《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)
《信息安全技术 信息系统通用安全技术要求》标准依据GB17859-1999《计算机信息系统安全保护等级划分准则》划分的五个安全保护等级,规定了信息系统安全所需要的安全技术的各个安全等级要求。 该标准主要从信息系统安全保护等级划分角度,说明为实现GB17859-1999中每一个安全保护等级的安全功能要求应采取的安全技术措施,以及各安全保护等级的安全功能在具体实现上的差异。 该标准首先对信息安全等级保护所涉及的安全功能技术要求和安全保证技术要求做了比较全面的描述,然后按GB17859-1999的五个安全保护等级,对每一个安全保护等级的安全功能技术要求和安全保证技术要求做了详细描述。标准以附录的形式给出了标准中各概念的说明,等级化信息系统安全设计的参考,以及安全技术要素与安全技术分等级要求之间的对应关系。 该标准适用于按等级化要求进行的安全信息系统的设计和实现,对按等级化要求进行的信息系统安全的测试和管理可参照使用。
信息安全技术 信息系统通用安全技术要求
Information security technology — Common techniques requirement for information system security
2006-05-31 发布 2006-12-01 实施
中华 人 民 共 和 国 国 家 质 量 监 督 检 验 检 疫 总 局
中 国 国 家 标 准化管理委员会 发布
1范围
本标准依据GB 17859--1999的五个安全保护等级的划分,规定了信息系统安全所需要的安全技术的各个安全等级要求。
本标准适用于按等级化要求进行的安全信息系统的设计和实现,对按等级化要求进行的信息系统安全的测试和管理可参照使用。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后薪著的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 1859--1999计算机信息系统安全保护等级划分准则
GBJ 45-1982 高层民用建筑设计防火规定
TJ 16-1974 建筑设计防火规范
3术语
GB 17895-1999确立的以及下列术语和定义适用于本标准
3.1.1
信息系统安全 security of information system
信息系统及其所存储、传输和处理的信息的保密性、完整性和可用性的表征。
3.1.2
信息系统通用安全技术 common security technology of information system
实现各种类型的信息系统安全所普遍适用的安全技术。
3.1.3
信息系统安全子系统security subsystem of information system
信息系统内安全保护装置的总称,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的信息系统安全保护环境,并提供安全信息系统所要求的附加用户服务。
注:按照GB 17859--1999对TCB(可信计算基)的定义,SSOIS(信息系统安全子系统)就是信息系统的TCB。
3.1.4
安全要素"security element
本标准中的安全功能技术要求和安全保证技术要求所包含的安全内容的组成成分。
3.1.5
安全功能策略 security function policy
为实现SSOIS安全要素要求的功能所采用的安全策略。
3.1.6
安全功能 security function
为实现安全要素的要求,正确实施相应安全功能策略所提供的功能。
3.1.7
安全保证security assurance
为确保安全要素的安全功能达到要求的安全性目标所采取的方法和措施。
3.1.8
SSOIS安全策略 SSOIS security policy
对SSOIS中的资源进行管理、保护和分配的一组规则.一个SSOIS中可以有一个或多个安全策略。
3.1.9
SSOIS安全功能 SSOIS security function
正确实施SSOIS安全策略的全部硬件、固件、软件所提供的功能.每一个安全策略的实现,组成一个SSOIS安全功能模块.一个SSOIS的所有安全功能模块共同组成该SSOIS的安全功能。
3.1.10
SSF控制范围 SSF scope of control
SSOIS的操作所涉及的主体和客体的范围。
3.1.11
用户标识user identification
用来标明用户的身份,确保用户在系统中的唯一性和可辨认性。一般以用户名称和用户标识符
(UID)来标明系统中
3.1.12
用户鉴别 user authentication
用特定信息对用用户身份的真实性进行确认,用于鉴别的信息一般是非公开的、难以仿造。
3.1.13
用户一主体绑定 user subject binding
用一定方法将指定用户与为其服务的主体(如进程)相关联。
3.1.14
主、客体标记 label of subject and object
为主、客体指定敏感标记。这些敏感标记是等级分类和非等级类别的组合.是实施强制访问控制的依据。
3.1.15
安全属性 security attribute
用于实施安全策略,与主体、客体相关的信息。对于自主访问控制,安全属性包括确定主、客体访问关系的相关信息l对于采用多级安全策略模型的强制访问控制,安全属性包括主、客体的标识信息和安全标记信息.
