امنیت ارز دیجیتال

گواهینامه امنیتی EAL چیست؟

فائزه سوری
انتشار : یکشنبه, 14 دی 1404بروزرسانی : یکشنبه, 14 دی 1404
گواهینامه امنیتی EAL چیست؟

در ارزیابی سیستم‌های حساس مثل کیف پول‌های ارز دیجیتال ، هیچ فاکتوری مهم‌تر از امنیت نیست؛ اما چگونه می‌توان ویژگی‌های امنیتی محصولات گوناگون از برندهای مختلف را با یک متر و معیار واحد سنجید؟ گواهی‌نامه EAL به‌عنوان معیاری جهانی برای سنجش امنیت سامانه‌ها، این چالش را برطرف می‌کند.

برندها محصولات‌شان را با زبان تبلیغاتی خاص خودشان معرفی می‌کنند؛ اما سیستم EAL اجازه می‌دهد تا مقاومت انواع دستگاه‌های IT دربرابر حملات سایبری و هک را با یک سازوکار یکسان بسنجیم. در این مقاله، گواهی‌نامه امنیتی EAL و سطوح مختلف آن را به‌طور کامل معرفی می‌کنیم. در انتها به شما کمک می‌کنیم تا هنگام خرید دستگاه‌هایی مثل ولت سرد، بهترین سطح EAL را انتخاب کنید.

سطح تضمین ارزیابی

گواهینامه امنیتی EAL چیست؟

گواهی‌نامه EAL، مخفف عبارت Evaluation Assurance Level یا «سطح تضمین ارزیابی»، یک سیستم سنجش استاندارد برای ارزیابی امنیت سامانه‌های IT است. گواهی EAL، دقت اعمال‌شده حین تست‌های امنیتی دستگاه‌ها را در سطوح مختلف مشخص می‌کند. این مفهوم، خروجی یک چهارچوب جهانی به‌نام CC یا Common Criteria است که دستورالعمل‌هایی برای ارزیابی امنیت سامانه‌های IT ارائه می‌دهد.

وقتی دستگاهی موفق به کسب گواهی‌نامه EAL می‌شود؛ یعنی از ارزیابی‌های جامع و سفت‌وسخت امنیتی رد شده است؛ به‌همین‌خاطر برای دولت‌ها، سازمان‌های نظامی و مؤسسات مالی، داشتن این گواهی اهمیت فوق‌العاده‌‌ای دارد.

هر نهادی که با استفاده‌ از دستگاه‌های مبتنی‌بر فناوری اطلاعات با داده‌های حساس سروکار دارد به استاندارد EAL نیاز خواهد داشت. عمدتاً توسعه‌دهندگان، فروشندگان کالا‌ و خدمات، سازمان‌های دولتی و مؤسسات خصوصی به‌دنبال اخذ این گواهی هستند.

گواهی EAL چگونه به یک دستگاه داده می‌شود؟

گواهینامه EAL پس‌از اجرای یک فرایند ارزیابی دقیق توسط آزمایشگاه‌های سنجش مخصوص به یک دستگاه اعطا خواهد شد. آزمایش‌های انجام‌شده در هر سطح متفاوت هستند؛ اما عمدتاً مواردی مثل ارزیابی سند طراحی فنی، آزمایش‌های تست عملکرد و اجرای تست نفوذ را دربرمی‌گیرند. هدف نهایی، مشخص‌کردن میزان موفقیت دستگاه در برآورده‌کردن ادعاهای امنیتی سازنده است.

شاید فکر کنید هرچه سطح گواهی EAL بالاتر باشد، امنیت دستگاه نیز بیشتر خواهد بود؛ اما باید بگوییم که این فاکتور، لزوماً بیانگر توان امنیتی دستگاه نیست. گواهی EAL مشخص می‌کند که آزمایش ويژگی‌های امنیتی دستگاه برای تطبیق با مقررات امنیتی با چه شدتی انجام شده است؛ به‌‌عبارت دیگر این گواهی به مصرف‌کننده می‌گوید که تا چه اندازه می‌تواند به ادعاهای امنیتی شرکت سازنده درباره دستگاه اعتماد کند.

