Common Criteria for Information Technology Security Evaluation

"美国最新的信息技术安全评估标准" 美国标准"ccmeiguobiaozhun"实际上指的是《通用标准》(Common Criteria for Information Technology Security Evaluation)，这是一份国际认可的信息技术安全评估框架。这个标准，特别是在描述中提到的版本2.2，详细定义了对信息安全产品的功能需求和保证要求。 《通用标准》由多个政府组织共同制定，旨在提供一个统一的、国际化的评价方法，以确保信息技术产品的安全性。标准分为三个主要部分： 1. **Part 1: Introduction and general model**（第一部分：介绍与通用模型）：这部分介绍了通用标准的基本概念、目标和评估过程的总体框架。它定义了一个通用的安全模型，用于描述和评估产品的安全特性。 2. **Part 2: Security functional requirements**（第二部分：安全功能要求）：这部分是关于产品应具备的具体安全功能，涵盖了身份认证、访问控制、数据保密性、数据完整性、审计、不可否认性等多个方面的功能需求。这些要求确保了产品在设计和实现时能有效地保护信息免受各种威胁。 3. **Part 3: Security assurance requirements**（第三部分：安全保证要求）：这部分规定了验证产品是否符合安全功能要求的方法和级别，包括开发过程的安全性、测试、审查、配置管理等多个方面。这些保证要求确保了产品的安全特性不仅仅是设计上的，而且在实际操作中也能得到体现。 版本2.2在2004年发布，包含了自2.1版本以来的所有最终解释、编辑性修改和新增材料。此外，它还对文档的前言和附录材料进行了细微调整，以反映文档的最新状态。值得注意的是，版权持有者授予了ISO/IEC（国际标准化组织/国际电工委员会）非排他性的使用权，以便于在国际范围内推广和应用这个标准。 《通用标准》对于全球范围内的信息技术产品开发者、评估者和采购者来说都非常重要，因为它提供了一套统一的评估准则，帮助他们在复杂的信息安全环境中做出明智的选择。同时，这个标准也是许多国家政府在采购安全关键的IT系统时必须考虑的标准之一。通过满足通用标准的要求，产品可以证明其在保护敏感信息方面的可靠性和有效性。