什么是Common Criteria（CC）?

Common Criteria for Information Technology Security Evaluation挤牛，簡稱Common Criteria（CC），是國際公認(rèn)的信息技術(shù)安全評估標(biāo)準(zhǔn)。其主要目標(biāo)是為不同的IT產(chǎn)品和系統(tǒng)提供一個通用的評估框架看疗，促進(jìn)全球范圍的互操作性和信任，是ISO/IEC 15408標(biāo)準(zhǔn)的基礎(chǔ)辖试。CC幫助確定產(chǎn)品是否符合指定的安全功能循签，并提供一套標(biāo)準(zhǔn)化的流程以驗證這些功能的有效性。

如何分級

Common Criteria通過評估保障等級（EALs）對產(chǎn)品或系統(tǒng)進(jìn)行分級，這些等級從低到高代表不同程度的評估深度和質(zhì)量尤蛮。

1. 保障等級（Evaluation Assurance Levels, EALs）:

   • EAL1（Functionally Tested / 功能性測試）: 主要通過功能性測試驗證基本安全性能的實現(xiàn)媳友。
   • EAL2（Structurally Tested / 結(jié)構(gòu)化測試）: 包括結(jié)構(gòu)化的測試和高層設(shè)計文檔的審查。
   • EAL3（Methodically Tested and Checked / 方法化測試和檢查）: 強(qiáng)調(diào)方法論測試和開發(fā)環(huán)境的進(jìn)一步審查产捞。
   • EAL4（Methodically Designed, Tested, and Reviewed / 方法化設(shè)計醇锚、測試與評審）: 對系統(tǒng)的設(shè)計進(jìn)行方法化審核，是商業(yè)軟件產(chǎn)品的常見最大目標(biāo)坯临。
   • EAL5（Semiformally Designed and Tested / 半形式化設(shè)計和測試）: 要求半形式化的設(shè)計描述和更深入的測試焊唬，包括高保障應(yīng)用。
   • EAL6（Semiformally Verified Design and Tested / 半形式化驗證設(shè)計和測試）: 適合需要高保障的應(yīng)用程序看靠，強(qiáng)調(diào)半形式化驗證赶促。
   • EAL7（Formally Verified Design and Tested / 形式化驗證設(shè)計和測試）: 最高級別，要求全面的形式化設(shè)計驗證和測試挟炬。

2. 安全功能組件（Security Functional Components）：

   • 描述需要實現(xiàn)的具體安全功能鸥滨，例如訪問控制、用戶數(shù)據(jù)保護(hù)谤祖、加密通訊和安全審計等爵赵。

作用

1. 全球標(biāo)準(zhǔn)化: CC作為國際標(biāo)準(zhǔn)，統(tǒng)一了安全評估方法泊脐，使得不同國家和組織能夠標(biāo)準(zhǔn)化產(chǎn)品和系統(tǒng)的安全性評估空幻。

2. 促進(jìn)互認(rèn)和互信: CC能夠通過其全球性認(rèn)可協(xié)議（Common Criteria Recognition Arrangement, CCRA）來實現(xiàn)各國之間的結(jié)果互認(rèn)，減少重復(fù)認(rèn)證的成本和復(fù)雜性容客。

3. 指南與標(biāo)準(zhǔn): 為開發(fā)者和制造商提供了設(shè)計和實施安全產(chǎn)品的明確指南秕铛，促進(jìn)產(chǎn)品的安全性增強(qiáng)。

4. 支持消費者與決策者: 通過提供認(rèn)證信息缩挑，幫助客戶和政策制定者選擇符合其安全需求的IT產(chǎn)品和解決方案但两。

現(xiàn)狀

Common Criteria持續(xù)是信息技術(shù)安全評估的核心標(biāo)準(zhǔn)之一，多個國家加入了CCRA供置，使得該標(biāo)準(zhǔn)得到了廣泛的國際承認(rèn)谨湘。隨著技術(shù)的發(fā)展，CC也在不斷更新芥丧，以應(yīng)對新的技術(shù)趨勢和安全挑戰(zhàn)紧阔，如云計算、物聯(lián)網(wǎng)（IoT）及5G等续担。

術(shù)語和英文全稱

1. 保障等級（Evaluation Assurance Levels, EALs）: 定義了評估過程的深入程度擅耽，從EAL1到EAL7。

2. 安全功能組件（Security Functional Components）: 描述系統(tǒng)需要具備的安全功能類型和范圍物遇。

3. 目標(biāo)安全配置文件（Protection Profile, PP）: 定義產(chǎn)品類型需要滿足的安全要求和目標(biāo)乖仇。

4. 目標(biāo)高層配置文件（Security Target, ST）: 具體產(chǎn)品針對某保護(hù)配置文件所滿足的安全性要求憾儒。

5. 共同準(zhǔn)則認(rèn)可協(xié)議（Common Criteria Recognition Arrangement, CCRA）: 一個國際協(xié)議，各國基于CC的評估結(jié)果互認(rèn)乃沙，以簡化和促進(jìn)國際間的信息安全合作起趾。

Common Criteria為全球信息技術(shù)產(chǎn)品和系統(tǒng)的安全評估建立了可靠的基礎(chǔ)，支持國際合作和互信警儒，是現(xiàn)代信息安全標(biāo)準(zhǔn)的重要組成部分训裆。