产品安全—CC标准 ISO/IEC 15408:2022

文章目录

  • 1. 变化
  • 2. Part1 简介和一般模型
  • 3. Part2 安全功能组件
  • 4. Part3 安全保障组件
  • 5. Part4 评估方法和活动规范框架
  • 6. Part5 预定义的安全要求包
  • 7. 总结

1. 变化

  增加了两个部分:评估方法和活动规范框架 & 预定义的安全要求包

  • 术语已经过审查和更新;
  • 引入了新的功能要求和新的保证要求;
  • 引入了确切的一致性类型;
  • 删除了低保证保护配置文件(PP)并引入了 PP 的直接理由;
  • 引入多重保证评估;
  • 引入了保证的组成。

2. Part1 简介和一般模型

  目标读者发生变化,由原来的三个(消费者、开发者和评估者)变为五个(消费者、开发人员、技术工作组、评估者和其他)

CC:2022 parts消费者(风险所有者)开发人员技术工作组评估者其他
Part 1应用于背景信息、参考目的以及 PP 结构、PP - 模块、PP - 配置、ST 和组合的指导。应用于开发 TOE 的安全规范和安全问题定义 (SPD)。应用于背景信息、参考目的以及 PP、PP - 模块、PP - 配置、ST 和组合结构的指导。应用于开发 TOE 的安全规范。应用于背景信息、参考目的以及 PP、PP 模块、PP 配置、ST 和组成的结构指导。 用于开发包、PP、PP 模块和 PP 配置的安全规范。在评估包、PP、PP-模块和PP-配置中给出的安全功能组件或ST中的安全保证要求时应用作参考。在审查包、PP、PP-模块和 PP-配置中给出的安全功能组件或 ST 中的安全保证要求时可用作参考。
Part 2在为其风险环境制定安全功能组件声明时应用作指导和参考。在解释包、PP 和 PP - 模块中的安全功能组件的声明时应用作参考。开发 ST 时应使用。可以在制定 IT 产品的安全功能时使用。在制定包、PP 和 PP 模块中的安全功能组件声明时应用作参考。在评估包、PP 和 PP 模块中给出的安全功能组件或 ST 中的安全功能要求(SFR)时应用作参考。在审查包、PP 和 PP 模块中给出的安全功能组件或 ST 中的安全功能要求 (SFR) 时,可用作参考。
Part 3在确定其风险环境所需的安全保证时应用作指导和参考。在解释包、PP、PP - 模块和 PP - 配置中的安全保证组件的声明时应用作参考。开发 ST 时应使用 制定或改进开发流程时可使用。在制定包、PP、PP-模块和PP-配置中的安全保证组件声明时应用作参考。在评估包、PP、PP-模块和PP-配置中给出的安全功能组件或ST中的安全保证要求时应用作参考。在审查包、PP、PP-模块和 PP-配置中给出的安全功能组件或 ST 中的安全保证要求时可用作参考。
Part 4应用于评估方法和/或活动结构中的参考和背景信息。应用于参考目的以及评估方法和/或活动结构的指导。应用于参考目的并指导评估方法和活动的结构。应用于参考目的并指导评估方法和活动的结构。制定具体评价方法和活动时应使用。 可用于参考目的以及评估方法和活动结构的指导。
Part 5在确定任何声明的预定义安全要求包的内容时应用作参考。在开发声称符合预定义安全要求包的 ST 时应使用。在准备符合预定义安全要求包的评估 TOE 时,应用作参考。在开发声称符合预定义安全要求包的 PP、PP 模块和 PP 配置时应使用。在评估 PP、PP 模块和 PP 配置或声称符合预定义安全要求包的 ST 时,应用作参考。可用作确定任何声明的预定义安全要求包的内容时的参考。

3. Part2 安全功能组件

  安全功能组件增加了。组件层次也增加了,在此不做统计。

组件
FCS密码支持FCS_RBG 随机位生成6
FCS_RNG 随机数生成1
FDP 用户数据保护FDP_IRC 信息保留控制1
FDP_SDC 存储数据的机密性2
FIA 标识和鉴别FIA_API 身份验证证明1
FMT 安全管理FMT_LIM 有限的功能和可用性2
FPT TSF保护FPT_EMS TOE发射1
FPT_INI TSF初始化1
FTP 可信信道FTP_PRO 可信通道协议3

