信息技术安全评估准则CC与等级保护分析

摘 要：本文首先简要分析了CC的基本范围，探讨了其评估、组织、安全概念，最后剖析了CC当中安全需求的具体描述方法，望能为此领域研究有所借鉴。

关键词：信息技术安全;评估准则;CC;等级保护

早在上个世纪90年代初，诸如ITSEC、TCSEC等信息技术安全评估准则的发起、组织便开始紧密融合，把各自的準则以一种合理方式，组合成一个可以广泛使用且独立的IT安全准则。此行动被业内形象的称之为CC项目，其主要目的就是将原先标本当中的基本概念、技术差异解决掉，且将最终结果当作开发过程中的国际标准，向ISO提交。现阶段，CC在我国已经成为等级保护制度制定的重要参考准则，本文就此作一探讨。

1.CC的基本范围

CC将人为带来的信息威胁作为考虑的重点，不管其有意、无意，均作为重点考虑对象;但需要指出的是，CC还可以用作那些不是人为因素所造成的威胁。CC对于那些软、固、硬件所实现的信息技术安全措施比较适用，而部分内容中包含一些特殊专业技术，所以，并不在此架构当中，比如：（1）CC未囊括那些无关于信息技术安全措施，且属行政性管理安全措施范畴内的安全评估准则。而在TOE所对应的运行环境当中，此类管理安全措施被当作是TOE安全使用的重要支撑与前提条件;（2）CC不专门评估信息技术安全性架构当中的物理方面，比如电磁辐射控制等;（3）CC不包含评估方法学的内容，也无用于评估机构的CC管理模式。（4）CC未涉及与密码算法所对应的固有质量评价准则。

2.CC评估

为了使评估结果在可比性上更佳，在进行评价时，需要基于具有权威性的估方案框架中来完成;针对此框架而言，其中不仅规定了标准，而且还对评估质量进行监控，此外，还负责对评估工具进行管理。还需要说明的是，CC当中对那些可调整框架的各项要求，并没有明确规定，但需要说明的是，各评估机构在可调整框架方面所存在的一致性，是评估结果能够相互被认同的前提所在。通过对通用评估方法学的合理使用，不仅能提供最终结果的可重复性，而且还能提供其客观性，但如果单凭方法学，那显然是不够的。诸多评估准则需要借助特定背景知识及专家判断，而此些内容较难实现统一。为了能使评估结果在一致性上得到增强，针对最终所得到的评估结果而言，需要进行认证，而此过程实际就是以评估结果为对象所进行的独立工作内容，在评估之后，会生成证书，或者是批文。而针对所得到的证书来讲，其一般是对外公开的。需要强调的是，认证过程是提高IT安全准则一致性的一项重要手段。还需要指出的是，评估机构负责管理评估方案，因此，方法学和认证过程均为其职责所在，并非在CC的范围内。

3.CC组织

CC主要由3部分构成，其一：一般模型与简介。针对CC的格式及一般概念来讲，其主要对CC的适用范围及结构进行了描述，并且对安全需求及安全功能的基本定义进行了描述，给出了安全目标、保护轮廓的基本结构。其二，安全功能要求。该部分将诸多安全功能组件提供给开发者、相关用户，并被当作对评估对象功能需求予以表示的标准方法;而无论是在安全目标当中，还是在保护轮廓职工，都使用此些功能组件来描述。其三，安全保证要求。针对此部分来讲，其将诸多安全保证组件提供给了开发者，并且还将其当作表示对象保证要求的一种标准方法;还需要指出的是，此部分当中还给出了7个评估保证级别，分别为形式化验证的测试与设计、半形式化验证的测试与设计、半形式化测试与设计、系统测试、设计与复查、系统检查与测试、结构测试、功能测试。

4.CC安全概念分析

需要说明的是，在IT环境当中，只有将IT组件保护资产方面的能力考虑在内，此时的CC方为可用。为了能够证明资产安全，安全考虑需要在全部层次的表述中出现，无论是最抽象还是IT的最终实现。另外，在某层次上，CC要求在表述上包含此层次上TOE描述的原理，因此，此层次需囊括一个规范化的论据，以此来证明其一致于更高层次，且他自身是正确且全面的。借助安全目的与陈述之间的符合性，基本原理能够证明TOE无论是在执行组织性安全策略上，还是在对抗威胁上，均为有效的。

另外，CC还把表述划分成各个层次，其给出了一种在对ST或者PP进行开发时，能够将规范与安全需求得出来的方法。全部TOE安全要求都以对TOE的环境、目的的安全考虑为其来源所在。

5.CC当中安全需求的描述方法

CC为全部安全需求均提供了一种比较实用且高效的组件库，也就是能依据安全需求，从库当中挑选出所需要的各种组件，比如安全保证组件、安全功能组件等。所以，可将CC理解为材料基地或者是知识库，其中囊括了大量当前比较常用的安全技术。但需要说明的是，一个完备的信息系统均有其专属的安全需求，并且此类需求仅为整个知识库的一个子集，怎样自知识库当中，将所需要的组件子集给选取出来，并有规律且合理化的表达出来，通常情况下，需要与既定安全目标相符，而ST、PP正是能满足此要求的描述方式。所以，如果将CC当作一个字典，那么ST、PP为其语法规则，依据此种规则组织所需要的字词，并形成流畅的语言，这样便可以将自身需求给准确表达出来，且达成既定的安全目标。

6.结语

综上，信息技术安全评估准则CC是现阶段在全球范围内都已经得到广泛认可的一种准则，其能够根据现实需要进行准确的安全评估，并给予有选择性、针对性的等级保护，因此，其在实际应用中，有着不错的应用价值与效能。

参考文献：

[1]蒋鲁宁. 强制性的安全标准与自愿的安全标准[J]. 中国信息安全， 2014（6）：121-121.

[2]李守鹏， 曾岩. 信息技术安全评估通用准则（CC）的主要特征[J]. 网络安全技术与应用， 2002， 30（1）：17-21.

[3]刘宝利， 肖晓春， 张旭，等. 基于PKI系统安全等级保护评估准则的评估方法[J]. 计算机工程， 2007， 33（18）：156-158.

[4]王伟， 谢学富， 杜志良. 一种用于信息系统安全等级保护的定级技术[J]. 信息安全与技术， 2015， 6（7）：6-8.

作者简介：

谢志伟，出生年月：1986年11月，性别：男，民族：汉，籍贯：广东省揭阳市，当前职务：办事员，当前职称：信息助理工程师，学历：本科.