GB/T 34990—2017 信息安全技術 信息系統安全管理平臺技術要求和測試評價方法6.2 保障要求
6.2.1 配置與設備選型
6.2.1.1 配置管理
平臺開發過程中應進行配置管理。
基本級保障要求,包括:
開發商應使用配置管理系統,為平臺產品的不同版本提供唯一的標識;
開發商應針對不同平臺產品(用戶)提供唯一的授權標識;
要求配置項應有唯一標識;
開發商應提供配置管理文檔;
增強級保障要求,在基本級要求基礎上增加下列要求:
開發商提供的配置管理文檔應包括一個配置管理計劃,配置管理計劃應描述如何使用配置管理系統,實施的配置管理應與配置管理計劃相一致;
配置管理范圍應包括系統交付與運行文檔、開發文檔、指導性文檔、生命周期支持文檔、測試文檔、脆弱性分析文檔和配置管理文檔,并描述配置管理系統是如何跟蹤這些配置項的,從而確保它們的修改是在一個正確授權的可控方式下進行的。
6.2.1.2 平臺硬件設備
平臺硬件設備選型應符合下列要求:
基本級保障要求,包括:
a) 平臺硬件設備指組成平臺的硬件設備,如服務器、終端計算機、網絡設備等;
b) 應將平臺硬件設備信息存儲到平臺設備數據集;
c) 服務器應符合GB/T 21028-2007要求;
d) 終端計算機應符合GB/T 29240-2012要求;
e) 網絡設備應符合GB/T 21050-2007和GB/T 18018-2007要求。
增強級保障要求,在基本級要求基礎上無增加要求。
6.2.1.3 平臺系統軟件
平臺系統軟件選型應符合下列要求:
基本級保障要求,包括:
a) 安全管理平臺的服務器、終端計算機應使用安全操作系統及安全數據庫管理系統;
b) 應將上述系統軟件信息存儲到平臺設備數據集;
c) 安全操作系統是指符合GB/T 20272-2006第三級及以上要求的操作系統;
d) 安全數據庫管理系統是指符合GB/T 20273-2006第三級及以上要求的數據庫管理系統。
增強級保障要求,在基本級要求基礎上無增加要求。
6.2.2 交付與運行
6.2.2.1 產品交付
平臺產品交付應符合下列要求:
基本級保障要求,包括:
開發商應確保平臺產品的交付、安裝、配置和使用是可控的;
開發商應以文件方式說明平臺產品的安裝,配置和啟動的過程;
平臺系統安裝指南應詳盡描述平臺產品的安裝,配置和啟動運行所必需的基本步驟;
上述過程中不應向非產品使用者提供網絡拓撲信息;
增強級保障要求,在基本級要求基礎上無增加要求。
6.2.2.2 平臺運行環境部署
平臺運行環境部署應符合下列要求:
基本級保障要求,包括:
平臺運行環境的部署,是指與之關聯的信息系統中服務器及終端計算機系統、網絡設備、專用安全設備及其他相關設施中執行的各種安全機制,以及應用軟件系統中的安全機制的部署,應是有效的和合理的;
平臺與上述管理對象之間的通信是可信的,并且對信息系統原有網絡區域劃分及其邊界防護不產生影響,對原網絡正常通信不產生長時間固定影響;
平臺運行環境的服務器及終端計算機應采用安全操作系統;
平臺面向管理對象接口的配置只能由唯一授權的系統管理員進行管理;
增強級保障要求,在基本級要求基礎上增加下列要求:
平臺運行環境的配置應符合信息系統相應安全保護等級的要求;
平臺相關的服務器、終端計算機、網絡設備、專用安全設備等硬件設備應經過國家監管部門的安全審查,確保自主可控。
6.2.3 開發
6.2.3.1 功能設計
平臺功能設計符合下列要求:
基本級保障要求,包括:
應使用非形式化風格來完備地描述平臺功能及其接口,功能設計應當是內部一致的,并且應描述所有接口的使用目的與方法,還要提供結果例外情況和錯誤信息的細節;
