GB/T 28452-2012 信息安全技术 应用软件系统通用安全技术要求

　　ICS 35. 020 L 80

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 28452—2012

　　信息安全技术

　　应用软件系统通用安全技术要求

　　Information securitytechnology—

　　Common securitytechniquerequirementforapplication softwaresystem

　　2012-06-29发布 2012-10-01实施

　　中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会

　　

　　发

　　

　　布

　　GB/T 28452—2012

　　目 次

　　前言 Ⅴ

　　引言 Ⅵ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 、缩略语 1

　　3. 1 术语和定义 1

　　3. 2 缩略语 3

　　4 应用软件生存周期安全技术要求 3

　　4. 1 应用软件开始阶段安全技术要求 3

　　4. 2 应用软件获得或开发阶段安全技术要求 3

　　4. 3 应用软件实现和评估阶段安全技术要求 3

　　4. 4 应用软件运行和维护阶段安全技术要求 4

　　4. 5 应用软件结束和处置阶段安全技术要求 4

　　5 第一级应用软件系统安全技术要求 4

　　5. 1 安全功能技术要求 4

　　5. 1. 1 用户身份鉴别 4

　　5. 1. 2 自主访问控制 5

　　5. 1. 3 用户数据完整性保护 5

　　5. 1. 4 备份与故障恢复 5

　　5. 2 安全保证技术要求 5

　　5. 2. 1 安全子系统自身安全保护要求 5

　　5. 2. 2 安全子系统设计和实现要求 6

　　5. 2. 3 安全子系统安全管理要求 8

　　6 第二级应用软件系统安全技术要求 8

　　6. 1 安全功能技术要求 8

　　6. 1. 1 用户身份鉴别 8

　　6. 1. 2 自主访问控制 8

　　6. 1. 3 安全审计 9

　　6. 1. 4 用户数据完整性保护 9

　　6. 1. 5 用户数据保密性保护 9

　　6. 1. 6 备份与故障恢复 10

　　6. 1. 7 系统安全性检测分析 10

　　6. 2 安全保证技术要求 10

　　6. 2. 1 安全子系统自身保护要求 10

　　6. 2. 2 安全子系统设计和实现要求 11

　　6. 2. 3 安全子系统安全管理要求 13

　　Ⅰ

　　GB/T 28452—2012

　　7 第三级应用软件系统安全技术要求 13

　　7. 1 安全功能技术要求 13

　　7. 1. 1 用户身份鉴别 13

　　7. 1. 2 抗抵赖 14

　　7. 1. 3 自主访问控制 14

　　7. 1. 4 标记 15

　　7. 1. 5 强制访问控制 15

　　7. 1. 6 安全审计 16

　　7. 1. 7 用户数据完整性保护 16

　　7. 1. 8 用户数据保密性保护 16

　　7. 1. 9 备份与故障恢复 17

　　7. 1. 10 系统安全性检测分析 17

　　7. 2 安全保证技术要求 17

　　7. 2. 1 安全子系统自身保护要求 17

　　7. 2. 2 安全子系统设计和实现要求 19

　　7. 2. 3 安全子系统安全管理要求 21

　　8 第四级应用软件系统安全技术要求 22

　　8. 1 安全功能技术要求 22

　　8. 1. 1 用户身份鉴别 22

　　8. 1. 2 抗抵赖 22

　　8. 1. 3 自主访问控制 23

　　8. 1. 4 标记 23

　　8. 1. 5 强制访问控制 24

　　8. 1. 6 安全审计 24

　　8. 1. 7 用户数据完整性保护 24

　　8. 1. 8 用户数据保密性保护 25

　　8. 1. 9 可信路径 26

　　8. 1. 10 备份与故障恢复 26

　　8. 1. 11 系统安全性检测分析 26

　　8. 2 安全保证技术要求 26

　　8. 2. 1 安全子系统自身保护要求 26

　　8. 2. 2 安全子系统设计和实现要求 27

　　8. 2. 3 安全子系统安全管理要求 30

　　9 第五级应用软件系统安全技术要求 31

　　9. 1 安全功能技术要求 31

　　9. 1. 1 用户身份鉴别 31

　　9. 1. 2 抗抵赖 31

　　9. 1. 3 自主访问控制 32

　　9. 1. 4 标记 32

　　9. 1. 5 强制访问控制 33

　　9. 1. 6 安全审计 33

　　9. 1. 7 用户数据完整性保护 33

　　Ⅱ

　　GB/T 28452—2012

　　9. 1. 8 用户数据保密性保护 34

　　9. 1. 9 可信路径 35

　　9. 1. 10 备份与故障恢复 35

　　9. 1. 11 系统安全性检测分析 35

　　9. 2 安全保证技术要求 35

　　9. 2. 1 安全子系统自身保护要求 35

　　9. 2. 2 安全子系统设计和实现要求 37

　　9. 2. 3 安全子系统安全管理要求 40

　　附录 A (资料性附录) 应用软件系统安全的有关概念说明 41

　　附录 B (资料性附录) 应用软件系统安全与信息系统安全的关系 42

　　附录 C (资料性附录) 安全技术要素与安全技术分等级要求的对应关系 43

　　参考文献 47

　　Ⅲ

　　GB/T 28452—2012

　　前 言

　　本标准按照 GB/T 1. 1—2009给出的规则起草 。

　　请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别这些专利的责任 。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归 口 。

