آشنایی با استاندارد معیار مشترک Common Criteria


هدف از استاندارد ISO15408 موسوم به استاندارد معیار مشترک (CC)، ارائه روشی برای آزمون امنیتی است. روش معیار مشترک برای بهبود سازگاری در ارزیابی امنیتی محصولات و سیستم‌ها ارائه شده است. این روش یک تلاش جهانی برای تعریف روش ارزیابی امنیتی محصولات IT است که توسط هر دو مولفه مشتری و ارائه‌کننده محصولات شناخته شده است. به طور خلاصه، روش معیار مشترک یک راهنمای مفید برای توسعه محصولات و سیستم‌‌ها با توابع امنیتی مورد نیاز و خرید محصولات تجاری بر اساس این نیازمندی‌ها است. اعتبار اسناد تولیدشده و نتیجه آزمون توسط متخصصان آزمون بررسی می‌شود.
این استاندارد دارای سه بخش است. بخش اول، مفاهیم کلی و اصول ارزیابی امنیتی محصولات IT را تعریف و یک مدل کلی از ارزیابی را ارائه می‌کند. این بخش همچنین زیرساختی برای بیان اهداف امنیتی IT، انتخاب و تعریف نیازمندی‌های امنیتی IT و نوشتن توصیف سطح بالا برای محصولات و سیستم‌ها ارائه می‌کند. بخش دوم، مجموعه‌ای از اجزای عملکردی امنیتی را ارائه می‌کند که از آن به عنوان یک روش استاندارد برای بیان نیازمندی‌های امنیتی محصولات و سیستم‌های IT استفاده می‌شود. بخش سوم یک مجموعه از اجزای تضمین امنیتی ارائه می‌کند که می‌تواند به عنوان روش استاندارد بیان نیازمندی‌های اطمینان برای محصولات و سیستم‌های IT استفاده شوند. بنابراین، این استاندارد از دو بلوک اصلی شامل نیازمندی‌های عملکردی امنیتی و نیازمندی‌های تضمینی امنیت تشکیل شده است.
در بخش دوم از روش معیار مشترک یازده رده برای نیازمندی‌های عملکردی امنیتی تعریف شده است: ممیزی سازمانی[1]، هویت و احراز اصالت، منابع مورد استفاده، پشتیبانی رمزنگاری، مدیریت امنیتی، دسترسی به مقصد ارزیابی، ارتباطات، حریم خصوصی، کانال‌ها و مسیرهای قابل اعتماد، حفاظت از داده‌های کاربر و حفاظت از توابع امنیتی در مقصد ارزیابی.
در بخش سوم از روش معیار مشترک هشت رده برای تضمین امنیتی معرفی شده است: مدیریت پیکربندی، سند راهنمایی، ارزیابی آسیب‌پذیری، عملکرد[2] و انتقال[3]، پشتیبانی از چرخه عمر، تضمین نگهداری، توسعه و آزمون.
همچنین استاندارد معیار مشترک هفت بسته موسوم به سطوح تضمین ارزیابی(EAL)[4]ارائه می‌کند. این سطوح تضمین ارزیابی به ترتیب عبارتند از آزمون عملکرد، آزمون ساختار، آزمون کنترل و روشمندی، طراحی، آزمون و مرور روشمند، طراحی و آزمون نیمه‌رسمی، بازبینی طراحی و آزمون نیمه‌رسمی، بازبینی طراحی و آزمون رسمی. EAL1 پایین‌ترین سطح تضمین است و از EAL1 تا EAL4 به‌تدریج دقت و جزئیات ارزیابی افزایش می‌یابد.

