یکی از ارکان زیرساخت اعتماد، ایجاد اطمینان برای ذینفعان نسبت به تأمین امنیت موردنیاز است. روش ساختیافته و اصولی برای ایجاد این اطمینان، ارزیابی امنیتی سامانهها و محصولات توسط نهاد ذیصلاح و تیم فنی خبره و متخصص موضوع است. ازاینرو شرکت متیرانباسابقه بیش از دو دهه فعالیت در حوزه امنیت فنآوری اطلاعات، همواره موضوع ارزیابی امنیتی را یکی از حوزههای اصلی کاری خود قرار داده و متناسب با زمینههای تخصصی فعالیت خود، تیمهای کارشناسی باتجربهای را به این موضوع اختصاص داده و به دستگاهها و سازمانهای مختلف ارائه خدمات نموده است.
ممیزی سیستم مدیریت امنیت اطلاعات، ارزیابی امنیتی سامانههایفنآوری اطلاعات از ابعاد مختلف فنی و غیر فنی و بهویژه ارزیابی امنیتی و تست نفوذ محصولات نرمافزاری و سختافزاری حوزه مدیریت هویت و رمزنگاری نظیر کارت هوشمند، توکن و HSM و همچنین سامانههای زیرساخت کلید عمومی و PKE و IAM ازجملهمهمترینزمینههای تخصصی ارزیابی امنیتی است که این شرکت طی سالهای گذشته به آنها پرداخته است.
خدمات ارزیابی HSM
مؤلفه امنیتی سختافزاری یا HSM (Hardware Security Module) تجهیز سختافزاری مهمی است که در سامانههای مختلف فنآوری اطلاعات، وظیفه حفاظت از کلیدهای حساس و محرمانه رمزنگاری و انجام عملیات رمزنگارانه را به عهده دارد و به سامانههای امنیتی مهم سرویسدهیمینماید. به این جهت، قلب امنیتی بسیاری از مراکز داده و سامانههای حساس امنیتی به شمار میآید. ازاینرو ضروری است که هر سازمان یا مرکز داده متقاضی استفاده از این دستگاه نسبت به پوشش الزامات امنیتی و کارکردی مورد انتظار اطمینان حاصل نماید. در این رابطه، یکی از تجربیات و خدمات شرکت متیران، انجام ارزیابی HSM است. این ارزیابی مشتمل بر چهار بخش است:
ارزیابی سازگاری:سرویسدهی HSM به سامانههای نرمافزاری مبتنی بر API تعریفشده در استاندارد PKCS#11 انجام میگردد. در این بخش ارزیابی، واسط فراهمشده توسط تولیدکننده دستگاه از حیث مطابق باواسطتعریفشده در استاندارد مذکور موردسنجش قرار میگیرد. این مطابقت، از نگاه سازگاری با ساختار کلی بخشبندی منطقی ماژول و مدیریت کاربران، اشیاء امنیتی و صفات آنها و همچنین توابع و مکانیزمهای مدیریت کلید و رمزنگاری مورد پشتیبانی است.
ارزیابی CAVP:مهمترین انتظار کارکردی از HSM، انجام صحیح اعمال رمزنگاری است. موضوع این بخش ارزیابی، صحت پیادهسازیالگوریتمهای رمزنگاری موردادعا و مطابقت آنها با استانداردهای مرجع هر الگوریتم رمزنگاری است و به انواع الگوریتمهای رمزنگاری متقارن و نامتقارن، توابع درهمسازی و موارد مشابه پرداخته میشود.
ارزیابی CMVP: ارزیابی امنیتی دستگاه در این بخش از ارزیابی انجام میگردد. مبنای ارزیابی امنیتی، الزامات مندرج در استاندارد ISO 19790 و یا بهطور معادل FIPS 140–3 است که دریازده حوزه مختلف و در چهار سطح امنیتی الزاماتی را معین نموده است. این بخش، مفصلترین بخش ارزیابی است.
ارزیابیهایغیر عملکردی:ازآنجاکه در بسیاری از کاربردها، دستگاه HSM در حال سرویسدهی به سامانههاینرمافزاری در مرکز داده است، توان عملیاتی مناسبی مورد انتظار است. در این بخش از ارزیابی، جنبههای غیرامنیتی آزمونهای غیر عملکردی نظیر سرعت و کارایی، پایداری، ویژگیهای توازن بار و دسترسپذیریموردتوجه قرار میگیرد و سنجیده میشود.