　　本标准起草单位 :北京江南天安科技有限公司 、北京思源新创信息安全资讯有限公司 。

　　本标准主要起草人 :吉增瑞 、陈冠直 、王志强 、景乾元 。

　　Ⅴ

　　GB/T 28452—2012

　　引 言

　　本标准描述为实现 GB 17859—1999所规定的每一个安全保护等级的应用软件系统应达到的安全技术要求 ,为按照信息系 统 安 全 等 级 保 护 的 要 求 设 计 和 实 现 所 要 求 的 安 全 等 级 的 应 用 软 件 系 统 提 供指导 。

　　从广义角度 ,应用软件系统应该包括针对特定应用开发的业务处理软件 , 以及为这些业务处理软件的开发和运行提供支持的各种工具软件和中间件等 。本标准仅对各个安全保护等级的业务处理软件的安全保护应采取的安全技术进行描述 。

　　应用软件系统是信息系统的重要组成部分 ,是信息系统中对应用业务进行处理的软件的总和 。业务应用的安全需求 ,是信息系统安全需求的出发点和归宿 。信息系统安全所采取的一切技术和管理措施 ,最终都是为确保业务应用安全的 。这些安全措施 ,有的可以在应用软件系统中实现 ,有的需要在信息系统的其他组成部分实现 。

　　本标准主要是对各个应用领域的应用软件系统普遍适用的安全技术要素的安全技术要求的描述 。不同应用领域的应用软件系统可选取不同的安全技术要素 , 以满足各自应用业务的具体安全需求 。本标准同时对应用软件系统生存周期的各个阶段应遵循的安全技术要求进行了简要描述 。

　　按照标准编写的规范性要求 ,本标准在第 1 章范围 、第 2 章规范性引用文件及第 3 章术语和定义 、缩略语之后 ,第 4章应用软件生存周期安全技术要求 ,从应用软件生存周期的角度 ,分别对应用软件的开始阶段 、获得或开发阶段 、实现和评估阶段 、运行和维护阶段以及结束和处置阶段的安全技术要求进行了简要描述 。标准从第 5 章到第 9 章 , 以 GB 17859—1999 的五个安全等级的划分 为 基 本 依 据 , 以GB/T 20271—2006关于信息系统通用安全技术要求的等级划分为基础 ,对每一个安全等级的应用软件系统的安全技术要求进行了描述 ,包括 :安全功能技术要求和安全保证技术要求(含应用软件系统安全子系统自身保护要求 、应用软件系统安全子系统设计和实现要求 、应用软件系统安全子系统安全管理要求) 。在第 5 章到第 9章的分等级描述中 ,“加粗宋体 ”表示在较高等级中比较低一级增加或增强的内容 。本标准附录 A(资料性附录)应用软件系统安全的有关概念说明 ,对应用软件系统在信息系统中的位置和应用软件系统安全在信息系统安全中的作用等进行了说明 。 附录 B(资料性附录)应用软件系统安全与信息系统安全的关系 ,对应用软件系统安全是信息系统安全的核心和应用软件系统安全需求就是信息系统安全需求进行了描述 。 附录 C(资料性附录)给出了应用软件系统安全要素与安全分等级要求之间的对应关系 。表 C. 1是安全功能技术要素与安全功能技术分等级要求的对应关系 ;表 C. 2 是安全保证技术要素与安全保证技术分等级要求的对应关系 。

　　Ⅵ

　　GB/T 28452—2012

　　信息安全技术

　　应用软件系统通用安全技术要求

　　1 范围

　　本标准规定了按照 GB 17859—1999的 5个安全保护等级的划分对应用软件系统进行等级保护所涉及的通用技术要求 。

　　本标准适用于按照 GB 17859—1999的 5个安全保护等级的划分对应用软件系统进行的安全等级保护的设计与实现 。对于按照 GB 17859—1999的 5个安全保护等级的划分对应用软件系统进行的安全等级保护的测试 、管理也可参照使用 。

　　2 规范性引用文件

　　下列文件对于本文件的应用是必不可少的 。凡是注 日期的引用文件 ,仅注 日期的版本适用于本文件 。凡是不注日期的引用文件 ,其最新版本(包括所有的修改单)适用于本文件 。

　　GB 17859—1999 计算机信息系统 安全保护等级划分准则

　　GB/T 20271—2006 信息安全技术 信息系统通用安全技术要求

　　GB/T 20272—2006 信息安全技术 操作系统安全技术要求

　　GB/T 20273—2006 信息安全技术 数据库管理系统安全技术要求

　　3 术语和定义、缩略语

　　3. 1 术语和定义

　　GB/T 20271—2006界定的以及下列术语和定义适用于本文件 。

　　3. 1. 1

　　应用软件系统 application softwaresystem

　　信息系统的重要组成部分 ,是指信息系统中对特定业务进行处理的软件系统 。

　　3. 1. 2

　　应用软件系统安全技术 application softwaresystem securitytechnology

　　为确保应用软件系统达到确定的安全性目标的安全技术措施中可采用的技术 。

　　3. 1. 3

　　应用软件系统安全子系统(SSOASS) security subsystem ofapplication softwaresystem

　　应用软件系统中安全保护模块的总称 。它建立了应用软件系统的一个基本安全保护环境 ,并提供安全应用软件系统要求的附加用户服务 。按照 GB 17859—1999对可信计算基(TCB)的定义 ,SSOASS属于应用软件系统的 TCB。其中所需要的硬件和固件支持由低层的安全机制提供 。

