信息系統(tǒng)終端計算機(jī)系統(tǒng)安全等級技術(shù)要求

1、信息系統(tǒng)終端計算機(jī)系統(tǒng)安全等級技術(shù)要求1 范圍 本標(biāo)準(zhǔn)規(guī)定了對終端計算機(jī)系統(tǒng)進(jìn)行安全等級保護(hù)所需要的安全技術(shù)要求，并給出了每一個安全保護(hù)等級的不同技術(shù)要求。本標(biāo)準(zhǔn)適用于按GB 178591999的安全保護(hù)等級要求所進(jìn)行的終端計算機(jī)系統(tǒng)的設(shè)計和實現(xiàn)，對于GB 178591999的要求對終端計算機(jī)系統(tǒng)進(jìn)行的測試、管理也可參照使用。2 規(guī)范性引用文件 下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有的修改單,不包括勘誤的內(nèi)容,或修訂版均不適用于本標(biāo)準(zhǔn),然而,鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)

2、。GB 17859-1999 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求GB/T 202722006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求3 術(shù)語和定義 3.1 術(shù)語和定義 GB 17859-1999 GB/T 202712006 GB/T 20272-2006確立的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。 3.1.1 終端計算機(jī)一種個人使用的計算機(jī)系統(tǒng)，是信息系統(tǒng)的重要組成部分，為用戶訪問網(wǎng)絡(luò)服務(wù)器提供支持。終端計算機(jī)系統(tǒng)表現(xiàn)為桌面型計算機(jī)系統(tǒng)和膝上型計算機(jī)兩種形態(tài)。終端計算機(jī)系統(tǒng)一般由硬件系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng)（包括為用戶方位網(wǎng)絡(luò)服務(wù)

3、器提供支持的攻擊軟件和其他應(yīng)用軟件）等部分組成。3.1.2 可信一種特性，具有該特性的實體總是以預(yù)期的行為和方式達(dá)到既定目的。3.1.3 完整性度量（簡稱度量）一種使用密碼箱雜湊算法對實體計算其雜湊值的過程。3.1.4 完整性基準(zhǔn)值（簡稱基準(zhǔn)值）實體在可信狀態(tài)下度量得到的雜湊值，可用來作為完整性校驗基準(zhǔn)。3.1.5 度量根一個可信的實體，是終端計算機(jī)系統(tǒng)內(nèi)進(jìn)行可信度量的基點。3.1.6 動態(tài)度量根度量根的一種，支持終端計算機(jī)系統(tǒng)對動態(tài)啟動的程序模塊進(jìn)行實時的可信度量。3.1.7 存儲根一個可信的實體，是終端計算機(jī)系統(tǒng)內(nèi)進(jìn)行可存儲的基點。3.1.8 報告根一個可信的實體，是終端計算機(jī)系統(tǒng)內(nèi)進(jìn)行可

4、信報告的基點。3.1.9 可信根度量根、存儲根和報告根的集合，是保證終端計算機(jī)系統(tǒng)可信的基礎(chǔ)。3.1.10 可信硬件模塊嵌入終端計算機(jī)硬件系統(tǒng)內(nèi)的一個硬件模塊。它必須包含存儲根、報告根，能獨立提供密碼學(xué)運算功能，具有受保護(hù)的存儲空間。3.1.11 信任鏈一種在終端計算機(jī)系統(tǒng)啟動過程中，基于完整性度量的方法確保終端計算機(jī)可信的技術(shù)3.1.12 可信計算平臺基于可信硬件模塊或可信軟件模塊構(gòu)建的計算平臺，支持系統(tǒng)身份標(biāo)識服務(wù)，密碼學(xué)服務(wù)和信任服務(wù)，并為系統(tǒng)提供信任鏈保護(hù)和運行安全保護(hù)。3.1.13 終端計算機(jī)系統(tǒng)安全子系統(tǒng)終端計算機(jī)系統(tǒng)內(nèi)安全保護(hù)裝置的總稱，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略的組

5、合體。它建立餓了一個基本的終端計算機(jī)系統(tǒng)安全保護(hù)環(huán)境，并提供終端計算機(jī)系統(tǒng)所要求的附加用戶服務(wù)。終端計算機(jī)系統(tǒng)安全子系統(tǒng)應(yīng)從硬件系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)和系統(tǒng)運行等方面對終端計算機(jī)系統(tǒng)進(jìn)行安全保護(hù)。（SSOCS-終端計算機(jī)系統(tǒng)安全子系統(tǒng)）3.1.14 SSOTCS 安全功能正確實施SSOTCS安全策略的全部硬件、固件、軟件所提供的功能。每一個安全策略的實現(xiàn)，組成一個安全功能模塊。一個SSOTCS的所有安全功能模塊共同組成該SSOTCS的安全功能。3.1.15 SSOTCS 安全控制范圍SSOTCS 的操作所涉及的主體和客體。3.1.16 SSOTCS 安全策略對SSOTCS 中的資源進(jìn)行管理、

6、保護(hù)和分配的一組規(guī)則。一個SSOTCS中可以有一個或多個安全策略。3.2 縮略語下列縮略語適用于本標(biāo)準(zhǔn)。SSOTCS終端計算機(jī)系統(tǒng)安全子系統(tǒng)SSF SSOTCS安全功能SSC SSOTCS控制范圍SSP SSOTCS安全策略TCP可信計算平臺4 安全功能技術(shù)要求4.1物理安全4.1.1設(shè)備安全可用根據(jù)不同安全等級的不同要求，終端計算機(jī)系統(tǒng)的設(shè)備安全可用分為：a）基本運行支持：終端計算機(jī)系統(tǒng)的社保應(yīng)提供基本的運行支持，并有必要的容錯和故障恢復(fù)功能。b）基本安全可用：終端計算機(jī)系統(tǒng)的設(shè)備應(yīng)滿足基本安全可用的要求，包括主機(jī)、外部設(shè)備、網(wǎng)絡(luò)連接部件及其他輔助部件等均應(yīng)基本安全可用。c）不間斷運行支持：

7、終端計算機(jī)系統(tǒng)的社保應(yīng)通過故障容錯和故障恢復(fù)等措施，為終端計算機(jī)系統(tǒng)的不間斷運行提供支持。4.1.2設(shè)備防盜防毀根據(jù)不同安全等級的不同要求，終端計算機(jī)系統(tǒng)的設(shè)備防盜防毀分為：a）設(shè)備標(biāo)記要求：終端計算機(jī)系統(tǒng)的設(shè)備應(yīng)有的明顯的無法除去的標(biāo)記，以防更換和方便查找。b）主機(jī)實體安全：終端計算機(jī)系統(tǒng)的主機(jī)應(yīng)有機(jī)箱封裝保護(hù)，防止部件損害或被盜。c）設(shè)備的防盜和自銷毀要求：終端計算機(jī)系統(tǒng)的設(shè)備應(yīng)提供擁有者可控的防盜報警功能和系統(tǒng)自銷毀功能。4.1.3設(shè)備高可靠根據(jù)特殊環(huán)境應(yīng)用要求，終端計算機(jī)系統(tǒng)的設(shè)備高可靠分為：a）防水要求：終端計算機(jī)系統(tǒng)應(yīng)具有高密封性，防止水滴進(jìn)入；b）防跌落和防震要求：終端計算機(jī)系統(tǒng)

8、應(yīng)加固保護(hù)，防止跌落和震動引起的系統(tǒng)破壞。c）抗高低溫與高低氣壓要求：終端計算機(jī)系統(tǒng)應(yīng)能適應(yīng)高低溫和高低氣壓環(huán)境；d）抗電磁輻射與干擾：終端計算機(jī)系統(tǒng)應(yīng)能抵御電磁干擾和電磁輻射對系統(tǒng)的安全威脅；4.2運行安全4.2.1系統(tǒng)安全性檢測分析根據(jù)不同安全等級的不同要求，終端計算機(jī)系統(tǒng)的安全性檢測分析分為：a）操作系統(tǒng)安全性檢測分析：應(yīng)從終端計算機(jī)操作系統(tǒng)的角度，以管理員的身份評估文件許可、文件宿主、網(wǎng)絡(luò)服務(wù)設(shè)置、賬戶設(shè)置、程序真實性以及一般的與用戶相對安全點、入侵跡象等，從而檢測和分析操作系統(tǒng)的安全性，發(fā)現(xiàn)存在的安全隱患，并提出補救措施。b）硬件系統(tǒng)安全性檢查分析：應(yīng)對支持終端計算機(jī)系統(tǒng)運行的硬件系

