CC,全称为“Common Criteria for Information Technology Security Evaluation”,即信息技术安全性评估准则。它是一个国际标准,旨在为信息技术产品和系统的安全性提供统一的评估框架。
CC标准起源于1993年,由加拿大、法国、德国、英国和美国等七个国家共同发起。它的出现是为了解决不同国家和地区在信息安全评估方面的差异,提高信息安全产品的互操作性。CC标准的重要性在于,它为全球范围内的信息安全产品提供了一个统一的评估标准,有助于提高信息安全产品的质量和可靠性。
CC标准主要包括以下几个方面:
安全功能要求(Security Functional Requirements,SFR):定义了产品需要实现的安全功能,如访问控制、加密、审计等。
安全保证要求(Security Assurance Requirements,SAR):定义了如何确保产品满足安全功能要求,包括设计、实现、测试等方面的要求。
评估保证级别(Evaluation Assurance Level,EAL):定义了评估产品安全性的程度,从EAL1到EAL7,级别越高,表示评估的严格程度越高。
CC认证流程主要包括以下几个步骤:
确定认证等级:根据产品的安全需求,选择合适的EAL等级。
选择认证机构:选择具有CC认证资质的第三方认证机构。
提交申请:向认证机构提交认证申请,并提供相关资料。
现场审核:认证机构对产品进行现场审核,检查产品是否符合CC标准。
测试与评估:对产品进行安全测试和评估,确保产品满足安全功能要求和安全保证要求。
颁发证书:如果产品通过认证,认证机构将颁发CC认证证书。
CC认证对于信息安全产品具有重要意义:
提高产品安全性:通过CC认证,可以确保信息安全产品满足一定的安全标准,提高产品的安全性。
增强市场竞争力:获得CC认证的产品,在市场上具有更高的可信度和竞争力。
促进国际贸易:CC认证有助于消除国际贸易中的技术壁垒,促进信息安全产品的国际贸易。
CC作为信息技术安全性评估准则,为信息安全产品提供了一个统一的评估框架。通过CC认证,可以确保信息安全产品的安全性,提高产品的市场竞争力,促进国际贸易。在信息安全日益重要的今天,了解CC认证的相关知识具有重要意义。