　　3. 1. 4

　　SSOASS安全策略(SSP) SSOASS securitypolicy

　　对 SSOASS中的资源 进 行 管 理 、保 护 和 分 配 的 规 则 。 一 个 SSOASS 中 可 以 有 一 种 或 多 种 安 全策略 。

　　1

　　GB/T 28452—2012

　　3. 1. 5

　　安全功能策略(SFP) security function policy

　　为实现 SSOASS安全要素的功能所采用的安全策略 。

　　3. 1. 6

　　安全技术要素 securitytechniqueelement

　　本标准中各安全保护等级的安全技术要求所包含的安全内容的组成成分 。

　　3. 1. 7

　　SSOASS安全功能(SSF) SSOASS security function

　　正确实施 SSOASS安全策略的全部硬件 、固件 、软件所提供的功能 。 每一种安全策略的实现 ,体现在 SSOASS的某一个安全功能模块之中 。一个 SSOASS的所有安全功能模块共同组成该 SSOASS的安全功能 。

　　3. 1. 8

　　SSF控制范围(SSC) SSFscopeofcontrol

　　SSOASS的操作所涉及的主体和客体的范围 。

　　3. 1. 9

　　用户公开数据 userpublished data

　　在应用软件系统中向所有用户公开的数据 ,该类数据的安全性受到破坏 ,将会对业务应用相关的公民 、法人和其他组织的权益有一定影响 ,但不会危害国家安全 、社会秩序 、经济建设和公共利益 。

　　3. 1. 10

　　用户一般数据 usergeneraldata

　　在应用软件系统中具有一般使用价值和保密程度 ,需要进行一定保护的单位内部的一般数据 。该类数据的安全性受到破坏 ,将会对业务应用相关的公民 、法人和其他组织的权益有较大影响或对国家安全 、社会秩序 、经济建设和公共利益造成一定的损害 。

　　3. 1. 11

　　用户重要数据 user importantdata

　　在应用软件系统中具有重要使用价值或保密程度 ,需要进行重点保护的单位的重要数据 。该类数据的安全性受到破坏 ,将会对业务应用相关的公民 、法人和其他组织的权益有重大影响或对国家安全 、社会秩序 、经济建设和公共利益造成较大损害 。

　　3. 1. 12

　　用户关键数据 userchiefdata

　　在应用软件系统中具有很高使用价值或保密程度 ,需要进行特别保护的单位的关键数据 。该类数据的安全性受到破坏 ,将会对业务应用相关的公民 、法人和其他组织的权益有特别重大影响或对国家安全 、社会秩序 、经济建设和公共利益造成严重损害 。

　　3. 1. 13

　　用户核心数据 userkerneldata

　　在应用软件系统中具有最高使用价值或保密程度 ,需要进行绝对保护的单位的核心数据 。该类数据的安全性受到破坏 ,将会对相关的业务应用和用户单位利益造成特别严重损害 。

　　3. 1. 14

　　一般用户 generaluser

　　以普通用户身份注册到应用软件系统 ,运行应用软件系统的用户或通过系统提供的用户操作界面对应用软件系统的运行进行操作控制的用户 。

　　2

　　GB/T 28452—2012

　　3. 1. 15

　　系统用户 system user

　　在应用软件系统中 ,通过系统操作界面进行特定操作实现对应用软件系统的特定功能进行控制的用户 ,如应用软件系统的管理员 、安全员和审计员等 。 系统用户具有一般用户所不具有的特殊权限 ,所以也称特权用户 。

　　3. 2 缩略语

　　下列缩略语适用于本文件 。

　　SSOASS:应用软件系统安全子系统(security subsystem of application software system)

　　SSP:SSOASS安全策略(SSOASS security policy)

　　SFP:安全功能策略(security function policy)

　　SSF:SSOASS安全功能(SSOASS security function)

　　SSC:SSF控制范围(SSF scope of control)

　　4 应用软件生存周期安全技术要求

　　4. 1 应用软件开始阶段安全技术要求

　　为确保应用软件系统的安全性达到相应安全等级的安全技术要求 ,应用软件生存周期开始阶段的安全技术要求如下 :

　　a) 详细说明相应安全等级的应用软件系统的保密性 、完整性和可用性指标 ;

　　b) 详细说明应用软件系统中需要保护的用户资产 ;

　　c) 完成初步的应用软件系统风险评估 ;

　　d) 详细说明应用软件系统安全应采用的整体安全策略 。

　　4. 2 应用软件获得或开发阶段安全技术要求

　　为确保应用软件系统在软件获得或开发过程中的安全性达到相应安全等级的安全技术要求 ,对于通过各种途经获得的应用软件或自主开发的应用软件 ,在本阶段的安全技术要求如下 :

