一、EAL 认证是什么？

EAL 是 Evaluation Assurance Level 的缩写，通常译为“评估保障级”。它来源于 CC 标准体系，也就是信息技术安全评估通用准则。

在国内，EAL 认证主要依据 GB/T 18336《信息技术安全评估准则》系列标准开展。2024 年，GB/T 18336 系列标准已更新为“网络安全技术 信息技术安全评估准则”，其中第 2 部分 GB/T 18336.2-2024 已于 2024 年 4 月 25 日发布，并于 2024 年 11 月 1 日实施。

EAL 认证评估的是产品从安全目标、安全功能、架构设计、开发过程、配置管理、交付运行、测试验证到漏洞分析的一整套安全保障能力。也就是说，它不仅看产品“有没有漏洞”，还要看产品的安全功能是不是设计得清楚、实现得一致、测试得充分、过程能不能追溯。

二、为什么国内企业越来越重视 EAL3+、EAL4+、EAL5+？

从公开产品测评信息可以看到，国内大量网络安全产品已经取得 EAL3+ 级别认证，覆盖网络安全审计、上网行为管理、防火墙、入侵检测、入侵防御、终端威胁防御等产品类型。

与此同时，EAL4+、EAL5+ 也开始更多出现在安全网关、操作系统、可信执行环境、安全芯片、智能终端操作系统等高安全场景中。例如，华为公开资料显示，HarmonyOS NEXT 曾获得 CCRC EAL5+ 认证，华为 iTrustee 曾获得 CC EAL4+ 认证。

这说明一个趋势：
EAL3+ 更偏向产品安全能力的规范化证明，EAL4+ 开始进入高安全行业应用门槛，EAL5+ 则更强调高可信、高保障和关键基础产品能力。

对于企业而言，选择哪个等级，不是越高越好，而是要看产品类型、客户场景、行业要求、研发成熟度和认证投入能力。

三、EAL3+：适合多数网络安全产品和行业准入型产品

EAL3+ 是目前国内较常见的增强级评估保障级别，适合已经具备较成熟产品形态、需要向客户证明安全功能有效性和研发过程规范性的产品。

从公开测评公告看，EAL3+ 覆盖了很多典型网络安全产品，比如防火墙、入侵检测系统、入侵防御系统、网络安全审计系统、上网行为管理系统、终端威胁防御系统等。

这类产品通常面向政企、运营商、金融、能源、教育、医疗等客户，客户关注的不只是产品功能是否齐全，还包括访问控制、身份鉴别、安全审计、数据过滤、攻击防护、管理安全等能力是否经过第三方权威评估。

EAL3+ 适合的产品主要包括：

网络安全审计产品、日志审计产品、堡垒机、上网行为管理、防火墙、入侵检测/防御系统、终端安全产品、数据安全产品、车载计算安全芯片、部分行业专用安全组件等。

以车载计算芯片为例，地平线征程 5 曾通过 CCRC EAL3+ 产品信息安全认证，官方信息称其成为首家获得 CCRC 产品信息安全认证的车载计算芯片公司。

对于企业来说，EAL3+ 的重点不只是把功能做出来，而是要把安全功能边界讲清楚，把评估对象 TOE 定义清楚，并围绕安全目标、功能测试、漏洞分析、配置管理、交付文档等形成完整证据。

四、EAL4+：适合安全网关、操作系统、TEE、关键软件平台等高安全产品

EAL4+ 对产品设计、开发过程、测试覆盖、漏洞分析、现场核查等方面提出更高要求。奇安信在安全网关 EAL4+ 测评实践中提到，EAL4+ 测评过程包括证据评估、性能测试、独立性测试、穿透性测试、现场核查、回归测试等阶段。

EAL4+ 适合的产品主要包括：

安全网关、边界防护设备、操作系统、数据库安全产品、可信执行环境 TEE、智能终端安全系统、工业控制安全产品、密码模块支撑系统、重要行业基础软件平台、云安全基础组件等。

对于希望进入金融、电力、通信、政务、军工配套、重要工业场景的企业来说，EAL4+ 往往具有更强的市场背书价值。它代表产品不仅具备安全功能，还具备较成熟的工程化开发过程和较充分的安全验证基础。

但 EAL4+ 的难点也很明显：
很多企业产品本身功能没问题，但研发过程没有留下足够证据；安全架构讲不清楚；模块边界不清晰；测试用例无法覆盖安全功能要求；配置管理和交付流程不规范。这些问题都会直接影响认证进度。

五、EAL5+：面向高保障产品，核心难点在“设计深度”和“可信论证”