هرچه سطح مقیاس EAL بالاتر باشد یعنی شدت سختی آزمایش‌ها و ارزیابی‌های امنیتی نیز سخت‌تر بوده‌اند؛ درنتیجه نمی‌توان ادعا کرد که دستگاهی با بالاترین سطح EAL، قطعاً دربرابر هر نوع حمله سایبری و امنیتی شکست‌ناپذیر خواهد بود.

معیار و اساس EAL

استاندارد Common Criteria یا CC که با عنوان ایزو ۱۵۴۰۸ نیز شناخته می‌شود، یک سند حاوی معیارها و مقررات امنیتی برای دستگاه‌های IT است و گواهی EAL یکی از بازوهای اجرایی آن است. CC حاصل یک توافق‌نامه بین‌المللی تحت عنوان CCRA یا Common Criteria Recognition Arrangement (قرارداد رسمیت‌شناسی ضوابط عام) است.

توافق‌نامه CCRA بین بیش‌از ۳۰ کشور امضا شده است و براساس آن، کشورهای عضو گواهی‌های مختلف را به‌رسمیت می‌شناسند؛ برای مثال، یک کیف پول سخت‌افزاری دارای گواهی EAL از یک کشور در کشورهای دیگر نیز پذیرفته خواهد شد. کل این سازوکار حاصل نیاز جهانی به یک سیستم امنیت‌سنجی واحد است که سامانه‌های مختلف توسط آن ارزیابی شوند.

اهداف امنیتی لازم برای کسب EAL

یکی از معیارهای کلیدی در اسناد CC، هدف امنیتی (Security Target) یا ST است. اِس‌تی، مقررات و ملزومات امنیتی مشخصی را ذیل بندهای متعدد تعیین می‌کند. هر دستگاه برای کسب یکی از سطوح EAL باید همه یا تعدادی از این بندها را برآورده کند. براساس اهداف امنیتی، مشخص می‌شود که هر محصول باید از چه چیزی محافظت کند و چگونه برای انجام این کار طراحی شده است.

هر سطحِ EAL دارای مجموعه خاصی از پیش‌نیازهای مشخص‌شده در ST است. هدف امنیتی، محور اصلی فرایندهای ارزیابی است، چون کل تلاش‌های آزمایشگاه‌های امنیتی در تست‌ها، براساس آن طراحی می‌شود. به‌لطف این سند است که اعتبارسنجی ادعاهای امنیتی سازندگان امکان‌پذیر می‌شود.

سطوح تضمین ارزیابی معیارهای مشترک

نحوه کار EAL چگونه است؟

گواهینامه EAL از ۷ سطح تشکیل شده است: از EAL1 (پایین‌ترین سطح) تا EAL7 (بالاترین). هر سطح، عمق تست‌ها و آنالیزهای امنیتی انجام‌شده را بیان می‌کند. این سطح‌بندی به‌غیراز دستگاه‌هایی مثل ولت‌های فیزیکی، برای بررسی امنیت نرم‌افزارها یا حتی سامانه‌های بزرگ نیز کاربرد دارد. در ادامه، سطوح مختلف گواهی EAL را بررسی خواهیم کرد:

گواهی EAL1:‌ تست‌شده از نظر کارکرد

یک دستگاه در مرحله EAL1، تست‌های اولیه برای تایید عملکرد مورد انتظار را پشت سر می‌گذارد. این سطح، پایه‌ترین حالت ارزیابی امنیتی است و بیشتر برای اعتبارسنجی ادعاهای سازنده درباره دستگاه انجام می‌شود. در این مرحله، نیازی به آنالیز عمیق معماری امنیتی نیست. مشخصات سطح اول عبارت‌اند از:

  • تایید عملکرد سیستم یا محصول براساس مشخصات کاتالوگ.
  • هیچ تحقیق دقیقی درباره آسیب‌پذیری‌های احتمالی انجام نمی‌شود.
  • مناسب برای محیط‌هایی که ریسک حملات پیچیده در آن‌ها پایین است.

شاید گواهی EAL1 پیش‌پاافتاده به‌نظر برسد؛‌ اما برای سیستم‌هایی با ارجحیت کارایی نسبت‌به جزئیات امنیتی، کاملاً مناسب خواهد بود. این تأییدیه بیشتر برای نرم‌افزارهای غیرحیاتی در حوزه‌های کم‌ریسک کسب می‌شود.

