2.6　问题讨论

1．简述CC适用范围，指出CC未覆盖的安全评估内容。

2．概述在哪些安全评估情况下并不需要使用CC，指出不适合CC应用的场景。

3．早期版本的CC不区分IT产品和IT系统评估，但从CC 3.1版本开始，CC主要是面向IT产品安全评估的，你能解释原因吗？

4．简述CC主要文档及它们之间的关系，描述CC 3部分文档的内容及其用途。

5．查阅CC项目组织最新的CC版本及现有ISO/IEC 15408和ISO/IEC 18045版本，比较分析它们之间的差异性。

6．简述CC第1部分的主要内容，举例描述CC允许的安全组件4种元素的操作。

7．概述PP、ST、TOE、功能要求和保障要求的包、类、族、组件等CC基本概念。

8．简述CC和PP、PP和ST之间的关系。

9．简述TOE和PP/ST之间的关系。

10．概述资产类型及资产识别的基本步骤。

11．概述CC对资产的保护对策。

12．概述脆弱性、威胁和漏洞利用基本概念及其相互关系。

13．TOE安全功能的正确性和TOE运行环境安全的正确性有何不同？CC覆盖哪些正确性测试？

14．简述TOE安全评估输出内容。

15．简述PP/ST评估的基本过程与异同点。

16．什么是IT产品的安全评估？安全评估涉及哪些测试技术？

17．指出基于CC的IT产品安全评估的3个基本条件。

18．简述TOE安全评估证据概念，列出TOE开发者应准备的证据材料。

19．简述TOE安全功能测试和TOE安全性测试的异同。

20．简述TOE安全评估和认证之间的关系。