国家标准 GB/T29240一2012 信息安全技术终端计算机通用安全技术要求与测试评价方法 nformationseeuritytechnology Generalsecuritytechniguereguirementsandtestingevaluationetho0d forterminalcomputer 2012-12-31发布 2013-06-01实施国家质量监督检监检疫总局发布国家标准花管理委员会国家标准
GB/T29240一2012 目次前言引言范围规范性引用文件术语和定义、缩略语术语和定义缩略语安全技术要求 A第一级 4.2第二级三级勒 4.3 第四级 4 4 4.5第五级测试评价方法 2: 5.1测试环境 23 5.2第一级 23 瓦.了第二级 29 5.4第三级 38 5.5第四级 5 5.6第五级 67 参考文献
GB/T29240一2012 前言本标准按照GB/T1.1一2009给出的规则起草本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本标准起草单位;公安部计算机信息系统安全产品质量监督检验中心,联想控股有限公司本标雅主要起草人;邱粹华,韦卫,宋好好、王京旭,张艳、顾健、吴秋新、顾玮赵婷、宁晓、邹春明张笑笑,俞优,冯荣峰
GB/T29240一2012 引言本标准包含两部分内容，一部分是终端计算机的通用安全技术要求,用以指导设计者如何设计和实现终端计算机,使其达到信息系统所需安全等级,主要从信息系统安全保护等级划分的角度来说明对终端计算机的通用安全技术要求和测试评价方法,即主要说明终端计算机为实现GB17859一1999中每个保护等级的安全要求应采取的安全技术措施本标准将终端计算机划分为五个安全等级,与信息系统的五个等级一 -对应考虑到可信计算是当今终端计算机安全技术主流发展方向,所以在整个终端计算机安全体系设计中凸显可信计算技术理念,特别是在高安全等级(指3至5级)的安全技术措施设置方面,强调采用基于自主可信计算技术标准的可信计算功能特性,而且我国主流终端计算机厂商已建立起相关产业环境,因此,本标准的技术路线选择能够适应我国终端计算机安全技术产业发展水平; 另一部分是依据技术要求,提出了具体的测试评价方法,用以指导评估者对各安全等级的终端计算机评估,同时也对终端计算机的开发者提供指导作用本标准部分条款引用了其他标准的内容,有些是直接引用的,有些是间接引用的,对于直接引用的请参考被引用标准的具体条款对于间接引用的,以本标准文本的描述为准为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强,在第4章的描述中,每一级的新增部分用“宋体加粗”表示
GB/T29240一2012 信息安全技术终端计算机通用安全技术要求与测试评价方法范围本标准按照国家信息安全等级保护的要求,规定了终端计算机的安全技术要求和测试评价方法本标准适用于指导终端计算机的设计生产企业、使用单位和信息安全服务机构实施终端计算机等级保护安全技术的设计,实现和评估工作规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB178591999计算机信息系统安全保护等级划分准则 GB/T17901.1一1999信息技术安全技术密钥管理第1部分;框架 GB/T20271一2006信息安全技术信息系统通用安全技术要求 GB/T20272一2006信息安全技术操作系统安全技术要求术语和定义,缩略语 3.1术语和定义 GB178591999,GB/T20271一2006和GB/T202722006界定的以及下列术语和定义适用于本文件 3.1.1 终端计算机 terminalcompute" 供个人使用的,能独立进行数据处理及提供网络服务访间的计算机系统注;终端计算机一般为台式微型计算机系统和便携微型计算机系统两种形态,终端计算机通常由硬件系统、操作系统和应用系统包括为用户访问网络服务器提供支持的工具软件和其他应用软件)等部分组成 3.1.2 完整性度量integritymeasurement 使用杂凑算法对被度量对象计算其杂凑值的过程 3.1.3 完整性度量值integritymeasurementvalue 部件被杂凑算法计算后得到的杂凑值 3.1.4 完整性基准值predefinedintegriyalue 部件在发布时或在可信状态下被度量得到的杂凑值,作为完整性校验的参考基准 3. 1.5 rootoftrustforeasurement 可信度量根一个能够可靠进行完整性度量的计算引擎,是信任传递链的起始点
GB/T29240一2012 3.1.6 可信存储根rootoftrustforstorage 个能够可靠进行安全存储的计算引擎 3.1.7 动态可信度量根ddynamicrootoftrustformeasurement 可信度量根的一种,支持终端计算机对动态启动的程序模块进行实时可信度量 3.1.8 可信报告根rootoftrustforreporting -个能够可靠报告可信存储根所保存信息的计算引擎 3.1.9 可信密码模块trustedcryptographymodule 可信计算平台的硬件模块,为可信计算平台提供密码运算功能,具有受保护的存储空间 3.1.10 信任链trustelechain 在计算系统启动和运行过程中,使用完整性度量方法在部件之间所建立的信任传递关系 3.1.11 安全支撑系统seeurityspportsystenm 终端计算机在操作系统安全基础上构建系统身份标识与鉴别、数据保护和运行安全防护等安全功能的系统,支撑终端计算机的安全运行,管理与维护 .1.12 终端计算机安全子系统seurity subsystemofterminaleomputer 终端计算机内安全保护装置的总称,包括硬件固件,软件和负责执行安全策略的组合体注1:按照GB17859-1999对TeB(可信计算基)的定义,ssoTc(终端计算机安全子系统)就是终端计算机的TCB. 注2:终端计算机安全子系统建立了一个基本的终端计算机安全保护环境,并提供终端计算机所要求的附加用户服务终端计算机安全子系统应从硬件系统、操作系统、应用系统和系统运行等方面对终端计算机进行安全保护 3.1.13 ssoIc安全功能ssoIcseeurityfunetion 正确实施ssoTC安全策略的全部硬件,固件,软件所提供的功能每一个安全策略的实现,组成一个安全功能模块一个ss0Tc的所有安全功能模块共同组成该SsoTc的安全功能 3.1.14 SSoIC安全控制范围sSoIcscpeofcontrol SSOTC的操作所涉及的主体和客体 3.1.15 urty oies ssoTC安全策略sSsoTcsee p0 对ss0TC中的资源进行管理、保护和分配的一组规则注:一个ssoTc中可以有一个或多个安全策略 3.2缩略语下列缩略语适用于本文件 BIOS basic 基本输人输出系统 inputoutputsystem MBR (masterbootrecorder 主引导记录
GB/T29240一2012 SSOTC ofcontrol SsC SSOTC控制范围 scope SSF (ssoTCsecurity" Ss0TC安全功能 function 终端计算机安全子系统 SSOTC securitysubsystemofterminalcomputer ssP ss(oTc安全策略 SS0TCsecuritypoliey TCM 可信密码模块 trustedcryptographymodule 安全技术要求 4.1第一级安全功能要求 4.1.1.1 硬件系统设备安全可用应按GB/T20271一2006中6.1.1.2的要求,从以下方面设计和实现终端计算机的设备安全可用功能 a)基本运行支持;终端计算机的设备应提供基本的运行支持,并有必要的容错和故障恢复能力 4.1.1.1.2设备防盗应按GB/T20271一2006中6.1.1.2的要求,从以下方面设计和实现终端计算机的设备防盗功能 a)设备标记要求;终端计算机的设备应有明显的无法除去的标记,以防更换和方便查找 4.1.1.2操作系统应按GB/T20272一2006中4.1.1的要求,从身份鉴别、自主访问控制两个方面,来设计、实现或选 -级终端计算机所需要的操作系统购第一 4.1.1.3安全支撑系统 4.1.1.3.1运行时防护应按GB/T20271一2006中6.1.2.5的要求,从以下方面设计和实现终端计算机的运行时防护功能恶意代码防护 a -对文件系统、内存和使用时的外来介质采用特征码扫描,并根据扫描结果采取相应措施清除或隔离恶意代码恶意代码特征库应及时更新 4.1.1.3.2备份与故障恢复为实现确定的恢复功能,应在终端计算机正常运行时定期地或按某种条件实施备份应根据以下要求,实现备份与故障恢复功能: a用户数据备份与恢复;应提供用户有选择地备份重要数据的功能,当由于某种原因引起终端计算机中用户数据丢失或破坏时,应能提供用户数据恢复的功能 4.1.2ssoc自身安全保护 4.1.2.1操作系统的自身安全保护应按GB/T20272一2006中4.1.2的要求,设计和实现操作系统的自身安全保护
