EUCC认证是欧盟网络安全局(ENISA)依据《网络安全法案》所确立的框架开发而成,其构建过程充分参考了现有行业方案与标准。这一认证机制为产品及服务供应商提供了一种合规凭证,使其可向市场证明并宣介自身解决方案的网络安全能力。
通过在欧盟层面建立统一的网络安全认证体系,EUCC旨在实现全欧范围内ICT解决方案安全等级的互认——这一举措将帮助供应商与服务提供商打破区域壁垒,触达更广泛的欧盟客户群体。
当前,欧盟网络安全认证方案属于自愿参与性质,核心目标是强化欧盟数字单一市场的协同性;而从长期规划来看,该认证也有望成为满足其他欧盟法规(如电子身份认证法案eIDAS)要求的合规手段,未来此类法规或可能将欧盟网络安全认证列为强制性合规条件。
一、EUCC认证等级体系解析:与CCEAL的对应关系及脆弱性分析分级
EUCC认证基于产品的网络安全风险与脆弱性防护能力,划分为多个等级,每个等级对应特定的AVA.VAN脆弱性分析要求:
首先是实质性等级(Substantial),该等级适用于中等风险产品的标准级认证,需验证产品安全功能的有效性与结构性。对标EAL1-EAL3,从验证产品安全功能的基本可用性,到完成系统级安全功能的测试与文档一致性核查,覆盖 AVA.VAN.1~AVA.VAN.2——需完成基础至中等强度的脆弱性扫描与分析。
展开剩余65%其次是高等级(High),这是针对关键基础设施、高风险数字产品的增强级认证,要求安全设计的形式化验证。对标EAL4-EAL7,需要对安全设计文档与实现的一致性进行深度复查,更甚通过半形式化/形式化方法,验证安全功能的逻辑正确性与抗攻击能力,覆盖 AVA.VAN.3~AVA.VAN.5——需完成深度脆弱性分析、渗透测试及安全设计验证。
二、EUCC认证参与角色介绍:专项认证的全流程协作体系
在进行EUCC认证时,需要明确认证流程中几个核心主体的职责。“发起者-测评机构-认证机构”几个角色共同构成了该专项认证的全流程协作体系,覆盖了“申请-开发-测评-发证”的完整环节。
发起者需要负责提出认证申请,并为整个测评过程提供支持。同时,作为评估对象(如产品/系统)的开发方,需要负责准备评估所需材料、配合测评工作,并明确评估对象需满足的安全要求
测评机构则需要依据发起者/开发者提供的测评证据,执行具体的测评任务(如安全测试、文档审核),并将测评结果提交给认证机构
最后由认证机构负责建立并维护认证体系,监督测评机构的工作,并根据测评结果出具认证/验证报告及证书。
三、EUCC认证实施流程全周期:四个阶段流程内容介绍
EUCC认证流程依次推进
首先进入提交申请环节,此环节需配置若干人力自主编制ST初稿,初稿若不符合规范,认证申请将被驳回,直接造成认证失败
随后进入测试证据准备阶段,该阶段周期约8个月,需配置6名人力完成超500页认证材料的筹备工作
之后进入测试阶段,此阶段周期约6+n个月,需配置2名人力开展实验室对接、产品优化及认证材料修订工作,若现场审查出现重大不符合项,将延长认证周期,甚至导致认证失败
最后进入发证阶段,周期为3个月,整体流程中部分环节的耗时存在不确定性。
过程中不仅需要保证各文档符合CC规范的语言。与同样需要大量文档的其他认证相比(如iso9001质量管理体系),EUCC认证需要经过大量的安全技术分析,而非简单的填充模板、模板文字替换。
四、望安科技助力企业认证
作为国内唯一全球电子信息产品认证出海服务企业也是国内首家具备高等级认证(EAL5-7 EUCC High)能力服务企业,望安科技在 EUCC、CRA 合规、形式化验证、安全架构设计 等方面拥有成熟经验,可为企业提供全流程支持,助力企业更快更准确通过认证,获得进入欧盟市场的“敲门砖”。
发布于:浙江省富腾优配提示:文章来自网络,不代表本站观点。
