跟我来了解CC认证!(全球最顶级的产品安全认证标准)

上次提到的TEE认证测试分为功能性和安全性认证,昨天介绍的是GP功能性认证,今天我们来看看CC!

1,CC简介

世界各国都非常重视信息安全认证标准,国外主要是CC标准。CC:Common Criteria for Information Technology Security Evaluation 信息技术安全性评估准则。

1993年6月,美国政府同加拿大及欧共体共同起草单一的通用准则(CC标准)并将其推到国际标准。制定CC标准的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。在美国的TCSEC、欧洲的ITSEC、加拿大的CTCPEC、美国的FC等信息安全准则的基础上,由6个国家7方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了“信息技术安全评价通用准则(The Common Criteria for Information Technology security Evaluation,CC )”,简称CC标准,它综合了已有的信息安全的准则和标准,形成了一个更全面的框架。

CC标准是信息技术安全性评估标准,用来评估信息系统、信息产品的安全性。CC标准的评估分为两个方面:安全功能需求和安全保证需求。用来评估CC的常用方法就是CEM(Common Methodology for Information Technology Security Evaluation 信息技术安全评价的常用方法。指的是国际间大家一起达成共识的技术。)

总体来说CC保证了:

产品,必须被有能力的独立的授权实验室评估,特别是安全性能的实现是否达到某种程度和保证。

文档,用于在通用标准认证过程中,当认证某项具体的技术时,定义标准和评估方法如何被应用。

被评估的产品的安全属性认证可以被一系列认证授权方案实现,认证证书基于他们的评估结果。认证证书被CCRA(Common Criteria Recognition Arrangement 一般标准互相认可的组织。)所有签字国成员间认可。

满足安全认证CC标准的TEE产品,也将是TEE技术应用发展的必由之路。国外TEE产品安全认证标准采用的是CC。

目前CC规范最新是《CC v3.1. Release 5》。

2,国内情况

一句话总结:国外是CC国内是信息产品安全认证

2001年,我国将ISO/IEC15408-1999转化为国家推荐性标GB/T18336-2001(CC V2.1)《信息技术 安全技术 信息技术安全性评估准则》。目前,国内最新版本GB-T18336-2008采用了IS0/IEC15408-2005.即CC V2.3。

国内信息安全产品检测机构较多,但是中国国家认证认可监督管理委员会是信息安全产品认证机构最高管理机构。

2015年指定下属单位中国信息安全认证中心(ISCCC)和泰尔认证中心作为信息安全产品强制性认证认证机构。中国信息安全测评中心,也可以从事CC测试,测评中心依据国标GB/T 18336-2008和GB/T30270-2013开展移动互联网产品EAL分级评估业务。其区别在:认证中心带有强制性、证书性,由申请企业自己申请,测评中心则是第三方委托性质。

目前,我国已经根据现有信息安全标准开展了信息安全产品检测认证工作。在信息安全产品认证认可制度建立后,中国信息安全认证中心已经颁发了近300张中国国家信息安全产品认证证书,范围覆盖国内信息安全市场上的主要产品种类。

(以后有机会我们详细从安全层次、安全产品、行业划分上了解下安全企业有哪些!)

可以说这是安全企业的最有含金量的证书!

但是对于TEE产品,前几天也提到,国内目前还没有,国外只有trustonic通过了CC EAL2+的认证,目前相关机构也正在从事相关标准制定工作。相关TEE厂商和测试机构也正紧锣密鼓的准备相关工作,相信不久的将来,国内TEE厂商的安全产品通过国内产品安全认证也将成为各自厂商发展的必由之路。

CC认证的内容复杂,晦涩难懂,但我们要抽丝剥茧,CC认证最重要的两个纲领性文档是PP和ST,也就是保护轮廓和安全目标。下一次,我们详细了解CC相关标准涵盖哪些内容。

原文发布于微信公众号 - 安智客(china_safer)

原文发表时间:2017-09-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏华章科技

马云的刷脸支付真的来了!全球首站已上线

昨天,这家新的肯德基餐厅KPRO涌来了一堆“靠脸吃饭”的白领顾客。KPRO主要供应沙拉、panisis和新鲜果汁而不是炸鸡,客户可以通过扫描脸部来验证付款。

1215
来自专栏FreeBuf

2014年国内外信息安全厂家及安全产品分类v1.1

前言 当前,信息网络技术的高速发展和广泛应用,正不断推动着生产方式的深刻变化。在这个进程中,大至国家安全和社会稳定,小至企业利益与个人尊严,关于信息安全...

2118
来自专栏FreeBuf

精彩速览 | 2018威胁情报&APT攻击技术与趋势高峰论坛(附PPT下载)

五月的最后一天,伴着淅淅沥沥的小雨,由国内知名互联网安全新媒体FreeBuf 主办的2018威胁情报&APT攻击技术与趋势高峰论坛在上海证大美爵酒店盛大召开。本...

2435
来自专栏IT派

爬取了7年1500万个GitHub活跃账户,程序员比例最高的国家竟然是……

最近突发奇想,想统计一下全球程序猿都住在哪里,所以就爬了GitHub,将GitHub上的个人资料聚合在一起,结合国家或城市的人口进行分析并将数据用D3进行可视化...

1833
来自专栏FreeBuf

“一个人”的互金企业安全建设总结

前言 之前的一个人安全部的77大师傅把我们拉在了一起,然后逐渐发现群里大师傅们也发了建设经验文章。好吧,这么懒得我也分享下自己的经验,也就当对这2年多来的甲方经...

3198
来自专栏BestSDK

IBM研发医学大数据模型,可控制埃博拉等大型病毒传播

从疫情爆发到疫情出现下降趋势这段时间,世界卫生组织 (WHO) 发布了一个旨在增加预防和应急措施、提供紧急护理以及通过提高民众对埃博拉病毒抗感染能力来预疾病蔓延...

3536
来自专栏腾讯研究院的专栏

网络中立:互联网的未来

腾讯研究院司晓 蔡雄山 廖怀学 卢依联合撰稿       导语:奥巴马在一封给网络中立支持者们的公开信中谈到,“FCC今天的决定将保护创新,并为新一代的...

36615
来自专栏罗超频道

云计算如何获得信任?认证评级

云计算的本质在于通过集中供应式的弹性计算,降低计算成本。与水厂、电厂不同的是,云计算使用者需要把数据交给云计算厂商,这让一些厂商对云计算心存芥蒂,宁愿使用一些昂...

4258
来自专栏顶级程序员

现实版天眼系统,一个漏洞让小白都能追踪上亿美国人实时定位

电影中的天眼系统能够利用各种高科技追踪任何人的位置,这是美国人对于未来隐私的担忧。一家收集北美多达2亿手机用户的实时定位数据的公司,网站上出现了一个漏洞,任何人...

832
来自专栏大数据文摘

探秘国内地下数据交易市场

3655

扫码关注云+社区

领取腾讯云代金券