EAL, viết tắt từ Evaluation Assurance Level (Cấp bảo đảm đánh giá) là một chứng chỉ dùng để đánh giá cấp độ bảo mật (Có các cấp từ EAL1 - EAL7) của sản phẩm công nghệ thông tin hoặc hệ thống theo tiêu chuẩn chung về bảo mật. Đây là một tiêu chuẩn có hiệu lực từ năm 1999. Chỉ số bảo mật (EALx) phản ánh những yêu cầu cần đạt chứng nhận của sản phẩm. Cấp độ càng cao thì mức độ an toàn, tin cậy của hệ thống càng được đảm bảo thực thi. Cấp độ EAL không tự đo sự bảo mật của hệ thống, nó chỉ đơn giản là chứng nhận trạng thái, mức độ nào mà hệ thống đã được kiểm tra.

Để đạt được một EAL cụ thể, hệ thống máy tính phải được kiểm trùng với những yêu cầu bảo vệ riêng. Hầu hết các yêu cầu này bao gồm trong tài liệu thiết kế, tài liệu thiết kế phân tích, kiểm thử chức năng hay kiểm tra thâm nhập. Cấp độ EAL cao hơn yêu cầu tài liệu chi tiết hơn, phân tích sâu hơn và kiểm thử nhiều hơn cấp độ thấp. Số x trong EALx được gán để chứng nhận hệ thống đã hoàn toàn đáp ứng tất cả các yêu cầu ở cấp (x) đó.

Mặc dù mọi sản phẩm, hệ thống bắt buộc phải đầy đủ tất cả các yêu cầu giống nhau (tài liệu phân tích, tài liệu thiết kế, độ sâu, độ chi tiết của tài liệu) về tính đảm bảo để đạt được cùng một cấp độ, chúng không cần phải giống nhau về yêu cầu chức năng. Đặc điểm chức năng của mỗi sản phẩm được chứng nhật sẽ được thiết lập trong tài liệu Security Target (mục tiêu bảo mật), một loại tài liệu được thiết kế cho việc đánh giá sản phẩm. Vì vậy, một sản phẩm đạt EAL cao hơn không nhất thiết là sẽ "bảo mật hơn" một ứng dụng với cấp EAL thấp hơn, vì chúng có thể có danh sách đặc điểm chức năng rất khác nhau trong Security Target. Sự phù hợp của sản phẩm đối với ứng dụng bảo mật riêng biệt phụ thuộc vào cách thức/mức độ mà các đặc điểm được liệt kê trong tài liệu Security Target thỏa mãn yêu cầu bảo mật của ứng dụng. Nếu Security Taget cho hai sản phẩm đều chứa các đặc điểm bảo mật cần thiết, cấp EAL cao hơn chứng tỏ mức độ tin tưởng cao hơn cho ứng dụng đó.

Cấp độ bảo mật

sửa

EAL1: Kiểm tra chức năng

sửa

EAL2: Kiểm tra cấu trúc

sửa

EAL3: Kiểm tra phương thức và lựa chọn

sửa

EAL4: Thiết kế phương thức, kiểm thử và duyệt lại [1]

sửa

EAL5: Thiết kế chính thức và kiểm thử

sửa

EAL5 cho phép nhà phát triển đạt được mức độ đảm bảo tối đa từ công nghệ bảo mật dựa trên thực tiễn được hỗ trợ bởi ứng dụng chuyên về kỹ thuật an ninh. Nhiều khả năng là các chi phí bổ sung do yêu cầu đạt EAL5, liên quan đến phát triển mà không áp dụng các kỹ thuật chuyên ngành sẽ không lớn. Do đó EAL5 được áp dụng trong những trường hợp mà các nhà phát triển hoặc người sử dụng đòi hỏi một mức độ bảo mật cao mà không phát sinh chi phí bất hợp lý do các chuyên gia kỹ thuật kỹ thuật an ninh.

Rất nhiều thiết bị thẻ thông minh đã được đánh giá đạt mức EAL5. Ví dụ thiết bị đa an toàn như Tenix tương tác liên kết. XTS -400là một hệ thống điều hành đa năng đã được mức EAL5 nâng cao.

LPAR trên hệ thống IBM cũng đạt EAL5

EAL6: Thiết kế việc kiểm tra chính thức và kiểm thử

sửa

EAL6 cho phép lập trình viên đạt đuọc mức độ bảo hiểm cao từ các kỹ thuật bảo mật trong môi trường phát triển nghiêm ngặt nhằm đạt được mục tiêu bảo mật cao trong việc bảo vệ trước các rủi ro lớn. EAL6 vì vậy được áp dụng cho các ứng dụng trong mồi trường có nguy cơ cao nơi mà giá trị của việc bảo mật cao hơn là các chi phí phát sinh.

Phần mềm Greeen Hill Intergrity -178B RTOS đã đạt được chứng chỉ loại này.

EAL7: Chính thức kiểm tra thiết kế và kiểm thử

sửa

Fox-IT claim to have certified their one-way data communications device known as the "Fox Data Diode" at EAL7+.[14] EAL7 được áp dụng cho việc phát triển bảo mật cho các ứng dụng mà đối mặt với nguy cơ cực kỳ cao và/hoặc tài sản, giá trị rất cao. Ứng dụng thực tế của EAL7 hiện giới hạn mục tiêu đánh giá (TOE - Target of evaluate) với việc đặt trọng tâm vào bảo mật chức năng được phân tích trên diện rộng. Liên kết dữ liệu trên các thiết bị Diode Tenix và dữ liệu Fox Diode đạt được EAL7 tăng cường

Thực thi cấp độ bảo mật

sửa

Ảnh hưởng tới giá và thời hạn

sửa

Yêu cầu mở rộng/tăng cáp EAL

sửa

Giải thích EAL

sửa

Chú thích

sửa
  1. ^ “Common Criteria certified product list”. Bản gốc lưu trữ ngày 31 tháng 12 năm 2013. Truy cập ngày 9 tháng 12 năm 2012.

Liên kết ngoài

sửa

Bản mẫu:Sơ khai chứng chỉ công nghệ thông tin