2024年数据库国测的结果,于9月份的最后一天发布了。
对于数据库行业的从业者来说,国测是我们绕不过去的坎儿。那么什么是国测?为什么要通过国测,以及国测的要求有哪些?
这篇文章带大家一探究竟。
国测
自愿平等、客观公正
什么是国测?
国测是中国信息安全测评中心和国家保密科技测评中心推出的安全可靠测评
国测,通俗来讲,就是安全测评。
国测的官网是:中国信息安全测评中心
网址:http://www.itsec.gov.cn/
目的
为什么要进行国测?
安全可靠测评的目的是对计算机终端和服务器搭载的基础软硬件产品(包括数据库)进行全面的安全评估,以确保这些产品的安全性和可靠性。 这有助于提升关键信息基础设施、金融服务、医疗卫生、政府机构等行业的信息安全保障水平。
对象
国测针对哪些产品?
安全可靠测评的对象主要是计算机终端和服务器搭载的软硬件产品,包括中央处理器(CPU)、操作系统、数据库等。 这些产品都是信息系统的重要组成部分,其安全性和可靠性直接关系到整个信息系统的安全稳定。
国测指南
测评流程与申请条件
安全可靠测评申请流程分为材料提交、材料审核、受理评审3个阶段。
为确保测评工作的顺利进行,送测单位需满足以下申请条件:
- 送测单位应为中国境内注册的实体,具有送测产品完备的研发文档、设计资料、代码数据和研发环境。
- 送测单位需拥有与送测产品相关的发明专利、商标、著作权等知识产权或授权。
- 送测单位应具备与送测产品研发设计、生产制造、供应保障、售后维护相匹配的人员队伍和工作环境。
- 送测单位应不存在违反中国法律法规的行为和记录。
- 送测单位应不存在依据中国相关法规条例认定的知识产权滥用、失信等行为。
1、材料提交
送测单位需遵循自主自愿的原则,在规定的受理期内,通过电子邮件方式向上述两个测评中心提交**《安全可靠测评申请登记表》** 的扫描件。
受理期每年固定两次,分别为
- 1月第一个工作日至2月最后一个工作日
- 7月第一个工作日至8月最后一个工作日
邮件发送地址分别为PDTSCC的pdtscc@mail.itsec.gov.cn和NSSTEC的nsstecaqkk@163.com。
测评机构在收到申请登记表后,将在5个工作日内通知送测单位前往指定地点领取测评申请材料清单。送测单位需根据清单准备相关材料,并确保材料的真实性。在受理期内,送测单位需将这些材料提交至测评机构。
2、材料审核
测评机构收到送测单位提交的申请材料后,将开展严格的材料审核工作。审核周期通常为15个工作日,之后测评机构会向送测单位反馈审核意见。
若材料审核通过,送测单位将进入受理评审环节。若未通过,送测单位可根据审核意见在受理期内补充完善申请材料并重新提交。值得注意的是,受理期截止后,测评机构将不再接受任何申请材料和补充材料。
3、受理评审
受理期结束后,测评机构将根据送测单位提交的申请材料进行受理评审,并反馈评审结果。
对于通过受理评审的送测单位,测评机构将与其明确测试样品和测评材料的相关要求,核定测评工作量,确定测评费用,并签订测评协议。随后,送测单位将进入测评实施环节。
若送测单位未通过受理评审或未能与测评机构达成测评协议,则本次测评将终止。
测评实施
信息安全产品测评流程与主要内容
1、测评启动
测评流程始于测评机构的通知。送测单位在接到通知后的10个工作日内,需提交测试样品及测评材料。测评机构在确认这些材料及样品无误后,将正式启动测评工作。
2、测评开展
测评过程涵盖了多个环节,包括但不限于材料核验、人员访谈、代码审查、环境审查、现场测试、现场考核以及样品测试。在这一阶段,送测单位需积极响应测评机构的需求,提供必要的技术支持或补充相关材料。若测试样品出现问题,送测单位需及时更换或补充。
原则上,测评机构将在测评启动后的90个工作日内完成测评。但请注意,送测单位补充材料、更换或补充样品的时间不计入测评周期。如遇特殊情况或不可抗力,测评周期可适当延长。
在测评过程中,若发现送测产品存在可能影响或涉及网络安全法律法规的问题,需先确认产品符合相关法律法规后,再继续测评。同时,若送测单位存在隐瞒、欺骗、提交虚假材料或不配合测评等行为,测评机构将终止本次测评,并作出不通过处理,且在两年内不再受理其测评申请。
3、结果评定
测评完成后,测评机构将对测评情况进行分级评定,并出具安全可靠测评结果。
4、测评主要内容
测评内容主要针对送测产品和送测单位进行。
对于送测产品,测评将关注其
- 设计、开发、生产等关键环节是否在中国境内完成,是否实施了必要的安全防护措施;
- 是否遵守了中华人民共和国知识产权相关法律法规和行业标准规范;
