【正文】 TCS自身安全保護a）可信根安全保護：應(yīng)按以下要求實現(xiàn)終端計算機系統(tǒng)的可信根：存儲根和報告根應(yīng)設(shè)置在可信硬件模塊內(nèi)；可信硬件模塊應(yīng)通過國家專門機構(gòu)研制；應(yīng)對度量根采取物理保護措施；b）鍵盤輸入保護：應(yīng)按以下要求實現(xiàn)鍵盤輸入的保護；應(yīng)有物理路徑支持鍵盤輸入與可信硬件模塊的直接通信；應(yīng)有物理開關(guān)控制是否啟用鍵盤輸入與可信硬件模塊的通信路徑。c）SSF物理安全保護：應(yīng)按以下要求實現(xiàn)終端計算機系統(tǒng)結(jié)構(gòu)化保護級SSF的物理安全保護；應(yīng)按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)結(jié)構(gòu)化保護級SSF的物理安全保護；應(yīng)采取適當(dāng)硬件保護措施防止對可信硬件模塊中密碼運算模塊的能量攻擊。d）SSF運行安全保護：應(yīng)按以下要求實現(xiàn)終端計算機系統(tǒng)結(jié)構(gòu)化保護級SSF的運行安全保護；應(yīng)按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)結(jié)構(gòu)化保護級SSF的運行安全保護；應(yīng)采取適當(dāng)?shù)氖щ姳Ｗo措施，確保在終端計算機系統(tǒng)推出休眠或待機狀態(tài)后，能恢復(fù)到推出工作狀態(tài)前的配置，確保信任鏈系統(tǒng)仍能正常工作；e）SSF數(shù)據(jù)安全保護：宜按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)結(jié)構(gòu)化保護級SSF的數(shù)據(jù)安全保護；f）資源利用：宜按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)結(jié)構(gòu)化保護級的資源利用；g）SSOTCS訪問控制：宜按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)結(jié)構(gòu)化保護級的SSOTCS訪問控制； SSOTCS設(shè)計和實現(xiàn)a）配置管理：按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)結(jié)構(gòu)化保護級的配置管理；b）分發(fā)和操作：按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)結(jié)構(gòu)化保護級的分發(fā)和操作；c）開發(fā)：按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)結(jié)構(gòu)化保護級的開發(fā)；d）指導(dǎo)性文檔：按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)結(jié)構(gòu)化保護級的指導(dǎo)性文檔；e）生命周期支持：按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)結(jié)構(gòu)化保護級的生命周期支持；f）測試：按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)結(jié)構(gòu)化保護級的測試。g）脆弱性測試：應(yīng)按GB/T 20271—，實現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)化保護級的脆弱性測試。 SSOTCS管理按GB/T 20271—2006 ，實現(xiàn)終端計算機系統(tǒng)結(jié)構(gòu)化保護級的SSOTCS安全管理。 第五級：訪問驗證保護級 安全功能要求 物理系統(tǒng) 設(shè)備安全可用，設(shè)計和實現(xiàn)終端計算機系統(tǒng)設(shè)備安全可用的功能。 