你是否曾被销售人员用“CC 评估”或“CC 认证”这样的字眼吸引？这些看似权威的标签，实则可能隐藏着巨大的陷阱。如同文章所指出的，Common Criteria (CC) 品牌正因为其在实践中被滥用的问题，而面临着严重的信任危机。本文将深入剖析信息安全领域一个长期存在的痛点——安全评估的可靠性，并结合生动的案例，为你揭示如何摆脱虚假的承诺，真正提升系统的安全性。

一、信息安全意识：从“被动防御”到“主动思考”

想象一下，你是一家中型企业的IT负责人，面临着日益增长的网络安全威胁。一位销售人员向你推销一款新的防火墙产品，并声称该产品通过了“CC 评估”，拥有极高的安全性。你欣喜若狂，认为问题解决了。然而，随着时间的推移，你却发现系统仍然遭受着各种攻击，甚至发生了一次数据泄露事件。

这正是缺乏信息安全意识的典型结果。许多人习惯于“被动防御”，仅仅依赖于产品上的“安全标签”，而忽略了对系统安全性的根本性思考。信息安全意识并非仅仅是技术层面的知识，更是一种全面的认知和行动方式，它要求我们具备批判性思维，对任何声称“安全”的产品或服务都保持警惕。

二、Common Criteria：一个被误用的“安全承诺”

Common Criteria (CC) 旨在为信息技术产品的安全性提供一个标准化的评估框架。通过对产品的详细测试和分析，CC 评估可以帮助用户了解产品的安全特性和漏洞。然而，正如文章所批评的那样，CC 认证在实践中常常被滥用，一些安全性不佳的产品也可能被虚假地贴上“CC 评估”的标签。

文章指出，这种滥用现象源于商业利益的驱动。那些设计用于转移责任（如智能卡）或满足合规性要求（如防火墙）的产品供应商，往往更积极地推动 CC 认证。因为即使产品本身存在漏洞，通过获得 CC 认证，他们也能在法律和商业上获得一定的保护。

更令人担忧的是，一些国家为了推动经济利益，可能会对 CC 评估过程施加压力，导致评估结果的失真。例如，一些国家可能为了获取技术情报，而故意对外国产品进行不公正的评估。这种情况下，即使产品通过了 CC 评估，其安全性也可能受到严重威胁。

三、如何应对虚假的“CC”承诺：一份实用的指南

面对信息安全领域的虚假承诺，我们应该如何应对呢？文章给出了以下几点建议：

1. 质疑销售人员的言论： 不要轻易相信销售人员的口头承诺，要始终保持怀疑的态度，并仔细询问他们是如何得出“CC 评估”结论的。



2. 索取漏洞报告： 如果产品通过了 CC 评估，要求销售人员提供详细的漏洞报告，并将其以书面形式记录下来。这可以帮助你了解产品在评估过程中发现的漏洞，以及这些漏洞是否已被修复。
3. 审查保护配置文件： 保护配置文件描述了产品提供的安全特性。仔细审查保护配置文件，确保其与你的实际需求相符。通常情况下，保护配置文件往往过于笼统，无法满足具体的安全需求。
4. 关注评估过程的透明度： 了解 CC 评估过程的参与者（即 CLEF）是否公正和专业，以及评估过程中是否存在任何潜在的利益冲突。
5. 评估证书对用户权利的影响： CC 证书可能会限制你对产品的访问和分析，从而损害你的合法权益。在购买 CC 评估产品时，要仔细评估证书对你可能造成的潜在影响。

四、案例分析：警惕“安全标签”的陷阱

案例一：智能卡的安全漏洞

一家银行为了提高支付系统的安全性，决定采用一种基于智能卡的支付方式。销售人员声称该智能卡通过了 CC 评估，拥有极高的安全性。然而，在一次安全审计中，安全专家发现该智能卡存在严重的漏洞，攻击者可以通过特定的技术手段绕过安全机制，窃取用户的银行信息。

更令人担忧的是，该银行在购买智能卡时，并没有对 CC 评估过程进行充分的审查，也没有要求销售人员提供详细的漏洞报告。因此，他们对智能卡的安全性存在严重的误判。

案例二：政府防火墙的隐私风险

某国政府为了加强网络安全，决定采购一批防火墙产品。销售人员承诺这些防火墙通过了 CC 评估，可以有效阻止各种网络攻击。然而，在防火墙的部署过程中，安全专家发现防火墙的日志记录功能过于完善，甚至记录了用户的个人信息和通信内容。

