GA/T 672-2006
基本信息
标准号: GA/T 672-2006
中文名称:信息安全技术终端计算机系统安全等级评估准则
标准类别:公共安全行业标准(GA)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1851461
相关标签: 信息安全 技术 终端 计算机系统 安全等级 评估 准则
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GA/T 672-2006.Information security technology-Evaluation criteria for terminal computer system of security classified protection.
1范围
GA/T 672规定了终端计算机系统的评估方法。
GA/T 672适用于按照GA/T 671-2006《信息安全技术终 端计算机系统安全等级技术要求》所开发的终端计算机系统的评估。
2规范性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859--1999计算机信息 系统安全保护等级划分准则
GB/T 20271- 2006信息安全技术信息系统通用安全技术要求
GB/T 20272--2006信息安全技术操作系统安全技术要求
GA/T 671- -2006信息安全技术 终端计算机 系统安全等级技术要求
3术语、定义和缩略语
3.1 术语和定义
GB 17859- 1999 .GB/T 20271- 2006 和GB/T 20272- -2006 确立的以及下列术语和定义适用于本标准。
3.1.1终端计算机系统terminal computer system
一种个人使用的计算机系统,是信息系统的重要组成部分,为用户访问网络服务器提供支持。终端计算机系统表现为桌面型计算机系统和膝上型计算机系统两种形态。终端计算机系统一般由硬件系统、操作系统和应用系统(包括为用户访问网络服务器提供支持的工具软件和其他应用软件)等部分组成。
3.1.2可信trusted
一种特性,具有该特性的实体总是以预期的行为和方式达到既定目的。
1范围
GA/T 672规定了终端计算机系统的评估方法。
GA/T 672适用于按照GA/T 671-2006《信息安全技术终 端计算机系统安全等级技术要求》所开发的终端计算机系统的评估。
2规范性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859--1999计算机信息 系统安全保护等级划分准则
GB/T 20271- 2006信息安全技术信息系统通用安全技术要求
GB/T 20272--2006信息安全技术操作系统安全技术要求
GA/T 671- -2006信息安全技术 终端计算机 系统安全等级技术要求
3术语、定义和缩略语
3.1 术语和定义
GB 17859- 1999 .GB/T 20271- 2006 和GB/T 20272- -2006 确立的以及下列术语和定义适用于本标准。
3.1.1终端计算机系统terminal computer system
一种个人使用的计算机系统,是信息系统的重要组成部分,为用户访问网络服务器提供支持。终端计算机系统表现为桌面型计算机系统和膝上型计算机系统两种形态。终端计算机系统一般由硬件系统、操作系统和应用系统(包括为用户访问网络服务器提供支持的工具软件和其他应用软件)等部分组成。
3.1.2可信trusted
一种特性,具有该特性的实体总是以预期的行为和方式达到既定目的。
标准图片预览
标准内容
ICS. 35. 040
中华人民共和国公共安全行业标准GA/T672—2006
信息安全技术
终端计算机系统安全等级评估准则Information security technology-Evaluation criteria for terminal computer systemof security classified protection2006-12-28发布
中华人民共和国公安部
2007-02-01实施
GA/T 6722006
规范性引用文件
3术语、定义和缩略语·
3.1术语和定义
3.?缩略
1信息安全技术终端计算机系统安全等级评估推则4.
第一级:用心自主保扩级
安全功能要求
SSOCS自身安全保护
SSO)TCS设计和实现*
1.2第二级·系统审计保护级
企动能蓉求
SSOTCSH身安全保护
SSOTCS 设计和实现
第三级:安全标记保护级
安全功能要求
SSOTYS白身安全保护
sSUCS 设计和实现
参.号文献
TKAoNiKAca
本标准由公安部信息系统安全标准化技术委员会提出。本标准由全国信息安全标准化技术委员会H口。木标准起草单位:公安部计算机信息系统安全产品质量监督检验中心GA/T 672—2006
本标准主要起草人:底梓华、顾健、景乾元、李毅、沈亮、张爽、邹吞明、马海燕、俞优,GA/T672—2006
本标准用以指导评估者如何评估各安全等级的终端计算机系统。终端计算机系统在计算机信息系统中,承拒差大量数据存储、处理、传输的工作,与用户有着最紧密的联系。终端计算机系统的安全,对整个信息系统的安全,起者至关重要的作用。在各个安全等级的信息系统中,整端计算机系统也应该达到相应的安全等级本标准依据《信息安个技术终端计算机系统安全等级技术要求》的相美要求,对第一、第一和第二级的终端计算机系统提出了具体的许估方法,能够对终端计算机系统的测试、开发提供指导。iKAoNiKAca
1范围
信息安全技术
