<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 20271—2006信息安全技術 信息系統通用安全技術要求
    展開或關閉
    前 言
    前言
    引 言
    引言
    1 范圍
    范圍
    2 規范性引用文件
    規范性引用文件
    3 術語和定義
    術語和定義
    4 安全功能技術要求
    4.1 物理安全 4.2 運行安全 4.3 數據安全
    5 安全保證技術要求
    5.1 SSOIS自身安全保護 5.2 SSOIS設計和實現 5.3 SSOIS安全管理
    6 信息系統安全技術分等級要求
    6.1 第一級 用戶自主保護級 6.2 第二級 系統審計保護級 6.3 第三級 安全標記保護級 6.4 第四級 結構化保護級 6.5 第五級 訪問驗證保護級
    附錄A(資料性附錄)標準概念說明
    A.1 組成與相互關系 A.2 關于安全保護等級的劃分 A.3 關于主體、客體 A.4 關于SSOIS、SSF、SSP、SFP及其相互關系 A.5 關于密碼技術 A.6 關于信息安全技術等級和信息系統安全等級
    附錄B(資料性附錄)等級化信息系統安全設計參考
    B.1 安全需求與分等級保護 B.2 信息系統安全設計概述
    參考文獻
    參考文獻

    5.1 SSOIS自身安全保護

    GB/T 20271—2006信息安全技術 信息系統通用安全技術要求 /

    5.1.1 SSF物理安全保護

    5.1.1.1 物理攻擊檢測

    應對可能危及SSF安全的物理篡改提供明確的檢測手段,由授權用戶激活自動安全檢測功能或用手動方式進行檢查,以確定篡改是否發生。

    5.1.1.2 物理攻擊自動報告

    在上述物理攻擊檢測的基礎上,當發現物理篡改時,應自動報告給指定用戶。

    5.1.1.3 物理攻擊抵抗

    在上述物理攻擊自動報告的基礎上,應提供抵制對SSF設備或SSF要素的物理篡改,使SSP不受損害。比如,根據完整性策略的要求,對于存儲在某類存儲介質上的信息,使其處于不可寫的狀態,從而保護其上的信息不被篡改。

    5.1.2 SSF運行安全保護

    5.1.2.1 安全運行測試

    SSF應提供在系統初始化期間、在正常運轉下周期性地、應授權用戶請求或在其它條件下,通過運行測試套件,進行SSF軟件的安全運行測試,以驗證SSF所提供的安全假定能正確執行。

    5.1.2.2 失敗保護

    當SSF中所確定的失敗類型出現時,應保存一個保護狀態。該保護狀態確保SSF從失敗恢復時安全策略的正確性。

    5.1.2.3 重放檢測

    應能檢測出確定實體(如消息、服務請求、服務響應、會話等)的重放,從而實現有效地避免重放攻擊,并在檢測到重放要求時,執行操作列表所指示的操作。這些操作包括:忽略被重放的實體,從標識源進行實體確認,并終止重放實體原發主體的活動。

    5.1.2.4 參照仲裁

    對一個給定的SFP,其所實現的訪問監控器和/或前端過濾器應是“始終被激活的”,并正確、成功地執行,從而使SFP強制執行的所有行動都要由SSF加以確認,即SSF對SSP應具有不可旁路性和防篡改性。

    5.1.2.5 域分離

    SFP應確保至少有一個安全域,使SSF的執行不被不可信主體從外部進行干擾和篡改(如對SSF編碼或數據結構的修改)。根據對SSF運行安全保護的不同要求,域分離分為:

    a) SSF域分離:應為SSF提供不同的保護域,并提供SSC內的客體之間的分離。SSF域分離的具體要求如下:

    ——SSF應為自身的執行維護一個安全域,防止不可信主體的干擾和篡改;

    ——SSF應在SSC內主體的安全域之間實施分離,除了由SSF控制的共享部分外,每個主體應有不同的安全域;

    ——通過將SSF 的安全域的資源與該域外的主體及不受約束的實體分離,使保護域外的實體不能觀察或修改保護域內的SSF數據或SSF編碼;

    ——域間的傳輸應是受控的,不能隨意地進入或退出保護域;

    ——按地址傳到保護域的用戶或應用參數,應根據保護域的地址空間進行確認,而按值傳到保護域的用戶或應用參數則應根據保護域所期望的值進行確認。

    b) SFP域分離:應按SFP對SSF的域進一步細分,作為參照監視器的SFP的一個確定集合是一個域,SSF的其余部分是一個域,SSOIS內的非SSF部分是一個域,并要求:

