信息安全技术终端计算机通用安全技术要求与测试评价方法(GB-T 29240-2012).pdf-淘文阁

资源描述

《信息安全技术终端计算机通用安全技术要求与测试评价方法(GB-T 29240-2012).pdf》由会员分享，可在线阅读，更多相关《信息安全技术终端计算机通用安全技术要求与测试评价方法(GB-T 29240-2012).pdf（92页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、ICS 35.040 L 80 中华人民共和国国家标准中华人民共和国国家标准 GB/T XXXXXXXXX 信息安全技术终端计算机通用安全技术要求与测试评价方法 Information security technology General security technique requirements and testing and evaluation method for terminal computer （报批稿）本稿完成日期：2011 年 10 月 20 日 XXXX-XX-XX 发布 XXXX-XX-XX 实施 GB/T XXXXXXX

2、XX I 目次前言.II 引言.III 1 范围.1 2 规范性引用文件.1 3 术语、定义和缩略语.1 3.1 术语和定义.1 3.2 缩略语.3 4 安全技术要求.3 4.1 第一级.3 4.2 第二级.4 4.3 第三级.7 4.4 第四级.10 4.5 第五级.16 5 测试评价方法.23 5.1 测试环境.23 5.2 第一级.24 5.3 第二级.29 5.4 第三级.38 5.5 第四级.51 5.6 第五级.67 参考文献.86 GB/T XXXXXXXXX II 前言本标准按照GB/T 1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机

3、构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、联想控股有限公司本标准主要起草人：邱梓华、韦卫、宋好好、王京旭、张艳、顾健、吴秋新、顾玮、赵婷、宁晓魁、邹春明、张笑笑、俞优、冯荣峰 GB/T XXXXXXXXX III 引言本标准包含两部分内容，一部分是终端计算机的通用安全技术要求，用以指导设计者如何设计和实现终端计算机，使其达到信息系统所需安全等级，主要从信息系统安全保护等级划分的角度来说明对终端计算机的通用安全技术要求和测试评价方法，即主要说明终端计算机为实现GB 17859-1999中每一个保

4、护等级的安全要求应采取的安全技术措施。本标准将终端计算机划分为五个安全等级，与信息系统的五个等级一一对应。考虑到可信计算是当今终端计算机安全技术主流发展方向，所以在整个终端计算机安全体系设计中凸显可信计算技术理念，特别是在高安全等级(指3至5级)的安全技术措施设置方面，强调采用基于自主可信计算技术标准的可信计算功能特性，而且我国主流终端计算机厂商已建立起相关产业环境，因此，本标准的技术路线选择能够适应我国终端计算机安全技术产业发展水平；另一部分是依据技术要求，提出了具体的测试评价方法，用以指导评估者对各安全等级的终端计算机评估，同时也对终端计算机的开发者提供指导作用。本标准部分条款引用了其他标

5、准的内容，有些是直接引用的，有些是间接引用的，对于直接引用的，请参考被引用标准的具体条款。对于间接引用的，以本标准文本的描述为准。为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强，在第4章的描述中，每一级的新增部分用“宋体加粗”“宋体加粗”表示。GB/T XXXXXXXXX 1 信息安全技术终端计算机通用安全技术要求与测试评价方法 1 范围本标准按照国家信息安全等级保护的要求，规定了终端计算机的安全技术要求和测试评价方法。本标准适用于指导终端计算机的设计生产企业、使用单位和信息安全服务机构实施终端计算机等级保护安全技术的设计、实现和评估工作。2 规范性引用文件下列文件

6、对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 17901.1-1999 信息技术安全技术密钥管理第1部分：框架 GB/T 20271-2006 信息安全技术信息系统通用安全技术要求 GB/T 20272-2006 信息安全技术操作系统安全技术要求 3 术语、定义和缩略语 3.1 术语和定义 GB178591999、GB/T20271-2006和GB/T20272-2006界定的以及下列术语和定义适用于本文件。

7、3.1.1 终端计算机 terminal computer 特指供个人使用的、能独立进行数据处理及提供网络服务访问的计算机系统，一般为台式微型计算机系统和便携微型计算机系统两种形态。终端计算机通常由硬件系统、操作系统和应用系统（包括为用户访问网络服务器提供支持的工具软件和其它应用软件）等部分组成。3.1.2 完整性度量 integrity measurement 使用杂凑算法对被度量对象计算其杂凑值的过程。3.1.3 完整性度量值 integrity measurement value 部件被杂凑算法计算后得到的杂凑值。3.1.4 完整性基准值 predefined integrity val

