Microsoft ISA Server 2006 получил сертификат по 4-му уровню защищенности

image

Теги: ФСТЭК

«Новый сертифицированный продукт расширяет возможности применения сертифицированных продуктов Microsoft для обеспечения работы государственных организаций и крупных компаний с конфиденциальными данными, включая персональные данные.

«Предприятие по поставкам продукции управления делами президента РФ» (ППП УД президента РФ) и «Майкрософт Рус» объявляют о сертификации федеральной службой по техническому и экспортному контролю (ФСТЭК) русскоязычной версии межсетевого экрана Microsoft ISA Server 2006 (ISA Server 2006) Standard Edition.

Выданный сертификат свидетельствует о том, что разработанный Microsoft межсетевой экран имеет оценочный уровень доверия ОУД 1 (усиленный) в соответствии с руководящим документом «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (Гостехкомиссия России, 2002 г.).

Кроме того, сертификат свидетельствует о том, что межсетевой экран соответствует 4-му классу защищенности. А при выполнении определенных условий, изложенных в приложении к сертификату, например при использовании для аутентификации электронных USB ключей eToken и некоторых других, - 3-му классу защищенности по требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1997 г.).

Даже без выполнения дополнительных условий для достижения 3-го класса защищенности этого достаточно для того, чтобы межсетевой экран мог использоваться для создания автоматизированных систем до класса защищенности 1Г включительно.

«Новый сертифицированный продукт расширяет возможности применения сертифицированных продуктов Microsoft для обеспечения работы государственных организаций и крупных компаний с конфиденциальными данными, включая персональные данные. Это полностью отвечает потребностям этих организаций соответствовать законодательству Российской Федерации», - подчеркнул Валентин Масановец, начальник управления телекоммуникационных систем ППП УД президента РФ.

Отметим, что объектом сертификации стал не только межсетевой экран ISA Server 2006, но также система производства и распространения, организованная «Предприятием по поставкам продукции управления делами президента РФ» и компанией «Алтэкс-строй». Это означает, что заказчики смогут получать любое количество необходимых им сертифицированных продуктов в течение всего срока действия сертификата.

Кроме этого, сертификация производства этого межсетевого экрана обеспечивает получение сертифицированных обновлений, что позволяет потребителю постоянно соответствовать законодательству.