3.1.16
自主访问控制 discretionary access control
由客体的所有者主体自主地规定其所拥有客体的访问权限的方法。有访问权限的主体能按授权方式对指定客体实施访问,并能根据授权,对访问权限进行转移。
3,1.17
强制访问控制 mandatory access control
由系统根据主、客体所包含的敏感标记,按照确定的规则,决定主体对客体访问权限的方法.有访问权限的主体能按授权方式对指定客体实施访问.敏感标记由系统安全员或系统自动地按照确定的规则进行设置和维护。
3.1.18
回退 rollback
由于某种原因而撤消上一次/一系别操作,并返回到该操作以前的已知状态的过程。
3.1.19
可信信道 Trusted channel
为了执行关键的安全操作,在SSF场地其他可信IT产品之间建立和维护的保护通信数据免遭修改和泄漏的通信路径。
3. 1.20
可信路径 trusted path
为实现用户与SSF之间的可信通信,在SSF与用户之间建立和维护的保护通信数据免遭修改和泄漏的通信路径.
3.1.21
公开用户数据 published user data
信息系统中需要向所有用户公开的数据。该类数据需要进行完整性保护。
3.1.22
内部用户数据 internal user data
信息系统中具有很高使用价值或保密程度,需要进行特别保护的用户数据,该类数据的泄漏或破坏,会带来一定损失.
3.1.23重要用户数据 important user data
信息系统中具有很高使用价值或保密程度,需要进行重点保护的用户数据,该类数据的泄漏或破坏,会带来一定损失.
3.1.24关键用户数据 key user data
信息系统中具有很高使用价值或保密程度,需进行特别保护的用户数据,该类数据的泄漏或被破坏会带来重大损失。
3. 1.25
核心用户数据 nuclear user data
信息系统中具有最高使用价值或保密程度,需要进行绝对保护的用户数据,该类数据的泄漏或破坏会带来灾难性损失.
3.1.26
容错 tolerance
通过一系列内部处理措施、将软、硬件所出现的错误消除掉,确保出错情况下SSOIS所提供的安全功能的有效性和可用性。
3.1.27
服务优先级 priority of service
通过对资源使用的有限控制策略,确保SSOIS中高优先级任务的完成不受低优先级任务的干扰和延误,从而确保SSOIS安全功能性。
3.1.28
资源分配resource allocation
通过对SSOIS安全功能控制范围内资源的合理管理和调度,确保SSOIS的安全功能不因资源使用
方面的原因而受到影响。
3.1.29
配置管理 conflguration management
一种建立功能要求和规范的方法,该功能要求和规范是在SSOIS的执行中实现的
3.1.30
配置管理系统 conflguration management system
通过提供追踪任何变化,以及确保所有修改都已授权的方法,确保SSOIS各部分的完整性。
3.1.31
保护轮廓 protecrion profile
详细说明信息系统安全保护需求的文档,即通常的安全需求,一般由用户负责编写。
3.1.32
安全目标 srcurity management
阐述信息系统安全功能及信任度的文档,即通常的安全方案,一般由开发都编写。
3.1.33
SSOIS 安全管理 SSOIS srcurity management
对与SSOIS安全相关方面的管理,饮用对不同的管理角色各它们之间的相互作用(如能力的分离)进行规定,对分散在多个物理上分离的部件有关敏感标记的传播、SSF数据和功能的修改等问题的处理。
3.1.34
安全功能数据 srcurity function date
