GB/T 34990—2017 信息安全技術 信息系統安全管理平臺技術要求和測試評價方法6.1 安全要求
6.1.1 身份鑒別
6.1.1.1 平臺用戶標識
平臺應對自身用戶實現標識管理的安全功能。
基本級安全要求,包括:
a) 應對用戶進行標識,通常僅包括管理員用戶,如系統管理員、安全管理員、安全審計員;
b) 在對每一個用戶注冊到系統時,采用用戶名和用戶標識符標識用戶身份;
c) 應確保在系統整個生存周期平臺用戶標識的唯一性,并將平臺用戶標識與安全審計相關聯;
d) 應對用戶標識信息進行管理、維護,確保其不被非授權地訪問、修改或刪除。
增強級安全要求,在基本級要求基礎上無增加要求。
6.1.1.2 平臺用戶鑒別
平臺應對自身用戶實現身份鑒別管理的安全功能。
基本級安全要求,包括:
應在每次用戶登錄系統時,采用受控的口令或具有相應安全強度的其他機制進行用戶身份鑒別;
應檢測并防止使用偽造或復制的鑒別信息,檢測或防止當前用戶從任何其他用戶處復制的鑒別數據的使用;
應對用戶鑒別信息進行管理、維護,確保其不被非授權的訪問、修改或刪除,對鑒別數據進行保密性和完整性保護;
增強級安全要求,在基本級要求基礎上增加下列要求:
應在每次用戶登錄系統時,采用受安全管理中心控制的基于生物特征、口令、數字證書以及其他具有相應安全強度的兩種或兩種以上的組合機制進行用戶身份鑒別;
應提供一次性使用鑒別數據的鑒別機制,防止與已標識過的鑒別機制有關的鑒別數據的重用;
應提供不同的鑒別機制,用于鑒別特定事件(如下發策略規則等)的用戶身份,并根據所描述的多種鑒別機制如何提供鑒別的規則,來鑒別任何用戶所聲稱的身份;
應有能力規定需要重新鑒別用戶的事件,即在需要重新鑒別的條件成立時,對用戶進行重新鑒別。例如,終端用戶操作超時被斷開后,重新連接時需要進行重新鑒別。
6.1.1.3 平臺用戶鑒別失敗處理
平臺應對自身用戶實現身份鑒別失敗處理的安全功能。
基本級安全要求,包括:
應為不成功的鑒別嘗試(包括嘗試次數和時間的閾值)定義一個限制值,并明確規定達到該值時所應采取的動作,如報警、鎖定用戶、退出登錄界面等;
應針對檢測出現相關的不成功鑒別嘗試的次數與所規定的數目(接近限制值的某個值)相同的情況等,進行預先定義的處理。
增強級安全要求,在基本級要求基礎上無增加要求。
6.1.1.4 平臺用戶-主體綁定
平臺應對自身用戶實現用戶-主體綁定的安全功能。
基本級安全要求,無;
增強級安全要求,包括:
在平臺安全功能控制范圍之內,對一個已標識和鑒別的用戶,應通過用戶-主體綁定將該用戶與為其服務的主體(如進程)相關聯,從而將該用戶的身份與該用戶的所有可審計行為相關聯,以實現用戶行為的可查性。
6.1.1.5 平臺設備標識
平臺應對平臺設備實現標識管理的安全功能。
基本級安全要求:
應對平臺設備進行標識;
應確保在系統整個生存周期設備標識的唯一性,可將設備標識與安全審計相關聯;
應對設備標識信息進行管理、維護,確保其不被非授權的訪問、修改或刪除。
增強級安全要求,在基本級要求基礎上無增加要求。
6.1.1.6 平臺設備鑒別
平臺應對平臺設備實現設備鑒別管理的安全功能。
基本級安全要求,包括:
應在平臺設備接入時進行鑒別,防止非法接入;
設備鑒別信息應是不可見的,不易仿造的,應檢測并防止使用偽造或復制的鑒別信息;
應對設備鑒別信息進行管理、維護,確保其不被非授權的訪問、修改或刪除。
增強級安全要求,在基本級要求基礎上無增加要求。
6.1.1.7 平臺設備鑒別失敗處理
平臺應對平臺設備實現設備鑒別失敗處理的安全功能。
基本級安全要求,包括:
應對不成功的設備鑒別嘗試(包括嘗試次數和時間的閾值)的值進行預先定義,以及明確規定達到該值時所應采取的動作。
增強級安全要求,在基本級要求基礎上無增加要求。
6.1.2 抗抵賴
6.1.2.1 抗原發抵賴
平臺應實現抗原發抵賴的安全功能。
基本級安全要求,包括:
在平臺對管理對象下發管理策略規則時,應在接到接收者(管理對象)的請求時,能就傳輸的數據產生原發證據,證明該數據的發送由該原發者所為(選擇性原發證明);
增強級安全要求,在基本級要求基礎上增加下列要求:
在平臺對管理對象下發管理策略規則時,應對傳輸的數據產生原發證據,證明該數據的發送由該原發者所為(強制性原發證明)
