atsec信息安全公司完成IBM AIX 5.2的共同准则LSPP/EAL4+评估

AIX产品LSPP评估的首次成功

奥斯汀，得克萨斯 – 2006年5月17日

艾特赛克（atsec）信息安全公司荣幸地宣布，近日完成了AIX操作系统基于共同准则标签安全保护轮廓（LSPP）的首次评估成功。IBM AIX 5.2的第五维护级（AIX 5200-05）在兼容LSPP的基础上，获得了EAL4+ALC_FLR.1级别的成功评估。LSPP定义了支持访问控制相关产品的需求，使其满足受控的访问个人用户和数据客体。

AIX 5200-05获得德国Bundesamt für Sicherheit（BSI）的认证。该操作系统所认证的平台为IBM Power系列的p520、p570和p595服务器。评估工作是由IBM发起进行的。

除了需要对LSPP一致性进行验证，此项评估工作也标记着基于AIX实现的增强访问控制机制的首次测评。除了LSPP需求中所定义的标准的任意访问控制（DAC）和强制访问控制（MAC），AIX 5200-05还实现了如下新的机制：

• 强制的完整性控制（MIC）
• 可信的计算基（TCB）
• 高级安全网络环境（ASN）
• 权限和授权（将root权限分解为一组与内核相关的权限以及与用户空间相关的授权）

众所周知，操作系统的评估工作一般是按要求来完成的，但是由于AIX 5200-05产品所实现的附加访问控制机制，此项评估工作显得尤为复杂。atsec主任评估员Stephan Mueller在此评估项目中作了如下的记录：“与简单的AIX版本相比，AIX 5200-05 LSPP包括了从根本上不同的访问控制功能，因此单就从共同准则模型上下文中定义需求便是一项创造性的工作。”

艾特赛克（atsec）信息安全公司无疑是世界范围操作系统评估的领导者。操作系统评估是该领域最具挑战性的评测工作，atsec在此领域不断赢得更多的经验和信赖。atsec首席科学家Helmut Kurth日前也曾表示：“在共同准则（CC）的官方站点（www.commoncriteriaportal.org）上所列出的42项操作系统的成功评估案例中，其中的22项工作是由atsec公司完成的。”

# # #

关于艾特赛克（atsec）信息安全公司
艾特赛克（atsec）信息安全公司是一家独立且基于标准的IT（信息技术）安全咨询和评估服务公司，它结合丰富的技术知识以及国际经验，为客户提供具有商业导向的信息安全服务。2000 年，atsec 在欧洲的业务成功发展；随后以此为基础，于2003 年5月在美国扩大服务业务，并于近日设立中国的分支机构。atsec挖掘深入的安全、流程和标准专家技术，致力于IT安全需求的广泛的咨询工作，使得客户建立完整的安全管理流程，达到安全风险管理和提高数据、产品和业务流程可靠性的目的。atsec的客户包括诸多世界范围的知名公司，如IBM、惠普、宝马、SGI、Swisscom、RWE和Vodafone。