功能設計還應完備地表示平臺安全功能的基本原理;
增強級保障要求,在基本級要求基礎上增加下列要求:
應使用半形式化風格來完備地描述平臺安全功能及其接口,必要時可由非形式化、解釋性的文字來支持。
6.2.3.2 安全策略模型化
平臺開發中應建立安全策略模型。
基本級保障要求,包括:
通過建立基于安全集中管理策略的安全策略模型,并建立功能設計、安全策略模型和安全集中管理策略之間的對應性的方法,確保功能設計中的安全功能實施安全集中管理策略;
平臺的安全策略模型應是非形式化的,并描述所有可以模型化的安全集中管理策略的規則與特征;
安全策略模型應包括一個基本原理,闡明該模型與所有可模型化的安全集中管理策略是一致的、完備的;
安全策略模型和功能設計之間的對應性闡明應說明功能設計中的安全功能與安全策略模型是一致的、完備的;
應基于風險管理思想,根據安全管理平臺的特定應用場景需抵御的威脅、需要保護的資產以及存在的安全風險,對安全策略模型進行必要的調整和完善;
增強級保障要求,在基本級要求基礎上增加下列要求:
除上述要求外,要求所提供的安全策略模型應是半形式化的。
6.2.3.3 概要設計
平臺在開發過程中應進行概要設計。
基本級保障要求,包括:
應通過對平臺安全功能的每個子系統的功能及其相互關系的描述,實現安全功能要求;
應對每個子系統以非形式化的方法來一致性地描述其安全功能的體系結構,及所提供的安全功能及其相互關系;
應標識安全功能要求的任何基礎性的硬件、固件和/或軟件,并且通過這些硬件、固件和/或軟件所實現的保護機制,來提供平臺功能;
應標識平臺安全功能的子系統的所有接口,并標明哪些接口是外部可見的,還應標明所有接口的使用目的與方法,并提供例外情況和錯誤信息的細節;
增強級保障要求,在基本級要求基礎上增加下列要求:
概要設計的表示應是半形式化的,并對平臺安全功能的每個子系統提供所有結果的完整細節。
6.2.3.4 詳細設計
平臺在開發過程中應進行詳細設計。
基本級保障要求,包括:
應對平臺安全功能的每一個模塊描述它的目的、功能、接口、依賴性和所有安全功能的實現;
詳細設計的表示應是非形式化的,內在一致的,并以模塊術語描述;描述每一個模塊的目的;以所提供的安全功能和對其他模塊的依賴性術語定義模塊間的相互關系;描述如何提供每一個安全功能的實施;
標識平臺安全功能模塊的所有接口,標識哪些接口是外部可見的,以及描述安全功能模塊所有接口的目的與方法,必要時,應提供影響、例外情況和錯誤信息的細節;
增強級保障要求,在基本級要求基礎上增加下列要求:
詳細設計的表示應是半形式化的,并在必要時提供所有結果的完備細節、例外情況和錯誤信息。
6.2.3.5 安全功能內部結構
平臺在開發過程中應對平臺安全功能進行結構設計。
基本級保障要求,包括:
應采用模塊化、層次化進行平臺安全功能的內部結構設計,達到簡化安全功能設計,并可分析的程度;
應以模塊化方法設計和構建平臺安全功能模塊,標識并描述每一個安全功能模塊的目的、接口、參數和影響,使獨立的模塊間避免不必要的交互作用;
應以分層的方式設計和構建平臺安全功能模塊,應使系統安全功能局部的復雜度最小化,以加強訪問控制策略,使交互作用最小化,使其復雜性降低;
增強級保障要求,在基本級要求基礎上無增加要求。
6.2.3.6 實現表示
平臺在開發時應說明平臺安全功能的實現表示。
基本級保障要求,包括:
應以源代碼、固件或硬件等來表述平臺安全功能的具體符號表示,從而可以獲得系統安全功能內部的詳細工作情況;