8、ue 部件在发布时或在可信状态下被度量得到的杂凑值，作为完整性校验的参考基准。GB/T XXXXXXXXX 2 3.1.5 可信度量根 root of trust for measurement 一个能够可靠进行完整性度量的计算引擎，是信任传递链的起始点。3.1.6 可信存储根 root of trust for storage 一个能够可靠进行安全存储的计算引擎。3.1.7 动态可信度量根 dynamic root of trust for measurement 是可信度量根的一种，支持终端计算机对动态启动的程序模块进行实时可信度量。3.1.8 可信报告根 root of trust fo

9、r reporting 一个能够可靠报告可信存储根所保存信息的计算引擎。3.1.9 可信密码模块 trusted cryptography module 是可信计算平台的硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间。3.1.10 信任链 trusted chain 在计算系统启动和运行过程中，使用完整性度量方法在部件之间所建立的信任传递关系。3.1.11 安全支撑系统 security support system 指终端计算机在操作系统安全基础上构建系统身份标识与鉴别、数据保护和运行安全防护等安全功能的系统，支撑终端计算机的安全运行、管理与维护。3.1.12 终端计算机安全

10、子系统 security subsystem of terminal computer(SSOTC)终端计算机内安全保护装置的总称，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的终端计算机安全保护环境，并提供终端计算机所要求的附加用户服务。终端计算机安全子系统应从硬件系统、操作系统、应用系统和系统运行等方面对终端计算机进行安全保护。注：按照GB 17859-1999对TCB(可信计算基)的定义，SSOTC(终端计算机安全子系统)就是终端计算机的TCB。3.1.13 SSOTC 安全功能 SSOTC security function 正确实施SSOTC安全策略的全部硬件、固

11、件、软件所提供的功能。每一个安全策略的实现，组成一个安全功能模块。一个SSOTC 的所有安全功能模块共同组成该SSOTC 的安全功能。3.1.14 GB/T XXXXXXXXX 3 SSOTC 安全控制范围 SSOTC scope of control SSOTC的操作所涉及的主体和客体。3.1.15 SSOTC 安全策略 SSOTC security policy 对SSOTC中的资源进行管理、保护和分配的一组规则。一个SSOTC中可以有一个或多个安全策略。3.2 缩略语下列缩略语适用于本文件：SSOTC 终端计算机安全子系统（security subsystem of terminal

12、 computer）SSF SSOTC 安全功能（SSOTC security function）SSC SSOTC 控制范围（SSOTC scope of control）SSP SSOTC 安全策略（SSOTC security policy）TCM 可信密码模块（trusted cryptography module）BIOS 基本输入输出系统（basic input output system）MBR 主引导记录（master boot recorder）4 安全技术要求 4.1 第一级 4.1.1 安全功能要求 4.1.1.1 硬件系统 4.1.1.1.1 设备安全可用

13、应按应按 GB/TGB/T 2027120271-20062006 中中 6.1.1.26.1.1.2 的要求，从以下方的要求，从以下方面设计和实现面设计和实现终端计算机终端计算机的设备安全可用功的设备安全可用功能：能：a)基本运行支持：基本运行支持：终端计算机终端计算机的设备应提供基本的运行支持，并有必要的容错和故障恢复能力。的设备应提供基本的运行支持，并有必要的容错和故障恢复能力。4.1.1.1.2 设备防盗应按应按 GB/TGB/T 2027120271-20062006 中中 6.1.1.26.1.1.2 的要求，从以下方面设计和实现的要求，从以下方面设计和实现终端计算机终端计算机的

14、设备防盗功能：的设备防盗功能：a)设备标记要求：设备标记要求：终端计算机终端计算机的设备应有明显的无法除去的标记，以防更换和方便查找。的设备应有明显的无法除去的标记，以防更换和方便查找。4.1.1.2 操作系统应应按按 GB/TGB/T 2027220272-20062006 中中 4.4.1 1.1.1 的要求的要求，从，从身份鉴别身份鉴别、自主访问控制两个、自主访问控制两个方面方面，来设计、实现或来设计、实现或选购第一级选购第一级终端计算机终端计算机所需要的操作系统所需要的操作系统。4.1.1.3 安全支撑系统 4.1.1.3.1 运行时防护应按应按 GB/TGB/T 20271202