　　a) 选择并确定相应安全等级的应用软件系统的安全技术要求 ;

　　b) 自主开发的应用软件 ,应按照确定的安全技术要求进行安全设计和实现 ;

　　c) 获得的应用软件 ,应确认其满足所确定的安全技术要求 ;

　　d) 自主开发的应用软件 ,应对其开发和运行中的安全附加开销和性能进行分析 ,并对成本和风险进行折中平衡 ;

　　e) 获得的应用软件 ,应对其运行中安全附加开销和性能进行分析 ,确认其成本和风险符合折中平衡的要求 。

　　4. 3 应用软件实现和评估阶段安全技术要求

　　为了确保应用软件系统在安全设计和评估过程中达到确定的安全等级所要求的安全目标要求 ,应用软件实现和评估阶段的安全技术要求如下 :

　　a) 编程语言 、编译器和程序库应按照确定的满足相应安全等级要求的安全准则进行鉴定 ;

　　b) 应用程序的代码 应 被 检 验 , 以 确 保 保 密 性 、完 整 性 和 可 用 性 目 标 已 经 达 到 , 并 且 安 全 性 没 有降低 ;

　　c) 测试软件成分和评估一个系统需要一个静态方法的组合(例如 ,按照适当选择的设想测试软件和固件) ;

　　d) 软件部件的安全测试和分布式软件的安全测试是关键性的开发活动之一 ,应按照相应安全等

　　3

　　GB/T 28452—2012

　　级的要求进行安全性测试 ;

　　e) 对高等级的应用软件系统 ,应使用形式化方法对应用软件的安全设计进行验证 ;

　　f) 通过测试与评估确认应用软件的安全性是否达到所确定的安全技术要求 ,对于未达到安全技术要求的 ,应从应用软件获得或开发阶段重新开始开展工作 。

　　4. 4 应用软件运行和维护阶段安全技术要求

　　为了确保应用软件系统在运行维护过程中达到相应安全等级确定的安全目标 ,并能根据情况的变化及时改变安全设计 ,应用软件系统运行和维护阶段安全技术要求如下 :

　　a) 按照相关文档的操作说明和所确定的操作规程 ,进行应用软件系统安全机制的配置和操作 ;

　　b) 定期或根据情况的变化及时进行应用软件系统安全性评估 ,并在必要时对安全性要求进行重新定义和设计 ,形成新的修订版本 ;

　　c) 对应用软件系统的修订版本进行严格的测试和必要的控制 ,确认其达到新目标的要求 ,且未产生不良影响 。

　　4. 5 应用软件结束和处置阶段安全技术要求

　　为了确保应用软件系统的安全目标在其生存周期结束时不会受到影响 ,结束和处置阶段安全技术要求如下 :

　　a) 对于结束运行的应用软件 ,应进行认真处置 ,确保该软件系统在结束运行后 ,不会带来安全相关问题 ;

　　b) 对于信息系统中所有与该应用软件系统相关的程序和数据信息均应进行妥善处理 , 除了根据信息系统的需要保留一些与业务应用无关的数据信息(如用户名和标识) 以外 ,信息系统中不应有与该应用软件的业务有关的残留信息 ;

　　c) 对于该应用软件系统运行过程中使用过的可移动的记录介质 ,应进行记录内容的消除 ,确保介质中不残留任何与该应用软件相关的信息 。

　　5 第一级应用软件系统安全技术要求

　　5. 1 安全功能技术要求

　　5. 1. 1 用户身份鉴别

　　用户身份 鉴 别 包 括 对 一 般 用 户和 系 统 用 户 ( 如 系 统 管 理 员) 的 身 份 进 行 标 识 和 鉴 别 。 应 按GB/T 20271—2006中 6. 1. 3. 1 的要求 ,从以下方面设计和实现应用软件系统的身份鉴别功能 :

　　a) 用户注册 :对应用软件系统的注册用户 ,按以下要求设计和实现标识功能 :

　　1) 凡需进入应用软件系统的用户 ,应先进行标识(建立注册账号) ;

　　2) 应用软件系统的用户应以用户名和用户标识符(UID)等信息进行标识 ;

　　b) 用户登录 :对登录到应用软件系统的用户 ,应按以下要求进行身份的真实性鉴别 :

　　1) 采用口令进行鉴别 ,并在每次用户登录系统时进行鉴别 ;

　　2) 口令应是不可见的 ,具有相应的抗攻击能力 ,并在存储时有安全保护 ;

　　3) 通过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值) 进行预先定义 ,并明确规定达到该值时所应采取的具有规范性和安全性的措施来实现鉴别失败的处理 ;

　　c) 用 户-主 体 绑 定 : 对 注 册 到 应 用 软 件 系 统 的 用 户 , 应 按 以 下 要 求 设 计 和 实 现 用 户-主 体 绑 定功能 :

　　1) 将用户进程与所有者用户相关联 ,使用户进程的行为可以追溯到进程的所有者用户 ;