在平臺獲取管理對象的相關監測信息時,應在接到接收者(平臺)的請求時,能就傳輸的數據產生原發證據,證明該數據的發送由該原發者所為(選擇性原發證明)。
6.1.2.2 抗接收抵賴
平臺應實現抗接收抵賴的安全功能。
基本級安全要求,包括:
在平臺對管理對象下發管理策略規則時,應在接到原發者(平臺)的請求時,能就傳輸的數據產生接收證據,證明該數據的接收由該接收者所為(選擇性接收證明);
增強級安全要求,在基本級要求基礎上增加下列要求:
在平臺對管理對象下發管理策略規則時,應在任何時候對傳輸的數據產生接收證據,證明該數據的接收由該接收者所為(強制性接收證明);
在平臺對管理對象的相關監測信息時,應在接到原發者(管理對象)的請求時,能就傳輸的數據產生接收證據,證明該數據的接收由該接收者所為(選擇性接收證明)。
6.1.3 訪問控制
6.1.3.1 自主訪問控制
平臺應實現自主訪問控制的安全功能。
基本級安全要求,包括:
應在安全策略控制范圍內,使平臺用戶對其創建的客體(管理對象及其管理策略規則,以及相應數據集的相關內容)具有相應的訪問操作權限,并只能將這些權限的部分或全部授予其他同類型平臺用戶;
訪問操作包括對管理對象及其管理策略規則的創建、讀、寫、修改和刪除等;
增強級安全要求,在基本級要求基礎上無增加要求。
6.1.3.2 標記和強制訪問控制
平臺應實現標記和強制訪問控制的安全功能。
基本級安全要求,無;
增強級安全要求,包括:
在對安全管理員進行身份鑒別和權限控制的基礎上,應由安全管理員通過特定操作界面對主體(發起訪問的平臺用戶或進程)、客體(管理對象及其管理策略規則,以及相應數據集的相關內容)進行安全標記;
應按安全標記和強制訪問控制規則,對確定主體訪問客體的操作進行控制;
應確保在平臺安全功能控制范圍之內的所有主、客體具有一致的標記信息,并實施相同的強制訪問控制規則。
6.1.4 安全審計
6.1.4.1 系統安全審計
平臺應實現系統安全審計功能。
基本級安全要求,包括:
審計范圍應覆蓋到平臺所有服務器和終端計算機上的每個操作系統用戶和數據庫用戶;
審計內容應包括用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的相關安全事件,存儲到平臺審計記錄數據集,并對特定安全事件進行報警;
審計記錄應包括事件的日期、時間、位置、類型、用戶或進程標識、管理對象標識和結果等;
增強級安全要求,在基本級要求基礎上增加下列要求:
應能夠根據記錄數據進行分析,并生成審計報表。
6.1.4.2 網絡安全審計
平臺應實現網絡安全審計功能。
基本級安全要求,包括:
a) 審計范圍應覆蓋到平臺運行所必需的所有網絡設備、專用安全設備,并在平臺區域邊界設置審計機制,對確認的違規行為及時報警。
b) 審計內容應包括的運行狀況、網絡流量、用戶行為等,進行日志記錄并存儲到平臺審計記錄數據集;
c) 審計記錄應包括事件的日期、時間、位置、事件類型、用戶或進程標識、管理對象標識和結果、源地址、目的地址等;
增強級安全要求,在基本級要求基礎上增加下列要求:
d) 應能夠根據記錄數據進行分析,并生成審計報表;
6.1.4.3 應用安全審計
平臺應實現應用安全審計功能。
基本級安全要求,包括:
a) 審計范圍應覆蓋到對平臺應用系統及其運行狀況的審計;
b) 審計內容應包括針對管理員的操作行為,以及平臺應用軟件系統發生的安全事件,存儲到平臺審計記錄數據集,并對特定安全事件進行報警;
c) 審計記錄應包括事件的日期、時間、位置、事件類型、用戶或進程標識、管理對象標識和結果等;
增強級安全要求,在基本級要求基礎上增加下列要求:
d) 應能夠根據記錄數據進行分析,并生成審計報表。
6.1.4.4 系統時間同步
平臺應實現系統時間同步功能。
基本級功能要求,包括:
應提供平臺和管理對象的所有相關信息處理的時鐘與單一基準的一個時間源同步功能;
增強級安全要求,在基本級要求基礎上無增加要求。
6.1.4.5 審計保護
平臺應實現審計保護功能。
基本級安全要求,包括:
a) 應保護審計記錄,避免受到未預期的刪除、修改或覆蓋等;
增強級安全要求,在基本級要求基礎上增加下列要求:
b) 應保護審計進程,避免受到未預期的中斷。
6.1.5 完整性保護
6.1.5.1 存儲數據完整性
平臺應實現存儲數據完整性保護的安全功能。
基本級安全要求,包括:
對存儲在平臺內的平臺功能數據和平臺自身安全功能數據(統稱平臺數據)進行完整性保護,可采用常規校驗機制;
應對存儲在平臺內的平臺數據在讀取操作時進行完整性檢測,及時發現數據完整性被破壞的情況,支持報警功能;
平臺功能數據只能通過平臺程序進行添加、讀取等操作,不允許直接進行修改;
平臺功能數據的變更只能通過變更程序進行修改;
當采取平臺分級存儲或在管理對象中存儲的數據存儲方式時,應對下級平臺存儲或管理對象存儲提出數據存儲完整性要求。
增強級安全要求,在基本級要求基礎上增加下列要求:
a) 應對存儲在平臺內的平臺數據進行完整性保護,采用密碼機制支持的完整性校驗機制或其他具有相應安全強度的完整性校驗機制;
b) 應對存儲在平臺內的平臺數據在讀取操作時進行完整性檢測,并在檢測到完整性錯誤時,采取必要的恢復措施。
6.1.5.2 傳輸數據完整性
平臺應實現傳輸數據完整性保護的安全功能。
基本級安全要求,包括:
對平臺與安全管理對象之間傳輸的平臺數據提供完整性保護,可采用由密碼技術支持的完整性校驗機制或具有相應強度的其他安全機制;
應對經網絡傳輸的平臺數據在傳輸過程中進行完整性檢測,及時發現以某種方式傳送或接收的用戶數據被篡改、刪除、插入等情況,支持報警功能;
增強級安全要求,在基本級要求基礎上增加下列要求:
對平臺與安全管理對象之間傳輸的平臺數據提供完整性保護,應采用由密碼技術支持的完整性校驗機制或具有相應強度的其他安全機制;
應對經網絡傳輸的平臺數據在傳輸過程中進行完整性檢測,及時發現以某種方式傳送或接收的用戶數據被篡改、刪除、插入等情況,支持報警功能,并在檢測到完整性錯誤時,采取必要的恢復措施。
6.1.5.3 處理數據完整性
平臺應實現數據處理過程完整性保護的安全功能。
基本級安全要求,包括:
對平臺處理過程中的數據,可采用由密碼技術支持的完整性校驗機制或具有相應強度的其他安全機制;
應對平臺中處理過程中的數據,通過“回退”進行完整性保護,允許對所定義的操作序列進行回退;
增強級安全要求,在基本級要求基礎上增加下列要求:
對平臺中處理過程中的數據,應采用由密碼技術支持的完整性校驗機制或具有相應強度的其他安全機制。
6.1.5.4 邊界完整性檢查
平臺應實現邊界完整性檢查的安全功能。
基本級安全要求,包括:
應在平臺區域邊界設置訪問控制機制,實施相應的訪問控制策略,對進出區域邊界的數據信息進行控制,阻止非授權訪問;
應在平臺區域邊界探測非法外聯、非法接入和入侵行為,并及時報警;
增強級安全要求,在基本級要求基礎上增加下列要求:
應對平臺區域邊界所探測到的非法外聯、非法接入和入侵行為,準確定出位置,并進行有效阻斷。
6.1.5.5 系統完整性檢查
平臺應實現系統完整性檢查的安全功能。
基本級安全要求,包括:
a) 應在平臺系統啟動時對相關的平臺設備等及其網絡連接進行完整性檢查;
b) 應在平臺系統啟動時對平臺應用系統進行完整性檢查;
增強級安全要求,在基本級要求基礎上增加下列要求:
c) 應在平臺系統啟動時對平臺與管理對象間的網絡連接進行完整性檢查。
6.1.5.6 接口完整性檢查
平臺應實現接口完整性檢查的安全功能。
基本級安全要求,包括:
a) 平臺的面向管理對象接口、平臺操作人機互聯接口、平臺級聯接口間不允許存在物理連接;
b) 各個面向管理對象接口相互之間不允許存在任何物理連接和邏輯連接;
增強級安全要求,在基本級要求基礎上無增加要求。
6.1.6 保密性保護
6.1.6.1 存儲數據的保密性
平臺應實現存儲數據的保密性保護功能。
基本級安全要求,包括:
對存儲在平臺的用戶身份鑒別數據等安全功能相關數據,可采用密碼技術支持的保密性保護機制進行保護,確保除具有訪問權限的合法用戶外,其余任何用戶不能獲得該數據;
增強級安全要求,在基本級要求基礎上增加下列要求:
對存儲在平臺的用戶身份鑒別數據等安全功能相關數據,以及其他重要數據,應采用密碼技術支持的保密性保護機制進行保護。
6.1.6.2 傳輸數據的保密性
平臺應實現傳輸數據的保密性保護功能。