15、71-20062006 中中 6.1.26.1.2 的的 6.1.2.56.1.2.5 的要求，从以下方面设计和实现的要求，从以下方面设计和实现终端计算机终端计算机的运行时的运行时防护功能：防护功能：a)恶意代码防护恶意代码防护：GB/T XXXXXXXXX 4 对文件系统、内存和使用时的外来介质采用特征码扫描，并根据扫描结果采取相应措施，对文件系统、内存和使用时的外来介质采用特征码扫描，并根据扫描结果采取相应措施，清除或隔离恶意代码。恶意代码特征库应及时更新。清除或隔离恶意代码。恶意代码特征库应及时更新。4.1.1.3.2 备份与故障恢复为实现确定的恢复功能，应在为实现确定的恢复功能，应在

16、终端计算机终端计算机正常运行时定期地或按某种条件实施备份。应正常运行时定期地或按某种条件实施备份。应根据以下根据以下要求，实现要求，实现备份与故障恢复功能：备份与故障恢复功能：a)用户数据备份与恢复用户数据备份与恢复：应提供用户有选择地备份重要数据的功能，当由于某种原因引起应提供用户有选择地备份重要数据的功能，当由于某种原因引起终端计终端计算机算机中用户数据丢失或破坏时，应能提供用户数据中用户数据丢失或破坏时，应能提供用户数据恢复的功能。恢复的功能。4.1.2 SSOTC 自身安全保护 4.1.2.1 操作系统的自身安全保护应应按按 GB/TGB/T 2027220272-20062006

17、中中 4.4.1 1.2 2 的要求的要求，设计和实现，设计和实现操作系统的自身安全保护。操作系统的自身安全保护。4.1.3 SSOTC 设计和实现 SSOTC的设计和实现要求如下：a)配置管理：按配置管理：按 GB/TGB/T 2027120271-20062006 中中 6.1.5.16.1.5.1 的要求，实现的要求，实现终端计算机终端计算机第一级的配置管理；第一级的配置管理；b)分发和操作：按分发和操作：按 GB/TGB/T 2027120271-20062006 中中 6 6.1.1.5 5.2 2 的要求，实现的要求，实现终端计算机终端计算机第一级的分发和操作；第一级的分发和操作；

18、c)开发：按开发：按 GB/TGB/T 2027120271-20062006 中中 6 6.1.1.5 5.3 3 的要求，实现的要求，实现终端计算机终端计算机第一级的开发；第一级的开发；d)文档要文档要求：按求：按 GB/TGB/T 2027120271-20062006 中中 6 6.1.1.5 5.4 4 的要求，实现的要求，实现终端计算机终端计算机第一级的文档要求；第一级的文档要求；e)生存周期支持：按生存周期支持：按 GB/TGB/T 2027120271-20062006 中中 6 6.1.1.5 5.5 5 的要求，实现的要求，实现终端计算机终端计算机第一级的生存周期第一级的生

19、存周期支持；支持；f)测试：按测试：按 GB/TGB/T 2027120271-20062006 中中 6 6.1.1.5 5.6 6 的要求，实现的要求，实现终端计算机终端计算机第一级的测试。第一级的测试。4.1.4 SSOTC 管理应按应按 GB/T 20271GB/T 20271-20062006 中中 6 6.1 1.6 6 的要求，从以下方面实现的要求，从以下方面实现终端计算机终端计算机第一级第一级的的 SSOTCSSOTC 安全管理：安全管理：a)对相应的对相应的 SSOTC 的访问控制、鉴别控制、审计等相关的的访问控制、鉴别控制、审计等相关的安全安全功能，以及与一般的安装、配置

20、功能，以及与一般的安装、配置和维护有关和维护有关的功能，制定相应的操作、运行规程和行为规章制度的功能，制定相应的操作、运行规程和行为规章制度。4.2 第二级 4.2.1 安全功能要求 4.2.1.1 硬件系统 4.2.1.1.1 设备安全可用应按GB/T 20271-2006中6.2.1.2的要求，从以下方面设计和实现终端计算机的设备安全可用功能：a)基本运行支持：终端计算机的设备应提供基本的运行支持，并有必要的容错和故障恢复能力。4.2.1.1.2 设备防盗应按 GB/T 20271-2006 中 6.2.1.2 的要求，从以下方面设计和实现终端计算机的设备防盗功能：a)设备标记要求：终

