- 博客(18)
- 收藏
- 关注
RSS订阅原创 望安科技赞助并出席 2025 CCF 中国软件大会,共话形式化验证与原生安全最新发展
2025年11月28日—11月30日,2025 CCF 中国软件大会在湖北省武汉国际会议中心圆满举办。作为本届大会的赞助单位,与华为、蚂蚁集团、百度、浪潮等企业共同支持大会顺利举办。大会期间,望安科技携四场论坛报告亮相,集中展示了团队在“原生安全”和“形式化验证”领域的最新研究成果与技术进展。CCF 中国软件大会由全国软件与应用学术会议(NASAC)与全国形式化方法与应用会议(FMAC)有机组成,是目前国内软件科学与工程领域参会人数最多、影响范围最广的年度盛会。
2025-12-03 15:48:45
927
原创 数据泄露和滥用事件增多,FIPS 140-3 成为关键防护基线
2025年4月,安全团队发现攻击者利用Stripe弃用但仍在运行的旧版API验证被盗信用卡信息,精准筛选有效卡片进行滥用。事件暴露出支付系统在API版本管理和数据加密方面的薄弱环节:即便采用基础加密措施,若核心加密模块缺乏安全认证(如FIPS140-3标准),攻击者仍可通过外围漏洞截取数据。FIPS140-3作为国际权威标准,通过严格规范加密模块的密钥管理、物理防护和完整性自检等机制,为系统提供全链路可信保障。该事件警示企业:数据安全需从单一算法保护转向体系化防御,采用认证加密模块才能有效应对现代网络威胁。
2025-11-19 18:04:40
823
原创 10月产品安全认证月报:华为、苹果等企业通过多项国际认证
10月全球安全认证盘点:CC、EUCC、国内CC及FIPS140-3项目进展显著,各大厂商合规突破不断。在网络安全监管趋严背景下,望安科技梳理最新认证动态,展现行业安全合规新成果。
2025-11-06 16:56:08
212
原创 打造可信国产操作系统,CC认证发挥关键作用
CC认证对产品提出了全生命周期的安全要求,包括设计阶段的安全架构审查、开发阶段的源代码分析与安全测试,以及运维阶段的配置管理与更新保障。形式化验证的引入,不仅提升了国产操作系统的可信度,也推动了我国在形式化验证工具与技术体系方面的进步,为未来更高等级的安全保障奠定基础。国产操作系统通过CC认证,不仅意味着其安全功能符合国际标准,也能在国内建立统一的安全评价基线,支撑行业监管、等级保护、关键信息基础设施安全要求的落地。CC认证的价值,不仅在于技术标准的引入,更在于构建可验证的信任机制。
2025-10-30 14:00:00
525
原创 CC EAL高等级认证与形式化验证要求
CC认证体系是国际标准化组织制定的信息技术安全评估标准。CC认证通过定义安全功能需求(SFR)和安全保障需求(SAR),为不同安全目标的产品提供了可重复、可比对的评估机制。在CC框架下,EAL等级EAL1:功能测试,主要验证产品的基本安全功能;EAL2:结构测试,对设计和测试过程进行初步审查;EAL3:系统测试与检查,要求具备系统性设计与安全策略;EAL4:系统测试与复查,是商业产品常用的高保证等级;EAL5:半形式化设计与测试,要求更系统化的安全架构设计与验证;EAL6。
2025-10-17 14:30:25
986
原创 联邦信息处理标准FIPS 140-3认证,一文带你读懂密码模块安全标准
FIPS140-3是全球权威的密码模块安全标准,由美国NIST与加拿大CSEC联合制定,适用于政府、金融及关键基础设施领域。该标准包含四个安全等级和11个安全领域,从基本算法保护到军事级防御逐步增强。认证流程包括申请、评估、测试和持续监督,通过后能显著提升产品安全性、合规性和市场竞争力。随着2026年FIPS140-2停用,该认证已成为企业进入国际市场的关键通行证,尤其在云计算、5G和IoT等新兴领域具有重要战略价值。
2025-09-18 14:09:45
906
原创 安全完整性等级SIL认证:基于IEC 61508标准的功能安全体系
以电子为基础的安全系统提出一个一致的、合理的技术方案。通过建立一个基础的评价方法,该标准旨在统筹考虑安全相关系统的全生命周期,包括设计、开发、生产、安装、运行和维护等各个阶段。该标准为电气、电子和可编程电子安全相关系统的设计、开发、安装、操作和维护提供了通用的方法和要求,旨在确保这些系统在面对各种故障和危险情况时,能够有效地保护人员、设备和环境的安全。公司致力于为国家重大项目、关键系统及行业企业提供安全保障,覆盖航空航天、国防、轨道交通、区块链、物联网、工业控制、芯片设计、操作系统、数据库等重大行业。
2025-09-11 16:00:00
2137
原创 CC认证体系,EAL信息安全产品测评认证级别:您的产品需要达到哪一级?