9、統(tǒng)進(jìn)行安全性檢測，通過掃描硬件系統(tǒng)中與系統(tǒng)運行和數(shù)據(jù)保護(hù)有關(guān)的特定安全脆弱性，分析其存在的缺陷和漏洞，提出補救措施。c）應(yīng)用程序安全性檢查分析：應(yīng)對運行在終端計算機(jī)系統(tǒng)中的應(yīng)用程序進(jìn)行安全性檢測分析，通過掃描應(yīng)用軟件中與鑒別、授權(quán)、訪問控制和系統(tǒng)完整性有關(guān)的特定的安全脆弱性，分析其存在的缺陷和漏洞，提出補救措施。d）電磁泄漏發(fā)射檢查分析：應(yīng)對運行中的終端計算機(jī)系統(tǒng)環(huán)境進(jìn)行電磁泄漏發(fā)射檢測，采用專門的檢測設(shè)備，檢查系統(tǒng)運行過程中由于電磁干擾和電磁輻射對終端計算機(jī)系統(tǒng)的安全性所造成的威脅，并提出補救措施。4.2.2安全審計4.2.2.1安全審計的響應(yīng)根據(jù)不同安全等級的不同要求，終端計算機(jī)系統(tǒng)的安全

10、審計的響應(yīng)分為：a）記審計日志：當(dāng)檢測得到可能有安全侵害事件時，將審計數(shù)據(jù)記入審計日志。b）實時報警生成：當(dāng)檢測得到可能有安全侵害事件時，生成實時報警信息。c）違例進(jìn)程終止：當(dāng)檢測得到可能有安全侵害事件時，將違例進(jìn)程終止，違例進(jìn)程可以包括但不限于服務(wù)進(jìn)程、驅(qū)動、用戶進(jìn)程。d）用戶賬戶斷開與失效：當(dāng)檢測得到可能有安全侵害事件時，將當(dāng)前的用戶賬號斷開，并使其生效。4.2.2.2安全審計的數(shù)據(jù)產(chǎn)生根據(jù)不同安全等級的不同要求，終端計算機(jī)系統(tǒng)的安全審計的數(shù)據(jù)產(chǎn)生分為：a）為下述可審計事件產(chǎn)生審計記錄：審計功能的啟動和關(guān)閉、終端計算機(jī)對用戶使用身份鑒別機(jī)制、管理員用戶和普通用戶所實施的與安全相關(guān)的操作；b

11、）對于每一個事件，其審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件類別，及其他與審計相關(guān)的信息。c）對于身份鑒別事件，審計記錄應(yīng)保護(hù)請求的來源；d）將每個可審計事件與引起該事件的用戶或進(jìn)程相關(guān)聯(lián)；e）為下述可審計事件產(chǎn)生審計記錄：將客體引入用戶地址空間（例如：打開文件、服務(wù)初始化）、其他與系統(tǒng)安全有關(guān)的事件或?qū)ｉT定義的可審計事件。f）對于客體被引入用戶地址空間的事件，審計記錄應(yīng)包含客體名及客體的安全等級。g）對機(jī)密性數(shù)據(jù)的創(chuàng)建、使用與刪除事件，審計記錄應(yīng)包含機(jī)密性數(shù)據(jù)的安全標(biāo)記。4.2.2.3安全審計分析根據(jù)不同安全等級的不同要求，終端計算機(jī)系統(tǒng)的安全審計分析分為：a）潛在侵害分析：應(yīng)

12、能用一系列規(guī)則去監(jiān)控審計事件，并根據(jù)這些規(guī)則指出SSP的潛在危害；b）基于異常檢查的描述：應(yīng)能確立用戶或檢查的質(zhì)疑度（或信譽度），該質(zhì)疑度表示該用戶或進(jìn)程的現(xiàn)行獲得與已建立的使用模式的一致性程度。當(dāng)用戶或進(jìn)程的質(zhì)疑等級超過門限條件時，SSF應(yīng)能指出將要發(fā)生對安全性的威脅；c）簡單攻擊探測：應(yīng)能檢測到對SSF實施由重大威脅的簽名事件的出現(xiàn)，并能通過對一個或多個事件的對比分析或綜合分析，預(yù)測一個攻擊的出現(xiàn)以及出現(xiàn)的事件或方式。為此，SSF應(yīng)維護(hù)支出對SSF侵害的簽名事件的內(nèi)部表示，并將檢測到的系統(tǒng)行為記錄與簽名事件進(jìn)行比較，當(dāng)發(fā)現(xiàn)兩者匹配時，支出一個對SSF的攻擊即將到來;d）復(fù)雜攻擊探測：在上述

13、簡單攻擊探測的基礎(chǔ)上，要求SSF應(yīng)能檢測到多步入侵情況，并能根據(jù)已知的事件序列模擬出完整的入侵情況，還應(yīng)支出發(fā)現(xiàn)對SSF的潛在危害的簽名事件或事件序列的時間。4.2.2.4安全審計查閱根據(jù)不同安全等級的不同要求，終端計算機(jī)系統(tǒng)的安全審計查閱分為：a）審計查閱：提供從審計記錄中讀取信息的能力，即要求SSF為授權(quán)用戶提供獲得和解釋審計信息的能力；b）受控審計查閱：審計查閱工具應(yīng)只允許授權(quán)用戶讀取審計信息，并根據(jù)某舟邏輯關(guān)系的標(biāo)準(zhǔn)提供對審計數(shù)據(jù)進(jìn)行搜索、分類、排序的能力。4.2.2.5安全審計事件選擇應(yīng)根據(jù)以下屬性選擇終端急死俺叫系統(tǒng)的可審計事件：a）客體身份、用戶身份、主體身份、主機(jī)身份、事件類型

14、；b）作為審計選擇性依據(jù)的附加屬性。4.2.2.6安全審計事件存儲根據(jù)不同安全等級的不同要求，終端計算機(jī)系統(tǒng)的安全審計事件存儲分為：a）受保護(hù)的審計蹤跡存儲：要求審計蹤跡的存儲收到應(yīng)有的保護(hù)，應(yīng)能檢測或防止對審計記錄的修改；b）審計數(shù)據(jù)的可用性確保在以為情況出現(xiàn)時，應(yīng)能檢測或防止對審計記錄的修改，以及在發(fā)生審計存儲已滿。存儲失敗或存儲收到攻擊以及意外情況出現(xiàn)時，應(yīng)采取相應(yīng)的保護(hù)措施，確保有時效性的審計記錄不被破壞。c）審計數(shù)據(jù)可能丟失情況下的措施：當(dāng)審計跟蹤超過預(yù)定的門限時，應(yīng)采取相應(yīng)的措施，進(jìn)行審計數(shù)據(jù)可能丟失情況的處理。d）防止審計數(shù)據(jù)丟失：在審計蹤跡存儲已滿或超過預(yù)定的門限時，應(yīng)采取相應(yīng)

