GB/T 29240-2012 信息安全技术 终端计算机通用安全技术要求与测试评价方法

ICS35.040

L80

中华人民共和国国家标准

/—

GBT292402012

信息安全技术终端计算机

通用安全技术要求与测试评价方法

Informationsecurittechnolo—

ygy

Generalsecurittechniuereuirementsandtestinevaluationmethod

yqqg

forterminalcomuter

p

2012-12-31发布2013-06-01实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

/—

GBT292402012

目次

前言…………………………Ⅰ

引言…………………………Ⅱ

1范围………………………1

2规范性引用文件…………………………1

、

3术语和定义缩略语………………………1

3.1术语和定义…………………………1

3.2缩略语………………2

4安全技术要求……………3

4.1第一级………………3

4.2第二级………………4

4.3第三级………………7

4.4第四级………………10

4.5第五级………………16

5测试评价方法……………23

5.1测试环境……………23

5.2第一级………………23

5.3第二级………………29

5.4第三级………………38

5.5第四级………………51

5.6第五级………………67

参考文献……………………87

/—

GBT292402012

前言

本标准按照/—给出的规则起草。

GBT1.12009

本标准由全国信息安全标准化技术委员会(/)提出并归口。

SACTC260

:、。

本标准起草单位公安部计算机信息系统安全产品质量监督检验中心联想控股有限公司

:、、、、、、、、、、、

本标准主要起草人邱梓华韦卫宋好好王京旭张艳顾健吴秋新顾玮赵婷宁晓魁邹春明

、、。

张笑笑俞优冯荣峰

Ⅰ

/—

GBT292402012

引言

,,

本标准包含两部分内容一部分是终端计算机的通用安全技术要求用以指导设计者如何设计和实

,,

现终端计算机使其达到信息系统所需安全等级主要从信息系统安全保护等级划分的角度来说明对终

,

端计算机的通用安全技术要求和测试评价方法即主要说明终端计算机为实现—中每

GB178591999

。,

一个保护等级的安全要求应采取的安全技术措施本标准将终端计算机划分为五个安全等级与信息

。,

系统的五个等级一一对应考虑到可信计算是当今终端计算机安全技术主流发展方向所以在整个终

,()

端计算机安全体系设计中凸显可信计算技术理念特别是在高安全等级指至级的安全技术措施

35

,,

设置方面强调采用基于自主可信计算技术标准的可信计算功能特性而且我国主流终端计算机厂商已

,,;

建立起相关产业环境因此本标准的技术路线选择能够适应我国终端计算机安全技术产业发展水平

,,

另一部分是依据技术要求提出了具体的测试评价方法用以指导评估者对各安全等级的终端计算机评

,。

估同时也对终端计算机的开发者提供指导作用

,,,,

本标准部分条款引用了其他标准的内容有些是直接引用的有些是间接引用的对于直接引用的

。,。

请参考被引用标准的具体条款对于间接引用的以本标准文本的描述为准

,

为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强在第章的描述

4

,“”表示。

中每一级的新增部分用宋体加粗

Ⅱ

/—

GBT292402012

信息安全技术终端计算机

通用安全技术要求与测试评价方法

1范围

,。

本标准按照国家信息安全等级保护的要求规定了终端计算机的安全技术要求和测试评价方法

、

本标准适用于指导终端计算机的设计生产企业使用单位和信息安全服务机构实施终端计算机等

、。

级保护安全技术的设计实现和评估工作

2规范性引用文件

。,

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,()。

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

—计算机信息系统安全保护等级划分准则

GB178591999

/—:

