|
政策推動 Common Criteria,2009 年政府 IT 採購率先採用
為了提升臺灣資安自主的能量,依據行政院資通安全會報的規範,政府機構要依照機敏程度分成 3 級單位,並分階段實施資訊安全管理系統(ISMS),除此之外,在 IT 產品的安全性認證規範上,也要跟上國際潮流,採用 Common Criteria(安全評估共通準則,簡稱 CC )標準。
國家通訊傳播委員會(NCC)技術管理處副處長羅金賢表示,臺灣引進 Common Criteria(共通準則),也就是 ISO 15408。所有 IT 產品在安全性驗證上,都有一個可遵循的指標。
明年政府 IT 採購 率先要求 CC 驗證
身為政策執行者的國家通訊傳播委員會副主委石世豪表示,政府將以 2 階段方式推廣,第一步就是推動政府單位看重Common Criteria 認證,自 2009 年起,政府單位將優先採購通過 Common Criteria 驗證的 IT 產品。
Common Criteria(安全評估共通準則)是由美國、英國、德國、法國及加拿大等國家所制訂的資安產品評估及驗證規範,並於 1999 年 8 月正式成為 ISO 國際標準(ISO/IEC 15408),被全球許多國家認定為是,經第三方實驗室驗證、最高層級的 IT產品安全性認證。
臺灣亦援引 ISO 15408,納入 CNS 15408 國家標準。國家通訊傳播委員會技術管理處副處長羅金賢指出,CNS 15408 是將原本的 Common Criteria 認證 2.2 和 2.3 版納入規範中,主要分成簡介模組、安全性功能模組與安全保護需求3部分,他說:「等到 CC 認證 3.1 版推出後,NCC 也會立即將新的標準規範納入 CNS 15408 中。」
Common Criteria 的效益
臺灣電信技術中心資通安全組組長許碧姍表示,ISO/IEC 15408 提供 IT 產品廠商、產品開發者及產品評估者,一套可以共同依據的產品評估規範。她指出,就製造商而言,可依據由獨立機構所授予的 Common Criteria 安全評估保證等級(Evaluation Assurance Levels,EALs)及其本身的要求,規畫符合安全性的產品。就產品開發者而言,藉由 ISO/IEC 15408 結構性流程,可以從安全需求、功能規格、高階設計、低階設計及實作測試等各階段強化其安全性,並透過 Common Criteria 的評估申請,取得 Common Criteria 安全評估保證等級的認證,增加產品的市場競爭力及獲得消費者的信心。
對於採購 IT 產品的企業而言,臺灣 TUV 資訊事業部經理古智仲說:「透過安全評估保證等級(EALs),企業用戶在採購 IT 產品時,對產品的安全等級比較有信心。」
全球許多國家的政府採購都以 Common Criteria 作為 IT 產品的安全性標準,像是美國、德國、澳洲等國家,近年來,日本、韓國、印度、中國等國家也察覺到資安產品驗證的國際趨勢,開始制訂各自的資安產品驗證標準制度。其中,日本企業若購買經 CC 驗證的產品,甚至可以抵稅。
在許多國家,CC 認證已經是資訊安全產品必備的認證,否則將無法進入市場,例如半導體晶片、防火牆、入侵偵測系統(IDS)或入侵防禦系統(IPS)等。古智仲以近來國際應用最多的電子護照(e-Passport)系統為例指出,整套系統的每個環節都以 CC 安全規範為主軸,向外伸展,從半導體晶片、護照、資料處理、讀取設備、系統以至龐大的後端處理平臺。
反觀臺灣現況,先前政府和企業偏重在資安管理系統的推動,但對於資安產品的選用,一直沒有一個明確、共通、統一的規範,因此,也無法了解政府和企業所選用的IT軟、硬體產品,是否具有一定程度的安全性?這些產品的開發、設計是否有瑕疵?許碧姍說:「要能判斷 IT 產品是否具有足夠的安全性,必須有相當的專業能力,還得要實際參與產品的開發流程,才有可能排除這些使用上的顧慮。」
