Windows 2000 признана безопасной

Microsoft объявила, что Windows 2000 прошла все испытания, необходимые для получения сертификата безопасности, признанного в 15 странах

Сертификат Common Criteria гарантирует, что основные компоненты Windows 2000 соответствуют определенному уровню безопасности, хотя случайные пробелы в защите операционной системы все же могут присутствовать. Стремление пройти процесс сертификации, на что ушло почти три года, говорит о том, что Microsoft серьезно настроена в отношении безопасности, заявил вице-президент и главный инженер Microsoft Крейг Манди (Craig Mundie). «Для тех, у кого есть вопросы о размерах наших инвестиций и уровне наших проектов, это свидетельство... нашей приверженности обеспечению безопасности», — сказал он.

Сертификат, за который отвечает Ассоциация международных организаций по стандартизации, может облегчить продажу Windows 2000 государственным учреждениям в странах, где признают этот документ, — в их числе США, Канада и Великобритания. Основанный на наборе спецификаций Министерства обороны для надежных систем, называемом «Оранжевой книгой», Common Criteria гарантирует не отсутствие ошибок в операционной системе или прикладном ПО, а то, что порядок разработки и поддержки продукта отвечает требованиям определенного уровня стандартов.

Windows 2000 сертифицирована на уровне Evaluation Assurance Level (EAL) 4, который на веб-сайте Common Criteria определяется как «методично разработано, испытано и проверено». Это высший уровень сертификации, на который может аттестовать коммерческая лаборатория. На более высокие уровни — EAL 5, 6 и 7 — должны аттестовывать государственные агентства.

Хотя сертификация не дает гарантий, она все равно полезна, считает аналитик Gartner Джон Пескатор (John Pescatore). «Это самый значительный тест из всех, что у нас есть. Это не построчная проверка кода, но он гарантирует, что функции защиты работают и их невозможно взломать», — говорит он.

Оценку Windows 2000 по заказу Microsoft выполняла испытательная лаборатория Common Criteria компании Science Applications International Corp. (SAIC). Это первый случай сертификации продукта Microsoft по нескольким параметрам. Кроме основной ОС, SAIC сертифицировала и другие компоненты, включая сервис Active Directory, поддержку виртуальной частной сети (VPN) Windows 2000, функцию единой подписи, реализацию стандарта защиты сети Kerberos и шифрованную файловую систему Windows 2000. В 1999 году Microsoft получила более раннюю версию сертификата Common Criteria, называемую С2, для своей операционной системы Windows NT. Однако сетевые функции тогда не сертифицировались, что ставило под сомнение ценность этого документа.

Хотя полученная Windows 2000 оценка, несомненно, послужит украшением операционной системы, сегодня, по словам Пескатора, проверку на соответствие требованиям Common Criteria могли бы пройти многие ОС. «Большинство версий Solaris и некоторые версии Linux также соответствуют этому уровню», — сказал он. В мае Sun Microsystems объявила, что Trusted Solaris 8, версия с повышенной степенью защиты ее операционной системы Solaris, получила сертификат Common Criteria. Apple также объявила о своем намерении сертифицировать MacOS, а группа, вырабатывающая политику движения open-source, надеется организовать сертификацию Linux.

Microsoft сделала свое заявление на конференции Federal Information Assurance Conference (FIAC) 2002 в Колледж-Парке (штат Мэриленд).