共同準則 (ISO/IEC 15408) 顧問服務

共同準則為世界各國進行資通安全產品評估及驗證時所遵循之共同標準,依其定義之評估保證等級(Evaluation Assurance Level, EAL) 來判定產品之安全等級。安全評估保證等級一共分為七個等級 (EAL1~EAL7)。

  1. EAL 1 (功能性檢測) : 檢驗產品及相關文件的符合性,並確認產品是否符合文件宣稱用途。
  2. EAL 2 (結構性測試) : 透過評估產品的結構、安全功能、功能介面、使用說明等文件確認產品的設計完整性,並藉由獨立測試產品之安全功能確認產品設計之安全設計可以正確運作。
  3. EAL 3 (條理化測試及檢查) : 運用安全功能介面、使用說明、產品設計結構分析說明文件及完整的安全標的 ( Security Target) 及安全功能需求分析了解產品的安全功能,並藉由獨立測試產品之安全功能確認產品設計之安全設計可以正確運作。另在,此安全等級中也要求開發者須針對產品開發漏洞、開發環境控制及產品的組態進行管理。
  4. EAL 4 (條理化設計、測試及審查) : 透過更為嚴謹的設計描述、功能測試、弱點分析、及產品生命週期管控確保產品安全功能的正確性,及產品在開發過程中沒有受到未經授權人員的竄改而影響產品的正確性。
  5. EAL 5 (半正規化設計及測試) : 以半正規化的方式陳述安全功能介面、使用說明、產品設計結構分析說明文件及安全標的 ( Security Target) ,使這些文件不因陳述語言的落差而產生理解上的差異。
  6. EAL 6 (半正規化驗證設計及測試) : 需更為廣泛性的針對產品進行結構化分析、獨立測試及獨立弱點分析,並採用自動化方式進行開發環境及組態的管理。
  7. EAL 7 (正規化驗證設計與測試) : 需運用正規化方法呈現所需之各項文件。

 

密碼模組 (FIPS140-2) 顧問服務

聯邦資訊處理標準 (FIPS) 是美國「國家標準與技術機構 (NIST)」針對聯邦政府電腦系統所頒發的標準及準則,FIPS 140-2「密碼模組需求標準」指的是FIPS的140號標準,第二版。FIPS 140-2訂定了密碼模組在11個安全領域的安全需求,這11個領域分別是:

  1. Cryptographic Module Sepcification
  2. Cryptographic Module Ports and Interfaces
  3. Roles, Services, and Authentication
  4. Finite State Modle
  5. Physical Security
  6. Operational Environment
  7. Cryptographic Key Management
  8. EMI/EMC requirements
  9. Self Tests
  10. Design Assurance
  11. Mitigation of Other Attacks

FIPS 140-2分為4個等級,安全等級一 (Level 1)為最基本要求,安全等級四 (Level 4)為最高等級,安全要求是逐層累積的,較高等級涵蓋所有較低等級的安全需求。

優士依據您的意見及安全等級需求來協助準備相關文件及測試結果送請國際實驗室及驗證單位進行產品測試及驗證。如果您想了解更多,請聯繫我們(Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它) 。

    

Go to top