信息系统终端计算机系统安全等级技术要求-资料下载页

　　

【正文】 TCS自身安全保护a）可信根安全保护：应按以下要求实现终端计算机系统的可信根：存储根和报告根应设置在可信硬件模块内；可信硬件模块应通过国家专门机构研制；应对度量根采取物理保护措施；b）键盘输入保护：应按以下要求实现键盘输入的保护；应有物理路径支持键盘输入与可信硬件模块的直接通信；应有物理开关控制是否启用键盘输入与可信硬件模块的通信路径。c）SSF物理安全保护：应按以下要求实现终端计算机系统结构化保护级SSF的物理安全保护；应按GB/T 20271—，实现终端计算机系统结构化保护级SSF的物理安全保护；应采取适当硬件保护措施防止对可信硬件模块中密码运算模块的能量攻击。d）SSF运行安全保护：应按以下要求实现终端计算机系统结构化保护级SSF的运行安全保护；应按GB/T 20271—，实现终端计算机系统结构化保护级SSF的运行安全保护；应采取适当的失电保护措施，确保在终端计算机系统推出休眠或待机状态后，能恢复到推出工作状态前的配置，确保信任链系统仍能正常工作；e）SSF数据安全保护：宜按GB/T 20271—，实现终端计算机系统结构化保护级SSF的数据安全保护；f）资源利用：宜按GB/T 20271—，实现终端计算机系统结构化保护级的资源利用；g）SSOTCS访问控制：宜按GB/T 20271—，实现终端计算机系统结构化保护级的SSOTCS访问控制； SSOTCS设计和实现a）配置管理：按GB/T 20271—，实现终端计算机系统结构化保护级的配置管理；b）分发和操作：按GB/T 20271—，实现终端计算机系统结构化保护级的分发和操作；c）开发：按GB/T 20271—，实现终端计算机系统结构化保护级的开发；d）指导性文档：按GB/T 20271—，实现终端计算机系统结构化保护级的指导性文档；e）生命周期支持：按GB/T 20271—，实现终端计算机系统结构化保护级的生命周期支持；f）测试：按GB/T 20271—，实现终端计算机系统结构化保护级的测试。g）脆弱性测试：应按GB/T 20271—，实现网络结构化保护级的脆弱性测试。 SSOTCS管理按GB/T 20271—2006 ，实现终端计算机系统结构化保护级的SSOTCS安全管理。 第五级：访问验证保护级 安全功能要求 物理系统 设备安全可用，设计和实现终端计算机系统设备安全可用的功能。 设备防盗防毁 、设备实体安全、防盗和自销毁的要求，设计和实现终端计算机系统的设备防盗防毁的功能。 设备高可靠 。 操作系统 应按GB/T 20272—，从以下方面来设计、实现或选购满足访问验证保护级终端计算机系统所需要的操作系统。a）身份鉴别：根据GB/T 20272—，实现操作系统用户标识、用户鉴别、用户鉴别失败处理和用户主体绑定的功能；b）自主访问控制：根据GB/T 20272—，对操作系统的访问进行控制，允许合法操作，不允许非法操作；c）标记：根据GB/T 20272—，设计和实现操作系统标记功能，为主、客体设置所需要的敏感标记；d）强制访问控制：根据GB/T 20272—，对操作系统的访问进行控制，允许合法操作，不允许非法操作；应对财政系统实现包括系统文件、服务、驱动、注册表及进程在内的强制访问控制功能；e）数据流控制：对于以数据流方式实现数据交互的操作系统，根据GB/T 20272—，设计和实现操作系统的数据流控制功能；f）安全审计：根据GB/T 20272—，提供操作系统安全审计功能；g）用户数据保密性：根据GB/T 20272—，设计和实现操作系统的用户数据保密性保护功能；h）用户数据完整性：根据GB/T 20272—，对操作系统内部存储、处理和传输的用户数据应提供保证用户数据完整性的功能；j）可信路径：根据GB/T 20272—，在用户进行初始登录和/或鉴别时，应建立一条安全的数据传输通道。 可信计算平台 密码支持 ，按以下要求，设计与实现访问验证保护级终端计算机系统密码支持功能：a）密码算法：应采用国家有关部门批准的密码算法，应采用硬件实现对称密码算法、公钥密码算法、杂凑算法和随机数生成器算法；b）密码操作：所有密码操作均应基于可信硬件模块或其他密码硬件模块支持；c）秘钥管理：所有秘钥应受存储根保护，存储根本身应由安全硬件保护。 