信息系统终端计算机系统安全等级技术要求
信息安全等级保护标准
信息安全等级保护标准
1. 安全目标:明确了信息系统安全保护的目标,包括机密性、完整性和可用性。
2. 安全等级划分:根据信息系统的安全需求和重要性,将其划分为不同的安全等级。
3. 安全技术要求:包括物理安全、网络安全、系统安全等方面的技术要求,如访问控制、身份认证、加密传输等。
4. 安全管理措施:包括组织结构、人员管理、安全培训等方面的管理措施,以保证信息安全的有效管理。
5. 安全测试评估:对信息系统进行定期的安全测试和评估,发现系统中存在的安全漏洞和风险,并及时采取措施进行修复。
6. 安全事件响应:建立健全的安全事件响应机制,对安全事件进行及时处理和跟踪,同时进行安全事故的调查与处理。
等保标准适用于政府机关、企事业单位等组织,旨在加强信息系统的安全保护,防止信息泄露、数据破坏、系统瘫痪等安全事件的发生。
对于不同行业和领域的组织,根据其安全需求和实际情况,可以进行相应的等级划分和安全措施的实施。
计算机信息系统安全等级保护通用技术要求
计算机信息系统安全等级保护通用技术要求
计算机信息系统安全等级保护通用技术要求(以下简称《通用技术要求》)是中国国家信息安全等级保护测评中用于计算机信息系统安全等级保护测评的技术要求标准。
该标准由中华人民共和国公安部发布,是针对计算机信息系统的安全性进行评估和测试的技术规范。
《通用技术要求》主要从安全需求分析和评估、系统安全设计、系统安全实施与配置、系统安全管理和维护等方面提出了具体要求。
下面是《通用技术要求》的一些主要内容:
1. 安全需求分析和评估:要求对计算机信息系统的安全需求进行全面评估,并根据评估结果确定相应的安全等级。
2. 系统安全设计:要求根据安全等级要求进行系统的安全设计,包括系统边界的划定、安全策略的制定、访问控制的实施等。
3. 系统安全实施与配置:要求在系统实施和配置过程中,采取相应的安全措施,确保系统组件和设备的安全性,同时对系统进行安全审计。
4. 系统安全管理和维护:要求建立完善的系统安全管理和维护机制,包括系统安全管理组织机构的建立、用户管理、安全事件管理等。
《通用技术要求》还提出了具体的技术要求和测试方法,以保证计算机信息系统在不同安全等级下的安全性。
同时,根据具
体的系统类型和安全等级要求,还可以参考其他相关技术规范进行细化和补充。
总之,计算机信息系统安全等级保护通用技术要求是对计算机信息系统安全进行评估和测试的技术标准,通过满足这些要求,可以确保计算机信息系统在不同安全等级下的安全性。
信息系统终端计算机系统安全等级技术要求
信息系统终端计算机系统安全等级技术要求1 范围本标准规定了对终端计算机系统进行安全等级保护所需要的安全技术要求,并给出了每一个安全保护等级的不同技术要求。
本标准适用于按GB 17859—1999的安全保护等级要求所进行的终端计算机系统的设计和实现,对于GB 17859—1999的要求对终端计算机系统进行的测试、管理也可参照使用。
2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单,不包括勘误的内容,或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859--1999 计算机信息系统安全保护等级划分准则GB/T 20271--2006 信息安全技术信息系统通用安全技术要求GB/T 20272—2006 信息安全技术操作系统安全技术要求3 术语和定义3.1 术语和定义GB 17859-1999 GB/T 20271—2006 GB/T 20272--2006确立的以及下列术语和定义适用于本标准。
3.1.1终端计算机一种个人使用的计算机系统,是信息系统的重要组成部分,为用户访问网络服务器提供支持。
终端计算机系统表现为桌面型计算机系统和膝上型计算机两种形态。
终端计算机系统一般由硬件系统、操作系统和应用系统(包括为用户方位网络服务器提供支持的攻击软件和其他应用软件)等部分组成。
3.1.2可信一种特性,具有该特性的实体总是以预期的行为和方式达到既定目的。
3.1.3完整性度量(简称度量)一种使用密码箱杂凑算法对实体计算其杂凑值的过程。
3.1.4完整性基准值(简称基准值)实体在可信状态下度量得到的杂凑值,可用来作为完整性校验基准。
3.1.5度量根一个可信的实体,是终端计算机系统内进行可信度量的基点。
3.1.6动态度量根度量根的一种,支持终端计算机系统对动态启动的程序模块进行实时的可信度量。
信息安全技术信息系统等级保护安全设计技术要求
信息安全技术信息系统等级保护安全设计技术要求一、引言信息安全技术信息系统等级保护(简称安全等级)是确定保护信息安全的主要依据。
安全等级在全球范围内得以广泛采用,为不同规模的信息系统提供安全保护,尤其是与计算机有关的信息系统,它受到越来越多的重视。
信息安全技术信息系统等级保护安全设计技术要求是根据安全等级保护要求而制定的,以实现信息系统等级保护的有效实施。
它主要包括信息系统安全建设要求、技术标准、安全控制要求、安全健康验证要求、安全风险管理要求等几个方面。
二、信息系统安全建设要求1、确定安全等级:根据系统内容、规模和应用环境,确定系统安全等级,并且根据安全等级制定安全控制要求。
2、安全需求分析:根据安全等级和系统功能,确定安全需求,并且对其做详细分析。
3、安全建设措施:针对安全分析的结果,确定有效的安全控制措施,以保障信息安全。
4、安全服务及测试:在安全控制实施之前应该进行全面的服务和测试,以保证安全控制措施可以有效地实施。
三、技术标准1、共用技术标准:按照国家发布的信息安全标准,依据国家安全要求、业务属性等,确定相应的安全控制措施,以达到安全要求。
2、可操作程度:检查与信息安全相关的应用系统是否具备足够的可操作性,以使用户可以有效的执行安全等级的安全控制措施。
3、安全增强技术:采用可用的安全增强技术,如双因素认证、VPN、虚拟机等,对安全等级进行有效保护。
4、工程技术标准:根据发展技术需要,系统地提出工程技术标准,为信息安全提供全面的指导和规范。
四、安全控制要求1、安全设计和测试:在设计、开发和测试过程中,应该以安全等级为依据,对系统设计、开发和测试进行充分的安全评估,以确保系统的安全性。
2、安全可控性:确保信息系统的安全性,应该把安全控制纳入系统的整体管理体系,并且把安全控制的实施责任落实到有关的责任人员身上。
3、安全记录:信息系统的安全活动必须保存有完整的日志记录,以便对系统发生的安全事件做出合理的反应。
安全等保三级要求明细
务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等; b) 当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目的、攻击时间,在发生严
重入侵事件时应提供报警。
6.
恶意代码防范(G3)
本项要求包括: a) 应在网络边界处对恶意代码进行检测和清除; b) 应维护恶意代码库的升级和检测系统的更新。
7.
e) 应利用光、电等技术设置机房防盗报警系统;
f) 应对机房设置监控报警系统。
4.
防雷击(G3)
本项要求包括:
a) 机房建筑应设置避雷装置;
b) 应设置防雷保安器,防止感应雷;
c) 机房应设置交流电源地线。
5.
防火(G3)
本项要求包括:
a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
本项要求包括:
a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与
审 计相关的信息;
c) 应能够根据记录数据进行分析,并生成审计报表;
d) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
4.
内重要的安全相关事件;
c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
d) 应能够根据记录数据进行分析,并生成审计报表;
e) 应保护审计进程,避免受到未预期的中断;
f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。
4.
