SJ 20628-1997
基本信息
标准号: SJ 20628-1997
中文名称:通用型军用计算机信息安全技术要求
标准类别:电子行业标准(SJ)
英文名称: Technical requirements for general military computer information security
标准状态:现行
发布日期:1997-06-17
实施日期:1997-10-01
出版语种:简体中文
下载格式:.rar.pdf
下载大小:7787320
标准分类号
中标分类号:>>>>L0137
关联标准
出版信息
页数:21页
标准价格:19.0 元
相关单位信息
标准简介
SJ 20628-1997 通用型军用计算机信息安全技术要求 SJ20628-1997 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
中华人民共和国电子行业军用标准FL0137
SJ20628-97
通用型军用计算机信息安全
技术要求
Information security technical requirementsfor general military computers1997-06-17发布
1997-10-01实施
中华人民共和国电子工业部批准1范围
1.1主题内容
1.2适用范围
2引用文件
3定义
3.1术语
3.2符号和缩写词
4一般要求
4.1一般原则
4.2信息安全特性
4.3安全系统的组成与基本安全功能要求5详细要求·
5.1加密
5.2防电磁信息泄漏·
5.3访问控制·
信息流控制
防火墙安全防护
5.6审计控制…
软件保护…
数据保护:
信息交换真实性和有效性的保护。5.10
防病毒
系统安全评估与形式化描述验证5.11
(13)
(15)
中华人民共和国电子行业军用标准通用型军用计算机信息安全
技术要求
Information securitytechnical requirementsfor general military computers1范围
1.1主题内容
本标准规定了军用计算机系统信息安全的通用技术要求。SJ20628-97
本标准不涉及信息安全立法、行政管理和计算机系统工作场区、辅助设施以及计算机系统工作环境条件的安全保护要求。1.2适用范围
本标准适用于通用型军用计算机信息安全系统的研制、开发和应用。对有相应信息安全要求的其他系统亦可参照使用。2引用文件
GJB1281-91
GJB1894-94
GJB2256—94
GJB2646—96
3定义
3.1术语
指挥自动化计算机网络安全要求指挥自动化系统数据加密要求
军用计算机安全术语
军用计算机安全评估准则
下列术语适用于本标准。
3.1.1访问控制access control
对用户、程序或进程访问系统资源进行授权与控制的过程。同义词:受控访间controlled access;受控访问性controlled accessibility。3.1.2访问控制机制accesscontrolmechanisms在信息系统中,为检测和防止未授权访问,以及为使授权访问正确进行所设计的硬件或软件功能、操作规程、管理规程和它们的各种组合(见GJB2256中3.4)。3.1.3审计跟踪adittrail
系统活动的流水记录。该记录按事件从始至终的途径,顺序重视、审查和检验每个事件的中华人民共和国电子工业部1997-06-17发布1997-10-01实施
环境及活动。
3.1.4鉴别authentication
SJ20628-97
a,验证用户、设备和其他实体的身份;b。验证数据的完整性(见GJB2256中3.16)。3.1.5授权authorization
授予用户、程序或进程的访问权(GJB2256中3.18)。3.1.6认证certification
信息系统技术和非技术的安全特征及其他防护的综合评估,用以支持审批过程和确定特殊的设计和实现满足一系列预定的安全需求的程度(见GJB2256中3.28)。3.1.7泄漏compromise
未授权的暴露或丢失敏感信息(见GJB2256中3.31)。3.1.8计算机安全computersecurity保护信息系统免遭拒绝服务、未授权(意外的或有意的)暴露、修改和数据破坏的措施和控制(见GJB2256中3.33)。
3.1.9隐蔽系统concealmentsystem把敏感信息嵌入到不相关的数据中,使其隐蔽起来,从而达到保密的一种手段(见GJB2256中3.34)。
confidentiality
3.1.10保密性
为秘密数据提供保护状态及保护等级的一种特性(见GJB2256中3.35)。3.1.11隐蔽信道covertchannel
使两个共同运行的进程,以违反系统安全策略的方式传输信息的通信信道(见GJB2256中3.44)
3.1.12隐蔽存储信道covertstoragechannel包含由一个进程直接或间接写一个存储地址,而由另一个进程直接或间接读一个存储地址的隐蔽信道(见GJB2256中3.4.5)。3.1.13密码算出cryptographicalgorithm用来从明文产生密钥流或密文,或从密钥流或密文产生明文而有严密定义的规程,或一系列规则或步骤。
