簡介
1993年6月,美國政府同加拿大及歐共體共同起草單一的通用準則(CC標準)並將其推到國際標準。制定CC標準的目的是建立一個各國都能接受的通用的信息安全產品和系統的安全性評估準則。在美國的TCSEC、歐洲的ITSEC、加拿大的CTCPEC、美國的FC等信息安全準則的基礎上,由6個國家7方(美國國家安全局和國家技術標準研究所、加、英、法、德、荷)共同提出了“信息技術安全評價通用準則(The Common Criteria for Information Technology security Evaluation,CC )”,簡稱CC標準,它綜合了已有的信息安全的準則和標準,形成了一個更全面的框架。
作用
CC標準是信息技術安全性評估標準,用來評估信息系統、信息產品的安全性。CC標準的評估分為兩個方面:安全功能需求和安全保證需求。
主要內容
CC標準主要分為以下部分
簡介和一般模型、安全功能要求、安全保證要求
CC 通用評估準則 《信息技術安全性評估準則》
CC 評估保證級(EAL)由一系列保證組件構成的包,可以代表預先定義的保證尺度。
CC 並不是安全管理方面的標準,它提出了安全要求實現的功能和質量兩個原因。
ISO/IEC 15408(CC) = GB/T 18336
vISO/IEC 15408(CC)中保障被定義為:
實體滿足其安全目的的信心基礎(Grounds for confidence that an entity meets its security objectives)。
v主觀:信心
v客觀:性質(保密性、完整性、可用性)
v從客觀到主觀:能力與水平
我國
GB/T 18336國家標準 等同採用 國際標準 15408(CC)
在GB/T 18336 國際標準 15408(CC)中定義了以下7個評估保證級:
(1) 評估保證級1(EAL1)——功能測試;
(2) 評估保證級2(EAL2)——結構測試;
(3) 評估保證級3(EAL3)——系統地測試和檢查;
(4) 評估保證級4(EAL4)——系統地設計、測試和複查;
(5) 評估保證級5(EAL5)——半形式化設計和測試;
(6) 評估保證級6(EAL6)——半形式化驗證的設計和測試;
(7) 評估保證級7(EAL7)——形式化驗證的設計和測試。
分級評估是通過對信息技術產品的安全性進行獨立評估後所取得的安全保證等級,表明產品的安全性及可信度。獲得的認證級別越高,安全性與可信度越高,產品可對抗更高級別的威脅,適用於較高的風險環境。
不同的套用場合(或環境)對信息技術產品能夠提供的安全性保證程度的要求不同。產品認證所需代價隨著認證級別升高而增加。通過區分認證級別滿足適應不同使用環境的需要。
CC標準時是國際通行的信息技術產品安全性評價規範,它基於保護輪廓和安全目標提出安全需求,具有靈活性和合理性、基於功能要求和保證要求進行安全評估,能夠實現分級評估目標、不僅考慮了保密性評估要求,還考慮了完整性和可用性多方面安全要求。