EAL
EAL, viết tắt từ Evaluation Assurance Level (Cấp bảo đảm đánh giá) là một chứng chỉ dùng để đánh giá cấp độ bảo mật (Có các cấp từ EAL1 - EAL7) của sản phẩm công nghệ thông tin hoặc hệ thống theo tiêu chuẩn chung về bảo mật. Đây là một tiêu chuẩn có hiệu lực từ năm 1999. Chỉ số bảo mật (EALx) phản ánh những yêu cầu cần đạt chứng nhận của sản phẩm. Cấp độ càng cao thì mức độ an toàn, tin cậy của hệ thống càng được đảm bảo thực thi. Cấp độ EAL không tự đo sự bảo mật của hệ thống, nó chỉ đơn giản là chứng nhận trạng thái, mức độ nào mà hệ thống đã được kiểm tra.
Để đạt được một EAL cụ thể, hệ thống máy tính phải được kiểm trùng với những yêu cầu bảo vệ riêng. Hầu hết các yêu cầu này bao gồm trong tài liệu thiết kế, tài liệu thiết kế phân tích, kiểm thử chức năng hay kiểm tra thâm nhập. Cấp độ EAL cao hơn yêu cầu tài liệu chi tiết hơn, phân tích sâu hơn và kiểm thử nhiều hơn cấp độ thấp. Số x trong EALx được gán để chứng nhận hệ thống đã hoàn toàn đáp ứng tất cả các yêu cầu ở cấp (x) đó.
Mặc dù mọi sản phẩm, hệ thống bắt buộc phải đầy đủ tất cả các yêu cầu giống nhau (tài liệu phân tích, tài liệu thiết kế, độ sâu, độ chi tiết của tài liệu) về tính đảm bảo để đạt được cùng một cấp độ, chúng không cần phải giống nhau về yêu cầu chức năng. Đặc điểm chức năng của mỗi sản phẩm được chứng nhật sẽ được thiết lập trong tài liệu Security Target (mục tiêu bảo mật), một loại tài liệu được thiết kế cho việc đánh giá sản phẩm. Vì vậy, một sản phẩm đạt EAL cao hơn không nhất thiết là sẽ “bảo mật hơn” một ứng dụng với cấp EAL thấp hơn, vì chúng có thể có danh sách đặc điểm chức năng rất khác nhau trong Security Target. Sự phù hợp của sản phẩm đối với ứng dụng bảo mật riêng biệt phụ thuộc vào cách thức/mức độ mà các đặc điểm được liệt kê trong tài liệu Security Target thỏa mãn yêu cầu bảo mật của ứng dụng. Nếu Security Taget cho hai sản phẩm đều chứa các đặc điểm bảo mật cần thiết, cấp EAL cao hơn chứng tỏ mức độ tin tưởng cao hơn cho ứng dụng đó.
Cấp độ bảo mật [sửa]
 |
Xin hãy cùng đóng góp cho bài hoặc đoạn này bằng cách phát triển nó. Nếu bài viết đã được phát triển, hãy gỡ bản mẫu này. |
EAL1: Kiểm tra chức năng [sửa]
EAL2: Kiểm tra cấu trúc [sửa]
EAL3: Kiểm tra phương thức và lựa chọn [sửa]
EAL4: Thiết kế phương thức, kiểm thử và duyệt lại [1] [sửa]
EAL5: Thiết kế chính thức và kiểm thử [sửa]
EAL6: Thiết kế việc kiểm tra chính thức và kiểm thử [sửa]
EAL7: Chính thức kiểm tra thiết kế và kiểm thử [sửa]
Thực thi cấp độ bảo mật [sửa]
Ảnh hưởng tới giá và thời hạn [sửa]
Yêu cầu mở rộng/tăng cáp EAL [sửa]
Giải thích EAL [sửa]
Chú thích [sửa]
Liên kết ngoài [sửa]
- GAO (March 2006). "INFORMATION ASSURANCE: National Partnership Offers Benefits, but Faces Considerable Challenges" (PDF). Report GAO-06-392. United States Government Accountability Office. Truy cập ngày 2006-07-10.
- Smith, Richard (October 2000). "Trends in Government Endorsed Security Product Evaluations" (PDF). Proc. 20th National Information Systems Security Conference. Truy cập 10 tháng 7 năm 2006.
- CCEVS Validated Products List
- Common Criteria Assurance Level information from IACS
- IBM AIX operating system certifications
- Microsoft Windows and the Common Criteria Certification
- SUSE Linux awarded government security cert
- XTS-400 information
- Understanding the Windows EAL4 Evaluation
- Charu Chaubal (February 2007). "Security Design of the VMware Infrastructure 3 Architecture" (PDF). 20070215 Item: WP-013-PRD-01-01. VMware, Inc.. Truy cập ngày 2008-11-19.
