信息系统终端计算机系统安全等级技术要求
信息系统终端计算机系统安全等级技术要求
1 范围
本标准规定了对终端计算机系统进行安全等级保护所需要的安全技术要求,并给出了每一个安全保护等级的不同技术要求。
本标准适用于按GB 17859—1999的安全保护等级要求所进行的终端计算机系统的设计和实现,对于GB 17859—1999的要求对终端计算机系统进行的测试、管理也可参照使用。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单,不包括勘误的内容,或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859--1999 计算机信息系统安全保护等级划分准则
GB/T 20271--2006 信息安全技术信息系统通用安全技术要求
GB/T 20272—2006 信息安全技术操作系统安全技术要求
3 术语和定义
3.1 术语和定义
GB 17859-1999 GB/T 20271—2006 GB/T 20272--2006确立的以及下列术语和定义适用于本标准。
3.1.1
终端计算机
一种个人使用的计算机系统,是信息系统的重要组成部分,为用户访问网络服务器提供支持。终端计算机系统表现为桌面型计算机系统和膝上型计算机两种形态。终端计算机系统一般由硬件系统、操作系统和应用系统(包括为用户方位网络服务器提供支持的攻击软件和其他应用软件)等部分组成。
3.1.2
可信
一种特性,具有该特性的实体总是以预期的行为和方式达到既定目的。
3.1.3
完整性度量(简称度量)
一种使用密码箱杂凑算法对实体计算其杂凑值的过程。
3.1.4
完整性基准值(简称基准值)
实体在可信状态下度量得到的杂凑值,可用来作为完整性校验基准。
3.1.5
度量根
一个可信的实体,是终端计算机系统内进行可信度量的基点。
3.1.6
动态度量根
度量根的一种,支持终端计算机系统对动态启动的程序模块进行实时的可信度量。3.1.7
存储根
一个可信的实体,是终端计算机系统内进行可存储的基点。
3.1.8
报告根
一个可信的实体,是终端计算机系统内进行可信报告的基点。
3.1.9
可信根
度量根、存储根和报告根的集合,是保证终端计算机系统可信的基础。
3.1.10
可信硬件模块
嵌入终端计算机硬件系统内的一个硬件模块。它必须包含存储根、报告根,能独立提供密码学运算功能,具有受保护的存储空间。
3.1.11
信任链
一种在终端计算机系统启动过程中,基于完整性度量的方法确保终端计算机可信的技术3.1.12
可信计算平台
基于可信硬件模块或可信软件模块构建的计算平台,支持系统身份标识服务,密码学服务和信任服务,并为系统提供信任链保护和运行安全保护。
3.1.13
终端计算机系统安全子系统
终端计算机系统内安全保护装置的总称,包括硬件、固件、软件和负责执行安全策略的组合体。它建立饿了一个基本的终端计算机系统安全保护环境,并提供终端计算机系统所要求的附加用户服务。终端计算机系统安全子系统应从硬件系统、操作系统、应用系统和系统运行等方面对终端计算机系统进行安全保护。
(SSOCS---终端计算机系统安全子系统)
3.1.14
SSOTCS 安全功能
正确实施SSOTCS安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现,组成一个安全功能模块。一个SSOTCS的所有安全功能模块共同组成该SSOTCS的安全功能。
3.1.15
SSOTCS 安全控制范围
SSOTCS 的操作所涉及的主体和客体。
3.1.16
SSOTCS 安全策略
对SSOTCS 中的资源进行管理、保护和分配的一组规则。一个SSOTCS中可以有一个或多个安全策略。
3.2 缩略语
下列缩略语适用于本标准。
SSOTCS 终端计算机系统安全子系统
SSF SSOTCS 安全功能
SSC SSOTCS 控制范围
SSP SSOTCS 安全策略
TCP 可信计算平台
4 安全功能技术要求
4.1 物理安全
4.1.1 设备安全可用
根据不同安全等级的不同要求,终端计算机系统的设备安全可用分为:
a)基本运行支持:终端计算机系统的社保应提供基本的运行支持,并有必要的容错和故障恢复功能。
b)基本安全可用:终端计算机系统的设备应满足基本安全可用的要求,包括主机、外部设备、网络连接部件及其他辅助部件等均应基本安全可用。
c)不间断运行支持:终端计算机系统的社保应通过故障容错和故障恢复等措施,为终端计算机系统的不间断运行提供支持。
4.1.2 设备防盗防毁
根据不同安全等级的不同要求,终端计算机系统的设备防盗防毁分为:
a)设备标记要求:终端计算机系统的设备应有的明显的无法除去的标记,以防更换和方便查找。
b)主机实体安全:终端计算机系统的主机应有机箱封装保护,防止部件损害或被盗。
c)设备的防盗和自销毁要求:终端计算机系统的设备应提供拥有者可控的防盗报警功能和系统自销毁功能。
4.1.3 设备高可靠
根据特殊环境应用要求,终端计算机系统的设备高可靠分为:
a)防水要求:终端计算机系统应具有高密封性,防止水滴进入;
b)防跌落和防震要求:终端计算机系统应加固保护,防止跌落和震动引起的系统破坏。
c)抗高低温与高低气压要求:终端计算机系统应能适应高低温和高低气压环境;
d)抗电磁辐射与干扰:终端计算机系统应能抵御电磁干扰和电磁辐射对系统的安全威胁;
4.2 运行安全
4.2.1 系统安全性检测分析
根据不同安全等级的不同要求,终端计算机系统的安全性检测分析分为:
a)操作系统安全性检测分析:应从终端计算机操作系统的角度,以管理员的身份评估文件许可、文件宿主、网络服务设置、账户设置、程序真实性以及一般的与用户相对安全点、入侵迹象等,从而检测和分析操作系统的安全性,发现存在的安全隐患,并提出补救措施。
b)硬件系统安全性检查分析:应对支持终端计算机系统运行的硬件系统进行安全性检测,通过扫描硬件系统中与系统运行和数据保护有关的特定安全脆弱性,分析其存在的缺陷和漏洞,提出补救措施。
c)应用程序安全性检查分析:应对运行在终端计算机系统中的应用程序进行安全性检测分析,通过扫描应用软件中与鉴别、授权、访问控制和系统完整性有关的特定的安全脆弱性,分析其存在的缺陷和漏洞,提出补救措施。
d)电磁泄漏发射检查分析:应对运行中的终端计算机系统环境进行电磁泄漏发射检测,采用专门的
检测设备,检查系统运行过程中由于电磁干扰和电磁辐射对终端计算机系统的安全性所造成的威胁,并提出补救措施。
4.2.2 安全审计
4.2.2.1 安全审计的响应
根据不同安全等级的不同要求,终端计算机系统的安全审计的响应分为:
a)记审计日志:当检测得到可能有安全侵害事件时,将审计数据记入审计日志。
b)实时报警生成:当检测得到可能有安全侵害事件时,生成实时报警信息。
c)违例进程终止:当检测得到可能有安全侵害事件时,将违例进程终止,违例进程可以包括但不限于服务进程、驱动、用户进程。
d)用户账户断开与失效:当检测得到可能有安全侵害事件时,将当前的用户账号断开,并使其生效。
4.2.2.2 安全审计的数据产生
根据不同安全等级的不同要求,终端计算机系统的安全审计的数据产生分为:
a)为下述可审计事件产生审计记录:审计功能的启动和关闭、终端计算机对用户使用身份鉴别机制、管理员用户和普通用户所实施的与安全相关的操作;
b)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件类别,及其他与审计相关的信息。
c)对于身份鉴别事件,审计记录应保护请求的来源;
d)将每个可审计事件与引起该事件的用户或进程相关联;
e)为下述可审计事件产生审计记录:将客体引入用户地址空间(例如:打开文件、服务初始化)、其他与系统安全有关的事件或专门定义的可审计事件。
f)对于客体被引入用户地址空间的事件,审计记录应包含客体名及客体的安全等级。
g)对机密性数据的创建、使用与删除事件,审计记录应包含机密性数据的安全标记。
4.2.2.3 安全审计分析
根据不同安全等级的不同要求,终端计算机系统的安全审计分析分为:
a)潜在侵害分析:应能用一系列规则去监控审计事件,并根据这些规则指出SSP的潜在危害;
b)基于异常检查的描述:应能确立用户或检查的质疑度(或信誉度),该质疑度表示该用户或进程的现行获得与已建立的使用模式的一致性程度。当用户或进程的质疑等级超过门限条件时,SSF应能指出将要发生对安全性的威胁;
c)简单攻击探测:应能检测到对SSF实施由重大威胁的签名事件的出现,并能通过对一个或多个事件的对比分析或综合分析,预测一个攻击的出现以及出现的事件或方式。为此,SSF应维护支出对SSF侵害的签名事件的内部表示,并将检测到的系统行为记录与签名事件进行比较,当发现两者匹配时,支出一个对SSF的攻击即将到来;
d)复杂攻击探测:在上述简单攻击探测的基础上,要求SSF应能检测到多步入侵情况,并能根据已知的事件序列模拟出完整的入侵情况,还应支出发现对SSF的潜在危害的签名事件或事件序列的时间。4.2.2.4 安全审计查阅
根据不同安全等级的不同要求,终端计算机系统的安全审计查阅分为:
a)审计查阅:提供从审计记录中读取信息的能力,即要求SSF为授权用户提供获得和解释审计信息的能力;
b)受控审计查阅:审计查阅工具应只允许授权用户读取审计信息,并根据某舟逻辑关系的标准提供对审计数据进行搜索、分类、排序的能力。
4.2.2.5 安全审计事件选择
应根据以下属性选择终端急死俺叫系统的可审计事件:
a)客体身份、用户身份、主体身份、主机身份、事件类型;
b)作为审计选择性依据的附加属性。
4.2.2.6 安全审计事件存储
根据不同安全等级的不同要求,终端计算机系统的安全审计事件存储分为:
a)受保护的审计踪迹存储:要求审计踪迹的存储收到应有的保护,应能检测或防止对审计记录的修改;
b)审计数据的可用性确保在以为情况出现时,应能检测或防止对审计记录的修改,以及在发生审计存储已满。存储失败或存储收到攻击以及意外情况出现时,应采取相应的保护措施,确保有时效性的审计记录不被破坏。
c)审计数据可能丢失情况下的措施:当审计跟踪超过预定的门限时,应采取相应的措施,进行审计数据可能丢失情况的处理。
d)防止审计数据丢失:在审计踪迹存储已满或超过预定的门限时,应采取相应措施,防止审计数据丢失。
4.2.3 信任链
应通过在终端计算机系统启动过程中提供的信任链支持,确保终端计算机系统的运行处于真实可信状态。根据不同安全等级的不同要求,信任链功能分为:
a)静态信任链建立:利用终端计算机系统上的度量根,在系统启动过程中对BIOS、MBR、OS部件模块进行完整性度量。每个部件模块在假装前应确保其真实性和完整性。
b)静态信任链中操作系统(OS)的完整性度量基准值接受国家专门机构管理,支持在线或离线校验。
c)动态信任链建立:利用终端计算机系统上的胴体度量根,对操作系统上应用程序进行实时的完整性度量,确保每个应用晨曦在启动和运行中的真实性和完整性;
d)动态信任链中应用晨曦的完整性度量基准值接受国家专门机构管理,支持在线或离线校验。
e)信任链模块修复:支持在被授权的情况下,对信任链建立过程中出现的不可信模块进行实时修复。
f)信任链模块升级:支持在被授权的情况下,对信任链建立过程中涉及的各个部件的模块进行升级。每个升级模块均应确保其真实性和完整性。
