国家标准 GB/20271一2006 信息安全技术信息系统通用安全技术要求 nmformatonseeurityteehmology- Commonsecurityteehniquesrequirementforinformmationsystem 2006-05-31发布 2006-12-01实施国家质量监督检验检疫总局发布中国国家标准化管理委员会国家标准
GB/T20271一2006 目次前言引言范围规范性引用文件术语、定义和缩略语 3 术语和定义 3 缩略语安全功能技术要求物理安全环境安全设备安全记录介质安全运行安全风险分析信息系统安全性检测分析信息系统安全监控安全市计信息系统边界安全防护备份与故障恢复恶意代码防护信息系统的应急处理可信计算和可信连接技术数据安全 2 4.3.l1 身份鉴别 4.3.2抗抵赖 4.3.3 自主访问控制标记 5 强制访问控制用户数据完整性保护 I6 6 用户数据保密性保护数据流控制可信路径 4.3.10密码支持安全保证技术要求 ssOIs自身安全保护 5.1.1ssF物理安全保护 1 5.1.2SSF运行安全保护 3 5.1 18 SSF数据安全保护
GB/T20271一2006 19 1.4SSOIS资源利用 5. 20 5.1.5SsOIS访问控制 20 5.2SsOIS设计和实现 20 5.2.1配置管理 5.2.2分发和操作 2 5.2.3开发 22 2 文档要求 25 5.2.5 生存周期支持 26 55 2.6测试 21 5.2. 脆弱性评定 SSOIS安全管理 28 5.3. SSF功能的管理 28 26 5.3.2安全属性的管理 5.3.3SSF数据的管理 2 36 5.3 安全角色的定义与管理 ssOIs安全机制的集中管理 5 36 信息系统安全技术分等级要求 36 第一级;用户自主保护级 36 物理安全 3G 运行安全 31 数据安全 3 ssOIs自身安全保护 32 SsOIs设计和实现 32 ssoIs安全管理 33 第二级;系统审计保护级 33 物理安全 2 33 运行安全 2 34 数据安全 34 2 ssOIS自身安全保护 35 2 SsOIs设计和实现 36 2 ssOIS安全管理 3 2 第三级;安全标记保护级 3 3.1物理安全 3 3.2运行安全 38 3.3 数据安全 39 3 40 sSOIS自身安全保护 6.3 .5 SSOIS设计和实现 42 6.3.6SSOIS安全管理 6 42 第四级;结构化保护级 42 6.4.1物理安全 43 6.4.2运行安全 6.4.3 44 数据安全 46 6.4.4sSSOIS自身安全保护
GB/T20271一2006 4" 6.4.5sSOIS设计和实现 48 6.4.6SsOIS安全管理 48 6.5第五级;访问验证保护级 48 6.5.1物理安全 49 运行安全 50 数据安全 52 SsOIs自身安全保护 53 SsOIS设计和实现 54 SsOIs安全管理 55 附录A资料性附录标准概念说明 55 组成与相互关系 56 A.2关于安全保护等级的划分 56 A.3关于主体、落体 A.关于sso1s,.ssF.ssP.sFP及其相互关系 56 A.5关于密码技术 56 56 关于信息安全技术等级和信息系统安全等级附录B(资料性附录等级化信息系统安全设计参考 58 安全需求与分等级保护 B.1 58 B.1 确定安全需求的基本方法 58 分等级保护的基本思想 58 B.1.3划分安全保护等级的假定 58 划分和确定安全保护等级的原则和方法 B.1 59 B.2信息系统安全设计概述 6 B.2.1信息系统安全设计总体说明 6 B.2.2信息系统安全的组成与相互关系 63 B.2.3等级化信息系统安全的设计 63 附录c(资料性附录)安全技术要素与安全技术分等级要求的对应关系 68 参考文献 78 业

GB/T20271一2006 前言本标准的附录A、附录B,附录C是资料性附录本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位:北京思源新创信息安全资讯有限公司,江南计算技术研究所技术服务中心本标准主要起草人:吉增瑞、王志强、陈冠直、景乾元、宋健平
GB/T20271一2006 引言本标准主要从信息系统安全保护等级划分的角度,说明为实现GB17859一1999中每一个安全保护等级的安全功能要求应采取的安全技术措施,以及各安全保护等级的安全功能在具体实现上的差异个复杂的大型/巨大型信息系统可以由若干个分系统或子系统组成无论从全系统、分系统或子系统的角度,信息系统一般由支持软件运行的硬件系统(含计算机硬件系统和网络硬件系统、对系统资源进行管理和为用户使用提供基本支持的系统软件(含计算机操作系统软件、数据库管理系统软件和网络协议软件和管理软件,实现信息系统应用功能的应用系统软件等组成这些硬件和软件共同协作运行,实现信息系统的整体功能从安全角度，组成信息系统各个部分的硬件和软件都应有相应的安全功能,确保在其所管辖范围内的信息安全和提供确定的服务这些安全功能分别是;确保硬件系统安全的物理安全,确保数据网上传输、交换安全的网络安全,确保操作系统和数据库管理系统安全的系统安全 (含系统安全运行和数据安全保护) 据安全保护) 这四个层面的安全,再加上为保证其安全功能达到应有的安全性而必须采取的管理措其实,在这五个层面中,许多安全功能和实现机制都能,构成了实现信息系统发全的五个层面的发全是相同的比如,身份鉴别、审计、访问控制、保密性保护、完整性保护等,在每一层都有体现,并有相应的安全要求本标准对这些安全功能的描述是从安全技术的角度进行的,每一个安全技术的要求(含功能要求和保证要求)具有普遍的适用性,比如,对身份鉴别的描述既适用于操作系统,也适用于网络系统、数据库管理系统和应用系统这种按安全要素对安全技术要求进行描述的方法,具有简洁、清晰的优点本标准大量采用了GB/T183362001(idtIsO/IEC15408:1999)的安全功能要求和安全保证要求的技术内容,并按GB178591999的五个等级,对其进行了相应的等级划分本标准首先对信息安全等级保护所涉及的安全功能技术要求和安全保证技术要求做了比较全面的描述,然后按GB17859-1999的五个安全保护等级,对每一个安全保护等级的安全功能技术要求和安全保证技术要求做了详细描述需要特别说明的是,信息安全技术等级和信息系统安全等级是两个既有联系又不相同的概念本标准是对不同安全等级的信息安全技术要求的描述信息技术安全等级是根据安全功能技术和安全保证技术实现上的差异,参考国、内外已有标准并结合我国当前信息系统安全的实际情况确定的而信息系统的安全等级是根据信息系统的安全需求、参照所采用的安全技术的等级确定的(有关概念的详细说明,见A.6关于信息安全技术等级与信息系统安全等级) 为了帮助读者运用这些安全技术设计和实现不同安全等级的信息系统,附录B给出了等级化信息系统安全设计参考附录C给出信息系统安全技术要素与安全技术分等级要求之间的对应关系表C.1是安全功能技术要素与安全功能技术分等级要求的对应关系;表C.2是安全保证技术要素与安全保证技术分等级要求的对应关系第6章是对各个安全保护等级安全功能技术要求和安全保证技术要求的具体描述为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强,每一级的新增部分用“宋体加粗字” 表示
GB/T20271一2006 信息安全技术信息系统通用安全技术要求范围本标准依据GB17859一1999的五个安全保护等级的划分,规定了信息系统安全所需要的安全技术的各个安全等级要求本标准适用于按等级化要求进行的安全信息系统的设计和实现,对按等级化要求进行的信息系统安全的测试和管理可参照使用规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本凡是不注日期的引用文件,其最新版本适用于本标准 GB17859-1999计算机信息系统安全保护等级划分准则 GB45一1982高层民用建筑设计防火规定 T16一1974建筑设计防火规范术语定义和缩略语术语和定义 G;B178591999确立的以及下列术语和定义适用于本标准 3.1.1 信息系统安全seeurityofinformationsystem 信息系统及其所存储、传输和处理的信息的保密性、.完整性和可用性的表征 3.1.2 信息系统通用安全技术commonseeurityteehnologyofinformationsystem 实现各种类型的信息系统安全所普遍适用的安全技术 3.1.3 信息系统安全子系统seeurilysubsystemofinformatonsystem 信息系统内安全保护装置的总称包括硬件、固件、软件和负责执行安全策略的组合体它建立了个基本的信息系统安全保护环境,并提供安全信息系统所要求的附加用户服务注:按照GB17859一1999对TCB可信计算基)的定义,SS(OIs(信息系统安全子系统)就是信息系统的TCB 3.1.4 安全要素seeurityelement 本标准中的安全功能技术要求和安全保证技术要求所包含的安全内容的组成成分 3.1.5 安全功能策略seeurityfunetionpoliey 为实现sSOIS安全要素要求的功能所采用的安全策略 3.1.6 安全功能seeurityfunctiom 为实现安全要素的要求,正确实施相应安全功能策略所提供的功能
