• svg
  • svg
  • svg
  • svg
  • svg
  • svg
  • svg
  • svg
thumb

* Please Fill Required Fields *
img

یکی از ارکان زیرساخت اعتماد، ایجاد اطمینان برای ذینفعان نسبت به تأمین امنیت موردنیاز است. روش ساخت‌یافته و اصولی برای ایجاد این اطمینان، ارزیابی امنیتی سامانه‌ها و محصولات توسط نهاد ذیصلاح و تیم فنی خبره و متخصص موضوع است. ازاین‌رو شرکت متیران باسابقه بیش از دو دهه فعالیت در حوزه امنیت فن‌آوری اطلاعات، همواره موضوع ارزیابی امنیتی را یکی از حوزه‌های اصلی کاری خود قرار داده و متناسب با زمینه‌های تخصصی فعالیت خود، تیم‌های کارشناسی با تجربه‌ای را به این موضوع اختصاص داده و به دستگاه‌ها و سازمان‌های مختلف ارائه خدمات نموده است.
 
ممیزی سیستم مدیریت امنیت اطلاعات، ارزیابی امنیتی سامانه‌های فن‌آوری اطلاعات از ابعاد مختلف فنی و غیر فنی و به‌ویژه ارزیابی امنیتی و تست نفوذ محصولات نرم‌افزاری و سخت‌افزاری حوزه مدیریت هویت و رمزنگاری نظیر کارت هوشمند، توکن و HSM و همچنین سامانه‌های زیرساخت کلید عمومی و PKE و IAM ازجمله مهم‌ترین زمینه‌های تخصصی ارزیابی امنیتی است که این شرکت طی سال‌های گذشته به آنها پرداخته است.   
 
 
خدمات ارزیابی HSM
 
مؤلفه امنیتی سخت‌افزاری یا HSM (Hardware Security Module) تجهیز سخت‌افزاری مهمی است که در سامانه‌های مختلف فن‌آوری اطلاعات، وظیفه حفاظت از کلیدهای حساس و محرمانه رمزنگاری و انجام عملیات رمزنگارانه را به عهده دارد و به سامانه‌های امنیتی مهم سرویس‌دهی می‌نماید. به این جهت، قلب امنیتی بسیاری از مراکز داده و سامانه‌های حساس امنیتی به شمار می‌آید. ازاین‌رو ضروری است که هر سازمان یا مرکز داده متقاضی استفاده از این دستگاه نسبت به پوشش الزامات امنیتی و کارکردی مورد انتظار اطمینان حاصل نماید. در این رابطه، یکی از تجربیات و خدمات شرکت متیران، انجام ارزیابی HSM است. این ارزیابی مشتمل بر چهار بخش است:
  • ارزیابی سازگاری: سرویس‌دهی HSM به سامانه‌های نرم‌افزاری مبتنی بر API تعریف‌شده در استاندارد PKCS#11 انجام می‌گردد. در این بخش ارزیابی، واسط فراهم‌شده توسط تولیدکننده دستگاه از حیث مطابق باواسط تعریف‌شده در استاندارد مذکور موردسنجش قرار می‌گیرد. این مطابقت، از نگاه سازگاری با ساختار کلی بخش‌بندی منطقی ماژول و مدیریت کاربران، اشیاء امنیتی و صفات آنها و همچنین توابع و مکانیزم‌های مدیریت کلید و رمزنگاری مورد پشتیبانی است.  
  • ارزیابی CAVP: مهم‌ترین انتظار کارکردی از HSM، انجام صحیح اعمال رمزنگاری است. موضوع این بخش ارزیابی، صحت پیاده‌سازی الگوریتم‌های رمزنگاری موردادعا و مطابقت آنها با استانداردهای مرجع هر الگوریتم رمزنگاری است و به انواع الگوریتم‌های رمزنگاری متقارن و نامتقارن، توابع درهم‌سازی و موارد مشابه پرداخته می‌شود
  • ارزیابی CMVP: ارزیابی امنیتی دستگاه در این بخش از ارزیابی انجام می‌گردد. مبنای ارزیابی امنیتی، الزامات مندرج در استاندارد ISO 19790 و یا به‌طور معادل FIPS 1403 است که در یازده حوزه مختلف و در چهار سطح امنیتی الزاماتی را معین نموده است. این بخش، مفصل‌ترین بخش ارزیابی است. 
  • ارزیابی‌های غیر عملکردی: ازآنجاکه در بسیاری از کاربردها، دستگاه HSM در حال سرویس‌دهی به سامانه‌های نرم‌افزاری در مرکز داده است، توان عملیاتی مناسبی مورد انتظار است. در این بخش از ارزیابی، جنبه‌های غیرامنیتی آزمون‌های غیر عملکردی نظیر سرعت و کارایی، پایداری، ویژگی‌های توازن بار و دسترس‌پذیری موردتوجه قرار می‌گیرد و سنجیده می‌شود.