| 分类项 | 对照要点 | 安全设计 |
|
| 安全环境 | 组织安全策略 | 安全审计 | 专利检索与服务系统具有安全审计功能,并妥善存储系统的关键软件(如网络操作系统、数据库管理系统、网络监控系统)的日志文件、审计记录。 |
| 技术隔离 | 专利检索与服务系统和XXXX的其他业务系统在技术上隔离,禁止通过专利检索系统直接访问任何XXXX的内部业务系统。 |
| 数据备份 | 专利检索与服务系统应有完善的数据备份措施。重要操作指令数据至少应保存15年。 |
| 密码技术 | 在互联网上传输时,必须采取相应的密码技术对专利检索的客户信息、操作指令及其他敏感信息进行可靠的加密处理。 |
| 安装和使用指南 | 应提供系统安全安装和使用指南。 |
| 信息访问控制 | 信息应仅接受授权个体和进程的访问。 |
| 信息内容完整 | 应保持信息内容的完整性。 |
| 标识和鉴别 | 专利检索与服务系统必须能正确识别和鉴别专利审核员的身份,禁止仿冒客户身份或XXXX身份。 |
| 实时监控 | 专利检索与服务系统应具备实时监控和防范非法访问的功能或设施。 |
| 私有信息保护 | 有关审核员的私有信息如帐户、身份识别等数据应加以保护,与其相关的程序或系统不得托管在XXXX的工作场所之外。 |
| 故障恢复 | 专利检索与服务系统应有完善的故障恢复手段。 |
| 抗抵赖 | 专利检索与服务系统必须具有防止对操作行为否认的抗抵赖技术或措施。 |
| 威胁和风险分析 | 关键系统组件失效 | 关键系统组件失效导致系统关键功能失败。 |
| 未检测到的攻击者访问 | 由于弱化或错误地实现访问控制,造成对完整性、保密性或可用性的潜在危害,使攻击者获得未被检测的对系统的访问。 |
| 拒绝服务 | 攻击者通过执行命令、发送数据、或执行其他操作使系统资源对系统用户失效。资源可能是带宽、处理器时间、内部存储器、数据存储器等。 |
| 窃听用户数据通信 | 攻击者通过窃听通信线路获取用户数据。 |
| 恶意代码 | 授权用户、信息系统、攻击者下载和执行恶意代码,产生异常的进程,破坏系统资产的完整性、可用性或保密性。 |
| 用户滥用授权 | 用户滥用授权不正当地收集、修改、发送敏感的或对安全关键的数据。 |
| 用户数据保护 | 访问控制策略 | 系统应申明执行了访问控制策略并证实 | 系统应对安全功能策略所覆盖的主体、客体和它们之间的操作执行网上访问控制策略。 |
| 访问控制功能 | 应对系统资源和关键数据执行访问控制策略(提供详细的访问控制策略) | 系统应基于安全属性和确定的安全属性组,对已明确的客体执行网上访问控制策略。 |
| 系统应明确规定各种主体允许进行的操作(提供主体及其授权操作对照表) | 系统应基于一定规则,决定受控的主体与客体间的操作是否被允许。 |
| 数据鉴别 | 系统应有为保证客体有效而提供证据的能力 | 系统应提供产生保证客体的有效性证据的能力。 |
| 从安全功能控制之外输入 | 确认输入用户数据时,执行了网上信息流控制策略 | 在系统安全功能策略控制下,从系统安全控制范围之外输入用户数据时,应执行网上信息流控制策略。 |
| 数据输入时,能正确绑定相关的安全属性 | 系统应使用与输入的数据相关联的安全属性。 |
| 系统应确保使用的协议在安全属性和接收的用户数据之间提供了明确的联系 | 系统应确保使用的协议在安全属性和接收的用户数据之间提供了明确的联系。 |
| 系统应确保对输入的用户数据的安全属性的解释与用户数据源的解释是一致的 | 系统应确保对输入的用户数据的安全属性的解释与用户数据源的解释是一致的。 |
| 向安全功能控制之外输出 | 确认系统在用户发起请求和对用户的请求作出响应时,执行了访问控制策略和信息流控制策略 | 在安全功能策略控制下输出用户数据到系统安全控制范围之外时,应执行网上访问控制策略和网上信息流控制策略。 |
| 系统应能输出允许不带相关安全属性的数据。 | 系统应输出不带有相关安全属性的用户数据。 |
| 确认数据输出时,带有应具有的相关安全属性 | 系统输出用户数据到系统安全控制范围之外时,应带有与数据相关联的安全属性。 |
| 确认输出的数据与相关安全属性正确关联 | 在安全属性输出到系统安全控制范围之外时,系统应确保其与输出的数据确切关联 |
| 信息流控制策略 | 确认系统对主体、信息流及其对应的操作规定了信息流控制策略(提供信息流控制策略表) | 对确定的主体、信息流及所有导致信息流入流出安全功能策略覆盖的主体的操作,应执行网上信息流控制策略。 |
| 确认信息流控制策略覆盖了系统内部的所有主体、客体和相关操作(分析信息流控制策略的完备性、合理性) | 系统应确保所有导致安全控制范围内的任何信息流入流出安全控制范围内的任何主体的操作被网上信息流控制策略所覆盖。 |
| 信息流控制功能 | 信息流控制策略应基于主体及其必要的安全属性(提供所有主体、客体的安全属性定义及其最少安全属性要求) | 系统应在主体和最小数目和类型的信息安全属性的基础上执行网上信息流控制策略。 |
| 确认主体与各种信息之间基于安全属性的相互关系,并允许主体进行合法操作,引发基于正确安全属性的信息流 | 对每一个操作,如果在主体和信息之间必须有基于安全属性的关系,系统应允许受控主体和受控信息之间存在经由受控操作的信息流。 |
| 确认系统明确规定了允许的合法信息流 | 系统应根据基于安全属性的规则,明确授权信息流。 |
| 确认系统能拒绝非法信息流 | 系统应根据基于安全属性的规则,明确拒绝信息流。 |
| 剩余信息保护 | 能保证分配或回收系统资源时,彻底避免访问到任何以前的剩余信息 | 系统应确保对客体分配或回收资源时,指定资源的任何剩余信息不再可用。 |
| 存储数据的完整性 | 系统应对系统内存储的用户数据的完整性进行检测 | 系统应基于数据属性,监视存储在系统内的用户数据是否出现完整性错误。 |
| 检测到用户数据出现完整性错误时,应采取有效补救措施 | 检测到完整性错误时,系统应采取相应的动作。 |
| 安全功能间用户数据传输的保密性 | 系统应控制与用户之间的通信内容,对通信内容采取机密性保护措施 | 系统应执行网上访问控制策略和网上信息流控制策略,能以防止未授权泄露的方式传送和接收客体。 |
| 安全功能间用户数据传输的完整性 | 系统应控制与用户之间的通信内容,对通信内容采取完整性保护措施 | 系统应执行信息流控制策略,能以避免出现篡改、删除、插入或重用等的方式传送和接收用户数据。 |
| 系统应具有校验用户数据完整性的功能 | 系统应能根据收到的用户数据判断,是否出现了篡改、删除、插入和重用。 |
| 标识和鉴别 | 鉴别失败 | 系统能在用户不成功鉴别尝试达到规定的次数之后,应采取有效措施 | 系统应检测何时与查询申请鉴别相关的不成功鉴别尝试达到门限值。 |
| 当达到或超过定义了的不成功鉴别尝试的次数时,系统将拒绝查询并记录。 |
| 用户属性定义 | 为每个用户单独保存其用户安全属性 | 系统应为每一个用户保存下列属于他的安全属性表:用户权限及开发者确定的属性。 |
