在國際採購與政府標案中,Common Criteria (CC) 是資安產品取得信任的通行證。它以 ISO/IEC 15408 為基礎,透過第三方實驗室對產品安全性進行客觀驗證,讓買賣雙方共同認可評估結果。
CC 三層核心架構:PP、ST 與 EAL
CC 評估圍繞三個關鍵元素運作。Protection Profile (PP) 是由需求方(如政府機關)定義的安全需求範本,描述某類產品「應該做到什麼」,與具體實作無關。Security Target (ST) 則是廠商針對其特定產品(即 TOE,Target of Evaluation)所撰寫的安全聲明文件,說明產品實際實作哪些安全功能,並對應 PP 的要求。EAL(Evaluation Assurance Level) 為 EAL1 至 EAL7 的七級保證等級,數字愈高代表驗證過程愈嚴謹,但並非代表功能愈強,而是對安全聲明的信心程度愈高。政府採購常見要求落在 EAL2 至 EAL4。
評估流程與國際互認機制
廠商委託經認可的評估實驗室(CCTL),依據 ST 對 TOE 進行測試與分析,實驗室將結果提交至各國認證機構(CB)(如美國 NIAP、德國 BSI、台灣 TWNCAF)審核核發憑證。CC 最重要的價值在於CCRA(Common Criteria Recognition Arrangement)互認協議:31 個成員國相互承認彼此頒發的 CC 憑證,產品無需在每個國家重複受評。廠商取得憑證後,產品會刊載於 NIAP 或 CC Portal 的公開清單,採購方可直接查驗,大幅降低供應鏈信任成本。
💡 重點整理
- PP 定義「需求類型」,ST 描述「產品實作」,兩者對應是評估核心。
- EAL 等級衡量保證深度,非功能強弱;EAL4 是商業產品最常見上限。
- CCRA 互認讓單一憑證跨 31 國有效,節省重複評估成本。
- 憑證查驗可直接至 CC Portal(commoncriteriaportal.org)搜尋產品清單。
Common Criteria 不是萬能的安全保證,而是一套可重複、可比較的評估語言。理解 PP、ST 與 EAL 的關係,是企業在國際市場中正確解讀資安憑證的第一步。
📚 參考文獻
- Common Criteria Portal — 官方認證產品清單與 CCRA 說明
- ISO/IEC 15408 — Information technology security evaluation criteria 官方標準文件
- NIAP(美國國家資訊保證夥伴關係)— PP 清單與評估政策
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言