GB T 29240-2012 信息安全技术.终端计算机.通用安全技术要求与测试评价方法.pdf

1、ICS 35.040 L 80 GB 中华人民=l:I二./、和国国家标准GB/T 29240-2012 信息安全技术终端计算机通用安全技术要求与测试评价方法Information security technology一General security technique requirements and testing evaluation method for terminal computer 2012-12-31发布晶。码主3，*，V -.?O 二号v飞- .0 网捕响桐m阳35m电话4006982315刮涂层章真伪/_/ 中华人民共和国国家质量监督检验检痊总局中国国家标准化管理委员

2、会2013-06-01实施发布GB/T 29240-2012 目次前言.1 引言.II 1 范围-2 规范性引用文件3 术语和定义、缩略语.3. 1 术语和定义.3.2 缩略语.4 安全技术要求34. 1 第一级34.2 第二级44. 3 第三级4.4 第四级104. 5 第五级5 测试评价方法n5. 1 测试环境235. 2 第一级.23 5.3 第二级295.4 第三级385. 5 第四级.5. 6 第五级.参考文献. 87 GB/T 29240一2012前言本标准按照GB/T1. 1-2009给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草

3、单位:公安部计算机信息系统安全产品质量监督检验中心、联想控股有限公司。本标准主要起草人:邱梓华、韦卫、宋好好、王京旭、张艳、顾健、吴秋新、顾琦、赵婷、宁晓魁、邹春明、张笑笑、俞优、冯荣峰。I -GB/T 29240-2012 引-E 本标准包含两部分内容，一部分是终端计算机的通用安全技术要求，用以指导设计者如何设计和实现终端计算机，使其达到信息系统所需安全等级，主要从信息系统安全保护等级划分的角度来说明对终端计算机的通用安全技术要求和测试评价方法，即主要说明终端计算机为实现GB17859一一1999中每一个保护等级的安全要求应采取的安全技术措施。本标准将终端计算机划分为五个安全等级，与信息系统

4、的五个等级一一对应。考虑到可信计算是当今终端计算机安全技术主流发展方向，所以在整个终端计算机安全体系设计中凸显可信计算技术理念，特别是在高安全等级(指3至5级)的安全技术措施设置方面，强调采用基于自主可信计算技术标准的可信计算功能特性，而且我国主流终端计算机厂商已建立起相关产业环境，因此，本标准的技术路线选择能够适应我国终端计算机安全技术产业发展水平;另一部分是依据技术要求，提出了具体的测试评价方法，用以指导评估者对各安全等级的终端计算机评估，同时也对终端计算机的开发者提供指导作用。本标准部分条款引用了其他标准的内容，有些是直接引用的，有些是间接引用的，对于直接引用的，请参考被引用标准的具体条

5、款。对于间接引用的，以本标准文本的描述为准。为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强，在第4章的描述中，每一级的新增部分用宋体加粗表示。E G/T 29240-2012 信息安全技术终端计算机通用安全技术要求与测试评价方法1 范围本标准按照国家信息安全等级保护的要求，规定了终端计算机的安全技术要求和测试评价方法。本标准适用于指导终端计算机的设计生产企业、使用单位和信息安全服务机构实施终端计算机等级保护安全技术的设计、实现和评估工作。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新

6、版本(包括所有的修改单)适用于本文件。GB 17859-1999计算机信息系统安全保护等级划分准则GB/T 17901. 1-1999信息技术安全技术密钥管理第1部分:框架GB/T 20271一2006信息安全技术信息系统通用安全技术要求GB/T 20272 -2006 信息安全技术操作系统安全技术要求3 术语和1主义、细暗语3. 1 术语和定义GB 17859199，9、GB/T20271-2006和GB/T20272-2006界定的以及下列术语和定义适用于本文件。3. 1. 1 终端计算机ter.minal computer 供个人使用的、能独立进行数据处理及提供网络服务访问的计算机系统。

7、注:终端计算机一般为台式微型计算机系统和便携微型计算机系统两种形态，终端计算机通常由硬件系统、操作系统和应用系统(包括为用户访问网络服务器提供支持的工具软件和其他应用软件)等部分组成。3. 1. 2 完整性度量integrity nneasurennent 使用杂凑算法对被度量对象计算其杂凑值的过程。3. 1.3 完整性度量值integrity nneasurennent value 部件被杂凑算法计算后得到的杂凑值。3. 1.4 完整性基准值predefined integrity value 部件在发布时或在可信状态下被度量得到的杂凑值，作为完整性校验的参考基准。3. 1.5 可信度量根r

