Sziasztok.
Tudom-tudom a biztonsági részlegre kellene írnom, de ott nincs nagy mozgás.
Lenne egy gondom:
A cégem szeretné, hogy az EAL4 minősítésre lőjem be az oprendszert.
Eddig Suse Enterprise Server 9 volt a gépeken, de a fenti minősítés megszerzése az összes szerverünkre kb. 7-8 millió Ft-ba kerülne. Ennyi pénzünk nincs.
Debianra gondoltam, mivel ez teljesen szabad.
Ti hogyan kezdenétek neki? Van valakinek ötlete, vagy tapasztalata? :-)
- 1549 megtekintés
Hozzászólások
A nulláról. Nem a telepítésnek, a tervezésnek, fejlesztésnek, dokumentálásnak. Komolyan. Érdemes átolvasni Bálint Sándor: A Common Criteria című cikkét az V. GNU/Linux szakmai konferencia kiadványában.
Esetleg itt.
- A hozzászóláshoz be kell jelentkezni
Érzésem szerint itt valami alapvető félreértés van, hacsak a cégednek nincs eszméletlen sok ideje és pénze (sokkal több, mint 7-8M)!
- A hozzászóláshoz be kell jelentkezni
+1
amúgy a sles10 eal4+
- A hozzászóláshoz be kell jelentkezni
Alapból, vagy itt is venni kell külön a beállításokat?
- A hozzászóláshoz be kell jelentkezni
Pontosan ez lett tesztelve (Security target), azaz ez a telepítés (csomagverziók, hardver- és szoftverbeállítások) felel meg, például egy frissítéssel már nem.
Szerkesztve: A TOE itt már a hardvert is lefedi, ez az egyik, amivell bővült a SLES9-es minősítési cél óta, úgyhogy hajrá...
- A hozzászóláshoz be kell jelentkezni
Akkor ezek szerint, ha nekünk más hardverünk van, akkor arra át kell gyúrni az anyagot. :-)
Viszont, ha már egy frissítést kell telepíteni, akkor megint át kell gyúrni az anyagot, vagy az is reménytelen (valószínűleg, ha jól olvastam, akkor minden forráskódot át kellene nézni, tesztelni stb. ami módosult)?
- A hozzászóláshoz be kell jelentkezni
Azaz hibásan fogalmaztam:
Tehát, hogyan lehet megfelelni az EAL követelményeknek?
Ha egyszer sikerülne legyártani egy anyagot, akkor utána, ha frissítek, akkor mindig újra kellene generálni az EAL minősítést, vagy elég pl. fél évente?
- A hozzászóláshoz be kell jelentkezni
Az EALx-nek megfelelés a dokumentációban meghatározott rendszer felel meg. Tehát no update, no plusz szoftver. Szerintem...
- A hozzászóláshoz be kell jelentkezni
Nem kell venni semmit, és szerintem a Ti cégetek valszeg az életbe nem fog EAL4 szinten minősíttetni semmit, nemhogy a debiant ( több mint két év és 1-200 M dollár).
Mindenképpen olvass utána a CC-nek, ebből sok minden kiderül számodra majd.
Jelenleg szinte értelmezhetetlen dolgokat kérdezel.
- A hozzászóláshoz be kell jelentkezni
OMGWTF
ezt igy hogy sikerult elerni? (komolyan kerdem)
debian? eal4? ez a ket szo idegen egymastol. tessek valami enterspajz rendszert nezni (rhel, sles)
- A hozzászóláshoz be kell jelentkezni
"debian? eal4? ez a ket szo idegen egymastol."
Annyira nem, csak meg senkinek sem jutott eszebe minosittetni.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Fogalmazzunk úgy, hogy senki sem olyan elmebeteg, hogy megpróbálja... A SLES, ill. RHEL adott verzióinak a minősítése is egy rakat pénzbe került, és csak az adott verzióra érvényes a minősítés, aminek az időigénye (TOE meghatározásától a minősítés kiadásáig) is igen jelentős, azaz mire minősítik, már jórészt elavul.
- A hozzászóláshoz be kell jelentkezni
Ok, összehívok egy egyeztetést a biztonsági szakemberünkkel.
Meg nem nevezem, híres szakember. Ő azt állította, hogy Debian-ra is meg lehet csinálni, és nem olyan bonyolult.
Lehet, hogy voltak félreértéseink, mivel csak telefonon beszéltünk, és lehet, más igényszintre gondolt.
Az mindenesetre elég gáz, hogy biztonságosnak neveznek egy rendszert papíron, amikor nincs rajta egy frissítés, ami miatt akár könnyen törhető. :-(
Mindenkinek köszönöm a segítségét! :-)
- A hozzászóláshoz be kell jelentkezni
Csak hogy tisztázzuk: nem biztonságról beszélünk, még papíron sem!
A CC minősítés arról szól, hogy adott dolog, adott körülmények közt megfelel egy bizonyos minőségi követelménynek (no - pár száz oldal összefoglalása egy sorban :-) ), így remélhetően a termék jobb, mintha nem felelne meg.
Tényleg olvass utána!
Kétség kívül nagy probléma (és minél magasabb a szint, annál nagyobb), hogy milyen változtatások esetén él tovább a minősítés.
Gondolj bele, hogy ha mondjuk egy eal7 lenne (matematikailag bizonyítani a program helyességét), akkor egyetlen bit változtatása után lehet újrakezdeni az egészet.
Itt alapvető félreértés, hogy Te összeraksz valami cuccot, és azt meg itt valaki pikk-pakk hirtelen minősíti. Ez ennél kicsit (sokkal) bonyolultabb, mivel a CC már a tervezés, fejlesztés időszakára is kér feltételeket, ami a Debian esetében tudtommal nincs meg (pótlása kicsit költséges lenne). De ha Te pótolod, akkor még sok mást is elő kell mégállítanod, és keresned kell egy megfelelő céget, aki tanusíthatja (és siker esetén) tanúsítja, hogy az adott cucc, az adott környezetben, valaminek megfelel, ami akár az EAL4 szintű is lehet. Nem lesz se gyors, se olcsó az eljárás :)
- A hozzászóláshoz be kell jelentkezni
Engem érdekelne, hogy ki ez a híres biztonsági szakember. :)
- A hozzászóláshoz be kell jelentkezni
Nem elmebetegség kérdése ez!
Nyilván a kereskedelmi termékeket azért minősítik, mert az adott cég valami piaci eredményt vár tőle.
- A hozzászóláshoz be kell jelentkezni
Így van, azonban kereskedelmi terjesztéseknél vannak bizonyos tervezési- kódbefogadási, tesztelési, illetve kibocsátási követelmények, amiket be is tartanak, illetve van pénz arra, hogy sok-sok munkát és időt ráfordítsanak. A Debilke, de más nem kereskedelmi disztró esetén nincs meg az az anyagi háttér, amivel bele lehetne vágni. És ha pénz, mint befektetés lenne is rá, annak hasznot kéne hoznia, márpedig a nem kereskedelmi disztrók esetén nincs sok esély arra, hogy bevételt termeljenek.
A cégek pedig való igaz, piaci előny kovácsolása érdekében minősíttetik termékeiket -- vannak olyan tenderek, ahol csak adott minősítéssel bíró termék, illetve pályázó indulhat.
- A hozzászóláshoz be kell jelentkezni