第一部分介紹了ISO/IEC15408的整體情況，定義了信息技術(shù)安全評(píng)估的概念和原則，提出了安全評(píng)估的通用模型。該部分還介紹了制定信息技術(shù)安全目標(biāo)、選擇和定義信息技術(shù)安全需求的架構(gòu)，同時(shí)也為編寫產(chǎn)品及系統(tǒng)的高級(jí)規(guī)范提供了準(zhǔn)則。

第二部分規(guī)定了規(guī)范信息技術(shù)安全行為的安全功能要求，建立了一組以“類-族-組件”結(jié)構(gòu)出現(xiàn)的功能組件，作為表示TOE功能要求的標(biāo)準(zhǔn)方法^[3]。

第三部分規(guī)定了一種描述TOE保障要求的標(biāo)準(zhǔn)方法。與第二部分一樣，該部分的保障組件也是按照“類-族-組件”進(jìn)行分類，組件是最小構(gòu)件塊。正在修訂的第四版本中，提出了模塊化評(píng)估方法，并增加了相應(yīng)的保障組件。

第四部分規(guī)定了評(píng)估方法和活動(dòng)規(guī)范的框架，是正在修訂的最新版本中引入的全新內(nèi)容。該部分為描述通用的功能測(cè)試方法及測(cè)試活動(dòng)提供支持，對(duì)測(cè)試方法的制定過程進(jìn)行規(guī)范，同時(shí)將通用評(píng)估方法（Common Evaluation Methodology，CEM）中的工作單元部分進(jìn)行細(xì)化，提高了功能測(cè)試方法的普適性及測(cè)試結(jié)果的可重復(fù)性^[4]。

第五部分描述了預(yù)定義的7個(gè)安全保障包，并為后續(xù)加入其他安全功能包提供基礎(chǔ)^[4]。

采用CC對(duì)信息技術(shù)產(chǎn)品和系統(tǒng)進(jìn)行評(píng)測(cè)認(rèn)證，其認(rèn)證結(jié)果會(huì)得到通用準(zhǔn)則互認(rèn)協(xié)議（Common Criteria Recognition Arrangement，CCRA）簽署國(guó)家的認(rèn)可。目前，簽署CCRA的國(guó)家共有31個(gè)，其中有17個(gè)屬于證書頒發(fā)（Certificate Authorizing）國(guó)家，14個(gè)屬于證書使用（Certificate Consuming）國(guó)家。證書頒發(fā)國(guó)家均設(shè)立認(rèn)證機(jī)構(gòu)，認(rèn)證機(jī)構(gòu)授權(quán)得到CCRA認(rèn)可的評(píng)測(cè)實(shí)驗(yàn)室對(duì)產(chǎn)品或系統(tǒng)進(jìn)行安全評(píng)測(cè)，同時(shí)對(duì)評(píng)測(cè)實(shí)驗(yàn)室進(jìn)行監(jiān)管，并定期進(jìn)行監(jiān)督審計(jì)。信息技術(shù)產(chǎn)品和系統(tǒng)的評(píng)估保障等級(jí)（Evaluation Assurance Level，EAL）共7級(jí)，經(jīng)其中一個(gè)CCRA成員國(guó)認(rèn)證達(dá)到EAL4+的產(chǎn)品，其認(rèn)證結(jié)果在所有CCRA成員國(guó)中皆被認(rèn)可。該認(rèn)證體系的應(yīng)用，在明確產(chǎn)品安全性的同時(shí)，也緩解了需在不同國(guó)家進(jìn)行多次測(cè)試的壓力，降低了產(chǎn)品安全認(rèn)證的復(fù)雜性。

（3）評(píng)價(jià)與分析

CC源于6國(guó)的信息技術(shù)安全性評(píng)估準(zhǔn)則，經(jīng)歷多年的應(yīng)用與修訂，其內(nèi)容較為全面，并已得到多國(guó)認(rèn)可，成為信息技術(shù)產(chǎn)品及系統(tǒng)的基本評(píng)估準(zhǔn)則，我國(guó)也于2001年3月發(fā)布了等同采用CC的國(guó)家標(biāo)準(zhǔn)GB/T 18336。

但CC適用于所有信息技術(shù)產(chǎn)品，包括硬件和軟件，并沒有專門針對(duì)評(píng)測(cè)網(wǎng)絡(luò)設(shè)備安全性的方法。同時(shí)，CC主要是對(duì)信息技術(shù)產(chǎn)品與系統(tǒng)的技術(shù)評(píng)估，沒有涉及到通過行政組織、官方人員、程序的控制等行政性安全管理措施實(shí)現(xiàn)的信息技術(shù)安全。

2.2 NESAS

NESAS為證明網(wǎng)絡(luò)設(shè)備是否滿足一系列的安全需求、設(shè)備供應(yīng)商是否按照安全要求進(jìn)行產(chǎn)品開發(fā)提供了安全基線，同時(shí)也為運(yùn)營(yíng)商和設(shè)備供應(yīng)商提供了安全保證的技術(shù)參考。