8、oot of trust for nneasurennent 一个能够可靠进行完整性度量的计算引擎，是信任传递链的起始点。-GB/T 29240-2012 3.1.6 可信存储根root of trust for storage 一个能够可靠进行安全存储的计算引擎。3. 1.7 动态可信度量根dynamic root of trust for measurement 可信度量根的一种，支持终端计算机对动态启动的程序模块进行实时可信度量。3. 1.8 可信报告根root of trust for reporting 一个能够可靠报告可信存储根所保存信息的计算引擎。3. 1. 9 可信密码模块tr

9、usted cryptography module 可信计算平台的硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间。3. 1. 10 信任链trusted chain 在计算系统启动和运行过程中，使用完整性度量方法在部件之间所建立的信任传递关系。3. 1. 11 安全支撑系统security support system 终端计算机在操作系统安全基础上构建系统身份标识与鉴别、数据保护和运行安全防护等安全功能的系统，支撑终端计算机的安全运行、管理与维护。3. 1. 12 终端计算机安全子系统security subsystem of terminal computer 终端计算机内

10、安全保护装置的总称，包括硬件、固件、软件和负责执行安全策略的组合体。注1:按照GB17859-1999对TCBC可信计算基)的定义，SSOTCC终端计算机安全子系统)就是终端计算机的TCB。注2:终端计算机安全子系统建立了一个基本的终端计算机安全保护环境，并提供终端计算机所要求的附加用户服务。终端计算机安全子系统应从硬件系统、操作系统、应用系统和系统运行等方面对终端计算机进行安全保护。3. 1. 13 SSOTC安全功能SSOTC security function 正确实施SSOTC安全策略的全部硬件、固件、软件所提供的功能。注:每一个安全策略的实现，组成一个安全功能模块。一个SSOTC的所

11、有安全功能模块共同组成该SSOTC的安全功能。3. 1. 14 SSOTC安全控制范围SSOTC scope of control SSOTC的操作所涉及的主体和客体。3. 1. 15 SSOTC安全策略SSOTC security policy 对SSOTC中的资源进行管理、保护和分配的一组规则。注:一个SSOTC中可以有一个或多个安全策略。3.2 缩略语下列缩略语适用于本文件:BIOS 基本输入输出系统MBR 主引导记录2 (basic input output system) (master boot recorder) SSC SSOTC控制范围SSF SSOTC安全功能SSOTC 终

12、端计算机安全子系统SSP SSOTC安全策略TCM 可信密码模块4 安全技术要求4. 1 第一级4. 1. 1 安全功能要求4.1. 1. 1 硬件系统4.1.1.1.1 设备安全可用CSSOTC scope of control) CSSOTC security function) GB/T 29240-2012 Csecurity subsystem of terminal computer) CSSOTC security policy) C trusted cryptography module) 应按GB/T20271-2006中6.1. 1. 2的要求，从以下方面设计和实现终端计算

13、机的设备安全可用功能za) 基本运行支持z终端计算机的设备应提供基本的运行支持，并有必要的容错和故障恢复能力。4.1. 1. 1.2 设备防盗应按GB/T20271-2006中6.1.1.2的要求，从以下方面设计和实现终端计算机的设备防盗功能zu 设备标记要求z终端计算机的设备应有明显的无法除去的标记，以防更换和方便查找。4.1. 1. 2 操作系统应按GB/T20272一2006中4.1.1的要求，从身份鉴别、自主访问控制两个方面，来设计、实现或选购第一级终端计算机所需要的操作系统。4. 1. 1.3 安全支撑系统4. 1. 1. 3. 1 运行时防护应按GB/T20271-2006中6.1

14、. 2. 5的要求，从以下方面设计和实现终端计算机的运行时防护功能za) 恶意代码防护=一一对文件系统、内存和使用时的外来介质采用特征码扫描，并根据扫描结果采取相应措施，清除或隔离恶意代码。恶意代码特征库应及时更新。4. 1. 1. 3. 2 备份与故障恢复为实现确定的恢复功能，应在终端计算机正常运行时定期地或按某种条件实施备份。应根据以下要求，实现备份与故障恢复功能za) 用户数据备份与恢复z应提供用户有选择地备份重要数据的功能，当由于某种原因引起终端计算机中用户数据丢失或破坏时，应能提供用户数据恢复的功能。4. 1. 2 SSOTC自身安全保护4. 1.2. 1 操作系统的自身安全保护应按

