专题·CC标准 | 信息技术安全评估准则新版标准的变化及应用展望，从零基础到精通，收藏这篇就够了！

最新推荐文章于 2025-02-26 13:41:48 发布

Python_chichi

最新推荐文章于 2025-02-26 13:41:48 发布

阅读量1.1k

点赞数 12

分类专栏：科技开发语言 web安全文章标签：安全网络 web安全

本文链接：https://blog.csdn.net/Javachichi/article/details/144816634

版权

科技同时被 3 个专栏收录

425 篇文章

订阅专栏

web安全

321 篇文章

订阅专栏

开发语言

98 篇文章

订阅专栏

文 | 中国信息安全测评中心高金萍邓辉贾炜李凤娟

作为网络空间安全的重中之重，关键信息基础设施安全保护是维护国家网络安全和社会稳定的关键所在。世界主要国家出台的一系列网络安全战略、法律法规等政策指令，都在不断增强对关键信息基础设施的保护力度，信息技术产品作为关键信息基础设施的基本组成单元，其安全可控程度得到各国普遍的重视。ISO/IEC 15408《信息安全网络安全和隐私保护信息技术安全评估准则》（Information Technology—Security Techniques—Evaluation Criteria for IT Security），以下简称“CC 标准”，是对软件、硬件、固件形式的 IT 产品及其组合进行安全测评的基础标准，已在世界范围内应用近 30 年，成为目前国际信息安全测评认证领域应用最广、最具普适性的技术标准，在信息安全领域得到了广泛认可。2001 年，中国信息安全测评中心（以下简称“测评中心”）牵头，将 CC 标准转化为国家标准 GB/T 18336《信息技术安全技术信息技术安全评估准则》，后续二十余年中持续跟踪标准的更新，并以 GB/T 18336 为基础开展了一系列中国化的测评实践应用。

一、GB/T 18336 标准在我国的应用情况

作为基础标准，GB/T 18336 为产品消费者、开发者、评估者提供了基本的安全功能和保障要求，为各方以统一的视角认知 IT 产品安全提供了共同的“语言”。自 GB/T 18336 标准在我国应用实施以来，国内测评机构及相关单位依据该标准，制定了一系列信息技术产品国家标准，在全国信息安全标准化技术委员会 WG5 组织编制和审核通过的现行有效国家标准中，有近 40 项标准将 GB/T 18336 作为编制或参考依据。中国合格评定国家认可委员会（CNAS）以 GB/T 18336 作为信息安全、软件类实验室能力认可的重要内容，目前国内近二十家主流的检测实验室，申请依据 GB/T 18336 开展产品测评的能力认可。通过对 GB/T 18336 的本地化应用，很好地支撑了网络关键设备和网络安全专用产品的测评认证制度的实施。

二十多年来，测评中心依据 GB/T 18336 对数百家企业的两千余款产品进行了安全性测评，测评中发现产品存在诸如缓冲区溢出、拒绝服务、代码执行、逻辑错误等严重缺陷数千个，帮助企业进行产品漏洞修复和风险消控，有力保障了我国关键信息基础设施的安全，IT 产品提供商的研发生产流程不断规范，产品质量不断提高，极大提高了我国信息技术产品安全可控水平。凭借 GB/T 18336 与国际标准体系的接轨优势，助力部分企业理解测评要求，提升产品水平，走出国门，通过国际 CC 评估认证，拿到欧洲最严苛测评实验室的高保障级测评认证证书，逐渐缩短了与国外厂商的技术差距，并打入国际市场，取得一定的产品国际竞争力。行业用户单位依据测评结果采购更为安全的产品，提升了国家关键信息基础设施的整体网络安全保障水平。

同时，通过对 GB/T 18336 的深耕研究和测评实践，测评中心技术专家创新完善测评理念，获邀加入 ISO/IEC 15408 的修订工作组，担任 ISO/IEC 15408-2 联合编辑，深入国际标准开发进程，贡献中国智慧，为国际网络安全标准完善提供有力支撑。

