信息系统终端计算机系统安全系统等级技术要求

word信息系统终端计算机系统安全等级技术要求1 X围本标准规定了对终端计算机系统进展安全等级保护所需要的安全技术要求，并给出了每 一个安全保护等级的不同技术要求。本标准适用于按GB 17859-1999的安全保护等级要求所进展的终端计算机系统的设计 和实现，对于GB 17859-1999的要求对终端计算机系统进展的测试、管理也可参照使用。2规X性引用文件如下文件中的条款通过本标准的引用而成为本标准的条款。但凡注日期的引用文件，其 随后所有的修改单，不包括勘误的内容，或修订版均不适用于本标准，然而，鼓励根据本标准 达成协议的各方研究是否可使用这些文件的最新版本。但凡不注日期的引用文件，其最新版 本适用于本标准。GB 17859-1999计算机信息系统安全保护等级划分准如此GB/T 20271-2006信息安全技术 信息系统通用安全技术要求GB/T 202722006信息安全技术操作系统安全技术要求3术语和定义3.1术语和定义GB 17859-1999GB/T 202712006GB/T 20272-2006确立的以与如下术语和定义适用于 本标准。3.1.1终端计算机一种个人使用的计算机系统，是信息系统的重要组成局部，为用户访问网络服务器提供 支持。终端计算机系统表现为桌面型计算机系统和膝上型计算机两种形态。终端计算机系统 一般由硬件系统、操作系统和应用系统包括为用户方位网络服务器提供支持的攻击软件和 其他应用软件等局部组成。3.1.2可信一种特性，具有该特性的实体总是以预期的行为和方式达到既定目的。3.1.3完整性度量简称度量）一种使用密码箱杂凑算法对实体计算其杂凑值的过程。3.1.4完整性基准值简称基准值）实体在可信状态下度量得到的杂凑值，可用来作为完整性校验基准。3.1.5度量根一个可信的实体，是终端计算机系统内进展可信度量的基点。3.1.6动态度量根度量根的一种，支持终端计算机系统对动态启动的程序模块进展实时的可信度量。3.1.7存储根一个可信的实体，是终端计算机系统内进展可存储的基点。3.1.8报告根一个可信的实体，是终端计算机系统内进展可信报告的基点。3.1.9可信根度量根、存储根和报告根的集合，是保证终端计算机系统可信的根底。3.1.10可信硬件模块嵌入终端计算机硬件系统内的一个硬件模块。它必须包含存储根、报告根，能独立提供密码 学运算功能，具有受保护的存储空间。3.1.11信任链一种在终端计算机系统启动过程中，基于完整性度量的方法确保终端计算机可信的技术3.1.12可信计算平台基于可信硬件模块或可信软件模块构建的计算平台，支持系统身份标识服务，密码学服务和 信任服务，并为系统提供信任链保护和运行安全保护。3.1.13终端计算机系统安全子系统终端计算机系统内安全保护装置的总称，包括硬件、固件、软件和负责执行安全策略的组合 体。它建立饿了一个根本的终端计算机系统安全保护环境，并提供终端计算机系统所要求的 附加用户服务。终端计算机系统安全子系统应从硬件系统、操作系统、应用系统和系统运行 等方面对终端计算机系统进展安全保护。SSOCS-终端计算机系统安全子系统3.1.14SSOTCS安全功能正确实施SSOTCS安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现， 组成一个安全功能模块。一个SSOTCS的所有安全功能模块共同组成该SSOTCS的安全功能。3.1.15SSOTCS安全控制X围SSOTCS的操作所涉与的主体和客体。3.1.16SSOTCS安全策略对SSOTCS中的资源进展管理、保护和分配的一组规如此。一个SSOTCS中可以有一个或多个 安全策略。3.2缩略语如下缩略语适用于本标准。SSOTCS终端计算机系统安全子系统SSF SSOTCS安全功能 SSC SSOTCS 控制 X 围 SSP SSOTCS安全策略TCP可信计算平台4安全功能技术要求物理安全设备安全可用根据不同安全等级的不同要求，终端计算机系统的设备安全可用分为：a根本运行支持：终端计算机系统的社保应提供根本的运行支持，并有必要的容错和故障恢复功能。b根本安全可用：终端计算机系统的设备应满足根本安全可用的要求，包括主机、外部设备、网络 连接部件与其他辅助部件等均应根本安全可用。c不连续运行支持：终端计算机系统的社保应通过故障容错和故障恢复等措施，为终端计算机系统 的不连续运行提供支持。设备防盗防毁根据不同安全等级的不同要求，终端计算机系统的设备防盗防毁分为：a设备标记要求：终端计算机系统的设备应有的明显的无法除去的标记，以防更换和方便查找。b主机实体安全：终端计算机系统的主机应有机箱封装保护，防止部件损害或被盗。c设备的防盗和自销毁要求：终端计算机系统的设备应提供拥有者可控的防盗报警功能和系统自销 毁功能。设备高可靠根据特殊环境应用要求，终端计算机系统的设备高可靠分为：a防水要求：终端计算机系统应具有高密封性，防止水滴进入；b防跌落和防震要求：终端计算机系统应加固保护，防止跌落和震动引起的系统破坏。c抗上下温与上下气压要求：终端计算机系统应能适应上下温和上下气压环境；d抗电磁辐射与干扰：终端计算机系统应能抵御电磁干扰和电磁辐射对系统的安全威胁；运行安全系统安全性检测分析根据不同安全等级的不同要求，终端计算机系统的安全性检测分析分为：a操作系统安全性检测分析：应从终端计算机操作系统的角度，以管理员的身份评估文件许可、文件宿主、 网络服务设置、账户设置、程序真实性以与一般的与用户相对安全点、入侵迹象等，从而检测和分析操作 系统的安全性，发现存在的安全隐患，并提出补救措施。