設(shè)備防盜防毀 、設(shè)備實體安全、防盜和自銷毀的要求，設(shè)計和實現(xiàn)終端計算機系統(tǒng)的設(shè)備防盜防毀的功能。 設(shè)備高可靠 。 操作系統(tǒng) 應(yīng)按GB/T 20272—，從以下方面來設(shè)計、實現(xiàn)或選購滿足訪問驗證保護級終端計算機系統(tǒng)所需要的操作系統(tǒng)。a）身份鑒別：根據(jù)GB/T 20272—，實現(xiàn)操作系統(tǒng)用戶標(biāo)識、用戶鑒別、用戶鑒別失敗處理和用戶主體綁定的功能；b）自主訪問控制：根據(jù)GB/T 20272—，對操作系統(tǒng)的訪問進行控制，允許合法操作，不允許非法操作；c）標(biāo)記：根據(jù)GB/T 20272—，設(shè)計和實現(xiàn)操作系統(tǒng)標(biāo)記功能，為主、客體設(shè)置所需要的敏感標(biāo)記；d）強制訪問控制：根據(jù)GB/T 20272—，對操作系統(tǒng)的訪問進行控制，允許合法操作，不允許非法操作；應(yīng)對財政系統(tǒng)實現(xiàn)包括系統(tǒng)文件、服務(wù)、驅(qū)動、注冊表及進程在內(nèi)的強制訪問控制功能；e）數(shù)據(jù)流控制：對于以數(shù)據(jù)流方式實現(xiàn)數(shù)據(jù)交互的操作系統(tǒng)，根據(jù)GB/T 20272—，設(shè)計和實現(xiàn)操作系統(tǒng)的數(shù)據(jù)流控制功能；f）安全審計：根據(jù)GB/T 20272—，提供操作系統(tǒng)安全審計功能；g）用戶數(shù)據(jù)保密性：根據(jù)GB/T 20272—，設(shè)計和實現(xiàn)操作系統(tǒng)的用戶數(shù)據(jù)保密性保護功能；h）用戶數(shù)據(jù)完整性：根據(jù)GB/T 20272—，對操作系統(tǒng)內(nèi)部存儲、處理和傳輸?shù)挠脩魯?shù)據(jù)應(yīng)提供保證用戶數(shù)據(jù)完整性的功能；j）可信路徑：根據(jù)GB/T 20272—，在用戶進行初始登錄和/或鑒別時，應(yīng)建立一條安全的數(shù)據(jù)傳輸通道。 可信計算平臺 密碼支持 ，按以下要求，設(shè)計與實現(xiàn)訪問驗證保護級終端計算機系統(tǒng)密碼支持功能：a）密碼算法：應(yīng)采用國家有關(guān)部門批準(zhǔn)的密碼算法，應(yīng)采用硬件實現(xiàn)對稱密碼算法、公鑰密碼算法、雜湊算法和隨機數(shù)生成器算法；b）密碼操作：所有密碼操作均應(yīng)基于可信硬件模塊或其他密碼硬件模塊支持；c）秘鑰管理：所有秘鑰應(yīng)受存儲根保護，存儲根本身應(yīng)由安全硬件保護。 信任鏈 ，設(shè)計和實現(xiàn)終端計算機系統(tǒng)的信任鏈功能：a）應(yīng)基于可信硬件模塊實現(xiàn)靜態(tài)信任鏈和動態(tài)信任鏈的建立；b）靜態(tài)信任鏈中操作系統(tǒng)（OS）的完整性度量基準(zhǔn)值應(yīng)有國家專門機構(gòu)管理，支持在線或離線校驗，若度量值與基準(zhǔn)值不一致，應(yīng)停止操作系統(tǒng)啟動；；c）動態(tài)信任鏈中關(guān)鍵應(yīng)用程序的完整性度量基準(zhǔn)值應(yīng)有國家專門機構(gòu)管理，支持在線或離線校驗，若度量值與基準(zhǔn)值不一致，應(yīng)理解停止應(yīng)用程序運行；d）。 運行時防護 ，設(shè)計與實現(xiàn)如下功能：a）惡意代碼防護：，實現(xiàn)外來介質(zhì)使用控制、特征碼掃描、基于CPU的數(shù)據(jù)執(zhí)行保護、進程隔離、進程行為分析的功能；b）網(wǎng)絡(luò)攻擊防護：，實現(xiàn)IP過濾、網(wǎng)絡(luò)協(xié)議分析、應(yīng)用程序監(jiān)控、內(nèi)容過濾的防火墻的功能。