ISO/IEC 15408-2: 安全技术 - IT安全评估标准 - 第2部分：安全功能要求

"ISO/IEC 15408-2是信息技术安全技术领域的一个重要标准，主要关注信息安全的评估准则，特别是第二部分——安全功能要求。这份国际标准首次发布于1999年12月1日，规定了信息技术产品的安全功能需求，旨在为IT安全的评估提供一套全面的标准。" ISO/IEC 15408-2，通常被称为“信息技术安全评估通用标准”(Common Criteria for Information Technology Security Evaluation)，是全球公认的信息安全产品评估的基础。标准分为多个部分，其中第二部分详细阐述了安全功能要求，是评估IT产品安全性的重要依据。 1. 范围： 该标准的范围涵盖了信息安全技术的评估准则，其目的是确保IT产品和服务的安全性符合特定的要求。它不仅定义了安全功能的最低标准，还提供了扩展和维护这些要求的方法，以适应不断发展的技术环境和安全威胁。 1.1 扩展和维护功能要求： 标准允许随着技术进步和安全需求变化进行功能要求的扩展和更新。这确保了标准能够保持与时俱进，满足新的安全挑战和用户需求。 1.2 ISO/IEC 15408-2的组织结构： 标准采用了一种分层结构，便于理解和应用。组织结构包括类、家族和组件等层次，以清晰地表达各种安全功能要求。 1.3 功能要求范式： 功能要求范式是一种框架，用于描述和分类安全功能。这一范式将复杂的安全功能拆分为可管理和可度量的部分，有助于评估和验证产品是否达到设定的安全标准。 2. 安全功能组件： 这部分详细介绍了构成安全功能要求的基本元素。这些组件包括： 2.1 概览： 提供了对安全功能组件的整体理解，包括类（Class）、家族（Family）和组件（Component）三个层次的结构。 2.1.1 类结构： 类是高级别的分类，将相关功能分组在一起，例如数据完整性保护或访问控制。 2.1.2 家族结构： 家族是类下的次级分类，更具体地定义了安全功能的子类别，比如密码学家族可能包括加密、解密和数字签名等功能。 2.1.3 组件结构： 组件是最小的可度量单元，具体描述了一个具体的、可实现的安全功能，如数据源认证组件或传输数据加密组件。 ISO/IEC 15408-2为IT安全评估提供了全面且严谨的框架，通过明确的功能要求，帮助制造商、供应商以及安全评测机构确保产品和服务达到预定的安全水平。这一标准对于保障用户的数据安全和隐私，以及促进全球信息技术市场的互信和标准化具有重要意义。