GA T 672-2006 信息安全技术.终端计算机系统安全等级评估准则.pdf
《GA T 672-2006 信息安全技术.终端计算机系统安全等级评估准则.pdf》由会员分享,可在线阅读,更多相关《GA T 672-2006 信息安全技术.终端计算机系统安全等级评估准则.pdf(40页珍藏版)》请在麦多课文档分享上搜索。
1、ICS 35.040 A 90 中华人民共和国公共安全行业标准GA/T 672-2006 信息安全技术终端计算机系统安全等级评估准则2006-12-28发布Information security technology一Evaluation criteria for terminal computer system of security classified protection 2007-02-01实施中华人民共和国公安部发布GAjT 672-2006 目次前言. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2、 . . . . . . . . . . . . . . I . 1 引言. . . . . . I I . . . . . . . . . . . . . . . . . . . . . . . II 1 范围2 规范性引用文件. 3 术语、定义和缩略语. . . . . . . 术语和定义3.1 3.2 缩略i吾2 终端计算机系统安全等级评估准则4 信息安全技术4. 1 4. 1. 1 4. 1. 2 第一级:用户自主保护级安全功能要求SSOTCS自身安全保护SSOTCS设计和实现. . . . . 4. 1. 3 4.2 第二级:系统审计保护级. . . . . . . . . . .
3、. . . . . 8 4. 2. 1 安全功能要求84. 2. 2 SSOTCS自身安全保护4. 2. 3 SSOTCS设计和实现4.3 第三级:安全栋记保护级安全功能要求. . . . . . . ., 14 . . . . . 14 . . . . 19 4. 3. 1 4.3. 2 4.3. 3 SSOTCS自身安全保护. . . . . . . . . . . . . . . . 27 SSOTCS设计和实现参考文献2 . 前言本标准由公安部信息系统安全标准化技术委员会提出。本标准由全国信息安全标准化技术委员会归口。本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心。GA/
4、T 672-2006 本标准主要起草人:邱梓华、顾健、景乾元、李毅、比亮、张奕、邹春明、马海燕、俞优。GA/T 672一200651 _._翩F司本标准用以指导评估者如何评估各安全等级的终端计算机系统。终端计算机系统在计算机信息系统中,承担着大量数据存储、处理、传输的工作,与用户有着最紧密的联系。终端计算机系统的安全,对整个信息系统的安全,起着至关重要的作用。在各个安全等级的信息系统中,终端计算机系统也应该达到相应的安全等级。本标准依据信息安全技术终端计算机系统安全等级技术要求的相关要求,对第一、第二和第三级的终端计算机系统提出了具体的评估方法,能够对终端计算机系统的测试、开发提供指导。E G
5、AjT 672-2006 信息安全技术终端计算机系统安全等级评估准则1 范围本标准规定了终端计算机系统的评估方法。本标准适用于按照GA/T671-2006(信息安全技术终端计算机系统安全等级技术要求所开发的终端计算机系统的评估。2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 20271-2006 信息
6、安全技术信息系统通用安全技术要求GB/T 20272-2006 信息安全技术操作系统安全技术要求G:A/T 671-2006 信息安全技术终端计算机系统安全等级技术要求,3 术语、定义和缩略语3. 1 术语和定义GB 17859-1999、GB/T20271-2006和GB/T20272-2006确立的以及下列术语和定义适用于本标准。3. 1. 1 终端计算机系统terminal computer system 一种个人使用的计算机系统,是倍息系统的重要组成部分,为用户访问网络服务器提供支持。终端计算机系统表现为桌面型计算机系统和膝上型计算机系统两种形态。终端计算机系统一般由硬件系统、操作系统