二、新版 GB/T 18336 标准的变化及应用展望

CC 标准自 1996 年 1 月发布首版以来，已经过四个大版本若干个小版本的文本发布，其中 CC3.1 版本就有五个小版本的修订。标准修订之所以如此频繁，主要是由于该标准在国际应用的广泛性，以及 CC 互认协定（CCRA）组织对标准应用的推广和各方需求的积极响应，如通过每年召开的 CC 国际技术会议（ICCC）和各类安全技术国际社区（iTC）等，广泛接纳来自全世界的技术专家、产品开发者和用户、测评机构等提出的各类 IT 产品安全设计、测评经验和标准建议，积极应对信息技术发展所带来的各种威胁和挑战。

CC 标准发展至今，已于 2022 年 8 月推出最新版的国际标准 ISO/IEC 15408-2022，该版标准修订过程历时 6 年，旨在大力解决标准存在的一些业界共识问题。测评中心同步牵头组织 80 余家产学研用单位共同开展 GB/T 18336-2015 标准的修订、试点验证、应用推广等工作。在此过程中，针对我国网络安全和信息技术发展现状，新标准、新理念、新方法的科学性、合理性及适用性得到进一步验证。与此同时，为提升标准的易读性和实操性，编制组在保证标准内容与国际 ISO/IEC 15408-2022 等同的基础上，更多采用中文本土化表达方式。目前，新版准则即将发布实施。

为切实发挥标准新理念对产业界及安全测评领域社会各方的实际作用，本文对新版标准中的新变化进行了深入分析和研究，并结合我国国情和产业现状，凝练和总结了部分可借鉴的内容。

（一）标准支持的两类安全评估方法及相关文本结构的调整，使得标准更具易用性、普适性和应用的一致性

随着信息技术的不断发展，IT 产品呈现出一些明显的特点，其中部分技术成熟的 IT 产品，产业界已在其架构、设计、功能实现、部署方式等方面形成共识，且产品应用广泛；与之形成对比的是伴随着新型 IT 技术的不断涌现，而产生的各类新型 IT 产品，如云、量子计算、区块链、隐私计算等技术，应运而生的各类 IT 产品，由于其依托的技术还未成熟或产品刚刚成型，产品部署后面临的安全风险、攻击技术等还都面临日新月异的变化，且产品未大范围应用。针对上述 IT 产品的不同特点，GB/T 18336 从概念到标准结构方面进行更新完善，更有针对性的支持这些不同产品的安全评估，以最大限度的优化评估流程并减少测评开销。

两类安全评估方法。新版 GB/T 18336 标准内容对两类安全评估方法提供支持。即“基于攻击（attack-based）”的评估方法和“基于规范（specification-based）”的评估方法。

**首先，“基于攻击”的评估方法，应用 CC 标准的一般模型，**即资产所有者、威胁主体在围绕资产价值上采取的对抗行为，开展安全评估，其目的是证明模型中资产所有者采取对策的充分性和正确性。“基于攻击”的评估方法以此为基础进行评估，在适用的被测产品和各类读者方面具有以下特点：

**一是被测产品。**使用该评估方法可针对所有 IT 产品开展安全评估，特别适用于新型 IT 产品、暂时没有形成产业统一技术规范的IT产品及芯片、密码模块等一旦部署很难替换的产品。

**二是评估者。**依据评估保障级（从低到高）EAL1-EAL7 的相关要求，执行不同级别所对应的脆弱性分析，可采用最新的攻击手段对被测产品开展穿透性测试，要求评估者掌握业界最新的技术实践和攻防手段。

**三是开发者。**对是否已有产品安全规范即保护轮廓（Protect Profile，PP）不做强制要求，只需要撰写符合待测产品实际情况的安全目标（ST）即可，要求开发者掌握业界最新的技术实践和一定的攻防知识。

**四是消费者。**依据 EAL 级别选择满足自身需求的 IT 产品，并需要分析产品的 ST 和评估报告以区分产品的具体差异。

**第二类“基于规范”的评估方法，通过“精确符合性”“直接基本原理”等新概念，及 GB/T18336.4 对评估方法和活动的规范框架，使得“基于规范”的评估方法更加完备。**与“基于攻击”的评估方法相比，“基于规范”的评估前提是必须具有产业各方一致认可的产品安全 PP 规范。同时，PP 配套有相关的支持文档，按照 GB/T 18336.4 的框架要求，规定出如何对 PP 中的各安全功能要求和保障要求开展评估活动，形成统一的评估方法和测试深度。在适用的被测产品和各类读者方面具有以下特点：

