28：(信息技术安全性评估准则)的优点和缺点都有哪些?

发布时间：2011年06月15日点击数： 作者：孙强、孟秀转 来源：ITGov中国IT治理研究中心

【字体：小 大】 【收藏】 【打印文章】

摘要:
评估结果最终是一个客观参考性的结果，是一个通过或者未通过的声明，但对企业的实际指导意义不是很强，因为企业的安全评估不是为了证书，而是需要有具体的改进方案。

CC(信息技术安全性评估准则)的优点和缺点都有哪些?

CC标准的优点在于：

 提倡安全工程的思想，通过信息安全产品的评价，确保产品的安全性；

通过参数化，解决了安全特性在不同产品与系统之间存在的差异。

不再强调功能的级别，而是强调保证的级别，注重了非技术性因素的评价；

从两个侧面，即安全功能和安全保证方面，描述产品的安全模型，并覆盖了物理、网络、安全特性的三维安全框架结构的绝大部分内容；

将公认的安全需求制定成相应的标准文档，用户可以直接使用，利于标准的推广以及用户间的共享；

安全功能、安全保证及安全评价之间相互独立，安全功能需求定义了所期望的安全行为，安全保证需求是有效实施安全措施的基础，而安全评价则是测定安全功能需求与保证需求的可信程度。
CC的缺点在于：

只是制定了一个框架，定义了标准的主体，但缺少执行指南，可操作性不强，具体步骤还需要大量文档进行补充；

CC标准比较复杂，概念众多，标准文本晦涩难懂，这可能会在一定程度上制约该标准的推广和普及；

更适合与产品在市场推广之前的认证，产品经过安全性评价和可用性鉴定之后投入实际使用，所以适合于指导开发过程，而对已经使用的信息系统不太适用；

评估结果最终是一个客观参考性的结果，是一个通过或者未通过的声明，但对企业的实际指导意义不是很强，因为企业的安全评估不是为了证书，而是需要有具体的改进方案。

目前国际上基于CC标准评价的认证机构很少，且评估过程复杂，评估成本高，缺少灵活性与实用性。