15、GB/T20272-2006中4.1.2的要求，设计和实现操作系统的自身安全保护。3 -GB/T 29240-2012 4. 1. 3 SSOTC设计和实现SSOTC的设计和实现要求如下:a) 配置管理z按GB/T20271-2006中6.1.5. 1的要求，实现终端计算机第一级的配置管理zb)分发和操作:按GB/T20271-2006中6.1. 5. 2的要求，实现终端计算机第一级的分发和操作Fc) 开发:按GB/T20271-2006中6.1.5. 3的要求，实现终端计算机第一级的开发zd) 文档要求z按GB/T20271-2006中6.1.5. 4的要求，实现终端计算机第一级的文档要求F

16、e) 生存周期支持z按GB/T20271-2006中6.1.5. 5的要求，实现终端计算机第一级的生存周期支持sf) 测试E按GB/T20271-2000中6.1.5. 6的要求，实现终端计算机第一级的测试。4. 1. 4 SSOTC管理应按GB/T20271-2006中6.1.6的要求，从以下方面实现终端计算机第一级的SSOTC安全管理:a) 对相应的SSOTC的访问控制、鉴别控制、审计等相关的安全功能，以及与一般的安装、配置和维护有关的功能，制定相应的操作、运行规程和行为规章制度。4.2 第二级4.2. 1 安全功能要求4. 2. 1. 1 硬件系统4.2. 1. 1.1 设备安全可用应按

17、GB/T20271-2006中6.2.1.2的要求，从以下方面设计和实现终端计算机的设备安全可用功能:a) 基本运行支持:终端计算机的设备应提供基本的运行支持，井有必要的容错和故障恢复能力。4. 2. 1. 1. 2 设备防盗应按GB/T20271 2006中6.2.1.2的要求，从以下方面设计和实现终端计算机的设备防盗功能:a) 设备标记要求:终端计算机的设备应有明显的无法除去的标记，以防更换和方便查找;b) 主机实体安全E终端计算机的主机应有机箱封装保护，防止部件损害或被盗。4.2. 1. 2 操作系统应按GB/T20272一2006中4.2.1的要求，从身份鉴别、自主访问控制、安全审计、

18、用户数据保密性、用户数据完整性5个方面，来设计、实现或选购第二级终端计算机所需要的操作系统。4.2. 1.3 安全支撑系统4. 2. 1. 3. 1 密码支持4 应按以下要求，设计与实现第二级终端计算机的密码支持功能za) 密码算法:应使用国家有关主管部门批准的密码算法，密码算法和密码操作应由硬件或受保护的软件支撑实现。b) 密钥管理z应对密码算法操作所涉及的密钥进行全生命周期管理，包括密钥生成、密钥交换、密G/T 29240-2012 钥存取、密钥废除。密钥管理应符合国家密钥管理标准GB/T17901. 1-1999的相关要求。应建立一个可信存储根密钥，所有密钥应受可信存储根保护。可信存储根

19、本身应由硬件密码模块保护。4.2. 1.3.2 运行时防护应按GB/T20271-2006中6.2.2.4和6.2.2.6的要求，从以下方面设计和实现终端计算机的运行时防护功能:a) 恶意代码防护:一对文件系统、内存和使用时的外来介质采用特征码扫描，并根据扫描结果采取相应措施，清除或隔离恶意代码。恶意代码特征库应及时更新。b) 网络攻击防护z终端计算机应采取必要措施监控主机与外部网络的数据通信，确保系统免受外部网络侵害或恶意远程控制e应采取的措施为z-IP包过滤i应能够支持基于源地址、目的地址的访问控制，将不符合预先设定策略的数据包丢弃/4.2. 1. 3. 3 系统身份栋识与鉴别应按以下要求

