷。
(三)促进创新技术攻关
网络安全威胁对信息技术安全产品产生了日益严重的危害,传统的安全防护手段已不足以应对,信息技术产品的安全等级需要向更高的级别做出技术创新。在 GB/T 18336 标准中定义了不同的安全性测评方法和安全功能要求,能够激励学术界和产业界开展自主创新,参照其中定义的安全要求进行技术能力自查,从而找到潜在的创新点和研究方向,开展针对性的前沿技术创新攻关,与人工智能、云计算等新兴技术相结合,攻克关键技术,提升核心竞争力,推动产品达到更高的安全等级,从而在应对未知网络威胁上具有更强的安全能力。
三、对科研院所工作的指导意义
科研院所是进行产品研发、技术创新、人才培养的重要阵地,GB/T 18336 标准对科研院所的科研创新发展具有重要指导意义。
(一)助力重大工程高标准、高安全性建设
承担国家重大工程是科研院所的重要任务之一,GB/T 18336 标准可以指导、保障重大工程任务实施的多个环节,助力重大工程高标准、高安全性建设。
GB/T 18336 标准可以为重大工程中技术文档的编制提供参考和依据。工程实施方能够引用 18336 标准的概念和方法论,定制具体的技术标准、安全性要求,编制《系统需求说明》《系统详细设计》《验收测试大纲》等技术文档和《程序编码要求》《安全保密要求》等标准文档,赋予工程建设更高的安全性。
GB/T 18336 标准详细地指出了安全测评的规范框架,可以实际指导重大工程的系统平台研制。工程实施方在程序编码、硬件设计等软硬件研制过程中落实身份鉴别、安全审计、隐私保护等安全功能要求,能够促进工程应用和工程产品的安全性提升,或组织制定交换机安全配置、终端安全配置等安全部署策略,提升工程研制软硬件环境的安全性。
GB/T 18336 标准可以对重大工程开展安全性自测评给出具体的指导。在测评对象的选取上,工程实施方能够参考 GB/T 18336 标准的安全功能要求,结合工程系统的具体功能进行选取,保证安全性测评无遗漏。在测评手段和方法的选取上,工程实施方能够参考安全保障要求,设计具体的测评方法并明确安全性合规判据。
(二)推动孵化创新测评原创性方法
GB/T 18336 标准所定义的评测方法不仅能指导执行实际测评工作,同时也能启发研究创新的测评方法与技术。
传统的软件验证技术高度依赖人工,使得整个验证过程繁琐且存在隐患。首先,人工测试难免存在不规范性,容易因人为因素引入安全风险;其次,即使测试人员完全规范化操作,也必须依靠经验进行分析和验证,产生不确定性和风险。为了缓解这些问题,提高软件的安全性和可靠性,可使用形式化软件验证方法。根据 GB/T 18336 标准的第五部分“预定义的安全要求包”,软件的安全性验证需要通过多种技术来实现,包括形式化表示和形式化验证等核心技术。其中,形式化表示主要依赖于逻辑表达式的构建,以明确软件的规格要求,而形式化验证则使用定理证明和可满足性检查等高度数学化的技术,以验证软件是否真正满足既定的规格和要求。
相对于人工测试,应用形式化方法进行软件验证,虽然技术门槛较高、难度较大,但可以获得更准确和可靠的验证结果,同时将人员从重复而复杂的劳动中解放出来,从而实现更高效和更有保障的软件开发流程。这也是 GB/T 18336 标准的第五部分中,将经过形式化设计和测试的软件安全级别定义成最高等级(EAL7)的一个重要原因。
综上所述,依据 GB/T 18336 标准进行形式化软件验证,是一种先进而有效的方案,研究原创性形式化测评方法,有助于严谨地对软件进行验证,同时避免了人工测试可能带来的安全隐患,实现更高水平的软件安全性。
(三)指导科研院所有的放矢地培养人才
人才是信息系统设计、研发和测试的关键因素。因此,产品的安全性很大程度上取决于相关人才自身的安全素养。科研院所不仅承担着国家重大工程和科研任务,同样肩负着学生培养的责任,是重要的人才输出基地。
首先,科研院所在学科建设、学生培养路线规划中与 GB/T 18336 标准相结合。通过统计,近 20 年来国际上与 CC 标准、ISO/IEC 15408、GB/T 18336 相关的论文数量呈现明显的上升趋势,说明针对 GB/T 18336 标准的学科关注度持续提升。科研院所可以围绕标准中的重要安全概念和技术突破方向设立相关的课程或举办专题讲座,让学生了解安全标准、熟知安全性原则、深化安全意识、理解实现不同安全目标的技术路径,在成熟的安全理念指导下探索学术研究方向、寻求技术创新突破。科研院所能够在安全保密的前提下指导学生参与到关键技术研究和重大项目中,将理论与安全实践相结合,从而为国家培养输出逆向分析、安全审计、攻防对抗以及安全测评等多个领域的信息安全专业人才。
其次,科研院所在科研任务执行的过程中不断培养懂标准、用标准的安全人才,全方位提升研发人员的安全素质。在关键技术研究和重大项目开展中,设计人员需要明确一般概念和原则,可以通过安全功能要求和安全保障要求构建系统安全功能及保障要求;开发人员需要明确安全概念,熟悉评估方法和活动的规范框架;维护人员需要具有较高的安全意识,能够及时发现异常,并可以通过安全审计发现和定位异常。
无论在关键技术研究还是在工程项目的参与过程中,都可以在 GB/T 18336 标准的指导下,提前树立参与人员的安全意识,明确系统可能存在的安全风险和自身的安全需求,确定人员的责任和行为,全过程遵守相关安全标准,提升高安全等级产品研发能力,筑牢关键信息基础设施安全防线。
四、总结与思考
GB/T 18336标准的应用实施,对于提高国内信息技术产品的安全性整体水平,规范安全测评流程和方法论,健全网络安全测评的关键环节,筑牢关键信息基础设施安全防线等方面都起到了重要的支撑作用。一是在科研任务执行、工程系统研发的全生命周期中,以 GB/T 18336 等标准为参考,规避安全缺陷,提升产品安全质量;二是持续追踪领域前沿、推动技术创新,努力提升核心竞争力,为使信息技术产品达到更高的安全等级而不断精进;三是在 GB/T 18336 标准的指导下优化人才培养模式,为国家持续培养安全意识高、安全技术卓越的高素质人才,从而为维护国家安全提供更有力的支撑和保障。
(本文刊登于《中国信息安全》杂志2023年第11期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。