گواهینامه امنیتی EAL

علی سیتی / گواهینامه امنیتی EAL

تالیف

elham adriyani

زمان انتشار

12 بهمن 1403

دسته بندی

نظرات

بدون نظر

آنچه که در این مطلب می خوانید:

گواهینامه امنیتی EAL چیست؟

اگر شما هم با انواع  کیف پول سخت افزاری آشنایی دارید،‌ به احتمال زیاد با واژه‌ گواهینامه امنیتی EAL برخورد خواهید کرد. همانطور که می‌دانید کیف پول‌های لجر و ترزور دارای گواهینامه‌ +EAL 5 و کیف پول کول ولت پرو دارای درجه‌ EAL 6‌ است. EAL یک گواهینامه‌ امنیتی بوده که دارای مجموعه‌ای از تست‌های مختلف برای تشخیص میزان امنیت دستگاه‌های الکترونیکی در سطوح مختلف است. در هر سطح از این ارزیابی، بخش‌های مختلفی از دستگاه مثل ساختار، عملکرد، طراحی هدفمند و غیره آزمایش می‌شوند.

جزئیات آزمون‌های این گواهینامه یک بحث فنی و نسبتا پیچیده است که سعی می‌کنیم ذز این مطلب از علی سیتی آن‌ها را به ساده‌ترین شکل ممکن برای شما توضیح دهیم. با ما همراه باشید تا با گواهینامه امنیت EAL و سطوح مختلف آن بیشتر آشنا شوید.اصطلاح سطح EAL به سطحی از اطمینان (Evaluation Assurance Level) در یک سرویس امنیتی اشاره دارد. سطوح EAL معیارهای مشترک (ISO 15408) الزامات دقیقی را برای ممیزی امنیت فناوری اطلاعات توصیف می کند.

گواهینامه امنیتی EAL

سطوح گواهینامه EAL چیست؟

هفت سطح مختلف برای گواهی امنیت EAL وجود دارد که مخفف عبارت Evaluation Assurance Level است. همانطور که گفته شد، سطح EAL Secure Elements مورد استفاده ما 5+ است. در این چارچوب، مدل تهدید، دسترسی از راه دور و فیزیکی را برای مهاجم در نظر می‌گیرد. در طول فرآیند ارزیابی EAL، چندین عنصر در نظر گرفته می شود مانند:

– چرخه زندگی / زنجیره تامین
– رویه توسعه
– اسناد و مدارک
– تست عملکردی
– تست نفوذ

رسیدن به سطح امنیت EAL +5 داشتن بالاترین سطح امنیت در برابر تست های نفوذ را تضمین می کند. فراتر رفتن از EAL 5 دیگر تضمین بالاتری در برابر حملات ارائه نمی دهد. انواع مختلفی از گواهینامه ها وجود دارد. EAL یک گواهینامه بین المللی شناخته شده و مشهور است، اما گواهینامه های ملی و حتی محلی دیگری نیز ممکن است وجود داشته باشد.

EAL1: تست از نظر عملکردی 

گواهی امنیت سطح یک، EAL1 مربوط به اطمینان به عملکرد صحیح دستگاه است و در مقابل تهدیدات امنیتی جدی در نظر گرفته نمی‌شود. در حقیقت مراقبت لازم در رابطه با حفاظت از اطلاعات شخصی یا اطلاعات مشابه مورد نیاز است. EAL1 یک ارزیابی از TOE (هدف ارزیابی) که در دسترس مشتری قرار گرفته است، از جمله آزمایش مستقل در برابر یک مشخصات، و بررسی اسناد راهنمایی ارائه شده، ارائه می‌کند. در نظر گرفته شده است که ارزیابی EAL1 می تواند بدون کمک توسعه دهنده TOE و با حداقل هزینه با موفقیت انجام شود. ارزیابی در این سطح باید شواهدی را ارائه دهد که نشان می‌دهد TOE به شیوه‌ای منطبق با مستندات آن عمل می‌کند و محافظت مفیدی را در برابر تهدیدات شناسایی شده ارائه می‌کند.

EAL2: تست از نظر ساختاری

سطح EAL2 به همکاری توسعه‌دهنده از نظر تحویل اطلاعات، طراحی و ساختار نیاز دارد. به این ترتیب نباید نیاز به افزایش قابل توجه سرمایه گذاری هزینه یا زمان داشته باشد. بنابراین EAL2 در شرایطی که توسعه‌دهندگان یا کاربران به سطح پایین تا متوسط ​​امنیت مستقل نیاز دارند، در صورت عدم دسترسی آماده به سابقه توسعه کامل، قابل اجرا است. چنین وضعیتی ممکن است هنگام ایمن سازی سیستم های قدیمی ایجاد شود.

