IT产品信息安全认证（EAL4+/EAL5+级）芯片类及嵌入式软件类

一、芯片EAL4+/EAL5+级认证检测

　　随着信息时代的日益深化，芯片逐步成为各领域信息产品的核心，上至通讯卫星，下至生活中常见的手机、身份证、银行卡、汽车、物联网设备等都离不开芯片。在数字化时代，信息的流失、泄密随时能成为影响个人、社会乃至国家安全的隐患。保证信息安全的重中之重，就是确保做为信息产品核心芯片的安全。目前安全芯片产业已被列为国家信息安全战略之一，在政策的大力推动下，市场中涌现了大量应用于不同领域甚至不同业务场景的安全芯片。

　　随之而来芯片的安全性检测也被越来越多的行业所重视。针对日益增长的检测需求，信息安全实验室立足于金融行业，开展芯片EAL4+/EAL5+认证检测、移动金融安全芯片检测业务。未来实验室将不断开拓智能家居、车联网、工业控制等新领域，面向全行业开展芯片安全检测。

　　参考依据

　　GB/T 18336-2015《信息技术安全技术信息技术安全评估准则》

　　GB/T 22186-2016 《信息安全技术具有中央处理器的IC卡芯片安全技术要求》

　　检测内容

　　EAL4+/EAL5+检测内容

　　·型式试验

　　针对芯片的安全功能进行型式试验，确保厂商声明的安全功能实现的正确性、有效性，满足标准中所有的安全功能要求。

　　·安全保障评估

　　评估芯片从研发环节到最终交付给用户整个生命周期的安全保障措施，确保其完整性和可靠性。

　　·渗透性测试

　　结合设计资料，对芯片开展渗透性测试，以确保安全防护的有效性。

　　EAL4+与EAL5+的区别

　　EAL5+在EAL4+的基础上，提高了对芯片本身与其整个生命周期的安全性要求。型式试验方面增加了对安全功能测试的范围和强度；渗透性测试由验证性测试转为攻击性测试，将芯片抗攻击能力从中级提高为高级；安全保障能力评估方面增加了半形式化的设计描述、具有可经受结构化分析的架构体系以及其他保证TOE生命周期不可篡改性的机制，进一步增强了用户对芯片产品安全性的信心。

　　二、嵌入式软件EAL4+/EAL5+级认证检测

　　嵌入式软件安全检测通过对产品安全性进行评价来保障用户信息安全，维护用户利益。获得EAL4+/EAL5+认证证书的产品，表明其符合相关标准的技术要求，具有抵抗较高强度恶意攻击的能力。目前国内银行、电信、税务、石化、交通、社保等行业的智能卡产品多数要求EAL4+及以上安全级别，信息安全实验室立足于金融行业，提供针对嵌入式软件（COS）EAL4+/EAL5+的安全检测。

　　参考依据

　　GB/T 18336-2015 《信息技术安全技术信息技术安全评估准则》

　　GB/T 20276-2016 《信息安全技术具有中央处理器的IC卡嵌入软件安全技术要求》

　　检测内容

　　密钥生成、密钥销毁、密码运算、子集访问控制等29个检测项目。