2008-03-13

SQL Server 與 Common Criteria 通用條件(CC)

Common Criteria for Information Technology Security Evaluation
縮寫為:Common Criteria 通用條件,或是 CC 認證。這是一項符合 ISO 的標準,用來評估資訊安全之用:(ISO/IEC 15408)。

通用條件是由一組國家 (地區) 設計來改善強化安全 IT 產品的可用性、協助使用者評估要購買的 IT 產品,以及促使消費者對 IT 產品安全性產生信心。
由 20 個以上國家 (地區) 組成的國際團體會維護此通用條件,而且由國際標準組織 (ISO) 辨識成 ISO 標準 15408。

SQL Server 2005 Service Pack 1 版本是根據通用條件評估保證層級 1 (EAL1) 進行評估。
SQL Server 2005 Service Pack 2 則根據通用條件評估保證層級 4 (EAL4+) 進行評估。


Common Criteria 通用條件 簡介
Common Criteria 通用條件是由第三方的組織進行認證,提供共同的標準,分成不同的嚴格標準等級來檢驗資訊產品的安全性。截至目前為止已有 24 個國家採用此項標準(包含:USA、加拿大、歐盟)。

Common Criteria(CC)的前身是源自於三項資訊安全的標準規範:
(1) ITSEC - 這是歐洲的資訊技術安全性評估準則 (Information Technology Security Evaluation Criteria,ITSEC),制訂於 1990初期,當時參與的國家有:法國,德國,荷蘭和英國,之後陸續有其他國家也加入,例如:澳洲。

(2) CTCPEC - 這是加拿大可信賴電腦產品評估準則 (Canadian Trusted Computer Product Evaluation Criteria,CTCPEC),源自於美國國防部的標準,最早發表於 1993年的五月。

(3) TCSEC - 這是美國的可信賴系統評估準則 (Trusted Computer Systems Evaluation Criteria,TCSEC):5200.28。最早是在 1970 年代由 NSA 與 NBS 所制訂(NBS 也就是現在的 NIST)。

目前 CC 的測試驗證單位,應先符合 ISO 17025 規範,也需要有 ISO/IEC Guide 65 或是 BS EN(英國歐盟標準)45011 的認可。

以下是 SQL Server 2005 SP1、SP2 所取得 CC(Common Criteria) 認證,這是 BSI 英國標準協會所認證。 文件 ID:BSI-DSZ-CC-0366
http://www.bsi.de/english/index.htm
http://www.bsi.bund.de/zertifiz/zert/aktuelle.htm



以下是列舉已經通過 CC 認證的產品:
Microsoft Common Criteria Evaluations
Microsoft Windows Server 2000
Microsoft Windows Server 2003
Microsoft Windows XP
Microsoft Windows Certificate Server
ISA Server 2000
ISA Server 2004
Microsoft Exchange 2003
Microsoft SQL Server 2005 SP1
Microsoft SQL Server 2005 SP2

... 等等

在 SQL Server 2005 要啟用[通用條件憑證] common criteria compliance,需要啟用:common criteria compliance enabled 選項。
common criteria compliance enabled 選項
http://technet.microsoft.com/zh-tw/library/bb326650.aspx

這是 SQL Server 2005 Enterprise、Evaluation 和 Developer 版本在 Service Pack 2 新增的選項。

參考網址:
通用條件的入口網站首頁 Common Criteria - The Common Criteria Portal
http://www.commoncriteriaportal.org/

The BSI
http://www.bsi.de/english/index.htm

BSI Certification
http://www.bsi.bund.de/zertifiz/zert/aktuelle.htm

請參閱 Microsoft SQL Server 通用條件 (英文) 網站。
Microsoft SQL Server™ 2005 SP1 Enterprise Edition (32-bit) Common Criteria Certification
http://www.microsoft.com/sql/commoncriteria/2005/sp1/default.mspx

Common Criteria Security Target
https://members.microsoft.com/sqlcommoncriteria/MS_SQL_ST_EAL1_1.4.doc
Commom Criteria Guidance Addendum
https://members.microsoft.com/sqlcommoncriteria/MS_SQL_AGD_IGS_EAL1_1.21.doc

2009年政府採購優先選用通過Common Criteria認證產品
http://www.ithome.com.tw/itadm/article.php?c=47423

沒有留言:

張貼留言