**一是被测产品。**使用该方法只能针对已具有 PP 的 IT 产品开展安全评估，适用于技术发展成熟、产业各方已形成共识的 IT 产品。

**二是评估者。**依据 PP 和支持文档进行评估，不需要按照评估保障级相关要求进行评估，不需要针对被测产品执行脆弱性分析，只评估被测产品对 PP 的符合性，支持文档规定了统一的评估方法。

**三是开发者。**需要完全依据 PP 来撰写 ST，即满足精确符合性，按照 PP 和支持文档的要求进行被测产品的安全功能设计、开发和自测。

**四是消费者。**只需要选择通过测评的产品即满足此类产品部署的安全需求。

这两类评估方法进一步增加了 GB/T 18336 标准的易用性、普适性和应用的一致性。既为技术成熟且应用广泛的 IT 产品，通过建立完备的 PP 及一致的评估方法，规范该类 IT 产品产业安全水平，为消费者比较和选择产品提供统一标准和安全信心。同时标准中以威胁分析为基础的“基于攻击”的评估方法，满足消费者对 IT 产品从低到高安全级别的需要，适用于所有信息技术产品，特别针对暂无 PP 的新型 IT 产品，提供了科学适用的安全评估方法。

标准结构由三部分扩为五部分。GB/T 18336-2015 及其之前各版本标准均由三部分构成，即 GB/T 18336.1《简介和一般模型》、GB/T 18336.2《安全功能组件》和 GB/T 18336.3《安全保障组件》。此次新版本较之前标准结构发生了较大变化，由三部分变化为五部分（详见下图）。

图新版 GB/T 18336 结构变化情况

其中，GB/T 18336.3 的内容进行了扩展和重组，安全保障组件主体内容保留在第三部分中。GB/T 18336.4 的作用已在“基于规范”的评估方法中进行了介绍。GB/T 18336.5 包含评估保障级 EAL1-EAL7 和组合产品评估等预定义的安全包，以此对“包”概念及其使用进行了进一步完善，将产业各方已达成一致且具有特定用途的一组要求，形成预定义的功能包或保障包来使用，增加组件的易用性和重用性，并有助于标准使用者在评估时保持一致尺度，也有助于减少开发 PP 和 ST 的工作量。

（二）模块化、复合评估等新理念，适应现代信息技术产业细化分工和结构复杂 IT 产品测评的需要

随着 IT 产品功能和构成复杂度的增加，通过模块化（Modularity）分解、分层以达到设计和实现过程中的简化已成为主流做法。模块化设计除了体现在单一产品按功能模块分解，使基本功能模块最大程度的可复用，从而达到产品结构清晰、层次分明，更加易于管理和维护之外，还体现在复杂产品中不同产品部件由多个开发者实体分工协作，以达到进一步明确产业链分工，提高专业化程度的目的。

为此，新版 GB/T18336 通过模块化描述方法，扩展现有的 PP 概念，提出 PP 配置、PP 模块等新概念，以适用于“底座+模块”产品构成范式、多部件复杂 IT 产品等应用场景。以移动设备类产品为例，国际 CC 评估已按照 PP 配置方式进行，以“移动设备基础保护轮廓”（PP_MDF_V3.3）为基础PP，配合无线通信（MOD_WLANC_V1.0）、蓝牙（MOD_BT_V1.0）、生物特征识别（MOD_CPP_BIO_V1.1）等功能 PP 模块，通过“PP 配置=基础 PP+”的方式，形成符合实际产品应用的安全需求。

随着信息技术的飞速发展，多部件复杂 IT 产品呈现上升趋势，一个 IT 解决方案往往是由不同类型的提供商共同实现，同时不同部件产品又在不同评估认证机构通过了测评，那如何解决由这些部件组合而成的 IT 产品的安全评估问题？早在 GB/T 18336-2015 中已提出了“组合评估（Composed Evaluation）”的概念，并提出了相关的保障组件—组合（ACO）保障类和组合保障包（CAP），但适用的组合产品类型和评估结论都存在一定的局限性，体现在表中“被测组合产品的要求”和“评估结论”等方面。为了解决这些问题，新版标准提出了“复合评估（Composite Evaluation）”的概念，通过知识转移和证据重用的方法，很好地解决了多部件复杂 IT 产品的安全评估问题，即减少了重复测评、适用的范围更广，又给出了消费者比较接受的测评结论。