剩余信息保护(S3)
本项要求包括:
a) 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配 给 其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
计算机信息系统安全等级保护通用技术要求
计算机信息系统安全等级保护通用技术要求计算机信息系统安全等级保护通用技术要求是指国家对计算机信息系统安全等级保护的基本要求和具体规定,旨在保护计算机信息系统的安全性和可靠性,防止信息泄露和被非法获取、篡改、破坏等风险。
下面将从不同的方面介绍这些通用技术要求。
一、计算机信息系统安全等级保护的基本概念和原则1. 安全等级划分:根据信息系统的重要性和对安全性的要求,将计算机信息系统划分为不同的安全等级,如一级、二级、三级等。
2. 安全等级保护的原则:信息系统安全等级保护应遵循适度性原则、综合性原则、风险可控原则和动态性原则。
二、计算机信息系统安全等级保护的基本要求1. 安全保密要求:对于不同的安全等级,要求对信息进行保密,包括数据的存储、传输和处理过程中的保密措施。
2. 安全完整性要求:信息系统应能够保证数据的完整性,防止被篡改或损坏。
3. 安全可用性要求:信息系统应保证在合法使用的范围内,能够及时、准确地提供服务。
4. 安全可控性要求:信息系统应具备对用户和系统进行有效控制的能力,确保安全控制的有效性和可操作性。
5. 安全可追溯性要求:信息系统应能够记录用户和系统的操作行为,以便追溯和审计。
6. 安全可恢复性要求:信息系统应具备故障恢复和灾难恢复的能力,确保系统在遭受破坏或故障后能够快速恢复正常运行。
三、计算机信息系统安全等级保护的具体技术要求1. 访问控制技术要求:对信息系统的用户进行身份认证和权限控制,确保只有经过授权的用户才能访问系统和数据。
2. 加密技术要求:对敏感数据进行加密,包括数据的存储、传输和处理过程中的加密措施。
3. 安全审计技术要求:对信息系统的操作行为进行审计和监控,及时发现和应对安全事件。
4. 安全保护技术要求:对信息系统进行防火墙、入侵检测和防护等技术措施,防止网络攻击和恶意代码的侵入。
5. 安全管理技术要求:建立健全的安全管理制度和流程,包括安全策略、安全培训和安全漏洞管理等。
信息系统安全等级保护基本要求
信息系统安全等级保护基本要求信息系统安全等级保护是指根据国家有关法律法规和标准规范,对信息系统进行等级划分,并按照不同等级的保护要求,采取相应的技术、管理和物理措施,确保信息系统的安全性、可靠性和稳定性。
信息系统安全等级保护基本要求是确保信息系统安全的基础,对于各类单位和组织来说都具有重要意义。
首先,信息系统安全等级保护基本要求包括对信息系统进行等级划分。
根据国家标准和相关规定,信息系统按照其所涉及的信息重要性、系统功能、系统规模和系统对外联络等因素,划分为不同的安全等级,一般包括四个等级,即一级、二级、三级和四级。
不同等级的信息系统,其安全保护要求和措施也各不相同。
其次,信息系统安全等级保护基本要求还包括对信息系统安全保护的基本原则。
信息系统安全保护的基本原则包括全面性原则、合理性原则、有效性原则和持续性原则。
全面性原则是指信息系统安全保护措施必须覆盖信息系统的各个方面,包括技术、管理和物理层面;合理性原则是指信息系统安全保护措施必须符合实际情况和实际需求,不能盲目追求安全而忽视系统的正常运作;有效性原则是指信息系统安全保护措施必须能够有效地防范和抵御各类安全威胁和风险;持续性原则是指信息系统安全保护是一个持续的过程,必须不断地进行安全监测、评估和改进。
另外,信息系统安全等级保护基本要求还包括对信息系统安全保护的基本措施。
信息系统安全保护的基本措施包括技术措施、管理措施和物理措施。
技术措施是指利用各种安全技术手段,保护信息系统的安全,包括加密技术、防火墙技术、入侵检测技术等;管理措施是指建立健全的安全管理制度和安全管理机构,加强对信息系统安全的管理和监督;物理措施是指采取各种物理手段,保护信息系统的物理环境安全,包括机房防护、门禁系统、视频监控等。
最后,信息系统安全等级保护基本要求还包括对信息系统安全保护的持续改进。
信息系统安全保护是一个动态的过程,随着信息技术的发展和安全威胁的变化,安全保护措施也需要不断地改进和完善。
·信息安全技术·终端计算机通用安全技术要求与测试评价方法
