产品安全—CC标准 ISO/IEC 15408:2022
文章目录
- 1. 变化
- 2. Part1 简介和一般模型
- 3. Part2 安全功能组件
- 4. Part3 安全保障组件
- 5. Part4 评估方法和活动规范框架
- 6. Part5 预定义的安全要求包
- 7. 总结
1. 变化
增加了两个部分:评估方法和活动规范框架 & 预定义的安全要求包
- 术语已经过审查和更新;
- 引入了新的功能要求和新的保证要求;
- 引入了确切的一致性类型;
- 删除了低保证保护配置文件(PP)并引入了 PP 的直接理由;
- 引入多重保证评估;
- 引入了保证的组成。
2. Part1 简介和一般模型
目标读者发生变化,由原来的三个(消费者、开发者和评估者)变为五个(消费者、开发人员、技术工作组、评估者和其他)
| CC:2022 parts | 消费者(风险所有者) | 开发人员 | 技术工作组 | 评估者 | 其他 |
|---|---|---|---|---|---|
| Part 1 | 应用于背景信息、参考目的以及 PP 结构、PP - 模块、PP - 配置、ST 和组合的指导。应用于开发 TOE 的安全规范和安全问题定义 (SPD)。 | 应用于背景信息、参考目的以及 PP、PP - 模块、PP - 配置、ST 和组合结构的指导。应用于开发 TOE 的安全规范。 | 应用于背景信息、参考目的以及 PP、PP 模块、PP 配置、ST 和组成的结构指导。 用于开发包、PP、PP 模块和 PP 配置的安全规范。 | 在评估包、PP、PP-模块和PP-配置中给出的安全功能组件或ST中的安全保证要求时应用作参考。 | 在审查包、PP、PP-模块和 PP-配置中给出的安全功能组件或 ST 中的安全保证要求时可用作参考。 |
| Part 2 | 在为其风险环境制定安全功能组件声明时应用作指导和参考。 | 在解释包、PP 和 PP - 模块中的安全功能组件的声明时应用作参考。开发 ST 时应使用。可以在制定 IT 产品的安全功能时使用。 | 在制定包、PP 和 PP 模块中的安全功能组件声明时应用作参考。 | 在评估包、PP 和 PP 模块中给出的安全功能组件或 ST 中的安全功能要求(SFR)时应用作参考。 | 在审查包、PP 和 PP 模块中给出的安全功能组件或 ST 中的安全功能要求 (SFR) 时,可用作参考。 |
| Part 3 | 在确定其风险环境所需的安全保证时应用作指导和参考。 | 在解释包、PP、PP - 模块和 PP - 配置中的安全保证组件的声明时应用作参考。开发 ST 时应使用 制定或改进开发流程时可使用。 | 在制定包、PP、PP-模块和PP-配置中的安全保证组件声明时应用作参考。 | 在评估包、PP、PP-模块和PP-配置中给出的安全功能组件或ST中的安全保证要求时应用作参考。 | 在审查包、PP、PP-模块和 PP-配置中给出的安全功能组件或 ST 中的安全保证要求时可用作参考。 |
| Part 4 | 应用于评估方法和/或活动结构中的参考和背景信息。 | 应用于参考目的以及评估方法和/或活动结构的指导。 | 应用于参考目的并指导评估方法和活动的结构。 | 应用于参考目的并指导评估方法和活动的结构。 | 制定具体评价方法和活动时应使用。 可用于参考目的以及评估方法和活动结构的指导。 |
| Part 5 | 在确定任何声明的预定义安全要求包的内容时应用作参考。 | 在开发声称符合预定义安全要求包的 ST 时应使用。在准备符合预定义安全要求包的评估 TOE 时,应用作参考。 | 在开发声称符合预定义安全要求包的 PP、PP 模块和 PP 配置时应使用。 | 在评估 PP、PP 模块和 PP 配置或声称符合预定义安全要求包的 ST 时,应用作参考。 | 可用作确定任何声明的预定义安全要求包的内容时的参考。 |
3. Part2 安全功能组件
安全功能组件增加了。组件层次也增加了,在此不做统计。
| 类 | 族 | 组件 |
|---|---|---|
| FCS密码支持 | FCS_RBG 随机位生成 | 6 |
| FCS_RNG 随机数生成 | 1 | |
| FDP 用户数据保护 | FDP_IRC 信息保留控制 | 1 |
| FDP_SDC 存储数据的机密性 | 2 | |
| FIA 标识和鉴别 | FIA_API 身份验证证明 | 1 |