EAL5+ 是国内高保障级安全认证中非常受关注的等级，通常适用于安全芯片、操作系统内核、可信执行环境、高安全操作系统、安全关键组件等产品。

公开报道显示，国内 EAL5+ 认证早期在安全芯片领域实现突破，CFCA 联合 CCRC 完成过国内首个安全芯片 EAL5+ 认证工作。 近年来，操作系统、智能终端整机操作系统等领域也开始出现 EAL5+ 级别认证案例。

EAL5+ 与 EAL4+ 的差异，不只是“多一些文档、多做一些测试”。它更关注产品安全架构的严谨性、设计实现的一致性、开发过程的可控性，以及安全机制抵抗攻击的深度。

EAL5+ 适合的产品主要包括：

安全芯片、智能卡芯片、可信执行环境、操作系统内核、微内核操作系统、高安全移动终端操作系统、密码安全核心组件、关键基础软件、可信计算基础模块等。

这类产品通常位于系统底座或安全根位置，一旦出现安全缺陷，影响范围往往非常大。因此，EAL5+ 对产品的安全目标定义、威胁模型、形式化/半形式化设计描述、模块化架构、接口安全、测试深度和漏洞分析都会提出更高要求。

企业如果计划冲击 EAL5+，不能等到产品定型后再补认证材料。更合理的路径是从产品立项阶段就引入安全目标设计、威胁建模、安全架构分析、形式化验证、测试证据沉淀和配置管理机制。

六、EAL3+、EAL4+、EAL5+，企业到底该怎么选？

如果产品是常规网络安全设备，主要用于政企招投标、行业客户准入、产品安全背书，EAL3+ 通常是较现实的起点。

如果产品面向关键行业、高安全场景，或者客户明确要求更高保障等级，EAL4+ 更有竞争力，也更能体现企业研发流程和产品安全设计能力。

如果产品属于操作系统内核、TEE、安全芯片、可信计算基础模块等底层关键产品，并且企业希望建立行业领先的安全品牌，EAL5+ 才是更值得规划的方向。

但无论选择哪个等级，企业都需要先回答三个问题：

产品的评估对象 TOE 是什么？
产品要声明哪些安全功能？
企业能否提供足够完整、可追溯、可验证的研发和测试证据？

如果这三个问题没有想清楚，认证过程就很容易出现反复修改、周期延长、成本上升的问题。

七、国内 EAL 认证的真正难点：不是“送检”，而是“安全工程能力”

很多企业以为 EAL 认证的难点在检测机构，其实真正的难点往往在企业内部。

第一，安全目标写不清楚。
产品功能很多，但哪些属于安全功能？哪些纳入 TOE？哪些是运行环境提供的能力？如果边界不清，后续文档和测试都会失控。

第二，设计文档和代码实现对不上。
评估过程中，文档不是形式材料，而是要证明安全功能如何设计、如何实现、如何测试。如果设计描述和实际实现不一致，很容易被指出问题。

第三，测试证据不充分。
企业日常测试往往偏功能测试，而 EAL 认证要求围绕安全功能进行系统验证，包括独立测试、穿透测试、回归测试和脆弱性分析。

第四，研发过程缺少留痕。
高等级 EAL 认证非常重视配置管理、版本控制、交付流程和开发过程证据。如果企业研发过程不规范，后期补材料会非常困难。

第五，高等级认证缺少形式化验证能力支撑。
尤其是 EAL5+ 及更高保障级产品，仅靠传统测试很难充分证明核心安全机制的正确性。对于操作系统、微内核、TEE、安全芯片等产品，形式化方法能够在设计和实现层面提升安全论证的可信度。

八、形式化验证，正在成为高等级 EAL 认证的重要技术支撑

到了 EAL5+，产品往往已经进入高保障安全领域，仅依靠人工审查和传统测试，很难覆盖所有关键状态、边界条件和安全属性。这也是形式化验证价值越来越突出的原因。

形式化验证通过数学化的方法描述系统模型、安全属性和关键逻辑，并对系统是否满足安全要求进行严格证明。对于操作系统内核、访问控制机制、隔离机制、权限模型、状态机、密码协议、安全芯片逻辑等场景，形式化验证可以帮助企业更早发现设计缺陷，提升认证材料的可信度和安全论证深度。

对于计划冲击 EAL5+ 的企业来说，形式化验证不只是“高级技术展示”，而是可以实实在在帮助企业解决几个关键问题：

安全机制是否真的满足设计目标；
访问控制、隔离、权限转换等逻辑是否存在漏洞；
设计文档、模型和实现之间是否一致；
核心安全属性是否能够被严谨证明；
高等级认证所需的可信论证是否更充分。