A.4 計算環境安全(D)

A.4.1 計算環境防護(D1)

A.4.1.1 可信計算(D101)

本類產品利用可信計算平臺模塊，對主機用戶進行身份鑒別以及信息加密，目的是提供可信計算環境。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(D101)。

A.4.1.2 身份鑒別(主機)(D102)

本類產品在主機設備的用戶執行授權操作前，要求用戶提供以電子信息或生物信息為載體的身份及鑒別信息，對其進行鑒別，目的是確認主機系統使用者的身份。

本類產品的安全功能可主要歸納為六個方面：

a)基于智能卡的身份鑒別， 包括COS、芯片和讀卡器；

b)PKI/CA證書身份鑒別；

c)動態口令身份鑒別；

d)基于RFID的身份鑒別；

e)基于生物特征的身份鑒別，如手形、指紋/掌紋、臉形、虹膜、視網膜、脈搏、耳廓等；

f)基于行為特征的身份鑒別，如簽字、語音、按鍵力度等。

任何提供以上一種或數種功能，且該功能為主導性功能的產品，均可歸入本類(D102)。

A.4.1.3 主機入侵檢測(D103)

本類產品對抵達主機的數據進行監測，從主機或服務器上采集包括操作系統日志、系統進程、文件訪問和注冊表訪問等數據，并根據事先設定的策略判斷數據是否異常，從而決定采取報警、控制等措施，目的是對入侵主機行為進行發現和阻止。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(D103)。

A.4.1.4 主機訪問控制(D104)

本類產品針對受控主機，統一分配用戶對主機資源的訪問權限，用戶根據預先定義的訪問控制策略對受控主機的資源(如系統登錄權限、文件和文件夾、外設接口、應用程序、進程等)進行訪問，目的是保護主機資源不被非授權訪問和使用。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(D104)。

A.4.1.5 主機型防火墻(D105)

本類產品針對主機設備上的入站和出站網絡連接提供保護功能，并能夠通過預先定義的規則，執行基于網絡地址和基于應用的訪問控制，一般為軟件，目的是對主機設備提供網絡綜合防護。一般運行于服務器上的主機型防火墻還可以對所有的節點進行統一控制，實施統一的安全策略與響應。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(D105)。

A.4.1.6 終端使用安全(D106)

本類產品提供對接入系統的終端進行保護的功能，目的是保障終端資源和運行環境的安全。

本類產品的安全功能可主要歸納為六個方面：

a)防止對終端的未授權使用(如終端使用口令保護等)；

b)阻止惡意程序運行；

c)釣魚檢測與攔截；

d)軟件升級與管理；

e)系統資源回收；

f)系統環境備份與恢復。

任何提供以上一種或數種功能，且該功能為主導性功能的產品，均可歸入本類(D106)。

A.4.1.7 移動存儲設備安全管理(D107)

本類產品通過對移動存儲設備采取身份認證、訪問控制、審計機制等管理手段，實現移動存儲設備與主機設備之間的可信訪問，以保護主機設備資源安全。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(D107)。

A.4.2 防惡意代碼(D2)

主機惡意代碼防治(D201)

本類產品提供對主機惡意代碼的防治功能，側重于防護本地主機資源。通過對內容或行為的判斷建立系統保護機制，預防、檢測、隔離、清除、刪除主機惡意代碼，目的是檢測發現或阻止惡意代碼的傳播以及對主機操作系統、應用軟件和用戶文件的篡改、破壞和非法占有等。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(D201)。

A.4.3 操作系統安全(D3)

A.4.3.1 安全操作系統(D301)

本類產品是指從系統設計、實現和使用等各個階段都遵循了一套完整的安全策略的操作系統，如嵌入式安全操作系統、移動智能終端安全操作系統等，目的是在操作系統層面保障系統安全。

任何具有不同安全級別的安全操作系統產品均可歸入本類(D301)。

A.4.3.2 操作系統安全部件(D302)

本類產品以安全部件的形式增強現有操作系統的安全性，目的是在操作系統層面保障系統安全。

本類產品的安全功能可主要歸納為兩個方面：

a)通過構造安全模塊，增強現有操作系統的安全性；

任何提供以上一種或兩種功能，且該功能為主導性功能的產品，均可歸入本類(D302)。

A.4.4 應用安全防護(D4)

A.4.4.1 身份鑒別(應用)(D401)

本類產品在應用服務的用戶執行授權操作前，要求用戶提供以電子信息或生物信息為載體的身份及鑒別信息，對其進行鑒別，目的是確認應用系統使用者的身份。

本類產品的安全功能可主要歸納為六個方面：

a)基于智能卡的身份鑒別， 包括COS、芯片和讀卡器；

b)PKI/CA證書身份鑒別；

c)動態口令身份鑒別；

d)基于RFID的身份鑒別；

e)基于生物特征的身份鑒別，如手形、指紋/掌紋、臉形、虹膜、視網膜、脈搏、耳廓等；

f)基于行為特征的身份鑒別，如簽字、語音、按鍵力度等。

任何提供以上一種或數種功能，且該功能為主導性功能的產品，均可歸入本類(D401)。

A.4.4.2 WEB應用防火墻(D 402)

本類產品部署于WEB應用和WEB服務器之前， 通過分析WEB應用層協議， 根據預先定義的過濾規則和防護策略， 對所有WEB應用和服務器的訪問請求與響應進行過濾， 目的是實現對WEB應用及WEB服務器的安全防護。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(D402)。

A.4.4.3 郵件安全防護(D403)

本類產品提供對電子郵件的安全傳輸、安全存儲、病毒防護、安全審計等功能，目的是實現郵件應用的安全防護。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(D403)。

A.4.4.4 網站恢復(D404)

本類產品提供對網站內容(包括靜態網頁文件、動態腳本文件、網頁目錄、網站數據庫等)的實時保護，對網站內容的非授權更改進行識別，并能用備份文件進行自動恢復，目的是實現對網站內容的安全防護。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(D404)。

A.4.4.5 應用安全加固(D405)

本類產品采用相關信息技術實現對應用軟件的安全加固，防止應用軟件被通過逆向分析等手段非法破解，或被通過二次打包等手段非法篡改，目的是保護應用軟件的源碼、資源文件等免遭非法獲取，應用軟件免遭惡意侵犯(如盜版、提權、加載外掛等)。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(D405)。

A.4.5 應用安全支持(D5)

A.4.5.1 業務流程監控(D501)

本類產品是采用全流程視角，通過監控業務流程、業務行為和業務內容，實現對業務安全分析和定位，針對業務行為、業務內容設置訪問控制策略，對檢測到的攻擊行為執行阻斷或聯動其他設備進行阻斷， 并采用行為分析技術檢測網絡攻擊行為和保密性問題， 實現有效檢測0Day攻擊和APT攻擊。

本類產品的安全功能可主要歸納為三個方面：

a)業務流程監控；

b)業務行為監控；

c)網絡攻擊檢測與監控。

任何提供以上全部功能，且該功能為主導性功能的產品，均可歸入本類(D501)。

A.4.5.2 源代碼審計(D502)

本類產品是針對系統開發過程中的源代碼進行安全審計檢測，檢測緩沖區溢出、代碼注入、跨站腳本、輸入驗證、API誤用等缺陷， 檢測編碼規范性， 目的是對源代碼安全問題進行分析和驗證。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(D502)。

A.4.5.3 網站監測(D503)

本類產品針對大規模網站進行持續、多維度(如WEB系統掃描監控、網站防釣魚監控、網頁木馬監測、網頁篡改監測、網頁敏感信息監測、暗鏈檢測、網站應用監測、域名監測等)安全監測，并可結合安全風險評估模型實時進行網站安全風險評估， 目的是實時了解所有WEB資產面臨的風險， 實現快速故障定位。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(D503)。

A.4.5.4 應用軟件安全管理(D504)

本類產品基于應用軟件安全管理策略(如軟件白名單、證書簽名、服務端策略等)對設備上的應用軟件安裝、運行等進行安全管理，目的是保障設備上應用軟件的安全和可控。

本類產品的安全功能可主要歸納為三個方面：

a)對設備上應用軟件的安裝進行管理；

b)對設備上應用軟件的啟動進行管理；

c)對設備上應用軟件所能訪問的設備資源進行權限控制。

任何提供以上一種或數種功能，且該功能為主導性功能的產品，均可歸入本類(D504)。

A.4.5.5 應用代理(D505)

本類產品為應用提供代理服務，實現對應用層通信流的協議剝離、數據落地、內容審計、異常告警、協議轉換及數據緩存等功能，目的是提高內外網絡之間應用服務的安全性。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(D505)。

A.4.5.6 負載均衡(D506)

