6.4 第三級安全功能要求

6.4 第三級安全功能要求

6.4.1　概述

第三級安全功能要求依然從訪問安全、系統安全、數據安全和管理安全四個方向提出，與第二級安全功能要求相比，增強了系統安全中系統完整性保護、安全啟動等方面的要求，增強了數據安全中數據完整性、數據保密性、剩余信息保護和業務高可用等方面的要求，增強了管理安全中會話管理、鑒別機制管理、數字證書和密鑰管理等方面的要求。

6.4.2　訪問安全

6.4.2.1　訪問鑒別

應對訪問網絡存儲業務的應用進行鑒別，包含以下要求：
a) 對應用提供唯一標識，并將標識和與其相關的所有可審計事件相關聯；
b) 鑒別信息非明文存儲，且鑒別數據不被未授權查閱和篡改；

6.4.2.2　訪問控制

應按訪問控制安全策略進行設計，實現策略控制下的訪問控制功能，包含以下要求：
a) 訪問控制的策略范圍應包括與資源訪問相關的主體、客體及它們之間的操作；
b) 對資源進行訪問的內容、操作權限不超出預定義的范圍，滿足最小特權原則；
c) 支持業務面和管理面無法互相訪問；
d) 支持對資源訪問控制的策略配置。

6.4.3.1　設備可靠運行支持

應保證自身可靠運行，包含以下要求：
a) 支持管理模塊冗余、電源模塊冗余、控制模塊冗余，并提供容錯和故障恢復能力；
b) 支持對內存的檢測與糾錯；

6.4.3.2　設備工作狀態監控

應支持自動檢測設備的工作狀態，至少可檢測硬件故障、網絡中斷、網絡連接錯誤、軟件容量預警、業務異常預警等內容，并采取告警措施。

6.4.3.3　系統完整性保護

應提供系統完整性保護功能，包含以下要求：
a) 對軟件安裝包進行完整性保護并確保完整性校驗流程安全可靠；
b) 支持在固件升級和安裝過程中對固件進行合法性校驗；

6.4.3.4　軟件及軟件運行安全

若自帶有操作系統、數據庫、Web應用，應保證系統軟件及軟件運行環境不存在高風險級別的漏洞，例如經通用漏洞評分系統評估出的高風險漏洞。

6.4.3.5　安全加固

應支持安全加固功能，包含以下要求：
a) 對操作系統、數據庫和文件系統采用業界通用的加固規范進行安全加固；
b) 關閉不需要的系統服務、默認共享和端口；

6.4.3.6　Web安全

應提供Web安全功能，包含以下要求：
a) 對于每一個需要授權訪問的請求都核實用戶的會話標識是否合法、用戶是否被授權執行此操作；
b) 支持在服務器端對所有來自不可信數據源的數據進行內容校驗，拒絕任何沒有通過校驗的數據；
c) 若輸出到客戶端的數據來自不可信的數據源，則對該數據進行相應的編碼或轉義；
d) 通過Web上傳文件時，在服務器端采用白名單方式對上傳到Web內容目錄下的文件類型進行嚴格的限制；

6.4.3.7　安全啟動

應支持在設備啟動時對軟件和固件進行完整性驗證。

6.4.4　數據安全

6.4.4.1　數據完整性

6.4.4.1.1　存儲數據的完整性

應對存儲的數據進行完整性保護，包含以下要求：
a) 支持檢測存儲的數據是否存在完整性錯誤，并提供必要的恢復措施；

6.4.4.1.2　傳輸數據的完整性

應對在網絡存儲內部不同組件、部件之間傳輸的數據提供完整性保護，包含以下要求：
a) 可檢測出傳輸中的數據被篡改等；

6.4.4.1.3　處理數據的完整性

應支持對處理中的數據進行完整性保護的功能。

6.4.4.2　數據保密性

6.4.4.2.1　數據保密性

應對數據的保密性進行保護，包含以下要求：
a) 應對業務應用關鍵數據采用非明文存儲：
? 口令等敏感信息不得明文存儲在本地，需加密保護；
? 不在URL、日志、錯誤消息、調試信息中暴露口令、密鑰、會話標識符等敏感信息；
? 在非信任網絡之間傳輸數據時，應支持采用安全傳輸通道或者加密后傳輸；
? 對敏感數據的訪問要有認證、授權或加密機制，對于認證憑據的安全存儲，在不需要還原明文的場景下，應使用不可逆算法加密。

