首页

关于系统安全设计、安全策略、访问控制策略、信息流控制策略、密钥管理及可信通道等147项指标

标签:系统安全,安全测试,安全设计,密钥管理,安全审计,访问控制,安全策略,系统设计,安全架构     发布时间:2018-08-01   
分类项对照要点安全设计
安全环境组织安全策略安全审计专利检索与服务系统具有安全审计功能,并妥善存储系统的关键软件(如网络操作系统、数据库管理系统、网络监控系统)的日志文件、审计记录。
技术隔离专利检索与服务系统和XXXX的其他业务系统在技术上隔离,禁止通过专利检索系统直接访问任何XXXX的内部业务系统。
数据备份专利检索与服务系统应有完善的数据备份措施。重要操作指令数据至少应保存15年。
密码技术在互联网上传输时,必须采取相应的密码技术对专利检索的客户信息、操作指令及其他敏感信息进行可靠的加密处理。
安装和使用指南应提供系统安全安装和使用指南。
信息访问控制信息应仅接受授权个体和进程的访问。
信息内容完整应保持信息内容的完整性。
标识和鉴别专利检索与服务系统必须能正确识别和鉴别专利审核员的身份,禁止仿冒客户身份或XXXX身份。
实时监控专利检索与服务系统应具备实时监控和防范非法访问的功能或设施。
私有信息保护有关审核员的私有信息如帐户、身份识别等数据应加以保护,与其相关的程序或系统不得托管在XXXX的工作场所之外。
故障恢复专利检索与服务系统应有完善的故障恢复手段。
抗抵赖专利检索与服务系统必须具有防止对操作行为否认的抗抵赖技术或措施。
威胁和风险分析关键系统组件失效关键系统组件失效导致系统关键功能失败。
未检测到的攻击者访问由于弱化或错误地实现访问控制,造成对完整性、保密性或可用性的潜在危害,使攻击者获得未被检测的对系统的访问。
拒绝服务攻击者通过执行命令、发送数据、或执行其他操作使系统资源对系统用户失效。资源可能是带宽、处理器时间、内部存储器、数据存储器等。
窃听用户数据通信攻击者通过窃听通信线路获取用户数据。
恶意代码授权用户、信息系统、攻击者下载和执行恶意代码,产生异常的进程,破坏系统资产的完整性、可用性或保密性。
用户滥用授权用户滥用授权不正当地收集、修改、发送敏感的或对安全关键的数据。
用户数据保护访问控制策略系统应申明执行了访问控制策略并证实系统应对安全功能策略所覆盖的主体、客体和它们之间的操作执行网上访问控制策略。
访问控制功能应对系统资源和关键数据执行访问控制策略(提供详细的访问控制策略)系统应基于安全属性和确定的安全属性组,对已明确的客体执行网上访问控制策略。
系统应明确规定各种主体允许进行的操作(提供主体及其授权操作对照表)系统应基于一定规则,决定受控的主体与客体间的操作是否被允许。
数据鉴别系统应有为保证客体有效而提供证据的能力系统应提供产生保证客体的有效性证据的能力。
从安全功能控制之外输入确认输入用户数据时,执行了网上信息流控制策略在系统安全功能策略控制下,从系统安全控制范围之外输入用户数据时,应执行网上信息流控制策略。
数据输入时,能正确绑定相关的安全属性系统应使用与输入的数据相关联的安全属性。
系统应确保使用的协议在安全属性和接收的用户数据之间提供了明确的联系系统应确保使用的协议在安全属性和接收的用户数据之间提供了明确的联系。
系统应确保对输入的用户数据的安全属性的解释与用户数据源的解释是一致的系统应确保对输入的用户数据的安全属性的解释与用户数据源的解释是一致的。
向安全功能控制之外输出确认系统在用户发起请求和对用户的请求作出响应时,执行了访问控制策略和信息流控制策略在安全功能策略控制下输出用户数据到系统安全控制范围之外时,应执行网上访问控制策略和网上信息流控制策略。
系统应能输出允许不带相关安全属性的数据。系统应输出不带有相关安全属性的用户数据。
确认数据输出时,带有应具有的相关安全属性系统输出用户数据到系统安全控制范围之外时,应带有与数据相关联的安全属性。
