特點(diǎn)

定義了“保護(hù)輪廓”和“安全目標(biāo)”

將評估過程分“功能”和“保證”兩部分

基于風(fēng)險(xiǎn)管理理論，對安全模型、安全概念和安全功能進(jìn)行了全面系統(tǒng)描繪，強(qiáng)化了保證評估

優(yōu)點(diǎn)

通用的表達(dá)方式，便于理解是目前最全面的評價(jià)準(zhǔn)則

一種評估方法，其評估結(jié)果國際互認(rèn)評估對象( Target of Evaluation，TOE)

評估對象（即被評估的產(chǎn)品或系統(tǒng)）

用于安全評估的信息技術(shù)產(chǎn)品、系統(tǒng)或子系統(tǒng)（如防火墻、計(jì)算撕網(wǎng)絡(luò)、密碼模塊等），包括相關(guān)的管理員指南、用戶指南、設(shè)計(jì)方案等文檔

保護(hù)輪廓（Protection Profile，PP）

為了滿足安全目標(biāo)而提出的一整套相對應(yīng)的功能和保證需求是滿足用戶需要的、與實(shí)現(xiàn)無關(guān)的安全需求

PP與某個具體的TOE無關(guān)，它定義的是用戶對這類TOE的安全需求

主要內(nèi)容：需保護(hù)的對象；確定安全環(huán)境；TOE的安全目的；IT安全要求；基本原理在標(biāo)準(zhǔn)體系中PP相當(dāng)于產(chǎn)品標(biāo)準(zhǔn)，如：《包過濾防火墻安全技術(shù)要求》

安全目標(biāo)( Security Target，ST)

針對具體TOE而言，是某一款產(chǎn)品對某-PP要求的具體實(shí)現(xiàn)

包括該TOE的安全要求和用于滿足安全要求的特定安全功能和保證措施

ST包括的技術(shù)要求和保證措施可以直接引用該TOE所屬產(chǎn)品或系統(tǒng)類的PP ST相當(dāng)于產(chǎn)品和系統(tǒng)的實(shí)現(xiàn)方案

評估保證級( Evaluation Assurance Level，EAL) 定義了劃分TOE保證等級的預(yù)定義的評估尺度

一個保證等級( EAL)是評估保證要求的一個基線集合——保證包