EAL

EAL, viết tắt từ Evaluation Assurance Level (Cấp bảo đảm đánh giá) là một chứng chỉ dùng để đánh giá cấp độ bảo mật (Có các cấp từ EAL1 - EAL7) của sản phẩm công nghệ thông tin hoặc hệ thống theo tiêu chuẩn chung về bảo mật. Đây là một tiêu chuẩn có hiệu lực từ năm 1999. Chỉ số bảo mật (EALx) phản ánh những yêu cầu cần đạt chứng nhận của sản phẩm. Cấp độ càng cao thì mức độ an toàn, tin cậy của hệ thống càng được đảm bảo thực thi. Cấp độ EAL không tự đo sự bảo mật của hệ thống, nó chỉ đơn giản là chứng nhận trạng thái, mức độ nào mà hệ thống đã được kiểm tra.

Để đạt được một EAL cụ thể, hệ thống máy tính phải được kiểm trùng với những yêu cầu bảo vệ riêng. Hầu hết các yêu cầu này bao gồm trong tài liệu thiết kế, tài liệu thiết kế phân tích, kiểm thử chức năng hay kiểm tra thâm nhập. Cấp độ EAL cao hơn yêu cầu tài liệu chi tiết hơn, phân tích sâu hơn và kiểm thử nhiều hơn cấp độ thấp. Số x trong EALx được gán để chứng nhận hệ thống đã hoàn toàn đáp ứng tất cả các yêu cầu ở cấp (x) đó.

Mặc dù mọi sản phẩm, hệ thống bắt buộc phải đầy đủ tất cả các yêu cầu giống nhau (tài liệu phân tích, tài liệu thiết kế, độ sâu, độ chi tiết của tài liệu) về tính đảm bảo để đạt được cùng một cấp độ, chúng không cần phải giống nhau về yêu cầu chức năng. Đặc điểm chức năng của mỗi sản phẩm được chứng nhật sẽ được thiết lập trong tài liệu Security Target (mục tiêu bảo mật), một loại tài liệu được thiết kế cho việc đánh giá sản phẩm. Vì vậy, một sản phẩm đạt EAL cao hơn không nhất thiết là sẽ "bảo mật hơn" một ứng dụng với cấp EAL thấp hơn, vì chúng có thể có danh sách đặc điểm chức năng rất khác nhau trong Security Target. Sự phù hợp của sản phẩm đối với ứng dụng bảo mật riêng biệt phụ thuộc vào cách thức/mức độ mà các đặc điểm được liệt kê trong tài liệu Security Target thỏa mãn yêu cầu bảo mật của ứng dụng. Nếu Security Taget cho hai sản phẩm đều chứa các đặc điểm bảo mật cần thiết, cấp EAL cao hơn chứng tỏ mức độ tin tưởng cao hơn cho ứng dụng đó.

Cấp độ bảo mật[sửa | sửa mã nguồn]

EAL1: Kiểm tra chức năng[sửa | sửa mã nguồn]

EAL2: Kiểm tra cấu trúc[sửa | sửa mã nguồn]

EAL3: Kiểm tra phương thức và lựa chọn[sửa | sửa mã nguồn]

EAL4: Thiết kế phương thức, kiểm thử và duyệt lại ^[1][sửa | sửa mã nguồn]

EAL5: Thiết kế chính thức và kiểm thử[sửa | sửa mã nguồn]

EAL5 cho phép nhà phát triển đạt được mức độ đảm bảo tối đa từ công nghệ bảo mật dựa trên thực tiễn được hỗ trợ bởi ứng dụng chuyên về kỹ thuật an ninh. Nhiều khả năng là các chi phí bổ sung do yêu cầu đạt EAL5, liên quan đến phát triển mà không áp dụng các kỹ thuật chuyên ngành sẽ không lớn. Do đó EAL5 được áp dụng trong những trường hợp mà các nhà phát triển hoặc người sử dụng đòi hỏi một mức độ bảo mật cao mà không phát sinh chi phí bất hợp lý do các chuyên gia kỹ thuật kỹ thuật an ninh.

