| 标准编号 | GA/T 671-2006 (GA/T671-2006) | | 中文名称 | 信息安全技术 终端计算机系统安全等级技术要求 | | 英文名称 | Information security technology - Technology requirement for terminal computer system of security classified protection | | 行业 | 公安行业标准 (推荐) | | 中标分类 | A90 | | 字数估计 | 35,34 | | 发布日期 | 12/28/2006 | | 实施日期 | 2/1/2007 | | 引用标准 | GB 17859-1999; GB/T 20271-2006; GB/T 20272-2006 | | 发布机构 | 公安部 | | 范围 | 本标准规定了对终端计算机系统进行安全等级保护所需要的安全技术要求, 并给出了每一个安全保护等级的不同技术要求。本标准适用于按GB 17859-1999的安全保护等级要求所进行的终端计算机系统的设计和实现, 对于按GB 17859-1999的要求对终端计算机系统进行的测试、管理也可参照使用。 | GA/T 671-2006: 信息安全技术 终端计算机系统安全等级技术要求
GA/T 671-2006 英文名称: Information security technology - Technology requirement for terminal computer system of security classified protection
中华人民共和国公共安全行业标准
GA/T671-2006
信息安全技术
终端计算机系统安全等级技术要求
中华人民共和国公安部 发 布
1 范围
本标准规定了对终端计算机系统进行安全等级保护所需要的安全技术要求,并给出了每一个安全
保护等级的不同技术要求。
本标准适用于按GB 17859-1999的安全保护等级要求所进行的终端计算机系统的设计和实现,
对于按GB 17859-1999的要求对终端计算机系统进行的测试、管理也可参照使用。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究
是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术 操作系统安全技术要求
3 术语、定义和缩略语
4 安全功能技术要求
4.1 物理安全
4.1.1 设备安全可用
根据不同安全等级的不同要求,终端计算机系统的设备安全可用分为:
a) 基本运行支持:终端计算机系统的设备应提供基本的运行支持,并有必要的容错和故障恢复
能力;
b) 基本安全可用:终端计算机系统的设备应满足基本安全可用的要求,包括主机、外部设备、网
络连接部件及其他辅助部件等均应基本安全可用;
c) 不间断运行支持:终端计算机系统的设备应通过故障容错和故障恢复等措施,为终端计算机系
统的不间断运行提供支持。
4.1.2 设备防盗防毁
根据不同安全等级的不同要求,终端计算机系统的设备防盗防毁分为:
a) 设备标记要求:终端计算机系统的设备应有明显的无法除去的标记,以防更换和方便查找;
b) 主机实体安全:终端计算机系统的主机应有机箱封装保护,防止部件损害或被盗;
c) 设备的防盗和自销毁要求:终端计算机系统的设备应提供拥有者可控的防盗报警功能和系统
自销毁功能。
4.1.3 设备高可靠
根据特殊环境应用要求,终端计算机系统设备高可靠分为:
a) 防水要求:终端计算机系统应具有高密封性,防止水滴进入;
b) 防跌落和防震要求:终端计算机系统应加固保护,防止跌落和震动引起的系统损坏;
c) 抗高低温与高低气压要求:终端计算机系统应能适应高低温和高低气压环境;
d) 抗电磁辐射与干扰:终端计算机系统应能抵御电磁干扰和电磁辐射对系统的安全威胁。
4.2 运行安全
4.2.1 系统安全性检测分析
根据不同安全等级的不同要求,终端计算机系统的安全性检测分析分为:
a) 操作系统安全性检测分析:应从终端计算机操作系统的角度,以管理员身份评估文件许可、文
件宿主、网络服务设置、账户设置、程序真实性以及一般的与用户相关的安全点、入侵迹象等,
从而检测和分析操作系统的安全性,发现存在的安全隐患,并提出补救措施;
b) 硬件系统安全性检测分析:应对支持终端计算机系统运行的硬件系统进行安全性检测,通过