3.1.14数据完整性data integrity信息系统中的数据与在原文档中的相同,并未遭受偶然或恶意的修改或破坏时所具的性质(见GJB2256中3.56)。
3.1.15数据安全data security
保护数据免受偶然的或恶意的修改、破环或暴露(见GJB2256中3.58)。3.1.16解密decipherment
使用适当的密钥,将已加密的文本转换成明文。3.1.17自主访问控制discretionary access control根据用户、进程、所属的群的标识和已知需要来限制对客体访问的一种手段。自主访问的含义是有访问许可的主体能够向其他主体转让访问权(见GJB2256中3.62)。3.1.18窃取eavesdropping
通过使用非搭线窃听的办法未授权截获信息(见GJB2256中3.64)。-2
3.1.19加密encipherment
SJ20628-97
通过密码系统把明文变换为不可懂的形式。3.1.20加密算法encryption algorythm实施一系列变换,使信息变成密文的一组数学规则(见GJB2256中3.68)。同义词:保密换算privacy transformation。3.1.21形式验证formatverification使用形式证明的过程,以论证系统形式说明与形式安全策略模型间的一致性(设计验证),或论证形式说明与它的程序实现间的一致性(执行验证)(见GJB2256中3.84)。3.1.22识别identification
通过机器可读的唯一名,由系统来认定实体的过程(GJ2256中3.87)。3.1.23信息安全information security为保证信息的完整性、可用性和保密性所需的全面管理、规程和控制(见GJB2256中3.90)。
3.1.24信息系统安全informationsystemsecurity为了提供对信息系统的保护,在计算机硬件、软件和数据上所建立的技术安全设施和管理规程(见GJB2256中3.91)。
3.1.25密钥key
在密码术中,一系列控制加密、解密操作的符号(见GJB2256中3.95)。3.1.26密钥管理keymanagement
涉及密钥和有关信息(如初始化矢量)的生成、分配、存储和销毁的规程(见GJB2256中3.96)。
3.1.27强制访问控制mandatoryaccesscontrol根据客体所含信息的敏感性及主体对这些敏感信息访问的正式授权来限制对客体访问的一种手段(见GJB2256中3.104)。3.1.28多级安全multilevel security一类包含不同等级敏感信息的系统,它既可供那些确有必要且具有不同安全许可和已知需要的用户同时访问,又能阻止用户去访问其无权过问的信息。3.1.29安全评估securityevaluation为评定在系统内安全处理敏感信息的可信度而做的评估。3.1.30安全内核securitykernel控制对系统资源的访问而实现基本安全规程的计算机系统的中心部分(见GJB2256中3.151)。
3.1.31安全策略securitypolicy规定机构如何管理、保护与分发敏感信息的法规与条例的集合(见GJB2256中3.153)。3.1.32敏感信息sensitiveinformation由于有意或无意的泄密、修改或破坏,可能造成很大损失或危害,需要某种等级保护的信息(见GJBB2256中3.157)。
3.1.33系统完整性systemintegrity在任何情况下,信息系统都保持操作系统逻辑上的正确性和可靠性;实现保护机制的硬件和软件的完备性时所处的状态(见GJB2256中3.162)。3
3.1.34威胁threat
SJ20628-97
以破坏、泄漏、数据修改和拒绝服务的方式,可能对系统造成损害的环境或潜在事件(见GJB2256中3.167)。
3.1.35防泄漏发射transient electromagnetic pulseemanation standard(TEM-PEST)对信息系统的泄漏发射所进行的研究和控制(见GJB2256中3.171)。3.1.36可信计算机系统trustedcomputersystem采用充分的软件和硬件保证措施,能同时处理大量敏感或不同类别信息的系统(GJB2256中3.174)。
3.1.37可信计算基trustedcomputingbase计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了个基本的保护环境并提供一个可信计算机系统所要求的附加用户服务(见GJB2256中3.175)。
3.1.38用户鉴别userauthentication见3.1.1和3.1.4条。
3.1.39用户标识useridentification(userID)信息系统用以标识用户的-个独特符号或字符串(见GJB2256中3.179)。3.1.40确认validation
