А Windows кажется тоже когда-то сертифицировали по Common Criteria или я ошибаюсь? Помню, шуму о той сертификации было много. Какие ещё сертификаты безопасности програмного обеспечения существуют и какими из них может похвастаться GNU/Linux?

Чето в свете последних новостей мне кажется что винде скоро придет звиздец.
Будет ли репортаж от наших с линукс экспо ? или все на компуленте читать надо ?

> таких как Microsoft Windows, Sun Microsystems Solaris, Hewlett-Packard HP-UX и IBM AIX, каждая из которых сертифицирована по более высокому уровню EAL4.

плят, винда по EAL4 сертифицирована ?

Просвятите плиз вкратце, что этот сертификат гарантирует

> винда по EAL4 сертифицирована ?

Угу, сертифицирована. В конфигурации без сети, дисковода, сидирома и прочих устройств ввода/вывода. ;-) В запертом сейфе и выключенном состоянии.

ОК - это такая штука, что вкратце просвятить вряд и можно.

2 Obidos Уважаемый, п***ть не надо :)

http://www.microsoft.com/rus/security/articles/common_criteria/intro.mspx

В результате Windows 2000 прошла успешное тестирование по следующим параметрам, предусмотренным для ИТ-продуктов, оснащенных функциями защиты информации (Information Assurance):

Шифрующая файловая система EFS как средство защиты конфиденциальных данных.

Службы каталогов Active Directory управления защищенным доступом, в том числе с множественными мастер-каталогами.

Виртуальные частные сети на основе двух стандартных протоколов: L2TP и IPSEc.

Защищенные от компрометации средства создания цифровых подписей.

Однократный вход в систему (Single Sign On).

Средства сетевого администрирования, в том числе для управления политиками безопасности.

Средства администрирования настольных компьютеров, в том числе механизмы групповых политик

> Уважаемый, п***ть не надо :)

Смайлик в той реплике видели? ;-)

2 Obidos Ну у меня тоже смайлик :)

Я отвечу за Obidos. Цитата отсюда http://www.microsoft.com/rus/security/articles/common_criteria/intro.mspx "Многолетние усилия корпорации Microsoft <B>и инвестиции в размере миллионов долларов </B> увенчались сертификацией платформы Windows 2000 на высший уровень для серийно выпускаемых систем." давайте мне эти млимоны доляров, я вам придумаю такой уровень сертификации, что вы даже не слышали. А что значит на деле уровень безопасности Win2K мы знаем. Про MSBlaster слышали? А как вам эта цитата? "За 2003 год найдено 119 уязвимостей, найденных в Windows 2000 (47), Windows XP (46) и Windows 2000 server (26). Microsoft выпустила 76 секьюрити-патчей, не считая того, что один из них вышел дважды. "

Если ваша выньдовс проработала неделю без перезагрузки, то только потому, что вы новый патч не установили своевременно :)

Небо не видело такой позорной сертификации как "Windows 2000 сертифицирован на высший уровень EAL4+"

2 anonymous (*) (22.01.2004 11:08:20) Ну давайте сравнивать каличество патчей для Win2003 сервера и RH 9.0. Обе системы вышли в апреле прошлого года.

https://rhn.redhat.com/errata/rh9-errata-security.html

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/c...

Если отбросить 4 патча к ИЕ и по одному к МедиаПлееру и ДиректХ, которые на сервере не используются (если только это не терминальный сервер), то к Вин2003 - 10 патчей.

Смотрим на РХ 9.0, считаем патчи только к тем пакетам, функциональные аналоги которых присутствуют в Вин2003. Например, Апач - ИИС, Самба - Виндовый файл сервер и т.д. Получаем Апач - 4, PHP - 1, kernel - 6, OpenSSL - 2, OpenSSH - 2, XFree - 1, tcpdump - 2, iproute - 1, glibc -1, kerberos - 1, CUPS - 1, samba - 2, xinetd - 1.

Обратите внимание, что часто патчи к РХ исправляют более одной уязвимости, впрочем так же как и Виндовый патчи.

