TZISIA 03-2024 自主创新型网络安全技术计算基础环境安全要求

11ICS35.240L70/84团 体 标 准T/ZISIA03-2024自主创新型网络安全技术计算基础环境安全要求Autonomousandinnovativecybersecuritytechnology——Securityrequirementsforcomputinginfrastructureenvironment2024-06-05发布 2024-06-05实施中关村网络安全与信息化产业联盟发布T/ZISIA03-2024T/ZISIA03-2024ii目 次前言 I引言 II范围 1规范性引用文件 1术语和定义 1符号和缩略语 1计算基础环境概述 2处理器技术要求 2内存安全技术要求 3固件技术要求 3固件 3统一可扩展固件接口 3安全固件引导启动 3操作系统技术要求 4安全中心 4Linux安全模块 4可信执行环境技术要求 5可信应用 5密码服务 5存储 5管理模式 5安全API技术要求 5附录A（资料性）UEFI固件度量内容项及其要求 7附录B（资料性）安全中心功能列表 8参考文献 9T/ZISIA03-2024T/ZISIA03-2024PAGE\*ROMANPAGE\*ROMANII前 言GB/T1.1-20201请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中关村网络安全与信息化产业联盟提出并归口。（海南联合创新研究院有限公引 言CPUT/ZISIA01-2024《自主创新型T/ZISIA04-2024T/ZISIA03-2024T/ZISIA03-2024PAGEPAGE1自主创新型网络安全技术 计算基础环境安全要求范围规范性引用文件（包括所有的修改单）适用于本文件。GB/T20272-2019信息安全技术 操作系统安全技术要求GB/T37935-2019信息安全技术 可信计算规范 可信软件GB/T36630.1-2018信息安全技术 信息技术产品安全可控评价指标第1部分：总则GB/T25069-2022信息安全技术 术语GB/T22239-2019信息安全技术 网络安全等级保护基本要T/ZISIA01-2024自主创新型网络安全技术 框架T/ZISIA02-2024自主创新型网络安全技术 安全可信启动设计要T/ZISIA04-2024自主创新型网络安全技术 可信计算技术要求术语和定义GB/T25069界定的术语和定义以及下列术语和定义适用于本文件：3.1自主创新型autonomousandinnovative信息技术产品的核心技术由国内生产厂商自主掌握，供应链不受其他国家实体的控制，且符合信息技术产品安全可控评价标准的属性。[来源：T/ZISIA01-2024，3.1]3.2计算基础环境computinginfrastructureenvironment用于支撑和增强计算系统的基础元素集合，包括计算芯片、固件、操作系统、存储等。3.3可信软件基 trustedsoftwarebase为可信计算平台的可信性提供支持的软件元素的集合。[来源：GB/T37935—2019，3.3]3.4固件firmware固化到计算机中的非易失性存储器中的一组程序或软件，为计算机提供最基本的硬件初始化，还可能向上层软件提供底层硬件的访问接口或服务。3.5工作网络 worknetwork是一种基于节点之间的相互连接形成的，有秩序和边界的通信网络。符号和缩略语下列符号和缩略语适用于本文件。ACPI：高级配置和电源接口（AdvancedConfigurationandPowerInterface）CPU：中央处理器（CentralProcessingUnit）DAC：自主访问控制(DiscretionaryAccessControl)LSM：Linux安全模块（LinuxSecurityModule）MM：管理模式（ManagementMode）MMU：内存管理单元（MemoryManagementUnit）OS：操作系统（OperatingSystem）PBF：处理器基础固件（ProcessorBaseFirmware）RAS（ReliabilityAvailabilityandServiceability）REE（RichExecutionEnvironment）ROM：只读存储器（Read-OnlyMemory）SMBIOS：系统管理BIOS（SystemManagementBIOS）SMC：安全监控呼叫（SecureMonitorCall）SPI：串行外设接口（SerialPeripheralInterface）TA：可信应用（TrustedApplication）TCM：可信加密模块（TrustedCryptographyModule）TEE：可信执行环境（TrustedExecutionEnvironment）TOS：可信的操作系统（TrustedOperatingSystem）TPCM：可信平台控制模块（trustedplatformcontrolmodule）TSB：可信软件基（TrustedSoftwareBase）UEFI：统一可扩展固件接口（UnifiedExtensibleFirmwareInterface）I2C：一种总线结构，简称集成电路总线，它是一种串行通信总线（Inter-InteggratedCircuit）计算基础环境概述T/ZISIA01-20243计算基础环境架构处理器技术要求T/ZISIA04-20243.0具体要求如下：CPU同步模式：每个CPU核都可以进入安全态，执行SMC服务调用；混合模式：有特定核被限制在安全态运行提供异步服务，其他核可以进行同步服务调用，同时支持同步和异步服务调用，该模式为缺省模式。CPU（TOS、TCM、TSBCPUPBFTEEUEFIUEFI。PBF内存安全技术要求I2C/匹配、安全规则的设置/删除以及安全日志的获取等；固件技术要求ROMROM、PBF、通用固件、操作系统等整个执行流程。固件PBFTOSUEFIPBFTOSTOSSPI统一可扩展固件接口UEFI应基于前述处理器及其PBFTOSUEFI启动及UEFI固件度量范围及UEFI度量项目详见附录A，ARM系列芯片主要遵循以下国际标准：UEFI2.7ACPI6.1SMBIOS3.2ArmBaseBootRequirementsArmSystemReadyRequirementsSpecificationArmServerBaseSystemArchitecture通用可信安全部分遵循TCM/TPM/UEFI安全启动标准。安全固件引导启动T/ZISIA02-2024PBFTOSUEFIPBF、TOS、操作系统一起，构成完整的信任链。在固件启动引导阶段，应支持以下启动功能：安全固件引导程序应支持完整性度量校验；对内核等所有关键文件的度量校验均通过后，加载并引导操作系统启动；存在一个或多个关键文件度量校验不通过时，终止操作系统的引导启动。操作系统技术要求TOSCPUGPSMCUEFISMC应至少提供安全管理命令行工具，支持对操作系统安全功能的配置和策略定制；应支持操作系统内核模块、操作系统关键配置文件等完整性验证功能。安全中心B。可信度量与管控功能OS应支持以下应用程序执行控制功能：对应用程序的白名单配置管理，包含添加、删除、更新等；对应用程序的完整性检查，禁止执行被篡改的应用程序；对内核模块的加载控制，确保通过安全管理工具授权的内核模块才允许加载；提供内核模块防卸载保护，禁止卸载在防卸载保护列表中的内核模块。进程保护OS应支持以下进程保护功能：对进程保护列表进行配置管理，包含添加、删除等；对被保护进程提供防杀死等功能；在被保护进程意外退出时，触发登录用户注销、操作系统重启或关机等特定功能。LinuxLinux(LSM)，对内核关键资源设置安全LSMhookLinuxDAChookhook可在特定的内核数据结构中加入安全域；可在内核源代码中不同的关键点插入对安全钩子函数的调用；可加入一个通用的安全系统调用；提供允许内核模块注册为安全模块或注销的函数。可信执行环境技术要求可信执行环境应支持的通用功能如下：支持可信执行环境资源的调整，比如，内存容量、外设等；支持内存数据的密文读、写、存储；支持资源的安全属性修改，比如，根据用户需求，配置某个外设的安全属性；SMC可信应用可信应用(TA)一般包含二进制程序、shell脚本、动态链接库、内核模块等，每个TA应用都有自己的虚拟地址空间，并运行在用户态。TA应用应满足如下要求：TEEMMUTA应支持用户自定义联网控制列表；应具备可信通信驱动，支持与通用操作系统、TPCM支持用户私有数据隔离保护，禁止其他用户包括管理员非法访问；支持用户为自己的私有数据进行自定义加密密码加密。密码服务密码服务应支持以下安全功能：SM2SM3SM4应通过系统安全接口支持可独立提供数据访问控制、密钥管理、数据安全加解密、存储TCM_KeyCPUFlashTOS管理模式管理模式(MM)是用于提供与平台管理固件及操作系统无关的一种管理接口。MMUEFIVariableFunction、BiosUpdate、RasFunctionVariable支持安全态固件升级功能；RAS。API安全API应提供内核级安全接口、系统级安全接口和安全可信组件状态接口，应支持：内核级安全接口提供核外模块对LSM钩子的注册和注销；支持核外模块对LSM钩子函数的实现。系统级安全接口安全状态获取、设置接口；应用程序执行权限查询、设置接口；应用程序联网状态查询、设置接口；软件包及应用程序签名验签接口；支持TSB插件，实现TSB与可信管理中心、TPCM联动，实现对可执行程序的完整性度量校验。安全组件接口安全组件状态展示接口，应包含中央处理器、内存、固件、操作系统等安全组件；支持第三方软件联动展示配置接口，可支持杀毒软件、防火墙等安全软件的状态和联动配置接口。附录A（资料性）UEFI固件度量内容项及其要求UEFITOSTOSUEFI。UEFITOSTOS决策TO，UEIA.1UEFIUEFI表A.1UEFI固件度量内容项及其要求度量对象内容要求OptionROM（包含网卡、显卡、RAID卡等）UEFIOptionROM应度量OptionROM内的驱动UEFIDriver应度量OptionROM内的应用程序UEFIAPP应度量磁盘GPT分区表GPT应度量磁盘MBR分区表MBR应度量操作系统加载器UEFIAPP应度量用户操作加载的UEFI驱动程序UEFIDriver应度量用户操作加载的UEFI驱动应用程序UEFIAPP应度量使用UEFI接口启动的内核UEFIAPP应度量UEFI配置数据UEFICONF宜度量注：UEFIDriver包含UEFIRuntimeDriver和UEFIBootServiceDriver。附录B（资料性）安全中心功能列表安全中心功能列表详细描述见附表B.1。表B.1安全中心功能列表安全中心账户安全密码安全，提供系统账户密码强度策略配置。提供用户高、中、低、自定义四种密码强度配置选择。账户锁定，提供系统账户锁定策略配置功能。提供用户密码连续输错次数以及失败锁定时间的配置选择。病毒防护内置防病毒软件，提供快速扫描、全盘扫描、自定义扫描三种病毒扫描模板。网络保护防火墙，防护外界应用连接系统，提供公共网络、办公网络、自定义配置三种策略。应用程序联网，提供应用程序是否可以主动联网的控制行为，阻止未授权的应用程序联网，提供给用户阻止、警告、关闭三种配置选择。应用控制与保护应用程序来源检查，阻止非法来源的应用程序安装，如果应用程序安装包来源不可靠，启用来源检测功能后，将会检查应用执行权限。提供给用户阻止、警告、关闭三种配置选择。应用程序执行控制，阻止未知或被篡改的应用程序运行，如果程序是不信任的，启用执行控制功能后，将会检查应用执行权限。提供给用户阻止、警告、关闭三种配置选择。进程防杀死，提供监控受保护的进程不被恶意杀死功能。内核模块防卸载，提供监控受保护的内核模块不被恶意卸载，防止用户误删除导致关键系统内核模块缺失导致系统无法正常运行功能。文件防篡改，添加到保护列表的文件将禁止被篡改、删除。可信计算安全内存提供用户可配置的内存数据安全功能。指令流安全检测提供已经在可信白名单的程序文件因漏洞带来的指令流异常检查功能。系统增强防护提供系统加固详细配置，对系统核心文件防护。参考文献UnifiedExtensibleFirmwareInterfaceForum.UEFISpecificationVersion2.7.[S/OL].(2017.5)[2024.5.30]./sites/default/files/resources/UEFI_Spec_2_7.pdf.UnifiedExtensi