4.2.4 运行时防护
4.2.4.1 恶意代码防护
恶意代码是对用户使用终端计算机系统造成破坏或影响的程序代码,比如:病毒、蠕虫、特洛伊木马和恶意软件等。
根据不同安全等级的不同要求,终端计算机系统的恶意代码防护分为:
a)外来借助使用控制:样控制各种外来借助的使用,防止恶意代码通过介质传播;
b)特征码扫描:对文件系统和内存采用特征码扫描,并根据扫描结果采取相应的措施,清除或隔离恶意代码。恶意代码特征库应及时更新;
c)基于CPU的数据执行保护:防止缓冲区溢出,组织从受保护的内存位置执行恶意代码;
d)进行隔离:采用进程逻辑隔离或物理隔离的方法,保护进程免受恶意代码破坏;
e)进程行为分析:基于专家系统,对进程行为的危险程度进行等级评估,根据评估结果,采取相应的防护措施。
4.2.4.2 网络攻击防护
终端计算机系统应采取必要措施监控主机与外部网络的数据通信,确保系统免受外部网络侵害或恶意远程控制。应该采取的措施包括:
a)防火墙功能:
----IP包过滤:应能够支持基于源地址、目的地址的访问控制,将不符合预先设
定策略的数据包丢弃;
----网络协议分析:应能偶支持基于网络协议类型的访问控制;
----应用程序监控:应能够设置应用程序对网络的访问控制规则,包括对端口、协议访问方向的控制;
----内容过滤:应能对网页内容进行基于关键字匹配的过滤。
b)入侵检测功能:
----实时阻断:及时阻断严重的碗里入侵行为;
----文件监控:防止用户对保护文件的非法访问与误操作;
----注册表监控:防止用户对注册表的非法访问与误操作;
----事件监测:及时监测到主机异常事件;
----实时流量分析:对主机网络流量进行实时监测与分析,并据此判断是否有入侵事件发生。
4.2.4.3 网络接入控制
终端计算机系统应能对所接入网络进行可信度评价,并根据不同可信评价等级采取不同的的安全接入策略。
4.2.5 备份与故障恢复
为了实现确定的恢复功能,应在终端计算机系统正常运行时定期的或按某种条件实施备份。根据不同安全等级的不同要求,备份与故障恢复分为:
a)用户数据备份与恢复:应提供用户有选择的备份重要数据的功能,当由于某种原因引起终端计算机系统中用户数据丢失或破坏时,应能提供用户数据恢复的功能;
b)增量信心备份与恢复:应提供由终端计算机系统定时对新增信息进行备份的功能,当由于某种原因引起终端计算机系统中的某些信息丢失或破坏时,应提供用户增量信息备份所保留的信息进行信息恢复的功能。
c)局部系统备份与恢复:应提供定期对终端计算机系统的某些重要的局部系统的运行现场进行定期备份的功能;当由于某种原因引起终端计算机系统某一局部发生故障时,应提供用户按局部系统备份所保留的现场信息进行局部系统恢复的功能。
d)全系统备份与恢复:应提供定期对终端计算机系统全系统的运行现场进行备份的功能;当由于某种原因引起终端计算机系统全系统发生故障时,应提供用户按全系统备份所保留的现场信息进行全系统恢复的功能;
e)备份保护措施:数据在备份、存储和恢复过程中应有安全保护措施,并应设置不被用户操作系统管理的系统来实现系统数据的备份与恢复功能,系统备份数据是用户操作系统不可访问的。
4.2.6 可信时间戳
终端计算机系统应为其运行提供可靠的始终和时钟同步系统,并按GB/T 20271—2006的要求提供可信时间戳服务。
4.2.7 I/O接口配置
终端计算机系统应根据不同的环境要求,配置串口、并口、PCI、USB、网卡、硬盘等各类I/O接口和设备的启用/禁用等状态:
a)用户自主配置:应支持用户基于BIOS和操作系统提供的功能自主配置各类接口的状态;
b)集中管理配置:终端计算机系统应接受所接入网络的接口配置管理,并确保只有授权用户才能修改接口配置;
c)自适应配置:终端计算机系统应能根据网络环境安全状况,基于安全策略,自主配置接口状态,以确保系统自身安全。
4.3 数据安全
4.3.1 密码支持
4.3.1.1 密码算法要求
应采用国家有关主管部门批准的密码算法及使用指南来实现终端计算机系统密码支持功能。密码算法种类和范围包括:对称密码算法、公钥密码算法、杂凑算法和随机数生成算法等。
根据不同安全等级的不同要求,密码算法实现分为:
a)密码算法采用软件实现;
b)密码算法采用硬件实现。
4.3.1.2 密码操作
应按照密码算法要求实现密码操作,并至少支持如下操作:秘钥生成操作、数据加密和解密操作、数据签名生成和验证操作、数据完整性度量生成和验证操作、消息认证码生成与验证操作、随机数生成操作。
4.3.1.3 秘钥管理
应对密码操作所使用的秘钥进行全生命周期管理,包括秘钥生成、秘钥交换、秘钥存取、秘钥废除。秘钥管理应符合国家秘钥管理标准要求。(GB/T 17901.1--1999)
4.3.2 身份标识与鉴别
4.3.2.1 系统标识
终端计算机系统应在用户使用之前对系统进行身份标识:
a)唯一性标识:应通过唯一绑定的可信硬件模块产生的秘钥来标识系统身份;系统身份标识应与审计相关联;
b)标识可信性:身份标识可信性应通过权威机构颁发证书来实现;
c)隐秘性:需要时应使系统身份标识在某些特定条件下具有不可关联性。可以基于第三方权威机构颁发特定证书实现系统身份标识的隐秘性。
d)标识信息管理:应对终端计算机系统身份标识信息进行管理、维护,确保其不被非授权的访问、修改或删除。
4.3.2.2 系统鉴别
应对请求访问的终端计算机系统进行身份鉴别,鉴别时请求方应提供完整的度量值报告
4.3.2.3 用户标识
应对注册的终端计算机系统的用户进行标识。
根据不同安全等级的不同要求,用户标识分为:
a)基本标识:应在SSF实施所要求的动作之前,先对提出该动作得要求的用户进行标识;
b)唯一性标识:应确保所标识用户在信息系统生命周期内的唯一性,并将用户标识与审计相关联;
c)标识信息管理:应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或删除。4.3.2.4 用户鉴别
应对终端计算机系统用户进行身份真实性鉴别。通过对用户所提供的“鉴别信息”的验证,证明该用户确有所声称的某种身份,这里“鉴别信息”可以是用户口令、数字证书、IC
卡、指纹、虹膜等。
根据不同安全等级的不同要求,用户鉴别分为:
a)基本鉴别:应在SSF实施所要求的动作之前,先对提出该动作要求的用户成功的进行鉴别。
b)不可伪造鉴别:应检测并防止使用伪造或复制的鉴别信息。一方面,要求SSF应检测或防止由任何别的用户伪造的鉴别数据,另一方面,要求SSF应检测或防止当前用户从任何其他用户处复制的鉴别数据的使用。
c)一次性使用鉴别:应能提供一次性使用鉴别数据操作的鉴别机制,即SSF应防止与已标识过的鉴别机制有关的鉴别数据的重用。
d)多机制鉴别:应能提供不同的鉴别机制,用于鉴别特定时间的用户身份,并且SSF应根据所描述的多种鉴别机制如何提供鉴别的规则,来鉴别任何用户所声称的身份;
e)重新鉴别:应有能力规定需要重新鉴别用户的事件,即SSF应在需要重新鉴别的条件表所指示的条件下,重新鉴别用户。例如,用户操作超时被断开后,重新连接时需要进行鉴别。
4.3.2.5 用户鉴别失败处理
要求SSF为不成功的鉴别尝试次数(包括尝试次数和时间的阈值(yu值,界限的意思))定义一个值,以及明确规定达到该值时所应采取的动作。鉴别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数目相同的情况,并进行预先定义的处理。应通过对不成功的鉴别尝试次数(包括尝试次数和时间的阈值)的值进行预先定义,以及明确规定达到该值时所应采取的动作来实现鉴别失败的处理。
4.3.2.6 用户-主体绑定
在SSC之内,对一个已标识和鉴别的用户,为了要求SSF完成某个任务,需要激活另一个主体(如进程),这时,要求通过用户-主体绑定将该用户与该主体相关联,从而将用户的身份与该用户的所有可审计行为相关联。
4.3.2.7 隐秘
应为用户提供其省份不被其他用户发现或滥用的保护,可分为以下四种情况:
a)匿名:用户在其使用资源或服务时,不暴露身份。要求SSF应确保用户和/或主体集,无法确定与主体和/或操作相关联的实际用户,并在对主体提供服务时不询问实际的用户名;
b)假名:用户在使用资源或设备时,不暴露其真实名称,但仍能对该次使用负责。要求SSF应确保用户和/或主体集,不能确定与主体和/或操作相关联的真实的用户名,并要求SSF应恩能给一个主体提供多个假名,以及验证所使用的假名是否符合假名的度量。
c)不可关联性:一个用户可以多次使用资源和服务,但任何人都不能将这些使用联系在一起。具体讲,要求SSF应确保用户和/或主体不能确定系统中的某些操作是否由同一用户引起。
d)不可观察性:用户在使用资源和服务时,其他人,特别是第三方不能观察到该资源和服务正在被使用。要求SSF应确保用户和/或主体,不应观察到由受保护的用户和/或主体对客体所进行的操作。可通过将不可观察性信息分配给SSF的不同部分等方法实现。
4.3.3 自主访问控制
4.3.3.1 访问控制策略
应按确定的自主访问控制安全策略进行设计,实现对策略控制下的主体与客体间操作的控制。可以有多个自主访问控制安全策略,但他们应独立命名,且不应相互冲突。常用的自主访问控制策略包括:访问控制表访问控制、目录表访问控制、权能表访问控制等。
4.3.3.2 访问控制功能
应明确指出采用一条命名的访问控制策略所实现的特定功能,说明策略的使用和特征,以及该策略的控制范围。
无论采用何种自主访问控制策略,应有能力提供:
----在安全属性或命名的安全属性组的客体上,执行访问控制策略。
----在基于安全属性的允许主体对客体访问的规则的基础上,允许主体对客体的访问。
----在基于安全属性的拒绝主体对客体访问的规则的基础上,拒绝主体对客体的访问。
4.3.3.3 访问控制范围
根据不同安全等级的不同要求,自主访问控制的覆盖范围分为:
a)子集访问控制:要求美国确定的自主访问控制,SSF 应覆盖由SSOTCS所定义的主体、客体及其操作之间的操作。
b)完全访问控制:要求美国确定的自主访问控制,SSF 应覆盖终端计算机系统中所有的主体、客体及其之间的操作,即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的所有操作将至少被一个确定的访问控制策略覆盖。
4.3.3.4 访问控制粒度
根据不同安全等级的不同要求,自主访问控制的粒度分为:
a)主体为用户组/用户级,客体为文件级;
b)主体为用户级,客体为文件级;
4.3.4 标记
4.3.4.1 主体标记
主体是指主动的实体,是SSC内发起的操作的实体。主体包括人,进程和外部设备等。
应为主体分配标记,这些标记是等级分类和非等级类别的组合,是实施强制访问控制的依据。
4.3.4.1 客体标记
客体是被动的实体,是SSC内被主体访问的实体。客体包含或者接收主体关心的信息。客体通常包括文件、设备、状态信息等。
应为客体指定敏感标记,这些敏感标记是等级分类和非等级类别的组合,是实施强制访问控制的依据。
4.3.5 强制访问控制
4.3.
5.1 访问控制策略
强制访问控制策略应包括策略控制下的主体、客体,及由策略覆盖的被控制的主体与客体间的操作。可以有多个访问控制安全策略,但他们应独立命名,且不应相互冲突。
4.3.