گواهی EAL2:‌ تست‌شده از نظر ساختاری

استاندارد سطح EAL2، ارزیابی دقیق‌تری نسبت به مرحله اول دارد که شامل تعدادی تست مستقل و بازبینی طراحی می‌شود. در این سطح، توسعه‌دهندگان باید درباره نحوه ساخت محصول توضیح دهند تا محققان بتوانند تست‌های سخت‌گیرانه‌تری نسبت‌به EAL1 داشته باشند. به خصوصیات ارزیابی سطح دوم توجه کنید:

  • تست‌‌های مستقل‌ برای دستگاه آغاز می‌شوند تا دید عمیق‌تری نسبت به معماری امنیتی دستگاه به‌دست آید. منظور از تست‌های مستقل، بررسی‌هاییست که ارزیابان فارغ براساس روند کاری خود و بدون نظر تیم سازنده یا فروشنده دستگاه انجام می‌دهند.
  • اطلاعات ساختار دستگاه در اختیار ارزیابان قرار می‌گیرند تا اطلاعات دقیق‌تری نسبت‌به نحوه ساخت سیستم داشته باشند.
  • برخی از تست‌های آسیب‌پذیری انجام می‌شوند؛ اما در مقیاس محدودی باقی می‌مانند.

سطح تضمین ارزیابی استاندارد EAL2 کمی از مرحله قبل بالاتر است، چون محققان می‌توانند بخش‌هایی از طراحی سیستم را برای تأیید وجود ویژگی‌های امنیتی و کارکرد صحیح بررسی کنند. این گواهی در حوزه‌هایی با ریسک خفیف و بی‌نیاز از امنیت پیشرفته اخذ می‌شود.

گواهی EAL3:‌ تست‌شده و چک‌شده به‌صورت محتاطانه

در سطح EAL3، ارزیابی با احتیاط و سازمان‌دهی بیشتری انجام می‌شود و یک بررسی عمیق از طراحی سیستم و فرایندهای توسعه محصول را دربرمی‌گیرد. تست‌ها شامل آنالیز معماری دستگاه و شناسایی نقاط آسیب‌پذیری احتمالی می‌شوند. آن‌چه در این سطح می‌بینیم:

  • آنالیزها و بررسی نظام‌مند از معماری و عملکرد سیستم.
  • تست‌های مستقل جامع‌تر.
  • توسعه‌دهندگان باید اطلاعات دقیقی از جایگاه ویژگی‌های امنیتی در فرایند طراحی ارائه دهند.
  • اسناد مربوط به طراحی به‌طور دقیق بازبینی می‌شوند.
  • آنالیز آسیب‌پذیریِ موشکافانه‌تر برای برطرف‌کردن هر دو نوع ریسک امنیتی شناخته‌شده و احتمالی.

سطح سوم از گواهینامه EAL برای محیط‌هایی با دغدغه امنیتی جدی است که با ریسک بالاتری برای بروز تهدیدها روبه‌رو هستند. تأییدیه‌های EAL3 اغلب برای سیستم‌های مدیریت داده‌های حساس یا سامانه‌های فعال در محیط‌های نسبتاً امن کسب می‌شوند.

گواهی EAL4:‌ طراحی‌شده، تست‌شده و چک‌شده به‌صورت محتاطانه

در سطح EAL4، تست‌گیری به‌طرز قابل توجهی سخت‌گیرانه‌تر می‌شود. در این مرحله، ارزیابان طراحی را با دقت بالا بررسی می‌کنند و تست‌های جامعی انجام می‌دهند. این سطح از بررسی عمدتاً برای سیستم‌های نیازمند سطح بالای تضمین انجام می‌شود. در EAL4:

  • طراحی و اجرا کنار یکدیگر ارزیابی می‌شوند.
  • تست‌ها و بازبینی شدید از ساختار داخلی سیستم انجام می‌شوند.
  • ویژگی‌های امنیتی به‌طور دقیق تست می‌شوند تا از تطبیق آن‌ها با ویژگی‌های ضروری اطمینان حاصل شود.
  • تحلیل آسیب‌پذیری برای مجموعه بزرگتری از ریسک‌های احتمالی انجام می‌شود.

گواهی امنیتی سطح EAL4 معمولاً برای محصولات تجاری کسب می‌شود. در چنین محصولاتی، امنیت اهمیت دارد؛‌ اما به بالاترین سطح تضمین نیازی نیست؛ همچنین در سطح چهارم، هزینه ارزیابی با سطح تضمین امنیتی ارائه‌شده کاملاً در تعادل است.