EAL3: تست عملکرد

امتیاز  گواهینامه امنیتی EAL3 به توسعه‌دهنده ای داده می‌شود تا حداکثر اطمینان را از مهندسی امنیت مثبت در مرحله طراحی، بدون تغییر اساسی در شیوه‌های توسعه صحیح موجود، کسب کند. EAL3 در شرایطی قابل اجرا است که توسعه دهندگان یا کاربران به سطح متوسطی از امنیت تضمین شده مستقل نیاز دارند و نیاز به بررسی کامل TOE و توسعه آن بدون مهندسی مجدد اساسی دارند.

EAL4: تست طراحی، آزمایش و بررسی شده

EAL4 به توسعه‌دهنده این امکان را می‌دهد تا حداکثر اطمینان را از مهندسی امنیت مثبت بر اساس شیوه‌های توسعه تجاری خوب کسب کند که اگرچه دقیق هستند، اما به دانش، مهارت‌ها و سایر منابع تخصصی قابل توجهی نیاز ندارند. EAL4 بالاترین سطحی است که در آن به احتمال زیاد از نظر اقتصادی امکان بازسازی در خط تولید  وجود دارد. بنابراین گواهی امنیت EAL4 در شرایطی قابل اجرا است که توسعه دهندگان یا کاربران به سطح متوسط ​​تا بالایی از امنیت تضمین شده مستقل در TOEهای معمولی کالا نیاز دارند و آماده هستند تا هزینه های مهندسی ویژه امنیتی بیشتری را متحمل شوند.

EAL5: تست طراحی و آزمایش نیمه رسمی

گواهینامه امنیتی EAL5 به توسعه‌دهنده اجازه می‌دهد تا حداکثر اطمینان را از مهندسی امنیت بر اساس شیوه‌های توسعه تجاری دقیق که با استفاده متوسط ​​از تکنیک‌های تخصصی مهندسی امنیت پشتیبانی می‌شود، کسب کند. چنین TOE احتمالاً با هدف دستیابی به تضمین EAL5 طراحی و توسعه خواهد یافت. این احتمال وجود دارد که هزینه های اضافی مربوط به الزامات EAL5، نسبت به توسعه دقیق بدون استفاده از تکنیک های تخصصی، زیاد نباشد. بنابراین EAL5 در شرایطی که توسعه‌دهندگان یا کاربران به سطح بالایی از امنیت تضمین شده مستقل در یک توسعه برنامه‌ریزی‌شده نیاز دارند و نیاز به یک رویکرد توسعه دقیق بدون متحمل شدن هزینه‌های غیرمنطقی قابل انتساب به تکنیک‌های تخصصی مهندسی امنیت دارند، قابل اجرا است.

دستگاه‌های کارت هوشمند متعددی در EAL5 ارزیابی شده‌اند، همانطور که دستگاه‌های ایمن چند سطحی مانند Tenix Interactive Link نیز ارزیابی شده‌اند. XTS-400 (STOP 6) یک سیستم عامل همه منظوره است که در EAL5 تقویت شده ارزیابی شده است.

EAL6: تست طراحی و آزمایش تایید شده نیمه رسمی

گواهی امنیت EAL6 به توسعه دهندگان این امکان را می‌دهد که از کاربرد تکنیک های مهندسی امنیتی در محیط توسعه دقیق اطمینان بالایی کسب کنند تا یک TOE برتر برای محافظت از دارایی های با ارزش بالا در برابر خطرات قابل توجه تولید کنند. بنابراین گواهی امنیتی EAL6 برای توسعه TOEهای امنیتی برای کاربرد در موقعیت‌های با خطر بالا که ارزش دارایی‌های محافظت شده هزینه‌های اضافی را توجیه می‌کند، قابل استفاده است.

INTEGRITY-178B RTOS شرکت Green Hills Software دارای گواهینامه EAL6 augmented شده است.

EAL7: طراحی رسمی تایید شده و تست شده

و اما گواهینامه امنیتی EAL7 برای توسعه TOE های امنیتی برای کاربرد در موقعیت های بسیار پرخطر و یا جایی که ارزش بالای دارایی‌ها هزینه‌های بالاتر را توجیه می‌کند، قابل استفاده است.

کاربرد عملی EAL7 در حال حاضر محدود به TOEهایی با عملکرد امنیتی متمرکز است که قابل تجزیه و تحلیل رسمی گسترده است. سیستم عامل ProvenCore که توسط ProvenRun توسعه یافته است، در سال 2019 توسط ANSSI گواهینامه EAL7 را دریافت کرده است. دستگاه دیود داده پیوند تعاملی Tenix و دیود داده فاکس-IT فاکس (دستگاه ارتباطات داده یک طرفه) ادعا کردند که در EAL7 تقویت شده (EAL7+) ارزیابی شده‌اند.

