书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ 中华人民共和国国家标准 犌犅 ／ 犜 ３７０９１ — ２０１８ 信息安全技术安全办公 犝 盘安全技术要求 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犛犲犮狌狉犻狋狔狅犳犳犻犮犲犝犛犅犱犻狊犽狋犲犮犺狀狅犾狅犵狔狉犲狇狌犻狉犲犿犲狀狋 ２０１８  １２  ２８ 发布 ２０１９  ０７  ０１ 实施 国家市场监督管理总局 中国国家标准化管理委员会 发布书 书 书目 　　 次 前言 Ⅲ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语 、 定义和缩略语 １ ……………………………………………………………………………………… 　 ３．１ 　 术语和定义 １ ………………………………………………………………………………………… 　 ３．２ 　 缩略语 １ ……………………………………………………………………………………………… ４ 　 评估对象描述 ２ …………………………………………………………………………………………… ５ 　 安全问题定义 ３ …………………………………………………………………………………………… 　 ５．１ 　 资产 ３ ………………………………………………………………………………………………… 　 ５．２ 　 威胁 ３ ………………………………………………………………………………………………… 　 ５．３ 　 组织安全策略 ４ ……………………………………………………………………………………… 　 ５．４ 　 假设 ４ ………………………………………………………………………………………………… ６ 　 安全目的 ４ ………………………………………………………………………………………………… 　 ６．１ 　 ＴＯＥ 安全目的 ４ ……………………………………………………………………………………… 　 ６．２ 　 环境安全目的 ５ ……………………………………………………………………………………… ７ 　 安全要求 ６ ………………………………………………………………………………………………… 　 ７．１ 　 安全功能要求 ６ ……………………………………………………………………………………… 　 ７．２ 　 安全保障要求 １１ ……………………………………………………………………………………… ８ 　 基本原理 ２１ ………………………………………………………………………………………………… 　 ８．１ 　 安全目的的基本原理 ２１ ……………………………………………………………………………… 　 ８．２ 　 安全要求的基本原理 ２４ ……………………………………………………………………………… 　 ８．３ 　 组件依赖关系 ２５ ……………………………………………………………………………………… 参考文献 ２９ …………………………………………………………………………………………………… Ⅰ 犌犅 ／ 犜 ３７０９１ — ２０１８ 前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本标准起草单位 ： 中国信息安全测评中心 、 中铁信安 （ 北京 ） 信息安全技术有限公司 、 北京北信源软件股份有限公司 、 网神信息技术 （ 北京 ） 股份有限公司 。 本标准主要起草人 ： 张宝峰 、 邓辉 、 张 罛 斌 、 张骁 、 李凤娟 、 吴毓书 、 许源 、 毛军捷 、 饶华一 、 唐三平 、 何悦 、 李继勇 、 毕永东 、 郭颖 、 张强 。 Ⅲ 犌犅 ／ 犜 ３７０９１ — ２０１８ 信息安全技术安全办公 犝 盘安全技术要求 １ 　 范围 本标准规定了对 ＥＡＬ２ 级和 ＥＡＬ３ 级的安全办公 Ｕ 盘进行安全保护所需要的安全功能要求和安全保障要求 。 