cc

國際通用準則

徠CC是國際標準化組織統一現有多種準則的結果,是目前最全面的評價準則。

簡介


1996年6月,CC第一版發布;1998年5月,CC第二版發布;1999年10月CCV2.1版發布,並且成為ISO標準。CC的主要思想和框架都取自ITSEC和FC,並充分突出了“保護輪廓”概念。CC將評估過程劃分為功能和保證兩部分,評估等級分為EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7共七個等級。每一級均需評估7個功能類,分別是配置管理、分發和操作、開發過程、指導文獻、生命期的技術支持、測試和脆弱性評估。

內容


EAL1:功能測試級。適用在對正確運行要求有一定信心的場合,此場合下認為安全威脅並不嚴重。個人信息保護就是其中一例。
徠EAL2:結構測試級。在交付設計信息和測試結果時,需要開發人員的合作。但在超出良好的商業運作的一致性方面,不要花費過多的精力。
EAL3:系統測試和檢查級。在不大量更改已有合理才開發實現的前提下,允許一位盡責的開發人員在設計階段從正確的安全工程中獲得最大限度的保證。
EAL4:系統設計,測試和複查級。它使開發人員從正確的安全工程中獲得最大限度的保證,這種安全工程基於良好的商業開發實踐,這種實踐很嚴格,但並不需要大量專業知識,技巧和其他資源。在經濟合理的條件下,對一個已經存在的生產線進行翻新時,EAL4是所能達到的最高級別。2002年,Windows2000成為第一種獲得EAL4認證的操作系統,這表明它已經達到了民用產品應該具有的評價保證級別。
EAL5:半形式化設計和測試級。開發者能從安全工程中獲得最大限度的安全保證,該安全工程是基於嚴格的商業開發實踐,靠適度應用專業安全工程技術來支持的。EAL5以上的級別是軍用信息設備,用於公開密鑰(yue)基礎設施的信息設備應達到的標準。
EAL6:半形式化驗證設計和測試級。開發者通過安全工程技術的應用和嚴格的開發環境獲得高度的認證,保護高價值的資產能夠對抗重大風險。
EAL7:形式化驗證設計和測試級。適用於風險非常高或有高價值資產值得更高開銷的地方。