1SZDB/ZSZDB/Z110—2014云終端安全技術要求Safetytechnicalrequirementforcloudterminal2014-07-25發布2014-08-01實施 I 本文件主要起草人：陳勇、吳紹精、包先雨、李軍、陳新、陳枝楠、郭云、王洋、吳彥、毛晶本文件適用于按GB17859—1999的安全保護等級所進行的云終端系統的設計和實現，對于按GB下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本GB17859—1999計算機信息系統GB/T20271—2006信息安全技術信息GB/T20272—2006信息安全技術GB17859—1999、GB/T20271—2006和GB/T20272—2006確立的以及下列術語和定義適用于本基于通過網絡接入云服務器進行云計算服務應用的終端系統。云終端系統一般由計算系統、存儲完整性度(簡稱度量)measurementofintegrity完整性基準值(簡稱基準值)criteriaofintegritymeasurement度量根rootoftrustformeasurement動態度量根dynamicrootoftrustformeasurement2存儲根rootoftrustforstorage報告根rootoftrustforreporting可信硬件模塊trustedhardw嵌入云終端硬件系統內的一個硬件模塊。它必須包含存儲根、報告根，能獨立提供密碼學運算功可信計算平臺trustedcomp基于可信硬件模塊或可信軟件模塊構建的計算平臺，支持系統身份標識服務、密碼學服務和信任云終端系統安全子系統securitysubsystemofcloudterminalsystem(SSOC云終端系統內安全保護裝置的總稱，包括硬件、固件、軟件和負責執行安全策略的組合體。它建立了一個基本的云終端系統安全保護環境，并提供云終端系統所要求的附加用戶服務。云終端系統安正確實施SSOCTS安全策略的全部硬件、固件、軟件所提供的功能。每一個安全策略的實現，組成一個安全功能模塊。一個SSOCTS的所有安全功能模塊共同組SSOCTS安全控制范圍SSOCTS對SSOCTS中的資源進行管理、保護和分配的一組規則。一個SSOCTS中可以有一個或多個安全策SSOCTS——云終端系統安全子系統（SSF——SSOCTS安全功能（SSOC3SSP——SSOCTS安全策略（SSOCTSsecuritypolicTCP——可信計算平臺（trusted5.2.2.1安全審計的響應4）；5.2.2.3安全審計分析5.2.2.4安全審計查閱5.2.3信任鏈應通過在云終端系統啟動過程中提供的信任鏈支持，確保云終端系統的運行處于真實可信狀態。b)靜態信任鏈中操作系統(OS)的完整性度量基準值接受國家專門機構管理，支持在線或離線校5.2.4運行時防護5.2.4.1惡意代碼防護惡意代碼是對用戶使用云終端系統造成破壞或影響的程序代碼，比如：病毒、蠕蟲、特洛伊木馬云終端系統應采取必要措施監控主機與外部網絡的數據通信，確保系統免受外部網絡侵害或惡意——IP包過濾：應能夠支持基于源地址、目的地址的訪問控制，將不符合預先設定策略6云終端系統應能對所接入網絡進行可信度評價，并根據不同可信度評價等級采取不同的安全接入為了實現確定的恢復功能，應在云終端系統正常運行時定期地或按某種條件實施備份。根據不同云終端系統應為其運行提供可靠的時鐘和時鐘同步系統，并按GB/T20271—2006的要求提供可信應采用國家密碼管理局批準的密碼算法及使用指南來實現云終端系統密碼支持功能。密碼算法種應按照密碼算法要求實現密碼操作，并至少支持如下操作：密鑰生成操作、數據加密和解密操作、數字簽名生成和驗證操作、數據完整性度量生成和驗證操作、消息認證碼生成與驗證操作、隨機7應對密碼操作所使用的密鑰進行全生命周期管理，包括密鑰生成、密鑰交換、密鑰存取、密鑰廢5.3.2.1系統標識5.3.2.2系統鑒別5.3.2.3用戶標識5.3.2.4用戶鑒別應對云終端系統用戶進行身份真實性鑒別。通過對用戶所提供的“鑒別信息”的驗證，證明該用要求SSF為不成功的鑒別嘗試次數(包括嘗試次數和時間的閾值)定義一個值，以及明確規定達到該值時所應采取的動作。鑒別失敗的處理應包括檢測出現相關的不成功鑒別嘗試的次數與所規定的數目相同的情況，并進行預先定義的處理。應通過對不成功的鑒別嘗試次數(包括嘗試次數和時間的閾值)8應按確定的自主訪問控制安全策略進行設計，實現對策略控制下的主體與客體間操作的控制。可以有多個自主訪問控制安全策略，但它們應獨立命名，且不應相互沖突。常用的自主訪問控制策略包應明確指出采用一條命名的訪問控制策略所實現的特定功能，說明策略的使用和特征，以及該策略5.3.4.1主體標記應為實施強制訪問控制的主體指定敏感標記，這些敏感標記是實施強制訪問控制的依據。