为确定是否符合安全规定和要求而进行的测试和评估(见GJB2256中3.180)。3.1.41验证verification
对两个适当级别的规格说明进行比较的过程。例如安全策略模型与顶层规格说明、顶层规格说明与源码、或者源码与目标码的比较(见GJB2256中3.181)。3.1.42病毒virus
一种能自身传播的特洛伊木马。它一般由引导部分、破坏部分和自身传播部分组成(见GJB2256中3.182)。
3.1.43脆弱性vulnerability
导致破坏系统安全策略的系统安全规程、系统设计、实现、内部控制等方面的弱点(见GJB2256中3.183)。
3.1.44窃听wiretapping
窃听有两种情况,一是主动搭线窃听,即把未经批准的装置(如计算机终端)连到通信线路上,通过生成错误信息或控制信号,或者通过改换合法用户的通信方式以获取对数据的访问;二是被动窃听,即将通信线路上正在传送的数据被进行非法监听和记录。3.2符号和缩写词
TEMPEST
B-ISDN
防泄漏发射
数据库管理系统
数据加密标准(一种分组加密/解密算法)系Rivest、Shamir和Adleman三人名的缩写词(一种公开密钥加密/解密算法)
综合业务数字通信网
宽带综合业务数字通信网
4般要求
4.1一般原则
4.1.1应用环境
SJ20628-97
计算机系统的信息安全要求适用于下列环境:a,局域网和广域网,包括城域网、网际网(见GJB1281);b.各种通信信道,如专用线路,公用电话网,X.25分组交换网(包括快速交换),卫星通信网,短波、超短波无线通信网,综合业务数字通信网(ISDN)以及宽带综合业务数字通信网(B-ISDN)等:
c.计算机(集中和分布)应用处理模式;d。数据库系统;
e。各种计算应用系统的互连、互通、互操作。4.1.2信息安全威胁
在考虑信息安全要求时,应估计到下列计算机系统本身固有的脆弱性和常见威胁的影响。4.1.2.1计算机系统的脆弱性
计算机系统可能存在下述脆弱性:信息存储的高密度
存储媒体可以存储大量信息,也便于随身携带,但易受意外损坏,因而可能会造成大量信息的丢失。
*b.\信息泄漏
计算机系统工作时辐射出电磁可能会造成信息泄漏。信息的可访问性
信息易被访问复制而不留痕迹,一旦未授权者进入系统,可能访问系统中的信息并将其复制、删改或破环掉。
d。磁性媒体的剩磁效应
存储媒体中的信息有时是擦不净的,可能会留下可读信息的痕迹,一旦被利用,就会造成泄密。
e.信息的聚生性
计算机处理时往往汇集了大量信息,这种信息的聚生性可能带来很大的潜在性安全风险。f.通信线路的脆弱性
对线路的物理破坏、被搭线窃听、传输事音等,可能会导致信息失密或受破坏。g.计算机技术的专业性
对一个拥有计算机专业技术知识,谱熟系统者,可能会突破信息的安全防护。反之,对没有多少计算机专业知识,不熟悉系统的管理、使用者,往往可能会觉察不到系统信息被窃取或遭到破坏。
4.1.2.2常见威胁对信息安全性的影响影响信息安全的常见威胁,见表1。-5
常见威胁
SJ20628-97
后门(设计者故意建立的进入系统的方法)人为错误
拒绝使用(信息无法使用)
电磁泄漏
信息盗用
自然灾害
伪造文件或记录
诈骗信息资源
硬设备故障
访问假冒
不准确或过时的信息
逻辑炸弹(修改程序,使之在特定条件下按某种不同的方式运行
错误的传输指向
窃读通信(用网络分析器)
附加负载
程序编制错误或缺陷
物理或逻辑破坏
废物利用(发现有用信息)
特洛伊木马(嵌在合法用户程序中的一段程序)病毒
搭线窃听
一为有影响。
4.1.3信息安全防护
对信息安全性的影响
保密性
完整性
可用性
应开发与实施有效的信息安全策略、安全机制和相应的信息安全软、硬件,检查各种信息安全防护措施的有效性,以保护系统信息资源,尽可能减少系统面临的各种威胁所造成的损失。还应有适当的应急计划,以防备系统在遭到攻击或破坏时,采用准备好的应急措施尽快地恢复系统正常工作。
4.2信息安全特性
4.2.1保密性
应利用密码技术对信息进行加密处理,并采取抑制、屏蔽措施,防止电磁信息泄漏,以保证6
信息只透露给有权用户。
保密性的要求如下:
SJ20628-97
a:采用的密码体制及密码算法(见GJB1894)应有足够的保密强度。其密钥应有严格的保护,使之能承受各种级别的破译攻击,达到实际上的不可破译;b应有有效的密钥管理,包括密钥的产生、存储、分配、更换、保管、使用、销毁的全过程。应做到密钥难以被窃取,即使被窃取也已失去应有的价值;c.为了可靠地检测出对传输的信息的主动攻击(如分析通信流量,算改内容),且保证在传输的信息被截获后(如搭线侦听)也得不到信息的明文内容,对传输的信息,应能在各种传输方式下,如全双工、半双工、同步、异步、点对点、点对多点传输等,予以加密保护;加密不同密级的信息,应有相应的保密强度和完善、合理的密钥管理。不允许用同一密钥加密两份或两份以上明文,也不允许用不同强度的密码加密同一明文。完成加密操作对信息传输、处理速度等影响不能超过原有系统要求所允许的范围;d,为了防止存储的信息泄露给无关人员或被非法获取、筹改以至破坏,对存储的信息应予以加密保护。