DB11T171-2002党政机关信息系统安全测评规范.pdf

ICS 35.040 L 70 备案号：12873-2003 北京市地方标准 DB11/T 1712002 党政机关信息系统安全测评规范 Evaluation Specification for Information System Security of the Government 2002-12-30 发布 2003-02-01 实施 北京市质量技术监督局 发布 DB DB11/T 1712002 I 目 次 前言前言IV 引言引言V 1 范围 1 2 规范性引用文件 1 3 术语和定义以及通用缩略语 1 3.1 党政机关信息系统. 1 3.2 党政应用系统. 1 3.3 公共支持系统. 1 3.4 客户机/服务器（C/S）模式 1 3.5 浏览器/服务器（B/S）模式 1 3.6 单机模式. 1 3.7 基于万维网服务(Web Services)的模式. 2 3.8 通用缩略语. 2 4 党政机关信息系统的组成 2 5 安全类别 4 5.1 划分原则. 4 5.2 各类别安全要求一览表. 5 5.3 系统安全要求说明. 13 6 安全类别 I 要求 20 6.1 安全技术要求. 20 6.2 安全管理要求. 23 7 安全类别 II 要求. 27 7.1 安全技术要求. 27 7.2 安全管理要求. 31 8 安全类别 III 要求 53 8.1 安全技术要求. 53 8.2 安全管理要求. 57 9 安全类别 IV 要求 87 9.1 安全技术要求. 87 9.2 安全管理要求. 91 10 安全类别 V 要求. 91 10.1 安全技术要求. 91 10.2 安全管理要求. 95 11 系统安全性测评 95 附录 A （规范性附录） 信息系统安全性测评流程和测评工具 . 97 A.1 测评流程 97 A.1.1 资料审查资料审查. 97 DB11/T 1712002 II A.1.2 核查测试核查测试. 97 A.1.3 综合评估综合评估. 97 A.2 测评工具 99 A.2.1 调查问卷调查问卷. 99 A.2.2 系统安全性技术检查工具系统安全性技术检查工具. 99 A.2.3 测评工具使用原则测评工具使用原则. 99 A.3 测评数据处理 99 A.4 测评结论 99 附录 B （资料性附录） 本标准使用指南. 101 附录 C （资料性附录） 典型安全措施. 103 C.1 物理安全措施 103 C.1.1 场地场地. 103 C.1.2 设备设备. 103 C.1.3 存储媒体存储媒体. 103 C.1.4 电磁辐射与泄露检测电磁辐射与泄露检测. 103 C.2 网络安全措施 103 C.2.1 隔离与交换隔离与交换. 103 C.2.2 防火墙防火墙. 103 C.2.3 路由器路由器. 104 C.2.4 以太网交换机以太网交换机. 105 C.2.5 入侵检测系统入侵检测系统. 105 C.2.6 病毒防范系统病毒防范系统. 106 C.2.7 漏洞扫描器漏洞扫描器. 106 C.2.8 安全审计系统安全审计系统. 106 C.2.9 网络结构安全要求网络结构安全要求. 107 C.2.10 网络系统可用性保证网络系统可用性保证. 107 C.3 系统软件安全措施 108 C.3.1 操作系统安全要求操作系统安全要求. 108 C.3.2 数据库系统安全要求数据库系统安全要求110 C.4 应用安全措施.116 C.4.1 PKI/CA 证书服务证书服务116 C.4.2 WWW 服务服务116 C.4.3 电子邮件服务电子邮件服务117 DB11/T 1712002 III C.4.4 FTP（文件传输协议）服务（文件传输协议）服务 .117 C.4.5 群件系统群件系统118 C.4.6 文件共享文件共享118 C.4.7 打印共享打印共享118 C.5 运行安全措施.119 C.5.1 备份与恢复备份与恢复119 C.5.2 恶意代码恶意代码119 C.5.3 入侵检测入侵检测119 C.5.4 脆弱性分析脆弱性分析119 C.5.5 审计审计119 C.5.6 升级升级. 120 C.5.7 拆除拆除. 120 C.5.8 应急响应应急响应. 120 C.5.9 维护维护. 120 附录 D （资料性附录） 典型安全措施配置案例. 121 D.1 安全类别 I 121 D.2 安全类别 II 125 D.3 安全类别 III. 131 附录 E （资料性附录） 缩略语. 139 标准分享网 w w w .b z f x w .c o m 免费下载 DB11/T 1712002 IV 前 言 本标准是北京市党政机关信息系统安全测评的依据。 