GB/T29240一2012 4.1.3sSSsoIC设计和实现 ssOTC的设计和实现要求如下: a)配置管理;按GB/T20271一2006中6.1.5.1的要求,实现终端计算机第一级的配置管理; b分发和操作按GB/T20271一2006中6.1.5.2的要求,实现终端计算机第一级的分发和操作; 开发;按GB/T20271一2006中6.1.5.3的要求,实现终端计算机第一级的开发; d文档要求;按GB/T20271一2006中6.1.5.4的要求,实现终端计算机第一级的文档要求; 生存周期支持;按GB/T302们1一2006中6.1.5.5的要求,实现终端计算机第一级的生存周期支持; 测试;按GB/T20271一2006中6.1.5.6的要求,实现终端计算机第一级的测试. fD 4.1.4SSOTC管理应按GB/T20271一2006中6.1.6的要求,从以下方面实现终端计算机第 -级的SS0TC安全管理 a)对相应的ssOTc的访问控制、鉴别控制审计等相关的安全功能,以及与一般的安装、配置和维护有关的功能,制定相应的操作、运行规程和行为规章制度 4.2第二级 4.2.1安全功能要求 4.2.1.1硬件系统 4.2.1.1.1设备安全可用应按GB/T20271一2006中6.2.1.2的要求,从以下方面设计和实现终端计算机的设备安全可用功能: a)基本运行支持;终端计算机的设备应提供基本的运行支持,并有必要的容错和故障恢复能力 4.2.1.1.2设备防盗应按GB/T20271一2006中6.2.1.2的要求,从以下方面设计和实现终端计算机的设备防盗功能 a)设备标记要求;终端计算机的设备应有明显的无法除去的标记,以防更换和方便查找 b 主机实体安全;终端计算机的主机应有机箱封装保护,防止部件损害或被盗 4.2.1.2操作系统应按GB/T20272一2006中4.2.1的要求,从身份鉴别、自主访问控制、安全审计、用户数据保密性、用户数据完整性5个方面,来设计,实现或选购第二级终端计算机所需要的操作系统 4.2.1. 3 安全支撑系统 4.2.1.3.1密码支持应按以下要求,设计与实现第二级终端计算机的密码支持功能密码算法:应使用国家有关主管部门批准的密码算法,密码算法和密码操作应由硬件或受保护的软件支撑实现 b)密钥管理;应对密码算法操作所涉及的密钥进行全生命周期管理,包括密钥生成、密钥交换、密
GB/T29240一2012 钥存取、密钥废除密钥管理应符合国家密钥管理标准GB/T17901.1一1999的相关要求应建立一个可信存储根密钥,所有密钥应受可信存储根保护可信存储根本身应由硬件密码模块保护 4.2.1.3.2运行时防护应按GB/T20271一2006中6.2.2.4和6.2.2.6的要求,从以下方面设计和实现终端计算机的运行时防护功能恶意代码防护: -对文件系统、内存和使用时的外来介质采用特征码扫描,并根据扫描结果采取相应措施清除或隔离恶意代码恶意代码特征库应及时更新 b》网络攻击防护;终端计算机应采取必要措施监控主机与外部网络的数据通信,确保系统免受外部网络侵害或恶意远程控制应采取的措施为 -P包过滤;应能够支持基于源地址,目的地址的访问控制,将不符合预先设定策略的数据包去弃 4.2.1.3.3系统身份标识与鉴别应按以下要求,设计与实现系统身份标识与鉴别功能 a系统身份标识应对终端计算机进行身份标识,确保其身份唯一性和真实性: -唯一性标识;应通过唯一绑定的硬件密码模块或受保护的软件模块产生的密钥来标识系统身份 b)系统身份鉴别在进行终端计算机身份鉴别时,请求方应提供系统的身份标识,通过一定的认证协议完成身份鉴别过程 4.2.1.3.4数据保密性保护应按GB/T20271一2006中6.2.3.4的数据保密性要求,从以下方面设计和实现终端计算机的数据保密性功能 a)数据存储保密性: 应对存储在终端计算机内的重要用户数据进行保密性保护: -例如数据加密;应确保加密后的数据由密钥的合法持有者解密,除合法持有密钥者外,其余任何用户不应获得该数据 b数据传输保密性: 对在不同sSF之间基于网络传输的重要数据,设计和实现数据传输保密性保护功能,确保数据在传输过程中不被泄漏和窃取 4.2.1.3.5安全审计应按GB/T20271一2006中6.2.2.3的要求,从以下方面设计和实现安全支撑系统的安全审计功能安全审计功能的设计应与密码支持,系统身份标识与鉴别、数据保密性保护等安全功能的设计紧密结合 b 支持审计日志; -可为以下安全事件产生审计记录
GB/T29240一2012 绑定于终端计算机的硬件密码模块应该能审计内部运行的可审计事件,能提供给上层应用软件查询审计情况的接口; 对于每一个事件,其审计记录应包括:事件的日期和时间、用户,事件类型,事件类别,及其他与审计相关的信息; 支持审计查阅: 提供从审计记录中读取信息的能力,即要求SSF为授权用户提供获得和解释审计信息的能力; -提供审计事件选择应根据以下属性选择终端计算机的可审计事件;客体身份、用户身份、主体身份、主机身份、事件类型;作为审计选择性依据的附加属性 4.2.1.3.6备份与故障恢复为了实现确定的恢复功能,应在终端计算机正常运行时定期地或按某种条件实施备份应根据以下要求,实现备份与故障恢复功能用户数据备份与恢复;应提供用户有选择地备份重要数据的功能,当由于某种原因引起终端计 a 算机中用户数据丢失或破坏时,应能提供用户数据恢复的功能; 系统备份与恢复,应提供定期对终端计算机进行定期备份的功能;当由于某种原因引起终端 b 计算机发生故障时,应提供用户按系统备份所保留的信息进行系统恢复的功能 4.2.2ssoTC自身安全保护 4.2.2.1安全支撑系统的自身安全保护可信存储根安全保护应按以下要求实现终端计算机的可信存储根 a -可信存储根应设置在硬件密码模块内 -所采用的硬件密码模块和软件密码模块应符合国家相关密码管理要求 b用户使用硬件密码模块前应进行身份鉴别 4.2.2.2操作系统的自身安全保护应按GB/T20272一2006中4.2.2的要求,设计和实现操作系统的自身安全保护 4.2.3SSoIC设计和实现 SsOTC的设计和实现要求如下: a)配置管理;应按GB/T20271一2006中6.2.5.1的要求,实现终端计算机第二级的配置管理; b) 分发和操作;应按GB/T20271一2006中6.2.5.2的要求,实现终端计算机第二级的分发和操作; c)开发;应按GB/T20271一2006中6.2.5.3的要求,实现终端计算机第二级的开发; 文档要求;应按GB/T20271一2006中6.2.5.4的要求,实现终端计算机第二级的文档要求; dD 生存周期支持,应按GB/T20271一2006中6.2.5.5的要求,实现终端计算机第二级的生存周 e 期支持 fD 测试,应按GB/T20271一2006中6.2.5.6的要求,实现终端计算机第二级的测试 4.2.4ssoIC管理 -般应按GB/T20271一2006中6.2.6的要求,从以下方面实现终端计算机第二级的Ss0TC安全
GB/T29240一2012 管理对相应的SsoTc的访问控制、鉴别控制、审计等相关的安全功能,以及与一般的安装、配置和 a 维护有关的功能,制定相应的操作,运行规程和行为规章制度; b根据本级中安全功能技术要求和安全保证技术要求所涉及的安全属性,设计SsOTC安全属性管理第三级 4.3 4.3.1安全功能要求 4.3.1.1硬件系统设备安全可用 4.3.1.1.1 应按GB/T20271一2006中6.3.1.2的要求,从以下方面设计和实现终端计算机的设备安全可用功能基本运行支持;终端计算机的设备应提供基本的运行支持,并有必要的容错和故障恢复能力 a b)基本安全可用,终端计算机的设备应满足基本安全可用的要求,包括主机、外部设备、网络连接部件及其他辅助部件等均应基本安全可用 4.3.1.1.2设备防盗应按GB/T202712006中6.3.1.2的要求,从以下方面设计和实现终端计算机的设备防盗功能 a)设备标记要求;终端计算机的设备应有明显的无法除去的标记,以防更换和方便查找; b)主机实体安全;终端计算机的主机应有机箱封装保护,防止部件损害或被盗 4.3.1.2操作系统应按GB/T202722006中4.3.1的要求,从身份鉴别、自主访问控制、标记、强制访问控制、安全审计,用户数据保密性、用户数据完整性7个方面,来设计,实现或选购第三级终端计算机所需要的操作系统 4.3.1.3安全支撑系统 4.3.1.3.1密码支持应按以下要求,设计与实现第三级终端计算机密码支持功能 a)密码算法;应使用国家密码管理部门批准的密码算法,并应采用密码硬件实现密码算法 D 密码操作;应按照密码算法要求实现密码操作,并至少支持如下操作;密钥生成操作、数据加密和解密操作、数字签名生成和验证操作、数据完整性度量生成和验证操作、消息认证码生成与验证操作、随机数生成操作其中密钥生成、数字签名与验证等关键密码操作应基于密码硬件支持密钥管理;应对密码操作所使用的密钥进行全生命周期管理,包括密钥生成、密钥交换,密钥存取、密钥废除密钥管理应符合国家密钥管理标准GB/T17901.1一1999的相关要求应建立 -个可信存储根密钥,所有密钥应受可信存储根保护,可信存储根本身应由可信密码模块保护 4.3.1.3.2运行时防护应按GB/T20271一2006中6.3.2.5和6.3.2.7的要求,从以下方面设计和实现第三级终端计算