应根据存储信息的密级、信息特征,以及使用信息资源的开放程度等具体情况确定加密保护方式(局部、全局加密;库内、库外加密等)。加密不应采用一次一密。保密强度应达到实际上的不可破译的程度;密钥管理应适应加密信息存储时间短,以及不同用户访问信息时所用主密钥相同的要求。完成加密操作对占用的处理时间、存储空间等系统资源,以及查询、检索、修改、更新等操作时间与使用灵活简便性的影响,不能超过原有系统要求所允许的范围;e。为了防止电磁信息泄漏带来的信息失密,应对传导和辐射产生的电磁信号泄漏进行有效的屏蔽和抑制。应制定相应的标准来规定防护的分级要求。对此,可视系统的使用场合,环境条件,采用的防护方式,允许的安全区域,窃密者对泄漏信号接收、恢复的能力以及价格等因素,合理地确定防护等级。
4.2.2可用性
应防止未授权者进入系统去访问、窃取与破坏信息资源,并保证合法用户访问到它有权访问的信息资源。
可用性的要求如下:
a.身份识别与确认此内容来自标准下载网
系统应识别进入者的身份并确认是否为合法用户的身份。只有身份识别与确认都正确,才允许此用户进入系统。
采用识别、确认的手段要达到一定的精度要求,且不应受丢失、泄露或被他人伪造的影响。b.访问控制
对信息应划分级别并规定要被访问的系统资源的类别及其访问操作类型的授权机制。对用户应划分为几种属性的用户类别,并规定与信息的保密级别和允许访问的系统资源的类别及其访问操作类型相适应的权限签证机制,以便使系统能确定具有哪种签证,哪种权限,什么属性的合法用户能对哪些系统资源,哪种保密级别的信息,可进行什么类型的访问操作。根据安全等级要求,系统应具有种自主访问控制机制,或自主访问控制与强制访问控制两种机制。系统还应防止或限制隐蔽信道的信息泄露。作为对访问控制的重要补充,还应具有信息流控制机制。
c.审计
SJ20628-97
对应用程序或用户使用系统资源,涉及信息安全事件的有关操作,包括欺诈操作的情况,应有一个完整的记录,以便分析原因,分清责任,并能采取相应安全措施,如将违反操作的用户逐出系统。
记录内容一般应包括所在数据终端上进行了哪些非法操作,使用了什么系统资源,进行了何种访问类型的操作,以及有关操作处理的时刻、顺序等。应选择主要内容记录予以审计,不应影响系统原有性能要求的允许范围。审计还应与报警结合起来,以便及时向安全员发出提醒或报警信息以便预防或采取补救措施。4.2.3完整性
应防止信息被非法复制,非授权泄露、修改和破坏,以保证信息的正确性、有效性、一致性和授权的访问、修改,并保证信息交换的真实性、有效性。完整性的要求如下
a.软件完整性
为了防止软件被非法复制,软件必须有唯一的标识且能检验这种标识是否存在以及是否被修改过。还应有拒绝动态跟踪分析的能力,以免复制者绕过该标识的检验。为了防止软件被非法修改,软件应有抗分析能力和完整性校验手段。应对软件进行加密处理,即使复制者得到源代码也不能进行静态分析。b.数据完整性
对存储数据的媒体应定期检查物理损伤情况。要尽量减少误操作、硬件故障、软件错误、掉电、强电磁场的干扰等意外事件。要在检测错误输入、不正确程序等潜在性错误的完整性校验和审计手段。对只需调用的数据,可集中组成数据模块后,使之无法读出和修改。对数据还应有容错、后备和恢复能力。c信息交换的真实性和有效性
信息交换的收方应能证实所收到信息的来源、内容和顺序都是真实的。为了保证信息交换的有效性,收方收到了真实信息应予以确认。且对收到的信息不能删改或伪造,也不能抵赖、否认。而发方也不能谎称从未发过信息,也不应声称信息是收方伪造的。4.3安全系统的组成与基本安全功能要求4.3.1安全系统的组成
安全系统是为增强一般计算机系统的信息安全性而扩充的一个子系统,它由安全硬件和安全软件组成。
a安全硬件主要是低泄漏计算机、保密设备以及各种安全卡,如防/反病毒卡、身份识别卡等;
b.安全软件主要是安全操作系统、安全网络系统、安全数据库管理系统以及专用安全软件(如反病毒软件、身份识别软件、加/解密软件、系统监视软件等)。4.3.2硬件设备的基本安全功能要求4.3.2.1防信息泄漏计算机
防泄漏发射(TEMPEST)计算机应遵循有关标准规定的安全临界值(即处理的信息在1m的距离上,不为具有高灵敏度的TEMPEST接收系统所截收的信息泄漏的边界电平)。如果泄漏电平超出临界值,由必须有抑制的防护措施。TEMPEST分三级要求,即完全保护级1m、20m、100m级。相应临界值的频率范围为1kHz~18GHz,其安全距离为1m、20m、100m。信息泄漏的具体指标由相应的标准规定。8
4.3.2.2保密设备
SJ20628-97
保密设备一般有两类:一类是用于相邻网络节点间数据传输加密的线路保密机;另一类是用于源点到目的点间数据传输加密的用户保密机。线路保密机的基本功能要求包括:适应的通信方式:物理接口、信道、工作方式(点到点、点到多点、半双工、全双工、异a.
步、同步)、数据传输速率和通信协议;b.加密保护内容和保密强度;
密钥管理方式;
数据传输正确性
加/解密速度;
资源开销:
加、解密和传输、操作、显示等控制;g.