| FMT 安全管理 | FMT_LIM 有限的功能和可用性 | 2 |
| FPT TSF保护 | FPT_EMS TOE发射 | 1 |
| FPT_INI TSF初始化 | 1 | |
| FTP 可信信道 | FTP_PRO 可信通道协议 | 3 |
4. Part3 安全保障组件
没有了对评估保障级EAL1~EAL7的介绍,挪到了part5去了。
增加了ACE类,增加了对复合产品产品的要求。
| 类 | 族 | 组件 |
|---|---|---|
| ACE PP配置评估 | ACE_INT | 介绍 |
| ACE_CCL | 一致性声明 | |
| ACE_SPD | 安全问题定义 | |
| ACE_OBJ | 安全目的 | |
| ACE_ECD | 扩展组件 | |
| ACE_REQ | 安全要求 | |
| ACE_MCO | 一致性,依赖关系 | |
| ACE_CCO | 配置一致性 | |
| ASE ST评估 | ASE_COMP | 复合电子产品安全目标的一致性 |
| ADV 开发 | ADV_COMP | 复合设计合规性 |
| ALC 生命周期支持 | ALC_TDA | TOE 开发工件 |
| ALC_COMP | 组成部件的整合和交付的一致性检查程序 | |
| ATE 测试 | ATE_COMP | 复合功能测试 |
| AVA 脆弱性分析 | AVA_COMP | 综合脆弱性评估 |
5. Part4 评估方法和活动规范框架
为规范评估方法和活动提供标准化框架,这些方法和活动可能包含在 PP、ST 和任何支持它们的文件中,供评估人员使用 CC 其他部分中描述的模型来支持评估。
CEM 是 CC 第 4 部分的基础。CEM 提供了根据 CC 执行的 IT 安全评估的基线方法。
6. Part5 预定义的安全要求包
提供了安全保证和 SFR 包,这些包已被确定为可用于支持利益相关者的共同使用。 提供的包的示例包括评估保证级别 (EAL) 和组合保证包 (CAP)。
值得一说的是,虽然Part3增加了部分安全保障组件,但对于评估各个等级所需要的文档并没有影响,但是ALC_FLR 缺陷纠正类被取消了。
7. 总结
虽然标准组成由3个part变为了5个part,但是整体变化不是很大。Part5是从Part3中提取出来的,Part4是以CEM为基础的。变化最大的可能要属part2,增加了几个安全功能组件,这几个组件的增加主要是因为很多物联网产品或者芯片都需要在原有的组件上面进行扩展,干脆直接加入了标准里面。
CC国际标准最新版于2022年11月发布,国内GB/T 15408标准估也很快也会等同采用更新,但总的来说对于国内CC认证的影响不是很大。
最新国际标准下载地址
相关文章:
产品安全—CC标准 ISO/IEC 15408:2022
文章目录 1. 变化2. Part1 简介和一般模型3. Part2 安全功能组件4. Part3 安全保障组件5. Part4 评估方法和活动规范框架6. Part5 预定义的安全要求包7. 总结 1. 变化 增加了两个部分:评估方法和活动规范框架 & 预定义的安全要求包 术语已经过审查和更新&#…...
Pytorch笔记之回归
文章目录 前言一、导入库二、数据处理三、构建模型四、迭代训练五、结果预测总结 前言 以线性回归为例,记录Pytorch的基本使用方法。 一、导入库 import numpy as np import matplotlib.pyplot as plt import torch from torch.autograd import Variable # 定义求…...
哪个证券公司可以加杠杆,淘配网是您的杠杆综合网站!
在证券市场中,投资者经常寻求提高资金杠杆以获得更高的回报。杠杆交易可以让您在不必拥有等额本金的情况下,参与更多的交易活动。然而,为了进行杠杆交易,您需要找到一家证券公司或平台,可以为您提供这种服务。本文将介…...
万字解读|怎样激活 TDengine 最高性价比?
不知不觉间,TDengine 已经 6 岁多了。在这 6 年多的时间里,我们从零开始,在一行又一行代码的淬炼下,TDengine 从 1.6 走过 2.0,终于走到如今的 3.0 时代。 自 2022 年下旬发布以来,经过我们不断地打磨优化…...