本類產品提供鏈路負載均衡、服務器負載均衡、網絡流量優化和智能處理等功能，目的是降低負載，優化網絡性能，提高服務運行的穩定性，提高資源利用率、應用性能和用戶體驗。

本類產品的安全功能可主要歸納為兩個方面：

a)將用戶的訪問請求根據一定的算法合理分攤到不同的網絡線路上傳輸，保障傳輸的可靠性，提升傳輸效率；

b)將用戶的訪問請求根據一定的算法合理分攤到不同的服務器上處理，保障應用的可靠性和連續性，優化服務器處理性能。

任何提供以上一種或兩種功能，且該功能為主導性功能的產品，均可歸入本類(D506)。

A.4.5.7 數字簽名(D507)

本類產品提供簽名驗簽、完整性和不可否認性鑒別等功能，目的是保障應用數據的完整性與不可否認性。

本類產品的安全功能可主要歸納為兩個方面：

a)簽名：提取數據的摘要信息，并使用用戶的私鑰對摘要信息進行簽名；

b)驗簽：使用用戶的公鑰對簽名信息進行驗證，并以此驗證原始信息的完整性與不可否認性。

任何提供以上兩種功能，且該功能為主導性功能的產品，均可歸入本類(D507)。

A.4.6 數據安全防護(D6)

A.4.6.1 數據加密(D601)

本類產品用于防御攻擊者竊取以文件等形式存儲的數據，目的是保障存儲數據的安全。

本類產品的安全功能可主要歸納為兩個方面：

a)采用密碼技術對存儲的數據進行加密(如文件加密、整盤加密等手段)，確保攻擊者即使獲取數據仍無法解析出明文；

b)采用信息隱藏技術實現數據的隱蔽存儲，確保攻擊者即使獲取數據仍無法獲取隱藏的信息。

任何提供以上一種或兩種功能，且該功能為主導性功能的產品，均可歸入本類(D601)。

A.4.6.2 數據泄露防護(D602)

本類產品在主機、文印設備、網絡中通過對安全域內部敏感信息輸出的主要途徑進行控制和審計，目的是防止安全域內部敏感信息被非授權泄露。

本類產品的安全功能可主要歸納為三個方面：

a)外設接口輸出控制和審計；

b)文印設備(如打印機、復印機、掃描儀、刻錄機等)輸出控制和審計；

c)網絡輸出控制和審計(控制點包括網絡邊界出口或主機)。

任何提供以上一種或數種功能，且該功能為主導性功能的產品，均可歸入本類(D602)。

A.4.6.3 數據脫敏(D603)

本類產品針對敏感數據基于脫敏規則進行改造，實現數據變形，目的是防范敏感信息外泄。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(D603)。

A.4.6.4 數據清除(D604)

本類產品采用信息技術(如覆寫)進行邏輯級底層數據清除，實現對存儲介質所承載數據的徹底銷毀，目的是防止已刪除的敏感數據被非授權恢復導致數據外泄。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(D604)。

A.4.6.5 數據備份與恢復(D605)

本類產品對系統中的數據(如數據庫、數據卷、文件、操作系統等的數據、結構和狀態)進行備份與恢復，并對備份與恢復的策略管理、作業等事件進行安全審計，目的是保障數據安全。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(D605)。

A.4.7 數據平臺安全(D7)

A.4.7.1 安全數據庫(D701)

本類產品是指從系統設計、實現、使用和管理等各個階段都遵循一套完整的系統安全策略的數據庫系統，目的是在數據庫層面保障數據安全。

任何具有不同安全級別的安全數據庫系統均可歸入本類(D701)。

A.4.7.2 數據庫安全部件(D702)

本類產品是以現有數據庫系統所提供的功能為基礎構造安全模塊，以安全部件的形式增強現有數據庫系統的安全性，目的是在數據庫層面保障數據安全。

本類產品的安全功能可主要歸納為兩個方面：

a)通過構造安全模塊，增強現有數據庫系統的安全性；

b)通過構造安全外罩，增強現有數據庫系統的安全性。

任何提供以上一種或兩種功能，且該功能為主導性功能的產品，均可歸入本類(D702)。

A.4.7.3 數據庫防火墻(D703)

本類產品基于數據庫協議分析與防火墻控制技術提供對數據庫的訪問控制、語句攔截、操作阻斷、行為審計等功能，目的是保障數據庫系統的安全。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(D703)。

A.4.8 計算環境安全其他(DX)

不能歸為上述7類的計算環境安全類產品暫歸為計算環境安全其他類(DX)。