【GA公共安全标准】 信息安全技术主机资源访问控制产品安全技术要求

ICS35.240
中华人民共和国公共安全行业标准GA/T1138-—2014
信息安全技术
主机资源访问控制产品安全技术要求InformationsecuritytechnologySecurity technical requirements for access control products of host resources2014-03-10发布
中华人民共和国公安部
2014-03-10实施
规范性引用文件
术语和定义
主机资源访问控制产品描述
安全环境
5.1假设
5.2威胁
5.3组织安全策略
安全目的
6.1产品安全目的
6.2环境安全目的
安全功能要求
访问控制所覆盖的主机资源
主机资源管理
访问控制策略
访问控制
访问限制能力
访问控制策略下发
访问控制策略不可旁路
用户认证管理
安全管理
自身保护功能
远程传输安全
审计功能
安全保证要求
配置管理
交付与运行
指导性文档
生命周期支持
测试·
脆弱性评定
9技术要求基本原理
安全功能要求基本原理
GA/T11382014
GA/T1138—2014
安全保证要求基本原理
等级划分要求
安全功能要求等级划分
安全保证要求等级划分
本标准按照GB/T1.1-2009给出的规则起草，GA/T1138—2014
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、浙江万赛软件科技有限公司、公安部第三研究所。
本标准主要起草人：宋好好、沈亮、俞优、胡维娜、顾健、顾玮、张笑笑、赵永亮。GA/T11382014
本标准详细描述了与主机资源访问控制产品安全环境相关的假设、威胁和组织安全策略，定义了主机资源访问控制产品及其支撑环境的安全目的，通过基本原理论证安全功能要求能够追溯并覆盖产品安全目的，安全目的能够追溯并覆盖安全环境相关的假设、威胁和组织安全策略。本标准基本级参照了GB/T18336.3一2008中规定的EAL2级安全保证要求，增强级在EAL4级安全保证要求的基础上，将脆弱性分析要求提升到可以抵御中等攻击潜力的攻击者发起的攻击。本标准仅给出了主机资源访问控制产品应满足的安全技术要求，但对主机资源访间控制产品的具体技术实现方式、方法等不做要求。1范围
信息安全技术
主机资源访问控制产品安全技术要求GA/T1138—2014
本标准规定了主机资源访问控制产品的安全功能要求、安全保证要求及等级划分要求。本标准适用于主机资源访问控制产品的设计、开发及检测。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB17859—1999计算机信息系统安全保护等级划分准则GB/T18336—2008（所有部分）信息技术安全技术信息技术安全性评估准则GB/T25069-2010信息安全技术术语3术语和定义
GB17859—1999、GB/T18336—2008（所有部分）和GB/T25069—2010界定的术语和定义适用于本文件。
4主机资源访问控制产品描述
主机资源访问控制产品针对受控主机，统一分配用户的登录权限和对主机资源的访问权限，从而保证用户根据预先定义的访问控制策略对受控主机的资源（包括系统登录权限、文件和文件夹、外设接口、应用程序、进程等）进行访间，以此来保护主机资源不被未授权访问和使用。主机资源访问控制产品一般由服务器、客户端和管理控制台三部分组成，由服务器下发访问控制策略到客户端。其保护的资产是主机资源，此外主机资源访问控制产品本身及其内部的重要数据也是受保护的资产
图1是主机资源访问控制产品的一个典型运行环境。1
GA/T1138—2014
安全环境
受控主机
受控主机
受控主机
服务器
图1主机资源访问控制产品典型运行环境主机资源访问控制产品安全环境相关的假设如表1所示。表1
假设名称
物理访间
人员能力
连接性
安全维护
假设描述
管理控制台
产品的处理资源应限定在受控的访间设备内，以防止未投权的物理访间。所有实施产品安全策略相关的硬件和软件应受到保护，以免受非授权的物理更改授权管理员是无恶意的，训练有素的，并遵循管理员指南在策略下发时，应保证服务器与受控主机之间的网络连通：远程管理时，应保证服务器与管理控制台之间的网络连通当产品的应用环境发生变化时，应立即反肤在产品的安全策略中并保持其安全功能有效
