標準號：GJB 5371.1-2005
中文標準名稱：信息技術安全評估準則 第1部分:簡介和一般模型
英文標準名稱：Evaluation criteria for IT security Part 1:Introduction and general model
標準類型：A90
發布日期：2005/4/11 12:00:00
實施日期：2005/7/1 12:00:00
中國標準分類號：A90
適用范圍： 本部分定義了作為評估信息技術產品和系統安全特性的基本的準則,由于歷史和連續性的原因,簡稱通用準則(CC-Common Criteria)。通過建立這樣的通用準則庫,使信息技術安全評估的結果能被更多的讀者理解。 針對在安全性評估過程中信息技術產品和系統的安全功能及相應的保證措施,CC提供了一組通用要求,使各種獨立的安全評估結果具有可比性。評估過程為滿足這些要求的產品和系統的安全功能以及相應的保證措施確定一個可信級別。評估結果可以幫助用戶確定信息技術產品和系統對他們的應用而言是否足夠安全,以及在使用中隱藏的安全風險是否可以容忍。 CC可用于具有信息技術安全功能的產品和系統的開發與采購指南。在評估過程中,這樣的產品和系統被稱為評估對象 (TOE--Target of Evaluation),如:操作系統、計算機網絡、分布式系統以及應用等。 CC涉及信息保護,以避免未經授權的信息泄露、修改和無法使用 , 與此對應的保護類型通常分別稱之為保密性、完整性和可用性。除上述三個方面外,CC還適用于信息安全的其他方面。CC重點考慮人為的信息威脅,無論其是否是惡意的。但CC也可用于非人為因素導致的威脅。此外,CC還可適用于其他信息技術領域,但對嚴格意義上信息技術安全之外的領域,CC不作承諾。 CC適用于硬件、固件和軟件實現的信息技術安全措施,當一些特定的評估僅適用于某些實現方法時,這一點將在相關的準則說明中注明。 某些內容因涉及特殊的專業技術或僅是信息技術安全的外國技術 ,不在CC的范圍內,例如: a) CC 不包括那些與信息技術安全措施沒有直接關聯的屬于行政性管理安全措施的安全評估準則。但是，應該認識到TOE安全的重要部分是通過諸如組織的、個人的、物理的、程序的監控等行政性管理安全措施來實現的。當行政性管理安全措施影響到信息技術安全措施對抗確定威脅的能力時,這類管理安全措施在TOE的運行環境中被認為是 TOE安全使用的前提條件。 b）對于信息技術安全性的物理方面( 諸如電磁輻射控制 )的評估 ,雖然CC的許多概念是適用的,但并不專門針對該領域,然而也會專門涉及TOE物理保護的一些方面。 c) CC 并不涉及評估方法學,也不涉及評估機構使用本規則的管理模式或法律框架,但希望CC能在具有這樣的框架和方法論的環境中用于評估。 d) 評估結果用于產品和系統認可的過程不屬于CC的范圍.產品和系統的認可是行政性的管理過程,據此授權信息技術產品和系統在其整個運行環境中投入使用。評估集中于產品和系統的信息技術安全部分 ,以及直接影響到安全使用信息技術要素的那些運行環境,因而評估結果是認可過程的有效依據.但是,當其他技術更適合于評價非信息技術相關的系統或產品安全特性及其與信息技術安全部分的關系時,認可者應分別作出這些方面的認可。 e) CC 不包括密碼算法固有質量評價準則。如果需要對嵌入TOE的密碼數學特性進行單獨的評,則在使用CC的評估體制中必須提供這樣的評價。