atsec信息安全公司完成IBM AIX 5.2的共同准则LSPP/EAL4+评估
2006-05-23AIX产品LSPP评估的首次成功
奥斯汀,得克萨斯 2006年5月17日
艾特赛克(atsec)信息安全公司荣幸地宣布,近日完成了AIX操作系统基于共同准则标签安全保护轮廓(LSPP)的首次评估成功。IBM AIX 5.2的第五维护级(AIX 5200-05)在兼容LSPP的基础上,获得了EAL4+ALC_FLR.1级别的成功评估。LSPP定义了支持访问控制相关产品的需求,使其满足受控的访问个人用户和数据客体。
AIX 5200-05获得德国Bundesamt für Sicherheit(BSI)的认证。该操作系统所认证的平台为IBM Power系列的p520、p570和p595服务器。评估工作是由IBM发起进行的。
除了需要对LSPP一致性进行验证,此项评估工作也标记着基于AIX实现的增强访问控制机制的首次测评。除了LSPP需求中所定义的标准的任意访问控制(DAC)和强制访问控制(MAC),AIX 5200-05还实现了如下新的机制:
- 强制的完整性控制(MIC)
- 可信的计算基(TCB)
- 高级安全网络环境(ASN)
- 权限和授权(将root权限分解为一组与内核相关的权限以及与用户空间相关的授权)
众所周知,操作系统的评估工作一般是按要求来完成的,但是由于AIX 5200-05产品所实现的附加访问控制机制,此项评估工作显得尤为复杂。atsec主任评估员Stephan Mueller在此评估项目中作了如下的记录:“与简单的AIX版本相比,AIX 5200-05 LSPP包括了从根本上不同的访问控制功能,因此单就从共同准则模型上下文中定义需求便是一项创造性的工作。”
艾特赛克(atsec)信息安全公司无疑是世界范围操作系统评估的领导者。操作系统评估是该领域最具挑战性的评测工作,atsec在此领域不断赢得更多的经验和信赖。atsec首席科学家Helmut Kurth日前也曾表示:“在共同准则(CC)的官方站点(www.commoncriteriaportal.org)上所列出的42项操作系统的成功评估案例中,其中的22项工作是由atsec公司完成的。”
# # #
关于艾特赛克(atsec)信息安全公司
艾特赛克(atsec)信息安全公司是一家独立且基于标准的IT(信息技术)安全咨询和评估服务公司,它结合丰富的技术知识以及国际经验,为客户提供具有商业导向的信息安全服务。2000 年,atsec 在欧洲的业务成功发展;随后以此为基础,于2003 年5月在美国扩大服务业务,并于近日设立中国的分支机构。atsec挖掘深入的安全、流程和标准专家技术,致力于IT安全需求的广泛的咨询工作,使得客户建立完整的安全管理流程,达到安全风险管理和提高数据、产品和业务流程可靠性的目的。atsec的客户包括诸多世界范围的知名公司,如IBM、惠普、宝马、SGI、Swisscom、RWE和Vodafone。