【GA公共安全标准】 信息安全技术主机安全加固系统安全技术要求

ICS35.240
中华人民共和国公共安全行业标准GA/T1393-2017
信息安全技术
主机安全加固系统
安全技术要求
Information security technology-Security technical requirements forcomputer security reinforcement systems2017-04-19发布
中华人民共和国公安部
2017-04-19实施
1范围
2规范性引用文件
术语和定义
主机安全加固系统描述
5总体说明
安全技术要求分类
安全等级
6安全功能要求
身份鉴别
安全标记
强制访问控制
安全审计
完整性保护
剩余信息保护
管理员安全管理
组件安全
审计日志管理
7安全保障要求
指导性文档
生命周期支持
脆弱性评定
等级划分要求
安全功能要求等级划分
安全保障要求等级划分
GA/T1393—2017
HiiKAoNiKAca
本标准按照GB/T1.1一2009给出的规则起草。本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。GA/T1393—2017
本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、公安部第三研究所。本标准主要起草人：宋好好、邱梓华、沈亮、陆臻、俞优、顾健。Hii KAoNhi KAca
HTiKAoNi KAca
1范围
信息安全技术主机安全加固系统安全技术要求
GA/T1393—2017
本标准规定了主机安全加固系统的安全功能要求、安全保障要求和等级划分要求。本标准适用于主机安全加固系统的设计、开发及测试。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件GB/T25069—2010信息安全技术术语3术语和定义
GB/T18336.3—2015和GB/T25069—2010界定的术语和定义适用于本文件。4主机安全加固系统描述
主机安全加固系统是在通用操作系统的基础上，通过对操作系统主客体进行安全标记、增加强制访问控制、完整性保护等技术手段，对操作系统进行安全功能增强，弥补通用操作系统安全性不高的缺陷，提高了操作系统的安全保护能力。主机安全加固系统一般采用服务器、客户端部署模式；服务器用于存储各种安全管理策略、管理数据和审计数据，并将安全管理策略下发到客户端；客户端安装在需要被加固的通用操作系统上，并执行安全功能。其保护的资产是操作系统，此外主机安全加固系统本身及其内部的重要数据也是受保护的资产。
主机安全加固系统的典型部署运行环境见图1。1
HiiKAoNhiKAca
GA/T1393—2017
5总体说明
主机安全加固
系统客户端
主机1
主机安全加固，主机2
系统客户端
主机安全加固
系统客户端
主机商
主机安全加固系统服务器
管理控制台
图1主机安全加固系统的典型部署运行环境5.1安全技术要求分类
主机安全加固系统安全技术要求分为安全功能要求和安全保障要求两类。其中，安全功能要求是对主机安全加固系统应具备的安全功能提出具体要求，包括身份鉴别，安全标记，强制访问控制，安全审计、完整性保护、剩余资源保护，管理员安全管理、组件安全、审计日志管理；安全保障要求针对主机安全加固系统的开发和使用文档的内容提出具体的要求，例如开发、指导性文档、生命周期支持、测试、脆弱性评定等。
5.2安全等级
按照主机安全加固系统安全功能要求强度及GB/T18336.3一2015，对主机安全加固系统安全等级进行划分。安全等级分为基本级和增强级，安全功能强弱和安全保障要求高低是等级划分的具体依据，安全等级突出安全特性。
安全功能要求
6.1身份鉴别
产品对操作系统身份鉴别功能的加固要求应满足：a）操作系统用户标识应使用用户名和用户标识（UID），并在操作系统的整个生存周期实现用户的唯一性标识，以及用户名、UID等之间的一致性；b）对操作系统用户应采用强化口令管理和/或基于令牌的动态口令和/或生物特征鉴别和/或数证书进行身份鉴别；
c）对操作系统用户应采用6.1b)中的双因子鉴别技术对用户进行身份鉴别。6.2安全标记
产品对操作系统安全标记的加固要求应满足：a）对操作系统安全功能控制范围内的主体和客体设置敏感标记：2
HTiKAoNi KAca
GA/T1393—2017
b）当信息从操作系统控制范围外输人到控制范围内时，应通过标记标明其敏感标记：c）对操作系统的所有主体和客体设置敏感标记；d）当信息从操作系统控制范围内输人到控制范围外时，应明显标示出该数据的敏感标记。6.3强制访问控制
产品对操作系统强制访问控制的加固要求应满足：a）由专门设置的系统安全员统一管理操作系统中与强制访问控制等安全机制有关的事件和信息，并将系统的常规管理，与安全有关的管理以及审计管理，分别由系统管理员，系统安全员和系统审计员来承担，按职能分割原则分别授予它们各自为完成自已所承担任务所需的权限，并形成相互制约关系；
b）由专门设置的系统安全员统一管理操作系统中与强制访问控制等安全机制有关的事件和信息，并将系统的常规管理，与安全有关的管理以及审计管理，分别由系统管理员，系统安全员和系统审计员来承担，按职能分割和最小授权原则分别授予它们各自为完成自已所承担任务所需的最小权限，并形成相互制约关系；c）依据标记、安全策略严格控制主体对客体的操作；d）访问控制的粒度达到主体为用户级和/或进程级，客体为文件级和/或进程级等。6.4安全审计
产品对操作系统安全审计的加固要求应满足：a）安全审计功能与标记、强制访问控制及完整性保护等安全功能紧密结合：b）审计范围覆盖到所有管理员和操作系统用户：提供实时报警生成，潜在侵害分析，基于异常检测，审计数据的可用性确保等功能；d保护审计进程，避免受到未预期的中断：e）提供违例进程终止，简单攻击探测，防止审计数据丢失的措施等功能：f）审计记录包括事件的日期、时间、类型、主体标识，客体标识和结果等。6.5完整性保护
产品对操作系统完整性保护的加固要求应满足：能够为操作系统安全功能控制范围内的主体和客体设置完整性标签，建立完整性保护策略模a
型，保护重要文件在存储、传输和处理过程中的完整性；b）在检测到完整性受到破坏后具有恢复的措施；c）保证低完整性的数据不能插人、覆盖到高完整性的数据；d）保证在处理过程中不降低数据完整性的级别；e）建立半形式化的完整性安全策略模型。6.6剩余信息保护
