bezpecnost
Dan Lukes
dan at obluda.cz
Tue Feb 28 10:15:41 CET 2006
Jindra Fucik napsal/wrote, On 02/28/06 09:11:
> Kdysi se dalo FreeBSD provozovat jako operacni system v rezimu C2, jeste to
> plati?
O tom tedy opravdu nic nevim a dost sebevedome tvrdim, ze bych patrne
vedel, kdyby to nekdy platilo.
Bezpecnostni klasifikaci ma vzdy cely system (a tim nemyslim system
operacni, ale cely soubor hardware+software).
Je prakticky vylouceno, aby nekdy platilo, ze *FreeBSD* (bez dalsich
podrobnych udaju o konkretnim systemu) splnovalo podminky C2 natoz aby
na takovou uroven bylo formalne certifikovano.
Zati bych rekl, ze vidim nejmene jeden duvod, proc FreeBSD bez ohledu
na hardware C2 ani ekvivalentni certifikaci mt nemuze - v soucasne dobe
mu chyby odpovidajici accounting. A je spise pravdepodobne, ze tech
zavad bude jeste i o neco vic - ale aby bylo necertifikovatelne staci jedna.
Pokud vim, existuji nejake derivaty FreeBSD, ktere se snazily dosahnout
az na TCSEC/Bx uroven certifikace, ale mam dojem, ze zadny nebyl uspesne
certifikovan - a navic neslo o nekomercne dostupne systemy.
Jeste bych podotkl, ze TCSEC/Orange book uz se prakticky aktivne
nepouziva a tak pravdepodobne uz nikdy nikdo neziska zadnou C2
certifikaci. Pokud vim, tak soucasna pouzivana americka norma takrka
ekvivalentni TCSEC/C2 je CAPP.
Navic, zda se, ze system budete pouzivat tady a ne v americe - v tom
pripade by vas spis mely normy pouzivane tady - tedy ITSEC respektive,
lepe, "Common Criteria". Tady vas nejpravdepodobneji zajimala uroven
E3/FC-2.
Nicmene, je otazka, jestli se vubec ubirate spravnym smerem. Nevim, pro
koho presne pripravujete co, ale troufam si podotknout, ze davat na kozi
chlivek superdrahy certifikovany zamek je obvykle zbytecny a nesmyslny
vydaj - utocnik proste vykopne vratka, nebo zezadu vylame planky - kozu
ukradne a zamku si nebude vubec vsimat.
Takze - pokud se cela ta firma neni pripravena podrobit komplexnim
bezpecnostnim opatrenim (rekneme, ze dobry start je podivat se na BS
7799) tak celkem nema smysl premyslet o TCSEC/C2 / CAPP / E3/FC-2 nebo
jakkoli jinak certifikovanych systemech.
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list