美国国防部强调CC安全标准

CNNS注：

国际通用准则(CC)

国际标准化组织统一现有多种准则的努力，有六个国家的七个标准组织参加。自1993年开始，1996年推出1.0版，1998年出2.0版，到1999年正式成为国际标准 ISO 15408。CC充分突出"保护轮廓"，将评估过程分为"功能"和"保证"两部分，是目前最全面的评价准则。CC的几个基本概念有：

功能要求：信息技术的安全机制所要达到的功能和目的。

保证要求：确保安全功能有效并正确实现的措施与手段。

保护轮廓（PP）：用户的需求及满足需求的技术实现方法与途径。

安全目标（ST）：厂商对产品提供的安全功能的声明和特定的技术实现。

CC的评估等级共分7级，每一级均需评估7个功能类。

为了降低软件的安全缺陷率，美国国防部最近强调，从7月1日开始，软件采购程序要按通用标准执行。(CC，Common Criteria standard，通用准则)

在美国NSA(国家安全局)、美国国家技术标准组织(NIST)采用CC以前，CC是由一些欧洲国家发起并制定的。在合理的执行和监控下，象CC这样的标准对用户和厂商都是有好处的，能够降低黑客入侵和数字恐怖的危害。

HP公司的安全顾问Ira Winkler说："设置标准将改善软件开发的安全性。"

但是，有些安全专家和软件提供商认为CC实际上难以执行，尽管其意图是好的，但对安全产业帮助不大。

"CC突出的是目标评估，但整个过程过于广泛和复杂。商业领域中没有人陷足在里面，它太哲学化了，不实际。" 互联网安全协会的主任Ken Culter说。

Winkler不否认标准可能对安全产业有利，但表示结果可能不如政府希望的那么理想。"CC可以帮助软件减少bug，但我不认为会彻底消除。软件越大，bug越多。"

Winkler说："尽管CC提供了技术标准，但并没有涉及软件配置和人为错误。当人们开发软件的时候，必须考虑让用户可以配置它。你希望用户有通用的安全意识，但你如果没有通用的知识，也就不会有通用的意识。很显然CC已经超前于用户。"