RELIANOID Pematuhan ISO/IEC 15408 (Kriteria Biasa).

Disemak Terakhir: September 2025
Semakan Seterusnya Diperlukan: September 2026

Penyata Pematuhan ISO/IEC 15408

Penjajaran Keselamatan Kriteria Biasa untuk RELIANOID Pengimbang Beban dan Organisasi

RELIANOID adalah selaras dengan prinsip ISO / IEC 15408: 2022, Juga dikenali sebagai Kriteria Biasa untuk Penilaian Keselamatan Teknologi Maklumat (CC). Piawaian yang diiktiraf di peringkat antarabangsa ini membolehkan penilaian berstruktur bagi sifat keselamatan produk IT dan selalunya diperlukan dalam perolehan infrastruktur kerajaan dan kritikal.

Manakala RELIANOID belum menjalani pensijilan rasmi di bawah Kriteria Biasa, kami kawalan organisasi dan seni bina platform pengimbangan beban sangat sejajar dengan Prinsip Common Criteria Evaluation Assurance Level (EAL)., terutamanya dalam konteks awan dan penggunaan di premis dalam persekitaran jaminan tinggi.

Apakah itu ISO/IEC 15408?

ISO/IEC 15408 menyediakan rangka kerja untuk menilai keselamatan produk IT melalui:

  • Keperluan Fungsian Keselamatan (SFR) – ciri dan perlindungan yang disediakan oleh produk
  • Keperluan Jaminan Keselamatan (SAR) – bukti dan proses yang menunjukkan cara ciri tersebut dilaksanakan dengan selamat

Ia diterima pakai secara meluas oleh agensi keselamatan siber negara dan sektor yang dikawal selia seperti pertahanan, tenaga, kewangan, dan perolehan kerajaan.

Skop Produk dan Sasaran Penilaian (TOE)

. TOE merangkumi semua RELIANOID Komponen perusahaan:

  • Komponen: Perkakas perkakasan, platform perisian dan antara muka pengurusan (UI Web, CLI, API).
  • Kitaran Hayat LTS: Semua versi Perusahaan ialah Sokongan Jangka Panjang. Versi utama semasa: v8 (disokong sehingga Jun 2029).
  • Sistem operasi: Ulat Buku Debian.
  • Model Penggunaan: Terutamanya di premis; turut disokong dalam persekitaran awan dan hibrid.
  • Topologi: Berdiri sendiri, berkelompok dan dwi-mod dengan Pemulihan Bencana (DR).

Penjajaran Organisasi dengan Kriteria Biasa

RELIANOID mengikut jaminan utama dan prinsip kitaran hayat ISO/IEC 15408 merentasi pembangunan dalaman, penggunaan dan amalan operasi kami.

Sasaran Keselamatan dan Model Ancaman

Kami mengekalkan dalaman Dokumen Sasaran Keselamatan sejajar dengan struktur Common Criteria, mentakrifkan:

  • Aset yang dilindungi (cth, trafik rangkaian, konfigurasi, bukti kelayakan)
  • Ancaman ditangani (cth, peningkatan keistimewaan, akses orang tengah, tanpa kebenaran)
  • Andaian dan pertimbangan alam sekitar (cth, penempatan rangkaian selamat)

Kawalan Reka Bentuk dan Pembangunan

Kitaran Hayat Pembangunan Perisian Selamat (SSDLC) kami menggabungkan:

  • Ujian keselamatan automatik harian (SAST, DAST)
  • Pengimbasan kerentanan perpustakaan pihak ketiga
  • Kawalan perubahan formal dan dokumentasi keluaran versi
  • Penandatanganan kod dan pemeriksaan integriti keluaran

Pemetaan Keperluan Fungsian Keselamatan (SFR).

RELIANOID Pengimbang Beban melaksanakan set luas kawalan setara SFR, termasuk:

  • Pengenalan & Pengesahan (FIA): Pengguna mengesahkan melalui kata laluan, pasangan kunci atau SSO. Akses API adalah setiap pengguna dengan token yang dijana; semua antara muka menyokong aliran pengesahan selamat.
  • Kawalan Akses (AC/FMT/FDP): Kawalan Akses Berasaskan Peranan dikuatkuasakan merentas semua komponen dan antara muka (Web, CLI, API), termasuk kawalan setiap objek pada perkhidmatan pengimbangan beban.
  • Audit & Kebertanggungjawaban (FAU): Log audit dan sistem disimpan secara lalai selama 7 hari dan boleh dieksport atau disepadukan dengan platform SIEM.
  • Sokongan Kriptografi (FCS): Kriptografi teguh dengan panjang kunci yang tinggi. TLS v1.2 atau lebih tinggi secara lalai (TLS v1.3 diutamakan). Protokol/sifir lama dilumpuhkan secara lalai dan boleh didayakan secara manual jika diperlukan. Modul yang disahkan FIPS 140 pilihan.
  • Perlindungan Data Pengguna (FDP): Data pengguna hanya disimpan apabila diperlukan dan sentiasa disulitkan semasa rehat (cth, pengguna dan kata laluan).
  • Pengurusan Keselamatan (FMT): Pengguna root berfungsi sebagai akaun pentadbiran utama. Pengguna tambahan, kumpulan dan kebenaran boleh dikonfigurasikan melalui modul RBAC.
  • Perlindungan Fungsi Keselamatan TOE (FPT): But Secure, modul kernel yang ditandatangani, dan akses repositori yang dilindungi GPG dilaksanakan.
  • Perlindungan Komunikasi (FTP/FTA): Semua komunikasi disulitkan; pengurusan sesi termasuk kawalan tamat tempoh dan pengesahan semula.

