中华人民共和国社会公共安全行业标准
中华人民共和国社会公共安全行业标准基于DOS的信息安全产品评级准则GA174-1998EvaluationCriteriaforDOS-basedInformationSecurityProducts(中华人民共和国公安部发布1998年6月1日起实施) 前言 为了贯彻《中华人民共和国计算机信息系统安全保护条例》的精神,并配合计算机信息系统安全专用产品的销售许可证制度的实施,公安部计算机管理监察司委托天津市公安局计算机管理监察处和海军计算技术研究所共同编写《基于DOS的信息安全产品评级准则》。 本标准在技术上参照了美国DOD5200.28-STD可信计算机系统评估准则。 本标准由公安部计算机管理监察司提出; 本标准由公安部信息标准化技术委员会归口; 本标准起草单位:天津市公安局计算机管理监察处 海军计算技术研究所 本标准主要起草人:张健,周瑞平,王学海,张双桥,高新宇 1范围 本标准的适用对象为基于DOS操作系统的信息安全产品。基于DOS的信息安全产品是指保护DOS操作系统环境下的信息免受故意的或偶然的非授权的泄漏、篡改和破坏的软件、硬件或软硬件结合产品,以及用于产品安装、执行、恢复的相关设施。在本标准中,对安全产品的评级等同于对加装了该安全产品的DOS操作系统的安全性能的评级。 标准根据安全产品的性能将其分为三个等级。从最低级d到最高级b,其安全保护性能逐级增加。 2引用标准 美国DOD5200.28-STD可信计算机系统评估准则。 3术语 3.1客体Object 含有或接收信息的被动实体。客体的例子如:文件、记录、显示器、键盘等。 3.2主体Subject 引起信息在客体之间流动的人、进程和装置等。 3.3安全策略SecurityPolicy 有关管理、保护和发布敏感信息的法律、规章和技术标准。 3.4可信计算基TrustedComputingBase-TCB 操作系统中用于实现安全策略的一个集合体(包含软件、固件和硬件),该集合体根据安全策略来处理主体对客体的访问,并满足以下特征: a.TCB实施主体对客体的安全访问; b.TCB是抗篡改的; c.TCB的结构易于分析和测试。 3.5安全策略模型SecurityPolicyModel 用于实施系统安全策略的模型,它表明信息的访问控制方式,以及信息的流程。 3.6敏感标记SensitivityLabel 表明一个客体的安全级并描述该客体中数据的敏感度(例如:密级)的一条信息。TCB依据敏感标记进行强制性访问控制。 3.7用户访问级User'sClearance 用户访问敏感信息的级别。 3.8最小特权原理LeastProvilegeTheorem 系统中的每个主体执行授权任务时,仅被授予完成任务所必需的最小访问权。 3.9关键保护元素ProtectionCriticalElement 有TCB中,用来处理主体和客体间的访问控制的关键元素。 3.10审计踪迹AuditTrail 能提供客观证明的一组记录,用于从原始事务追踪到有关的记录,或从记录追踪到其原始事务。 3.11信道Channel 系统内的信息传输路径。 3.12可信信道TrustedChannel 符合系统安全策略的信道。 3.13隐蔽信道CovertChannel 违反系统安全策略的信道。 3.14自主访问控制DiscretionaryAccessControl 根据主体身份或者主体所属组的身份或者二者的结合,对客体访问进行限制的一种方法。具有某种访问权的主体能够自行决定将其访问权直接或间接地转授给其它主体。 3.15强制访问控制MandatoryAccessControl 根据客体中信息的敏感标记和访问敏感信息的主体的访问级对客体访问实行限制的一种方法。 4评级等级 本标准将安全产品分为局部保护级、自主保护级、强制保护级三个等级。为便于和可信计算机系统评估准则互为参照,又表示有别于该标准,用d,c,b表示。 4.1局部保护级(d) 提供一种或几种安全功能,但又未能达到c级标准的产品。 4.1.1安全功能 必须明确定义每项安全功能预期达到的目标,描述为达到此目标而采用的TCB的安全机制及实现技术。 4.1.2安全测试 必须对产品文档所述的安全功能进行测试,以确认其功能与文档 描述相一致。 4.1.3文档 安全特征用户指南文档要清楚地描述产品的保护原理、使用方法、使用限制及适用范围。 要提供一个测试文档,描述该产品的测试计划、安全机制的测试过程及安全功能测试的结果。 4.2自主保护级(c) c级主要提供自主访问控制功能,并通过审计手段,能对主体行为进行审查。 4.2.1安全策略 4.2.1.1自主访问控制 TCB需定义并控制系统中主体对客体的访问机制,所采用的机制(如访问控制表)要明确规定特定主体对其它主体控制下的信息的访问类型。系统和用户设定的自主访问控制机制,能保护受保护的客体不会被未经授权的用户访问。对客体没有访问权限的用户,只有对该客体有授权能力的用户才能为其指定访问权限。 4.2.1.2客体再用 在将TCB的空闲存储客体池中客体初始指定、分配或再分配给一个主体之前,所有对于存储客体所含信息的授权都必须被撤销。当主体获得对一个已被释放的存储客体的访问权时,由原主体活动所产生的任何信息对当前主体都是不可获得的。 4.2.2责任核查 4.2.2.1身份鉴别 用户在要求TCB执行任务动作之前,必须首先向TCB表明自己的身份;TCB要使用保护机制(如:口令)来鉴别用户身份。为了防止任何未经授权的用户对鉴别数据进行访问,TCB要对鉴别数据进行保护。TCB需提供唯一标识每个系统用户的机制,并将用户的所有可审计行为与用户的标识联系起来。 4.2.2.2审计 TCBre:好
好
页:
[1]