GB/T20271一2006 3.1.7 安全保证 securityassurance 为确保安全要素的安全功能达到要求的安全性目标所采取的方法和措施 3.1.8 ssoIS安全策略sSoIs seeuritypoliey 对SsOIS中的资源进行管理、保护和分配的一组规则一个SsOIS中可以有一个或多个安全策略 3.1.9 funetion ssoIS安全功能sso1ss security 正确实施SsOIS安全策略的全部硬件、固件、软件所提供的功能每一个安全策略的实现,组成一个SsOIs安全功能模块一个SsOIs的所有安全功能模块共同组成该ssOIS的安全功能 3.1.10 eofcontrol SSF控制范围SSF scope SSOIs的操作所涉及的主体和客体的范围 3.1.11 useridentifieationm 用户标识用来标明用户的身份,确保用户在系统中的唯一性和可辨认性一般以用户名称和用户标识符 UD)来标明系统中的用户用户名称和用户标识符都是公开的明码信息 3.1.12 用户鉴别user”authentieation 用特定信息对用户身份的真实性进行确认用于鉴别的信息一般是非公开的、难以仿造的 3.1.13 用户一主体绑定 subjeetbhinding uSer- 用一定方法将指定用户与为其服务的主体(如进程)相关联 3.1.14 主、客体标记lahelofsubjeetandobjeet 为主、客体指定敏感标记这些敏感标记是等级分类和非等级类别的组合,是实能强制访问控制的依据 3.1.15 安全属性seeurityattribute 用于实施安全策略,与主体、客体相关的信息对于自主访问控制,安全属性包括确定主,客体访问关系的相关信息;对于采用多级安全策略模型的强制访问控制,安全属性包括主、客体的标识信息和安全标记信息 3.1.16 自主访问控制discretionaryaeeesscontrol 由客体的所有者主体自主地规定其所拥有客体的访问权限的方法有访问权限的主体能按授权方式对指定客体实施访问,并能根据授权,对访问权限进行转移 3.1.17 强制访问控制mandatoryaecesscontrol 由系统根据主、客体所包含的敏感标记,按照确定的规则,决定主体对客体访问权限的方法有访问权限的主体能按授权方式对指定客体实施访问敏感标记由系统安全员或系统自动地按照确定的规则进行设置和维护
GB/T20271一2006 3.1.18 回退 rollback 由于某种原因而撤消上一次/一系列操作,并返回到该操作以前的已知状态的过程 3.1.19 可信信道trustedchannel 为了执行关键的安全操作,在SSF与其他可信IT产品之间建立和维护的保护通信数据免遭修改和泄漏的通信路径 3.1.20 可信路径trustelpath 为实现用户与SSF之间的可信通信,在SSF与用户之间建立和维护的保护通信数据免遭修改和泄漏的通信路径 3.1.21 公开用户数据 publisheduserdata 信息系统中需要向所有用户公开的数据该类数据需要进行完整性保护 1.22 3 内部用户数据internaluserdata 信息系统中具有一般使用价值或保密程度,需要进行一定保护的用户数据该类数据的泄漏或破坏,会带来一定的损失 3.1.23 重要用户数据immportantuserdata 信息系统中具有重要使用价值或保密程度,需要进行重点保护的用户数据,该类数据的泄露或破坏,会带来较大的损失 3.1.24 关键用户数据keyuserdata 信息系统中具有很高使用价值或保密程度,需要进行特别保护的用户数据,该类数据的泄漏或破坏,会带来重大损失 3.1.25 nuclearuserdataa 核心用户数据信息系统中具有最高使用价值或保密程度,需要进行绝对保护的用户数据,该类数据的泄漏或破坏,会带来灾难性损失 3.1.26 容错toleranee 通过一系列内部处理措施,将软,硬件所出现的错误消除掉,确保出错情况下SSOIS所提供的安全功能的有效性和可用性 3.1.27 服务优先级priorityofserviee 通过对资源使用的有限控制策略,确保SsOIs中高优先级任务的完成不受低优先级任务的干扰和延误,从而确保SOIs安全功能的安全性 3.1.28 resourceallocation 资源分配通过对sSOIs安全功能控制范围内资源的合理管理和调度,确保SsOIs的安全功能不因资源使用方面的原因而受到影响
GB/T20271一2006 3.1.29 e 配置管理 con igurat ationmanagemment -种建立功能要求和规范的方法该功能要求和规范是在SsOIS的执行中实现的 3.1.30 配置管理系统cmfigue rationmanagementsystem 通过提供追踪任何变化,以及确保所有修改都已授权的方法,确保sSOIS各部分的完整性 3.1.31 保护轮廓prutectonprofile 详细说明信息系统安全保护需求的文档,即通常的安全需求，一般由用户负责编写 3.1.32 安全目标securitytarget 阐述信息系统安全功能及信任度的文档,即通常的安全方案，一般由开发者编写 3.1.33 sSoIS安全管理ssoIsseeuritymanagement 对与ssoIs安全相关方面的管理,包括对不同的管理角色和它们之间的相互作用(如能力的分离) 进行规定,对分散在多个物理上分离的部件有关敏感标记的传播.ssF数据和功能的修改等间题的处理 3.1.34 安全功能数据seeurityfunetiondata 安全子系统中各个安全功能模块实现其安全功能所需要的数据如主、客体的安全属性,审计信息，鉴驯信息等 3.2缩略语下列缩略语适用于本标准配置管理configurationmanagenment CM CMs配置管理系统configurationmanagenmentsystemm PP保护轮廓protectionprofile SFP安全功能策略seeurityfunetionpoliey SsCsSSF控制范围SSFscopeofcontrol s9Fssos安全功能ssoSteuiAmetiom ssPsso1s安全策略sso1sseuritypolioy SsOIs信息系统安全子系统seeuritysubsystemofinformationsystetm ST安全目标securitytarget 安全功能技术要求物理安全环境安全中心机房的安全保护机房场地选择根据对机房安全保护的不同要求,机房场地选择分为基本要求;按一般建筑物的要求进行机房场地选择; b)防火要求;避开易发生火灾和危险程度高的地区,如油库和其他易燃物附近的区域防污染要求:;避开尘埃,有毒气体,腐蚀性气体,盐雾腐蚀等环境污染的区域 d)防潮及防雷要求:避开低洼、潮湿及落雷区域;
GB/T20271一2006 防震动和噪声要求;避开强震动源和强噪声源区域; f 防强电场、磁场要求;避开强电场和强磁场区域防地震、水灾要求;避开有地震、水灾危害的区域; g h)位置要求;避免在建筑物的高层以及用水设备的下层或隔壁 iD 防公众干扰要求;避免靠近公共区域,如运输通道、停车场或餐厅等 4.1.1.1.2机房内部安全防护根据对机房安全保护的不同要求,机房内部安全防护分为机房出人:机房应只设一个出人口,并有专人负责,未经允许的人员不准进人机房;另设若干紧 a 急疏散出口,标明疏散线路和方向; b 机房物品:没有管理人员的明确准许,任何记录介质、文件材料及各种被保护品均不准带出机房,磁铁、私人电子计算机或电设备、食品及饮料、香烟、吸烟用具等均不准带人机房; 机房人员;获准进人机房的来访人员,其活动范围应受到限制,并有接待人员陪同 c D 机房分区;机房内部应分区管理，一般分为主机区.