21、端计算机的设备应有明显的无法除去的标记，以防更换和方便查找；b)主机实体安全：主机实体安全：终端计算机终端计算机的主的主机应有机箱封装保护，防止部件损害或被盗。机应有机箱封装保护，防止部件损害或被盗。4.2.1.2 操作系统 GB/T XXXXXXXXX 5 应按 GB/T 20272-2006 中 4.2.1 的要求，从身份鉴别、自主访问控制、安全审计、用户数据保密安全审计、用户数据保密性、性、用户数据完整性用户数据完整性 5 5 个个方面，来设计、实现或选购第二级第二级终端计算机所需要的操作系统。4.2.1.3 安全支撑系统 4.2.1.3.1 密码支持应按以下要求，设计与实现应按以下要

22、求，设计与实现第二级第二级终端计算机终端计算机的密码支持功能：的密码支持功能：a)密码算法：应使用国家有关主管部门批准的密码算法，密码算法和密码操作应由硬件或受保密码算法：应使用国家有关主管部门批准的密码算法，密码算法和密码操作应由硬件或受保护的软件支撑实现；护的软件支撑实现；b)密钥管理：密钥管理：应对密码算法操作所涉及的密钥进行全生命周期管理，包括密钥生成、密钥交换、应对密码算法操作所涉及的密钥进行全生命周期管理，包括密钥生成、密钥交换、密钥存取、密密钥存取、密钥废除。密钥管理应符合国家密钥管理标准钥废除。密钥管理应符合国家密钥管理标准 GB/T 17901.1-1999 的相关要求的相关

23、要求。应应建立一个可信存储根密钥，建立一个可信存储根密钥，所有密钥应受可信存储根保护。可信存储根本身应由硬件密码模所有密钥应受可信存储根保护。可信存储根本身应由硬件密码模块保护。块保护。4.2.1.3.2 运行时防护应按 GB/T 20271-2006 中 6.2.2 的 6.2.2.4 和 6.2.2.6 的要求，从以下方面设计和实现终端计算机的运行时防护功能：a)恶意代码防护：对文件系统、内存和使用时的外来介质采用特征码扫描，并根据扫描结果采取相应措施，清除或隔离恶意代码。恶意代码特征库应及时更新；b)网络攻击防护：网络攻击防护：终端计算机终端计算机应采取必要措施监控应采取必要措施监控主

24、机与外部网络的数据通信，确保系统免受主机与外部网络的数据通信，确保系统免受外部网络侵害或恶意远程控制。应采取的措施为：外部网络侵害或恶意远程控制。应采取的措施为：IP包过滤：包过滤：应能够支持基于源地址、目的地址的访问控制，将不符合预先设定策略的数据应能够支持基于源地址、目的地址的访问控制，将不符合预先设定策略的数据包丢弃包丢弃。4.2.1.3.3 系统身份标识与鉴别应按以下要求，设计与实现系统身份标识与鉴别功能：应按以下要求，设计与实现系统身份标识与鉴别功能：a)系统身份标识：系统身份标识：应对应对终端计算机终端计算机进行身份标识，进行身份标识，确保其身份唯一性和真实性确保其身份唯一性和真

25、实性：唯一性标识：应通过唯一绑定的硬件密码模块或受保护的软件模块产生的密钥来标识系统唯一性标识：应通过唯一绑定的硬件密码模块或受保护的软件模块产生的密钥来标识系统身份；身份；b)系统身份鉴别：系统身份鉴别：在进行在进行终端计算机终端计算机身份鉴别时，请求方应提供系统的身份标识，通过一定的认证协议完成身身份鉴别时，请求方应提供系统的身份标识，通过一定的认证协议完成身份鉴别份鉴别过程。过程。4.2.1.3.4 数据保密性保护应按应按 GB/T 20271GB/T 20271-20062006 中中 6.2.36.2.3 中中 6.2.3.46.2.3.4 的数据保密性要求，的数据保密性要求，从以

26、下方面设计和实现从以下方面设计和实现终端计算终端计算机机的数据保密性功能：的数据保密性功能：a)数据存储保密性：数据存储保密性：应对存储在应对存储在终端计算机终端计算机内的重要用户数据进行保密性保护：内的重要用户数据进行保密性保护：例如例如数据加密：应确保加密后的数据由密钥的合法持有者解密，除合法持有密钥者外，数据加密：应确保加密后的数据由密钥的合法持有者解密，除合法持有密钥者外，其余任何用户不应获得该数据其余任何用户不应获得该数据；b)数据传输保密性：数据传输保密性：GB/T XXXXXXXXX 6 对在不同对在不同 SSFSSF 之间基于网络传输的重要数据，设计和实现数据传输保密性保护功能

