【GA公共安全标准】 信息安全技术主机信息泄露防护产品安全技术要求

ICS35.240
中华人民共和国公共安全行业标准GA/T912—2010
信息安全技术
主机信息泄露防护产品安全技术要求InformationsecuritytechnologySecurity technology requirements for host information leak prevention products2010-10-30发布
中华人民共和国公安部
2010-11-01实施
规范性引用文件
术语和定义
安全功能要求
自身安全功能要求
安全保证要求
主机信息泄露防护功能要求的等级划分目
GA/T912—2010
本标准按照GB/T1.1—2009给出的规则起草。本标准由公安部网络安全保卫局提出。言
本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心。本标准主要起草人：吴其聪、张笑笑、邹春明、俞优、赵婷、顾健。GA/T912—2010
1范围
信息安全技术
主机信息泄露防护产品安全技术要求GA/T912—2010
本标准规定了主机信息泄露防护产品的安全功能要求、自身安全功能要求、安全保证要求以及等级划分要求。
本标准适用于主机信息泄露防护产品的设计、开发及检测。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T5271.8—2001信息技术词汇第8部分：安全GB17859—1999计算机信息系统安全保护等级划分准则GB/T18336.3一2008信息技术安全技术信息技术安全性评估准则第3部分：安全保证要求
3术语和定义
GB/T5271.8—2001,GB17859--1999和GB/T18336.3—2008界定的以及下列术语和定义适用于本文件。
主机信息泄露防护产品hostinformationleakpreventionproduct对主机信息的泄露输出途径（包括存储介质方式、接口方式、网络通讯方式、打印输出方式）进行监控，通过访问控制和审计等技术手段，防止敏感信息被泄露的产品。3.2
用户user
在主机信息泄露防护产品的安全策略布控之下，能够接触敏感信息的人，并且此人不具有能影响产品安全策略执行的权限。
主机：host
受主机信息泄露防护产品安全策略制约的机器。3.4
安全策略securitypolicy
有关管理、保护和传播敏感信息的规定和实施细则。3.5
敏感信息sensitive information涉及重要的数据业务、技术专利等需要受保护的信息。GA/T912—2010
输出保护outputprotection
通过设置关键字对输出内容进行过滤，从而限制输出内容，保护敏感信息。3.7
authorizedadministrator
授权管理员
具有主机信息泄露防护产品管理权限的人，负责对产品的系统配置、安全策略以及审计日志等进行管理。
4安全功能要求
4.1存储介质方式泄露防护
4.1.1光盘泄露防护
应能够对用户访问光盘的以下行为进行监控：正常读写；
b）禁用；
c）只读；
d）输出保护。
4.1.2软盘泄露防护
应能够对用户访问软盘的以下行为进行监控：a）正常读写；
b）禁用；
c）只读；
d）输出保护。
4.1.3其他移动存储介质泄露防护应能够对用户访问主机其他移动存储介质（如：U盘、移动硬盘、闪存等）的以下行为进行监控：a）正常读写；
b）禁用；
c）只读；
d）输出保护。
4.2接口方式泄露防护
串口泄露防护
应能够对主机的串口进行监控，实现对串口的开启和禁用。4.2.2并口泄露防护
应能够对主机的并口进行监控，实现对并口的开启和禁用。4.2.3IEEE1394口泄露防护
应能够对主机的IEEE1394口进行监控，实现对IEEE1394口的开启和禁用。2
4.2.4USB口泄露防护
GA/T912-2010
应能够对主机的USB口（除USB键盘、鼠标外）进行监控，实现对USB口的开启和禁用。4.2.5红外/蓝牙等无线接口泄露防护应能够对主机的红外/蓝牙等无线接口进行监控，实现对该接口的开启和禁用。4.2.6PCMCIA接口泄露防护
应能够对主机的PCMCIA接口进行监控，实现对PCMCIA接口的开启和禁用。4.2.7PCI接口泄露防护
应能够对主机的PCI接口进行监控，实现对PCI接口的开启和禁用。4.2.8SCSI、IDE、SATA等接口泄露防护应能够对主机的SCSI、IDE、SATA等接口进行监控，实现对该接口的开启和禁用。4.3网络通讯方式泄露防护
4.3.1IP地址、TCP端口和UDP端口泄露防护应能够根据主机所要访问的IP地址、TCP端口和UDP端口进行监控，实现基于所要访问的IP地址、TCP端口和UDP端口的拒绝和允许访问控制策略。4.3.2FTP泄露防护
应能够对主机发起的FTP访问进行监控，实现基于FTP的以下访向方式：a）正常访问；
b）禁止上传；
c）输出保护。
4.3.3HTTP泄露防护
应能够对主机发起的HTTP访问进行监控，实现基于HTTP的以下访问方式：a）正常访间；
b）禁止上传；
c）输出保护。
SMTP泄露防护
应能够对主机发起的SMTP访问进行监控，实现基于SMTP的以下访问方式：a）正常访问；
b）禁止访问；
c）禁止附件；
d）输出保护。
TELNET泄露防护
应能够对主机发起的TELNET访问进行监控，实现基于TELNET的以下不同访问方式：a）正常访问；
GA/T912—2010
b）禁止访问；
输出保护。
4.3.6即时聊天泄露防护
应能够对主机中使用的即时聊天工具（如：MSN、QQ等）进行监控，实现以下不同使用方式：a）正常使用；
b）禁止使用；
禁止发送文件；
输出保护。
4.3.7文件共享泄露防护
应能够开启和禁止文件共享。
4.4打印输出方式泄露防护
应能够实现开启和禁止对打印机(包括本地、网络)的使用。4.5支持默认禁止原则
产品的安全策略应使用最小安全原则，即除非明确允许，否则就禁止。5自身安全功能要求
5.1组件安全
自身保护功能
产品应能对主机上的代理程序提供一定的保护措施：防止非授权用户强行终止代理的运行；a)
防止非授权用户强制取消代理在系统启动时自动加载；b)
防止非授权用户强行卸载、删除或修改代理。c
防止非授权监控
应采取措施保证主机只接受授权管理控制台的监控。5.1.3远程保密传输
若组件间通过网络通讯，应对各组件之间传输的所有信息采取保密措施。5.1.4集中分组管理
产品应能对主机进行以下管理：a）对主机进行集中统一管理，应提供安全策略的集中定制，并分发应用到相应的主机上；b）应对主机进行分组管理。
5.1.5审计数据续传
当主机和管理控制台连接意外断开时，应确保主机该时段内所产生的审计数据和报警信息不丢失，在连接恢复后，再传输到控制台。4
5.2安全管理
5.2.1标识与鉴别
5.2.1.1唯一性标识
GA/T912—2010
应为授权管理员提供唯一的身份标识，同时将授权管理员的身份标识与该授权管理员的所有可审计事件相关联。
5.2.1.2身份鉴别
应在执行任何与安全功能相关的操作之前，鉴别任何声称要履行授权管理员职责的管理员身份。5.2.1.3鉴别数据保护
应保证鉴别数据不被未授权查阅和修改。5.2.1.4鉴别失败处理
当对管理员鉴别失败的次数达到指定次数后，产品应按以下程序处理：a）终止会话；
锁定用户帐户或远程登录主机的地址。b)
安全管理功能
产品应允许授权管理员进行以下管理：a）对安全属性进行查看；
对安全属性进行修改；
启动、关闭全部或部分监控功能；c
定制和修改各种安全策略。
区分安全管理角色
产品应能对管理员角色进行区分：a）具有至少两种不同权限的管理员角色；b）根据不同的功能模块，定义各种不同权限角色。5.2.4
远程管理
如果产品提供远程管理功能，则需要保证远程管理安全：a）应能对远程管理信息进行保密传输；b）应能对远程管理的地址进行限制。5.3审计功能
审计日志生成
产品应至少能对以下事件进行审计：代理的启动和关闭；
管理员鉴别成功和失败；
）-鉴别尝试不成功的次数超出了设定的限制导致会话连接终止；d）安全策略中对预定义信息的过滤和拦截；5
GA/T912—2010
管理员的重要操作，如增加、删除管理员，修改安全策略，存档、删除、清空日志等；e)
监控功能所覆盖的主机执行操作的请求。f
每一条审计日志至少应包括事件发生的日期、时间、事件主体、事件描述和结果。5.3.2审计日志存储
产品应提供防止审计日志丢失的措施：审计日志应存储于掉电非易失性存储介质中；a)
b）当存储空间达到阅值时，应能通知管理员。5.3.3审计日志管理
产品应提供以下管理功能：
只允许授权管理员访问审计日志；a)
按日期、时间、事件主体等条件对审计日志进行组合查询；b)
对审计日志进行存档、删除和清空。c)
5.4报警
5.4.1报警事件类型
产品应能对以下事件进行报警：a）对安全策略中对预定义信息的过滤和拦截事件进行报警；b）对管理员鉴别失败的次数达到设定值进行报警；对审计记录存储空间达到阅值进行报警；c)
d）对投权管理员自定义的其他事件进行报警。5.4.2
报警消息
产品的报警消息内容应满足下列要求：为管理员可理解；
b）内容至少包括事件发生的日期、时间、事件主体、事件描述。报警方式
产品的报警方式应包含以下方式中的一种或多种：弹出报警窗口；
发送报警邮件；
发送SNMPTrap消息；
发送声光电信号；
发送SMS短消息。
安全保证要求
6.1配置管理
6.1.1配置管理能力
6.1.1.1版本号
开发者应为产品的不同版本提供唯一的标识。6
6.1.1.2配置项
开发者应使用配置管理系统并提供配置管理文档。GA/T912—2010
配置管理文档应包括一个配置清单，配置清单应唯一标识组成产品的所有配置项并对配置项进行描述。
配置管理文档应措述对配置项给出唯一标识的方法，并提供所有的配置项得到有效地维护的证据。6.1.1.3授权控制bzxZ.net
开发者提供的配置管理文档应包括一个配置管理计划，配置管理计划应描述如何使用配置管理系统。实施的配置管理应与配置管理计划相一致。开发者应提供所有的配置项得到有效地维护的证据。开发者应保证只有经过授权才能修改配置项。6.1.2配置管理覆盖
配置管理范围至少应包括产品交付与运行文档、开发文档、指导性文档、生命周期支持文档、测试文档、脆弱性分析文档和配置管理文档，从而确保它们的修改是在一个正确授权的可控方式下进行的。配置管理文档至少应能跟踪上述内容，并描述配置管理系统是如何跟踪这些配置项的。6.2交付与运行
6.2.1交付程序
开发者应使用一定的交付程序交付产品，并将交付过程文档化交付文档应描述在给用户方交付产品的各版本时，为维护安全所必需的所有程序。6.2.2安装、生成和启动程序
开发者应提供文档说明产品的安装、生成和启动的过程。6.3开发
6.3.1非形式化功能规范
开发者应提供一个功能规范，使用非形式化风格来描述产品安全功能及其外部接口。功能规范应是内在一致的，应描述所有外部接口的用途与使用方法，适当时应提供效果、例外情况和错误消息的细节，并完备地表示产品的功能。6.3.2高层设计
6.3.2.1描述性高层设计
开发者应提供产品安全功能的高层设计。高层设计应以非形式风格表述并且是内在一致的。为说明安全功能的结构，高层设计应将安全功能分解为各个安全功能子系统进行描述。对于每一个安全功能子系统，高层设计应描述其提供的安全功能，标识其所有接口以及哪些接口是外部可见的，描述其所有接口的使用目的和方法。高层设计还应标识安全功能要求的所有基础性的硬件、固件和软件，并且支持由这些硬件、固件和软件实现的保护机制。
GA/T912—2010
6.3.2.2安全加强的高层设计
开发者应阐明如何将有助于产品安全功能的子系统和其他子系统分开，并适当提供安全功能子系统的作用、例外情况和错误消息的细节。6.3.3非形式化对应性证实
开发者应在产品安全功能表示的所有相邻对之间提供对应性分析。对于产品安全功能表示的每个相邻对，分析应阐明：较为抽象的安全功能表示的所有相关安全功能，应在较具体的安全功能表示中得到正确且完备地细化。6.4指导性文档
6.4.1管理员指南
开发者应提供管理员指南，管理员指南应与为评估而提供的其他所有文档保持一致。管理员指南应说明以下内容：
a）管理员可使用的管理功能和接口；b）怎样安全地管理产品；
c）在安全处理环境中应被控制的功能和权限；d）所有对与产品的安全操作有关的用户行为的假设；所有受管理员控制的安全参数，如果可能，应指明安全值；e)
每一种与管理功能有关的安全相关事件，包括对安全功能所控制实体的安全特性进行的改变；f)
所有与管理员有关的IT环境安全要求。6.4.2用户指南
开发者应提供用户指南，用户指南应与为评估而提供的其他所有文档保持一致。用户指南应说明以下内容：
a）产品的非管理员用户可使用的安全功能和接口；b）产品提供给用户的安全功能和接口的使用方法；用户可获取但应受安全处理环境所控制的所有功能和权限；c）
d）产品安全操作中用户所应承担的职责；e）与用户有关的IT环境的所有安全要求。6.5生命周期支持
开发者应提供开发安全文档。
开发安全文档应指述在产品的开发环境中，为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。开发安全文档还应提供在产品的开发和维护过程中执行安全措施的证据。6.6测试
6.6.1覆盖
6.6.1.1覆盖证据
开发者应提供测试覆盖的证据。8
GA/T912—2010
在测试覆盖证据中，应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能是对应的。
6.6.1.2覆盖分析
开发者应提供测试覆盖的分析结果。测试覆盖的分析结果应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能之间的对应性是完备的。
6.6.2测试深度
开发者应提供测试深度的分析。在深度分析中，应说明测试文档中所标识的对安全功能的测试，足以表明该安全功能和高层设计是一致的。
6.6.3功能测试
开发者应测试安全功能，将结果文档化并提供测试文档。测试文档应包括测试计划、测试过程、预期的测试结果和实际的测试结果。测试计划应标识要测试的安全功能，并描述测试的目标。测试过程应标识要执行的测试，并描述每个安全功能的测试概况，这些概况应包括对于其他测试结果的顺序依赖性。
预期的测试结果应表明测试成功后的预期输出。实际测试结果应表明每个被测试的安全功能能按照规定进行运作。6.6.4独立测试
6.6.4.1一致性
开发者应提供适合测试的产品，提供的测试集合应与其自测产品功能时使用的测试集合相一致。6.6.4.2抽样
开发者应提供一组相当的资源，用于安全功能的抽样测试。6.7脆弱性分析保证
6.7.1指南审查
开发者应提供指南性文档。
在指南性文档中，应确定对产品的所有可能的操作方式（包括失败或失误后的操作）、它们的后果以及对于保持安全操作的意义。
指南性文档还应列出所有目标环境的假设以及所有外部安全措施（包括外部程序的、物理的或人员的控制）要求。
指南性文档应是完备的、清晰的、一致的、合理的。6.7.2安全功能强度评估
开发者应对指导性文档中所标识的每个具有安全功能强度声明的安全机制进行安全功能强度分析，说明该安全机制达到或超过指导性文档中定义的最低强度级别和特定功能强度度量。9
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。