    |
 |
|
|
|
Вы здесь: Главная БЛОГИ Олег Безопасник Устройства UTM и сертификация |
|
О ПРОЕКТЕ
ЧИТАЛЬНЫЙ ЗАЛ
РУБРИКАТОР
ЗАКОНОДАТЕЛЬСТВО
СТАНДАРТЫ
КАТАЛОГ РЕСУРСОВ
КОМПАНИИ
СОФТ
БЛОГИ
ГОЛОСОВАНИЯ
ВИДЕО
ФОРУМ
        
18.05.2012 10:29
17.05.2012 11:37
24.04.2012 15:03
20.04.2012 15:31
18.04.2012 22:49
18.04.2012 22:48
09.04.2012 19:23
|
Устройства UTM и сертификацияНа практике часто сталкиваюсь с тем, что устройства UTM (например WatchGuard Firebox или Juniper) приобретаются государственными организациями в сертифицированном варианте. Такая организация использует устройство несколько лет и конечно обновляет внутреннее программное обеспечение. Однако мало кто заботится о том, чтобы провести повторную сертификацию устройства, а ведь зачастую программные изменения значительны. Что называется: большим гос.конторам закон не писан, они не очень боятся проверок регуляторов. Интересно, на что они рассчитывают? Неужели на то, что регуляторы побоятся остановить работу данного межсетевого экрана из-за не соотвествия указанного при сертификации ПО и того ПО, что в наличии? Да и как практически осуществить сертификацию утройства, если вендор в Москве, устройство уже, например, в Хабаровске и активно работает? |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Как стать участником | Что может участник | Как работать с порталом | Реклама | Авторские права | Контакты | Конкурсы | RSS | Форум |
|
©2003 - 2012 GlobalTrust Разработка сайта: Maximaster |
|
проблема известная
А ты как предлагаешь решать проблему законопослушным сотрудникам гос. предприятий (а после вступления в силу ФЗ-152 и законопослушным операторам ПД)?
Недавно Малотавр писал в своем блоге о том же самом http://malotavr.blogspot.com/2009/09/blog-post_21.html, только несколько подробнее и применительно к ОС Microsoft.
Но MS хотя бы формально решил проблему, наладив так называемое "сертифицированное производство", включая непрерывную сертификацию выходящих ежемесячно новых патчей. Стоит ли говорить о том, что такая сертификация требует очень значительных затрат от вендора, которые в конечном счете перекладываются на конечного пользователя продукта. Реальная защищенность при этом скорее страдает, поскольку сертифицированные патчи устанавливаются со значительным запозданием.
Кроме того, у многих специалистов возникают обоснованные сомнения в том, что такая сертификация в принципе способна эффективно обнаруживать НДВ и что деньги, затрачиваемые на сертификацию, не выбрасываются на ветер. Для анализа на НДВ вендор должен одновременно с выпуском патча передавать в независимую испытательную лабораторию хорошо документированные исходники, а такое сложно себе представить. После проверки на НДВ, испытательная лаборатория (чтобы не допустить подмены) должна самостоятельно из этих исходников собирать исполняемые модули, а затем предоставлять их пользователям для скачивания. Есть ли гарантия того, что такие модули, собранные "на стороне" вообще будут работать и "не положат" систему?
Если кто больше знает о процессах сертифицированного производства, прокомментируйте пожалуйста. Я не считаю себя специалистом в данном вопросе и исхожу лишь из общих соображений.