《信息安全技术 主机安全加固系统安全技术要求.docx》由会员分享,可在线阅读,更多相关《信息安全技术 主机安全加固系统安全技术要求.docx(15页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、.ICS35240 A 90中华人民共和国公共安全行业标准GA/T13932017信息安全技术主机安全加固系统安全技术要求InformationsecuritytechnologySecuritytechnicalrequirementsfor computersecurityreinforcementsystems2017-04-19发布2017-04-19实施中国标准出版社授权北京万方数据股份有限公司在中国境内(不含港澳台地区)推广使用GA/T 13932017目次前言1 范围12 规范性引用文件13 术语和定义14 主机安全加固系统描述15 总体说明25.1 安全技术要求分类2中国标准出
2、版社授权北京万方数据股份有限公司在中国境内(不含港澳台地区)推广使用5.2 安全等级6 安全功能要求6.1 身份鉴别6.2 安全标记 2 2 2 26.3 强制访问控制36.4 安全审计36.5 完整性保护36.6 剩余信息保护36.7 管理员安全管理46.8 组件安全46.9 审计日志管理47 安全保障要求57.1 开发 57.2 指导性文档67.3 生命周期支持67.4 测试 77.5 脆弱性评定78 等级划分要求88.1 概述 88.2 安全功能要求等级划分8.3 安全保障要求等级划分 8 8GA/T 13932017信息安全技术主机安全加固系统安全技术要求1 范围本标准规定了主机安全加
3、固系统的安全功能要求、安全保障要求和等级划分要求。本标准适用于主机安全加固系统的设计、开发及测试。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T18336.32015 信息技术安全技术信息技术安全评估准则第3部分:安全保障组件GB/T250692010 信息安全技术术语3 术语和定义GB/T18336.32015和 GB/T250692010界定的术语和定义适用于本文件。4 主机安全加固系统描述主机安全加固系统是在通用操作系统的基础上,通过对操作系统主客体进
4、行安全标记、增加强制访问控制、完整性保护等技术手段,对操作系统进行安全功能增强,弥补通用操作系统安全性不高的缺陷, 提高了操作系统的安全保护能力。主机安全加固系统一般采用服务器、客户端部署模式;服务器用于存储各种安全管理策略、管理数 据和审计数据,并将安全管理策略下发到客户端;客户端安装在需要被加固的通用操作系统上,并执行 安全功能。其保护的资产是操作系统,此外主机安全加固系统本身及其内部的重要数据也是受保护的 资产。主机安全加固系统的典型部署运行环境见图1。1中国标准出版社授权北京万方数据股份有限公司在中国境内(不含港澳台地区)推广使用图1 主机安全加固系统的典型部署运行环境5 总体说明5.
5、1 安全技术要求分类主机安全加固系统安全技术要求分为安全功能要求和安全保障要求两类。其中,安全功能要求是 对主机安全加固系统应具备的安全功能提出具体要求,包括身份鉴别、安全标记、强制访问控制、安全审 计、完整性保护、剩余资源保护、管理员安全管理、组件安全、审计日志管理;安全保障要求针对主机安全 加固系统的开发和使用文档的内容提出具体的要求,例如开发、指导性文档、生命周期支持、测试、脆弱 性评定等。5.2 安全等级按照主机安全加固系统安全功能要求强度及 GB/T18336.32015,对主机安全加固系统安全等级进行划分。安全等级分为基本级和增强级,安全功能强弱和安全保障要求高低是等级划分的具体依
6、据, 安全等级突出安全特性。6 安全功能要求6.1 身份鉴别产品对操作系统身份鉴别功能的加固要求应满足:a) 操作系统用户标识应使用用户名和用户标识(UID),并在操作系统的整个生存周期实现用户的唯一性标识,以及用户名、UID 等之间的一致性;b) 对操作系统用户应采用强化口令管理和/或基于令牌的动态口令和/或生物特征鉴别和/或数 字证书进行身份鉴别;c) 对操作系统用户应采用6.1b)中的双因子鉴别技术对用户进行身份鉴别。6.2 安全标记产品对操作系统安全标记的加固要求应满足:a) 对操作系统安全功能控制范围内的主体和客体设置敏感标记;GA/T 13932017b) 当信息从操作系统控制范围
7、外输入到控制范围内时,应通过标记标明其敏感标记;c) 对操作系统的所有主体和客体设置敏感标记;d) 当信息从操作系统控制范围内输入到控制范围外时,应明显标示出该数据的敏感标记。6.3 强制访问控制产品对操作系统强制访问控制的加固要求应满足:a) 由专门设置的系统安全员统一管理操作系统中与强制访问控制等安全机制有关的事件和信息,并将系统的常规管理、与安全有关的管理以及审计管理,分别由系统管理员、系统安全员和系统审计员来承担,按职能分割原则分别授予它们各自为完成自己所承担任务所需的权限,并形成相互制约关系;b) 由专门设置的系统安全员统一管理操作系统中与强制访问控制等安全机制有关的事件和信息,并将
8、系统的常规管理、与安全有关的管理以及审计管理,分别由系统管理员、系统安全员和系统审计员来承担,按职能分割和最小授权原则分别授予它们各自为完成自己所承担任务所 需的最小权限,并形成相互制约关系;c) 依据标记、安全策略严格控制主体对客体的操作;d) 访问控制的粒度达到主体为用户级和/或进程级,客体为文件级和/或进程级等。6.4 安全审计产品对操作系统安全审计的加固要求应满足:a) 安全审计功能与标记、强制访问控制及完整性保护等安全功能紧密结合;b) 审计范围覆盖到所有管理员和操作系统用户;c) 提供实时报警生成,潜在侵害分析、基于异常检测,审计数据的可用性确保等功能;d) 保护审计进程,避免受到
9、未预期的中断;e) 提供违例进程终止,简单攻击探测,防止审计数据丢失的措施等功能;f) 审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等。6.5 完整性保护产品对操作系统完整性保护的加固要求应满足:a) 能够为操作系统安全功能控制范围内的主体和客体设置完整性标签,建立完整性保护策略模 型,保护重要文件在存储、传输和处理过程中的完整性;b) 在检测到完整性受到破坏后具有恢复的措施;c) 保证低完整性的数据不能插入、覆盖到高完整性的数据;d) 保证在处理过程中不降低数据完整性的级别;e) 建立半形式化的完整性安全策略模型。6.6 剩余信息保护产品对操作系统剩余信息保护的加固要求应满足
10、:a) 保证操作系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除, 无论这些信息是存放在硬盘上还是在内存中;b) 确保系统内的文件、目录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全 清除。3中国标准出版社授权北京万方数据股份有限公司在中国境内(不含港澳台地区)推广使用6.7 管理员安全管理6.7.1 管理员属性初始化产品应提供授权管理员属性的初始化能力。6.7.2 管理员唯一性标识产品应为授权管理员提供唯一的身份标识,同时将授权管理员的身份标识与该授权管理员的所有 可审计事件相关联。6.7.3 管理员属性修改产品应提供授权管理员的属性(至少包括管理员口令)
11、的修改能力。6.7.4 管理员身份鉴别产品应在执行任何与安全功能相关的操作之前应鉴别任何声称要履行授权管理员职责的管理员身份。6.7.5 管理员身份鉴别失败处理当对授权管理员鉴别失败的次数达到指定阈值后,产品应阻止授权管理员进一步的鉴别请求。6.7.6 配置管理产品应提供授权管理员配置和管理产品安全功能的能力,至少包括:a) 增加、删除和修改相关安全策略;b) 查阅当前安全策略配置;c) 查阅和管理审计日志。6.8 组件安全6.8.1 自身保护功能产品应能对安装在操作系统上的组件提供一定的保护措施,防止非授权用户进行以下操作:a) 强行终止该组件运行;b) 强制取消该组件在系统启动时自动加载;
12、c) 强行卸载、删除或修改该组件。6.8.2 远程安全传输应对产品组件间通过网络传输的数据进行保护,防止被非授权获取。6.9 审计日志管理产品应提供以下功能对审计日志进行管理:a) 按日期、时间、用户标识、应用资源标识等条件对审计日志进行组合查询;b) 有一定的措施防止审计日志丢失;c) 对审计日志进行备份及备份后清空。GA/T 139320177 安全保障要求7.1 开发7.1.1 安全架构开发者应提供产品安全功能的安全架构描述,安全架构描述应满足以下要求:a) 与产品设计文档中对安全功能实施抽象描述的级别一致;b) 描述与安全功能要求一致的产品安全功能的安全域;c) 描述产品安全功能初始化
