(openPR) Erste LSPP AIX-Produktevaluation
atsec information security hat die erste Common Criteria Evaluation des AIX-Betriebssystems mit Prüfung der Konformität zum „Labeled Security Protection Profile (LSPP)“ erfolgreich abgeschlossen. Die Common Criteria sind ein international anerkannter Standard, der von Regierungen und anderen Organisation genutzt wird, um die Sicherheit und Vertrauenswürdigkeit von IT-Produkten zu bewerten. Die Zertifizierung auf Stufe EAL 4 verlangte eine tiefgehende Analyse des Produktdesigns und der Entwicklungsmethodik, sowie ausführliche Tests. Das Schutzprofil LSPP definiert Anforderungen, die es ermöglichen, den Fluss von Informationen zwischen Nutzern und Datenobjekten entsprechend ihrer Klassifizierung zu kontrollieren.
IBM AIX 5.2 (AIX 5200-05) wurde erfolgreich in die Stufe EAL 4 (erweitert durch ALC_FLR.1) evaluiert und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für den Betrieb auf der IBM Power Serie p520, p570 und p595 zertifiziert.
In dieser Evaluation werden neben der Übereinstimmung mit LSPP zum ersten Mal auch die die erweiterten Zugriffskontrollen von AIX geprüft. Neben den üblichen Mechanismen Discretionary Access Control (DAC) und Mandatory Access Control (MAC) sind in IBM AIX 5.2 (AIX 5200-05) folgende Neuerungen implementiert:
– Mandatory Integrity Control (MIC)
– Advanced Security Networking (ASN)
– Privileges and Authorizations (teilt die root-Privilegien in ein Set von Privilegien, die relevant für den Kernel sind, und Authorisierungen, die sich auf den Userspace beziehen)
Betriebssystem-Evaluationen sind immer eine Herausforderung. Auf Grund der komplexen Sicherheitsfunktionen war die Evaluation von IBM AIX 5.2 (AIX 5200-05) besonders anspruchsvoll. Stephan Müller, atsec Lead Evaluator für dieses Projekt, erläutert: „Da sich AIX 5200-05 LSPP in den Sicherheitsfunktionen und der Architektur sehr von früheren AIX-Versionen unterscheidet, waren deutlich mehr Funktionen einer Prüfung nach Common Criteria zu unterziehen.“
atsec information security ist der Marktführer in Common Criteria-Evaluationen für Betriebssysteme. Die Evaluation von Betriebssystemen ist die Königsdisziplin innerhalb der Common Criteria-Evaluation, ein Bereich, in dem atsec seinen Ruf als Marktführer weiterhin erfolgreich ausbaut. Helmut Kurth, atsec Chief Scientist, bemerkt dazu: „Von den 45 erfolgreichen Betriebssystem-Evaluationen weltweit (nachzulesen unter www.commoncriteriaportal.org), wurden 24 von atsec durchgeführt.” (Stand 18. 5. 2006)
Über atsec information security
atsec information security ist ein unabhängiges Beratungsunternehmen im Umfeld der Informationssicherheit, das einen auf die Geschäftsprozesse fokussierten Ansatz mit tiefem technischen Know-how und internationaler Erfahrung kombiniert. atsec nutzt das Fachwissen über Sicherheit, Prozesse und Standards, um seine Kunden mit einer Vielzahl von IT-Sicherheitsdienstleistungen zu unterstützen und damit zu verbesserten Geschäftprozessen und Produkten beizutragen. atsec zählt führende internationale Unternehmen wie IBM, HP, Swisscom, BMW, RWE, SGI und Vodafone zu seinen Kunden. Mehr Informationen finden Sie unter www.atsec.com.
Pressekontakt:
Andreas Fabis
atsec information security
+1-512-615-7317
