CC：

在1990年代的早期，TCSEC渐渐不能适应信息技术的发展，美国开始对其进行升级，但不久美国就终止了升级行动，转而和加拿大及欧洲联合制定一个国际统一的安全评估标准，这个联合行动的最终结果便是CC的制定。CC，也即常说的通用准则（Common Criteria），在1999年通过了ISO的认可，称为ISO15408。中国加入WTO之后，按照WTO的规则接受CC为信息系统产品安全评估标准，并制定了相应的国家标准GB18336。

CC保留了ITSEC的灵活性，并结合了美国联邦准则（FC）的保护轮廓（Protection Profile）及预定义安全级别。CC的关键概念有：

u 评估对象—— TOE(Target of Evaluation)

u 保护轮廓——PP (Protection Profile)

u 安全目标——ST( Security Target)

u 功能(Function)

u 保证(Assurance)

u 组件(Component)

u 包(Package)

u 评估保证级——EAL( Evaluation Assurance Level)

其中保护轮廓是CC最重要的概念，它满足了以下的要求：

u      表达一类产品或系统的用户需求

u     组合安全功能要求和安全保证要求

u     技术与需求之间的内在完备性

u     提高安全保护的针对性、有效性

u     安全标准

u     有助于以后的兼容性

u     同TCSEC级类似

CC是平时大家在工作和实践中最有可能接触到的标准，因此大家可以结合工作中的经验来记忆和理解CC的内容。CISSP考试中对安全标准的考核主要是考概念，TCSEC安全等级的内容、ITSEC和CC里面名词的识记等。最后J0ker把TCSEC、ITSEC和CC做一个比较作为本文的结束：