CC安全標準

美國國防部強調CC安全標準

CNNS註：

國際通用準則(CC)

自1993年開始，1996年推出1.0版，1998年出2.0版，到1999年正式成為國際標準 ISO 15408。CC充分突出"保護輪廓"，將評估過程分為"功能"和"保證"兩部分，是目前最全面的評價準則。CC的幾個基本概念有：

功能要求：信息技術的安全機制所要達到的功能和目的。

保證要求：確保全全功能有效並正確實現的措施與手段。

保護輪廓（PP）：用戶的需求及滿足需求的技術實現方法與途徑。

安全目標（ST）：廠商對產品提供的安全功能的聲明和特定的技術實現。

CC的評估等級共分7級，每一級均需評估7個功能類。

為了降低軟體的安全缺陷率，美國國防部最近強調，從7月1日開始，軟體採購程式要按通用標準執行。(CC，Common Criteria standard，通用準則)

在美國NSA(國家安全局)、美國國家技術標準組織(NIST)採用CC以前，CC是由一些歐洲國家發起並制定的。在合理的執行和監控下，象CC這樣的標準對用戶和廠商都是有好處的，能夠降低黑客入侵和數字恐怖的危害。

HP公司的安全顧問Ira Winkler說："設定標準將改善軟體開發的安全性。"

但是，有些安全專家和軟體提供商認為CC實際上難以執行，儘管其意圖是好的，但對安全產業幫助不大。

"CC突出的是目標評估，但整個過程過於廣泛和複雜。商業領域中沒有人陷足在裡面，它太哲學化了，不實際。" 網際網路安全協會的主任Ken Culter說。

Winkler不否認標準可能對安全產業有利，但表示結果可能不如政府希望的那么理想。"CC可以幫助軟體減少bug，但我不認為會徹底消除。軟體越大，bug越多。"

Winkler說："儘管CC提供了技術標準，但並沒有涉及軟體配置和人為錯誤。當人們開發軟體的時候，必須考慮讓用戶可以配置它。你希望用戶有通用的安全意識，但你如果沒有通用的知識，也就不會有通用的意識。很顯然CC已經超前於用戶。"