Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC 15408-1-10 (2015) 信息技术 — 安全技术 — IT安全评估准则 第1部分:简介与一般模型
通用准则(Common Criteria)核心框架与评估模型解析
IEC 15408-1-10 (2015) 是国际电工委员会和國際標準化组织共同发布的信息技术安全评估准则(Common Criteria,简称 CC)系列标准的第1部分,全称为《信息技术 — 安全技术 — IT安全评估准则 — 第1部分:简介与一般模型》。该标准于2015年发布,是当前全球范围内使用最广泛的IT产品安全认证框架之一。截至2026年,它仍然是各国安全认证机构(如美国NIAP、德国BSI、日本JISEC等)的核心依据。本文围绕其适用范围、核心技术内容、实施要点以及相关标准的关系进行专业解读。
标准概况与适用范围
IEC 15408-1-10 定义了CC评估模型的基本概念、评估方法和框架。标准的核心目标是建立一个可重复、透明的评估体系,使IT产品和系统能够通过标准化的安全功能要求和保证要求进行客观评价。
标准的适用对象包括:
- IT产品的开发者(用于指导安全设计与自评估)
- 评估机构(用于执行公正的第三方评估)
- 用户与采购方(通过认证结果选择合适的安全产品)
- 监管机构(用于制定行业准入要求)
它可用于评估各类通用产品(如操作系统、数据库、网络设备、智能卡、虚拟化平台等)以及面向特定领域的系统(如工业控制系统、医疗设备IT组件等)。
提示: IEC 15408-1-10 是CC系列的核心纲领性文件,阅读时应结合ISO/IEC 15408-2(安全功能组件)和ISO/IEC 15408-3(安全保证组件)具体实施。理解本部分的概念是有效使用CC的起点。
主要技术内容与要求
评估模型与关键概念
标准引入了一组核心概念,构建出完整的评估框架:
- 保护轮廓 (Protection Profile, PP) :面向某类产品或应用场景的安全需求规范,独立于具体实现。例如“智能卡芯片保护轮廓”定义了该类产品必须满足的安全功能与保证水平。
- 安全目标 (Security Target, ST) :具体产品的安全声明,包含详细的实施声明和满足要求的证据。每个待评估产品都必须编写ST。
- 评估保证级别 (Evaluation Assurance Level, EAL) :定义从EAL1到EAL7共七个递进级别,对应从基本功能测试到形式化验证的不同严格程度。
- 安全功能要求 (SFR) 与 安全保证要求 (SAR) :分别对应产品的功能属性(如访问控制、审计)以及开发、文档、测试等过程要求。
| 保证级别 | 名称 | 主要保证手段 | 常见应用 |
|---|---|---|---|
| EAL1 | 功能测试 | 功能测试、配置管理 | 低安全环境 |
| EAL2 | 结构测试 | 漏洞分析、独立测试 | 中等风险 |
| EAL3 | 方法测试与校验 | 安全工程检查、渗透测试 | 中高安全 |
| EAL4 | 方法设计、测试与评审 | 半形式化设计、自动化分析 | 高安全(最常用) |
| EAL5 | 半形式化设计与测试 | 形式化模型、模块化设计 | 关键系统 |
| EAL6 | 半形式化验证与测试 | 详细形式化、结构化实施 | 极高安全需求 |
| EAL7 | 形式化验证与测试 | 形式化规格、一致性证明 | 最高安全(极少使用) |
安全目标与保护轮廓的结构
标准规定了ST和PP必须包含的章节和内容,包括安全环境假设、威胁、组织策略、目标、要求、声明以及前置条件等。其中要求部分必须引用ISO/IEC 15408-2和ISO/IEC 15408-3中的功能/保证组件,确保评估的一致性。
注意: 选择EAL级别时不应盲目追求高级别。EAL4及以上需要大量形式化设计和测试材料,成本显著增加。推荐根据产品用途和风险分析选择适当的级别,通常EAL2~EAL4覆盖了90%的商业安全需求。过高的EAL级别可能导致项目周期延长而实际安全增益有限。
实施与应用要点
评估流程概览
- 立项与准备:产品开发团队确定适用范围,选择或编写合适的PP(如有),并开始编写ST。
- 评估活动:由持证评估机构对ST、设计文档、源代码、测试报告等进行独立审核;评估根据EAL级别进行不同程度的渗透测试和形式化分析。
- 认证与维护:评估通过后颁发认证证书,并在产品生命周期内进行持续监督(视方案而定)。
标准实施益处: 通过CC认证的产品在政府采购、关键基础设施部署和跨国贸易中具有明显优势。例如,北美和欧盟的许多IT安全设备招标强制要求CC EAL2 / EAL4+认证;对于供应商而言,获得CC认证可以直接提升品牌信誉,并减少买家重复评估的成本。截至2026年,CC仍然是国际互认度最高的安全评估标准,获得认证后可在25个签约国获得互认。
强制性条款: IEC 15408-1-10明确要求,任何参与CC评估的产品都必须编写符合标准格式的安全目标(ST),且ST中声明的安全功能要求和保证要求必须与评估机构协商并最终强制执行。如果产品声明符合某个PP,则ST必须满足该PP的全部要求,否则评估将被否决。
实施中的常见挑战
- PP/ST编写质量:许多初次使用的团队容易忽略安全环境的准确性,导致后续评估中的漏洞。
- 证据积累:需要完整保留开发过程中的配置管理、测试记录和设计文档,这对敏捷开发模式提出额外要求。
- 评估机构选择:应选择国家或国际认可的实验室(如CCTL),并提前沟通评估范围与时间。
实用技巧: 初次实施时可从EAL2或EAL3起步,同时使用工具化的管理平台跟踪ST中每个要求的覆盖情况。利用已有的PP(如商业安全操作系统PP、网络设备PP等)可大幅降低ST编写工作量。
与其他标准的关系
IEC 15408-1-10 并不孤立存在,它与多个国际标准协同工作:
- 与ISO/IEC 15408-2/3的关系:本部分提供概念框架和评估模型;第2部分提供安全功能组件库;第3部分提供安全保证组件库。三者结合才形成完整的评估体系。
- 与ISO/IEC 27001(信息安全管理体系)的关系:CC面向产品评估,27001面向组织的安全管理。两者互补:CC通过产品认证保障安全基座,27001从管理层面持续改善。
- 与IEC 62443(工业通信网络安全)的关系:IEC 62443-4-2 借鉴CC的方法,定义了工控组件(IACS)的安全要求,并兼容PP的结构。
- 与FIPS 140-3 (美国密码模块标准) 的关系:CC评估可覆盖密码模块,但FIPS 140-3更专注于密码算法和模块接口的测试。ISO/IEC 19790 与CC也有对应关系。
值得注意的是,许多国家将CC作为基准评估方法,结合本土化标准使用,例如中国国家标准GB/T 18336等同采用ISO/IEC 15408。
常见问题 (FAQ)
问: IEC 15408-1-10 标准名称中的“1-10”有什么含义?
答: 该编号来自加拿大标准出版物(CAN/CSA-ISO/IEC 15408-1-10),内容与ISO/IEC 15408-1:2015完全一致。“1-10”表示第1部分(Part 1)的加拿大出版顺序号。在实际使用中,通用准则的标准编号一般为ISO/IEC 15408-1:2015。
答: 该编号来自加拿大标准出版物(CAN/CSA-ISO/IEC 15408-1-10),内容与ISO/IEC 15408-1:2015完全一致。“1-10”表示第1部分(Part 1)的加拿大出版顺序号。在实际使用中,通用准则的标准编号一般为ISO/IEC 15408-1:2015。
问: 一个产品通过CC EAL4认证通常需要多长时间?
答: 时间跨度取决于产品复杂度、EAL级别和准备情况。通常EAL4级别的认证周期为12~24个月(包含开发与评估),若产品完全符合典型PP且团队经验丰富,可缩短至6~12个月。EAL2级别可在3~6个月内完成。
答: 时间跨度取决于产品复杂度、EAL级别和准备情况。通常EAL4级别的认证周期为12~24个月(包含开发与评估),若产品完全符合典型PP且团队经验丰富,可缩短至6~12个月。EAL2级别可在3~6个月内完成。
问: 如果产品已经通过了CC认证,是否还需要满足GDPR等其他法规?
答: 需要。CC认证主要针对IT产品的功能和保证,不直接覆盖数据保护法规(如GDPR、HIPAA)的组织要求或法律合规。产品部署后仍应按适用法规进行风险管理和隐私保护。CC认证可作为技术合规的重要证据,但不能完全替代法律性合规评估。
答: 需要。CC认证主要针对IT产品的功能和保证,不直接覆盖数据保护法规(如GDPR、HIPAA)的组织要求或法律合规。产品部署后仍应按适用法规进行风险管理和隐私保护。CC认证可作为技术合规的重要证据,但不能完全替代法律性合规评估。
本文撰写于2026年,内容基于IEC 15408-1-10 (2015) 原版标准及相关参考资料。建议读者关注最新标准版本(如ISO/IEC 15408-1:2022)以获得更新信息。
