Проект 1. Проверка сертификатов компьютерной безопасности
В этом проекте мы покажем, что сертификаты систем компьютерной безопасности не удовлетворяют потребностям индустрии безопасности. Оценим существующие операционные системы в соответствии с критериями "Оранжевой книги"
Шаг за шагом
- Определите, какие операционные системы используются в вашем офисе. Выберите одну из них.
- Скопируйте "Оранжевую книгу" с веб-сайта по адресу http://www.radi-um.ncsc.mil/tpep/library/rainbow/.
- Начните с проверки функциональных требований раздела С "Оранжевой книги". Они находятся под заголовком "Политики безопасности" и "Идентифицируемость". На этом этапе игнорируйте требования гарантированности и документирования.
- Определите, отвечает ли данная система требованиям раздела C. Если это так, то переходите к разделам B и A.
- После определения функционального уровня системы проверьте требования гарантированности и документирования для этого же уровня. Выполняются ли эти требования?
Выводы
В зависимости от типа операционные системы практически всегда имеют функциональность уровня С1. Уровень С2 основывается на требовании безопасности повторного использования объекта, и большинство коммерческих операционных систем отвечают требованиям функциональности этого уровня. Эти системы не имеют функциональности, соответствующей уровню В.
Требования гарантированности и документирования даже для уровня С1 вряд ли можно встретить в стандартной документации к программному обеспечению. Удивляет вас теперь тот факт, что очень маленькое количество систем смогли пройти оценку и сертификацию?
