GB/T 20274.2-2008信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第2部分：技術(shù)保障

犐犆犛３５．０４０

犔８０

中華人民共和國國家標(biāo)準(zhǔn)

犌犅／犜２０２７４．２—２００８

信息安全技術(shù)

信息系統(tǒng)安全保障評(píng)估框架

第２部分：技術(shù)保障

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犈狏犪犾狌犪狋犻狅狀犳狉犪犿犲狑狅狉犽犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊狊犲犮狌狉犻狋狔犪狊狊狌狉犪狀犮犲—

犘犪狉狋２：犜犲犮犺狀犻犮犪犾犪狊狊狌狉犪狀犮犲

２００８０７１８發(fā)布２００８１２０１實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

書

中華人民共和國

國家標(biāo)準(zhǔn)

信息安全技術(shù)

信息系統(tǒng)安全保障評(píng)估框架

第２部分：技術(shù)保障

ＧＢ／Ｔ２０２７４．２—２００８

中國標(biāo)準(zhǔn)出版社出版發(fā)行

北京復(fù)興門外三里河北街１６號(hào)

郵政編碼：１０００４５

網(wǎng)址ｗｗｗ．ｓｐｃ．ｎｅｔ．ｃｎ

電話：６８５２３９４６６８５１７５４８

中國標(biāo)準(zhǔn)出版社秦皇島印刷廠印刷

各地新華書店經(jīng)銷

開本８８０×１２３０１／１６印張６．２５字?jǐn)?shù)１８４千字

２００８年１１月第一版２００８年１１月第一次印刷

書號(hào)：１５５０６６·１３４９９８

如有印裝差錯(cuò)由本社發(fā)行中心調(diào)換

版權(quán)專有侵權(quán)必究

舉報(bào)電話：（０１０）６８５３３５３３

書

犌犅／犜２０２７４．２—２００８

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅴ

１范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

４本部分的結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

５信息安全技術(shù)保障!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

５．１安全技術(shù)保障概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

５．２安全技術(shù)體系架構(gòu)能力級(jí)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

５．３安全技術(shù)保障控制要求范例!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

６信息安全技術(shù)保障控制結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

６．１綜述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

６．２組件分類!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

７ＦＡＵ類：安全審計(jì)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１０

７．１安全審計(jì)自動(dòng)響應(yīng)（ＦＡＵ＿ＡＲＰ）!!!!!!!!!!!!!!!!!!!!!!!!!!１１

７．２安全審計(jì)數(shù)據(jù)產(chǎn)生（ＦＡＵ＿ＧＥＮ）!!!!!!!!!!!!!!!!!!!!!!!!!!１１

７．３安全審計(jì)分析（ＦＡＵ＿ＳＡＡ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!１２

７．４安全審計(jì)查閱（ＦＡＵ＿ＳＡＲ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!１４

７．５安全審計(jì)事件選擇（ＦＡＵ＿ＳＥＬ）!!!!!!!!!!!!!!!!!!!!!!!!!!１５

７．６安全審計(jì)事件存儲(chǔ)（ＦＡＵ＿ＳＴＧ）!!!!!!!!!!!!!!!!!!!!!!!!!!１５

８ＦＣＯ類：通信!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

８．１原發(fā)抗抵賴（ＦＣＯ＿ＮＲＯ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

８．２接收抗抵賴（ＦＣＯ＿ＮＲＲ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

９ＦＣＳ類：密碼支持!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１９

９．１密鑰管理（ＦＣＳ＿ＣＫＭ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２０

９．２密碼運(yùn)算（ＦＣＳ＿ＣＯＰ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２１

１０ＦＤＰ類：用戶數(shù)據(jù)保護(hù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２２

１０．１訪問控制策略（ＦＤＰ＿ＡＣＣ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!２４

１０．２訪問控制功能（ＦＤＰ＿ＡＣＦ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!２４

１０．３數(shù)據(jù)鑒別（ＦＤＰ＿ＤＡＵ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２５

１０．４輸出到ＴＳＦ控制之外（ＦＤＰ＿ＥＴＣ）!!!!!!!!!!!!!!!!!!!!!!!!２６

１０．５信息流控制策略（ＦＤＰ＿ＩＦＣ）!!!!!!!!!!!!!!!!!!!!!!!!!!!２７

１０．６信息流控制功能（ＦＤＰ＿ＩＦＦ）!!!!!!!!!!!!!!!!!!!!!!!!!!!２８

１０．７從ＴＳＦ控制之外輸入（ＦＤＰ＿ＩＴＣ）!!!!!!!!!!!!!!!!!!!!!!!!３０

１０．８ＴＯＥ內(nèi)部傳輸（ＦＤＰ＿ＩＴＴ）!!!!!!!!!!!!!!!!!!!!!!!!!!!３２

１０．９殘余信息保護(hù)（ＦＤＰ＿ＲＩＰ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!３３

１０．１０反轉(zhuǎn)（ＦＤＰ＿ＲＯＬ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３４

１０．１１存儲(chǔ)數(shù)據(jù)的完整性（ＦＤＰ＿ＳＤＩ）!!!!!!!!!!!!!!!!!!!!!!!!!３５

１０．１２ＴＳＦ間用戶數(shù)據(jù)傳輸?shù)谋Ｃ苄员Ｗo(hù)（ＦＤＰ＿ＵＣＴ）!!!!!!!!!!!!!!!!!!３５

Ⅰ

書

犌犅／犜２０２７４．２—２００８

１０．１３ＴＳＦ間用戶數(shù)據(jù)傳輸?shù)耐暾员Ｗo(hù)（ＦＤＰ＿ＵＩＴ）!!!!!!!!!!!!!!!!!!３６

１１ＦＩＡ類：標(biāo)識(shí)和鑒別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３８

１１．１鑒別失敗（ＦＩＡ＿ＡＦＬ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３９

１１．２用戶屬性定義（ＦＩＡ＿ＡＴＤ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!３９

１１．３秘密的規(guī)范（ＦＩＡ＿ＳＯＳ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４０

１１．４用戶鑒別（ＦＩＡ＿ＵＡＵ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４０

１１．５用戶標(biāo)識(shí)（ＦＩＡ＿ＵＩＤ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４３

１１．６用戶＿主體綁定（ＦＩＡ＿ＵＳＢ）!!!!!!!!!!!!!!!!!!!!!!!!!!!４４

１２ＦＭＴ類：安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４４

１２．１ＴＳＦ中功能的管理（ＦＭＴ＿ＭＯＦ）!!!!!!!!!!!!!!!!!!!!!!!!!４５

１２．２安全屬性的管理（ＦＭＴ＿ＭＳＡ）!!!!!!!!!!!!!!!!!!!!!!!!!!４６

１２．３ＴＳＦ數(shù)據(jù)的管理（ＦＭＴ＿ＭＴＤ）!!!!!!!!!!!!!!!!!!!!!!!!!!４７

１２．４撤消（ＦＭＴ＿ＲＥＶ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４８

１２．５安全屬性到期（ＦＭＴ＿ＳＡＥ）!!!!!!!!!!!!!!!!!!!!!!!!!!!４９

１２．６安全管理角色（ＦＭＴ＿ＳＭＲ）!!!!!!!!!!!!!!!!!!!!!!!!!!!５０

１３ＦＰＲ類：隱秘!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５１

１３．１匿名（ＦＰＲ＿ＡＮＯ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５１

１３．２假名（ＦＰＲ＿ＰＳＥ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５２

１３．３不可關(guān)聯(lián)性（ＦＰＲ＿ＵＮＬ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!５３

１３．４不可觀察性（ＦＰＲ＿ＵＮＯ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!５４

１４ＦＰＴ類：ＴＳＦ保護(hù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５５

１４．１根本抽象機(jī)測試（ＦＰＴ＿ＡＭＴ）!!!!!!!!!!!!!!!!!!!!!!!!!!５７

１４．２失敗保護(hù)（ＦＰＴ＿ＦＬＳ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５７

１４．３輸出ＴＳＦ數(shù)據(jù)的可用性（ＦＰＴ＿ＩＴＡ）!!!!!!!!!!!!!!!!!!!!!!!５７

１４．４輸出ＴＳＦ數(shù)據(jù)的保密性（ＦＰＴ＿ＩＴＣ）!!!!!!!!!!!!!!!!!!!!!!!５８

１４．５輸出ＴＳＦ數(shù)據(jù)的完整性（ＦＰＴ＿ＩＴＩ）!!!!!!!!!!!!!!!!!!!!!!!!５８

１４．６ＴＯＥ內(nèi)ＴＳＦ數(shù)據(jù)的傳輸（ＦＰＴ＿ＩＴＴ）!!!!!!!!!!!!!!!!!!!!!!!５９

１４．７ＴＳＦ物理保護(hù)（ＦＰＴ＿ＰＨＰ）!!!!!!!!!!!!!!!!!!!!!!!!!!!６１

１４．８可信恢復(fù)（ＦＰＴ＿ＲＣＶ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６２

１４．９重放檢測（ＦＰＴ＿ＲＰＬ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６４

１４．１０參照仲裁（ＦＰＴ＿ＲＶＭ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６４

１４．１１域分離（ＦＰＴ＿ＳＥＰ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６５

１４．１２狀態(tài)同步協(xié)議（ＦＰＴ＿ＳＳＰ）!!!!!!!!!!!!!!!!!!!!!!!!!!!６６

１４．１３時(shí)間戳（ＦＰＴ＿ＳＴＭ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６７

１４．１４ＴＳＦ間ＴＳＦ數(shù)據(jù)的一致性（ＦＰＴ＿ＴＤＣ）!!!!!!!!!!!!!!!!!!!!!６７

１４．１５ＴＯＥ內(nèi)ＴＳＦ數(shù)據(jù)復(fù)制的一致性（ＦＰＴ＿ＴＲＣ）!!!!!!!!!!!!!!!!!!!６８

１４．１６ＴＳＦ自檢（ＦＰＴ＿ＴＳＴ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６８

１５ＦＲＵ類：資源利用!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６９

１５．１容錯(cuò)（ＦＲＵ＿ＦＬＴ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７０

１５．２服務(wù)優(yōu)先級(jí)（ＦＲＵ＿ＰＲＳ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７０

１５．３資源分配（ＦＲＵ＿ＲＳＡ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７１

１６ＦＴＡ類：ＴＯＥ訪問!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７２

１６．１可選屬性范圍限定（ＦＴＡ＿ＬＳＡ）!!!!!!!!!!!!!!!!!!!!!!!!!７２

Ⅱ

犌犅／犜２０２７４．２—２００８

１６．２多重并發(fā)會(huì)話限定（ＦＴＡ＿ＭＣＳ）!!!!!!!!!!!!!!!!!!!!!!!!!７３

１６．３會(huì)話鎖定（ＦＴＡ＿ＳＳＬ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７４

１６．４ＴＯＥ訪問旗標(biāo)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７５

１６．５ＴＯＥ訪問歷史（ＦＴＡ＿ＴＡＨ）!!!!!!!!!!!!!!!!!!!!!!!!!!!７６

１６．６ＴＯＥ會(huì)話建立（ＦＴＡ＿ＴＳＥ）!!!!!!!!!!!!!!!!!!!!!!!!!!!７６

１７ＴＰ類：可信路徑／信道!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７７

１７．１ＴＳＦ間可信信道（ＦＴＰ＿ＩＴＣ）!!!!!!!!!!!!!!!!!!!!!!!!!!!７７

１７．２可信路徑（ＦＴＰ＿ＴＲＰ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７８

１８安全技術(shù)架構(gòu)能力成熟度級(jí)!!!!!!!!!!!!!!!!!!!!!!!!!!!!７８

１８．１概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７８

１８．２安全技術(shù)架構(gòu)能力成熟度級(jí)說明!!!!!!!!!!!!!!!!!!!!!!!!!７９

附錄Ａ（資料性附錄）安全技術(shù)要求應(yīng)用注釋!!!!!!!!!!!!!!!!!!!!!!８１

Ａ．１注釋的結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８１

Ａ．１．１類結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８１

Ａ．１．２子類結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８１

Ａ．１．３組件結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８２

Ａ．２依賴關(guān)系表!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８２

附錄Ｂ（資料性附錄）分層多點(diǎn)信息系統(tǒng)安全體系結(jié)構(gòu)!!!!!!!!!!!!!!!!!!８９

Ｂ．１概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８９

Ｂ．２信息技術(shù)系統(tǒng)ＴＯＥ的分析模型!!!!!!!!!!!!!!!!!!!!!!!!!!８９

Ｂ．３分層多點(diǎn)安全技術(shù)體系架構(gòu)介紹!!!!!!!!!!!!!!!!!!!!!!!!!９０

參考文獻(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９２

圖１安全技術(shù)保障控制要求范例（單個(gè)ＴＯＥ）!!!!!!!!!!!!!!!!!!!!!!２

圖２分布式ＴＯＥ內(nèi)的安全功能圖!!!!!!!!!!!!!!!!!!!!!!!!!!!３

圖３用戶數(shù)據(jù)和ＴＳＦ數(shù)據(jù)的關(guān)系!!!!!!!!!!!!!!!!!!!!!!!!!!!５

圖４“鑒別數(shù)據(jù)”和“秘密”的關(guān)系!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

圖５安全技術(shù)保障控制類結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

圖６安全技術(shù)保障控制子類結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

圖７安全技術(shù)保障控制組件結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

圖８示范類分解圖!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

圖９安全審計(jì)類分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１０

圖１０通信類分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

圖１１密碼支持類分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１９

圖１２用戶數(shù)據(jù)保護(hù)類分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２３

圖１３標(biāo)識(shí)和鑒別類分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３８

圖１４安全管理類分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４５

圖１５隱秘類分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５１

圖１６ＴＳＦ保護(hù)類分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５６

圖１７資源利用類分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６９

圖１８ＴＯＥ訪問類分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７２

圖１９可信路徑／信道類分解圖!!!!!!!!!!!!!!!!!!!!!!!!!!!!７７

Ⅲ

犌犅／犜２０２７４．２—２００８

圖Ａ．１安全技術(shù)保障控制類結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!８１

圖Ａ．２安全技術(shù)保障控制子類結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!８１

圖Ａ．３安全技術(shù)保障控制組件結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!８２

圖Ｂ．１信息技術(shù)系統(tǒng)分析模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!９０

圖Ｂ．２分層多點(diǎn)安全技術(shù)體系結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!９１

表Ａ．１安全技術(shù)保障控制組件依賴關(guān)系表!!!!!!!!!!!!!!!!!!!!!!!８３

Ⅳ

犌犅／犜２０２７４．２—２００８