или введите имя

CAPTCHA
1
06-06-2007 10:33:25
Нет ничего удивительного в том, что Россию имеют во все дырки. Если в администрации президента используют ПО MS, значит пиндосы ходят туда, как к себе домой.
0 |
06-06-2007 12:39:09
А ты ответишь что это не так? Я вот уверен в своём собственноручно собранном ПО и freebsd. А вот ты фанат не можешь сказать что там нет троянов. Поэтому они там есть. Сертицицировать продукты с закрытым исх кодом нельзя.
0 |
1
06-06-2007 20:56:27
Ты может и уверен. Но для защиты конфидециальных данных по ЗАКОНУ необходимо соответствующее сертифицированное оборудование. И твой freeBSD ничего не стоит без этой сертификации. И заметь это не только в России, весь мир использует одни и те же правила.
0 |
08-06-2007 15:47:53
Вот именно поэтому шаги по защите информации так предсказуемы при защите конфиденциальных данных. Потому что заставляют использовать некачественный софт, такой как MS Windows. Разве не так? Это именно некачественный софт. Freebsd стоит того, что бы до неё ещё вырасти.
0 |
1
25-12-2007 12:55:38
Уважаемый господин, кто вам сказал такую чушь??? С какого дерева вы взяли то, что фрибсд лучше МС продуктов? Вы предметно можете ответить за свои слова??? За такой "трёп" в некоторых местах в асфальт закатывают. Я работал с продуктами МС и фрибсд и с уверенностью могу сказать? что на то он и "фри" что не способен был на коммерческом уровне конкурировать с МС. С точки зрения эволюции ПО фрибсд, на основе юникс логики, отстаёт в развитии на несколько поколений от МС. А единственная причина по которой он так массово используется это его "бесплатная" платформа. Денег за неё платить не надо, а не потому что он лучше. Я понимаю, что для вас ИСА это "хрень" потому что вы с ней не работали, но не нужно орать об этом на каждом углу, это не серьёзно.
0 |
06-06-2007 14:09:42
Для людей, занимающихся безопастностью серьёзно, есть 1 довод-если нельзя доказать что закладок\уязвимостей нет или что ими нельзя воспользоаться прямо сейчас, это значит что они есть, или будут со дня на день. Утранить нужно уметь своими силами, а не ждать недопатчей от производителя.
0 |
1
06-06-2007 11:29:46
Зря Вы так. Действительно стоящая вещь. И сертификация много значит.
0 |
1
06-06-2007 11:40:11
Совершенно громоздкая и ресурсоемкая штука, которая стоит не мало бабла. И мне не понятно, чего же она такого умеет, чего не умеет iptables + iproute2 причем в Linux все это за бесплатно...
0 |
06-06-2007 12:24:15
ага тока авторизировать через домен не умеет все это а прикручивать винбинд когда у тебя 5 доменов и 1000 юзеров это для мазохистов...
0 |
06-06-2007 12:46:39
Ставьте Isa server, не сомневайтесь. Он всё это умеет. А мазохисты будут заниматься своим любим делом. Зато потом когда вас, пиджаков и калстуков, поимеют через какую нить дырку в таком ISA сервере, мазохисты, "бородатые тщедушные очкареги линуксоиды",продолжат заниматься своим любимым делом. Мне знакомо 10 администраторов Isa server. Из них ни один не знает что такое http, как работает, какие методы использует. Я считаю таким людям нечего делать среди админов. Но я рад что они есть на их фоне я нормально зарабатываю
0 |
1
06-06-2007 12:58:47
Да есть такое. Достало уже как эти умники не могут осилить и залечить свою любимую ису. То с FTP у них проблемы, то с VPN. Еще есть один козырный продукт от M$ для таких специалистов. Exchange называется. Задолбался уже в белый список заносить такие домены где, сервер о себе в HELO сообщает примерно такое: saturn.company.local. А уж рассказ о том, что должна быть запись в обратной зоне, для них настоящее откровение... Да что тут говорить...
0 |
1
06-06-2007 14:08:17
А вот тем, кто проверяет обратную зону, надо отрубать ноги.
0 |
1
07-06-2007 11:07:17
А тем кто не проверяет - руки. Ты, видать, еще не знаешь, что такое СПАМ.
0 |
1
07-06-2007 18:19:03
80% затрояненных помоечных DSL сетей имеют совершенно нормальную обратную зону. поэтому несущесвование rDNS - десятый по значимости фактор определения спама (а вот rDNS вида NNN-NNN-NNN.dsl.com - второй). насчет HELO xxx.local - правильно. не надо позволять exch соединяться с большим и-нетом напрямую (и на вход и на выход). кто этого не понял - рано или поздно нарвется.
0 |
06-06-2007 14:14:19
она должна быть. и всё тут. проверять или нет-дело каждого. я проверяю наличие домена отправителя и наличие самого отправителя. Был случай совсем недавно у провайдера Cor*na telecometlcom когда тамошние недоодмины не могли нормально настроить dns, в результате чего множество учреждений испытывали проблемы с почтовым сообщением. Целый месяц кряду.
0 |
06-06-2007 22:35:25
да дейсно у меня тоже есть пару фришников которые палцы суют в трубку когда с ними разговариваеш... но вот когда надо что то сделать быстро они начинают расказывать какая у них крутая система (и они без условно) при этом залазя в гугл.... потом man .... потом обновление портов ..... потом компиляция...... потом оказалось несовместиность библиотек.... опять перекомпил...... и в результате КЕРНЕЛ ПАНИК это в винде вашей ненависной делается парами кликов... бизнесу важен результат а не наватарские причуды