【目标检测】大图包括标签切分,并转换成txt格式
前言 遥感图像比较大,通常需要切分成小块再进行训练,之前写过一篇关于大图裁切和拼接的文章【目标检测】图像裁剪/标签可视化/图像拼接处理脚本,不过当时的工作流是先将大图切分成小图,再在小图上进行标注,于是就不考…...
gitlab登录出现的Invalid login or password问题
前提 我是在一个项目里创建的gitlab账号,想在别的项目里登录或者官网登录发现怎么都登陆不上 原因 在GitLab中,有两种不同的账号类型:项目账号和个人账号(官网账号)。 项目账号:项目账号是在特定GitLab…...
git本地创建分支并推送到远程
1. 创建本地分支并切换到该分支 比如我创建dev分支。git checkout -b相当于把两条命令git branch 分支名、git checkout分支名合成一条,来实现一条命令新建分支切换分支。 git checkout -b dev 2. 将dev分支推送到远程 -u参数与--set-upstream这一串是一个意思&am…...
手机待办事项app哪个好?
手机是日常很多人随身携带的设备,手机除了拥有通讯功能外,还能帮助大家高效管理日常工作,借助手机上的待办事项提醒APP可以快速地帮助大家规划日常事务,提高工作的效率。 过去,我也曾经在寻找一款能够将工作任务清晰罗…...
容器运行elasticsearch安装ik分词非root权限安装报错问题
有些应用默认不允许root用户运行,来确保应用的安全性,这也会导致我们使用docker run后一些操作问题,用es安装ik分词器举例(es版本8.9.0,analysis-ik版本8.9.0) 1. 容器启动elasticsearch 如挂载方式&…...
UE4游戏客户端开发进阶学习指南
前言 两年多前写过一篇入门指南,教大家在短时间内快速入门UE4的使用,在知乎被很多人收藏了。如今鸡佬使用UE快三年了,是时候更新一下进阶版本的学习指南。本文对于读者的要求: 有一定的C基础已经入门UE,能够用蓝图和…...
javaee SpringMVC 乱码问题解决
方法一 在web.xml文件中注册过滤器 <!-- 注册过滤器 设置编码 --><filter><filter-name>CharacterEncodingFilter</filter-name><filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class><init-param&…...
用ChatGPT做数据分析,提升10倍工作效率
目录 写报告分析框架报告框架指标体系设计 Excel 写报告 分析框架 拿到一个专题不知道怎么做?没关系,用ChatGPT列一下框架。 以上分析框架挺像那么回事,如果没思路的话,问问ChatGPT能起到找灵感的作用。 报告框架 报告的框架…...
【Pytorch笔记】4.梯度计算
深度之眼官方账号 - 01-04-mp4-计算图与动态图机制 前置知识:计算图 可以参考我的笔记: 【学习笔记】计算机视觉与深度学习(2.全连接神经网络) 计算图 以这棵计算图为例。这个计算图中,叶子节点为x和w。 import torchw torch.tensor([1.]…...
浏览器安装vue调试工具
下载扩展程序文件 下载链接:链接: 下载连接网盘地址, 提取码: 0u46,里面有两个crx,一个适用于vue2,一个适用于vue3,可根据vue版本选择不同的调试工具 crx安装扩展程序不成功,将文件改为rar文件然后解压 安装…...
C/C++学习 -- RSA算法
概述 RSA算法是一种广泛应用于数据加密与解密的非对称加密算法。它由三位数学家(Rivest、Shamir和Adleman)在1977年提出,因此得名。RSA算法的核心原理是基于大素数的数学问题的难解性,利用两个密钥来完成加密和解密操作。 特点 …...
基于若依ruoyi-nbcio支持flowable流程增加自定义业务表单(一)
因为需要支持自定义业务表单的相关流程,所以需要建立相应的关联表 1、首先先建表wf_custom_form -- ---------------------------- -- Table structure for wf_custom_form -- ---------------------------- DROP TABLE IF EXISTS wf_custom_form; CREATE TABLE wf…...
面试经典 150 题 1 —(数组 / 字符串)— 88. 合并两个有序数组
88. 合并两个有序数组 方法一: class Solution { public:void merge(vector<int>& nums1, int m, vector<int>& nums2, int n) {for(int i 0; i<n;i){nums1[mi] nums2[i];}sort(nums1.begin(),nums1.end());} };方法二: clas…...
【大数据 | 综合实践】大数据技术基础综合项目 - 基于GitHub API的数据采集与分析平台
🤵♂️ 个人主页: AI_magician 📡主页地址: 作者简介:CSDN内容合伙人,全栈领域优质创作者。 👨💻景愿:旨在于能和更多的热爱计算机的伙伴一起成长!!&…...