　　4

　　GB/T 28452—2012

　　2) 将系统进程动态地与当前服务要求者用户相关联 ,使系统进程的行为可以追溯到当前服务要求者用户 。

　　5. 1. 2 自主访问控制

　　应按 GB/T 20271—2006中 6. 1. 3. 2 的要求 ,从以下方面设计和实现应用软件系统的 自主访问控制功能 :

　　a) 自主访问控制功能 :对命名用户以用户/用户组规定并控制其对客体的访问 ,并阻止非授权用户对客体的访问 ;可以有多个自主访问控制功能 ,但其访问控制策略应具有一致性 ;

　　b) 自主访问控制策略 :提供用户按照确定的访问控制策略对自身创建的客体的访问进行控制的功能 ,包括 :

　　1) 客体创建者有权以各种操作方式访问 自身所创建的客体 ;

　　2) 客体创建者有权对其他用户进行 “访问授权 ”,使其可对客体拥有者创建的指定客体能按授权的操作方式进行访问 ;

　　3) 客体创建者有权对其他用户进行 “授权传播 ”,使其可以获得将该拥有者的指定客体的访问权限授予其他用户的权限 ;

　　4) 客体创建者有权收回其所授予其他用户的 “访问授权 ”和 “授权传播 ”;

　　5) 未经授权的用户不得以任何操作方式访问客体 ;

　　6) 授权用户不得以未授权的操作方式访问客体 ;

　　c) 操作系统支持的自主访问控制 : 以文件形式存储和操作的用户数据 ,在操作系统的支持下 ,按GB/T 20272—2006中 4. 1. 1. 2 的要求 ,可实现文件级粒度的自主访问控制 ;

　　d) 数据库管理系统支持的自主访问控制 : 以数据库形式存储和操作的用户数据 ,在数据库管理系统的支持下 ,按 GB/T 20273—2006中 5. 1. 1. 2 的要求 ,可实现对表级粒度的自主访问控制 ;

　　e) 应用软件系统自身的自主访问控制 :在应用软件系统中 ,通过设置自主访问控制的安全机制 ,可实现文件级粒度的自主访问控制 。

　　5. 1. 3 用户数据完整性保护

　　应按 GB/T 20271—2006中 6. 1. 3. 3 的要求 ,对在应用软件系统控制范围内存储和传输的用户数据 ,从以下方面设计和实现完整性保护功能 :

　　用户公开数据的传输保护 :对应用软件系统中通过网络传输的用户公开数据 ,进行完整性检测 ,发现其完整性被破坏的情况 。

　　5. 1. 4 备份与故障恢复

　　应按 GB/T 20271—2006中 6. 1. 2. 4 的要求 ,从以下方面设计和实现应用软件系统的备份与故障恢复 :

　　用户 自我信息备份与恢复 :提供用户有选择地备份重要信息的功能 ; 当由于某种原因引起信息系统中用户信息丢失或破坏时 ,能提供用户按自我信息备份所保留的信息进行信息恢复的功能 。

　　5. 2 安全保证技术要求

　　5. 2. 1 安全子系统自身安全保护要求

　　5. 2. 1. 1 SSF物理安全保护

　　应按 GB/T 20271—2006中 6. 1. 4. 1 的要求 ,从以下方面实现应用软件系统 SSF的物理安全保护 :物理攻击检测 。

　　5

　　GB/T 28452—2012

　　5. 2. 1. 2 SSF运行安全保护

　　应按 GB/T 20271—2006中 6. 1. 4. 2 的要求 ,从以下方面设计和实现应用软件系统 SSF 的运行安全保护 :

　　a) 后门控制 :系统在设计时不应留有 “后门 ”。即不应以维护 、支持或操作需要为借 口 ,设计有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的入 口 。

　　b) 安全系统子集结构 :安全系统应是一个独立的 、严格定义的应用软件系统的一个子集 ,并应防止外部干扰和破坏 ,如修改其代码或数据结构 。

　　c) 用户和管理员安全属性定义 :应提供设置和升级配置参数的安装机制 ;在初始化和对与安全有关的数据结构进行保护之前 ,应对用户和管理员的安全策略属性进行定义 。

　　d) 安全系统失败或中断的处理 :在 SSOASS失败或中断后 ,应按照失败保护中所描述的内容 ,保护其以最小的损害实现对 SSF出现失败时的处理 。

　　5. 2. 1. 3 SSF数据安全保护

　　应按 GB/T 20271—2006 中 6. 1. 4. 3 的 要 求 , 对 在 SSOASS 内 传 输 的 SSF 数 据 进 行 以 下 安 全保护 :

　　SSF数据传输保护 :实现 SSOASS内 SSF数据的基本传输保护 。

　　5. 2. 1. 4 安全子系统资源利用

　　应按 GB/T 20271—2006中 6. 1. 4. 4 的要求 ,从以下方面实现 SSOASS的资源利用 :

　　a) 通过一定措施确保当系统出现某些确定的故障时 ,SSF也能维持正常运行 ;

　　b) 对主体使用 SSC 内某个资源子集 ,按有限服务优先级 ,进行 SSOASS资源的管理和分配 ;

　　c) 按资源分配中最大限额的要求 ,进行 SSOASS资源的管理和分配 ,确保用户和主体不会独占某种受控资源 。

　　5. 2. 1. 5 安全子系统访问控制

　　应按 GB/T 20271—2006中 6. 1. 4. 5 的要求 ,从以下方面实现 SSOASS的访问控制 :

　　a) 按会话建立机制 ,对会话建立的管理进行设计 。

　　b) 按可选属性范围限定的要求 ,从访问方法 、访问地址和访问时间等方面 ,对用来建立会话的安全属性的范围进行限制 。

　　c) 按多重并发会话限定中基本限定的要求 ,进行会话管理的设计 。 在基于基本标识的基础上 , SSF应限制系统的并发会话的最大次数 ,并就会话次数的限定数设置默认值 。

