<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 20271—2006信息安全技術 信息系統通用安全技術要求
    展開或關閉
    前 言
    前言
    引 言
    引言
    1 范圍
    范圍
    2 規范性引用文件
    規范性引用文件
    3 術語和定義
    術語和定義
    4 安全功能技術要求
    4.1 物理安全 4.2 運行安全 4.3 數據安全
    5 安全保證技術要求
    5.1 SSOIS自身安全保護 5.2 SSOIS設計和實現 5.3 SSOIS安全管理
    6 信息系統安全技術分等級要求
    6.1 第一級 用戶自主保護級 6.2 第二級 系統審計保護級 6.3 第三級 安全標記保護級 6.4 第四級 結構化保護級 6.5 第五級 訪問驗證保護級
    附錄A(資料性附錄)標準概念說明
    A.1 組成與相互關系 A.2 關于安全保護等級的劃分 A.3 關于主體、客體 A.4 關于SSOIS、SSF、SSP、SFP及其相互關系 A.5 關于密碼技術 A.6 關于信息安全技術等級和信息系統安全等級
    附錄B(資料性附錄)等級化信息系統安全設計參考
    B.1 安全需求與分等級保護 B.2 信息系統安全設計概述
    參考文獻
    參考文獻

    4.3 數據安全

    GB/T 20271—2006信息安全技術 信息系統通用安全技術要求 /

    4.3.1 身份鑒別

    4.3.1.1 用戶標識與鑒別

    4.3.1.1.1 用戶標識

    根據對用戶標識與鑒別的不同要求,用戶標識分為:
    a)基本標識:應在SSF實施所要求的動作之前,先對提出該動作要求的用戶進行標識;
    b)唯一性標識:應確保所標識用戶在信息系統生存周期內的唯一性,并將用戶標識與安全審計相關聯;
    c)標識信息管理:應對用戶標識信息進行管理、維護,確保其不被非授權地訪問、修改或刪除。

    4.3.1.1.2 用戶鑒別

    根據對用戶標識與鑒別的不同要求,用戶鑒別分為:
    a)基本鑒別:應在SSF實施所要求的動作之前,先對提出該動作要求的用戶成功地進行鑒別;
    b)不可偽造鑒別:應檢測并防止使用偽造或復制的鑒別信息;一方面,要求SSF應檢測或防止由任何別的用戶偽造的鑒別數據,另一方面,要求SSF應檢測或防止當前用戶從任何其它用戶處復制的鑒別數據的使用;
    c)一次性使用鑒別:應提供一次性使用鑒別數據的鑒別機制,即SSF應防止與已標識過的鑒別機制有關的鑒別數據的重用;
    d)多機制鑒別:應提供不同的鑒別機制,用于鑒別特定事件的用戶身份,并根據所描述的多種鑒別機制如何提供鑒別的規則,來鑒別任何用戶所聲稱的身份;
    e)重新鑒別:應有能力規定需要重新鑒別用戶的事件,即在需要重新鑒別的條件成立時,對用戶進行重新鑒別。例如,終端用戶操作超時被斷開后,重新連接時需要進行重鑒別;
    f)鑒別信息管理:應對用戶鑒別信息進行管理、維護,確保其不被非授權的訪問、修改或刪除。

    4.3.1.1.3 鑒別失敗處理

    SSF應為不成功的鑒別嘗試(包括嘗試次數和時間的閾值)定義一個值,并明確規定達到該值時所應采取的動作。鑒別失敗的處理應包括檢測出現相關的不成功鑒別嘗試的次數與所規定的數目相同的情況,并進行預先定義的處理。

    4.3.1.2 用戶-主體綁定

    在SSOIS安全功能控制范圍之內,對一個已標識和鑒別的用戶,應通過用戶-主體綁定將該用戶與為其服務的主體(如進程)相關聯,從而將該用戶的身份與該用戶的所有可審計行為相關聯,以實現用戶行為的可查性。

    4.3.1.3 隱密

    SSOIS應為用戶提供確保其身份真實性的前提下,不被其他用戶發現或濫用的保護。根據對身份鑒別的不同要求,隱秘分為:
    a)匿名:用戶在其使用資源或服務時,不暴露身份,即:應確保任何用戶和/或主體集,不能確定與當前主體和/或操作相關聯的實際用戶,并在對主體提供服務時不詢問實際的用戶名;
    b)假名:用戶在使用資源或設備時,不暴露其真實名稱,但仍能對該次使用負責,即:應確保用戶和/或主體集,不能確定與當前主體和/或操作相關聯的真實的用戶名,并能給一個用戶提供多個假名,以及驗證所使用的假名是否符合假名的度量;
    c)不可關聯性:一個用戶可以多次使用資源和服務,但任何人都不能將這些使用聯系在一起,即:應確保任何用戶和/主體不能確定系統中的某些操作是否由同一用戶引起;
    d)不可觀察性:用戶在使用資源和服務時,其它人,特別是第三方不能觀察到該資源和服務正在被使用,即:應確保任何用戶和/或主體,不能觀察到由受保護的用戶和/或主體對客體所進行的操作。