自诊断和检测;
可靠性和可维护性;
j.使用方便。
用户保密机的基本功能除上述a~i的要求外,还应突出人机界面友好。4.3.3操作系统的基本安全功能要求高安全级的操作系统(包括计算机系统的操作系统和网络操作系统,按GJB2646的要求,应为B级以上)的实现应基于安全核。操作系统的基本安全功能如下:a。用户标识与确认包括:
用户唯一性标识、用户身份合法性确认、为进入系统的用户设置用户选定的安全级和建立安全文档、删除用户并撤消其安全文档以及安全级的调整等;b.自主访问控制指:
对文件类资源进行自主访问控制,即对文件、目录等的读、写、执行,对目录的搜索和改动等授权操作等;
c.强制访问控制包括:
设置、封闭、显示等安全级管理(但非特权用户不能管理安全级),设置用户登录安全级(但非特权用户不能管理用户安全级),对进程安全级继承关系,对普通文件的、普通目录与多级目录的访问以及对消息队列、共享存储器、信号量的访问;在实施上述强制访问控制时,应满足强制访问控制规则,还应满足进程敏感操作的特权管理、防病毒、防特洛伊木马攻击等;d.信息流控制包括:
可信路径以及与其它路径的隔离隐蔽信道分析:e:安全审计包括:
审计事件的指定、选择、调用,记录的分析、显示报告、报警等f.系统故障或其它间断后的可信恢复;g.加密文件系统;
h.适用平台和兼容应用软件。
4.3.4数据库系统的基本安全功能要求9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
SJ20628-97
通用型军用计算机信息安全
技术要求
Information security technical requirementsfor general military computers1997-06-17发布
1997-10-01实施
中华人民共和国电子工业部批准1范围
1.1主题内容
1.2适用范围
2引用文件
3定义
3.1术语
3.2符号和缩写词
4一般要求
4.1一般原则
4.2信息安全特性
4.3安全系统的组成与基本安全功能要求5详细要求·
5.1加密
5.2防电磁信息泄漏·
5.3访问控制·
信息流控制
防火墙安全防护
5.6审计控制…
软件保护…
数据保护:
信息交换真实性和有效性的保护。5.10
防病毒
系统安全评估与形式化描述验证5.11
(13)
(15)
中华人民共和国电子行业军用标准通用型军用计算机信息安全
技术要求
Information securitytechnical requirementsfor general military computers1范围
1.1主题内容
本标准规定了军用计算机系统信息安全的通用技术要求。SJ20628-97
本标准不涉及信息安全立法、行政管理和计算机系统工作场区、辅助设施以及计算机系统工作环境条件的安全保护要求。1.2适用范围
本标准适用于通用型军用计算机信息安全系统的研制、开发和应用。对有相应信息安全要求的其他系统亦可参照使用。2引用文件
GJB1281-91
GJB1894-94
GJB2256—94
GJB2646—96
3定义
3.1术语
指挥自动化计算机网络安全要求指挥自动化系统数据加密要求
军用计算机安全术语
军用计算机安全评估准则
下列术语适用于本标准。
3.1.1访问控制access control
对用户、程序或进程访问系统资源进行授权与控制的过程。同义词:受控访间controlled access;受控访问性controlled accessibility。3.1.2访问控制机制accesscontrolmechanisms在信息系统中,为检测和防止未授权访问,以及为使授权访问正确进行所设计的硬件或软件功能、操作规程、管理规程和它们的各种组合(见GJB2256中3.4)。3.1.3审计跟踪adittrail
系统活动的流水记录。该记录按事件从始至终的途径,顺序重视、审查和检验每个事件的中华人民共和国电子工业部1997-06-17发布1997-10-01实施
环境及活动。
3.1.4鉴别authentication
SJ20628-97
a,验证用户、设备和其他实体的身份;b。验证数据的完整性(见GJB2256中3.16)。3.1.5授权authorization
授予用户、程序或进程的访问权(GJB2256中3.18)。3.1.6认证certification
信息系统技术和非技术的安全特征及其他防护的综合评估,用以支持审批过程和确定特殊的设计和实现满足一系列预定的安全需求的程度(见GJB2256中3.28)。3.1.7泄漏compromise
未授权的暴露或丢失敏感信息(见GJB2256中3.31)。3.1.8计算机安全computersecurity保护信息系统免遭拒绝服务、未授权(意外的或有意的)暴露、修改和数据破坏的措施和控制(见GJB2256中3.33)。
3.1.9隐蔽系统concealmentsystem把敏感信息嵌入到不相关的数据中,使其隐蔽起来,从而达到保密的一种手段(见GJB2256中3.34)。
confidentiality
3.1.10保密性
为秘密数据提供保护状态及保护等级的一种特性(见GJB2256中3.35)。3.1.11隐蔽信道covertchannel
使两个共同运行的进程,以违反系统安全策略的方式传输信息的通信信道(见GJB2256中3.44)
3.1.12隐蔽存储信道covertstoragechannel包含由一个进程直接或间接写一个存储地址,而由另一个进程直接或间接读一个存储地址的隐蔽信道(见GJB2256中3.4.5)。3.1.13密码算出cryptographicalgorithm用来从明文产生密钥流或密文,或从密钥流或密文产生明文而有严密定义的规程,或一系列规则或步骤。