扫描硬件系统中与系统运行和数据保护有关的特定安全脆弱性,分析其存在的缺陷和漏洞,提
出补救措施;
c) 应用程序安全性检测分析:应对运行在终端计算机系统中的应用程序进行安全性检测分析,通
过扫描应用软件中与鉴别、授权、访问控制和系统完整性有关的特定的安全脆弱性,分析其存
在的缺陷和漏洞,提出补救措施;
d) 电磁泄露发射检测分析:应对运行中的终端计算机系统环境进行电磁泄露发射检测,采用专
门的检测设备,检查系统运行过程中由于电磁干扰和电磁辐射对终端计算机系统的安全性所
造成的威胁,并提出补救措施。
4.2.2 安全审计
4.2.2.1 安全审计的响应
根据不同安全等级的不同要求,终端计算机系统的安全审计的响应分为:
a) 记审计日志:当检测到可能有安全侵害事件时,将审计数据记入审计日志;
b) 实时报警生成:当检测到可能有安全侵害事件时,生成实时报警信息;
c) 违例进程终止:当检测到可能有安全侵害事件时,将违例进程终止,违例进程可以包括但不限
于服务进程、驱动、用户进程;
d) 用户账号断开与失效:当检测到可能有安全侵害事件时,将当前的用户账号断开,并使其失效。
4.2.2.2 安全审计数据产生
根据不同安全等级的不同要求,终端计算机系统的安全审计数据的产生分为:
a) 为下述可审计事件产生审计记录:审计功能的启动和关闭、终端计算机对用户使用身份鉴别机
制、管理员用户和普通用户所实施的与安全相关的操作;
b) 对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件类别,及其他
与审计相关的信息;
c) 对于身份鉴别事件,审计记录应包含请求的来源;
d) 将每个可审计事件与引起该事件的用户或进程相关联;
e) 为下述可审计事件产生审计记录:将客体引入用户地址空间(例如:打开文件、服务初始化)、其
他与系统安全有关的事件或专门定义的可审计事件;
f) 对于客体被引入用户地址空间的事件,审计记录应包含客体名及客体的安全等级;
g) 对机密性数据的创建、使用与删除事件,审计记录应包含机密性数据的安全标记。
4.2.2.3 安全审计分析
根据不同安全等级的不同要求,终端计算机系统的安全审计分析分为:
a) 潜在侵害分析:应能用一系列规则去监控审计事件,并根据这些规则指出SSP的潜在侵害;
b) 基于异常检测的描述:应能确立用户或进程的质疑度(或信誉度),该质疑度表示该用户或进
程的现行活动与已建立的使用模式的一致性程度。当用户或进程的质疑等级超过门限条件
时,SSF应能指出将要发生对安全性的威胁;
c) 简单攻击探测:应能检测到对SSF实施有重大威胁的签名事件的出现,并能通过对一个或多
个事件的对比分析或综合分析,预测一个攻击的出现以及出现的时间或方式。为此,SSF应维
护指出对SSF侵害的签名事件的内部表示,并将检测到的系统行为记录与签名事件进行比
较,当发现两者匹配时,指出一个对SSF的攻击即将到来;
d) 复杂攻击探测:在上述简单攻击探测的基础上,要求SSF应能检测到多步入侵情况,并能根据
已知的事件序列模拟出完整的入侵情况,还应指出发现对SSF的潜在侵害的签名事件或事件
序列的时间。
4.2.2.4 安全审计查阅
根据不同安全等级的不同要求,终端计算机系统的安全审计查阅分为:
a) 审计查阅:提供从审计记录中读取信息的能力,即要求SSF为授权用户提供获得和解释审计
信息的能力;
b) 受控审计查阅:审计查阅工具应只允许授权用户读取审计信息,并根据某种逻辑关系的标准
提供对审计数据进行搜索、分类、排序的能力。
4.2.2.5 安全审计事件选择
应根据以下属性选择终端计算机系统的可审计事件:
a) 客体身份、用户身份、主体身份、主机身份、事件类型;
b) 作为审计选择性依据的附加属性。
4.2.2.6 安全审计事件存储
根据不同安全等级的不同要求,终端计算机系统的安全审计事件存储分为:
a) 受保护的审计踪迹存储:要求审计踪迹的存储受到应有的保护,应能检测或防止对审计记录的
修改;
b) 审计数据的可用性确保:在意外情况出现时,应能检测或防止对审计记录的修改,以及在发生
审计存储已满、存储失败或存储受到攻击以及意外情况出现时,应采取相应的保护措施,确保
有实效性的审计记录不被破坏;
c) 审计数据可能丢失情况下的措施:当审计跟踪超过预定的门限时,应采取相应的措施,进行审
计数据可能丢失情况的处理;
d) 防止审计数据丢失:在审计踪迹存储已满或超过预定的门限时,应采取相应措施,防止审计数
据丢失。
4.2.3 信任链