27、，确保数之间基于网络传输的重要数据，设计和实现数据传输保密性保护功能，确保数据在传输过程中不被泄漏和窃取。据在传输过程中不被泄漏和窃取。4.2.1.3.5 安全审计应按应按 GB/TGB/T 2027120271-20062006 中中 6.6.2 2.2 2.3 3 的要求的要求，从以下方面从以下方面设计设计和实现安全支撑系统的安全审计和实现安全支撑系统的安全审计功能功能：a)安全安全审计功能的设计应与审计功能的设计应与密码支持、系统身份密码支持、系统身份标识与鉴别标识与鉴别、数据保密性保护、数据保密性保护等安全功能的设等安全功能的设计紧密结合计紧密结合；b)支持审计日志支持审计日志；-可

28、为以下安全事件产生审计记录：可为以下安全事件产生审计记录：绑定于绑定于终端计算机终端计算机的硬件密码模块应该能审计内部运行的硬件密码模块应该能审计内部运行的可审计事件，能的可审计事件，能提供给上层应用提供给上层应用软件查询审计情况的接口软件查询审计情况的接口；对于每一个事件，其审计记录应包括：事件对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件类别，的日期和时间、用户、事件类型、事件类别，及其他与审计相关的信息及其他与审计相关的信息；-支持支持审计查阅审计查阅：提供从审计记录中读取信息的能力，即要求提供从审计记录中读取信息的能力，即要求 SSF 为授权用户提供获为授权用

29、户提供获得和得和解释审计信息的能解释审计信息的能力；力；-提供提供审计事件选择审计事件选择：应根据以下应根据以下属性属性选择选择终端计算机终端计算机的的可审计事件：可审计事件：客体身份、用户身份、主体身份、主机客体身份、用户身份、主体身份、主机身份、事件类型；作为审计选择性依据的附加属性。身份、事件类型；作为审计选择性依据的附加属性。4.2.1.3.6 备份与故障恢复为了实现确定的恢复功能，应在终端计算机正常运行时定期地或按某种条件实施备份。应根据以下要求，实现备份与故障恢复功能：a)用户数据备份与恢复：应提供用户有选择地备份重要数据的功能，当由于某种原因引起终端计算机中用户数据丢失或破坏时

30、，应能提供用户数据恢复的功能；b)系统备份与恢复：应提供定期对系统备份与恢复：应提供定期对终端计算机终端计算机进行定期备份的功能；当由进行定期备份的功能；当由于某种原因引起于某种原因引起终端终端计算机计算机发生故障时，应提供用户按系统备份所保留的信息进行系统恢复的功能。发生故障时，应提供用户按系统备份所保留的信息进行系统恢复的功能。4.2.2 SSOTC 自身安全保护 4.2.2.1 安全支撑系统的自身安全保护 a)可信存储根安全保护：应按以下要求实现可信存储根安全保护：应按以下要求实现终端计算机终端计算机的可信存储根：的可信存储根：可信存储根应设置在硬件可信存储根应设置在硬件密码模块密码模块

31、内内；所采用的硬件密码模块和软件密码模块应符合国家相关密码管理要求所采用的硬件密码模块和软件密码模块应符合国家相关密码管理要求；b)用户使用硬件密码模块前应进行身份鉴别。用户使用硬件密码模块前应进行身份鉴别。4.2.2.2 操作系统的自身安全保护应按 GB/T 20272-2006 中 4.2.2 的要求，设计和实现操作系统的自身安全保护。4.2.3 SSOTC 设计和实现 SSOTC的设计和实现要求如下：a)配置管理：应按 GB/T 20271-2006 中 6.2.5.1 的要求，实现终端计算机第二级的配置管理；GB/T XXXXXXXXX 7 b)分发和操作：应按 GB/T 20271

32、-2006 中 6.2.5.2 的要求，实现终端计算机第二级的分发和操作；c)开发：应按 GB/T 20271-2006 中 6.2.5.3 的要求，实现终端计算机第二级的开发；d)文档要求：应按 GB/T 20271-2006 中 6.2.5.4 的要求，实现终端计算机第二级的文档要求；e)生存周期支持：应按 GB/T 20271-2006 中 6.2.5.5 的要求，实现终端计算机第二级的生存周期支持；f)测试：应按 GB/T 20271-2006 中 6.2.5.6 的要求，实现终端计算机第二级的测试。4.2.4 SSOTC 管理一般应按 GB/T 20271-2006 中 6.2.6

