GB-T 21054-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护评估准则.pdf
《GB-T 21054-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护评估准则.pdf》由会员分享,可在线阅读,更多相关《GB-T 21054-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护评估准则.pdf(32页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、书书书犐 犆 犛 犔 中 华 人 民 共 和 国 国 家 标 准犌 犅犜 信息安全技术公钥基础设施犘 犓 犐系统安全等级保护评估准则犐 狀 犳 狅 狉 犿 犪 狋 犻 狅 狀狊 犲 犮 狌 狉 犻 狋 狔 狋 犲 犮 犺 狀 犻 狇 狌 犲 狊犘 狌 犫 犾 犻 犮犽 犲 狔 犻 狀 犳 狉 犪 狊 狋 狉 狌 犮 狋 狌 狉 犲犈 狏 犪 犾 狌 犪 狋 犻 狅 狀犮 狉 犻 狋 犲 狉 犻 犪犳 狅 狉 狊 犲 犮 狌 狉 犻 狋 狔犮 犾 犪 狊 狊 犻 犳 犻 犮 犪 狋 犻 狅 狀狆 狉 狅 狋 犲 犮 狋 犻 狅 狀狅 犳犘 犓 犐 狊 狔 狊 狋 犲 犿 发布 实施中华人民共和国
2、国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会发 布书书书目次前言?引言?范围?规范性引用文件?术语和定义?缩略语?评估内容?第一级?概述?物理安全?角色与责任?访问控制?标识与鉴别?数据输入输出?密钥管理?轮廓管理?证书管理?第二级?概述?物理安全?角色与责任?访问控制?标识与鉴别?审计?数据输入输出?备份与恢复?密钥管理?轮廓管理?证书管理?第三级?概述?物理安全?角色与责任?访问控制?标识与鉴别?审计?数据输入输出?备份与恢复?犌 犅犜 密钥管理?轮廓管理?证书管理?第四级?概述?物理安全?角色与责任?访问控制?标识与鉴别?审计?数据输入输出?备份与恢复?密钥管理
3、?轮廓管理?证书管理?第五级?概述?物理安全?角色与责任?访问控制?标识与鉴别?审计?数据输入输出?备份与恢复?密钥管理?轮廓管理?证书管理?附录(规范性附录)安全要素要求级别划分?参考文献?犌 犅犜 前言本标准的附录为规范性附录。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位:中国科学院软件研究所、中国电子技术标准化研究所。本标准主要起草人:张凡、冯登国、张立武、路晓明、庄涌、王延鸣。犌 犅犜 引言公开密钥基础设施()是集机构、系统(硬件和软件)、人员、程序、策略和协议为一体,利用公钥概念和技术来实施和提供安全服务的、具有普适性的安全基础设施。系统是通过颁发与管理公钥证书的方
4、式为终端用户提供服务的系统,包括、资料库等基本逻辑部件和 等可选服务部件以及所依赖的运行环境。系统安全等级保护评估准则 按五级划分的原则,制定 系统安全等级保护评估准则,详细说明了参照 所提出的安全等级保护对 系统的评估要素。第一级为最低级别,第五级为最高级别,随着等级的提高,系统安全等级保护的评估要素也随之递增。正文中字体为黑体加粗的内容为本级新增部分的要求。本标准用以指导评估者如何对 系统的安全保护等级进行评估,主要从对 系统的安全保护等级进行划分的角度来说明其评估内容。评估者可以根据各级别的具体要求,对评估对象进行评估,确定评估对象的安全保护级别。对于实现本标准中规定的评估内容的安全技术