13、过程为何是安全的;d) 证实产品安全功能能够防止被破坏;e) 证实产品安全功能能够防止安全特性被旁路。7.1.2 功能规范开发者应提供完备的功能规范说明,功能规范说明应满足以下要求:a) 完全描述产品的安全功能;b) 描述所有安全功能接口的目的与使用方法;c) 标识和描述每个安全功能接口相关的所有参数;d) 描述安全功能接口相关的安全功能实施行为;e) 描述由安全功能实施行为处理而引起的直接错误消息;f) 证实安全功能要求到安全功能接口的追溯;g) 描述安全功能实施过程中,与安全功能接口相关的所有行为;h) 描述可能由安全功能接口的调用而引起的所有直接错误消息。7.1.3 实现表示开发者应提供
14、全部安全功能的实现表示,实现表示应满足以下要求:a) 提供产品设计描述与实现表示实例之间的映射,并证明其一致性;b) 按详细级别定义产品安全功能,详细程度达到无需进一步设计就能生成安全功能的程度;c) 以开发人员使用的形式提供。7.1.4 产品设计开发者应提供产品设计文档,产品设计文档应满足以下要求:a) 根据子系统描述产品结构;b) 标识和描述产品安全功能的所有子系统;c) 描述安全功能所有子系统间的相互作用;d) 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口;e) 根据模块描述安全功能;f) 提供安全功能子系统到模块间的映射关系;g) 描述所有安全功能实现模块,
15、包括其目的及与其他模块间的相互作用;h) 描述所有实现模块的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及调用的接口;i) 描述所有安全功能的支撑或相关模块,包括其目的及与其他模块间的相互作用。5中国标准出版社授权北京万方数据股份有限公司在中国境内(不含港澳台地区)推广使用7.2 指导性文档7.2.1 操作用户指南开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持一 致,对每一种用户角色的描述应满足以下要求:a) 描述在安全处理环境中被控制的用户可访问的功能和特权,包含适当的警示信息;b) 描述如何以安全的方式使用产品提供的可用接口;c) 描述
16、可用功能和接口,尤其是受用户控制的所有安全参数,适当时指明安全值;d) 明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能所控 制实体的安全特性;e) 标识产品运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持安全 运行之间的因果关系和联系;f) 充分实现安全目的所必须执行的安全策略。7.2.2 准备程序开发者应提供产品及其准备程序,准备程序描述应满足以下要求:a) 描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤;b) 描述安全安装产品及其运行环境必需的所有步骤。7.3 生命周期支持7.3.1 配置管理能力开发者的配置管理能力应满足以
17、下要求:a) 为产品的不同版本提供唯一的标识。b) 使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识配置项。c) 提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法。d) 配置管理系统提供一种自动方式来支持产品的生成,通过该方式确保只能对产品的实现表示 进行已授权的改变。e) 配置管理文档包括一个配置管理计划,配置管理计划描述如何使用配置管理系统开发产品。 实施的配置管理与配置管理计划相一致。f) 配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。7.3.2 配置管理范围开发者应提供产品配置项列表,并说明配置项的开发者。配置项列表应包含以下内容:a) 产
18、品、安全保障要求的评估证据和产品的组成部分;b) 实现表示、安全缺陷报告及其解决状态。7.3.3 交付程序开发者应使用一定的交付程序交付产品,并将交付过程文档化。在给用户方交付产品的各版本时, 交付文档应描述为维护安全所必需的所有程序。GA/T 139320177.3.4 开发安全开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中,为保护产品设计和实现 的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。7.3.5 生命周期定义开发者应建立一个生命周期模型对产品的开发和维护进行必要的控制,并提供生命周期定义文档 描述用于开发和维护产品的模型。7.3.6 工具和技