安全子系统中各个安全功能模块实现其安全功能所需要的数据,如主动、客体的安全属性,审计信息、鉴别信息等。
3.2
下列缩略语适用于本标准
GM 配置管理 configuration management
CMS 配置管理系统 configuration management system
PP 保护轮廓 protecrion profile
SFP 安全功能策略 srcurity function policy
SSC SSF控制范围 SSF scope of control
SSF SSOIS安全功能 SSOIS srcurity function
SSP SSOIS安全策略 SSOIS srcurity policy
SSOIS 信息系统安全了系统 srcurity subsystem of information system
ST 安全目标 srcurity target
4 安全功能技术
4.1 物理安全
4.1.1中心机房的安全保护
4.1.1.1机房场地的选择
根据对机房安全保护的不同要求,机房场地选择分为:
a)基本要求:按一般建筑物的要求进行机房场地选择
b)防火要求:避开易发生火灾和危险程度高的地区,如油库和其他易燃物附近的区域
c)防污染要求:避开尘埃、有毒气体、腐蚀性气体、盐雾腐蚀等环境污染的区域。
d)防潮及防雷要求:避开低洼、潮湿及落雷区域。
e)防震动和噪声要求:避开强震动源和强噪声源区域,
f)防强电场、磁场要求:避开强电场和强磁场区域;
g)防地震、水灾要求,避开有地震、水灾危害的区域I
h)位置要求:避免在建筑物的高层以及用水设备的下层或隔壁;
i)防公众干扰要求。避免靠近公共区域,如运输通道、停车场或餐厅等。
4.1.1.1.2机房内部安全防护
根据对机房安全保护的不同要求,机房内部安全防护分为:
~ a)机房出入:机房应只设一个出入口,并有专人负责,未经允许的人员不准进入机房;另设若干紧急疏散出口,标明疏散线路和方向;
b)机房物品。没有管理人员的明确准许,任何记录介质、文件材料及各种被保护品均不准带出机房,磁铁、私人电子计算机或电设备、食品及饮料、香烟、吸烟用具等均不准带入机房;
c)机房人员:获准进入机房的来访人员,其活动范围应受到限制,并有接待人员陪同l
d)机房分区,机房内部应分区管理,一般分为主机区、操作区、辅助区等,并根据每仑工作人员的实际工作需要,确定其能进入的区域;
e)机房门禁:设置机房电子门禁系统,进入机房的人员,通过门禁系统的鉴别,方可进入。
4.1.1.1.3机房防火
根据对机房安全保护的不同要求,机房防火分为:
a)建筑材料防火①:机房和记录介质存放间,其建筑材料的耐火等级,应符合TJ16-1974中规定的二级耐火等级;机房相关的其余基本工作房间和辅助房,其建筑材料的耐火等级应不低于TJ16-1974中规定的三级耐火等级。
b) 建筑材料防火②:机房和记录介质存放间,其建筑材料的耐火等级,应符合TJ45-1982中规定的二级耐火等级;机房相关的其余基本工作房间和辅助房,其建筑材料的耐火等级应不低于TJ16-1974中规定的二级耐火等级。
c) 建筑材料防火③:机房和记录介质存放间,其建筑材料的耐火等级,应符合TJ45-1982中规定的一级耐火等级;机房相关的其余基本工作房间和辅助房,其建筑材料的耐火等级应不低于TJ16-1974中规定的二级耐火等级。
d)报警和灭火系统①:设置火灾报警系统,由人来操作灭火设备,并对灭火设备的效率,毒性、用量和损害性有一定的要求I
e)报警和灭火系统②:设置火灾自动报警系统,包括火灾自动探测器、区域报警器、集中报警器和控制器等,能对火灾发生的部位以声、光或电的形式发出报警信号,并启动自动灭火设备,切断电源、关闭空词设备等;
f) 报警和灭火系统③:设置火灾自动消防系统,能自动检测火情、自动报警,并自动切断电源和其他应急开关,自动启动事先固定安装好的灭火设备进行自动灭火l