4. Part3 安全保障组件

  没有了对评估保障级EAL1~EAL7的介绍,挪到了part5去了。
  增加了ACE类,增加了对复合产品产品的要求。

组件
ACE PP配置评估ACE_INT介绍
ACE_CCL一致性声明
ACE_SPD安全问题定义
ACE_OBJ安全目的
ACE_ECD扩展组件
ACE_REQ安全要求
ACE_MCO一致性,依赖关系
ACE_CCO配置一致性
ASE ST评估ASE_COMP复合电子产品安全目标的一致性
ADV 开发ADV_COMP复合设计合规性
ALC 生命周期支持ALC_TDATOE 开发工件
ALC_COMP组成部件的整合和交付的一致性检查程序
ATE 测试ATE_COMP复合功能测试
AVA 脆弱性分析AVA_COMP综合脆弱性评估

5. Part4 评估方法和活动规范框架

  为规范评估方法和活动提供标准化框架,这些方法和活动可能包含在 PP、ST 和任何支持它们的文件中,供评估人员使用 CC 其他部分中描述的模型来支持评估。
  CEM 是 CC 第 4 部分的基础。CEM 提供了根据 CC 执行的 IT 安全评估的基线方法。

6. Part5 预定义的安全要求包

  提供了安全保证和 SFR 包,这些包已被确定为可用于支持利益相关者的共同使用。 提供的包的示例包括评估保证级别 (EAL) 和组合保证包 (CAP)。
  值得一说的是,虽然Part3增加了部分安全保障组件,但对于评估各个等级所需要的文档并没有影响,但是ALC_FLR 缺陷纠正类被取消了。

7. 总结

  虽然标准组成由3个part变为了5个part,但是整体变化不是很大。Part5是从Part3中提取出来的,Part4是以CEM为基础的。变化最大的可能要属part2,增加了几个安全功能组件,这几个组件的增加主要是因为很多物联网产品或者芯片都需要在原有的组件上面进行扩展,干脆直接加入了标准里面。

  CC国际标准最新版于2022年11月发布,国内GB/T 15408标准估也很快也会等同采用更新,但总的来说对于国内CC认证的影响不是很大。

  最新国际标准下载地址

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/98744.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

关于 打开虚拟机出现“...由VMware产品创建,但该产品与此版VMwareWorkstateion不兼容,因此无法使用” 的解决方法

文为原创文章,转载请注明原文出处 本文章博客地址:https://hpzwl.blog.csdn.net/article/details/133678951 红胖子(红模仿)的博文大全:开发技术集合(包含Qt实用技术、树莓派、三维、OpenCV、OpenGL、ffmpeg、OSG、单片机、软硬结…

Ubuntu 配置repo环境

一. 前言 下载Android源码的时候,自己的Ubuntu电脑需要初始化repo环境,这样子你就可以使用 repo init -u ssh: repo sync 等命令下载代码, 在工作中,一般公司的代码仓 git-repo 是固定的,首次就需要把repo的初…

校招时间紧很迷茫?校招机会怎么把握?没有项目简历怎么写?

校招分为秋招和春招,可以说校招是应届生零工作经验进入大厂的唯一机会。 现在十月份也是招聘的重要时间,很多公司的校招从十月份开始,现在秋招如果你没有好的offer,可以好好准备来年的春招,我们为学员准备了丰富的面试…

【1++的Linux】之文件(一)

👍作者主页:进击的1 🤩 专栏链接:【1的Linux】 文章目录 一,初识文件二,文件接口 一,初识文件 文件就是文件内容属性。因此对文件的操作无非就是对文件内容的操作和对文件属性的操作。 我们访问…

数据结构--》解锁数据结构中树与二叉树的奥秘(一)

数据结构中的树与二叉树,是在建立非线性数据结构方面极为重要的两个概念。它们不仅能够模拟出生活中各种实际问题的复杂关系,还常被用于实现搜索、排序、查找等算法,甚至成为一些大型软件和系统中的基础设施。 无论你是初学者还是进阶者&…

遥感数据与作物模型同化:遥感数据、PROSAIL模型、DSSAT模型、参数敏感性分析、数据同化算法、模型耦合

查看原文>>>遥感数据与作物模型同化实践技术应用 基于过程的作物生长模拟模型DSSAT是现代农业系统研究的有力工具,可以定量描述作物生长发育和产量形成过程及其与气候因子、土壤环境、品种类型和技术措施之间的关系,为不同条件下作物生长发育及…

【目标检测】大图包括标签切分,并转换成txt格式

前言 遥感图像比较大,通常需要切分成小块再进行训练,之前写过一篇关于大图裁切和拼接的文章【目标检测】图像裁剪/标签可视化/图像拼接处理脚本,不过当时的工作流是先将大图切分成小图,再在小图上进行标注,于是就不考…