主机资源访问控制产品安全环境相关的威胁如表2所示，表2威胁
威胁名称
主机资源非授权访间
事件记录失败
非投权访间
威胁描述
恶意用户可能对主机资源进行非投权的访间产品可能未成功记录相关安全事件，恶意用户可能通过耗尽审计数据存储空间的方法，导致事件记录的丢失或失敷。从而掩盖攻击行为恶意用户可能试图访间和使用产品提供的安全功能5.3
威胁名称
信息泄漏
暴力认证
蒲洞攻击bZxz.net
服务器失效
组织安全策略
表2（续）
威胁描述
GA/T1138—2014
恶意用户可能浏览远程授权管理员和产品之间发送的安全相关信息恶意用户可能通过反复猜测鉴别数据的方法，从而获取管理员权限恶意用户可能利用产品自身的安全机制进行攻击，导致产品权限丢失或功能故障产品服务器可能道受断电、故障等异常情况，使客户端无法连接服务器，从而导致访问控制策略失效
主机资源访问控制产品安全环境相关的组织安全策略如表3所示。表3
组织安全策略名称
安全管理
安全目的
产品安全目的
组织安全策略
组织安全策略描述
为追踪所有与安全相关活动的责任，与安全相关的事件应记录、保存和审查产品应为授权管理员提供管理手段，使其以安全的方式进行管理表4定义了产品的安全目的。这些安全目的旨在对应已标识的威胁或组织安全策略。表4
产品安全自的
产品安全日的名称
主机资源访间控制
事件记录
身份认证
安全管理
信息保密
鉴别失败处理
访问控制策略下发
产品安全目的描述
产品应在用户访问主机资源前对用户身份进行认证，保证用户对主机资源的访间受到访间控制策略的制约产品应记录和统计非授权访间行为，记录应具有精确的日期和时间；且产品应提供基本的防止事件记录丢失或失败的措施在允许用户访间产品功能之前，产品应对用户身份进行唯一的标识和鉴别
产品应向授权管理员提供以安全方式进行管理的有效手段如果产品允许通过相连网络对其进行远程管理，那么它应保证远程管理信息的保密性
产品应具备安全机制防止恶意用户反复猜测鉴别数据产品应将访问控制策略从服务器下发到客户端，客户端现有安全策略的生效与是否连通服务器无关
产品应记录自身安全相关的事件，以便追踪安全相关行为的责任，并应提供方法审查所记录的数据
对应的威胁或组织
安全策略
主机资源非授权访间
事件记录失败
非授权访问
安全管理
信息泄漏
暴力认证
服务器失效
GA/T1138—2014
6.2环境安全目的
表5定义了非技术或程序方法进行处理的安全目的。6.1确定的假设被包含在环境安全目的中。表5环境安全目的
环境安全目的名称
物理访间
人员能力
连接性
安全维护
安全功能要求
环境安全目的描述
产品的处理资源应限定在受控的访问设备内，以防止未投权的物理访问。所有实施产品安全策略相关的硬件和软件应受到保护，以免受非授权的物理更改
管理员是无恶意的，训练有素的、并遵循管理员指南产品应成功将访问控制策略从服务器下发到客户端当产品的应用环境发生变化时，应立即反应在产品的安全策略中并保持其安全功能有效
访问控制所覆盖的主机资源
产品应提供针对以下主机资源的访问控制能力：a)
系统登录权限；
文件和文件夹，
外设接口；
应用程序；
进程。
主机资源管理
对应的假设或威胁
物理访问
人员能力
连接性
安全维护
产品应具备对授权用户访间的主机资源进行管理的能力，可以对资源进行增加、修改、除等操作。访问控制策略
基于用户的访问控制策略
产品应能够针对不同用户制定不同的主机资源访问控制策略。7.3.2基于用户组的访问控制策略产品应能够针对不同用户组制定不同的主机资源访问控制能力。7.4
访问控制
自主访问控制
产品应能：
a）允许授权用户在主机上访问主机资源的操作；b)
拒绝非授权用户在主机上访问主机资源的操作：GA/T1138—2014
执行自主访问控制，依据访问控制策略，控制授权用户在主机上对主机资源的访问。2强制访问控制
产品应能：
a）对所有的用户和被控制访问的主机资源设置敏感标记并在安装后启用；b）执行强制访间控制，根据安全标记控制授权用户在主机上对主机资源的访问。访问限制能力
产品应提供以下访问限制能力：a）访间用户限制：只有授权用户能够对主机资源进行访问；b)
访问内容限制：授权用户对主机资源进行访问的内容不能超出预定义的范围；访问动作限制：授权用户对主机资源进行访问的动作（如对文件、文件夹进行读，写、属性修改、c)
重命名、删除、移动、禁止打开等操作，对应用程序进行执行、禁用操作，对外部设备执行可用、禁用操作，对服务进行启用、停用、禁用操作）不能超出预定义的范围；d