    4.3.1.4 設備標識與鑒別

    4.3.1.4.1 設備標識

    根據對設備標識與鑒別的不同要求,設備標識分為:
    a)接入前標識:對連接到信息系統的設備,應在將其接入到系統前先進行標識;
    b)標識信息管理:應對設備標識信息進行管理、維護,確保其不被非授權的訪問、修改或刪除。

    4.3.1.4.2 設備鑒別

    根據設備標識與鑒別的不同要求,設備鑒別分為:
    a)接入前鑒別:對連接到信息系統的設備,應在將其接入到系統前先進行鑒別,以防止設備的非法接入;
    b)不可偽造鑒別:鑒別信息應是不可見的,不易仿造的,應檢測并防止使用偽造或復制的鑒別信息;
    c)鑒別信息管理:應對設備鑒別信息進行管理、維護,確保其不被非授權的訪問、修改或刪除。

    4.3.1.4.3 鑒別失敗處理

    應通過對不成功的鑒別嘗試(包括嘗試次數和時間的閾值)的值進行預先定義,以及明確規定達到該值時所應采取的動作來實現鑒別失敗的處理。

    4.3.2 抗抵賴

    4.3.2.1 抗原發抵賴

    應確保數據的發送者不能成功地否認曾經發送過該數據。要求SSF應提供一種方法,來確保接收數據的主體在數據交換期間能獲得證明數據原發的證據,而且該證據可由該主體或第三方主體驗證。根據對抗抵賴的不同要求,抗原發抵賴分為:
    a)選擇性原發證明:SSF應具有按主體請求對傳輸的數據產生原發證據的能力,即SSF在接到接收者的請求時,能就傳輸的數據產生原發證據,證明該數據的發送由該原發者所為;
    b)強制性原發證明:SSF應總對傳輸的數據產生原發證據,即SSF能在任何時候對傳輸的數據產生原發證據,證明該數據的發送由該原發者所為。

    4.3.2.2 抗接收抵賴

    應確保數據的接收者不能否認接收過該數據。要求SSF應提供一種方法,來確保發送數據的主體在數據交換期間能獲得證明該數據被接收的證據,而且該證據可由該主體或第三方主體驗證。根據對抗抵賴的不同要求,抗接收抵賴分為:
    a)選擇性接收證明:SSF應具有按主體請求對傳輸的數據產生接收證據的能力,即SSF在接到原發者的請求時,能就傳輸的數據產生接收證據,證明該數據的接收由該接收者所為;
    b)強制性接收證明:SSF應總對傳輸的數據產生接收證據,即SSF能在任何時候對傳輸的數據產生接收證據,證明該數據的接收由該接收者所為。

    4.3.3 自主訪問控制

    4.3.3.1 訪問控制策略

    SSF應按確定的自主訪問控制安全策略進行設計,實現對策略控制下的主體對客體操作的控制。可以有多個自主訪問控制安全策略,但它們必須獨立命名,且不能相互沖突。常用的自主訪問控制策略包括:訪問控制表訪問控制、目錄表訪問控制、權能表訪問控制等。

    4.3.3.2 訪問控制功能

    SSF應實現采用一條命名的訪問控制策略的特定功能,說明策略的使用和特征,以及該策略的控制范圍。
    無論采用何種自主訪問控制策略,SSF應有能力提供:
    ——在安全屬性或命名的安全屬性組的客體上,執行訪問控制SFP;
    ——在基于安全屬性的允許主體對客體訪問的規則的基礎上,允許主體對客體的訪問;
    ——在基于安全屬性的拒絕主體對客體訪問的規則的基礎上,拒絕主體對客體的訪問。

    4.3.3.3 訪問控制范圍

    根據對自主訪問控制的不同要求,自主訪問控制的覆蓋范圍分為:
    a)子集訪問控制:要求每個確定的自主訪問控制,SSF應覆蓋由安全系統所定義的主體、客體及其之間的操作;
    b)完全訪問控制:要求每個確定的自主訪問控制,SSF應覆蓋信息系統中所有的主體、客體及其之間的操作,即要求SSF應確保SSC內的任意一個主體和任意一個客體之間的所有操作將至少被一個確定的訪問控制SFP覆蓋。