终端计算机系统安全等级评估准本标准规定了终端计算机系统的评估方法。GA/T 672—2006
本标准适用于按照GA/T 671一2006%信息安全技术终端计算机系统安全等级技术要求》所开发的终端计算机系统的评估。
2规范性引用文件
下刻文件中的条款通过在本标准的引用而成为本标准的条款。凡是注口期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标谁,然而,鼓励根据本标谁达成协设的各方研究是否可使用这些文件的最新版本。凡是不注H期的引用文件,其最新版本适用于本标雅。GB17859--1999计算机信息系统安全保护等级划分准则GB/T20271—2006信息安全技术信息系统通用安全技术要求(:B/T20272--2006信息安全技术操作系统安全技术要求GA/T 671一2006信息安全技术终端计算机系统安全等级技术要求3术语.定义和缩略语
3.1术语和定义
GB1785S1999,GB/T202712006利GB/T 202722006确立.的以及下列术语和定义适用于木标难,
终端计算机系统terminal computer system一种个人使用的计算机系统,是信息系统的重要组成部分,为用户访问网络服务器提供支持。终端计算机系统表现为桌面型计算机系统和膝上型计算机系统两种形态:终端计算机系统-瑕出硬件系统.燥作系统和应用系统(包括为用户访问网络服务器提供支持的工具软件和其他应用软件)等部分组成。
可信 trusted
二种特性,具有该特性的实体总以预期的行为和方式达到既定目的。3. 1. 3
完整性度量(简称度量) measorenent of integrity一种使用密码学杂凑算法对实体计算其杂凑值的过程。3. 1. 4
完整性基准值(简称基准值)criteria of integrity measurement实体在可借状态下度最得到的杂读值,可用来作为完整性校验基推。3.1.5
度量根root uf Irust for measurement一个可信的实体,是终端计算机系统内进行可倍度量的基点,1
GA/T 672—2006
动态度量根dynanic root of trust for measuremenl度量根的种,支持终端计算机系统对动态启动的程序模块送行实时可信度量。3.1.7
存储根 root of trust for storagt一个可信的实体,是终端计算机系统内进行可信存储的基点3. 1. 8
报告根rootof trust forreporting一个可信的实体,是终端计算机系统内进行可信报告的基点3. 1. 9
可信根Trusledruot
度量根、存储根利报告根的集合,是保证终端计算机系统可信的基础。3. 1. 10
可信硬件模块trusted hardware module嵌人终端计算机硬件系统内的一个缠件模块:它应包含存储根,报告根,能独立提供密码学运算功能,具有受保护的存储空间。
信任链Trusted chains
一种在终端计算机系统启动划程中,基于完整性度童的方法确保终端计算机系统可信的技术。3. 1.12
可信计算平台trustedcomputingplatform是基于可信硬件模块或可信软件模块构定的计算平台,支持系统身份标识服务,密码学服务和信任服务·并为系统提供信任链保护和运行安全保护。3.1.13
终端计算机系统安全子系统securitysubsystemofterminalcomputersystem(SsoTCs)终端计算机系统内安全保护装置的总称,包括硬件、固件、软件和负责执行安全策略的组合体。它建了个基本的终端计算机系统安全保护环境:并提供终端计算机系统所要求的附加用户服务。终端计算机系统安全子系统应从硬件系统.操作系统,应用系统和系统运行等方面对终端计算机系统进行安全保护
注:按照(GB1785?1299对TCB(可信计算基)的完义,SS(\TLS(终端计算系统安全子系统)就是终竭计算机系统的 TCli
SSOTCS 安全功能 SSOTCS security function正确实施SSO)TCS安全策略的全部硬件、固件、软件所提供的功能,每一个安全策略的实现,组成一个安全功能模快。一个SSOTCS的所有安全功能模块共同组成该SSOTCS的安全功能。3.1.15
SSOTCS安全控制范围SSOTCSscopeofcontrotSSUICS的操作所涉及的主体和客体。3.1.16
SSorcs安全策略SsoTCSseeuritypoliey对SSOTCS 中的资源进行管,保护和分配的一组规则。一个 SS(TCS 中n以有一个或多个安全策略。
3.2缩略语
下列缩略语适用于本标准:
TYIKAONYKAca
GA/T 672--2006
SSoTcs终端计算机系统安全子系统sec:urity subsystem of terminal computer system安全功能SSOIcS安全功能SSOTCSserurityfunetionSSC SSOTCS控制范围 SSOTCS scoue ui controlSSPSSOTCS安全策略SSOTCS securitypolicyTCP可信i算平台trustedcomputerplatforn4信息安全技术终端计算机系统安全等级评估准则4.1第一级:用户自主保护级
4.1.1安全功能要求
4.1.1.1物理系统
4.1.1.1.1设备安全可用
评估内容:
见GA/T6712006中5.1.1.1.|的内容。对开发者的要求:
开发老应提供文档,说明终端计算机系统的设备提供哪些基本的运行支持措施,提供些必要的容错和故障恢复能力:
评方法:
)按照开发者提供的文档,逐项验证所提供的运行支持浩施是否有效,能否支持终端计算机系统的基本运行:
