GB/T 34990—2017 信息安全技术 信息系统安全管理平台技术要求和测试评价方法6.2 保障要求
6.2.1 配置与设备选型
6.2.1.1 配置管理
平台开发过程中应进行配置管理。
基本级保障要求,包括:
开发商应使用配置管理系统,为平台产品的不同版本提供唯一的标识;
开发商应针对不同平台产品(用户)提供唯一的授权标识;
要求配置项应有唯一标识;
开发商应提供配置管理文档;
增强级保障要求,在基本级要求基础上增加下列要求:
开发商提供的配置管理文档应包括一个配置管理计划,配置管理计划应描述如何使用配置管理系统,实施的配置管理应与配置管理计划相一致;
配置管理范围应包括系统交付与运行文档、开发文档、指导性文档、生命周期支持文档、测试文档、脆弱性分析文档和配置管理文档,并描述配置管理系统是如何跟踪这些配置项的,从而确保它们的修改是在一个正确授权的可控方式下进行的。
6.2.1.2 平台硬件设备
平台硬件设备选型应符合下列要求:
基本级保障要求,包括:
a) 平台硬件设备指组成平台的硬件设备,如服务器、终端计算机、网络设备等;
b) 应将平台硬件设备信息存储到平台设备数据集;
c) 服务器应符合GB/T 21028-2007要求;
d) 终端计算机应符合GB/T 29240-2012要求;
e) 网络设备应符合GB/T 21050-2007和GB/T 18018-2007要求。
增强级保障要求,在基本级要求基础上无增加要求。
6.2.1.3 平台系统软件
平台系统软件选型应符合下列要求:
基本级保障要求,包括:
a) 安全管理平台的服务器、终端计算机应使用安全操作系统及安全数据库管理系统;
b) 应将上述系统软件信息存储到平台设备数据集;
c) 安全操作系统是指符合GB/T 20272-2006第三级及以上要求的操作系统;
d) 安全数据库管理系统是指符合GB/T 20273-2006第三级及以上要求的数据库管理系统。
增强级保障要求,在基本级要求基础上无增加要求。
6.2.2 交付与运行
6.2.2.1 产品交付
平台产品交付应符合下列要求:
基本级保障要求,包括:
开发商应确保平台产品的交付、安装、配置和使用是可控的;
开发商应以文件方式说明平台产品的安装,配置和启动的过程;
平台系统安装指南应详尽描述平台产品的安装,配置和启动运行所必需的基本步骤;
上述过程中不应向非产品使用者提供网络拓扑信息;
增强级保障要求,在基本级要求基础上无增加要求。
6.2.2.2 平台运行环境部署
平台运行环境部署应符合下列要求:
基本级保障要求,包括:
平台运行环境的部署,是指与之关联的信息系统中服务器及终端计算机系统、网络设备、专用安全设备及其他相关设施中执行的各种安全机制,以及应用软件系统中的安全机制的部署,应是有效的和合理的;
平台与上述管理对象之间的通信是可信的,并且对信息系统原有网络区域划分及其边界防护不产生影响,对原网络正常通信不产生长时间固定影响;
平台运行环境的服务器及终端计算机应采用安全操作系统;
平台面向管理对象接口的配置只能由唯一授权的系统管理员进行管理;
增强级保障要求,在基本级要求基础上增加下列要求:
平台运行环境的配置应符合信息系统相应安全保护等级的要求;
平台相关的服务器、终端计算机、网络设备、专用安全设备等硬件设备应经过国家监管部门的安全审查,确保自主可控。
6.2.3 开发
6.2.3.1 功能设计
平台功能设计符合下列要求:
基本级保障要求,包括:
应使用非形式化风格来完备地描述平台功能及其接口,功能设计应当是内部一致的,并且应描述所有接口的使用目的与方法,还要提供结果例外情况和错误信息的细节;
功能设计还应完备地表示平台安全功能的基本原理;
增强级保障要求,在基本级要求基础上增加下列要求:
应使用半形式化风格来完备地描述平台安全功能及其接口,必要时可由非形式化、解释性的文字来支持。
6.2.3.2 安全策略模型化
平台开发中应建立安全策略模型。
基本级保障要求,包括:
通过建立基于安全集中管理策略的安全策略模型,并建立功能设计、安全策略模型和安全集中管理策略之间的对应性的方法,确保功能设计中的安全功能实施安全集中管理策略;
平台的安全策略模型应是非形式化的,并描述所有可以模型化的安全集中管理策略的规则与特征;
安全策略模型应包括一个基本原理,阐明该模型与所有可模型化的安全集中管理策略是一致的、完备的;
安全策略模型和功能设计之间的对应性阐明应说明功能设计中的安全功能与安全策略模型是一致的、完备的;
应基于风险管理思想,根据安全管理平台的特定应用场景需抵御的威胁、需要保护的资产以及存在的安全风险,对安全策略模型进行必要的调整和完善;
增强级保障要求,在基本级要求基础上增加下列要求:
除上述要求外,要求所提供的安全策略模型应是半形式化的。
6.2.3.3 概要设计