Rất nhiều thiết bị thẻ thông minh đã được đánh giá đạt mức EAL5. Ví dụ thiết bị đa an toàn như Tenix tương tác liên kết. XTS -400là một hệ thống điều hành đa năng đã được mức EAL5 nâng cao.

LPAR trên hệ thống IBM cũng đạt EAL5

EAL6: Thiết kế việc kiểm tra chính thức và kiểm thử[sửa | sửa mã nguồn]

EAL6 cho phép lập trình viên đạt đuọc mức độ bảo hiểm cao từ các kỹ thuật bảo mật trong môi trường phát triển nghiêm ngặt nhằm đạt được mục tiêu bảo mật cao trong việc bảo vệ trước các rủi ro lớn. EAL6 vì vậy được áp dụng cho các ứng dụng trong mồi trường có nguy cơ cao nơi mà giá trị của việc bảo mật cao hơn là các chi phí phát sinh.

Phần mềm Greeen Hill Intergrity -178B RTOS đã đạt được chứng chỉ loại này.

EAL7: Chính thức kiểm tra thiết kế và kiểm thử[sửa | sửa mã nguồn]

Fox-IT claim to have certified their one-way data communications device known as the "Fox Data Diode" at EAL7+.[14] EAL7 được áp dụng cho việc phát triển bảo mật cho các ứng dụng mà đối mặt với nguy cơ cực kỳ cao và/hoặc tài sản, giá trị rất cao. Ứng dụng thực tế của EAL7 hiện giới hạn mục tiêu đánh giá (TOE - Target of evaluate) với việc đặt trọng tâm vào bảo mật chức năng được phân tích trên diện rộng. Liên kết dữ liệu trên các thiết bị Diode Tenix và dữ liệu Fox Diode đạt được EAL7 tăng cường

Thực thi cấp độ bảo mật[sửa | sửa mã nguồn]

Ảnh hưởng tới giá và thời hạn[sửa | sửa mã nguồn]

Yêu cầu mở rộng/tăng cáp EAL[sửa | sửa mã nguồn]

Giải thích EAL[sửa | sửa mã nguồn]

Chú thích[sửa | sửa mã nguồn]

^ “Common Criteria certified product list”. Bản gốc lưu trữ ngày 31 tháng 12 năm 2013. Truy cập ngày 9 tháng 12 năm 2012.

Liên kết ngoài[sửa | sửa mã nguồn]

GAO (tháng 3 năm 2006). “INFORMATION ASSURANCE: National Partnership Offers Benefits, but Faces Considerable Challenges” (PDF). Report GAO-06-392. United States Government Accountability Office. Bản gốc (PDF) lưu trữ ngày 15 tháng 9 năm 2012. Truy cập ngày 10 tháng 7 năm 2006. Chú thích journal cần |journal= (trợ giúp)

Smith, Richard (2000). “Trends in Government Endorsed Security Product Evaluations” (PDF). Proc. 20th National Information Systems Security Conference. Bản gốc (PDF) lưu trữ ngày 1 tháng 10 năm 2006. Truy cập ngày 10 tháng 7 năm 2006.
CCEVS Validated Products List
Common Criteria Assurance Level information from IACS Lưu trữ 2004-10-12 tại Wayback Machine
IBM AIX operating system certifications
Microsoft Windows and the Common Criteria Certification Lưu trữ 2013-01-17 tại Wayback Machine
SUSE Linux awarded government security cert
XTS-400 information Lưu trữ 2012-02-21 tại Wayback Machine
Understanding the Windows EAL4 Evaluation
Charu Chaubal (tháng 2 năm 2007). “Security Design of the VMware Infrastructure 3 Architecture” (PDF). 20070215 Item: WP-013-PRD-01-01. VMware, Inc. Truy cập ngày 19 tháng 11 năm 2008. Chú thích journal cần |journal= (trợ giúp)

Bản mẫu:Sơ khai chứng chỉ công nghệ thông tin

[OSEvaluations-1] “Common Criteria certified product list”. Bản gốc lưu trữ ngày 31 tháng 12 năm 2013. Truy cập ngày 9 tháng 12 năm 2012.

[1]