    4.3.3.4 訪問控制粒度

    根據對訪問控制的不同要求,自主訪問控制的粒度分為:
    a)粗粒度:主體為用戶組/用戶級,客體為文件、數據庫表級;
    b)中粒度:主體為用戶級,客體為文件、數據庫表級和/或記錄、字段級;
    c)細粒度:主體為用戶級,客體為文件、數據庫表級/記錄、字段/元素級。

    4.3.4 標記

    4.3.4.1 主體標記

    應為實施強制訪問控制的主體指定敏感標記,這些敏感標記是實施強制訪問控制的依據。如:等級分類和非等級類別組合的敏感標記是實施多級安全模型的基礎。

    4.3.4.2 客體標記

    應為實施強制訪問控制的客體指定敏感標記,這些敏感標記是實施強制訪問控制的依據。如:等級分類和非等級類別組合的敏感標記是實施多級安全模型的基礎。

    4.3.4.3 標記的輸出

    當數據從SSC之內向其控制范圍之外輸出時,根據需要可以保留或不保留數據的敏感標記。根據對標記的不同要求,標記的輸出分為:
    a)不帶敏感標記的用戶數據輸出:在SFP的控制下輸出用戶數據到SSC之外時,不帶有與數據相關的敏感標記;
    b)帶有敏感標記的用戶數據輸出:在SFP的控制下輸出用戶數據到SSC之外時,應帶有與數據相關的敏感標記,并確保敏感標記與所輸出的數據相關聯。

    4.3.4.4 標記的輸入

    當數據從SSF控制范圍之外向其控制范圍之內輸入時,應有相應的敏感標記,以便輸入的數據能受到保護。根據對標記的不同要求,標記的輸入分為:
    a)不帶敏感標記的用戶數據輸入:SSF應做到:
    ——在SFP控制下從SSC之外輸入用戶數據時,應執行訪問控制SFP;
    ——略去任何與從SSC之外輸入的數據相關的敏感標記;
    ——執行附加的輸入控制規則,為輸入數據設置敏感標記;
    b)帶有敏感標記的用戶數據輸入:SSF應做到:
    ——在SFP控制下從SSC之外輸入用戶數據時,應執行訪問控制SFP;
    ——SSF應使用與輸入的數據相關的敏感標記;
    ——SSF應在敏感標記和接收的用戶數據之間提供確切的聯系;
    ——SSF應確保對輸入的用戶數據的敏感標記的解釋與原敏感標記的解釋是一致的。

    4.3.5 強制訪問控制

    4.3.5.1 訪問控制策略

    強制訪問控制策略應包括策略控制下的主體、客體,及由策略覆蓋的被控制的主體與客體間的操作。可以有多個訪問控制安全策略,但它們必須獨立命名,且不能相互沖突。當前常見的強制訪問控制策略有:
    a)多級安全模型:基本思想是,在對主、客體進行標記的基礎上,SSOIS控制范圍內的所有主體對客體的直接或間接的訪問應滿足:
    ——向下讀原則:僅當主體標記中的等級分類高于或等于客體標記中的等級分類,且主體標記中的非等級類別包含了客體標記中的全部非等級類別,主體才能讀該客體;
    ——向上寫原則:僅當主體標記中的等級分類低于或等于客體標記中的等級分類,且主體標記中的非等級類別包含于客體標記中的非等級類別,主體才能寫該客體;
    b)基于角色的訪問控制(BRAC):基本思想是,按角色進行權限的分配和管理;通過對主體進行角色授予,使主體獲得相應角色的權限;通過撤消主體的角色授予,取消主體所獲得的相應角色權限。在基于角色的訪問控制中,標記信息是對主體的授權信息;
    c)特權用戶管理:基本思想是,針對特權用戶權限過于集中所帶來的安全隱患,對特權用戶按最小授權原則進行管理。實現特權用戶的權限分離;僅授予特權用戶為完成自身任務所需要的最小權限。

    4.3.5.2 訪問控制功能

    SSF應明確指出采用一條命名的強制訪問控制策略所實現的特定功能。SSF應有能力提供:
    ——在標記或命名的標記組的客體上,執行訪問控制SFP;
    ——按受控主體和受控客體之間的允許訪問規則,決定允許受控主體對受控客體執行受控操作;
    ——按受控主體和受控客體之間的拒絕訪問規則,決定拒絕受控主體對受控客體執行受控操作。

    4.3.5.3 訪問控制范圍

    根據對強制訪問控制的不同要求,強制訪問控制的覆蓋范圍分為:
    a)子集訪問控制:對每個確定的強制訪問控制,SSF應覆蓋信息系統中由安全功能所定義的主體、客體及其之間的操作;
    b)完全訪問控制:對每個確定的強制訪問控制,SSF應覆蓋信息系統中所有的主體、客體及其之間的操作,即要求SSF應確保SSC內的任意一個主體和任意一個客體之間的操作將至少被一個確定的訪問控制SFP覆蓋。

