|
信息技术安全评估通用标准(Common Criteria for Information Technology Security Evaluation),简称通用标准或CC,是计算机安全认证的国际标准(ISO/IEC 15408)。为了适应经济全球化的形势要求,在CC标准制定出不久,六国七方即推动国际标准化组织批准CC标准以“ISO/IEC 15408-1999”编号正式列入国际标准系列,标准名称为Information technology-Secrurity techniques-Evaluation criteria for IT security。2005年ISO对CC进行了改变,发布了ISO/IEC 15408::2005。其后不断修订,最新版本为ISO 15408-1:2009、ISO 15408-2:2008和ISO 15408-3:2008。 CC的主要思想和框架取自ITSEC和TC,并充分突出了“保护轮廓”这一概念,将评估过程分为“功能”和“保证”两部分。CC基于风险管理理论,对安全模型、安全概念和安全功能进行了全面系统地描绘,强化了评估保证,是目前最全面的评价准则。CC是对已有安全准则的总结和兼容,有通用的表达方式,便于理解;有灵活的架构,用户可以定义自己的要求以扩展CC的要求。CC有自己配套的评估方法即通用测试方法(CEM)。CC的意义在于:通过评估有助于增强用户对于IT产品的安全信心、促进IT产品和系统的安全性、消除重复的评估。 【出处】朱胜涛,温哲,位华,张晓菲, 沈传宁.注册信息安全专业人员培训教材.北京师范大学出版社,2019年5月第1版.
| 
发表于 2025-11-3 08:14:45