（1）NESAS的發(fā)展背景

在許多國(guó)家，運(yùn)營(yíng)商的任務(wù)之一是部署并運(yùn)行可靠的移動(dòng)網(wǎng)絡(luò)，網(wǎng)絡(luò)能否安全運(yùn)行依賴于設(shè)備供應(yīng)商生產(chǎn)的網(wǎng)絡(luò)設(shè)備安全性。對(duì)于運(yùn)營(yíng)商來(lái)說(shuō)，了解供應(yīng)商提供設(shè)備的安全級(jí)別十分重要。為了協(xié)助運(yùn)營(yíng)商確定網(wǎng)絡(luò)設(shè)備的安全水平，降低商業(yè)風(fēng)險(xiǎn)，全球移動(dòng)通信系統(tǒng)協(xié)會(huì)（Global System for Mobile Communications Assembly，GSMA）聯(lián)合第三代合作伙伴計(jì)劃（3rd Generation Partnership Project，3GPP）共同制定了NESAS。其中，GSMA定義了移動(dòng)通信行業(yè)的安全需求、設(shè)備廠商的產(chǎn)品開發(fā)及產(chǎn)品全生命周期流程評(píng)估框架，并于2019年10月發(fā)布1.0版本；3GPP定義了用于評(píng)測(cè)網(wǎng)絡(luò)設(shè)備安全性的測(cè)試標(biāo)準(zhǔn)，即SCAS（Security Assurance Specification）系列標(biāo)準(zhǔn)，該系列標(biāo)準(zhǔn)已于2019年9月完成并發(fā)布。

（2）NESAS的主要內(nèi)容

GSMA提出評(píng)測(cè)網(wǎng)絡(luò)設(shè)備安全性的方法有兩種：一是評(píng)定設(shè)備供應(yīng)商開發(fā)和產(chǎn)品生命周期流程的安全性，由GSMA選擇的安全審計(jì)員（需來(lái)自世界級(jí)的安全審計(jì)公司，如Atsec、Nccgroup）審查設(shè)備廠商是否將安全性融入到自定義的產(chǎn)品生命周期流程中；二是檢測(cè)網(wǎng)絡(luò)設(shè)備的安全性，依據(jù)一套預(yù)定義的安全測(cè)試標(biāo)準(zhǔn)，由獲得ISO/IEC 17025認(rèn)證并被GSMA承認(rèn)的安全檢測(cè)實(shí)驗(yàn)室對(duì)所有網(wǎng)絡(luò)設(shè)備進(jìn)行客觀測(cè)試，將網(wǎng)絡(luò)設(shè)備所達(dá)到的安全級(jí)別可視化^[5]。針對(duì)方法一，GSMA制定了系列文檔，包括FS.13（網(wǎng)絡(luò)設(shè)備安全保障計(jì)劃概述）、FS.14（安全測(cè)試實(shí)驗(yàn)室認(rèn)證需求及流程）、FS.15（設(shè)備商開發(fā)及產(chǎn)品全生命周期審計(jì)方法）和FS.16（設(shè)備商開發(fā)及產(chǎn)品全生命周期安全需求），用于審計(jì)設(shè)備生產(chǎn)過程的安全性；針對(duì)方法二，NESAS采用了3GPP制定的SCAS系列標(biāo)準(zhǔn)，包括通用安全保障需求、網(wǎng)絡(luò)產(chǎn)品安全保障方法論及針對(duì)5G網(wǎng)元功能發(fā)布的系列標(biāo)準(zhǔn)，用于評(píng)測(cè)5G網(wǎng)絡(luò)設(shè)備本身的安全性。

根據(jù)這兩種方法，GSMA定義了評(píng)價(jià)5G網(wǎng)絡(luò)設(shè)備安全性的流程（見圖2）。

設(shè)備供應(yīng)商可定義各自的流程，描述如何將安全性融入在產(chǎn)品的設(shè)計(jì)、開發(fā)、實(shí)現(xiàn)和維護(hù)過程中，并根據(jù)FS.16對(duì)流程的合規(guī)性進(jìn)行自我評(píng)定。設(shè)備供應(yīng)商可在GSMA任命的獨(dú)立審計(jì)專家組中選擇一位審計(jì)員并向其證明內(nèi)部所有流程與NESAS定義的安全需求一致。若審計(jì)員在審計(jì)后認(rèn)為該設(shè)備供應(yīng)商的內(nèi)部流程符合NESAS的要求，則可在GSMA的NESAS網(wǎng)站上發(fā)布審計(jì)報(bào)告。通過審計(jì)的設(shè)備商將生產(chǎn)的設(shè)備交給NESAS安全測(cè)試實(shí)驗(yàn)室，根據(jù)3GPP定義的SCAS系列標(biāo)準(zhǔn)對(duì)網(wǎng)絡(luò)設(shè)備的安全等級(jí)進(jìn)行測(cè)試，并驗(yàn)證通過審計(jì)的設(shè)備商內(nèi)部流程是否已應(yīng)用于被測(cè)的網(wǎng)絡(luò)設(shè)備中；最終，測(cè)試實(shí)驗(yàn)室依據(jù)評(píng)測(cè)結(jié)果出具評(píng)測(cè)報(bào)告。