超高频RFID模具精细化生产管理方案
近二十年来,我国的模具行业经历了快速发展的阶段,然而,模具行业作为一个传统、复杂且竞争激烈的行业,企业往往以订单为导向,每个订单都需要进行新产品的开发,从客户需求分析、结构确定、报价、设计、物料准…...
FP-Growth算法全解析:理论基础与实战指导
目录 一、简介什么是频繁项集?什么是关联规则挖掘?FP-Growth算法与传统方法的对比Apriori算法Eclat算法 FP树:心脏部分 二、算法原理FP树的结构构建FP树第一步:扫描数据库并排序第二步:构建树 挖掘频繁项集优化&#x…...
铭豹扩展坞 USB转网口 突然无法识别解决方法
当 USB 转网口扩展坞在一台笔记本上无法识别,但在其他电脑上正常工作时,问题通常出在笔记本自身或其与扩展坞的兼容性上。以下是系统化的定位思路和排查步骤,帮助你快速找到故障原因: 背景: 一个M-pard(铭豹)扩展坞的网卡突然无法识别了,扩展出来的三个USB接口正常。…...
iOS 26 携众系统重磅更新,但“苹果智能”仍与国行无缘
美国西海岸的夏天,再次被苹果点燃。一年一度的全球开发者大会 WWDC25 如期而至,这不仅是开发者的盛宴,更是全球数亿苹果用户翘首以盼的科技春晚。今年,苹果依旧为我们带来了全家桶式的系统更新,包括 iOS 26、iPadOS 26…...
Spark 之 入门讲解详细版(1)
1、简介 1.1 Spark简介 Spark是加州大学伯克利分校AMP实验室(Algorithms, Machines, and People Lab)开发通用内存并行计算框架。Spark在2013年6月进入Apache成为孵化项目,8个月后成为Apache顶级项目,速度之快足见过人之处&…...
突破不可导策略的训练难题:零阶优化与强化学习的深度嵌合
强化学习(Reinforcement Learning, RL)是工业领域智能控制的重要方法。它的基本原理是将最优控制问题建模为马尔可夫决策过程,然后使用强化学习的Actor-Critic机制(中文译作“知行互动”机制),逐步迭代求解…...
Unity3D中Gfx.WaitForPresent优化方案
前言 在Unity中,Gfx.WaitForPresent占用CPU过高通常表示主线程在等待GPU完成渲染(即CPU被阻塞),这表明存在GPU瓶颈或垂直同步/帧率设置问题。以下是系统的优化方案: 对惹,这里有一个游戏开发交流小组&…...
前端倒计时误差!
提示:记录工作中遇到的需求及解决办法 文章目录 前言一、误差从何而来?二、五大解决方案1. 动态校准法(基础版)2. Web Worker 计时3. 服务器时间同步4. Performance API 高精度计时5. 页面可见性API优化三、生产环境最佳实践四、终极解决方案架构前言 前几天听说公司某个项…...
cf2117E
原题链接:https://codeforces.com/contest/2117/problem/E 题目背景: 给定两个数组a,b,可以执行多次以下操作:选择 i (1 < i < n - 1),并设置 或,也可以在执行上述操作前执行一次删除任意 和 。求…...
Linux-07 ubuntu 的 chrome 启动不了
文章目录 问题原因解决步骤一、卸载旧版chrome二、重新安装chorme三、启动不了,报错如下四、启动不了,解决如下 总结 问题原因 在应用中可以看到chrome,但是打不开(说明:原来的ubuntu系统出问题了,这个是备用的硬盘&a…...
)
WEB3全栈开发——面试专业技能点P2智能合约开发(Solidity)
一、Solidity合约开发 下面是 Solidity 合约开发 的概念、代码示例及讲解,适合用作学习或写简历项目背景说明。 🧠 一、概念简介:Solidity 合约开发 Solidity 是一种专门为 以太坊(Ethereum)平台编写智能合约的高级编…...
汇编常见指令
汇编常见指令 一、数据传送指令 指令功能示例说明MOV数据传送MOV EAX, 10将立即数 10 送入 EAXMOV [EBX], EAX将 EAX 值存入 EBX 指向的内存LEA加载有效地址LEA EAX, [EBX4]将 EBX4 的地址存入 EAX(不访问内存)XCHG交换数据XCHG EAX, EBX交换 EAX 和 EB…...