20、，设计与实现系统身份标识与鉴别功能ta) 系统身份标识:应对终端计算机进行身份标识，确保其身份唯一性和真实性:一一唯一性标识z应通过唯一绑定的硬件密码模块或受保护的软件模块产生的密钥来标识系统身份Fb) 系统身份鉴别:在进行终端计算机身份鉴别时，请求方应提供系统的身份标识，通过一定的认证协议完成身份鉴别过程。4.2. 1. 3. 4 数据保密性保护应按GB/T20271一2006中6.2.3.4的数据保密性要求，从以下方面设计租实现终端计算机的数据保密性功能za) 数据存储保密性z应对存储在终端计算机内的重要用户数据进行保密性保护z一一例如数据加密:应确保加密后的数据由密钥的合法持有者解密，除

21、合法持有密钥者外，其余任何用户不应获得该数据#b) 数据传输保密性z对在不同SSF之间基于网络传输的重要数据，设计和实现数据传输保密性保护功能，确保数据在传输过程中不被泄漏和窃取。4.2. 1. 3. 5 安全审计应按GB/T20271-2006中6.2.2.3的要求，从以下方面设计和实现安全支撑系统的安全审计功能=a) 安全审计功能的设计应与密码支持、系统身份标识与鉴别、数据保密性保护等安全功能的设计紧密结合Fb) 支持审计日志p-一可为以下安全事件产生审计记录z5 -GB/T 29240-2012 绑定于终端计算机的硬件密码模块应该能审计内部运行的可审计事件，能提供给上层应用软件查询审计情

22、况的接口F对于每一个事件，其审计记录应包括z事件的日期和时间、用户、事件类型、事件类别，及其他与审计相关的信息;一一支持审计查阅z提供从审计记录中读取信息的能力，即要求SSF为授权用户提供获得和解释审计信息的能力;一一提供审计事件选择z应根据以下属性选择终端计算机的可审计事件z客体身份、用户身份、主体身份、主机身份、事件类型;作为审计选择性依据的附加属性。4.2. 1.3.6 备份与故障恢复为了实现确定的恢复功能，应在终端计算机正常运行时定期地或按某种条件实施备份。应根据以下要求，实现备份与故障恢复功能:a) 用户数据备份与恢复:应提供用户有选择地备份重要数据的功能，当由于某种原因引起终端计算

23、机中用户数据丢失或破坏时，应能提供用户数据恢复的功能;b) 系统备份与恢复z应提供定期对终端计算机进行定期备份的功能z当由于某种原因引起终端计算机发生故障时，应提供用户按系统备份所保留的信息进行系统恢复的功能。4.2.2 SSOTC自身安全保护4.2.2.1 安全支撑系统的自身安全保护a) 可信存储根安全保护z应按以下要求实现终端计算机的可信存储根z一一可信存储根应设置在硬件密码模块内z一一所采用的硬件密码模块和软件密码模块应符合国家相关密码管理要求sb) 用户使用硬件密码模块前应进行身份鉴别。4.2.2.2 操作系统的自身安全保护应按GB/T20272-2006中4.2.2的要求，设计和实现

24、操作系统的自身安全保护。4.2.3 SSOTC设计和实现SSOTC的设计和实现要求如下:a) 配置管理z应按GB/T20271-2006中6.2.5.1的要求，实现终端计算机第二级的配置管理Fb) 分发和操作:m.按GB/T20271-2006中6.2. 5. 2的要求，实现终端计算机第二级的分发和操作zc) 开发z应按GB/T20271-2006中6.2.5.3的要求，实现终端计算机第二级的开发;d) 文档要求z应按GB/T20271-2006中6.2.5.4的要求，实现终端计算机第二级的文档要求zd 生存周期支持z应按GB/T20271-2006中6.2.5.5的要求，实现终端计算机第二级

25、的生存周期支持Ef) 测试z应按GB/T20271-2006中6.2.5.6的要求，实现终端计算机第二级的测试。4.2.4 SSOTC管理一般应按GB/T20271-2006中6.2.6的要求，从以下方面实现终端计算机第二级的SSOTC安全6 GB/T 29240-2012 管理:a) 对相应的SSOTC的访问控制、鉴别控制、审计等相关的安全功能，以及与一般的安装、配置和维护有关的功能，制定相应的操作、运行规程和行为规章制度;b) 根据本级中安全功能技术要求和安全保证技术要求所涉及的安全属性，设计SSOTC安全属性管理。4.3 第三级4.3. 1 安全功能要求4.3. 1. 1 硬件系统4.3

26、. 1. 1.1 设备安全可用应按GB/T20271-2006中6.3. 1. 2的要求，从以下方面设计和实现终端计算机的设备安全可用功能:a) 基本运行支持:终端计算机的设备应提供基本的运行支持，并有必要的容错和故障恢复能力;b) 基本安全可用z终端计算机的设备应满足基本安全可用的要求，包括主机、外部设备、网络连接部件及其他辅助部件等均应基本安全可用。4. 3. 1. 1. 2 设备防盗应按GB/T20271-2006中6.3. 1. 2的要求，从以下方面设计和实现终端计算机的设备防盗功能:a) 设备标记要求:终端计算机的设备应有明显的元法除去的标记，以防更换和方便查找;b) 主机实体安全:

27、终端计算机的主机应有机箱封装保护，防止部件损害或被盗。4.3. 1. 2 操作系统应按GB/T20272-2006中4.3.1的要求，从身份鉴别、自主访问控制、标记、强制访问控制、安全审计、用户数据保密性、用户数据完整性7个方面，来设计、实现或选购第三级终端计算机所需要的操作系统。4.3. 1.3 安全支撑系统4. 3. 1. 3. 1 啻码支持应按以下要求，设计与实现第三级终端计算机密码支持功能。a) 密码算法:应使用国家密码管理部门批准的密码算法，并应采用密码硬件实现密码算法。b) 密码操作z应按照密码算法要求实现密码操作，并至少支持如下操作:密钥生成操作、数据加密和解密操作、数字签名生成

28、和验证操作、数据完整性度量生成和验证操作、消息认证码生成与验证操作、随机数生成操作。其中密钥生成、数字签名与验证等关键密码操作应基于密码硬件支持。c) 密钥管理:应对密码操作所使用的密钥进行全生命周期管理，包括密钥生成、密钥交换、密钥存取、密钥废除。密钥管理应符合国家密钥管理标准GB/T17901. 1-1999的相关要求。应建立一个可信存储根密钥，所有密钥应受可信存储根保护，可信存储根本身应由可信密码模块保护。4.3. 1. 3. 2 运行时防护应按GB/T20271-2006中6.3.2.5和6.3.2.7的要求，从以下方面设计和实现第三级终端计算-GB/T 29240-2012 机的运行

29、时防护功能:a) 恶意代码防护:特征码扫描:对文件系统、内存和使用时的外来介质采用特征码扫描，并根据扫描结果采取相应措施，清除或隔离恶意代码。恶意代码特征库应及时更新。b) 网络攻击防护:终端计算机应采取必要措施监控主机与外部网络的数据通信，确保系统免受外部网络侵害或恶意远程控制。应采取的措施包括:一一IP包过滤:应能够支持基于源地址、目的地址的访问控制，将不符合预先设定策略的数据包丢弃;应用程序监控:应能够设置应用程序对网络的访问控制规则。4.3. 1. 3. 3 系统安全性检测分析应按GB/T20271-2006中6.3.2.2的要求，设计和实现终端计算机第三级的系统安全性检测分析功能:a

30、) 操作系统安全性检测分析:应从终端计算机操作系统的角度，以管理员身份评估文件许可、文件宿主、网络服务设置、账户设置、程序真实性以及一般的与用户相关的安全点、入侵迹象等，从而检测和分析操作系统的安全性，发现存在的安全隐患，并提出补救措施;b) 硬件系统安全性检测分析:应对支持终端计算机运行的髓件系统进行安全性检测，通过扫描硬件系统中与系统运行和数据保护有关的特主安全脆弱性，分析其存在的缺陷和漏洞，提出补救措施q4.3. 1. 3. 4 系统身份标识与鉴别a) 系统身份标识:应对终端计算机进行身份标识，确保其身份唯一性和真实性:一一唯一性标识:应通过唯一绑定的可信密码模块产生的密钥来标识系统身份

31、，该身份密钥即为可信报告根。一一标识可信性:身份标识可信性应通过国家批准的权威机构颁友证书来实现9一一隐秘性:需要时应使系统身份标识在某些特定条件下具有不可关联性。可以基于第三方权威机构颁发特定证书实现系统身份标识的隐秘性。一一标识信息管理:应对终端计算机身份标识信息进行管理、维护，确保其不被非授权地访问、修改或删除。b) 系统身份鉴别z在进行终端计算机身份鉴别时，请求方应提供系统的身份证书和/或证书信任链验证路径，并通过一定的认证协议完成身份鉴别过程。4.3. 1. 3. 5 数据保密性保护应按GB/T20271-2006中6.3.3.8的数据保密性要求，从以下方面设计和实现终端计算机的数据

32、保密性功能:8 a) 数据存储保密性:应对存储在终端计算机内的重要用户数据进行保密性保护:例如数据加密t应确保加密后的数据由密钥的合法持有者解密，除合法持有密钥者外，其余任何用户不应获得该数据。一一数据绑定:如果基于可信存储根实现对数据的保密存储，应确保数据由密钥的合法持有者在特定终端计算机中解密。. GB/T 29240-2012 b) 数据传输保密性:对在不同SSF之间基于网络传输的重要数据，设计和实现数据传输保密性保护功能，确保数据在传输过程中不被泄漏和窃取。4.3. 1.3.6 安全审计应按GB/T20271-2006中6.3. 2. 4的要求，从以下方面设计和实现安全支撑系统的安全审

33、计功能:a) 安全审计功能的设计应与密码支持、系统身份标识与鉴别、数据保密性保护等安全功能的设计紧密结合;b) 支持审计日志;一一可为以下安全事件产生审计记录:内置于终端计算机的可信密码模块应该能审计内部命令运行情况、维护事件、用户密钥的创建、使用与删除事件或其他专门的可审计事件，能提供给上层应用软件查询审计情况的接口，并存储审计记录F对于每一个事件，其审计记录应包括:事件的日期和时间、用户、事件类型、事件类别，及其他与审计相关的信息;一一支持潜在侵害分析雪应能用一系列规则去监控审计事件，并根据这些规则指出SSP的潜在侵害s-支持审计查阅z提供从审计记录中读取信息的能力，即要求臼F为授权用户提

34、供获得和解释审计信息的能力;受控审计查阅z审计查阅工具应只允许授权用户读取审计信息，并根据某种逻辑关系提供对审计数据进行搜索、分类、排序的能力;一一提供审计事件选择z应根据以下属性选择终端计算机的可审计事件:客体身份、用户身份、主体身份、主机身份、事件类型:作为审计选择性依据的附加属性pc) 能够生戚、维护及保护审计过程，使其免遭修改、非法访问及破坏，特别要保护审计数据，要严格限制未经授权的用户访问。4.3. 1.3.7 备份与故障修复为实现确定的恢复功能，应在终端计算机正常运行时定期地或按某种条件实施备份。应根据以下要求，实现备份与故障恢复功能:a) 用户数据备份与恢复:应提供用户有选择地备

35、份重要数据的功能，当由于某种原因引起终端计算机中用户数据丢失或破坏时，应能提供用户数据恢复的功能;b) 系统备份与恢复:应提供定期对终端计算机的运行现场进行备份的功能;当由于某种原因引起终端计算机发生故障时，应提供用户按系统备份所保留的现场信息进行系统恢复的功能Fc) 备份保护措施z数据在备份、存储和恢复过程中应有安全保护措施，并应设置不被用户操作系统管理的系统来实现系统数据的备份与恢复功能，系统备份数据是用户操作系统不可访问的。4. 3. 1. 3. 8 1/0接口配置应配置终端计算机的USB、网卡、硬盘等各类1/0接口和设备的启用/禁用等状态，并按以下要求，设计和实现终端计算机的1/0接口

36、配置功能za) 用户自主配置t应支持用户基于BIOS和操作系统提供的功能自主配置各类接口的状态。4.3.2 SSOTC自身安全保护4.3.2.1 安全支撑系统的自身安全保护a) 可信存储根安全保护z应按以下要求实现终端计算机的可信存储根z9 -GB/T 29240-2012 一一可信存储根应设置在可信密码模块内s一一可信密码模块应符合国家密码管理部门的相关规范和管理要求pb) 可信报告根安全保护z应按以下要求实现终端计算机的可信报告根z一一可信报告根应设置在可信密码模块内;一一可信报告根对应的公钥证书应由国家批准的权威机构发行和管理Fc) 用户使用可信密码模块之前需进行身份鉴别。4.3.2.2

37、 操作系统的自身安全保护应按GB/T202722006中4.3.2的要求，设计和实现操作系统的自身安全保护。4.3.3 SSOTC 设计和实现SSOTC的设计和实现要求如下:a) 配置管理z应按GB/T20271-2006中6.3.5.1的要求，实现终端计算机第三级的配置管理Fb) 分发和操作z应按GB/T20271-2006中6.3. 5. 2的要求，实现终端计算机第三级的分发和操作Fc) 开发:应按GB/T20271-2006中6.3.5.3的要求，实现终端计算机第三级的开发zd) 文档要求z应按GB/T20271-2006中6.3.5.4的要求，实现终端计算机第三级的文档要求Fe) 生存

38、周期支持z应按GB/T20271-2006中6.3.5.5条的要求，实现终端计算机第三级的生存周期支持FD 测试z应按GB/T20271-2006中6.3.5.6的要求，实现终端计算机第三级的测试Fg) 脆弱性评定z应按GB/T20271一2006中6.3.5.7的要求，实现第三级的脆弱性评定。4.3.4 SSOTC管理一般应按GB/T20271 2006中6.3.6的要求，从以下方面实现终端计算机第三级的SSOTC安全管理:a) 对相应的SSOTC的访问控制、鉴别控制、审计等相关的安全功能，以及与一般的安装、配置和维护有关的功能，制定相应的操作、运行规程和行为规章制度;b) 根据本级中安全功

39、能技术要求和安全保证技术要求所涉及的安全属性，设计SSOTC安全属性管理;c) 根据本级中安全功能技术要求和安全保证技术要求所涉及的安全数据，设计SSOTC安全数据管理zd) 应将系统管理员、安全员和审计员等重要安全角色分别设置专人担任，并按职能分离原则分别授予他们各自为完成自身任务所需的权限，并形成相互制约的关系。4.4 第四级4.4.1 安全功能要求4.4. 1. 1 硬件系统4.4.1. 1. 1 设备安全可用应按GB/T20271二2006中6.4.1.2的要求，从以下方面设计和实现终端计算机的设备安全可用功能:a) 基本运行支持:终端计算机的设备应提供基本的运行支持，并有必要的容错和

40、故障恢复能力;10 GB/T 29240-2012 b) 设备安全可用:终端计算机的设备应满足安全可用的要求，包括主机、外部设备、网络连接部件及其他辅助部件等均应安全可用。4.4. 1. 1. 2 设备防盗应按GB/T20271-2006中6.4.1.2的要求，从以下方面设计和实现终端计算机的设备防盗功能zu 设备标记要求:终端计算机的设备应有明显的元法除去的标记，以防更换和方便查找;b) 主机实体安全:终端计算机的主机应有机箱封装保护，防止部件损害或被盗;c) 设备防盗要求:终端计算机的设备应提供拥有者可控的防盗报警功能。4.4.1.2 操作系统应按GB/T20272-2006中4.4.1的

41、要求，从身份鉴别、自主访问控制、标记、强制访问控制、安全审计、用户数据保密性、用户数据完整性、可信路径8个方面，来设计、实现或选购第四级终端计算机所需要的操作系统。4.4.1.3 安全支撑系统4. 4. 1. 3. 1 密码支持应按以下要求，设计与实现第四级终端计算机密码支持功能:a) 密码算法:应使用国家密码管理部门批准的密码算法，并应采用密码硬件实现密码算法;b) 密码操作:应按照密码算法要求实现密码操作，并至少支持如下操作:密钥生成操作、数据加密和解密操作、数字签名生成和验证操作、数据完整性度量生成和验证操作、消息认证码生成与验证操作、随机数生成操作。其中密钥生成、数字签名生成和验证等关

42、键密码操作应基于可信密码模块或其他硬件密码模块支持;c) 密钥管理:应对密码操作所使用的密钥进行全生命周期管理，包括密钥生成、密钥交换、密钥存取、密钥废除。密钥管理应符合国家密钥管理标准GB/T17901. 1-1999的相关要求。应建立一个可信存储根密钥，所有密钥应受可信存储根保护，可信存储根本身应由可信密码模块保护。4.4. 1. 3. 2 信任链应通过在终端计算机启动过程中提供的信任链支持，确保终端计算机的运行处于真实可信状态。并按以下要求，设计和实现终端计算机第四级的信任链功能za) 静态信任链建立z基于可信密码模块，利用终端计算机上的可信度量根，在系统启动过程中对BIOS、MBR、O

43、S部件模块进行完整性度量，度量值应存储于可信密码模块中。每个部件模块在加载前应确保其真实性和完整性。b) 静态信任链中操作系统的完整性度量基准接受国家主管机构管理，支持离线校验s完整性度量基准应存储在受可信存储根保护的区域中，若度量值与完整性度量基准不一致，应停止操作系统启动。c) 信任链模块修复:支持在被授权的情况下，对信任链建立过程中出现的不可信模块进行实时修复。4.4. 1. 3. 3 运行时防护应按GB/T20271-2006中6.4.2.5和6.4.2.7的要求，从以下方面设计和实现第四级终端计算机的运行时防护功能:11 -GB/T 29240-2012 a) 恶意代码防护:一一特征

44、码扫描:对文件系统、内存和使用时的外来介质采用特征码扫描，并根据扫描结果采取相应措施，清除或隔离恶意代码。恶意代码特征库应及时更新。一一基于CPU的数据执行保护z防止缓冲区溢出，阻止从受保护的内存位置执行恶意代码。一一进程隔离z采用进程逻辑隔离或物理隔离的方法，保护进程免受恶意代码破坏。b) 网络攻击防护:终端计算机应采取必要措施监控主机与外部网络的数据通信，确保系统免受外部网络侵害或恶意远程控制。应采取的措施包括:IP包过滤:应能够支持基于源地址、目的地址的访问控制，将不符合预先设定策略的数据包丢弃;一一内容过滤z应能对网页内容进行基于关键字匹配的过滤z一一应用程序监控:应能够设置应用程序对

45、网络的访问控制规则;一一实现注册表监控、文件监控、事件监测、实时流量分析、实时阻断的入侵检测功能;c) 网络接人控制z终端计算机应能对所接人网络进行可信度评价(包含以下方面z网络提供者是否可信、网络状态和接人条件是否符合设定策略、网络提供的服务是否符合需求，等)，并根据不同可信度评价等级采取不同的安全接人策略。4.4. 1. 3. 4 系统安全性检测分析应按GB/T20271-2006中6.4.2.2的要求，设计和实现终端计算机第四级的系统安全性检测分析功能:a) 操作系统安全性检测分析:应从终端计算机操作系统的角度，以管理员身份评估文件许可、文件宿主、网络服务设置、账户设置、程序真实性以且一

46、般的与用户柑关的安全点、入侵迹象等，从而检测和分析操作系统的安全性，发现存在的安全隐患，并提出补救措施;b) 硬件系统安全性检测分析:应对支持终端计算机运行的硬件系统进行安全性检测，通过扫描硬件系统中与系统运行和数据保护有关的特定安全脆弱性，分析其存在的缺陷和漏洞，提出补救措施;c) 应用程序安全性检测分新t应对运行在终端计算机中的应用程序进行安全性检测分析，通过扫描应用软件中与鉴别、授权、访问控制和系统完整性有关的特定的安全脆弱性，分析其存在的缺陷和漏洞，提出补救措施Fd) 电磁泄漏发射检测分析z应对运行中的终端计算机环境进行电磁泄漏发射检测，采用专门的检测设备，检查系统运行过程中由于电磁干

47、扰和电磁辐射对终端计算机的安全性所造成的威胁，并提出补救措施。4.4. 1. 3. 5 信任服务终端计算机建立静态信任链后，可以在对完整性度量值由可信报告根进行数字签名后，对系统用户或系统外部实体实现信任报告。应根据以下要求，设计与实现终端计算机的第四级信任服务功能za) 应在可信密码模块中专门设置受保护区域存储所有静态信任链的完整性度量值，应通过适当组合各模块的度量值，作为系统信任报告或系统特征绑定的依据，所有度量值存取访问应受权限控制;b) 必要时应向国家主管机构报告操作系统和关键应用程序完整性度量值。4.4. 1. 3. 6 系统身份标识与鉴别a) 系统身份标识:-一G/T 29240-2012 应对终端计算机进行身份标识，确保其身份唯一性和真实性:一一唯一性标识:应通过唯一绑定的可信密码模块产生的密钥来标识系统身份，该身份密钥即为终端计算机的可信报告根。一一标识可信性:身份标识可信性应通过权威机构颁发证书来实现。一一隐秘性:需要时应使系统身份标识在某些特定条件下具有不可关联性。可以基于第三方权威机构颁发特定证书实现系统身份标识的隐秘性。一一标识信息管理:应对终端计算机身份标识信息进行管理、维护，确保其不被非授权地访问、修改或删除。b) 系统身份鉴别:在进行终端计算机身份鉴别时，请求方应