گواهی EAL5:‌ طراحی‌شده و تست‌شده به‌صورت نیمه‌رسمی

در سطح EAL5، ارزیابی با تمرکز روی تأیید استفاده‌کردن تیم سازنده از متدهای رسمی در فاز طراحی آغاز می‌شود. این مرحله برای محصولات ساده استفاده‌شده در نهادهای دولت یا صنایع دفاعی (گوشی‌ها یا کامپیوترهای مخصوص) مناسب است که به درجه قابل توجهی از امنیت نیاز دارند. به ويژگی‌های مرحله پنجم توجه کنید:

  • توسعه‌دهندگان باید از متدهای رسمی برای طراحی معماری امنیتی استفاده کنند.
  • ارزیابان یک بررسی دقیق‌تر از فرایند توسعه محصول خواهند داشت.
  • ویژگی‌های امنیتی با دقت بسیار بیشتری نسبت‌به مراحل پیشین، تست و آنالیز می‌شوند.

گواهینامه EAL5 برای محصولاتی با کاربرد غیرتجاری کسب می‌شود. در این سطح نشان می‌دهد که معماری امنیت محصول، استوار و دربرابر تهدید‌های مختلف مقاوم است.

گواهی EAL6:‌ تست‌شده و تأیید طراحی به‌صورت نیمه‌رسمی

استاندارد EAL6 شامل روش‌های تأیید و اعتبارسنجی پیشرفته مثل آنالیز و تست‌گیری دقیق از طراحی می‌شود. در این مرحله، سطح بالاتری از تضمین نسبت‌به EAL5 ارائه می‌شود که برای سیستم‌های نیازمند امنیت بالا دربرابر تهدیدهای پیشرفته ضروری است. در مرحله EAL6:

  • طراحی به‌طور کامل بااستفاده‌از متدهای رسمی اعتبارسنجی می‌شود.
  • هم طراحی و هم پیاده‌سازی با روش‌های سخت‌گیرانه تست می‌شوند.
  • در تحلیل‌های آسیب‌پذیری، تهدیدهای پیشرفته مثل حملات هدفمند بررسی می‌شوند.

تأییدیه EAL6 اغلب در زیرساخت‌های حیاتی یا سامانه‌های سیبل عوامل ملی-دولتی و دشمنان استفاده می‌شوند.

گواهی EAL7:‌ تست‌شده و تأیید طراحی به‌صورت رسمی

سطح EAL7، بالاترین مرحله ارزیابی است و برای سیستم‌های نیازمند حداکثر تضمین امنیتی اجرا می‌شود. در این مرحله، همه بخش‌های سیستم با نهایت شدت، به‌صورت رسمی تأیید و تست می‌شوند. به‌خاطر هزینه بالا و پیچیدگی ارزیابی‌ها، تنها تعداد اندکی از محصولات و سامانه‌ها قادر به این سطح دست پیدا می‌کنند. در مرحله هفتم:

  • طراحی بااستفاده‌از متدهای رسمی به‌طور کامل تأیید می‌شود.
  • هر بخش از سیستم تحت شدیدترین تست‌ها و آنالیز‌ها قرار می‌گیرد.

این مرحله از تست‌گیری باید برای محیط‌هایی انجام شود که کوچک‌ترین نفوذ امنیتی منجر به تبعات فاجعه‌بار خواهد شد. سامانه‌های حوزه امنیت ملی و نظامی در این رده قرار می‌گیرند. این گواهی یعنی سیستم عملاً می‌تواند دربرابر تهدیدهای سایبری نفوذناپذیر باشد.

پیشنهاد مطالعه: امن ترین کیف پول ارز دیجیتال برای ایرانی‌ها

انتخاب سطح درست EAL

درک صحیح از گواهی «سطح تضمین ارزیابی» به شما اجازه می‌دهد تا هنگام انتخاب نرم‌افزار، سخت‌افزار یا پروتکل‌های امنیتی، آگاهانه تصمیم بگیرید. هنگام انتخاب دستگاه برای هر نوع کاربری، با دقت در گواهینامه EAL آن می‌توانید قابل اعتمادبودن محصول را بهتر ارزیابی کنید.

