📌قسمت دوم: لینوکس بهتر است یا ویندوز، آخر سر حق با کیست؟حال اجازه دهید به خود این سرتیفیکت بپرداریم که چیست و چرا لینوکس و ویندوز تاکنون در کسب آن موفق نشدند؟ این سرتیفیکت به عنوان Evaluation Assurance Level 7 شناخته میشود که یکی از سطوح بالای استانداردهای امنیتی در چارچوب Common Criteria for Information Technology Security Evaluation است.
این استانداردها برای ارزیابی و تایید میزان اعتماد به امنیت سیستمها و محصولات فناوری اطلاعات استفاده میشوند. در اینجا به معیارهای اصلی و مواردی که برای دستیابی به EAL7 لازم است، پرداخته میشود:
1. طراحی بسیار دقیق و رسمی (Formally Verified Design): در EAL7، طراحی سیستم باید با استفاده از روشهای رسمی (مانند ریاضیات) به طور دقیق و با جزئیات اثبات شود. این شامل استفاده از اثباتهای رسمی برای تایید صحت عملکرد سیستم است. سیستم باید دارای یک مشخصات رسمی و کامل باشد که همه رفتارهای سیستم را به صورت ریاضی یا منطقی توصیف کند.
2. توسعه بر اساس یک مدل امنیتی رسمی (Formal Security Model): یک مدل امنیتی رسمی و مستند باید وجود داشته باشد که طراحی سیستم بر اساس آن انجام شده باشد. این مدل باید به طور دقیق رفتار امنیتی سیستم را توصیف کند. همچنین نیز باید اثبات شود که پیادهسازی سیستم به طور کامل و صحیح با این مدل امنیتی منطبق است.
3. بررسیهای جامع و مستقل (Independent Vulnerability Analysis): در EAL7، آزمایشهای بسیار دقیقی برای بررسی هر نوع نقص امنیتی احتمالی انجام میشود. این آزمایشها شامل تستهای رسمی و روشهای خاص برای کشف آسیبپذیریهای احتمالی است. همچنین آزمونهای نفوذ بسیار پیشرفته و پیچیده باید روی سیستم انجام شود تا میزان مقاومت آن در برابر حملات سنجیده شود.
4. بررسی کد منبع و تحلیلهای دقیق (Detailed Code Review and Analysis): کد منبع سیستم باید به صورت دقیق و کامل توسط تیمهای مستقل مورد بررسی قرار گیرد تا هرگونه خطا یا نقص امنیتی در آن شناسایی و برطرف شود.همچنین تحلیل رسمی کد برای تایید انطباق با مشخصات رسمی و طراحی امنیتی انجام میشود.
5. مدیریت پیکربندی و کنترل تغییرات (Configuration Management and Change Control): سیستمهای کنترل تغییرات باید به گونهای باشند که هر تغییری در سیستم به دقت مستندسازی، پیگیری و بررسی شود تا امنیت سیستم تحت تأثیر قرار نگیرد. همچنین تمامی نسخهها و تغییرات نرمافزار باید به طور دقیق مدیریت شوند تا از اعمال تغییرات ناخواسته جلوگیری شود.
6. تاییدیهها و ارزیابیهای مستقل (Independent Certification and Evaluation): تمامی ارزیابیها و تاییدیهها باید توسط نهادهای مستقل انجام شوند تا صحت و کامل بودن تمامی جنبههای امنیتی سیستم تایید شود.
7. مستندسازی جامع (Comprehensive Documentation): تمامی جنبههای طراحی، پیادهسازی، آزمونها و تحلیلهای سیستم باید به طور کامل و دقیق مستند شوند. این مستندات باید شامل تمامی روشها و فرآیندهای استفاده شده برای ارزیابی و تایید امنیت سیستم باشد.
سرتیفیکت EAL7 بالاترین سطح از EALها است که نشاندهنده اطمینان بسیار بالا از امنیت یک سیستم است. به همین دلیل، دستیابی به این سطح از امنیت نیازمند تلاش، دقت، و استفاده از روشهای بسیار پیشرفته است. این سطح عمدتاً برای سیستمهایی مانند سیستمهای نظامی، بانکداری، و مواردی که نیاز به امنیت بسیار بالا دارند، مورد استفاده قرار میگیرد.
✍️ نویسنده میلاد کهساری الهادی
➖راهبر فنی تحقیقات تیم آیو / مدرس برنامهنویسی سیستمی⏰ یکشنبه - ۲۸ اَمرداد ۱۴۰۳@aioooir |
#linux #stupidswar