5.2 访问控制功能
应明确指出采用一条命名的强制访问控制策略所实现的特定功能。应有能力提供:----在标记或命名的标记组的客体上,执行访问控制策略。
----按受控主体和受控客体之间的允许访问规则,觉得允许受控主体对受控客体执行受控操作;
----按受控主体和受控客体之间的拒绝访问规则,觉得拒绝受控主体对受控客体执行受控操作;
4.3.
5.3 访问控制范围
根据不同安全等级的不同要求,强制访问控制的覆盖范围分为:
a)子集访问控制:要求美国确定的强制访问控制,应覆盖由策略所定义的主体、客体及其之间的操作。
b)完全访问控制:要求美国确定的强制访问控制,应覆盖终端计算机系统中所有的主体、客体及其之间的操作,即要求终端计算机系统中的任意一个主体和任意一个客体之间的所有操作将至少被一个确定的访问控制策略覆盖。
4.3.
5.4 访问控制粒度
根据不同安全等级的不同要求,强制访问控制的粒度分为:
a)主体为用户组/用户级,客体为文件级;
b)主体为用户级,客体为文件级;
4.3.6 数据保密性保护
4.3.6.1 数据存储保密性
应对存储在SSC内的重要用户数据进行保密性保护,确保除合法持有秘钥外,其余任何用户不应获得该数据。
a)数据加密:应确保加密后的数据由秘钥的合法持有者解密;
b)数据绑定:基于存储根实现对数据的保密存储,应确保数据由秘钥的合法持有者在特定终端计算机系统中解密;
c)数据密封:基于存储根实现对数据的保密存储,应确保数据由秘钥的合法持有者在特定终端计算机系统的特定状态下解密;
4.3.6.2 数据传输保密性
对在不同SSF之间传输的用户数据,应根据不同数据类型的不同保密性要求,进行不同程度的保密性保护,确保数据在传输过程中不被泄露和窃取。
4.3.6.3 客体安全重用
在对资源进行行动态管理的系统中,客体资源(寄存器、内存、磁盘等记录媒介)中的剩余信息不应引起信息的泄露。
根据不同安全等级对用户数据保密性保护的不同要求,客体安全重用分为:
a)子集信息保护:有SSOTCS安全控制范围之内的某个子集的客体资源,在将其释放后再分配给某一用户或代表该用户运行的进程时,应不会泄露该客体中的原有信息;
b)完全信息保护:有SSOTCS安全控制范围之内的所有客体资源,在将其释放后再分配给某一用户或代表该用户运行的进程时,应不会泄露该客体中的原有信息;
c)特殊信息保护:在完全信息保护的基础上,对于某些需要特别保护的信息,应采用专门的方法对客体资源中的残留信息做彻底清除,如对剩磁的清除等。
4.3.7 数据完整性保护
4.3.7.1 存储数据的完整性
应对存储在SSC内的用户数据进行完整性保护,包括:
a)完整性检测:要求SSF应对基于用户属性的所有客体,对存储在SSC内的用户数据进行完整性检
测。
b)完整性检测和恢复:要求SSF应对基于用户属性的所有客体,对存储在SSC内的用户数据进行完整性检测,并且当检测到完整性错误时,SSF应采取必要的恢复措施。
4.3.7.2 传输数据的完整性
当用户数据在SSF和其他可信信息系统间传输时应提供完整性保护,包括:
a)完整性检测:要求对被传输的用户数据进行检测,及时发现以某种方式传送货接收的用户数据被篡改、删除、插入等情况发生。
b)数据交换恢复:由接收者SSOTCS借助于源可信信息系统提供的信息,或由接受者SSCTCS自己无需来自源可信信息系统的任何帮助,能恢复被破坏的数据为原始的用户数据。
4.3.7.3 处理数据的完整性
回退:对终端计算机系统中处理中的数据,应通过“回退”进行完整性保护,即要求SSF应执行访问控制策略,以允许对所定义的操作序列进行回退。
4.3.8 信任服务
信任服务是指终端计算机系统运行时对自身进行完整性度量,并将度量值向系统用户或系统外部实体进行可信报告的服务,即由报告根对度量值进行数据签名后,呈现给验证者。
4.3.8.1 完整性度量
终端计算机系统中的硬件、固件和软件等系统模块在运行之前应对其进行完整性度量,作为该模块的可信性判断依据。
应通过适当组合各模块的度量值,作为系统信任报告或系统特征绑定的依据。
4.3.8.2 完整性度量值存储
终端计算机系统应专门设置一组受保护的存储区域,用于存储被度量模块的完整性度量值。
所有度量值存取访问应受权限控制。
4.3.8.3 完整性度量值报告
报告完整性度量值时,熊报告根应对完整性度量值进行数字签名,报告接收方通过验证签名有效性以及校验完整性度量值来判断该系统的信任性。
4.3.9 可信路径
用户与SSF之间的可信路径应满足:
a)SSF应在SSF和本地或远程用户之间提供一个通信路径,通信路径之间彼此逻辑独立,提供真实的端点标识,并保护通信数据免遭修改和泄露。
b)SSF应允许SSF、本地货远程用户通过可信路径发起通信。
c)SSF应对原发用户的鉴别、内部命令、所有用户命令和SSF响应使用可信路径。
5 终端计算机系统安全激素分等级要求
5.1 第一级:用户自主保护级
5.1.1 安全功能要求
5.1.1.1 物理系统
5.1.1.1.1 设备安全可用
应按4.1.1中基本运行支持的要求,设计和实现终端计算机系统设备安全可用的功能。
5.1.1.1.2 设备防盗防毁
应按4.1.2中设备标记的要求,设计和实现终端计算机系统设备防盗防毁的功能。
5.1.1.2 操作系统
应按GB/T 20272—2006中4.1.1的要求,从以下方面来设计、实现或选购用户自主保护级终端计算机系统所需要的操作系统。
a)用户身份标识与鉴别:根据GB/T 20272—2006中4.1.1.1描述,实现操作系统用户标识、用户鉴别、用户鉴别失败处理和用户-主体绑定的功能;
b)自主访问控制:根据GB/T 20272—2006中4.1.1.2的描述,对操作系统的访问进行控制,允许合法操作,不允许非法操作。
c)用户数据完整性:根据GB/T 20272—2006中4.1.1.7的描述,对操作系统内部存储、处理和传输的用户数据应提供保证用户数据完整性的功能。
5.1.1.3 可信计算平台
5.1.1.3.1 密码支持
应以4.3.1的描述,按以下要求,设计与实现自主保护级终端计算机系统密码支持功能:a)密码算法:应采用国家有关部门批准的密码算法,利用软件实现相关密码算法和密码操作;
b)秘钥管理:所有秘钥应受存储根保护。
5.1.1.3.2 信任链
应按4.2.3中信任链建立的要求,设计与实现终端计算机系统的静态信任链功能。
静态信任链所建立的度量值应存储在一个手保护的区域中。
5.1.1.3.3 运行时防护
应以4.2.4的运行防护的要求,设计与实现如下功能:
恶意代码防护:根据4.2.4.1的描述,实现外来介质使用控制、特征码扫描的功能。5.1.1.3.4 系统安全性检测分析
应以4.2.1终端计算机系统安全性检测分析的要求,运用有关工具,检测所选用或开发的操作系统,并通过对检测结果的分析,按用户自主保护级的要求,对存在的安全问题加以改进。
5.1.1.3.5 备份与故障恢复
应以4.2.5中用户数据集备份与恢复、增量信息备份与恢复的要求,设计与实现终端计算机系统的备份与故障恢复功能。
5.1.1.3.6 I/O接口配置
应以4.2.7中用户自主配置的要求,设计和实现I/O接口配置功能。
5.1.1.3 应用系统
应按GB/T 20271—2006中6.1.3的要求,从以下方面来设计、实现或选购用户子阿虎保护级终端计算机系统所需要的应用系统:
a)身份标识与鉴别:根据GB/T 20271—2006中6.1.3.1描述,实现用户标识、用户鉴别、用户鉴别失败处理和用户-主体绑定的功能;
b)自主访问控制:根据GB/T 20271—2006中6.1.3.2的描述,对应用系统相关资源的访问进行控制,
允许合法操作,不允许非法操作。
c)数据完整性保护:根据GB/T 20271—2006中6.1.3.3的描述,对操作系统内部存储、处理和传输的用户数据应提供保证用户数据完整性的功能。
5.1.2 安全保证要求
5.1.2.1 SSOTCS自身安全保护
a)可信根安全保护:应按以下要求实现终端计算机系统的可信根:
----应保护存储根不被泄露和篡改;
----应对度量根采取物理保护措施。
b)SSF物理安全保护:按GB/T 20271—2006中6.1.4.1的要求,实现终端计算机系统用户自主保护级SSF的物理安全保护。
c)SSF运行安全保护:按GB/T 20271—2006中6.1.4.2的要求,实现终端计算机系统用户自主保护级SSF的运行安全保护。
d)SSF数据安全保护:按GB/T 20271—2006中6.1.4.3的要求,实现终端计算机系统用户自主保护级SSF的数据安全保护。
e)资源利用:按GB/T 20271—2006中6.1.4.4的要求,实现终端计算机系统用户自主保护级的资源利用。
f)SSOTCS访问控制:按GB/T 20271—2006中6.1.4.5的要求,实现终端计算机系统用户自主保护级的SSOTCS访问控制。
5.1.2.2 SSOTCS设计和实现
a)配置管理:按GB/T 20271—2006中6.1.5.1的要求,实现终端计算机系统用户自主保护级的配置管理;
b)分发和操作:按GB/T 20271—2006中6.1.5.2的要求,实现终端计算机系统用户自主保护级的分发和操作;
c)开发:按GB/T 20271—2006中6.1.5.3的要求,实现终端计算机系统用户自主保护级的开发;
d)指导性文档:按GB/T 20271—2006中6.1.5.4的要求,实现终端计算机系统用户自主保护级的指导性文档;
e)生命周期支持:按GB/T 20271—2006中6.1.5.5的要求,实现终端计算机系统用户自主保护级的生命周期支持;
f)测试:按GB/T 20271—2006中6.1.5.6的要求,实现终端计算机系统用户自主保护级的测试。
5.1.2.3 SSOTCS管理
按GB/T 20271—2006 中6.1.6的要求,实现终端计算机系统洪湖自主保护级的SSOTCS 安全管理。
5.2 第二级:系统审计保护级
5.2.1 安全功能要求
5.2.1.1 物理系统
5.2.1.1.1 设备安全可用
应按4.1.1中基本运行支持的要求,设计和实现终端计算机系统设备安全可用的功能。
5.2.1.1.2 设备防盗防毁
应按4.1.2中设备标记要求和主机实体安全的要求,设计和实现终端计算机系统设备防
盗防毁的功能。
5.2.1.2 操作系统
应按GB/T 20272—2006中4.2.1的要求,从以下方面来设计、实现或选购系统审计保护级终端计算机系统所需要的操作系统。
a)身份鉴别:根据GB/T 20272—2006中4.1.1.1描述,实现操作系统用户标识、用户鉴别、用户鉴别失败处理和用户-主体绑定的功能;
b)自主访问控制:根据GB/T 20272—2006中4.1.1.2的描述,对操作系统的访问进行控制,允许合法操作,不允许非法操作;
c)安全审计:根据GB/T 20272—2006中4.1.1.3的描述,提供操作系统安全审计功能;
d)用户数据保密性:根据GB/T 20272—2006中4.1.1.4的描述,设计和实现操作系统的用户数据保密性保护功能;
e)用户数据完整性:根据GB/T 20272—2006中4.1.1.5的描述,对操作系统内部存储、处理和传输的用户数据应提供保证用户数据完整性的功能。
5.2.1.3 可信计算平台
5.2.1.3.1 密码支持