信任链 ，设计和实现终端计算机系统的信任链功能：a）应基于可信硬件模块实现静态信任链和动态信任链的建立；b）静态信任链中操作系统（OS）的完整性度量基准值应有国家专门机构管理，支持在线或离线校验，若度量值与基准值不一致，应停止操作系统启动；；c）动态信任链中关键应用程序的完整性度量基准值应有国家专门机构管理，支持在线或离线校验，若度量值与基准值不一致，应理解停止应用程序运行；d）。 运行时防护 ，设计与实现如下功能：a）恶意代码防护：，实现外来介质使用控制、特征码扫描、基于CPU的数据执行保护、进程隔离、进程行为分析的功能；b）网络攻击防护：，实现IP过滤、网络协议分析、应用程序监控、内容过滤的防火墙的功能。实现实时阻断、文件监控、注册表监控、事件监控、实时流量分析的入侵检测功能；c）网络接入控制 ：，实现网络接入控制功能。 系统安全性检测分析 、硬件系统安全性检测分析、应用程序安全性检查分析和电磁泄漏发射检测分析的要求，运用有关工具，检测所选用或开发的操作系统、硬件系统、应用程序的安全性和电磁泄漏，并通过对检测结果的分析，按访问验证保护级的要求，对存在的安全问题加以改进。 信任服务 ，设计实现可信计算平台的访问验证级信任服务功能：a）应在可信硬件模块中专门设置受保护区域存储所有静态信任链的完整性度量值；b）应设置一个可信硬件模块保护的区域来存储所有动态信任链的完整性度量值；c）必要时应向国家专门机构报告操作系统和关键应用程序完整性度量值。 身份标识与鉴别 系统身份标识与鉴别 ，从以下方面设计与实现系统的身份标识与鉴别功能：a） ，设计与实现终端计算机系统的唯一性标识、标识可信性、隐秘性和标识信息管理功能，确保终端计算机系统可信计算平台的身份唯一性和真实性。b） 系统身份标识应有关键权威机构进行管理；c） ，设计与实现系统身份鉴别功能； 用户身份标识与鉴别 ，从以下方面设计与实现用户的身份标识与鉴别功能：a），设计与实现用户的基本标识、唯一性标识与标识信息管理功能；b），设计与实现用户的基本鉴别、一次性使用鉴别、多机制鉴别功能；c），支持以数字证书、指纹、虹膜、IC卡等形式提供鉴别信息；d），设计与实现用户鉴别失败处理功能；e），设计与实现用户主体绑定功能；f），对IC卡、指纹、虹膜等形象的鉴别信息，应建立鉴别设备与可信硬件模块的通信通道，确保可信硬件模块获得不被篡改和泄露的原始身份鉴定信息；g），设计与实现匿名和不可关联性的隐秘功能。 自主访问控制 ，下方面设计实现可信计算平台的自主访问控制功能：a），确定自主访问控制策略；b），设计与实现自主访问控制功能；c），确定自主访问控制的范围；d），确定自主访问控制的粒度。 标记 ，从以下方面设计实现可信计算平台的标记功能：a），设计与实现主体标记功能；b），设计与实现客体标记功能； 强制访问控制 ，从以下方面设计实现可信计算平台的强制访问控制功能：a），确定强制访问控制策略；b），设计与实现强制访问控制功能；c），确定强制访问控制的范围；d），确定强制访问控制的粒度。 数据保密性保护，从以下方面设计和实现可信计算平台的数据保密性保护功能：a）、数据绑定和数据密封的要求，对需要进行存储保密性保护的数据，采用存储加密的措施，设计和实现数据存储保密性保护功能；b），对需要进行传输保密性保护的数据，采用传输加密的措施，设计和实现数据传输保密性保护功能。c），设计和实现客体安全重用功能。 数据完整性保护 ，对可信计算平台内部存储、处理和传输的数据应提供保证数据完整性的功能。 安全审计 ，按GB/T 20271—，从以下方面设计与实现可信计算平台的安全审计功能：a）安全审计功能的设计应与密码支持、身份标识与鉴别、自主访问控制、数据保密性保护、用户数据完整性保护、信任服务、标记、强制访问控制等安全功能的设计紧密结合；b）支持审计日志、实时报警生成、违例进程终止和用户账号断开与失效；支持安全审计事件产生；潜在侵害分析、基于异常检测、简单攻击探测和复杂攻击探测；支持基本审计查阅和受控审计查阅；支持审计事件选择；提供受保护的审计踪迹存储、审计数据的可用性确保、审计数据可能丢失情况下措施和防止审计数据丢失的措施；c）能够生成、维护及保护审计过程，使其免遭修改、非法访问及破坏，特别要保护审计数据，要严格限制未经授权的用户访问；d）能够创建并维护一个对受保护客体访问的审计跟踪，保护审计记录不被未授权的访问、修改和破坏。