3.1.14数据完整性data integrity信息系统中的数据与在原文档中的相同,并未遭受偶然或恶意的修改或破坏时所具的性质(见GJB2256中3.56)。
3.1.15数据安全data security
保护数据免受偶然的或恶意的修改、破环或暴露(见GJB2256中3.58)。3.1.16解密decipherment
使用适当的密钥,将已加密的文本转换成明文。3.1.17自主访问控制discretionary access control根据用户、进程、所属的群的标识和已知需要来限制对客体访问的一种手段。自主访问的含义是有访问许可的主体能够向其他主体转让访问权(见GJB2256中3.62)。3.1.18窃取eavesdropping
通过使用非搭线窃听的办法未授权截获信息(见GJB2256中3.64)。-2
3.1.19加密encipherment
SJ20628-97
通过密码系统把明文变换为不可懂的形式。3.1.20加密算法encryption algorythm实施一系列变换,使信息变成密文的一组数学规则(见GJB2256中3.68)。同义词:保密换算privacy transformation。3.1.21形式验证formatverification使用形式证明的过程,以论证系统形式说明与形式安全策略模型间的一致性(设计验证),或论证形式说明与它的程序实现间的一致性(执行验证)(见GJB2256中3.84)。3.1.22识别identification
通过机器可读的唯一名,由系统来认定实体的过程(GJ2256中3.87)。3.1.23信息安全information security为保证信息的完整性、可用性和保密性所需的全面管理、规程和控制(见GJB2256中3.90)。
3.1.24信息系统安全informationsystemsecurity为了提供对信息系统的保护,在计算机硬件、软件和数据上所建立的技术安全设施和管理规程(见GJB2256中3.91)。
3.1.25密钥key
在密码术中,一系列控制加密、解密操作的符号(见GJB2256中3.95)。3.1.26密钥管理keymanagement
涉及密钥和有关信息(如初始化矢量)的生成、分配、存储和销毁的规程(见GJB2256中3.96)。
3.1.27强制访问控制mandatoryaccesscontrol根据客体所含信息的敏感性及主体对这些敏感信息访问的正式授权来限制对客体访问的一种手段(见GJB2256中3.104)。3.1.28多级安全multilevel security一类包含不同等级敏感信息的系统,它既可供那些确有必要且具有不同安全许可和已知需要的用户同时访问,又能阻止用户去访问其无权过问的信息。3.1.29安全评估securityevaluation为评定在系统内安全处理敏感信息的可信度而做的评估。3.1.30安全内核securitykernel控制对系统资源的访问而实现基本安全规程的计算机系统的中心部分(见GJB2256中3.151)。
3.1.31安全策略securitypolicy规定机构如何管理、保护与分发敏感信息的法规与条例的集合(见GJB2256中3.153)。3.1.32敏感信息sensitiveinformation由于有意或无意的泄密、修改或破坏,可能造成很大损失或危害,需要某种等级保护的信息(见GJBB2256中3.157)。
3.1.33系统完整性systemintegrity在任何情况下,信息系统都保持操作系统逻辑上的正确性和可靠性;实现保护机制的硬件和软件的完备性时所处的状态(见GJB2256中3.162)。3
3.1.34威胁threat
SJ20628-97
以破坏、泄漏、数据修改和拒绝服务的方式,可能对系统造成损害的环境或潜在事件(见GJB2256中3.167)。
3.1.35防泄漏发射transient electromagnetic pulseemanation standard(TEM-PEST)对信息系统的泄漏发射所进行的研究和控制(见GJB2256中3.171)。3.1.36可信计算机系统trustedcomputersystem采用充分的软件和硬件保证措施,能同时处理大量敏感或不同类别信息的系统(GJB2256中3.174)。
3.1.37可信计算基trustedcomputingbase计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了个基本的保护环境并提供一个可信计算机系统所要求的附加用户服务(见GJB2256中3.175)。
3.1.38用户鉴别userauthentication见3.1.1和3.1.4条。
3.1.39用户标识useridentification(userID)信息系统用以标识用户的-个独特符号或字符串(见GJB2256中3.179)。3.1.40确认validation
为确定是否符合安全规定和要求而进行的测试和评估(见GJB2256中3.180)。3.1.41验证verification
对两个适当级别的规格说明进行比较的过程。例如安全策略模型与顶层规格说明、顶层规格说明与源码、或者源码与目标码的比较(见GJB2256中3.181)。3.1.42病毒virus
一种能自身传播的特洛伊木马。它一般由引导部分、破坏部分和自身传播部分组成(见GJB2256中3.182)。
3.1.43脆弱性vulnerability