应以4.3.1的描述,按以下要求,设计与实现安全标记级终端计算机系统密码支持功能:a)密码算法:应采用国家有关部门批准的密码算法,应支持密码算法和密码操作由硬件实现;
b)秘钥管理:所有秘钥应受存储根保护,存储根本身应由可信硬件模块保护。
5.2.1.3.2 信任链
应按4.2.3中信任链建立的要求,基于可信硬件模块设计和实现终端计算机系统的静态信任链功能。
5.2.1.3.3 运行时防护
应按4.2.4的运行防护的要求,设计与实现如下功能:
a)恶意代码防护:根据4.2.4.1的描述,实现外来介质使用控制、特征码扫描的功能;
b)网络攻击防护:根据4.2.4.2的描述,实现IP过滤、网络协议分析、应用程序监控、内容过滤的防火墙的功能。
5.2.1.3.4 系统安全性检测分析
应以4.2.1终端计算机系统安全性检测分析的要求,运用有关工具,检测所选用或开发的操作系统,并通过对检测结果的分析,按用户自主保护级的要求,对存在的安全问题加以改进。
5.2.1.3.5 信任服务
应据4.3.8的描述及下要求,设计实现可信计算平台的系统审计保护级信任服务功能:应在可信硬件模块中专门设置受保护区域存储所有静态信任链的完整性度量值。
5.2.1.3.6 用户身份标识与鉴别
应按4.3.2的要求,从以下方面设计与实现可信计算平台身份标识与鉴别功能:
a)应按4.3.2.3的要求,设计与实现用户的基本标识、唯一性标识与标识信息管理功能;
b)应按4.3.2.4的要求,设计与实现用户的基本鉴别、不可伪造鉴别功能;
c)应按4.3.2.4的要求,支持以数字证书形式提供鉴别信息;
d)应按4.3.2.5的要求,设计与实现用户鉴别失败处理功能;
e)应按4.3.2.6的要求,设计与实现用户-主体绑定功能。
5.2.1.3.7 自主访问控制
可按4.3.3自主访问控制的要求,下方面设计实现可信计算平台的自主访问控制功能:
a)按4.3.3.1的要求,确定自主访问控制策略;
b)按4.3.3.2的要求,设计与实现自主访问控制功能;
c)按4.3.3.3中子集访问控制的要求,确定自主访问控制的范围;
d)按4.3.3.4中访问控制力度的要求,确定自主访问控制的粒度。
5.2.1.3.8 数据保密性保护
应按4.3.6的要求,从以下方面设计和实现可信计算平台的数据保密性保护功能:a)应按4.3.6.1中数据加密的要求,按4.3.1所配置的密码支持,对需要进行存储保密性保护的数据,采用存储加密的措施,设计和实现数据存储保密性保护功能;
b)应按4.3.6.2的要求,按4.3.1所配置的密码支持,对需要进行传输保密性保护的数据,采用传输加密的措施,设计和实现数据传输保密性保护功能。
5.2.1.3.9 数据完整性保护
根据4.3.7的描述,对可信计算平台内部存储、处理和传输的数据应提供保证数据完整性的功能。
5.2.1.3.10 安全审计
应按根据4.2.2的描述,按GB/T 20271—2006中6.2.2.3的要求,从以下方面设计与实现可信计算平台的安全审计功能:
a)安全审计功能的设计应与密码支持、身份标识与鉴别、自主访问控制、数据保密性保护、用户数据完整性保护、信任服务等安全功能的设计紧密结合;
b)支持审计日志;支持安全审计事件产生;支持潜在侵害分析;支持基本审计查阅;提供审计事件选择和受保护的审计踪迹存储;
c)能够生产、维护及保护审计过程,使其免遭修改、非法访问及破坏,特别要保护审计数据,要严格限制未经授权的用户访问;
d)能够创建并维护一个对受保护客体访问的审计跟踪,保护审计记录不被未授权的访问、修改和破坏。
5.2.1.3.11 备份与故障恢复
应以4.2.5中用户数据集备份与恢复、增量信息备份与恢复和局部系统备份与恢复的要求,设计与实现终端计算机系统的备份与故障恢复功能。
5.2.1.3.12 I/O接口配置
应以4.2.7中用户自主配置的要求,设计和实现I/O接口配置功能。
5.2.1.4 应用系统
应按GB/T 20271—2006 中6.2.3的要求,从以下方面来设计、实现或选购系统审计保护级终端计算机系统所需要的应用系统:
a)身份标识与鉴别:根据GB/T 20271—2006中6.2.3.1的描述,实现用户标识、用户鉴别、用户鉴别失败处理和用户-主体绑定的功能;
b)自主访问控制:根据GB/T 20271—2006中6.2.3.3的描述,对应用系统相关资源的访问进行控制,允许合法操作,不允许非法操作;
c)安全审计:根据GB/T 20271—2006中6.2.2.3的描述,提供应用系统安全审计功能;
d)数据保密性保护:根据GB/T 20271—2006中6.2.3.8的描述,设计和实现应用系统的用户数据保密性保护功能;
e)数据完整性保护:根据GB/T 20271—2006中6.2.3.7的描述,对应用系统内部存储、处理和传输的用户数据应提供保证用户数据完整性的功能。
5.2.2 安全保证要求
5.2.2.1 SSOTCS自身安全保护
a)可信根安全保护:应按以下要求实现终端计算机系统的可信根:
----存储根和报告根应设置在可信硬件模块内;
----可信硬件模块应通过国家专门机构测评认证;
----应对度量根采取物理保护措施;
b)SSF物理安全保护:应按以下要求实现终端计算机系统审计保护级SSF的物理安全保护;
----应按GB/T 20271—2006中6.2.4.1的要求,实现终端计算机系统审计验资保护级SSF的物理安全保护;
c)SSF运行安全保护:应按以下要求实现终端计算机系统审计保护级SSF的运行安全保护;
----应按GB/T 20271—2006中6.2.4.2的要求,实现终端计算机系统审计保护级SSF的运行安全保护;
----应采取适当的失电保护措施,确保在终端计算机系统推出休眠或待机状态后,能恢复到推出工作状态前的配置,确保信任链系统仍能正常工作;
d)SSF数据安全保护:宜按GB/T 20271—2006中6.2.4.3的要求,实现终端计算机系统审计保护级SSF的数据安全保护;
e)资源利用:宜按GB/T 20271—2006中6.2.4.4的要求,实现终端计算机系统审计保护级的资源利用;
f)SSOTCS访问控制:宜按GB/T 20271—2006中6.2.4.5的要求,实现终端计算机系统审计保护级的SSOTCS访问控制;
5.2.2.2 SSOTCS设计和实现
a)配置管理:按GB/T 20271—2006中6.2.5.1的要求,实现终端计算机系统审计保护级的配置管理;
b)分发和操作:按GB/T 20271—2006中6.2.5.2的要求,实现终端计算机系统审计保护级的分发和操作;
c)开发:按GB/T 20271—2006中6.2.5.3的要求,实现终端计算机系统审计保护级的开发;
d)指导性文档:按GB/T 20271—2006中6.2.5.4的要求,实现终端计算机系统审计保护级的指导性文档;
e)生命周期支持:按GB/T 20271—2006中6.2.5.5的要求,实现终端计算机系统审计保护级的生命周期支持;
f)测试:按GB/T 20271—2006中6.2.5.6的要求,实现终端计算机系统审计保护级的测试。
5.2.2.3 SSOTCS管理
按GB/T 20271—2006 中6.2.6的要求,实现终端计算机系统系统审计保护级的SSOTCS 安全管理。
5.3 第三级:安全标记保护级
5.3.1 安全功能要求
5.3.1.1 物理系统
5.3.1.1.1 设备安全可用
应按4.1.1中基本运行支持和基本安全可用的要求,设计和实现终端计算机系统设备安全可用的功能。
5.3.1.1.2 设备防盗防毁
应按4.1.2中设备标记要求、设备实体安全与防盗的要求,设计和实现终端计算机系统的设备防盗防毁的功能。
5.3.1.2 操作系统
应按GB/T 20272—2006中4.3.1的要求,从以下方面来设计、实现或选购系统安全标记保护级终端计算机系统所需要的操作系统。
a)身份鉴别:根据GB/T 20272—2006中4.3.1.1描述,实现操作系统用户标识、用户鉴别、用户鉴别失败处理和用户-主体绑定的功能;
b)自主访问控制:根据GB/T 20272—2006中4.3.1.2的描述,对操作系统的访问进行控制,允许合法操作,不允许非法操作;
c)标记:根据GB/T 20272—2006中4.3.1.3的描述,设计和实现操作系统标记功能,为主、客体设置所需要的敏感标记;
d)强制访问控制:根据GB/T 20272—2006中4.3.1.4的描述,对操作系统的访问进行控制,允许合法操作不允许非法操作;应对财政系统实现包括系统文件、服务、驱动、注册表及进程在内的强制访问控制功能;
e)数据流控制:对于以数据流方式实现数据交互的操作系统,根据GB/T 20272—2006中4.3.1.5的描述,设计和实现操作系统的数据流控制功能;
f)安全审计:根据GB/T 20272—2006中4.3.1.6的描述,提供操作系统安全审计功能;
g)用户数据保密性:根据GB/T 20272—2006中4.3.1.8的描述,设计和实现操作系统的用户数据保密性保护功能;
h)用户数据完整性:根据GB/T 20272—2006中4.3.1.7的描述,对操作系统内部存储、处理和传输的用户数据应提供保证用户数据完整性的功能。
5.3.1.3 可信计算平台
5.3.1.3.1 密码支持
应以4.3.1的描述,按以下要求,设计与实现安全标记级终端计算机系统密码支持功能:a)密码算法:应采用国家有关部门批准的密码算法,应采用硬件实现密码算法;
b)密码操作:秘钥生成、数字签名与验证等关键密码操作应基于密码硬件支持;
c)秘钥管理:所有秘钥应受存储根保护,存储根本身应由安全硬件保护。
5.3.1.3.2 信任链
应按4.2.3中信任链建立的要求,设计和实现终端计算机系统的信任链功能:
a)应基于可信硬件模块实现静态信任链和动态信任链的建立;
b)静态信任链中操作系统(OS)的完整性度量基准值应有国家专门机构管理,支持离线校验,基准值应存储在受存储保护的区域中,若度量值与基准值不一致,应停止操作系统启动;;
c)根据4.2.3的要求设计和实现信任链模块升级和信任链模块实时修复功能。
5.3.1.3.3 运行时防护
应按4.2.4的运行防护的要求,设计与实现如下功能:
a)恶意代码防护:根据4.2.4.1的描述,实现外来介质使用控制、特征码扫描、基于CPU的数据执行保护的功能;
b)网络攻击防护:根据4.2.4.2的描述,实现IP过滤、网络协议分析、应用程序监控、内容过滤的防火墙的功能。实现实时阻断、文件监控、注册表监控的入侵检测功能;
c)网络接入控制:根据4.2.4.3的要求,实现网络接入控制功能。
5.3.1.3.4 系统安全性检测分析
应按4.2.1终端计算机系统安全性检测分析、硬件系统安全性检测分析、应用程序安全性检查分析和电磁泄漏发射检测分析的要求,运用有关工具,检测所选用或开发的操作系统、硬件系统、应用程序的安全性和电磁泄漏,并通过对检测结果的分析,按安全标记保护等级的要求,对存在的安全问题加以改进。
5.3.1.3.5 信任服务
应据4.3.8的描述及下要求,设计实现可信计算平台的安全标记保护级信任服务功能:a)应在可信硬件模块中专门设置受保护区域存储所有静态信任链的完整性度量值;
b)应设置一个可信硬件模块保护的区域来存储所有动态信任链的完整性度量值;
c)必要时应向国家专门机构报告操作系统完整性度量值。
5.3.1.3.6 身份标识与鉴别
5.3.1.3.