g)区域隔离防火;机房布局应将脆弱区和危险区进行隔离,防止外部火灾进入机房,特别是重要设备地区,应安装防火门、使用阻燃材料装修等。
4.1.1.1.4机房供、配电
根据对机房安全保护的不同要求,机房供、配电分为:
a)分开供电:机房供电系统应将计算机系统供电与其他供电分开,并配备应急照明装置;
b)紧急供电①。配置抵抗电压不足的基本设备,如UPS;
c)紧急供电②:配置抵抗电压不足的改进设备,如基本UPS、改进UPS、多级uPs;
d)紧急供电③:配置抵抗电压不足的更强设备,如基本UPS、改进的UPS、多级UPS和应急电源(发电机组)等;
e)备用供电:建立备用的供电系统,以备常用供电系统停电时启用,完成对运行系统必要的保留;
f)稳压供电:采用线路稳压器,防止电压波动对计算机系统的影响;
g)电压保护:设置电源保护装置,如金属氧化物可变电阻、硅雪崩二极管、所体放电管、滤波器、电压调整变压器和浪涌滤波器等,防止/减少电源发生故障;
h)不间断供电:休用不间断供电电源,防止电压波动、电器干扰、断电等对计算机系统的影响;
i)电器噪声防护:采取有效措施,减少机房中电器噪声干扰,保证计算机系统正常运行;
j)突然事件防护:采取有效措施,防止/减少供电中断、异常状态供电(指连续电压过载或低电压)、电压瞬变、噪声(电磁干扰以及由于雷击等引起的设备突然失效的事件。
4.1.1.1.5机房空调、降温
根据对机房安全保护的不同要求,机房空调、降温分为:
a)基本温度要求:应有必要的空调设备,使机房温度达到所需的温度要求;
b)较完备空调系统:应有较完备的中央空调系统,保证机房温度的变化在计算机系统运行所允许的范围;
C)完备空调系统,,应有完备的中央空调系统,保证机房各个区域的温度变化能满足计算机系统运行、人员活动和其他辅助设备的要求。
4.1.1.1.6机房防水与防潮
根据对机房安全保护的不同要求,机房防水与防潮分为:
a)水管安装要求:水管安装,不得穿过屋顶和活动地板下,穿过墙壁和楼板的水管应使用套管并采取可靠的密封措施;
b)水害防护:采取一定的措施,防止雨水通过屋顶和墙壁和楼板的水管应使用套管,并采取可靠的密封措施;
c)防水检测:安装对水敏感的检测仪表或元件对机房进行防水检测,发现水害,及时报警;
d)排水要求:机械应设有排水口,并安装水泵,以便迅速排出积水。
1.1.7机房防静电
根据对机房安全保护的不同要求,机房防静电分为:
a)接地与屏蔽:采用必要的措施,使计算机系统有一套合理的防静电接地与屏蔽系统;
b)服装防静电:人员服装采用不易产生静电的衣料,工作鞋选用低阻值材料制作;
c)温、湿度防静电:控制机房温湿度,使其保持在不易产生静电的范围内;
d)地板防静电:机房地板从表面到接地系统的阻值,应在不易产生静电的范围;
e)材料防静电:机房中使用的各种家具,工作台、柜等,应选择产生静电小的材料;
f)维修mos电路保护:在硬件维修时,应采用金属板台面的专用维修台,以保护mos电路;
g)静电消除要求:在机房中使用静电消除剂和静电消除器等,以进一步减少静电的产生。
4.1.1.1.8机房接地与防雷击
根据对机房安全保护的不同要求,机房接地与防雷击分为:
a)接地要求;采用地桩、水平栅网、金属板、建筑物基础钢筋构建接地系统等,确保接地体的良好接地.
b)去耦、滤波要求:设置信号地与直流电源地,并注意不造成额外耦合,保障去耦、滤波等的良好效果
c)避雷要求:设置避雷地,以深埋地下、与大地良好相通的金属板作为接地点;到避雷针的引线则应采用粗大的紫铜条,或使整个建筑的钢筋自地基以下焊连成钢筋网作为“大地”与避雷针相连.
d)防护地与屏蔽地要求:设置安全防护地与屏蔽地,采用阻抗尽可能小的良导体的粗线,以减小各种地之间的电位差l应采用焊接方法,并经常检查接地的良好,检测接地电阻,确保人身、设 备和运行的安全.