GB/T29240一2012 机的运行时防护功能: 恶意代码防护: a -特征码扫描对文件系统、内存和使用时的外来介质采用特征码扫描,并根据扫描结果采取相应措施,清除或隔离恶意代码恶意代码特征库应及时更新 b)网络攻击防护,终端计算机应采取必要措施监控主机与外部网络的数据通信,确保系统免受外部网络侵害或恶意远程控制应采取的措施包括 -IP包过滤;应能够支持基于源地址、目的地址的访问控制,将不符合预先设定策略的数据包丢弃 -应用程序监控;应能够设置应用程序对网络的访问控制规则 4.3.1.3.3系统安全性检测分析应按GB/T20271一2006中6.3.2.2的要求,设计和实现终端计算机第三级的系统安全性检测分析功能操作系统安全性检测分析;应从终端计算机操作系统的角度,以管理员身份评估文件许可、文件宿主、网络服务设置、账户设置,程序真实性以及一般的与用户相关的安全点、人侵迹象等从而检测和分析操作系统的安全性,发现存在的安全隐患,并提出补救措施硬件系统安全性检测分析;应对支持终端计算机运行的硬件系统进行安全性检测,通过扫描硬 b 件系统中与系统运行和数据保护有关的特定安全脆弱性,分析其存在的缺陷和漏洞,提出补救措施 4.3.1.3.4系统身份标识与鉴别系统身份标识应对终端计算机进行身份标识，确保其身份唯一性和真实性: -唯一性标识;应通过唯一绑定的可信密码模块产生的密钥来标识系统身份,该身份密钥即为可信报告根 -标识可信性;身份标识可信性应通过国家批准的权威机构颁发证书来实现 -隐秘性;需要时应使系统身份标识在某些特定条件下具有不可关联性可以基于第三方权威机构颁发特定证书实现系统身份标识的隐秘性标识信息管理;应对终端计算机身份标识信息进行管理、维护,确保其不被非授权地访问、修改或删除系统身份鉴别在进行终端计算机身份鉴别时,请求方应提供系统的身份证书和/或证书信任链验证路径,并通过一定的认证协议完成身份鉴别过程 4.3.1.3.5数据保密性保护应按GB/T20271一2006中6.3.3..8的数据保密性要求,从以下方面设计和实现终端计算机的数据保密性功能: 数据存储保密性应对存储在终端计算机内的重要用户数据进行保密性保护: -例如数据加密;应确保加密后的数据由密钥的合法持有者解密,除合法持有密钥者外,其余任何用户不应获得该数据一数据绑定:如果基于可信存储根实现对数据的保密存储,应确保数据由密钥的合法持有者在特定终端计算机中解密
GB/T29240一2012 b数据传输保密性: 对在不同sSF之间基于网络传输的重要数据,设计和实现数据传输保密性保护功能,确保数据在传输过程中不被泄漏和窃取 4.3.1.3.6安全审计应按GB/T20271一2006中6.3.2.4的要求,从以下方面设计和实现安全支撑系统的安全审计功能安全审计功能的设计应与密码支持、系统身份标识与鉴别、数据保密性保护等安全功能的设计紧密结合 b 支持审计日志; -可为以下安全事件产生审计记录内置于终端计算机的可信密码模块应该能审计内部命令运行情况、维护事件、用户密钥的创建、使用与删除事件或其他专门的可审计事件,能提供给上层应用软件查询审计情况的接口,并存储审计记录; 对于每一个事件,其审计记录应包括事件的日期和时间、用户、事件类型,事件类别,及其他与审计相关的信息 -支持潜在侵害分析;应能用一系列规则去监控审计事件,并根据这些规则指出SSP的潜在侵害支持审计查阅;提供从审计记录中读取信息的能力,即要求SSF为授权用户提供获得和解释审计信息的能力;受控审计查阅审计查阅工具应只允许授权用户读取审计信息,并根据某种逻辑关系提供对审计数据进行搜索、分类、排序的能力提供审计事件选择;应根据以下属性选择终端计算机的可审计事件;客体身份、用户身份、主体身份,主机身份,事件类型;作为审计选择性依据的附加属性; 能够生成、维护及保护审计过程,使其免遭修改、非法访问及破坏,特别要保护审计数据,要严格限制未经授权的用户访问 4.3.1.3.7备份与故障修复为实现确定的恢复功能,应在终端计算机正常运行时定期地或按某种条件实施备份应根据以下要求,实现备份与故障恢复功能用户数据备份与恢复:应提供用户有选择地备份重要数据的功能,当由于某种原因引起终端计 a 算机中用户数据丢失或破坏时,应能提供用户数据恢复的功能; b系统备份与恢复;应提供定期对终端计算机的运行现场进行备份的功能;当由于某种原因引起终端计算机发生故障时,应提供用户按系统备份所保留的现场信息进行系统恢复的功能; 备份保护措施;数据在备份、存储和恢复过程中应有安全保护槽施,并应设登不被用户操作系统管理的系统来实现系统数据的备份与恢复功能,系统备份数据是用户操作系统不可访问的 4.3.1.3.8I/0接口配置应配置终端计算机的USB,网卡、硬盘等各类I/0接口和设备的启用/禁用等状态,并按以下要求设计和实现终端计算机的I/0接口配置功能: 用户自主配置;应支持用户基于BIOs和操作系统提供的功能自主配置各类接口的状态 a 4.3.2SSoc自身安全保护 4.3.2.1安全支撑系统的自身安全保护可信存储根安全保护;应按以下要求实现终端计算机的可信存储根: a
GB/T29240一2012 -可信存储根应设置在可信密码模块内; -可信密码模块应符合国家密码管理部门的相关规范和管理要求 b可信报告根安全保护;应按以下要求实现终端计算机的可信报告根 -可信报告根应设置在可信密码模块内; -可信报告根对应的公钥证书应由国家批准的权威机构发行和管理" 用户使用可信密码模块之前需进行身份鉴别 4.3.2.2操作系统的自身安全保护应按GB/T20272一2006中4.3.2的要求,设计和实现操作系统的自身安全保护 4.3.3SSOTC设计和实现 ssOTC的设计和实现要求如下》配置管理;应按GB/T3021一2os中6.3.5.1的要求,实理终猫计算机第三级的配置管理，分发相操作,应按GB/T2027们一26中6.3.5.2的要求,实现终端计算机第三级的分发和 b 操作; 开发;应按GB/T20271一2006中6.3.5.3的要求,实现终端计算机第三级的开发 D 文档要求;应按GB/T20271一2006中6.3.5.4的要求,实现终端计算机第三级的文档要求; 生存周期支持:应按GB/T20271一2006中6.3.5.5条的要求,实现终端计算机第三级的生存周期支持; 测试;应按GB/T20271一2006中6.3.5.6的要求,实现终端计算机第三级的测试 g脆弱性评定;应按GB/T20271一2006中6.3.5.7的要求,实现第三级的脆弱性评定 4.3.4SSoc管理 -般应按GB/T20271一2006中6.3.6的要求,从以下方面实现终端计算机第三级的sSoTC安全管理: 对相应的ss0Tc的访问控制、鉴别控制、审计等相关的安全功能,以及与一般的安装、配置和维护有关的功能,制定相应的操作,运行规程和行为规章制度; b)根据本级中安全功能技术要求和安全保证技术要求所涉及的安全属性,设计ssoTc安全属性管理; 根据本级中安全功能技术要求和安全保证技术要求所涉及的安全数据,设计Ss0TC安全数据管理; 应将系统管理员、安全员和审计员等重要安全角色分别设置专人担任,并按“职能分离原则"分; dD 别授予他们各自为完成自身任务所需的权限,并形成相互制约的关系 4.4第四级 4.4.1安全功能要求 4.4.1.1硬件系统 4.4.1.1.1 设备安全可用应按GB/T20271-2006中6.4.1.2的要求,从以下方面设计和实现终端计算机的设备安全可用功能基本运行支持:终端计算机的设备应提供基本的运行支持,并有必要的容错和故障恢复能力; a 10
GB/T29240一2012 b设备安全可用终端计算机的设备应满足安全可用的要求,包括主机、外部设备、网络连接部件及其他辅助部件等均应安全可用 4.1.1.2设备防盗 4. 应按GB/T20271一2006中6.4.1.2的要求,从以下方面设计和实现终端计算机的设备防盗功能" a)设备标记要求;终端计算机的设备应有明显的无法除去的标记,以防更换和方便查找; b 主机实体安全;终端计算机的主机应有机箱封装保护,防止部件损害或被盗 e)设备防盗要求;终端计算机的设备应提供拥有者可控的防盗报警功能 4.4.1.2操作系统应按GB/T202722006中4.4.1的要求,从身份鉴别、自主访问控制、标记、强制访问控制安全审计、用户数据保密性、用户数据完整性,可信路径8个方面,来设计、实现或选购第四级终端计算机所需要的操作系统 4.4.1.3安全支撑系统密码支持 4.4.1.3.1 应按以下要求,设计与实现第四级终端计算机密码支持功能密码算法;应使用国家密码管理部门批准的密码算法,并应采用密码硬件实现密码算法; a b)密码操作;应按照密码算法要求实现密码操作,并至少支持如下操作;密钥生成操作、数据加密和解密操作、数字签名生成和验证操作,数据完整性度量生成和验证操作、消息认证码生成与验证操作、随机数生成操作其中密钥生成、数字签名生成和验证等关键密码操作应基于可信密码模块或其他硬件密码模块支持; 密钥管理;应对密码操作所使用的密钥进行全生命周期管理,包括密钥生成、密钥交换、密钥存取、密钥废除密钥管理应符合国家密钥管理标准GB/T17901.1一1999的相关要求应建个可信存储根密钥,所有密钥应受可信存储根保护,可信存储根本身应由可信密码模块保护 4.4.1.3.2信任链应通过在终端计算机启动过程中提供的信任链支持,确保终端计算机的运行处于真实可信状态并按以下要求,设计和实现终端计算机第四级的信任链功能静态信任链建立;基于可信密码模块,利用终端计算机上的可信度量根,在系统启动过程中对 BIOs,MBR,OS部件模块进行完整性度量,度量值应存储于可信密码模块中每个部件模块在加载前应确保其真实性和完整性静态信任链中操作系统的完整性度量基准接受国家主管机构管理,支持离线校验;完整性度量 b 基准应存储在受可信存储根保护的区域中,若度量值与完整性度量基准不一致,应停止操作系统启动信任链模块修复;支持在被授权的情况下,对信任链建立过程中出现的不可信模块进行实时修复 4.4.1.3.3运行时防护 -2006中6.4.2.5和6.4.2.7的要求,从以下方面设计和实现第四级终端计算应按GB/T20271 机的运行时防护功能 11
