网安中心颁发国内首张“IT产品信息安全认证（EAL4+）”证书

2020华为技术有限公司（以下简称“华为”）春季新品发布会上正式发布P40系列手机，并宣布其移动智能终端操作系统EMUI 10.1获得国内首张“IT产品信息安全认证（EAL4+）”证书。该证书的背后，凝结着中国网络安全审查技术与认证中心（以下简称“网安中心”）技术和管理专家们历时7个月披荆斩棘、日夜奋战的辛勤汗水。

谈起这次不同寻常的认证经历，网安中心技术和管理专家的感触良多。目前在国际上有能力自主研发移动智能终端操作系统的企业并不多，获得EAL4+认证的仅有Windows Mobile 6.1和6.5两个版本，同时因为安全技术保护策略，公开的相关技术资料并不多。网安中心作为国家网络和信息安全认证方面的权威技术机构，虽然一直跟踪研究相关国际标准，制定相关技术要求百余项，颁发证书的最高级别也已达EAL5+，但操作系统的EAL4+认证尚属首次。

时间紧、任务重、难度大、要求高，是这次认证要攻克的一道道难关。目标在前，使命催征。如何高效高质量地开展认证，网安中心进行了深入研究，决定依据积累，尽快研发出一套科学、适用的认证规范。2019年7月，收到华为认证申请后不到1个月时间，网安中心就迅速调集了行业内高级专家，建起一支针对移动智能终端操作系统的安全评估专家团队，就制订《移动智能终端操作系统安全技术要求（评估保障级4增强级）》，参照国际、国家相关标准和产业实际，夜以继日地反复研讨、论证，使该技术要求既符合通用评估准则（CC）EAL4+要求，又切合移动智能终端操作系统产品实际，而且满足适用性广、可操作性强的要求，提出了EAL4+保护轮廓，在产品安全设计、隐私保护及缺陷纠正等方面内容做了扩展与增强。12月6日，《移动智能终端操作系统安全技术要求（评估保障级4增强级）》的专家评审会在北京举行，经过了安全认证领域行业专家、检测机构、企业代表等组成的评审委员会的反复讨论和质询，最终通过评审。就此，国内首个针对移动智能终端操作系统提出的EAL4+安全技术规范正式发布，为我国IT产品安全高级别评估认证提供了依据。

有了标准，实施认证的过程依旧挑战不断。这次认证的移动智能终端操作系统，有着上千万级的代码量，涉及安全的代码量近百万，功能庞大、结构复杂，安全风险高。网安中心为此制定了详细的认证计划，对可能影响项目进度和认证质量的潜在风险进行了预研，调集了业内最优秀的认证专家和技术骨干，严格按计划推进各项工作，并对关键环节进行重点监控。但始料未及的是，今年1月份以来爆发的新冠肺炎疫情，给认证过程增添了前所未有的难度，检测、现场审核等工作难以开展，各类技术人员不能按时到岗工作，认证进度难以把控。越是困难如山、挑战艰巨，越考验着迎难而上的勇气、坚韧不拔的精神。网安中心及时调整和创新工作方式，采用远程交流和现场交流相结合的方式，多线程同步推进，召开远程线上协调会几乎成了固定的工作模式，协调一次不成，再来第二次，不成再继续……终于在经历了5版认证方案、10余场专家论证会、百余天的线上线下评估和审核后，最终按期完成了EMUI 10.1系统的型式试验、代码分析、文档审核、渗透性测试等既定动作，并通过认证评定。认证结果表明，华为EMUI 10.1系统，从设计开发到交付的整个生命周期具有较高的安全保障能力，产品自身具有较强安全性，能够抵御较高强度的恶意攻击。2020年3月18日，网安中心正式为华为颁发IT产品信息安全认证（EAL4增强级）证书。

用汗水浇灌收获，以实干笃定前行，不凡之年成就不凡事业。2020年4月8日在华为春季新品发布会上，当网安中心的盾牌LOGO出现在P40手机发布会的大屏幕时，华为消费者业务CEO余承东先生自豪地宣布EMUI 10.1系统获得了国内首张“IT产品信息安全认证（EAL4+）”证书，它表明华为在基础软件自主研发和安全保障方面达到国际同行最高水平！这不仅让不畏艰难、砥砺前行的华为人感动骄傲，也让为促进国内产品安全水平提升及产业健康发展而默默奉献着的“网安人”倍感自豪。随着我国企业在核心IT产品自主研发方面的不断创新突破，网络安全认证将在保障这些产品的安全性和规范化生产，乃至保障供应链安全上发挥更加有力的技术支撑作用。

来源：中国网络安全审查技术与认证中心