15、措施，防止審計數(shù)據(jù)丟失。4.2.3信任鏈應(yīng)通過在終端計算機(jī)系統(tǒng)啟動過程中提供的信任鏈支持，確保終端計算機(jī)系統(tǒng)的運行處于真實可信狀態(tài)。根據(jù)不同安全等級的不同要求，信任鏈功能分為：a）靜態(tài)信任鏈建立：利用終端計算機(jī)系統(tǒng)上的度量根，在系統(tǒng)啟動過程中對BIOS、MBR、OS部件模塊進(jìn)行完整性度量。每個部件模塊在假裝前應(yīng)確保其真實性和完整性。b）靜態(tài)信任鏈中操作系統(tǒng)（OS）的完整性度量基準(zhǔn)值接受國家專門機(jī)構(gòu)管理，支持在線或離線校驗。c）動態(tài)信任鏈建立：利用終端計算機(jī)系統(tǒng)上的胴體度量根，對操作系統(tǒng)上應(yīng)用程序進(jìn)行實時的完整性度量，確保每個應(yīng)用晨曦在啟動和運行中的真實性和完整性；d）動態(tài)信任鏈中應(yīng)用晨曦的完整

16、性度量基準(zhǔn)值接受國家專門機(jī)構(gòu)管理，支持在線或離線校驗。e）信任鏈模塊修復(fù)：支持在被授權(quán)的情況下，對信任鏈建立過程中出現(xiàn)的不可信模塊進(jìn)行實時修復(fù)。f）信任鏈模塊升級：支持在被授權(quán)的情況下，對信任鏈建立過程中涉及的各個部件的模塊進(jìn)行升級。每個升級模塊均應(yīng)確保其真實性和完整性。4.2.4運行時防護(hù)4.2.4.1惡意代碼防護(hù)惡意代碼是對用戶使用終端計算機(jī)系統(tǒng)造成破壞或影響的程序代碼，比如：病毒、蠕蟲、特洛伊木馬和惡意軟件等。根據(jù)不同安全等級的不同要求，終端計算機(jī)系統(tǒng)的惡意代碼防護(hù)分為：a）外來借助使用控制：樣控制各種外來借助的使用，防止惡意代碼通過介質(zhì)傳播；b）特征碼掃描：對文件系統(tǒng)和內(nèi)存采用特征碼掃

17、描，并根據(jù)掃描結(jié)果采取相應(yīng)的措施，清除或隔離惡意代碼。惡意代碼特征庫應(yīng)及時更新；c）基于CPU的數(shù)據(jù)執(zhí)行保護(hù)：防止緩沖區(qū)溢出，組織從受保護(hù)的內(nèi)存位置執(zhí)行惡意代碼；d）進(jìn)行隔離：采用進(jìn)程邏輯隔離或物理隔離的方法，保護(hù)進(jìn)程免受惡意代碼破壞；e）進(jìn)程行為分析：基于專家系統(tǒng)，對進(jìn)程行為的危險程度進(jìn)行等級評估，根據(jù)評估結(jié)果，采取相應(yīng)的防護(hù)措施。4.2.4.2網(wǎng)絡(luò)攻擊防護(hù)終端計算機(jī)系統(tǒng)應(yīng)采取必要措施監(jiān)控主機(jī)與外部網(wǎng)絡(luò)的數(shù)據(jù)通信，確保系統(tǒng)免受外部網(wǎng)絡(luò)侵害或惡意遠(yuǎn)程控制。應(yīng)該采取的措施包括：a）防火墻功能： -IP包過濾：應(yīng)能夠支持基于源地址、目的地址的訪問控制，將不符合預(yù)先設(shè)定策略的數(shù)據(jù)包丟棄；-網(wǎng)絡(luò)協(xié)議分

18、析：應(yīng)能偶支持基于網(wǎng)絡(luò)協(xié)議類型的訪問控制；-應(yīng)用程序監(jiān)控：應(yīng)能夠設(shè)置應(yīng)用程序?qū)W(wǎng)絡(luò)的訪問控制規(guī)則，包括對端口、協(xié)議訪問方向的控制；-內(nèi)容過濾：應(yīng)能對網(wǎng)頁內(nèi)容進(jìn)行基于關(guān)鍵字匹配的過濾。b）入侵檢測功能： -實時阻斷：及時阻斷嚴(yán)重的碗里入侵行為；-文件監(jiān)控：防止用戶對保護(hù)文件的非法訪問與誤操作；-注冊表監(jiān)控：防止用戶對注冊表的非法訪問與誤操作；-事件監(jiān)測：及時監(jiān)測到主機(jī)異常事件；-實時流量分析:對主機(jī)網(wǎng)絡(luò)流量進(jìn)行實時監(jiān)測與分析，并據(jù)此判斷是否有入侵事件發(fā)生。4.2.4.3網(wǎng)絡(luò)接入控制終端計算機(jī)系統(tǒng)應(yīng)能對所接入網(wǎng)絡(luò)進(jìn)行可信度評價，并根據(jù)不同可信評價等級采取不同的的安全接入策略。4.2.5備份與故障恢

19、復(fù)為了實現(xiàn)確定的恢復(fù)功能，應(yīng)在終端計算機(jī)系統(tǒng)正常運行時定期的或按某種條件實施備份。根據(jù)不同安全等級的不同要求，備份與故障恢復(fù)分為：a）用戶數(shù)據(jù)備份與恢復(fù)：應(yīng)提供用戶有選擇的備份重要數(shù)據(jù)的功能，當(dāng)由于某種原因引起終端計算機(jī)系統(tǒng)中用戶數(shù)據(jù)丟失或破壞時，應(yīng)能提供用戶數(shù)據(jù)恢復(fù)的功能；b）增量信心備份與恢復(fù)：應(yīng)提供由終端計算機(jī)系統(tǒng)定時對新增信息進(jìn)行備份的功能，當(dāng)由于某種原因引起終端計算機(jī)系統(tǒng)中的某些信息丟失或破壞時，應(yīng)提供用戶增量信息備份所保留的信息進(jìn)行信息恢復(fù)的功能。c）局部系統(tǒng)備份與恢復(fù)：應(yīng)提供定期對終端計算機(jī)系統(tǒng)的某些重要的局部系統(tǒng)的運行現(xiàn)場進(jìn)行定期備份的功能；當(dāng)由于某種原因引起終端計算機(jī)系統(tǒng)某一

20、局部發(fā)生故障時，應(yīng)提供用戶按局部系統(tǒng)備份所保留的現(xiàn)場信息進(jìn)行局部系統(tǒng)恢復(fù)的功能。d）全系統(tǒng)備份與恢復(fù)：應(yīng)提供定期對終端計算機(jī)系統(tǒng)全系統(tǒng)的運行現(xiàn)場進(jìn)行備份的功能；當(dāng)由于某種原因引起終端計算機(jī)系統(tǒng)全系統(tǒng)發(fā)生故障時，應(yīng)提供用戶按全系統(tǒng)備份所保留的現(xiàn)場信息進(jìn)行全系統(tǒng)恢復(fù)的功能；e）備份保護(hù)措施：數(shù)據(jù)在備份、存儲和恢復(fù)過程中應(yīng)有安全保護(hù)措施，并應(yīng)設(shè)置不被用戶操作系統(tǒng)管理的系統(tǒng)來實現(xiàn)系統(tǒng)數(shù)據(jù)的備份與恢復(fù)功能，系統(tǒng)備份數(shù)據(jù)是用戶操作系統(tǒng)不可訪問的。4.2.6可信時間戳終端計算機(jī)系統(tǒng)應(yīng)為其運行提供可靠的始終和時鐘同步系統(tǒng)，并按GB/T 202712006的要求提供可信時間戳服務(wù)。4.2.7I/O接口配置終端計

21、算機(jī)系統(tǒng)應(yīng)根據(jù)不同的環(huán)境要求，配置串口、并口、PCI、USB、網(wǎng)卡、硬盤等各類I/O接口和設(shè)備的啟用/禁用等狀態(tài)：a）用戶自主配置：應(yīng)支持用戶基于BIOS和操作系統(tǒng)提供的功能自主配置各類接口的狀態(tài)；b）集中管理配置：終端計算機(jī)系統(tǒng)應(yīng)接受所接入網(wǎng)絡(luò)的接口配置管理，并確保只有授權(quán)用戶才能修改接口配置；c）自適應(yīng)配置：終端計算機(jī)系統(tǒng)應(yīng)能根據(jù)網(wǎng)絡(luò)環(huán)境安全狀況，基于安全策略，自主配置接口狀態(tài)，以確保系統(tǒng)自身安全。4.3數(shù)據(jù)安全4.3.1密碼支持4.3.1.1密碼算法要求應(yīng)采用國家有關(guān)主管部門批準(zhǔn)的密碼算法及使用指南來實現(xiàn)終端計算機(jī)系統(tǒng)密碼支持功能。密碼算法種類和范圍包括：對稱密碼算法、公鑰密碼算法、雜湊

