安全Linux竞赛

　　来源：信息周刊

　　欧美的软件供应商们已经加入到了新一代Linux 开源操作系统开发竞赛中。新版本的Linux开源操作系统将更安全、更容易管理，而且更经济，以确保能够被市场广泛地接受。这些公司包括Linux开发商曼德拉克软件公司（MandrakeSoft SA）、欧洲软件制造商联盟，以及提供安全传输敏感数据软件的信赖计算机方案公司（Trusted Computer Solutions .Inc）。

　　由于得到了法国国防部三年总额8,600万美元的合同，曼德拉克软件公司计划与系统和软件开发商伯蒂技术集团（Bertin Technologies Group）、雅鲁那公司（Jaluna）以及赛洛克公司（Surlog）一起，共同开发一个基于Linux的操作系统。这套操作系统将达到CC- EAL5（安全评估通用标准等级5）的安全标准。奥匹达公司（Oppida）将采用国际IT安全通用标准来评估该操作系统。奥匹达公司是法国国家安全局的授权服务提供商。

　　根据信赖计算机方案公司的计划，公司在2004年年底发布Trusted Linux操作系统的测试版本，并在2005年初推向市场。它已经开始开发一个更加安全的Linux版本，在其安全办公（SecureOffice）数据共享程序下运行。公司希望其开发的Trusted Linux能够通过CC-EAL4认证。

　　一些分析师警告称，不要盲目相信达到安全标志就等于达到了一定的安全等级。安全评估等级（EAL）只是代表评估过程的严格程度，而不是被评估系统的实际安全能力。顾能公司（Gartner）研究总监安特?艾伦（Ant Allan）在其2004年6月发表的关于Linux安全性的研究报告中称，对用户更重要的是知道操作系统的哪个部分通过了认证评估。

　　“通用标准（common criteria, CC）认证并不能保证任何Linux（发布版本）没有漏洞，”艾伦说，“缺陷和补丁是不可避免的。”艾伦同时指出，2004年年初，带有软件服务包3的 SuSE Linux Enterprise Server 8 软件在可控式存取保护设定档（Controlled Access Protection Profile, CAPP)的情况下，才通过了EAL3+的认证。