本标准将党政机关信息系统分为五个安全类别， 对各安全类别分别提出安全技术要求和安全管理要 求，安全类别I至V的系统安全防护能力逐类提高。 本标准的附录A是规范性附录。本标准的附录B、附录C、附录D和附录E是资料性附录。 本标准由北京市信息化工作办公室、北京市科学技术委员会共同提出。 本标准由北京市质量技术监督局归口。 本标准主要起草单位：北京信息安全测评中心、中国电子科技集团第三十研究所、中国科学院计算 技术研究所、中国电子技术标准化研究所、中国计算机软件与技术服务总公司、北京北方计算中心、中 国人民解放军总参谋部第五十一研究所、 北京市国家保密局保密技术开发服务中心、 中国人民解放军信 息安全测评认证中心、上海市信息安全测评认证中心。 本标准主要起草人：姚世全、张震国、张建军、李忠诚、成金爱、徐 刚、王 宏、黄家英、李毓 敏、魏 忠、张 东、孟繁胜、赵家喜、周明德、孟亚平、徐广方、胡毛牛、钟 力、王建国、赵瑞颖、 徐 御、罗锋盈、李福温、单昌明、刘 鹏、胡 冰。 本标准由北京信息安全测评中心负责解释。 DB11/T 1712002 V 引 言 为深入贯彻北京市政府第67号令 北京市政务与公共服务信息化工程建设管理办法 、 京办发 【2001】 27号文北京市党政机关计算机网络与信息安全管理办法的要求，北京市信息化工作办公室和北京市 科学技术委员会共同提出研制北京市党政机关信息系统安全测评规范的任务，拟通过对北京市党政 机关信息系统安全性进行测评，以增强党政机关信息系统的安全性，确保党政机关信息系统的正常、稳 定、安全运行。 根据国家电子政务文件的精神和有关国家标准， 结合北京市信息化工程建设要求和党政机关信息系 统的实际情况，并经初步测试实践，制定本标准。 在本标准实施过程中，应遵守国家有关法律、法规的规定。 涉及国家秘密的计算机信息系统安全测评应按照国家有关部门的规定执行。 标准分享网 w w w .b z f x w .c o m 免费下载 DB11/T 1712002 1 标准分享网 w w w .b z f x w .c o m 免费下载 DB11/T 1712002 1 党政机关信息系统安全测评规范 1 范围 本规范提出了北京市党政机关信息系统安全测评的依据。 本规范适用于党政机关政务外网、 政务外网与政务内网以及政务外网与互联网相互之间互连的信息 安全检测与评估。 本规范对政务内网系统安全的检测与评估未做规定。其他重要信息系统安全检测与评估可参考使 用。 本规范的实施应是在党政机关信息系统各组成部分（如操作系统、数据库、服务器、路由器、防火 墙、应用系统等）确保其通过安全测试和认证的基础上，依据本规范提出的安全要求，对党政机关信息 系统进行系统安全检测与评估。 2 规范性引用文件 GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则 GB 17859-1999 计算机信息系统安全保护等级划分准则 ISO/IEC 17799-2000 信息技术 信息安全管理实用规则 中办发【2002】17号 国家信息化领导小组关于我国电子政务建设指导意见 北京市政府第67号令 北京市政务与公共服务信息化工程建设管理办法 3 术语和定义以及通用缩略语 下列术语和定义适用于本规范。 3.1 党政机关信息系统 专门用于支持党政机关业务的信息系统。党政机关信息系统由党政应用系统、公共支持系统组成。 参见图5。 3.2 党政应用系统 党政机关信息系统的组成部分之一，是根据党政机关业务特点而专门开发和建设的信息应用系统。 党政应用系统是以公共支持系统为基础进行开发和建设的。 3.3 公共支持系统 党政机关信息系统的组成部分之一，是根据应用系统的需求，通过采购商品化的信息产品，集成建 设而成的系统，为应用系统提供基本运行环境和平台。公共支持系统分为公共应用平台系统（如群件平 台、Web平台、E-mail平台、数据库平台等）、操作系统平台、网络平台。其中网络平台可以是局域网、 城域网或广域网。 3.4 客户机/服务器（C/S）模式 党政机关信息系统构成的一种模式， 其特点是用户在客户端运行一个程序 （即客户端程序， Client） ， 与服务器端的程序（即服务器端程序，Server）通过网络进行交互，应用系统中主要的处理功能都由服 务器端程序承担。 客户端主要用作人机界面， 在某些情况下也可以承担一定的信息处理任务 （如打印等） 。 C/S模式的应用系统的主要数据都存放在服务器端。 3.5 浏览器/服务器（B/S）模式 党政机关信息系统构成的一种模式，是C/S模式的一种特例，其特点是客户端程序为浏览器，服务 器端为Web服务器。 用户使用统一的浏览器界面作为访问系统功能的唯一人机界面。 Web服务器作为访问 其他信息服务（如数据库等）的“中继”。 