·信息安全技术·终端计算机通用安全技术要求与测试评价方法信息安全技术终端计算机通用安全技术要求与测试评价方法是一种标准,用于指导设计者如何设计和实现终端计算机,使其达到信息系统所需的安全等级。
这个标准主要从信息系统安全保护等级划分的角度来说明对终端计算机的通用安全技术要求和测试评价方法。
这个标准将终端计算机划分为五个安全等级,与信息系统的五个等级一一对应。
在终端计算机的安全体系设计中,特别强调了可信计算技术的理念,特别是在高安全等级(3至5级)的安全技术措施设置方面。
此外,这个标准的技术路线选择能够适应我国终端计算机安全技术产业的发展水平。
此外,这个标准还包含具体的测试评价方法,用于指导评估者对各安全等级的终端计算机进行评估。
这些测试评价方法不仅用于评估终端计算机的安全性能,还可以为终端计算机的开发者提供指导。
总体而言,这个标准是为了确保终端计算机能满足信息系统所需的安全等级,并为其评估提供依据。
计算机信息系统安全等级保护操作系统技术要求
计算机信息系统安全等级保护操作系统技术要求计算机信息系统安全等级保护操作系统技术要求(简称“技术要求”)是指为了满足计算机信息系统安全等级保护需求,对操作系统的功能、性能、可信度等方面提出的具体要求。
下面是一些常见的技术要求:
1. 可控性:操作系统应提供必要的访问控制机制,包括用户身份验证、权限管理、文件系统访问控制等,以确保只有经过授权的用户才能进行合法操作。
2. 安全性:操作系统应具备强大的安全性能,包括防止未经授权的访问、防止数据泄露、防止恶意软件攻击等。
3. 可审计性:操作系统应记录并存储关键操作和事件的审计日志,以便对系统的行为进行监控和分析,并及时发现潜在的安全问题。
4. 可信度:操作系统应具备高度可信的特性,包括可信的引导过程、可信的系统组件、可信的应用程序执行环境等,以防止恶意篡改和恶意代码的注入。
5. 高可用性:操作系统应具备高可用性,能够保证系统持续稳定运行,及时处理故障和异常情况,并提供相应的恢复和备份机制。
6. 保密性:操作系统应具备保密性能,包括对敏感数据的加密保护、安全通信的支持等,以确保信息不被非法获取和泄露。
7. 高性能:操作系统应具备高性能,能够满足计算资源需求,并在保证安全的前提下提供快速响应和高效处理能力。
8. 可管理性:操作系统应具备良好的可管理性,包括远程管理、软件更新和配置管理等功能,方便管理员进行系统维护和管理。
需要注意的是,不同的计算机信息系统安全等级可能有不同的技术要求,具体的要求会根据系统的安全等级和具体应用场景进行调整和定义。
1。
信息系统等级保护安全设计技术要求
精心整理信息系统等级保护安全设计技术要求中心可细分为系统管理子系统、安全管理子系统和审计子系统。
以上各子系统之间的逻辑关系如图B.1所示。
B.1.1各子系统主要功能第三级系统安全保护环境各子系统的主要功能如下:a)节点子系统节点子系统通过在操作系统核心层、系统层设置以强制访问控制为主体的系统安全机制,形成防护层,通过对用户行为的控制,可以有效防止非授权用户访问和授权用户越权访问,确保信息和信息系统的保密性和完整性,为典型应用支撑子系统的正常运行和免遭恶意破坏提供支撑和保障。
b)典型应用支撑子系统典型应用支撑子系统是系统安全保护环境中为应用系统提供安全支撑服务的接口。
通过接口平台使应用系统的主客体与保护环境的主客体相对应,达到访问控制策略实现的一致性。
c)区域边界子系统区域边界子系统通过对进入和流出安全保护环境的信息流进行安全检查,确保不会有违反系统安全策略的信息流经过边界。
d)通信网络子系统通信网络子系统通过对通信数据包的保密性和完整性的保护,确保其在传输过程中不会被非授权窃听和篡改,以保障数据在传输过程中的安全。
e)系统管理子系统系统管理子系统负责对安全保护环境中的计算节点、安全区域边界、安全通信网络实施集中管理和维护,包括用户身份管理、资源管理、异常情况处理等。
f)安全管理子系统安全管理子系统是系统的安全控制中枢,主要实施标记管理、授权管理及策略管理等。
安全管理子系统通过制定相应的系统安全策略,并要求节点子系统、区域边界子系统和通信网络子系统强制执行,从而实现对整个信息系统的集中管理。
精心整理[11]GB/T22240-2008信息系统安全等级保护定级指南[12]GA/T709-2007信息安全技术信息系统安全等级保护基本模型[13]GA/T711-2007信息安全技术应用软件系统安全等级保护通用技术指南精心整理。