目前全世界有 25 個國家通用的 Common Criteria(ISO 15408)共通國際標準,就是一個規範IT產品安全性驗證最好的標準。由於 CC 可用來評估資訊產品、系統與技術之安全性,並藉由共同準則的規範,將資訊安全等級的評估工作量化,許碧姍認為:「這使得產品安全性的評估結果更具意義。」
政府政策做多,累積資安自主能力
CC 驗證的過程非常繁複,驗證時間也比較久,因此仍需要藉由政府擬訂產品驗證法規、建立驗證制度及制訂相關推動政策。
政府「挑戰 2008:國家發展重點計畫」中,有一項建立 IT 軟、硬體產品安全性驗證體系計畫,屬於數位臺灣計畫分項中「寬頻到府 600 萬用戶」子計畫,自 2005 年開始,轉由交通部電信總局( 2005 年改制為國家通訊傳播委員會)負責產品驗證、驗證實驗室營運、人才培訓與加入國際組織等相關事宜。
國家通訊傳播委員會於是依據通訊傳播組織法第 3 條第 8 項的規定,在 2007 年 6 月完成 IT 軟、硬體產品安全驗證體系的建置。羅金賢表示,建立資安自主能力,有能力進行IT產品的測試、評估和驗證,不僅是資安自主能力提升的一項指標,也是國內資通安全基礎建設的一部分。
政府為了鼓勵 IT 廠商送產品去做 CC 驗證,第一階段會針對政府單位,石世豪說:「政府將以身作則,率先採購通過 CC 安全性驗證的產品。」最快在 2009 年,政府將會以行政命令方式,優先採購已經通過 CC 認證的 IT 產品,第二階段則是針對需要處理大量機敏資料的相關產業,例如電信業者,因為電信業者大量使用 IP PBX 與網路電話後,危險性相對提升。石世豪表示,目前將逐步以品質保證的方式,提升相關產品的安全性。
政府單位目前已經建立全國性資訊安全監控中心(Security Operation Center,SOC),與資訊安全管理系統(ISMS)的機制,再納入資通產品安全性驗證之後,許碧姍說:「如此從設備採購、使用、防護、監控,以至管理等各階段,就能有一套完整的資安管理作業程序。」
許碧姍說:「政府可以在事件發生前,做好預先防護準備;事件發生時,有完善緊急應變措施;及事件發生後,能有效進行追蹤改善程序。由政府機關帶頭,意味著我們對於資通產品驗證的重視程度,也代表著臺灣在資安政策的規畫方向上,可以與國際趨勢接軌。」
臺灣電信技術中心的資通安全實驗室已通過 TAF(全國認證基金會)認證,並培訓相關人才,許碧姍說:「目前臺灣已經有能力進行 Common Criteria 安全性驗證,在臺灣驗證的成本只要國外的三分之一。」
不過,目前臺灣在推廣 CC 驗證還有一個困境有待突破。由於臺灣不是 CCRA 簽署的會員國之一,臺灣對於產品的驗證並不能因而獲得 CCRA 的 25 個會員國的承認,因而還無法達到臺灣一次驗證、全球通關的理想。為了突破這樣的困境,許碧姍表示,目前臺灣正積極爭取加入 CCRA。
行政院研考會資訊處處長何全德表示,導入國際驗證標準的目的就是為了提升臺灣的資安能量,他說:「優先採購 CC 驗證產品的政策要能夠成功,除了 NCC 政策的推動,臺灣逐漸累積足夠的資安驗證能量外,能否突破政治藩籬,讓臺灣的 IT 產品安全性驗證能全球適用,將是主要的關鍵。」
採購產品認明 CC 驗證,打造企業安全環境
要打造安全的企業 IT 環境,需要一些關鍵性的條件配合,其中,選擇夠安全的產品就是一個重要的關鍵。許碧姍認為,企業在採購 IT 產品時,藉由 CC 驗證的規範,可充分了解各項產品是否符合企業內各種安全需求與規範,也可以針對同類型產品進行安全性衡量與評比。
許碧姍說:「雖然多數資安事件發生原因主要仍是人為因素,但若能在第一關──採購設備上,就以通過 CC 驗證的產品做為優先考量,後續發生資安事件的比例可以降低。」
上海商業銀行資訊研發處協理羅安昌表示,銀行對於資訊安全的要求較其他產業更為嚴格,上海商銀在 IT 產品的採購上,會看重產品是否通過 CC 安全性驗證,他說:「上海商銀會要求廠商提出產品安全驗證的證書或影本,這類安全性驗證對於IT採購決策的確有加分的效果。」
