openGauss 内核荣获中国首个国际 CC EAL4+级别认证

近日，基于 openGauss 开发的 GaussDB Kernel 数据库内核正式通过全球知名独立认证机构 SGS Brightsight 实验室的安全评估，获得全球权威信息技术安全性评估标准 CC EAL4+级别认证。

信息技术安全性评估通用标准（Common Criteria for Information Technology Security Evaluation，CC）是目前国际上 IT 产品领域认可范围最广的安全认证，全球有 31 个国家加入 CC 互认协定（CCRA），也是国际公认计算机维度的顶级安全认证。该标准设置了 EAL1~EAL7 的不同评估等级，等级越高，评估要求的证据越多，评估越严格，意味着被评估的功能越安全。

2020 年 6 月 30 日，华为正式开源其数据库产品，开源后命名为 openGauss，开源数据库 openGauss 和华为 GaussDB 数据库内核同源，采用相同的安全体系架构。本次 GaussDB Kernel 通过 CC EAL4+认证，是中国首个获得国际 CC EAL4+级别认证的数据库产品，也是当前数据库产品获得 CC 标准的最高级别认证。这也意味着 openGauss 安全体系架构完全满足国际权威认证机构严格的安全标准，具备行业领先的数据安全保障能力，可为广大用户提供安全可靠的数据库服务。

要取得 CC EAL4+认证, 首先要完成安全目标 (ST) 描述，包括对产品整体架构和产品安全功能的概述、对潜在安全威胁的评估以及自我评估测试，并通过 ARC、FSP、TDS、ALC 等系列文档对整个产品的架构、接口、功能和研发流程进行精细化描述，其次需由有许可的独立实验室完成产品安全功能测试及验证，并评估其是否符合通用安全标准。在产品通过评估后，由证书授权方颁发安全属性认证，证书需得到该认证团体所有签署者的认可。这套严格且成体系的认证过程也验证了 openGauss 内核的整个研发过程的安全可信。

openGauss 秉承共享、共治、共建理念，聚焦关键行业核心场景联合客户持续创新。目前生态伙伴商业发行版、行业用户自用版已在金融、电信、政府、能源、制造等行业核心业务中规模商用，在中国邮政储蓄银行、中国民生银行、中国移动、中国联通、国家电网、比亚迪等行业头部用户广泛应用。