关于计算机信息系统安全专用产品[1]
![关于计算机信息系统安全专用产品[1]](https://img.taocdn.com/s3/m/53ba55d8e109581b6bd97f19227916888586b961.png)
8
信息安全技术 路由器安全技术要求
GB/T 18018-2007
分级
9
信息安全技术 虚拟专用网安全技术要求
GA/T 686-2007
分级
10
信息安全技术 静态网页恢复产品安全功能要求
GA/T 697-2007
分级
11
信息安全技术 操作系统安全技术要求
GB/T 20272-2006
分级
12
信息安全技术 数据库管理系统安全技术要求
附件:
计算机信息系统安全专用产品检测
执行标准规范目录
序号
标准规范名称
标准规范编号
备注
1
信息安全技术 网络和终端设备隔离部件安全技术要求
G技术 防火墙技术要求和测试评价方法
GB/T 20281-2006
分级
3
信息安全技术 入侵检测系统技术要求
GB/T 20275-2006
GB/T 19714-2005
17
信息技术 安全技术 公钥基础设施PKI组件最小互操作规范
GB/T 19771-2005
18
信息安全技术 公钥基础设施数字证书格式
GB/T 20518-2006
19
信息安全技术 公钥基础设施特定权限管理中心技术规范
GB/T 20519-2006
20
信息安全技术 公钥基础设施时间戳规范
MSTL_JGF_04-017
分级
37
信息技术 数据库扫描器产品安全检验规范
MSTL_JGF_04-016
38
信息技术 远程主机监测产品安全检验规范
MSTL_JGF_04-011
39
信息技术 主机文件监测产品安全检验规范
信息安全技术信息系统安全等级保护测评要求
信息安全技术信息系统安全等级保护基本要求引言依据《中华人民XX国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等有关文件要求,制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南;——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求;——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。
一般来说,信息系统需要靠多种安全措施进行综合防X以降低其面临的安全风险。
本标准针对信息系统中的单项安全措施和多个安全措施的综合防X,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。
单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。
整体测评根据安全控制点间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。
本标准给出了等级测评结论中应包括的主要内容,未规定给出测评结论的具体方法和量化指标。
如果没有特殊指定,本标准中的信息系统主要指计算机信息系统。
在本标准文本中,黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。
信息系统安全等级保护测评要求1 X围本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测评要求。
本标准略去对第五级信息系统进行单元测评的具体内容要求。
本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。
信息系统安全等级保护基本要求
管理要求
系统建设 管理
外包软件 开发
第三级
管理要求
系统建设 管理
工程实施
第三级
管理要求
系统建设 管理
测试验收
第三级
管理要求
系统建设 管理
系统交付
第三级
管理要求
系统建设 管理
系统备案
第三级
管理要求
系统建设 管理
等级测评
第三级
管理要求
系统建设 管理
安全服务 商选择
第三级
管理要求
系统运维 管理
环境管理
第三级
系统建设 管理
产品采购 和使用
第二级
管理要求
系统建设 管理
