Common Criteria EAL 4 minősítés Windows termékeknek

forrás Prim Online, 2005. december 15. 18:55
A Microsoft bejelentette, hogy számos Microsoft Windows platformtermék elnyerte a Common Criteria (CC) Evaluation Assurance Level (EAL) 4 és az ALC_FLR.3 minősítést. A nemzetközi szintű CC minősítéseket a NIAP (National Information Assurance Partnership – Országos Informatikai Ellenőrzési Szövetség) adja ki. A CC szabványok azt igazolják, hogy az informatikai termékek szigorú biztonsági követelményeknek megfelelően működnek.
A hat Windows-termék CC minősítését a Microsoft két képviselője – Steve Lipner, biztonsági műszaki stratégiai területért felelős igazgató, illetve David Cross, Windows biztonsággal foglalkozó programmenedzsment-igazgató – vette át a Washingtonban tartott Microsoft Security Summit East rendezvényen.

A NIAP a Microsoft következő termékeinek adott ALC_FLR.3 minősítéssel kiegészített CC EAL 4+ minősítést:

Microsoft Windows Server 2003 Standard Edition (32 bites verzió) SP1 szervizcsomaggal
Microsoft Windows Server 2003 Enterprise Edition (32 és 64 bites verzió) SP1 szervizcsomaggal
Microsoft Windows Server 2003 Datacenter Edition (32 és 64 bites verzió) SP1 szervizcsomaggal
Microsoft Windows Server 2003 Certificate Server, tanúsítvány-kiállítási és –kezelési összetevők (Certificate Issuing and Management Components – CIMC) (3. biztonsági szinthez tartozó védelmi profil, 1.0 verzió)
Microsoft Windows XP Professional SP2 szervizcsomaggal
Microsoft Windows XP Embedded SP2 szervizcsomaggal

A Microsoft platformtermékeinek teljes skáláján végzett független minősítési folyamat során több mint 20 mindennapos alkalmazási helyzettel más néven „terheléssel” végzett értékelést a Science Applications International Corporation (SAIC) akkreditált Common Criteria tesztlaborja. A SAIC szigorú követelményrendszereket valósít meg, a minősítések meghatározása céljából a tesztelést szigorúan és alaposan, forráskód szinten végzi.

„A Windows platform biztonság szempontjából kritikus helyzetekben történő alkalmazhatóságára vonatkozóan megnyugtató bizonyítékot ad a Common Criteria-minősítés, illetve az SDL kezdeményezéshez való csatlakozás” – mondta Franchina Luisa, az olaszországi Kommunikációs és Informatikai Intézet vezetője.

A Microsoft termékpalettáján egyre több a minősített termék, a szoftverek minőségének terén elért jelentős előrelépésekkel párhuzamosan. A Microsoft az SDL (Security Development Lifecycle – „biztonságos fejlesztési életciklus”) kezdeményezés révén egyedülálló megközelítéssel építette be termékfejlesztési folyamatába az elmúlt három év koncentrált biztonsági erőfeszítései során felgyülemlett tudást és tapasztalatokat.

2005 novemberében a Microsoft bejelentette három kulcsfontosságú termékének új verzióját, a Microsoft Visual Studio 2005-t, a Microsoft SQL Server 2005-t és a Microsoft BizTalk Server 2006 Beta 2-t. Ezek a Microsoft első olyan termékei, amelyek a koncepció-fázisától kezdve a megjelenésig, az SDL folyamat mentén jöttek létre. A Microsoftnak az SDL kezdeményezéssel kapcsolatos munkája során új, a biztonságra koncentráló kódelemző és hibakeresési eszközök – például a PREfast és az FxCop – is elkészültek a Visual Studio 2005 rendszer részeként. A Microsoft eltökélt szándéka, hogy az összes jelentős új, az internettel kapcsolatos, illetve nagyvállalati szintű termékfejlesztését az SDL folyamat alkalmazásával végzi.

„A Microsoft a Windows platformtermékek Common Criteria minősítésének elnyerésével újabb lépést tett Megbízható Számítástechnika nevű koncepciójának építésében” – fogalmazott Charles Kolodgy, az IDC biztonsági termékek kutatásáért felelős igazgatója. „A minősítések olyan magas szintű garanciát jelentenek a biztonsági képességekkel kapcsolatban, illetve az SDL kezdeményezés alkalmazásával olyan szintű előrelépéseket sikerült elérni a szoftverek minőséget terén, amelyek jól mutatják a Microsoft biztonság iránti elkötelezettségét, ezt pedig különösen a kormányzati szektorban értékelik nagyra, de bármely más szervezet számára is megfontolandók.”

A Windows platformtermékek elnyert minősítései az Exchange Server 2003, az Internet Security and Acceleration Server (ISA Server) 2004, a Microsoft Windows 2000 Professional és a Microsoft Windows 2000 Server, illetve Advanced Server termékek már elnyert EAL 4 minősítése mellé zárkóznak fel.

A Microsoft Windows platformtermékek minősítésével kapcsolatban további tájékoztatást a http://www.microsoft.com/technet/security/prodtech/windowsserver2003/ccc/cccwp.mspx webhely tartalmaz.

A „Megbízható Számítástechnika” és az SDL koncepciójáról a http://msdn.microsoft.com/security/default.aspx?pull=/library/en-us/dnsecure/html/sdl.asp webhely nyújt további információkat.