国际通用准则CC ---是对信息安全产品的测评认证
CC(Common Criteria)是国际标准化组织统一现有多种准则的结果,是目前最全面的评价准则。
1996年6月,CC第一版发布;
1998年5月,CC第二版发布;
1999年 10月CC V2.1版发布,并且成为ISO标准。
CC的主要思想和框架都取自ITSEC和FC,并充分突出了“保护轮廓”概念。CC将评估过程划分为功能和保证两部分,评估等级分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7共七个等级。每一级均需评估7个功能类,分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。
EAL4+认证是安全保障的专项认证《信息技术安全评估准则》的其中一个评估等级,目前最高为EAL7 级。
而EAL4+是在EAL4 级的基础上新增了部分评估内容,是目前国际智能卡产品所能达到的最高安全保证级。1996 年六国七方签署了《信息技术安全评估通用准则》即CC1.0。1998 年美国、英国、加拿大、法国和德国共同签署了书面认可协议。后来这一标准称为CC 标准,即CC2.0。CC2.0 版于1999 年成为国际标准ISO/IEC 15408,我国于2001 年等同采用为GB/T 18336。
需要说明的点:
1.从EAL1到EAL7一共有7个等级。等级越高,表示通过认证需要满足的安全保证要求越多,系统的安全特性越可靠。
2.EAL不衡量系统本身的安全性,只表示测试的严格程度。实现特定的EAL等级,产品或系统需要满足特定的安全保证要求。大多数要求包括设计文档、设计分析、功能测试、穿透测试。等级越高,需要越详细的文档、分析和测试。一般实现更高的EAL认证,需要耗费更多的时间和金钱。通过特定级别的EAL认证,表示产品或系统满足该级别的所有安全保证要求。