b)按照开发者提供的文档,模拟出现一些故障事件(如:调电,硬件故障等),验证终端计算机系统的容错和故障恢复能力是否有效。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4.1.1.1.2设备防盗防毁
评估内容:
见 GA/I 671—2006 中 5. 1. 1. 1. 2的内容对开发者的要求:
开发者应提供文档,说明终端计算机系统的设备具有嘱些无法除上的标记。评估方法:
按照开发者提供的文挡,尝试使用各种力式除去设备中的标记,检测能否除去,记录测试结果并对该结果足否完全衍合上述评估方法要求作出判断,4.1.1.2可信计算平台
4.1.1.2.1密码支持
评估内容:
见GA/T 671—2006 巾5..1. 3, 1的内容对开发者的要求:
开发者应提供文档和相关证书.说明所使用的密码算法、相关的密码操作以及相义的密钥管理措施,并证明所使用的率码算法已经通过国家密码管理部门的批准。评估方法:
a)按照开发者提供的文档和关证书.检测所使用的密码算法,是否已经通过国家密码管理部门的批准:
b)检测公钥密码算法、对称密码算法、杂凑算法和随机数生成器算法,足采用软件实现,还是采用硬件实现。如果硬件支持措拔,将硬件拨出,捡测能否进行相关密码操作;心)按照发者提供的文档,检测所有密钥足否受存储根保护。GA/T 672—2006
记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1.1.2.2信任链
评估内容:
见 GA/T 671 2006 中 5. 1. 1, 3, 2的内容对开发者的要求:
开发者应提供文档,说明终端计算机系统如何作系统启动过程中,对BIOS,MBR、OS 等部件进行完整性度量,并说明完整性度量值是否存诺在一个受保护的区域中。评估方法:
a)使用各种方法和工具,对BIOS进行修政,启动系统,检测系统能否检测出BICOS的完整性被破坏;
使用各种方法和T具,对MBR逃行修改-启动系统,检测系统能否检测出MRR 的完整性被破坏;
使用各种方法和工具,对OS进行修改,启动系统,检测系统能否检测出OS的完整性被破坏:
使用各种方法和工具,对存储的完整性度量值进行篡改和破坏,检测系统能否保护完整d)
性度量值,
记录测试结果并对该结果是否完全符合1述评估方法要求作出判断。4.1.1.2.3运行时防护
评估内容:
见 (A/T 671—2006 中 5. 1. 1. 3. 3的内容。评估方讼:
a)在系统中植人个测试用的恶意代码,并运行恶意代码:b)对文件系统和内存进行扫描,检测系统能否清除或隔离恶意代码;心)检测系统能否对恶意代码特征库进行及时更新。记录测试结果并对该结果是否完全符合上述评估为法要求作出判断。4.1.1.2.4系统安全性检测分析
评括内睿:
见GA/T671—2006中5.1.1.3.4的内容。对开发者的要求:
开发者应提供文档,说明终端计算机足否经过操作系统安全性检测分析,并且提供相应的检测分析报告。
评循方法:
a)按照开发者提供的文档,检测终端计算机是否经过操作系统安全性检测分析:b)根据相关的检测报告,判断检测方法是否科学,检测结果是否可信。,记录测试结果并对该结果是否完全符合1述评估方法要求作出翔断。4.1.1.2.5备份与故障恢复
评估内容:
见 GA/T 671 2006 中 5. 1,1.3. 5的内容评估方法:
a)以用户身份有选择地备份重要数据的功能,对数据行修改,然后进行恢复,检测能否有效恢复:
1)对系统定时进行增量备份,对系统数据进行修改,然后进行恢复,检测能否有效恢复记录测试结果并对该结果是否完全符合上述评估力法要求作出判断。4
HIKAONiKAca
4.1.1.2.6I/0接口配置
评估内容:
见A/T671—2006中5.1.1.3.6的内容。评估方法:
GA/T 672—2006
a)以用户身份,在BIOS 和操作系统中分别启用串口、并口、PCT、LISB、网卡睡盘,检测能否正常使用;
以用户身份-在BIOS和操作系统中.分别禁用串口、并口、PCI、L:SB、网卡、硬盘.检测能)
否使用。
记录测试结果并对该结果是否完全符合上述评估方法要求作出判断,4. 1. 2SSOTCS自身安全保护
4.1.2.1可信根安全保护
评估内容:
GA/T 671-2006中 5.1.2.1a)的内容。对并发者的要求:
开发者应提供文档,说明采取哪些保护措施,以防止存储根和报告根的泄漏和窜改,说明是否对度量根采取物理保护措施。
评估方法:
以各种方法和工具,尝试读取,修改存储根和报告根,检测能否尝试成功:a
h)按照开发者提供的文档,检测是否对度量根采取物理保护措施,并H.检测保护措施的有效性。
记录测试结果并对该结果是否完全符合上述评估法要求作出判断,4.1.3SSOTCS设计和实现
4,1. 3. 1配置管理
评后内容:
见(B/T20271—2006中6.1.5.1的内容。评估方法:
评信者应审查开发者提供的配置管理支持文档是否完全符合以下要求:开发者所使用的版术号与所应表示的终端计算机系统样本应完全对应,没有歧义。记录市查结果并对该结果是否完全符合上述评估方法要求作出判断。4.1.3.2分发和操作
4.1.3.2.1分发
评估内容:
见GB/T20271--2006中6.1.5.2a)的内容。评估方法:
a)评估者应中查开发者足否按分发过程的要求,编制分发文档;h)评估者应审查分发文档,是否描述给用户分发终端计算机系统时,用以维护安全所必须的所有过程;
e)评估者应审查是否按该过程进行分发。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4.t.3.2.2操作
评估内容:
见GR/T20271—2006中 6.1. 5.2 b>的内容。GA/T 672—2006
评估行法:
a)评估者应审查操作文档,是否说明了终端计算机系统的安装、生成,启动和使用的过程;b)用应能通过此文挡了解安装、生成、启动和使用过程记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1. 3.3 开发
4.1.3.3.1功能设计
评估内容:
见GB/T20271—2006中5.1.5.3a)的内容。评估方法:
评估者应审查并发者所提供的信息是否满足如下要求a)功能设计应使用非形式化风格来描述终端计算机系统安全功能与其外部接口;b)功能设计应是内在一致的:
功能设计应描述使用所有外部终端计算机系统安全功能接口的目的与方法,适当的时候,应提供结果影响例外情况和错误信息的细节,记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4.1.3.3.2高层设计
评估内容:
见 GB/T 20271—2006 中 6. 1. 5. 3 b)的内容。评估方法:
评估者应审查开发者所提供的高层设计文档是否满足如下要求:a)以子系统的观点,以非形式化的方法来一致性地描述终端计算机系统的体系结构;b)描述每一个于系统所提供的安全功能及其相互关系:c)标识安全功能要求的任何基础性的件、固件和/或软作,并且通过这些硬件、固件和/或软件所实现的保护机制,来提供安全功能;d)标识安个功能子系统的所有接[1,并标明安全功能子系统的哪些接口是外部可见的,记录审查结果并对该结果是否完全符合上述评估方法要求作出判断,4. 1. 3. 3. 3低层设计
评估内容:
见GB/T 201271—2006中 6.1.5.3c)的内容。评估方法:
评估者应审查开发者所提供的低层设计文档是否满定如下要求:a)低层设计的表示应是非形式化的、内在一致的.并以模快术谱捕述;h)描述每一个模块的目的;
以所提供的安全功能和对其他模块的依赖性术语定义模块问的相互关系;描述如何提供每一个安全策略功能的实施:d
标识终端计算机系统安全功能模块的所有接口,标识终端计算机系统安全功能模块的哪e
些接口是外部可见的,以及描述终端计算机系统安全功能模块所有接口的目的与方法,必要时,应提供影响、例外情况和错误信息的细节;f)描述如何将终端计算机系统分离成安全策略实施模块和其他模块。记录审查结果并对该结果是否完全符台上述评估方法要求作出判断,4.1.3.3.4内部结构设计
评估内容:
见 GB/T 20271—2006 中 6. 1. 5. 3 d)的肉容,G
KAOKAca
评估力法:
评估者应审查开发者所提供的信是否满足如下要求:GA/T 672—2006
)应以模块化方法设计利构建终端计算机系统安全功能,并避免设计模块之间出现不必要的交互;
标识终端计算机系统安全功能模块,并应描述每一个终端计算机系统安会功能模块的目b)
的接、参数和影响:
)描述终端计算机系统安全功能设计是如何使独立的模块间避免不必要的交瓦作用。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断,4.1.3.3.5实现表示设计
评佐内容:
见GB/T202712006 6,1.5,3e>的内容。评估另法:
评估者应审查开发者所提供的信息是否满足如下要求:应无歧义地为选定的终端计算机系统安全功能子集定义一个详纠级别的终端计算机系统安个均能实现表示,并月实现表示应是内在致的。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4.1.3.3.6对应性设计
评估内容:
见(3/20271~20C640.1.5.3)的内容。评估方法:
评估者应中查开发者所提供的信息是否满足如下要求:应在所提供的终端计算机系统安全功能表示的所有捐邻对之间提供其对成性分析,对每个相邻对成阐明较为拍象的终端计算机系统安全功能表示的所有相关安个功能在较不抽象的终端计算机系统安全功能表示中得到正确而完备池细化记录古查结果并对该结果是否完全符合匕述评估方法要求作出判断,4.1.3.4文档要求
4.1.3.4.1管理员指南
评内容:Www.bzxZ.net
GB/T2027!:20066.1.6,的内容
评估方法:
评估名应审查开发者是否提供广供系统管理员使用的管现理员指南,并且此管埋员指南是否包括如下内容:
终端计算机系统叫以使用的管理功能和接口;a
怎样安全地管理终端计策机系统;b)
在安全处理环境中成进行控制的功能和权限:所有对与终端计算机系统的安全染作有关的用户行为的假设;所有受管埋员控制的安全参数.如果可能·应指明安全值;e
链种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的政变:
8)所有与系统管理员有义IT环境的安全要求。记录审查结果并对该果是否完全符合[述评估方法要求作山判断。4.1.3.4.2用户指南
评估内容:
见G3/20271—2006 牛 6.1.5.4的内容。7
GA/T 672-2006
评估方法:
评估者应审查开发者足否提供了供系统用户使用的用户指南,并且此用户指南是否包括如下内容:
的)终端计算机系统的非管理用可使用的安全功能和接口;终端计算机系统提供给用的安全功能和接口的用法:by
用户可获取但应受安全处理环境控制的所有功能和权限;d)终端计算机系统安全操作中用户所应承担的职责;e)与用广有关的1T环境的所有安全要求。记录审查结果并对该结果是否完全符合1述评估方法要求作出判断,4.1.3.5生存周期支持
评内睿:
见GB/T20271-2006中6.1.5.5的内容。评估方法:
评估者应审查开发者所提供的信息是否满足如下要求:开发者应建立用于开发和维护终端计算机系统的生存周期模型,对终端计算机系统开发和维护提供必要的控制,并以文挡形式描述用于开发和维护终端计算机系统的模型记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1. 3. 6测试
4.1.3.6.1功能测试
评估内容:
见GB/T 20271—2006 中 6.1. 5. 6 )的内容。评估方法:
评价开发者提供的测试文档,是否包括测试计划、测试规程、预期的测试结果和实际测试a
结果;
b)评价测试计划是否标识了要测试的安全功能,足否描述了测试的目标:评价测试规程是否标识了要执行的测试,是否描述了每个安全功能的测试概况(这些概况包括对其他测试结果的顺序依赖性);d)评价期望的测试结果是否表明测试成功后的预期输出;e)评价实际测试结果是否表明每个被测试的安全功能能按照规定进行运作。记录审查结果并对该结果是否完全衍合上述评估方法要求作出判断。4.1.3.6.2独立性测试
评括内容:
见 GB/T 202712006 中 6. 1, 5. 6 b)的内容。评估方法:
a)开发者提供的测试文档,应表明安全功能是按规定运作的;b)开发者应提供与测试相适应的整端计算机系统,记录审查结果并对该结果是否完全符合1述评估方法要求作出判断。4.2第二级:系统审计保护级
4.2.1安全功能要求
4.2.1.1物理系统
4.2.1.1.1设备安全可用
评估内容:
见GA/T 671 2006 中 5.2.1, 1. 1的内容。8
TYIKAONTKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国公共安全行业标准GA/T672—2006
信息安全技术
终端计算机系统安全等级评估准则Information security technology-Evaluation criteria for terminal computer systemof security classified protection2006-12-28发布
中华人民共和国公安部
2007-02-01实施
GA/T 6722006
规范性引用文件
3术语、定义和缩略语·
3.1术语和定义
3.?缩略
1信息安全技术终端计算机系统安全等级评估推则4.
第一级:用心自主保扩级
安全功能要求
SSOCS自身安全保护
SSO)TCS设计和实现*
1.2第二级·系统审计保护级
企动能蓉求
SSOTCSH身安全保护
SSOTCS 设计和实现
第三级:安全标记保护级
安全功能要求
SSOTYS白身安全保护
sSUCS 设计和实现
参.号文献
TKAoNiKAca
本标准由公安部信息系统安全标准化技术委员会提出。本标准由全国信息安全标准化技术委员会H口。木标准起草单位:公安部计算机信息系统安全产品质量监督检验中心GA/T 672—2006
本标准主要起草人:底梓华、顾健、景乾元、李毅、沈亮、张爽、邹吞明、马海燕、俞优,GA/T672—2006
本标准用以指导评估者如何评估各安全等级的终端计算机系统。终端计算机系统在计算机信息系统中,承拒差大量数据存储、处理、传输的工作,与用户有着最紧密的联系。终端计算机系统的安全,对整个信息系统的安全,起者至关重要的作用。在各个安全等级的信息系统中,整端计算机系统也应该达到相应的安全等级本标准依据《信息安个技术终端计算机系统安全等级技术要求》的相美要求,对第一、第一和第二级的终端计算机系统提出了具体的许估方法,能够对终端计算机系统的测试、开发提供指导。iKAoNiKAca
1范围
信息安全技术
终端计算机系统安全等级评估准本标准规定了终端计算机系统的评估方法。GA/T 672—2006
本标准适用于按照GA/T 671一2006%信息安全技术终端计算机系统安全等级技术要求》所开发的终端计算机系统的评估。
2规范性引用文件
下刻文件中的条款通过在本标准的引用而成为本标准的条款。凡是注口期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标谁,然而,鼓励根据本标谁达成协设的各方研究是否可使用这些文件的最新版本。凡是不注H期的引用文件,其最新版本适用于本标雅。GB17859--1999计算机信息系统安全保护等级划分准则GB/T20271—2006信息安全技术信息系统通用安全技术要求(:B/T20272--2006信息安全技术操作系统安全技术要求GA/T 671一2006信息安全技术终端计算机系统安全等级技术要求3术语.定义和缩略语
3.1术语和定义
GB1785S1999,GB/T202712006利GB/T 202722006确立.的以及下列术语和定义适用于木标难,
终端计算机系统terminal computer system一种个人使用的计算机系统,是信息系统的重要组成部分,为用户访问网络服务器提供支持。终端计算机系统表现为桌面型计算机系统和膝上型计算机系统两种形态:终端计算机系统-瑕出硬件系统.燥作系统和应用系统(包括为用户访问网络服务器提供支持的工具软件和其他应用软件)等部分组成。
可信 trusted
二种特性,具有该特性的实体总以预期的行为和方式达到既定目的。3. 1. 3
完整性度量(简称度量) measorenent of integrity一种使用密码学杂凑算法对实体计算其杂凑值的过程。3. 1. 4
完整性基准值(简称基准值)criteria of integrity measurement实体在可借状态下度最得到的杂读值,可用来作为完整性校验基推。3.1.5