2 anonymous (*) (22.01.2004 11:08:20) И потом сертификация СС не означает отсутствия уязвимостей. Это свидетельство развитых security features: аудит, шифрование, АЦЛы на все объекты и пр.

Как говорится - Клиенту не нужны сверла, ему нужны дырки. Млин, как многозначно здесь эта цитата звучит :) Другими словами - зачем мне security features если эта самая security не обеспечивается? Вывод - сертификация это уловка коммерсантов продать что-то ненужное людям несведущим :) Жалко смотреть как уважаемые (без сарказма) люди пытаются делать выньдовс из Linux. Это, имхо, глупо. Я понимаю сертификацию безопасности одной конкретной системы в один момент времени, сертификацию специалистов поддерживающих security, но сертификация security features... Это от лукавого...

Попробую умное сказать. Common Criteria 2.1 это ISO-15408 (то есть там можно уже почитать). Так вот сам стандарт требований не содержит, он лишь регламентирует что должно быть затребовано, например:
Должны присутствовать требования к системе аудита (большая жирная точка). ВСЁ!!! Реальных требований там нет!!!

Что касаемо EAL - чем выше уровень EAL, тем больше требований к требованиям надо заполнить. Понятно? ;) То есть, упрощённо:
EAL1: 1. Должны быть требования к подсистеме аудита.
EAL2: 1. Должны быть требования к подсистеме аудита.
2. Должны быть требования к подсистеме аутентификации.

Самих требований нет, их придумывает тот, кто сертифицирует систему. В принципе можно использовать готовые профили защиты (только я не видел, чтобы windows их использовала, хотя бы NIST-овский сильный Protection Profile для межсетевых экранов).

А про реализацию IPSEC в Windows 2000 я знаю, спасибо, freeswan спас :) Почему то IPSEC у них нигде не сертифицирован (да и есть ли такой сертификат). Кстати M$ - один из разработчиков IPSEC. (Подробнее смотрите истории, как из PPTP, L2TP и SKIP получили IPSEC).

Добавлю:
MS просертифицировалось по профилю равносильному бывшему C2, а SuSE по собственному профилю, который на несколько порядков слабее

Re: FreeBSD на десктопе (часть 2)

>Угу, сертифицирована. В конфигурации без сети, дисковода, сидирома и прочих устройств ввода/вывода. ;-) В запертом сейфе и выключенном состоянии.

Это когда уровень c2 для nt4 сертифицировали. Сейчас таких нет. Если переводить состояние windows на те понятия ,то в windows есть технологии мандатного доступа которые позволяют поднятся на более высокий доступ чем c2, В NT4 был заложен только произвольный доступ (ACL).

А EAL4 гарантирует лишь быстрое решение проблем безопасности и ничего больше.

EAL3+ это лучше, чем EAL2 у RedHata. так глядишь к концу года по EAL4 сертифицируют и в нашей стране тоже.

Надеюсь IBM не выпустит теперь почву из под ног.(имею ввиду os/2 и windows),а есть ещё ниточки ibm-amd и amd-sun-linux - это гремучая смесь.

СС (aka ISO-15408) описывает набор требований как раз, т.е. в системе должнобыть то и то не менее чем вот так. Т.е. требования как раз РЕАЛЬНЫЕ

Если дело исключительно в писанине, то почему СЛЕЗ сразу не получил ЕАЛ4, а сначала ЕАЛ2, потом ЕАЛ3... бумаги у СуЗе и ИБМа что-ли мало?

Еще раз - требования в стандарте есть, т.е. описан минимальный набор свойст и функций, которые должны обеспечивать ту или иную возможность... некоторые требования достаточно жесткие, в документе Security Target как бы описывается соответствие фич продукта этим требованиям по-пунктно. см. http://www.suse.com/de/security/eal2/SLES8_EAL2_SecurityTarget.pdf

МС ISA 2000 сертифицирован на EAL2 как файрволл (как я понял это максимально, что файрволл может получить)

функции криптографии у них так же сертфицированы, причем в отличии от СС они не просто сертфицированы, но верифицированна их реализация на соответствие весьма жестким требованиям.