atsec对两个多功能打印机的IEEE保护轮廓进行评估
2010-09-21德克萨斯,奥斯汀 / 德国,慕尼黑–atsec代表IEEE对两个规定了不同环境下多功能打印机的安全功能和安全保障需求的保护轮廓进行了评估。
每个保护轮廓(Protection Profiles,PP)都提出了潜在入侵和威胁场景下的不同的假定。这些保护轮廓都包含了独特的基本功能,也包含了指定额外要求的进一步SFR包,如果打印机实现了由该包所覆盖的机制。例如,对于不可变存储的SFR中的一个补充包定义为:如果评估的设备中包含不可变存储,那么ST就必须包含不可变存储包。
保护轮廓2600.1在美国国家信息保障组织的评估与认证体系(NIAP CCEVS)体制下进行了评估,并且作为美国政府认可的轮廓列入美国国家信息保障组织网站上。IEEE针对A操作环境下保护轮廓(Protection Profile in Operational Environment A)致力于“限定的商业信息处理环境的硬拷贝设备,这个环境下要求相对高等级的文件安全、操作责任和安全保障。在该环境下处理的典型的信息是商业机密、重要任务,或者需要考虑法律和法规,比如隐私或者政府要求。该环境不是旨在支持重要生活或者国家安全应用”。
PP 2600.2在BSI体系下进行了评估并且在BSI网站上可用。对B操作环境下保护轮廓(Protection Profile in Operational Environment B)的IEEE标准针对“商业信息处理环境的硬拷贝设备,这个环境要求中等的文件安全、网络安全和安全保障。典型的,日常所需用于企业的所有权和非所有权信息将被这一环境所处理。”
Helmut Kurth,atsec首席科学家,ISO/IEC TR 15446(制定保护轮廓和安全目标的指导)主编,也是建议IEEE开发该保护轮廓的主导者,评论道:“IEEE开发了保护轮廓家族,代表了产业协会协调特殊类别产品(这里指多功能打印机设备)的安全功能,并且采用通用评估准则保护轮廓的形式说明这些功能的又一实例。这也是通用评估准则中定义的包概念首次广泛的应用来覆盖提供的不同功能。智能卡产业表明产业协会发展的保护轮廓比仅由政府发展的保护轮廓得到更多的认可,并且展示了产业已经意识到使用通用评估准则为基准协调安全功能和保障方法要求的价值。”(其英文原文如下:“The IEEE developed family of Protection Profiles represent another example of an industry consortium harmonizing the security functionality for a specific class of products (in this case multi-function printer devices) and specifying those functions in the form of a Common Criteria protection profile. It was also the first time the package concept defined in the Common Criteria has been used extensively to cover the different types of function that can be offered. The smart card industry has shown that protection profiles developed by industry consortiums get a much wider acceptance than those just developed by governments and it also shows that industry sees the benefit of harmonizing the requirements for security functionality and assurance measures using the Common Criteria as a basis.”)
作为IEEE标准的保护轮廓可以在IEEE的网站上免费获得,网址为:http://standards.ieee.org/getieee/2600.
IEEE与众多多功能设备企业一起合作进行保护轮廓的开发,包括Canon、Fuji Xerox、Hewlett-Packard、InfoPrint Solutions、Konica Minolta、Kyocera Mita、Lexmark、Oce、Oki Printing Solutions、Ricoh、Samsung、Sharp、Toshiba TEC Corporation和Xerox。由这些企业合作发展的保护轮廓为企业针对产业可接受的安全功能和保障级别提供了实用且有意义的标准。
配套标准IEEE 2600.3™-2009标准IEEE Std 2600™-2008操作环境C*下的硬拷贝设备保护轮廓和IEEE 2600.4™-2010标准IEEE Std 2600™-2008操作环境D*下的硬拷贝设备保护轮廓在电机及电子学工程师联合会(IEEE)的网站可以获得。
atsec被三个国家的体系(美国国家信息保障合作组织(National Information Assurance Partnership,NIAP),通用评估准则与确认方案(Common Criteria Evaluation and Validation Scheme,CCEVS),德国联合信息安全办公室(Bundesamt fuer Sicherheit in der Informationstechnik,BSI),以及瑞典FMV负责的通用评估准则体系(Sveriges Certifieringsorgan foer IT-suekerhet ,CSEC))认可作为通用评估准则评估实验室,atsec在NIAP和BSI体系下执行保护轮廓评估具有领导的地位。
关于atsec信息安全
艾特赛克信息安全(atsec information security)是一家独立且基于标准的信息技术(IT:Information Technology)安全服务公司(www.atsec.com),它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec在德国慕尼黑成立于2000年,并且通过美国、德国、瑞典和中国的办公室开展了广泛的国际业务。atsec提供的服务包括正式的实验室测试和评估、独立的测试和评估以及信息安全咨询。