平台在开发过程中应进行概要设计。
基本级保障要求,包括:
应通过对平台安全功能的每个子系统的功能及其相互关系的描述,实现安全功能要求;
应对每个子系统以非形式化的方法来一致性地描述其安全功能的体系结构,及所提供的安全功能及其相互关系;
应标识安全功能要求的任何基础性的硬件、固件和/或软件,并且通过这些硬件、固件和/或软件所实现的保护机制,来提供平台功能;
应标识平台安全功能的子系统的所有接口,并标明哪些接口是外部可见的,还应标明所有接口的使用目的与方法,并提供例外情况和错误信息的细节;
增强级保障要求,在基本级要求基础上增加下列要求:
概要设计的表示应是半形式化的,并对平台安全功能的每个子系统提供所有结果的完整细节。
6.2.3.4 详细设计
平台在开发过程中应进行详细设计。
基本级保障要求,包括:
应对平台安全功能的每一个模块描述它的目的、功能、接口、依赖性和所有安全功能的实现;
详细设计的表示应是非形式化的,内在一致的,并以模块术语描述;描述每一个模块的目的;以所提供的安全功能和对其他模块的依赖性术语定义模块间的相互关系;描述如何提供每一个安全功能的实施;
标识平台安全功能模块的所有接口,标识哪些接口是外部可见的,以及描述安全功能模块所有接口的目的与方法,必要时,应提供影响、例外情况和错误信息的细节;
增强级保障要求,在基本级要求基础上增加下列要求:
详细设计的表示应是半形式化的,并在必要时提供所有结果的完备细节、例外情况和错误信息。
6.2.3.5 安全功能内部结构
平台在开发过程中应对平台安全功能进行结构设计。
基本级保障要求,包括:
应采用模块化、层次化进行平台安全功能的内部结构设计,达到简化安全功能设计,并可分析的程度;
应以模块化方法设计和构建平台安全功能模块,标识并描述每一个安全功能模块的目的、接口、参数和影响,使独立的模块间避免不必要的交互作用;
应以分层的方式设计和构建平台安全功能模块,应使系统安全功能局部的复杂度最小化,以加强访问控制策略,使交互作用最小化,使其复杂性降低;
增强级保障要求,在基本级要求基础上无增加要求。
6.2.3.6 实现表示
平台在开发时应说明平台安全功能的实现表示。
基本级保障要求,包括:
应以源代码、固件或硬件等来表述平台安全功能的具体符号表示,从而可以获得系统安全功能内部的详细工作情况;
应无歧义地为选定的平台安全功能子集定义一个详细级别的安全功能实现表示,并且实现表示应当是内在一致的;
增强级保障要求,在基本级要求基础上增加下列要求:
应为整个平台安全功能提供实现表示,并应描述各部分之间的关系。
6.2.3.7 表示的对应性
对平台功能设计、概要设计、详细设计、实现表示等相邻表示之间应具有严格的对应性。
基本级保障要求,包括:
应在所提供的平台安全功能表示的所有相邻对之间提供其对应性分析,对每个相邻对,应当阐明较为抽象的安全功能表示的所有相关安全功能在较不抽象的安全表示中得到正确而完备地细化;
增强级保障要求,在基本级要求基础上增加下列要求:
除上述非形式化对应性要求外,当平台安全功能表示的两个相邻对的各部分均以半形式化来描述时,其对应性说明也应是半形式化的。
6.2.4 指导性文档
6.2.4.1 平台系统安装指南
开发商应提供针对平台系统安装指南。
基本级保障要求,包括:
a) 安装指南应描述管理员可使用的管理功能和接口;
b) 安装指南应描述怎样以安全的方式管理平台产品;
c) 对于在安全处理环境中必须进行控制的功能和特权,安装指南应提出相应的警告;
d) 安装指南应描述所有受控制的硬件、操作系统、数据库系统、网络系统等安全参数,并给出合适的参数值;
e) 安装指南应包含安全功能如何相互作用的指导;
f) 安装指南应描述在平台的安全安装过程中可能要使用的所有配置选项;
g) 安装指南应能指导管理员在平台的安装过程中产生一个安全的配置。
增强级保障要求,在基本级要求基础上无增加要求。
6.2.4.2 管理员操作指南
开发商应提供管理员操作指南(包括系统管理员、安全管理员、安全审计员)。
基本级保障要求,包括:
a) 管理员操作指南应描述管理员用户可用的功能和接口;
b) 管理员操作指南应包含使用平台提供的安全功能和指导;
c) 管理员操作指南应包含平台操作、安全规则配置等的指令集;
d) 管理员操作指南应清晰地阐述平台安全运行中各个管理员所必须负的职责,包含平台在安全使用环境中对管理员操作行为的假设;
e) 管理员操作指南应提出平台安全操作中与管理员操作有关的IT环境的所有安全要求;
增强级保障要求,在基本级要求基础上无增加要求。
6.2.5 测试
6.2.5.1 功能测试
开发商应测试平台产品的功能,并记录结果。
基本级保障要求,包括:
a) 开发商在提供平台产品时应同时提供该产品的测试文档;