e)交流电源地线要求:设置交流电源地线;交流供电线应有规范连接位置的三芯线,即相线、中线和地线,并将该“地线”连通机房的地线网,以确保其安全保护作用。
4.1.1.1.9机房电磁防护
根据对机房安全保护的不同要求,机房电磁防护分为:
a)接地防干扰:采用接地的方法,防止外界电磁和设备寄生耦合对计算机系统的干扰;
b)屏蔽防干扰:采用屏蔽方法,减少外部电器设备对计算机系统的瞬间干扰;
c)距离防干扰:采用距离防护的方法,将计算机机房的位置选在外界电磁干扰小的地方和远离可能接收辐射信号的地方;
d) 电磁泄漏发射防护:应采用必要措施,防止计算机设备产生的电磁泄漏发射造成信息泄露;
e)介质保护:对磁带、磁盘等磁介质设备的保管存放,应注意电磁感应的影响,如使用铁制柜存放;
f)机房屏蔽:采用屏蔽方法,对计算机机房进行电磁屏蔽,防止外部电磁场对计算机设备的干扰,防止电磁信号泄漏造成的信息泄露。
4.1.1.2通信线路的安全防护
根据对通信线路安全的不同要求,通信线路安全防护分为:
a) 确保线路畅通;采取必要措施,保证通信线路畅通;
b)发现线路截获:采取必要措施,发现线路截获事件并报警;
c及时发现线路截获:采取必要措施,及时发现线路截获事件并报警;
d)防止线路截获:采取必要措施,防止线路截获事件发生。
4.1.2 设备安全
4.1.2.1 设备的防盗和防毁
根据对设备安全的不同要求,设备的防盗和防毁分为:
a)设备标记要求:计算机系统的设备和部件应有明显的无法除去的标记,以防更换和方便查找赃物;
b)计算中心防盗①t计算中心应安装防盗报警装置,防止夜间从门窗进入的盗窃行为;
c)计算中心防盗②。计算中心应利用光、电、无源红外等技术设置机房报警系统,并有专人值守,止夜间从门窗进入的盗窃行为:
d)计算中心防盗③;利用闭路电视系统对计算中心的各重要部位进行监视,并有专人值守-防止夜间从门窗进入的盗窃行为;
e)机房外部设备防盗:机房外部的设备,应采取加固防护等措施,必要时安排专人看管,以防止盗窃和破坏。
4.1.2.2设备的安全可用
根据对设备安全的不同要求,设备的安全可用分为:
a)基本运行支持:信息系统的所有设备应提供基本的运行支持,并有必要的容错和故障恢复能力;
b)设备安全可用:支持信息系统运行的所有设备,包括计算机主机、外部设备、网络设备及其他辅助设备等均应安全可用;
c)设备不间断运行:提供可靠的运行支持,并通过容错和故障恢复等措施,支持信息系统实现不间断运行。
4.1.3记录介质安全
根据对设备安全的不同要求,记录介质安全分为:
a)公开数据介质保护;存放有用数据的各类记录介质,如纸介质、磁介质、半导体介质和尚介质等,应采取一定措施防止被毁和受损;
b)内部数据介质保护:存放内部数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质等,应采取一定措施,防止被盗,被毁和受损;需要删除和销毁的内部数据,应有一定措施,防止被非法拷贝;
c)重要数据介质保护:存放重要数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质等,应采取较严格的保护措施,防止被盗、被毁和受损,应该删除和销毁的重要数据,要有有效的管理和审批手续,防止被非法拷贝;
d)关键数据介质保护:存放关键数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质等,应采取严格的保护措施,防止被盗、被毁和受损;需要删除和销毁的关键数据,要有严格的管理和审批手续,并采取有效措施,防止被非法拷贝;
e)核心数据介质保护:存放核心数据的各类记录介质,如纸介质、磁介质、半导体介质和光介质等,应采取最严格的保护措施,防止被盗、被毁和受损;核心数据应长期保存,并采取有效措施,防止被非法拷贝.
