CC标准与认证详解:信息安全评估的关键

需积分: 50 8 下载量 172 浏览量 更新于2024-07-20 收藏 315KB PDF 举报
CC标准与CC认证是信息安全领域的重要组成部分,旨在提供一套国际认可的准则来评估信息技术产品的安全性。本文档将介绍CC标准的背景、意义、局限性以及CC认证的基本流程和关键文档。 一、CC标准简介 1.1 背景 随着信息技术的飞速发展,信息安全成为全球关注的焦点。为了克服用户在评估IT产品安全性时面临的困难,尤其是信息不对称的问题,CC(Common Criteria,通用评估准则)应运而生。CC标准的发展历程包括了TCSEC(可信计算机系统评估准则)、ITSEC(信息技术安全评估准则)等多个里程碑,最终形成了一套全面的安全评估框架。 1.2 CC标准的意义 CC标准提供了评估信息技术产品安全性的统一标准,它关注信息资产的保密性、完整性和可用性,适用于各种IT产品和系统。通过这个标准,用户可以更加信任经过认证的产品,确保其符合特定的安全需求。 1.3 CC标准的局限性 虽然CC标准具有广泛适用性,但也有其局限性,如可能过于复杂,不适合所有类型的产品;标准的实施和认证过程可能成本高昂,对小型企业和创新产品构成挑战。 2. CC标准内容简介 CC标准分为多个部分,包括: 2.1 CC第1部分:概述和一般模型,定义了安全功能要求和评估保证级别的概念。 2.2 CC第2部分:安全保障目标(Purposes for Security Targets, PPs),详细描述了特定产品或类别的安全需求。 2.3 CC第3部分:安全功能要求(Security Functional Requirements, FMs),列出了实现安全目标所需的具体功能。 二、CC认证简介 1.1 CC认证简介 CC认证由第三方权威机构执行,确保产品符合CC标准。认证过程包括编制和修订认证文档,对受评估对象(TOE,Target of Evaluation)进行样品测试,以及现场审查。 1.2 认证过程 CC认证过程通常涉及以下几个步骤: - PP理解:理解产品或系统的安全需求(保护轮廓,Protection Profile, PP)。 - ST理解:制定具体的安全目标(安全目标,Security Target, ST),详细描述TOE的安全特性。 - 文档编写的注意事项:确保文档准确、完整地反映了TOE的安全特性,符合CC标准的要求。 2. CC认证文档 2.1 PP理解:PP是描述某一类IT产品或系统的安全需求的标准化文档,为评估提供基础。 2.2 ST理解:ST是针对特定产品或实例的安全目标,它是根据PP定制的,详细列出产品实现的安全功能和配置。 2.3 文档编写的注意事项:编写认证文档时,必须清晰、准确地表达安全需求和实现,以便评估机构进行公正、客观的评估。 总结来说,CC标准与CC认证为确保信息技术产品的安全性提供了全球认可的框架和流程,它们帮助用户在选择和部署IT产品时做出基于安全评估的明智决策。尽管存在一些挑战,但这一标准和认证体系仍然是保障信息安全的重要工具。