7 سطح امنیت eal

چرا گواهینامه EAL مهم است؟

هر کسی می تواند ادعا کند که یک دستگاه امن دارد، اما اعتماد به این ادعا دشوار است. از طریق گواهی ها، یک شخص ثالث مستقل تا حدودی می‌تواند آن را ارزیابی کند. در کیف پول های لجر ما معتقدیم که امنیت در درجه اول اهمیت قرار دارد، و در حالی که هر کسی می‌تواند ادعا کند که یک محصول امن دارد، این به معنای بسیار بیشتر از طرف یک شخص ثالث قابل اعتماد است. این یک نقطه عطف مهم برای لجر در تلاش ما برای تأیید همه محصولات B2C و B2B است.

امروزه، هر دو کیف پول لجر ایکس و همینطور کیف پول لجر نانو اس پلاس تنها کیف پول‌های سخت‌افزاری هستند که طبق الزامات امنیتی مشخص‌شده در طرح گواهینامه امنیتی CSPN (گواهینامه امنیت سطح اول) به طور مستقل تأیید شده‌اند.

گواهینامه CSPN چیست؟

این گواهینامه امنیت به عنوان یک تأییدیه خارجی و شخص ثالثی است که در صنعت امنیت لجر پیشرو است. این ارزیابی خارجی و مستقل تعهد شرکت به امنیت پیشرو در صنعت را هر چه بیشتر تایید می کند. لجر دائماً به دنبال افزایش امنیت محصولات خود است و از محققان امنیتی خارجی در برنامه Bounty خود و همچنین آزمایشگاه داخلی Attack Lab پیشرو در صنعت خود به نام Ledger Donjon استفاده می کند. لجر یک سیستم عامل سفارشی قوی، یعنی BOLOS و برنامه‌های دارایی رمزنگاری‌شده را که روی این سخت‌افزار امن اجرا می‌شوند، توسعه داده است. این ترکیب نرم افزار و سخت افزار است که بالاترین سطح امنیت را برای هر یک از محصولات شرکت به ارمغان می آورد.

در EAL، تلاش برای ارائه خدمات عالی و پشتیبانی به ارائه دهندگان آموزش، کارفرمایان و مهندسان با قرار دادن آنها در قلب هر کاری است. به همین دلیل راه اندازی پلتفرم Certify به مراکز، فراگیران و کارفرمایان اجازه می‌دهد در هر زمان و در هر دستگاهی به راحتی و ایمن به گواهی های دیجیتال دسترسی داشته باشند.

Certify برای ساده‌سازی فرآیند صدور گواهی‌نامه و رسیدگی به چالش‌های رایج صنعت، مانند امنیت دیجیتال، برآورده کردن الزامات نظارتی و فعالیت‌های احتمالی تقلبی طراحی شده است. این بر اساس نقاط قوت فرآیند صدور گواهینامه دیجیتال فعلی  است، که مشتریان ما به دلیل اثربخشی در نظرسنجی اخیر رضایت مشتری، آن را 9/10 رتبه‌بندی کردند.

  • اسناد چاپی

راه اندازی Certify در زمان حیاتی برای بخش مهارت های مهندسی، تولید و خدمات ساختمانی انجام می شود. صنایع در حال تجربه پیشرفت‌های سریع تکنولوژیکی، تغییرات نظارتی و افزایش تقاضا برای متخصصان ماهر هستند. این پویایی ها نیاز مبرمی به فرآیندهای صدور گواهینامه کارآمد و قابل اعتماد برای اطمینان از شایستگی و انطباق نیروی کار ایجاد می کند.

در زمانی که بازار کار بریتانیا نقش‌های بیشتری نسبت به کارگران ماهر دارد، اطمینان از «تعامل عمیق‌تر بین دولت، کارفرمایان و سیستم آموزشی برای تولید خط لوله استعدادهایی که می‌تواند اقتصاد پر رونق بریتانیا را حفظ کند، مهم‌تر از همیشه است. تأیید صحت گواهینامه های کاغذی می‌تواند مشکل ساز باشد. کارفرمایان ممکن است برای تأیید سریع و کارآمد مشروعیت صلاحیت‌ها تلاش کنند، که می‌تواند فرآیند استخدام را به تاخیر بیندازد، بر استقرار کارگران ماهر تأثیر بگذارد، و استانداردهای بالایی از مهارت ها و ایمنی را حفظ کند.

