信息技术产品作为关键信息基础设施的基本，其安全性高低是决定关键信息基础设施抗攻击能力强弱的重要因素。随着全球网络建设的推进，高安全等级产品及其认证越来越受到业界的重视。

▍问：什么是CC、ISO/IEC 15408、GB/T 18336通用标准？

答：CC是针对信息技术产品安全评估的通用标准，简称为通用标准或CC，是对IT产品进行独立安全评估和认证的国际标准，这些IT产品可以是软件、硬件或固件。

CC源于世界多个国家的信息安全的准则规范，包括欧洲ITSEC、美国TCSEC、加拿大CTCPEC以及美国的联邦准则（Federal Criteria）等，国际CC标准由专门的共同准则开发组（CCDB）负责开发和维护。国际标准组织（ISO）正式采纳CC标准为ISO/IEC 15408（Parts 1-3）。

CC标准不仅仅用于CCRA成员国家，许多尚未加入到互认协定的国家和机构，也将CC作为关键的标准进行使用，并对CC的发展起到了一定的作用，例如欧盟范围所采用的另一个认可体系SOGIS。

中国的CC认证体系也是引入了ISO/IEC 15408标准作为 GB/T 18336国家标准的基础，对于认证流程和实施方法，中国体系与CCRA体系模式基本类似，但是中国目前并不是CCRA互认成员单位。

▍问：国际CC认证和中国CC认证体系有什么区别？

答：在 CCRA体系中，成员国家的相关政府职能机构负责签署互认协定并最终成为成员国家，同时其认证机构需要在CCRA监管之下开展工作。目前已有多个国家和地区的相关机构拥有自己的评估认证体系可进行证书的颁发并且彼此承认，包括澳大利亚、加拿大、法国、德国、日本、韩国、荷兰等国家。

在CCRA 体系中，管理职责分为两部分，一方面 CCRA通过周期性审核评定确保各个国家测评认证体系的质量；另一方面由国家层面的管理职能机构负责。

中国CC认证体系的认证流程和实施方法与CCRA 体系的模式基本类似，目前中国CC评估工作由国家信息安全产品测评认证中心（CNITSEC）负责开展。中国国家信息安全产品测评认证中心经过中国认证机构国家认可委员会（CNAB）授权，并受国家信息安全测评认证管理委员会直接管理。目前中国的体系也在不断的调整和优化，以适应更加严格、复杂、广泛的产品评估认证要求。

中国CC认证体系与CCRA体系另一个重要区别在于针对产品版本管理的认证细节和证书有效期不同。

▍问：国际CC认证or中国CC认证，企业如何选择？

答：CC 测评数据显示，国际上获 EAL5 级及以上测评认证的产品较多，而国内产品主要集中在 EAL3和 EAL4 级别，通过 EAL5 级测评的产品数量仅是个位数。望安科技承担评估实施的国产操作系统获得国内CC测评中心首次颁发的最高级安全评估EAL 5+认证。