表新版 GB/T 18336 标准中“组合评估”和“复合评估”的区别

（三）脆弱性分析中更加关注供应链安全，顺应 ICT 供应链的全球化和复杂性的特点及发展趋势

针对供应链的攻击与传统的针对 IT 产品本身的攻击相比，攻击者可利用的攻击面由 IT 产品本身的边界扩大到 IT 产品内部的所有部件，如代码、模块和服务，以及与这些模块相关的供应链上下游供应商的编码过程、开发工具和设备，任一部件在设计、开发、生产等任何一个生命周期阶段中，若存在安全问题都会直接影响 IT 产品的安全，攻击的范围明显扩大。针对供应链安全问题，新版 GB/T 18336 也进行了相关内容的完善。

脆弱性分析（AVA）是 GB/T 18336 安全评估过程中的一项核心重要工作。AVA 要求评估者确认被测产品开发和预期运行中是否存在潜在的脆弱性，及脆弱性是否能够造成被测产品安全功能的破坏，以此带来资产的损失。新版标准中，评估者在执行脆弱性分析相关的穿透性测试中，所针对的分析对象从原先只包括被测产品，变化为被测产品和被测产品交付件中包含的第三方部件和被测产品依赖的 IT 产品，此调整是以更加系统、全面、普遍联系的视角看待产品安全。为此，接受评估的开发者除需要提供用于测试的产品之外，还需要提供相关的第三方部件列表，评估者依据列表中的部件清单对其是否存在已知漏洞进行分析。此处新变化正是 GB/T 18336 标准对近些年 IT 产品供应链安全问题凸显的有效应对，顺应了 ICT 供应链的全球化和复杂性的特点及发展趋势。

（四）增强了对 IT 产品全生命周期的安全控制，开发构件、缺陷和补丁的管理符合网络安全观念和规律

与关注供应链安全同等重要的是针对 IT 产品全生命周期的安全控制。GB/T 18336 中生命周期支持（ALC）相关要求是为 IT 产品在开发、生产、交付和维护期间，建立的安全规则和安全控制保障。此次修订，增加了对开发构件（ALC_TDA）的要求，目的是进一步增强对被测的 IT 产品开发过程或开发成果的信任。此要求关注的是开发过程中 IT 产品某些构件生成的真实性，通过核实被测产品的源代码、配置管理系统中的各配置项或通过开发工具生成被测产品副本等，来确认开发者提供的源代码是否属于被测产品。通过对这些重要构件的验证，建立起对 IT 产品整个开发过程的信任链。

此外，国际信息安全领域对 IT 产品全生命周期安全性的关注度逐渐增强，主要体现在以下两方面：一是对安全缺陷纠正（ALC_FLR）的重视，开发者应对产品投入使用后的安全性负责，预防缺陷发生，且一旦发现安全缺陷要通过可行的技术或管理手段，进行跟踪、纠正和控制。虽然此要求与评估保障级别（EAL）没有关联，但 CCRA 已将ALC_FLR 作为各成员国 IT 产品评估结果互认必须满足的条件之一。二是与缺陷纠正密切相关的补丁管理（ALC_PAM）将成为新增的安全保障要求。目前国际上包括 CC 组织、欧盟网络安全认证体制（EUCC）等均在对补丁的安全控制进行研究，正在制定中的国际技术规范 ISO/IEC TS 9569，其内容正是将对补丁的研发、确认和发布等全生命周期安全要求，增加到 CC 标准的相关规定，相信不远的将来 CC 标准中会出现补丁管理过程相关的安全要求。缺陷和补丁作为 IT 产品密不可分的组成部分，体现了网络安全动态性、对抗性、系统性的特点和规律，相关安全要求的新增和细化将会使 IT 产品全生命周期安全控制更加完善，安全评估工作的重要性越发凸显。