實現(xiàn)實時阻斷、文件監(jiān)控、注冊表監(jiān)控、事件監(jiān)控、實時流量分析的入侵檢測功能；c）網(wǎng)絡(luò)接入控制 ：，實現(xiàn)網(wǎng)絡(luò)接入控制功能。 系統(tǒng)安全性檢測分析 、硬件系統(tǒng)安全性檢測分析、應(yīng)用程序安全性檢查分析和電磁泄漏發(fā)射檢測分析的要求，運用有關(guān)工具，檢測所選用或開發(fā)的操作系統(tǒng)、硬件系統(tǒng)、應(yīng)用程序的安全性和電磁泄漏，并通過對檢測結(jié)果的分析，按訪問驗證保護級的要求，對存在的安全問題加以改進。 信任服務(wù) ，設(shè)計實現(xiàn)可信計算平臺的訪問驗證級信任服務(wù)功能：a）應(yīng)在可信硬件模塊中專門設(shè)置受保護區(qū)域存儲所有靜態(tài)信任鏈的完整性度量值；b）應(yīng)設(shè)置一個可信硬件模塊保護的區(qū)域來存儲所有動態(tài)信任鏈的完整性度量值；c）必要時應(yīng)向國家專門機構(gòu)報告操作系統(tǒng)和關(guān)鍵應(yīng)用程序完整性度量值。 身份標(biāo)識與鑒別 系統(tǒng)身份標(biāo)識與鑒別 ，從以下方面設(shè)計與實現(xiàn)系統(tǒng)的身份標(biāo)識與鑒別功能：a） ，設(shè)計與實現(xiàn)終端計算機系統(tǒng)的唯一性標(biāo)識、標(biāo)識可信性、隱秘性和標(biāo)識信息管理功能，確保終端計算機系統(tǒng)可信計算平臺的身份唯一性和真實性。b） 系統(tǒng)身份標(biāo)識應(yīng)有關(guān)鍵權(quán)威機構(gòu)進行管理；c） ，設(shè)計與實現(xiàn)系統(tǒng)身份鑒別功能； 用戶身份標(biāo)識與鑒別 ，從以下方面設(shè)計與實現(xiàn)用戶的身份標(biāo)識與鑒別功能：a），設(shè)計與實現(xiàn)用戶的基本標(biāo)識、唯一性標(biāo)識與標(biāo)識信息管理功能；b），設(shè)計與實現(xiàn)用戶的基本鑒別、一次性使用鑒別、多機制鑒別功能；c），支持以數(shù)字證書、指紋、虹膜、IC卡等形式提供鑒別信息；d），設(shè)計與實現(xiàn)用戶鑒別失敗處理功能；e），設(shè)計與實現(xiàn)用戶主體綁定功能；f），對IC卡、指紋、虹膜等形象的鑒別信息，應(yīng)建立鑒別設(shè)備與可信硬件模塊的通信通道，確?？尚庞布K獲得不被篡改和泄露的原始身份鑒定信息；g），設(shè)計與實現(xiàn)匿名和不可關(guān)聯(lián)性的隱秘功能。 自主訪問控制 ，下方面設(shè)計實現(xiàn)可信計算平臺的自主訪問控制功能：a），確定自主訪問控制策略；b），設(shè)計與實現(xiàn)自主訪問控制功能；c），確定自主訪問控制的范圍；d），確定自主訪問控制的粒度。 標(biāo)記 ，從以下方面設(shè)計實現(xiàn)可信計算平臺的標(biāo)記功能：a），設(shè)計與實現(xiàn)主體標(biāo)記功能；b），設(shè)計與實現(xiàn)客體標(biāo)記功能； 強制訪問控制 ，從以下方面設(shè)計實現(xiàn)可信計算平臺的強制訪問控制功能：a），確定強制訪問控制策略；b），設(shè)計與實現(xiàn)強制訪問控制功能；c），確定強制訪問控制的范圍；d），確定強制訪問控制的粒度。 數(shù)據(jù)保密性保護，從以下方面設(shè)計和實現(xiàn)可信計算平臺的數(shù)據(jù)保密性保護功能：a）、數(shù)據(jù)綁定和數(shù)據(jù)密封的要求，對需要進行存儲保密性保護的數(shù)據(jù)，采用存儲加密的措施，設(shè)計和實現(xiàn)數(shù)據(jù)存儲保密性保護功能；b），對需要進行傳輸保密性保護的數(shù)據(jù)，采用傳輸加密的措施，設(shè)計和實現(xiàn)數(shù)據(jù)傳輸保密性保護功能。c），設(shè)計和實現(xiàn)客體安全重用功能。 數(shù)據(jù)完整性保護 ，對可信計算平臺內(nèi)部存儲、處理和傳輸?shù)臄?shù)據(jù)應(yīng)提供保證數(shù)據(jù)完整性的功能。 安全審計 ，按GB/T 20271—，從以下方面設(shè)計與實現(xiàn)可信計算平臺的安全審計功能：a）安全審計功能的設(shè)計應(yīng)與密碼支持、身份標(biāo)識與鑒別、自主訪問控制、數(shù)據(jù)保密性保護、用戶數(shù)據(jù)完整性保護、信任服務(wù)、標(biāo)記、強制訪問控制等安全功能的設(shè)計緊密結(jié)合；b）支持審計日志、實時報警生成、違例進程終止和用戶賬號斷開與失效；支持安全審計事件產(chǎn)生；潛在侵害分析、基于異常檢測、簡單攻擊探測和復(fù)雜攻擊探測；支持基本審計查閱和受控審計查閱；支持審計事件選擇；提供受保護的審計蹤跡存儲、審計數(shù)據(jù)的可用性確保、審計數(shù)據(jù)可能丟失情況下措施和防止審計數(shù)據(jù)丟失的措施；c）能夠生成、維護及保護審計過程，使其免遭修改、非法訪問及破壞，特別要保護審計數(shù)據(jù)，要嚴(yán)格限制未經(jīng)授權(quán)的用戶訪問；d）能夠創(chuàng)建并維護一個對受保護客體訪問的審計跟蹤，保護審計記錄不被未授權(quán)的訪問、修改和破壞。e）內(nèi)置可信硬件模塊的終端計算機系統(tǒng)，可信硬件模塊應(yīng)該能審計內(nèi)部命令運行情況、維護事件、用戶秘鑰的創(chuàng)建、使用與刪除事件或其他專門的可審計事件，提供給上層應(yīng)用軟件查詢審計情況的接口，并存儲審計記錄。 備份與故障恢復(fù) 、增量信息備份與恢復(fù)、局部系統(tǒng)備份與恢復(fù)、全系統(tǒng)備份與恢復(fù)、備份保護措施的要求，設(shè)計與實現(xiàn)終端計算機系統(tǒng)的備份與故障恢復(fù)功能。 I/O接口配置 、集中掛了配置和自適應(yīng)配置的要求，設(shè)計和實現(xiàn)I/O接口配置功能。 可信路徑 ，按GB/T 20271—2006 ，在用戶進行初始登錄和/或鑒別時，應(yīng)建立一條安全的數(shù)據(jù)傳輸通路。 可信時間戳 ，設(shè)計和實現(xiàn)終端計算機系統(tǒng)的可信時間戳功能。 應(yīng)用系統(tǒng) 應(yīng)按GB/T 20271—2006 ，從以下方面來設(shè)計、實現(xiàn)或選購滿足訪問驗證保護級終端計算機系統(tǒng)所需要的應(yīng)用系統(tǒng)：a）身份標(biāo)識與鑒別：根據(jù)GB/T 20271—，實現(xiàn)用戶標(biāo)識、用戶鑒別、用戶鑒別失敗處理和用戶主體綁定的功能；b）自主訪問控制：根據(jù)GB/T 20271—，對應(yīng)用系統(tǒng)相關(guān)資源的訪問進行控制，允許合法操作，不允許非法操作；c）標(biāo)記：根據(jù)GB/T 20271—，設(shè)計和實現(xiàn)應(yīng)用系統(tǒng)標(biāo)記功能，為應(yīng)用系統(tǒng)中的主、客體設(shè)置所需要的敏感標(biāo)記；d）強制訪問控制：根據(jù)GB/T 20271—，對應(yīng)用系統(tǒng)相關(guān)資源的訪問進行控制，允許合法操作，不允許非法操作；e）安全審計：根據(jù)GB/T 20271—，提供應(yīng)用系統(tǒng)安全審計功能；f）數(shù)據(jù)保密性保護：根據(jù)GB/T 20271—，設(shè)計和實現(xiàn)應(yīng)用系統(tǒng)的用戶數(shù)據(jù)保密性保護功能；g）數(shù)據(jù)完整性保護：根據(jù)GB/T 20271—，對應(yīng)用系統(tǒng)內(nèi)部存儲、處理和傳輸?shù)挠脩魯?shù)據(jù)應(yīng)提供保證用戶數(shù)據(jù)完整性的功能。h）可信路徑：根據(jù)GB/T 20271—，設(shè)計和實現(xiàn)應(yīng)用系統(tǒng)的可信路徑功能。 安全保證要求 SSOTCS自身安全保護a）可信根安全保護：應(yīng)按以下要求實現(xiàn)終端計算機系統(tǒng)的可信根：存儲根和報告根應(yīng)設(shè)置在可信硬件模塊內(nèi)；可信硬件模塊應(yīng)通過國家專門機構(gòu)研制；應(yīng)對度量根采取物理保護措施；b）鍵盤輸入保護：應(yīng)按以下要求實現(xiàn)鍵盤輸入的保護；應(yīng)有物理路徑支持鍵盤輸入與可信硬件模塊的直接通信；應(yīng)有物理開關(guān)控制是否啟用鍵盤輸入與可信硬件模塊的通信路徑。c）SSF物理安全保護：應(yīng)按以下要求實現(xiàn)終端計算機系統(tǒng)訪問驗證保護級SSF的物理安全保護；應(yīng)按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)訪問驗證保護級SSF的物理安全保護；應(yīng)采取適當(dāng)硬件保護措施防止對可信硬件模塊中密碼運算模塊的能量攻擊。d）SSF運行安全保護：應(yīng)按以下要求實現(xiàn)終端計算機系統(tǒng)訪問驗證保護級SSF的運行安全保護；應(yīng)按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)訪問驗證保護級SSF的運行安全保護；應(yīng)采取適當(dāng)?shù)氖щ姳Ｗo措施，確保在終端計算機系統(tǒng)推出休眠或待機狀態(tài)后，能恢復(fù)到推出工作狀態(tài)前的配置，確保信任鏈系統(tǒng)仍能正常工作；e）SSF數(shù)據(jù)安全保護：宜按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)訪問驗證保護級SSF的數(shù)據(jù)安全保護；f）資源利用：宜按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)訪問驗證保護級的資源利用；g）SSOTCS訪問控制：宜按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)訪問驗證保護級的SSOTCS訪問控制； SSOTCS設(shè)計和實現(xiàn)a）配置管理：按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)訪問驗證保護級的配置管理；b）分發(fā)和操作：按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)訪問驗證保護級的分發(fā)和操作；c）開發(fā)：按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)訪問驗證保護級的開發(fā)；d）指導(dǎo)性文檔：按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)訪問驗證保護級的指導(dǎo)性文檔；e）生命周期支持：按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)訪問驗證保護級的生命周期支持；f）測試：按GB/T 20271—，實現(xiàn)終端計算機系統(tǒng)訪問驗證保護級的測試。g）脆弱性測試：應(yīng)按GB/T 20271—，實現(xiàn)網(wǎng)絡(luò)訪問驗證保護級的脆弱性測試。 SSOTCS管理按GB/T 20271—2006 ，實現(xiàn)終端計算機系統(tǒng)結(jié)構(gòu)化保護級的SSOTCS安全管理。 參考文獻[1] GB/T —2001 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則 第1部分：簡介和一般模型[2] GB/T —2001 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則 第2部分：安全功能要求[3] GB/T —2001 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則 第3部分：安全保證要求[4] GB/T —1999信息技術(shù) 安全技術(shù) 秘鑰管理 第1部分：框架