6.1 系统身份标识与鉴别
应按4.3.2的要求,从以下方面设计与实现系统的身份标识与鉴别功能:
a)应按4.3.2.3的要求,设计与实现终端计算机系统的唯一性标识、标识可信性、隐秘性和标识信息管理功能,确保终端计算机系统可信计算平台的身份唯一性和真实性。
b)应按4.3.2.4的要求,设计与实现系统身份鉴别功能;
5.3.1.3.
6.2 用户身份标识与鉴别
应按4.3.2的要求,从以下方面设计与实现用户的身份标识与鉴别功能:
a)应按4.3.2.3的要求,设计与实现用户的基本标识、唯一性标识与标识信息管理功能;
b)应按4.3.2.4的要求,设计与实现用户的基本鉴别和一次性使用鉴别;
c)应按4.3.2.4的要求,支持以数字证书、指纹、IC卡等形式提供鉴别信息;
d)应按4.3.2.5的要求,设计与实现用户鉴别失败处理功能;
e)应按4.3.2.6的要求,设计与实现用户-主体绑定功能。
5.3.1.3.7 自主访问控制
可按4.3.3自主访问控制的要求,下方面设计实现可信计算平台的自主访问控制功能:a)按4.3.3.1的要求,确定自主访问控制策略;
b)按4.3.3.2的要求,设计与实现自主访问控制功能;
c)按4.3.3.3中子集访问控制的要求,确定自主访问控制的范围;
d)按4.3.3.4中访问控制力度的要求,确定自主访问控制的粒度。
5.3.1.3.8 标记
应按4.3.4标记的要求,从以下方面设计实现可信计算平台的标记功能:
a)按4.3.4.1的要求,设计与实现主体标记功能;
b)按4.3.4.2的要求,设计与实现客体标记功能;
5.3.1.3.9 强制访问控制
可按4.3.5强制访问的要求,从以下方面设计实现可信计算平台的强制访问控制功能:a)按4.3.5.1的要求,确定强制访问控制策略;
b)按4.3.5.2的要求,设计与实现强制访问控制功能;
c)按4.3.5.3中子集访问控制的要求,确定强制访问控制的范围;
d)按4.3.5.4中访问控制力度的要求,确定强制访问控制的粒度。
5.3.1.3.10 数据保密性保护
应按4.3.6的要求,从以下方面设计和实现可信计算平台的数据保密性保护功能:
a)应按4.3.6.1中数据加密、数据绑定和数据密封的要求,按4.3.1所配置的密码支持,对需要进行存储保密性保护的数据,采用存储加密的措施,设计和实现数据存储保密性保护功能;
b)应按4.3.6.2的要求,按4.3.1所配置的密码支持,对需要进行传输保密性保护的数据,采用传输加密的措施,设计和实现数据传输保密性保护功能。
5.3.1.3.11 数据完整性保护
根据4.3.7的描述,对可信计算平台内部存储、处理和传输的数据应提供保证数据完整性的功能。
5.3.1.3.12 安全审计
应按根据4.2.2的描述,按GB/T 20271—2006中6.2.2.4的要求,从以下方面设计与实现可信计算平台的安全审计功能:
a)安全审计功能的设计应与密码支持、身份标识与鉴别、自主访问控制、数据保密性保护、用户数据完整性保护、信任服务、标记、强制访问控制等安全功能的设计紧密结合;
b)支持审计日志、实时绑架生成和为了进程终止;支持安全审计事件产生;支持潜在侵害分析和基于异常检测;支持基本审计查阅和受控审计查阅;提供审计事件选择、受保护的审计踪迹存储和审计数据的可用性确保;
c)能够生产、维护及保护审计过程,使其免遭修改、非法访问及破坏,特别要保护审计数据,要严格限制未经授权的用户访问;
d)能够创建并维护一个对受保护客体访问的审计跟踪,保护审计记录不被未授权的访问、修改和破坏。
e)内置可信硬件模块的终端计算机系统,可信硬件模块应该能审计内部命令运行情况、维护事件、用户秘钥的创建、使用与删除事件或其他专门的可审计事件,提供给上层应用软件查询审计情况的接口,并存储审计记录。
5.3.1.3.13 备份与故障恢复
应以4.2.5中用户数据集备份与恢复、增量信息备份与恢复、局部系统备份与恢复、全系统备份与恢复、备份保护措施,设计与实现终端计算机系统的备份与故障恢复功能。
5.3.1.3.14 I/O接口配置
应以4.2.7中用户自主配置的要求,设计和实现I/O接口配置功能。
5.3.1.3.15 可信时间戳
根据4.2.6中可信时间戳的要求,设计和实现终端计算机系统的可信时间戳功能。
5.3.1.4 应用系统
应按GB/T 20271—2006 中6.3.3的要求,从以下方面来设计、实现或选购安全标记保护级终端计算机系统所需要的应用系统:
a)身份标识与鉴别:根据GB/T 20271—2006中6.3.3.1的描述,实现用户标识、用户鉴别、用户鉴别失败处理和用户-主体绑定的功能;
b)自主访问控制:根据GB/T 20271—2006中6.3.3.3的描述,对应用系统相关资源的访问进行控制,允许合法操作,不允许非法操作;
c)标记:根据GB/T 20271—2006中6.3.3.4的描述,设计和实现应用系统标记功能,为应用系统中的主、客体设置所需要的敏感标记;
d)强制访问控制:根据GB/T 20271—2006中6.3.3.5的描述,对应用系统相关资源的访问进行控制,允许合法操作,不允许非法操作;
e)安全审计:根据GB/T 20271—2006中6.3.2.4的描述,提供应用系统安全审计功能;
f)数据保密性保护:根据GB/T 20271—2006中6.3.3.8的描述,设计和实现应用系统的用户数据保密性保护功能;
g)数据完整性保护:根据GB/T 20271—2006中6.3.3.7的描述,对应用系统内部存储、处理和传输的用户数据应提供保证用户数据完整性的功能。
5.3.2 安全保证要求
5.3.2.1 SSOTCS自身安全保护
a)可信根安全保护:应按以下要求实现终端计算机系统的可信根:
----存储根和报告根应设置在可信硬件模块内;
----可信硬件模块应通过国家专门机构测评认证;
----应对度量根采取物理保护措施;
b)SSF物理安全保护:应按以下要求实现终端计算机安全标记保护级SSF的物理安全保护;
----应按GB/T 20271—2006中6.3.4.1的要求,实现终端计算机安全标记验资保护级SSF的物理安全保护;
----应采取适当硬件保护措施防止对可信硬件模块中密码运算模块的能量攻击。
c)SSF运行安全保护:应按以下要求实现终端计算机安全标记保护级SSF的运行安全保护;
----应按GB/T 20271—2006中6.3.4.2的要求,实现终端计算机安全标记保护级SSF的运行安全保护;
----应采取适当的失电保护措施,确保在终端计算机系统推出休眠或待机状态后,能恢复到推出工作状态前的配置,确保信任链系统仍能正常工作;
d)SSF数据安全保护:宜按GB/T 20271—2006中6.3.4.3的要求,实现终端计算机安全标记保护级SSF的数据安全保护;
e)资源利用:宜按GB/T 20271—2006中6.3.4.4的要求,实现终端计算机安全标记保护级的资源利用;
f)SSOTCS访问控制:宜按GB/T 20271—2006中6.2.4.5的要求,实现终端计算机安全标记保护级的SSOTCS访问控制;
5.3.2.2 SSOTCS设计和实现
a)配置管理:按GB/T 20271—2006中6.3.5.1的要求,实现终端计算机安全标记保护级的配置管理;
b)分发和操作:按GB/T 20271—2006中6.3.5.2的要求,实现终端计算机安全标记保护级的分发和操作;
c)开发:按GB/T 20271—2006中6.3.5.3的要求,实现终端计算机安全标记保护级的开发;
d)指导性文档:按GB/T 20271—2006中6.3.5.4的要求,实现终端计算机安全标记保护级的指导性文档;
e)生命周期支持:按GB/T 20271—2006中6.3.5.5的要求,实现终端计算机安全标记保护级的生命周期支持;
f)测试:按GB/T 20271—2006中6.3.5.6的要求,实现终端计算机安全标记保护级的测试。
g)脆弱性测试:应按GB/T 20271—2006中6.3.5.7的要求,实现安全标记保护级的脆弱性测试。
5.3.2.3 SSOTCS管理
按GB/T 20271—2006 中6.3.6的要求,实现终端计算机系统安全标记保护级的SSOTCS 安全管理。
5.4 第四级:安全标记保护级
5.4.1 安全功能要求
5.4.1.1 物理系统
5.4.1.1.1 设备安全可用
计算机安全的重要性
计算机安全的重要性 一、计算机安全的概念 对于计算机安全,国际标准化委员会的定义是"为数据处理系统和采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。我国公安部计算机管理监察司的定义是是指计算机资产安全,即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害。 二、我们在日常生活和工作中遇到的计算机安全威胁 计算机容易受到许多威胁从而造成各种各样损害导致严重损失。这些损害从由于错误而破坏数据库的安全性到火灾摧毁整个计算机中心。损害的原因是多种多样的,例如,看上去可信的员工欺骗系统的行为、外部黑客或粗心的数据录入员。由于很多损害永远也无法被发现,有些机构为了避免公众形象受损所以对损害情况加以掩盖,所以准确的评估计算机安全相关的损害是不可能的。不同的威胁其后果也有所不同:一些是影响数据的性或完整性而另一些则影响系统的可用性。这些威胁包括: 1.错误和遗漏 2 .欺诈和盗窃 3.员工破坏 4.丧失物理和基础设施的支持 5.网络安全攻击 6.有害代码
7.对个人隐私的威胁 这里描述了如今系统运行环境中风险的基本情况。所提到的威胁和相关损害是基于其在当今计算环境中的普遍程度和严重程度以及其预期扩展形势而提出的。本清单并不详尽,有些威胁可以是不同领域的组合产物。这里描述的当前常见威胁概况可以为机构研究其自身的威胁环境提供帮助;但是由于这一话题涉及面比较广阔,所以特定系统所遭遇的威胁可能与这里讨论的有所不同。 为了控制运行信息系统的风险,管理人和用户需要了解系统的缺陷和可能利用缺陷的威胁。对威胁环境的了解使系统管理人得以实施最具成本效益的安全措施。在有些情况下,管理人发现简单容忍预期损害更具有成本效益。这一决策应该基于风险分析的结果。 1、错误和遗漏 错误和遗漏是数据和系统完整性的重要威胁。这些错误不仅由每天处理几百条交易的数据录入员造成,创建和编辑数据的任何类型的用户都可以造成。许多程序,特别是那些被设计用来供个人计算机用户使用的程序缺乏质量控制手段。但是,即使是最复杂的程序也不可能探测到所有类型的输入错误或遗漏。良好的意识和培训项目可以帮助机构减少错误和遗漏的数量和严重程度。用户、数据录入员、系统操作员和程序员的工作中经常会出现直接或间接影响安全的错误。在有些情况下,错误是一种威胁,例如数据录入错误或编程错误会使系统崩溃。在另一些情况下,错误导致了缺陷。错误可以在系统生命周期的任何阶段发生。一项由计算机安全顾问、计算机系统安全和隐私咨询委员会的前成员Robert Courtney进行的关于
安装AIX操作系统
1.1.1安装操作系统 通过光盘启动系统来进行操作系统的安装,其具体步骤如下: 给主机上电,等主机面板的荧光条显示“OK”。 将AIX 6.1安装盘的第一张光盘放入光驱,打开机器上的电源开关按钮,启动机器。 当图形终端显示如下信息时按…F1?键。进入“System Management Services”图形功能菜单。 缺省输入“admin” 选择5进入如下界面 选择1,然后进入如下界面
选择4,进入如下界面 选择2,然后进入如下界面
选择1,然后进入软件安装启动界面,系统在通过光盘引导下开始操作系统系统的安装。设定安装参数 按“1”键,设置安装操作系统时的语言环境为英语 在如下的BOS系统的安装界面选择“2”,即选择“Change/Show Installation Settings and Install”安装方式
说明: 选项1:按照缺省方式安装操作系统。 选项2:如果要改变安装方式和系统设置。 选项3:进入系统维护模式。 在如下的安装界面中选择“1”,重新设置系统的安装方式 在如上的安装界面中选择“1”,重新设置系统的安装方式后有两个功能选项可以供安装者对系统的安装方式进行重新设置。 A、“Method of Installation”(安装方式),其中有三种安装方式可供选择: - New and Complete Overwrite Installation.(完全覆盖) - Migration Installation.(升级安装)
来安装操作系统,即选择“1”,然后进入如下界面 先输入2将已经选择的hdisk1去掉,然后直接回车或输入0 选择hdisk0作为安装的目标盘。 在完成系统安装方式后将正式开始从光盘安装操作系统
电缆终端技术规范书
电缆终端技术规范书-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
高低压电缆头安装作业指导书 1.工程概况及工作量: 2.编制依据和相关文件: 2.2《电气装置安装工程质量检验及评定规程》2002版 2.4《电气装置安装工程电缆线路施工及验收规范》GB50168-2006 2.5《电气装置安装工程接地装置施工及验收规范》GB50169-2006 2.6《电力建设安全施工管理规程》 DL5009.1-2002 2.7《电力建设安全工作规程》 DL4007.1-2002 2.8《电力建设安全工作规程(火力发电厂部分)》 DL5009.1-2002 2.9《电气装置安装工程电气设备交接试验标准》 GBJ50150-2006 2.10热缩材料厂家热缩型终端头使用说明书。 2.11工程建设标准强制性条文 2.12《防止电力生产重大事故的二十五项重点要求》 3.作业进度及劳动力安排: 3.1作业进度安排: 本项目作业计划于2009年5月 15日开始,并根据电气设备安装情况进行相应的施工。 3.2劳动力安排:组长:2人;安装工:4人。 4.作业准备工作及条件: 4.1作业人员的资质要求: 4.1.1作业组长应具有五年以上安装工作经验,工作细心,能安排、组织好安装工作。 4.1.2凡是参加作业的人员都要具备一定程度的现场施工经验,掌握有关工具的正确操作方法,工作细心,听从指挥。 4.1.3凡是参加作业的人员都要通过身体检查及有关的安全考试和培训。 4.2作业工具要求: 4.2.1使用的液压钳必须具有生产厂家的合格证。 4.2.2施工所用工具必须检验合格、并在有效期内。 4.2.3施工所需要的材料、工器具及机械一览表: 序号工具名称规格型号数量序号工具名称规格型 号数量 1 电工工具 2套 6 液压钳 YQK-240 4套 2 钢卷尺 1m 2把 7 电烙铁 300W 2支 3 梅花扳手 8-2 4 2套 8 布砂纸若干 4 热缩枪 1000W 2把 9 白布手套若干 5 钢锯 2把 10 白布若干 4.3作业材料、半成品的质量要求: 4.3.1安装所用的材料均要符合设计要求,并有产品合格证及相关技术资料。 4.3.2采用的各种型号规格线鼻子应符合设计要求,并有产品质量合格证,必须镀锡层表面光滑、无裂纹、伤痕、砂眼。 4.3.3 采用的热缩终端头应符合国家标准。 4.4 作业环境的质量要求: 4.4.1施工区域照明充足、规范,通风良好,通道畅通。
中国南方电网有限责任公司配电自动化馈线终端技术规范书
中国南方电网有限责任公司配电自动化馈线终端技术规范书 (通用部分) 版本号:2016版V1.1 编号: 中国南方电网有限责任公司 2016年3月
本规范对应的专用技术规范目录
配电自动化馈线终端技术规范书使用说明 1. 本技术规范书分为通用部分、专用部分。 2. 项目单位根据需求选择所需设备的技术规范,技术规范通用部分条款及专用部分固化的参数原则上不能更改。 3. 本技术规范书适用于南方电网公司10kV/20kV电压等级配电自动化馈线终端。 4. 项目单位应按实际要求填写“项目需求部分”。如确实需要改动以下部分,项目单位应填写专用部分“表 2.7 项目单位技术差异表”并加盖本单位公章,提交物资招标组织部门。物资招标组织部门及时将“表 2.7 项目单位技术差异表”移交给技术标书审查会。技术标书审查会确认“表2.7 项目单位技术差异表”内容的可行性并书面答复:1)改动通用部分条款及专用部分固化的参数; 2)项目单位要求值超出标准技术参数值; 3)需要修正污秽、温度、海拔等条件。 当发生需求变化时,需由技术规范组织编写部门组织的标书审查会审核通过后,对修改形成的“项目单位技术差异表”,放入技术规范书中,随招标文件同时发出并视为有效,否则将视为无差异。 5. 技术规范的页面、标题、标准参数值等均为统一格式,不得随意更改。 6. 投标人逐项响应技术规范专用部分中“1 标准技术参数”、“2 项目需求部分”和“3 投标人响应部分”三部分相应内容。填写“2 项目需求部分”时,应严格按“项目单位要求值”一栏填写相应的招标文件投标人响应部分的表格。投标人填写技术参数和性能要求时,如有偏差除填写“表3.2投标人技术偏差表”外,必要时应提供相应试验报告。
计算机和信息系统安全保密管理规定
计算机和信息系统安全保密管理规定 第一章总则 第一条为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统) 安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关保密法规标准和中核集团公司有关规定,制定本规定。 第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。 第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。 第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。 第五条本规定适用于公司所有计算机和信息系统安全保密管理工作。 第二章管理机构与职责 第六条公司法人代表是涉密信息系统安全保密第一责任人,确保涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保障,督促检查领导责任制落实。 第七条公司保密委员会是涉密信息系统安全保密管理决策机构,其主要职责:(一)建立健全安全保密管理制度和防范措施,并监督检查落实情况; (二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。 第八条成立公司涉密信息系统安全保密领导小组,保密办、科技信息部(信息化)、党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统安全保密管理工作。 第九条保密办主要职责: (一)拟定涉密信息系统安全保密管理制度,并组织落实各项保密防范措施; (二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案; (三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求; (四)会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审; (五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;(七)组织查处涉密信息系统失泄密事件。 第十条 科技信息部、财会部主要职责是: (一)组织、实施涉密信息系统的规划、设计、建设,制定安全保密防护方案;(二)落实涉密信息系统安全保密策略、运行安全控制、安全验证等安全技术措施;每半年对涉密信息系统进行风险评估,提出整改措施,经涉密信息系统安全保密领导
中国南方电网有限责任公司厂站电能量采集终端技术规范资料
2013-02-07实施 2013-02-07 发布 中国南方电网有限责任公司 发 布 厂站电能量采集终端技术规范 Q/CSG Q/CSG 11109001-2013 中国南方电网有限责任公司企业标准 南方电网市场〔2013〕2号附件
目录 1 范围 (1) 2 规范性引用文件 (1) 3 术语和定义 (1) 3.1 厂站电能量采集终端 (1) 3.2 机架式厂站终端 (1) 3.3 壁挂式厂站终端 (1) 4 技术要求 (2) 4.1 环境条件 (2) 4.2 机械影响 (2) 4.3 工作电源 (2) 4.4 结构 (2) 4.5 绝缘性能要求 (3) 4.6 温升 (3) 4.7 输入/输出回路要求 (4) 4.8 功能要求 (4) 4.9 电磁兼容性要求 (8) 4.10 可靠性指标 (9) 4.11 包装要求 (9) 5检验规则 (9) 5.1 检验分类 (9) 5.2 全性能试验 (9) 5.3 到货抽检 (9) 5.4 到货验收 (10) 5.5 验收结果的处理 (10) 5.6 检验项目 (10)
前言 按照中国南方电网有限责任公司实现电能计量“标准化、电子化、自动化、智能化”的战略目标要求,参考国家和行业标准,结合公司目前和未来的应用需求,对2008年颁布的《营销自动化系列标准》进行了修订,形成《计量自动化终端系列标准》。 本系列标准包括《中国南方电网有限责任公司负荷管理终端技术规范》、《中国南方电网有限责任公司负荷管理终端检验技术规范》、《中国南方电网有限责任公司配变监测计量终端技术规范》、《中国南方电网有限责任公司配变监测计量终端检验技术规范》、《中国南方电网有限责任公司低压电力用户集中抄表系统集中器技术规范》、《中国南方电网有限责任公司低压电力用户集中抄表系统集中器检验技术规范》、《中国南网电网有限责任公司低压电力用户集中抄表系统采集器技术规范》、《中国南方电网有限责任公司低压电力用户集中抄表系统采集器检验技术规范》、《中国南方电网有限责任公司厂站电能量采集终端技术规范》、《中国南方电网有限责任公司厂站电能量采集终端检验技术规范》、《中国南方电网有限公司计量自动化终端外形结构规范》、《中国南方电网有限责任公司计量自动化终端上行通信规约》等12个标准。 本标准与《中国南方电网有限责任公司厂站电能量采集终端检验技术规范》,对厂站电能量采集终端外形结构、技术要求和检验验收等规则做出了规定,是中国南方电网有限责任公司厂站电能量采集终端招标采购、检验验收及质量监督等工作的技术依据。自本标准生效之日起,2008年颁布的《营销自动化系统厂站电能量采集终端技术条件》即行废止。 本标准由中国南方电网有限责任公司市场营销部归口。 本标准由中国南方电网有限责任公司市场营销部提出并负责解释。 本标准起草单位:广东电网公司电力科学研究院。 本标准主要起草人:孙卫明、郑龙、石少青、肖勇、党三磊、张亚东、伍少成。 本标准由中国南方电网有限责任公司标准委员会批准。
配电自动化馈线终端FTU技术规范
配电自动化馈线终端 F T U技术规范 SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#
配电自动化馈线终端(FTU) 技术规范
目录
配电自动化馈线终端(FTU)技术规范 1 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本适用于本文件。 GB/T 电磁兼容试验和测量技术抗扰度试验总论 GB/T 静电放电抗扰度试验 GB/T 射频电磁场辐射抗扰度试验 GB/T 浪涌(冲击)抗扰度试验 GB/T 电快速瞬变脉冲群抗扰度试验 GB/T 工频磁场的抗扰度试验 GB/T 阻尼振荡磁场的抗扰度试验 GB/T 电压暂降、短时中断和电压变化抗扰度试验 GB/T 远动设备及系统第2部分:工作条件第1篇:电源和电磁兼容兼容性 GB/T 11022 高压开关设备和控制设备标准的共用技术要求 GB/T 14285 继电保护和安全自动装置技术规程 GB/T 4208 外壳防护等级(IP) GB/T 13729 远动终端设备 GB/T 5096 电子设备用机电件基本试验规程及测量方法 GB/T 19520 电子设备机械结构 GB 低压成套开关设备和控制设备第五部分:对户外公共场所的成套设备—动力配电网用电缆分线箱(CDCs)的特殊要求 DL/T 637-1997 阀控式密封铅酸蓄电池订货技术条件 DL/T 721 配电网自动化系统远方终端 DL/T 远动设备及系统第5-101部分:传输规约基本远动任务配套标准 DL/T 远动设备及系统第5-104部分:传输规约采用标准传输协议子集的IEC60870-5-101网络访问 DL/T 814 配电自动化系统功能规范 Q/GDW 382 配电自动化技术导则 Q/GDW 513 配电自动化主站系统功能规范 Q/GDW 514 配电自动化终端/子站功能规范 Q/GDW 625 配电自动化建设与改造标准化设计技术规定 2 技术要求 概述 馈线终端的结构形式可分为箱式馈线终端和罩式馈线终端。 箱式馈线终端
软件系统安全规范
一、引言 1.1目的 随着计算机应用的广泛普及,计算机安全已成为衡量计算机系统性能的一个重要指标。 计算机系统安全包含两部分内容,一是保证系统正常运行,避免各种非故意的错误与损坏;二是防止系统及数据被非法利用或破坏。两者虽有很大不同,但又相互联系,无论从管理上还是从技术上都难以截然分开,因此,计算机系统安全是一个综合性的系统工程。 本规范对涉及计算机系统安、全的各主要环节做了具体的说明,以便计算机系统的设计、安装、运行及监察部门有一个衡量系统安全的依据。 1.2范围 本规范是一份指导性文件,适用于国家各部门的计算机系统。 在弓I用本规范时,要根据各单位的实际情况,选择适当的范围,不强求全面采用。 二、安全组织与管理 2.1安全机构 2.1.1单位最高领导必须主管计算机安全工作。 2.1.2建立安全组织: 2.1.2.1安全组织由单位主要领导人领导,不能隶属于计算机运行或应用部门。 2.1.2.2安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通信等有关方面人员组成。 2.1.2.3安全负责人负责安全组织的具体工作。 2.1.2.4安全组织的任务是根据本单位的实际情况定期做风险分析,提出相应的对策并监督实施。 2.1.3安全负责人制: 2.1.3.I确定安全负责人对本单位的计算机安全负全部责任。 2.1.3.2只有安全负责人或其指定的专人才有权存取和修改系统授权表及系统特权口令。 2.1.3.3安全负责人要审阅每天的违章报告,控制台操作记录、系统日志、系统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料。2.1.3.4安全负责人负责制定安全培训计划。 2.1.3.5若终端分布在不同地点,则各地都应有地区安全负责人,可设专职,也可以兼任,并接受中心安全负责人的领导。 2.1.3.6各部门发现违章行为,应向中心安全负责人报告,系统中发现违章行为要通知各地有关安全负责人。 2.1.4计算机系统的建设应与计算机安全工作同步进行。 2.2人事管理 2.2.1人员审查:必须根据计算机系统所定的密级确定审查标准。如:处理机要信息的系统,接触系统的所有工作人员必须按机要人员的标准进行审查。
浅谈计算机系统的安全防范
竭诚为您提供优质的服务,优质的文档,谢谢阅读/双击去除 浅谈计算机系统的安全防范 浅谈计算机系统的安全防范随着计算机及网络技术与应用的不断发展,伴随而来的计算机系统安全问题越来越引起人们的关注。计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强计算机系统安全工作,是信息化建设工作的重要工作内容之一。一、计算机系统面临的安全问题目前,广域网应用已遍全省各级地税系统。广域网覆盖地域广、用户多、资源共享程度高,所面临的威胁和攻击是错综复杂的,归结起来主要有物理安全问题、操作系统的安全问题、应用程序安全问题、网络协议的安全问题。(一)物理安全问题网络安全首先要保障网络上信息的物理安全。
物理安全是指在物理介质层次上对存贮和传输的信息安全保护。目前常见的不安全因素(安全威胁或安全风险)包括三大类:1.自然灾害(如雷电、地震、火灾、水灾等),物理损坏(如硬盘损坏、设备使用寿命到期、外力破损等),设备故障(如停电断电、电磁干扰等),意外事故。2.电磁泄漏(如侦听微机操作过程)。3.操作失误(如删除文件,格式化硬盘,线路拆除等),意外疏漏(如系统掉电、死机等系统崩溃)4.计算机系统机房环境的安全。(二)操作系统及应用服务的安全问题现在地税系统主流的操作系统为windows操作系统,该系统存在很多安全隐患。操作系统不安全,也是计算机不安全的重要原因。(三)黑客的攻击人们几乎每天都可能听到众多的黑客事件:一位年仅15岁的黑客通过计算机网络闯入美国五角大楼;黑客将美国司法部主页上的美国司法部的字样改成了美国不公正部;黑客们联手袭击世界上最大的几个热门网站如yahoo、amazon、美国在线,使得他们的服务器不能提供正常的服务;黑客袭击中国的人权网站,将人权网站的主页改成反政府的言论;贵州多媒体通信网169网遭到黑客入侵;黑客攻击上海信息港的服务器,窃取数百个用户的账号。这些黑客事件一再提醒人们,必须高度重视计算机网络安全问题。黑客攻击的主要方法有:口令攻击、网络监听、缓冲区溢出、电子邮件攻击和其它攻击方法。(四)面临名目繁多的计算机病毒威胁计算机病毒将导致计算机系统瘫痪,程序和数据严重破坏,使网络的效率和作用大大降低,使许多功能无法使用或不敢使用。虽然,至今尚未出现灾难性的后果,但层出不穷的各种各样的计算机病毒活跃在各个
新电脑怎样安装操作系统
新電腦怎樣安裝操作系統 开机后不停的安小键盘区的Del、F2或F10(大部分的电脑是Del,有些品牌电脑是F2或F10(惠普电脑F10))以进入COMS。在BIOS advanced中将First boot设置改为CDROM(光盘启动)。 WindowsXP安装视频 https://www.docsj.com/doc/5b1452932.html,/05/0724/11/1PE2UE3T00091589.html 手把手教菜鸟如何安装系统 小编:很多计算机的初学者认为系统的安装是一件非常困难的事情,因此小编整理了一下有关资料送给那些刚刚初学电脑的朋友,希望借此可以解决你的忧虑。 win98安装 用启动盘或安装光盘进入DOS: 分好区以后,我们开始安装系统了。具体操作是开机时按del,进入cmos中,在第二项bios advance feturu 中的first boot设为floppy后按f10保存,插入启动盘重起既可;如果用光盘,把floppy改成CD-ROM即可 1.首先,由于我们的计算机只有DOS操作系统,因此,我们必须在DOS下安装Windows。进入DOS 后,转到您要安装WINDOWS98的目录盘下(一般为C盘),系统默认的盘符一般也是C盘,如果您进入DOS后还没有进行任何操作的话,那么就可以直接进行安装了。在确定格式化C盘以后转到WINDOWS98的安装盘所在的目录下,应该为我们的光驱所在的目录,直接在盘符后敲SETUP回车即可开始安装。 2.然后便会出现“欢迎安装WINDOWS98”界面。可以看到左边是安装的进度显示,目前处在“WINDOWS98安装程序将开始运行”——WINDOWS98安装程序的第一部分。 3.用鼠标单击“继续”按钮,WINDOWS98安装程序便开始对系统和驱动器进行常规检查,一切正常的话按“继续”按钮,WINDOWS98开始准备“安装向导”。自此,你可以让计算机自己操作,一切进展情况可以从屏幕中的进度条中了解。此间大约需要2分钟。 4.现在,屏幕上又会出现“软件许可协议”对话框,点选“接受协议”方可进行“下一步”,否则安装不能进行。 5.紧接着,出现了“产品密钥”输入框,你可从磁盘中附有的说明书中找到WINDOWS 98的序列号,输入无误后单击“下一步”按钮。 6.好了,现在WINDOWS98安装程序进入第二部分:“正在收集计算机的相关信息”。WINDOWS98对系统进行检查,确保有足够的硬盘空间来安装WINDOWS 98。 7.接着系统会让你选择安装目录(默认为系统所选择的目录),然后是一些安装组件的对话框。推荐安装方式将安装最常用的系统组件,最合适初学安装操作系统的初学者。自定义安装方式,可由用户自行
光缆终端盒技术规范(修改)
光缆终端盒技术规范 () 深圳科信通信设备有限公司 2011年11月
目录 1.光缆终端盒范围和技术要求 (1) 2. 规范性引用文件 (1) 3.术语和定义: (1) 4. 基本要求 (1) 环境要求 (1) 外观要求 (1) 机械性能要求 (2) 5.箱体要求 (3) .箱体材料 (3) 箱体尺寸 (4) 工艺要求 (7) 光缆的固定和保护功能 (7) 6. 试验方法 (8) 试验环境条件 (8) 外观结构检查 (8) 功能检查 (8) 光组件性能试验 (8) 高压防护接地装置试验 (10) 机械物理性能检查 (10) 燃烧性能试验 (10) 环境条件试验 (10) 有毒有害物质含量的试验 (11) 7 检验 (11) 检验规则 (11) 出厂检验 (11) 抽样方案 (12) 8. 标志、包装、运输、贮存 (14) 标志14 包装15 运输贮存 (15) 9. 质量保证体系 (15)
10. 技术文件 (15)
1.光缆终端盒范围和技术要求 本规范应用范围为光传输网络、光接入网等需要实现光缆、光纤的连接与调度的场景,实现端接主干光缆与配线光缆功能。本规范对光缆终端盒中的分光、熔纤、配线各种性能、技术指标等方面提出了具体的要求。 本规范依据中华人民共和国通信行业规范YD/T 925-2009 通信光缆终端盒等相关规范.和泰尔认证中心《配线设备认证实施规则》编制而成,设备厂商提供的产品应符合其规定。随着规范的修订,设备厂商提供的产品应符合最新规范的要求。 2. 规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。 YD/T 925-2009 光缆终端盒 YD/T 光纤活动连接器SC型 YD/T 光纤活动连接器FC型 GB 4208-2008 外壳防护等级(IP 代码) GB/T 2408-1996 塑料燃烧性能试验方法水平法和垂直法 GB/T 光缆总规范第2部分: 光缆基本试验方法 3.术语和定义: 光缆终端盒主要用于光缆终端的固定,光缆与尾纤的熔接及余纤的收容和保护;用于室内光缆的直通力接和分支接续,起到尾纤盘储和保护接头的作用,采用冷轧钢板静电喷塑制成,设计结构合理,美观大方可将光缆加强芯固定在终端。 4. 基本要求 环境要求 4.1.1工作温度:-5?C~+40?C。 4.1.2相对湿度:≤85%(+30?C时) 4.1.3 大气压力:-45℃~+70℃ 外观要求 4.2.1 涂层颜色 箱体表面涂层颜色推荐使用灰白色或浅灰色,涂层应符合GB/T 3181-1995中表2的要求。
《税务计算机信息系统安全管理规定》
《税务计算机信息系统安全管理规定》
————————————————————————————————作者:————————————————————————————————日期: 2
国家税务总局关于印发《税务计算机 信息系统安全管理规定》的通知 1999年7月20日国税发【1999】131号 各省、自治区、直辖市和计划单列市国家税务局、地方税务局,扬州培训中心、长春税务学院: 为加强全国税务机关计算机信息系统安全保护工作,保证税收电子化事业的顺利发展,根据公安部、国家保密局的有关规定,针对新形势下计算机应用的特点,总局对1997年发布的《税务系统计算机系统安全管理暂行规定》(国税发【1997】069号)进行了修订和完善,并更名为《税务计算机信息系统安全管理规定》。现印发给你们,请遵照执行。原国税发【1997】069号同时作废。 国家保密局国保发【1998】1号、中央保密委员会、国家保密局中保发【1998】6号、中华人民共和国公安部令第33号等文件随本文一并印发。 税务计算机信息系统安全管理规定 第一章总则 第一条根据《中华人民共和国保守国家秘密法》和公安部、国家保密局的有关规定及要求,为了更好地规范和管理税务系统的计算机、网络设备和电子信息,使之安全运行,更好地发挥计算机、网络和信息资源的作用,特制定《税务计算机信息系统安全管理规定》(以下简称《规定》)。 第二条本《规定》适用于全国地市级以上税务机关的网络、计算机及附属设备和电子数据的管理。 第三条税务系统计算机信息系统安全保护工作谁主管、谁负责,预防为主、综合治理、人员防范与技术防范相结合的原则,逐级建立安全保护责任制,加强
GB17859-1999计算机信息系统安全系统保护等级划分准则
GB17859-1999计算机信息系统安全保护等级划分准则 1 范围 本标准规定了计算机系统安全保护能力的五个等级,即: 第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全标记保护级; 第四级:结构化保护级; 第五级:访问验证保护级。 本标准适用计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。 2 引用标准 下列标准所包含的条文,通过在本标准中引用而构成本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。 GB/T 5271 数据处理词汇 3 定义
除本章定义外,其他未列出的定义见GB/T 5271。 3.1 计算机信息系统computer information system 计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 3.2 计算机信息系统可信计算基trusted computing base of computer information system 计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。 3.3 客体object 信息的载体。 3.4 主体subject 引起信息在客体之间流动的人、进程或设备等。 3.5 敏感标记sensitivity label 表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。 3.6 安全策略security policy 有关管理、保护和发布敏感信息的法律、规定和实施细则。 3.7 信道channel 系统内的信息传输路径。 3.8 隐蔽信道covert channel