0 |
1
07-06-2007 01:38:17
>> ...бизнесу важен результат а не наватарские причуды А результат заключается в том, что M$ так и не удалось заполучить даже 40% рынка серверов, а около 60% рынка - юниксподобные системы. Так что, расслабьтесь мой дорогой друг.
0 |
07-06-2007 09:01:38
согласен а лет 6-7 назад новел в прах со своими серверами превратился... и с етого времени тенденция только на захват рынка
0 |
06-06-2007 22:17:23
) вот типа когда 9 из 10 админов набирают make install clean они понимают что творится там, ума много надо и кто вам сказал что все исходники читают? никто! вы сами себе закладки компилите а конфиги в винде позамороченей будут чем в легого такшо голову не морочте внимой безопасностью!
0 |
08-06-2007 15:59:20
Вы ответственно заявляете что никто? А я вот могу ответственно заявить что вы вглаза не видели исходики программ и ядра своей оси. А я видел у своей. И читал, зачитывался. И вы каждый день рискуете вместе с очередным инстлятором устновить троян. А я каждый день патчу очередной инсталятор очередным трояном. И я не рискую, устанавливая программы, потому что хотя бы погрепеть на предмет стрёмных функий перед компиляцией удосужусь. Безопасность скрывается не загалочкой "сделать мой комп безопастным", а за каждодневной работой, потому что это процесс а не резуьтат. А устанавливая винду вы получаете резьтат на который более не можете влиять.
0 |
08-06-2007 16:21:59
Вот именно поэтому я лично против широкой рекламы юниксов на серверную платформу. Слишком много стало имбецылов, которые и не хотят понимать что проиходит, им как и бизнесу нужен результат. Не хотелось бы что бы и в наших рядах они начали размножаться с такой же скоростью как в ваших.
0 |
1
06-06-2007 13:08:24
Ага. Так и представляю как какой-нибудь nf_conntrack.ko лезет к серверу за настройками iptables Кури iptables, какой-нить bash и ldap. И пойми, что это три разные вещи. Iptables ему понимаешь с 5ю доменами не работает. Все решается как обычно в три приема: 1 - вынимаешь руки из жопы 2 - включаешь головной мозг 3 - читаешь документацию после этого все работает годами.
0 |
06-06-2007 13:40:04
" Все решается как обычно в три приема: 1 - вынимаешь руки из жопы 2 - включаешь головной мозг 3 - читаешь документацию " ээ тихо, не надо рассказывать всем об этом методе, так и без работы остаться не долго P.S. это универсальный метод помогающий во всех случаях, только мозг всетаки первичен, если он не помогает, то надо прокачивать головной мозг )
0 |
06-06-2007 22:22:38
так и представлю какойнить аптейблс и апфв который лезит в АД и проверяет что если 443 открыт это еще не значит что ему можно сунутся в ДМЗ серверов где стоит кченж с прочектом и динамикс СРМ а юзеру можно только один серв видеть из вне.. и который при этом же должен проветь что и клиента должен стоять антивирь (симантер тренды каспер выберайте определенной версии и с апдейтами не позже 5 дней
0 |
1
07-06-2007 02:02:17
И тут Остапа понесло...
0 |
07-06-2007 09:04:04
просто время пока есть делать нехер
0 |
1
07-06-2007 18:27:54
> 443 открыт это еще не значит что ему можно > сунутся в ДМЗ серверов где стоит кченж с > прочектом и динамикс СРМ пускай хоть засуется. логинов туда не выдано (в соотв.группах доступа не участвует) - пошел вон. долбежка bruteforce - получи по башке. все. > и который при этом же должен проветь что и > клиента должен стоять антивирь изучайте продуктовую линейку любимого вами некософта. задача инвентаризации софта - это SMS. задача обновления антивира - консоль антивира. зачем мешать все в одну кучу ?
0 |
08-06-2007 12:13:05
вы свои личные проблемы только видете...
0 |
08-06-2007 16:03:16
+1 Товарищь неадекватен.
0 |
06-06-2007 13:57:03
в том то и основная проблема, что конфигурировать такие системы можно после 3-го курса сельскохозяйственного техникума. при этом перед начальством не встаёт вопрос компетентности персонала. всё могут делать студенты. Что, вру? Не так что ли? Надо разбираться в том, что делаешь, или не делать напрочь. Админ фаервола-сиди и гляди в tcpdump и логи. Веб сервер у тебя-ты вообще должен формировать http ответы руками. И не надо говорить что "у серьёзных людей очень много серверов и нет времени на такую дребедень". Это несерьёзные люди.
0 |
1
07-06-2007 02:21:56
Есть еще такой вариант - стоит ISA и все авторизует, работает и т.д.... вот только в Инет он ходит через OpenBSD (pf-filter, snod, открыты только нужные порты и т.д.) - в таком раскладе все работает стабильно
0 |
07-06-2007 09:03:30
это уровень хом лана обычно строится впереди сиська за ней ферма макрософта...
0 |
1
07-06-2007 10:49:08
а насколько мне помниЦЦо, у ISA были проблемы с load balancing исходящего из LAN трафика. а вот *nix-based системы это умеют. вообще, вам правильно говорят - все что умеет ISA, Linux умеет тоже, и даже больше. Более того, забесплатно. Кроме того, сиськи опять таки не везде нужны, старый P-II под FreeSCO нормально справляется. ISA имеет смысл когда у тебя есть толковый сертифицированный админ, и вся исключительно сеть построена на винде. А вот если она у тебя гетерогенная, да из винды только 1 терминальный сервер, а домен не AD а LDAP - тогда тебе ISA нафинг не нужна.