    ——SSF的未隔離部分應對自身的執行維護一個安全域,以防止不可信主體的干擾和篡改;

    ——SSF應對SSC內主體的安全域之間實施分離;

    ——SSF應對SSOIS中與訪問控制SFP有關的部分維護一個自身執行的安全域,以防止被SSOIS內非SSF部分的干擾和篡改。

    5.1.2.6 狀態同步協議

    在分布式系統中,應通過SSF采取的某些安全措施,確保分布式系統的兩部分之間在完成與安全有關的活動后,狀態保持同步。根據對SSF運行安全保護的不同要求,狀態同步協議分為:

    a) 簡單的可信回執:要求數據接收者給出簡單回執,即SSF收到來自另一SSF發出的傳輸數據時應提供確認(回執),以表明其成功地接收到了未經修改的SSF數據;

    b) 相互的可信回執:要求交換數據的雙方相互給出回執。即SSF收到來自另一SSF發出的傳輸數據時應提供確認(回執),以表明其成功地接收到了未經修改的SSF數據;并且另一SSF在收到該確認(回執)后應證實其已收到這一確認。

    5.1.2.7 可信時間戳

    應為SSF自身的運行提供可靠的時間標記,即應有準確、可靠的時鐘系統(如計時時鐘、中斷時鐘等),并提供以數字簽名支持的時間戳服務。

    5.1.2.8 可信恢復

    應在確定不減弱保護的情況下啟動SSOIS,并在SSF運行中斷后能在不減弱SSP保護的情況下以手動或自動方式恢復運行。

    5.1.2.9 SSF自檢

    應提供對SSF正確操作的自測試能力。這些測試可在啟動時進行,或周期性地進行,或在授權用戶要求時進行,或當某種條件滿足時進行,同時應提供對SSF數據和可執行代碼的完整性驗證的能力。

    5.1.3 SSF數據安全保護

    5.1.3.1 輸出SSF數據的可用性

    應通過一系列規則,根據SSF數據類型列表的指示,在所定義的可用性度量范圍內,確保SSF數據(如口令、密鑰、審計數據或SSF的可執行代碼)從SSF輸出到遠程信息系統的SSF時的可用性。

    5.1.3.2 輸出SSF數據的保密性

    應保護SSF數據(如口令、密鑰、審計數據或SSF的可執行代碼)從SSF輸出到遠程信息系統的SSF時,不被未經授權的泄漏。

    5.1.3.3 輸出SSF數據的完整性

    應保護SSF數據(如口令、密鑰、審計數據或SSF的可執行代碼)從SSF輸出到遠程信息系統的SSF時,不被未經授權的修改。根據對SSF數據安全保護的不同要求,輸出SSF數據的完整性分為:

    a) SSF間修改的檢測:在假定知道遠程信息系統的SSF所使用的機制的情況下,SSF應在所定義的修改度量范圍內檢測SSF與遠程信息系統的SSF之間傳輸的所有SSF數據被修改的情況;

    b) SSF間修改的改正:在上述SSF間修改的檢測的基礎上當檢測到修改時,能按修改類型將所有被修改的數據改正過來。

    5.1.3.4 SSOIS內SSF數據傳輸保護

    應對SSOIS內的分離部分間傳輸的SSF數據進行保護。根據對SSF數據安全保護的不同要求,SSOIS內SSF數據傳輸保護分為:

    a) 基本傳輸保護:SSF應對SSOIS的分離部分間傳輸的SSF數據進行基本保護,以防止其在傳輸過程中被泄漏或修改;

    b) 數據分離傳輸:在SSOIS內部的分離部分間傳輸數據時,SSF應將用戶數據與SSF數據進行分離,以保護SSF數據在SSOIS的分離部分間傳輸時不被泄漏或修改;

    c) 數據完整性保護:在SSOIS的分離部分間傳輸SSF數據時,SSF應能檢測出所傳輸的SSF數據被修改、替換、重排序、刪除等完整性錯誤,并能采取規定的措施進行改正。

    5.1.3.5 SSF間的SSF數據的一致性

    在分布式或復合式系統環境下,SSF與別的信息系統的SSF交換SSF數據(如:SFP屬性、審計信息、標識信息等)時,應提供確保SSF間數據一致性的能力。

    5.1.3.6 SSOIS內SSF數據復制的一致性

    應確保對SSOIS內部SSF數據復制的一致性,當出現包含復制的SSF數據的SSOIS部分斷開時,SSF應確保在重建連接后,在處理任何與SSF數據復制的一致性相關請求前,實現被復制的SSF數據的一致性。

