4.CC

信息技術安全評估通用標準( Common Criteria for Information Technology Sec,urity Evaluation，簡稱通用標準或CC)是計算機安全認證的國際標準(IS0／IEC 15408)。為了適應經(jīng)濟全球化的形勢要求，在CC標準制定出不久，六國七方即推動國際標準化組織(ISO)將CC標準納入國際標準體系。經(jīng)過多年協(xié)商和磋切，國際標準組織于1999年批準CC標準以“ISO/IECl5408-1999”編號正式列入國際標準系列，標準名稱為：Information technology - Security techniques - Evaluation criteria for IT securit)，。2005年IS0對CC進行了改版，發(fā)布了ISO/IEC 15408:2005。其后又不斷修訂，最新版本為：IS015408-1:2009、IS015408-2:2008、 IS015408-3:2008。

GB/T18336國家標準等同采用國際標準IS015408，因此CC也是我國信息安全評估的匡l家標準。

通用標準作為評估框架，計算機系統(tǒng)用戶可以通過使用保護配置文件( PP)來指定其安全功能和保證要求（分別為SFR和SAR），供應商可以實施和／或對其產(chǎn)品的安全屬性進行聲明測試實驗室可以對產(chǎn)品進行評估，以確定其是否符合要求。換句話說，通用標準規(guī)定， 計算機安全產(chǎn)品的規(guī)范，實施和評估過程以嚴格，標準和可重復的方式進行與目標使用環(huán)境相稱。

CC標準有一定的局限性：

◇CC標準采用半形式化語言，比較難以理解；

◇CC不包括那些與IT安全措施沒有直接關聯(lián)的、屬于行政性管理安全措施的評估準則，即該標準并不關注于組織、人員、環(huán)境、設備、網(wǎng)絡等方面的具體的安全措施；

◇CC重點關注人為的威脅，對于其他威脅源并沒有考慮；

◇CC并不針對IT安全性的物理方面的評估（如電磁干擾）；

◇CC并不涉及評估方法學；

◇CC不包括密碼算法固有質量的評估。