تفاوت های جغرافیایی نیز در عوارض صدور گواهینامه کاغذی نقش دارد. تمرکز مکانیکی و الکتریکی در جنوب و سرزمین های میانی وجود دارد. اسکاتلند دارای درجه بسیار بالایی از تخصص در زمینه محیط زیست، انرژی و مشاغل زمین است، در حالی که مشاغل ماهر، نقش های عملیاتی صنعتی و عمومی بیشتر در انگلستان شمالی، ولز و ایرلند شمالی تخصص دارند. این تنوع به مدیریت و تأیید گواهینامه ها در سراسر مختلف پیچیدگی می بخشد. مناطق داشتن یک سیستم متمرکز دیجیتال به کاهش بسیاری از این پیچیدگی ها کمک می کند.

Certify برای رسیدگی به این چالش‌ها طراحی شده است، و یک پلتفرم ساده و کاربرپسند ارائه می‌کند که مدیریت گواهینامه را برای فراگیران، مراکز آموزشی و کارفرمایان ساده می‌کند، خط لوله استعدادها را بهینه می‌کند و تضمین می‌کند که کارگران ماهر به پتانسیل کامل خود و سریع‌تر دست پیدا کنند.

  • فرآیند صدور گواهینامه ساده شده

Certify از کل چرخه عمر گواهینامه پشتیبانی می‌کند. این امر سفر آسان تری را برای زبان آموزان برای درخواست، دریافت و تمدید گواهینامه های خود تضمین می‌کند. این پلتفرم همچنین تجربه کاربری روان‌تر و کارآمدتری را ارائه می‌کند و با ساده‌سازی دسترسی به داده‌ها برای همه کاربران، بار کاری اداری را کاهش می‌دهد. دسترسی ساده به اطلاعات به کاربران اجازه می دهد تا به طور مستقل داده های مورد نیاز خود را بدون تأخیر یا عوارض غیرضروری بازیابی کنند و در نتیجه بهره وری کلی را افزایش دهند.

Certify چیزی بیش از یک ابزار مدیریت گواهی است. این راه حلی است که برای حمایت از شایستگی و توسعه نیروی کار طراحی شده است و هدف آن از بین بردن شکاف مهارتی است. Certify با ارائه یک فرآیند صدور گواهینامه کارآمد کمک می‌کند تا اطمینان حاصل شود که فراگیران مهارت ها و دانش لازم را برای برتری در نقش های خود دارند. این به نوبه خود از اهداف سازمانی حمایت می کند و پیشرفت صنعت را پیش می برد.

  • افزایش انطباق و کیفیت

در صنایعی که انطباق و کیفیت بسیار مهم است، Certify راه حل قابل اعتمادی برای حفظ استانداردهای بالا ارائه می دهد. امنیت دیجیتال قوی و قابلیت‌های ردیابی بلادرنگ این پلتفرم تضمین می‌کند که گواهینامه‌ها معتبر، به‌روز و منعکس‌کننده نیازهای صنعت فعلی هستند. این امر به سازمان‌ها کمک می‌کند تا از مسائل مربوط به انطباق اجتناب کنند و اطمینان حاصل شود که نیروی کار آنها برای مطابقت با استانداردهای نظارتی مجهز است.

Certify تاکید زیادی بر امنیت داده ها دارد. با استفاده از فناوری بلاک چین، اطمینان حاصل می‌کنیم که اطلاعات حساس در طول صدور گواهینامه محافظت می‌شوند. این امر خطر فعالیت های تقلبی را کاهش می دهد و آرامش خاطر را برای همه کاربران فراهم می کند و از یکپارچگی فرآیند صدور گواهینامه محافظت می کند.

  • تعهد به پایداری

در راستای تلاش‌های بلندپروازانه پایداری بریتانیا، Certify از مراکزی در کاهش ردپای کربن پشتیبانی می‌کند. با اتخاذ یک رویکرد دیجیتال اول برای صدور گواهینامه، ما به طور قابل توجهی مصرف کاغذ را کاهش می دهیم و به حفظ محیط زیست کمک می کنیم. این نه تنها نشان دهنده تعهد ما به مسئولیت زیست محیطی است، بلکه به مراکز کمک می کند تا با اهداف پایداری خود هماهنگ شوند.