GB/T29240一2012 恶意代码防护 -特征码扫描对文件系统、内存和使用时的外来介质采用特征码扫描,并根据扫描结果采取相应措施,清除或隔离恶意代码恶意代码特征库应及时更新 -基于CPU的数据执行保护;防止缓冲区溢出,阻止从受保护的内存位置执行恶意代码 -进程隔离;采用进程逻辑隔离或物理隔离的方法,保护进程免受恶意代码破坏 b 网络攻击防护,终猫计算机应采取必要措能监控主机与外部网络的数据通信,确保系统免受外部网络侵害或恶意远程控制应采取的措施包括 -IP包过滤:应能够支持基于源地址、目的地址的访问控制,将不符合预先设定策略的数据包丢弃; -内容过滤;应能对网页内容进行基于关键字匹配的过滤; 应用程序监控;应能够设置应用程序对网络的访问控制规则， -实现注册表监控、文件监控、事件监测,实时流量分析,实时阻断的人侵检测功能网络接人控制,终端计算机应能对所接人网络进行可信度评价(包含以下方面,网络提供者是否可信、网络状态和接人条件是否符合设定策略、网络提供的服务是否符合需求,等),并根据不同可信度评价等级采取不同的安全接人策略 4.4.1.3.4系统安全性检测分析应按GB/T20271一2006中6.4.2.2的要求,设计和实现终端计算机第四级的系统安全性检测分析功能操作系统安全性检测分析;应从终端计算机操作系统的角度,以管理员身份评估文件许可,文 a 件宿主、,网络服务设置、账户设置、程序真实性以及一般的与用户相关的安全点、人侵迹象等，从而检测和分析操作系统的安全性,发现存在的安全隐患,并提出补救措施硬件系统安全性检测分析;应对支持终端计算机运行的硬件系统进行安全性检测,通过扫描硬件系统中与系统运行和数据保护有关的特定安全脆弱性,分析其存在的缺陷和漏洞,提出补救措施; 应用程序安全性检测分析;应对运行在终端计算机中的应用程序进行安全性检测分析,通过扫描应用软件中与鉴别、授权、访问控制和系统完整性有关的特定的安全脆弱性,分析其存在的缺陷和漏洞,提出补救措施; 电磁泄漏发射检测分析;应对运行中的终端计算机环境进行电磁泄漏发射检测,采用专门的检测设备,检查系统运行过程中由于电磁干扰和电磁辐射对终端计算机的安全性所造成的威胁，并提出补救措施 4.4.1.3.5信任服务终端计算机建立静态信任链后,可以在对完整性度量值由可信报告根进行数字签名后,对系统用户或系统外部实体实现信任报告应根据以下要求,设计与实现终端计算机的第四级信任服务功能" 应在可信密码模块中专门设置受保护区域存储所有静态信任链的完整性度量值,应通过适当组合各模块的度量值,作为系统信任报告或系统特征绑定的依据,所有度量值存取访问应受权限控制 b)必要时应向国家主管机构报告操作系统和关键应用程序完整性度量值 4.4.1.3.6系统身份标识与鉴别系统身份标识 a 12
GB/T29240一2012 应对终端计算机进行身份标识，确保其身份唯一性和真实性 -唯一性标识;应通过唯一绑定的可信密码模块产生的密钥来标识系统身份,该身份密钥即为终端计算机的可信报告根 -标识可信性;身份标识可信性应通过权威机构颁发证书来实现 -隐秘性;需要时应使系统身份标识在某些特定条件下具有不可关联性可以基于第三方权威机构颁发特定证书实现系统身份标识的隐秘性 -标识信息管理;应对终端计算机身份标识信息进行管理、维护,确保其不被非授权地访问、修改或删除 b)系统身份鉴别在进行终端计算机身份鉴别时,请求方应提供系统的身份证书和/或证书信任链验证路径,并通过一定的认证协议完成身份鉴别过程数据保密性保护 4.4.1.3.7 应按GB/T20271一2006中6.4.3.8的数据保密性要求,从以下方面设计和实现安全支撑系统的数据保密性功能数据存储保密性应对存储在终端计算机内的重要用户数据进行保密性保护例如数据加密;应确保加密后的数据由密钥的合法持有者解密,除合法持有密钥者外,其余任何用户不应获得该数据; 数据绑定;如果基于可信存储根实现对数据的保密存储,应确保数据由密钥的合法持有者在特定终端计算机中解密; -数据密封;如果基于可信存储根实现对数据的保密存储,应确保数据由密钥的合法持有者在特定终端计算机的特定状态下解密， b)数据传输保密性对在不同sSF之间传输的数据,设计和实现数据传输保密性保护功能,确保数据在传输过程中不被泄漏和窃取客体安全重用对安全支撑系统进行动态资源管理过程中,对客体资源中的剩余信息不应引起信息的泄漏根据本安全等级要求,应实现安全支撑系统如下客体安全重用功能 -子集信息保护;由安全支撑系统安全控制范围之内的某个子集的客体资源,在将其释放后再分配给某一用户或代表该用户运行的进程时,应不会泄漏该客体中的原有信息; -完全信息保护;由安全支撑系统安全控制范围之内的所有客体资源,在将其释放后再分配给某一用户或代表该用户运行的进程时,应不会泄漏该客体中的原有信息 4.4.1.3.8数据完整性保护应按以下要求,实现安全支撑系统内部存储、传输和处理的数据的完整性保护功能存储数据的完整性: 应对存储在SsC内的用户数据进行完整性保护,包括 -完整性检测;要求SSF应对基于用户属性的所有客体,对存储在SSC内的用户数据进行完整性检测; -完整性检测和恢复;要求SSF应对基于用户属性的所有客体,对存储在SSC内的用户数据进行完整性检测,并且当检测到完整性错误时,SSF应采取必要的恢复措施; b 传输数据的完整性 13
GB/T29240一2012 当用户数据在SSF和其他可信信息系统间传输时应提供完整性保护,包括 -完整性检测;要求对被传输的用户数据进行检测,及时发现以某种方式传送或接收的用户数据被篡改、删除、插人等情况发生; -数据交换恢复;由接收者借助于源可信信息系统提供的信息,或由接收者自己无须来自源可信信息系统的任何帮助,能恢复被破坏的数据为原始的用户数据处理数据的完整性: 回退:对终端计算机中处理中的数据,应通过“回退"进行完整性保护,即要求sSF应执行访问控制策略,以允许对所定义的操作序列进行回退 4.4.1.3.9 安全审计应按GB/T20271一2006中6.4.2.4的要求,从以下方面设计和实现安全支撑系统的安全审计功能安全审计功能的设计应与密码支持、系统身份标识与鉴别、数据保密性保护、用户数据完整性保护信任服务等安全功能的设计紧密结合支持审计日志; b -可为以下安全事件产生审计记录内置于终端计算机的可信密码模块应该能审计内部命令运行情况,维护事件,用户密钥的创建、使用与删除事件或其他专门的可审计事件,能提供给上层应用软件查询审计情况的接口,并存储审计记录; 对于每一个事件,其审计记录应包括;事件的日期和时间、用户、事件类型,事件类别,及其他与审计相关的信息支持安全审计分析潜在侵害分析;应能用一系列规则去监控审计事件,并根据这些规则指出SsP的潜在侵害; 基于异常检测的描述;应能确立用户或进程的质疑度(或信誉度),该质疑度表示该用户或进程的现行活动与已建立的使用模式的一致性程度当用户或进程的质疑等级超过门限条件时,SSF应能指出将要发生对安全性的威胁; 攻击探测;应能检测到对sSF实施有重大威胁的签名事件的出现,并能通过对一个或多个事件的对比分析或综合分析,预测一个攻击的出现以及出现的时间或方式为此,SSF应维护指出对sSF侵害的签名事件的内部表示,并将检测到的系统行为记录与签名事件进行比较,当发现两者匹配时,指出一个对SS的攻击即将到来; 支持审计查阅提供从审计记录中读取信息的能力,即要求SSF为授权用户提供获得和解释审计信息的能力;受控审计查阅审计查阅工具应只允许授权用户读取审计信息,并根据某种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能力; -提供审计事件选择: 应根据以下属性选择终端计算机的可审计事件;客体身份、用户身份、主体身份、主机身份、事件类型;作为审计选择性依据的附加属性; -提供审计事件存储受保护的审计踪迹存储;要求审计踪迹的存储受到应有的保护,应能检测或防止对审计记录的修改;审计数据的可用性确保;在意外情况出现时,应能检测或防止对审计记录的修改,以及在发生审计存储已满、存储失败或存储受到攻击以及意外情况出现时,应采取相应的保护措施,确保有实效性的审计记录不被破坏;审计数据可能丢失情况下的措施当 14