7、和应用系统(包括为用户访问网络服务器提供支持的工具软件和其他应用软件等部分组成。3. 1. 2 可信trusted 一种特性,具有该特性的实体总是以预期的行为和方式达到既定目的。3. 1. 3 宪整性度量(简称度量)measurement of integrity 一种使用密码学杂凑算法对实体计算其杂凑值的过程。3.1.4 完整性基准值(简称基准值)criteria of integrity measurement 实体在可信状态下度量得到的杂凄值,可用来作为完整性校验基准。3. 1. 5 度量根root of trust for measurement 一个可信的实体,是终端计算机系统内进行
8、可信度量的基点。1 GA/T 672-2006 3. 1.6 动态度量根dynamic root of trust for measurement 度量根的一种,支持终端计算机系统对动态启动的程序模块进行实时可信度量。3. 1. 7 存储根root of trust for storage 一个可倍的实体,是终端计算机系统内进行可信存储的基点。3. 1. 8 报告根root of trust for reporting 一个可倍的实体,是终端计算机系统内进行可信报告的基点。3.1.9 可信根trusted root 度量根、存储根和报告根的3. 1. 10 可信硬件模块嵌入终端计算机硬能,具有
9、受保护的存3. 1. 11 信任链一种在终3. 1. 12 可信计算平是基于可信服务,并为系3. 1. 13 终端计算机终端计算机建立了一个基本端计算机系统安全保护。注:按照GB178 统的TCB.3. 1. 14 SSOTCS安全功能或可信软件模块构建保护和运行安全保护。正确实施SSOTCS安全一个安全功能模块。一个3. 1. 15 SSOTCS安全控制范围SSOTCS scope SSOTCS的操作所涉及的主体和客体。3. 1. 16 SSOTCS安全策略SSOTCS security policy 立提供密码学运算功的组合体。它用户服务。终计算机系统进行)就是终端计算机系一个安全策略的实
10、现,组成的安全功能。对SSOTCS中的资掘进行管理、保护和分配的一组规则。一个SSOTCS中可以有一个或多个安全策略。3.2 缩畸语下列缩略语适用于本标准:2 GA/T 672-2006 SSOTCS终端计算机系统安全子系统security subsystem of terminal computer system 安全功能SSOTCS安全功能SSOTCS security function SSC SSOTCS控制范围SSOTCS scope of control SSP SSOTCS安全策略SSOTCS security policy TCP 可信计算平台trusted computer
11、platform 4 信息安全技术终端计算机系统安全等级评估准则4. 1 第一级:用户自主保护级4. 1. 1 安全功能要求4. 1. 1. 1 物理系统4.1. 1.1. 1 设备安全可用评估内容:见GA/T671-20 对开发者的要求:开发者应提的容错和故评估方法:a)按系b)按4.1.1.1.2设评估内容:见对开发者的开发者评估方法:按照开记录测试结4.1.1.2 可信计算平4. 1. 1. 2. 1 密码支持评估内容:见GA/T671-2006 对开发者的要求:终端计算机系统的设备,提供哪些必要支持终端计算机,验证终端计算开发者应提供文档和相关证书,前脚酬怦辅相法、相关的密码操作以及相
12、关的密钥管理措施,并证明所使用的密码算法巳经通过国家密码管理部门的批准。评估方法za) 按照开发者提供的文档和相关证书,检测所使用的密码算法,是否已经通过国家密码管理部门的批准;b) 检测公钥密码算法、对称密码算法、杂凄算法和随机数生成器算法,是果用软件实现,还是采用硬件实现。如果硬件支持插拔,将硬件拔出,检测能否进行相关密码操作;c) 按照开发者提供的文档,检测所有密钥是否受存储根保护。3 GA/T 672-2006 记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4.1.1.2.2 信任链评估内容:见GA/T671-2006中5.1. 1. 3. 2的内容。对开发者的要求:开发
13、者应提供文挡,说明终端计算机系统如何在系统启动过程中,对BIOS、MBR、OS等部件进行完整性度量,并说明完整性度量值是否存储在一个受保护的区域中。评估方法:a) 使用各种方法和工具,对BIOS进行修改,启动系统,检测系统能否检测出BIOS的完整性被破坏;b) 使用各种方法和工具,对MBR进行修改,启动系统,检测系统能否检测出MBR的完整性被破坏;c) 使用各种方法和工具,对OS进行修改,启动系统,检测系统能否检测出OS的完整性被破坏;d) 使用各种方法和工具,对存储的完整性度量值进行篡改和破坏,检测系统能否保护完整性度量值口记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1
14、.1. 2.3 运行时防护评估内容:见GA/T671-2006中5.1. 1. 3. 3的内容。评估方法:a) 在系统中植人一个测试用的恶意代码,并运行恶意代码:b) 对文件系统和内存进行扫描,检测系统能否清除或隔离恶意代码;c) 检测系统能否对恶意代码特征库进行及时更新。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4.1. 1. 2.4 系统安全性检测分析评估内容=见GA/T671一2006中5.1.1.3.4的内容。对开发者的要求:开发者应提供文档,说明终端计算机是否经过操作系统安全性检测分析,并且提供相应的检测分析报告。评估方法:a) 按照开发者提供的文挡,检测终端计算机
15、是否经过操作系统安全性检测分析;b) 根据相关的检测报告,判断检测方法是否科学,检测结果是否可信。记录测试结果井对该结果是否完全符合上述评估方法要求作出判断。4.1.1.2.5 备份与故障恢复评估内容z4 见GA/T671-2006中5.1. 1. 3. 5的内容。评估方法:a) 以用户身份有选择地备份重要数据的功能,对数据进行修改,然后进行恢复,检测能否有放恢复;b) 对系统定时进行增量备份,对系统数据进行修改,然后进行恢复,检测能否有效恢复。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。GA/T 672一一20064. 1. 1. 2. 6 1/0接口配置评估内容:见GA/T
16、671一2006中5.1. 1. 3. 6的内容。评估方法:a) 以用户身份,在BIOS和操作系统中,分别启用串口、井口、PCI、USB、网卡、硬盘,检测能否正常使用;b) 以用户身份,在BIOS和操作系统中,分别禁用串口、井口、PCI、USB、网卡、硬盘,检测能否使用。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1. 2 SSOTCS自身安全保护4. 1. 2. 1 可信根安全保护评估内容:见GA/T671-2006中5.1. 2. 1 a)的内容。对开发者的要求:开发者应提供文挡,说明采取哪些保护措施,以防止存储根和报告根的世漏和窜改,说明是否对度量根采取物理保护措施
17、。评估方法:a) 以各种方法和工具,尝试读取、修改存储根和报告根,检测能否尝试成功;b) 按照开发者提供的文挡,检测是否对度量根采取物理保护措施,并且检测保护措施的有效性。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1. 3 SSOTCS设计和实现4.1.3.1 配置管理评估内容:见GB/T20271-2006中6.1. 5. 1的内容。评估方法:评估者应审查开发者提供的配置管理支持文档是否完全符合以下要求:开发者所使用的版本号与所应表示的终端计算机系统样本应完全对应,没有歧义。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4.1.3.2 分发和操作4. 1
18、. 3. 2. 1 分发评估内容:民见GB/T20271-2006中6.1. 5. 2 a)的内容。评估方法:a) 评估者应审查开发者是否按分发过程的要求,编制分发文档;b) 评估者应审查分发文档,是否描述给用户分发终端计算机系统时,用以维护安全所必须的所有过程;c) 评估者应审查是否按该过程进行分发。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1. 3. 2. 2 操作评估内容:见GB/T20271-2006中6.1.5.2灿的内容。5 GA/T 672-2006 评估方法ta) 评估者应审查操作文挡,是否说明了终端计算机系统的安装、生戚、启动和使用的过程;b) 用户应
19、能通过此文档了解安装、生戚、启动和使用过程。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1. 3. 3 开发4. 1. 3. 3. 1 功能设计评估内容:见GB/T20271-2006中6.1. 5. 3 评估方法:评估者应审查开发者a) 功能设计应能与其外部接口;b) 功能设计。功能设计,的与方法,适当的时候,应提见评估方法:评估a) b) 软d)标记录审4. 1. 3. 3. 3 低层评估内容:见GB/T20 评估方法:评估者应审查开a) 低层设计的b) 描述每一个模块的要求:端计算机硬件、固件和/或见的。c) 以所提供的安全功能和对?韧勘蝉越斟矗藕揭刑嚼定义模块间的
20、相互关系;d) 描述如何提供每一个安全策略功能的实施;的标识终端计算机系统安全功能模块的所有接口,标识终端计算机系统安全功能模块的哪些接口是外部可见的,以及描述终端计算机系统安全功能模块所有接口的目的与方法,必要时,应提供影响、例外情况和错误信息的细节;f) 描述如何将终端计算机系统分离成安全策略实施模块和其他模块。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1. 3. 3. 4 内部结构设计评估内容:见GB/T20271-2006中6.1. 5. 3 d)的内容。6 GA/T 672-2006 评估方法:评估者应审查开发者所提供的信息是否满足如下要求:a) 应以模块化方
21、法设计和构建终端计算机系统安全功能,并避免设计模块之间出现不必要的交互;b) 标识终端计算机系统安全功能模块,并应描述每一个终端计算机系统安全功能模块的目的、接口、参数和影响;c) 描述终端计算机系统安全功能设计是如何使独立的模块间避免不必要的交互作用。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1. 3. 3. 5 实现表示设计d耀酣酣阳回酷踢胁评估内容:见GB/T20271-2 评估方法:评估者应审查应无歧义地功能实现表示,记录审4. 1. 3.4. 1 管理评估内容:见GB/T2 评估方法:之间提供关安全功终端计算机系统安全评估者应审查提鲁藏提供罐罐罐罐醋躏辗晦酶南
22、拼命且此管理员指南是否包括如下内容:a) 终端计算机系统b) 怎样安全地管理终c) 在安全处理环境中d) 所有对与终端计算机系统的安全操作有关的用户行为的假设;e) 所有受管理员控制的安全参数,如果可能,应指明安全值;f) 每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变;g) 所有与系统管理员有关的IT环境的安全要求。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1. 3. 4. 2 用户指南评估内容:见GB/T20271-2006中6.1. 5. 4的内容。7 GA/T 672一2006评估方法:评估者应审查开发者是否提供了供系统用户使
23、用的用户指南,并且此用户指南是否包括如下内容:a) 终端计算机系统的非管理用户可使用的安全功能和接口;b) 终端计算机系统提供给用户的安全功能和接口的用法;c) 用户可获取但应受安全处理环境控制的所有功能和权限;d) 终端计算机系统安全操作中用户所应承担的职责;的与用户有关的IT环境的所有安全要求。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4.1.3.5 生存周期支持评估内容:见GB/T20271-2006中6.1.5.5的内容。评估方法:评估者应审查开发者所提供的信息是否满足如下要求:开发者应建立用于开发和维护终端计算机系统的生存周期模型,对终端计算机系统开发和维护提供必要
24、的控制,并以文档形式描述用于开发和维护终端计算机系统的模型。记录审查结果井对该结果是否完全符合上述评估方法要求作出判断。4.1.3.6 测试4. 1. 3. 6. 1 功能测试评估内容:见GB/T20271-2006中6.1. 5. 6 a)的内容。评估方法ta) 评价开发者提供的测试文挡,是否包括测试计划、测试规程、预期的测试结果和实际测试结果;b) 评价测试计划是否标识了要测试的安全功能,是否描述了测试的目标;c) 评价测试规程是否标识了要执行的测试,是否描述了每个安全功能的测试概况(这些概况包括对其他测试结果的顺序依赖性); d) 评价期望的测试结果是否表明测试成功后的预期输出;的评价实
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
5000 积分 0人已下载
下载 | 加入VIP,交流精品资源 |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GA 672 2006 信息 安全技术 终端 计算机 系统安全 等级 评估 准则