EAL认证等级解析:从EAL1到EAL7的权威指南 摘要:Common Criteria(CC)认证是国际权威的IT产品安全标准,其中EAL等级(Evaluation Assurance Level)是核心评估指标。本文详细解析EAL1至EAL7七个等级的区别:EAL1仅需功能测试;EAL2增加开发过程审查;EAL3要求系统化测试;EAL4是商用主流标准;EAL5引入数学建模;EAL6适用于军工级;EAL7则需完全形式化验证。企业应根据产品类型、市场需求和研发能力选择合适等级,平衡安全需求与认证成本。建议消
2025-09-04 17:00:00
1601
原创 欧盟EUCC认证与《网络弹性法案》CRA深度解读:企业如何应对欧洲网络安全新规
EUCC认证和CRA网络弹性法案并非两套独立体系,而是互为补充、协同推进的欧洲网络安全治理框架:1.CRA通过立法强制数字产品安全合规;2.EUCC提供统一技术认证方案,为厂商提供“合规捷径”;3.对于关键类产品,EUCC是进入欧盟市场的安全“入场券”。对于计划进入欧盟市场的ICT产品厂商而言,提前布局EUCC不仅是满足法规要求的最佳捷径,更是提升产品竞争力和国际信誉的战略选择。随着CRA的全面落地和EUCC认证的推广,欧洲数字市场将朝着更高安全标准、更强监管一致性的方向发展。
2025-08-28 16:00:00
1386
1
原创 EUCC——欧盟通用标准网络安全认证
EUCC认证的实施,是欧盟网络安全战略的重要组成部分。常见的ICT产品包括:智能手机、平板电脑、笔记本电脑、台式电脑、服务器、路由器、交换机、无线接入点、打印机、复印机、扫描仪、投影仪、摄像头、麦克风、调制解调器、防火墙、存储设备视频会议终端、网络电视盒子、电子白板等。奥地利、比利时、保加利亚、塞浦路斯、捷克、克罗地亚、丹麦、爱沙尼亚、芬兰、法国、德国、 希腊、匈牙利、爱尔兰、意大利拉脱维亚、罗马尼亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、斯洛伐克、斯洛文尼亚、西班牙、瑞典。
2025-08-21 16:00:00
1560
原创 EUCC新规:欧盟通报《信息与通信技术网络安全认证实施条例》修订案
欧盟修订《信息与通信技术网络安全认证实施条例》,优化EUCC认证体系。新规引入产品系列认证、变更分级管理,更新技术文件要求,并简化证书标识。适用于集成电路、网络设备等ICT产品,要求企业提前规划认证策略,建立变更管理机制。修订案评议期至2025年10月,企业需关注合规要求以降低市场准入风险。望安科技已与欧盟评估机构合作,可提供专业认证服务支持。
2025-08-15 17:57:19
1880
原创 CRA法案深度解读:EUCC或成为认证领域的重要标杆
2025 年 6 月 3 日,欧盟安全机构(ENISA)举办了一场关于欧盟网络安全认证(EUCC)与欧盟《网络弹性法案》(以下简称为CRA)相互作用的研讨会,深入探讨了两者之间的协同效应以及对行业的影响,为企业指明了应对欧盟网络安全新规的实践路径。其次,通过强制安全更新机制,制造商应提供至少五年时间(若产品的使用寿命低于5年,则覆盖产品全生命周期)的安全更新,这将有效解决“弃婴设备”这一长期困扰消费者的问题。更重要的是,CRA 有望像 GDPR 一样成为全球标准,进一步巩固欧盟在数字规则制定领域的话语权。
2025-06-26 16:37:46
542
1
原创 形式化验证:构筑ASML光刻机的“零缺陷”防线