5、与采取的安全保证措施,应参照 中的规定进行设计和开发。犌 犅犜 信息安全技术公钥基础设施犘 犓 犐系统安全等级保护评估准则范围本标准参照 的五个安全保护等级的划分,对 系统安全保护进行等级划分,规定了不同等级 系统所需要满足的评估内容。本标准适用于 系统的安全保护等级的评估,对于 系统安全功能的研制、开发、测试和产品采购亦可参照使用。规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标
6、准。计算机信息系统安全保护等级划分准则 信息技术安全技术公钥基础设施在线证书状态协议 信息安全技术公钥基础设施数字证书格式 信息安全技术公钥基础设施 系统安全等级保护技术要求 信息安全技术信息系统物理安全技术要求术语和定义下列术语和定义适用于本标准。公开密钥基础设施狆 狌 犫 犾 犻 犮犽 犲 狔 犻 狀 犳 狉 犪 狊 狋 狉 狌 犮 狋 狌 狉 犲;犘 犓 犐支持公钥管理体制的基础设施,提供鉴别、加密、完整性和不可否认性服务。犘 犓 犐系统犘 犓 犐 狊 狔 狊 狋 犲 犿通过颁发与管理公钥证书的方式为终端用户提供服务的系统,包括、资料库等基本逻辑部件和 等可选服务部件以及所依赖的运行环境
7、。安全级别 狊 犲 犮 狌 狉 犻 狋 狔 犾 犲 狏 犲 犾分层的安全等级与表示对象的敏感度或个人的安全许可的安全种类的组合。分割知识 狊 狆 犾 犻 狋犽 狀 狅 狑 犾 犲 犱 犵 犲两个或两个以上实体分别保存密钥的一部分,密钥的每个部分都不应泄露密钥的明文有效信息,而当这些部分在加密模块中合在一起时可以得到密钥的全部信息,这种方法就叫分割知识。分割知识程序 狊 狆 犾 犻 狋犽 狀 狅 狑 犾 犲 犱 犵 犲狆 狉 狅 犮 犲 犱 狌 狉 犲用来实现分割知识的程序。犌 犅犜 系统用户 狊 狔 狊 狋 犲 犿狌 狊 犲 狉对 系统进行管理、操作、审计、备份、恢复的工作人员,系统用户一般在
8、 系统中被赋予了指定的角色。终端用户 狋 犲 狉 犿 犻 狀 犪 狋 犲狌 狊 犲 狉使用 系统所提供服务的远程普通用户。缩略语以下缩略语在本标准各部分通用:认证机构 认证惯例陈述 证书撤销列表 在线证书状态协议 保护轮廓 注册机构 安全功能 安全目标 评估对象 安全功能 评估内容 第一级 概述第一级的犘 犓 犐系统,由用户自主保护,所保护的资产价值很低,面临的安全威胁很小。结构上,犘 犓 犐系统的犆 犃、犚 犃、证书资料库可没有明确的分化。第一级犘 犓 犐系统的安全要素要求列表见附录犃。物理安全应按照犌 犅犜 第章所描述的要求,对犘 犓 犐系统硬件及相关环境进行评估。角色与责任犘 犓 犐系统
9、应对系统用户提供管理员和操作员的角色定义。管理员角色:负责安装、配置、维护系统;建立和管理用户账户;配置轮廓;生成部件密钥。操作员角色:负责签发和撤销证书。系统用户应按照角色的安全功能管理进行权限限制。访问控制 系统用户访问控制犘 犓 犐系统文档中,应有访问控制的相关文档,访问控制文档中的访问控制策略应包含如下几个方面:犪)角色及其相应的访问权限;犫)标识与鉴别系统用户的过程;犮)角色的职能分割。网络访问控制用户可以且只能直接访问被授权使用的服务。远程用户只有被认证后,犘 犓 犐系统才允许访问。连接到远程计算机系统应被认证。犌 犅犜 标识与鉴别 用户属性定义犘 犓 犐系统应维护每个用户的安全属
10、性。用户鉴别在用户身份被鉴别之前,犘 犓 犐系统可执行与安全功能无关的动作。在执行其他的安全功能引起的动作之前,用户应成功鉴别自己。用户标识在用户标识自己身份之前,犘 犓 犐系统可代表用户执行与安全功能无关的动作。用户在成功标识自己之后,才能执行其他的安全功能引起的操作动作。用户主体绑定犘 犓 犐系统应通过用户主体绑定建立和维护用户与用户主体之间的关联,使用户的身份与该用户的所有可审计行为相关联。数据输入输出 犜 犛 犉间用户数据传送的保密性当用户数据通过外部信道在犘 犓 犐系统之间或犘 犓 犐系统用户之间传递时,犘 犓 犐系统应执行访问控制策略,使得能以某种防止未授权泄露的方式传送用户数据。