GB/T29240一2012 审计跟踪超过预定的门限时,应采取相应的措施,进行审计数据可能丢失情况的处理能够生成、维护及保护审计过程,使其免遭修改、非法访问及破坏,特别要保护审计数据,要严格限制未经授权的用户访问; 能够创建并维护一个对受保护客体访问的审计跟踪,保护审计记录不被未授权地访问、修改和破坏 4.4.1.3.10备份与故障恢复为实现确定的恢复功能,应在终端计算机正常运行时定期地或按某种条件实施备份应根据以下要求,实现备份与故障恢复功能 a)用户数据备份与恢复;应提供用户有选择地备份重要数据的功能,当由于某种原因引起终端计算机中用户数据丢失或破坏时,应能提供用户数据恢复的功能; b)系统备份与恢复;应提供定期对终端计算机的运行现场进行备份的功能;当由于某种原因引起终端计算机发生故障时,应提供用户按系统备份所保留的现场信息进行系统恢复的功能; 备份保护措施;数据在备份、存储和恢复过程中应有安全保护措施,并应设置不被用户操作系统管理的系统来实现系统数据的备份与恢复功能,系统备份数据是用户操作系统不可访问的 4.4.1.3.11I/0接口配置应配置终端计算机的申口,并口,UsB,网卡,硬盘等各类I/0接口和设备的启用/禁用等状态,并按以下要求,设计和实现终端计算机的1/0接口配置功能 a 用户自主配置;应支持用户基于BIOS和操作系统提供的功能自主配置各类接口的状态; b 集中管理配置;终端计算机应接受所接人网络的接口配置管理,并确保只有授权用户才能修改接口配置 4.4.1.3.12可信时间戳终端计算机应为其运行提供可靠的时钟和时钟同步系统,并按GB/T20271一2006中5.1.2.7的要求提供可信时间戳服务 4.4.2SsoIc自身安全保护 4.4.2.1安全支撑系统的自身安全保护可信存储根安全保护;应按以下要求实现终端计算机的可信存储根 -可信存储根应设置在可信密码模块内: -可信密码模块应由国家主管机构研制可信报告根安全保护;应按以下要求实现终端计算机的可信报告根: 可信报告根应设置在可信密码模块内; 可信报告根对应的公钥证书应有国家专门权威机构发行和管理，可信度量根安全保护;应按以下要求实现终端计算机的可信度量根可信度量根应设置在终端计算机启动的固件模块内; 应对可信度量根采取物理保护措施; 键盘输人保护;应按以下要求实现键盘的输人保护 D 应有物理路径支持键盘输人与可信密码模块的直接通信应有物理开关控制是否启用键盘输人与可信密码模块的通信路径; 用户使用可信密码模块之前需进行身份鉴别 15
GB/T29240一2012 4.4.2.2操作系统的自身安全保护应按GB/T20272一2006中4.4.2的要求,设计和实现操作系统的自身安全保护 4.4.3sSoIc设计和实现 Ss0Tc的设计和实现要求如下: a)配置管理;应按GB/T20271一2006中6.4.5.1的要求,实现终端计算机第四级的配置管理; 分发和操作;应按GB/T20271一2006中6.4.5.2的要求,实现终端计算机第四级的分发和 b 操作; 开发;应按GB/T20271一2006中6.4.5.3的要求,实现终端计算机第四级的开发文档要求;应按GB/T20271一2006中6.4.5.4的要求,实现终端计算机第四级的文档要求; 生存周期支持;应按GB/T20271一2006中6.4.5.5的要求,实现终端计算机第四级的生存周期支持，测试;应按GB/T20271一2006中6.4.5.6的要求,实现终端计算机第四级的测试; fD 跪弱性评定， -2006中6.4.5.7的要求,实现网络第四级的脆弱性评定 g :应按GB/T20271一 4.4.4ssoIC管理应按GB/T20271一2006中6.4.6的要求,从以下方面实现终端计算机第四级的SsOTC安全管理对相应的SsoTc的访问控制、鉴别控制审计等相关的安全功能,以及与一般的安装、配置和维护有关的功能,制定相应的操作,运行规程和行为规章制度; 根据本级中安全功能技术要求和安全保证技术要求所涉及的安全属性,设计SSOTC安全属性管理根据本级中安全功能技术要求和安全保证技术要求所涉及的安全数据,设计SsOTc安全数据管理应将系统管理员、安全员和审计员等重要安全角色分别设置专人担任,并按“职能分离原则” 分别授予他们各自为完成自身任务所需的权限,并形成相互制约的关系支持集中安全管理 4.5第五级 4.5.1安全功能要求 4.5.1.1硬件系统设备安全可用 4.5.1.1.1 应按GB/T20271一2006中6.5.1.2的要求,从以下方面设计和实现终端计算机的设备安全可用功能基本运行支持;终端计算机的设备应提供基本的运行支持,并有必要的容错和故障恢复能力 a b)设备安全可用,终端计算机的设备应满足安全可用的要求,包括主机、外部设备、网络连接部件及其他辅助部件等均应安全可用 4.5.1.1.2设备防盗应按GB/T20271一2006中6.5.1.2的要求,从以下方面设计和实现终端计算机的设备防盗功能 16
GB/T29240一2012 a)设备标记要求终端计算机的设备应有明显的无法除去的标记,以防更换和方便查找 b)主机实体安全;终端计算机的主机应有机箱封装保护,防止部件损害或被盗; 设备防盗要求;终端计算机的设备应提供拥有者可控的防盗报警功能 4.5.1.1.3设备高可靠应按以下要求,设计和实现终端计算机设备高可靠功能 a)防水要求;终端计算机应具有高密封性,防止水滴进人; 防跌落和防震要求;终端计算机应加固保护,防止跌落和震动引起的系统损坏; b e抗高低温与高低气压要求;终端计算机应能适应高低温和高低气压环境; d)抗电磁辐射与干扰;终端计算机应能抵御电磁干扰和电磁辐射对系统的安全威胁 4.5.1.2操作系统应按GB/T202722006中4.5.1的要求,从身份鉴别、自主访问控制、标记、强制访问控制、安全审计、用户数据保密性、用户数据完整性,可信路径8个方面,来设计、实现或选购第五级终端计算机所需要的操作系统 4.5.1.3安全支撑系统 4.5.1.3.1 密码支持应按以下要求,设计与实现第五级终端计算机密码支持功能密码算法:应使用国家密码管理部门批准的密码算法,并应采用密码硬件实现密码算法 a b)密码操作;应按照密码算法要求实现密码操作,并至少支持如下操作;密钥生成操作,数据加密和解密操作、数字签名生成和验证操作、数据完整性度量生成和验证操作、消息认证码生成与验证操作,随机数生成操作其中密钥生成、数字签名生成和验证等关健密码操作应基于可信密码模块或其他硬件密码模块支持密钥管理;应对密码操作所使用的密钥进行全生命周期管理,包括密钥生成、密钥交换、密钥存取,密钥废除密钥管理应符合国家密钥管理标准GB/T17901.1一1999的相关要求所有密钥应受可信存储根保护,可信存储根本身应由可信密码模块保护 4.5.1.3.2信任链应通过在终端计算机启动过程中提供的信任链支持,确保终端计算机的运行处于真实可信状态并按以下要求,设计和实现终端计算机第五级的信任链功能静态信任链建立:基于可信密码模块,利用终端计算机上的可信度量根,在系统启动过程中对 BOs,MBR,Os部件模块进行完整性度量,度量值应存储于可信密码模块中每个部件模块在加载前应确保其真实性和完整性静态信任链中操作系统的完整性度量基准接受国家主管机构管理,支持离线校验;完整性度 b 量基准应存储在受可信存储根保护的区域中,若度量值与完整性度量基准不一致,应停止操作系统启动动态信任链的建立;基于可信密码模块,利用终端计算机上的动态可信度量根,对操作系统上应用程序进行实时的完整性度量,确保每个应用程序在启动和运行中的真实性和完整性动态信任链中关键应用程序的完整性度量基准应由国家主管机构管理,支持在线离线校验完整性度量基准应存储在受可信存储根保护的区域中,若度量值与完整性度量基准不- 致，应立即停止应用程序运行 17
GB/T29240一2012 信任链模块修复:支持在被授权的情况下,对信任链建立过程中出现的不可信模块进行实时修复 4.5.1.3.3运行时防护应按GB/T20271一2006中6.5.2.5和6.5.2.7的要求,从以下方面设计和实现第五级终端计算机的运行时防护功能: 恶意代码防护 a -特征码扫描;对文件系统、内存和使用时的外来介质采用特征码扫描,并根据扫措结果采取相应措施,清除或隔离恶意代码恶意代码特征库应及时更新 -基手CPU的数据换行保护,防止缓冲区滋出,阻止从受保护的内存位置找行恶意代码进程隔离:采用进程逻辑隔离或物理隔离的方法,保护进程免受恶意代码破坏进程行为分析;基于专家系统,对进程行为的危险程度进行等级评估,根据评估结果,采取相应防护措施网络攻击防护;终端计算机应采取必要措施监控主机与外部网络的数据通信,确保系统免受 b 外部网络侵害或恶意远程控制应采取的措施包括 P包过滤;应能够支持基于源地址、目的地址的访问控制,将不符合预先设定策略的数据包丢弃; 内容过滤;应能对网页内容进行基于关键字匹配的过滤，应用程序监控;应能够设置应用程序对网络的访问控制规则,包括对端口,协议、访问方向的控制实现注册表监控,文件监控,事件监测、实时流量分析,实时阻断的人侵检测功能网络接人控制;终端计算机应能对所接人网络进行可信度评价(包含以下方面;网络提供者是否可信、,网络状态和接人条件是否符合设定策略、网络提供的服务是否符合需求,等等),并根据不同可信度评价等级采取不同的安全接人策略 4.5.1.3.4系统安全性检测分析应按GB/T20271一2006中6.5.2.2的要求,设计和实现终端计算机第五级的系统安全性检测分析功能: a)操作系统安全性检测分析;应从终端计算机操作系统的角度,以管理员身份评估文件许可,文件宿主、网络服务设置,账户设置,程序真实性以及一般的与用户相关的安全点、人侵迹象等，从而检测和分析操作系统的安全性,发现存在的安全隐患,并提出补救措施; 硬件系统安全性检测分析;应对支持终端计算机运行的硬件系统进行安全性检测,通过扫描硬件系统中与系统运行和数据保护有关的特定安全脆弱性,分析其存在的缺陷和漏洞,提出补救措施; 应用程序安全性检测分析;应对运行在终端计算机中的应用程序进行安全性检测分析,通过扫描应用软件中与鉴别、授权、访问控制和系统完整性有关的特定的安全脆弱性,分析其存在的缺陷和漏洞,提出补救措施; 电磁泄漏发射检测分析;应对运行中的终端计算机环境进行电磁泄漏发射检测,采用专门的检测设备,检查系统运行过程中由于电磁干扰和电磁辐射对终端计算机的安全性所造成的威胁,并提出补救措施 4.5.1.3.5信任服务终端计算机建立静态信任链后,可以对完整性度量值由可信报告根进行数字签名后,对系统用户或 18
GB/T29240一2012 系统外部实体实现信任报告应根据以下要求,设计与实现终端计算机的第五级信任服务功能" a 应在可信密码模块中专门设置受保护区域存储所有静态信任链的完整性度量值,应通过适当组合各模块的度量值,作为系统信任报告或系统特征绑定的依据,所有度量值存取访问应受权限控制; 应设置一个由可信密码模块保护的区域来存储所有动态信任链的完整性度量值; b 必要时应向国家主管机构报告操作系统和应用程序完整性度量值 4.5.1.3.6系统身份标识与鉴别系统身份标识: 应对终猫计算机进行身份标识，确保其身份唯一一性和真实性一绑定的可信情码模块产生的密钥米标识系统身份 -唯一性标识:应通过唯- -标识可信性:身份标识可信性应通过权威机构颁发证书来实现 -隐秘性;需要时应使系统身份标识在某些特定条件下具有不可关联性可以基于第三方权威机构颁发特定证书实现系统身份标识的隐秘性标识信息管理;应对终端计算机身份标识信息进行管理,维护,确保其不被非授权地访问、修改或删除系统身份标识应由国家权威管理机构进行管理 b 系统身份鉴别;在进行终端计算机身份鉴别时,请求方应提供系统的身份证书和/或证书信任链验证路径,并通过一定的认证协议完成身份鉴别过程 4.5.1.3.7数据保密性保护应按GB/T20271一2006中6.5.3,8的数据保密性要求,从以下方面设计和实现安全支撑系统的数据保密性功能数据存储保密性应对存储在终端计算机内的重要用户数据进行保密性保护一例如数据加密;应确保加密后的数据由密钥的合法持有者解密,除合法持有密钥者外,其余任何用户不应获得该数据; -数据绑定;如果基于可信存储根实现对数据的保密存储,应确保数据由密钥的合法持有者在特定终端计算机中解密; -数据密封;如果基于可信存储根实现对数据的保密存储,应确保数据由密钥的合法持有者在特定终端计算机的特定状态下解密; 数据传输保密性: 按所配置的密码,对在不同sSF之间传输的数据,设计和实现数据传输保密性保护功能,确保数据在传输过程中不被泄漏和窃取; 客体安全重用在安全支撑系统进行动态资源管理过程中,客体资源中的剩余信息不应引起信息的泄漏根据本安全等级要求,应实现安全支撑系统如下客体安全重用功能子集信息保护;由安全支撑系统安全控制范围之内的某个子集的客体资源,在将其释放后再分配给某一用户或代表该用户运行的进程时,应不会泄漏该客体中的原有信息; -完全信息保护:由安全支撑系统安全控制范围之内的所有客体资源,在将其释放后再分配给某 -用户或代表该用户运行的进程时,应不会泄漏该客体中的原有信息; 特殊信息保护;在完全信息保护的基础上,对于某些需要特别保护的信息,应采用专门的方法 19
GB/T29240一2012 对客体资源中的残留信息做彻底清除 4.5.1.3.8数据完整性保护应按以下要求,实现安全支撑系统内部存储、处理和传输的数据的完整性保护功能存储数据的完整性应对存储在SSC内的用户数据进行完整性保护,包括 -完整性检测;要求SSF应对基于用户属性的所有客体,对存储在SsC内的用户数据进行完整性检测; -完整性检测和恢复:要求SsSF应对基于用户属性的所有客体,对存储在SsSC内的用户数据进行完整性检测,并且当检测到完整性错误时,SSF应采取必要的恢复措施 b 传输数据的完整性: 当用户数据在SsF和其他可信信息系统间传输时应提供完整性保护,包括完整性检测;要求对被传输的用户数据进行检测,及时发现以某种方式传送或接收的用户数据被篡改,删除、插人等情况发生; 数据交换恢复;由接收者借助于源可信信息系统提供的信息,或由接收者自己无须来自源可信信息系统的任何帮助,能恢复被破坏的数据为原始的用户数据; 处理数据的完整性回退;对终端计算机中处理中的数据,应通过“回退”进行完整性保护,即要求ssF应执行访问控制策略,以允许对所定义的操作序列进行回退 4.5.1.3.9安全审计应按GB/T20271一2006中6.5.2.4的要求,从以下方面设计和实现安全支撑系统的安全审计功能: 安全审计功能的设计应与密码支持、系统身份标识与鉴别、数据保密性保护、用户数据完整性 a 保护,信任服务等安全功能的设计紧密结合; 支持审计日志 b 支持安全审计响应当检测到可能有安全侵害事件时,将审计数据记人审计日志;当检测到可能有安全侵害事件时,生成实时报警信息;当检测到可能有安全侵害事件时,将违例进程终止,违例进程可以包括但不限于服务进程、驱动用户进程;当检测到可能有安全侵害事件时,将当前的用户账号断开,并使其失效; 可为以下安全事件产生审计记录内置于终端计算机的可信密码模块应该能审计内部命令运行情况,维护事件,用户密钥的创建、使用与删除事件或其他专门的可审计事件,能提供给上层应用软件查询审计情况的接口,并存储审计记录; 对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件类别,及其他与审计相关的信息; 支持安全审计分析潜在侵害分析;应能用一系列规则去监控审计事件,并根据这些规则指出SSP的潜在侵害; 基于异常检测的描述:应能确立用户或进程的质疑度(或信誉度),该质疑度表示该用户或进程的现行活动与已建立的使用模式的一致性程度当用户或进程的质疑等级超过门限条件时,SSEF应能指出将要发生对安全性的威胁; 20
GB/T29240一2012 攻击探测;应能检测到对SSF实施有重大威胁的签名事件的出现,并能通过对一个或多个事件的对比分析或综合分析,预测一个攻击的出现以及出现的时间或方式为此,SSF 应维护指出对ssF侵害的签名事件的内部表示,并将检测到的系统行为记录与签名事件进行比较,当发现两者匹配时,指出一个对sSF的攻击即将到来; 支持审计查阅提供从审计记录中读取信息的能力,即要求SSF为授权用户提供获得和解释审计信息的能力;受控审计查阅:审计查阅工具应只允许授权用户读取审计信息,并根据某种逻辑关系的标准提供对审计数据进行搜索、分类,排序的能力提供审计事件选择应根据以下属性选择终端计算机的可审计事件;客体身份、用户身份、主体身份、主机身份、事件类型;作为审计选择性依据的附加属性提供审计事件存储要求审计踪迹的存储受到应有的保护,应能检测或防止对审计记录的修改;在意外情况出现时,应能检测或防止对审计记录的修改,以及在发生审计存储已满、存储失败或存储受到攻击以及意外情况出现时,应采取相应的保护措施,确保有实效性的审计记录不被破坏;当审计跟踪超过预定的门限时,应采取相应的措施,进行审计数据可能丢失情况的处理;在审计踪迹存储已满或超过预定的门限时,应采取相应措施,防止审计数据丢失能够生成、维护及保护审计过程,使其免遭修改,非法访问及破坏,特别要保护审计数据,要严格限制未经授权的用户访问: 能够创建并维护一个对受保护客体访问的审计跟踪,保护审计记录不被未授权的访问、修改和破坏 4.5.1.3.10备份与故障修复为实现确定的恢复功能,应在终端计算机正常运行时定期地或按某种条件实施备份应根据以下要求,实现备份与故障恢复功能: a 用户数据备份与恢复;应提供用户有选择地备份重要数据的功能,当由于某种原因引起终端计算机中用户数据丢失或破坏时,应能提供用户数招恢复的功能系统备份与恢复;应提供定期对终端计算机的运行现场进行定期备份的功能;当由于某种原因引起终端计算机发生故障时,应提供用户按系统备份所保留的现场信息进行系统恢复的功能; 备份保护措施:数据在备份、存储和恢复过程中应有安全保护措施,并应设置不被用户操作系统管理的系统来实现系统数据的备份与恢复功能,系统备份数据是用户操作系统不可访问的 4.5.1.3.11I/0接口配置应配置终端计算机的串口、并口,USB、网卡、硬盘等各类I/0接口和设备的启用/禁用等状态,并按以下要求,设计和实现终端计算机的1/0接口配置功能 a 用户自主配置;应支持用户基于BIOS和操作系统提供的功能自主配置各类接口的状态; b)集中管理配置:终端计算机应接受所接人网络的接口配置管理,并确保只有授权用户才能修改接口配置; 自适应配置,终端计算机应能根据网络环境安全状况,基于安全策略,自动配置接口状态,以确保系统自身安全 4.5.1.3.12可信时间戳终端计算机应为其运行提供可靠的时钟和时钟同步系统,并按GB/T202712006中5.1.2.7的 21
GB/T29240一2012 要求提供可信时间戳服务 4.5. 2 SSoIC自身安全保护 4.5.2.1安全支撑系统的自身安全保护可信存储根安全保护;应按以下要求实现终端计算机的可信存储根可信存储根应设置在可信密码模块内; 可信密码模块应由国家主管机构研制可信报告根安全保护;应按以下要求实现终端计算机的可信报告根 b 可信报告根应设置在可信密码模块内可信报告根对应的公钥证书应有国家专门权威机构发行和管理可信度量根安全保护;应按以下要求实现终端计算机的可信度量根可信度量根应设置在终端计算机启动的固件模块内; 应对可信度量根采取物理保护措施; 动态可信度量根安全保护;应按以下要求实现终端计算机的动态可信度量根: -动态可信度量根应设置在终端计算机的自主虚拟机监控器; -应对动态可信度量根采取安全保护措施; 键盘输人保护;应按以下要求实现键盘的输人保护应有物理路径支持键盘输人与可信密码模块的直接通信; -应有物理开关控制是否启用键盘输人与可信密码模块的通信路径用户使用可信密码模块之前需进行身份鉴别 4.5.2.2操作系统的自身安全保护应按GB/T20272一2006中4.5.2的要求,设计和实现操作系统的自身安全保护 4.5.3SSorC设计和实现 sSOTC的设计和实现要求如下: a)配置管理;应按GB/T20271一2006中6.5.5.1的要求,实现终端计算机第五级的配置管理; b 分发和操作;应按GB/T20271一2006中6.5.5.2的要求,实现终端计算机第五级的分发和操作; e开发;应按GB/T20271一2006中6.5.5.3的要求,实现终端计算机第五级的开发 d)文档要求;应按GB/T20271一2006中6.5.5.4的要求,实现终端计算机第五级的文档要求; 生存周期支持;应按GB/T20271一2006中6.5.5.5的要求,实现终端计算机第五级的生存周期支持; 测试;应按GB/T20271一2006中6.5.5.6的要求,实现终端计算机第五级的测试; fD 脆弱性评定:应按GB/T20271一2006中6.5.5.7的要求,实现网络第五级的脆弱性评定 g 4.5.4SsoIc管理应按GB/T20271一2006中6.5.6的要求,从以下方面实现终端计算机第五级的ssOTc安全管理对相应的ssoTC的访问控制,鉴别控制,审计等相关的安全功能,以及与一般的安装,配置和 a 维护有关的功能,制定相应的操作、运行规程和行为规章制度; b)根据本级中安全功能技术要求和安全保证技术要求所涉及的安全属性,设计SsOTC安全属 22
GB/T29240一2012 性管理根据本级中安全功能技术要求和安全保证技术要求所涉及的安全数据,设计SsOTC安全数据管理; 应将系统管理员、安全员和审计员等重要安全角色分别设置专人担任,并按“职能分离原则” 分别授予他们各自为完成自身任务所需的权限,并形成相互制约的关系; 支持集中安全管理测试评价方法测试环境终端计算机的典型测试环境如图1所示互联网服务器系统服务器系统攻击机网络协议分析仪终端计算机系统终端计算机系统终端计算机系统图1终端计算机典型测试环境测试环境中包含3台被测的终端计算机,2台终端计算机访问的服务器系统，一台攻击机能够对终端计算机发起各类攻击，一台网络协议分析仪能够对终端计算机的网络数据进行分析 5.2第一级 5.2.1安全功能要求 5.2.1.1 物理系统 5.2.1.1.1设备安全可用 -测试评价内容 23
GB/T29240一2012 见4.1.1.1.1的内容对开发者的要求开发者应提供文档,说明终端计算机的设备提供哪些基本的运行支持措施,提供哪些必要的容错和故障恢复能力 -测试评价方法按照开发者提供的文档,逐项验证所提供的运行支持措施是否有效,能否支持终端计算机的基本运行; 按照开发者提供的文档,模拟出现一些故障事件(如:掉电、硬件故障等).验证终端计算机的容错和故障恢复能力是否有效记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断 5.2.1.1.2设备防盗 -测试评价内容见4.1.1.1.2的内容 -对开发者的要求开发者应提供文档,说明终端计算机的设备具有哪些无法除去的标记测试评价方法按照开发者提供的文档,尝试使用各种方式除去设备中的标记,检测能否除去 a 记录测试结果并对该结果是青完全符合上述渊试评价方法要求作出判断 5.2.1.2操作系统测试评价内容见4.1.1.2的内容 -对开发者的要求开发者应提供第三方权威机构对该操作系统的检测报告,或者提供文档对GB/T20272一2006中 4.1.1的各个项目进行说明 -测试评价方法 a)如果提供了第三方权威机构对该操作系统的检测报告,则查验报告,查看报告中对应项目检测结果是否符合; 如果未能提供第三方权威机构对该操作系统的检测报告,则按照GB/T20272一2006中4.1.1 b 的要求对操作系统的相关项目进行检测记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断 5.2.1.3安全支撑系统运行时防护 5.2.1.3.1 测试评价内容见4.1.1.3.1的内容测试评价方法在系统和外来介质中植人个调试用的思愈代吗,并运行卷意代刚 a 对文件系统、内存和使用时的外来介质进行扫描,检测系统能否清除或隔离恶意代码 b 检测系统能否对恶意代码特征库进行及时更新 c 记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断 24
GB/T29240一2012 5.2.1.3.2备份与故障恢复 -测试评价内容见4.1.1.3.2的内容 -测试评价方法以授权用户身份有选择地备份重要数据,对系统中已备份的用户数据进行修改,然后进行恢复,检测能否按照备份信息有效恢复记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断 5.2.2ssoIc自身安全保护 5.2.2.1操作系统的自身安全保护 -测试评价内容见4.1.2.1的内容 -对开发者的要求开发者应提供第三方权威机构对该操作系统的检测报告,或者提供文档对GB/T202722006中 4.1.2的各个项目进行说明 -测试评价方法: a)如果提供了第三方权威机构对该操作系统的检测报告,则查验报告,查看报告中对应项目检测结果是否符合如果未能提供第三方权威机构对该操作系统的检测报告,则按照GB/T20272 b -2006中4.1.2 的要求对操作系统的相关项目进行检测记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断 5.2.3sSsoIC设计和实现 5.2.3.1配置管理 -测试评价内容按GB/T20271一2006中6.1.5.1的要求,实现终端计算机第一级的配置管理 -测试评价方法评估者应审查开发者提供的配置管理支持文档是否完全符合以下要求 a)开发者所使用的版本号与所应表示的终端计算机样本应完全对应,没有歧义记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断 5.2.3.2分发和操作 5.2.3.2.1分发 -测试评价内容按GB/T20271-2006中6.1.5.2a的要求,实现终端计算机第一级的分发测试评价方法 a评估者应审查开发者是否按分发过程的要求,编制分发文档 b)评估者应审查分发文档,是否描述给用户分发终端计算机时,用以维护安全所必须的所有过程; 评估者应审查是否按该过程进行分发 25
GB/T29240一2012 记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断 5.2.3.2.2操作 -测试评价内容按GB/T20271一2006中6.1.5.2b的要求,实现终端计算机第一级的操作 -测试评价方法; 评估者应审查操作文档,是否说明了终端计算机的安装、生成、启动和使用的过程用户能够 a 通过此文档了解安装、生成、启动和使用过程记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断 5.2.3.3开发 5.2.3.3.1功能设计测试评价内容按GB/T202712006中6.1.5,3a)的要求,实现终端计算机第一级的功能设计测试评价方法评估者应审查开发者所提供的信息是否满足如下要求功能设计应当使用非形式化风格来描述终端计算机安全功能与其外部接口 a 功能设计应当是内在一致的; b 功能设计应当描述使用所有外部终端计算机安全功能接口的目的与方法,适当的时候,要提供结果影响例外情况和错误信息的细节记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断 5.2.3.3.2高层设计测试评价内容按GB/T20271一2006中6.1.5.3b的要求,实现终端计算机第一级的高层设计测试评价方法评估者应审查开发者所提供的高层设计文档是否满足如下要求 a)以子系统的观点、以非形式化的方法来一致性地描述终端计算机的体系结构; b 描述每一个子系统所提供的安全功能及其相互关系; 标识安全功能要求的任何基础性的硬件、固件和/或软件,并且通过这些硬件、,固件和/或软件所实现的保护机制,来提供安全功能功能" 标识安全功能子系统的所有接口.并标明安全功能子系统的哪些接口是外部可见的 D 记录审查结果并对该结果是否完全符合上述测试评价方法要求作出判断 5.2.3.3.3低层设计测试评价内容按GB/T202712006中6.1.5.3c)的要求,实现终端计算机第一级的低层设计测试评价方法评估者应审查开发者所提供的低层设计文档是否满足如下要求低层设计的表示应是非形式化的,内在一致的,并以模块术语描述 a 一个校块的目的" b 描述每一以所提供的安全功能和对其他模块的依赖性术语定义模块间的相互关系; c 26

信息安全技术终端计算机通用安全技术要求与测试评价方法GB/T29240-2012

终端计算机是当前社会必不可少的工具之一，而网络攻击、病毒、木马等威胁也如影随形。针对这些问题，我国制定了国家标准GB/T29240-2012《信息安全技术终端计算机通用安全技术要求与测试评价方法》，旨在规范终端计算机的安全保护工作。

一、标准内容概述

GB/T29240-2012标准主要包括以下方面：

适用范围
引言
术语和定义
终端计算机安全要求
终端计算机安全测试评价方法
测试报告编制要求
测试结果解释和分析
附录 A 终端计算机安全技术实现要求详解
附录 B 安全防护测试用例示例

标准的适用范围包括终端计算机、服务器和网关等计算机系统，以及软件、硬件、网络设备等方面。其中，终端计算机安全要求主要包括身份认证、访问控制、数据保护、安全审计等方面，而测试评价方法则包括功能测试、性能测试、稳定性测试等。

二、标准实施意义

GB/T29240-2012标准的实施可以帮助企业和政府机构建立有效的终端计算机安全保护体系，提高网络安全保障水平，防范信息泄露、黑客攻击等风险。

同时，该标准也有助于相关企业、行业组织和政府部门协同合作，促进国内信息安全产业的发展，提高我国在信息安全领域的话语权和影响力。

三、标准应用案例

GB/T29240-2012标准已经得到广泛应用，下面以一些典型案例进行介绍：

案例一：某银行终端计算机安全保护

某银行是国内领先的金融机构之一，其业务涵盖存款、贷款、信用卡等多个方面。鉴于其业务特点和数据量大，该银行在终端计算机上采用了GB/T29240-2012标准中的身份认证、访问控制、数据保护等要求，并且对这些要求进行了定期的测试评价。

这种做法不仅提高了银行数据的安全性，也为客户提供了更加可靠的服务保障。

案例二：某政府机构终端计算机安全保护某政府机构是我国的重要部门之一，其业务涉及到国家机密和重要信息。为了保障终端计算机的安全，该机构采用了GB/T29240-2012标准中的多项要求，如数据加密、系统审计等，并针对这些要求进行了定期的测试评价。通过标准化的安全保护措施，该政府机构在网络攻击和数据泄露方面得到了有效的防范，保证了国家信息安全的稳定运行。

四、结论

GB/T29240-2012《信息安全技术终端计算机通用安全技术要求与测试评价方法》是我国相关领域的一个重要标准，它规范了终端计算机的安全保护工作，有助于提高国家信息安全保障水平。各企业和政府机构应根据自身情况，制定相应的安全保护方案，并且定期进行测试评价，以确保终端计算机的安全性和可靠性。