在全球資安合規浪潮下,Common Criteria(ISO/IEC 15408)已成為 IT 產品安全評估的國際黃金標準,透過統一框架取代各國分散標準,實現跨國互認與採購信任。
什麼是 PP、ST 與 EAL?
Protection Profile(PP) 由使用者社群或政府機構制定,定義某類產品(如防火牆、智慧卡)的通用安全需求,與具體實作無關。Security Target(ST) 則由廠商針對特定產品撰寫,說明如何滿足 PP 需求並描述實際安全功能。Evaluation Assurance Level(EAL) 分為 EAL 1 至 EAL 7,數字越高代表評估深度越嚴格:EAL 1 僅做功能測試,EAL 4 為商業產品常見等級(含設計審查與滲透測試),EAL 7 則需形式化數學驗證,通常僅用於軍事或高安全核心系統。三者共同構成 CC 評估的核心骨架。
CCRA 互認機制與實務應用
Common Criteria Recognition Arrangement(CCRA) 目前涵蓋超過 30 個成員國,通過認證的產品可在成員國間直接採信,無需重複評估。實務上,政府採購常要求防火牆、VPN 閘道、HSM 等產品持有 CC 憑證。台灣透過 BSMI 參與相關認證體系,廠商可委託 ITSEF(IT Security Evaluation Facility)進行第三方評估。值得注意的是,CCRA 於 2014 年後僅對 EAL 2+ 以下等級維持完整互認,EAL 5 以上需雙邊協議。了解此限制,有助於廠商在進入不同市場時規劃合理的認證策略。
💡 重點整理
- PP 定義產品類別的通用安全需求,與廠商無關。
- ST 是廠商對特定產品的安全聲明,評估依據即來自此文件。
- EAL 4 是商業市場最常見等級,兼顧保證深度與評估成本。
- CCRA 實現跨國互認,但 EAL 5 以上需額外雙邊協議才有效。
Common Criteria 不只是一張認證標章,更是產品安全設計的結構化證明。廠商若能在開發早期導入 PP 需求,將大幅降低評估成本,並在國際市場建立可信賴的競爭優勢。
📚 參考文獻
- Common Criteria Portal — 官方認證產品查詢與 PP/ST 文件庫
- ISO/IEC 15408 — Information security, cybersecurity and privacy protection(ISO 官方標準頁)
- NIST — Common Criteria 專案說明與美國 NIAP 評估計畫
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言