11、输出犜 犛 犉数据的保密性在犜 犛 犉数据从犜 犛 犉到远程可信犐 犜产品的传送过程中,应保护机密数据不被未授权泄露。密钥管理 密钥生成犘 犓 犐系统的系统用户密钥应由相应级别的犆 犃或犚 犃等机构生成。在密钥生成时应采取安全控制。犆 犃签名公私钥对应采用国家密码行政管理部门认可的方法生成。在密钥生成时应采取安全控制,只有管理员才能启动犆 犃密钥生成过程。终端用户密钥可由用户生成,也可委托犆 犃、犚 犃等犘 犓 犐系统的服务机构生成。生成方法应符合国家密码行政管理部门的规定。密钥传送与分发犘 犓 犐系统的系统用户密钥的传送与分发应当以加密形式安全进行。犆 犃公钥分发方法应当切实可行。如果终端用
12、户自己生成密钥对,终端用户应将公钥安全地提交给犘 犓 犐系统。如果终端用户委托犆 犃生成密钥对,那么不需要签发前的公钥传送,犆 犃向用户传送与分发私钥应当以加密形式安全进行。密钥存储犘 犓 犐系统的系统用户密钥与犆 犃签名私钥应存储于国家密码行政管理部门规定的密码模块中或以加密的形式存储,终端用户密钥由用户自行存储。轮廓管理 证书轮廓管理犘 犓 犐系统应具备证书轮廓,并保证发行的证书与证书轮廓中的描述一致。证书撤销列表轮廓管理若犘 犓 犐系统发布犆 犚 犔,犜 犛 犉应具备证书撤销列表轮廓,并保证发行的犆 犚 犔与该轮廓中的规定相一致。在线证书状态协议轮廓管理犗 犆 犛 犘轮廓应规定犘 犓 犐
13、系统可能产生的字段类型和字段类型可接受的变量值。犌 犅犜 证书管理 证书注册犘 犓 犐系统所签发的公钥证书应与犌 犅犜 相一致。任何证书所包含的字段或扩展应由犘 犓 犐系统根据犌 犅犜 生成,或经由证书颁发机构验证以保证其与标准的一致性。)应仅产生与犌 犅犜 中规定的证书格式相同的证书;)应仅生成与现行证书轮廓中定义相符的证书;)犘 犓 犐系统应验证预期的证书主体拥有与证书中包含的公钥相对应的私钥,除非公私密钥对是由犘 犓 犐系统所产生的;)评估者应检查犘 犓 犐系统产生的证书是否满足实际要求。证书撤销 证书撤销列表审核发布犆 犚 犔的犘 犓 犐系统应验证所有强制性字段的值符合犌 犅犜 。犗
14、犆 犛 犘基本回应的审核发布犗 犆 犛 犘响应的犘 犓 犐系统应验证所有强制性字段的值符合犌 犅犜 。第二级 概述第二级的犘 犓 犐系统,应提供审计能力,所保护的资产价值低,面临的安全威胁小。结构上,犘 犓 犐系统的犆 犃、犚 犃可不进行明确的分化,证书资料库应独立设计。第二级犘 犓 犐系统的安全要素要求列表见附录犃。物理安全应按照犌 犅犜 第章所描述的要求,对 系统硬件及相关环境进行评估。角色与责任 系统应对系统用户提供管理员和操作员的角色定义。管理员角色:负责安装、配置、维护系统;建立和管理用户账户;配置轮廓和审计参数;生成部件密钥;查看和维护审计日志;执行系统的备份和恢复。操作员角色:负
15、责签发和撤销证书。系统用户应按照角色的安全功能管理进行权限限制。系统应具备使主体与角色相关联的能力,并保证一个身份不应同时具备多个角色的权限。访问控制 系统用户访问控制注册和注销能够访问犘 犓 犐系统信息和服务的用户应按正规的程序执行。分配或者使用系统特权时,应进行严格的限制和控制。进行口令分配时,应通过正规的程序控制。选取和使用口令时系统用户应按照已定义的策略和程序进行。系统文档中,应有访问控制的相关文档,访问控制文档中的访问控制策略应包含如下几个方面:)角色及其相应的访问权限;)标识与鉴别系统用户的过程;)角色的职能分割。网络访问控制用户可以且只能直接访问被授权使用的服务。用户终端到犘 犓
16、 犐系统服务的路径应是受控的。远程用户只有被认证后,系统才允许访问。连接到远程计算机系统应被认证。对犘 犓 犐系统诊断分析端口的访问应进行安全控制。犌 犅犜 操作系统访问控制每个用户只有唯一的犐 犇,以便在犘 犓 犐系统的操作能够被记录追踪。经过指定时间的不活动状态,正在访问犘 犓 犐服务系统的终端应超时进入保护状态,以防未授权用户访问。对高风险的应用应限制连接次数以提供额外的保护。标识与鉴别 用户属性定义 系统应维护每个用户的安全属性。用户鉴别在用户身份被鉴别之前,系统可执行与安全功能无关的动作。在执行其他的安全功能引起的动作之前,用户应成功鉴别自己。用户标识在用户标识自己身份之前,系统可代
17、表用户执行与安全功能无关的动作。用户在成功标识自己之后,才能执行其他的安全功能引起的操作动作。用户主体绑定 系统应通过用户主体绑定建立和维护用户与用户主体之间的关联,使用户的身份与该用户的所有可审计行为相关联。鉴别失败处理犘 犓 犐系统的安全功能应能检测到与鉴别事件相关的不成功的鉴别尝试。审计 审计数据产生犘 犓 犐系统安全功能应能为系统的可审计事件生成一个审计记录,并在每一个审计记录中记录基本信息。犘 犓 犐系统安全功能应能维护系统的可审计事件。审计查阅犘 犓 犐系统安全功能应为管理员提供从审计记录中读取一定类型的审计信息的能力。选择性审计审计功能部件应可根据基本属性选择或排除审计事件中的可
18、审计事件。审计事件存储审计功能部件应能够防止对审计记录的非授权修改,并可检测对审计记录的修改;当审计踪迹存储已满时,审计功能部件应能够阻止除由管理员发起的以外的所有审计事件的发生。数据输入输出 犜 犗 犈内部用户数据传送在犘 犓 犐系统的物理分隔部件间传递用户数据时,犘 犓 犐系统应执行访问控制策略,以防止安全相关的用户数据被篡改以及机密性用户数据的泄露。犜 犛 犉间用户数据传送的保密性当用户数据通过外部信道在 系统之间或 系统用户之间传递时,系统应执行访问控制策略,使得能以某种防止未授权泄露的方式传送用户数据。输出犜 犛 犉数据的保密性在 数据从 到远程可信 产品的传送过程中,应保护机密数据
19、不被未授权泄露。犜 犗 犈内犜 犛 犉数据的传送犘 犓 犐系统应保护安全相关的犜 犛 犉数据在分离的犘 犓 犐部件间传送时不被篡改,保护机密性犜 犛 犉数据在分离的犘 犓 犐部件间传送时不被泄露。犌 犅犜 备份与恢复犘 犓 犐系统应具有备份和恢复功能,并可在需要时调用备份功能。在系统备份数据中应保存足够的信息使系统能够重建备份时的系统状态。密钥管理 密钥生成 系统的部件密钥和系统用户密钥应由相应级别的 或 等机构生成。在密钥生成时应采取安全控制。签名公私钥对应采用国家密码行政管理部门认可的方法生成。在密钥生成时应采取安全控制,只有管理员才能启动 密钥生成过程。终端用户密钥可由用户生成,也可委托
20、、等 系统的服务机构生成。生成方法应符合国家密码行政管理部门的规定。密钥传送与分发 系统的部件密钥和系统用户密钥的传送与分发应当以加密形式安全进行。公钥分发方法应当切实可行,并应当保证犆 犃公钥的完整性。如果终端用户自己生成密钥对,终端用户应将公钥安全地提交给 系统。如果终端用户委托 生成密钥对,那么不需要签发前的公钥传送,向用户传送与分发私钥应当以加密形式安全进行。密钥存储 系统的部件密钥、系统用户密钥与 签名私钥应存储于国家密码行政管理部门规定的密码模块中或以加密的形式存储,终端用户密钥由用户自行存储。密钥导入导出所有密钥导入导出犘 犓 犐系统,应采用国家密码行政管理部门认可的加密算法或加