访问时间限制：授权用户对主机资源进行访问的时间不能超出预定义的范围；e
访问次数限制：授权用户对主机资源进行访问的次数不能超出预定义的范围。7.6
访问控制策略下发
产品应将访问控制策略从服务器下发到客户端。7.7
访问控制策略不可旁路
产品应确保用户对主机资源的访问都要受到访问控制策略的制约用户认证管理
7.8.1用户管理
产品应提供以下用户管理能力：a）可以创建、修改和删除用户；b）
可以创建、修改和删除用户组，以及修改用户所属的用户组。7.8.2用户鉴别信息
用户的鉴别信息应采用以下形式：口令证书或基于生物特征的鉴别信息中的一种；a)
b）两种鉴别形式的组合。
7.8.3用户身份鉴别
当用户请求访间主机资源时，产品应鉴别用户身份。若采用口令鉴别机制，应不明文显示口令，并在存储时加密保护。7.8.4最少反馈
对用户身份进行鉴别时，产品应仅将最少的反馈（如：鉴别的成功或失败）提供给被鉴别的用户。7.8.5鉴别失败处理
产品应能为用户身份鉴别设定一个授权管理员可修改的鉴别尝试次数阅值，当用户的鉴别不成功5
GA/T1138—2014
次数超过阈值，产品应能阻止用户进一步的鉴别请求。7.8.6鉴别信息保密性
在用户身份鉴别的过程中，若用户鉴别信息需通过网络进行传输，产品应保证数据保密性，防止用户鉴别信息的泄露。
7.8.7超时锁定
产品应具有访间超时锁定功能。在设定的时间段内授权用户没有对主机资源进行任何操作的情况下终止会话，需要再次进行身份鉴别才能够重新操作。最大超时时间仪由授权管理员设定。7.9安全管理
7.9.1管理员属性初始化
产品应提供授权管理员属性的初始化能力。7.9.2管理员唯一性标识
产品应为授权管理员提供唯一的身份标识，同时将授权管理员的身份标识与该授权管理员的所有可审计事件相关联。
7.9.3管理员属性修改
产品应提供授权管理员的属性（至少包括管理员口令）的修改能力。7.9.4管理员身份鉴别
产品应在执行任何与安全功能相关的操作之前应鉴别任何声称要履行授权管理员职责的管理员身份。
7.9.5管理员身份鉴别失败处理
当对授权管理员鉴别失败的次数达到指定阐值后，产品应阻止授权管理员进一步的鉴别请求。5配置管理能力
产品应提供授权管理员配置和管理产品安全功能的能力，至少包括：增加、剧除和修改访问控制相关策略：a)
查阅当前访问控制策略配置；
查阅和管理审计日志。
管理角色
产品应能对管理员角色进行区分：具有至少两种不同权限的管理员角色；a)
根据不同的功能模块，自定义各种不同权限角色，并可对管理员分配角色。6)
自身保护功能
产品应能对安装在主机上的组件提供一定的保护措施，防止非授权用户进行以下操作：a）强行终止该组件运行；
强制取消该组件在系统启动时自动加载：强行卸载、剧除或修改该组件。7.11远程传输安全
GA/T1138-—2014
若产品组件间通过网络进行通讯，应对组件间传输的数据进行保护，保证在传送过程中数据的保密性和完整性。
2审计功能
7.12.1审计数据生成
产品应能对下列事件生成审计记录：a)
授权管理员鉴别成功和失败；
用户身份鉴别成功和失败事件；管理员鉴别尝试不成功的次数超出了设定的限制导致会话连接终止；用户身份鉴别尝试不成功的次数超出了设定的限制导致会话连接终止；管理员的重要操作，如增加、删除管理员用户管理，备份日志等：对主机资源访问的所有请求，包括成功和失败。应在每一个审计记录中记录事件发生的日期和时间、事件主体身份、事件描述，成功或失败的标志。审计日志存储
产品应提供以下功能对审计日志进行存储：a）存储在掉电非易失性存储介质中；b)
当存储空间达到顾值时，应能通知授权管理员。审计日志管理
产品应提供以下功能对审计日志进行管理：只允许授权管理员访问审计日志；a）
按日期、时间、用户标识、主机资源标识等条件对审计日志进行组合查询：对审计日志进行备份。
8安全保证要求
配置管理
部分配置管理自动化
配置管理系统应提供一种自动方式来支持产品的生成，通过该方式确保只能对产品的实现表示进行已授权的改变。
配置管理计划应描述在配置管理系统中所使用的自动工具，并描述在配置管理系统中如何使用自动工具。
8.1.2配置管理能力
8.1.2.1版本号
开发者应为产品的不同版本提供唯一的标识。7
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。