确认输出的数据与相关安全属性正确关联在安全属性输出到系统安全控制范围之外时,系统应确保其与输出的数据确切关联
信息流控制策略确认系统对主体、信息流及其对应的操作规定了信息流控制策略(提供信息流控制策略表)对确定的主体、信息流及所有导致信息流入流出安全功能策略覆盖的主体的操作,应执行网上信息流控制策略。
确认信息流控制策略覆盖了系统内部的所有主体、客体和相关操作(分析信息流控制策略的完备性、合理性)系统应确保所有导致安全控制范围内的任何信息流入流出安全控制范围内的任何主体的操作被网上信息流控制策略所覆盖。
信息流控制功能信息流控制策略应基于主体及其必要的安全属性(提供所有主体、客体的安全属性定义及其最少安全属性要求)系统应在主体和最小数目和类型的信息安全属性的基础上执行网上信息流控制策略。
确认主体与各种信息之间基于安全属性的相互关系,并允许主体进行合法操作,引发基于正确安全属性的信息流对每一个操作,如果在主体和信息之间必须有基于安全属性的关系,系统应允许受控主体和受控信息之间存在经由受控操作的信息流。
确认系统明确规定了允许的合法信息流系统应根据基于安全属性的规则,明确授权信息流。
确认系统能拒绝非法信息流系统应根据基于安全属性的规则,明确拒绝信息流。
剩余信息保护能保证分配或回收系统资源时,彻底避免访问到任何以前的剩余信息系统应确保对客体分配或回收资源时,指定资源的任何剩余信息不再可用。
存储数据的完整性系统应对系统内存储的用户数据的完整性进行检测系统应基于数据属性,监视存储在系统内的用户数据是否出现完整性错误。
检测到用户数据出现完整性错误时,应采取有效补救措施检测到完整性错误时,系统应采取相应的动作。
安全功能间用户数据传输的保密性系统应控制与用户之间的通信内容,对通信内容采取机密性保护措施系统应执行网上访问控制策略和网上信息流控制策略,能以防止未授权泄露的方式传送和接收客体。
安全功能间用户数据传输的完整性系统应控制与用户之间的通信内容,对通信内容采取完整性保护措施系统应执行信息流控制策略,能以避免出现篡改、删除、插入或重用等的方式传送和接收用户数据。
系统应具有校验用户数据完整性的功能系统应能根据收到的用户数据判断,是否出现了篡改、删除、插入和重用。
标识和鉴别鉴别失败系统能在用户不成功鉴别尝试达到规定的次数之后,应采取有效措施系统应检测何时与查询申请鉴别相关的不成功鉴别尝试达到门限值。
当达到或超过定义了的不成功鉴别尝试的次数时,系统将拒绝查询并记录。
用户属性定义为每个用户单独保存其用户安全属性系统应为每一个用户保存下列属于他的安全属性表:用户权限及开发者确定的属性。
秘密的规范系统能验证秘密的强度系统应提供一种机制以证明秘密满足规定的强度。
系统能产生规定强度的秘密系统应提供一种机制以产生满足规定的强度。
系统应能为用户身份鉴别使用系统产生的秘密。系统应规定使用的字符集。
用户鉴别用户在鉴别身份前,实施一定的动作系统应在用户被鉴别之前允许代表用户实施系统(服务器)证书请求。
用户没有被成功鉴别之前,不能执行任何其他安全功能操作。
鉴别机制能检测并防止使用伪造或复制的鉴别数据系统应检测使用已被系统的任何用户伪造的鉴别数据。
系统应检测使用从系统的任何其它用户处复制的鉴别数据。
提供多种鉴别机制,以便为特定的事件鉴别用户的身份系统应提供口令、证书机制以支持用户鉴别。
系统应根据口令、证书鉴别任何用户所声称的身份。
在需要时重鉴新别用户系统应在下列条件下重新鉴别用户:请求失败后,及其他重鉴别条件。
受保护的鉴别反馈当鉴别在进行时,系统应仅仅将鉴别是否成功提供给用户。
用户主体绑定维持用户的安全属性及其主体间的关联性系统将把合适的用户安全属性关联到代表用户活动的主体上。
抗抵赖原发抗抵赖产生提交数据的原发证据提交数据应使用数字签名作为原发证据