3.6 单机模式 标准分享网 w w w .b z f x w .c o m 免费下载 DB11/T 1712002 2 党政机关信息系统建设的一种模式，其特点是所有相关的信息处理任务都在一台物理主机上完成， 包括人机界面。应用系统的所有数据均存放在同一台物理主机上。 3.7 基于万维网服务(Web Services)的模式 党政机关信息系统构成的一种模式，是一种正在发展、很有前途的分布式应用模式。其特点是业务 应用程序以Web服务的方式运行在Web服务器上， 是部署在Web服务器上的对象/组件。 客户应用程序可以 通过标准的Web通信协议（如HTTP协议）进行访问。 3.8 通用缩略语 CA Certification Authority 证书认证机构 CC Common Criteria 通用准则 GIS Geographics Information System 地理信息系统 HTTP Hypertext Transfer Protocol 超文本传输协议 ICMP Internet Control Messages Protocol 网间控制报文协议 IP Internet Protocol 网际协议 IT Information Technology 信息技术 PKI Public Key Infrastructure 公开密钥基础设施 SFP Security Function Policy 安全功能策略 TCP Transmission Control Protocol 传输控制协议 TOE Target of Evaluation 评估对象 TSC TSF Scope of Control TSF控制范围 TSF TOE Security Functions TOE安全功能 TSP TOE Security Policy TOE安全策略 UDP User Datagram Protocol 用户数据报协议 VPN Virtual Private Network 虚拟专用网 VLAN Virtual Local Area Network 虚拟局域网 XML Extensible Markup Language 可扩展标记语言 SOAP Simple Object Access Protocol 简单对象访问协议 4 党政机关信息系统的组成 本标准涉及的党政机关信息系统的构成可分为四种模式，分别如图1、图2、图3、图4所示。 图1 C/S 模式 C/S模式由客户机和服务器构成，客户机上运行专用的客户端程序，服务器上运行服务器端程序， 两者之间通过网络进行交互。客户端程序与服务器端程序之间运行标准的或专用的协议。 客户机 服务器 网络 DB11/T 1712002 3 图2 B/S 模式 B/S模式也由客户机和服务器构成， 客户机上运行浏览器程序， 服务器上运行Web服务器程序以及相 关的应用程序，两者之间通过网络进行交互。浏览器与Web服务器之间使用HTTP协议进行通信。Web服务 器和其上的应用程序构成应用服务器。在很多系统中，应用服务器是一个中继服务器，用于与其他的专 用后台服务器（如数据库、GIS系统）进行交互。应用服务器与后台服务器可以是物理上的同一台主机， 也可以是通过网络连接的不同主机。 图3 单机模式 单机模式是最简单的一种构成模式，所有的处理都在一台单机上完成，数据也存放在单机上。 图4 基于万维网服务的模式 基于万维网服务的模式是建立可互操作的分布式应用程序的平台。 Web服务是应用程序， 运行在Web 服务器上，可以使用标准的网网络协议，如超文本传输协议(HTTP)和XML，将功能纲领性地体现在网络 上，并可以通过Web接入进行访问。客户机上运行客户端程序（Web服务用户程序），通常采用通用发现 和发布协议来发现服务器应用程序发布的Web服务，用基于SOAP的XML文档再通过HTTP等常用Web通信方 式交换数据。 对于一个指定的客户机而言，会在不同的应用系统中充当不同程序（如浏览器、专用客户端程序、 单机应用程序、 客户应用程序） 的运行平台。 服务器也会在不同的应用系统中充当不同程序的运行平台。 对于一个指定的党政机关信息系统而言，上述四种模式组成的系统部件是测评的基本单元。 党政机关信息系统的组成如图5所示。 客户机 应用服务器 网络 后台服务器 单机 客户机 /Web服务用户 Web服务器 /Web服务 网络 后台服务器 DB11/T 1712002 4 图5 党政机关信息系统组成 如图5所示，党政机关信息系统由党政应用系统和公共支持系统构成，公共支持系统为应用系统提 供基本运行环境和平台。本标准将公共支持系统分为：公共应用平台（如群件平台、Web平台、E-mail 平台、数据库平台等）、操作系统平台、网络平台。其中网络平台可以是局域网、城域网或广域网。 