21、密设备。私钥不应以明文形式导入导出犘 犓 犐系统。犘 犓 犐系统应把导入导出的密钥与正确实体相关联,并赋予相应的权限。密钥销毁犘 犓 犐系统应提供销毁明文对称密钥和私有密钥的方法。轮廓管理 证书轮廓管理 基本证书轮廓管理 系统应具备证书轮廓,并保证发行的证书与证书轮廓中的描述一致。扩展的证书轮廓管理管理员应为证书扩展指定可能的值。证书撤销列表轮廓管理 基本证书撤销列表轮廓若 系统发布 ,应具备证书撤销列表轮廓,并保证发行的 与该轮廓中的规定相一致。扩展的证书撤销列表轮廓若犘 犓 犐系统发布犆 犚 犔,管理员应指定犆 犚 犔和犆 犚 犔扩展可接受的值。在线证书状态协议轮廓管理 轮廓应规定 系统可
22、能产生的字段类型和字段类型可接受的变量值。证书管理 证书注册 系统所签发的公钥证书应与 相一致。任何证书所包含的字段或扩展应由犌 犅犜 系统根据 生成,或经由证书颁发机构验证以保证其与标准的一致性。)应仅产生与 中规定的证书格式相同的证书;)应仅生成与现行证书轮廓中定义相符的证书;)系统应验证预期的证书主体拥有与证书中包含的公钥相对应的私钥,除非公私密钥对是由 系统所产生的;)评估者应检查 系统产生的证书是否满足实际要求。证书撤销 证书撤销列表审核发布 的 系统应验证所有强制性字段的值符合 。犗 犆 犛 犘基本回应的审核发布 响应的 系统应验证所有强制性字段的值符合 。第三级 概述第三级的犘
23、犓 犐系统,所保护的资产价值较高,面临的安全威胁较大,应提供全面的安全保护。结构上,犘 犓 犐系统的犆 犃、犚 犃、证书资料库应独立设计,并采用双证书(签名证书和加密证书)机制,建设双中心(证书认证中心和密钥管理中心)。第三级犘 犓 犐系统的安全要素要求列表见附录犃。物理安全 核心部件物理安全应按照犌 犅犜 第章所描述的要求,对 系统硬件及相关环境进行评估。犚 犃物理安全犚 犃可有多种建设方式。犚 犃应设置专门的区域来接待日常业务。犚 犃应妥善保管私钥。犚 犃设备应有安全人员和电子监控设备保护防盗。所有的活动都应被授权人员或安全人员监控。犚 犃对外服务的时间应被严格限制。维修和服务人员在工作区
24、域应受监控。角色与责任 系统应对系统用户提供管理员、操作员和审计员的角色定义。管理员角色:负责安装、配置、维护系统;建立和管理用户账户;配置轮廓和审计参数;生成部件密钥;执行系统的备份和恢复。操作员角色:负责签发和撤销证书。审计员角色:负责查看和维护审计日志。系统应具备使主体与角色相关联的能力,并保证一个身份不应同时具备多个角色的权限。系统用户应按照角色的安全功能管理进行权限限制。访问控制 系统用户访问控制注册和注销能够访问 系统信息和服务的用户应按正规的程序执行。分配或者使用系统特权时,应进行严格的限制和控制。进行口令分配时,应通过正规的程序控制。应定期审核系统用户的访问权限。选取和使用口令
25、时系统用户应按照已定义的策略和程序进行。对无人值守的设备应有适当的保护措施。系统文档中,应有访问控制的相关文档,访问控制文档中的访问控制策略应包含如下几个方面:犌 犅犜 )角色及其相应的访问权限;)标识与鉴别系统用户的过程;)角色的职能分割;)进行犘 犓 犐系统的特定操作时需要的最小系统用户人数。网络访问控制用户可以且只能直接访问被授权使用的服务。用户终端到 系统服务的路径应是受控的。远程用户只有被认证后,系统才允许访问。连接到远程计算机系统应被认证。对 系统诊断分析端口的访问应进行安全控制。犘 犓 犐系统内部网络和外部网络之间应设置安全控制。按照犘 犓 犐系统的访问控制策略,应限制用户可用的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB-T 21054-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护评估准则 GB 21054 2007 信息 安全技术 基础设施 PKI 系统安全 等级 保护 评估 准则
链接地址:https://www.taowenge.com/p-92854105.html
限制150内