CC EAL認證

標籤：

國際通用準則CC  ---是對資訊安全產品的測評認證

CC(Common Criteria)是國際標準組織統一現有多種準則的結果，是目前最全面的評價準則。

1996年6月，CC第一版發布；

1998年5月，CC第二版發布；

1999年 10月CC V2.1版發布，並且成為ISO標準。

CC的主要思想和架構都取自ITSEC和FC，並充分突出了“保護輪廓”概念。CC將評估過程劃分為功能和保證兩部分，評估等級分為EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7共七個等級。每一級均需評估7個功能類，分別是組態管理、分發和操作、開發過程、指導文獻、生命期的支援人員、測試和脆弱性評估。

EAL4+認證是安全保障的專項認證《資訊技術安全評估準則》的其中一個評估等級，目前最高為EAL7 級。

而EAL4+是在EAL4 級的基礎上新增了部分評估內容，是目前國際智慧卡產品所能達到的最高安全保證級。1996 年六國七方簽署了《資訊技術安全評估通用準則》即CC1.0。1998 年美國、英國、加拿大、法國和德國共同簽署了書面認可協議。後來這一標準稱為CC 標準，即CC2.0。CC2.0 版於1999 年成為國際標準ISO/IEC 15408，我國於2001 年等同採用為GB/T 18336。

需要說明的點：

1.從EAL1到EAL7一共有7個等級。等級越高，表示通過認證需要滿足的安全保證要求越多，系統的安全特性越可靠。

2.EAL不衡量系統本身的安全性，只表示測試的嚴格程度。實現特定的EAL等級，產品或系統需要滿足特定的安全保證要求。大多數要求包括設計文檔、設計分析、功能測試、穿透測試。等級越高，需要越詳細的文檔、分析和測試。一般實現更高的EAL認證，需要耗費更多的時間和金錢。通過特定層級的EAL認證，表示產品或系統滿足該層級的所有安全保證要求。

CC EAL認證