操作区、辅助区等,并根据每个工作人员的实际工作需要,确定其能进人的区域; 机房门禁;设置机房电子门禁系统,进人机房的人员,通过门禁系统的鉴别,方可进人 e 机房防火根据对机房安全保护的不同要求机房防火分为建筑材料防火机房和记录介质存放间,其建筑材料的耐火等级应符合叮16- 一1974中规定的二级耐火等级;机房相关的其余基本工作房间和辅助房,其建筑材料的耐火等级应不低于 T16一1974中规定的三级耐火等级; 建筑材料防火;机房和重要的记录介质存放间,其建筑材料的耐火等级,应符合GB45一 b 1982中规定的二级耐火等级;机房相关的其余基本工作房间和辅助房,其建筑材料的耐火等级应不低于TJ16-1974中规定的二级耐火等级; 建筑材料防火;机房和重要的记录介质存放间,其建筑材料的耐火等级,应符合GB45- 1982中规定的一级耐火等级;机房相关的其余基本工作房间和辅助房,其建筑材料的耐火等级应不低于TJ16一1974中规定的二级耐火等级; 报警和灭火系统;设置火灾报警系统,由人来操作灭火设备,并对灭火设备的效率、毒性、用量和损害性有一定的要求; 报警和灭火系统;设置火灾自动报警系统,包括火灾自动探测器、区域报警器、集中报警器和控制器等,能对火灾发生的部位以声,光或电的形式发出报警信号,并启动自动灭火设备,切断电源、关闭空调设备等; 报警和灭火系统;设置火灾自动消防系统,能自动检测火情、自动报警,并自动切断电源和其他应急开关,自动启动事先固定安装好的灭火设备进行自动灭火; 区域隔离防火;机房布局应将脆弱区和危险区进行隔离,防止外部火灾进人机房,特别是重要设备地区,应安装防火门,使用阻燃材料装修等 4.1.1.1.4机房供、配电根据对机房安全保护的不同要求,机房供、配电分为: a分开供电:机房供电系统应将计算机系统供电与其他供电分开,并配备应急照明装置; b)紧急供电;配置抵抗电压不足的基本设备,如UPS; c 紧急供电;配置抵抗电压不足的改进设备,如基本UPSs,改进UPs,多级UPS d 紧急供电:配置抵抗电压不足的更强设备,如基本UPSs,改进的UPs,多级UPS和应急电源发电机组)等备用供电:建立备用的供电系统,以备常用供电系统停电时启用,完成对运行系统必要的保留
GB/T20271一2006 f 稳压供电:采用线路稳压器,防止电压波动对计算机系统的影响; 电源保护;设置电源保护装置,如金属氧化物可变电阻、硅雪崩二极管、气体放电管,滤波器、 g 电压调整变压器和浪涌滤波器等,防止/减少电源发生故障; h 不间断供电:采用不间断供电电源,防止电压波动、电器干扰、断电等对计算机系统的影响 i 电器噪声防护;采取有效措施,减少机房中电器噪声干扰,保证计算机系统正常运行突然事件防护:采取有效措施,防止/减少供电中断、异常状态供电(指连续电压过载或低电压,电压瞬变、噪声(电磁干扰)以及由于雷击等引起的设备突然失效事件 4.1.1.1.5机房空调、降温根据对机房安全保护的不同要求,机房空调、降温分为基本温度要求:应有必要的空调设备,使机房温度达到所需的温度要求 a b)较完备空调系统:应有较完备的中央空调系统,保证机房温度的变化在计算机系统运行所允许的范围完备空调系统:应有完备的中央空调系统,保证机房各个区域的温度变化能满足计算机系统运行、人员活动和其他辅助设备的要求机房防水与防潮根据对机房安全保护的不同要求,机房防水与防湖分为水管安装要求;水管安装,不得穿过屋顶和活动地板下,穿过墙壁和楼板的水管应使用套管,并采取可靠的密封槽施水害防护;采取一定措施,防止雨水通过屋顶和墙壁渗透,室内水蒸气结露和地下积水的转移 b 与渗透; 防水检测;安装对水敏感的检测仪表或元件,对机房进行防水检测,发现水害,及时报警; d)排水要求;机房应设有排水口,并安装水泵,以便迅速排出积水机房防静电 4.1.1.1.7 根据对机房安全保护的不同要求,机房防静电分为 a)接地与屎蔽;采用必要的措施,使计算机系统有一套合理的防静电接地与屏蔽系统; b) 服装防静电;人员服装采用不易产生静电的衣料,工作鞋选用低阻值材料制作; e)温,湿度防静电;控制机房温湿度,使其保持在不易产生静电的范围内 d)地板防静电:机房地板从表面到接地系统的阻值,应在不易产生静电的范围材料防静电:机房中使用的各种家具,工作台、柜等,应选择产生静电小的材料 e) f 维修MOS电路保护;在硬件维修时,应采用金属板台面的专用维修台,以保护MOS电路 g)静电消除要求;在机房中使用静电消除剂和静电消除器等,以进一步减少静电的产生 4.1.1.1.8机房接地与防雷击根据对机房安全保护的不同要求,机房接地与防雷击分为接地要求;采用地桩、水平栅网、金属板、建筑物基础钢筋构建接地系统等,确保接地体的良好接地; b去耦、滤波要求:设置信号地与直流电源地,并注意不造成额外耦合,保障去耦、滤波等的良好效果; 避雷要求;设置避雷地,以深埋地下、与大地良好相通的金属板作为接地点;至避雷针的引线则应采用粗大的紫铜条,或使整个建筑的钢筋自地基以下焊连成钢筋网作为“大地”与避雷针相连; 防护地与屏蔽地要求;设置安全防护地与屏蔽地,采用阻抗尽可能小的良导体的粗线,以减小各种地之间的电位差;应采用焊接方法,并经常检查接地的良好,检测接地电阻,确保人身、设备和运行的安全
GB/T20271一2006 交流电源地线要求;设置交流电源地线;交流供电线应有规范连接位置的三芯线,即相线、中线和地线,并将该“地线”连通机房的地线网,以确保其安全保护作用 4.1.1.1.9机房电磁防护根据对机房安全保护的不同要求,机房电磁防护分为: a)接地防干扰;采用接地的方法,防止外界电磁和设备寄生稠合对计算机系统的干扰 b)屏蔽防干扰:采用屏蔽方法,碱少外部电器设备对计算机系统的瞬间干扰距离防干扰;采用距离防护的方法,将计算机机房的位置选在外界电磁干扰小的地方和远离可能接收辐射信号的地方; d)电磁泄漏发射防护;应采用必要措施,防止计算机设备产生的电磁泄漏发射造成信息泄露介质保护;对磁带、磁盘等磁介质设备的保管存放,应注意电磁感应的影响,如使用铁制柜存放; 机房屏蔽;采用屏蔽方法,对计算机机房进行电磁屏蔽,防止外部电磁场对计算机设备的干扰，防止电磁信号泄漏造成的信息泄露 4.1.1.2通信线路的安全防护根据对通信线路安全的不同要求,通信线路安全防护分为 a) 确保线路畅通:采取必要措施.保证通信线路畅通; b 发现线路截获;采取必要措施,发现线路截获事件并报警及时发现线路截获;采取必要措施,及时发现线路截获事件并报警 d)防止线路截获;采取必要措施,防止线路截获事件发生 4.1.2设备安全 4.1.2.1设备的防盗和防毁根据对设备安全的不同要求,设备的防盗和防毁分为设备标记要求;计算机系统的设备和部件应有明显的无法除去的标记,以防更换和方便查找赃物， b)计算中心防盗O;计算中心应安装防盗报警装置,防止夜间从门窗进人的盗窃行为计算中心防盗;计算中心应利用光、电、无源红外等技术设置机房报警系统,并有专人值守防止夜间从门窗进人的盗窃行为; 计算中心防盗利用闭路电视系统对计算中心的各重要部位进行监视,并有专人值守,防止 d 夜间从门窗进人的盗窃行为; 机房外部设备防盗;机房外部的设备,应采取加固防护等措施,必要时安排专人看管,以防止盗窃和破坏 4.1.2.2设备的安全可用根据对设备安全的不同要求,设备的安全可用分为: 基本运行支持;信息系统的所有设备应提供基本的运行支持,并有必要的容错和故障恢复 a 能力; b设备安全可用:支持信息系统运行的所有设备,包括计算机主机、外部设备、网络设备及其他辅助设备等均应安全可用; 设备不间断运行;提供可靠的运行支持,并通过容错和故障恢复等措施,支持信息系统实现不间断运行 4.1.3记录介质安全根据对设备安全的不同要求,记录介质安全分为: 公开数据介质保护:存放有用数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质等,应采取一定措施防止被毁和受损;
GB/T20271一2006 b 内部数据介质保护;存放内部数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质等,应采取一定措施,防止被盗,被毁和受损;需要删除和销毁的内部数据,应有一定措施防止被非法拷贝重要数据介质保护:存放重要数据的各类记录介质,如纸介质、磁介质,半导体介质和光介质等,应采取较严格的保护措施,防止被盗、被毁和受损;应该删除和销毁的重要数据,要有有效的管理和审批手续,防止被非法拷贝; 关键数据介质保护;存放关键数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质等,应采取严格的保护措施,防止被盗、被毁和受损;需要删除和销毁的关键数据,要有严格的管理和审批手续,并采取有效措施,防止被非法拷贝; 核心数据介质保护;存放核心数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质等,应采取最严格的保护措施防止被盗、被毁和受损;核心数据应长期保存,并采取有效措施，防止被非法拷贝 4.2运行安全 4.2.1风险分析信息系统的风险分析应按以下要求进行 a 以系统安全运行和数据安全保护为出发点,全面分析由于物理的、系统的、管理的、人为的和自然的原因所造成的安全风险; 通过对影响信息系统安全运行的诸多因素的了解和分析,明确系统存在的风险,找出克服这 b 