首页 > 国家标准(GB) > GB/T 29240-2012 信息安全技术 终端计算机通用安全技术要求与测试评价方法
GB/T 29240-2012

基本信息

标准号: GB/T 29240-2012

中文名称:信息安全技术 终端计算机通用安全技术要求与测试评价方法

标准类别:国家标准(GB)

标准状态:现行

出版语种:简体中文

下载格式:.rar .pdf

下载大小:1166KB

相关标签: 信息安全 技术 终端 计算机 通用 安全 测试 评价 方法

标准分类号

关联标准

出版信息

相关单位信息

标准简介

GB/T 29240-2012 信息安全技术 终端计算机通用安全技术要求与测试评价方法 GB/T29240-2012 标准压缩包解压密码:www.bzxz.net

标准图片预览






标准内容

ICS35.040
中华人民共和国国家标准
GB/T29240—2012
信息安全技术
终端计算机
通用安全技术要求与测试评价方法Information securitytechnologyGeneral security technique requirements and testing evaluation methodforterminalcomputer
2012-12-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2013-06-01实施
GB/T29240—2012
规范性引用文件
3术语和定义、缩略语
3.1术语和定义
3.2缩略语
4安全技术要求
第一级
第二级
第三级
第四级
第五级
5测试评价方法
测试环境·
第一级·
第二级
第三级:
第四级·
第五级·
参考文献
本标准按照GB/T1.12009给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。GB/T29240—2012
本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、联想控股有限公司本标准主要起草人:邱梓华、韦卫、宋好好、王京旭、张艳、顾健、吴秋新、顾玮、赵婷、宁晓魁、邹春明、张笑笑、俞优、冯荣峰。
GB/T29240—2012
本标准包含两部分内容,一部分是终端计算机的通用安全技术要求,用以指导设计者如何设计和实现终端计算机,使其达到信息系统所需安全等级,主要从信息系统安全保护等级划分的角度来说明对终端计算机的通用安全技术要求和测试评价方法,即主要说明终端计算机为实现GB17859一1999中每一个保护等级的安全要求应采取的安全技术措施。本标准将终端计算机划分为五个安全等级,与信息系统的五个等级一一对应。考虑到可信计算是当今终端计算机安全技术主流发展方向,所以在整个终端计算机安全体系设计中凸显可信计算技术理念,特别是在高安全等级(指3至5级)的安全技术措施设置方面,强调采用基于自主可信计算技术标准的可信计算功能特性,而且我国主流终端计算机厂商已建立起相关产业环境,因此.本标准的技术路线选择能够适应我国终端计算机安全技术产业发展水平;另一部分是依据技术要求,提出了具体的测试评价方法:用以指导评估者对各安全等级的终端计算机评估,同时也对终端计算机的开发者提供指导作用。本标准部分条款引用了其他标准的内容,有些是直接引用的,有些是间接引用的,对于直接引用的,请参考被引用标准的具体条款。对于间接引用的,以本标准文本的描述为准。为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强,在第4章的描述中,每一级的新增部分用“宋体加粗”表示。1范围
信息安全技术终端计算机
通用安全技术要求与测试评价方法GB/T29240—2012
本标准按照国家信息安全等级保护的要求,规定了终端计算机的安全技术要求和测试评价方法本标准适用于指导终端计算机的设计生产企业、使用单位和信息安全服务机构实施终端计算机等级保护安全技术的设计、实现和评估工作。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB17859—1999计算机信息系统安全保护等级划分准则GB/T17901.11999信息技术安全技术密钥管理第1部分:框架GB/T20271—2006信息安全技术信息系统通用安全技术要求GB/T202722006
6信息安全技术操作系统安全技术要求3术语和定义、缩略语
3.1术语和定义
GB17859—1999、GB/T20271—2006和GB/T20272—2006界定的以及下列术语和定义适用于本文件。
终端计算机terminalcomputer
供个人使用的、能独立进行数据处理及提供网络服务访问的计算机系统注:终端计算机一般为台式微型计算机系统和便携微型计算机系统两种形态,终端计算机通常由硬件系统、操作系统和应用系统(包括为用户访问网络服务器提供支持的工具软件和其他应用软件)等部分组成3.1.2
完整性度量integritymeasurement使用杂漆算法对被度量对象计算其杂捧值的过程。3.1.3
完整性度量值integritymeasurementvalue部件被杂凑算法计算后得到的杂凑值。3.1.4
predefined integrityvalue
完整性基准值
部件在发布时或在可信状态下被度量得到的杂凑值,作为完整性校验的参考基准。3.1.5
可信度量根
rootoftrustformeasurement
一个能够可靠进行完整性度量的计算引擎,是信任传递链的起始点。1
GB/T29240—2012
可信存储根
root of trust for storage
二个能够可靠进行安全存储的计算引擎。3.1.7
动态可信度量根dynamicrootoftrustformeasurement可信度量根的一种,支持终端计算机对动态启动的程序模块进行实时可信度量。3.1.8
rootof trustforreporting
可信报告根
一个能够可靠报告可信存储根所保存信息的计算引擎。3.1.9
可信密码模块trustedcryptographymodule可信计算平台的硬件模块,为可信计算平台提供密码运算功能,具有受保护的存储空间。3.1.10
信任链trustedchain
在计算系统启动和运行过程中,使用完整性度量方法在部件之间所建立的信任传递关系。3.1.11
安全支撑系统
security support system
终端计算机在操作系统安全基础上构建系统身份标识与鉴别、数据保护和运行安全防护等安全功能的系统,支撑终端计算机的安全运行、管理与维护。3.1.12
终端计算机安全子系统
security subsystem of terminal computer终端计算机内安全保护装置的总称,包括硬件、固件、软件和负责执行安全策略的组合体注1:按照GB17859一1999对TCB(可信计算基)的定义,SSOTC(终端计算机安全子系统)就是终端计算机的TCB
注2:终端计算机安全子系统建立了一个基本的终端计算机安全保护环境,并提供终端计算机所要求的附加用户服务。终端计算机安全子系统应从硬件系统、操作系统、应用系统和系统运行等方面对终端计算机进行安全保护。
SSOTC安全功能SSOTCsecurityfunction正确实施SSOTC安全策略的全部硬件、固件、软件所提供的功能。注:每一个安全策略的实现,组成一个安全功能模块。一个SSOTC的所有安全功能模块共同组成该SSOTC的安全功能。
SSOTC安全控制范围SSOTCscopeofcontrolSSOTC的操作所涉及的主体和客体。3.1.15
各SSOTCsecuritypolicy
SSOTC安全策略
对SSOTC中的资源进行管理、保护和分配的一组规则。注:一个SSOTC中可以有一个或多个安全策略。3.2缩略语
下列缩略语适用于本文件:
基本输人输出系统
主引导记录
(basic inputoutputsystem)
(masterbootrecorder)
SSOTC控制范围
SSOTC安全功能
终端计算机安全子系统
SSOTC安全策略
可信密码模块
4安全技术要求
4.1第一级
4.1.1安全功能要求
4.1.1.1硬件系统
4.1.1.1.1设备安全可用
(SSOTC scopeof control)
(SSOTC securityfunction)
GB/T29240—2012
(security subsystem of terminal computer)(SSOTCsecuritypolicy)
(trusted cryptography module)应按GB/T20271一2006中6.1.1.2的要求,从以下方面设计和实现终端计算机的设备安全可用功能:
a)基本运行支持:终端计算机的设备应提供基本的运行支持,并有必要的容错和故障恢复能力。4.1.1.1.2设备防盗
应接GB/T20271-2006中6.1.1.2的要求,从以下方面设计和实现终端计算机的设备防盗功能:a)设备标记要求:终端计算机的设备应有明显的无法除去的标记,以防更换和方便查找。4.1.1.2操作系统
应按GB/T20272一2006中4.1.1的要求,从身份鉴别、自主访问控制两个方面,来设计、实现或选购第一级终端计算机所需要的操作系统。4.1.1.3安全支撑系统
4.1.1.3.1运行时防护
应按GB/T20271一2006中6.1.2.5的要求,从以下方面设计和实现终端计算机的运行时防护功能:
恶意代码防护:
一对文件系统、内存和使用时的外来介质采用特征码扫描,并根据扫描结果采取相应措施,清除或隔离恶意代码。恶意代码特征库应及时更新。4.1.1.3.2备份与故障恢复
为实现确定的恢复功能,应在终端计算机正常运行时定期地或按某种条件实施备份。应根据以下要求,实现备份与故障恢复功能:a)用户数据备份与恢复:应提供用户有选择地备份重要数据的功能,当由于某种原因引起终端计算机中用户数据丢失或破坏时,应能提供用户数据恢复的功能。4.1.2SSOTC自身安全保护
4.1.2.1操作系统的自身安全保护应接GB/T20272一2006中4.1.2的要求,设计和实现操作系统的自身安全保护。3
GB/T29240—2012
4.1.3SSOTC设计和实现
SSOTC的设计和实现要求如下:
a)配置管理:按GB/T20271一2006中6.1.5.1的要求,实现终端计算机第一级的配置管理;b)分发和操作:按GB/T20271一2006中6.1.5.2的要求,实现终端计算机第一级的分发和操作;
c)天
开发:按GB/T20271一2006中6.1.5.3的要求,实现终端计算机第一级的开发;文档要求:按GB/T20271一2006中6.1.5.4的要求,实现终端计算机第一级的文档要求;d)
生存周期支持:按GB/T20271一2006中6.1.5.5的要求,实现终端计算机第一级的生存周期e
支持;
f)测试:按GB/T20271一2006中6.1.5.6的要求,实现终端计算机第一级的测试。4.1.4SSOTC管理
应按GB/T20271一2006中6.1.6的要求,从以下方面实现终端计算机第一级的SSOTC安全管理:
对相应的SSOTC的访问控制、鉴别控制、审计等相关的安全功能,以及与一般的安装、配置和a)
维护有关的功能,制定相应的操作、运行规程和行为规章制度。4.2第二级
4.2.1安全功能要求
4.2.1.1硬件系统
4.2.1.1.1设备安全可用
应按GB/T20271一2006中6.2.1.2的要求,从以下方面设计和实现终端计算机的设备安全可用功能:
a)基本运行支持:终端计算机的设备应提供基本的运行支持,并有必要的容错和故障恢复能力。4.2.1.1.2设备防盗
应按GB/T20271一2006中6.2.1.2的要求,从以下方面设计和实现终端计算机的设备防盗功能:a)设备标记要求:终端计算机的设备应有明显的无法除去的标记,以防更换和方便查找:b)主机实体安全:终端计算机的主机应有机箱封装保护,防止部件损害或被盗。4.2.1.2操作系统
应按GB/T20272一2006中4.2.1的要求,从身份鉴别、自主访问控制、安全审计、用户数据保密性、用户数据完整性5个方面,来设计、实现或选购第二级终端计算机所需要的操作系统,4.2.1.3安全支撑系统
4.2.1.3.1密码支持
应按以下要求,设计与实现第二级终端计算机的密码支持功能:a)密码算法:应使用国家有关主管部门批准的密码算法,密码算法和密码操作应由硬件或受保护的软件支撑实现。
b)密钥管理:应对密码算法操作所涉及的密钥进行全生命周期管理,包括密钥生成、密钥交换、密4
GB/T29240—2012
钥存取、密钥废除。密钥管理应符合国家密钥管理标准GB/T17901.1—1999的相关要求。应建立一个可信存储根密钥,所有密钥应受可信存储根保护。可信存储根本身应由硬件密码模块保护。
4.2.1.3.2运行时防护
应按GB/T20271一2006中6.2.2.4和6.2.2.6的要求,从以下方面设计和实现终端计算机的运行时防护功能:
a)恶意代码防护:
对文件系统、内存和使用时的外来介质采用特征码扫描,并根据扫描结果采取相应措施,清除或隔离恶意代码。恶意代码特征库应及时更新b)网络攻击防护:终端计算机应采取必要措施监控主机与外部网络的数据通信,确保系统免受外部网络侵害或恶意远程控制。应采取的措施为:-IP包过滤:应能够支持基于源地址、目的地址的访问控制,将不符合预先设定策略的数据包丢弃。
4.2.1.3.3系统身份标识与鉴别
应按以下要求,设计与实现系统身份标识与鉴别功能:a)系统身份标识:www.bzxz.net
应对终端计算机进行身份标识,确保其身份唯一性和真实性:一一唯一性标识:应通过唯一绑定的硬件密码模块或受保护的软件模块产生的密钥来标识系统身份;
b)系统身份鉴别:
在进行终端计算机身份鉴别时,请求方应提供系统的身份标识,通过一定的认证协议完成身份鉴别过程。
4.2.1.3.4数据保密性保护
应按GB/T20271一2006中6.2.3.4的数据保密性要求,从以下方面设计和实现终端计算机的数据保密性功能:
a)数据存储保密性:
应对存储在终端计算机内的重要用户数据进行保密性保护:例如数据加密:应确保加密后的数据由密钥的合法持有者解密,除合法持有密钥者外,其余任何用户不应获得该数据;
b)数据传输保密性:
对在不同SSF之间基于网络传输的重要数据,设计和实现数据传输保密性保护功能,确保数据在传输过程中不被泄漏和窃取。4.2.1.3.5安全审计
应按GB/T20271一2006中6.2.2.3的要求,从以下方面设计和实现安全支撑系统的安全审计功能:
安全审计功能的设计应与密码支持、系统身份标识与鉴别、数据保密性保护等安全功能的设计紧密结合;
b)支持审计日志;
-可为以下安全事件产生审计记录:5
GB/T29240—2012
绑定于终端计算机的硬件密码模块应该能审计内部运行的可审计事件,能提供给上层应用软件查询审计情况的接口;
对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件类别,及其他与审计相关的信息;
支持审计查阅:
提供从审计记录中读取信息的能力,即要求SSF为授权用户提供获得和解释审计信息的能力;
提供审计事件选择:
应根据以下属性选择终端计算机的可审计事件:客体身份、用户身份、主体身份、主机身份、事件类型,作为审计选择性依据的附加属性。4.2.1.3.6备份与故障恢复
为了实现确定的恢复功能,应在终端计算机正常运行时定期地或按某种条件实施备份。应根据以下要求,实现备份与故障恢复功能:a)用户数据备份与恢复:应提供用户有选择地备份重要数据的功能,当由于某种原因引起终端计算机中用户数据丢失或破坏时,应能提供用户数据恢复的功能;系统备份与恢复:应提供定期对终端计算机进行定期备份的功能;当由于某种原因引起终端b)
计算机发生故障时,应提供用户按系统备份所保留的信息进行系统恢复的功能。4.2.2SSOTC自身安全保护
4.2.2.1安全支撑系统的自身安全保护a)可信存储根安全保护:应按以下要求实现终端计算机的可信存储根:一可信存储根应设置在硬件密码模块内;一所采用的硬件密码模块和软件密码模块应符合国家相关密码管理要求:b)用户使用硬件密码模块前应进行身份鉴别。4.2.2.2操作系统的自身安全保护应按GB/T202722006中4.2.2的要求,设计和实现操作系统的自身安全保护。4.2.3SSOTC设计和实现
SSOTC的设计和实现要求如下:
a)配置管理:应按GB/T20271一2006中6.2.5.1的要求,实现终端计算机第二级的配置管理;b)分发和操作:应按GB/T20271一2006中6.2.5.2的要求,实现终端计算机第二级的分发和操作;
c)开发:应按GB/T20271一2006中6.2.5.3的要求,实现终端计算机第二级的开发;d)文档要求:应按GB/T20271一2006中6.2.5.4的要求,实现终端计算机第二级的文档要求;生存周期支持:应按GB/T20271一2006中6.2.5.5的要求,实现终端计算机第二级的生存周e)
期支持:
f)测试:应按GB/T20271一2006中6.2.5.6的要求,实现终端计算机第二级的测试。4.2.4SSOTC管理
一般应按GB/T20271一2006中6.2.6的要求,从以下方面实现终端计算机第二级的SSOTC安全6
管理:
GB/T29240—2012
对相应的SSOTC的访问控制、鉴别控制、审计等相关的安全功能,以及与一般的安装、配置和a
维护有关的功能,制定相应的操作、运行规程和行为规章制度;b)根据本级中安全功能技术要求和安全保证技术要求所涉及的安全属性,设计SSOTC安全属性管理。
4.3第三级
4.3.1安全功能要求
4.3.1.1硬件系统
4.3.1.1.1设备安全可用
应按GB/T20271一2006中6.3.1.2的要求,从以下方面设计和实现终端计算机的设备安全可用功能:
基本运行支持:终端计算机的设备应提供基本的运行支持,并有必要的容错和故障恢复能力;a)
b)基本安全可用:终端计算机的设备应满足基本安全可用的要求,包括主机、外部设备、网络连接部件及其他辅助部件等均应基本安全可用。4.3.1.1.2设备防盗
应按GB/T20271一2006中6.3.1.2的要求,从以下方面设计和实现终端计算机的设备防盗功能:a)设备标记要求,终端计算机的设备应有明显的无法除去的标记.以防更换和方便查找;b)主机实体安全:终端计算机的主机应有机箱封装保护,防止部件损害或被盗。4.3.1.2操作系统
应按GB/T20272一2006中4.3.1的要求,从身份鉴别、自主访问控制、标记、强制访问控制、安全审计、用户数据保密性、用户数据完整性7个方面,来设计、实现或选购第三级终端计算机所需要的操作系统。
4.3.1.3安全支撑系统
4.3.1.3.1密码支持
应按以下要求,设计与实现第三级终端计算机密码支持功能密码算法:应使用国家密码管理部门批准的密码算法,并应来用密码硬件实现密码算法。a
b)密码操作:应按照密码算法要求实现密码操作,并至少支持如下操作:密钥生成操作、数据加密和解密操作、数字签名生成和验证操作、数据完整性度量生成和验证操作、消息认证码生成与验证操作、随机数生成操作。其中密钥生成、数字签名与验证等关键密码操作应基于密码硬件支持。
c)密钥管理:应对密码操作所使用的密钥进行全生命周期管理,包括密钥生成、密钥交换、密钥存取、密钥废除。密钥管理应符合国家密钥管理标准GB/T17901.1一1999的相关要求。应建立一个可信存储根密钥,所有密钥应受可信存储根保护,可信存储根本身应由可信密码模块保护。
4.3.1.3.2运行时防护
应按GB/T20271一2006申6.3.2.5和6.3.2.7的要求,从以下方面设计和实现第三级终端计算GB/T29240—2012
机的运行时防护功能:
a)恶意代码防护:
一特征码扫描:对文件系统、内存和使用时的外来介质采用特征码扫描,并根据扫描结果采取相应措施,清除或隔离恶意代码。恶意代码特征库应及时更新。b)网络攻击防护:终端计算机应采取必要措施监控主机与外部网络的数据通信,确保系统免受列外部网络侵害或恶意远程控制。应采取的措施包括:IP包过滤:应能够支持基于源地址、目的地址的访间控制,将不符合预先设定策略的数据包丢弃;
应用程序监控:应能够设置应用程序对网络的访问控制规则。4.3.1.3.3系统安全性检测分析
应按GB/T20271一2006中6.3.2.2的要求,设计和实现终端计算机第三级的系统安全性检测分析功能:
a)操作系统安全性检测分析:应从终端计算机操作系统的角度,以管理员身份评估文件许可、文件宿主、网络服务设置、账户设置、程序真实性以及一股的与用户相关的安全点、入侵迹象等,从而检测和分析操作系统的安全性,发现存在的安全隐患,并提出补救措施;b)硬件系统安全性检测分析:应对支持终端计算机运行的硬件系统进行安全性检测,通过扫描硬件系统中与系统运行和数据保护有关的特定安全脆弱性,分析其存在的缺陷和漏洞,提出补救措施。
4.3.1.3.4系统身份标识与鉴别
a)系统身份标识:
应对终端计算机进行身份标识,确保其身份唯一性和真实性:唯一性标识:应通过唯一绑定的可信密码模块产生的密钥来标识系统身份,该身份密钥即为可信报告根。
标识可信性:身份标识可信性应通过国家批准的权威机构颁发证书来实现隐秘性:需要时应使系统身份标识在某些特定条件下具有不可关联性:可以基于第三方权威机构颁发特定证书实现系统身份标识的隐秘性标识信息管理:应对终端计算机身份标识信息进行管理、维护,确保其不被非授权地访问、修改或删除。
b)系统身份鉴别:
在进行终端计算机身份鉴别时,请求方应提供系统的身份证书和/或证书信任链验证路径,并通过一定的认证协议完成身份鉴别过程。4.3.1.3.5数据保密性保护
应按GB/T20271一2006中6.3.3.8的数据保密性要求,从以下方面设计和实现终端计算机的数据保密性功能:
a)数据存储保密性:
应对存储在终端计算机内的重要用户数据进行保密性保护:例如数据加密:应确保加密后的数据由密钥的合法持有者解密,除合法持有密钥者外,其余任何用户不应获得该数据。
数据绑定:如果基于可信存储根实现对数据的保密存储,应确保数据由密钥的合法持有者在特定终端计算机中解密。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。