　　5. 2. 2 安全子系统设计和实现要求

　　5. 2. 2. 1 配置管理

　　应按 GB/T 20271—2006中 6. 1. 5. 1 的要求 ,提供基本的配置管理能力 , 即要求开发者所使用的版本号与所表示的 SSOASS样本完全对应 。

　　5. 2. 2. 2 分发和操作

　　应按 GB/T 20271—2006中 6. 1. 5. 2 的要求 ,从以下方面实现 SSOASS的分发和操作 :

　　a) 以文档形式描述对 SSOASS安全地进行分发的过程 ,对安装 、初始化 、启动并最终生成安全配置的过程进行说明 。文档中所描述的内容应包括 :

　　6

　　GB/T 28452—2012

　　1) 分发的过程 ;

　　2) 安全启动和操作的过程 。

　　b) 在交付过程中 ,应将系统的未授权修改风险控制到最低限度 。包装及安全分送和安装过程中的安全性应由最终用户确认 。

　　c) 所有软件应提供安全安装默认值 ,在客户不做选择时 ,使安全机制 自动地发挥作用 。

　　d) 随同系统交 付 的 全 部 默 认 用 户 标 识 码 , 应 在 交 付 时 处 于 非 激 活 状 态 , 并 在 使 用 前 由 管 理 员激活 。

　　e) 用户文档应同交付的软件一起包装 ,并有相应的规程确保交付的软件是严格按照最新的版本制作的 。

　　5. 2. 2. 3 开发

　　应按 GB/T 20271—2006中 6. 1. 5. 3 的要求 ,从以下方面进行 SSOASS的开发 :

　　a) 按非形式化功能说明 、描述性高层设计 、SSF子集实现 、SSF 内部结构模块化 、描述性低层设计和非形式化对应性说明的要求 ,进行 SSOASS的设计 ;

　　b) 开发过程应保护数据的完整性 ,例如 ,检查数据更新的规则 ,多重输入的正确处理 ,返回状态的检查 , 中间结果的检查 ,异常值输入检查 ,事务处理更新的正确性检查等 ;

　　c) 通过对内部代码的检查 ,解决潜在的安全缺陷 ,关闭或取消所有的后门 ;

　　d) 对交付的软件和文档 ,应进行关于安全缺陷的定期的和书面的检查 ,并将检查结果告知用户 ;

　　e) 由系统控制的敏感数据 ,如口令 、密钥等 ,不应在未受保护的程序或文档中以明文形式存储 ;

　　f) 应以书面形式提供给用户关于软件所有权法律保护的指南 。

　　5. 2. 2. 4 文档

　　应按 GB/T 20271—2006中 6. 1. 5. 4 的要求 ,从以下方面编制 SSOASS的文档 :

　　a) 用户文档应提供关于不同类型用户的可见的安全机制 ,并说明它们的用途和提供有关它们使用的指南 ;

　　b) 安全管理员文档应提供有关如何设置 、维护和分析系统安全的详细说明 , 以及与安全有关的管理员功能的详细描述 ,包括增加和删除一个用户 ,改变主 、客体的安全属性等 ;

　　c) 文档中不应提供任何一旦泄露将会危及本安全级范围内系统安全的信息 ;

　　d) 有关安全的指令和文档根据权限应分别提供给一般用户 、系统管理员 、系统安全员和系统审计员 ;这些文档应为独立的文档 ,或作为独立的章 、条插入到安全管理指南和用户指南中 。

　　5. 2. 2. 5 生存周期支持

　　应按 GB/T 20271—2006中 6. 1. 5. 5 的要求 ,从以下方面实现 SSOASS的生存周期支持 :

　　a) 生存周期模型 :按开发者定义生存周期模型进行 SSOASS开发 ;

　　b) 生存周期文档要求 :文档应详细阐述安全启动和操作的过程 ,详细说明安全功能在启动 、正常操作维护时是否能被撤销或修改 ,说明在故障或系统出错时如何恢复系统至安全状态 。

　　5. 2. 2. 6 测试

　　应按 GB/T 20271—2006中 6. 1. 5. 6 的要求 ,从以下方面对 SSOASS进行测试 :

　　a) 通过一般功能测试 ,符合性独立测试 ,确认 SSOASS的功能与所要求功能的一致性 ;

　　b) 所有系统的安全特性 ,应被全面测试 ;

　　c) 所有发现的漏洞应被改正 、消除或使其无效 ,并在消除漏洞后重新测试 , 以证实它们已被消除 ,且没有引出新的漏洞 ;

