現今,資訊系統及資訊設備相關產品的種類琳瑯滿目,每家系統或產品開發廠商都對外宣稱自己的安全性最高、最完備。但以一般的使用者而言,並不能單憑廠商的片面之詞就接受這樣的產品。使用者需要一些公平、獨立且可以信任的標準協助評斷廠商所宣稱的安全性和其實際可達到的安全狀況。從1990年開始制定的全球資訊技術安全評估共同準則(Common Criteria for Information Technology Security Evaluation,簡稱CC)的CC2.1版正式的成為CNS 15408標準,就是一個相當值得參考的 IT 產品安全等級的評估標準。
本研究先探討CNS15408的內容,整理出其對於安全性功能所規範出來的類別項目,作為評估指標構面。接著選定評估標的並依照評估指標設計評估選項,透過專家訪談調查及相關統計分析方法來建立各類型資訊設備安全的評估模型。
Nowadays, there are a lot of IT system and equipment products in the world. Each of their developer or vendor declare that their own prod-uct is the highest safety or most complete.
But for the general users, they can’t accept those products just by the vendor's rhetoric. They need some fair, independent and trusted standard to assist the judgement. And the Common Criteria for Information Technology Security Evaluation is a quite worthy of the evaluation criteria of the reference of IT products security.