33、的要求，从以下方面实现终端计算机第二级的 SSOTC 安全管理：a)对相应的 SSOTC 的访问控制、鉴别控制、审计等相关的安全功能，以及与一般的安装、配置和维护有关的功能，制定相应的操作、运行规程和行为规章制度；b)根据本级中安全功能技术要求和安全保证技术要求所涉及的安全属性，设计根据本级中安全功能技术要求和安全保证技术要求所涉及的安全属性，设计 SSOTC 安全属性安全属性管理。管理。4.3 第三级 4.3.1 安全功能要求 4.3.1.1 硬件系统 4.3.1.1.1 设备安全可用应按GB/T 20271-2006中6.3.1.2的要求，从以下方面设计和实现终端计算机的设备安全可用功

34、能：a)基本运行支持：终端计算机的设备应提供基本的运行支持，并有必要的容错和故障恢复能力；b)基本安全可用：基本安全可用：终端计算机终端计算机的设备应满足基本安全可用的要求，包括主机、外部设备、网络连的设备应满足基本安全可用的要求，包括主机、外部设备、网络连接部件及其它辅助部件等均应基本安全可用。接部件及其它辅助部件等均应基本安全可用。4.3.1.1.2 设备防盗应按 GB/T 20271-2006 中 6.3.1.2 的要求，从以下方面设计和实现终端计算机的设备防盗功能：a)设备标记要求：终端计算机的设备应有明显的无法除去的标记，以防更换和方便查找；b)主机实体安全：终端计算机的主机应有机

35、箱封装保护，防止部件损害或被盗。4.3.1.2 操作系统应按 GB/T 20272-2006 中 4.3.1 的要求，从身份鉴别、自主访问控制、标记、强制访问控制标记、强制访问控制、安全审计、用户数据保密性、用户数据完整性 7 个个方面，来设计、实现或选购第三级第三级终端计算机所需要的操作系统。4.3.1.3 安全支撑系统 4.3.1.3.1 密码支持应按以下要求，设计与实现第三级终端计算机密码支持功能：a)密码算法：应使用国家密码管理部门批准的密码算法，并应采用密码硬件实现密码算法应采用密码硬件实现密码算法；b)密码操作：密码操作：应按照密码算法要求实现密码操作，并至少支持如下操作应按照

36、密码算法要求实现密码操作，并至少支持如下操作：密钥生成操作、数据加：密钥生成操作、数据加密和解密操作、数字签名生成和验证操作、数据完整性度量生成和验证操作、消息认证码生成密和解密操作、数字签名生成和验证操作、数据完整性度量生成和验证操作、消息认证码生成与验证操作、随机数生成操作。其中与验证操作、随机数生成操作。其中密钥生成、数字签名与验证等关键密码操作应基于密码硬密钥生成、数字签名与验证等关键密码操作应基于密码硬GB/T XXXXXXXXX 8 件支持件支持；c)密钥管理：应对密码操作所使用的密钥进行全生命周期管理，包括密钥生成、密钥交换、密钥存取、密钥废除。密钥管理应符合国家密钥管理标准 G

37、B/T 17901.1-1999 的相关要求。应建立一个可信存储根密钥，所有密钥应受可信存储根保护，可信存储根本身应由可信存储根本身应由可信密码模块可信密码模块保护。保护。4.3.1.3.2 运行时防护应按 GB/T 20271-2006 中 6.3.2 的要求，从以下方面设计和实现第三级终端计算机的运行时防护功能：a)恶意代码防护：特征码扫描：对文件系统、内存和使用时的外来介质采用特征码扫描，并根据扫描结果采取相应措施，清除或隔离恶意代码。恶意代码特征库应及时更新；b)网络攻击防护：终端计算机应采取必要措施监控主机与外部网络的数据通信，确保系统免受外部网络侵害或恶意远程控制。应采取的措施包

38、括：IP包过滤：应能够支持基于源地址、目的地址的访问控制，将不符合预先设定策略的数据包丢弃；应用程序监控：应能够设置应用程序对网络的访问控制规则。4.3.1.3.3 系统安全性检测分析应按应按 GB/TGB/T 2027120271-20062006 中中 6.3.2.26.3.2.2 的要求，设计和实现的要求，设计和实现终端计算机终端计算机第三第三级的系统安全性检测分析级的系统安全性检测分析功能：功能：a)操作系统安全性检测分析：应从终端计算机操作系统的角度，以管理员身份评估文件许可、操作系统安全性检测分析：应从终端计算机操作系统的角度，以管理员身份评估文件许可、文件宿主、网络服务设置、账

