<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 37091-2018 信息安全技術 安全辦公U盤安全技術要求
    展開或關閉
    前言
    前言
    1 范圍
    范圍
    2 規范性引用文件
    規范性引用文件
    3 術語、定義和縮略語
    3.1 術語和定義 3.2 縮略語
    4 評估對象描述
    評估對象描述
    5 安全問題定義
    5.1 資產 5.2 威脅 5.3 組織安全策略 5.4 假設
    6 安全目的
    6.1 TOE安全目的 6.2 環境安全目的
    7 安全功能要求
    7.1 安全審計類 7.2 密碼支持類 7.3 用戶數據保護類 7.4 標識和鑒別類 7.5 安全管理類 7.6 TSF保護類 7.7 TOE訪問
    8 安全保障要求
    8.1 安全保障級別 8.2 開發 8.3 指導性文檔 8.4 生命周期支持 8.5 ST評估 8.6 測試 8.7 脆弱性評定
    9 基本原理
    9.1 安全目的的基本原理 9.2 安全要求的基本原理 9.3 組件依賴關系
    參考文獻
    參考文獻

    9.1 安全目的的基本原理

    GB/T 37091-2018 信息安全技術 安全辦公U盤安全技術要求 /

    9.1 安全目的的基本原理

    下面的表4說明了安全辦公U盤的安全目的能應對所有可能的威脅、假設和組織安全策略。

    9.1 安全目的的基本原理

    9.1 安全目的的基本原理

    下面論述每一種威脅、組織安全策略和假設都至少有一個或一個以上安全目的與其對應,因此是完備的。
    T.Spoof
    為了避免攻擊者通過偽裝成為合法的用戶或實體,來試圖旁路安全辦公U盤的安全控制策略,O.User_Identification會對操作實體進行用戶認證,防止對TOE中用戶數據和安全功能數據的未授權訪問和使用;OE.Personnel會對人員的合法性進行定義。
    T.Failure_Exploitation
    為了避免攻擊者通過分析TOE的運行故障以獲取TSF數據、用戶數據或濫用TOE安全功能,O.State_Check會對TOE運行是否正常進行校驗;O.ResidualInfo_Clearance會對U盤使用后的數據進行清除防止故障利用;O.Pin_Protection,O.Data_Encryption以及O.Cryptogram_Pevention會對TSF數據進行防護;O.Officeprogram_Prevention對辦公程序進行防護;OE.Chip_Hardware會對硬件安全性進行定義。
    T.Data_Residue
    為了避免攻擊者利用未被刪除或安全處理的TOE運行記錄對TOE進行非法操作,O.ResidualInfo_Clearance會對U盤使用后的數據進行清除防止故障利用。
    T.Repeat_Guess
    為了避免攻擊者對TOE使用反復猜測鑒別數據的方法,并利用所獲信息實施攻擊,O.Pin_Protection,O.Data_Encryption以及O.Cryptogram_Pevention會對鑒別數據進行防護;O.Security_Audit會對違反策略的行為進行審計,及時發現不合法猜測行為。
    T.Program_Damage
    為了避免攻擊者讀取、修改或破壞重要的安全辦公U盤自身程序安全,O.Officeprogram_Prevention,OE.Application_Program會對程序破壞,逆向分析等行為進行防護。
    T.Replay_Attack
    為了避免攻擊者利用所截獲的有效標識和鑒別數據,訪問和使用由安全辦公U盤提供的相關功能,0.Replay_Prevation會提供安全機制抵御重放攻擊。
    T. Unauthorized_Access
    為了避免攻擊者試圖旁路安全辦公U盤安全機制的方法,訪問和使用各種安全功能,O.User_Identification,OE.Personnel會對使用者的合法性進行認證。
    T.Data_Leak
    為了避免攻擊者通過各種技術手段獲取到本地存儲、傳輸過程中的敏感業務數據,造成數據泄露,O.Pin_Protection會對用戶PIN碼提供保護;O.User_Identification會對操作實體進行用戶認證,防止對TOE中用戶數據和安全功能數據的未授權訪問和使用;O.Data_Encryption會對其保護的數據采取加密措施,如用戶數據、安全功能數據等;O.ResidualInfo_Clearance會對U盤使用后的數據進行清除防止故障利用;O.Cryptogram_Security回以符合國家、行業或組織要求的密碼管理相關標準或規范的密碼算法確保TOE密碼安全。
    T.Audit_Escape
    由于未生成審計記錄或審計記錄不完備而未被查閱,因此攻擊者可能不需對其操作的行為負責,并可能導致某些攻擊者逃避檢測。為防止此不安全行為發生,O.Secuity_Audit,OE.Personnel會對違反策略的行為進行審計。
    T.Unsafe_State
    為了避免攻擊者通過有效的攻擊方式使安全辦公U盤進入不安全狀態,O.State_Check會對U盤狀態進行校驗,防止不安全狀態的發生。
    P.Crytogram_Management
    為了避免攻擊者利用密碼算法安全問題,O.Pin_Protection,O.Data_Encryption以及O.Cryptogram_ Pevention會對密碼使用過程進行安全判斷。
    P.Hardware_Selection
    為避免芯片硬件引入安全問題,O.State_Check,OE.Chip_Hardware會對TOE是否采用至少通過安全測評的安全芯片進行校驗
    A.Personnel
    該假設要求授權管理員能夠依據管理員指南規范其操作,使用TOE的人員已具備基本的安全防護知識并具有良好的使用習慣,且以規定的方式使用TOE。為了達到這樣的目的,OE.Personnel要求TOE開發、初始化和個人化等生命周期階段中涉及到的特定人員應能嚴格地遵守安全的操作規程,以保障TOE在生命周期過程中的安全性。
    A.Office_Program
    該假設要求安全辦公U盤中預安裝的辦公程序不存在明顯影響安全辦公U盤安全的脆弱性。為了達到這樣的目的,OE.Application_Program要求安裝應用程序到TOE的流程必須規范,且合法安裝的應用程序不應包含惡意代碼。
    A.Chip_Hardware

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    地球胖頭魚
    1.3k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类