| 秘密的规范 | 系统能验证秘密的强度 | 系统应提供一种机制以证明秘密满足规定的强度。 |
| 系统能产生规定强度的秘密 | 系统应提供一种机制以产生满足规定的强度。 |
| 系统应能为用户身份鉴别使用系统产生的秘密。系统应规定使用的字符集。 |
| 用户鉴别 | 用户在鉴别身份前,实施一定的动作 | 系统应在用户被鉴别之前允许代表用户实施系统(服务器)证书请求。 |
| 用户没有被成功鉴别之前,不能执行任何其他安全功能操作。 |
| 鉴别机制能检测并防止使用伪造或复制的鉴别数据 | 系统应检测使用已被系统的任何用户伪造的鉴别数据。 |
| 系统应检测使用从系统的任何其它用户处复制的鉴别数据。 |
| 提供多种鉴别机制,以便为特定的事件鉴别用户的身份 | 系统应提供口令、证书机制以支持用户鉴别。 |
| 系统应根据口令、证书鉴别任何用户所声称的身份。 |
| 在需要时重鉴新别用户 | 系统应在下列条件下重新鉴别用户:请求失败后,及其他重鉴别条件。 |
| 受保护的鉴别反馈 | 当鉴别在进行时,系统应仅仅将鉴别是否成功提供给用户。 |
| 用户主体绑定 | 维持用户的安全属性及其主体间的关联性 | 系统将把合适的用户安全属性关联到代表用户活动的主体上。 |
| 抗抵赖 | 原发抗抵赖 | 产生提交数据的原发证据 | 提交数据应使用数字签名作为原发证据 |
| 原发者的身份与其原发证据相关联 | 作数字签名的私钥应由公正的机构生成 |
| 为接收者提供原发证据。 | 接受者系统应保存接收到的消息 |
| 系统应具有利用数字签名验证原发者的功能 |
| 接收抗抵赖 | 产生数据的接收证据 | 数据发送者应生成消息摘要 |
| 数据的接收者应使用数字签名将消息摘要回发 |
| 接收者的身份与其接收证据相关联 | 密钥应由公正的机构生成 |
| 为原发者提供接收证据。 | 发送者系统应保存接收到的回发消息摘要系统应具有利用密钥验证接收者的功能 |
|
| 证书 | 第三方颁发的证书 | 系统应采用由可信第三方颁发的数字证书 |
| 用户私钥的产生 | 用户私钥应由用户自己产生以保证其唯一性。 |
| 证书撤消单的查验 | 系统应正确实现对证书撤消单的查验,防止使用失效证书。 |
| 密码支持 | 密钥管理 | 用于交易信息加密的对称算法 | 应得到密码管理部门批准 |
| 对称密钥长度 | 128位 |
| 随机数发生器的检测 | 对称密钥产生器所产生的密钥应使每个密钥产生的概率独立等概 |
| 对称密钥分配 | 系统应采用安全的密钥分配方式分配对称密钥。 |
| 非对称密钥分配 | 系统应采用安全的密钥分配方式分配非对称密钥 |
| 密钥访问 | 系统应规定密钥访问规则,以防止非授权访问密钥。 |
| 密钥使用期限 | 系统应规定用于不同目的的密钥的使用期限。 |
| 密钥存档期限 | 密钥使用期限过后,系统应规定用于不同目的的密钥的存档期限。 |
| 密钥销毁 | 系统应规定过存档期的密钥的销毁办法。 |
| 密码运算 | 数据加密和/或解密密码运算标准 | 密码主管部门批准的标准 |
| 数据加密和/或解密密钥长度 | 128位 |
| 签名密钥对的密码运算标准 | RSA(应经密码主管部门批准) |
| 两对密钥对分开 | 用于加密的公开密钥对应与用于签名的公开密钥对分开,相应证书也应分开。 |
| 签名密钥对的密钥长度 | 大于或等于1024位 |
| 完整性校验码运算标准 | 密码主管部门批准的标准 |
| 完整性校验码密钥长度 | 128位 |
| 信息摘要运算标准 | 密码主管部门批准的标准 |
| 密钥加密和/或解密算法标准 | 密码主管部门批准的标准算法 |
| 密钥加密和/或解密密钥长度 | 128 bit |
| 密钥协商算法标准 | RSA(应经密码主管部门批准) |
| 密钥协商密钥长度 | 1024 bit |
| 安全功能保护 | 抽象机测试 | 对根本的抽象机的测试 | 专利检索与服务系统应在启动时或运行期间定期运行一套测试,来验证由安全功能基于的抽象机所提供的安全假设都正确执行了。 |
| 失败保护 | 带维持安全状态的失败 | 专利检索与服务系统在发生鉴别和通信失败时应维持一种安全状态。 |
| 输出数据的保密性 | 传输过程中安全功能数据的保密性 | 专利检索与服务系统应保护所有的安全功能数据从系统到远程可信IT产品的传输过程中不被未经授权的泄密。 |
| 输出数据的完整性 | 检测安全功能数据在传输过程中的修改 | 专利检索与服务系统应能够检测系统与远程可信IT产品间传输的所有安全功能数据的修改。 |
| 应验证在系统与远程可信IT产品间传输的所有安全功能数据的完整性,如果检测到数据修改时应采取相应措施。 |
| 系统内部数据传输 | 系统内部安全功能数据传输的基本保护 | 在专利检索与服务系统的各个部分间传输安全功能数据时,应保护其不被泄漏。 |
| 可信恢复 | 人工干预系统返回安全状态 | 发生故障或服务中断后,系统安全功能应进入维护方式,该方式能将系统返回到一个安全状态。 |
| 重放检测 | 检测鉴别数据、操作数据等信息的重放 | 专利检索与服务系统应能检测鉴别数据、操作指令数据等信息的重放。 |
| 检测到重放时,系统应采取相应措施。 |
| 参照仲裁 | 安全策略的不可旁路性 | 应确保继续执行在安全功能控制范围内的每一项功能前,安全策略的强制执行功能都已成功激活。 |
| 安全功能域分离 | 依据客体不同,而为安全功能提供不同的保护域 | 安全功能应为自身的执行维护一个安全域,防止不可信主体的干扰和篡改。 |
| 安全功能应在其控制范围内主体的安全域之间强行分离。 |
| 状态同步协议 | 对交换数据相互回执 | 当专利检索与服务系统的一部分发出需要回执请求时,与其通信的另一部分应在接收到未经修改的安全功能数据时给予回执。 |
| 系统安全功能应通过使用回执,来确保系统管理部分知道在各部分间所传输的数据都处于正确状态。 |
| 时间戳 | 系统安全功能为自身提供可靠的时间戳 | 专利检索与服务系统的安全功能应能为自身的应用提供可靠的时间戳。 |
| 系统安全功能间安全功能数据的一致性 | 系统安全功能间基本安全功能数据的一致性 | 当专利检索与服务系统与别的可信IT产品共享安全功能数据时,系统应能够判断所有安全功能数据的一致性。 |
| 当判断来自别的可信IT产品的安全功能数据时,系统应使用预先大家所协定的一组规则。 |
| 安全功能自检 | 系统安全功能正确操作的测试和安全功能数据及可执行码的完整性的验证 | 软件在每次启动时、服务器端应定期运行一套自检以验证安全功能的正确操作。 |
| 系统安全功能为授权用户提供了验证安全功能数据完整性的能力。 |
| 系统安全功能为授权用户提供了验证所存储的安全功能可执行代码完整性的能力。 |
| 系统访问 | 多重并发会话的限定 | 并发会话的限制 | 系统应限制并发会话的最大数目 |
| 单用户并发会话的限制 | 系统应限制单用户并发会话的最大数目。 |
| 访问历史 | 上次成功会话记录 | 系统应显示用户上一次成功的会话建立的日期、时间、方法。 |
| 上次不成功会话记录 | 系统应显示用户上一次不成功的会话建立的日期、时间、方法。 |
| 历史记录保留 | 不应删除未经用户回顾的历史信息。 |
| 安全审计 | 审计记录产生 | 审计记录包括的字段 | 日期、时间、事件类型、主体身份、事件的成功与失败等 |
| 事件与主体的联系 | 系统应将每个可审计事件与引起该事件的用户身份相关联。 |
| 可审计事件类型 | 应对系统安全功能(包括审计记录的开启与关闭)进行全面的审计,以证明安全功能的正确实现。 |
| 安全审计分析 | 审计事件监测规则 | 根据已知的由可审计安全事件积累或组合所对应的安全攻击模式。 |
| 审计事件自动分析 | 系统应有能力用一系列规则去监测审计事件,并依据这些规则指出对安全策略的潜在侵害。 |
| 审计自动响应 | 当即将发生安全侵害时,系统应能自动响应。 |
| 采取应对措施 | 应及时通知授权管理员,使产生潜在安全侵害的主体失效。 |
| 审计记录查阅 | 审计数据查阅工具 | 系统应提供具有查阅审计数据功能的工具,以读取审计记录。 |
| 审计数据查阅的限制 | 系统应有能力限制对审计记录的读访问。 |
| 审计数据查阅规则 | 系统应规定审计记录的查阅规则。 |
| 审计记录保存 | 防止审计数据删除 | 系统应保护已储存的审计记录避免未授权的删除。 |
| 防止审计数据修改 | 系统应保护已储存的审计记录避免未授权的修改。 |
| 确定可保存审计记录量度 | 系统应确定审计记录保存时间或保存的最大数目。 |
| 审计存储失败 | 系统应在审计存储失败时提出警告 |
| 审计记录已满或到期警告 | 当审计记录将满或到期时,系统应能够检测到,并向管理员提出警告。 |
| 阻止其它行为 | 审计记录溢满时,在管理员处理前,系统应阻止所有可审计事件的发生。 |
| 安全功能管理 | 安全角色 | 系统安全角色的划分规则 | 系统中应按照职责划分人员的安全角色。 |
| 应提供系统安全人员角色列表及职责定义。 |
| 安全角色的担任规则 | 系统应对用户与安全角色进行明确的关联和权力分立。 |
| 必须的安全角色 | 应明确系统中必须的角色。 |
| 安全功能行为的管理 | 系统安全功能管理规则 | 系统应限定用户对安全功能进行管理控制的权限,并提供安全角色与安全功能管理权限对照表。 |
| 安全属性的管理 | 系统授权人员对安全属性的管理规则 | 应按照网上访问控制策略及网上信息流控制策略限定授权人员对系统安全属性的管理能力。 |
| 应提供授权人员对系统安全属性的管理权限表。 |
| 安全属性默认值的规定 | 应按照网上访问控制策略及网上信息流控制策略,为系统的安全属性提供默认值。 |
| 应提供系统安全属性默认值列表。 |
| 安全属性默认值的修改 | 授权的管理人员应具有修改安全属性默认值的能力。 |
| 系统安全数据的管理 | 系统安全数据的管理规则 | 应限定不同安全角色的用户对系统安全数据的不同管理能力。 |
| 应提供安全角色与系统安全数据管理权限对照表。 |
| 安全属性期限的管理 | 系统安全属性期限及其处理 | 系统管理员应可规定系统安全属性的有效期。 |
| 安全属性期限及到期处理行为列表。 |
| 可信信道 | 可信信道 | 可信信道 | 应为系统内远程主机之间的通信提供一条通信信道,它在逻辑上明显不同于其他通信信道,以防止信道数据被修改和泄露。 |
| 末点标识 | 末点标识 | 应提供可信信道的末点标识。 |