39、户设置、程序真实性以及一般的与用户相关的安全点、入侵迹文件宿主、网络服务设置、账户设置、程序真实性以及一般的与用户相关的安全点、入侵迹象等，从而检测和分析操作系统的安全性，发现存在的安全隐患，并提出补救措施；象等，从而检测和分析操作系统的安全性，发现存在的安全隐患，并提出补救措施；b)硬件系统安全性检测分析：应对支持硬件系统安全性检测分析：应对支持终端计算机终端计算机运行的硬件系统进行安全性检测，通过扫描运行的硬件系统进行安全性检测，通过扫描硬件系统中与系统运行和数据保护有关的特定安全脆弱性，分析其存在的硬件系统中与系统运行和数据保护有关的特定安全脆弱性，分析其存在的缺陷和漏洞，提出缺陷和漏洞

40、，提出补救措施补救措施。4.3.1.3.4 系统身份标识与鉴别 a)系统身份标识：应对终端计算机进行身份标识,确保其身份唯一性和真实性：唯一性标识：唯一性标识：应通过唯一绑定的应通过唯一绑定的可信密码模块可信密码模块产生的密钥来标识系统身份，该身份密钥即产生的密钥来标识系统身份，该身份密钥即为可信报告根；为可信报告根；标识可信性：身份标识可信性应通过国家批准的权威机构颁发证书来实现；标识可信性：身份标识可信性应通过国家批准的权威机构颁发证书来实现；隐秘性：需要时应使系统身份标识在某些特定条件下具有不可关联性。可以基于第三方权隐秘性：需要时应使系统身份标识在某些特定条件下具有不可关联性。可以基于

41、第三方权威机构颁发特定证书实现系统身份标识的隐秘性；威机构颁发特定证书实现系统身份标识的隐秘性；标识信息管理：应对标识信息管理：应对终端计算机终端计算机身份标识信息进行管理、维护，确保其不被非授权地访问、身份标识信息进行管理、维护，确保其不被非授权地访问、修修改或删除改或删除；b)系统身份鉴别：在进行终端计算机身份鉴别时，请求方应提供系统的身份证书和身份证书和/或证书或证书信任链信任链验证路径验证路径，并通过一定的认证协议完成身份鉴别过程。4.3.1.3.5 数据保密性保护应按 GB/T 20271GB/T 20271-20062006 中中 6.3.36.3.3 中中 6.3.3.86.3

42、.3.8 的数据保密性要求，从以下方面设计和实现终端计算GB/T XXXXXXXXX 9 机的数据保密性功能：a)数据存储保密性：应对存储在终端计算机内的重要用户数据进行保密性保护：例如数据加密：应确保加密后的数据由密钥的合法持有者解密，除合法持有密钥者外，其余任何用户不应获得该数据；数据绑定：数据绑定：如果如果基于可信存基于可信存储根实现对数据的保密存储，应确保数据由密钥的合法持有储根实现对数据的保密存储，应确保数据由密钥的合法持有者在特定者在特定终端计算机终端计算机中解密中解密；b)数据传输保密性：对在不同 SSF 之间基于网络传输的重要数据，设计和实现数据传输保密性保护功能，确保数据在传

43、输过程中不被泄漏和窃取。4.3.1.3.6 安全审计应按 GB/T 20271-2006 中 6.3.2.4 的要求，从以下方面设计和实现安全支撑系统的安全审计功能：a)安全审计功能的设计应与密码支持、系统身份标识与鉴别、数据保密性保护等安全功能的设计紧密结合；b)支持审计日志支持审计日志；-可为以下安全事件产生审计记录：内置于内置于终端计算机终端计算机的可信密码模块应该的可信密码模块应该能审计内部命令运行情况、能审计内部命令运行情况、维护事件、用户密钥的维护事件、用户密钥的创建、使用与删除事件或其他专门的可审计事件，能创建、使用与删除事件或其他专门的可审计事件，能提供给上层应用软件查询审计

44、情况的提供给上层应用软件查询审计情况的接口，接口，并存储审计记录并存储审计记录；对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件类别，及其他与审计相关的信息；-支持支持潜在侵害分析潜在侵害分析：应能用一系列规则去监控审计事件，并根据这些规则指出应能用一系列规则去监控审计事件，并根据这些规则指出 SSP 的潜在的潜在侵害侵害；-支持审计查阅：提供从审计记录中读取信息的能力，即要求 SSF 为授权用户提供获得和解释审计信息的能力；受控审计查阅：审计查阅工具应只允许授权用户读取审计信息，并受控审计查阅：审计查阅工具应只允许授权用户读取审计信息，并根根据某种逻辑关系提供对审计