6.4.4.2.2　剩余信息保護

應提供剩余信息保護功能，包含以下要求：
a) 支持對鑒別信息和敏感數據所在的存儲空間進行完全清除；
b) 支持硬盤數據安全擦除，數據擦除后，不可恢復，例如，可采用的安全擦除方式有：固件的安全擦除命令、多次覆蓋寫入及密鑰銷毀等方式；

6.4.4.3　數據可用性

6.4.4.3.1　備份與恢復

應提供對數據進行備份和恢復的功能，包含以下要求：
a) 對數據進行手動備份；
b) 對數據進行自動備份；
c) 對數據進行全備份；
d) 對數據進行增量備份；
e) 對數據進行異步備份；
f) 對數據進行同步備份；
g) 對數據進行本地備份；
h) 對數據進行異地備份；
i) 卷鏡像的方式提供數據的備份與恢復功能；
j) 快照的方式提供數據的備份與恢復功能；

6.4.4.3.2　防病毒

應支持防病毒軟件掃描，防止文件被病毒感染。

6.4.4.3.3　數據冗余

應支持通過配置RAID保障存儲數據的可靠性。

6.4.4.3.4　高可用

應支持高可用功能，當一個數據中心的存儲系統發生故障時，業務自動切換到另一個數據中心。

6.4.5　管理安全

6.4.5.1　身份管理

6.4.5.1.1　身份標識管理

應提供對用戶的標識功能，包含以下要求:
a) 為每個用戶提供唯一的身份標識；
b) 對每個用戶身份標識進行管理、維護，確保其不被非授權地訪問、修改或刪除；

6.4.5.1.2　賬號安全管理

應提供賬號管理功能，包含以下要求：
a) 系統中的賬號具有唯一性；
b) 不可預留任何的未公開賬號，所有賬號都可被系統管理，并在資料中提供所有賬號及管理操作說明；
c) 若存儲產品自帶數據庫，且有多個默認賬號，應禁用或刪除不使用的賬號，若無法刪除或禁用，應在產品資料中提示用戶修改默認賬號的口令、定期更新口令；

6.4.5.1.3　賬號權限管理

應提供賬號權限管理功能，包含以下要求：
a) 采用基于角色的賬號權限管理模型；
b) 對于賬號的授權應基于最小特權原則；

6.4.5.2　身份鑒別

6.4.5.2.1　鑒別機制管理

應提供身份鑒別功能，使用的鑒別機制包含以下要求：
a) 在用戶對網絡存儲進行操作之前，先對提出該操作請求的用戶進行鑒別；
b) 對用戶的最終鑒別處理、鑒權處理過程應在服務端進行，并遵循先鑒權后執行的原則；
c) 當用戶連續鑒別失敗達到設定次數后，采取措施阻止用戶的進一步請求；
d) 用戶操作超時被斷開后，重新連接時需要重新進行鑒別；
e) 支持用戶鑒別信息非明文存儲，且認證數據不被未授權查閱和修改；
f) 提供多種鑒別機制及相應鑒別規則；
g) 對于重要的操作，支持強制要求用戶重新輸入口令等鑒別信息，并在服務端完成鑒別；

6.4.5.2.2　口令安全管理

應提供基于口令的鑒別方式，口令安全包含以下要求：
a) 對于管理面，系統提供檢測口令復雜度的功能，若設置的口令不符合復雜度要求，不準許設置成功并給出合理的提示，對于系統自動生成的口令，使用安全隨機數生成；
b) 口令復雜度滿足以下要求：
? 口令長度至少6個字符；
? 口令包含至少兩種字符的組合；
? 口令不可與賬號相同。
c) 產品出廠使用的第三方和開源軟件不得使用缺省口令；
d) 不應存在用戶無法修改的口令。對于出廠時缺省設置的賬號/口令或用于傳輸的加密密鑰，應提供修改機制，提醒用戶修改及定期更新，并提示風險；
e) 提供的口令輸入框不支持口令拷貝；
f) 操作界面中的口令不應明文顯示；
g) 密碼口令文件應設置訪問權限，管理用戶不可讀取或拷貝加密的內容；