些风险的办法对常见的风险(如;后门/陷阱门、拒绝使用、辐射、盗用、伪造、假冒、,逻辑炸弹、破坏活动、偷窃行为、搭线窃听以及计算机病毒等)进行分析,确定每类风险的程度系统设计前和运行前应进行静态风险分析,以发现系统的潜在安全隐患系统运行过程中应进行动态风险分析,测试、跟踪并记录其活动,以发现系统运行期的安全漏洞,并提供相应的系统脆弱性分析报告; 采用风险分析工具,通过收集数据、分析数据、输出数据,确定危险的严重性等级,分析危险的可能性等方法,进行风险分析,并确定安全对策 4.2.2信息系统安全性检测分析根据对信息系统安全运行的不同要求,信息系统安全性检测分析分为操作系统安全性检测分析;从操作系统的角度,以管理员身份评估文件许可,文件宿主、网络服务设置、账户设置、程序真实性以及一般的与用户相关的安全点,人侵迹象等,从而检测和分析操作系统的安全性,发现存在的安全隐患; 数据库管理系统安全性检测分析;对支持信息系统运行的数据库管理系统进行安全性检测分析,要求通过扫描数据库系统中与鉴别、授权,访问控制和系统完整性设置相关的数据库管理系统特定的安全脆弱性,分析其存在的缺点和漏洞,提出补救措施网络系统安全性检测分析;采用侵袭模拟器,通过在网络设备的关键部位,用模拟侵袭的方法，自动扫描、检查并报告网络系统中(包括安全网络系统的各个组成部分,如防火墙等)存在的缺陷和漏洞,提出补救措施,达到增强网络安全性的目的; 应用系统安全性检测分析:对所开发的应用系统进行系统运行的安全性检测分析,要求通过扫描应用系统中与鉴别、授权,访问控制和系统完整性有关的特定的安全脆弱性,分析其存在的缺陷和漏洞,提出补救措施硬件系统安全性检测分析:对支持系统运行的硬件系统进行安全性检测,通过扫描硬件系统中与系统运行和数据保护有关的特定安全脆弱性包括电磁泄漏发射和电磁干扰等),分析其存在的缺陷和漏洞,提出补救措施;
GB/T20271一2006 f 攻击性检测分析;对重要的信息系统作攻击性检测,通过专业技术攻击检测检查系统存在的缺陷和漏洞,提出补救措施 4.2.3信息系统安全监控信息系统安全监控应采用以下方法安全探测机制:在组成信息系统的计算机、网络的各个重要部位,设置探测器,实时监听网络数据流,监视和记录内、外部用户出人网络的相关操作在发现违规模式和未授权访间时,报告信息系统安全监控中心 b 安全监控中心设置安全监控中心,对收到的来自探测器的信息,根据安全策略进行分析,并作审计,报告,事件记录和报警等处理监控中心应具有必要的远程管理功能,如对探测器实现远程参数设置、远程数据下载、远程启动等操作安全监控中心还应具有实时响应功能,包括攻击分析和响应误操作分析和响应、漏洞分析和响应以及漏洞形势分析和响应等 4.2.4安全审计 4.2.4.1 安全审计的响应安全审计sSF应按以下要求响应审计事件，记审计日志:当检测到有安全侵害事件时,将审计数据记人审计日志; a b) 实时报警生成;当检测到有安全侵害事件时,生成实时报警信息,并根据报警开关的设置有选择地报警违例进程终止;当检测到有安全侵害事件时,将违例进程终止; c 服务取消当检测到有安全侵害事件时,取消当前的服务 dD 用户账号断开与失效;当检测到有安全侵害事件时,将当前的用户账号断开,并使其失效 e) 4.2.4.2安全审计数据产生安全审计ssF应按以下要求产生审计数据为下述可审计事件产生审计记录审计功能的开启和关闭使用身份鉴别机制; -将客体引人用户地址空间<例如;打开文件、程序初始化); 删除客体系统管理员、系统安全员,审计员和一般操作员所实施的操作 -其他与系统安全有关的事件或专门定义的可审计事件对于每一个事件,其审计记录应包括事件的日期和时间、用户,事件类型、事件是否成功,及 b 其他与审计相关的信息 e对于身份鉴别事件,审计记录应包含请求的来源(例如;末端标识符) 对于客体被引人用户地址空间的事件及删除客体事件,审计记录应包含客体名及客体的安 d) 全级 4.2.4.3安全审计分析根据对安全审计的不同要求,安全审计分析分为潜在侵害分析;用一系列规则监控审计事件,并根据这些规则指出对SSP的潜在侵害这些 a 规则包括 -由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合; 任何其他的规则 b 基于异常检测的描述;维护用户所具有的质疑等级 -历史使用情况,以表明该用户的现行活动与已建立的使用模式的一致性程度当用户的质疑等级超过门限条件时,能指出将要发生对安全性的威胁
GB/T20271一2006 简单攻击探测:能检测到对SSF的实施有重大威胁的签名事件的出现为此,SSF应维护指出对SSF侵害的签名事件的内部表示,并将检测到的系统行为记录与签名事件进行比较,当发现两者匹配时,指出一个对SSF的攻击即将到来复杂攻击探测:在上述简单攻击探测的基础上,能检测到多步人侵情况,并根据已知的事件序列模拟出完整的人侵情况,指出发现对SSF的潜在侵害的签名事件或事件序列的时间 4.2.4.4安全审计查阅根据对安全审计的不同要求,安全审计查阅分为基本审计查阅:提供从审计记录中读取信息的能力,即为授权用户提供获得和解释审计信息的 a 能力当用户是人时,必须以人类可懂的方式表示信息;当用户是外部IT实体时,必须以电子方式无歧义地表示审计信息 b)有限审计查阅:在基本审计查阅的基础上,应禁止具有读访问权限以外的用户读取审计信息可选审计查阅;在有限审计查阅的基础上,应具有根据准则来选择要查阅的审计数据的功能，并根据某种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能力 4.2.4.5安全审计事件选择应根据以下属性选择可审计事件: D客体身份、用户身份、主体身份,主机身份、事件类型作为审计选择性依据的附加属性 b 4.2.4.6安全审计事件存储根据对安全审计的不同要求,安全审计事件存储分为 a)受保护的审计踪迹存储;审计踪迹的存储受到应有的保护,能检测或防止对审计记录的修改; 审计数据的可用性确保;在意外情况出现时,能检测或防止对审计记录的修改,以及在发生审 b 计存储已满、存储失败或存储受到攻击时,确保审计记录不被破坏审计数据可能丢失情况下的措施:当审计跟踪超过预定的门限时,应采取相应的措施,进行审计数据可能丢失情况的处理; 防止审计数据丢失;在审计踪迹存储记满时,应采取相应的防止审计数据丢失的措施,可选择 “忽略可审计事件”“阻止除具有特殊权限外的其他用户产生可审计事件”、“覆盖已存储的最老的审计记录”和“一旦审计存储失败所采取的其他行动”等措施,防止审计数据丢失 4.2.4. 网络环境安全审计在网络环境运行的信息系统,应采用以下措施实现网络环境信息系统安全审计 a)安全审计中心;在信息系统中心建立由安全审计服务器组成的审计中心,收集各安全审计代理程序的审计信息,并进行记录分析与保存 b)安全审计代理程序;分布在网络各个运行节点的安全审计代理程序,为安全审计服务器提供审计数据跨平台安全审计机制;设置跨平台的安全审计机制,对安全事件快速进行评估并作出响应,向管理人员提供各种能反映系统使用情况,出现的可疑迹象、,运行中发生的问题等有价值的统计和分析信息审计评估方法和机制;运用统计方法学和审计评估机制,给出智能化审计报告及趋向报告,达到综合评估系统安全现状的目的 4.2.5信息系统边界安全防护根据对信息系统运行安全的不同要求,信息系统边界安全防护采用的安全机制和措施分为基本安全防护:采用常规的信息系统边界安全防护机制,如基本的登录/连接控制等,实现基本 a 的信息系统边界安全防护; b 较严格安全防护:采用较严格的安全防护机制,如较严格的登录/连接控制,普通功能的防火 10
GB/T20271一2006 墙、防病毒网关、人侵防范、信息过滤,边界完整性检查等,实现较严格的信息系统边界安全防护; 严格安全防护;根据当前信息安全对抗技术的发展,采用严格的安全防护机制,如严格的登录连接控制,高安全功能的防火墙、防病毒网关、人侵防范、信息过滤、边界完整性检查等,实现严格的信息系统边界安全防护特别安全防护;采用当前最先进的边界防护技术,必要时可以采用物理隔离安全机制,实现特别安全要求的信息系统边界安全防护 4.2.6备份与故障恢复为了实现确定的恢复功能,必须在信息系统正常运行时定期地或按某种条件实施备份不同的恢复要求应有不同的备份进行支持根据对信息系统运行安全的不同要求,实现备份与故障恢复的安全技术和机制分为用户自我信息备份与恢复;提供用户有选择地备份重要信息的功能;当由于某种原因引起信息系统中用户信息丢失或破坏时,能提供用户按自我信息备份所保留的信息进行信息恢复的功能; 增量信息备份与恢复;提供由信息系统定时对新增信息进行备份的功能;当由于某种原因引起信息系统中的某些信息丢失或破坏时,提供用户按增量信息备份所保留的信息进行信息恢复的功能; 局部系统备份与恢复:提供定期对信息系统的某些重要的局部系统的运行状态进行备份的功能;当由于某种原因引起信息系统某一局部发生故障时,提供用户按局部系统备份所保留的运行状态进行局部系统恢复的功能; 