如等級應為實施強制訪問控制的客體指定敏感標記，這些敏感標記是實施強制訪問控制的依據。如等級5.3.5強制訪問控制強制訪問控制策略應包括策略控制下的主體、客體，及由策略覆蓋的被控制的主體與客體間的操應對存儲在SSC內的重要用戶數據進行保密性保護，確保除合法持有密鑰者外，其余任何用戶不應對在不同SSF之間傳輸的用戶數據，應根據不同數據類型的不同保密性要求，進行不同程度的保密c)特殊信息保護：在完全信息保護的基礎上,對于某些需要特別保護的信息，應采用回退：對云終端系統中處理中的數據，應通過“回退”信任服務是指云終端系統運行時對自身進行完整性度量，并將度量值向系統用戶或系統外部實體云終端系統中的硬件、固件和軟件等系統模塊在運行之前應對其進行完整性度量，作為該模塊的報告完整性度量值時，系統報告跟應對完整性度量值進行數字簽名，報告接收方通過驗證簽名有應按GB/T20272—2006中4.1.應按5.2.1云終端操作系統安全性檢測分析的要求，運用有關工具，檢測所選用或開發的操作系應按GB/T20271—2006中6.1.應按GB/T20272—2006中4.2.b)密鑰管理：所有密鑰應受存儲根保護，存儲根本身應由可信應按5.2.1云終端操作系統安全性檢測分析和硬件系統安全性檢測分析的要求，運用檢測所選用或開發的操作系統、硬件系統，并通過對檢測結果的分析，按系統審計保護級的要求，對根據5.3.7的描述，對可信計算平臺內部存儲、處理和傳輸的數據應提供保證數據完整性的功根據5.2.2的描述，按GB/T20271—2006中6.2.2.3的要求，從以下方面設計和實現可信計應按GB/T20271—2006中6.2.3的要求，從以下方面來設計、實現或選購系統審計保護級終端計應按5.1.1中基本運行支持和基本安全可用的要求，設計和實現云終端系統設備安全可用的功應按GB/T20272—2006中4.3.應按5.2.1云終端操作系統安全性檢測分析、硬件系統安全性檢測分析、應用程序安全性檢測分析和電磁泄漏發射檢測分析的要求，運用有關工具，檢測所選用或開發的操作系統、硬件系統、應用程序的安全性和電磁泄漏，并通過對檢測結果的分析，按安全標記保護級的要求，對存在的安全問題根據5.3.7的描述，對可信計算平臺內部存儲、處理和傳輸的數據應提供保證數據完整性的功應根據5.2.2的描述，按GB/T20271—2006中6.3.2.4的要求，從以下方面設計和實現可信恢復、備份保護措施，設計和實現云終端系應按GB/T20271—2006中6.3.——按GB/T20271—2006中6.2.4.2的要求，實現云終端系統安全標記保護級SSF的運行安全保按GB/T20271—2006中6.2.6的應按5.1.1中基本運行支持和基本安全可用的要求，設計和實現云終端系統設備安全可用的功應按GB/T20272—2006中4.4.b)靜態信任鏈中操作系統(OS)的完整性度量基準值應由國家專門機構管理，支持在線或離線校應按5.2.1云終端操作系統安全性檢測分析、硬件系統安全性檢測分析、應用程序安全性檢測分析和電磁泄漏發射檢測分析的要求，運用有關工具，檢測所選用或開發的操作系統、硬件系統、應用程序的安全性和電磁泄漏，并通過對檢測結果的分析，按結構化保護級的要求，對存在的安全問題加根據5.3.7的描述，對可信計算平臺內部存儲、處理和傳輸的數據應提供保證數據完整性的功應根據5.2.2的描述，按GB/T20271—2006中6.2.2.4的要求，從以下方面設計和實現可信根據5.3.9的描述，按GB/T20271—2006中6.4.3.9的要求，在用戶進行初始登錄和/或鑒別應按GB/T20271—2006中6.4.——應按GB/T20271—2006中6.4.4.1的要求，實現云終端系統結構化保護級SSF的物理安全保按GB/T20271—2006中6.4.6的要求，實現云終端系統結構化保護應按GB/T20272—2006中4.5.e)數據流控制：對于以數據流方式實現數據交換的操作系統，應根據GB/T20272—2006中b)靜態信任鏈中操作系統(OS)的完整性度量基準值應由國家專門機構管理，支持在線或離線校濾的防火墻功能。實現實時阻斷、文件監控、注冊表監控、事件監測、實時流量分析的人侵應按5.2.1云終端操作系統安全性檢測分析、硬件系統安全性檢測分析、應用程序安全性檢測分析和電磁泄漏發射檢測分析的要求，運用有關工具，檢測所選用或開發的操作系統、硬件系統、應用程序的安全性和電磁泄漏，并通過對檢測結果的分析，按結構化保護級的要求，對存在的安全問題加根據5.3.7的描述，對可信計算平臺內部存儲、處理和傳輸的數據應提供保證數據完整性的功應根據5.2.2的描述，按GB/T20271—2006中6.2.2.4的要求，從以下方面設計和實現可信根據