بیان انتزاعی اصطلاحات و واژه‌های فنی در استاندارد CC زمینه را برای ایجاد ابهام در درک و تفسیر معنای دقیق نیازمندی‌های امنیتی فراهم آورده است. علاوه بر این استاندارد CEM استاندارد دیگری است که فرایند ارزیابی برمبنای CC را در قالب واحدهای کاری تعریف می‌کند. یکی از مهم‌ترین پیش‌نیازهای رسیدن به یک اجماع در فرایند ارزیابی، وجود یک دیدگاه یکسان نسبت به تغییر واحدهای کاری است. متاسفانه واحدهای کاری CEM تعریفی ساخت‌یافته ندارد، بنابراین اجرای هر واحد کاری بستگی زیادی به ادراک شخصی آزماینده دارد. همین نکته موجب بروز مشکلاتی ناشی از برداشت‌های متفاوت از روند دقیق ارزیابی می‌شود.
نکته دیگر زمان‌بر بودن فرایند ارزیابی است که خود موجب پرهزینه شدن این فرایند می‌شود.
اشکال دیگری که به‌کارگیری استاندارد CC دارد این است که نیازمند همکاری متقابل با تولیدکننده است و برای محصولات وارداتی که دسترسی به سازنده به دلایلی مانند تحریم و ... وجود ندارد، نمی توان از آن استفاده کرد.

[1] Audit

[2] Operation

[3] Delivery

[4] Evaluation Assurance Level


ادامه مطلب

آشنایی با RFC 3511


RFC 3511 شامل توصیه‌هایی برای ارزیابی کارایی حفاظ که البته قابل تعمیم به سایر ابزارها و تجهیزات امنیت شبکه نیز هست.  علاوه بر تعریف آزمون‌ها، این استاندارد ساختاری برای گزارش نتایج آزمون‌ها نیز ارائه می‌کند. در این استاندارد، چهار جنبه از آزمون کارایی حفاظ پوشش داده شده است: ارسال بسته، نرخ اتصال، تأخیر و فیلترینگ.
ابتدا پیکربندی حفاظ برای آزمون معرفی شده است. در یک پیکربندی، حفاظ از یک طرف به شبکه عمومی مانند اینترنت و از طرف دیگر به شبکه داخلی حفاظت شده متصل است. در پیکربندی دیگر، حفاظ از یک طرف به شبکه عمومی، از طرف دیگر به شبکه داخلی و از طرف سوم به سرورها متصل شده است. در مرحله بعد تمامی جریان‌های ترافیکی ممکن برای هر پیکربندی تعریف شده است. همچنین نحوه آزمون در صورت وجود چندین مشتری/سرویس‌دهنده، مترجم آدرس شبکه (NAT)، نحوه پیاده‌سازی قوانین کنترل دسترسی، حافظه نهان، احراز هویت و ملاحظات پشته TCP تشریح شده است.
این استاندارد شامل 10 آزمون مختلف است که در ادامه لیست آنها را آورده‌ایم و یکی از آنها را شرح خواهیم داد.
ادامه مطلب

آموزش استفاده از PGP



با استفاده از PGP (Pretty Good Privacy) شما مي‌توانيد محرمانگي پيغامها و فايلهايتان را با کمک رمزگزاری حفظ کنيد به‌طوري که فقط دريافت‌کنندگان مورد نظر شما بتوانند آنها را باز کنند و بخوانند. به علاوه مي‌توانيد پيام‌ها و فايل‌هايتان را امضاي ديجيتال کنيد تا دريافت‌کنندگان مطمئن شوند که متعلق به شما هستند. يک پيام امضاءشده، عدم تغيير محتويات آن را نيز تاييد مي‌کند.
در این مقاله سعی کردیم به زبانی ساده نحوه استفاده از PGP و افزایش امنیت ایمیل شخصی را توضیح دهیم.
ادامه مطلب

PGP چیست؟


با استفاده از PGP (Pretty Good Privacy) شما مي‌توانيد محرمانگي پيغامها و فايلهايتان را با کمک رمزگزاری حفظ کنيد به‌طوري که فقط دريافت‌کنندگان مورد نظر شما بتوانند آنها را باز کنند و بخوانند. به علاوه مي‌توانيد پيام‌ها و فايل‌هايتان را امضاي ديجيتال کنيد تا دريافت‌کنندگان مطمئن شوند که متعلق به شما هستند. يک پيام امضاءشده، عدم تغيير محتويات آن را نيز تاييد مي‌کند. 

ادامه مطلب