Common Criteria的7級安全評估等級

評估等級 

審驗時間

內容

安全等級的說明

EAL 1  

3個月

功能檢測（Functionally Tested）

只檢測一個產品最基礎的功能，不包含任何安全性的評估，不保證安全性。取得EAL1驗證等級，只表示這個產品能夠開機、執行，不涉及任何安全性議題。

EAL 2 

6個月

結構檢測（Structurally Tested）

 EAL 2安全程度比EAL1高，EAL 2才開始會作安全上的檢測。會用寬鬆的標準作適當的原始碼檢查，但嚴謹程度低於EAL 3。

EAL 3 

9～12個月

系統測試及檢查（Methodically Tested and Checked）

 EAL 3更嚴格檢查程式碼，但不需要重新翻修程式，也不會打斷整個開發流程。EAL 3不像EAL 4必須評估漏洞修補的成本，所以EAL3還是採用比EAL 4寬鬆的安全檢測標準。

EAL 4  

12～16個月

系統設計、測試及審查（Methodically Designed, Tested and Reviewed）

EAL 4是最常見的安全性驗證標準，例如Windows 2000、NetWare等都取得EAL 4以上的認證。只有到EAL 4時，大家才會接受這個驗 證，能有效確保系統的安全性，而供應商也會將漏洞修補包含在安全性檢測基本項目中。

EAL 5  

18～24個月

半正規設計和測試（Semiformally Designed and Tested）

EAL 5是一個比EAL 4要求更周延的的安全驗證等級，必須經過非常嚴格的驗證流程，花費的時間、成本都比EAL 4還高。但不見得需要取得EAL 5驗證。

EAL 6

半正規查證設計和測試 （Semiformally Verified Design and Tested）

EAL 6驗證如同是針對客戶提出某些高風險、特殊的安全要求，不惜耗費時間、金錢，一定要達到客戶的安全性要求。要取得EAL6的驗證。安全是EAL 6的基本要求，這意味著，整個系統的開發都必須奠基在安全的要求上。

EAL 7

正規查證設計和測試 （Formally Verified Design and Tested）

 EAL 7只有用於極度高度風險的系統，對系統的要求不只是能用而已，還必須具有極度高度的風險性要求。金錢和時間花費難以想像，只會用在具有特殊安全功能的特定系統中。

資料來源：IBMTUV、國家通訊傳播委員會（NCC）、電信技術中心資通安全實驗室、〈歐盟資訊安全技術與政策發展現況之研究〉中興大學資訊管理系林詠章教授，iThome整理，2008年3月

銀行公會數位簽章拿下臺灣第1張CC認證

目前取得CC驗證的產品中，數量最多的是智慧卡。在臺灣，第一件通過CC驗證的，就是銀行公會的「數位簽章產生器保護剖繪」。銀行公會申請的「數位簽章保護剖繪」，在1月17日通過資通安全實驗室的CC認證，並取得EAL 4+安全等級的審驗證明。

銀行公會金融業務電子化委員會副主任委員羅安昌表示，銀行公會訂定出對數位簽章安全等級所需的保護剖繪，經由資通安全實驗室驗證安全性，並由NCC審核通過後，其他數位簽章的廠商則可以按照保護剖繪的安全性規範，製作相關的數位簽章產生器。銀行公會目前還有一個運用在POS上的加密設備T-SAM，正在進行CC安全性驗證。

臺灣電信技術中心資通安全組許碧姍表示，臺灣有一些商業軟體、多功能複合機和網路安全設備廠商，正在積極了解CC認證相關規範。她說，目前廠商送審的產品以智慧卡和網路安全產品為主。

國家通訊傳播委員會技術管理處副處長羅金賢表示，許多政府對於電器設備都有強制性驗證要求，但對於IT產品的安全性驗證卻沒有強制要求。他指出，電信技術中心資通安全實驗室有能力進行IT產品安全性驗證後，就能逐步達成臺灣資安能力自主的目的。文⊙黃彥棻