公共支持系统一般采用通用的信息产品构建， 主要通过配置满足具体应用的要求。 党政应用系统则 是建立在公共支持系统之上的业务系统。一般来说，公共支持系统可以通过采购得到，党政应用系统则 需要根据党政机关业务的需求专门开发。 对于某一个具体的系统而言， 其公共支持系统上运行有一种或多种党政应用系统， 而每一种党政应 用系统的安全要求可能不同， 公共支持系统中每一个公用部件的安全功能应满足所支持应用系统中最高 级别应用安全的要求。 本标准测评的基本对象是党政应用系统及其相关公共支持系统， 测评时应根据系统中各应用业务的 实际情况确定该系统的安全类别，从而导出系统应满足的相关安全要求，形成最终的测评依据。 5 安全类别 5.1 划分原则 本标准将党政机关信息系统划分成五个安全类别， 类别是根据系统中信息资源的价值和必须应对的安全 攻击/威胁进行划分的。类别 I 系统中信息资源的价值最低，应对安全攻击/威胁能力最弱，类别 V 系统 中信息资源的价值最高，应对安全攻击/威胁能力最强。各类别与党政机关信息系统所处理的信息的价 值、系统所应对的攻击/威胁、系统所具有的保护能力之间的对应关系如表 1 所示： 应用1 应用2 应用3 应用n 公共应用平台 操作系统平台 网络平台 党政应用系统 公 共 支 持 系 统 DB11/T 1712002 5 表1 安全类别与信息价值、攻击/威胁、保护能力对应关系 应对攻击/威胁描述 攻击能力 分 类 系统处理的 信息价值 典型攻击 /威胁者 典型攻击/威胁行为描述 计算能 力 协作攻击 能力 代码能 力 保护能力 I 处理信息为 一般信息， 信息安全事 故造成的负 面影响极小 用户误操 作 主要指用户的非恶意行为，以及意 外事件。 基本强度 II 处理信息为 日常政务信 息，信息安 全事故对党 政机关本身 造成轻微影 响或小的破 坏 有限恶意 攻击、个 体犯罪 主要指占有少量资源的个体对手对 信息系统进行的有限攻击。 有 限弱 有 可以抵抗不 复杂的威胁 III 处理信息为 日常政务信 息，信息安 全事故对党 政机关产生 一定的破坏 罪犯、地 区集团犯 罪 主要指国内犯罪团伙的攻击行为， 这些团伙可以实现跨地区犯罪、内 外勾结犯罪；对犯罪行为可以进行 长期的策划，并有一定的资金、人 力和技术资源可以利用。 中等程 度 较强 较强 可以抵抗较 为复杂的、 有一定组织 攻击活动的 威胁 IV 处理信息包 含有重要的 政务信息， 信息安全事 故会严重影 响党政机关 的正常运行 商 业 间 谍、国际 集 团 犯 罪、跨国 公司 主要指大型国际商业机构、国际恐 怖团体、 国际犯罪团伙的攻击行为， 这些集团能够实施跨国界的集团犯 罪，所能利用的资源丰富。对于一 些大型国际信息技术商业机构，不 仅拥有强大的计算能力，而且可能 是党政机关信息系统硬件、软件和 系统的提供商。 大规模强 很强 可以抵抗特 别复杂的攻 击、防范有 强大支持的 对手 V 处理信息包 含有关键政 务信息，信 息安全事故 会对党政机 关造成严重 的破坏 敌国政府 主要指国家行为， 攻击者组织精良、 资源充足，甚至不计经济代价、调 动国家资源实施信息系统攻击。 大规模很强 很强 可以抵抗来 自敌对国家 的攻击和威 胁 说明： 党政机关信息价值是根据所处理信息对于党政机关业务的重要性确定的， 应符合国家有关法律、 法 规的规定。党政机关信息价值的划分，可依据党政机关的行政级别、业务类型、职责范围等进行。 5.2 各类别安全要求一览表 本标准从安全技术、安全管理两个方面对不同类别提出要求。 a) 各类别实现的安全功能组件如表 2 所示: 表中所列安全组件选自GB/T 18336。 DB11/T 1712002 6 表2 不同安全类别系统的安全技术要求 安全技术要求组件 安全类别 I安全类别II安全类别 III安全类别 IV 安全类别 V 安全审计自 动响应 FAU_ARP.1 FAU_GEN.1 安全审计数 据产生 FAU_GEN.2 FAU_SAA.3 安全审计分 析 FAU_SAA.4 FAU_SAR.1 FAU_SAR.2 安全审计查 阅 FAU_SAR.3 安全审计事 件选择 FAU_SEL.1 FAU_STG.1 FAU_STG.2 FAU_STG.3 安全审计事 件存储 FAU_STG.4 原发抗抵赖 FCO_NRO.1 接收抗抵赖 FCO_NRR.1 FDP_ACC.1 访问控制策 略 FDP_ACC.2 访问控制功 能 FDP_ACF.1 FDP_DAU.1 数据鉴别 FDP_DAU.2 FDP_ETC.1 向 TSF 控制 范围之外输 出 FDP_ETC.2 FDP_ITC.1 从 TSF 控制 范围之外输 入 FDP_ITC.2 FDP_ITT.1 FDP_ITT.2 FDP_ITT.3 