GBT292402012信息安全技术终端计算机通用安全技术要求与测试评价方法

ICS35.040L80中华人民共和国国家标准GB/T29240—2012信息安全技术终端计算机通用安全技术要求与测试评价方法Informationsecuritytechnology—Generalsecuritytechniquerequirementsandtestingevaluationmethodforterminalcomputer2012-12-31发布2013-06-01实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布目次前言Ⅰ…………………………………………………………………………………………………………引言Ⅱ…………………………………………………………………………………………………………1范围1………………………………………………………………………………………………………2规范性引用文件1…………………………………………………………………………………………3术语和定义、缩略语1………………………………………………………………………………………3.1术语和定义1…………………………………………………………………………………………3.2缩略语2………………………………………………………………………………………………4安全技术要求3……………………………………………………………………………………………4.1第一级3………………………………………………………………………………………………4.2第二级4………………………………………………………………………………………………4.3第三级7………………………………………………………………………………………………4.4第四级10………………………………………………………………………………………………4.5第五级16………………………………………………………………………………………………5测试评价方法23……………………………………………………………………………………………5.1测试环境23……………………………………………………………………………………………5.2第一级23………………………………………………………………………………………………5.3第二级29………………………………………………………………………………………………5.4第三级38………………………………………………………………………………………………5.5第四级51………………………………………………………………………………………………5.6第五级67………………………………………………………………………………………………参考文献87……………………………………………………………………………………………………GB/T29240—2012前言本标准按照GB/T1.1—2009给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、联想控股有限公司。本标准主要起草人:邱梓华、韦卫、宋好好、王京旭、张艳、顾健、吴秋新、顾玮、赵婷、宁晓魁、邹春明、张笑笑、俞优、冯荣峰。ⅠGB/T29240—2012引言本标准包含两部分内容,一部分是终端计算机的通用安全技术要求,用以指导设计者如何设计和实现终端计算机,使其达到信息系统所需安全等级,主要从信息系统安全保护等级划分的角度来说明对终端计算机的通用安全技术要求和测试评价方法,即主要说明终端计算机为实现GB17859—1999中每一个保护等级的安全要求应采取的安全技术措施。本标准将终端计算机划分为五个安全等级,与信息系统的五个等级一一对应。考虑到可信计算是当今终端计算机安全技术主流发展方向,所以在整个终端计算机安全体系设计中凸显可信计算技术理念,特别是在高安全等级(指3至5级)的安全技术措施设置方面,强调采用基于自主可信计算技术标准的可信计算功能特性,而且我国主流终端计算机厂商已建立起相关产业环境,因此,本标准的技术路线选择能够适应我国终端计算机安全技术产业发展水平;另一部分是依据技术要求,提出了具体的测试评价方法,用以指导评估者对各安全等级的终端计算机评估,同时也对终端计算机的开发者提供指导作用。本标准部分条款引用了其他标准的内容,有些是直接引用的,有些是间接引用的,对于直接引用的,请参考被引用标准的具体条款。对于间接引用的,以本标准文本的描述为准。为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强,在第4章的描述中,每一级的新增部分用“宋体加粗”表示。ⅡGB/T29240—2012信息安全技术终端计算机通用安全技术要求与测试评价方法1范围本标准按照国家信息安全等级保护的要求,规定了终端计算机的安全技术要求和测试评价方法。本标准适用于指导终端计算机的设计生产企业、使用单位和信息安全服务机构实施终端计算机等级保护安全技术的设计、实现和评估工作。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB17859—1999计算机信息系统安全保护等级划分准则GB/T17901.1—1999信息技术安全技术密钥管理第1部分:框架GB/T20271—2006信息安全技术信息系统通用安全技术要求GB/T20272—2006信息安全技术操作系统安全技术要求3术语和定义、缩略语3.1术语和定义GB17859—1999、GB/T20271—2006和GB/T20272—2006界定的以及下列术语和定义适用于本文件。3.1.1终端计算机terminalcomputer供个人使用的、能独立进行数据处理及提供网络服务访问的计算机系统。注:终端计算机一般为台式微型计算机系统和便携微型计算机系统两种形态,终端计算机通常由硬件系统、操作系统和应用系统(包括为用户访问网络服务器提供支持的工具软件和其他应用软件)等部分组成。