全系统备份与恢复:提供定期对信息系统全系统的运行状态进行备份的功能;当由于某种原因引起信息系统全系统发生故障时,提供用户按全系统备份所保留的运行状态进行全系统恢复的功能设备备份与容错;可采用设备冷/热备份,单机逻辑备份、双机备份等,对系统的重要设备进行备份/冗余设置和容错设计,并在必要时能立即投人使用,使故障对用户透明网络备份与容错;对于重要信息系统,采用冗余技术、路由选择技术、路由备份技术等,实现网络备份与容错,当网络正常路由不能工作时,能替代其工作,使信息系统照常运行灾难备份与恢复;对于重要的信息系统,设置主机系统的异地备份,当主机系统发生灾难性故障中断运行时,能在较短时间内启动,替代主机系统工作,使系统不间断运行恶意代码防护 4.2.7 对包括计算机病毒在内的恶意代码进行必要的安全防护根据对信息系统运行安全的不同要求实现恶意代码防护的安全机制和措施分为严格管理:严格控制各种外来介质的使用,防止恶意代码通过介质传播 a b网关防护:要求在所有恶意代码可能人侵的网络连接部位设置防护网关,拦截并清除企图进人系统的恶意代码; 整体防护;设置恶意代码防护管理中心,通过对全系统的服务器、工作站和客户机,进行恶意代码防护的统一管理,及时发现和清除进人系统内部的恶意代码; 防管结合;将恶意代码防护与网络管理相结合,在网管所涉及的重要部位设置恶意代码防护软件,在所有恶意代码能够进人的地方都采取相应的防范措施,防止恶意代码侵袭; 多层防御;采用实时扫描,完整性保护和完整性检验等不同层次的防护技术,将恶意代码检测多层数据保护和集中式管理功能集成起来,提供全面的恶意代码防护功能,检测、发现和消除恶意代码,阻止恶意代码的扩散和传播 1l
GB/T20271一2006 4.2.8信息系统的应急处理根据对信息系统运行安全的不同要求,实现信息系统应急处理的安全机制和措施分为具有各种安全措施:包括在出现各种安全事件时应采取的措施,这些措施是管理手段与技术手 a 段的结合; b 设置正常备份机制;在系统正常运行时就通过各种备份措施为灾害和故障做准备健全安全管理机构:建立健全的安全事件管理机构,明确人员的分工和责任; c d 建立处理流程图;制定安全事件响应与处理计划及事件处理过程示意图,以便迅速恢复被破坏的系统 4.2.9可信计算和可信连接技术可信计算技术:通过在计算机的核心部位设置基于硬件支持的可信计算模块,为计算机系统的 a 运行,建立从系统引导,加载直到应用服务的可信任链,确保各种运行程序的真实性,并对用户的身份鉴别,以及数据的保密性,完整性保护等安全功能提供支持 b)可信连接技术:通过在网络设备的核心部位设置基于硬件支持的可信连接模块,为网络设备的连接提供可信支持,确保网络设备的可信连接 4.3数据安全身份鉴别 4.3.1 4.3.1 用户标识与鉴别用户标识 4.3.1.1.1 根据对用户标识与鉴别的不同要求,用户标识分为 a)基本标识;应在sSF实施所要求的动作之前,先对提出该动作要求的用户进行标识; b) 唯一性标识;应确保所标识用户在信息系统生存周期内的唯一性,并将用户标识与安全审计相关联标识信息管理;应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或删除 c) 4.3.1.1.2用户鉴别根据对用户标识与鉴别的不同要求,用户鉴别分为 a)基本鉴别;应在SSF实施所要求的动作之前,先对提出该动作要求的用户成功地进行鉴别 b) 不可伪造鉴别;应检测并防止使用伪造或复制的鉴别信息一方面,要求sSF应检测或防止由任何别的用户伪造的鉴别数据;另一方面,要求sSF应检测或防止当前用户从任何其他用户处复制的鉴别数据的使用 -次性使用鉴别;应提供一次性使用鉴别数据的鉴别机制,即SsF应防止与已标识过的鉴别机制有关的鉴别数据的重用多机制鉴别;应提供不同的鉴别机制,用于鉴别特定事件的用户身份,并根据所描述的多种鉴别机制如何提供鉴别的规则,来鉴别任何用户所声称的身份重新鉴别;应有能力规定需要重新鉴别用户的事件,即在需要重新鉴别的条件成立时,对用户进行重新鉴别例如,终端用户操作超时被断开后,重新连接时需要进行重鉴别鉴别信息管理;应对用户鉴别信息进行管理、维护,确保其不被非授权的访问、修改或删除 4.3.1.1.3鉴别失败处理 SSF应为不成功的鉴别尝试(包括尝试次数和时间的值)定义一个值,并明确规定达到该值时所应采取的动作鉴别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数目相同的情况,并进行预先定义的处理 4.3.1.2用户一主体绑定在SsOIs安全功能控制范围之内,对一个已标识和鉴别的用户,应通过用户主体绑定将该用户与为其服务的主体(如进程)相关联,从而将该用户的身份与该用户的所有可审计行为相关联,以实现用 12
GB/T20271一2006 户行为的可查性 4.3.1.3隐秘 SSOIS应为用户提供确保其身份真实性的前提下,不被其他用户发现或滥用的保护根据对身份鉴别的不同要求,隐秘分为匿名:用户在其使用资源或服务时,不暴露身份,即;应确保任何用户和/或主体集,不能确定与当前主体和/或操作相关联的实际用户,并在对主体提供服务时不询问实际的用户名; b 假名:用户在使用资源或设备时,不暴露其真实名称,但仍能对该次使用负责,即;应确保用户和/或主体集,不能确定与当前主体或操作相关联的真实的用户名,并能给一个用户提供多个假名,以及验证所使用的假名是否符合假名的度量; 不可关联性;一个用户可以多次使用资源和服务但任何人都不能将这些使用联系在一起,即应确保任何用户和/或主体不能确定系统中的某些操作是否由同一用户引起; 不可观察性用户在使用资源和服务时,其他人,特别是第三方不能观察到该资源和服务正在被使用,即:应确保任何用户和/或主体,不能观察到由受保护的用户和/或主体对客体所进行的操作 4.3.1.4 设备标识与鉴别 4.3.1.4.1设备标识根据对设备标识与鉴别的不同要求,设备标识分为 a接人前标识;对连接到信息系统的设备,应在将其接人到系统前先进行标识: b) 标识信息管理应对设备标识信息进行管理,维护,确保其不被非授权的访问、修改或删除 4.3.1.4.2设备鉴别根据设备标识与鉴别的不同要求,设备鉴别分为 a)接人前鉴别;对连接到信息系统的设备,应在将其接人到系统前先进行鉴别,以防止设备的非法接人不可伪造鉴别:鉴别信息应是不可见的,不易仿造的,应检测并防止使用伪造或复制的鉴别 b 信息鉴别信息管理;应对设备鉴别信息进行管理、维护,确保其不被非授权的访问、修改或删除 4.3.1.4.3鉴别失败处理应通过对不成功的鉴别尝试(包括尝试次数和时间的阀值)的值进行预先定义,以及明确规定达到该值时所应采取的动作来实现鉴别失败的处理 4.3.2抗抵赖 4.3.2.1抗原发抵赖应确保数据的发送者不能成功地否认曾经发送过该数据要求SSF应提供一种方法,来确保接收数据的主体在数据交换期间能获得证明数据原发的证据,而且该证据可由该主体或第三方主体验证根据对抗抵赖的不同要求,抗原发抵赖分为 a 选择性原发证明:SSF应具有按主体请求对传输的数据产生原发证据的能力,即sSSF在接到接收者的请求时,能就传输的数据产生原发证据,证明该数据的发送由该原发者所为 b)强制性原发证明:SSF应总对传输的数据产生原发证据,即SSF能在任何时候对传输的数据产生原发证据,证明该数据的发送由该原发者所为 4.3.2.2抗接收抵赖应确保数据的接收者不能否认接收过该数据要求SSF应提供一种方法,来确保发送数据的主体在数据交换期间能获得证明该数据被接收的证据,而且该证据可由该主体或第三方主体验证根据对抗抵赖的不同要求,抗接收抵赖分为选择性接收证明SSF应具有按主体请求对传输的数据产生接收证据的能力,即SSF在接到 13
GB/T20271一2006 原发者的请求时,能就传输的数据产生接收证据,证明该数据的接收由该接收者所为; b)强制性接收证明:SSF应总对传输的数据产生接收证据,即SSF能在任何时候对传输的数据产生接收证据,证明该数据的接收由该接收者所为 4.3.3自主访问控制 4.3.3.1访问控制策略 SSF应按确定的自主访问控制安全策略进行设计,实现对策略控制下的主体对客体操作的控制可以有多个自主访问控制安全策略,但它们必须独立命名,且不能相互冲突常用的自主访问控制策略包括:访问控制表访问控制、目录表访问控制、权能表访问控制等 4.3.3.2访问控制功能 SSF应实现采用一条命名的访问控制策略的特定功能,说明策略的使用和特征,以及该策略的控制范围无论采用何种自主访问控制策略,SSF应有能力提供在安全属性或命名的安全属性组的客体上,执行访问控制sFP 在基于安全属性的允许主体对客体访问的规则的基础上,允许主体对客体的访间在基于安全属性的拒绝主体对客体访问的规则的基础上,拒绝主体对客体的访问 4.3.3.3访问控制范围根据对自主访向控制的不同要求,自主访同控制的覆盖范围分为 a)子集访问控制;要求每个确定的自主访问控制,ssF应覆盖由安全系统所定义的主体、客体及其之间的操作完全访问控制;要求每个确定的自主访问控制,SsF应覆盖信息系统中所有的主体、客体及其 b 之间的操作,即要求sSF应确保ssC内的任意一个主体和任意一个客体之间的所有操作将至少被一个确定的访问控制sFP覆盖 4.3.3.4访问控制粒度根据对访问控制的不同要求,自主访问控制的粒度分为 a)粗粒度;主体为用户组/用户级,客体为文件、数据库表级; b) 中粒度;主体为用户级,客体为文件、数据库表级和/或记录、字段级; e)细粒度;主体为用户级,客体为文件、数据库表级和/或记录、,字段和/或元素级 4.3.4标记 4.3.4.1主体标记应为实施强制访问控制的主体指定敏感标记,这些敏感标记是实施强制访问控制的依据如等级分类和非等级类别组合的敏感标记是实施多级安全模型的基础 4. 3. .4.2客体标记应为实施强制访问控制的客体指定敏感标记,这些敏感标记是实施强制访问控制的依据如;等级分类和非等级类别组合的敏感标记是实施多级安全模型的基础 4. .3.4.3标记的输出当数据从sSC之内向其控制范围之外输出时,根据需要可以保留或不保留数据的敏感标记根据对标记的不同要求,标记的输出分为不带敏感标记的用户数据输出:在SFP的控制下输出用户数据到SsC之外时,不带有与数据相关的敏感标记 b带有敏感标记的用户数据输出:;在SFP的控制下输出用户数据到SsC之外时,应带有与数据相关的敏感标记,并确保敏感标记与所输出的数据相关联 4.3.4.4标记的输入当数据从SSF控制范围之外向其控制范围之内输人时,应有相应的敏感标记,以便输人的数据能 14
GB/T20271一2006 受到保护根据对标记的不同要求,标记的输人分为: 不带敏感标记的用户数据输人:SSF应做到 a -在SFP控制下从SSC之外输人用户数据时,应执行访问控制SFP -略去任何与从SSC之外输人的数据相关的敏感标记; -执行附加的输人控制规则,为输人数据设置敏感标记 b)带有敏感标记的用户数据输人:SSF应做到在SFP控制下从SsC之外输人用户数据时,应执行访问控制SFP sSSF应使用与输人的数据相关的敏感标记; SSF应在敏感标记和接收的用户数据之间提供确切的联系 -SSF应确保对输人的用户数据的敏感标记的解释与原敏感标记的解释是一致的 4.3.5强制访问控制访问控制策略 4.3.5.1 强制访问控制策略应包括策略控制下的主体、客体,及由策略覆盖的被控制的主体与客体间的操作可以有多个访问控制安全策略,但它们必须独立命名,且不能相互冲突当前常见的强制访问控制策略有多级安全模型;基本思想是,在对主、客体进行标记的基础上.Sso1s控制范围内的所有主体对 a 客体的直接或间接的访问应满足向下读原则;仅当主体标记中的等级分类高于或等于客体标记中的等级分类,且主体标记中的非等级类别包含了客体标记中的全部非等级类别,主体才能读该客体: 向上写原则;仅当主体标记中的等级分类低于或等于客体标记中的等级分类,且主体标记中的非等级类别包含于客体标记中的非等级类别,主体才能写该客体基于角色的访问控制(BRAC):基本思想是,按角色进行权限的分配和管理;通过对主体进行 b 角色授予,使主体获得相应角色的权限;通过撤消主体的角色授予,取消主体所获得的相应角色权限在基于角色的访问控制中,标记信息是对主体的授权信息特权用户管理;基本思想是,针对特权用户权限过于集中所带来的安全隐患,对特权用户按最小授权原则进行管理实现特权用户的权限分离;仅授予特权用户为完成自身任务所需要的最小权限 4.3.5.2访问控制功能 SSF应明确指出采用一条命名的强制访问控制策略所实现的特定功能 SSF应有能力提供: 在标记或命名的标记组的客体上,执行访问控制sSFP; 按受控主体和受控客体之间的允许访问规则决定允许受控主体对受控客体执行受控操作; 按受控主体和受控客体之间的拒绝访问规则,决定拒绝受控主体对受控客体执行受控操作 4.3.5.3访问控制范围根据对强制访问控制的不同要求,强制访问控制的覆盖范围分为 a)子集访问控制:对每个确定的强制访问控制,SSF应覆盖信息系统中由安全功能所定义的主体、客体及其之间的操作; b)完全访问控制;对每个确定的强制访问控制,SSF应覆盖信息系统中所有的主体、客体及其之间的操作,即要求sSF应确保SSC内的任意一个主体和任意一个客体之间的操作将至少被一个确定的访问控制SFP覆盖 4.3.5.4访问控制粒度根据对强制访问控制的不同要求,强制访问控制的粒度分为 a 中粒度:主体为用户级,客体为文件、数据库表级和/或记录、字段级 b)细粒度:主体为用户级,客体为文件、数据库表级和/或记录、字段和/或元素级 15
GB/T20271一2006 4.3.5.5访问控制环境强制访问控制应考虑以下不同的系统运行环境: a)单一安全域环境;在单一安全域环境实施的强制访问控制应在该环境中维持统一的标记信息和访问规则;当被控客体输出到安全域以外时,应将其标记信息同时输出; b)多安全域环境;在多安全域环境实施统一安全策略的强制访问控制时,应在这些安全域中维持统一的标记信息和访问规则;当被控制客体在这些安全域之间移动时,应将其标记信息一起移动 4.3.6用户数据完整性保护 4.3.6.1存储数据的完整性应对存储在sSC内的用户数据进行完整性保护根据对用户数据完整性保护的不同要求,存储数据的完整性分为: 完整性检测:SsF应对存储在SSC内的用户数据在读取操作时进行完整性检测,以发现数据完整性被破坏的情况: 完整性检测和恢复:SSF应对存储在SsC内的用户数据在读取操作时进行完整性检测,并在 b 检测到完整性错误时,采取必要的恢复措施 4.3.6.2传输数据的完整性当用户数据在SSF和SSF间传输时应提供完整性保护根据对用户数据完整性保护的不同要求，传输数据的完整性分为: 完整性检测:SSF应对经网络传输的用户数据在传输过程中进行完整性检测,及时发现以某种 a 方式传送或接收的用户数据被篡改、删除、插人等情况发生; b 完整性检测和恢复SSF应对经网络传输的用户数据在传输过程中进行完整性检测,及时发现以某种方式传送或接收的用户数据被篡改、删除插人等情况发生,并在检测到完整性错误时,采取必要的恢复措施 4.3.6.3处理数据的完整性对信息系统中处理中的数据,应通过“回退”进行完整性保护,即ssF应执行数据处理完整性SFP 以允许对所定义的操作序列进行回退 4.3.7用户数据保密性保护 4. .3.7.1存储数据保密性保护对存储在sSC内的用户数据,应根据不同数据类型的不同保密性要求,进行不同程度的保密性保护,确保除具有访问权限的合法用户外,其余任何用户不能获得该数据 4.3.7.2传输数据保密性保护对在不同ssr之间或不同ssF上的用户之间传输的用户数据,应根据不同数鹅类型的不同保密性要求,进行不同程度的保密性保护,确保数据在传输过程中不被泄漏和窃取 4.3.7.3客体安全重用在对资源进行动态管理的系统中,客体资源(寄存器、内存、磁盘等记录介质)中的剩余信息不应引起信息的泄漏根据对用户数据保密性保护的不同要求,客体安全重用分为子集信息保护;由ssoIs安全控制范围之内的某个子集的客体资源,在将其释放后再分配给 a 来一用户或代表该用户运行的进程时,应不会泄漏该客体中的原有信息，桌 b 完全信息保护由ssO1s安全控制范围之内的所有客体资源,在将其释放后再分配给某一用户或代表该用户运行的进程时,应不会泄漏该客体中的原有信息" 特殊信息保护在完全信息保护的基础上,对于某些需要特别保护的信息,应采用专门的方法对客体资源中的残留信息做彻底清除,如对剩磁的清除等 16
GB/T20271一2006 4.3.8数据流控制在以数据流方式实现数据流动的信息系统中,应采用数据流控制机制实现对数据流动的安全控制，以防止具有高等级安全的数据信息向低等级的区域流动 4.3.9可信路径用户与SSF间的可信路径应: a) 提供真实的端点标识,并保护通信数据免遭修改和泄漏 b)利用可信路径的通信可以由sSF自身,本地用户或远程用户发起 c)对原发用户的鉴别或需要可信路径的其他服务均使用可信路径 4.3.10密码支持应根据密码强度与信息系统安全保护等级匹配的原则按国家密码主管部门的规定,分级配置具有相应等级密码管理的密码支持安全保证技术要求 5.1ssoIS自身安全保护 5.1.1SSF物理安全保护物理攻击检测应对可能危及ssF安全的物理算改提供明确的检渊手段,由找权用户澈话自动安全检渊功能或用手动方式进行检查,以确定篡改是否发生物理攻击自动报告 5.1.1.2 在上述物理攻击检测的基础上,当发现物理篡改时,应自动报告给指定用户 5.1.1.3物理攻击抵抗在上述物理攻击自动报告的基础上,应提供抵制对sSF设备或sSF要素的物理篡改,使ssP不受损害比如,根据完整性策略的要求,对于存储在某类存储介质上的信息,使其处于不可写的状态,从而保护其上的信息不被篡改 5.1.2sSF运行安全保护 5.1.2.1安全运行测试 SSF应提供在系统初始化期间、在正常运转下周期性地、应授权用户请求或在其他条件下,通过运行测试套件,进行SsF软件的安全运行测试,以验证SSF所提供的安全假定能正确执行 5.1.2.2失败保护当SSF中所确定的失败类型出现时,应保存一个保护状态该保护状态确保SF从失败恢复时安全策略的正确性 5. 1.2.3重放检测应能检测出确定实体(如消息,服务请求、服务响应、会话等)的重放,从而实现有效地避免重放攻击,并在检测到重放要求时,执行操作列表所指示的操作这些操作包括;忽略被重放的实体,从标识源进行实体确认,并终止重放实体原发主体的活动 5.1.2.4参照仲裁对一个给定的SFP,其所实现的访问监控器和/或前端过滤器应是“始终被激活的”,并正确,成功地执行,从而使SFP强制执行的所有行动都要由SSF加以确认,即SSF对SSP应具有不可旁路性和防篡改性 5.1.2.5域分离 SFP应确保至少有一个安全域,使SSF的执行不被不可信主体从外部进行干扰和篡改(如对sSF 编码或数据结构的修改) 根据对SSF运行安全保护的不同要求,域分离分为 SSF域分离;应为SSF提供不同的保护域,并提供SsC内的客体之间的分离 SSF域分离的 a 17
GB/T20271一2006 具体要求如下 SSF应为自身的执行维护一个安全域,防止不可信主体的干扰和篡改; -SSF应在SSC内主体的安全域之间实施分离,除了由SSF控制的共享部分外,每个主体应有不同的安全域; 通过将SSF的安全域的资源与该域外的主体及不受约束的实体分离,使保护域外的实体不能观察或修改保护域内的sSF数据或SSF编码域间的传输应是受控的,不能随意地进人或退出保护域按地址传到保护域的用户或应用参数,应根据保护域的地址空间进行确认,而按值传到保护域的用户或应用参数则应根据保护域所期望的值进行确认 b)sSFP域分离;应按SFP对sSF的域进一步细分,作为参照监视器的SFP的一个确定集合是一个域,SsSF的其余部分是一个域,SsOIs内的非sSF部分是一个域,并要求: -SSF的未隔离部分应对自身的执行维护一个安全域,以防止不可信主体的干扰和篡改 SsSF应对SsC内主体的安全域之间实施分离; sF应对sso1s中与访问控制sFP有关的部分维护一个自身执行的安全域以防止被 SSOIS内非SSF部分的干扰和篡改 5.1.2.6状态同步协议在分布式系统中,应通过SSF采取的某些安全措施,确保分布式系统的两部分之间在完成与安全有关的活动后,状态保持同步根据对ssF运行安全保护的不同要求,状态同步协议分为简单的可信回执;要求数据接收者给出简单回执,即ssF收到来自另一ssF发出的传输数据 a 时应提供确认(回执),以表明其成功地接收到了未经修改的ssF数据相互的可信回执;要求交换数据的双方相互给出回执即sSF收到来自另一SSF发出的传输 b 数据时应提供确认(回执),以表明其成功地接收到了未经修改的sSF数据;并且另一sSF在收到该确认(回执)后应证实其已收到这一确认 5.1.2.7可信时间戳应为sSF自身的运行提供可靠的时间标记,即应有准确、可靠的时钟系统(如计时时钟、中断时钟等),并提供以数字签名支持的时间戳服务 5.1.2.8可信恢复应在确定不减弱保护的情况下启动SOIs,并在SSF运行中断后能在不减弱sSP保护的情况下以手动或自动方式恢复运行 5. .1.2.9SSF自检应提供对sSF正确操作的自测试能力这些测试可在启动时进行,或周期性地进行,或在授权用户要求时进行,或当某种条件满足时进行,同时应提供对SSF数据和可执行代码的完整性验证的能力 1.3SSF数据安全保护 55 .1.3.1输出sS数据的可用性应通过一系列规则,根据sSF数据类型列表的指示,在所定义的可用性度量范围内,确保sSF数据如口令、密钥、审计数据或SSF的可执行代码)从SSF输出到远程信息系统的SSF时的可用性 5.1.3.2输出sSF数据的保密性应保护SSF数据如口令、密钥、审计数据或sSF的可执行代码)从sSF输出到远程信息系统的 SSF时,不被未经授权的泄漏 5.1.3.3输出sSF数据的完整性应保护SSF数据(如口令,密钥,审计数据或SSF的可执行代码)从SSF输出到远程信息系统的 sSSF时,不被未经授权的修改根据对sSSF数据安全保护的不同要求,输出SSF数据的完整性分为 SSF间修改的检测;在假定知道远程信息系统的SSF所使用的机制的情况下,SSF应在所定 a 18
GB/T20271一2006 义的修改度量范围内检测sSF与远程信息系统的SSF之间传输的所有SSF数据被修改的情况; b)SSF间修改的改正:在上述SSF间修改的检测的基础上,当检测到修改时,能按修改类型将所有被修改的数据改正过来 5.1.3.4sSsoIS内SSF数据传输保护应对SsOIS内的分离部分间传输的SSF数据进行保护根据对sSF数据安全保护的不同要求， ssOIS内sSF数据传输保护分为基本传输保护SSF应对SsOIS的分离部分间传输的SSF数据进行基本保护,以防止其在传 a 输过程中被泄漏或修改; b)数据分离传输:在ssOIS内部的分离部分间传输数据时,SSF应将用户数据与SSF数据进行分离,以保护sSF数据在ssOIS的分离部分间传输时不被泄漏或修改数据完整性保护;在SsOIS的分离部分间传输sSF数据时,SSF应能检测出所传输的SSF数据被修改、替换、重排序、删除等完整性错误,并能采取规定的措施进行改正 5.1.3.5SSF间的SSF数据的一致性与别的信息系统的ssF交换ssF数据《如;SFP属性、审计信在分布式或复合式系统环境下,SSF 息、标识信息等)时,应提供确保ssF间数据一致性的能力 5.1.3.6SSOIS内SSF数据复制的一致性应确保对Sso1s内部sSF数据复制的一致性,当出现包含复制的SsF数据的Sso1s部分断开时 sSF应确保在重建连接后,在处理任何与ssF数据复制的一致性相关请求前,实现被复制的ssF数据的一致性 5.1.3.7用户与ssF间可信路径应在sSF与本地用户或远程用户之间提供一条可信的数据传输路径该可信路径应提供真实的端点标识,保护通信数据免遭修改和泄漏;SSF应允许由sSF自身、本地用户或远程用户原发的经可信路径的通信,还应对原发用户的鉴别或需要可信路径的其他服务均使用可信路径 5.1.3.8sS间可信信道应在SSF与远程信息系统的sSF之间提供一条可信的数据传输信道,保护通信数据免遭修改和泄漏,同时应允许由SsF或远程信息系统的sSF原发的经可信信道的通信,支持由可信信道功能列表所列各种功能原发的经可信信道的通信 5.1.4SSIS资源利用 5.1.4.1容错根据对ssOIS资源利用的不同要求,容错分为: 》降级容错,对确定的错误事件.ssF能在错误发生后通过降低能力使安全子系统保持一个安全的状态 b 受限容错;对标识的错误事件,SSF能通过采取有效措施进行对抗,继续正确运行原有功能 5.1.4.2服务优先级根据对SSOIS资源利用的不同要求,服务优先级分为: 子集服务优先级;应通过控制用户和主体对sSSC内资源的使用,使得在SSC内的某个资源子 a 集,高优先级任务的完成总是不受低优先级任务的干扰和影响 b)全部服务优先级;应通过控制用户和主体对sSC内资源的使用,使得在SSC内的全部资源,高优先级任务的完成总是不受低优先级任务的干扰和影响 5.1.4.3资源分配根据对sSSOIs资源利用的不同要求,资源分配分为最大限额资源分配;应通过控制用户和主体对资源的占用,确保用户和主体不会超过某一数量 a 19
GB/T20271一2006 或独占某种受控资源; b)最小和最大限额资源分配:应通过控制用户和主体对资源的占用,确保用户和主体不会超过某一数量或独占某种受控资源,并至少获得最小规定的资源 5.1.5ssoIS访问控制应提供控制用户与sSOIs建立会话的功能用户会话的建立包括创建一个或多个主体(如进程). 这些主体在SsOIS中代表用户执行操作,并具有相应用户的安全属性根据对SsOIS自身安全保护的不同要求,ssOIS访问控制分为 sSsOIS会话建立:根据相关的会话安全属性,SSF应允许或拒绝用户与SsOIS建立会话这些属性包括;访问地址或端口,用户安全属性(如用户身份、许可证等级、角色中的成员资格)，时间范围(如一天中的某些时间、一周的某些天、,某些特定日期),或上述属性的组合可选属性范围限定:在与SssOIS建立会话时,应限制用户可选择的会话安全属性的范围包括访问方法、访问的地址或端口及访问时间(如一日的某些时间、一周的某些天等),以及用户可能绑定到的主体(如进程多重并发会话限定;应对用户在一个时间段内可能的并发会话数进行限制,包括所有多重并发会话的基本限定和每位用户多重并发会话的限定 SsOIS访问历史;在一次会话成功建立的基础上,应显示该账户上一次会话成功建立的日期、时间方法和位置等信息,或显示该账户上一次会话建立不成功的日期、时间方法和位置等信息,以及从最后一次成功的会话建立以来不成功的尝试次数用户应能够复查这些信息,也可以放弃这些信息,并且在没有给用户提供访问上述信息的情况下,不能从用户界面上抹去该信息的会话锁定;应提供交互式会话的ssF原发的和用户原发的锁定和解锁能力及ssF原发终止会话能力,以便在会话进人非活动周期后对终端进行锁定或结束会话在用户的静止期超过规定的值时,通过以下方式锁定该用户的交互式会话在显示设备上清除或涂抹,使当前的内容不可读; 取消会话解锁之外的所有用户数据的存取/显示的任何活动在会话解锁之前再次进行身份鉴别 5.2sSoIs设计和实现 5.2.1配置管理 5.2.1.1配置管理能力应确保SSOIS在提交用户运行之前是正确和完备的,所有配置项不会缺少,并能防止对SsOIS配置项进行未授权的增加、删除或修改根据对配置管理的不同要求,配置管理(CM1)能力分为 a)版本号;开发者所使用的版本号与所应表示的SSOIS样本应完全对应,没有歧义 D) 配置项;配置项应有唯一的标识,从而对SsOIS的组成有更清楚的描述授权控制;开发者用对sSOIS的唯一引用作为其标签,从而使ssOIS的使用者明确自己使用的是哪一个样本;使ssoIs不会受到未经授权的修改为此-授权控制要求 CM计划应描述系统是如何使用的,并说明运行中的CM系统与CM计划的一致性 CM文档应足以说明在CM系统下有效地维护了所有的配置项; CM系统应确保对配置项只进行授权修改 d 生成支持和验收过程;确认对配置项的任何生成和修改都是由授权者进行的为此,CM系统应支持SsOIS的生成,验收计划应描述用来验收修改过的或新建的配置项的过程,并作为 SsOIs的一部分进一步的支持:集成过程应有助于确保由一组被管理的配置项生成ssOIS的过程是以授权的方式正确进行的,并要求CM系统有能力标识用于生成sSSOIS的主拷贝的材料,这有助于通 20
GB/T20271一2006 过适当的技术,以及物理的和过程的安全措施来保持这些材料的完整性为此,CM的进一步支持要求 CM文档除应包括配置清单,CM计划外,还应包括一个验收计划和集成过程,集成过程应描述在sSOIS制作过程中如何使用CM系统; -CM系统应要求将一个配置项接收到CM中的不是该配置项的开发者; -CM系统应明确标识组成SSF的配置项; -CM系统应支持所有对ssOoIS修改的审计,至少应包括操纵者、日期,时间等信息 -CM系统应有能力标明用于生成ssOIS主拷贝的所有材料 CM文档应阐明CM系统与开发安全方法相联系的使用,并只允许对SsOIs作授权的修改; CM文档应阐明集成过程的使用能够确保SSOIs的生成是以授权的方式正确进行的 CM文档应阐明CM系统足以确保负责将某配置项接收到CM中的不是该配置项的开发者; CM文档应能证明接收过程对所有配置项的修改都提供了充分而适当的复查 5.2.1.2配置管理自动化应通过cM自动化增加cM系统的有效性,使所设计的SsoIs不易受人为错误或疏忽的影响这里的ssoS是就纯软件而言的,通过引进自动化的cM来协助ssOs配置项的正确生成,并确定 ssO1s与其以前版本之间的变化及将来版本的改变根据对配置管理的不同要求,cM自动化分为 a 部分cM自动化;应确保sso1s的实现表示是通过自动方式控制的,从而解决复杂实现或众多合作者合作开发,以及在开发过程中多种变化情况所出现的人工难以解决的问题,并确保这些变化是已授权的行为所产生的部分CM自动化要求 SsOIs的开发者所使用的CM系统应通过所提供的自动方式来确保ssOs的实现表示只能进行已授权的变化,并能提供自动方式来支持ssOIs的生成 -开发者所提供的CM计划应描述CM系统中所使用的自动工具,并说明如何使用这些工具 b) 完全CM自动化;除了与上述部分CM自动化有相同的内容外,还能自动确定SSO1S版本间的变化,并标识出哪个配置项会因其余配置项的修改而受到影响 5.2.1.3配置管理范围应通过确保CM系统跟踪所有必须的SsOIS配置项来保证这些配置项的完整性根据对配置管理的不同要求,CM范围分为 a)SSOIs配置管理范围:将ssoIS的实现表示、设计文档、测试文档用户文档、安全管理员文档、CM文档等置于CM之下,从而确保它们的修改是在一个正确授权的可控方式下进行的，为此要求开发者所提供的CM文档应: -展示CM系统能跟踪被置于CM之下的内容; 描述CM系统是如何跟踪这些配置项的; -提供足够的信息证明达到所有要求 b)问题跟踪配置管理范围;除SsOIS配置管理范围描述的内容外,特别强调对安全缺陷的跟踪开发工具配置管理范围:除问题跟踪配置管理范围所描述的内容外,特别强调对开发工具和相关信息的跟踪 5.2.2分发和操作 5.2.2.1分发应通过系统控制、分发工具和分发过程确保接收方所收到的SsOIS产品正是发送者所发送的,且没有任何修改,主要目标是在分发过程中能够检测和防止对SsOIS的任何修改根据对分发和操作的 S 21
GB/T20271一2006 不同要求,分发分为分发过程;应将sSSOIS或其部分的分发以文档形式提供给用户,分发文档应描述给用户分发 a SsOIs的各版本时用以维护安全所必须的所有过程,并按该过程进行分发 b) 修改检测:除按分发过程的要求进行SSOIS的分发外,分发文档还应描述检测修改的方法和技术,并描述开发者的主拷贝与用户收到的版本之间的差异，描述用来检测试图伪装成开发者向用户发送产品的方法; 修改防止:在修改检测的基础上,分发文档还应描述如何防止修改的方法和技术 5.2.2. 2 操作(安装、生成和启动) 应确保在开发者所期望的安全方式下进行安装,生成和启动,将处于配置控制下的sSsOIS的实现表示安全地转换为用户环境下的初始操作安装、生成和启动过程可以以独立的文档进行描述,也可以与其他管理员文档一起描述根据对分发和操作的不同要求,操作分为安装、生成和启动过程;要求开发者以文档形式提供对ssOIS安全地进行安装、生成和启动的过程进行说明,并确保最终生成了安全的配置日志生成;要求文档应描述建立日志的过程,该日志包含了用以生成sso1s的生成选项,从而 b 能够明确决定ssos是何时及如何产生的 5.2.3开发 5.2.3.1功能设计根据要求的形式化程度和所提供的SSF外部接口的详细程度,根据对开发的不同要求,功能设计分为: 非形式化功能设计;应使用非形式化风格来完备地描述ssF及其外部接口,功能设计应当是内部一致的,并且应描述所有外部sSF接口的使用目的与方法,适当的时候,还要提供结果例外情况和错误信息的细节; 完全定义的外部接口除上述非形式化功能设计的要求外,功能设计还应完备地表示SsF的 b 基本原理半形式化功能设计:应使用半形式化风格来完备地描述SSF及其外部接口,必要时可由非形式化解释性的文字来支持其余要求与上述相同; d 形式化功能设计;应使用形式化风格来描述SSF及其外部接口,必要时由非形式化、解释性的文字来支持其余要求与上述相同 5.2.3.2安全策略模型化通过开发基于ssP策略的安全策略模型,并建立功能设计,安全策略模型和ssP策略之间的对应性的方法,确保功能设计中的安全功能实施SF中的策略根据对开发的不同要求,安全策略模型化分为: 非形式化SSOIs安全策略模型;SSP模型应阐明功能设计与sSSP模型之间的对应性,并满足 a SSP模型应是非形式化的,并描述所有可以模型化的SSP策略的规则与特征; SSP模型应包括一个基本原理,阐明该模型与所有可模型化的sSP策略是一致的、完备的; sSP模型和功能设计之间的对应性阐明应说明功能设计中的安全功能与sSP模型是致的、完备的半形式化SsOIS安全策略模型;除上述非形式化ssOIs安全策略模型的要求外,要求所提供 b 的ssP模裂应是半形式化的形式化SsOIS安全策略模型;除上述半形式化SsOIS安全策略模型的要求外,要求所提供的 SSP模型应是形式化的 22

声明： 本站所有资源均来源于互联网，本站仅作为观摩学习的环境，将不对任何资源负法律责任。如果无意侵犯了您的权利，请及时发送邮件到“abc@gbbz.net”，本站会第一时间进行改正或删除处理，保证您的权利！本站资源仅供学习和参考，请勿用于商业用途，并请于下载后24小时内删除，否则产生的一切后果将由您承担！

GB/T20271-2006

信息安全技术信息系统通用安全技术要求

InformationsecuritytechnologyCommonsecuritytechniquesrequirementforinformationsystem

以图片形式预览信息安全技术信息系统通用安全技术要求

信息安全技术信息系统通用安全技术要求

相关推荐

网络代理服务器的安全技术要求

信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型

信息安全技术信息系统通用安全技术要求

信息安全技术网络基础安全技术要求

信息安全技术信息系统安全管理要求

标签