原发者的身份与其原发证据相关联作数字签名的私钥应由公正的机构生成
为接收者提供原发证据。接受者系统应保存接收到的消息
系统应具有利用数字签名验证原发者的功能
接收抗抵赖产生数据的接收证据数据发送者应生成消息摘要
数据的接收者应使用数字签名将消息摘要回发
接收者的身份与其接收证据相关联密钥应由公正的机构生成
为原发者提供接收证据。发送者系统应保存接收到的回发消息摘要系统应具有利用密钥验证接收者的功能
证书第三方颁发的证书系统应采用由可信第三方颁发的数字证书
用户私钥的产生用户私钥应由用户自己产生以保证其唯一性。
证书撤消单的查验系统应正确实现对证书撤消单的查验,防止使用失效证书。
密码支持密钥管理用于交易信息加密的对称算法应得到密码管理部门批准
对称密钥长度128
随机数发生器的检测对称密钥产生器所产生的密钥应使每个密钥产生的概率独立等概
对称密钥分配系统应采用安全的密钥分配方式分配对称密钥。
非对称密钥分配系统应采用安全的密钥分配方式分配非对称密钥
密钥访问系统应规定密钥访问规则,以防止非授权访问密钥。
密钥使用期限系统应规定用于不同目的的密钥的使用期限。
密钥存档期限密钥使用期限过后,系统应规定用于不同目的的密钥的存档期限。
密钥销毁系统应规定过存档期的密钥的销毁办法。
密码运算数据加密和/或解密密码运算标准密码主管部门批准的标准
数据加密和/或解密密钥长度128
签名密钥对的密码运算标准RSA(应经密码主管部门批准)
两对密钥对分开用于加密的公开密钥对应与用于签名的公开密钥对分开,相应证书也应分开。
签名密钥对的密钥长度大于或等于1024
完整性校验码运算标准密码主管部门批准的标准
完整性校验码密钥长度128
信息摘要运算标准密码主管部门批准的标准
密钥加密和/或解密算法标准密码主管部门批准的标准算法
密钥加密和/或解密密钥长度128   bit
密钥协商算法标准RSA(应经密码主管部门批准)
密钥协商密钥长度1024   bit
安全功能保护抽象机测试对根本的抽象机的测试专利检索与服务系统应在启动时或运行期间定期运行一套测试,来验证由安全功能基于的抽象机所提供的安全假设都正确执行了。
失败保护带维持安全状态的失败专利检索与服务系统在发生鉴别和通信失败时应维持一种安全状态。
输出数据的保密性传输过程中安全功能数据的保密性专利检索与服务系统应保护所有的安全功能数据从系统到远程可信IT产品的传输过程中不被未经授权的泄密。
输出数据的完整性检测安全功能数据在传输过程中的修改专利检索与服务系统应能够检测系统与远程可信IT产品间传输的所有安全功能数据的修改。
应验证在系统与远程可信IT产品间传输的所有安全功能数据的完整性,如果检测到数据修改时应采取相应措施。
系统内部数据传输系统内部安全功能数据传输的基本保护在专利检索与服务系统的各个部分间传输安全功能数据时,应保护其不被泄漏。
可信恢复人工干预系统返回安全状态发生故障或服务中断后,系统安全功能应进入维护方式,该方式能将系统返回到一个安全状态。
重放检测检测鉴别数据、操作数据等信息的重放专利检索与服务系统应能检测鉴别数据、操作指令数据等信息的重放。
检测到重放时,系统应采取相应措施。
参照仲裁安全策略的不可旁路性应确保继续执行在安全功能控制范围内的每一项功能前,安全策略的强制执行功能都已成功激活。
安全功能域分离依据客体不同,而为安全功能提供不同的保护域安全功能应为自身的执行维护一个安全域,防止不可信主体的干扰和篡改。
安全功能应在其控制范围内主体的安全域之间强行分离。
状态同步协议对交换数据相互回执当专利检索与服务系统的一部分发出需要回执请求时,与其通信的另一部分应在接收到未经修改的安全功能数据时给予回执。
系统安全功能应通过使用回执,来确保系统管理部分知道在各部分间所传输的数据都处于正确状态。
时间戳系统安全功能为自身提供可靠的时间戳专利检索与服务系统的安全功能应能为自身的应用提供可靠的时间戳。