3.1.2完整性度量integritymeasurement使用杂凑算法对被度量对象计算其杂凑值的过程。3.1.3完整性度量值integritymeasurementvalue部件被杂凑算法计算后得到的杂凑值。3.1.4完整性基准值predefinedintegrityvalue部件在发布时或在可信状态下被度量得到的杂凑值,作为完整性校验的参考基准。3.1.5可信度量根rootoftrustformeasurement一个能够可靠进行完整性度量的计算引擎,是信任传递链的起始点。1GB/T29240—20123.1.6可信存储根rootoftrustforstorage一个能够可靠进行安全存储的计算引擎。3.1.7动态可信度量根dynamicrootoftrustformeasurement可信度量根的一种,支持终端计算机对动态启动的程序模块进行实时可信度量。3.1.8可信报告根rootoftrustforreporting一个能够可靠报告可信存储根所保存信息的计算引擎。3.1.9可信密码模块trustedcryptographymodule可信计算平台的硬件模块,为可信计算平台提供密码运算功能,具有受保护的存储空间。3.1.10信任链trustedchain在计算系统启动和运行过程中,使用完整性度量方法在部件之间所建立的信任传递关系。3.1.11安全支撑系统securitysupportsystem终端计算机在操作系统安全基础上构建系统身份标识与鉴别、数据保护和运行安全防护等安全功能的系统,支撑终端计算机的安全运行、管理与维护。3.1.12终端计算机安全子系统securitysubsystemofterminalcomputer终端计算机内安全保护装置的总称,包括硬件、固件、软件和负责执行安全策略的组合体。注1:按照GB17859—1999对TCB(可信计算基)的定义,SSOTC(终端计算机安全子系统)就是终端计算机的TCB。注2:终端计算机安全子系统建立了一个基本的终端计算机安全保护环境,并提供终端计算机所要求的附加用户服务。终端计算机安全子系统应从硬件系统、操作系统、应用系统和系统运行等方面对终端计算机进行安全保护。3.1.13SSOTC安全功能SSOTCsecurityfunction正确实施SSOTC安全策略的全部硬件、固件、软件所提供的功能。注:每一个安全策略的实现,组成一个安全功能模块。一个SSOTC的所有安全功能模块共同组成该SSOTC的安全功能。3.1.14SSOTC安全控制范围SSOTCscopeofcontrolSSOTC的操作所涉及的主体和客体。3.1.15SSOTC安全策略SSOTCsecuritypolicy对SSOTC中的资源进行管理、保护和分配的一组规则。注:一个SSOTC中可以有一个或多个安全策略。3.2缩略语下列缩略语适用于本文件:BIOS基本输入输出系统(basicinputoutputsystem)MBR主引导记录(masterbootrecorder)2GB/T29240—2012SSCSSOTC控制范围(SSOTCscopeofcontrol)SSFSSOTC安全功能(SSOTCsecurityfunction)SSOTC终端计算机安全子系统(securitysubsystemofterminalcomputer)SSPSSOTC安全策略(SSOTCsecuritypolicy)TCM可信密码模块(trustedcryptographymodule)4安全技术要求4.1第一级4.1.1安全功能要求4.1.1.1硬件系统4.1.1.1.1设备安全可用应按GB/T20271—2006中6.1.1.2的要求,从以下方面设计和实现终端计算机的设备安全可用功能:a)基本运行支持:终端计算机的设备应提供基本的运行支持,并有必要的容错和故障恢复能力。4.1.1.1.2设备防盗应按GB/T20271—2006中6.1.1.2的要求,从以下方面设计和实现终端计算机的设备防盗功能:a)设备标记要求:终端计算机的设备应有明显的无法除去的标记,以防更换和方便查找。4.1.1.2操作系统应按GB/T20272—2006中4.1.1的要求,从身份鉴别、自主访问控制两个方面,来设计、实现或选购第一级终端计算机所需要的操作系统。4.1.1.3安全支撑系统4.1.1.3.1运行时防护应按GB/T20271—2006中6.1.2.5的要求,从以下方面设计和实现终端计算机的运行时防护功能:a)恶意代码防护:———对文件系统、内存和使用时的外来介质采用特征码扫描,并根据扫描结果采取相应措施,清除或隔离恶意代码。恶意代码特征库应及时更新。4.1.1.3.2备份与故障恢复为实现确定的恢复功能,应在终端计算机正常运行时定期地或按某种条件实施备份。应根据以下要求,实现备份与故障恢复功能:a)用户数据备份与恢复:应提供用户有选择地备份重要数据的功能,当由于某种原因引起终端计算机中用户数据丢失或破坏时,应能提供用户数据恢复的功能。4.1.2SSOTC自身安全保护4.1.2.1操作系统的自身安全保护应按GB/T20272—2006中4.1.2的要求,设计和实现操作系统的自身安全保护。3GB/T29240—20124.1.3SSOTC设计和实现SSOTC的设计和实现要求如下:a)配置管理:按GB/T20271—2006中6.1.5.1的要求,实现终端计算机第一级的配置管理;b)分发和操作:按GB/T20271—2006中6.1.5.2的要求,实现终端计算机第一级的分发和操作;c)开发:按GB/T20271—2006中6.1.5.3的要求,实现终端计算机第一级的开发;d)文档要求:按GB/T20271—2006中6.1.5.4的要求,实现终端计算机第一级的文档要求;e)生存周期支持:按GB/T20271—2006中6.1.5.5的要求,实现终端计算机第一级的生存周期支持;f)测试:按GB/T20271—2006中6.1.5.6的要求,实