RELIANOID ISO/IEC 15408(通用标准)合规性

上次审核: 2025 年 9 月
下次审核截止时间: 2026 年 9 月

ISO/IEC 15408 合规声明

通用标准安全协调 RELIANOID 负载均衡器和组织

RELIANOID 符合以下原则 ISO / IEC 15408:2022,也被称为 信息技术安全评估通用标准(CC)。这一国际公认的标准可以对 IT 产品的安全特性进行结构化评估,并且通常是政府和关键基础设施采购的必需标准。

而 RELIANOID 尚未通过通用标准的正式认证,我们的 组织控制负载均衡平台架构通用标准评估保证级别 (EAL) 原则,特别是在高保证环境中的云和本地部署中。

什么是 ISO/IEC 15408?

ISO/IEC 15408 提供了一个评估 IT 产品安全性的框架,通过以下方式:

  • 安全功能要求 (SFR) – 产品提供的功能和保护
  • 安全保障要求 (SAR) – 证明这些功能如何安全实施的证据和流程

它被广泛采用 国家网络安全机构受监管行业 如国防、能源、金融和政府采购。

产品范围和评估目标(TOE)

脚趾 涵盖所有 RELIANOID 企业组件:

  • 组件: 硬件设备、软件平台和管理界面(Web UI、CLI、API)。
  • LTS 生命周期: 所有企业版均为长期支持版本。当前主要版本: v8 (支持至 2029 年 6 月).
  • 操作系统: Debian 书虫。
  • 部署模型: 主要在本地;也支持云和混合环境。
  • 拓扑结构: 具有灾难恢复 (DR) 的独立、集群和双模式。

组织与通用标准的一致性

RELIANOID 在我们的内部开发、部署和运营实践中遵循 ISO/IEC 15408 的关键保证和生命周期原则。

安全目标和威胁模型

我们保持内部 安全目标文件 与通用标准结构保持一致,定义:

  • 受保护的资产(例如网络流量、配置、凭证)
  • 已解决的威胁(例如权限提升、中间人攻击、未经授权的访问)
  • 假设和环境考虑(例如,安全网络布局)

设计和开发控制

我们的安全软件开发生命周期 (SSDLC) 包括:

  • 每日自动化安全测试(SAST、DAST)
  • 第三方库的漏洞扫描
  • 正式变更控制和版本发布文档
  • 代码签名和发布完整性检查

安全功能需求(SFR)映射

RELIANOID 负载均衡器实现了一系列与 SFR 等效的控制,包括:

  • 识别和认证 (FIA): 用户通过密码、密钥对或单点登录 (SSO) 进行身份验证。API 访问权限由用户使用生成的令牌进行;所有接口均支持安全的身份验证流程。
  • 访问控制(AC/FMT/FDP): 基于角色的访问控制在所有组件和接口(Web、CLI、API)上实施,包括对负载平衡服务的每个对象的控制。
  • 审计与问责(FAU): 审计和系统日志默认存储 7 天,可以导出或与 SIEM 平台集成。
  • 加密支持(FCS): 密钥长度高,加密可靠。默认使用 TLS v1.2 或更高版本(推荐使用 TLS v1.3)。旧版协议/密码默认禁用,如有需要可手动启用。可选配符合 FIPS 140 标准的模块。
  • 用户数据保护(FDP): 用户数据仅在需要时存储,并且始终处于静态加密状态(例如,用户和密码)。
  • 安全管理 (FMT): Root 用户是主要管理帐户。其他用户、组和权限可通过 RBAC 模块配置。
  • TOE安全功能(FPT)的保护: 实现了安全启动、签名的内核模块和受 GPG 保护的存储库访问。
  • 通信保护(FTP/FTA): 所有通信都经过加密;会话管理包括过期和重新认证控制。

安全保障要求 (SAR) 协调

  • 设计与文档: 内部文档(模块、架构图)可在我们的 知识库.
  • 代码审查和扫描: 自动和人工智能辅助代码扫描,并进行同行人工评审。
  • 漏洞管理: 每周漏洞扫描、季度报告以及 CVE 跟踪补丁发布在我们的 时间表.
  • 独立测试: 在应用程序、网络和基础设施层面进行外部渗透测试和扫描。
  • 正式测试: 每天进行自动安全测试,每个发布周期扩大覆盖范围。

开发和维护流程

  • SSDLC: 需求 → 设计 → 实施 → 测试 → 验证 → 持续改进。使用 Git、Gitea 和内部自动化工具进行管理。
  • 变更和配置管理: 批准工作流程、回滚程序以及跨环境应用的变更文档。
  • 发布管理: 更新已打包、测试并安全分发。在升级到生产存储库之前,会进行预生产验证。

营运安全

  • 事件响应: 定义升级和解决程序,平均响应时间约为 2 分钟。
  • 监控: 集成入侵检测/防御系统的实时指标。威胁情报与社区和行业平台共享。
  • 备份和灾难恢复: 每周进行加密备份,每月进行恢复测试。

在受监管和认证的环境中使用

虽然没有经过正式认证, RELIANOID 支持:

  • 融入通用标准评估系统
  • 以 EAL 为重点的环境中的客户采购评估
  • 与国家计划(例如 CCN-STIC、NIAP、BSI TR)相一致的结构化文档

保证措施和证据

为了支持符合通用标准的保证目标,我们提供:

  • 包含详细变更日志的发行说明
  • 威胁驱动的安全设计文档
  • 已存档的漏洞扫描和补丁报告
  • 安全部署指南和强化清单

组织协调

  • 安全治理: 由首席执行官、首席技术官和首席运营官领导的安全合规团队确保安全开发、流程和合规性。
  • 员工安全培训: 每季度举办一次培训课程并持续关注行业威胁。
  • 内部安全审计: 每季度进行审计,并跟踪补救措施。报告公开发布。
  • 政策: 已发布的政策涵盖隐私、事件响应、业务连续性、全球数据隔离、第三方风险、访问控制、可接受使用和数据处理。

支持证据

  • 最新消息 RELIANOID 安全报告: 确认为最新版本。
  • 知识库: 更新的白皮书、数据表和架构图: 知识库.
  • 客户保证声明: 发布针对受监管行业的声明,与不断发展的网络安全法规保持一致。

遵守通用标准原则

RELIANOID 致力于:

  • 将新功能开发与通用标准设计方法相结合
  • 支持客户主导的评估工作
  • 维护威胁感知、安全的开发环境
  • 确保整个产品生命周期的透明度和完整性

文件审阅

日期 评论
10日 2025月 XNUMX年 ISO/IEC 15408 合规性协调的首次发布
2nd九月2025 扩大 TOE 范围、更新 SFR 映射、SAR 对齐、SSDLC 和 Ops 详细信息、组织治理和支持证据

联系与保证

我们欢迎对技术评估材料、安全目标摘要或通用标准采购项目支持的请求。

联系我们的合规与安全团队

下载最新安全报告