تقييم الأمان

نظرة عامة

لبيان دور أوراكل الريادي والتزامها بأمان المنتجات، يتم إجراء تقييمات الأمان وإصدار شهادات الأمان الخارجية. وتتضمن هذه التقييمات اختبارات صارمة تجريها المختبرات المعتمَدة التي تعمل بشكل مستقل. توفر التقييمات وعمليات التحقق الخارجية ضمانًا إضافيًا لأمان منتجات تكنولوجيا المعلومات لدينا. وعلى المستوى العالمي، غالبًا ما تكون هذه الشهادات إلزامية بالنسبة إلى المشتريات الحكومية، وتحقق مستوى مقبولاً من الثقة لدى مشتري منتجات تكنولوجيا المعلومات؛ سواء كانت هذه المؤسسات حكومية أو عسكرية أو تجارية.

ثمّة مكونان مهمان في تقييمات أمان تكنولوجيا المعلومات العالمية، هما المعايير والمنهجية التي يتم وفقًا لها إجراء التقييمات، والمخططات الحكومية التي تحكمها. رغم أن المعايير لا تختلف باختلاف البلد الذي تعمل فيه، يتم إنفاذ سياسات مختلفة عبر المخططات. في الوقت الحالي، تشارك أوراكل مشاركة فعّالة في اثنين من معايير تقييم الأمان المُعترف بها دوليًا:

1. المعايير المشتركة (CC) هي إطار العمل الدولي (ISO / IEC 15408) الوحيد الذي يحدد نهجًا مشتركًا لتقييم ميزات الأمان وإمكانيات منتجات تكنولوجيا المعلومات. نشأت CC من ثلاثة معايير أخرى للأمن القومي، وقد تطورت على مر السنين لمواكبة اتجاهات الأمان وتكنولوجيا المنتجات. وفي وقت إعداد هذا التقرير، كان هناك 30 دولة تعترف بإطار العمل، في حين أن هناك 18 دولة من هذه الدول، بما في ذلك الولايات المتحدة، مخوّلة لإصدار شهادات. المنتج المُعتمد بموجب المعايير الشائعة هو المنتج الذي تؤكد خطة حكومية معتمدة على أنه اجتاز تقييم أجراه مختبر تقييم مرخّص ومستقل.

2. المعيار الفيدرالي لمعالجة المعلومات (FIPS) 140-2 هو معيار تشفير تم تطويره بواسطة المعهد الوطني للمعايير والتكنولوجيا (NIST) في الولايات المتحدة لحماية البيانات الحساسة ولكن غير المصنّفة. يتم قبول الوحدات التي تم التحقق من صحتها باعتبارها متوافقة مع معيار FIPS 140-2 ليتم شراؤها من قِبل الوكالات الفيدرالية في كل من الولايات المتحدة وكندا. تؤكد هذه الشهادة أن وظيفة التشفير قد تم اختبارها بواسطة مختبر مستقل وتم التحقق من صحتها بواسطة المخطط الحكومي بمقارنتها بالمتطلبات التي يقتضيها المعيار. تم اعتماد متطلبات FIPS 140-2 في قطاعات، مثل القطاع المالي (صناعة بطاقات الدفع (PCI))، والصحة (قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA))، والسحابة الحكومية (FedRAMP) والمؤسسة العسكرية الأمريكية (القيادة المشتركة لإمكانية التشغيل التفاعلي ( JITC)، والحلول التجارية للبيانات المصنفة (CSfC)).

للاطّلاع على مزيد من المعلومات، راجِع موقع الويب تقييمات الأمان. للاطّلاع على قائمة كاملة بتقييمات الأمان من أوراكل الجاري تنفيذها حاليًا والمكتملة أيضًا، يُرجى الانتقال إلى صفحة حالة تقييمات الأمان من أوراكل.

تركز مدونات تقييم الأمان من أوراكل في الغالب على الشهادات الحكومية وبرامج التحقق من الصحة والاعتماد:

  1. المعايير المشتركة ومستقبل تقييمات الأمان (‏‫ماري آن دايفيدسون)
  2. زيادة سرعة تقييمات المنتجات (جوشوا بريكمان)
  3. FIPS: التشفير "حالة متناقضة لا فرار منها" (جوشوا بريكمان)

يُرجى إرسال رسالة إلكترونية إلى seceval_us@oracle.com لجميع الاستفسارات المتعلقة بتقييمات الأمان من أوراكل.

مزايا أمان التقييمات

التحقق المستقل تنبع مطالبات عمليات تقييم أمان المنتج من مرافق تقييم معتمدة‬ تعتمدها المخططات الحكومية.
معايير الضمان القياسية تنبع مطالبات عمليات تقييم أمان المنتج من مرافق تقييم معتمدة‬ تعتمدها المخططات الحكومية.
تحسينات المنتجات يمكن أن تؤدي تقييمات الأمان إلى تحسينات في التصميم العام وعملية تنفيذ الأمان في الحلول المعتمدة.
الوقوف على ثغرات التصميم يمكن أن تؤدي تقييمات الأمان إلى الوقوف على الثغرات في التصميم.
مزيد من المعلومات