22、算法和隨機(jī)數(shù)生成算法等。根據(jù)不同安全等級的不同要求，密碼算法實現(xiàn)分為：a）密碼算法采用軟件實現(xiàn)；b）密碼算法采用硬件實現(xiàn)。4.3.1.2密碼操作應(yīng)按照密碼算法要求實現(xiàn)密碼操作，并至少支持如下操作：秘鑰生成操作、數(shù)據(jù)加密和解密操作、數(shù)據(jù)簽名生成和驗證操作、數(shù)據(jù)完整性度量生成和驗證操作、消息認(rèn)證碼生成與驗證操作、隨機(jī)數(shù)生成操作。4.3.1.3秘鑰管理應(yīng)對密碼操作所使用的秘鑰進(jìn)行全生命周期管理，包括秘鑰生成、秘鑰交換、秘鑰存取、秘鑰廢除。秘鑰管理應(yīng)符合國家秘鑰管理標(biāo)準(zhǔn)要求。（GB/T 17901.1-1999）4.3.2身份標(biāo)識與鑒別4.3.2.1系統(tǒng)標(biāo)識終端計算機(jī)系統(tǒng)應(yīng)在用戶使用之前對系統(tǒng)進(jìn)行身份

23、標(biāo)識：a）唯一性標(biāo)識：應(yīng)通過唯一綁定的可信硬件模塊產(chǎn)生的秘鑰來標(biāo)識系統(tǒng)身份；系統(tǒng)身份標(biāo)識應(yīng)與審計相關(guān)聯(lián)；b）標(biāo)識可信性：身份標(biāo)識可信性應(yīng)通過權(quán)威機(jī)構(gòu)頒發(fā)證書來實現(xiàn)；c）隱秘性：需要時應(yīng)使系統(tǒng)身份標(biāo)識在某些特定條件下具有不可關(guān)聯(lián)性?？梢曰诘谌綑?quán)威機(jī)構(gòu)頒發(fā)特定證書實現(xiàn)系統(tǒng)身份標(biāo)識的隱秘性。d）標(biāo)識信息管理：應(yīng)對終端計算機(jī)系統(tǒng)身份標(biāo)識信息進(jìn)行管理、維護(hù)，確保其不被非授權(quán)的訪問、修改或刪除。4.3.2.2系統(tǒng)鑒別應(yīng)對請求訪問的終端計算機(jī)系統(tǒng)進(jìn)行身份鑒別，鑒別時請求方應(yīng)提供完整的度量值報告4.3.2.3用戶標(biāo)識應(yīng)對注冊的終端計算機(jī)系統(tǒng)的用戶進(jìn)行標(biāo)識。根據(jù)不同安全等級的不同要求，用戶標(biāo)識分為：a）基本

24、標(biāo)識：應(yīng)在SSF實施所要求的動作之前，先對提出該動作得要求的用戶進(jìn)行標(biāo)識；b）唯一性標(biāo)識：應(yīng)確保所標(biāo)識用戶在信息系統(tǒng)生命周期內(nèi)的唯一性，并將用戶標(biāo)識與審計相關(guān)聯(lián)；c）標(biāo)識信息管理：應(yīng)對用戶標(biāo)識信息進(jìn)行管理、維護(hù)，確保其不被非授權(quán)地訪問、修改或刪除。4.3.2.4用戶鑒別應(yīng)對終端計算機(jī)系統(tǒng)用戶進(jìn)行身份真實性鑒別。通過對用戶所提供的“鑒別信息”的驗證，證明該用戶確有所聲稱的某種身份，這里“鑒別信息”可以是用戶口令、數(shù)字證書、IC卡、指紋、虹膜等。根據(jù)不同安全等級的不同要求，用戶鑒別分為：a）基本鑒別：應(yīng)在SSF實施所要求的動作之前，先對提出該動作要求的用戶成功的進(jìn)行鑒別。b）不可偽造鑒別：應(yīng)檢測并

25、防止使用偽造或復(fù)制的鑒別信息。一方面，要求SSF應(yīng)檢測或防止由任何別的用戶偽造的鑒別數(shù)據(jù)，另一方面，要求SSF應(yīng)檢測或防止當(dāng)前用戶從任何其他用戶處復(fù)制的鑒別數(shù)據(jù)的使用。c）一次性使用鑒別：應(yīng)能提供一次性使用鑒別數(shù)據(jù)操作的鑒別機(jī)制，即SSF應(yīng)防止與已標(biāo)識過的鑒別機(jī)制有關(guān)的鑒別數(shù)據(jù)的重用。d）多機(jī)制鑒別：應(yīng)能提供不同的鑒別機(jī)制，用于鑒別特定時間的用戶身份，并且SSF應(yīng)根據(jù)所描述的多種鑒別機(jī)制如何提供鑒別的規(guī)則，來鑒別任何用戶所聲稱的身份；e）重新鑒別：應(yīng)有能力規(guī)定需要重新鑒別用戶的事件，即SSF應(yīng)在需要重新鑒別的條件表所指示的條件下，重新鑒別用戶。例如,用戶操作超時被斷開后，重新連接時需要進(jìn)行鑒別

26、。4.3.2.5用戶鑒別失敗處理要求SSF為不成功的鑒別嘗試次數(shù)（包括嘗試次數(shù)和時間的閾值（yu值，界限的意思）定義一個值，以及明確規(guī)定達(dá)到該值時所應(yīng)采取的動作。鑒別失敗的處理應(yīng)包括檢測出現(xiàn)相關(guān)的不成功鑒別嘗試的次數(shù)與所規(guī)定的數(shù)目相同的情況，并進(jìn)行預(yù)先定義的處理。應(yīng)通過對不成功的鑒別嘗試次數(shù)（包括嘗試次數(shù)和時間的閾值）的值進(jìn)行預(yù)先定義，以及明確規(guī)定達(dá)到該值時所應(yīng)采取的動作來實現(xiàn)鑒別失敗的處理。4.3.2.6用戶-主體綁定在SSC之內(nèi)，對一個已標(biāo)識和鑒別的用戶，為了要求SSF完成某個任務(wù)，需要激活另一個主體（如進(jìn)程），這時，要求通過用戶-主體綁定將該用戶與該主體相關(guān)聯(lián)，從而將用戶的身份與該用戶的

27、所有可審計行為相關(guān)聯(lián)。4.3.2.7隱秘應(yīng)為用戶提供其省份不被其他用戶發(fā)現(xiàn)或濫用的保護(hù)，可分為以下四種情況：a）匿名：用戶在其使用資源或服務(wù)時，不暴露身份。要求SSF應(yīng)確保用戶和/或主體集，無法確定與主體和/或操作相關(guān)聯(lián)的實際用戶，并在對主體提供服務(wù)時不詢問實際的用戶名；b）假名：用戶在使用資源或設(shè)備時，不暴露其真實名稱，但仍能對該次使用負(fù)責(zé)。要求SSF應(yīng)確保用戶和/或主體集，不能確定與主體和/或操作相關(guān)聯(lián)的真實的用戶名，并要求SSF應(yīng)恩能給一個主體提供多個假名，以及驗證所使用的假名是否符合假名的度量。c）不可關(guān)聯(lián)性：一個用戶可以多次使用資源和服務(wù)，但任何人都不能將這些使用聯(lián)系在一起。具體講，

28、要求SSF應(yīng)確保用戶和/或主體不能確定系統(tǒng)中的某些操作是否由同一用戶引起。d）不可觀察性：用戶在使用資源和服務(wù)時，其他人，特別是第三方不能觀察到該資源和服務(wù)正在被使用。要求SSF應(yīng)確保用戶和/或主體，不應(yīng)觀察到由受保護(hù)的用戶和/或主體對客體所進(jìn)行的操作?？赏ㄟ^將不可觀察性信息分配給SSF的不同部分等方法實現(xiàn)。4.3.3自主訪問控制4.3.3.1訪問控制策略應(yīng)按確定的自主訪問控制安全策略進(jìn)行設(shè)計，實現(xiàn)對策略控制下的主體與客體間操作的控制?？梢杂卸鄠€自主訪問控制安全策略，但他們應(yīng)獨立命名，且不應(yīng)相互沖突。常用的自主訪問控制策略包括：訪問控制表訪問控制、目錄表訪問控制、權(quán)能表訪問控制等。4.3.3.

29、2訪問控制功能應(yīng)明確指出采用一條命名的訪問控制策略所實現(xiàn)的特定功能，說明策略的使用和特征，以及該策略的控制范圍。無論采用何種自主訪問控制策略，應(yīng)有能力提供：-在安全屬性或命名的安全屬性組的客體上，執(zhí)行訪問控制策略。-在基于安全屬性的允許主體對客體訪問的規(guī)則的基礎(chǔ)上，允許主體對客體的訪問。-在基于安全屬性的拒絕主體對客體訪問的規(guī)則的基礎(chǔ)上，拒絕主體對客體的訪問。4.3.3.3訪問控制范圍根據(jù)不同安全等級的不同要求，自主訪問控制的覆蓋范圍分為：a）子集訪問控制：要求美國確定的自主訪問控制，SSF 應(yīng)覆蓋由SSOTCS所定義的主體、客體及其操作之間的操作。b）完全訪問控制：要求美國確定的自主訪問控制

30、，SSF 應(yīng)覆蓋終端計算機(jī)系統(tǒng)中所有的主體、客體及其之間的操作，即要求SSF應(yīng)確保SSC內(nèi)的任意一個主體和任意一個客體之間的所有操作將至少被一個確定的訪問控制策略覆蓋。4.3.3.4訪問控制粒度根據(jù)不同安全等級的不同要求，自主訪問控制的粒度分為：a）主體為用戶組/用戶級，客體為文件級；b）主體為用戶級，客體為文件級；4.3.4標(biāo)記4.3.4.1主體標(biāo)記主體是指主動的實體，是SSC內(nèi)發(fā)起的操作的實體。主體包括人，進(jìn)程和外部設(shè)備等。應(yīng)為主體分配標(biāo)記，這些標(biāo)記是等級分類和非等級類別的組合，是實施強(qiáng)制訪問控制的依據(jù)。4.3.4.1客體標(biāo)記客體是被動的實體，是SSC內(nèi)被主體訪問的實體?？腕w包含或者接收主

31、體關(guān)心的信息?？腕w通常包括文件、設(shè)備、狀態(tài)信息等。應(yīng)為客體指定敏感標(biāo)記，這些敏感標(biāo)記是等級分類和非等級類別的組合，是實施強(qiáng)制訪問控制的依據(jù)。4.3.5強(qiáng)制訪問控制4.3.5.1訪問控制策略強(qiáng)制訪問控制策略應(yīng)包括策略控制下的主體、客體，及由策略覆蓋的被控制的主體與客體間的操作?？梢杂卸鄠€訪問控制安全策略，但他們應(yīng)獨立命名，且不應(yīng)相互沖突。4.3.5.2訪問控制功能應(yīng)明確指出采用一條命名的強(qiáng)制訪問控制策略所實現(xiàn)的特定功能。應(yīng)有能力提供：-在標(biāo)記或命名的標(biāo)記組的客體上，執(zhí)行訪問控制策略。-按受控主體和受控客體之間的允許訪問規(guī)則，覺得允許受控主體對受控客體執(zhí)行受控操作；-按受控主體和受控客體之間的拒絕

32、訪問規(guī)則，覺得拒絕受控主體對受控客體執(zhí)行受控操作；4.3.5.3訪問控制范圍根據(jù)不同安全等級的不同要求，強(qiáng)制訪問控制的覆蓋范圍分為：a）子集訪問控制：要求美國確定的強(qiáng)制訪問控制，應(yīng)覆蓋由策略所定義的主體、客體及其之間的操作。b）完全訪問控制：要求美國確定的強(qiáng)制訪問控制，應(yīng)覆蓋終端計算機(jī)系統(tǒng)中所有的主體、客體及其之間的操作，即要求終端計算機(jī)系統(tǒng)中的任意一個主體和任意一個客體之間的所有操作將至少被一個確定的訪問控制策略覆蓋。4.3.5.4訪問控制粒度根據(jù)不同安全等級的不同要求，強(qiáng)制訪問控制的粒度分為：a）主體為用戶組/用戶級，客體為文件級；b）主體為用戶級，客體為文件級；4.3.6數(shù)據(jù)保密性保護(hù)4

33、.3.6.1數(shù)據(jù)存儲保密性應(yīng)對存儲在SSC內(nèi)的重要用戶數(shù)據(jù)進(jìn)行保密性保護(hù)，確保除合法持有秘鑰外，其余任何用戶不應(yīng)獲得該數(shù)據(jù)。a）數(shù)據(jù)加密：應(yīng)確保加密后的數(shù)據(jù)由秘鑰的合法持有者解密；b）數(shù)據(jù)綁定：基于存儲根實現(xiàn)對數(shù)據(jù)的保密存儲，應(yīng)確保數(shù)據(jù)由秘鑰的合法持有者在特定終端計算機(jī)系統(tǒng)中解密；c）數(shù)據(jù)密封：基于存儲根實現(xiàn)對數(shù)據(jù)的保密存儲，應(yīng)確保數(shù)據(jù)由秘鑰的合法持有者在特定終端計算機(jī)系統(tǒng)的特定狀態(tài)下解密；4.3.6.2 數(shù)據(jù)傳輸保密性對在不同SSF之間傳輸?shù)挠脩魯?shù)據(jù)，應(yīng)根據(jù)不同數(shù)據(jù)類型的不同保密性要求，進(jìn)行不同程度的保密性保護(hù)，確保數(shù)據(jù)在傳輸過程中不被泄露和竊取。4.3.6.3客體安全重用在對資源進(jìn)行行動態(tài)

34、管理的系統(tǒng)中，客體資源（寄存器、內(nèi)存、磁盤等記錄媒介）中的剩余信息不應(yīng)引起信息的泄露。根據(jù)不同安全等級對用戶數(shù)據(jù)保密性保護(hù)的不同要求，客體安全重用分為：a）子集信息保護(hù)：有SSOTCS安全控制范圍之內(nèi)的某個子集的客體資源，在將其釋放后再分配給某一用戶或代表該用戶運行的進(jìn)程時，應(yīng)不會泄露該客體中的原有信息；b）完全信息保護(hù)：有SSOTCS安全控制范圍之內(nèi)的所有客體資源，在將其釋放后再分配給某一用戶或代表該用戶運行的進(jìn)程時，應(yīng)不會泄露該客體中的原有信息；c）特殊信息保護(hù)：在完全信息保護(hù)的基礎(chǔ)上，對于某些需要特別保護(hù)的信息，應(yīng)采用專門的方法對客體資源中的殘留信息做徹底清除，如對剩磁的清除等。4.3.

35、7數(shù)據(jù)完整性保護(hù)4.3.7.1存儲數(shù)據(jù)的完整性應(yīng)對存儲在SSC內(nèi)的用戶數(shù)據(jù)進(jìn)行完整性保護(hù)，包括：a）完整性檢測：要求SSF應(yīng)對基于用戶屬性的所有客體，對存儲在SSC內(nèi)的用戶數(shù)據(jù)進(jìn)行完整性檢測。b）完整性檢測和恢復(fù)：要求SSF應(yīng)對基于用戶屬性的所有客體，對存儲在SSC內(nèi)的用戶數(shù)據(jù)進(jìn)行完整性檢測，并且當(dāng)檢測到完整性錯誤時，SSF應(yīng)采取必要的恢復(fù)措施。4.3.7.2傳輸數(shù)據(jù)的完整性當(dāng)用戶數(shù)據(jù)在SSF和其他可信信息系統(tǒng)間傳輸時應(yīng)提供完整性保護(hù)，包括：a）完整性檢測：要求對被傳輸?shù)挠脩魯?shù)據(jù)進(jìn)行檢測，及時發(fā)現(xiàn)以某種方式傳送貨接收的用戶數(shù)據(jù)被篡改、刪除、插入等情況發(fā)生。b）數(shù)據(jù)交換恢復(fù)：由接收者SSOTCS

36、借助于源可信信息系統(tǒng)提供的信息，或由接受者SSCTCS自己無需來自源可信信息系統(tǒng)的任何幫助，能恢復(fù)被破壞的數(shù)據(jù)為原始的用戶數(shù)據(jù)。4.3.7.3處理數(shù)據(jù)的完整性回退：對終端計算機(jī)系統(tǒng)中處理中的數(shù)據(jù)，應(yīng)通過“回退”進(jìn)行完整性保護(hù)，即要求SSF應(yīng)執(zhí)行訪問控制策略，以允許對所定義的操作序列進(jìn)行回退。4.3.8信任服務(wù)信任服務(wù)是指終端計算機(jī)系統(tǒng)運行時對自身進(jìn)行完整性度量，并將度量值向系統(tǒng)用戶或系統(tǒng)外部實體進(jìn)行可信報告的服務(wù)，即由報告根對度量值進(jìn)行數(shù)據(jù)簽名后，呈現(xiàn)給驗證者。4.3.8.1完整性度量終端計算機(jī)系統(tǒng)中的硬件、固件和軟件等系統(tǒng)模塊在運行之前應(yīng)對其進(jìn)行完整性度量，作為該模塊的可信性判斷依據(jù)。應(yīng)通過

37、適當(dāng)組合各模塊的度量值，作為系統(tǒng)信任報告或系統(tǒng)特征綁定的依據(jù)。4.3.8.2完整性度量值存儲終端計算機(jī)系統(tǒng)應(yīng)專門設(shè)置一組受保護(hù)的存儲區(qū)域，用于存儲被度量模塊的完整性度量值。所有度量值存取訪問應(yīng)受權(quán)限控制。4.3.8.3完整性度量值報告報告完整性度量值時，熊報告根應(yīng)對完整性度量值進(jìn)行數(shù)字簽名，報告接收方通過驗證簽名有效性以及校驗完整性度量值來判斷該系統(tǒng)的信任性。4.3.9可信路徑用戶與SSF之間的可信路徑應(yīng)滿足：a）SSF應(yīng)在SSF和本地或遠(yuǎn)程用戶之間提供一個通信路徑，通信路徑之間彼此邏輯獨立，提供真實 的端點標(biāo)識，并保護(hù)通信數(shù)據(jù)免遭修改和泄露。b）SSF應(yīng)允許SSF、本地貨遠(yuǎn)程用戶通過可信路徑

38、發(fā)起通信。c）SSF應(yīng)對原發(fā)用戶的鑒別、內(nèi)部命令、所有用戶命令和SSF響應(yīng)使用可信路徑。5終端計算機(jī)系統(tǒng)安全激素分等級要求5.1第一級：用戶自主保護(hù)級5.1.1安全功能要求5.1.1.1物理系統(tǒng)5.1.1.1.1設(shè)備安全可用應(yīng)按4.1.1中基本運行支持的要求，設(shè)計和實現(xiàn)終端計算機(jī)系統(tǒng)設(shè)備安全可用的功能。5.1.1.1.2設(shè)備防盜防毀 應(yīng)按4.1.2中設(shè)備標(biāo)記的要求，設(shè)計和實現(xiàn)終端計算機(jī)系統(tǒng)設(shè)備防盜防毀的功能。5.1.1.2操作系統(tǒng)應(yīng)按GB/T 202722006中4.1.1的要求，從以下方面來設(shè)計、實現(xiàn)或選購用戶自主保護(hù)級終端計算機(jī)系統(tǒng)所需要的操作系統(tǒng)。a）用戶身份標(biāo)識與鑒別：根據(jù)GB/T 2

39、02722006中4.1.1.1描述，實現(xiàn)操作系統(tǒng)用戶標(biāo)識、用戶鑒別、用戶鑒別失敗處理和用戶-主體綁定的功能；b）自主訪問控制：根據(jù)GB/T 202722006中4.1.1.2的描述，對操作系統(tǒng)的訪問進(jìn)行控制，允許合法操作，不允許非法操作。c）用戶數(shù)據(jù)完整性：根據(jù)GB/T 202722006中4.1.1.7的描述，對操作系統(tǒng)內(nèi)部存儲、處理和傳輸?shù)挠脩魯?shù)據(jù)應(yīng)提供保證用戶數(shù)據(jù)完整性的功能。5.1.1.3可信計算平臺5.1.1.3.1密碼支持應(yīng)以4.3.1的描述，按以下要求，設(shè)計與實現(xiàn)自主保護(hù)級終端計算機(jī)系統(tǒng)密碼支持功能：a）密碼算法：應(yīng)采用國家有關(guān)部門批準(zhǔn)的密碼算法，利用軟件實現(xiàn)相關(guān)密碼算法和密碼

40、操作；b）秘鑰管理：所有秘鑰應(yīng)受存儲根保護(hù)。5.1.1.3.2信任鏈應(yīng)按4.2.3中信任鏈建立的要求，設(shè)計與實現(xiàn)終端計算機(jī)系統(tǒng)的靜態(tài)信任鏈功能。靜態(tài)信任鏈所建立的度量值應(yīng)存儲在一個手保護(hù)的區(qū)域中。5.1.1.3.3運行時防護(hù)應(yīng)以4.2.4的運行防護(hù)的要求，設(shè)計與實現(xiàn)如下功能：惡意代碼防護(hù)：根據(jù)4.2.4.1的描述，實現(xiàn)外來介質(zhì)使用控制、特征碼掃描的功能。5.1.1.3.4系統(tǒng)安全性檢測分析應(yīng)以4.2.1終端計算機(jī)系統(tǒng)安全性檢測分析的要求，運用有關(guān)工具，檢測所選用或開發(fā)的操作系統(tǒng)，并通過對檢測結(jié)果的分析，按用戶自主保護(hù)級的要求，對存在的安全問題加以改進(jìn)。5.1.1.3.5備份與故障恢復(fù)應(yīng)以4.2

41、.5中用戶數(shù)據(jù)集備份與恢復(fù)、增量信息備份與恢復(fù)的要求，設(shè)計與實現(xiàn)終端計算機(jī)系統(tǒng)的備份與故障恢復(fù)功能。5.1.1.3.6I/O接口配置應(yīng)以4.2.7中用戶自主配置的要求，設(shè)計和實現(xiàn)I/O接口配置功能。5.1.1.3應(yīng)用系統(tǒng)應(yīng)按GB/T 202712006中6.1.3的要求，從以下方面來設(shè)計、實現(xiàn)或選購用戶子阿虎保護(hù)級終端計算機(jī)系統(tǒng)所需要的應(yīng)用系統(tǒng)：a）身份標(biāo)識與鑒別：根據(jù)GB/T 202712006中6.1.3.1描述，實現(xiàn)用戶標(biāo)識、用戶鑒別、用戶鑒別失敗處理和用戶-主體綁定的功能；b）自主訪問控制：根據(jù)GB/T 202712006中6.1.3.2的描述，對應(yīng)用系統(tǒng)相關(guān)資源的訪問進(jìn)行控制，允許合

42、法操作，不允許非法操作。c）數(shù)據(jù)完整性保護(hù)：根據(jù)GB/T 202712006中6.1.3.3的描述，對操作系統(tǒng)內(nèi)部存儲、處理和傳輸?shù)挠脩魯?shù)據(jù)應(yīng)提供保證用戶數(shù)據(jù)完整性的功能。5.1.2安全保證要求5.1.2.1SSOTCS自身安全保護(hù)a）可信根安全保護(hù)：應(yīng)按以下要求實現(xiàn)終端計算機(jī)系統(tǒng)的可信根：-應(yīng)保護(hù)存儲根不被泄露和篡改；-應(yīng)對度量根采取物理保護(hù)措施。b）SSF物理安全保護(hù)：按GB/T 202712006中6.1.4.1的要求，實現(xiàn)終端計算機(jī)系統(tǒng)用戶自主保護(hù)級SSF的物理安全保護(hù)。c）SSF運行安全保護(hù)：按GB/T 202712006中6.1.4.2的要求，實現(xiàn)終端計算機(jī)系統(tǒng)用戶自主保護(hù)級SSF

43、的運行安全保護(hù)。d）SSF數(shù)據(jù)安全保護(hù)：按GB/T 202712006中6.1.4.3的要求，實現(xiàn)終端計算機(jī)系統(tǒng)用戶自主保護(hù)級SSF的數(shù)據(jù)安全保護(hù)。e）資源利用：按GB/T 202712006中6.1.4.4的要求，實現(xiàn)終端計算機(jī)系統(tǒng)用戶自主保護(hù)級的資源利用。f）SSOTCS訪問控制：按GB/T 202712006中6.1.4.5的要求，實現(xiàn)終端計算機(jī)系統(tǒng)用戶自主保護(hù)級的SSOTCS訪問控制。5.1.2.2SSOTCS設(shè)計和實現(xiàn)a）配置管理：按GB/T 202712006中6.1.5.1的要求，實現(xiàn)終端計算機(jī)系統(tǒng)用戶自主保護(hù)級的配置管理；b）分發(fā)和操作：按GB/T 202712006中6.1.

44、5.2的要求，實現(xiàn)終端計算機(jī)系統(tǒng)用戶自主保護(hù)級的分發(fā)和操作；c）開發(fā)：按GB/T 202712006中6.1.5.3的要求，實現(xiàn)終端計算機(jī)系統(tǒng)用戶自主保護(hù)級的開發(fā)；d）指導(dǎo)性文檔：按GB/T 202712006中6.1.5.4的要求，實現(xiàn)終端計算機(jī)系統(tǒng)用戶自主保護(hù)級的指導(dǎo)性文檔；e）生命周期支持：按GB/T 202712006中6.1.5.5的要求，實現(xiàn)終端計算機(jī)系統(tǒng)用戶自主保護(hù)級的生命周期支持；f）測試：按GB/T 202712006中6.1.5.6的要求，實現(xiàn)終端計算機(jī)系統(tǒng)用戶自主保護(hù)級的測試。5.1.2.3SSOTCS管理按GB/T 202712006 中6.1.6的要求，實現(xiàn)終端計算機(jī)

45、系統(tǒng)洪湖自主保護(hù)級的SSOTCS安全管理。5.2第二級：系統(tǒng)審計保護(hù)級5.2.1安全功能要求5.2.1.1物理系統(tǒng)5.2.1.1.1設(shè)備安全可用應(yīng)按4.1.1中基本運行支持的要求，設(shè)計和實現(xiàn)終端計算機(jī)系統(tǒng)設(shè)備安全可用的功能。5.2.1.1.2設(shè)備防盜防毀 應(yīng)按4.1.2中設(shè)備標(biāo)記要求和主機(jī)實體安全的要求，設(shè)計和實現(xiàn)終端計算機(jī)系統(tǒng)設(shè)備防盜防毀的功能。5.2.1.2操作系統(tǒng)應(yīng)按GB/T 202722006中4.2.1的要求，從以下方面來設(shè)計、實現(xiàn)或選購系統(tǒng)審計保護(hù)級終端計算機(jī)系統(tǒng)所需要的操作系統(tǒng)。a）身份鑒別：根據(jù)GB/T 202722006中4.1.1.1描述，實現(xiàn)操作系統(tǒng)用戶標(biāo)識、用戶鑒別、用

46、戶鑒別失敗處理和用戶-主體綁定的功能；b）自主訪問控制：根據(jù)GB/T 202722006中4.1.1.2的描述，對操作系統(tǒng)的訪問進(jìn)行控制，允許合法操作，不允許非法操作；c）安全審計：根據(jù)GB/T 202722006中4.1.1.3的描述，提供操作系統(tǒng)安全審計功能；d）用戶數(shù)據(jù)保密性：根據(jù)GB/T 202722006中4.1.1.4的描述，設(shè)計和實現(xiàn)操作系統(tǒng)的用戶數(shù)據(jù)保密性保護(hù)功能；e）用戶數(shù)據(jù)完整性：根據(jù)GB/T 202722006中4.1.1.5的描述，對操作系統(tǒng)內(nèi)部存儲、處理和傳輸?shù)挠脩魯?shù)據(jù)應(yīng)提供保證用戶數(shù)據(jù)完整性的功能。5.2.1.3可信計算平臺5.2.1.3.1密碼支持應(yīng)以4.3.1的

47、描述，按以下要求，設(shè)計與實現(xiàn)安全標(biāo)記級終端計算機(jī)系統(tǒng)密碼支持功能：a）密碼算法：應(yīng)采用國家有關(guān)部門批準(zhǔn)的密碼算法，應(yīng)支持密碼算法和密碼操作由硬件實現(xiàn)；b）秘鑰管理：所有秘鑰應(yīng)受存儲根保護(hù)，存儲根本身應(yīng)由可信硬件模塊保護(hù)。5.2.1.3.2信任鏈應(yīng)按4.2.3中信任鏈建立的要求，基于可信硬件模塊設(shè)計和實現(xiàn)終端計算機(jī)系統(tǒng)的靜態(tài)信任鏈功能。5.2.1.3.3運行時防護(hù)應(yīng)按4.2.4的運行防護(hù)的要求，設(shè)計與實現(xiàn)如下功能：a）惡意代碼防護(hù)：根據(jù)4.2.4.1的描述，實現(xiàn)外來介質(zhì)使用控制、特征碼掃描的功能；b）網(wǎng)絡(luò)攻擊防護(hù)：根據(jù)4.2.4.2的描述，實現(xiàn)IP過濾、網(wǎng)絡(luò)協(xié)議分析、應(yīng)用程序監(jiān)控、內(nèi)容過濾的防火

48、墻的功能。5.2.1.3.4系統(tǒng)安全性檢測分析應(yīng)以4.2.1終端計算機(jī)系統(tǒng)安全性檢測分析的要求，運用有關(guān)工具，檢測所選用或開發(fā)的操作系統(tǒng)，并通過對檢測結(jié)果的分析，按用戶自主保護(hù)級的要求，對存在的安全問題加以改進(jìn)。5.2.1.3.5信任服務(wù)應(yīng)據(jù)4.3.8的描述及下要求，設(shè)計實現(xiàn)可信計算平臺的系統(tǒng)審計保護(hù)級信任服務(wù)功能：應(yīng)在可信硬件模塊中專門設(shè)置受保護(hù)區(qū)域存儲所有靜態(tài)信任鏈的完整性度量值。5.2.1.3.6用戶身份標(biāo)識與鑒別應(yīng)按4.3.2的要求，從以下方面設(shè)計與實現(xiàn)可信計算平臺身份標(biāo)識與鑒別功能：a）應(yīng)按4.3.2.3的要求，設(shè)計與實現(xiàn)用戶的基本標(biāo)識、唯一性標(biāo)識與標(biāo)識信息管理功能；b）應(yīng)按4.3.