基本級安全要求,包括:
平臺對平臺和安全管理對象之間傳輸的用戶身份鑒別數據等安全功能相關數據,可采用由密碼技術支持的保密性保護機制或具有相應強度的其他安全機制進行保護,確保數據在傳輸過程中不被泄漏和竊取;
增強級安全要求,在基本級要求基礎上增加下列要求:
平臺對平臺和安全管理對象之間傳輸的用戶身份鑒別數據等安全功能相關數據,以及其他重要數據,應采用由密碼技術支持的保密性保護機制或具有相應強度的其他安全機制進行保護,確保數據在傳輸過程中不被泄漏和竊取。
6.1.6.3 客體安全重用
平臺應實現客體重用的保護功能。
基本級安全要求,包括:
應采用具有安全客體復用功能的系統軟件或具有相應功能的信息技術產品;
應對用戶使用的客體資源,在這些客體資源重新分配前,對其原使用者的信息進行清除,以確保信息不被泄露。
增強級安全要求,在基本級要求基礎上無增加要求。
6.1.7 入侵及惡意代碼防范
6.1.7.1 入侵防范
平臺應實現入侵防范的安全功能。
基本級安全要求,包括:
平臺中使用的操作系統應遵循最小安裝的原則,僅安裝需要的組件和應用程序,并通過設置升級服務器等方式保持系統補丁及時得到更新;
應在平臺區域邊界對攻擊行為進行監控報警,如端口掃描、強力攻擊、后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊等。
增強級安全要求,在基本級要求基礎上增加下列要求:
應對平臺區域邊界攻擊行為記錄入侵的源IP、目的IP、類型、時間等;
應對重要程序受到破壞后具有恢復的措施;
6.1.7.2 惡意代碼防范
平臺應實現惡意代碼防范的保護功能。
基本級安全要求,包括:
平臺中使用的服務器、終端計算機應安裝防惡意代碼軟件,在平臺區域邊界對惡意代碼進行檢測和清除;
應維護惡意代碼庫的升級和檢測系統的更新,支持防惡意代碼的統一管理。
增強級安全要求,在基本級要求基礎上增加下列要求:
應對惡意代碼有免疫能力;
6.1.8 軟件容錯及資源控制
6.1.8.1 軟件容錯
平臺應實現軟件容錯的安全功能。
基本級安全要求,包括:
平臺應用系統應具有數據有效性檢驗功能;
在故障發生時,平臺應用系統應繼續提供一部分功能,確保能夠實施必要的措施;
增強級安全要求,在基本級要求基礎上增加下列要求:
應提供自動保護功能,當故障發生時自動保護當前所有狀態,保證平臺應用系統能夠進行恢復。
6.1.8.2 資源控制
平臺應對實現資源控制的安全功能。
基本級安全要求,包括:
當平臺應用系統的通信雙方中的一方在一段時間內未作任何響應,另一方應能夠自動結束會話;
應對平臺應用系統的最大并發會話連接數進行限制;
應對平臺應用系統單個帳戶的多重并發會話進行限制;
增強級安全要求,在基本級要求基礎上增加下列要求:
應對一個時間段內可能的并發會話連接數進行限制;
應對平臺應用系統一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額;
應對平臺應用系統服務水平降低到預先規定的最小值進行檢測和報警;
應提供服務優先級設定功能,并在安裝后根據安全策略設定訪問帳戶或請求進程的優先級,根據優先級分配系統資源。
6.1.9 可信路徑
6.1.9.1 通信保護
平臺應對通信實現可信保護功能。
基本級安全要求,無;
增強級安全要求:
平臺與管理對象間的可信路徑,應提供真實的端點標識,并保護通信數據免遭修改和泄漏;
應采用由密碼技術支持的可信網絡連接機制,通過對連接到網絡的設備進行可信檢驗,確保接入網絡的設備真實可信,防止設備的非法接入;
6.1.9.2 程序可執行保護
平臺應對應用程序實現可執行保護功能。
基本級安全要求,無;
增強級安全要求,包括:
應構建從操作系統到平臺應用系統的信任鏈,采用可信計算等技術,在系統運行過程中進行可執行程序的完整性檢驗,防范惡意代碼等攻擊,并在檢測到其完整性受到破壞時采取有效的恢復措施。
6.1.10 密碼支持
平臺所使用的密碼技術應符合國家有關規定。
基本級安全要求,包括:
應根據密碼強度與信息系統安全保護等級匹配的原則,按國家密碼主管部門的規定,分級配置具有相應等級密碼管理的密碼支持。
增強級安全要求,在基本級要求基礎上無增加要求。
推薦文章: