GA/T 671-2006信息安全技术终端计算机系统安全等级技术要求

犐犆犛３５．０４０

犃９０

中华人民共和国公共安全行业标准

犌犃／犜６７１—２００６

信息安全技术

终端计算机系统安全等级技术要求

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犜犲犮犺狀狅犾狅犵狔狉犲狇狌犻狉犲犿犲狀狋犳狅狉狋犲狉犿犻狀犪犾犮狅犿狆狌狋犲狉狊狔狊狋犲犿

狅犳狊犲犮狌狉犻狋狔犮犾犪狊狊犻犳犻犲犱狆狉狅狋犲犮狋犻狅狀

２００６１２２８发布２００７０２０１实施

中华人民共和国公安部发布

书

犌犃／犜６７１—２００６

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

１范围!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２规范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３术语、定义和缩略语!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３．１术语和定义!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３．２缩略语!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

４安全功能技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．１物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．１．１设备安全可用!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．１．２设备防盗防毁!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．１．３设备高可靠!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．２运行安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．２．１系统安全性检测分析!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．２．２安全审计!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

４．２．３信任链!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

４．２．４运行时防护!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

４．２．５备份与故障恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

４．２．６可信时间戳!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

４．２．７Ｉ／Ｏ接口配置!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

４．３数据安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

４．３．１密码支持!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

４．３．２身份标识与鉴别!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

４．３．３自主访问控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

４．３．４标记!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

４．３．５强制访问控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

４．３．６数据保密性保护!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

４．３．７数据完整性保护!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１０

４．３．８信任服务!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１０

４．３．９可信路径!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１０

５终端计算机系统安全技术分等级要求!!!!!!!!!!!!!!!!!!!!!!!!!１１

５．１第一级：用户自主保护级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

５．１．１安全功能要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

５．１．２安全保证要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１２

５．２第二级：系统审计保护级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１２

５．２．１安全功能要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１２

５．２．２安全保证要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１５

５．３第三级：安全标记保护级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１５

Ⅰ

书

犌犃／犜６７１—２００６

５．３．１安全功能要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１５

５．３．２安全保证要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

５．４第四级：结构化保护级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１９

５．４．１安全功能要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１９

５．４．２安全保证要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２３

５．５第五级：访问验证保护级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２４

５．５．１安全功能要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２４

５．５．２安全保证要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２７

参考文献!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２９

Ⅱ

犌犃／犜６７１—２００６

前言

本标准由公安部信息系统安全标准化技术委员会提出。

本标准由公安部信息系统安全标准化技术委员会归口。

本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心。

本标准主要起草人：邱梓华、顾健、景乾元、李毅、陆臻、赵婷、张笑笑、顾玮、吴其聪。

Ⅲ

犌犃／犜６７１—２００６

引言

本标准用以指导设计者如何设计和实现终端计算机系统，使其达到信息系统所需安全等级，主要从

信息系统安全保护等级划分的角度来说明对终端计算机系统的技术要求，即主要说明终端计算机系统

为实现ＧＢ１７８５９—１９９９中每一个保护等级的安全要求应采取的安全技术措施，以及各安全技术要求

在不同安全等级中具体实现上的差异。

本标准首先对安全等级保护中终端计算机系统所涉及的安全功能技术要求做了比较全面的描述，

然后按ＧＢ１７８５９—１９９９五个安全等级的划分，对每一个安全等级的安全功能技术要求和安全保证技

术要求做了详细描述。

Ⅳ

犌犃／犜６７１—２００６

信息安全技术

终端计算机系统安全等级技术要求

１范围

本标准规定了对终端计算机系统进行安全等级保护所需要的安全技术要求，并给出了每一个安全

保护等级的不同技术要求。

本标准适用于按ＧＢ１７８５９—１９９９的安全保护等级要求所进行的终端计算机系统的设计和实现，

对于按ＧＢ１７８５９—１９９９的要求对终端计算机系统进行的测试、管理也可参照使用。

２规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有

的修改单（不包括勘误的内容）或修订版均不适用