▍问：什么是CC的认证等级？

答：《信息技术安全评估准则》（The Common Criteria forInformation Technology Security Evaluation）， 简称 CC 标准 。CC标准将信息技术产品的安全保障程度分为七个级别：EAL1 - EAL7。级别越高，其安全保障能力或安全功能正确实现的可信度就越高，产品就能对抗更高级别的安全威胁，适用于更高安全风险环境。

EAL（Evaluation Assurance Level），即评估保障级，是一种度量信息技术产品安全保障能力的尺度，对于不同的保障评估级别，都有不同的保障要求。每个需求都代表一个应该在产品和相关流程(保证组件)上执行的一项活动。

EAL1-EAL2 可用于保护低价值的资产，抵御无意或低水平攻击者的攻击。

EAL3-EAL4 可用于保护中等价值的资产，抵御有组织团体的攻击。

EAL5 可用于保护高价值的资产，抵御有组织团体的攻击。

EAL6 -EAL7 可用于保护高价值的资产，抵御国家级组织的攻击。

▍问：企业如何选择CC认证等级？

答：企业选择CC认证保障等级最重要的是取决于申请CC评估的目的是什么。

如果目标是基于可靠的评估方法对产品进行一般安全性检查，那么EAL1评估足以满足这一目的。

如果目标是匹配直接竞争对手的认证等级，那么目标等级至少是竞争对手所具备的EAL级别。

如果目标是最终将产品出售给具有高安全标准的合作伙伴，则建议EAL3或EAL4的评估。

通常，对于软件或嵌入式产品，EAL4评估足以有效的证明实现了安全功能的稳健性。

更高级别的CC(例如EAL5及以上等级)，通常用于高风险产品，包括IC、智能卡、军用级设备、加密设备、HSM等。

望安科技可以帮助企业分析产品的安全状况，推荐适合的EAL级别进行评估。

▍问：什么是CC EAL3+/CC EAL5+？

答：在上文中我们提到，CC标准共分为7个等级，由低至高依次为EAL 1到EAL 7，但是相信大家在浏览到相关CC认证的文章，可以看到很多企业都在做CC EAL3+、CC EAL5+等等级。

这些企业通过的EAL 3+、EAL 5+表示该产品认证在满足EAL 3、EAL 5的保障基础上对部分检测项目进行了升级以进行更高级别的评估，是标准等级相应的增强级别。CC 通常在以下两个方面或一个方面提出要求：安全功能要求、安全保障要求。

▍问：关于CC认证的认证周期？

答：CC 的认证时间很大程度上取决于产品所需的评估级别(EAL)，以及产品本身的范围和复杂性