6.4.5.2.3　登錄身份鑒別

應提供登錄身份鑒別功能，包含以下要求：
a) 管理接口提供接入鑒別機制，所有可對系統進行管理的人機接口以及跨信任網絡的機機接口應有安全的接入鑒別機制并缺省啟用，標準協議沒有鑒別機制的除外；
b) 設備外部可見的可對系統進行調試或管理的物理接口應有接入鑒別機制；
c) 對于人機接口或跨信任網絡的機機接口的登錄身份鑒別應支持口令防暴力破解機制，當重復輸入錯誤口令次數超過閾值時采取合適保護措施；

6.4.5.3　會話管理

應提供會話管理功能，包含以下要求：
a) 設置會話超時機制，在超時過后清除該會話信息；
b) 所有登錄后才可訪問的界面都應提供主動退出選項，當用戶退出時，服務端應清除該用戶的會話信息；
c) 會話標識應使用安全隨機數算法生成；

6.4.5.4　密碼算法

本標準中凡涉及到采用密碼技術解決保密性、完整性、真實性、不可否認性需求的，須遵循國家密碼管理部門的相關規定。

6.4.5.5　安全審計

6.4.5.5.1　審計數據產生

應支持對于以下事件進行安全審計，并生成審計數據：
a) 為下述可審計事件產生審計記錄：
? 審計功能的開啟和關閉；
? 針對數據的備份、恢復、刪除、遷移等操作；
? 以下的用戶活動和關鍵操作行為：
? 登錄和注銷；
? 增加、刪除用戶和用戶屬性（賬號、口令等）的變更；
? 用戶的鎖定與解鎖、禁用與恢復；
? 角色權限變更；
? 系統安全配置（如安全日志內容等配置）的變更；
? 重要資源的變更，如某個重要文件的刪除、修改等；
? 對系統配置參數的修改；
? 對系統進行啟動、關閉、重啟、暫停、恢復、倒換等操作；
? 存儲業務的加載、卸載；
? 對軟件的升級操作，包括遠程升級和本地升級；
? 對重要業務數據（特別是邏輯卷、文件系統、對象等）的創建、刪除、修改等。
? 其他與系統安全有關的事件或專門定義的可審計事件。
b) 對于每一個事件，其審計記錄應包括：用戶、被訪問資源的名稱、訪問發起端地址或標識、事件的日期和時間、事件類型、事件是否成功，及其他與審計相關的信息；
c) 審計數據產生時的時間應由網絡存儲所在系統范圍內唯一確定的時鐘產生，以確保審計分析的正確性；
d) 對于身份鑒別事件，審計記錄應包含請求的來源；

6.4.5.5.2　審計數據管理

應提供對審計數據的管理功能，包含以下要求：
a) 只有具有相應權限的用戶才可讀取對應的審計數據；
b) 以可被處理的形式提供審計數據；

6.4.5.5.3　審計數據存儲

應保證審計數據的存儲安全，包含以下要求：
a) 應確保審計記錄的留存時間符合法律法規要求；
b) 應檢測或防止對審計記錄的未授權修改；
c) 審計數據被未授權修改時，對該操作進行審計；

6.4.5.6　數字證書管理

應提供數字證書管理功能，包含以下要求：
a) 使用通用格式的證書，且使用安全的證書簽名算法；
b) 設置合理的證書有效期；
c) 支持驗證證書的有效性；
d) 證書的私鑰應加密保存，私鑰保護口令應滿足復雜度要求并加密保存，同時控制私鑰文件和證書文件的訪問權限；
e) 支持周期性檢查設備上各種類型的證書是否過期或即將過期；
f) 使用安全隨機數生成密鑰對；
g) 支持第三方可信機構頒發的數字證書；

6.4.5.7　密鑰管理

應支持密鑰管理功能，包含以下要求：
a) 應對密鑰進行分層管理；
b) 手動輸入的值，不可直接作為密鑰使用；
c) 用于敏感數據加密的密鑰，不可寫在源代碼中；
d) 密鑰及相關信息在本地存儲時需提供完整性保護和機密性保護；