1993年6月,美国政府同加拿大及欧共体共同起草单一的通用准则(CC标准)并将其推到国际标准。制定CC标准的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。
中文名 cc标准 时 间 1993年6月 用 途 信息安全产品和系统的安全性评估 性 质 准则
1993年6月,美国政府同加拿大及欧共体共同起草单一的通用准则(CC标准)并将其推到国际标准。制定CC标准的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。在美国的TCSEC、欧洲的ITSEC、加拿大的CTCPEC、美国的FC等信息安全准则的基础上,由6个国家7方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了“信息技术安全评价通用准则(The Common Criteria for Information Technology security Evaluation,CC )”,简称CC标准,它综合了已有的信息安全的准则和标准,形成了一个更全面的框架。
作用编辑
CC标准是信息技术安全性评估标准,用来评估信息系统、信息产品的安全性。CC标准的评估分为两个方面:安全功能需求和安全保证需求。
CC标准主要分为以下部分
简介和一般模型、安全功能要求、安全保证要求
CC 通用评估准则 《信息技术安全性评估准则》
CC 评估保证级(EAL)由一系列保证组件构成的包,可以代表预先定义的保证尺度。
CC 并不是安全管理方面的标准,它提出了安全要求实现的功能和质量两个原因。
ISO/IEC 15408(CC) = GB/T 18336
vISO/IEC 15408(CC)中保障被定义为:
实体满足其安全目的的信心基础(Grounds for confidence that an entity meets its security objectives)。
v主观:信心
v客观:性质(保密性、完整性、可用性)
v从客观到主观:能力与水平
我国GB/T 18336国家标准 等同采用 国际标准 15408(CC)
在GB/T 18336 国际标准 15408(CC)中定义了以下7个评估保证级:
(1) 评估保证级1(EAL1)——功能测试;
(2) 评估保证级2(EAL2)——结构测试;
(3) 评估保证级3(EAL3)——系统地测试和检查;
(4) 评估保证级4(EAL4)——系统地设计、测试和复查;
(5) 评估保证级5(EAL5)——半形式化设计和测试;
(6) 评估保证级6(EAL6)——半形式化验证的设计和测试;
(7) 评估保证级7(EAL7)——形式化验证的设计和测试。
分级评估是通过对信息技术产品的安全性进行独立评估后所取得的安全保证等级,表明产品的安全性及可信度。获得的认证级别越高,安全性与可信度越高,产品可对抗更高级别的威胁,适用于较高的风险环境。
不同的应用场合(或环境)对信息技术产品能够提供的安全性保证程度的要求不同。产品认证所需代价随着认证级别升高而增加。通过区分认证级别满足适应不同使用环境的需要。
CC标准时是国际通行的信息技术产品安全性评价规范,它基于保护轮廓和安全目标提出安全需求,具有灵活性和合理性、基于功能要求和保证要求进行安全评估,能够实现分级评估目标、不仅考虑了保密性评估要求,还考虑了完整性和可用性多方面安全要求。
原文链接:https://blog.csdn.net/qq_41326529/article/details/104757252?ops_request_misc=&request_id=a30996b8c5f84ee488f17d06ee06ab66&biz_id=&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~koosearch~default-17-104757252-null-null.268%5Ev1%5Econtrol&utm_term=cc%E9%98%B2%E6%8A%A4
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/20879
