保护轮廓

保护轮廓（Protection Profile，简称PP）是依照ISO/IEC 15408以及资讯技术安全评估共同准则（Common Criteria, CC）为产品认证时，需要提供的文件。保护轮廓是通用形式的安全目标（Security Target，ST），一般是由使用者或是使用者社群所建立，针对信息保障的安全需求，提供一份和实施方式无关的规格书。PP中会包括威胁、安全objectives、假设、安全机能需求（SFR）、安全保障需求（SAR）以及其原因。

PP针对特定种类的资讯系统产品，说明一般性的安全评估准则，以确认特定供应商的声明是否有符合需求。PP一般也会标示由数字1到7组成的评估保障等级，说明在评估产品符合PP中所述的安全需求时，安全评估的深度以及严谨度（多半会反映在支持文件以及测试上）。

美国国家标准技术研究所（NIST）及美国国家安全局（NSA）已同意合作开发已验证的美国政府PP。

目的

PP会针对一系列的系统或产品（称为评估目标，TOE），严谨的说明对应的安全问题，也说明要解决这个问题所需的安全需求，但不会具体说明需求实现的方式。PP也可能继承一个或多个PP的需求。

为了让产品可以依照Common Criteria评估并且取得认证，产品供应需要定义产品的安全目标（ST）文件，其中会符合一个或多个PP的内容。因此PP可以视为是产品ST的样版。

问题点

资讯技术安全评估共同准则中有以数字表示的EAL，对不熟悉准则的人而言，比较EAL是最简单直觉的作法，但这容易造成误导。若不了解评估用到的ST以及PP中的安全特性，EAL本身的数字是没有意义的。技术上，要评估产品需要同时评估EAL以及功能需求。不过很不幸的，要确认PP中的安全特性是否符合应用所需，这需要非常强的IT安全知识。评估产品是一回事，这和决定某产品的CC评估是否符合特定应用，是完全不同的。目前还不清楚有哪些值得信赖的机构具有针对Common Criteria已评估产品，评估其系统应用性的深度IT安全知识。

这类评估的问题其实早就出现。约在几十年前，有一个大型的研究计划，要定义可以保护资讯的软件特性，评估其强度，并且将安全特性对应到特定的作业环境风险，当时就已提出类似的问题。结果记录在《Rainbow Series（英语：Rainbow Series）》中。其中的橘皮书没有用类似EAL和功能需求分开标示的作法，采用一个较早期的作法，将功能保护能力以及适当的保障需求放在同一个分类里，以此方式定义了七个分类。而黄皮书定义一个安全环境以及对应风险的矩阵，接着准确的说明在橘皮书的各个分类里，哪一种安全环境会有效。此作法为非专业人士判断某一产品是否适合特定应用，提供明确的作法。后来没有这种应用技术，算是用Common Criteria取代橘皮书的非预期结果（英语：Unintended consequences）。

有PP的安全设备

已验证，美国政府的PP

• 防毒软件^[1]（日落期限：2011.06.01）
• 金钥回复（Key Recovery）
• 凭证认证（Certification Authorities）^[2]
• Tokens
• 数据库管理系统
• 防火墙
• 操作系统
• 主机型入侵检测系统（IDS/h）

已验证，非美国政府的PP

• 智能卡
• 远端电子投票系统^[3]
• 可信系统环境^[4]