49、2.4的要求，設(shè)計與實現(xiàn)用戶的基本鑒別、不可偽造鑒別功能；c）應(yīng)按4.3.2.4的要求，支持以數(shù)字證書形式提供鑒別信息；d）應(yīng)按4.3.2.5的要求，設(shè)計與實現(xiàn)用戶鑒別失敗處理功能；e）應(yīng)按4.3.2.6的要求，設(shè)計與實現(xiàn)用戶-主體綁定功能。5.2.1.3.7自主訪問控制可按4.3.3自主訪問控制的要求，下方面設(shè)計實現(xiàn)可信計算平臺的自主訪問控制功能：a）按4.3.3.1的要求，確定自主訪問控制策略；b）按4.3.3.2的要求，設(shè)計與實現(xiàn)自主訪問控制功能；c）按4.3.3.3中子集訪問控制的要求，確定自主訪問控制的范圍；d）按4.3.3.4中訪問控制力度的要求，確定自主訪問控制的粒度。5.2.1

50、.3.8數(shù)據(jù)保密性保護(hù)應(yīng)按4.3.6的要求，從以下方面設(shè)計和實現(xiàn)可信計算平臺的數(shù)據(jù)保密性保護(hù)功能：a）應(yīng)按4.3.6.1中數(shù)據(jù)加密的要求，按4.3.1所配置的密碼支持，對需要進(jìn)行存儲保密性保護(hù)的數(shù)據(jù)，采用存儲加密的措施，設(shè)計和實現(xiàn)數(shù)據(jù)存儲保密性保護(hù)功能；b）應(yīng)按4.3.6.2的要求，按4.3.1所配置的密碼支持，對需要進(jìn)行傳輸保密性保護(hù)的數(shù)據(jù)，采用傳輸加密的措施，設(shè)計和實現(xiàn)數(shù)據(jù)傳輸保密性保護(hù)功能。5.2.1.3.9數(shù)據(jù)完整性保護(hù)根據(jù)4.3.7的描述，對可信計算平臺內(nèi)部存儲、處理和傳輸?shù)臄?shù)據(jù)應(yīng)提供保證數(shù)據(jù)完整性的功能。5.2.1.3.10安全審計應(yīng)按根據(jù)4.2.2的描述，按GB/T 202712

51、006中6.2.2.3的要求，從以下方面設(shè)計與實現(xiàn)可信計算平臺的安全審計功能：a）安全審計功能的設(shè)計應(yīng)與密碼支持、身份標(biāo)識與鑒別、自主訪問控制、數(shù)據(jù)保密性保護(hù)、用戶數(shù)據(jù)完整性保護(hù)、信任服務(wù)等安全功能的設(shè)計緊密結(jié)合；b）支持審計日志；支持安全審計事件產(chǎn)生；支持潛在侵害分析；支持基本審計查閱；提供審計事件選擇和受保護(hù)的審計蹤跡存儲；c）能夠生產(chǎn)、維護(hù)及保護(hù)審計過程，使其免遭修改、非法訪問及破壞，特別要保護(hù)審計數(shù)據(jù)，要嚴(yán)格限制未經(jīng)授權(quán)的用戶訪問；d）能夠創(chuàng)建并維護(hù)一個對受保護(hù)客體訪問的審計跟蹤，保護(hù)審計記錄不被未授權(quán)的訪問、修改和破壞。5.2.1.3.11備份與故障恢復(fù)應(yīng)以4.2.5中用戶數(shù)據(jù)集備份

52、與恢復(fù)、增量信息備份與恢復(fù)和局部系統(tǒng)備份與恢復(fù)的要求，設(shè)計與實現(xiàn)終端計算機(jī)系統(tǒng)的備份與故障恢復(fù)功能。5.2.1.3.12I/O接口配置應(yīng)以4.2.7中用戶自主配置的要求，設(shè)計和實現(xiàn)I/O接口配置功能。5.2.1.4應(yīng)用系統(tǒng)應(yīng)按GB/T 202712006 中6.2.3的要求，從以下方面來設(shè)計、實現(xiàn)或選購系統(tǒng)審計保護(hù)級終端計算機(jī)系統(tǒng)所需要的應(yīng)用系統(tǒng)：a）身份標(biāo)識與鑒別：根據(jù)GB/T 202712006中6.2.3.1的描述，實現(xiàn)用戶標(biāo)識、用戶鑒別、用戶鑒別失敗處理和用戶-主體綁定的功能；b）自主訪問控制：根據(jù)GB/T 202712006中6.2.3.3的描述，對應(yīng)用系統(tǒng)相關(guān)資源的訪問進(jìn)行控制，允

53、許合法操作，不允許非法操作；c）安全審計：根據(jù)GB/T 202712006中6.2.2.3的描述，提供應(yīng)用系統(tǒng)安全審計功能；d）數(shù)據(jù)保密性保護(hù)：根據(jù)GB/T 202712006中6.2.3.8的描述，設(shè)計和實現(xiàn)應(yīng)用系統(tǒng)的用戶數(shù)據(jù)保密性保護(hù)功能；e）數(shù)據(jù)完整性保護(hù)：根據(jù)GB/T 202712006中6.2.3.7的描述，對應(yīng)用系統(tǒng)內(nèi)部存儲、處理和傳輸?shù)挠脩魯?shù)據(jù)應(yīng)提供保證用戶數(shù)據(jù)完整性的功能。5.2.2安全保證要求5.2.2.1SSOTCS自身安全保護(hù)a）可信根安全保護(hù)：應(yīng)按以下要求實現(xiàn)終端計算機(jī)系統(tǒng)的可信根：-存儲根和報告根應(yīng)設(shè)置在可信硬件模塊內(nèi)；-可信硬件模塊應(yīng)通過國家專門機(jī)構(gòu)測評認(rèn)證；-應(yīng)對

54、度量根采取物理保護(hù)措施；b）SSF物理安全保護(hù)：應(yīng)按以下要求實現(xiàn)終端計算機(jī)系統(tǒng)審計保護(hù)級SSF的物理安全保護(hù)；-應(yīng)按GB/T 202712006中6.2.4.1的要求，實現(xiàn)終端計算機(jī)系統(tǒng)審計驗資保護(hù)級SSF的物理安全保護(hù)；c）SSF運行安全保護(hù)：應(yīng)按以下要求實現(xiàn)終端計算機(jī)系統(tǒng)審計保護(hù)級SSF的運行安全保護(hù)；-應(yīng)按GB/T 202712006中6.2.4.2的要求，實現(xiàn)終端計算機(jī)系統(tǒng)審計保護(hù)級SSF的運行安全保護(hù)；-應(yīng)采取適當(dāng)?shù)氖щ姳Ｗo(hù)措施，確保在終端計算機(jī)系統(tǒng)推出休眠或待機(jī)狀態(tài)后，能恢復(fù)到推出工作狀態(tài)前的配置，確保信任鏈系統(tǒng)仍能正常工作；d）SSF數(shù)據(jù)安全保護(hù)：宜按GB/T 202712006

55、中6.2.4.3的要求，實現(xiàn)終端計算機(jī)系統(tǒng)審計保護(hù)級SSF的數(shù)據(jù)安全保護(hù)；e）資源利用：宜按GB/T 202712006中6.2.4.4的要求，實現(xiàn)終端計算機(jī)系統(tǒng)審計保護(hù)級的資源利用；f）SSOTCS訪問控制：宜按GB/T 202712006中6.2.4.5的要求，實現(xiàn)終端計算機(jī)系統(tǒng)審計保護(hù)級的SSOTCS訪問控制；5.2.2.2SSOTCS設(shè)計和實現(xiàn)a）配置管理：按GB/T 202712006中6.2.5.1的要求，實現(xiàn)終端計算機(jī)系統(tǒng)審計保護(hù)級的配置管理；b）分發(fā)和操作：按GB/T 202712006中6.2.5.2的要求，實現(xiàn)終端計算機(jī)系統(tǒng)審計保護(hù)級的分發(fā)和操作；c）開發(fā)：按GB/T 202712006中6.2.5.3的要求，實現(xiàn)終端計算機(jī)系統(tǒng)審計保護(hù)級的開發(fā)；d）指導(dǎo)性文檔：按GB/T 202712006中6.2.5.4的要求，實現(xiàn)終端計算機(jī)系統(tǒng)審計保護(hù)級的指導(dǎo)性文檔；e）生命周期支持：按GB/T 202712