本标准适用于安全办公 Ｕ 盘的测试 、 评估 ， 也可用于指导该类产品的研制和开发 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ１８３３６ — ２０１５ （ 所有部分 ） 　 信息技术 　 安全技术 　 信息技术安全评估准则 ＧＢ ／ Ｔ２０９８４ — ２００７ 　 信息安全技术 　 信息安全风险评估规范 ＧＢ ／ Ｔ２５０６９ — ２０１０ 　 信息安全技术 　 术语 ＧＢ ／ Ｔ２８４５８ — ２０１２ 　 信息安全技术 　 安全漏洞标识与描述规范 ３ 　 术语 、 定义和缩略语 ３ ． １ 　 术语和定义 ＧＢ ／ Ｔ１８３３６ — ２０１５ 、 ＧＢ ／ Ｔ２０９８４ — ２００７ 、 ＧＢ ／ Ｔ２５０６９ — ２０１０ 和 ＧＢ ／ Ｔ２８４５８ — ２０１２ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ ． １ 安全办公 犝 盘 　 狊犲犮狌狉犻狋狔狅犳犳犻犮犲犝犛犅犱犻狊犽 一种基于 ＵＳＢ 接口建立用户与可信网或非可信网中 ＰＣ 机之间的连接 ， 实现应用功能及安全功能的移动存储介质 。 如用户与 ＰＣ 机之间的信息交换 、 用户认证 、 安全审计 、 信息加密 、 信息存储等 。 ３ ． ２ 　 缩略语 下列缩略语适用于本文件 。 ＣＭ ： 配置管理 （ ＣｏｎｆｉｇｕｒａｔｉｏｎＭａｎａｇｅｍｅｎｔ ） ＥＡＬ ： 评估保障级 （ ＥｖａｌｕａｔｉｏｎＡｓｓｕｒａｎｃｅＬｅｖｅｌ ） ＰＩＮ ： 个人识别码 （ ＰｅｒｓｏｎａｌＩｄｅｎｔｉｆｉｃａｔｉｏｎＮｕｍｂｅｒ ） ＳＦ ： 安全功能 （ ＳｅｃｕｒｉｔｙＦｕｎｃｔｉｏｎ ） ＳＦＰ ： 安全功能策略 （ ＳｅｃｕｒｉｔｙＦｕｎｃｔｉｏｎＰｏｌｉｃｙ ） ＳＴ ： 安全目标 （ ＳｅｃｕｒｉｔｙＴａｒｇｅｔ ） ＴＯＥ ： 评估对象 （ ＴａｒｇｅｔｏｆＥｖａｌｕａｔｉｏｎ ） ＴＳＦ ： ＴＯＥ 安全功能 （ ＴＯＥＳｅｃｕｒｉｔｙＦｕｎｃｔｉｏｎａｌｉｔｙ ） １ 犌犅 ／ 犜 ３７０９１ — ２０１８ ４ 　 评估对象描述 安全办公 Ｕ 盘用于实现用户与 ＰＣ 机之间的信息交换 、 用户认证 、 安全审计 、 信息加密 、 信息存储等 功能 。 运行过程中 ， 管理员对安全办公 Ｕ 盘实施管理 ， 确保其数据的可用性 、 完整性及保密性 。 运行环 境如图 １ 所示 。 图 １ 　 犜犗犈 运行环境示意图 　　 安全办公 Ｕ 盘包括主机接口 、 ＵＳＢ 控制器 、 存储区三大部分 ， 目的在于满足一定程度办公要求的前 提下防止信息泄露 ， 其整体内部逻辑结构描述如图 ２ 所示 。 图 ２ 　 犜犗犈 逻辑结构 　　 其中 ， 各部分的功能包括 ： ａ ） 　 主机接口 ： 提供安全办公 Ｕ 盘与 ＰＣ 机建立连接的接口 。 ｂ ） 　 ＵＳＢ 控制器 ： １ ） 　 提供读写接口控制模块 ： 此模块作用一是当用户试图建立安全办公 Ｕ 盘与 ＰＣ 机之间的连接时 ， ＵＳＢ 控制器中的读写接口控制模块首先得到响应 ， 对安全办公 Ｕ 盘身份及用户 需求进行识别 。 作用二是当识别结束后 ， 建立用户与不同存储区之间的连接 。 ２ ） 　 提供用户认证与鉴别模块 ： 当读写模块对安全办公 Ｕ 盘识别成功后 ， 如用户需要对保护 ２ 犌犅 ／ 犜 ３７０９１ — ２０１８ 存储区进行操作 ， 则 Ｕ 盘中的用户认证和鉴别模块得到响应 ， 提供认证和初始化服务 ， 对用户身份进行识别 。 ３ ） 　 提供密码模块 ： 此模块作用一是在身份识别过程中 ， 提供相关密码机制以认证用户权限 ， 最终赋予合法用户使用安全办公 Ｕ 盘的能力 ， 获取权限的用户通过读写接口控制模块和加密模块对存储区进行操作 。 作用二在于对保护存储区中的数据进行加密保护 。 ４ ） 　 提供审计模块 ： 此模块作用是将 ＴＯＥ 运行过程中与安全功能相关的信息进行审计 ， 并将其存储在加密存储区 。 ｃ ） 　 存储区 ： 存储需被 ＴＳＦ 保护的数据 ， 此区域应在取得合法用户认证的情况下 ， 方可使用 。 １ ） 　 公共存储区域 ： 存储办公程序 （ 如 ｏｆｆｉｃｅ 、 ａｄｏｂｅ 等 ）。 ２ ） 　 保护存储区 ： 存储用户数据 、 ＴＳＦ 数据 。 ５ 　 安全问题定义 ５ ． １ 　 资产 需要保护的资产 ：——— ＴＳＦ 数据 （ 保护存储区中的数据 ， 如 ＴＯＥ 中的访问控制列表 、 审计日志 、 安全配置数据 、 密钥等信息 ）； ——— 用户数据 （ 公共存储区中的数据 ， 如用户的加密信息 、 非加密信息 、 办公软件等信息 ）。 注 ： ＳＴ 编写者根据具体的应用情况细化对资产的描述 。 ５ ． ２ 　 威胁 ５ ． ２ ． １ 　 仿冒欺骗 （ 犜 ． 犛狆狅狅犳 ） 攻击者通过伪装成为合法的用户或实体 ， 来试图旁路安全办公 Ｕ 盘的安全控制策略 。 ５ ． ２ ． ２ 　 故障利用 （ 犜 ． 犉犪犻犾