4.2运行安全
4.2.1风险分析
信息系统的风险分析应按以下要求进行:
a)以系统安全运行和数据安全保护为出发点,全面分析由于物理的、系统的、管理的、人为的和自然的原因所造成的安全风险;
b)通过对影响信息系统安全运行的诸多因素的了解和分析,明确系统存在的风险,找出克服这些风险的办法;
c)对常见的风险(如后门/陷井门、拒绝使用、辐射、盗用、伪造、假冒、逻辑炸弹、破坏活动、偷盗行为、搭线窃听心脏计算病毒等)进行分析,确定每类风险的程序;
d)系统设计前和运行前应进行静态风险分析,以发现系统的潜在安全隐患;
e)系统进行过程中应进行动态风险分析,测试、跟踪并记录其活动,以发现系统运行期的安全漏洞,并提供相应的系统脆弱性分析报告。
f)采用风险分析工具,通过收集数据、分析数据、输出数据,确定危险的严重性等级,分析危险的可能性等方法,进行风险分析,并确定安全对策。
4.2.2信息系统安全性检测分析
根据对信息系统安全运行的不同要求,信息系统安全性检测分析分为:
a)操作系统安全性检测分析,从操作系统的角度,以管理员身份评估文件许可、文件宿主、网络服务设置、账户设置、程序真实性以及一般的与用户相关的安全点、入侵迹象等,从而检测和分析操作系统的安全性,发现存在的安全隐患;
b)数据库管理系统安全性检测分析:对支持信息系统运行的数据库管理系统进行安全性检测分析,要求通过扫描数据库系统中与鉴别、授权、访问控制和系统完整性设置相关的数据库管理系统特定的安全脆弱性,分析其存在的缺点和漏洞,提出补救措施;
c)网络系统安全性检测分析:采用侵袭模拟器,通过在网络设备的关键部位,用模拟侵袭的方法,自动扫描、检查并报告网络系统中(包括安全网络系统的各个组成部分,如防火墙等)存在的缺陷和漏洞,提出补救措施,达到增强网络安全性的目的;
d)应用系统安全性检测分析:对所开发的应用系统进行系统运行的安全性检测分析,要求通过扫描应用系统中与鉴别、授权、访问控制和系统完整性有关的特定的安全脆弱性,分析其存在的缺陷和漏洞,提出补救措施;
e)硬件系统安全性检测分析:对支持系统运行的硬件系统进行安全性检测,通过扫描硬件系统中与系统运行和数据保护有关的特定安全脆弱性(包括电磁泄漏发射和电磁干扰等),分析其存在的缺陷和漏洞,提出补救措施,
f)攻击性检测分析:对重要的信息系统作攻击性检测,通过专业技术攻击检测检查系统存在的缺陷和漏洞,提出补救措施。
4.2.3信息系统安全监控
信息系统安全监控应采用以下方法:
a)安全探测机制t在组成信息系统的计算机、网络的各个重要部位,设置探测器,实时监听网络数据流,脓视和记录内、外部用户出入网络的相关操作.在发现违规模式和未授权访问时,报告信息系统安全监控中心。
b)安全监控中心:设置安全监控中心,对收到的来自探测器的信息,根据安全策略进行分析,并作审计、报告,事件记录和报警等处理。监控中心应具有必要的远程管理功能,如对探测器实现远程参数设置、远程数据下载、远程启动等操作。安全监控中心还应具有实对响应功能,包括攻击分析和响应、误操作分析和响应、漏洞分析和响应以及漏洞形势分析和响应等.
4.2.4安全审计
4.2.4.1安全审计的响应
安全审计SSF应按以下要求响应审计事件:
a)记审计日志。当检测到有安全侵害事件时,将审计数据记人审计日志;
b)实时报警生成:当检测到有安全侵害事件时,生成实时报警信息,并根据报警开关的设置有选择地报警;
c)违例进程终止:当检测到有安全侵害事件时,将违例进程终止;
d)服务取消:当检测到有安全侵害事件时,取消当前的服务;
e)用户帐户断开与失效:当检测到有安全侵害事件时,将当前的用户帐号断开,并使其失效。
4.2.4.2
安全审计数据产生
安全审计SSF应按以下要求产生审计数据:
a)为下述可审计事件产生审计记录:
——审计功能的开启和关闭;
——使用身份鉴别机制;
——将客体引入用户地址空间(例如:打开文件、程序初始化);
——删除客体;
——系统管理员、系统安全员、审计员和一般操作员所实施的操作;
——其他与系统安全有关的事件或专门定义的可审计事件。
b)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息.
c)对于身份鉴别事件,审计记录应包含请求的来源(例如:末端标识符)。
d)对于客体被引入用户地址空间的事件及删除客体事件,审计记录应包含客体名及客体的安全级.