45、数据进行搜索、分类、排序的能力据某种逻辑关系提供对审计数据进行搜索、分类、排序的能力；-提供审计事件选择：应根据以下属性选择终端计算机的可审计事件：客体身份、用户身份、主体身份、主机身份、事件类型；作为审计选择性依据的附加属性；c)能够生成、维护及保护审计过程，使其免遭修改、非法访问及破坏，特别要保护审计数据，能够生成、维护及保护审计过程，使其免遭修改、非法访问及破坏，特别要保护审计数据，要严格限制未经授权的用户访问要严格限制未经授权的用户访问。4.3.1.3.7 备份与故障修复为实现确定的恢复功能，应在终端计算机正常运行时定期地或按某种条件实施备份。应根据以下要求，实现备份与故障恢复功能：

46、a)用户数据备份与恢复：应提供用户有选择地备份重要数据的功能，当由于某种原因引起终端计算机中用户数据丢失或破坏时，应能提供用户数据恢复的功能；b)系统备份与恢复：应提供定期对终端计算机的运行现场运行现场进行定期备份的功能；当由于某种原因引起终端计算机发生故障时，应提供用户按系统备份所保留的现场信息现场信息进行系统恢复的功能；c)备份保护措施：数据在备份、存储和恢复过程中应有安全保护措施，并应设置不被用户操作系备份保护措施：数据在备份、存储和恢复过程中应有安全保护措施，并应设置不被用户操作系统管理的系统来实现系统数据的备份与恢复功能，系统备份数据是用户操作系统不可访问的。统管理的系统来实现系统数

47、据的备份与恢复功能，系统备份数据是用户操作系统不可访问的。GB/T XXXXXXXXX 10 4.3.1.3.8 I/O 接口配置应配置应配置终端计算机终端计算机的的 USB、网卡、硬盘等各类、网卡、硬盘等各类 I/O 接口和设备的启用接口和设备的启用/禁用等状态，并按以禁用等状态，并按以下要求，下要求，设计和实现设计和实现终端计算机终端计算机的的 I/O 接口配置功能：接口配置功能：a）用户自主配置：应支持用户基于用户自主配置：应支持用户基于 BIOS 和操作系统提供的功能自主配置各类接口的状态。和操作系统提供的功能自主配置各类接口的状态。4.3.2 SSOTC 自身安全保护 4.3.2.

48、1 安全支撑系统的自身安全保护 a)可信存储根安全保护：应按以下要求实现可信存储根安全保护：应按以下要求实现终端计算机终端计算机的可信存储根：的可信存储根：可信存储根应设置在可信存储根应设置在可信密码模块可信密码模块内内；可信密码模块应符合国家密码管理部门的相关规范和管理要求可信密码模块应符合国家密码管理部门的相关规范和管理要求；b)可信报告根安全保护：应按以下要求实现可信报告根安全保护：应按以下要求实现终端计算机终端计算机的可信报告根：的可信报告根：可信报告根可信报告根应设置在应设置在可信密码模块可信密码模块内内；可信报告根对应的公钥证书应由国家批准的权威机构发行和管可信报告根对应的公钥证书

49、应由国家批准的权威机构发行和管理理；c)用户使用可信密码模块之前需进行身份鉴别用户使用可信密码模块之前需进行身份鉴别。4.3.2.2 操作系统的自身安全保护应按 GB/T 20272-2006 中 4.3.2 的要求，设计和实现操作系统的自身安全保护。4.3.3 SSOTC 设计和实现 SSOTC的设计和实现要求如下：a)配置管理：应按 GB/T 20271-2006 中 6.3.5.1 的要求，实现终端计算机第三级的配置管理；b)分发和操作：应按 GB/T 20271-2006 中 6.3.5.2 的要求，实现终端计算机第三级的分发和操作；c)开发：应按 GB/T 20271-2006 中

50、 6.3.5.3 的要求，实现终端计算机第三级的开发；d)文档要求：应按 GB/T 20271-2006 中 6.3.5.4 的要求，实现终端计算机第三级的文档要求；e)生存周期支持：应按 GB/T 20271-2006 中 6.3.5.5 条的要求，实现终端计算机第三级的生存周期支持；f)测试：应按 GB/T 20271-2006 中 6.3.5.6 的要求，实现终端计算机第三级的测试；g)脆弱性评定：脆弱性评定：应按应按 GB/TGB/T 2027120271-20062006 中中 6 6.3 3.5 5.7 7 的要求，实现第三级的脆弱性评定。的要求，实现第三级的脆弱性评定。4.3.4

展开阅读全文