應無歧義地為選定的平臺安全功能子集定義一個詳細級別的安全功能實現表示,并且實現表示應當是內在一致的;
增強級保障要求,在基本級要求基礎上增加下列要求:
應為整個平臺安全功能提供實現表示,并應描述各部分之間的關系。
6.2.3.7 表示的對應性
對平臺功能設計、概要設計、詳細設計、實現表示等相鄰表示之間應具有嚴格的對應性。
基本級保障要求,包括:
應在所提供的平臺安全功能表示的所有相鄰對之間提供其對應性分析,對每個相鄰對,應當闡明較為抽象的安全功能表示的所有相關安全功能在較不抽象的安全表示中得到正確而完備地細化;
增強級保障要求,在基本級要求基礎上增加下列要求:
除上述非形式化對應性要求外,當平臺安全功能表示的兩個相鄰對的各部分均以半形式化來描述時,其對應性說明也應是半形式化的。
6.2.4 指導性文檔
6.2.4.1 平臺系統安裝指南
開發商應提供針對平臺系統安裝指南。
基本級保障要求,包括:
a) 安裝指南應描述管理員可使用的管理功能和接口;
b) 安裝指南應描述怎樣以安全的方式管理平臺產品;
c) 對于在安全處理環境中必須進行控制的功能和特權,安裝指南應提出相應的警告;
d) 安裝指南應描述所有受控制的硬件、操作系統、數據庫系統、網絡系統等安全參數,并給出合適的參數值;
e) 安裝指南應包含安全功能如何相互作用的指導;
f) 安裝指南應描述在平臺的安全安裝過程中可能要使用的所有配置選項;
g) 安裝指南應能指導管理員在平臺的安裝過程中產生一個安全的配置。
增強級保障要求,在基本級要求基礎上無增加要求。
6.2.4.2 管理員操作指南
開發商應提供管理員操作指南(包括系統管理員、安全管理員、安全審計員)。
基本級保障要求,包括:
a) 管理員操作指南應描述管理員用戶可用的功能和接口;
b) 管理員操作指南應包含使用平臺提供的安全功能和指導;
c) 管理員操作指南應包含平臺操作、安全規則配置等的指令集;
d) 管理員操作指南應清晰地闡述平臺安全運行中各個管理員所必須負的職責,包含平臺在安全使用環境中對管理員操作行為的假設;
e) 管理員操作指南應提出平臺安全操作中與管理員操作有關的IT環境的所有安全要求;
增強級保障要求,在基本級要求基礎上無增加要求。
6.2.5 測試
6.2.5.1 功能測試
開發商應測試平臺產品的功能,并記錄結果。
基本級保障要求,包括:
a) 開發商在提供平臺產品時應同時提供該產品的測試文檔;
b) 測試文檔應由測試計劃、測試過程描述和測試結果,以及具體的測試用例組成;
c) 測試文檔應確定將要測試的產品功能,并描述將要達到的測試目標;
d) 測試過程的描述應確定將要進行的測試,并描述測試每一安全功能的實際情況;
e) 測試文檔的測試結果應給出每一項測試的預期結果;
f) 開發商的測試結果應證明每一項安全功能和設計目標相符。
增強級保障要求,在基本級要求基礎上無增加要求。
6.2.5.2 測試覆蓋面分析報告
開發商應提供對平臺產品測試覆蓋范圍的分析報告。
基本級保障要求,包括:
a) 測試覆蓋面分析報告應證明測試文件中確定的測試項目可覆蓋平臺產品的所有安全功能。
增強級保障要求,在基本級要求基礎上增加下列要求:
b) 測試覆蓋的分析結果應表明測試文檔中所標識的測試與功能規范中所描述的系統的安全功能之間的對應性是完備的。
6.2.5.3 測試深度分析報告
開發商應提供對平臺產品的測試深度的分析報告。
基本級保障要求,包括:
測試深度分析報告應證明測試文件中確定的測試能充分表明平臺產品的運行符合安全功能規范;
增強級保障要求,在基本級要求基礎上增加下列要求:
深度分析應證實測試文檔中所標識的測試足以證實該系統的功能是依照其高層設計運行的。
6.2.5.4 獨立性測試
開發商應對平臺產品進行獨立性測試。
基本級保障要求,包括:
開發商應提供證據證明,開發商提供的平臺產品經過獨立的第三方測試并通過。
增強級保障要求,在基本級要求基礎上增加下列要求:
開發商應提供適合測試的系統,提供的測試集合應與其自測系統功能時使用的測試集合相一致;
開發商應提供一組相當的資源,用于安全功能的抽樣測試。
6.2.6 脆弱性評定
6.2.6.1 隱蔽信道分析
開發商應對平臺通過對隱蔽信道的嚴格搜索,標識出可識別的隱蔽信道,并以文檔形式描述。
基本級保障要求,包括:
a) 標識的隱蔽存儲信道,并估算它們的帶寬;
b) 用于確定隱蔽存儲信道存在的過程,以及進行隱蔽存儲信道分析所需要的信息;
c) 隱蔽存儲信道分析期間所作的全部假設;
d) 最壞情況下對隱蔽存儲信道帶寬進行估算的方法;
e) 每個可標識的隱蔽存儲信道的最大可利用情形;
f) 用封鎖和/或限制帶寬和/或審計等,對所標識的隱蔽存儲信道進行處理的措施。
增強級保障要求,在基本級要求基礎上無增加要求。
6.2.6.2 防止誤用
開發商應提供指南性文檔,防止誤用。
基本級保障要求,包括:
a) 應防止對平臺產品安全功能以不安全的方式進行使用或配置而不為人們所察覺,使對平臺安全功能無法檢測的不安全配置和安裝,操作中人為的或其他錯誤造成的安全功能解除、無效或者無法激活,以及導致進入無法檢測的不安全狀態的風險達到最小;
b) 應提供必要的指南性文檔,防止提供沖突、誤導、不完備或不合理的指南;
c) 在指南性文檔中,應確定對平臺產品的所有可能的操作方式(包含失敗后和操作失誤后的操作)、它們的后果以及對于保持安全操作的意義;
d) 指南性文檔中還應列出所有目標環境的假設以及所有外部安全措施(包含外部程序的、物理的或人員的控制)的要求。指南性文檔應是完整的、清晰的、一致的、合理的。
增強級保障要求,在基本級要求基礎上無增加要求。
6.2.6.3 安全功能強度評估
開發商應對產品進行安全功能強度評估。
基本級保障要求,無;
增強級產品保障保障要求:
開發商應對指導性文檔中所標識的每個具有安全功能強度聲明的安全機制進行安全功能強度分析,并說明安全機制達到或超過定義的最低強度級別或特定功能強度度量。
6.2.6.4 脆弱性分析
開發商應對產品進行脆弱性分析。
基本級保障要求,包括:
開發商應從用戶可能破壞安全策略的明顯途徑出發,對平臺產品的各種功能進行分析并提供文檔。對被確定的脆弱性,開發商應明確記錄采取的措施;
對每一條脆弱性,應有證據顯示在使用平臺產品的環境中該脆弱性不能被利用。在文檔中,還需證明經過標識脆弱性的平臺產品可以抵御明顯的穿透性攻擊;
脆弱性分析文檔應明確指出產品已知的安全隱患、能夠侵犯產品的已知方法以及如何避免這些隱患被利用。
增強級保障要求,在基本級要求基礎上無增加要求。
6.2.7 生命周期支持
開發商應對產品進行全生命周期支持。
基本級保障要求,包括:
開發商應提供開發安全文件;
開發安全文件應描述在平臺產品的開發環境中,為保護平臺產品設計和實現的保密性和完整性,而在物理上、程序上、人員上以及其他方面所采取的必要的安全措施;
應跟蹤和糾正平臺安全功能的缺陷,并提供缺陷信息和糾正缺陷所采取的策略和過程;
應明確定義用于開發、分析和實現SSOIS的工具,如編程語言、文檔、實現標準和其他支持SSOIS 運行的程序庫等;
開發安全文件還應提供在平臺產品的開發和維護過程中執行安全措施的證據。
增強級保障要求,在基本級要求基礎上無增加要求。
推薦文章: