Názory k článku
Red Hat má bezpečnostný certifikát
-
Co já vím, tak nějaký takový certifikát mají kde jaká Wokna. Fór v tomto případě spočívá v tom, že to platilo pouze pro systémy bez mechanik na výměnná média a bez připojení k síti. ;-) A jen v anglické jazykové mutaci. (Takových „drobných háčků“ tam možná bylo ještě víc. Na druhou stranu je otázka, jak to vypadá v případě tohoto RHEL, že . . .) -
abyssal (neregistrovaný)
Pripadne bez IE, gui, ... Dalsi z "hacikov" su profily, oproti ktorym je to certifikovane (viz diskusia na Schneierovom blogu):
The Protection Profile is the embodiment of threats, assumptions, objectives, and requirements defined by an end user.
The Common Access Protection Profile (CAPP) provides for a level of protection which is appropriate for an assumed non-hostile and well-managed user community requiring protection against threats of inadvertent or casual attempts to breach the system security. The profile is not intended to be applicable to circumstances in which protection is required against determined attempts by hostile and well funded attackers to breach system security. The CAPP does not fully address the threats posed by malicious system development or administrative personnel. CAPP-conformant products are suitable for use in both commercial and government environments.
Cize CAPP neni nic extra - "funguje to kym sa tam nepokusa nikto cielene naburat". Zato ovela zaujimavejsi je Role Based Access Control Protection Profile (RBACPP - podrobne popisy profilov sa daju najst na Common Criteria Portal, ale neni to moc zabavne citanie). Neni EAL4 ako EAL4 ;-) System s EAL 4 moze podla ineho hodnotenia (TCSEC) v uplne inych triedach (C1, C2, B1, ...).
Dalsi z OS, ktory ma EAL4 RBACPP certifikaciu, je napr. Trusted Solaris. AFAIK ziadny Windows nema RBACPP certifikaciu. Na druhej strane robit administratora stroja s RBAC neni ziadna sranda (skuste napr. SELinux alebo grsecurity RBAC).
-
dajo (neregistrovaný)Myslim si ze sprava obsahuje to, co ma. Problemom je ze pravdepodobne je odniekial prebrata a asi vela uzivatelov nerozumie aku informaciu nesie respektive ze bezp. certifikacii (metodik) je niekolko. Autor uviedol, ze RHEL ziskal EAL 4 - mozno by mohlo byt uvedene, ze sa jedna o hodnotenie podla Common Criterii, a mozno by stalo za to uviest, co to znamena napr. Co presne bolo cielom hodnotenia (jadro, cely OS, GUI, ???) Kolko roznych Levelov EAL existuje (7 aj ked komercne je 4 skoro vrchol), co ktory level znamena, atd. Samozrejme ze aj ine systemy maju svoje certifikaty otazne je podla akej metodiky, na aky level, v akej konfiguracii, ake su poziadavky na okolie a prostredie,... Samotny pojem "bezpecnostny certifikat" moze mat hodnotu asi ako "cestne uznanie" za dlhorocnu pracu v XYZ alebo "diplom" za 1 miesto v strelbe z praku na letnom tabore. Na EAL 1 staci aku taku dokumentaciu. Zlata medaila z OH v sprinte na 100m vsak hovori o jej nositelovi predsa len nieco viac (mozno ekvivalent EAL 5), neznamena vsak, ze dany atlet dokaze zabehnut maraton pod 2hod 10minut.
ČLÁNKY DO MAILU