自行软件 开发
第二级
管理要求
系统建设 管理
外包软件 开发
第二级
管理要求
系统建设 管理
工程实施
第二级
管理要求
系统建设 管理
测试验收
第二级
管理要求
系统建设 管理
系统交付
第二级
管理要求
系统建设 管理
安全服务 商选择
第二级
管理要求
系统运维 管理
环境管理
管理要求
系统运维 管理
环境管理
管理要求 管理要求
系统运维 管理
系统运维 管理
资产管理 介质管理
管理要求
系统运维 管理
设备管理
管理要求
系统运维 管理
网络安全 管理
第一级 第一级 第一级 第一级
第二级 第二级
管理要求
系统运维 管理
系统安全 管理
管理要求 管理要求
系统运维 管理
系统运维 管理
恶意代码 防范管理
信息系统安全等级保护基本要求
蓝色部分是操作系统安全等级划分,红色部分是四级操作系统关于网络部分的要求:)《信息系统安全等级保护基本要求》中华人民共和国国家标准GB/T 22239-2008 引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;——GB/T CCCC-CCCC 信息安全技术信息系统安全等级保护实施指南。
本标准与GB17859-1999、GB/T 20269-2006 、GB/T 20270-2006 、GB/T 20271-2006 等标准共同构成了信息系统安全等级保护的相关配套标准。
其中GB17859-1999是基础性标准,本标准、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等是在GB17859-1999基础上的进一步细化和扩展。
本标准在GB17859-1999、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等技术类标准的基础上,根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要求,即基本安全要求,基本安全要求包括基本技术要求和基本管理要求,本标准适用于指导不同安全保护等级信息系统的安全建设和监督管理。
在本标准文本中,黑体字表示较低等级中没有出现或增强的要求。
信息系统安全等级保护基本要求1 范围本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导分等级的信息系统的安全建设和监督管理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统终端计算机系统安全等级技术要求1 范围本标准规定了对终端计算机系统进行安全等级保护所需要的安全技术要求,并给出了每一个安全保护等级的不同技术要求。
本标准适用于按GB 17859—1999的安全保护等级要求所进行的终端计算机系统的设计和实现,对于GB 17859—1999的要求对终端计算机系统进行的测试、管理也可参照使用。
2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单,不包括勘误的内容,或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859--1999 计算机信息系统安全保护等级划分准则GB/T 20271--2006 信息安全技术信息系统通用安全技术要求GB/T 20272—2006 信息安全技术操作系统安全技术要求3 术语和定义3.1 术语和定义GB 17859-1999 GB/T 20271—2006 GB/T 20272--2006确立的以及下列术语和定义适用于本标准。
3.1.1终端计算机一种个人使用的计算机系统,是信息系统的重要组成部分,为用户访问网络服务器提供支持。
终端计算机系统表现为桌面型计算机系统和膝上型计算机两种形态。
终端计算机系统一般由硬件系统、操作系统和应用系统(包括为用户方位网络服务器提供支持的攻击软件和其他应用软件)等部分组成。
3.1.2可信一种特性,具有该特性的实体总是以预期的行为和方式达到既定目的。
3.1.3完整性度量(简称度量)一种使用密码箱杂凑算法对实体计算其杂凑值的过程。
3.1.4完整性基准值(简称基准值)实体在可信状态下度量得到的杂凑值,可用来作为完整性校验基准。
3.1.5度量根一个可信的实体,是终端计算机系统内进行可信度量的基点。