CentOS 7 使用Docker

参考资料 Docker命令大全 黑马程序员docker实操教程 (黑马讲的真的不错 容器与虚拟机 安装 yum install -y docker Docker服务命令 启动服务 systemctl start docker停止服务 systemctl stop docker重启服务 systemctl restart docker查看docker服务状态 syste…

kafka的请求处理机制

目录 前言: kafak是如何处理请求的? 控制请求与数据类请求 参考资料 前言: 无论是 Kafka 客户端还是 Broker 端,它们之间的交互都是通过“请求 / 响应”的方式完成的。比如,客户端会通过网络发送消息生产请求给 B…

GBU808-ASEMI小功率开关电源GBU808

编辑:ll GBU808-ASEMI小功率开关电源GBU808 型号:GBU808 品牌:ASEMI 芯片个数:4 封装:GBU-4 恢复时间:>50ns 工作温度:-55C~150C 浪涌电流:200A 正向电流&#…

【运维笔记】Docker 安装elasticsearch-7.4.0(在线Docker版)

一、准备工作: Centos 7.5 安装elasticsearch-7.4.0(离线压安装传送链接):https://blog.csdn.net/seesun2012/article/details/124684107Centos 7.5 安装 Docker-24.0.6 详细步骤(避坑版): htt…

剑指offer

数组 剑指offer面试题3 数组中重复的数字__牛客网 (nowcoder.com) 剑指代码,称J1: class Solution { public:// Parameters:// numbers: an array of integers// length: the length of array numbers// duplication: (Output) t…

计算机视觉——飞桨深度学习实战-图像分类算法原理与实战

基础理论: 图像分类是深度学习在视觉领域第一个取得突破性成果的任务。本章首先介绍了图像分类任务的发展历程与评价指标。然后分为三个角度分别介绍了在图像分类领域具有重要地位的三种模型。第一种是基于残差网络的模型,本章重点介绍了ResNet、DenseN…

「滚雪球学Java」教程导航帖(更新中)

作者:bug菌 博客:CSDN | 掘金 | infoQ | 51CTO 等 简介:CSDN/阿里云/华为云/腾讯云/51CTO博客专家,博客之星Top30,掘金年度人气作者Top40,51CTO年度>博主Top12,掘金/InfoQ/51CTO等社区优质创…

百万架构师亲码的亿级流量下的分布式限流解决方案

在互联网应用中,高并发系统会面临一个重大的挑战,那就是大量流高并发访问,比如:天猫的双十一、京东618、秒杀、抢购促销等,这些都是典型的大流量高并发场景。 高并发系统限流 短时间内巨大的访问流量,我们…

Python2-对象与变量-可变对象与不可变对象-可迭代对象-enumerate-zip-map

Python2-对象与变量-可变对象与不可变对象-可迭代对象-enumerate-zip-map 1.对象与变量2.对象的值的比较和引用判断is3.不可变对象与可变对象4.可迭代对象iterable5.enumerate()6.zip函数7.map函数 1.对象与变量 Python3中,一切皆为对象,Python语言的每…

基于javaweb的智慧社区设计与实现

目录 前言 一、技术栈 二、系统功能介绍 客户信息管理 客户信息管理 社区信息管理 车位租买支付 前台车位信息 车位预定提交 问卷调查管理 三、核心代码 1、登录模块 2、文件上传模块 3、代码封装 前言 随着信息技术在管理上越来越深入而广泛的应用,管理…

opengauss数据备份(docker中备份)

首先如果想直接在宿主机上进行使用gs_dump备份需要glibc的版本到2.34及以上,查看版本命令为 ldd --version 如图所示,本宿主机并不满足要求,所以转向在docker容器中进行备份, 然后进入opengauss容器中,命令为 docker…

如何看待程序员不写注释

程序员不写注释是一个普遍存在的问题,但并不意味着这是可以接受的。注释对于代码的可读性和可维护性非常重要,因为它们可以帮助其他人理解代码的意图和功能。 以下是一些看待这个问题的观点: 可读性差:没有注释的代码很难阅读和…

ArcGIS API for JavaScript部署开发

官方快速上手教程:https://developers.arcgis.com/javascript/latest/ 官方 API 参考文档:https://developers.arcgis.com/javascript/latest/api-reference 文章目录 0.前言1.引入ArcGIS API for JavaScript部署开发1.1在线引入(via CDN&…