https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

共同準則檢測實驗室

2005 / 11 / 04
陳佳溶
共同準則檢測實驗室

根據統計國內資安市場,國外產品所佔比例高達82%,其要進入台灣或政府單位,並無特殊的法源基礎來規範產品需要通過哪些檢測,但台灣資安產品要進入國際市場及其它國家,通常被要求必須取得國際認可的相關驗證,所以國內廠商必須將產品送往國外檢測,顯然,國內缺乏健全資安產品驗證體系及法源規範,使得國外資安產品在國內暢行無阻,國內資安產品進駐國外卻必須通過重重關卡。
建立國家自主性驗證體系
為了輔導資安產業的成長,經濟部商業司已於2003年3月24日委託財團法人資訊工業策進會資通品質技術工作室執行『建立資安產品驗證體系計畫』,協助國內2003~2006年間建立國內資安產品驗證體系與檢測之能力,且由電信技術中心於2004年5月3日競標承攬『建立資安產品檢測實驗室』中的核心工作。
電信技術中心副執行長許錫蘭說:「實驗室的建立,企圖為國內打造一個與國際接軌的資通安全驗證體系,推動國內資安產業成型,以達成自主性的資安驗證體系、降低電子化資安風險、促進資安產業蓬勃發展等多重政策目標,另外,安全本身就應該掌握在自己的手中,倘若國家沒有自主性的驗證體系,又如何確保自身的安全呢?」
然而,綜觀整個亞太區,韓國、日本在1998年就建置共同準則檢測實驗室,中國大陸也已建置完成,然而,台灣終於在去年更積極地採取行動,實驗室的建置完善,需要1~2年時間才可將評估員能力培訓完成,整個實驗室的驗證體系才可運轉,許錫蘭說:「由於目前我們缺乏相關檢測的技術,國內資安產業將無法蓬勃發展。」
經過長期的籌備,2004年9月30日在高雄科學園區建置『共同準則檢測實驗室』(CCTL, Common Criteria Testing Laboratory)完成,第一階段於2004年8月16日將 5位評估員送至德國共同安全評估實驗室TUViT接受8週的實地訓練,由於德國TUViT實驗室佔有90% Smart Card檢測市場,因此,選擇與其合作在技術方面做移轉,第二階段為樣品評估的在職訓練,經4~5個月培訓,受訓的評估員必須取得共同安全評估員進階訓練合格證照。
承攬的電信技術中心以2,470萬元承包,其中1,365萬元採實報實銷方式,許錫蘭表示,預估投入在實驗室檢測設備之購置、國外技術諮詢及移轉的經費至少花費6,000萬,尚未包含實驗室之基礎建設、取得國際驗證體系、人事及運作成本,因此,運作經費拮据。

加入國際認證相互承認協定
政府推行資安產業應與產業密切結合,才能帶動資安產業的發展,因此,由於目前Smart Card廣泛應用於市場,例如:晶片金融卡、健保卡、悠遊卡等,都是利用Smart Card技術,使得資料的傳輸儲存更安全,此外,國內科技產業也提供晶片元件的製造,為了輔導國內科技產業,共同準則檢測實驗室2004年度以培訓檢測Smart Card人員為主,雖然目前實驗室及人員受訓已陸續執行,已有3~4家國內科技廠商表示願意接受檢測,許錫蘭說:「預估接受檢測的廠商會達到5家,且目前國內已有科技廠商提出申請檢測。」
以國內科技產業觀之,將有製造智慧卡晶片的IC設計製造商、提供智慧卡讀取設備廠商及行動電話製造商等都需要符合國際標準驗證。
許錫蘭表示,今年也計畫派遣人員至美國受訓學習PKI及Firewall的檢測技術,此外,在今年年底前計畫導入ISO/IEC17025,其為測試及校正實驗室的能力準則(General requirements for the competence of testing and calibration laboratories),包含管理和技術方面,且還要通過ISO/IEC17799資訊安全管理系統(Information Security Management System)和ISO/IEC15408共同準則(Common Criteria),共同準則將安全等級分為7個,其中5~7等級乃是檢測國家機密的資安產品,所以產品較少,因此,乃將建置重點放在1~4級檢測,以符合共同準則檢測實驗室規範。
此外,CC的檢測標準,與一般的認證、檢測標準不同,其在產品開發、設計階段,就可接受檢測,如產品在開發、設計階段發現問題,國內廠商就可即時修正產品,不需要等到產品完成後再修改;再者接受檢測的範圍包括軟體、硬體及韌體,或以上的組合;整體檢測過程而言,經由80%文件評估後,依驗證產品安全評估等級不同進行測驗,測試部分佔20%,評估重點是在驗證客戶所提供的測試報告數據是否屬實。
為了達到取得檢測的客觀標準及國際市場對國內資安產品的認可,計畫在2006年底,完成國內資安產品驗證體系之建立,且申請加入國際認可的CCRA,成為CCRA之授與證書會員,許錫蘭說:「如此可達成國內一次驗證,全球通關的相互承認利基。」因此,共同準則檢測實驗室正籌劃CCRA專家小組來台、檢測產品及檢驗所需之相關文件等與國際接軌的準備。

結語
加入CCRA會員之後,國內資安廠商將在共同準則檢測實驗室的認證之下,即可通過國際Common Criteria的驗證,有助於發展國內『自主性與可信賴性』國家資通安全產業,此外,更提升國內資安廠商的市場競爭力,許錫蘭說:「降低廠商將產品送出國外的檢測成本,預估僅需原來的1/4成本,此外,將縮短原本1年檢測時程,以輔導國內電信產品取得國際驗證的經驗來看,早期藍芽電信產品因無競爭對手,國內驗證技術尚未養成,一件藍芽電信產品取得國際認證的經費約為現在5倍(目前一件藍芽電信產品取得國際認證標準約為5000美元),所以我們更有信心這將促進國內資安產業蓬勃發展,走向國際!」

什麼是CCRA?
1998年美國、英國、法國、德國與加拿大等五個提議簽署資安產品共同準則驗證證明書相互承認協定(CCRA, Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security)。
CCRA條款於2000年定案,其內容包含以下項目:協定精神、目的、會員資格、範圍、例外、定義、承認條件、自願性的定期評鑑、出版品、資訊分享、新的參與者、協定的管理、爭議、承包商採用、協定的費用、修訂、期效、參與的自願性宗旨、協定之始末日期及效力等。