e）内置可信硬件模块的终端计算机系统，可信硬件模块应该能审计内部命令运行情况、维护事件、用户秘钥的创建、使用与删除事件或其他专门的可审计事件，提供给上层应用软件查询审计情况的接口，并存储审计记录。 备份与故障恢复 、增量信息备份与恢复、局部系统备份与恢复、全系统备份与恢复、备份保护措施的要求，设计与实现终端计算机系统的备份与故障恢复功能。 I/O接口配置 、集中挂了配置和自适应配置的要求，设计和实现I/O接口配置功能。 可信路径 ，按GB/T 20271—2006 ，在用户进行初始登录和/或鉴别时，应建立一条安全的数据传输通路。 可信时间戳 ，设计和实现终端计算机系统的可信时间戳功能。 应用系统 应按GB/T 20271—2006 ，从以下方面来设计、实现或选购满足访问验证保护级终端计算机系统所需要的应用系统：a）身份标识与鉴别：根据GB/T 20271—，实现用户标识、用户鉴别、用户鉴别失败处理和用户主体绑定的功能；b）自主访问控制：根据GB/T 20271—，对应用系统相关资源的访问进行控制，允许合法操作，不允许非法操作；c）标记：根据GB/T 20271—，设计和实现应用系统标记功能，为应用系统中的主、客体设置所需要的敏感标记；d）强制访问控制：根据GB/T 20271—，对应用系统相关资源的访问进行控制，允许合法操作，不允许非法操作；e）安全审计：根据GB/T 20271—，提供应用系统安全审计功能；f）数据保密性保护：根据GB/T 20271—，设计和实现应用系统的用户数据保密性保护功能；g）数据完整性保护：根据GB/T 20271—，对应用系统内部存储、处理和传输的用户数据应提供保证用户数据完整性的功能。h）可信路径：根据GB/T 20271—，设计和实现应用系统的可信路径功能。 安全保证要求 SSOTCS自身安全保护a）可信根安全保护：应按以下要求实现终端计算机系统的可信根：存储根和报告根应设置在可信硬件模块内；可信硬件模块应通过国家专门机构研制；应对度量根采取物理保护措施；b）键盘输入保护：应按以下要求实现键盘输入的保护；应有物理路径支持键盘输入与可信硬件模块的直接通信；应有物理开关控制是否启用键盘输入与可信硬件模块的通信路径。c）SSF物理安全保护：应按以下要求实现终端计算机系统访问验证保护级SSF的物理安全保护；应按GB/T 20271—，实现终端计算机系统访问验证保护级SSF的物理安全保护；应采取适当硬件保护措施防止对可信硬件模块中密码运算模块的能量攻击。d）SSF运行安全保护：应按以下要求实现终端计算机系统访问验证保护级SSF的运行安全保护；应按GB/T 20271—，实现终端计算机系统访问验证保护级SSF的运行安全保护；应采取适当的失电保护措施，确保在终端计算机系统推出休眠或待机状态后，能恢复到推出工作状态前的配置，确保信任链系统仍能正常工作；e）SSF数据安全保护：宜按GB/T 20271—，实现终端计算机系统访问验证保护级SSF的数据安全保护；f）资源利用：宜按GB/T 20271—，实现终端计算机系统访问验证保护级的资源利用；g）SSOTCS访问控制：宜按GB/T 20271—，实现终端计算机系统访问验证保护级的SSOTCS访问控制； SSOTCS设计和实现a）配置管理：按GB/T 20271—，实现终端计算机系统访问验证保护级的配置管理；b）分发和操作：按GB/T 20271—，实现终端计算机系统访问验证保护级的分发和操作；c）开发：按GB/T 20271—，实现终端计算机系统访问验证保护级的开发；d）指导性文档：按GB/T 20271—，实现终端计算机系统访问验证保护级的指导性文档；e）生命周期支持：按GB/T 20271—，实现终端计算机系统访问验证保护级的生命周期支持；f）测试：按GB/T 20271—，实现终端计算机系统访问验证保护级的测试。g）脆弱性测试：应按GB/T 20271—，实现网络访问验证保护级的脆弱性测试。 SSOTCS管理按GB/T 20271—2006 ，实现终端计算机系统结构化保护级的SSOTCS安全管理。 参考文献[1] GB/T —2001 信息技术 安全技术 信息技术安全评估准则 第1部分：简介和一般模型[2] GB/T —2001 信息技术 安全技术 信息技术安全评估准则 第2部分：安全功能要求[3] GB/T —2001 信息技术 安全技术 信息技术安全评估准则 第3部分：安全保证要求[4] GB/T —1999信息技术 安全技术 秘钥管理 第1部分：框架