特點

定義了“保護輪廓”和“安全目標”

將評估過程分“功能”和“保證”兩部分

基于風險管理理論，對安全模型、安全概念和安全功能進行了全面系統(tǒng)描繪，強化了保證評估

優(yōu)點

通用的表達方式，便于理解是目前最全面的評價準則

一種評估方法，其評估結果國際互認評估對象( Target of Evaluation，TOE)

評估對象（即被評估的產(chǎn)品或系統(tǒng)）

用于安全評估的信息技術產(chǎn)品、系統(tǒng)或子系統(tǒng)（如防火墻、計算撕網(wǎng)絡、密碼模塊等），包括相關的管理員指南、用戶指南、設計方案等文檔

保護輪廓（Protection Profile，PP）

為了滿足安全目標而提出的一整套相對應的功能和保證需求是滿足用戶需要的、與實現(xiàn)無關的安全需求

PP與某個具體的TOE無關，它定義的是用戶對這類TOE的安全需求

主要內(nèi)容：需保護的對象；確定安全環(huán)境；TOE的安全目的；IT安全要求；基本原理在標準體系中PP相當于產(chǎn)品標準，如：《包過濾防火墻安全技術要求》

安全目標( Security Target，ST)

針對具體TOE而言，是某一款產(chǎn)品對某-PP要求的具體實現(xiàn)

包括該TOE的安全要求和用于滿足安全要求的特定安全功能和保證措施

ST包括的技術要求和保證措施可以直接引用該TOE所屬產(chǎn)品或系統(tǒng)類的PP ST相當于產(chǎn)品和系統(tǒng)的實現(xiàn)方案

評估保證級( Evaluation Assurance Level，EAL) 定義了劃分TOE保證等級的預定義的評估尺度

一個保證等級( EAL)是評估保證要求的一個基線集合——保證包