2006年2月 - atsec信息安全公司是一家独立且基于标准的信息技术(IT)安全咨询和评估服务公司,日前完成了红帽(Red hat)公司Linux 4在IBM服务器平台上的共同准则(CC)评估工作。红帽Linux 4操作系统平台被美国国家信息安全保障合作组织(NIAP) 通用标准评估与确认方案(CCEVS)评定为评估保证级别(EAL)4+级和受控访问保护轮廓(CAPP),该轮廓中涉及一系列IT产品的安全功能和保证要求。
红帽Linux EAL4的评估工作是在NIAP CCEVS执行准则下,Linux产品在此级别评估的首次成功。Atsec公司的CC实验室经理Fiona Pattinson表示: “atsec和IBM在评估Linux方面的成熟能力使得此次评估工作在美国方案下的顺利和按时完成。”
此项目的成功基于atsec公司长期以来多于20个CC评估成功案例,这些案例分别包括不同的厂商基于德国BSI和美国CCEVS计划的六次五种不同Linux平台的EAL2、EAL3和EAL4+级别的Linux评估。
Linux安全性还将持续提高。红帽公司Linux 5产品将被评估为EAL4级别,包括CC所互认的、定义在三个保护轮廓的安全功能:受控访问保护轮廓(CAPP),标签式安全保护轮廓(LSPP)和基于角色的访问控制保护轮廓(RBAC)。这些轮廓支持中央情报领导指示(DCID)6/3中四级保护的要求,该要求指出了安全和系统评定相关的安全情报,包括那些高机密性和低交互性(TSABI)所必要的。
更重要的是,此次评估是红帽公司Linux 4的第一次评估。为了满足CAPP的要求,审计子系统被重新实现。通过Linux开发中的开放源代码的固有合作方式,审计子系统解决方案被重新返回到开放代码社区讨论并最终接受。自从2004年以来,首席评估员Stephan Mueller负责atsec公司的Linux项目,他日前表示:纵观atsec在Linux评估项目的历史,我非常吃惊商业公司对开放源代码社区的支持力度。IBM展示了其对开放代码社区真正承担的责任,同样对于安全方面,它通过共享其真实投资的结果完成了此次红帽Linux 4评估。
在美国城市San Jose召开的RSA会议正式宣布了红帽Linux 4 CAPP/EAL 4+评估的成功完成。