系统安全功能间安全功能数据的一致性系统安全功能间基本安全功能数据的一致性当专利检索与服务系统与别的可信IT产品共享安全功能数据时,系统应能够判断所有安全功能数据的一致性。
当判断来自别的可信IT产品的安全功能数据时,系统应使用预先大家所协定的一组规则。
安全功能自检系统安全功能正确操作的测试和安全功能数据及可执行码的完整性的验证软件在每次启动时、服务器端应定期运行一套自检以验证安全功能的正确操作。
系统安全功能为授权用户提供了验证安全功能数据完整性的能力。
系统安全功能为授权用户提供了验证所存储的安全功能可执行代码完整性的能力。
系统访问多重并发会话的限定并发会话的限制系统应限制并发会话的最大数目
单用户并发会话的限制系统应限制单用户并发会话的最大数目。
访问历史上次成功会话记录系统应显示用户上一次成功的会话建立的日期、时间、方法。
上次不成功会话记录系统应显示用户上一次不成功的会话建立的日期、时间、方法。
历史记录保留不应删除未经用户回顾的历史信息。
安全审计审计记录产生审计记录包括的字段日期、时间、事件类型、主体身份、事件的成功与失败等
事件与主体的联系系统应将每个可审计事件与引起该事件的用户身份相关联。
可审计事件类型应对系统安全功能(包括审计记录的开启与关闭)进行全面的审计,以证明安全功能的正确实现。
安全审计分析审计事件监测规则根据已知的由可审计安全事件积累或组合所对应的安全攻击模式。
审计事件自动分析系统应有能力用一系列规则去监测审计事件,并依据这些规则指出对安全策略的潜在侵害。
审计自动响应当即将发生安全侵害时,系统应能自动响应。
采取应对措施应及时通知授权管理员,使产生潜在安全侵害的主体失效。
审计记录查阅审计数据查阅工具系统应提供具有查阅审计数据功能的工具,以读取审计记录。
审计数据查阅的限制系统应有能力限制对审计记录的读访问。
审计数据查阅规则系统应规定审计记录的查阅规则。
审计记录保存防止审计数据删除系统应保护已储存的审计记录避免未授权的删除。
防止审计数据修改系统应保护已储存的审计记录避免未授权的修改。
确定可保存审计记录量度系统应确定审计记录保存时间或保存的最大数目。
审计存储失败系统应在审计存储失败时提出警告
审计记录已满或到期警告当审计记录将满或到期时,系统应能够检测到,并向管理员提出警告。
阻止其它行为审计记录溢满时,在管理员处理前,系统应阻止所有可审计事件的发生。
安全功能管理安全角色系统安全角色的划分规则系统中应按照职责划分人员的安全角色。
应提供系统安全人员角色列表及职责定义。
安全角色的担任规则系统应对用户与安全角色进行明确的关联和权力分立。
必须的安全角色应明确系统中必须的角色。
安全功能行为的管理系统安全功能管理规则系统应限定用户对安全功能进行管理控制的权限,并提供安全角色与安全功能管理权限对照表。
安全属性的管理系统授权人员对安全属性的管理规则应按照网上访问控制策略及网上信息流控制策略限定授权人员对系统安全属性的管理能力。
应提供授权人员对系统安全属性的管理权限表。
安全属性默认值的规定应按照网上访问控制策略及网上信息流控制策略,为系统的安全属性提供默认值。
应提供系统安全属性默认值列表。
安全属性默认值的修改授权的管理人员应具有修改安全属性默认值的能力。
系统安全数据的管理系统安全数据的管理规则应限定不同安全角色的用户对系统安全数据的不同管理能力。
应提供安全角色与系统安全数据管理权限对照表。
安全属性期限的管理系统安全属性期限及其处理系统管理员应可规定系统安全属性的有效期。
安全属性期限及到期处理行为列表。
可信信道可信信道可信信道应为系统内远程主机之间的通信提供一条通信信道,它在逻辑上明显不同于其他通信信道,以防止信道数据被修改和泄露。
末点标识末点标识应提供可信信道的末点标识。
<<热门下载>>