標籤: 暫無標籤

  美國國防部強調CC安全標準


  CNNS註:


  國際通用準則(CC)


  國際標準化組織統一現有多種準則的努力,有六個國家的七個標準組織參加。自1993年開始,1996年推出1.0版,1998年出2.0版,到1999年正式成為國際標準 ISO 15408。CC充分突出"保護輪廓",將評估過程分為"功能"和"保證"兩部分,是目前最全面的評價準則。CC的幾個基本概念有:


  功能要求:信息技術的安全機制所要達到的功能和目的。


  保證要求:確保安全功能有效並正確實現的措施與手段。


  保護輪廓(PP):用戶的需求及滿足需求的技術實現方法與途徑。


  安全目標(ST):廠商對產品提供的安全功能的聲明和特定的技術實現。


  CC的評估等級共分7級,每一級均需評估7個功能類。


  為了降低軟體的安全缺陷率,美國國防部最近強調,從7月1日開始,軟體採購程序要按通用標準執行。(CC,Common Criteria standard,通用準則)


  在美國NSA(國家安全局)、美國國家技術標準組織(NIST)採用CC以前,CC是由一些歐洲國家發起並制定的。在合理的執行和監控下,象CC這樣的標準對用戶和廠商都是有好處的,能夠降低黑客入侵和數字恐怖的危害。


  HP公司的安全顧問Ira Winkler說:"設置標準將改善軟體開發的安全性。"


  但是,有些安全專家和軟體提供商認為CC實際上難以執行,儘管其意圖是好的,但對安全產業幫助不大。


  "CC突出的是目標評估,但整個過程過於廣泛和複雜。商業領域中沒有人陷足在裡面,它太哲學化了,不實際。" 互聯網安全協會的主任Ken Culter說。


  Winkler不否認標準可能對安全產業有利,但表示結果可能不如政府希望的那麼理想。"CC可以幫助軟體減少bug,但我不認為會徹底消除。軟體越大,bug越多。"


  Winkler說:"儘管CC提供了技術標準,但並沒有涉及軟體配置和人為錯誤。當人們開發軟體的時候,必須考慮讓用戶可以配置它。你希望用戶有通用的安全意識,但你如果沒有通用的知識,也就不會有通用的意識。很顯然CC已經超前於用戶。"

上一篇[奏之曲]    下一篇 [CComBSTR]

相關評論

同義詞:暫無同義詞