概览
ADA CASA 安全保障级别是一种根据应用满足 CASA 要求的保证级别对应用安全性进行分类的方式。安全保障级别越高,说明对应用已实现所需 CASA 控制机制的置信度越高。
每个级别都必须满足所有要求,各级别之间的唯一区别 在于适用的评估方法。ADA CASA 安全保障级别提供了一种客观评估应用安全性的方式。安全保障级别越高,说明对应用已实现 CASA 控制机制的置信度越高。
安全保障级别 (AL)
| AL | 名称 | 说明 |
|
2
|
实验室测试 - 实验室验证 | 在此类评估的过程中,授权实验室将测试和验证 所有 CASA 要求。这是一项全面评估,用于测试 应用、应用部署基础架构和任何 用户数据存储位置是否符合所有 CASA 要求(如果适用)。开发者可以联系其中一家 ADA 授权实验室 来完成 AL2 评估。 |
|
1
|
实验室测试 - 实验室验证 | AL1 具有实验室测试和验证的安全保障级别, 开发者可以联系其中一家 ADA 授权实验室 来完成 AL1 评估。 |
安全保障级别计算
框架用户(Google 等)而非应用开发者 负责计算和确定所需的安全保障级别。CASA 建议使用以下参数来 计算应用所需的安全保障级别:
-
应用访问的数据的敏感度。每种数据 类型都可能被赋予风险权重,以影响 AL 计算。
-
每种访问的数据类型的用户数量。
-
公司风险容忍级别。
-
外部和内部风险指标。
重新验证要求
所有应用都必须每年重新验证一次。