b硬件系统安全性检查分析：应对支持终端计算机系统运行的硬件系统进展安全性检测，通过扫描 硬件系统中与系统运行和数据保护有关的特定安全脆弱性，分析其存在的缺陷和漏洞，提出补救措施。c应用程序安全性检查分析：应对运行在终端计算机系统中的应用程序进展安全性检测分析，通过 扫描应用软件中与鉴别、授权、访问控制和系统完整性有关的特定的安全脆弱性，分析其存在的缺陷和漏 洞，提出补救措施。d电磁泄漏发射检查分析：应对运行中的终端计算机系统环境进展电磁泄漏发射检测，采用专门的 检测设备，检查系统运行过程中由于电磁干扰和电磁辐射对终端计算机系统的安全性所造成的威胁，并提 出补救措施。安全审计安全审计的响应根据不同安全等级的不同要求，终端计算机系统的安全审计的响应分为：a记审计日志：当检测得到可能有安全侵害事件时，将审计数据记入审计日志。b实时报警生成：当检测得到可能有安全侵害事件时，生成实时报警信息。c违例进程终止：当检测得到可能有安全侵害事件时，将违例进程终止，违例进程可以包括但不限 于服务进程、驱动、用户进程。d用户账户断开与失效：当检测得到可能有安全侵害事件时，将当前的用户账号断开，并使其生效。安全审计的数据产生根据不同安全等级的不同要求，终端计算机系统的安全审计的数据产生分为：a为下述可审计事件产生审计记录：审计功能的启动和关闭、终端计算机对用户使用身份鉴别机制、管理 员用户和普通用户所实施的与安全相关的操作；b对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件类别，与其他 与审计相关的信息。c对于身份鉴别事件，审计记录应保护请求的来源；d将每个可审计事件与引起该事件的用户或进程相关联；e为下述可审计事件产生审计记录：将客体引入用户地址空间例如：打开文件、服务初始化、其 他与系统安全有关的事件或专门定义的可审计事件。f对于客体被引入用户地址空间的事件，审计记录应包含客体名与客体的安全等级。g对某某性数据的创建、使用与删除事件，审计记录应包含某某性数据的安全标记。安全审计分析根据不同安全等级的不同要求，终端计算机系统的安全审计分析分为：a潜在侵害分析：应能用一系列规如此去监控审计事件，并根据这些规如此指出SSP的潜在危害；b基于异常检查的描述：应能确立用户或检查的质疑度或信誉度，该质疑度表示该用户或进程的 现行获得与巳建立的使用模式的一致性程度。当用户或进程的质疑等级超过门限条件时，SSF应能指出将 要发生对安全性的威胁；c简单攻击探测：应能检测到对SSF实施由重大威胁的签名事件的出现，并能通过对一个或多个事 件的比照分析或综合分析，预测一个攻击的出现以与出现的事件或方式。为此，SSF应维护支出对SSF侵 害的签名事件的内部表示，并将检测到的系统行为记录与签名事件进展比拟，当发现两者匹配时，支出一 个对SSF的攻击即将到来；d复杂攻击探测：在上述简单攻击探测的根底上，要求SSF应能检测到多步入侵情况，并能根据的 事件序列模拟出完整的入侵情况，还应支出发现对SSF的潜在危害的签名事件或事件序列的时间。安全审计查阅根据不同安全等级的不同要求，终端计算机系统的安全审计查阅分为：a审计查阅：提供从审计记录中读取信息的能力，即要求SSF为授权用户提供获得和解释审计信息的能力；b受控审计查阅：审计查阅工具应只允许授权用户读取审计信息，并根据某舟逻辑关系的标准提供 对审计数据进展搜索、分类、排序的能力。安全审计事件选择应根据以下属性选择终端急死俺叫系统的可审计事件：a客体身份、用户身份、主体身份、主机身份、事件类型；b作为审计选择性依据的附加属性。安全审计事件存储根据不同安全等级的不同要求，终端计算机系统的安全审计事件存储分为：a受保护的审计踪迹存储：要求审计踪迹的存储收到应有的保护，应能检测或防止对审计记录的修改；b审计数据的可用性确保在以为情况出现时，应能检测或防止对审计记录的修改，以与在发生审计 存储巳满。存储失败或存储收到攻击以与意外情况出现时，应采取相应的保护措施，确保有时效性的审计 记录不被破坏。c审计数据可能丢失情况下的措施：当审计跟踪超过预定的门限时，应采取相应的措施，进展审计 数据可能丢失情况的处理。d防止审计数据丢失：在审计踪迹存储巳满或超过预定的门限时，应采取相应措施，防止审计数据 丢失。信任链应通过在终端计算机系统启动过程中提供的信任链支持，确保终端计算机系统的运行处于真实可信状态。 根据不同安全等级的不同要求，信任链功能分为：a静态信任链建立：利用终端计算机系统上的度量根，在系统启动过程中对BIOS、MBR、OS部件模块进展 完整性度量。每个部件模块在假装前应确保其真实性和完整性。b静态信任链中操作系统OS的完整性度量基准值承受国家专门机构管理，支持在线或离线校验。c动态信任链建立：利用终端计算机系统上的胴体度量根，对操作系统上应用程序进展实时的完整 性度量，确保每个应用晨曦在启动和运行中的真实性和完整性；d动态信任链中应用晨曦的完整性度量基准值承受国家专门机构管理，支持在线或离线校验。e信任链模块修复：支持在被授权的情况下，对信任链建立过程中出现的不可信模块进展实时修复。f信任链模块升级：支持在被授权的情况下，对信任链建立过程中涉与的各个部件的模块进展升级。 每个升级模块均应确保其真实性和完整性。运行时防护恶意代码防护恶意代码是对用户使用终端计算机系统造成破坏或影响的程序代码，比如：病毒、蠕虫、特 洛伊木马和恶意软件等。