    4.3.5.4 訪問控制粒度

    根據對強制訪問控制的不同要求,強制訪問控制的粒度分為:
    a)中粒度:主體為用戶級,客體為文件、數據庫表級和/或記錄、字段級;
    b)細粒度:主體為用戶級,客體為文件、數據庫表級和/或記錄、字段和/或元素級。

    4.3.5.5 訪問控制環境

    強制訪問控制應考慮以下不同的系統運行環境:
    a)單一安全域環境:在單一安全域環境實施的強制訪問控制應在該環境中維持統一的標記信息和訪問規則;當被控客體輸出到安全域以外時,應將其標記信息同時輸出;
    b)多安全域環境:在多安全域環境實施統一安全策略的強制訪問控制時,應在這些安全域中維持統一的標記信息和訪問規則;當被控制客體在這些安全域之間移動時,應將其標記信息一起移動。

    4.3.6 用戶數據完整性保護

    4.3.6.1 存儲數據的完整性

    應對存儲在SSC內的用戶數據進行完整性保護。根據對用戶數據完整性保護的不同要求,存儲數據的完整性分為:
    a)完整性檢測:SSF應對存儲在SSC內的用戶數據在讀取操作時進行完整性檢測,以發現數據完整性被破壞的情況;
    b)完整性檢測和恢復:SSF應對存儲在SSC內的用戶數據在讀取操作時進行完整性檢測,并在檢測到完整性錯誤時,采取必要的恢復措施。

    4.3.6.2 傳輸數據的完整性

    當用戶數據在SSF和SSF間傳輸時應提供完整性保護。根據對用戶數據完整性保護的不同要求,傳輸數據的完整性分為:
    a)完整性檢測:SSF應對經網絡傳輸的用戶數據在傳輸過程中進行完整性檢測,及時發現以某種方式傳送或接收的用戶數據被篡改、刪除、插入等情況發生;
    b)完整性檢測和恢復:SSF應對經網絡傳輸的用戶數據在傳輸過程中進行完整性檢測,及時發現以某種方式傳送或接收的用戶數據被篡改、刪除、插入等情況發生,并在檢測到完整性錯誤時,采取必要的恢復措施。

    4.3.6.3 處理數據的完整性

    對信息系統中處理中的數據,應通過“回退”進行完整性保護,即SSF應執行數據處理完整性SFP,以允許對所定義的操作序列進行回退。

    4.3.7 用戶數據保密性保護

    4.3.7.1 存儲數據保密性保護

    對存儲在SSC內的用戶數據,應根據不同數據類型的不同保密性要求,進行不同程度的保密性保護,確保除具有訪問權限的合法用戶外,其余任何用戶不能獲得該數據。

    4.3.7.2 傳輸數據保密性保護

    對在不同SSF之間或不同SSF上的用戶之間傳輸的用戶數據,應根據不同數據類型的不同保密性要求,進行不同程度的保密性保護,確保數據在傳輸過程中不被泄漏和竊取。

    4.3.7.3 客體安全重用

    在對資源進行動態管理的系統中,客體資源(寄存器、內存、磁盤等記錄介質)中的剩余信息不應引起信息的泄漏。根據對用戶數據保密性保護的不同要求,客體安全重用分為:
    a)子集信息保護:由SSOIS安全控制范圍之內的某個子集的客體資源,在將其釋放后再分配給某一用戶或代表該用戶運行的進程時,應不會泄漏該客體中的原有信息;
    b)完全信息保護:由SSOIS安全控制范圍之內的所有客體資源,在將其釋放后再分配給某一用戶或代表該用戶運行的進程時,應不會泄漏該客體中的原有信息;
    c)特殊信息保護:在完全信息保護的基礎上,對于某些需要特別保護的信息,應采用專門的方法對客體資源中的殘留信息做徹底清除,如對剩磁的清除等。

    4.3.8 數據流控制

    在以數據流方式實現數據流動的信息系統中,應采用數據流控制機制實現對數據流動的安全控制,以防止具有高等級安全的數據信息向低等級的區域流動。

    4.3.9 可信路徑

    用戶與SSF間的可信路徑應:
    a)提供真實的端點標識,并保護通信數據免遭修改和泄漏;
    b)利用可信路徑的通信可以由SSF自身、本地用戶或遠程用戶發起;
    c)對原發用戶的鑒別或需要可信路徑的其它服務均使用可信路徑。

    4.3.10 密碼支持

    應根據密碼強度與信息系統安全保護等級匹配的原則,按國家密碼主管部門的規定,分級配置具有相應等級密碼管理的密碼支持。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    安全俠
    Reserved 1.2k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类