EAL简介（Evaluation Assurance Level，评估保证级别）

一、什么是信息安全风险评估？

    信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。

简单来说就是在信息系统在接入互联网之前进行信息安全风险评估，提前确定系统的网络安全漏洞情况，是否符合系统入网安全评估的测评标准以及网络安全等级保护测评的标准。

二、根据信息安全技术评估准则，即CC，信息技术安全产品的评估由1-7个等级来划分：

1. EAL1：功能测试

2. EAL2：结构测试

3. EAL3：系统的测试和检测

4. EAL4：系统的设计、测试、复查

5. EAL5：半形式化设计和测试

6. EAL6：半形式化验证的设计和测试

7. EAL7：形式化验证的设计和测试

分级评估是通过对信息技术产品的安全性进行独立评估后所取得的安全保证等级，表明产品的安全性及可信度。获得的认证级别越高，安全性与可信度越高，产品可对抗更高级别的威胁，适用于较高的风险环境。  

不同的应用场合（或环境）对信息技术产品能够提供的安全性保证程度的要求不同。产品认证所需代价随着认证级别升高而增加。通过区分认证级别满足适应不同使用环境的需要。  

7个级别的高低次序在确定时权衡了各个级别所获得的保证、达到该保证度所需的测评认证代价，以及测评认证工作的可行性。每个高级别的认证级别都要比所有较低级别提供更多的保证，通过在同一保证类中高级别的保证组件替换低级别的相应组件（即增加严格性、范围或深度），或增加另一个保证类中的保证组件（例如，添加新的保证要求）来实现。