硬核！信息安全领域的EAL5＋是什么？它有什么意义？

文|许中奇 刘志超

来源：Pixabay 作者：wir_sind_klein

近日，由中国金融认证中心（CFCA）信息安全实验室负责检测的一款安全芯片，成功获得了由中国网络安全审查技术与认证中心(CCRC)颁发的IT产品信息安全认证EAL5增强级（EAL5+）认证证书。这是国内认证机构颁发的首个EAL5+级别认证证书，标志着我国在信息安全检测认证技术领域又向前迈进了一大步。

EAL5+是什么？

要明白什么是EAL5+，首先我们需要了解Common Criteria（CC），即“信息技术安全评估通用准则” 。

CC是目前国际范围内最受普遍认可的信息安全评估认证体系，在IT产品和系统领域得到广泛应用。国内对CC标准进行等同采用，对应《信息技术 安全技术 信息技术安全评估准则》（GB/T18336）系列标准。

CC认证共分为7个等级，由低至高依次为EAL1到EAL7，而我们说的EAL5+则表示该认证在EAL5的基础上对部分检测项目进行了升级以进行更高级别的评估。

EAL5+的意义

长期以来，国内IT产品信息安全领域的认证都止步于EAL4+级别，没有更高级别的检测认证业务，而国际上已有不少一流厂商的产品通过了EAL5+甚至EAL6+认证。国内一些有技术实力的厂商，为了证明产品的安全性，只能通过国际机构完成检测认证。然而，国际送检在检测认证周期、费用以及沟通效率等方面存在的诸多困难，对于厂商来说无疑是一个沉重的负担。

CFCA长期以来在IT产品信息安全检测技术方面进行了大量的投入和研究，此次联合中国网络安全审查技术与认证中心（CCRC），完成了国内首个安全芯片的EAL5+认证工作，填补了国家IT产品信息安全检测认证领域的空白。认证过程通过了CCRC组织的行业专家评审，检测过程和检测结果得到了十余名专家们的一致认可。

CFCA能做什么

作为公正、独立的第三方检测机构，中国金融认证中心信息安全实验室立足于金融业，为各行业提供系统级与产品级的安全评估与检测工作。CFCA以安全为使命，以客户为中心，努力做好安全检测，用自己的技术和服务为客户提供更优质的服务。

CFCA近期会从专业的角度，用一系列的文章全方位介绍安全技术评估体系、国内外检测评估行业发展、EAL5+检测要求等知识，有兴趣的小伙伴请点击关注，千万不要错过。