　　7

　　GB/T 28452—2012

　　d) 应提供测试文档 ,详细描述测试计划 、测试过程 、测试结果 。

　　5. 2. 3 安全子系统安全管理要求

　　应根据本安 全 等 级 中 安 全 功 能 技 术 要 求 和 安 全 保 证 技 术 要 求 所 涉 及 的 SSOASS 自 身 保 护 、 SSOASS设计和实现等有关内容 ,按 GB/T 20271—2006中 6. 1. 6 的要求 ,从以下方面实现 SSOASS的安全管理 :

　　a) 操作规程和规章制度 :对安全保证措施所涉及的 SSOASS 自身保护 、SSOASS设计和实现等有关内容 , 以及与 一 般 的 安 装 、配 置 等 有 关 的 功 能 , 制 定 相 应 的 操 作 、运 行 规 程 和 行 为 规 章制度 ;

　　b) SSF安全功能管理 :对 SSOASS中的每个安全功能模块 ,根据安全功能技术和安全保证技术所实现的安全功能 ,实现 SSF安全功能的管理 。

　　6 第二级应用软件系统安全技术要求

　　6. 1 安全功能技术要求

　　6. 1. 1 用户身份鉴别

　　用户身份鉴别包括对一般用户和系统用户(如系统管理员 、审计员) 的身份进行标识和鉴别 。应按GB/T 20271—2006中 6. 2. 3. 1 的要求 ,从以下方面设计和实现应用软件系统的用户身份鉴别功能 :

　　a) 用户注册 :对应用软件系统的注册用户 ,按以下要求设计和实现标识功能 :

　　1) 凡需进入应用软件系统的用户 ,应先进行标识(建立注册账号) ;

　　2) 应用软件系统的用户应以用户名和用户标识符(UID) 等信息进行标识 ,并在应用软件系统的整个生存周期实现用户的唯一性标识 , 以及用户名或别名 、UID等之间的一致性 ;

　　b) 用户登录 :对登录到应用软件系统的用户 ,应按以下要求进行身份的真实性鉴别 :

　　1) 采用强化管理的口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别机制进行用户身份鉴别 ,并在每次用户登录系统时进行鉴别 ;

　　2) 鉴别信息应是不可见的 ,具有相应的抗攻击能力 ,并在存储和传输时进行安全保护 ;

　　3) 通过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值) 进行预先定义 ,并明确规定达到该值时所应采取的具有规范性和安全性的措施来实现鉴别失败的处理 ;

　　c) 用 户-主 体 绑 定 : 对 注 册 到 应 用 软 件 系 统 的 用 户 , 应 按 以 下 要 求 设 计 和 实 现 用 户-主 体 绑 定功能 :

　　1) 将用户进程与所有者用户相关联 ,使用户进程的行为可以追溯到进程的所有者用户 ;

　　2) 将系统进程动态地与当前服务要求者用户相关联 ,使系统进程的行为可以追溯到当前服务要求者用户 。

　　6. 1. 2 自主访问控制

　　应按 GB/T 20271—2006中 6. 2. 3. 2 的要求 ,从以下方面设计和实现应用软件系统的 自主访问控制功能 :

　　a) 自主访问控制功能 :命名用户以用户的身份规定并控制对客体的访问 ,并阻止非授权用户对客体的访问 ;可以有多个自主访问控制功能 ,但其访问控制策略必须具有一致性 ;

　　b) 自主访问控制策略 :提供用户按照确定的访问控制策略对自身创建的客体的访问进行控制的功能 ,包括 :

　　1) 客体创建者有权以各种操作方式访问 自身所创建的客体 ;

　　8

　　GB/T 28452—2012

　　2) 客体创建者有权对其他用户进行 “访问授权 ”,使其可对客体拥有者创建的指定客体能按授权的操作方式进行访问 ;

　　3) 客体创建者有权对其他用户进行 “授权传播 ”,使其可以获得将该拥有者的指定客体的访问权限授予其他用户的权限 ;

　　4) 客体创建者有权收回其所授予其他用户的 “访问授权 ”和 “授权传播 ”;

　　5) 未经授权的用户不得以任何操作方式访问客体 ;

　　6) 授权用户不得以未授权的操作方式访问客体 ;

　　c) 操作系统支持的自主访问控制 : 以文件形式存储和操作的用户数据 ,在操作系统的支持下 ,按GB/T 20272—2006中 4. 2. 1. 2 的要求 ,可实现文件级粒度的自主访问控制 ;

　　d) 数据库管理系统支持的自主访问控制 : 以数据库形式存储和操作的用户数据 ,在数据库管理系统的支持下 ,按GB/T 20273—2006中 5. 2. 1. 2 的要求 ,可实现对表级/记录 、字段级粒度的 自主访问控制 ;

　　e) 应用软件系统自身的自主访问控制 :在应用软件系统中 ,通过设置自主访问控制的安全机制 ,可实现文件级粒度的自主访问控制 。

　　6. 1. 3 安全审计

　　应按 GB/T 20271—2006 中 6. 2. 2. 3 的 要 求 , 从 以 下 方 面 设 计 和 实 现 应 用 软 件 系 统 的 安 全 审 计功能 :

　　a) 安全审计内容 :安全审计功能的设计应与用户标识与鉴别 、自主访问控制等安全功能的设计紧密结合 ;

　　b) 安全审计处理 :提供审计日志 ,潜在侵害分析 ,基本审计查阅和有限审计查阅 ,安全审计事件选择 , 以及受保护的审计踪迹存储等功能 。

　　6. 1. 4 用户数据完整性保护

　　应按GB/T 20271—2006中 6. 2. 3. 3 的要求 ,对在应用软件系统控制范围内存储和传输的用户数据 ,从以下方面设计和实现完整性保护功能 :

　　a) 用户公开数据的传输保护 : 对应用软件系统中通过网络传输的用户公开数据 ,进行完整性检测 ,发现其完整性被破坏的情况 ;

　　b) 用户一般数据的存储保护 :对在应用软件系统中存储的用户一般数据 ,进行完整性检测 ,在数据被使用前发现其完整性被破坏的情况 ;

　　c) 用户一般数据的传输保护 : 对应用软件系统中通过网络传输的用户一般数据 ,进行完整性检测 ,发现其完整性被破坏的情况 ;

　　d) 用户一般数据的处理保护 :对应用软件系统中进行处理的用户一般数据 ,通过操作序列的回退等措施 ,实现完整性保护 。

　　6. 1. 5 用户数据保密性保护

　　应按 GB/T 20271—2006中 6. 2. 3. 4 的要求 ,对在应用软件系统控制范围内存储和传输的用户数据 ,从以下方面设计和实现保密性保护功能 :

　　a) 用户一般数据的存储保护 :对在应用软件系统中存储的用户一般数据 ,通过相应安全级别/强度的密码机制或其他安全机制 ,实现保密性保护 ;

　　b) 用户一般数据的传输保护 :对应用软件系统中通过网络传输的用户一般数据 ,通过相应安全级别/强度的密码机制或其他安全机制 ,实现保密性保护 ;

　　c) 用户一般数据的剩余信息保护 :对应用软件系统中由用户一般数据使用的缓冲存储器及其他

　　9

　　GB/T 28452—2012

　　动态记录介质 ,通过在释放其使用权时对剩余信息进行删除等措施 ,确保不会由于动态记录介质中的剩余信息引起信息泄漏 。

　　6. 1. 6 备份与故障恢复

　　应按GB/T 20271—2006中 6. 2. 2. 5 的要求 ,从以下方面设计和实现应用软件系统的备份与故障恢复 :

　　a) 用户 自我信息备份与恢复 :提供用户有选择地备份重要信息的功能 ; 当由于某种原因引起信息系统中用户信息丢失 或 破 坏 时 , 能 提 供 用 户 按 自 我 信 息 备 份 所 保 留 的 信 息 进 行 信 息 恢 复 的功能 ;

　　b) 增量信息备份与恢复 :提供由应用软件系统定时对新增信息进行备份的功能 ; 当由于某种原因引起应用软件系统中的某些信息丢失或破坏时 , 提供用户按增量信息备份所保留的信息进行信息恢复的功能 。

　　6. 1. 7 系统安全性检测分析

　　应按 GB/T 20271—2006中 6. 2. 2. 2 的要求 ,检测分析应用软件系统的安全性 ,并结合本级的安全性要求加以改进 。

　　6. 2 安全保证技术要求

　　6. 2. 1 安全子系统自身保护要求

　　6. 2. 1. 1 SSF物理安全保护

　　应按GB/T 20271—2006中 6. 2. 4. 1 的要求 ,从以下方面实现应用软件系统 SSF的物理安全保护 :物理攻击检测 。

　　6. 2. 1. 2 SSF运行安全保护

　　应按GB/T 20271—2006中 6. 2. 4. 2 的要求 ,从以下方面实现应用软件系统 SSF的运行安全保护 :

　　a) 后门控制 :系统在设计时不应留有 “后门 ”。即不应以维护 、支持或操作需要为借 口 ,设计有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的入 口 ;

　　b) 安全系统子集结构 :安全系统应是一个独立的 、严格定义的应用软件系统的一个子集 ,并应防止外部干扰和破坏 ,如修改其代码或数据结构 ;

　　c) 用户和管理员安全属性定义 :应提供设置和升级配置参数的安装机制 ;在初始化和对与安全有关的数据结构进行保护之前 ,应对用户和管理员的安全策略属性应进行定义 ;

　　d) 安全系统失败或中断的处理 :在 SSOASS失败或中断后 ,应按照失败保护中所描述的内容 ,保护其以最小的损害实现对 SSF出现失败时的处理 ;

　　e) 安全系统配置 : 当应用软件系统安装完成后 ,在普通用户访问之前 , 系统应配置好初始用户和管理员职责 、审计参数 、系统审计跟踪设置以及对客体的合适的访问控制 。

　　6. 2. 1. 3 SSF数据安全保护

　　应按GB/T 20271—2006中 6. 2. 4. 3 的要求 ,对在 SSOASS内传输的 SSF数据进行以下安全保护 :

　　a) SSF数据传输保护 :实现 SSOASS内 SSF数据的基本传输保护 ;

　　b) SSF数据一致性保护 :实现 SSOASS内 SSF数据复制的一致性保护 。