ASML的Coco平台集成了命令式编程语言Coco(专为基于状态机的同步事件驱动软件系统设计)与模型检查工具Cosmos(用于形式化验证Coco程序,如检查是否存在死锁、活锁、竞争条件及响应性等),并能生成可执行代码。ASML的光刻机旨在实现高精度、高一致性的芯片图案印刷,然而在面对大规模量产的需求,任何细微的偏差都可能引发连锁反应,导致良品率下降甚至生产停滞。利用形式化验证(模型检验)技术,通过验证机器行为的规范模型并从中自动生成语义等效的正确代码,从而在源头杜绝错误,确保系统在高强度运行下的稳定性。
2025-05-23 14:40:38
494
原创 GB/T 45577国标 《数据安全技术 数据安全风险评估方法》
同时,提出了企业需要明确的网络安全防护、数据脱敏、防泄漏、行为审计等技术要求,并且要求建立数据安全组织架构、人员培训、应急预案等制度。对于企业而言,主动应对标准的挑战意味着更早的进入价值创造环节,通过数据安全评估,企业既能规避监管风险、守护用户信任,更能以数据合规激活创新潜力,在跨境业务、产业链协作中构建差异化竞争优势,不仅是数据安全的技术规范,更是提升数字经济全球竞争力的重要举措,为数字经济参与国际合作提供制度支撑,推动形成安全与发展相互促进的良性循环,确实数字经济在安全轨道上实现高质量发展。
2025-05-22 11:13:43
2134
原创 <CC认证>关税壁垒高筑,国际贸易竞争加剧:中国电子产品出口路在何方?
同时,电子产品生产企业和专业认证机构的合作配合,可以凭借认证机构丰富的认证经验和专业知识,更加轻松的提高企业认证的成功率,提高效率。在当下全球贸易摩擦的状态下,前瞻性的布局CC认证,可以对冲未来贸易规则,在关税浪潮下赢得更大的市场空间。而同样作为市场门槛的CC认证(Common Criteria Certification),国际上公认的信息安全评估标准,也使得技术合规成为了企业出海不可避免的话题2025年2月,欧盟EUCC正式启动,这无疑也为本就严峻的电子产品出口格局提出了新的挑战。
2025-05-20 15:02:03
1356
原创 还在关注EAL4+?IT产品安全早已进入5+时代
但是,一旦通过形式化验证的方法,我们可以建立数学模型,将|x-3|根据x取值范围,通过数学推理的方式转化为3-x和x-3,与原有程序的x-3进行对比,从而发现问题。根据目前国内企业的认证数据来看,国内产品信息安全认证难度是三者中最低的,其次是国际的Common Criteria,最高是欧洲的EUCC。当然以上是一个及其简单的案例,实际上形式化需要投入的成本大约在源代码的20倍,国内也有例如望安科技等企业开发了AVC等相关形式化验证测试工具,将成本降低至3倍左右,在此不再展开。
2025-04-27 15:48:00
445
原创 中小企业如何低成本通过EAL4+认证?
根据对部分企业的调查采访,一般初次接触国内EAL4+认证的员工都会被需要的认证文档材料吓到,以望安曾经服务的案例举例:一份EAL4+的认证材料基本在600页左右,其中需要对产品安全性做大量的分析与测试,同时还应符合实验室的要求。国内EAL认证方面有以望安科技为首的少部分机构可以提供EAL认证的咨询服务,其中望安科技曾经完成过小米EAL5+的认证,已在高等级领域积累了丰富的经验。别再让 EAL4 + 认证的成本阻碍企业发展,快与望安科技携手,踏上低成本认证的快车道,开启企业产品安全与市场竞争力提升的新篇章!
2025-03-12 15:13:33
1187
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人