根据不同安全等级的不同要求，终端计算机系统的恶意代码防护分为：a外来借助使用控制：样控制各种外来借助的使用，防止恶意代码通过介质传播；b特征码扫描：对文件系统和内存采用特征码扫描，并根据扫描结果采取相应的措施，去除或隔离恶意代码。恶意代码特征库应与时更新；c基于CPU的数据执行保护：防止缓冲区溢出，组织从受保护的内存位置执行恶意代码；d进展隔离：采用进程逻辑隔离或物理隔离的方法，保护进程免受恶意代码破坏；e进程行为分析：基于专家系统，对进程行为的危险程度进展等级评估，根据评估结果，采取相应的防护措施。网络攻击防护终端计算机系统应采取必要措施监控主机与外部网络的数据通信，确保系统免受外部网络侵 害或恶意远程控制。应该采取的措施包括：a防火墙功能:-IP包过滤：应能够支持基于源地址、目的地址的访问控制，将不符合预先设 定策略的数据包丢弃；-网络协议分析：应能偶支持基于网络协议类型的访问控制；-应用程序监控：应能够设置应用程序对网络的访问控制规如此，包括对端口、 协议访问方向的控制；内容过滤：应能对网页内容进展基于关键字匹配的过滤。配入侵检测功能：-实时阻断：与时阻断严重的碗里入侵行为；-文件监控：防止用户对保护文件的非法访问与误操作；-注册表监控：防止用户对注册表的非法访问与误操作；-事件监测：与时监测到主机异常事件；-实时流量分析:对主机网络流量进展实时监测与分析，并据此判断是否有入侵 事件发生。网络接入控制终端计算机系统应能对所接入网络进展可信度评价，并根据不同可信评价等级采取不同的的 安全接入策略。备份与故障恢复为了实现确定的恢复功能，应在终端计算机系统正常运行时定期的或按某种条件实施备份。 根据不同安全等级的不同要求，备份与故障恢复分为：a）用户数据备份与恢复：应提供用户有选择的备份重要数据的功能，当由于某种原因引起终端计算机系统 中用户数据丢失或破坏时，应能提供用户数据恢复的功能；b）增量信心备份与恢复：应提供由终端计算机系统定时对新增信息进展备份的功能，当由于某种原 因引起终端计算机系统中的某些信息丢失或破坏时，应提供用户增量信息备份所保存的信息进展信息恢复 的功能。c）局部系统备份与恢复：应提供定期对终端计算机系统的某些重要的局部系统的运行现场进展定期 备份的功能；当由于某种原因引起终端计算机系统某一局部发生故障时，应提供用户按局部系统备份所保 存的现场信息进展局部系统恢复的功能。d）全系统备份与恢复：应提供定期对终端计算机系统全系统的运行现场进展备份的功能；当由于某 种原因引起终端计算机系统全系统发生故障时，应提供用户按全系统备份所保存的现场信息进展全系统恢 复的功能；e）备份保护措施：数据在备份、存储和恢复过程中应有安全保护措施，并应设置不被用户操作系统 管理的系统来实现系统数据的备份与恢复功能，系统备份数据是用户操作系统不可访问的。可信时间戳终端计算机系统应为其运行提供可靠的始终和时钟同步系统，并按GB/T 20271-2006的要 求提供可信时间戳服务。I/O接口配置终端计算机系统应根据不同的环境要求，配置串口、并口、PCI、USB、网卡、硬盘等各类 I/O接口和设备的启用/禁用等状态：a）用户自主配置：应支持用户基于BIOS和操作系统提供的功能自主配置各类接口的状态；b）集中管理配置：终端计算机系统应承受所接入网络的接口配置管理，并确保只有授权用户才能修 改接口配置；。）自适应配置：终端计算机系统应能根据网络环境安全状况，基于安全策略，自主配置接口状态， 以确保系统自身安全。数据安全密码支持.1密码算法要求应采用国家有关主管部门批准的密码算法与使用指南来实现终端计算机系统密码支持 功能。密码算法种类和X围包括：对称密码算法、公钥密码算法、杂凑算法和随机数生成算 法等。根据不同安全等级的不同要求，密码算法实现分为：a密码算法采用软件实现；b密码算法采用硬件实现。.2密码操作应按照密码算法要某某现密码操作，并至少支持如下操作：秘钥生成操作、数据加密和 解密操作、数据签名生成和验证操作、数据完整性度量生成和验证操作、消息认证码生成与 验证操作、随机数生成操作。.3秘钥管理应对密码操作所使用的秘钥进展全生命周期管理，包括秘钥生成、秘钥交换、秘钥存取、 秘钥废除。秘钥管理应符合国家秘钥管理标准要求。GB/T -1999身份标识与鉴别.1系统标识终端计算机系统应在用户使用之前对系统进展身份标识：a唯一性标识：应通过唯一绑定的可信硬件模块产生的秘钥来标识系统身份；系统身份标识应与审计相关 联；b标识可信性：身份标识可信性应通过权威机构颁发证书来实现；c隐秘性：需要时应使系统身份标识在某些特定条件下具有不可关联性。可以基于第三方权威机构 颁发特定证书实现系统身份标识的隐秘性。d标识信息管理：应对终端计算机系统身份标识信息进展管理、维护，确保其不被非授权的访问、 修改或删除。.2系统鉴别应对请求访问的终端计算机系统进展身份鉴别，鉴别时请求方应提供完整的度量值报告.3用户标识应对注册的终端计算机系统的用户进展标识。根据不同安全等级的不同要求，用户标识分为：a根本标识：应在SSF实施所要求的动作之前，先对提出该动作得要求的用户进展标识；b唯一性标识：应确保所标识用户在信息系统生命周期内的唯一性，并将用户标识与审计相关联；c标识信息管理：应对用户标识信息进展管理、维护，确保其不被非授权地访问、修改或删除。.4用户鉴别应对终端计算机系统用户进展身份真实性鉴别。通过对用户所提供的“鉴别信息的验证， 证明该用户确有所声称的某种身份，这里“鉴别信息可以是用户口令、数字证书、IC卡、 指纹、虹膜等。