GA T 755-2008 电子数据存储介质写保护设备要求及检测方法.pdf

1、ICS 35.220.20 A 90 中华人民共和国公共安全行业标准GA/T 755-2008 电子数据存储介质写保护设备要求及检测方法The requirements and test method of write-blocker for electronic data storage 2008-03-24发布2008-03-24实施中华人民共和国公安部发布目。吕本标准由公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:公安部公共信息网络安全监察局、福建厦门美亚柏科公司。本标准主要起草人:张雪峰、许剑卓、王磊、徐云峰、刘晓宁。GA/T 755

2、-2008 I GA/T 755-2008 电子数据存储介质写保护设备要求及检测方法1 范围本标准规定了电子数据存储介质写保护设备的检测方法。本标准适用于检测ATA、SCSI、USB和Fircwire接口的电子数据存储介质写保护设备。2 规范性引用文件F列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注H期的引用文件，其最新版本适用于本标准。GA/T 754-2008 电子数据存储介质复制工具要求及检测方法3 术语和定义下列术语和定义

3、适用于本标准。3.1 电子数据存储介质eledronic data storage 能写入数据，保留数据和重新读出数据的数据存储设备。3.2 写保护设备write-blocker 将电子数据存储介质接入到计算机上，并保证计算机无法修改电子数据存储介质存储的数据的硬件设备。3.3 被保护存储介质proteded data storage 通过写保护设备接入到其他设备上的电子数据存储介质。3.4 用户数据存储区user data storage area 电子数据存储介质中存储用户写人的数据的存储区域。注:比如硬盘的盘片。3.5 设备参数存储区device parameter storage ar

4、ea 电子数据存储介质中用户数据存储区之外，用于存储硬件配置参数和设备状态信息等非用户写人的数据的存储区域。3.6 注:比如硬盘驱动电路中保存硬盘设备信息的芯片。关键配置参数significant parameter data 设备参数存储区中存储的，对于确定数据存储位置和访问数据有影响的信息。注:比如硬盘扇区总数对确定数据存储位置具有影响，则属于关键配置参数。GA/T 755-2008 3. 7 指令command 向电子数据存储介质发出的，请求电子数据存储介质执行特定操作的指令。所有操作指令都属于读用户数据指令、读设备配置参数指令、修改指令、其他指令中的一种。注:对于ATA接口，存储空间大

5、于138GB的电子数据存储介质使用48比特的扇区地址，存储空间小于138GB的电子数据存储介质使用28比特的扇区地址，并使用不同的指令。3.7. 1 读用户数据指令user data read command 用于读取用户数据存储区中的数据的指令。3.7.2 读设备配置参数指令device parameter read command 用于读取设备配置参数存储区中的数据的指令。3.7.3 修改指令modify command 包括:a) 修改用户数据存储区的数据的指令zb) 修改设备配置参数存储区中可配置参数的指令;c) 可能导致用户数据存储区的数据或设备配置参数存储区中可配置参数被修改的指令

6、;d) 在接口中未描述的指令。3.7.4 其他指令other command 不属于读用户数据指令、读设备配置参数指令、修改指令的其他任意指令。3.8 接口interface 向电子数据存储介质发送指令和返回结果的技术规范。3.9 指令生成器command generator 能生成指令、发送指令，并记录电子数据存储介质返回结果的软件或硬件。3.10 协议分析器protocol analyzer 在数据传输总线上监测总线上传输的指令的设备。4 要求4. 1 修改指令要求写保护设备在任何情况下不应向被保护存储介质发送任何修改指令。4.2 读用户数据指令要求如果计算机向被保护存储介质发送读用户数据

7、指令，写保护设备应正确返回计算机所请求的数据。4.3 读设备配置参数指令要求如果计算机向被保护存储介质发送读配置参数指令，且读取过程未发生错误，如果返回的数据中包含关键配置参数，写保护设备返回计算机的关键配置参数应与电子数据存储介质返回写保护设备的关键配置参数保持一致。4.4 错误处理要求如果计算机向被保护存储介质发送指令时被保护存储介质返回错误报告信息，且发生的错误无法2 通过重发指令等方法解决的，写保护设备应向计算机返回错误报告信息。5 检测方法5. 1 检测工具a) 指令生成器;b) 协议分析器;c) 符合GA/T754 -2008要求的电子数据存储介质复制软件;d) 计算机。GA/T

8、755-2008 注:电子数据存储介质复制软件应在使用写保护设备的情况下进行数据复制，因此可不符合GA/T754 2008中第4章规定的写保护要求。5.2 修改指令要求的检测方法5.2. 1 复制写入检测法5. 2. 1. 1 环境准备a) 准备两个电子数据存储介质，一个存储空间大于138GB，另一个存储空间小于138GB，分别记为源存储介质八和源存储介质B;b) 准备两个与源存储介质A和源存储介质B型号相同、存储空间大小相同的存储介质，分别记为目标存储介质A和目标存储介质B;c) 对惊存储介质分区，使源存储介质上至少有-有效分区，源存储介质上可存储任意数据，但其数据不能全为0;d) 擦除目标

9、存储介质存储的数据，使其存储的数据均为0;e) 将两个目标存储介质分别通过写保护设备接入到计算机上;。对于具备协议分析器的，在写保护设备和目标存储介质之间接入协议分析器。5.2. 1. 2 发出指令a) 使用电子数据存储介质复制软件将源存储介质A存储的数据复制到目标存储介质A上;b) 使用电子数据存储介质复制软件将源存储介质B存储的数据复制到目标存储介质B上;c) 使用电子数据存储介质复制软件将源存储介质A的分区复制到目标存储介质A上;d) 使用电子数据存储介质复制软件将源存储介质B的分区复制到目标存储介质B上。5.2. 1. 3 结果判定a) 检查目标存储介质存储的数据是否都为0;b) 如果

10、目标存储介质存储的数据都为0，且协议分析器未截获修改指令，则判定符合修改指令要求，否则判定不符合修改指令要求。5.2.2 文件系统操作检测法5.2.2. 1 环境准备a) 准备两个电子数据存储介质，一个存储空间大于138GB，另一个存储空间小于138GB，分别记为目标存储介质A和目标存储介质B;b) 擦除目标存储介质存储的数据，使其存储的数据均为0;c) 在目标存储介质A上创建两个分区，第一个分区大于138GB，将第二个分区作为目标分区;d) 在目标存储介质Bt创建一个分区，将该分区作为目标分区;e) 在目标分区上创建三个日录，分别为日录1、日录2、目录3，在目录2下创建两个文件，分别为文件1

11、、文件2，文件包含的内容可为任意内容;f) 计算目标存储介质存储的所有数据的MD5校验值;g) 将目标存储介质分别通过写保护设备接入到计算机上;h) 对于具备协议分析器的，在写保护设备和目标再储介质之间接人协议分析器。3 GA/T 755-2008 5.2.2.2 发出指令a) 尝试在目录1下创建一个文件;b) 尝试删除目录2下的文件fzd 尝试删除目录3;d) 尝试创建新的目录目录4;e) 尝试将目录2下的文件文件2复制到目录4下(如果创建新目录目录4不成功，则无需执行本步骤)。5.2.2.3 结果判定a) 计算目标存储介质存储的所有数据的MD5校验值;b) 与发出指令前计算获得的MD5校验

12、值比较，如果MD5校验值相同，且协议分析器未截获修改指令，则判定符合修改指令要求，否则判定不符合修改指令要求。5.2.3 重启栓测法5.2.3.1 环境准备a) 准备两个电子数据存储介质，一个存储空间大于138GB.另一个存储空间小于138GB.分别记为目标存储介质A和目标存储介质B.存储介质上可存储任意数据;b) 计算目标存储介质存储的所有数据的MD5校验值;c) 将目标存储介质通过写保护设备接入到计算机上;d) 对于具备褂议分析器的，在写保护设备和目标存储介质之间接入协议分析器。5.2.3.2 发出指令a) 启动计算机;b) 分别向目标存储介质安装操作系统(可选择WINDOWS操作系统或L

13、lNUX操作系统); c) 启动目标存储介质上的操作系统;d) 关闭计算机。5.2.3.3 结果判定a) 计算目标存储介质存储的所有数据的MD5校验值;b) 与发出指令前计算获得的MD5校验值比较，如果MD5校验值相同，且协议分析器未截获修改指令，则判定符合修改指令要求，否则判定不符合修改指令要求。5.2.4 修改指令监测法5.2.4.1 环境准备a) 准备两个电子数据存储介质，一个存储空间大于138GB.另一个存储空间小于138GB.分别记为目标存储介质A和目标存储介质B.存储介质上可存储任意数据;b) 将目标存储介质通过写保护设备接入到计算机上;c) 在写保护设备和目标存储介质之间接人协议

14、分析器。5.2.4.2 发出指令使用指令生成器向目标存储介质发出接口规定的所有修改指令。5.2.4.3 结果判定检查协议分析器是否截获修改指令，如果未截获修改指令，则判定符合修改指令要求，否则判定不符合修改指令要求。5.2.5 检测方法优选顺序4 a) 对于具备指令生成器和协议分析器的，应优先选择修改指令监测法;b) 对于不具备指令生成器和协议分析器的，应同时选择复制写入检测法和文件系统操作检测法;c) 对于写保护设备支持接人写保护设备后启动被保护存储介质上的操作系统的，除按5.2. 5 a) GA/T 755-2008 和5.2. 5 b)的规定选择修改指令监测法、复制写入检测法和文件系统操

15、作检测法之外，还应选择重启检测法。5.3 读用户数据指令要求和读设备配置参数指令要求的检测方法5.3.1 复制读出检测法5.3. 1. 1 环境准备a) 准备两个电子数据存储介质，一个存储空间大于138GB，另个存储空间小于138GB，分别记为源存储介质A和源存储介质B;b) 准备两个与掠存储介质A和i1ffi存储介质B型号相同、存储空间大小相同的存储介质，分别记为目标存储介质A和目标存储介质B;c) 对源存储介质分区，使该源存储介质上至少有一有效分区，源存储介质上可存储任意数据，但其数据不能全为0;d) 计算源存储介质存储的所有数据的MD5校验值;e) 如果能通过DOS操作系统复制源存储介质

16、的数据，将掠存储介质通过写保护设备接入到安装有DOS操作系统的计算机上。否则将游、存储介质通过写保护设备分别接人到安装有WINDOWS操作系统和LINUX操作系统的计算机L5.3. 1. 2 发出指令a) 如果能通过DOS操作系统复制源存储介质的数据，使用电子数据存储介质复制软件通过囚一OS接口将源存储介质存储的数据复制到目标存储介质上;b) 如果不能通过DOS操作系统复制源存储介质的数据，在WINDOWS操作系统上使用电子数据存储介质复制软件将掘存储介质A上存储的数据复制到目标存储介质A上，在LlNUX操作系统上使用电子数据存储介质复制软件将源存储介质B上存储的数据复制到目标存储介质B上。5

17、.3.1.3 结果判定a) 计算目标存储介质存储的所有数据的MD5校验值;b) 与源存储介质存储的所有数据的MD5校验值比较，如果MD5校验值相同，则判定写保护设备符合读用户数据指令要求和读配置参数指令要求，否则判定写保护设备不符合读用户数据指令要求和读配置参数指令要求。5.3.2 读指令监测法5.3.2. 1 环境准备a) 准备两个电子数据存储介质，-个存储空间大于138GB，另一个存储空间小于138GB，分别记为源存储介质A和掠存储介质B;b) 在源存储介质A上创建两个分区，第一个分区大于138GB，将第二个分区作为目标分区;c) 在源存储介质B上创建一个分区，将该分区作为目标分区;d)

18、摞存储介质上可存储任意数据，但其数据不能全为0;e) 将掠存储介质通过写保护设备接入到计算机上;f) 在写保护设备和游、存储介质之间接入协议分析器。5.3.2.2 发出指令a) 使用指令生成器向源存储介质发出接口规定的所有读用户数据指令和读设备配置参数指令;b) 发出的读用户数据指令应请求读取目标分区上存储的数据。5.3.2.3 结果判定a) 比较协议分析器上截获的读用户数据指令和指令生成器收到的数据，如果存储介质返回写保护设备的数据和指令生成器收到的数据一致，则判定符合读用户数据指令要求，否则判定不符合读用户数据指令要求;5 GA/T 755-2008 b) 比较协议分析器上截获的读设备配置

19、参数指令和指令生成器收到的数据，如果存储介质返回写保护设备的数据中包含关键配置参数，且该关键配置参数和指令生成器收到的关键配置参数一致，则判定符合读设备配置参数指令要求，否则判定不符合读设备配置参数指令要求。5.3.3 检测方法优选顺序对于具备指令生成器和协议分析器的，应优先选择读指令监测法，否则选择复制读出检测法。5.4 错误处理要求检测方法5.4. 1 环境准备a) 准备一个存在损坏扇区的电子数据存储介质;b) 将存储介质通过写保护设备接入到计算机上。5.4.2 发出指令a) 使用指令生成器向存储介质发出读取损坏扇区的读用户数据指令;b) 使用指令生成器向存储介质发出读取超过存储介质存储空

20、间大小的数据区域的读用户数据指令。5.4.3 结果判定检查指令生成器收到的结果，如果每个指令返回的结果中都包含有错误报告信息，则判定写保护设备符合错误处理要求，否则判定不符合错误处理要求。5.5 检测记录检测记录应包括=a) 写保护设备的厂商、型号;b) 按5.2. 5和5.3.3的规定选择的测试方法;c) 判定结果。6 GAjT 755-2008 参考文献RFC 1321 The MD5 Message-Digest Algorithm OON|的mhH司。中华人民共和国公共安全行业标准电子数据存储介质写保护设备要求及检测方法GA/T 7552008 ，吃中国标准出版社出版北京复兴门外三里河北街16号邮政编码:100045 网址电话:6852394668517548 中国标准出版社秦皇岛印刷厂印刷晤印张O.75 字数14千字2008年5月第一次印刷开本880X12301/16 2008年5月第一版* 定价14.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68533533书号:155066 2-18788 GA/T 755-2008