25(信息技术安全性评估准则)诞生的实践背景是什么?
发布时间:2011年06月15日点击数: 作者:孙强、孟秀转 来源:ITGov中国IT治理研究中心
【字体: 收藏 打印文章
摘要:
CC(Common Criteria for Information Technology Security Evaluation)——信息技术安全性评估准则,是评估信息技术产品和系统安全性的国际通用准则,是信息技术安全性评估结果国际互认的基础。

CC(信息技术安全性评估准则)诞生的实践背景是什么?

CC(Common Criteria for Information Technology Security Evaluation)——信息技术安全性评估准则,是评估信息技术产品和系统安全性的国际通用准则,是信息技术安全性评估结果国际互认的基础。

CC(Common Criteria)是国际标准化组织统一多种评估准则努力的结果,是在美国和欧洲等国分别自行推出并实践测评准则及标准的基础上,通过相互间的总结和互补发展起来的。1985年美国国防部正式公布了可信计算机系统评估准则(TCSEC,即橘皮书:Orange Book),这本橘皮书也是大家公认的第一个计算机信息系统评估标准。在随后的十年里,不同的国家都开始主动开发建立在TCSEC基础上的评估,包括:欧洲的信息技术安全性评估准则(ITSEC)、加拿大计算机产品评估准则(CTCPEC)、美国信息技术安全联邦准则(FC)等,这些准则更灵活、更适应了IT技术的发展。

由于全球IT市场的发展,需要标准化的信息安全评估结果在一定程度上可以互相认可,以减少各国在此方面的一些不必要的开支,从而推动全球信息化的发展。国际标准化组织(ISO)从1990年开始着手编写通用的评估准则。1993年6月,与CTCPEC、FC、TCSEC、和ITSEC有关的六个国家中七个相关政府组织集中了他们的成果,并联合行动将各自独立的准则集合成统一的、能被广泛接受的IT安全准则。该项结果作为对国际标准的贡献提交给了ISO,并于1996年颁布了1.0版,1998年颁布了2.0版,1999年颁布了2.1版,2005年10月颁布CC2.3版,2006年9月颁布了CC3.1版。CC2.1和CC2.3差别不大,但是CC3.1变化较大。其中安全模型有一些改变;PP和ST的内容更加明确简练,易于评估;安全保障类进行了分类的调整合并,更加合理。
 

 

京ICP备06004481号   Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved