评估产品获取
评估产品
被评估的产品在其安全功能中提供了一定程度的保证,而未评估的产品则没有。为了协助提供这种保证,澳大利亚网络安全中心(ACSC)通过以下计划进行产品评估:
作为澳大利亚信息安全评估计划(AISEP)的一部分,ACSC内的澳大利亚认证机构还根据通用标准对许可商业设施进行的产品评估进行认证。
对于寻求采购经评估产品的组织,通用标准的 认证产品列表 包含已根据通用标准进行评估和认证的产品列表。或者,可以联系 ACSC,获取有关正在评估或已通过企业移动性评估计划或高保证评估计划完成评估的产品的信息。
加密评估
保护配置文件
保护配置文件 (PP) 是特定于技术的文档,它定义了必须包含在通用标准评估产品中的安全功能,以缓解特定的网络威胁。PP可以通过公认的通用标准认可安排(CCRA)计划或CCRA机构本身发布。CCRA机构发布的PP被称为协作PP。
如果不存在 PP,则可以接受基于评估保证级别 (EAL) 的评估。此类评估的上限为EAL2 +,因为这代表了完成时间和有意义的安全保证收益之间的最佳平衡。
评估文档
正在接受通用标准评估的产品将没有已发布的评估文档;但是,如果产品正在通过AISEP进行评估,则可以从ACSC获得文档。对于通过外国计划进行评估的产品,可以直接与产品的供应商联系以获取更多信息。
评估产品选择
通用标准评估传统上在指定的EAL进行;但是,针对PP的评估存在于此规模之外。值得注意的是,虽然根据PP评估的产品将满足通用标准EAL要求,但EAL编号不会公布。
交付经评估的产品
包装和交付实践可能因产品而异。对于大多数被评估的产品,标准的商业包装和交付做法可能就足够了;但是,在某些情况下,可能需要更安全的包装和交付做法,包括防篡改密封和安全运输。在评估产品的数字交付的情况下,供应商提供的校验和通常可用于确保交付的软件的完整性。
评估产品使用情况
评估的配置
在以下情况下,已评估的产品被视为在评估配置中运行:
1.它使用的功能在评估范围内,并以指定的方式实现
2.仅应用了通过维护和重新评估活动(称为保证连续性)评估的产品更新
3.环境符合评估文档中所述的假设或组织安全策略。
未评估的配置
修补评估产品
评估产品的安装和配置
产品评估可确保在明确定义的配置中运行时,产品的安全功能将按预期工作。评估的范围指定了可以使用的安全功能以及如何配置和操作产品。在未评估的配置中使用已评估的产品可能会导致引入安全风险,而这些风险未被视为产品评估的一部分。
评估的产品按照供应商指南和评估文档进行安装、配置、管理和操作。
高保证ICT设备的安装、配置、管理和操作符合国家制定的指导意见。
在未经评估的配置中使用高保证的ICT设备
高保证ICT设备始终在经过评估的配置中运行。
有关高保证ICT设备,可以参考《一起了解一个网络安全领域新强制性国标GB 40050-2021》。
|
注:本文档翻译参考来源为澳大利亚ACSC,部分内容在本文中做了技术性调整,具体实施请参考我国有关标准,本文仅提供为大家提供一个信息安全的思路拓展。 |
原文始发于微信公众号(祺印说信安):信息安全手册之评估产品指南
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论