概览
CASA 安全保障层级是一种根据应用符合 CASA 要求的保障程度对应用安全性进行分类的方式。保证层级越高,说明对应用已实现所需的 CASA 控制机制的信心就越高。
每个层级都必须满足所有要求,各层级之间的唯一区别在于所应用的评估方法。CASA 保证级别提供了一种客观评估应用安全性的方法。保证层级越高,说明应用已实现 CASA 控制措施的置信度越高。
层级
| 层级 | 名称 | 估计的实验时长 | 说明 |
|
3
|
经过实验室测试 - 经过实验室验证 | 60 | 在此类评估的过程中,授权实验室将测试和验证所有 CASA 要求。这是一项全面的评估,用于测试应用、应用部署基础架构和任何用户数据存储位置是否符合所有 CASA 要求(如适用) |
|
2
|
经过实验室测试 - 经过实验室验证 | 4 | 第 2 级具有经过实验室测试和验证的保证级别,开发者可以选择联系授权实验室之一来完成第 2 级评估。请参阅下文中的评估流程。 |
| 开发者测试 - 实验室验证 | 1 | 在此评估期间,应用开发者会使用 CASA 推荐的扫描工具扫描其应用,并将扫描结果提供给 ADA 进行验证。 | |
|
1
|
经过开发者测试 - 经过开发者验证 | 0 | 自我评估层级不是保证级别,因为它未经验证。此层级用于让开发者了解其应用是否已准备好接受 CASA 评估 |
安全保证
| 层级 | 应用 | 部署基础架构 | 数据存储 | 验证 |
| 第 2 级(开发者测试 - 实验室验证) | 经过开发者测试 | 开发者证明 | 开发者证明 | 授权实验室已验证 |
| 第 2 级(实验室测试 - 实验室验证) | 经过授权实验室测试 | 开发者证明 | 开发者证明 | 授权实验室已验证 |
| 第 3 级(经过实验室测试 - 经过实验室验证) | 经过授权实验室测试 | 经过授权实验室测试 | 经过授权实验室测试 | 授权实验室已验证 |
层级计算
框架用户(Google 等)而非应用开发者计算和确定层级。CASA 建议使用以下参数来计算应用所需保证层级:
-
应用所访问数据的敏感程度。每种数据类型都可能被赋予风险权重,以影响层级计算。
-
每种数据类型的访问用户数。
-
公司风险容忍度。
-
外部和内部风险指标。
重新验证要求
所有申请都必须每年重新验证。应用层级可以升级到更高级别。