政府確定未來 IT 採購將優先採用經 Common Criteria 認證的之後,對於企業的 IT 採購決策將會開始發生影響力。永慶房屋資訊部協理陳澤維說:「這的確會影響永慶房屋未來對於IT採購的看法。」計畫未來參考政府這項政策,在採購上要求 CC認證。
在臺灣開始接受 Common Criteria 這個國際趨勢之下,許碧姍建議,臺灣廠商若要自我提升,在產品研發及製造過程可以參考國外已獲得驗證產品的成功經驗,在產品開發時就納入市面上已公布的保護剖繪(Protection Profile)的項目,依照ISO/IEC 15408 的標準進行產品設計及開發,將可有效提升產品在國際市場的競爭力。
許碧姍指出,CC 結構性的流程,正好可以協助廠商強化其產品生命周期中各階段的安全性要求,不論是安全需求、功能規格、高階設計、低階設計以及實作測試等。雖然在臺灣尚未有明確的法令要求廠商,資通產品一定要取得 CC 驗證證書,「但已有不少國外客戶要求臺灣廠商,將 CC 的標準應用於產品研發及生產上,甚至要求取得國外證書。」她說。
臺灣電信技術中心資通安全組經理林家弘說:「 IT 產品製造或研發廠商,可以利用資安實驗室的研發和技術能力,協助產品開發的安全性。」許碧姍指出,透過驗證機關到府視察(Site Visit),將有助於 IT 產品製造商取得 CC 驗證,也確保開發環境的安全性。
CC 驗證並非萬靈丹
雖然 CC 驗證已是國際潮流,對於廠商在製造與研發產品上提供安全性的指引,而企業在選擇產品時亦有可信的安全評估標準,但是 CC 驗證並非萬靈丹,仍有其不足之處。
其中一個問題在於,CC 驗證的流程安全性,是在實驗室以安全腳本情境來驗證,雖然 CC 力求驗證流程能反應真實世界的問題,但終究不是真實世界。舉例而言,就好像是一個每天鑽研武功密笈的武當弟子,一旦面對街頭出身的丐幫弟子,可能會因為缺乏隨機應變的實戰能力,即使功夫依然高強,在街頭實戰中,就容易敗給實戰經驗豐富的丐幫弟子。
微軟專案經理 Eric Bidstrup在MSDN 的部落格中指出,Common Criteria 現階段有其不足之處,導致較少企業用戶採用。他指出,實驗室與真實世界的安全性,最大的差異點在於實驗室是理論上的安全,並無法滿足現實世界中企業對 IT 安全性的要求。例如,以美國的存取控制保護剖繪(US Controlled Access Protection Profile)所規範的安全設定中,作業系統要開啟FTP 伺服器,只能開啟 1 個,才能符合規範,然而,Eric Bidstrup指出,這樣的安全性設定,很難滿足企業實際的需求。
他指出,有些產品很適合 CC 驗證,像是智慧卡的安全性驗證,然而,若要驗證規模較大、較為複雜的系統,則目前的 CC驗證方式就需要調整。
再者,CC 的驗證流程通常需要比較長的時間,對於 IT 產品廠商而言,要投入很高的時間成本。以IT商用產品最高安全等級EAL 4+ 為例,要取得這個等級的驗證,至少需要 12~16 個月的時間。然而,許多IT廠商通常在產品推出 18~36 個月之後,就會陸續推出新的版本,那麼,新版本又得送驗證,才能確保新版本的安全性。在這種驗證時間與產品上市時間有極大時間落差下,IT 廠商可能就不會把每個產品都送去驗證。
臺灣電信技術中心資通安全組組長許碧姍認為,驗證時間過長的問題,可以透過 CC 驗證實驗室提供的諮詢顧問服務來解決,在產品開發的初期,便納入安全性驗證的項目與流程,既可強化與改善產品的安全性,也可以縮短 CC 驗證的時間。
面對 CC 驗證時間過長的問題,目前多數廠商都在產品剛推出時先驗證 EAL 2 至 EAL 3+ 等級,讓驗證時間縮短在 6 個月至 1 年間,爾後在新版本更新時,再進一步驗證 EAL 4 等較高的等級。
資料來源 : http://www.ithome.com.tw/itadm/article.php?c=47886&s=2 作者 : 黃彥棻
|