三、结语

最新版的 GB/T 18336 标准即将发布实施，标准中新修订的内容在以下方面对产业发展和安全测评有重要的促进作用。一是对“基于规范”和“基于攻击”两类评估方法的支持，极大地增加了标准的易用性、普适性和应用的一致性，可为技术成熟且应用广泛的 IT 产品、以及新型 IT 产品制定安全技术要求和评价方法，分别提供技术指引，解决测评方法和深度较难统一等困境和难题。二是丰富完善了模块化和组合评估等概念和方法，顺应了产业链和复杂产品分工协作的趋势，丰富和优化我国信息技术产品安全标准制定框架和路线，为今后我国制定复杂 IT 产品安全标准，减少重复认证检测，提供重要的技术参考。三是注重 IT 产品及相关第三方部件全生命周期及供应链安全，特别是漏洞预防、修复、补丁安全管理等CC关注的安全热点问题，与动态性、对抗性、系统性等网络安全观念和规律相契合，为我国关键信息基础设施保护提供有力的产品级安全保障。

测评中心作为国内 GB/T 18336 标准的牵头研究和使用单位，致力于将新标准中的先进理念应用于我国信息安全测评认证领域，最大化地发挥其基础支撑和引领作用。同时，我们也将进一步加强对 GB/T 18336 标准的宣传力度，编制配套的解读说明性材料，完善配套标准，举办相应的标准培训和宣贯会议，紧密团结信息技术产业各方，相信新版 GB/T 18336 标准一定会为维护我国的网络安全发挥更大的作用。

（本文刊登于《中国信息安全》杂志2023年第11期）

计算机热门就业方向

从目前市场情况来讲，网络安全的就业前景是非常不错的，2022年的统计数据，网络安全专业的缺口已经增长到140万人。

1、就业岗位多，发展方向广

①就业环境：网络安全可以在计算机科学与技术、信息通信、电子商务、互联网金融、电子政务等领域从事相关工作，还可以在政府机关事业单位、银行、保险、证券等金融机构，电信、传媒等行业从事相关工作。

②就业岗位：网络安全工程师、渗透测试工程师、代码审计工程师、等级保护工程师、安全运维工程师、安全运营工程师、安全服务工程师等。

2、薪资待遇可观，提升较快

作为一个新兴行业，网络安全人才的市场需求远远大于供给，企业想真正招到人才，就必须在薪酬福利上有足够的竞争优势。因此，网络安全领域的薪资近年来也呈现稳步增长的态势。

根据工信部发布的《网络安全产业人才发展报告》显示，网络安全人才平均年薪为21.28万元，整体薪资水平较高。数据显示，网络安全人才年薪主要集中在10-20万元，占比40.62%，与往年持平；其次是20-30万元，占比为38.43%，较2020年占比19.48%有显著提高；而年薪在10万以下人才占比由2020年的19.74%下降至2022年的9.08%。由此可见，网络安全行业作为新兴赛道，尚在快速发展阶段，从业人员薪资水平提升较快，也显示出网络安全行业相对更重视人才留存。

3、职业发展空间大

从网络安全专业学习的主要内容来看，包括linux运维、Python开发、渗透测试、代码审计、等级保护、应急响应、风险评估等。可见该网络安全专业的技术性很强，具有鲜明的专业特点，是一门能够学到真正技术的工科类专业之一。

因此，在职业发展上，网络安全专业除了就业岗位众多之外，由于专业技术性较强，在工作单位将处于技术核心骨干地位，职业发展空间很大。

盘点网络安全的岗位汇总

0****1

岗位一：渗透测试工程师

**岗位释义：**模拟黑客攻击，利用黑客技术，挖掘漏洞，提出修复建议。有些大厂，例如奇安信，甚至会将渗透岗位分为红蓝两方，对候选人的技术要求比较高，大部分刚入行的新人，也将渗透岗位作为后期的发展目标。

岗位职责：

负责对客户网络、系统、应用进行渗透测试、安全评估和安全加固
在出现网络攻击或安全事件时，提供应急响应服务，帮助用户恢复系统及调查取证
针对客户网络架构，建议合理的网络安全解决方案

