資訊技術安全評估共同準則
維基百科,自由的 encyclopedia
資訊技術安全評估共同準則(Common Criteria for Information Technology Security Evaluation),簡稱共同準則(Common Criteria)或CC,是计算机安全認證的國際標準(ISO/IEC 15408)。目前的版本是3.1版,第5次修訂[1]。
此條目已列出參考資料,但文內引註不足,部分內容的來源仍然不明。 (2021年10月4日) |
共同準則是資訊安全性的架構,電腦系統的使用者可以在安全目標(Security Target,ST)文件當中,標示安全機能需求(Security Functional Requirements,SFR)及安全保障需求(Security Assurance Requirement,SAR),也可以從系統的保護輪廓(Protection Profile,PP)中取得這些資料。供應商可以實現或是聲明其產品的安全屬性,測試實驗室可以評估這些產品,確認其是否符合聲明的屬性。換句話說,共同準則提供了保證,電腦安全產品的規格、實現以及評估可以用一個嚴謹、標準化且可重覆的方式進行,而且可以與目標使用環境相稱[2]。共同準則會維護一份已認證產品的清單,其中包括作業系統、存取控制系統、資料庫及密鑰管理系統[3]。