  • گواهینامه اثبات آینده

با ادامه تکامل بخش های مهندسی و تولید، نیاز به راه حل های تطبیقی ​​و آینده نگر اهمیت فزاینده ای پیدا می کند. Certify با در نظر گرفتن آینده طراحی شده است و یک پلت فرم مقیاس پذیر ارائه می‌دهد که می‌تواند رشد کند و با نیازهای در حال تغییر صنعت سازگار شود. با سرمایه گذاری در Certify، مراکز آموزشی و کارفرمایان می توانند فرآیندهای صدور گواهینامه خود را در آینده اثبات کنند و در عین حال استانداردهای بالایی که از آنها خواسته می شود را حفظ کنند.

راه اندازی Certify یک نقطه عطف مهم برای EAL است. این راه حل نوآورانه صدور گواهینامه به چالش های کلیدی صنعت می پردازد، از شایستگی نیروی کار پشتیبانی می کند و انطباق و کیفیت را افزایش می دهد. Certify با ارائه یک پلتفرم ساده، در دسترس و جامع تضمین می کند که یادگیرندگان و سازمان ها به خوبی مجهز هستند تا نیازهای صدور گواهینامه فعلی و آینده را برآورده کنند.

تمامی مراکز به صورت خودکار دارای یک حساب کاربری خواهند بود و فراگیران با دریافت نامه پوششی همراه با گواهینامه خود فرصت ثبت نام خواهند داشت. کاربران می توانند در مرکز، زبان آموز یا پورتال شخص ثالث وارد شوند.

گواهینامه CSPN

سوالات متداول

گواهی EAL چیست؟

سطح اطمینان ارزیابی (EAL) یک سیستم رتبه بندی عددی است که برای توصیف دامنه و شدت ارزیابی محصول استفاده می شود.

EAL در امنیت سایبری چیست؟

سطح تضمین ارزیابی (EAL) یک رتبه بندی دسته بندی است که پس از ارزیابی امنیتی معیارهای مشترک به یک محصول یا سیستم فناوری اطلاعات اختصاص می یابد. این سطح نشان می‌دهد که محصول یا سیستم تا چه حد آزمایش شده است. یک محصول یا سیستم باید الزامات تضمین خاصی را برای دستیابی به یک EAL خاص برآورده کند.

گواهینامه امنیتی EAL سطح 1 چیست؟

گواهی امنیت سطح یک، EAL1 مربوط به اطمینان به عملکرد صحیح دستگاه است و در مقابل تهدیدات امنیتی جدی در نظر گرفته نمی‌شود.

سطح EAL2 چیست؟

سطح EAL2 به همکاری توسعه‌دهنده از نظر تحویل اطلاعات، طراحی و ساختار نیاز دارد.

سطح EAL3 چیست؟

این صلاحیت و مدرک برای ارائه دانش و درک پیشرفته از شیوه ها و فرآیندهای مهندسی و فناوری ایجاد شده است.

گواهینامه EAL4 چیست؟

گواهی امنیت EAL4 برای محصول طراحی، آزمایش و بررسی شده است.

گواهی امنیت EAL5 چیست؟

گواهی امنیت EAL5 به این معنی است که یک یا چند افزوده به رتبه بندی پایه EAL انجام شده است. برای رسیدن به EAL5، محصولات و سیستم‌ها باید دارای بالاترین سطح امنیت ممکن در برابر نفوذ و حملات باشند.

گواهینامه EAL6 چیست؟

امنیت EAL6 نشان دهنده تضمین امنیتی بالاتری نسبت به EAL5 است که شامل تجزیه و تحلیل و آزمایش دقیق تر است.

گواهینامه امنیت EAL7 چیست؟

EAL7 برای توسعه TOE های امنیتی برای کاربرد در موقعیت های بسیار پرخطر ویا جایی که ارزش بالای دارایی هزینه‌های بالاتر را توجیه می کند، قابل استفاده است.

اشتراک گذاری

مرتبط ترین مطالب در مورد "گواهینامه امنیتی EAL"

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

				
					helloalicity
				
			
				
					alicitycard
				
			
کتابچه رمز ارزهای دیجیتال
آموزش ارز دیجیتال ، بلاکچین، ترید کردن و...
پیشنهادی

به نام خدای رنگین کمان

درود به مردم شریف ایران همانطور که تو این 3 ماه در کنار شما بودیم و همزمان با تعطیلی شما ما هم تعطیل بودیم.

تصمیم گرفتیم تماما سود بدست آمده خرید از سایت های خارجی مون و نیمی از سود باقی محصولات رو به کولبرانی که تو این سال ها آسیب دیدن و یا تو این 3 ماه هیچ فعالیتی نداشتن تقدیم کنیم. امیدواریم که بتونیم کمک شایانی بکنیم.

پیغام شما با موفقیت برای مدیریت علی سیتی ارسال شده است.
به زودی با شما تماس خواهیم گرفت.