（3）評(píng)價(jià)與分析

NESAS作為一個(gè)移動(dòng)產(chǎn)業(yè)的志愿計(jì)劃，給多方提供了行業(yè)解決方案。對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)商來(lái)說(shuō)，該方案的實(shí)施可以增加對(duì)網(wǎng)絡(luò)設(shè)備安全性的信心；對(duì)設(shè)備供應(yīng)商來(lái)說(shuō)，可在設(shè)計(jì)之初就將安全性融入產(chǎn)品中，促進(jìn)設(shè)備供應(yīng)行業(yè)形成的安全產(chǎn)品文化，同時(shí)也節(jié)約了向多個(gè)運(yùn)營(yíng)商證明其產(chǎn)品安全性的成本；對(duì)監(jiān)管部門來(lái)說(shuō)，一個(gè)統(tǒng)一的安全評(píng)測(cè)體系可減少大量的安全性測(cè)試負(fù)擔(dān)，提高了效率。但NESAS體系還未得到國(guó)際的統(tǒng)一認(rèn)可，其影響力有待提升。

3 我國(guó)5G網(wǎng)絡(luò)設(shè)備安全評(píng)測(cè)體系的構(gòu)建

隨著5G商用步伐的加快，5G網(wǎng)絡(luò)設(shè)備安全評(píng)測(cè)已逐漸成為運(yùn)營(yíng)商、設(shè)備供應(yīng)商、垂直行業(yè)及監(jiān)管部門的關(guān)注焦點(diǎn)，我國(guó)也致力于建立安全可靠、開放透明、合作共贏的5G全球生態(tài)鏈。根據(jù)前文對(duì)CC國(guó)際認(rèn)證和NESAS保障體系的總結(jié)及分析，后者對(duì)5G網(wǎng)絡(luò)設(shè)備的安全性評(píng)測(cè)更具有針對(duì)性，值得借鑒。關(guān)于推動(dòng)我國(guó)5G網(wǎng)絡(luò)設(shè)備的安全評(píng)測(cè)工作，可從3方面開展。

（1）同步參與國(guó)際標(biāo)準(zhǔn)研究，加快國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)推出

NESAS等國(guó)際設(shè)備安全評(píng)測(cè)標(biāo)準(zhǔn)在持續(xù)演進(jìn)中，我國(guó)應(yīng)鼓勵(lì)運(yùn)營(yíng)商、設(shè)備商、科研機(jī)構(gòu)等相關(guān)單位積極參與標(biāo)準(zhǔn)的研究工作，提高在國(guó)際標(biāo)準(zhǔn)上的話語(yǔ)權(quán)。同時(shí)，結(jié)合我國(guó)實(shí)際情況，加快國(guó)內(nèi)5G安全評(píng)測(cè)標(biāo)準(zhǔn)的制定與推出。

（2）推動(dòng)5G設(shè)備安全測(cè)試能力建設(shè)，提高實(shí)驗(yàn)室國(guó)際化水平

加大5G安全技術(shù)研發(fā)投入，加速開展5G安全測(cè)試研究工作，推動(dòng)5G設(shè)備安全測(cè)試能力建設(shè)。同時(shí)，關(guān)注國(guó)際上安全測(cè)試實(shí)驗(yàn)室認(rèn)證需求及流程動(dòng)態(tài)（如GSMA等），鼓勵(lì)國(guó)內(nèi)有關(guān)實(shí)驗(yàn)室參與國(guó)際上相關(guān)認(rèn)可實(shí)驗(yàn)室的申請(qǐng)工作，提高我國(guó)安全測(cè)試實(shí)驗(yàn)室國(guó)際化水平。

（3）加快我國(guó)5G設(shè)備安全評(píng)測(cè)體系構(gòu)建，推動(dòng)國(guó)際互認(rèn)

健全我國(guó)行業(yè)政策和安全框架，完善設(shè)備安全評(píng)測(cè)機(jī)制，構(gòu)建我國(guó)5G設(shè)備安全評(píng)測(cè)體系。同時(shí)，加強(qiáng)5G安全領(lǐng)域國(guó)際交流與合作，推動(dòng)我國(guó)5G安全設(shè)備檢測(cè)工作與國(guó)際接軌，實(shí)現(xiàn)5G設(shè)備安全檢測(cè)體系國(guó)際互認(rèn)。