انتخاب سطح مناسبی از EAL به نیازهای امنیتی و شرایط حوزه فعالیت از نظر ماهیت تهدیدها بستگی دارد. سطوح پایین‌تر EAL مثل EAL1 و EAL2 برای کسب‌وکارهای کوچک با حداقل ریسک سایبری مناسب هستند؛ اما کمپانی‌های بزرگ و سازمان‌های دولتی با اطلاعات حساس که دربرابر حملات سایبری آسیب‌پذیرند باید سراغ محصولاتی با گواهی EAL4 به بالا بروند. هنگام ارزیابی محصولاتی با سطوح مختلف به نکات زیر توجه کنید:

  • محیط تهدید: ریسک‌های احتمالی و انواع حملات بالقوه پیش‌روی خود یا سیستم‌تان را ارزیابی کنید.
  • ملزومات امنیتی: یک سطح امنیتی مورد نیاز برای کارهایتان را تعریف کنید.
  • مقرون‌به‌صرفگی: EALهای بالاتر اغلب به‌خاطر سختی بالای تست‌های مورد نیاز، هزینه بیشتری دارند.

یکی از پرکاربردترین حوزه‌های گواهی EAL برای کاربران عادی، کیف پول‌های فیزیکی ارز دیجیتال هستند. درحال‌حاضر بسیاری از ولت‌های فیزیکی با استاندارد EAL5 یا EAL6 عرضه می‌شوند. معمولاً دستگاه‌های دارای سطح ششمِ تضمین، قیمت بیشتری دارند؛ اما از نظر امنیت در حوزه ارزهای دیجیتال، حتی دستگاه‌های EAL5 نیز عملکرد خوبی خواهند داشت.

گواهینامه EAL؛ مناسب برای حفظ داده‌های حساس

در دورانی که حتی جزئی‌ترین اطلاعات هویتی یا دارایی‌های مالی ما در معرض سرقت و قرار دارد؛ تأمین امنیت آن‌ها یک وظیفه مهم بر دوش ماست و نباید از هیچ‌گونه تحقیق‌وبررسی در این زمینه غافل شویم. در این مقاله سعی کردیم شما را با گواهی EAL، یکی از مهم‌ترین فاکتورهای ارزیابی امنیت و سطوح مختلفش آشنا کنیم.

حالا دیگر می‌دانید که چرا ولت‌های سخت‌افزاری بیشتر از نوع EAL5 یا EAL6 هستند و چه تأثیری در حفاظت از دارایی‌هایتان دارند. فراموش نکنید که حتی هنگام کارکردن با امن‌ترین دستگاه‌ها، خودتان هم باید به موارد امنیتی توجه کنید. اگر سوالی دررابطه‌با استاندارد سطح تضمین ارزیابی دارید؛ کارشناسان ما در بخش نظرات پاسخگوی شما خواهند بود.

فائزه سوری
تعداد بازدید : 5
درج نظر اولین نفر باشید که نظر می‌دهید.
با درج نظر امتیاز کسب کنید

پیشنهادی سردبیر ایرانیکارت
برگزیده اخبار و مقالات
امن ترین کیف پول ارز دیجیتال برای ایرانی‌ها
امنیت ارز دیجیتال
امن ترین کیف پول ارز دیجیتال برای ایرانی‌ها
با پیشرفت روزافزون بازار ارز دیجیتال، این سوال که “چگونه ارز دیجیتال خود را ایمن نگه داریم؟” یک چالش بزرگ است. تغییرات مداوم در این صنعت نیز نیاز به داشتن...
لینک تراکنش (TXiD) چیست؟ آموزش نحوه پیگیری تراکنش در بلاکچین
آموزش ارز دیجیتال
لینک تراکنش (TXiD) چیست؟ آموزش نحوه پیگیری تراکنش در بلاکچین
لینک یا شناسه تراکنش در دنیای ارزهای دیجیتال، درست نقش همان کد رهگیری را ایفا می‌کند که در زمان انجام یک تراکنش بانکی، حساب مبدأ به شما ارائه می‌دهد؛ فرض...
آیا خرید تتر بدون احراز هویت امکان پذیر است؟
امنیت ارز دیجیتال
آیا خرید تتر بدون احراز هویت امکان پذیر است؟
تتر، ارزی که در روزهای پرنوسان خرید و فروش ارزهای دیجیتال همچنان می درخشد و طرفداران وفادار خود را دارد. در این نوشته به این موضوع می پردازیم که آیا...