openGauss 内核荣获中国首个国际 CC EAL4+ 级别认证
openGauss 内核荣获中国首个国际 CC EAL4+级别认证
近日,基于 openGauss 开发的 GaussDB Kernel 数据库内核正式通过全球知名独立认证机构 SGS Brightsight 实验室的安全评估,获得全球权威信息技术安全性评估标准 CC EAL4+级别认证。
信息技术安全性评估通用标准(Common Criteria for Information Technology Security Evaluation,CC)是目前国际上 IT 产品领域认可范围最广的安全认证,全球有 31 个国家加入 CC 互认协定(CCRA),也是国际公认计算机维度的顶级安全认证。该标准设置了 EAL1~EAL7 的不同评估等级,等级越高,评估要求的证据越多,评估越严格,意味着被评估的功能越安全。
2020 年 6 月 30 日,华为正式开源其数据库产品,开源后命名为 openGauss,开源数据库 openGauss 和华为 GaussDB 数据库内核同源,采用相同的安全体系架构。本次 GaussDB Kernel 通过 CC EAL4+认证,是中国首个获得国际 CC EAL4+级别认证的数据库产品,也是当前数据库产品获得 CC 标准的最高级别认证。这也意味着 openGauss 安全体系架构完全满足国际权威认证机构严格的安全标准,具备行业领先的数据安全保障能力,可为广大用户提供安全可靠的数据库服务。
要取得 CC EAL4+认证, 首先要完成安全目标 (ST) 描述,包括对产品整体架构和产品安全功能的概述、对潜在安全威胁的评估以及自我评估测试,并通过 ARC、FSP、TDS、ALC 等系列文档对整个产品的架构、接口、功能和研发流程进行精细化描述,其次需由有许可的独立实验室完成产品安全功能测试及验证,并评估其是否符合通用安全标准。在产品通过评估后,由证书授权方颁发安全属性认证,证书需得到该认证团体所有签署者的认可。这套严格且成体系的认证过程也验证了 openGauss 内核的整个研发过程的安全可信。
openGauss 秉承共享、共治、共建理念,聚焦关键行业核心场景联合客户持续创新。目前生态伙伴商业发行版、行业用户自用版已在金融、电信、政府、能源、制造等行业核心业务中规模商用,在中国邮政储蓄银行、中国民生银行、中国移动、中国联通、国家电网、比亚迪等行业头部用户广泛应用。
评论