BSI和atsec发布操作系统保护轮廓(OSPP)
2010-07-06德克萨斯州,奥斯汀 atsec很荣幸地宣布新的针对操作系统的通用准则保护轮廓已经发布,该保护轮廓的开发用于德国联邦信息安全办公室(BSI),由atsec与操作系统保护轮廓(OSPP)论坛合作完成。目前该论坛成员包括Argus Systems、惠普、IBM(AIX小组、z/OS小组以及Linux小组)、Juniper Networks、微软、Novell (SUSE),Oracle,Red Hat,SUN,Univention,BSI,NIAP,以及atsec。
当查看当前网络化系统的现状,很少有专门的操作系统保护轮廓(OSPP)指明了适用于这些系统的、业界认可的功能性和保障性需求,由此看来对第二代经认证的OSPP的需求显而易见。典型的操作系统已经由单一独立的系统演变为更复杂、分布式、网络化的多主机环境,而多个原有保护轮廓(包括广泛引用的标签安全保护轮廓、基于角色访问控制RBAC和受控访问保护轮廓CAPP)则显得过时。而且,操作系统上运行的应用依赖于一个安全的平台。近十年来,由多个现代操作系统提供的保障性使得EAL4成为该技术的准则,而领导厂商将继续建立其壁垒。
OSPP论坛(包括atsec)的成员拥有几十年的安全经验,其安全架构更是来自于领导厂商的主流操作系统。通过这样一个合作来制定操作系统安全标准是一个典范,它将近几年的进步整合为现代操作系统整体安全的形态。
atsec的实验室主任Gerald Krummeck总结说:“atsec非常荣幸BSI能给我们一个机会,使得我们实验室在执行世界范围内大多数操作系统评估的先进经验可以提炼到保护轮廓中。通过与BSI召集的专家经验相组合,我们与OSPP论坛一同定义了用于服务器和工作站的保护轮廓,以满足政府部门和商业用户的需求。那真的是操作系统保护轮廓的新的一页。”
OSPP项目定义了安全功能的通用基础,并添加了一系列广泛认可的、灵活的安全需求。这些安全需求的认可得到了业界的广泛支持和证明。
OSPP的一个重要特性就是其灵活性。通过使用一个安全功能的强制的基本包(base package)以及一系列的扩展包,OSPP充分利用并提升了CC标准的package机制。该保护轮廓对未来的更新是开放的,可定期进行完善。
OSPP论坛认可了以下基本安全功能:
- 本地审计
- 通讯链接的密码学保护
- 基于自主访问控制的用户数据保护
- 包过滤功能
- 安全管理
- 添加缺陷修复的EAL4保障级别
另外,在评估OSPP合规性时,以下安全功能可选:
- 基于角色的管理
- 集中审计服务器
- 专用加密技术
- 集中标识和认证机制
- 完整性校验
- 基于标签的访问控制
- 可信任的启动能力
- 虚拟化(基于硬件或基于软件)
BSI开发OSPP的负责人Matthias Intemann说:“当启动该项目时,我们期望创建一个统一的方法来评估操作系统。这就要涵盖多个保护轮廓的多种方法,并且每部分还基于不同的CC版本。在使用每个方法对应安全功能需求包的办法后,使得所有的参与方集中于安全性,而很少担心覆盖正式的方面。另外,我们希望与国际通用准则认可协定(CCRA)的定义保持一致。在一个管理良好的环境中,通过该方法定义了来自每个现代操作系统的客户和开发人员期望的安全需求。”
atsec的首席科学家、ISO/IEC TR 15446的合作编写者Helmut Kurth说:“这是一个保护轮廓和安全目标生成的指导”。OSPP的一位编写者评论到:“我们非常高兴地看到该项目的结果:OSPP提供了一个灵活的方法,使得由不同操作系统实施的安全功能可以进行考量;OSPP基于来自现代操作系统的安全功能需求的最佳实践,并解决安全操作系统实施的问题;开发也包括了来自业界和政府的专家建议。该保护轮廓的设计将对未来的开发进行开放。与厂商、用户、评估人员、认证人员紧密合作进行保护轮廓开发的流程应成为开发规范的标准,包括在通用准则保护轮廓的开发,以及依赖于联合行动的电子安全规范的开发中。借助于对苹果、Cray,IBM,Microsoft,Novell SUSE,Red Hat和Silicon Graphics等不同厂商的操作系统的长期评估经验,atsec的能力是开发保护轮廓的关键因素,而其将用以评估现代操作系统所提供的安全功能。”
可通过BSI站点对OSPP进行浏览。
# # #
关于atsec信息安全
atsec是一家独立且基于标准的IT(信息技术)安全咨询和评估服务公司,它拥有丰富的技术知识和国际经验,为客户提供具有商业导向的信息安全解决方案。2000年1月,atsec首先成立于德国慕尼黑。随着在国际范围业务的迅速发展,atsec先后在美国、瑞典、中国壮大。atsec的服务包括正式的实验室测试及评估、独立的测试及评估,以及信息安全咨询。
atsec还提供IT安全正式认证的评估和测试服务,包括美国,德国和瑞典通用评估准则(Common Criteria)体系的评估,美国NIST(National Institute of Standards and Technology)和加拿大CSEC(Communications Security Establishment Canada)体系的密码模块和密码算法评测。
atsec的客户包括全球首屈一指的公司如Apple,Cray,Hewlett-Packard,IBM,Microsoft,Oracle和Red Hat等。