资讯技术安全评估共同准则
维基百科,自由的 encyclopedia
资讯技术安全评估共同准则(Common Criteria for Information Technology Security Evaluation),简称共同准则(Common Criteria)或CC,是电脑安全认证的国际标准(ISO/IEC 15408)。目前的版本是3.1版,第5次修订[1]。
此条目已列出参考资料,但文内引注不足,部分内容的来源仍然不明。 (2021年10月4日) |
共同准则是资讯安全性的架构,电脑系统的用户可以在安全目标(Security Target,ST)文件当中,标示安全机能需求(Security Functional Requirements,SFR)及安全保障需求(Security Assurance Requirement,SAR),也可以从系统的保护轮廓(Protection Profile,PP)中获取这些资料。供应商可以实现或是声明其产品的安全属性,测试实验室可以评估这些产品,确认其是否符合声明的属性。换句话说,共同准则提供了保证,电脑安全产品的规格、实现以及评估可以用一个严谨、标准化且可重复的方式进行,而且可以与目标使用环境相称[2]。共同准则会维护一份已认证产品的清单,其中包括操作系统、存取控制系统、数据库及密钥管理系统[3]。