    5.1.3.7 用戶與SSF間可信路徑

    應在SSF與本地用戶或遠程用戶之間提供一條可信的數據傳輸路徑。該可信路徑應提供真實的端點標識,保護通信數據免遭修改和泄漏;SSF應允許由SSF自身、本地用戶或遠程用戶原發的經可信路徑的通信,還應對原發用戶的鑒別或需要可信路徑的其它服務均使用可信路徑。

    5.1.3.8 SSF間可信信道

    應在SSF與遠程信息系統的SSF之間提供一條可信的數據傳輸信道,保護通信數據免遭修改和泄漏,同時應允許由SSF或遠程信息系統的SSF原發的經可信信道的通信,支持由可信信道功能列表所列各種功能原發的經可信信道的通信。

    5.1.4 SSOIS資源利用

    5.1.4.1 容錯

    根據對SSOIS資源利用的不同要求,容錯分為:

    a) 降級容錯:對確定的錯誤事件,SSF能在錯誤發生后通過降低能力使安全子系統保持一個安全的狀態;

    b) 受限容錯:對標識的錯誤事件,SSF能通過采取有效措施進行對抗,繼續正確運行原有功能。

    5.1.4.2 服務優先級

    根據對SSOIS資源利用的不同要求,服務優先級分為:

    a) 子集服務優先級:應通過控制用戶和主體對SSC內資源的使用,使得在SSC內的某個資源子集,高優先級任務的完成總是不受低優先級任務的干擾和影響;

    b) 全部服務優先級:應通過控制用戶和主體對SSC內資源的使用,使得在SSC內的全部資源,高優先級任務的完成總是不受低優先級任務的干擾和影響。

    5.1.4.3 資源分配

    根據對SSOIS資源利用的不同要求,資源分配分為:

    a) 最大限額資源分配:應通過控制用戶和主體對資源的占用,確保用戶和主體不會超過某一數量或獨占某種受控資源;

    b) 最小和最大限額資源分配:應通過控制用戶和主體對資源的占用,確保用戶和主體不會超過某一數量或獨占某種受控資源,并至少獲得最小規定的資源。

    5.1.5 SSOIS訪問控制

    應提供控制用戶與SSOIS建立會話的功能。用戶會話的建立包括創建一個或多個主體(如進程),這些主體在SSOIS中代表用戶執行操作,并具有相應用戶的安全屬性。根據對SSOIS自身安全保護的不同要求,SSOIS訪問控制分為:

    a) SSOIS會話建立:根據相關的會話安全屬性,SSF應允許或拒絕用戶與SSOIS建立會話。這些屬性包括:訪問地址或端口,用戶安全屬性(如用戶身份、許可證等級、角色中的成員資格),時間范圍(如一天中的某些時間、一周的某些天、某些特定日期),或上述屬性的組合;

    b) 可選屬性范圍限定:在與SSOIS建立會話時,應限制用戶可選擇的會話安全屬性的范圍,包括訪問方法、訪問的地址或端口及訪問時間(如一日的某些時間、一周的某些天等),以及用戶可能綁定到的主體(如進程);

    c) 多重并發會話限定:應對用戶在一個時間段內可能的并發會話數進行限制,包括所有多重并發會話的基本限定和每位用戶多重并發會話的限定;

    d) SSOIS訪問歷史:在一次會話成功建立的基礎上,應顯示該賬戶上一次會話成功建立的日期、時間、方法和位置等信息,或顯示該賬戶上一次會話建立不成功的日期、時間、方法和位置等信息,以及從最后一次成功的會話建立以來不成功的嘗試次數。用戶應能夠復查這些信息,也可以放棄這些信息,并且在沒有給用戶提供訪上述信息的情況下,不能從用戶界面上抹去該信息的;

    e) 會話鎖定:應提供交互式會話的SSF原發的和用戶原發的鎖定和解鎖能力及SSF原發終止會話能力,以便在會話進入非活動周期后對終端進行鎖定或結束會話。在用戶的靜止期超過規定的值時,通過以下方式鎖定該用戶的交互式會話:

    ——在顯示設備上清除或涂抹,使當前的內容不可讀;

    ——取消會話解鎖之外的所有用戶數據的存取/顯示的任何活動;

    ——在會話解鎖之前再次進行身份鑒別。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    安全俠
    Reserved 1.2k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类