根据不同安全等级的不同要求，用户鉴别分为：a根本鉴别：应在SSF实施所要求的动作之前，先对提出该动作要求的用户成功的进展鉴别。b不可伪造鉴别：应检测并防止使用伪造或复制的鉴别信息。一方面，要求SSF应检测或防止由任word何别的用户伪造的鉴别数据，另一方面，要求SSF应检测或防止当前用户从任何其他用户处复制的鉴别数 据的使用。c一次性使用鉴别：应能提供一次性使用鉴别数据操作的鉴别机制，即SSF应防止与巳标识过的鉴 别机制有关的鉴别数据的重用。d多机制鉴别：应能提供不同的鉴别机制，用于鉴别特定时间的用户身份，并且SSF应根据所描述 的多种鉴别机制如何提供鉴别的规如此，来鉴别任何用户所声称的身份；e重新鉴别：应有能力规定需要重新鉴别用户的事件，即SSF应在需要重新鉴别的条件表所指示的 条件下，重新鉴别用户。例如，用户操作超时被断开后，重新连接时需要进展鉴别。.5用户鉴别失败处理要求SSF为不成功的鉴别尝试次数包括尝试次数和时间的阈值yu值，界限的意思定 义一个值，以与明确规定达到该值时所应采取的动作。鉴别失败的处理应包括检测出现相关 的不成功鉴别尝试的次数与所规定的数目一样的情况，并进展预先定义的处理。应通过对不 成功的鉴别尝试次数包括尝试次数和时间的阈值的值进展预先定义，以与明确规定达到 该值时所应采取的动作来实现鉴别失败的处理。.6用户-主体绑定在SSC之内，对一个已标识和鉴别的用户，为了要求SSF完成某个任务，需要激活另一个主 体如进程，这时，要求通过用户-主体绑定将该用户与该主体相关联，从而将用户的身份 与该用户的所有可审计行为相关联。.7隐秘应为用户提供其省份不被其他用户发现或滥用的保护，可分为以下四种情况：a匿名：用户在其使用资源或服务时，不暴露身份。要求SSF应确保用户和/或主体集，无法确定与主体 和/或操作相关联的实际用户，并在对主体提供服务时不询问实际的用户名；b假名：用户在使用资源或设备时，不暴露其真实名称，但仍能对该次使用负责。要求SSF应确保 用户和/或主体集，不能确定与主体和/或操作相关联的真实的用户名，并要求SSF应恩能给一个主体提供 多个假名，以与验证所使用的假名是否符合假名的度量。c不可关联性：一个用户可以屡次使用资源和服务，但任何人都不能将这些使用联系在一起。具体 讲，要求SSF应确保用户和/或主体不能确定系统中的某些操作是否由同一用户引起。d不可观察性：用户在使用资源和服务时，其他人，特别是第三方不能观察到该资源和服务正在被 使用。要求SSF应确保用户和/或主体，不应观察到由受保护的用户和/或主体对客体所进展的操作。可通 过将不可观察性信息分配给SSF的不同局部等方法实现。自主访问控制.1访问控制策略应按确定的自主访问控制安全策略进展设计，实现对策略控制下的主体与客体间操作的 控制。可以有多个自主访问控制安全策略，但他们应独立命名，且不应相互冲突。常用的自 主访问控制策略包括：访问控制表访问控制、目录表访问控制、权能表访问控制等。.2访问控制功能应明确指出采用一条命名的访问控制策略所实现的特定功能，说明策略的使用和特征， 以与该策略的控制X围。无论采用何种自主访问控制策略，应有能力提供：-在安全属性或命名的安全属性组的客体上，执行访问控制策略。-在基于安全属性的允许主体对客体访问的规如此的根底上，允许主体对客体的访问。-在基于安全属性的拒绝主体对客体访问的规如此的根底上，拒绝主体对客体的访问。.3访问控制X围根据不同安全等级的不同要求，自主访问控制的覆盖X围分为：a子集访问控制：要求美国确定的自主访问控制，SSF应覆盖由SSOTCS所定义的主体、客体与其操作之 间的操作。b完全访问控制：要求美国确定的自主访问控制，SSF应覆盖终端计算机系统中所有的主体、客体 与其之间的操作，即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的所有操作将至少被一个 确定的访问控制策略覆盖。.4访问控制粒度根据不同安全等级的不同要求，自主访问控制的粒度分为：a主体为用户组/用户级，客体为文件级；b主体为用户级，客体为文件级；标记.1主体标记主体是指主动的实体，是SSC内发起的操作的实体。主体包括人，进程和外部设备等。应为主体分配标记，这些标记是等级分类和非等级类别的组合，是实施强制访问控制的 依据。.1客体标记客体是被动的实体，是SSC内被主体访问的实体。客体包含或者接收主体关心的信息。 客体通常包括文件、设备、状态信息等。应为客体指定敏感标记，这些敏感标记是等级分类和非等级类别的组合，是实施强制访 问控制的依据。强制访问控制访问控制策略强制访问控制策略应包括策略控制下的主体、客体，与由策略覆盖的被控制的主体与客 体间的操作。可以有多个访问控制安全策略，但他们应独立命名，且不应相互冲突。访问控制功能应明确指出采用一条命名的强制访问控制策略所实现的特定功能。应有能力提供：-在标记或命名的标记组的客体上，执行访问控制策略。-按受控主体和受控客体之间的允许访问规如此，觉得允许受控主体对受控客体执行受控操作；-按受控主体和受控客体之间的拒绝访问规如此，觉得拒绝受控主体对受控客体执行受控操作；访问控制X围根据不同安全等级的不同要求，强制访问控制的覆盖X围分为：a子集访问控制：要求美国确定的强制访问控制，应覆盖由策略所定义的主体、客体与其之间的操 作。b完全访问控制：要求美国确定的强制访问控制，应覆盖终端计算机系统中所有的主体、客体与其 之间的操作，即要求终端计算机系统中的任意一个主体和任意一个客体之间的所有操作将至少被一个确定 的访问控制策略覆盖。