Penjajaran Keperluan Jaminan Keselamatan (SAR).

  • Reka Bentuk & Dokumentasi: Dokumentasi dalaman (modul, gambar rajah seni bina) tersedia dalam kami Pangkalan Pengetahuan.
  • Semakan & Pengimbasan Kod: Pengimbasan kod automatik dan bantuan AI dengan ulasan manual rakan sebaya.
  • Pengurusan Kerentanan: Imbasan kerentanan mingguan, laporan suku tahunan dan keluaran tampung yang dijejaki CVE yang diterbitkan dalam kami garis masa.
  • Ujian Bebas: Pentest dan imbasan luaran pada peringkat aplikasi, rangkaian dan infrastruktur.
  • Ujian Formal: Ujian keselamatan automatik harian dengan liputan yang diperluaskan setiap kitaran keluaran.

Proses Pembangunan dan Penyelenggaraan

  • SSDLC: Keperluan → Reka Bentuk → Pelaksanaan → Pengujian → Pengesahan → Penambahbaikan Berterusan. Diurus dengan Git, Gitea dan alatan automasi dalaman.
  • Pengurusan Perubahan & Konfigurasi: Aliran kerja kelulusan, prosedur rollback dan dokumentasi perubahan yang digunakan merentas persekitaran.
  • Pengurusan Keluaran: Kemas kini dibungkus, diuji dan diedarkan dengan selamat. Pengesahan pra-pengeluaran dilakukan sebelum promosi ke repositori pengeluaran.

Keselamatan Operasi

  • Respon Insiden: Prosedur peningkatan dan resolusi yang ditentukan dengan purata masa untuk bertindak balas ~2 minit.
  • Pemantauan: Metrik masa nyata dengan sistem pengesanan/pencegahan pencerobohan bersepadu. Perisikan ancaman dikongsi dengan platform komuniti dan industri.
  • Sandaran & DR: Sandaran disulitkan mingguan dengan ujian pemulihan bulanan.

Penggunaan dalam Persekitaran Terkawal dan Diperakui

Walaupun tidak diperakui secara rasmi, RELIANOID menyokong:

  • Penyepaduan ke dalam sistem penilaian Kriteria Biasa
  • Penilaian perolehan pelanggan dalam persekitaran berfokuskan EAL
  • Dokumentasi berstruktur sejajar dengan skim nasional (cth, CCN-STIC, NIAP, BSI TR)

Langkah-langkah Jaminan dan Bukti

Untuk menyokong matlamat jaminan sejajar Kriteria Biasa, kami menyediakan:

  • Nota keluaran dengan log perubahan terperinci
  • Dokumentasi reka bentuk keselamatan yang didorong oleh ancaman
  • Laporan imbasan dan tampalan kerentanan diarkibkan
  • Panduan penggunaan selamat dan senarai semak pengerasan

Penyelarasan Organisasi

  • Tadbir Urus Keselamatan: Pasukan pematuhan keselamatan yang diketuai oleh CEO, CTO dan COO memastikan pembangunan, proses dan penjajaran pematuhan yang selamat.
  • Latihan Keselamatan Pekerja: Sesi latihan suku tahunan dan kesedaran berterusan tentang ancaman industri.
  • Audit Keselamatan Dalaman: Audit suku tahunan dengan penjejakan pemulihan. Laporan tersedia untuk umum.
  • Dasar: Dasar yang diterbitkan meliputi Privasi, Respons Insiden, Kesinambungan Perniagaan, Pengasingan Data Global, Risiko Pihak Ketiga, Kawalan Akses, Penggunaan Boleh Diterima dan Pengendalian Data.

Bukti sokongan

  • Berita RELIANOID Laporan Keselamatan: Disahkan sebagai versi yang paling terkini.
  • Asas pengetahuan: Kertas putih, lembaran data dan gambar rajah seni bina yang dikemas kini: Pangkalan Pengetahuan.
  • Penyata Jaminan Pelanggan: Penyata yang diterbitkan untuk industri terkawal, sejajar dengan peraturan keselamatan siber yang sedang berkembang.

Komitmen kepada Prinsip Kriteria Bersama

RELIANOID komited untuk:

  • Menjajarkan pembangunan ciri baharu dengan metodologi reka bentuk Kriteria Biasa
  • Menyokong usaha penilaian yang diterajui pelanggan
  • Mengekalkan persekitaran pembangunan yang sedar ancaman dan selamat
  • Memastikan ketelusan dan integriti merentas kitaran hayat produk

Semakan Dokumen

Tarikhkomen
10th Julai 2025Penerbitan awal penjajaran pematuhan ISO/IEC 15408
2nd September 2025Skop TOE diperluas, pemetaan SFR yang dikemas kini, penjajaran SAR, butiran SSDLC dan Ops, tadbir urus organisasi dan bukti sokongan

Hubungan dan Jaminan

Kami mengalu-alukan permintaan untuk bahan penilaian teknikal, ringkasan Sasaran Keselamatan atau sokongan untuk projek perolehan Common Criteria.

Hubungi Pasukan Pematuhan & Keselamatan kami

Muat turun Laporan Keselamatan Terkini