19、术开发者应明确定义用于开发产品的工具,并提供开发工具文档无歧义地定义实现中每个语句的含 义和所有依赖于实现的选项的含义。7.4 测试7.4.1 测试覆盖开发者应提供测试覆盖文档,测试覆盖描述应满足以下要求:a) 表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性;b) 表明上述对应性是完备的,并证实功能规范中的所有安全功能接口都进行了测试。7.4.2 测试深度开发者应提供测试深度的分析。测试深度分析描述应满足以下要求:a) 证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性;b) 证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。7.4.3
20、功能测试开发者应测试产品安全功能,将结果文档化并提供测试文档。测试文档应包括以下内容:a) 测试计划,标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果 的任何顺序依赖性;b) 预期的测试结果,表明测试成功后的预期输出;c) 实际测试结果和预期的测试结果相一致。7.4.4 独立测试开发者应提供一组与其自测安全功能时使用的同等资源,以用于安全功能的抽样测试。7.5 脆弱性评定基于已标识的潜在脆弱性,产品能够抵抗以下攻击行为:a) 具有基本攻击潜力的攻击者的攻击;b) 具有增强型基本攻击潜力的攻击者的攻击。7中国标准出版社授权北京万方数据股份有限公司在中国境内(不含港澳台地区
21、)推广使用8 等级划分要求8.1 概述依据主机安全加固系统的开发、生产现状及实际应用情况,将安全功能要求和安全保障要求划分成 两个等级。8.2 安全功能要求等级划分主机安全加固系统的安全功能要求等级划分如表1所示。表1 主机安全加固系统安全功能要求等级划分安全功能要求基本级增强级身份鉴别6.1a)、6.1b)6.1安全标记6.2a)、6.2b)6.2b)6.2d)强制访问控制6.3a)、6.3c)、6.3d)6.3b)6.3d)安全审计6.4a)、6.4b)、6.4c)6.4d)、6.4f)6.4完整性保护6.5a)6.5d)6.5剩余资源保护6.6安全管理管理员属性初始化6.7.16.7.1
22、管理员唯一性标识6.7.26.7.2管理员属性修改6.7.36.7.3管理员身份鉴别6.7.46.7.4管理员身份鉴别失败处理6.7.5配置管理6.7.6a)、6.7.6b)6.7.6组件安全自身保护功能6.8.16.8.1远程通信保密性6.8.26.8.2审计日志管理6.9a)、6.9b)6.98.3 安全保障要求等级划分主机安全加固系统的安全保障要求等级划分如表2所示。表2 主机安全加固系统安全保障要求等级划分安全保障要求基本级增强级开发安全架构7.1.17.1.1功能规范7.1.2a)7.1.2f)7.1.2实现表示7.1.3产品设计7.1.4a)7.1.4d)7.1.4表2 (续)安全
23、保障要求基本级增强级指导性文档操作用户指南7.2.17.2.1准备程序7.2.27.2.2生命周期支持配置管理能力7.3.1a)7.3.1c)7.3.1配置管理范围7.3.2a)7.3.2交付程序7.3.37.3.3开发安全7.3.4生命周期定义7.3.5工具和技术7.3.6测试覆盖7.4.1a)7.4.1深度7.4.2功能测试7.4.37.4.3独立测试7.4.47.4.4脆弱性评定7.5a)7.5b)/GA T1393 2017中 华 人 民 共 和 国 公 共 安 全行业标准信息安全技术主机安全加固系统安全技术要求GA/T13932017*中 国 标 准 出 版 社 出 版 发 行北京市朝阳区和平里西街甲2号(100029)北京市西城区三里河北街16号(100045)网址:服务热线:400-168-00102017年12月第一版书号:* 155066 2-31896版权专有侵权必究中国标准出版社授权北京万方数据股份有限公司在中国境内(不含港澳台地区)推广使用