CC 国际通用标准

1996年6月，CC第一版发布；1998年5月，CC第二版发布；1999年 10月CC V2.1版发布，并且成为ISO标准。CC的主要思想和框架都取自ITSEC和FC，并充分突出了“保护轮廓”概念。CC将评估过程划分为功能和保证两部分，评估等级分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7共七个等级。每一级均需评估7个功能类，分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。

EAL1：功能测试级。适用在对正确运行要求有一定信心的场合，此场合下认为安全威胁并不严重。个人信息保护就是其中一例。EAL2：结构测试级。在交付设计信息和测试结果时，需要开发人员的合作。但在超出良好的商业运作的一致性方面，不要花费过多的精力。EAL3：系统测试和检查级。在不大量更改已有合理才开发实现的前提下，允许一位尽责的开发人员在设计阶段从正确的安全工程中获得最大限度的保证。EAL4：系统设计，测试和复查级。它使开发人员从正确的安全工程中获得最大限度的保证，这种安全工程基于良好的商业开发实践，这种实践很严格，但并不需要大量专业知识，技巧和其他资源。在经济合理的条件下，对一个已经存在的生产线进行翻新时，EAL4是所能达到的最高级别。2002年，Windows 2000 成为第一种获得EAL4认证的操作系统，这表明它已经达到了民用产品应该具有的评价保证级别。EAL5：半形式化设计和测试级。开发者能从安全工程中获得最大限度的安全保证，该安全工程是基于严格的商业开发实践，靠适度应用专业安全工程技术来支持的。EAL5以上的级别是军用信息设备，用于公开密钥（yue）基础设施的信息设备应达到的标准。EAL6：半形式化验证设计和测试级。开发者通过安全工程技术的应用和严格的开发环境获得高度的认证，保护高价值的资产能够对抗重大风险。EAL7：形式化验证设计和测试级。适用于风险非常高或有高价值资产值得更高开销的地方。

Common Criteria以7個安全評估等級，來界定安全性規範檢測的結果。在國際相互承認協議（CCRA）的基礎下，各國會承認EAL（Evaluation Assurance Level，簡稱EAL）等級1～4級的產品，至於EAL 5等級以上（包含EAL 5）的產品，由於屬於軍事等級的安全認證，因此各國有各各自的標準規範，並不會互通。

針對多數商用產品的最高等級為EAL 4，若廠商送產品驗證時，多增加EAL 5以上或其他不足功能的驗證，在通過驗證後，也只會標識為EAL 4+。若要在美國申請EAL 5至7級的產品驗證，就必須由美國政府「國家安全局 (NSA)」來執行。

EAL驗證需要較長的時間，光是EAL 1最初級的評估等級，測試、驗證的工作就需要花費3個月，隨的驗證等級越高，所需要花費的時間就越久，以商用產品驗證等級最高的EAL 4來說，一般而言起碼需要12～16個月的時間。也因為CC驗證時間長，驗證成本相對比較高。
若要進一步取得軍事等級EAL 5以上的驗證，甚至得花2年的時間。

此外，CC認證還有一個特別的要求，每個產品只要改版，新版產品就必須再驗證才能取得認證，如果產品有大幅改版，則認證時間勢必會延長。一般常見的認證狀況是，若有一新產品版本釋出，通常會先通過驗證等級稍低的驗證版本，隨著每次版本的升級或更新，往上取得更高階的驗證。

中興大學資訊管理系教授林詠章在〈歐盟資訊安全技術與政策發展現況之研究〉一文中提到，EAL（安全評估保證等級）等級越高，越是用於極高資產價及極高風險情況所需的極高安全應用環境。有了共同準則（Common Criteria），系統開發者可以更了解產品的安全需求，擬定未來產品發展的方向；對於系統管理員而言，可以知道電腦系統有哪些安全管理功能，做為擬定安全管理之策略；評估人員可以更正確且客觀地評估電腦系統的安全性，而安全稽查人員也可藉此來評估，系統管理員是否確實管理電腦系統。文⊙黃彥棻

Common Criteria的7級安全評估等級

評估等級審驗時間內容安全等級的說明

EAL 1 3個月功能檢測（Functionally Tested）只檢測一個產品最基礎的功能，不包含任何安全性的評估，不保證安全性。取得EAL1驗證等級，只表示這個產品能夠開機、執行，不涉及任何安全性議題。

EAL 26個月結構檢測（Structurally Tested）EAL 2安全程度比EAL1高，EAL 2才開始會作安全上的檢測。會用寬鬆的標準作適當的原始碼檢查，但嚴謹程度低於EAL 3。

EAL 3 9～12個月系統測試及檢查（Methodically Tested and Checked）EAL 3更嚴格檢查程式碼，但不需要重新翻修程式，也不會打斷整個開發流程。EAL 3不像EAL 4必須評估漏洞修補的成本，所以EAL3還是採用比EAL 4寬鬆的安全檢測標準。

EAL 412～16個月系統設計、測試及審查（Methodically Designed, Tested and Reviewed）EAL 4是最常見的安全性驗證標準，例如Windows 2000、NetWare等都取得EAL 4以上的認證。只有到EAL 4時，大家才會接受這個驗證，能有效確保系統的安全性，而供應商也會將漏洞修補包含在安全性檢測基本項目中。

EAL 518～24個月半正規設計和測試（Semiformally Designed and Tested）EAL 5是一個比EAL 4要求更周延的的安全驗證等級，必須經過非常嚴格的驗證流程，花費的時間、成本都比EAL 4還高。但不見得需要取得EAL 5驗證。

EAL 6 半正規查證設計和測試（Semiformally Verified Design and Tested）EAL 6驗證如同是針對客戶提出某些高風險、特殊的安全要求，不惜耗費時間、金錢，一定要達到客戶的安全性要求。要取得EAL6的驗證。安全是EAL 6的基本要求，這意味著，整個系統的開發都必須奠基在安全的要求上。

EAL 7正規查證設計和測試（Formally Verified Design and Tested）EAL 7只有用於極度高度風險的系統，對系統的要求不只是能用而已，還必須具有極度高度的風險性要求。金錢和時間花費難以想像，只會用在具有特殊安全功能的特定系統中。資料來源：IBMTUV、國家通訊傳播委員會（NCC）、電信技術中心資通安全實驗室、〈歐盟資訊安全技術與政策發展現況之研究〉