这不仅侵犯了用户的隐私权，也可能被政府用于监控和控制。更糟糕的是，由于政府对 CC 评估过程的控制，安全专家无法获得完整的评估报告，无法证明防火墙的安全性。

五、超越技术层面：关注实际应用中的安全问题

文章指出，信息安全不仅仅是技术问题，还涉及到用户体验、人为因素和组织管理等多个方面。例如，一个功能强大的防火墙，如果用户不了解如何正确配置和使用，也可能无法发挥其应有的作用。

此外，人为因素也是信息安全的重要威胁。许多安全事件的发生，都与用户的疏忽大意或不安全行为有关。因此，加强信息安全意识培训，提高用户的安全意识，至关重要。

六、未来展望：从“安全标签”到“风险管理”

文章认为，未来的信息安全发展趋势将从传统的“安全标签”转向更加全面的“风险管理”。这意味着我们需要更加关注系统的实际应用情况，而不是仅仅依赖于产品上的“安全标签”。

例如，在评估一个系统的安全性时，我们需要考虑以下因素：

• 系统是否能够抵御各种类型的攻击？
• 系统是否能够保护用户的数据安全和隐私？
• 系统是否能够满足业务需求？
• 系统是否易于使用和维护？

只有综合考虑这些因素，我们才能真正实现信息安全的目标。

昆明亭长朗然科技有限公司是您值得信赖的信息安全合作伙伴。我们专注于提供定制化的信息安全意识培训，帮助您的企业构建强大的安全防线。我们提供模拟钓鱼邮件、安全意识视频、互动式培训等多种形式的培训课程，满足不同企业的需求。如果您希望了解更多关于如何提升组织机构的安全水平，欢迎随时联系我们，我们将竭诚为您提供专业的咨询和服务。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

你是否曾思考过，我们每天使用的电脑、手机、网络，究竟是如何确保信息安全、防止数据泄露的呢？这背后，隐藏着一个漫长而复杂的历史，以及一系列值得我们深思的教训。本文将带你穿越时空，了解信息安全评估的演变，并从中提炼出关键的意识和实践，让你从零开始，构建起坚固的数字安全防线。

第一章：从“高保证”到“市场扩张”——美国国防部的信息安全探索历程

在信息安全领域，美国国防部扮演着举足轻重的角色。早期的探索，源于对国防计算设备市场规模的担忧。当时，国防部认为市场过于狭小，导致高昂的价格。为了解决这个问题，他们试图通过推动“高保证计算”的标准，使其成为所有主要操作系统中的标配，而不是昂贵的附加组件。

然而，最初的评估模式却与商业实践格格不入。国防部采用了一种典型的政府工作流程：用户提出需求，国家安全局（NSA）分配人员进行评估，这个过程往往耗时数年，受到繁琐的程序和时间的限制。即使评估成功，产品也可能滞后于市场，难以应用于商业领域。这种模式导致国防计算市场长期萎缩，价格居高不下。

第二章：国际合作与“成本转移”——全球信息安全评估的尝试与困境

美国并非孤军奋战。其他国家也纷纷推出了类似的评估体系。加拿大推出了“加拿大可信产品评估标准”（CTPEC），欧洲国家则共同制定了“信息技术安全评估标准”（ITSEC）。这些举措旨在通过合作，降低成本，促进欧洲国防承包商在全球市场的竞争。

ITSEC 的一个关键创新在于，评估费用不再由政府承担，而是由寻求评估的供应商自行支付。这看似是一个“一箭双雕”的策略，既能节省公共资金，又能促进市场竞争。然而，这种做法却引入了严重的激励问题。供应商为了降低成本，可能会选择那些评估标准宽松、流程简便的评估机构，从而削弱了评估的有效性。

为了解决这一问题，一些机构成立了“商业授权评估机构”（CLEF），并通过许可的威胁来约束供应商的行为。然而，这种“惩罚性”措施也未能完全消除供应商的“投机”行为。

第三章：Common Criteria 的诞生——从“评估”到“标准”的转变

随着时间的推移，国防部逐渐意识到，传统的评估模式并不能有效促进采购，反而给承包商带来了额外的负担。同时，冷战结束后，预算削减和对未来威胁的不确定性，促使美国政府寻求更经济高效的解决方案。

