CC(Common Criteria)是什么

什么是Common Criteria（CC）?

Common Criteria for Information Technology Security Evaluation，简称Common Criteria（CC），是国际公认的信息技术安全评估标准。其主要目标是为不同的IT产品和系统提供一个通用的评估框架，促进全球范围的互操作性和信任，是ISO/IEC 15408标准的基础。CC帮助确定产品是否符合指定的安全功能，并提供一套标准化的流程以验证这些功能的有效性。

如何分级

Common Criteria通过评估保障等级（EALs）对产品或系统进行分级，这些等级从低到高代表不同程度的评估深度和质量。

保障等级（Evaluation Assurance Levels, EALs）:

EAL1（Functionally Tested / 功能性测试）: 主要通过功能性测试验证基本安全性能的实现。

EAL2（Structurally Tested / 结构化测试）: 包括结构化的测试和高层设计文档的审查。

EAL3（Methodically Tested and Checked / 方法化测试和检查）: 强调方法论测试和开发环境的进一步审查。

EAL4（Methodically Designed, Tested, and Reviewed / 方法化设计、测试与评审）: 对系统的设计进行方法化审核，是商业软件产品的常见最大目标。

EAL5（Semiformally Designed and Tested / 半形式化设计和测试）: 要求半形式化的设计描述和更深入的测试，包括高保障应用。

EAL6（Semiformally Verified Design and Tested / 半形式化验证设计和测试）: 适合需要高保障的应用程序，强调半形式化验证。

EAL7（Formally Verified Design and Tested / 形式化验证设计和测试）: 最高级别，要求全面的形式化设计验证和测试。

安全功能组件（Security Functional Components）：

描述需要实现的具体安全功能，例如访问控制、用户数据保护、加密通讯和安全审计等。

作用

全球标准化: CC作为国际标准，统一了安全评估方法，使得不同国家和组织能够标准化产品和系统的安全性评估。

促进互认和互信: CC能够通过其全球性认可协议（Common Criteria Recognition Arrangement, CCRA）来实现各国之间的结果互认，减少重复认证的成本和复杂性。

指南与标准: 为开发者和制造商提供了设计和实施安全产品的明确指南，促进产品的安全性增强。

支持消费者与决策者: 通过提供认证信息，帮助客户和政策制定者选择符合其安全需求的IT产品和解决方案。

现状

Common Criteria持续是信息技术安全评估的核心标准之一，多个国家加入了CCRA，使得该标准得到了广泛的国际承认。随着技术的发展，CC也在不断更新，以应对新的技术趋势和安全挑战，如云计算、物联网（IoT）及5G等。

术语和英文全称

保障等级（Evaluation Assurance Levels, EALs）: 定义了评估过程的深入程度，从EAL1到EAL7。

安全功能组件（Security Functional Components）: 描述系统需要具备的安全功能类型和范围。

目标安全配置文件（Protection Profile, PP）: 定义产品类型需要满足的安全要求和目标。

目标高层配置文件（Security Target, ST）: 具体产品针对某保护配置文件所满足的安全性要求。

共同准则认可协议（Common Criteria Recognition Arrangement, CCRA）: 一个国际协议，各国基于CC的评估结果互认，以简化和促进国际间的信息安全合作。

Common Criteria为全球信息技术产品和系统的安全评估建立了可靠的基础，支持国际合作和互信，是现代信息安全标准的重要组成部分。