TOE内部传输 FDP_ITT.4 残余信息保 护 FDP_RIP.1 FDP_SDI.1 存储数据的 完整性 FDP_SDI.2 鉴别失败 FIA_AFL.1 用户属性定 义 FIA_ATD.1 秘密的规范 FIA_SOS.1 DB11/T 1712002 7 FIA_SOS.2 FIA_UAU.1 FIA_UAU.3 FIA_UAU.4 FIA_UAU.5 FIA_UAU.6 用户鉴别 FIA_UAU.7 FIA_UID.1 用户标识 FIA_UID.2 用户_主体绑 定 FIA_USB.1 失败保护 FPT_FLS.1 输出 TSF 数 据的可用性 FPT_ITA.1 输出 TSF 数 据的保密性 FPT_ITC.1 输出 TSF 数 据的完整性 FPT_ITI.1 FPT_ITT.1 TOE 内 TSF 数据传输 FPT_ITT.2 FPT_RCV.1 可信恢复 FPT_RCV.2 FPT_SSP.1 状态同步协 议 FPT_SSP.2 时间戳 FPT_STM.1 FRU_FLT.1 容错 FRU_FLT.2 服务优先级 FRU_PRS.1 FRU_RSA.1 资源分配 FRU_RSA.2 可选属性范 围限定 FTA_LSA.1 多重并发会 话限定 FTA_MCS.1 FTA_SSL.1 FTA_SSL.2 会话锁定 FTA_SSL.3 TOE访问旗标 FTA_TAB.1 TOE访问历史 FTA_TAH.1 TOE会话建立 FTA_TSE.1 TSF间可信信 道 FTP_ITC.1 DB11/T 1712002 8 说明： 1) 符号： ：表示本组件应实现 ：表示本组件可选实现 ：表示本子类中若干组件应至少选择其中之一实现 空格:不作要求 2) 对于密码支持类（FCS 类），各类别系统的安全技术要求中未选用本子类中的组件，故未 在此表中体现。但在信息系统提供和实现密码支持功能时，此子类要求按照国家主管部门 的要求进行。 3) 对于安全管理类（FMT 类），各类别系统的安全技术要求中未选用本子类其中的组件，故 未在此表中体现。在信息系统中对于安全管理的技术要求在各安全类别要求的安全技术要 求部分加以说明。 b) 各类别实现的管理要素如表 3 所示: 表中安全管理要求项目选自ISO/IEC 17799信息技术 信息安全管理实用规则。 DB11/T 1712002 9 表3 不同安全类别系统的安全管理要求 系统安全类别 安全管理 要求项目 序 号 安全管理要素 III 1 信息安全策略文件 安全 策略 信息安 全策略 2 评审和评价 基本要 求 3 信息安全管理专题会议 4 信息安全协调 5 信息安全职责的分配 6 信息处理设施的授权过程 7 专家信息安全建议 8 组织之间的合作 信息安 全管理 基础 9 信息安全的独立评审 基本要 求 10 标识第三方访问的风险 第三方 访问的 安全 11 第三方合同中的安全要求 组织 的安 全 外包 12 外包合同中的安全要求 基本要 求 资产的 可核查 性 13 资产清单 基本要 求 14 分类指南 资产 分类 和控 制 信息分 类 15 信息标记和处理 基本要 求 16 工作职责中的安全 17 人员筛选和策略 18 保密协议 工作设 定和人 力资源 的安全 19 聘用期限和条件 基本要 求 用户培 训 20 信息安全教育和培训 基本要 求 21 报告安全事故 22 报告安全弱点 23 报告软件故障 24 从事故中学习 人员 安全 对安全 事故和 故障的 响应 25 纪律处理 DB11/T 1712002 10 26 物理安全周边 27 物理入口控制 28 办公室、房间和设施的安全保 护 29 在安全区域工作 安全区 域 30 隔离的交接区域 基本要 求 31 设备安置和保护 32 电源 33 布线安全 34 设备维护 35 离开建筑物的设备的安全 设备安 全 36 设备的安全处置和安全重用 基本要 求 37 清理桌面和清空屏幕策略 物理 和环 境的 安全 一般控 制 38 财产的移动 39 文件化的操作规程 40 操作变更控制 41 事故管理规程 42 责任分离 43 开发和运行设施分离 操作规 程和职 责 44 外部设施管理 基本要 求 45 能力规划 系统规 划和验 收 46 系统验收 防止恶 意软件 47 控制恶意软件 基本要 求 48 信息备份 49 操作员日志 内务处 理 50 故障记录 网络管 理 51 网络控制 52 可移动的计算机媒体的管理 53 媒体的处置 通信 和操 作管 理 媒体处 置和安 全 54 信息处置规程 DB11/T 1712002 11 55 系统文件的安全 56 信息和软件交换协定 57 运输中的媒体安全 58 电子邮件的安全 59 电子办公系统的安全 60 公开可用系统 信息和 软件的 交换 61 