产品对操作系统剩余信息保护的加固要求应满足：a）保证操作系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；b）确保系统内的文件、目录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。
GA/T1393—2017
6.7管理员安全管理
管理员属性初始化
产品应提供授权管理员属性的初始化能力。6.7.2管理员唯一性标识
产品应为授权管理员提供唯一的身份标识，同时将授权管理员的身份标识与该授权管理员的所有可审计事件相关联。
6.7.3管理员属性修改
产品应提供授权管理员的属性（至少包括管理员口令）的修改能力。6.7.4管理员身份鉴别
产品应在执行任何与安全功能相关的操作之前应鉴别任何声称要履行授权管理员职责的管理员身份。
6.7.5管理员身份鉴别失败处理
当对授权管理员鉴别失败的次数达到指定值后，产品应阻止授权管理员进一步的鉴别请求。6.7.6配置管理
产品应提供授权管理员配置和管理产品安全功能的能力，至少包括：a）增加、删除和修改相关安全策略；b）查阅当前安全策略配置；
c）查阅和管理审计日志。
6.8组件安全
自身保护功能下载标准就来标准下载网
产品应能对安装在操作系统上的组件提供一定的保护措施，防止非授权用户进行以下操作：强行终止该组件运行；
强制取消该组件在系统启动时自动加载：c）
强行卸载，删除或修改该组件。6.8.2远程安全传输
应对产品组件间通过网络传输的数据进行保护，防止被非授权获取。6.9审计日志管理
产品应提供以下功能对审计日志进行管理：a）按日期、时间、用户标识、应用资源标识等条件对审计日志进行组合查询；b）有一定的措施防止审计日志丢失；c）对审计日志进行备份及备份后清空。4
7安全保障要求
7.1开发
7.1.1安全架构
开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求：a）与产品设计文档中对安全功能实施抽象描述的级别一致；b）描述与安全功能要求一致的产品安全功能的安全域：c）描述产品安全功能初始化过程为何是安全的；d）证实产品安全功能能够防止被破坏；e）证实产品安全功能能够防止安全特性被旁路。7.1.2功能规范
开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：a）完全描述产品的安全功能；
b）描述所有安全功能接口的目的与使用方法：C）标识和描述每个安全功能接口相关的所有参数d）描述安全功能接口相关的安全功能实施行为：描述由安全功能实施行为处理而引起的直接错误消息；e)
f）证实安全功能要求到安全功能接口的追溯；g）描述安全功能实施过程中，与安全功能接口相关的所有行为；h）描述可能由安全功能接口的调用而引起的所有直接错误消息7.1.3实现表示
开发者应提供全部安全功能的实现表示，实现表示应满足以下要求：a）提供产品设计描述与实现表示实例之间的映射，并证明其一致性：GA/T1393—2017
按详细级别定义产品安全功能，详细程度达到无需进一步设计就能生成安全功能的程度；b)
以开发人员使用的形式提供。
7.1.4产品设计
开发者应提供产品设计文档，产品设计文档应满足以下要求：a)
根据子系统描述产品结构
标识和描述产品安全功能的所有子系统：c）
描迷安全功能所有子系统间的相互作用：提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口：d)
根据模块描述安全功能：
提供安全功能子系统到模块间的映射关系；f
描述所有安全功能实现模块，包括其目的及与其他模块间的相互作用；g)
描述所有实现模块的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及h)
调用的接口；
描述所有安全功能的支撑或相关模块，包括其目的及与其他模块间的相互作用。5
GA/T1393—2017
7.2指导性文档
7.2.1操作用户指南
开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一致，对每一种用户角色的描述应满足以下要求：a）描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；描述如何以安全的方式使用产品提供的可用接口；b)
描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值；明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控d)
制实体的安全特性；
标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全e)
运行之间的因果关系和联系；
f）充分实现安全目的所必须执行的安全策略。7.2.2准备程序
开发者应提供产品及其准备程序，准备程序描述应满足以下要求：a)
描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；b）
描述安全安装产品及其运行环境必需的所有步骤。7.3生命周期支持
配置管理能力
开发者的配置管理能力应满足以下要求：为产品的不同版本提供唯一的标识。a)
使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项。b)
提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法。e
配置管理系统提供一种自动方式来支持产品的生成，通过该方式确保只能对产品的实现表示d
进行已授权的改变。
配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发产品。e
实施的配置管理与配置管理计划相一致。配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。7.3.2配置管理范围
开发者应提供产品配置项列表，并说明配置项的开发者。配置项列表应包含以下内容：a）产品、安全保障要求的评估证据和产品的组成部分b）实现表示，安全缺陷报告及其解决状态。7.3.3交付程序
开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时，交付文档应描述为维护安全所必需的所有程序。6
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。