国家信息安全产品(EAL4+)测评

国家信息安全产品（EAL）简介

在信息安全领域，一般依据系统自身及其环境特点，采取不同程序的保护措施，也就是不同的级别保护（EAL（Evaluation Assurance Level）），为了使用IT技术安全发展和国际标准化的需求，安全评估标准不断优化、改进。

EAL的等级划分

根据信息安全技术评估准则，即CC，信息技术安全产品的评估由1-7个等级来划分：

1. EAL1：功能测试
2. EAL2：结构测试
3. EAL3：系统的测试和检测
4. EAL4：系统的设计、测试、复查
5. EAL5：半形式化设计和测试
6. EAL6：半形式化验证的设计和测试
7. EAL7：形式化验证的设计和测试

EAL 4+的介绍

EAL4+是安全保障的专项认证（GB/T 36950-2018）《信息技术安全评估准则》的其中一个评估等级（系统的设计，测试、复查级）。使开发人员从正确的安全工程中获得保证，这种安全工程基于良好的商业开发实践，这种实践很严格，但并不需要大量专业知识，技巧和其他资源。在经济合理的条件下，对一个已经存在的生产线进行翻新时，EAL4+是所能达到的别。

EAL 4+的测评内容（智能卡产品）

对智能卡产品信息技术安全性评估采用了GB/T18336中EAL4+的全部保证组件，并增加了ADV_INT.1模块化，增强了脆弱性分析评定类组件AVA_VLA.3中级抵抗力，以应对智能卡产品可能面临的威胁和日益复杂的应用环境。

EAL4+级通过对TOE的安全功能规范、高层设计、低层设计、编码等设计文档进行分析，确认其安全功能是否正确实现来提供保障。还通过TOE安全策略的一个非形式化魔性额外获得安全保证。

在EAL4+级评估中，还通过对TOE安全功能进行独立测试、对开发者基于功能规范和高层设计进行的测试及其测试结果进行独立确认、对安全功能强度分析、对开发者搜索脆弱性的证据以及证明可抵御具有中级攻击潜力的穿透性攻击者的独立脆弱性分析来验证所实现的TOE安全功能的正确性。

EAL4+还能通过使用开发环境控制措施、包括自动化在内的额外的TOE配置管理和安全交付程序的证据来提供保证。