信息交换的其他形式 62 策略和业务要求 访问控 制的业 务要求 63 访问控制规则 64 用户注册 65 特权管理 66 用户口令管理 用户访 问管理 67 用户访问权利的评审 68 口令使用 用户职 责 69 无人值守的用户设备 70 使用网络服务的政策 71 强制路径 72 外部连接的用户鉴别 73 节点鉴别 74 远程诊断端口保护 75 网络分离 76 网络连接控制 77 网络路由选择控制 网络访 问控制 78 网络服务的安全 基本要 求 79 自动化终端标识 80 终端登录规程 81 用户标识和鉴别 82 口令管理系统 83 系统实用程序的使用 84 保护用户的强制报警 85 终端超时 访问 控制 操作系 统访问 控制 86 连接时间的限定 基本要 求 DB11/T 1712002 12 87 信息访问限制 应用访 问控制 88 敏感系统隔离 基本要 求 89 事件记录 90 对系统使用的监视 对系统 访问和 使用的 监视 91 时钟同步 92 移动计算 移动计 算和远 程工作 要求 93 远程工作 系统的 安全 94 安全要求分析和规范 95 输入数据确认 96 内部处理的控制 97 报文鉴别 应用系 统的安 全 98 输出数据确认 基本要 求 99 运行软件的控制 100 系统测试数据的保护 系统文 件的安 全 101 源程序库的访问控制 基本要 求 102 变更控制规程 103 运行系统变更的技术评审 104 软件包变更的限制 105 隐蔽信道和特洛伊代码 系统 开发 和维 护 开发和 支持过 程的安 全 106 外包的软件开发 107 业务连续性管理过程 108 业务连续性和影响分析 109 制定和实施连续性计划 110 业务连续性计划框架 业务 连续 性管 理 业务连 续性管 理的各 方面 111 检验、维护和重新评估业务连 续性计划 基本要 求 112 可用法律的标识 113 知识产权（IPR） 符合 性 符合法 律要求 114 保护组织的记录 基本要 求 DB11/T 1712002 13 115 防止滥用信息处理设备 116 密码控制的规章 117 证据的收集 118 符合安全策略 安全策 略和技 术符合 性的评 审 119 技术符合性检验 基本要 求 120 系统审核控制 系统审 核考虑 121 系统审核工具的保护 基本要 求 说明： 基本要求：安全类别I的系统对所选管理大类只作一般性要求，满足系统基本安全需求，具体措施 上有所考虑即可，措施内容、范围、改进等方面不作明确要求。 :要求实现本项管理要求 空格:不作要求 5.3 系统安全要求说明 每一类别的安全要求由安全技术要求和安全管理要求两个方面构成。 5.3.1 安全技术要求 FAU 类：安全审计 本类功能组件对不同类别系统，针对以下内容提出要求： 审计点：党政机关信息系统中，审计点的设置一般在以下位置：网络中继节点（如防火墙、路 由器、交换机等）、操作系统、应用平台系统、数据库系统和应用系统； 审计内容与范围：党政机关信息系统应明确说明每一审计点的审计内容与范围； 审计数据的来源：在系统的设计和实施方案中应明确说明审计数据的来源； 审计数据的预处理和后处理： 在党政机关信息系统的设计和实施方案中应明确说明审计数据的 预处理和后处理。 FCO 类：通信 通信在实体之间进行，党政机关信息系统中的通信实体包括：用户、进程、主机。 按照通信实现的层次特点,本类功能组件所涉及的通信可以分为： 网络通信：在网络层进行的通信行为，通信实体以网络地址进行标识； 应用平台通信： 利用标准网络应用协议实现的通信， 通信实体使用标准协议提供的标识方式进 行标识； 党政应用通信： 根据具体党政应用而建立的交互通信会话， 通信实体的标识方法由应用系统确 定。 在党政机关信息系统中， 不同层次的通信之间有承载和复用关系， 如果不存在上层通信对低层通信 的复用，可以使用低层通信的标识机制标识上层通信实体。 本类功能组件要求系统提供对通信的发起方实体和接受方实体通信行为不可抵赖性的保证。 FCS 类：密码支持 在党政机关信息系统中使用密码技术，应严格按照国家密码主管部门的要求进行使用和管理。 FDP 类：用户数据保护 DB11/T 1712002 14 党政机关信息系统的用户数据存储在服务器、 单机以及备份媒体上， 本类功能组件根据安全策略保 证这些数据的保密性、完整性和可用性。 在党政机关信息系统的评估中， 最重要的客体信息是数据， 主体则主要是用户以及代表用户的进程。 用户在党政机关信息系统中，典型的数据访问、操作活动有： a）党政应用系统层面上的活动由应用系统定义； b）公共应用平台系统层面上的活动由应用平台定义； c）操作系统层面上的活动，包括：主体对进程的操作、主体对文件的操作、主体对目录的操作、 主体对设备的操作等； d）网络系统层面上的活动，包括：接收数据、发送数据、转发数据、读网络节点的属性、修改网 络节点的属性、读网络节点上的数据、向网络节点写数据。 .1 访问控制策略（FDP_ACC） 在党政机关信息系统的日常运行中，根据业务的不同，都有非常明确的基本访问控制策略。对于指 定类别的信息，访问控制策略包括以下内容： 访问、使用信息的合法用户； 访问、使用信息的时间要求； 访问、使用信息的地点要求； 访问、使用信息的工具和方式要求。 这些策略可能来自党政机关的各项规章制度、业务的运行经验、国家的规定等，测评前应尽可能收 集这方面的资料，作为测评的基本依据。 在党政机关信息系统中，本子类功能组件应对党政机关信息系统访问控制策略定义的方式做出规 定。上述信息访问策略可以在网络平台、应用平台、党政应用等各个层面实现。 .2 访问控制功能（FDP_ACF） 在党政机关信息系统中， 访问控制功能是实现访问控制策略的基础。 本子类功能组件对在网络平台、 操作系统、公共应用平台系统、党政应用系统等各个层面实现访问控制功能提出要求。不同层面实现的 访问控制粒度是不同的。 .3 数据鉴别（FDP_DAU） 在党政机关信息系统中，本子类功能组件对确保数据真实性提出要求。数据鉴别一般在操作系统、 公共应用平台和党政应用系统三个层面实现。 .4 向 TSF 控制范围之外输出（FDP_ETC） 在党政机关信息系统中，“TSF控制范围”包括党政机关信息系统相关的计算机、存储媒体、输出 设备、输入设备、通信线路、网络设备等。党政机关信息系统中所有信息生成、处理、传输、存储、输 出相关的设备、媒体等均在党政机关信息系统安全功能控制范围内，即TSF控制范围内。本子类功能组 件对信息从TSF控制范围内向外的输出提出控制要求。典型的输出方式有：与其它系统的信息交换、屏 幕显示、打印、为交换而进行的备份、复制等。 .5 从 TSF 控制范围之外输入（FDP_ITC） 在党政机关信息系统中， 本子类功能组件对所有从TSF控制范围之外的信息输入活动提出控制要求。 典型的输入活动有：与其他系统的信息交换、键盘输入、非本系统移动媒体的输入等。 .6 TOE 内部传输（FDP_ITT） 本子类功能组件对党政机关信息系统中主机间不经过外部信道的数据传输安全提出要求。 .7 残余信息保护（FDP_RIP） 党政机关信息系统中， 本子类功能组件对存储媒体上的残余信息保护提出要求， 典型的存储媒体包 括：非易失性媒体、运行系统的内存和临时存储媒体等。 .8 存储数据的完整性（FDP_SDI） DB11/T 1712002 15 党政机关信息系统中，本组件对存储媒体上数据完整性保护提出要求，典型的存储媒体包括：非易 失性媒体、运行系统的内存和临时存储媒体等。 FIA 类：标识和鉴别 在党政机关信息系统中，“用户标识”在不同的应用系统、不同的层次中可能采用不同的形式，而 相应的用户管理方式、标识方法和鉴别机制也可能不同。测评时，应对系统中存在的所有用户标识和鉴 别机制进行检查和测评。 .1 鉴别失败（FIA_AFL） 党政机关信息系统中，本子类功能组件规定了系统对鉴别失败所应采取的安全动作。 .2 用户属性定义（FIA_ATD） 党政机关信息系统中，本子类功能组件对用户的安全属性维护提出要求。 .3 秘密的规范（FIA_SOS） 在党政机关信息系统中，典型的用于标识和鉴别的“秘密”有： 口令； 随机数。 本子类功能组件对上述“秘密”的质量、生成提出要求。 .4 用户鉴别（FIA_UAU） 在党政机关信息系统中，本子类功能组件对系统中采用的鉴别机制类型及其属性提出要求。 .5 用户标识（FIA_UID） 在党政机关信息系统中，本子类功能组件对用户在标识自己之前所允许进行的操作提出要求。 .6 用户_主体绑定（FIA_USB） 在党政机关信息系统中，本子类功能组件要求维持用户的安全属性与代表用户活动的主体间的关 联。 FMT 类：安全管理 党政机关信息系统中，安全管理的内容主要包括： 安全设施的配置管理； 安全事件的管理； 安全设施的故障管理等。 管理对象主要有两种： 安全设备、软件，例如：防火墙、入侵监测系统、防病毒软件等； 信息处理设备和软件的安全相关功能的管理，例如：操作系统安全参数设置、党政应用系统安 全参数设置等。 一般来说，一些安全设备具有自己的集中控制中心，同时网络中也存在有网络控制中心，安全管理 功能可能依托于这些中心设备，也可能是单独的设备。 FPT 类：TSF 保护 在党政机关信息系统中，TSF包括系统中所有设备、软件和子系统提供的信息安全保护功能、机制。 在党政机关信息系统中， 所有提供安全功能的产品、 设备必须通过法定测评机构的安全性检验和评 估，符合国家相关安全标准的规定。 党政机关信息系统在网络、操作系统、公共应用平台系统以及党政应用系统等方面提供TSF数据保 护。