0 |
07-06-2007 15:16:11
хоть один вменяевый есть и понимает что каждый продукт для своих решений...
0 |
08-06-2007 16:10:33
я могу и ошибаццо, но по опыту общения с админами виндов стал подозревать что быть "толковым сертифицированным админом" вовсе не обязательно что бы управлять вем этим. можно и так. сверх меры ты не сделаешь-нету галочки-ты её не поставишь. Меньше тоже не сделаешь-функционал можно использовать ничего не понимая в вопросе. уверен, ISA сервер настроит любой студент, даже отвлечённо не знающий где это такое http... rhjvкроме того я видел 1 такой прециндент. после этого я вычищал с этого сервера троянов сутки, а этот сертифицированный специалист (б\п!!!) уехал на заработки в другую организацию. Вот так вот.
0 |
1
07-06-2007 18:08:16
была мысль авторизовать через kerberos, список групп брать по ldaps. но готового решения под squid нет, а свое делать такой геморрой. лучше прокладывать по одному TCP тоннелю от каждой юзерской машины на squid, тогда пароли можно и plaintext.
0 |
1
07-06-2007 20:50:32
squid не гоняет пароли в открытом виде
0 |
06-06-2007 12:01:03
На самом деле ISA 2006 еще немного сыровата. Чтобы ее аж прям сертифицировать.
0 |
06-06-2007 12:27:10
))))) х...я сыровата... не серей чем сквид через год ее кстати не будет (исы) уже... будет продукт форефронт едже, который обьеденит существующий иса и интеледжент гейтвей сегодня ....
0 |
1
07-06-2007 11:35:32
х...я сыровата... не серей чем сквидА сквид то тут при чем? Сквид это вовсе не межсетевой экран. А иса точно сырее морковки с грядки. Черный ящик с ручерками наружу. И конфигурится шаманским способом, типа как во дворе на гитаре учатся играть - большое баре; - лесенка; - кадрат; - малое баре; - квадрат Что при этом происходит ни кто из сертифицированных админов не знат. Зачем? им на занятиях показали "большое баре"
0 |
07-06-2007 15:20:22
ну вот яркий пример того что юниксободобные даже не знаю что иса это также кеш прокси еще и впн, терь буш знать шаманский? а это не шаманский? iptables -A POSTROUTING -t nat -o eth0 -s 192.168.0.149/32 -d ************ -j MASQUERADE
0 |
1
07-06-2007 16:53:59
Отчего же? Как раз в курсе об этом. Это еще один аргумент к тому что ISA дерьмо. Как любой МФУ который умеет все понемногу, но делает все это плохо! Лучше уж пусть файрволом будет iptables, шейпером iproute2, проксей squid (кстати имеет кучу схем авторизации включая AD, кто не в курсе), pptp/ipsec умеет само ядро посредством того же iproute2, кому надо тот прикрутит pptpd + RADIUS. И все эти утилиты делают свое дело ХОРОШО!!! Кто не в состоянии осилить, а умеет только мышкой по экрану возить, тот и платит бабло (вернее разводит начальство), и запустив пару тройку визардов чувствует себя богом... Хоть сам не осознает, что же это он такого тут наконфигурил. Строительство файрвола требует ЗНАНИЙ, и кропотливого труда. Да, надо сидеть за консолью тестить, и внимательно читать логи, а вы как хотели? ISA это решение из двух пунктов: 1. Сделать все. 2. Сделать все зашибись. Сами догадаетесь какого это уровня решение?
0 |
08-06-2007 12:53:22
это уровень компаний очень больших компаний все что тут описано хорошо конечно но вот управляемость а если их 10 а понятие настроил и забыл неприемлемо сейчас ... все описанные сервисы великолепно делает иса, подтверждение того жизнь продукта его развитие миллионная аудитория... по воду мышки по экрану... уже писал не вижу не чуть больше знаний чем запустить майк инсталл и править конфиги по семплам... богом чувствовать вот тут ошибся богами себя чувствуют люди командной строки... а ЗНАНИЙ требует любая работа иса это решение из 2 пунктов работа работа догадываетесь для кого это?
0 |
1
08-06-2007 21:07:57
Дорогой вы мой! Список этих очень крупных компаний в студию! Любая крупная компания как минимум умеет считать. Вот цены на так горячо вами любимый продукт: http://softkey.ru/catalog/program_ver.php?ID=2576&CID=344 А теперь внимание вопрос: Сколько цисок можно купить за такое бабло? Или сколько линухов поставить и заплатить админам за это? Напрягите свой мозг пожалуйста? Я вас уверяю. Не стоит позволять себя зомбировать манагерам Некросовта. Так можно скоро своему мозгу сказать досвидание... Судя по вашим постам вы, ну конечно работаете в крупной компании, верно? Я не ошибаюсь? Поставьте себя на место ее директора или IT манагера. Что вы выберете? Глюкавую ису или проверенную циску или бесплатный линух который все это умеет?
0 |
08-06-2007 16:27:06
В юникс есть один очень важный тезис: каждая программа должна исполнять 1 функцию. Именно поэтому тут нет и не будт таках тугих монстров как isa. Всё можно сдать из маленьких кирпичиков, самому.
0 |
08-06-2007 16:28:27
Конечно при этом делать её очень качественно!
0 |
08-06-2007 16:13:45
+1 Этого достаточно что бы надеть костюм и галстук и гордится собой. 5 аккордов и ты герой в своём дворе
0 |