4.2.4.3安全审计分析
根据对安全审计的不同要求,安全审计分析分为:
a)潜在侵害分析:用一系列规则监控审计事件,并根据这些规则指出对SSP的潜在侵害。这些规则包括:
——由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合;
——任何其他的规则。
b)基于异常检测的描述:维护用户所具有的质疑等级——历史使用情况,以表明该用户的现行活动与已建立的使用模式的一致性程度。当用户的质疑等级超过门限条件时,能指出将要发生对安全性的威胁。
c)简单攻击探测:能检测到对SSF的实施有重大威胁的签名事件的出现。为此,SSF应维护指出对SSF侵害的签名事件的内部表示,并将检测到的系统行为记录与签名事件进行比较,当发现两者匹配时,指出一个对SSF的攻击即将到来。
d)复杂攻击探测:在上述简单攻击探测的基础上,能检测到多步入侵情况,并根据已知的事件序列模拟出完整的入侵情况,指出发现对SSF的潜在侵害的签名事件或事件序列的时间。
4.2.4.4安全审计查阅
根据对安全审计的不同要求,安全审计查阅分为:
a)基本审计查阅:提供从审计记录中读取信息的能力,即为授权用户提供获得和解释审计信息的能力。当用户是人时,必须以人类可懂的方式表示信息,当用户是外部IT实体时,必须以电子方式无歧义地表示审计信息.
b)有限审计查阅:在基本审计查阅的基础上,应禁止具有读访问权限以外的用户读取审计信息。
c)可选审计查阅’:在有限审计查阅的基础上,应具有根据准则来选择要查阅的审计数据的功能,并根据某种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能力。
4.2.4.5安全审计事件选择
应根据以下属性选择可审计事件:
’ a)客体身份、用户身份、主体身份、主机身份、事件类型;
b)作为审计选择性依据的附加属性;
4.2.4.6安全审计事件存储分为:
根据对安全审计的不同要求,安全审计事件存储分为:
a)受保护的审计踪迹存储:审计踪迹的存储受到应有的保护,能检测或防止对审计记录的修改;
b) 审计数据的可用性确保:在意外情况出现时,能检测或防止对审计记录的修改以及在发生审计存储已满、存储失败或存储受到攻击时,确保审计记录不被破坏;
c)审计数据可能丢失情况下的措施:当审计跟踪超过预定的门限时,应采取相应的措施,进行审计数据可能丢失情况的处理;
d)防止审计数据丢失;在审计踪迹存储记满时,应采取相应的防止审计数据丢失的措施,可选择“忽略可审计事件”、“阻止除具有特殊权限外的其他用户产生可审计事件”、“覆盖已存储的最老的审计记录”和“一旦审计存储失败所采取的其他行动”等措施,防止审计数据丢失。 4.2.4.7网络环境安全审计
在网络环境运行的信息系统,应采用以下措施实现网络环境信息系统安全审计:
a)安全审计中心:在信息系统中心建立由安全审计服务器组成的审计中心,收集各安全审计代理程序的审计信息,并进行记录分析与保存;
b)安全审计代理程序:分布在网络各个运行节点的安全审计代理程序,为安全审计服务器提供审计数据;
c)跨平台安全审计机制:设置跨平台的安全审计机制,对安全事件快速进行评估并作出响应,向管理人员提供各种能反映系统使用情况、出现的可疑迹象、运行中发生的问题等有价值的统计和分析信息;
d)审计评估方法和机制:运用统计方法学和审计评估机制,给出智能化审计报告及趋向报告,达到综合评估系统安全现状的目的。
4.2.5信息系统边界安全防护
根据对信息系统运行安全的不同要求,信息系统边界安全防护采用的安全机制和措施分为。
a)基本安全防护,采用常规的信息系统边界安全防护机制,如基本的登录/连接控制等,实现基本的信息系统边界安全防护;
b)较严格安全防护t采用较严格的安全防护机制,如较严格的登录/连接控制,普通功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等,实现较严格的信息系统边界安全防护;
.....