本周三,微软公司从美国政府国家信息安全保证联邦(NIAP)处为旗下六个版本的Windows操作系统获得了共同准则(CC)安全认证。
微软在东部安全大会上宣布,两个版本的Windows XP SP2和四个版本的Windows Server 2003已经获得了CC EAL 4+级缺陷修复安全等级。这是商业产品所能得到的最高等级的鉴定,目前已得到美国、加拿大、英国、德国等14个国家的认可。Windows 2000系统此前也已经获得了此等级。
微软安全工程策略主管Steve Lipner在接受采访时表示,该认证是微软保证软件安全的有力证明,而且微软一直坚持在产品安全问题上走自己的独立之路。
Lipner还介绍说,不同版本的Windows XP和Windows Server 2003已经在测试实验室中接受了20多种情况下的模拟考验,包括源代码级别上极其严厉和详尽的测验。
EAL即信息技术安全性评估保证,提供了描述和预测特别的操作系统和网络的安全行为的通用方法,共分七个等级,等级越高要求越严格。
CC安全认证于1999年被批准成为国际标准,在制定软件购买政策和增强用户对IT产品安全性的信心等方面可以帮助用户对IT产品进行关键性评估。该认证对政府部门、金融机构等敏感市场的重要性不言而喻,普遍被作为软件购买的指南。
有批评人士认为,CC认证并不能真实反应一件产品在综合情况下的安全本质,因为它对各种情况的考虑并不周全。
对此,Lipner指出,此次评估包括了安全性能、用户鉴定与授权、访问控制、安全审核、防火墙和加密等诸多方面,微软认为EAL 4+认证符合其安全开发的生命周期(SDL),二者的结合可以为用户带来更充分的安全信心。