CC标准与认证详解:信息安全评估的关键
需积分: 50 172 浏览量
更新于2024-07-20
收藏 315KB PDF 举报
CC标准与CC认证是信息安全领域的重要组成部分,旨在提供一套国际认可的准则来评估信息技术产品的安全性。本文档将介绍CC标准的背景、意义、局限性以及CC认证的基本流程和关键文档。
一、CC标准简介
1.1 背景
随着信息技术的飞速发展,信息安全成为全球关注的焦点。为了克服用户在评估IT产品安全性时面临的困难,尤其是信息不对称的问题,CC(Common Criteria,通用评估准则)应运而生。CC标准的发展历程包括了TCSEC(可信计算机系统评估准则)、ITSEC(信息技术安全评估准则)等多个里程碑,最终形成了一套全面的安全评估框架。
1.2 CC标准的意义
CC标准提供了评估信息技术产品安全性的统一标准,它关注信息资产的保密性、完整性和可用性,适用于各种IT产品和系统。通过这个标准,用户可以更加信任经过认证的产品,确保其符合特定的安全需求。
1.3 CC标准的局限性
虽然CC标准具有广泛适用性,但也有其局限性,如可能过于复杂,不适合所有类型的产品;标准的实施和认证过程可能成本高昂,对小型企业和创新产品构成挑战。
2. CC标准内容简介
CC标准分为多个部分,包括:
2.1 CC第1部分:概述和一般模型,定义了安全功能要求和评估保证级别的概念。
2.2 CC第2部分:安全保障目标(Purposes for Security Targets, PPs),详细描述了特定产品或类别的安全需求。
2.3 CC第3部分:安全功能要求(Security Functional Requirements, FMs),列出了实现安全目标所需的具体功能。
二、CC认证简介
1.1 CC认证简介
CC认证由第三方权威机构执行,确保产品符合CC标准。认证过程包括编制和修订认证文档,对受评估对象(TOE,Target of Evaluation)进行样品测试,以及现场审查。
1.2 认证过程
CC认证过程通常涉及以下几个步骤:
- PP理解:理解产品或系统的安全需求(保护轮廓,Protection Profile, PP)。
- ST理解:制定具体的安全目标(安全目标,Security Target, ST),详细描述TOE的安全特性。
- 文档编写的注意事项:确保文档准确、完整地反映了TOE的安全特性,符合CC标准的要求。
2. CC认证文档
2.1 PP理解:PP是描述某一类IT产品或系统的安全需求的标准化文档,为评估提供基础。
2.2 ST理解:ST是针对特定产品或实例的安全目标,它是根据PP定制的,详细列出产品实现的安全功能和配置。
2.3 文档编写的注意事项:编写认证文档时,必须清晰、准确地表达安全需求和实现,以便评估机构进行公正、客观的评估。
总结来说,CC标准与CC认证为确保信息技术产品的安全性提供了全球认可的框架和流程,它们帮助用户在选择和部署IT产品时做出基于安全评估的明智决策。尽管存在一些挑战,但这一标准和认证体系仍然是保障信息安全的重要工具。
点击了解资源详情
点击了解资源详情
点击了解资源详情
点击了解资源详情
点击了解资源详情
点击了解资源详情
1586874907
- 粉丝: 16
- 资源: 9
最新资源
- react-window-ui:React组件用于快速演示窗口UI
- Business-Buddy:Business Buddy是CRM(客户关系管理)软件,可帮助公司的销售团队与潜在客户取得联系
- 行业分类-设备装置-一种接口性能数据实时监制方法和装置.zip
- homebridge-tcc:霍尼韦尔对Homebridge的Total Connect Comfort的支持
- Persepolis-WebExtension:用于Persepolis下载管理器的WebExtension集成
- 带adb插件的notepad++
- 行业分类-设备装置-一种接收天线阵列受损阵元的在线检测方法.zip
- 北航计组实验代码、电路(一).rar
- openrmf-docs:有关OpenRMF应用程序的文档,包括用于运行整个堆栈的脚本以及仅基础结构以及有关使用该工具的文档
- IEEE 30 总线系统标准:Simulink 中的 30 总线系统设计-matlab开发
- 行业分类-设备装置-一种接枝改性壳聚糖微球及其制备方法和应用.zip
- OM-128:ATmega1284开发板
- rohitprogate
- 进销存软件 小管家进销存软件 v5.5.11
- anroid8.1编译使用OpenJDK.tar.zip
- oSportServer