导致破坏系统安全策略的系统安全规程、系统设计、实现、内部控制等方面的弱点(见GJB2256中3.183)。
3.1.44窃听wiretapping
窃听有两种情况,一是主动搭线窃听,即把未经批准的装置(如计算机终端)连到通信线路上,通过生成错误信息或控制信号,或者通过改换合法用户的通信方式以获取对数据的访问;二是被动窃听,即将通信线路上正在传送的数据被进行非法监听和记录。3.2符号和缩写词
TEMPEST
B-ISDN
防泄漏发射
数据库管理系统
数据加密标准(一种分组加密/解密算法)系Rivest、Shamir和Adleman三人名的缩写词(一种公开密钥加密/解密算法)
综合业务数字通信网
宽带综合业务数字通信网
4般要求
4.1一般原则
4.1.1应用环境
SJ20628-97
计算机系统的信息安全要求适用于下列环境:a,局域网和广域网,包括城域网、网际网(见GJB1281);b.各种通信信道,如专用线路,公用电话网,X.25分组交换网(包括快速交换),卫星通信网,短波、超短波无线通信网,综合业务数字通信网(ISDN)以及宽带综合业务数字通信网(B-ISDN)等:
c.计算机(集中和分布)应用处理模式;d。数据库系统;
e。各种计算应用系统的互连、互通、互操作。4.1.2信息安全威胁
在考虑信息安全要求时,应估计到下列计算机系统本身固有的脆弱性和常见威胁的影响。4.1.2.1计算机系统的脆弱性
计算机系统可能存在下述脆弱性:信息存储的高密度
存储媒体可以存储大量信息,也便于随身携带,但易受意外损坏,因而可能会造成大量信息的丢失。
*b.\信息泄漏
计算机系统工作时辐射出电磁可能会造成信息泄漏。信息的可访问性
信息易被访问复制而不留痕迹,一旦未授权者进入系统,可能访问系统中的信息并将其复制、删改或破环掉。
d。磁性媒体的剩磁效应
存储媒体中的信息有时是擦不净的,可能会留下可读信息的痕迹,一旦被利用,就会造成泄密。
e.信息的聚生性
计算机处理时往往汇集了大量信息,这种信息的聚生性可能带来很大的潜在性安全风险。f.通信线路的脆弱性
对线路的物理破坏、被搭线窃听、传输事音等,可能会导致信息失密或受破坏。g.计算机技术的专业性
对一个拥有计算机专业技术知识,谱熟系统者,可能会突破信息的安全防护。反之,对没有多少计算机专业知识,不熟悉系统的管理、使用者,往往可能会觉察不到系统信息被窃取或遭到破坏。
4.1.2.2常见威胁对信息安全性的影响影响信息安全的常见威胁,见表1。-5
常见威胁
SJ20628-97
后门(设计者故意建立的进入系统的方法)人为错误
拒绝使用(信息无法使用)
电磁泄漏
信息盗用
自然灾害
伪造文件或记录
诈骗信息资源
硬设备故障
访问假冒
不准确或过时的信息
逻辑炸弹(修改程序,使之在特定条件下按某种不同的方式运行
错误的传输指向
窃读通信(用网络分析器)
附加负载
程序编制错误或缺陷
物理或逻辑破坏
废物利用(发现有用信息)
特洛伊木马(嵌在合法用户程序中的一段程序)病毒
搭线窃听
一为有影响。
4.1.3信息安全防护
对信息安全性的影响
保密性
完整性
可用性
应开发与实施有效的信息安全策略、安全机制和相应的信息安全软、硬件,检查各种信息安全防护措施的有效性,以保护系统信息资源,尽可能减少系统面临的各种威胁所造成的损失。还应有适当的应急计划,以防备系统在遭到攻击或破坏时,采用准备好的应急措施尽快地恢复系统正常工作。
4.2信息安全特性
4.2.1保密性
应利用密码技术对信息进行加密处理,并采取抑制、屏蔽措施,防止电磁信息泄漏,以保证6
信息只透露给有权用户。
保密性的要求如下:
SJ20628-97
a:采用的密码体制及密码算法(见GJB1894)应有足够的保密强度。其密钥应有严格的保护,使之能承受各种级别的破译攻击,达到实际上的不可破译;b应有有效的密钥管理,包括密钥的产生、存储、分配、更换、保管、使用、销毁的全过程。应做到密钥难以被窃取,即使被窃取也已失去应有的价值;c.为了可靠地检测出对传输的信息的主动攻击(如分析通信流量,算改内容),且保证在传输的信息被截获后(如搭线侦听)也得不到信息的明文内容,对传输的信息,应能在各种传输方式下,如全双工、半双工、同步、异步、点对点、点对多点传输等,予以加密保护;加密不同密级的信息,应有相应的保密强度和完善、合理的密钥管理。不允许用同一密钥加密两份或两份以上明文,也不允许用不同强度的密码加密同一明文。完成加密操作对信息传输、处理速度等影响不能超过原有系统要求所允许的范围;d,为了防止存储的信息泄露给无关人员或被非法获取、筹改以至破坏,对存储的信息应予以加密保护。应根据存储信息的密级、信息特征,以及使用信息资源的开放程度等具体情况确定加密保护方式(局部、全局加密;库内、库外加密等)。加密不应采用一次一密。保密强度应达到实际上的不可破译的程度;密钥管理应适应加密信息存储时间短,以及不同用户访问信息时所用主密钥相同的要求。完成加密操作对占用的处理时间、存储空间等系统资源,以及查询、检索、修改、更新等操作时间与使用灵活简便性的影响,不能超过原有系统要求所允许的范围;e。为了防止电磁信息泄漏带来的信息失密,应对传导和辐射产生的电磁信号泄漏进行有效的屏蔽和抑制。应制定相应的标准来规定防护的分级要求。对此,可视系统的使用场合,环境条件,采用的防护方式,允许的安全区域,窃密者对泄漏信号接收、恢复的能力以及价格等因素,合理地确定防护等级。
4.2.2可用性
应防止未授权者进入系统去访问、窃取与破坏信息资源,并保证合法用户访问到它有权访问的信息资源。
可用性的要求如下:
a.身份识别与确认此内容来自标准下载网
系统应识别进入者的身份并确认是否为合法用户的身份。只有身份识别与确认都正确,才允许此用户进入系统。
采用识别、确认的手段要达到一定的精度要求,且不应受丢失、泄露或被他人伪造的影响。b.访问控制
对信息应划分级别并规定要被访问的系统资源的类别及其访问操作类型的授权机制。对用户应划分为几种属性的用户类别,并规定与信息的保密级别和允许访问的系统资源的类别及其访问操作类型相适应的权限签证机制,以便使系统能确定具有哪种签证,哪种权限,什么属性的合法用户能对哪些系统资源,哪种保密级别的信息,可进行什么类型的访问操作。根据安全等级要求,系统应具有种自主访问控制机制,或自主访问控制与强制访问控制两种机制。系统还应防止或限制隐蔽信道的信息泄露。作为对访问控制的重要补充,还应具有信息流控制机制。
c.审计
SJ20628-97
对应用程序或用户使用系统资源,涉及信息安全事件的有关操作,包括欺诈操作的情况,应有一个完整的记录,以便分析原因,分清责任,并能采取相应安全措施,如将违反操作的用户逐出系统。
记录内容一般应包括所在数据终端上进行了哪些非法操作,使用了什么系统资源,进行了何种访问类型的操作,以及有关操作处理的时刻、顺序等。应选择主要内容记录予以审计,不应影响系统原有性能要求的允许范围。审计还应与报警结合起来,以便及时向安全员发出提醒或报警信息以便预防或采取补救措施。4.2.3完整性
应防止信息被非法复制,非授权泄露、修改和破坏,以保证信息的正确性、有效性、一致性和授权的访问、修改,并保证信息交换的真实性、有效性。完整性的要求如下
a.软件完整性
为了防止软件被非法复制,软件必须有唯一的标识且能检验这种标识是否存在以及是否被修改过。还应有拒绝动态跟踪分析的能力,以免复制者绕过该标识的检验。为了防止软件被非法修改,软件应有抗分析能力和完整性校验手段。应对软件进行加密处理,即使复制者得到源代码也不能进行静态分析。b.数据完整性
对存储数据的媒体应定期检查物理损伤情况。要尽量减少误操作、硬件故障、软件错误、掉电、强电磁场的干扰等意外事件。要在检测错误输入、不正确程序等潜在性错误的完整性校验和审计手段。对只需调用的数据,可集中组成数据模块后,使之无法读出和修改。对数据还应有容错、后备和恢复能力。c信息交换的真实性和有效性
信息交换的收方应能证实所收到信息的来源、内容和顺序都是真实的。为了保证信息交换的有效性,收方收到了真实信息应予以确认。且对收到的信息不能删改或伪造,也不能抵赖、否认。而发方也不能谎称从未发过信息,也不应声称信息是收方伪造的。4.3安全系统的组成与基本安全功能要求4.3.1安全系统的组成
安全系统是为增强一般计算机系统的信息安全性而扩充的一个子系统,它由安全硬件和安全软件组成。
a安全硬件主要是低泄漏计算机、保密设备以及各种安全卡,如防/反病毒卡、身份识别卡等;
b.安全软件主要是安全操作系统、安全网络系统、安全数据库管理系统以及专用安全软件(如反病毒软件、身份识别软件、加/解密软件、系统监视软件等)。4.3.2硬件设备的基本安全功能要求4.3.2.1防信息泄漏计算机
防泄漏发射(TEMPEST)计算机应遵循有关标准规定的安全临界值(即处理的信息在1m的距离上,不为具有高灵敏度的TEMPEST接收系统所截收的信息泄漏的边界电平)。如果泄漏电平超出临界值,由必须有抑制的防护措施。TEMPEST分三级要求,即完全保护级1m、20m、100m级。相应临界值的频率范围为1kHz~18GHz,其安全距离为1m、20m、100m。信息泄漏的具体指标由相应的标准规定。8
4.3.2.2保密设备
SJ20628-97
保密设备一般有两类:一类是用于相邻网络节点间数据传输加密的线路保密机;另一类是用于源点到目的点间数据传输加密的用户保密机。线路保密机的基本功能要求包括:适应的通信方式:物理接口、信道、工作方式(点到点、点到多点、半双工、全双工、异a.
步、同步)、数据传输速率和通信协议;b.加密保护内容和保密强度;
密钥管理方式;
数据传输正确性
加/解密速度;
资源开销:
加、解密和传输、操作、显示等控制;g.
自诊断和检测;
可靠性和可维护性;
j.使用方便。
用户保密机的基本功能除上述a~i的要求外,还应突出人机界面友好。4.3.3操作系统的基本安全功能要求高安全级的操作系统(包括计算机系统的操作系统和网络操作系统,按GJB2646的要求,应为B级以上)的实现应基于安全核。操作系统的基本安全功能如下:a。用户标识与确认包括:
用户唯一性标识、用户身份合法性确认、为进入系统的用户设置用户选定的安全级和建立安全文档、删除用户并撤消其安全文档以及安全级的调整等;b.自主访问控制指:
对文件类资源进行自主访问控制,即对文件、目录等的读、写、执行,对目录的搜索和改动等授权操作等;
c.强制访问控制包括:
设置、封闭、显示等安全级管理(但非特权用户不能管理安全级),设置用户登录安全级(但非特权用户不能管理用户安全级),对进程安全级继承关系,对普通文件的、普通目录与多级目录的访问以及对消息队列、共享存储器、信号量的访问;在实施上述强制访问控制时,应满足强制访问控制规则,还应满足进程敏感操作的特权管理、防病毒、防特洛伊木马攻击等;d.信息流控制包括:
可信路径以及与其它路径的隔离隐蔽信道分析:e:安全审计包括:
审计事件的指定、选择、调用,记录的分析、显示报告、报警等f.系统故障或其它间断后的可信恢复;g.加密文件系统;
h.适用平台和兼容应用软件。
4.3.4数据库系统的基本安全功能要求9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。