**工作难度：**5颗星

薪资现状：

0****2

岗位二：安全运维工程师

**岗位释义：**维护网络系统的正常、安全运行，如果受到黑客攻击，则需要进行应急响应和入侵排查安全加固。很多刚毕业入行的新人，基本都从运维做起。

岗位职责：

日常终端维护，操作系统安装加固
完成网络安全设备故障排查、处置
完成相关管理制度文档的编写和提交

**工作难度：**3颗星

薪资现状：

0****3

岗位三：安全运营工程师

**岗位释义：**在运维的基础上，高效可持续地不断提升企业的安全防御能力。

岗位职责：

负责监控、扫描等各类安全策略的制定和优化
负责信息安全事件的应急响应
参与网络安全评估工作、安全加固工作和监控等等

**工作难度：**3颗星

薪资现状：

0****4

岗位四：安全开发工程师

**岗位释义：**顾名思义，对安全产品及平台、策略等进行开发工作。

岗位职责：

负责网络安全产品的系统技术设计、代码开发与实现、单元测试、静态检查、本地构建等工作；
参与公司其他产品的系统技术设计以及研发工作。

**工作难度：**5颗星

薪资现状：

0****5

岗位五：等保测评工程师

**岗位释义：**等保测评也叫等级保护测评，主要负责开展信息安全等级保护测评、信息安全风险评估、应急响应、信息安全咨询等工作。

岗位职责：

网络安全等级保护测评项目实施；
Web渗透测试、操作系统安全加固等安全项目实施配合

**工作难度：**3颗星

薪资现状：

0****6

岗位六：安全研究工程师

**岗位释义：**网络安全领域的研究人才。

岗位职责：

跟踪和分析国内外安全事件、发展趋势和解决方案
承担或参与创新型课题研究
参与项目方案设计，组织推动项目落实，完成研究内容、
负责网络安全关键技术攻关和安全工具研发

**工作难度：**5颗星

薪资现状：

0****7

岗位七：漏洞挖掘工程师

**岗位释义：**主要从事逆向、软件分析、漏洞挖掘工作

岗位职责：

通过模拟实施特定方法所获得的结果，评估计算机网络系统安全状况；
通过特定技术的实施，寻找网络安全漏洞，发现但不利用漏洞。

**工作难度：**5颗星

薪资现状：

0****8

岗位八：安全管理工程师

**岗位释义：**负责信息安全相关流程、规范、标准的制定和评审，负责公司整体安全体系建设。

岗位职责：

全业务系统网络安全技术体系的规划和建设，优化网络安全架构；
负责网络安全相关流程、规范、标准的指定和评审，高效处置突发事件；
负责网络安全防护系统的建设，提升网络安全保障水平；

**工作难度：**4颗星

0****9

岗位九：应急响应工程师

**岗位释义：**主要负责信息安全事件应急响应、攻击溯源、取证分析工作，参与应急响应、攻击溯源、取证分析技术的研究，提升整体重大信息安全事件应急处置能力。

岗位职责：

负责信息安全事件应急响应、攻击溯源、取证分析工作；
对安全事件的应急处置进行经验总结，开展应急响应培训；
负责各业务系统的上线前安全测试（黑盒白盒）及渗透测试工作；
参与应急响应、攻击溯源、取证分析技术的研究，提升整体重大信息安全事件应急处置能力。
跟踪国内外安全热点事件、主流安全漏洞、威胁情报、黑灰产动态并进行分析研究，形成应对方案；

**工作难度：**4颗星

薪酬现状：

岗位十：数据安全工程师

**岗位释义：**主要对公司的数据安全的日常维护和管理工作，确保公司数据安全。

岗位职责：

负责数据安全日常维护和管理工作，包括数据安全审核、数据安全事件的监控与响应、安全合规的审计与调查等；
负责数据安全标准规范的制定和管理，包括数据安全需求识别、风险分析、数据分级分类、数据脱敏、数据流转、泄露防护、权限管控等；推进相关安全管控策略在平台落地、执行。
负责开展与数据全生命周期管理有关的各项数据安全工作;
负责跨平台、跨地域数据传输、交互等数据安全方案制定与落地
定期组织开展数据安全自评工作，发现潜在数据安全风险，制定相应的管控措施，并推进落实整改。

**工作难度：**4颗星

薪酬现状：