跟我来了解CC认证！（全球最顶级的产品安全认证标准）

上次提到的TEE认证测试分为功能性和安全性认证，昨天介绍的是GP功能性认证，今天我们来看看CC！

1，CC简介

世界各国都非常重视信息安全认证标准，国外主要是CC标准。CC:Common Criteria for Information Technology Security Evaluation 信息技术安全性评估准则。

1993年6月，美国政府同加拿大及欧共体共同起草单一的通用准则（CC标准）并将其推到国际标准。制定CC标准的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。在美国的TCSEC、欧洲的ITSEC、加拿大的CTCPEC、美国的FC等信息安全准则的基础上，由6个国家7方（美国国家安全局和国家技术标准研究所、加、英、法、德、荷）共同提出了“信息技术安全评价通用准则（The Common Criteria for Information Technology security Evaluation，CC ）”，简称CC标准，它综合了已有的信息安全的准则和标准，形成了一个更全面的框架。

CC标准是信息技术安全性评估标准，用来评估信息系统、信息产品的安全性。CC标准的评估分为两个方面：安全功能需求和安全保证需求。用来评估CC的常用方法就是CEM(Common Methodology for Information Technology Security Evaluation 信息技术安全评价的常用方法。指的是国际间大家一起达成共识的技术。)

总体来说CC保证了：

产品，必须被有能力的独立的授权实验室评估，特别是安全性能的实现是否达到某种程度和保证。

文档，用于在通用标准认证过程中，当认证某项具体的技术时，定义标准和评估方法如何被应用。

被评估的产品的安全属性认证可以被一系列认证授权方案实现，认证证书基于他们的评估结果。认证证书被CCRA(Common Criteria Recognition Arrangement 一般标准互相认可的组织。)所有签字国成员间认可。

满足安全认证CC标准的TEE产品，也将是TEE技术应用发展的必由之路。国外TEE产品安全认证标准采用的是CC。

目前CC规范最新是《CC v3.1. Release 5》。

2，国内情况

一句话总结：国外是CC国内是信息产品安全认证

2001年，我国将ISO/IEC15408-1999转化为国家推荐性标GB/T18336-2001(CC V2.1)《信息技术 安全技术 信息技术安全性评估准则》。目前，国内最新版本GB-T18336-2008采用了IS0/IEC15408-2005．即CC V2.3。

国内信息安全产品检测机构较多，但是中国国家认证认可监督管理委员会是信息安全产品认证机构最高管理机构。

2015年指定下属单位中国信息安全认证中心（ISCCC）和泰尔认证中心作为信息安全产品强制性认证认证机构。中国信息安全测评中心，也可以从事CC测试，测评中心依据国标GB/T 18336-2008和GB/T30270-2013开展移动互联网产品EAL分级评估业务。其区别在：认证中心带有强制性、证书性，由申请企业自己申请，测评中心则是第三方委托性质。

目前，我国已经根据现有信息安全标准开展了信息安全产品检测认证工作。在信息安全产品认证认可制度建立后，中国信息安全认证中心已经颁发了近300张中国国家信息安全产品认证证书，范围覆盖国内信息安全市场上的主要产品种类。

（以后有机会我们详细从安全层次、安全产品、行业划分上了解下安全企业有哪些！）

可以说这是安全企业的最有含金量的证书！

但是对于TEE产品，前几天也提到，国内目前还没有，国外只有trustonic通过了CC EAL2+的认证，目前相关机构也正在从事相关标准制定工作。相关TEE厂商和测试机构也正紧锣密鼓的准备相关工作，相信不久的将来，国内TEE厂商的安全产品通过国内产品安全认证也将成为各自厂商发展的必由之路。

CC认证的内容复杂，晦涩难懂，但我们要抽丝剥茧，CC认证最重要的两个纲领性文档是PP和ST,也就是保护轮廓和安全目标。下一次，我们详细了解CC相关标准涵盖哪些内容。