访问控制粒度根据不同安全等级的不同要求，强制访问控制的粒度分为：a主体为用户组/用户级，客体为文件级；b主体为用户级，客体为文件级；数据某某性保护数据存储某某性应对存储在SSC内的重要用户数据进展某某性保护，确保除合法持有秘钥外，其余任何 用户不应获得该数据。a数据加密：应确保加密后的数据由秘钥的合法持有者解密；b数据绑定：基于存储根实现对数据的某某存储，应确保数据由秘钥的合法持有者在特定终端计算 机系统中解密；c数据密封：基于存储根实现对数据的某某存储，应确保数据由秘钥的合法持有者在特定终端计算 机系统的特定状态下解密；数据传输某某性对在不同SSF之间传输的用户数据，应根据不同数据类型的不同某某性要求，进展不同 程度的某某性保护，确保数据在传输过程中不被泄露和窃取。客体安全重用在对资源进展行动态管理的系统中，客体资源存放器、内存、磁盘等记录媒介中的 剩余信息不应引起信息的泄露。根据不同安全等级对用户数据某某性保护的不同要求，客体安全重用分为：a子集信息保护：有SSOTCS安全控制X围之内的某个子集的客体资源，在将其释放后再分配给某一 用户或代表该用户运行的进程时，应不会泄露该客体中的原有信息；b完全信息保护：有SSOTCS安全控制X围之内的所有客体资源，在将其释放后再分配给某一用户或 代表该用户运行的进程时，应不会泄露该客体中的原有信息；c特殊信息保护：在完全信息保护的根底上，对于某些需要特别保护的信息，应采用专门的方法对 客体资源中的残留信息做彻底去除，如对剩磁的去除等。数据完整性保护存储数据的完整性应对存储在SSC内的用户数据进展完整性保护，包括：a完整性检测：要求SSF应对基于用户属性的所有客体，对存储在SSC内的用户数据进展完整性检 测。b完整性检测和恢复：要求SSF应对基于用户属性的所有客体，对存储在SSC内的用户数据进展完 整性检测，并且当检测到完整性错误时，SSF应采取必要的恢复措施。传输数据的完整性当用户数据在SSF和其他可信信息系统间传输时应提供完整性保护，包括：a完整性检测：要求对被传输的用户数据进展检测，与时发现以某种方式传送货接收的用户数据被 篡改、删除、插入等情况发生。b数据交换恢复：由接收者SSOTCS借助于源可信信息系统提供的信息，或由承受者SSCTCS自己无 需来自源可信信息系统的任何帮助，能恢复被破坏的数据为原始的用户数据。处理数据的完整性回退：对终端计算机系统中处理中的数据，应通过“回退进展完整性保护，即要求 SSF应执行访问控制策略，以允许对所定义的操作序列进展回退。信任服务信任服务是指终端计算机系统运行时对自身进展完整性度量，并将度量值向系统用户或系统 外部实体进展可信报告的服务，即由报告根对度量值进展数据签名后，呈现给验证者。4.3.8.1完整性度量终端计算机系统中的硬件、固件和软件等系统模块在运行之前应对其进展完整性度量 ，作为该模块的可信性判断依据。应通过适当组合各模块的度量值，作为系统信任报告或系统特征绑定的依据。完整性度量值存储终端计算机系统应专门设置一组受保护的存储区域，用于存储被度量模块的完整性度量 值。所有度量值存取访问应受权限控制。完整性度量值报告报告完整性度量值时，熊报告根应对完整性度量值进展数字签名，报告接收方通过验证 签名有效性以与校验完整性度量值来判断该系统的信任性。可信路径用户与SSF之间的可信路径应满足：a) SSF应在SSF和本地或远程用户之间提供一个通信路径，通信路径之间彼此逻辑独立，提供真实的 端点标识，并保护通信数据免遭修改和泄露。b) SSF应允许SSF、本地货远程用户通过可信路径发起通信。c) SSF应对原发用户的鉴别、内部命令、所有用户命令和SSF响应使用可信路径。5终端计算机系统安全激素分等级要求5.1第一级：用户自主保护级安全功能要求.1物理系统设备安全可用根本运行支持的要求，设计和实现终端计算机系统设备安全可用的功能。设备防盗防毁标记的要求，设计和实现终端计算机系统设备防盗防毁的功能。.2操作系统应按GB/T 20272-2006要求，从以下方面来设计、实现或选购用户自主保护级终端计算机 系统所需要的操作系统。a用户身份标识与鉴别：根据GB/T 20272-2006.1描述，实现操作系统用户标识、用户鉴别、用户 鉴别失败处理和用户-主体绑定的功能；配自主访问控制：根据GB/T 20272-2006描述，对操作系统的访问进展控制，允许合法操作，不允 许非法操作。c用户数据完整性：根据GB/T 20272-2006描述，对操作系统内部存储、处理和传输的用户数据应 提供保证用户数据完整性的功能。.3可信计算平台密码支持描述，按以下要求，设计与实现自主保护级终端计算机系统密码支持功能：a密码算法：应采用国家有关部门批准的密码算法，利用软件实现相关密码算法和密码操作；b秘钥管理：所有秘钥应受存储根保护。信任链建立的要求，设计与实现终端计算机系统的静态信任链功能。静态信任链所建立的度量值应存储在一个手保护的区域中。运行时防护防护的要求，设计与实现如下功能：恶意代码防护：根据描述，实现外来介质使用控制、特征码扫描的功能。系统安全性检测分析终端计算机系统安全性检测分析的要求，运用有关工具，检测所选用或开发的操作系统， 并通过对检测结果的分析，按用户自主保护级的要求，对存在的安全问题加以改良。备份与故障恢复用户数据集备份与恢复、增量信息备份与恢复的要求，设计与实现终端计算机系统的备 份与故障恢复功能。