如何远程为别人的电脑安装操作系统
如何远程为别人的电脑安装操作系统 重装[url=javascript:;]系统[/url],想必很多人都试过,坐在要重装系统[url=javascript:;]电脑[/url]前,按步就班来做就是了。但给远在几十公里甚至上千公里外的电脑重装系统呢?用“远程协助”功能来搞。这个方法试过多次,感觉还可以,虽然在[url=javascript:;]应用[/url]上受到一定的限制,但对于喜欢搞搞新意思的朋友来说,也是一件好玩的事情。 一、发生背景 偶尔利用QQ的“远程协助”给网友清除Rootkit木马,曾有网友想重装系统,但他不会装。于是我想是否可以远程帮他重装呢?经过多方研究,终于找到一个远程重装系统的方法。 二、基本思路 因为对方的电脑是用QQ与自己连接的,一旦进入重装过程,QQ就会断掉,不能控制对方的电脑,所以,安装一定要是全自动的才行。XP的正常安装[url=javascript:;]模式[/url]也可以实现全自动应答安装,但有个前提,就是事先要格式化C盘,否则,还是会出现手动[url=javascript:;]选择[/url]界面。相比之下,GHOST版的系统能够实现全自动安装,而且还集成了常用[url=javascript:;]软件[/url],更可贵的是,它还装了QQ以及设置了ADSL拨号,这样系统安装完后,对方可以上QQ,双方又重新连接上,从而能够进行一些后续设置或安装游戏。 怎样才能让对方的电脑进入自动安装过程呢?用DOS/XP双启动,这样重启XP后,就可以自动进入dos。怎么搞成DOS/XP双启动呢,当然可以用“矮人dos”之类的软件,但要修改其中的代码,不如自己做个dos。起初是在dos的批处理中,加入这段代码:ghost.exe-clone,mode=pload,src=x:x\winxpsp2.gho,dst=1:1-sure-rb,然后用“虚拟软驱”这个软件搞XP/DOS双启动,然后修改boot.ini文件,从而实现自动安装系统的。 后来,发现bt下载到东海大侠的“GHOSTXP_SP2电脑公司特别版”的ISO文件中已经有个“硬盘安装器”,能够自动提取gho文件、搞XP/DOS双启动、修改boot.in文件等。哈哈,就改用它啦,免得要用大量篇幅讲述如何修改dos系统文件代码。 当如果没有下到“GHOSTXP_SP2电脑公司特别版”的话,可以到这里(soft.ylmf./downinfo/547.html)[url=javascript:;]下载[/url]“OneKeyGhost”来用,不过要事先手工提取ISO中的gho文件。 三、具体操作、实战截图 第一步,在QQ中进行“远程协助”连接。至于如何进行远程控制,这里就不详细说明了。 第二步,为对方下载ghost版的iso文件和“OneKeyGhost”。 1、把下载ghost版的下载网址发到对方,然后下载。我用的是东海GHOSTXP_SP2电脑公司特别版v7.X版本,小路工作室(.wzlu./)、小猫下载(down2.kittydown./)等可以下载,也可以用“雨林木风”或“jujumao”的ghost版。 2、下载“OneKeyGhost”(如果是下东海的7.x版本,就不用下这个了),将“OneKeyGhost”的下载地址在QQ中发过去,然后用下载软件下载,这个软件很小,很快就下完了。 下载ISO的时间较长,一般要3个小时左右,这时,你应该断开远程协助,告诉他下完后再联络,一般是要等到第二天再来的啦,呵呵!不要尝试从自己这边发gho文件过去,因为除了速度太慢的不说,容易断线问题让你白忙乎,一旦断了,又得从头开始。 第三步,运行“硬盘安装器”或“OneKeyGhost”。
配网自动化终端技术条件书DTU设备
配网自动化终端技术条件书D T U设备 SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#
配电自动化终端设备采购 技术规范书 国网宁夏电力公司银川供电公司配检中心 二零一五年三月
目录
第一章总则 1.为适应国网宁夏电力公司银川供电公司配电自动化系统中配 电终端的发展需要,提高设备运行的安全可靠性,加强配电自动化终端设备技术管理,规范采购技术要求,特制定本技术规范书。 2.本技术规范书是依据国际、国家和行业的有关标准、规程和规 范并结合公司运行情况而制定的。 3.本设备技术规范书提出的是最低限度的技术要求, 并未对一 切技术细节作出规定, 也未充分引述有关标准和规范的条文, 投标方应提供符合本规范书和工业标准的优质产品。 4.本设备技术规范书所使用的标准如遇与投标产品所执行的标 准不一致时, 按较高标准执行。 5.本设备技术规范书经招标方和投标方确认后作为订货合同的 技术附件与合同正文具有同等法律效力。 6.本规范书对配电自动化终端设备的技术条件提出了具体要 求,适用于规范配电自动化终端设备的采购技术管理。 第二章引用标准 下列文件中的条款通过本标书的引用而构成为本规范的条款。GB 50053-1994 10kV及以下变电所设计规范 GB 50059-1992 35~110kV变电所设计规范 GB 50052-2009 供配电系统设计规范 GB/T 14049-2008额定电压10、35kV架空绝缘电缆
GB 50061-1997 66kV及以下架空电力线路设计规范 GB/T4623-2006 环形钢筋混凝土电杆 GB50169-2006 电气装置安装工程接地装置施工及验收规范GB50168-2006 电气装置安装工程电缆工程施工及验收规范GB50217-2007 电力工程电缆设计规范 GB11032-2000 交流无间隙金属氧化物避雷器 GB4208-2008 外壳防护等级(IP代码) DL/T599-2005 城市中低压配电网改造技术导则 DL/T601-1996 架空绝缘配电线路设计技术规程 DL/T621-1997 交流电气装置的接地 DL/T620-1997 交流电气装置的过电压保护和绝缘配合 DL/T5220-2005 10kV及以下架空配电线路设计技术规程 DL/T5221-2005 城市电力电缆线路设计技术规定 DL/T741-2001 架空送电线路运行规程 DL/T814-2002 配电自动化系统功能规范 DL/T836-2003 供电系统用户供电可靠性评价规程 DLGJ154-2000 电缆防火措施设计和施工与验收标准 GB/T 13730 地区电网数据采集与监控系统通用技术条件GB/T 13729 远动终端设备 DL/T 630 交流采样远动终端技术条件 DL 451 循环式远动规约 DL/T 远动设备及系统标准传输协议子集第101部分
Q/GDW 428-2010《智能变电站智能终端技术规范》及概要
Q / GDW 212 — 2008 ICS 29.240 国家电网公司企业标准 Q / GDW 428 — 2010 智能变电站智能终端技术规范 The technical specification for Intelligent terminal in Smart Substation 2010-××-××发布 2010-××-××实施 国家电网公司发布 Q/GDW Q / GDW 428 — 2010 I 目次 前 言 ·················································································································································· II 1 范 围 ·············································································································································· 1 2 引用标 准 ······································································································································· 1 3 基本技术条 件 ································································································································ 1 4 主要性能要 求 ········································································································
计算机系统安全工作守则正式版
Through the reasonable organization of the production process, effective use of production resources to carry out production activities, to achieve the desired goal. 计算机系统安全工作守则 正式版
计算机系统安全工作守则正式版 下载提示:此安全管理资料适用于生产计划、生产组织以及生产控制环境中,通过合理组织生产过程,有效利用生产资源,经济合理地进行生产活动,以达到预期的生产目标和实现管理工作结果的把控。文档可以直接使用,也可根据实际需要修订后使用。 在电力生产经营活动中,计算机系统发挥出越来越重要的作用。制定计算机系统的安全工作守则,从制度上杜绝事故隐患,是保证计算机系统安全运行的有效保护。以下是肇庆供电分公司制定的计算机系统安全工作守则,供同行对参考。 1 进入机房工作安全守则 (1)进入机房必须更换清洁的拖鞋,机房专用拖鞋不得在机房范围以外穿着。 (2)严禁在机方内吸烟、吃东西及大声喧哗。
(3)严禁携带任何易倾泻液体的容器进入机房。 (4)配电箱及机柜内的设备,需经机房专人许可,方可进行操作。 (5)所有需接入调度自动化系统的服务器、工作站、手提电脑,必须提前经专人检测、审核、批准,经许可后方能接入网络。 (6)必须保证调度自动化系统的信息安全,不得盗用、发布、传播任何数据、资料或图纸。 (7)必须保持机房的清洁和整齐,工作结束后不得留有任何垃圾。 2 设备安全要求 (1)系统内所有的计算机,需要增
计算机系统安全性分析
计算机系统安全性分析 摘要: 1 引言 随着计算机科学技术的迅速发展和广泛应用,计算机系统的安全问题已成为人们十分关注的重要课题。对计算机系统的威胁和攻击主要有两类:一类是对计算机系统实体的威胁和攻击;一类是对信息的威胁和攻击。计算机犯罪和计算机病毒则包含了对实体和信息两个方面的威胁和攻击。计算机系统实体所面临的威胁和攻击主要指各种自然灾害、场地和环境因素的影响、战争破坏和损失、设备故障、人为破坏、各种媒体设备的损坏和丢失。对实体的威胁和攻击,不仅造成国家财产的严重损失,而且会造成信息的泄漏和破坏。因此,对计算机系统实体的安全保护是防止对信息威胁和攻击的有力措施。对信息的威胁和攻击主要有两种方式:一种是信息泄漏,一种是信息破坏。信息泄漏是指故意或偶然地侦收、截获、窃取、分析、收集到系统中的信息,特别是机密信息和敏感信息,造成泄密事件。信息的破坏是指由于偶然事故或人为因素破坏信息的完整性、正确性和可用性,如各种软硬件的偶然故障,环境和自然因素的影响以及操作失误造成的信息破坏,尤其是计算机犯罪和计算机病毒造成信息的修改、删除或破坏,将导致系统资源被盗或被非法使用,甚至使系统瘫痪。 2、计算机系统安全概述 计算机系统(computer system)也称计算机信息系统(Computer Information System),是由计算机及其相关的和配套的设备、设施(含网络)构成的,并按一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。计算机系统安全(computer system security)中的“安全”一词是指将服务与资源的脆弱性降到最低限度。脆弱性是指计算机系统的任何弱点。