最终，美国国防部决定放弃各自的评估体系，并制定一个统一的标准——“通用标准”（Common Criteria）。这个标准借鉴了 ITSEC 的经验，采用分级评估的方式，大部分评估工作由 CLEF 完成，并承诺在所有参与国家得到认可。与 Orange Book 不同，Common Criteria 更加灵活，不再强制要求所有系统都必须遵循特定的安全模型，而是允许根据实际需求选择合适的保护配置文件。

案例一：智能卡的安全评估——Common Criteria 的实践

想象一下，你每天使用的银行卡、门禁卡，甚至某些身份认证设备，都可能使用了智能卡技术。这些智能卡的安全性能至关重要，直接关系到你的资金安全和个人隐私。

在智能卡的安全评估过程中，通常会采用 Common Criteria 的方法。首先，会根据智能卡的具体功能和应用场景，选择合适的保护配置文件。例如，如果智能卡用于存储银行账户信息，那么需要选择保护金融数据的配置文件。然后，会选择一个经过认证的 CLEF，对其进行评估。评估过程包括代码审查、渗透测试、漏洞扫描等多种手段，旨在发现智能卡是否存在安全漏洞。

如果评估通过，智能卡将获得 Common Criteria 的认证，表明其安全性能符合国际标准。这不仅能让用户更加信任智能卡的安全性能，也能促进智能卡市场的健康发展。

案例二：操作系统安全评估——保护你的数字家园

操作系统是计算机系统的核心，其安全性能直接影响着整个系统的安全性。例如，Windows、macOS、Linux 等操作系统，都面临着各种各样的安全威胁，如病毒、木马、黑客攻击等。

为了确保操作系统具有足够的安全防护能力，通常会采用 Common Criteria 的方法进行评估。评估过程包括对操作系统内核、系统服务、用户权限等方面的审查，以及模拟各种攻击场景的渗透测试。

评估结果会生成一份详细的评估报告，指出操作系统存在的安全漏洞和风险，并提出相应的改进建议。如果操作系统通过评估，将获得 Common Criteria 的认证，表明其安全性能符合国际标准。

案例三：物联网设备的安全评估——构建安全的智能世界

随着物联网（IoT）技术的快速发展，越来越多的设备接入互联网，如智能家居设备、智能汽车、工业控制系统等。然而，这些设备的安全性能往往不足，容易成为黑客攻击的目标。

为了保障物联网设备的安全，通常会采用 Common Criteria 的方法进行评估。评估过程包括对设备硬件、软件、通信协议等方面的审查，以及模拟各种攻击场景的渗透测试。

评估结果会生成一份详细的评估报告，指出设备存在的安全漏洞和风险，并提出相应的改进建议。如果设备通过评估，将获得 Common Criteria 的认证，表明其安全性能符合国际标准。

总结：信息安全意识的构建与实践

从 Orange Book 的历史教训，到 Common Criteria 的实践，我们看到信息安全评估的演变是一个不断探索和完善的过程。它不仅关注技术层面，更强调激励机制、标准统一和国际合作。

那么，作为个人，我们应该如何提升信息安全意识，构建起坚固的数字安全防线呢？

• 谨慎点击链接和附件： 不要轻易点击来源不明的链接和附件，以免感染恶意软件。
• 使用强密码： 为每个账户设置不同的、复杂的密码，并定期更换。
• 启用双因素认证： 为重要账户启用双因素认证，增加账户的安全性。
• 安装安全软件： 安装杀毒软件、防火墙等安全软件，并定期更新。
• 保持系统更新： 及时更新操作系统和软件，修复安全漏洞。
• 关注安全新闻： 了解最新的安全威胁和防护措施。

信息安全不是一蹴而就的，而是一个持续学习和实践的过程。只有当我们每个人都提高安全意识，并采取积极的防护措施，才能共同守护我们这个数字世界。

昆明亭长朗然科技有限公司致力于为客户提供专业的信息安全、保密及合规意识培训服务。我们通过定制化的教育方案和丰富的经验，帮助企业建立强大的安全防护体系，提升员工的安全意识与能力。在日益复杂的信息环境中，我们的服务成为您组织成功的关键保障。欢迎您通过以下方式联系我们。让我们一起为企业创造一个更安全的未来。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898