I/O接口配置自主配置的要求，设计和实现I/O接口配置功能。.3应用系统应按GB/T 20271-2006要求，从以下方面来设计、实现或选购用户子阿虎保护级终端计算 机系统所需要的应用系统：a身份标识与鉴别：根据GB/T 20271-2006.1描述，实现用户标识、用户鉴别、用户鉴别失败处理 和用户-主体绑定的功能；配自主访问控制：根据GB/T 20271-2006描述，对应用系统相关资源的访问进展控制，允许合法操 作，不允许非法操作。c数据完整性保护：根据GB/T 20271-2006描述，对操作系统内部存储、处理和传输的用户数据应 提供保证用户数据完整性的功能。安全保证要求.1SSOTCS自身安全保护a可信根安全保护：应按以下要某某现终端计算机系统的可信根：-应保护存储根不被泄露和篡改；-应对度量根采取物理保护措施。bSSF物理安全保护：按GB/T 202712006要求，实现终端计算机系统用户自主保护级SSF的物理 安全保护。cSSF运行安全保护：按GB/T 202712006要求，实现终端计算机系统用户自主保护级SSF的运行 安全保护。dSSF数据安全保护：按GB/T 202712006要求，实现终端计算机系统用户自主保护级SSF的数据 安全保护。e资源利用：按GB/T 202712006要求，实现终端计算机系统用户自主保护级的资源利用。fSSOTCS访问控制：按GB/T 202712006要求，实现终端计算机系统用户自主保护级的SSOTCS访 问控制。.2SSOTCS设计和实现a配置管理：按GB/T 202712006要求，实现终端计算机系统用户自主保护级的配置管理；b分发和操作：按GB/T 202712006要求，实现终端计算机系统用户自主保护级的分发和操作；c开发：按GB/T 202712006要求，实现终端计算机系统用户自主保护级的开发；d指导性文档：按GB/T 202712006要求，实现终端计算机系统用户自主保护级的指导性文档；e生命周期支持：按GB/T 202712006要求，实现终端计算机系统用户自主保护级的生命周期支持;f测试：按GB/T 202712006要求，实现终端计算机系统用户自主保护级的测试。.3SSOTCS 管理按GB/T 202712006要求，实现终端计算机系统洪湖自主保护级的SSOTCS安全管理。5.2第二级：系统审计保护级安全功能要求.1物理系统设备安全可用根本运行支持的要求，设计和实现终端计算机系统设备安全可用的功能。设备防盗防毁标记要求和主机实体安全的要求，设计和实现终端计算机系统设备防盗防毁的功能。.2操作系统应按GB/T 202722006要求，从以下方面来设计、实现或选购系统审计保护级终端计算机 系统所需要的操作系统。a身份鉴别：根据GB/T 202722006.1描述，实现操作系统用户标识、用户鉴别、用户鉴别失败处 理和用户-主体绑定的功能；b自主访问控制：根据GB/T 202722006描述，对操作系统的访问进展控制，允许合法操作，不允 许非法操作；c安全审计：根据GB/T 202722006描述，提供操作系统安全审计功能；d用户数据某某性：根据GB/T 202722006描述，设计和实现操作系统的用户数据某某性保护功能；e用户数据完整性：根据GB/T 202722006描述，对操作系统内部存储、处理和传输的用户数据应提供保证用户数据完整性的功能。.3可信计算平台密码支持描述，按以下要求，设计与实现安全标记级终端计算机系统密码支持功能：a密码算法：应采用国家有关部门批准的密码算法，应支持密码算法和密码操作由硬件实现；b秘钥管理：所有秘钥应受存储根保护，存储根本身应由可信硬件模块保护。信任链建立的要求，基于可信硬件模块设计和实现终端计算机系统的静态信任链功能。运行时防护防护的要求，设计与实现如下功能：a恶意代码防护：根据描述，实现外来介质使用控制、特征码扫描的功能；b网络攻击防护：根据描述，实现IP过滤、网络协议分析、应用程序监控、内容过滤的防火墙的功 能。系统安全性检测分析终端计算机系统安全性检测分析的要求，运用有关工具，检测所选用或开发的操作系统， 并通过对检测结果的分析，按用户自主保护级的要求，对存在的安全问题加以改良。信任服务与下要求，设计实现可信计算平台的系统审计保护级信任服务功能：应在可信硬件模块中专门设置受保护区域存储所有静态信任链的完整性度量值。用户身份标识与鉴别的要求，从以下方面设计与实现可信计算平台身份标识与鉴别功能：.3的要求，设计与实现用户的根本标识、唯一性标识与标识信息管理功能；.4的要求，设计与实现用户的根本鉴别、不可伪造鉴别功能；c. 4的要求，支持以数字证书形式提供鉴别信息；d. 5的要求，设计与实现用户鉴别失败处理功能；e. 6的要求，设计与实现用户-主体绑定功能。5.2.1.3.7 自主访问控制控制的要求，下方面设计实现可信计算平台的自主访问控制功能：.1的要求，确定自主访问控制策略；.2的要求，设计与实现自主访问控制功能；c. 3中子集访问控制的要求，确定自主访问控制的X围；d. 4中访问控制力度的要求，确定自主访问控制的粒度。数据某某性保护的要求，从以下方面设计和实现可信计算平台的数据某某性保护功能：加密的要求，按配置的密码支持，对需要进展存储某某性保护的数据，采用存储加密的措施，设计和 实现数据存储某某性保护功能；b应按，配置的密码支持，对需要进展传输某某性保护的数据，采用传输加密的措施，设计和实现 数据传输某某性保护功能。数据完整性保护，对可信计算平台内部存储、处理和传输的数据应提供保证数据完整性的功能。安全审计，按GB/T 20271-2006要求，从以下方面设计与实现可信计算平台的安全审计功能：a安全审计功能的设计应与密码支持、身份标识与鉴别、自主访问控制、数据某某性保护、用户数据完整性保护、信任服务等安全功能的设计严密结合；b支持审计日志；支持安全审计事件产生；支持潜在侵害分析；支持根本审计查阅；提供审计事件 选择和受保护的审计踪迹存储；c能够生产、维护与保护审计过程，使其免遭修改、非法访问与破坏，特别要保护审计数据，要严 格限制未经授权的用户访问；d能够创建并维护一个对受保护客体访问的审计跟踪，保护审计记录不被未授权的访问、修改和破 坏。备份与故障恢复用户数据集备份与恢复、增量信息备份与恢复和局部系统备份与恢复的要求，设计与实 现终端计算机系统的备份与故障恢复功能。I/O接口配置自主配置的要求，设计和实现I/O接口配置功能。.4应用系统应按GB/T 20271-2006，从以下方面来设计、实现或选购系统审计保护级终端计算机系统 所需要的应用系统：a身份标识与鉴别：根据GB/T 20271-2006.1的描述，实现用户标识、用户鉴别、用户鉴别失败处 理和用户-主体绑定的功能；配自主访问控制：根据GB/T 20271-2006.3的描述，对应用系统相关资源的访问进展控制，允许合 法操作，不允许非法操作；c安全审计：根据GB/T 202712006.3的描述，提供给用系统安全审计功能；d数据某某性保护：根据GB/T 202712006.8的描述，设计和实现应用系统的用户数据某某性保护 功能；e数据完整性保护：根据GB/T 202712006.7的描述，对应用系统内部存储、处理和传输的用户数 据应提供保证用户数据完整性的功能。安全保证要求.1SSOTCS自身安全保护a可信根安全保护：应按以下要某某现终端计算机系统的可信根：-存储根和报告根应设置在可信硬件模块内；-可信硬件模块应通过国家专门机构测评认证；-应对度量根采取物理保护措施；bSSF物理安全保护：应按以下要某某现终端计算机系统审计保护级SSF的物理安全保护；应按GB/T 202712006.1的要求，实现终端计算机系统审计验资保护级SSF的物理安全保 护；cSSF运行安全保护：应按以下要某某现终端计算机系统审计保护级SSF的运行安全保护；应按GB/T 202712006.2的要求，实现终端计算机系统审计保护级SSF的运行安全保护；-应采取适当的失电保护措施，确保在终端计算机系统推出休眠或待机状态后，能恢复到推出工作状态前的配置，确保信任链系统仍能正常工作；dSSF数据安全保护：宜按GB/T 202712006.3的要求，实现终端计算机系统审计保护级SSF的数 据安全保护；e资源利用：宜按GB/T 202712006.4的要求，实现终端计算机系统审计保护级的资源利用；fSSOTCS访问控制：宜按GB/T 202712006.5的要求，实现终端计算机系统审计保护级的SSOTCS访问控制；.2SSOTCS设计和实现a配置管理：按GB/T 20271-2006要求，实现终端计算机系统审计保护级的配置管理；b分发和操作：按GB/T 20271-2006要求，实现终端计算机系统审计保护级的分发和操作；c开发：按GB/T 202712006要求，实现终端计算机系统审计保护级的开发；d指导性文档：按GB/T 202712006要求，实现终端计算机系统审计保护级的指导性文档；e生命周期支持：按GB/T 202712006要求，实现终端计算机系统审计保护级的生命周期支持；f测试：按GB/T 202712006要求，实现终端计算机系统审计保护级的测试。.3SSOTCS 管理按GB/T 202712006中6.2.6的要求，实现终端计算机系统系统审计保护级的SSOTCS 安全管理。5.3第三级：安全标记保护级安全功能要求.1物理系统设备安全可用根本运行支持和根本安全可用的要求，设计和实现终端计算机系统设备安全可用的功 能。设备防盗防毁标记要求、设备实体安全与防盗的要求，设计和实现终端计算机系统的设备防盗防毁的 功能。.2操作系统应按GB/T 202722006要求，从以下方面来设计、实现或选购系统安全标记保护级终端计 算机系统所需要的操作系统。a身份鉴别：根据GB/T 202722006.1描述，实现操作系统用户标识、用户鉴别、用户鉴别失败处 理和用户-主体绑定的功能；b自主访问控制：根据GB/T 202722006描述，对操作系统的访问进展控制，允许合法操作，不允 许非法操作；c标记：根据GB/T 202722006描述，设计和实现操作系统标记功能，为主、客体设置所需要的敏 感标记；d强制访问控制：根据GB/T 202722006描述，对操作系统的访问进展控制，允许合法操作不允许 非法操作；应对财政系统实现包括系统文件、服务、驱动、注册表与进程在内的强制访问控制功能；e数据流控制：对于以数据流方式实现数据交互的操作系统，根据GB/T 202722006描述，设计和 实现操作系统的数据流控制功能；f安全审计：根据GB/T 202722006描述，提供操作系统安全审计功能；g用户数据某某性：根据GB/T 202722006描述，设计和实现操作系统的用户数据某某性保护功能；h用户数据完整性：根据GB/T 202722006描述，对操作系统内部存储、处理和传输的用户数据应 提供保证用户数据完整性的功能。.3可信计算平台密码支持描述，按以下要求，设计与实现安全标记级终端计算机系统密码支持功能：a密码算法：应采用国家有关部门批准的密码算法，应采用硬件实现密码算法；b密码操作：秘钥生成、数字签名与验证等关键密码操作应基于密码硬件支持；c秘钥管理：所有秘钥应受存储根保护，存储根本身应由安全硬件保护。信任链建立的要求，设计和实现终端计算机系统的信任链功能：a应基于可信硬件模块实现静态信任链和动态信任链的建立；b静态信任链中操作系统OS的完整性度量基准值应有国家专门机构管理，支持离线校验，基准 值应存储在受存储保护的区域中，假如度量值与基准值不一致，应停止操作系统启动；c要求设计和实现信任链模块升级和信任链模块实时修复功能。运行时防护防护的要求，设计与实现如下功能：a恶意代码防护：根据描述，实现外来介质使用控制、特征码扫描、基于CPU的数据执行保护的功 能；b网络攻击防护：根据描述，实现IP过滤、网络协议分析、应用程序监控、内容过滤的防火墙的功 能。实现实时阻断、文件监控、注册表监控的入侵检测功能；c网络接入控制：根据，实现网络接入控制功能。系统安全性检测分析终端计算机系统安全性检测分析、硬件系统安全性检测分析、应用程序安全性检查分析 和电磁泄漏发射检测分析的要求，运用有关工具，检测所选用或开发的操作系统、硬件系统、 应用程序的安全性和电磁泄漏，并通过对检测结果的分析，按安全标记保护等级的要求，对 存在的安全问题加以改良。信任服务与下要求，设计实现可信计算平台的安全标记保护级信任服务功能：a应在可信硬件模块中专门设置受保护区域存储所有静态信任链的完整性度量值；b应设置一个可信硬件模块保护的区域来存储所有动态信任链的完整性度量值；c必要时应向国家专门机构报告操作系统完整性度量值。身份标识与鉴别.1系统身份标识与鉴别的要求，从以下方面设计与实现系统的身份标识与鉴别功能：.3的要求，设计与实现终端计算机系统的唯一性标识、标识可信性、隐秘性和标识信息管理功能，确 保终端计算机系统可信计算平台的身份唯一性和真实性。.4的要求，设计与实现系统身份鉴别功能；.2用户身份标识与鉴别的要求，从以下方面设计与实现用户的身份标识与鉴别功能：.3的要求，设计与实现用户的根本标识、唯一性标识与标识信息管理功能；.4的要求，设计与实现用户的根本鉴别和一次性使用鉴别；c. 4的要求，支持以数字证书、指纹、IC卡等形式提供鉴别信息；d. 5的要求，设计与实现用户鉴别失败处理功能；e. 6的要求，设计与实现用户-主体绑定功能。5.3.1.3.7 自主访问控制控制的要求，下方面设计实现可信计算平台的自主访问控制功能：.1的要求，确定自主访问控制策略；.2的要求，设计与实现自主访问控制功能；c. 3中子集访问控制的要求，确定自主访问控制的X围；d. 4中访问控制力度的要求，确定自主访问控制的粒度。5.3.1.3.8 标记的要求，从以下方面设计实现可信计算平台的标记功能：.1的要求，设计与实现主体标记功能；.2的要求，设计与实现客体标记功能；5.3.1.3.9 强制访问控制访问的要求，从以下方面设计实现可信计算平台的强制访问控制功能：.1的要求，确定强制访问控制策略；.2的要求，设计与实现强制访问控制功能；c. 3中子集访问控制的要求，确定强制访问控制的X围；d. 4中访问控制力度的要求，确定强制访问控制的粒度。数据某某性保护的要求，从以下方面设计和实现可信计算平台的数据某某性保护功能：加密、数据绑定和数据密封的要求，按配置的密码支持，对需要进展存储某某性保护的数据，采用存 储加密的措施，设计和实现数据存储某某性保护功能；b应按，配置的密码支持，对需要进展传输某某性保护的数据，采用传输加密的措施，设计和实现 数据传输某某性保护功能。数据完整性保护，对可信计算平台内部存储、处理和传输的数据应提供保证数据完整性的功能。安全审计，按GB/T 20271-2006要求，从以下方面设计与实现可信计算平台的安全审计功能：a安全审计功能的设计应与密码支持、身份标识与鉴别、自主访问控制、数据某某性保护、用户数 据完整性保护、信任服务、标记、强制访问控制等安全功能的设计严密结合；b支持审计日志、实时绑架生成和为了进程终止；支持安全审计事件产生；支持潜在侵害分析和基 于异常检测；支持根本审计查阅和受控审计查阅；提供审计事件选择、受保护的审计踪迹存储和审计数据 的可用性确保；c能够生产、维护与保护审计过程，使其免遭修改、非法访问与破坏，特别要保护审计数据，要严 格限制未经授权的用户访问；d能够创建并维护一个对受保护客体访问的审计跟踪，保护审计记录不被未授权的访问、修改和破 坏。e内置可信硬件模块的终端计算机系统，可信硬件模块应该能审计内部命令运行情况、维护事件、 用户秘钥的创建、使用与删除事件或其他专门的可审计事件，提供给上层应用软件查询审计情况的接口， 并存储审计记录。备份与故障恢复用户数据集备份与恢复、增量信息备份与恢复、局部系统备份与恢复、全系统备份与恢 复、备份保护措施，设计与实现终端计算机系统的备份与故障恢复功能。I/O接口配置自主配置的要求，设计和实现I/O接口配置功能。可信时间戳的要求，设计和实现终端计算机系统的可信时间戳功能。.4应用系统应按GB/T 20271-2006，从以下方面来设计、实现或选购安全标记保护级终端计算机系统 所需要的应用系统：a身份标识与鉴别：根据GB/T 20271-2006中6.3.3. 1的描述，实现用户标识、用户鉴别、用户鉴 别失败处理和用户-主体绑定的功能；b自主访问控制：根据GB/T 20271-2006.3的描述，对应用系统相关资源的访问进展控制，允许合 法操作，不允许非法操作；c标记：根据GB/T 20271-2006.4的描述，设计和实现应用系统标记功能，为应用系统中的主、客 体设置所需要的敏感标记；d强制访问控制：根据GB/T 20271-2006.5的描述，对应用系统相关资源的访问进