3.1.6动态度量根度量根的一种,支持终端计算机系统对动态启动的程序模块进行实时的可信度量。
3.1.7存储根一个可信的实体,是终端计算机系统内进行可存储的基点。
3.1.8报告根一个可信的实体,是终端计算机系统内进行可信报告的基点。
3.1.9可信根度量根、存储根和报告根的集合,是保证终端计算机系统可信的基础。
3.1.10可信硬件模块嵌入终端计算机硬件系统内的一个硬件模块。
它必须包含存储根、报告根,能独立提供密码学运算功能,具有受保护的存储空间。
3.1.11信任链一种在终端计算机系统启动过程中,基于完整性度量的方法确保终端计算机可信的技术3.1.12可信计算平台基于可信硬件模块或可信软件模块构建的计算平台,支持系统身份标识服务,密码学服务和信任服务,并为系统提供信任链保护和运行安全保护。
3.1.13终端计算机系统安全子系统终端计算机系统内安全保护装置的总称,包括硬件、固件、软件和负责执行安全策略的组合体。
它建立饿了一个基本的终端计算机系统安全保护环境,并提供终端计算机系统所要求的附加用户服务。
终端计算机系统安全子系统应从硬件系统、操作系统、应用系统和系统运行等方面对终端计算机系统进行安全保护。
(SSOCS---终端计算机系统安全子系统)3.1.14SSOTCS 安全功能正确实施SSOTCS安全策略的全部硬件、固件、软件所提供的功能。
每一个安全策略的实现,组成一个安全功能模块。
一个SSOTCS的所有安全功能模块共同组成该SSOTCS的安全功能。
3.1.15SSOTCS 安全控制范围SSOTCS 的操作所涉及的主体和客体。
3.1.16SSOTCS 安全策略对SSOTCS 中的资源进行管理、保护和分配的一组规则。
一个SSOTCS中可以有一个或多个安全策略。
3.2 缩略语下列缩略语适用于本标准。
SSOTCS 终端计算机系统安全子系统SSF SSOTCS 安全功能SSC SSOTCS 控制范围SSP SSOTCS 安全策略TCP 可信计算平台4 安全功能技术要求4.1 物理安全4.1.1 设备安全可用根据不同安全等级的不同要求,终端计算机系统的设备安全可用分为:a)基本运行支持:终端计算机系统的社保应提供基本的运行支持,并有必要的容错和故障恢复功能。
b)基本安全可用:终端计算机系统的设备应满足基本安全可用的要求,包括主机、外部设备、网络连接部件及其他辅助部件等均应基本安全可用。
c)不间断运行支持:终端计算机系统的社保应通过故障容错和故障恢复等措施,为终端计算机系统的不间断运行提供支持。
4.1.2 设备防盗防毁根据不同安全等级的不同要求,终端计算机系统的设备防盗防毁分为:a)设备标记要求:终端计算机系统的设备应有的明显的无法除去的标记,以防更换和方便查找。
b)主机实体安全:终端计算机系统的主机应有机箱封装保护,防止部件损害或被盗。
c)设备的防盗和自销毁要求:终端计算机系统的设备应提供拥有者可控的防盗报警功能和系统自销毁功能。
4.1.3 设备高可靠根据特殊环境应用要求,终端计算机系统的设备高可靠分为:a)防水要求:终端计算机系统应具有高密封性,防止水滴进入;b)防跌落和防震要求:终端计算机系统应加固保护,防止跌落和震动引起的系统破坏。
c)抗高低温与高低气压要求:终端计算机系统应能适应高低温和高低气压环境;d)抗电磁辐射与干扰:终端计算机系统应能抵御电磁干扰和电磁辐射对系统的安全威胁;4.2 运行安全4.2.1 系统安全性检测分析根据不同安全等级的不同要求,终端计算机系统的安全性检测分析分为:a)操作系统安全性检测分析:应从终端计算机操作系统的角度,以管理员的身份评估文件许可、文件宿主、网络服务设置、账户设置、程序真实性以及一般的与用户相对安全点、入侵迹象等,从而检测和分析操作系统的安全性,发现存在的安全隐患,并提出补救措施。
b)硬件系统安全性检查分析:应对支持终端计算机系统运行的硬件系统进行安全性检测,通过扫描硬件系统中与系统运行和数据保护有关的特定安全脆弱性,分析其存在的缺陷和漏洞,提出补救措施。
c)应用程序安全性检查分析:应对运行在终端计算机系统中的应用程序进行安全性检测分析,通过扫描应用软件中与鉴别、授权、访问控制和系统完整性有关的特定的安全脆弱性,分析其存在的缺陷和漏洞,提出补救措施。
d)电磁泄漏发射检查分析:应对运行中的终端计算机系统环境进行电磁泄漏发射检测,采用专门的检测设备,检查系统运行过程中由于电磁干扰和电磁辐射对终端计算机系统的安全性所造成的威胁,并提出补救措施。
4.2.2 安全审计4.2.2.1 安全审计的响应根据不同安全等级的不同要求,终端计算机系统的安全审计的响应分为:a)记审计日志:当检测得到可能有安全侵害事件时,将审计数据记入审计日志。
b)实时报警生成:当检测得到可能有安全侵害事件时,生成实时报警信息。
c)违例进程终止:当检测得到可能有安全侵害事件时,将违例进程终止,违例进程可以包括但不限于服务进程、驱动、用户进程。
d)用户账户断开与失效:当检测得到可能有安全侵害事件时,将当前的用户账号断开,并使其生效。
4.2.2.2 安全审计的数据产生根据不同安全等级的不同要求,终端计算机系统的安全审计的数据产生分为:a)为下述可审计事件产生审计记录:审计功能的启动和关闭、终端计算机对用户使用身份鉴别机制、管理员用户和普通用户所实施的与安全相关的操作;b)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件类别,及其他与审计相关的信息。
c)对于身份鉴别事件,审计记录应保护请求的来源;d)将每个可审计事件与引起该事件的用户或进程相关联;e)为下述可审计事件产生审计记录:将客体引入用户地址空间(例如:打开文件、服务初始化)、其他与系统安全有关的事件或专门定义的可审计事件。
f)对于客体被引入用户地址空间的事件,审计记录应包含客体名及客体的安全等级。
g)对机密性数据的创建、使用与删除事件,审计记录应包含机密性数据的安全标记。
4.2.2.3 安全审计分析根据不同安全等级的不同要求,终端计算机系统的安全审计分析分为:a)潜在侵害分析:应能用一系列规则去监控审计事件,并根据这些规则指出SSP的潜在危害;b)基于异常检查的描述:应能确立用户或检查的质疑度(或信誉度),该质疑度表示该用户或进程的现行获得与已建立的使用模式的一致性程度。
当用户或进程的质疑等级超过门限条件时,SSF应能指出将要发生对安全性的威胁;c)简单攻击探测:应能检测到对SSF实施由重大威胁的签名事件的出现,并能通过对一个或多个事件的对比分析或综合分析,预测一个攻击的出现以及出现的事件或方式。
为此,SSF应维护支出对SSF侵害的签名事件的内部表示,并将检测到的系统行为记录与签名事件进行比较,当发现两者匹配时,支出一个对SSF的攻击即将到来;d)复杂攻击探测:在上述简单攻击探测的基础上,要求SSF应能检测到多步入侵情况,并能根据已知的事件序列模拟出完整的入侵情况,还应支出发现对SSF的潜在危害的签名事件或事件序列的时间。
4.2.2.4 安全审计查阅根据不同安全等级的不同要求,终端计算机系统的安全审计查阅分为:a)审计查阅:提供从审计记录中读取信息的能力,即要求SSF为授权用户提供获得和解释审计信息的能力;b)受控审计查阅:审计查阅工具应只允许授权用户读取审计信息,并根据某舟逻辑关系的标准提供对审计数据进行搜索、分类、排序的能力。
4.2.2.5 安全审计事件选择应根据以下属性选择终端急死俺叫系统的可审计事件:a)客体身份、用户身份、主体身份、主机身份、事件类型;b)作为审计选择性依据的附加属性。
4.2.2.6 安全审计事件存储根据不同安全等级的不同要求,终端计算机系统的安全审计事件存储分为:a)受保护的审计踪迹存储:要求审计踪迹的存储收到应有的保护,应能检测或防止对审计记录的修改;b)审计数据的可用性确保在以为情况出现时,应能检测或防止对审计记录的修改,以及在发生审计存储已满。
存储失败或存储收到攻击以及意外情况出现时,应采取相应的保护措施,确保有时效性的审计记录不被破坏。
c)审计数据可能丢失情况下的措施:当审计跟踪超过预定的门限时,应采取相应的措施,进行审计数据可能丢失情况的处理。
d)防止审计数据丢失:在审计踪迹存储已满或超过预定的门限时,应采取相应措施,防止审计数据丢失。
4.2.3 信任链应通过在终端计算机系统启动过程中提供的信任链支持,确保终端计算机系统的运行处于真实可信状态。
根据不同安全等级的不同要求,信任链功能分为:a)静态信任链建立:利用终端计算机系统上的度量根,在系统启动过程中对BIOS、MBR、OS部件模块进行完整性度量。
每个部件模块在假装前应确保其真实性和完整性。
b)静态信任链中操作系统(OS)的完整性度量基准值接受国家专门机构管理,支持在线或离线校验。