信息技术安全技术密钥管理第部分框架

GBT17901.119991

/—信息安全技术信息系统通用安全技术要求

GBT202712006

/—信息安全技术操作系统安全技术要求

GBT202722006

、

3术语和定义缩略语

3.1术语和定义

—、/—和/—界定的以及下列术语和定义适用于

GB178591999GBT202712006GBT202722006

本文件。

3.1.1

终端计算机terminalcomuter

p

、。

供个人使用的能独立进行数据处理及提供网络服务访问的计算机系统

:,、

注终端计算机一般为台式微型计算机系统和便携微型计算机系统两种形态终端计算机通常由硬件系统操作系

()。

统和应用系统包括为用户访问网络服务器提供支持的工具软件和其他应用软件等部分组成

3.1.2

完整性度量interitmeasurement

gy

使用杂凑算法对被度量对象计算其杂凑值的过程。

3.1.3

完整性度量值interitmeasurementvalue

gy

部件被杂凑算法计算后得到的杂凑值。

3.1.4

完整性基准值redefinedinteritvalue

pgy

,。

部件在发布时或在可信状态下被度量得到的杂凑值作为完整性校验的参考基准

3.1.5

可信度量根rootoftrustformeasurement

,。

一个能够可靠进行完整性度量的计算引擎是信任传递链的起始点

1

/—

GBT292402012

3.1.6

可信存储根rootoftrustforstorae

g

一个能够可靠进行安全存储的计算引擎。

3.1.7

动态可信度量根dnamicrootoftrustformeasurement

y

,。

可信度量根的一种支持终端计算机对动态启动的程序模块进行实时可信度量

3.1.8

可信报告根rootoftrustforreortin

pg

一个能够可靠报告可信存储根所保存信息的计算引擎。

3.1.9

可信密码模块trustedcrtorahmodule

ypgpy

,,。

可信计算平台的硬件模块为可信计算平台提供密码运算功能具有受保护的存储空间

3.1.10

信任链trustedchain

,。

在计算系统启动和运行过程中使用完整性度量方法在部件之间所建立的信任传递关系

3.1.11

安全支撑系统securitsuortsstem

yppy

、功

终端计算机在操作系统安全基础上构建系统身份标识与鉴别数据保护和运行安全防护等安全

,、。

能的系统支撑终端计算机的安全运行管理与维护

3.1.12

终端计算机安全子系统securitsubsstemofterminalcomuter

yyp

,、、。

终端计算机内安全保护装置的总称包括硬件固件软件和负责执行安全策略的组合体

:—(),()

注按照对可信计算基的定义终端计算机安全子系统就是终端计算机

1GB178591999TCBSSOTC

的TCB。

:,

注2终端计算机安全子系统建立了一个基本的终端计算机安全保护环境并提供终端计算机所要求的附加用户服

。、、

务终端计算机安全子系统应从硬件系统操作系统应用系统和系统运行等方面对终端计算机进行安全

保护。

3.1.13

SSOTC安全功能SSOTCsecuritfunction

y

、、。

正确实施SSOTC安全策略的全部硬件固件软件所提供的功能

:,。

注每一个安全策略的实现组成一个安全功能模块一个SSOTC的所有安全功能模块共同组成该SSOTC的安

全功能。

3.1.14

SSOTC安全控制范围SSOTCscoeofcontrol

p

SSOTC的操作所涉及的主体和客体。

3.1.15

SSOTC安全策略SSOTCsecuritolic

ypy

、。

对SSOTC中的资源进行管理保护和分配的一组规则

:。

注一个SSOTC中可以有一个或多个安全策略

3.2缩略语

下列缩略语适用于本文件:

基本输入输出系统()

BIOSbasicinutoututsstem

ppy

主引导记录()

MBRmasterbootrecorder

2

/—

GBT292402012

控制范围()

SSCSSOTCSSOTCscoeofcontrol

p

安全功能()

SSFSSOTCSSOTCsecuritfunction

y

终端计算机安全子系统()

SSOTCsecuritsubsstemofterminalcomuter

yyp

安全策略()

SSPSSOTCSSOTCsecuritolic

ypy

可信密码模块()

TCMtrustedcrtorahmodule

ypgpy

4安全技术要求

4.1第一级

4.1.1安全功能要求

硬件系统

.1设备安全可用

/—,

应按中的要求从以下方面设计和实现终端计算机的设备安全可用

GBT202712006

功能:

):,。

a基本运行支持终端计算机的设备应提供基本的运行支持并有必要的容错和故障恢复能力

.2设备防盗

/—,:

应按中的要求从以下方面设计和实现终端计算机的设备防盗功能

GBT202712006

):,。

a设备标记要求终端计算机的设备应有明显的无法除去的标记以防更换和方便查找

操作系统

/—,、,、

应按中的要求从身份鉴别自主访问控制两个方面来设计实现或选

GBT2027220064.1.1

购第一级终端计算机所需要的操作系统。

安全支撑系统

.1运行时防护

/—,

应按中的要求从以下方面设计和实现终端计算机的运行时防护

GBT202712006

功能:

)恶意代码防护:

a

———、,,

对文件系统内存和使用时的外来介质采用特征码扫描并根据扫描结果采取相应措施

。。

清除或隔离恶意代码恶意代码特征库应及时更新

.2备份与故障恢复

,。

为实现确定的恢复功能应在终端计算机正常运行时定期地或按某种条件实施备份应根据以下

,:

要求实现备份与故障恢复功能

):,

a用户数据备份与恢复应提供用户有选择地备份重要数据的功能当由于某种原因引起终端计

,。

算机中用户数据丢失或破坏时应能提供用户数据恢复的功能

4.1.2SSOTC自身安全保护

操作系统的自身安全保护

/—,。

应按中的要求设计和实现操作系统的自身安全保护

GBT2027220064.1.2

3

/—

GBT292402012

4.1.3SSOTC设计和实现

SSOTC的设计和实现要求如下:

):/—,;

配置管理按中的要求实现终端计算机第一级的配置管理

aGBT202712006

):/—,

分发和操作按中的要求实现终端计算机第一级的分发和

bGBT202712006

操作;

):/—,;

开发按中的要求实现终端计算机第一级的开发

cGBT202712006

):/—,;

文档要求按中的要求实现终端计算机第一级的文档要求

dGBT202712006

):/—,

生存周期支持按中的要求实现终端计算机第一级的生存周期

eGBT202712006

支持;

):/—,。

测试按中的要求实现终端计算机第一级的测试

fGBT202712006

4.1.4SSOTC管理

/—,

应按中的要求从以下方面实现终端计算机第一级的安全

GBT2027120066.1.6SSOTC

管理:

)、、,、

a对相应的SSOTC的访问控制鉴别控制审计等相关的安全功能以及与一般的安装配置和

,、。

维护有关的功能制定相应的操作运行规程和行为规章制度

4.2第二级

4.2.1安全功能要求

硬件系统

.1设备安全可用

/—,

应按中的要求从以下方面设计和实现终端计算机的设备安全可用

GBT202712006

功能:

):,。

a基本运行支持终端计算机的设备应提供基本的运行支持并有必要的容错和故障恢复能力

.2设备防盗

/—,:

应按中的要求从以下方面设计和实现终端计算机的设备防盗功能

GBT202712006

):,;

a设备标记要求终端计算机的设备应有明显的无法除去的标记以防更换和方便查找

):,。

b主机实体安全终端计算机的主机应有机箱封装保护防止部件损害或被盗

操作系统

/—,、、、

应按中的要求从身份鉴别自主访问控制安全审计用户数据保密

GBT2027220064.2.1

、,、。

性用户数据完整性个方面来设计实现或选购第二级终端计算机所需要的操作系统

5

安全支撑系统

.1密码支持

,:

应按以下要求设计与实现第二级终端计算机的密码支持功能

):,

a密码算法应使用国家有关主管部门批准的密码算法密码算法和密码操作应由硬件或受保护

的软件支撑实现。

):,、、

b密钥管理应对密码算法操作所涉及的密钥进行全生命周期管理包括密钥生成密钥交换密

4

/—

GBT292402012

、。/—。

钥存取密钥废除密钥管理应符合国家密钥管理标准GBT17901.11999的相关要求

,。

应建立一个可信存储根密钥所有密钥应受可信存储根保护可信存储根本身应由硬件密码

模块保护。

.2运行时防护

/—,

应按中和的要求从以下方面设计和实现终端计算机的运

GBT202712006

行时防护功能:

)恶意代码防护:

a

———、,,

对文件系统内存和使用时的外来介质采用特征码扫描并根据扫描结果采取相应措施

。。

清除或隔离恶意代码恶意代码特征库应及时更新

):,

b网络攻击防护终端计算机应采取必要措施监控主机与外部网络的数据通信确保系统免受外

。:

部网络侵害或恶意远程控制应采取的措施为

———:、,

IP包过滤应能够支持基于源地址目的地址的访问控制将不符合预先设定策略的数据

包丢弃。

.3系统身份标识与鉴别

,:

应按以下要求设计与实现系统身份标识与鉴别功能

)系统身份标识:

a

,:

应对终端计算机进行身份标识确保其身份唯一性和真实性

———:

唯一性标识应通过唯一绑定的硬件密码模块或受保护的软件模块产生的密钥来标识系

统身份;

)系统身份鉴别:

b

,,

在进行终端计算机身份鉴别时请求方应提供系统的身份标识通过一定的认证协议完成身份

鉴别过程。

.4数据保密性保护

/—,

应按中的数据保密性要求从以下方面设计和实现终端计算机的数

GBT202712006

据保密性功能:

)数据存储保密性:

a

应对存储在终端计算机内的重要用户数据进行保密性保护:

———:,,

例如数据加密应确保加密后的数据由密钥的合法持有者解密除合法持有密钥者外其

余任何用户不应获得该数据;

)数据传输保密性:

b

,,

对在不同SSF之间基于网络传输的重要数据设计和实现数据传输保密性保护功能确保数

据在传输过程中不被泄漏和窃取。

.5安全审计

/—,

应按中的要求从以下方面设计和实现安全支撑系统的安全审计

GBT202712006

功能:

)、、

a安全审计功能的设计应与密码支持系统身份标识与鉴别数据保密性保护等安全功能的设计

紧密结合;

)支持审计日志;

b

———可为以下安全事件产生审计记录:

5

/—

GBT292402012

,

绑定于终端计算机的硬件密码模块应该能审计内部运行的可审计事件能提供给上层应

用软件查询审计情况的接口;

,:、、、,

对于每一个事件其审计记录应包括事件的日期和时间用户事件类型事件类别及其

他与审计相关的信息;

———支持审计查阅:

,

提供从审计记录中读取信息的能力即要求SSF为授权用户提供获得和解释审计信息的

能力;

———提供审计事件选择:

:、、、

应根据以下属性选择终端计算机的可审计事件客体身份用户身份主体身份主机身

、;。

份事件类型作为审计选择性依据的附加属性

.6备份与故障恢复

,。

为了实现确定的恢复功能应在终端计算机正常运行时定期地或按某种条件实施备份应根据以

,:

下要求实现备份与故障恢复功能

):,

a用户数据备份与恢复应提供用户有选择地备份重要数据的功能当由于某种原因引起终端计

,;

算机中用户数据丢失或破坏时应能提供用户数据恢复的功能

):;

b系统备份与恢复应提供定期对终端计算机进行定期备份的功能当由于某种原因引起终端

,。

计算机发生故障时应提供用户按系统备份所保留的信息进行系统恢复的功能

4.2.2SSOTC自身安全保护

安全支撑系统的自身安全保护

)::

a可信存储根安全保护应按以下要求实现终端计算机的可信存储根

———可信存储根应设置在硬件密码模块内;

———所采用的硬件密码模块和软件密码模块应符合国家相关密码管理要求;

)用户使用硬件密码模块前应进行身份鉴别。

b

操作系统的自身安全保护

/—,。

应按中的要求设计和实现操作系统的自身安全保护

GBT2027220064.2.2

4.2.3SSOTC设计和实现

SSOTC的设计和实现要求如下:

):/—,;

配置管理应按中的要求实现终端计算机第二级的配置管理

aGBT202712006

):/—,

分发和操作应按中的要求实现终端计算机第二级的分发和

bGBT202712006

操作;

):/—,;

开发应按中的要求实现终端计算机第二级的开发

cGBT202712006

):/—,;

文档要求应按中的要求实现终端计算机第二级的文档要求

dGBT202712006

):/—,

生存周期支持应按中的要求实现终端计算机第二级的生存周

eGBT202712006

期支持;

):/—