路径: 主页 > MISC > 第78页 > GA/T 1393-2017 | 标准编号 | GA/T 1393-2017 (GA/T1393-2017) | | 中文名称 | 信息安全技术 主机安全加固系统安全技术要求 | | 英文名称 | Information security technology - Security technical requirements for computer security reinforcement systems | | 行业 | 公安行业标准 (推荐) | | 中标分类 | A90 | | 国际标准分类 | 35.240 | | 字数估计 | 14,185 | | 发布日期 | 2017-04-19 | | 实施日期 | 2017-04-19 | | 发布机构 | 公安部 | GA/T 1393-2017: 信息安全技术 主机安全加固系统安全技术要求
GA/T 1393-2017 英文名称: Information security technology--Security technical requirements for computer security reinforcement systems
中华人民共和国公共安全行业标准
信息安全技术 主机安全加固系统
安全技术要求
中华人民共和国公安部 发 布
1 范围
本标准规定了主机安全加固系统的安全功能要求、安全保障要求和等级划分要求。
本标准适用于主机安全加固系统的设计、开发及测试。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件
GB/T 25069-2010 信息安全技术 术语
3 术语和定义
GB/T 18336.3-2015和GB/T 25069-2010界定的术语和定义适用于本文件。
4 主机安全加固系统描述
主机安全加固系统是在通用操作系统的基础上,通过对操作系统主客体进行安全标记、增加强制访
问控制、完整性保护等技术手段,对操作系统进行安全功能增强,弥补通用操作系统安全性不高的缺陷,
提高了操作系统的安全保护能力。
主机安全加固系统一般采用服务器、客户端部署模式;服务器用于存储各种安全管理策略、管理数
据和审计数据,并将安全管理策略下发到客户端;客户端安装在需要被加固的通用操作系统上,并执行
安全功能。其保护的资产是操作系统,此外主机安全加固系统本身及其内部的重要数据也是受保护的
资产。
5 总体说明
5.1 安全技术要求分类
主机安全加固系统安全技术要求分为安全功能要求和安全保障要求两类。其中,安全功能要求是
对主机安全加固系统应具备的安全功能提出具体要求,包括身份鉴别、安全标记、强制访问控制、安全审
计、完整性保护、剩余资源保护、管理员安全管理、组件安全、审计日志管理;安全保障要求针对主机安全
加固系统的开发和使用文档的内容提出具体的要求,例如开发、指导性文档、生命周期支持、测试、脆弱
性评定等。
5.2 安全等级
按照主机安全加固系统安全功能要求强度及GB/T 18336.3-2015,对主机安全加固系统安全等级
进行划分。安全等级分为基本级和增强级,安全功能强弱和安全保障要求高低是等级划分的具体依据,
安全等级突出安全特性。
6 安全功能要求
6.1 身份鉴别
产品对操作系统身份鉴别功能的加固要求应满足:
a) 操作系统用户标识应使用用户名和用户标识(UID),并在操作系统的整个生存周期实现用户
的唯一性标识,以及用户名、UID等之间的一致性;
b) 对操作系统用户应采用强化口令管理和/或基于令牌的动态口令和/或生物特征鉴别和/或数
字证书进行身份鉴别;
c) 对操作系统用户应采用6.1b)中的双因子鉴别技术对用户进行身份鉴别。
6.2 安全标记
产品对操作系统安全标记的加固要求应满足:
a) 对操作系统安全功能控制范围内的主体和客体设置敏感标记;
b) 当信息从操作系统控制范围外输入到控制范围内时,应通过标记标明其敏感标记;
c) 对操作系统的所有主体和客体设置敏感标记;
d) 当信息从操作系统控制范围内输入到控制范围外时,应明显标示出该数据的敏感标记。
6.3 强制访问控制
产品对操作系统强制访问控制的加固要求应满足:
a) 由专门设置的系统安全员统一管理操作系统中与强制访问控制等安全机制有关的事件和信
息,并将系统的常规管理、与安全有关的管理以及审计管理,分别由系统管理员、系统安全员和
系统审计员来承担,按职能分割原则分别授予它们各自为完成自己所承担任务所需的权限,并
形成相互制约关系;
b) 由专门设置的系统安全员统一管理操作系统中与强制访问控制等安全机制有关的事件和信
息,并将系统的常规管理、与安全有关的管理以及审计管理,分别由系统管理员、系统安全员和
系统审计员来承担,按职能分割和最小授权原则分别授予它们各自为完成自己所承担任务所
需的最小权限,并形成相互制约关系;
c) 依据标记、安全策略严格控制主体对客体的操作;
d) 访问控制的粒度达到主体为用户级和/或进程级,客体为文件级和/或进程级等。
6.4 安全审计
产品对操作系统安全审计的加固要求应满足:
a) 安全审计功能与标记、强制访问控制及完整性保护等安全功能紧密结合;
b) 审计范围覆盖到所有管理员和操作系统用户;
c) 提供实时报警生成,潜在侵害分析、基于异常检测,审计数据的可用性确保等功能;
d) 保护审计进程,避免受到未预期的中断;
e) 提供违例进程终止,简单攻击探测,防止审计数据丢失的措施等功能;
f) 审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等。
6.5 完整性保护
产品对操作系统完整性保护的加固要求应满足:
a) 能够为操作系统安全功能控制范围内的主体和客体设置完整性标签,建立完整性保护策略模
型,保护重要文件在存储、传输和处理过程中的完整性;
b) 在检测到完整性受到破坏后具有恢复的措施;
c) 保证低完整性的数据不能插入、覆盖到高完整性的数据;
d) 保证在处理过程中不降低数据完整性的级别;
e) 建立半形式化的完整性安全策略模型。
6.6 剩余信息保护
产品对操作系统剩余信息保护的加固要求应满足:
a) 保证操作系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,
无论这些信息是存放在硬盘上还是在内存中;
b) 确保系统内的文件、目录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全
清除。
6.7 管理员安全管理
6.7.1 管理员属性初始化
产品应提供授权管理员属性的初始化能力。
6.7.2 管理员唯一性标识
产品应为授权管理员提供唯一的身份标识,同时将授权管理员的身份标识与该授权管理员的所有
可审计事件相关联。
6.7.3 管理员属性修改
产品应提供授权管理员的属性(至少包括管理员口令)的修改能力。
6.7.4 管理员身份鉴别
产品应在执行任何与安全功能相关的操作之前应鉴别任何声称要履行授权管理员职责的管理员
身份。
6.7.5 管理员身份鉴别失败处理
当对授权管理员鉴别失败的次数达到指定阈值后,产品应阻止授权管理员进一步的鉴别请求。
6.7.6 配置管理
产品应提供授权管理员配置和管理产品安全功能的能力,至少包括:
a) 增加、删除和修改相关安全策略;
b) 查阅当前安全策略配置;
c) 查阅和管理审计日志。
6.8 组件安全
6.8.1 自身保护功能
产品应能对安装在操作系统上的组件提供一定的保护措施,防止非授权用户进行以下操作:
a) 强行终止该组件运行;
b) 强制取消该组件在系统启动时自动加载;
c) 强行卸载、删除或修改该组件。
6.8.2 远程安全传输
应对产品组件间通过网络传输的数据进行保护,防止被非授权获取。
6.9 审计日志管理
产品应提供以下功能对审计日志进行管理:
a) 按日期、时间、用户标识、应用资源标识等条件对审计日志进行组合查询;
b) 有一定的措施防止审计日志丢失;
c) 对审计日志进行备份及备份后清空。
7 安全保障要求
7.1 开发
7.1.1 安全架构
开发者应提供产品安全功能的安全架构描述,安全架构描述应满足以下要求:
a) 与产品设计文档中对安全功能实施抽象描述的级别一致;
b) 描述与安全功能要求一致的产品安全功能的安全域;
c) 描述产品安全功能初始化过程为何是安全的;
d) 证实产品安全功能能够防止被破坏;
e) 证实产品安全功能能够防止安全特性被旁路。
7.1.2 功能规范
开发者应提供完备的功能规范说明,功能规范说明应满足以下要求:
a) 完全描述产品的安全功能;
b) 描述所有安全功能接口的目的与使用方法;
c) 标识和描述每个安全功能接口相关的所有参数;
d) 描述安全功能接口相关的安全功能实施行为;
e) 描述由安全功能实施行为处理而引起的直接错误消息;
f) 证实安全功能要求到安全功能接口的追溯;
g) 描述安全功能实施过程中,与安全功能接口相关的所有行为;
h) 描述可能由安全功能接口的调用而引起的所有直接错误消息。
7.1.3 实现表示
开发者应提供全部安全功能的实现表示,实现表示应满足以下要求:
a) 提供产品设计描述与实现表示实例之间的映射,并证明其一致性;
b) 按详细级别定义产品安全功能,详细程度达到无需进一步设计就能生成安全功能的程度;
c) 以开发人员使用的形式提供。
7.1.4 产品设计
开发者应提供产品设计文档,产品设计文档应满足以下要求:
a) 根据子系统描述产品结构;
b) 标识和描述产品安全功能的所有子系统;
c) 描述安全功能所有子系统间的相互作用;
d) 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口;
e) 根据模块描述安全功能;
f) 提供安全功能子系统到模块间的映射关系;
g) 描述所有安全功能实现模块,包括其目的及与其他模块间的相互作用;
h) 描述所有实现模块的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及
调用的接口;
i) 描述所有安全功能的支撑或相关模块,包括其目的及与其他模块间的相互作用。
7.2 指导性文档
7.2.1 操作用户指南
开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持一
致,对每一种用户角色的描述应满足以下要求:
a) 描述在安全处理环境中被控制的用户可访问的功能和特权,包含适当的警示信息;
b) 描述如何以安全的方式使用产品提供的可用接口;
c) 描述可用功能和接口,尤其是受用户控制的所有安全参数,适当时指明安全值;
d) 明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能所控
制实体的安全特性;
e) 标识产品运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持安全
运行之间的因果关系和联系;
f) 充分实现安全目的所必须执行的安全策略。
7.2.2 准备程序
开发者应提供产品及其准备程序,准备程序描述应满足以下要求:
a) 描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤;
b) 描述安全安装产品及其运行环境必需的所有步骤。
7.3 生命周期支持
7.3.1 配置管理能力
开发者的配置管理能力应满足以下要求:
a) 为产品的不同版本提供唯一的标识。
b) 使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识配置项。
c) 提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法。
d) 配置管理系统提供一种自动方式来支持产品的生成,通过该方式确保只能对产品的实现表示
进行已授权的改变。
e) 配置管理文档包括一个配置管理计划,配置管理计划描述如何使用配置管理系统开发产品。
实施的配置管理与配置管理计划相一致。
f) 配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。
7.3.2 配置管理范围
开发者应提供产品配置项列表,并说明配置项的开发者......
|