企业新闻

安全评估相关标准之FC中的CC

2018-04-03 15:19:03 | 来源:中培企业IT培训网

4.CC

信息技术安全评估通用标准( Common Criteria for Information Technology Sec,urity Evaluation,简称通用标准或CC)是计算机安全认证的国际标准(IS0/IEC 15408)。为了适应经济全球化的形势要求,在CC标准制定出不久,六国七方即推动国际标准化组织(ISO)将CC标准纳入国际标准体系。经过多年协商和磋切,国际标准组织于1999年批准CC标准以“ISO/IECl5408-1999”编号正式列入国际标准系列,标准名称为:Information technology - Security techniques - Evaluation criteria for IT securit),。2005年IS0对CC进行了改版,发布了ISO/IEC 15408:2005。其后又不断修订,最新版本为:IS015408-1:2009、IS015408-2:2008、 IS015408-3:2008。

GB/T18336国家标准等同采用国际标准IS015408,因此CC也是我国信息安全评估的匡l家标准。

通用标准作为评估框架,计算机系统用户可以通过使用保护配置文件( PP)来指定其安全功能和保证要求(分别为SFR和SAR),供应商可以实施和/或对其产品的安全属性进行声明测试实验室可以对产品进行评估,以确定其是否符合要求。换句话说,通用标准规定, 计算机安全产品的规范,实施和评估过程以严格,标准和可重复的方式进行与目标使用环境相称。

CC标准有一定的局限性:

◇CC标准采用半形式化语言,比较难以理解;

◇CC不包括那些与IT安全措施没有直接关联的、属于行政性管理安全措施的评估准则,即该标准并不关注于组织、人员、环境、设备、网络等方面的具体的安全措施;

◇CC重点关注人为的威胁,对于其他威胁源并没有考虑;

◇CC并不针对IT安全性的物理方面的评估(如电磁干扰);

◇CC并不涉及评估方法学;

◇CC不包括密码算法固有质量的评估。

标签: 信息技术

预约领优惠