度量根root uf Irust for measurement一个可信的实体,是终端计算机系统内进行可倍度量的基点,1
GA/T 672—2006
动态度量根dynanic root of trust for measuremenl度量根的种,支持终端计算机系统对动态启动的程序模块送行实时可信度量。3.1.7
存储根 root of trust for storagt一个可信的实体,是终端计算机系统内进行可信存储的基点3. 1. 8
报告根rootof trust forreporting一个可信的实体,是终端计算机系统内进行可信报告的基点3. 1. 9
可信根Trusledruot
度量根、存储根利报告根的集合,是保证终端计算机系统可信的基础。3. 1. 10
可信硬件模块trusted hardware module嵌人终端计算机硬件系统内的一个缠件模块:它应包含存储根,报告根,能独立提供密码学运算功能,具有受保护的存储空间。
信任链Trusted chains
一种在终端计算机系统启动划程中,基于完整性度童的方法确保终端计算机系统可信的技术。3. 1.12
可信计算平台trustedcomputingplatform是基于可信硬件模块或可信软件模块构定的计算平台,支持系统身份标识服务,密码学服务和信任服务·并为系统提供信任链保护和运行安全保护。3.1.13
终端计算机系统安全子系统securitysubsystemofterminalcomputersystem(SsoTCs)终端计算机系统内安全保护装置的总称,包括硬件、固件、软件和负责执行安全策略的组合体。它建了个基本的终端计算机系统安全保护环境:并提供终端计算机系统所要求的附加用户服务。终端计算机系统安全子系统应从硬件系统.操作系统,应用系统和系统运行等方面对终端计算机系统进行安全保护
注:按照(GB1785?1299对TCB(可信计算基)的完义,SS(\TLS(终端计算系统安全子系统)就是终竭计算机系统的 TCli
SSOTCS 安全功能 SSOTCS security function正确实施SSO)TCS安全策略的全部硬件、固件、软件所提供的功能,每一个安全策略的实现,组成一个安全功能模快。一个SSOTCS的所有安全功能模块共同组成该SSOTCS的安全功能。3.1.15
SSOTCS安全控制范围SSOTCSscopeofcontrotSSUICS的操作所涉及的主体和客体。3.1.16
SSorcs安全策略SsoTCSseeuritypoliey对SSOTCS 中的资源进行管,保护和分配的一组规则。一个 SS(TCS 中n以有一个或多个安全策略。
3.2缩略语
下列缩略语适用于本标准:
TYIKAONYKAca
GA/T 672--2006
SSoTcs终端计算机系统安全子系统sec:urity subsystem of terminal computer system安全功能SSOIcS安全功能SSOTCSserurityfunetionSSC SSOTCS控制范围 SSOTCS scoue ui controlSSPSSOTCS安全策略SSOTCS securitypolicyTCP可信i算平台trustedcomputerplatforn4信息安全技术终端计算机系统安全等级评估准则4.1第一级:用户自主保护级
4.1.1安全功能要求
4.1.1.1物理系统
4.1.1.1.1设备安全可用
评估内容:
见GA/T6712006中5.1.1.1.|的内容。对开发者的要求:
开发老应提供文档,说明终端计算机系统的设备提供哪些基本的运行支持措施,提供些必要的容错和故障恢复能力:
评方法:
)按照开发者提供的文档,逐项验证所提供的运行支持浩施是否有效,能否支持终端计算机系统的基本运行:
b)按照开发者提供的文档,模拟出现一些故障事件(如:调电,硬件故障等),验证终端计算机系统的容错和故障恢复能力是否有效。记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4.1.1.1.2设备防盗防毁
评估内容:
见 GA/I 671—2006 中 5. 1. 1. 1. 2的内容对开发者的要求:
开发者应提供文档,说明终端计算机系统的设备具有嘱些无法除上的标记。评估方法:
按照开发者提供的文挡,尝试使用各种力式除去设备中的标记,检测能否除去,记录测试结果并对该结果足否完全衍合上述评估方法要求作出判断,4.1.1.2可信计算平台
4.1.1.2.1密码支持
评估内容:
见GA/T 671—2006 巾5..1. 3, 1的内容对开发者的要求:
开发者应提供文档和相关证书.说明所使用的密码算法、相关的密码操作以及相义的密钥管理措施,并证明所使用的率码算法已经通过国家密码管理部门的批准。评估方法:
a)按照开发者提供的文档和关证书.检测所使用的密码算法,是否已经通过国家密码管理部门的批准:
b)检测公钥密码算法、对称密码算法、杂凑算法和随机数生成器算法,足采用软件实现,还是采用硬件实现。如果硬件支持措拔,将硬件拨出,捡测能否进行相关密码操作;心)按照发者提供的文档,检测所有密钥足否受存储根保护。GA/T 672—2006
记录测试结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1.1.2.2信任链
评估内容:
见 GA/T 671 2006 中 5. 1. 1, 3, 2的内容对开发者的要求:
开发者应提供文档,说明终端计算机系统如何作系统启动过程中,对BIOS,MBR、OS 等部件进行完整性度量,并说明完整性度量值是否存诺在一个受保护的区域中。评估方法:
a)使用各种方法和工具,对BIOS进行修政,启动系统,检测系统能否检测出BICOS的完整性被破坏;
使用各种方法和T具,对MBR逃行修改-启动系统,检测系统能否检测出MRR 的完整性被破坏;
使用各种方法和工具,对OS进行修改,启动系统,检测系统能否检测出OS的完整性被破坏:
使用各种方法和工具,对存储的完整性度量值进行篡改和破坏,检测系统能否保护完整d)
性度量值,
记录测试结果并对该结果是否完全符合1述评估方法要求作出判断。4.1.1.2.3运行时防护
评估内容:
见 (A/T 671—2006 中 5. 1. 1. 3. 3的内容。评估方讼:
a)在系统中植人个测试用的恶意代码,并运行恶意代码:b)对文件系统和内存进行扫描,检测系统能否清除或隔离恶意代码;心)检测系统能否对恶意代码特征库进行及时更新。记录测试结果并对该结果是否完全符合上述评估为法要求作出判断。4.1.1.2.4系统安全性检测分析
评括内睿:
见GA/T671—2006中5.1.1.3.4的内容。对开发者的要求:
开发者应提供文档,说明终端计算机足否经过操作系统安全性检测分析,并且提供相应的检测分析报告。
评循方法:
a)按照开发者提供的文档,检测终端计算机是否经过操作系统安全性检测分析:b)根据相关的检测报告,判断检测方法是否科学,检测结果是否可信。,记录测试结果并对该结果是否完全符合1述评估方法要求作出翔断。4.1.1.2.5备份与故障恢复
评估内容:
见 GA/T 671 2006 中 5. 1,1.3. 5的内容评估方法:
a)以用户身份有选择地备份重要数据的功能,对数据行修改,然后进行恢复,检测能否有效恢复:
1)对系统定时进行增量备份,对系统数据进行修改,然后进行恢复,检测能否有效恢复记录测试结果并对该结果是否完全符合上述评估力法要求作出判断。4
HIKAONiKAca
4.1.1.2.6I/0接口配置
评估内容:
见A/T671—2006中5.1.1.3.6的内容。评估方法:
GA/T 672—2006
a)以用户身份,在BIOS 和操作系统中分别启用串口、并口、PCT、LISB、网卡睡盘,检测能否正常使用;
以用户身份-在BIOS和操作系统中.分别禁用串口、并口、PCI、L:SB、网卡、硬盘.检测能)
否使用。
记录测试结果并对该结果是否完全符合上述评估方法要求作出判断,4. 1. 2SSOTCS自身安全保护
4.1.2.1可信根安全保护
评估内容:
GA/T 671-2006中 5.1.2.1a)的内容。对并发者的要求:
开发者应提供文档,说明采取哪些保护措施,以防止存储根和报告根的泄漏和窜改,说明是否对度量根采取物理保护措施。
评估方法:
以各种方法和工具,尝试读取,修改存储根和报告根,检测能否尝试成功:a
h)按照开发者提供的文档,检测是否对度量根采取物理保护措施,并H.检测保护措施的有效性。
记录测试结果并对该结果是否完全符合上述评估法要求作出判断,4.1.3SSOTCS设计和实现
4,1. 3. 1配置管理
评后内容:
见(B/T20271—2006中6.1.5.1的内容。评估方法:
评信者应审查开发者提供的配置管理支持文档是否完全符合以下要求:开发者所使用的版术号与所应表示的终端计算机系统样本应完全对应,没有歧义。记录市查结果并对该结果是否完全符合上述评估方法要求作出判断。4.1.3.2分发和操作
4.1.3.2.1分发
评估内容:
见GB/T20271--2006中6.1.5.2a)的内容。评估方法:
a)评估者应中查开发者足否按分发过程的要求,编制分发文档;h)评估者应审查分发文档,是否描述给用户分发终端计算机系统时,用以维护安全所必须的所有过程;
e)评估者应审查是否按该过程进行分发。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4.t.3.2.2操作
评估内容:
见GR/T20271—2006中 6.1. 5.2 b>的内容。GA/T 672—2006
评估行法:
a)评估者应审查操作文档,是否说明了终端计算机系统的安装、生成,启动和使用的过程;b)用应能通过此文挡了解安装、生成、启动和使用过程记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1. 3.3 开发
4.1.3.3.1功能设计
评估内容:
见GB/T20271—2006中5.1.5.3a)的内容。评估方法:
评估者应审查并发者所提供的信息是否满足如下要求a)功能设计应使用非形式化风格来描述终端计算机系统安全功能与其外部接口;b)功能设计应是内在一致的:
功能设计应描述使用所有外部终端计算机系统安全功能接口的目的与方法,适当的时候,应提供结果影响例外情况和错误信息的细节,记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4.1.3.3.2高层设计
评估内容:
见 GB/T 20271—2006 中 6. 1. 5. 3 b)的内容。评估方法:
评估者应审查开发者所提供的高层设计文档是否满足如下要求:a)以子系统的观点,以非形式化的方法来一致性地描述终端计算机系统的体系结构;b)描述每一个于系统所提供的安全功能及其相互关系:c)标识安全功能要求的任何基础性的件、固件和/或软作,并且通过这些硬件、固件和/或软件所实现的保护机制,来提供安全功能;d)标识安个功能子系统的所有接[1,并标明安全功能子系统的哪些接口是外部可见的,记录审查结果并对该结果是否完全符合上述评估方法要求作出判断,4. 1. 3. 3. 3低层设计
评估内容:
见GB/T 201271—2006中 6.1.5.3c)的内容。评估方法:
评估者应审查开发者所提供的低层设计文档是否满定如下要求:a)低层设计的表示应是非形式化的、内在一致的.并以模快术谱捕述;h)描述每一个模块的目的;
以所提供的安全功能和对其他模块的依赖性术语定义模块问的相互关系;描述如何提供每一个安全策略功能的实施:d
标识终端计算机系统安全功能模块的所有接口,标识终端计算机系统安全功能模块的哪e
些接口是外部可见的,以及描述终端计算机系统安全功能模块所有接口的目的与方法,必要时,应提供影响、例外情况和错误信息的细节;f)描述如何将终端计算机系统分离成安全策略实施模块和其他模块。记录审查结果并对该结果是否完全符台上述评估方法要求作出判断,4.1.3.3.4内部结构设计
评估内容:
见 GB/T 20271—2006 中 6. 1. 5. 3 d)的肉容,G
KAOKAca
评估力法:
评估者应审查开发者所提供的信是否满足如下要求:GA/T 672—2006
)应以模块化方法设计利构建终端计算机系统安全功能,并避免设计模块之间出现不必要的交互;
标识终端计算机系统安全功能模块,并应描述每一个终端计算机系统安会功能模块的目b)
的接、参数和影响:
)描述终端计算机系统安全功能设计是如何使独立的模块间避免不必要的交瓦作用。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断,4.1.3.3.5实现表示设计
评佐内容:
见GB/T202712006 6,1.5,3e>的内容。评估另法:
评估者应审查开发者所提供的信息是否满足如下要求:应无歧义地为选定的终端计算机系统安全功能子集定义一个详纠级别的终端计算机系统安个均能实现表示,并月实现表示应是内在致的。记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4.1.3.3.6对应性设计
评估内容:
见(3/20271~20C640.1.5.3)的内容。评估方法:
评估者应中查开发者所提供的信息是否满足如下要求:应在所提供的终端计算机系统安全功能表示的所有捐邻对之间提供其对成性分析,对每个相邻对成阐明较为拍象的终端计算机系统安全功能表示的所有相关安个功能在较不抽象的终端计算机系统安全功能表示中得到正确而完备池细化记录古查结果并对该结果是否完全符合匕述评估方法要求作出判断,4.1.3.4文档要求
4.1.3.4.1管理员指南
评内容:Www.bzxZ.net
GB/T2027!:20066.1.6,的内容
评估方法:
评估名应审查开发者是否提供广供系统管理员使用的管现理员指南,并且此管埋员指南是否包括如下内容:
终端计算机系统叫以使用的管理功能和接口;a
怎样安全地管理终端计策机系统;b)
在安全处理环境中成进行控制的功能和权限:所有对与终端计算机系统的安全染作有关的用户行为的假设;所有受管埋员控制的安全参数.如果可能·应指明安全值;e
链种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的政变:
8)所有与系统管理员有义IT环境的安全要求。记录审查结果并对该果是否完全符合[述评估方法要求作山判断。4.1.3.4.2用户指南
评估内容:
见G3/20271—2006 牛 6.1.5.4的内容。7
GA/T 672-2006
评估方法:
评估者应审查开发者足否提供了供系统用户使用的用户指南,并且此用户指南是否包括如下内容:
的)终端计算机系统的非管理用可使用的安全功能和接口;终端计算机系统提供给用的安全功能和接口的用法:by
用户可获取但应受安全处理环境控制的所有功能和权限;d)终端计算机系统安全操作中用户所应承担的职责;e)与用广有关的1T环境的所有安全要求。记录审查结果并对该结果是否完全符合1述评估方法要求作出判断,4.1.3.5生存周期支持
评内睿:
见GB/T20271-2006中6.1.5.5的内容。评估方法:
评估者应审查开发者所提供的信息是否满足如下要求:开发者应建立用于开发和维护终端计算机系统的生存周期模型,对终端计算机系统开发和维护提供必要的控制,并以文挡形式描述用于开发和维护终端计算机系统的模型记录审查结果并对该结果是否完全符合上述评估方法要求作出判断。4. 1. 3. 6测试
4.1.3.6.1功能测试
评估内容:
见GB/T 20271—2006 中 6.1. 5. 6 )的内容。评估方法:
评价开发者提供的测试文档,是否包括测试计划、测试规程、预期的测试结果和实际测试a
结果;
b)评价测试计划是否标识了要测试的安全功能,足否描述了测试的目标:评价测试规程是否标识了要执行的测试,是否描述了每个安全功能的测试概况(这些概况包括对其他测试结果的顺序依赖性);d)评价期望的测试结果是否表明测试成功后的预期输出;e)评价实际测试结果是否表明每个被测试的安全功能能按照规定进行运作。记录审查结果并对该结果是否完全衍合上述评估方法要求作出判断。4.1.3.6.2独立性测试
评括内容:
见 GB/T 202712006 中 6. 1, 5. 6 b)的内容。评估方法:
a)开发者提供的测试文档,应表明安全功能是按规定运作的;b)开发者应提供与测试相适应的整端计算机系统,记录审查结果并对该结果是否完全符合1述评估方法要求作出判断。4.2第二级:系统审计保护级
4.2.1安全功能要求
4.2.1.1物理系统
4.2.1.1.1设备安全可用
评估内容:
见GA/T 671 2006 中 5.2.1, 1. 1的内容。8
TYIKAONTKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。