应通过在终端计算机系统启动过程中提供的信任链支持,确保终端计算机系统的运行处于真实可
信状态。根据不同安全等级的不同要求,信任链功能分为:
a) 静态信任链建立:利用终端计算机系统上的度量根,在系统启动过程中对BIOS、MBR、OS部
件模块进行完整性度量。每个部件模块在加载前应确保其真实性和完整性;
b) 静态信任链中操作系统(OS)的完整性度量基准值接受国家专门机构管理,支持在线或离线
校验;
c) 动态信任链建立:利用终端计算机系统上的动态度量根,对操作系统上应用程序进行实时的完
整性度量,确保每个应用程序在启动和运行中的真实性和完整性;
d) 动态信任链中应用程序的完整性度量基准值接受国家专门机构管理,支持在线或离线校验;
e) 信任链模块修复:支持在被授权的情况下,对信任链建立过程中出现的不可信模块进行实时
修复;
f) 信任链模块升级:支持在被授权的情况下,对信任链建立过程中涉及的各个部件的模块进行升
级。每个升级模块均应确保其真实性和完整性。
4.2.4 运行时防护
4.2.4.1 恶意代码防护
恶意代码是对用户使用终端计算机系统造成破坏或影响的程序代码,比如:病毒、蠕虫、特洛伊木马
和恶意软件等。
根据不同安全等级要求,终端计算机系统的恶意代码防护应分为:
a) 外来介质使用控制:严格控制各种外来介质的使用,防止恶意代码通过介质传播;
b) 特征码扫描:对文件系统和内存采用特征码扫描,并根据扫描结果采取相应措施,清除或隔离
恶意代码。恶意代码特征库应及时更新;
c) 基于CPU的数据执行保护:防止缓冲区溢出,阻止从受保护的内存位置执行恶意代码;
d) 进程隔离:采用进程逻辑隔离或物理隔离的方法,保护进程免受恶意代码破坏;
e) 进程行为分析:基于专家系统,对进程行为的危险程度进行等级评估,根据评估结果,采取相应
防护措施。
4.2.4.2 网络攻击防护
终端计算机系统应采取必要措施监控主机与外部网络的数据通信,确保系统免受外部网络侵害或
恶意远程控制。应采取的措施包括:
a) 防火墙功能:
---IP包过滤:应能够支持基于源地址、目的地址的访问控制,将不符合预先设定策略的数据
包丢弃;
---网络协议分析:应能够支持基于网络协议类型的访问控制;
---应用程序监控:应能够设置应用程序对网络的访问控制规则,包括对端口、协议、访问方向
的控制;
---内容过滤:应能对网页内容进行基于关键字匹配的过滤。
b) 入侵检测功能:
---实时阻断:及时阻断严重的网络入侵行为;
---文件监控:防止用户对保护文件的非法访问与误操作;
---注册表监控:防止用户对注册表的非法访问与误操作;
---事件监测:及时检测到主机异常事件;
---实时流量分析:对主机网络流量进行实时监测与分析,并据此判断是否有入侵事件发生。
4.2.4.3 网络接入控制
终端计算机系统应能对所接入网络进行可信度评价,并根据不同可信度评价等级采取不同的安全
接入策略。
4.2.5 备份与故障恢复
为了实现确定的恢复功能,应在终端计算机系统正常运行时定期地或按某种条件实施备份。根据
不同安全等级的不同要求,备份与故障恢复分为:
a) 用户数据备份与恢复:应提供用户有选择地备份重要数据的功能,当由于某种原因引起终端计
算机系统中用户数据丢失或破坏时,应能提供用户数据恢复的功能;
b) 增量信息备份与恢复:应提供由终端计算机系统定时对新增信息进行备份的功能;当由于某
种原因引起终端计算机系统中的某些信息丢失或破坏时,应提供用户按增量信息备份所保留
的信息进行信息恢复的功能;
c) 局部系统备份与恢复:应提供定期对终端计算机系统的某些重要的局部系统的运行现场进行
定期备份的功能;当由于某种原因引起终端计算机系统某一局部发生故障时,应提供用户按局
部系统备份所保留的现场信息进行局部系统恢复的功能;
d) 全系统备份与恢复:应提供定期对终端计算机系统全系统的运行现场进行备份的功能;当由
于某种原因引起终端计算机系统全系统发生故障时,应提供用户按全系统备份所保留的现场
信息进行全系统恢复的功能;
e) 备份保护措施:数据在备份、存储和恢复过程中应有安全保护措施,并应设置不被用户操作系
统管理的系统来实现系统数据的备份与恢复功能,系统备份数据是用户操作系统不可访问的。
4.2.6 可信时间戳
终端计算机系统应为其运行提供可靠的时钟和时钟同步系统,并按GB/T 20271-2006的要求提
供可信时间戳服务。
4.2.7 I/O接口配置
终端计算机系统应根据不同的环境要求,配置......
|