b) 测试文档应由测试计划、测试过程描述和测试结果,以及具体的测试用例组成;
c) 测试文档应确定将要测试的产品功能,并描述将要达到的测试目标;
d) 测试过程的描述应确定将要进行的测试,并描述测试每一安全功能的实际情况;
e) 测试文档的测试结果应给出每一项测试的预期结果;
f) 开发商的测试结果应证明每一项安全功能和设计目标相符。
增强级保障要求,在基本级要求基础上无增加要求。
6.2.5.2 测试覆盖面分析报告
开发商应提供对平台产品测试覆盖范围的分析报告。
基本级保障要求,包括:
a) 测试覆盖面分析报告应证明测试文件中确定的测试项目可覆盖平台产品的所有安全功能。
增强级保障要求,在基本级要求基础上增加下列要求:
b) 测试覆盖的分析结果应表明测试文档中所标识的测试与功能规范中所描述的系统的安全功能之间的对应性是完备的。
6.2.5.3 测试深度分析报告
开发商应提供对平台产品的测试深度的分析报告。
基本级保障要求,包括:
测试深度分析报告应证明测试文件中确定的测试能充分表明平台产品的运行符合安全功能规范;
增强级保障要求,在基本级要求基础上增加下列要求:
深度分析应证实测试文档中所标识的测试足以证实该系统的功能是依照其高层设计运行的。
6.2.5.4 独立性测试
开发商应对平台产品进行独立性测试。
基本级保障要求,包括:
开发商应提供证据证明,开发商提供的平台产品经过独立的第三方测试并通过。
增强级保障要求,在基本级要求基础上增加下列要求:
开发商应提供适合测试的系统,提供的测试集合应与其自测系统功能时使用的测试集合相一致;
开发商应提供一组相当的资源,用于安全功能的抽样测试。
6.2.6 脆弱性评定
6.2.6.1 隐蔽信道分析
开发商应对平台通过对隐蔽信道的严格搜索,标识出可识别的隐蔽信道,并以文档形式描述。
基本级保障要求,包括:
a) 标识的隐蔽存储信道,并估算它们的带宽;
b) 用于确定隐蔽存储信道存在的过程,以及进行隐蔽存储信道分析所需要的信息;
c) 隐蔽存储信道分析期间所作的全部假设;
d) 最坏情况下对隐蔽存储信道带宽进行估算的方法;
e) 每个可标识的隐蔽存储信道的最大可利用情形;
f) 用封锁和/或限制带宽和/或审计等,对所标识的隐蔽存储信道进行处理的措施。
增强级保障要求,在基本级要求基础上无增加要求。
6.2.6.2 防止误用
开发商应提供指南性文档,防止误用。
基本级保障要求,包括:
a) 应防止对平台产品安全功能以不安全的方式进行使用或配置而不为人们所察觉,使对平台安全功能无法检测的不安全配置和安装,操作中人为的或其他错误造成的安全功能解除、无效或者无法激活,以及导致进入无法检测的不安全状态的风险达到最小;
b) 应提供必要的指南性文档,防止提供冲突、误导、不完备或不合理的指南;
c) 在指南性文档中,应确定对平台产品的所有可能的操作方式(包含失败后和操作失误后的操作)、它们的后果以及对于保持安全操作的意义;
d) 指南性文档中还应列出所有目标环境的假设以及所有外部安全措施(包含外部程序的、物理的或人员的控制)的要求。指南性文档应是完整的、清晰的、一致的、合理的。
增强级保障要求,在基本级要求基础上无增加要求。
6.2.6.3 安全功能强度评估
开发商应对产品进行安全功能强度评估。
基本级保障要求,无;
增强级产品保障保障要求:
开发商应对指导性文档中所标识的每个具有安全功能强度声明的安全机制进行安全功能强度分析,并说明安全机制达到或超过定义的最低强度级别或特定功能强度度量。
6.2.6.4 脆弱性分析
开发商应对产品进行脆弱性分析。
基本级保障要求,包括:
开发商应从用户可能破坏安全策略的明显途径出发,对平台产品的各种功能进行分析并提供文档。对被确定的脆弱性,开发商应明确记录采取的措施;
对每一条脆弱性,应有证据显示在使用平台产品的环境中该脆弱性不能被利用。在文档中,还需证明经过标识脆弱性的平台产品可以抵御明显的穿透性攻击;
脆弱性分析文档应明确指出产品已知的安全隐患、能够侵犯产品的已知方法以及如何避免这些隐患被利用。
增强级保障要求,在基本级要求基础上无增加要求。
6.2.7 生命周期支持
开发商应对产品进行全生命周期支持。
基本级保障要求,包括:
开发商应提供开发安全文件;
开发安全文件应描述在平台产品的开发环境中,为保护平台产品设计和实现的保密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施;
应跟踪和纠正平台安全功能的缺陷,并提供缺陷信息和纠正缺陷所采取的策略和过程;
应明确定义用于开发、分析和实现SSOIS的工具,如编程语言、文档、实现标准和其他支持SSOIS 运行的程序库等;
开发安全文件还应提供在平台产品的开发和维护过程中执行安全措施的证据。
增强级保障要求,在基本级要求基础上无增加要求。
推荐文章: