2009年国际通用评估准则cc新趋势 new trend of 2009 iccc.pdfVIP

2009年国际通用评估准则CC新趋势 NewTI℃ndof2009ICCC 2009年9月23～25日，第十届国际通用评估准则会业界的影响是较大的。相对来讲，欧洲各国保持了较高级 riteria rnatiOnaCOmmonC 议(1CCC：Inte 别的互通性以及体系策略的相对一致。 Conference)在挪威召开。参会者来自28个国家，致力于 Criteria)。 同一个技术领域一通用评估准贝U(cc：Common 2产品最终用户的声音 产品最终用户的声音一直是Cc会议所特别关注的， 1 CC新版本 本届会议中此类议题更是重中之重。总体看，保护轮廓、支 每年一届的lOGO会议在CC标准发展和使用上起到持文档以及产品讨论社区的推动是本届会议特别提出且广 了不可磨灭的推动作用。CC标准于1996年发布第一版， 泛关注的层面。 充分结合并替代了lTSEC、TCSEC、CTCPEC、US n Federal 0 CriteriaMaintenance Criteria等国际上重要的信息安全评估标准。1 余年来，CC标准历经了诸多的更新和改进，目前最新版本 国政府认证机构开始重要主题讲演的传统，本届会议开始 为3．1，而且CC4．0也正在修订和讨论中，预计2010年 的两个重要讲演分别来自两个知名产品厂商：微软和 正式发布。 分析了CC标准目前存在的不足和值得考虑的发展方向。微 CC4．0标准的改进工作正在进行，在MeaningfuI reportS、Predictiveassurance、工具、技能和交互 等方面都设有专门的工作组，并设有定期的会议和Wiki社 解决所有的脆弱性或脆弱性原因，他们也都不约而同地从 区讨论。本次会上来自英国体系的DavidMartin代表产品最终客户的真正需求角度提出了各自的看法。微软的 CCDB(CommonCriteriaDevelopmentBcard，CC 开发委员会)汇报了总体工作和CC4．0概要情况，并就技 能和交互工作组近期工作做了专题讲演；来自加拿大体系 规模、数以干计的开发者、大量的平台和特性的情况下，生 Report 的BobMorey代表CCDB汇报了Meaningful命周期的过程管理对减少和控制脆弱性就显得尤为重要。 工作组的近期工作。 其次，PP的开发、评估和认证被业界同仁所广泛推荐 Criteria 至今，CCRA(CommonRecognition和认可，专题讲演中来自各方的专家介绍了诸多不同产品 Agreement，CO互认协定)成员国也已经扩充为26个， 其中包括14个证书颁发(CertificateAuthorizing)国家 和12个证书接受(CertificateConsuming)国家。本届 SystemProtection lOGO上宣布了意大利正式通过了CCMB考核和审查成为 最新的证书颁发国家。目前在世界范围内约有50个评估实 该PP的参与机构包括厂商、认证机构、测评机构等诸多 验室，数百名评估师。在本届会议各个认证机构体系的更 新汇报上，英国体系宣布由于未能达到面向产品评估的专 注和中立的基本要求，已经撤销了BT的实验室资格。目 前，在世界范围内一共颁发了1 100张左右的证书，150余 提交给讨论论坛进行审核和讨论，计划于2009年年底开始 张面向保护轮廓(PP：ProtectionProfile)的证书。 正式评估，2010年第一季度正式发布。OSPP整合了各个 在会议讨论和专题讲座中，对美国(NIAP)体系策略调机构在安