本类功能组件为提供安全功能的设备、软件和子系统提供安全的运行环境。 党政机关信息系统中各安全功能相关的设备、软件和子系统之间也需要进行安全相关的数据交换， 本类功能组件对这些数据的安全保护提出要求。 党政机关信息系统典型的TSF数据主要有： 审计数据； 鉴别数据； DB11/T 1712002 16 目录数据； 安全管理数据； 密钥库（包括证书库）； 访问控制策略数据； 安全管理配置表； 漏洞库； 审计记录规则表； 安全恢复规则表； 密钥分配规则表； 信息流（工作流、公文流）控制策略数据等。 .1 失败保护（FPT_FLS） 在党政机关信息系统中，安全设备、子系统和软件有可能发生故障，导致相应安全功能失效。本子 类功能组件要求系统应该在整体上采取措施， 以保证一旦某些安全功能失效后， 不会对系统的整体安全 性造成严重影响。 .2 输出 TSF 数据的可用性（FPT_ITA） 本子类功能组件对安全相关的设备、软件和子系统之间交换安全数据的可用性提出要求。 .3 输出 TSF 数据的保密性（FPT_ITC） 本子类功能组件对安全相关的设备、软件和子系统之间交换安全数据的保密性提出要求。 .4 输出 TSF 数据的完整性（FPT_ITI） 本子类功能组件对安全相关的设备、软件和子系统之间交换安全数据的完整性提出要求。 .5 TOE 内 TSF 数据传输（FPT_ITT） 本子类功能组件对党政机关信息系统内安全功能相关的数据传输安全提出要求。 .6 可信恢复（FPT_RCV） 本子类功能组件对党政机关信息系统发生故障后的可信恢复机制提出要求。 通过可信恢复机制， 可 保证系统在不减弱系统整体安全性的情况下，恢复正常运行状态。 .7 状态同步协议（FPT_SSP） 本子类功能组件对党政机关信息系统中安全状态的同步提出要求。 .8 时间戳（FPT_STM） 本子类功能组件对党政机关信息系统中时间戳的统一提出要求。 FRU 类：资源利用 党政机关信息系统中的典型资源包括： 网络带宽； CPU 处理能力； 存储空间等。 本类功能组件对于资源的安全利用提出要求。 FTA 类：TOE 访问 本类功能组件对网络系统、操作系统、公共应用平台系统、党政应用系统建立用户会话的过程提出 安全要求。 0 FTP 类：可信路径/信道 本类功能组件只对党政机关信息系统中的可信信道提出安全要求。 可信信道是指不会对信息的保密 性、完整性构成威胁的信息传输信道。 5.3.2 安全管理要求 安全策略 .1 信息安全策略 DB11/T 1712002 17 本类要素对信息安全策略提出要求。 党政机关信息系统的信息安全策略是与党政机关信息安全政策 的方向相一致的。 组织的安全 .1 信息安全管理基础 本类要素在组织范围内提出信息安全管理基础的要求。 党政信息系统的信息安全管理基础包括管理 组织框架、管理专题会议、专家信息安全建议原始资料库等。 .2 第三方访问的安全 本类要素对被第三方所访问的组织的信息处理设施和信息资产的安全维护提出要求， 主要包括风险 评估和与第三方访问的合同。本类的要求可作为制定合同的基础以及考虑外包信息处理时的基础。 .3 外包 本类要素对把信息处理的职责外包给其他组织时的信息安全维护提出要求， 主要是对外包合同提出 安全管理的要求。 资产分类和控制 .1 资产的可核查性 本类要素对资产的可核查性提出要求。资产的可核查性有助于确保组织资产的保护。 .2 信息分类 党政机关信息系统中的信息具有可变的敏感性和重要性。 本类要素对党政机关信息系统中信息的分 类提出要求，以确保信息资产受到相应级别的保护。信息分类体制可用来指出信息保护程度，是否要求 特别的传递处理措施，以及指出关于信息的保护优先级。 人员安全 .1 工作设定和人力资源的安全 本类要素对党政机关信息系统的操作人员的聘用制度、岗位设定和安全职责等人力资源作出要求， 以减少人为差错、盗窃、欺诈或滥用设施的风险。 .2 用户培训 本类要素对用户接受安全规程和正确使用信息处理设施方面的培训提出要求， 以确保用户知道信息 安全威胁和利害关系，使可能的安全风险减到最小。 .3 对安全事故和故障的响应 本类要素对党政机关信息系统安全事故、 安全漏洞和软件故障等的报告、 响应和处理规程提出要求， 以使安全事故和故障的损害减到最小， 并监控事故的发生以及从事故中学习。 党政机关信息系统中可能 对本系统的资产安全有影响的事故类型有安全违规、威胁、弱点或故障等。 物理和环境的安全 .1 安全区域 本类要素对党政机关各信息系统的安全区域管理提出要求， 以防止对业务办公场所和信息的未授权 访问、损坏和干扰。安全区域是党政机关信息系统的关键和敏感的业务信息处理设施放置场所，有适当 的且明确的安全周边、 安全屏障和入口控制的保护。