- 是否存在未声明功能和已知安全风险;
- 安全风险防护能力如何;
- 供应链安全性和持续稳定性如何;
- 服务保障是否安全、持续稳定且可追溯;
- 是否符合中华人民共和国网络安全相关的法律法规及技术标准;
- 以及是否满足技术要件对测评机构充分公开和可追溯的要求。
对于送测单位,测评将关注其
- 是否依据中华人民共和国相关法律法规合法合规运营,并具备相关的运营、研发、管理、服务等资质;
- 是否实施了知识产权保护及管理;
- 是否对核心数据、重要数据进行了保护;
- 供应链服务的情况或风险如何;
- 是否具备与送测产品研发设计、生产制造、供应保障、售后维护相匹配的人员队伍;
- 是否具备产品定制开发能力,并能基于自身产品构建产业生态,保持生态开放性、透明性,满足各种应用场景需求;
- 是否具备漏洞响应等能力与管理机制;
- 是否具备及时有效的售后服务能力与管理机制;
- 是否具备送测产品的独立研发能力,并拥有相关知识产权保护;
- 是否具备送测产品的研发环境及过程记录;
- 是否确保测评材料对测评机构充分公开和可追溯。
综上所述,信息安全产品的测评流程严格且全面,旨在确保产品的安全可靠,为信息安全领域的发展提供有力保障。
结果查询
1.送测单位可通过中国信息安全测评中心(网址:
www.itsec.gov.cn)和国家保密科技测评中心(网址:www.nsstec.org.cn)官方网站查询测评结果,测评结果自发布之日起有效期3年。
为什么测评的有效期是3年?
一方面是产品的升级迭代,一方面是网络攻击的手段和技术也更新迭代了。
所以测评结果肯定是有时效性的,但如果时间太短,测评过程中需要投入大量的人力、物力和财力,成本太高,将有效期定在3年,可以在一定程度上平衡测评成本与效率之间的关系。
2.测评结果有效期内,若送测单位出现实控人或控股权发生变化、产品技术路线更换、产品被发现重大安全漏洞等可能影响测评结果的情形,送测单位应及时告知测评机构。未及时告知的,测评机构有权视情处置,直至取消产品测评结果。
- 在测评过程中,尽量不要发生如上的情况,影响测评结果
3.送测单位对测评结果有异议,采用书面方式向测评机构提出申诉。一般情况下,测评机构30个工作日内予以答复。
4.未通过测评的送测产品,送测单位一年内不得重复送测同类产品。
- 也就是说,没通过,要再等一年。
国测结果分析
以下是2024年9月30日发布的国测结果:
需要注意是的:
- 时间有效期:国测的结果有效期为三年,因此,在有效期内,清单上的产品都是经过国家权威机构认证的安全可靠产品。
- 产品分类与级别:国测清单将产品分为集中式和分布式两大类,并分别给出了一级和二级的认证级别。其中,二级认证是目前的最高级别,表明产品在安全可靠方面达到了国家层面的最高标准。(实际上分为1-4级)
- 产品版本与名称:国测清单对产品的版本和名称都有严格的要求。因此,在选择产品时,需要仔细核对产品的版本和名称是否与清单上的信息一致。
- 产品选择与应用:对于信创要求比较严格的单位,在选择数据库产品时,需要认真分析产品的性能、安全可靠性以及是否符合国家层面的政策要求。同时,还需要注意产品的版本问题,确保所选产品是经过国家权威机构认证的安全可靠版本。
比如,PolarDB是一个总的品牌或产品线,但旗下的不同产品(如PolarDB-O、PolarDB-PG、PolarDB-M、PolarDB-X)在架构、功能、性能以及安全可靠性方面可能存在显著差异。因此,不能简单地将所有PolarDB产品都视为同一类产品或同等安全可靠。
具体来说,PolarDB-X作为分布式数据库产品,其通过国测意味着它在分布式数据库领域的安全可靠性得到了国家权威机构的认可。而PolarDB-O则是集中式数据库产品,其去年通过国测的版本与PolarDB-X在架构上存在本质区别。 同样,PolarDB-PG和PolarDB-M虽然与PolarDB-X有一定的技术关联或相似性,但也不能直接等同于PolarDB-X或视为同等安全可靠的产品。
对于信创要求比较严格的单位来说,在选择数据库产品时,需要认真分析产品的具体型号、版本、架构以及安全可靠性认证情况。同时,还需要考虑产品的兼容性、可扩展性、性能表现以及售后服务等因素。只有这样,才能确保所选产品符合信创要求,并能够满足单位的实际需求。
此外,建议相关单位在选择数据库产品时,加强与供应商或服务商的沟通与交流,充分了解产品的技术特点、应用场景以及安全可靠性等方面的信息。同时,也可以参考国家权威机构发布的测评报告或认证结果,以获取更加客观、准确的产品评价信息。
