1、GA 1631997 计算机信息系统安全专用产品分类原则GA中华人民共和国公共安全行业标准GA 1631997计 算 机 信 息 系 统 安 全 专 用 产 品 分 类 原 则Classification of Security Products in Computer Information Systems1997-04-21 发布 1997-07-01 实施公安部 发布-1 范围本标准规定了计算机信息系统安全专用产品分类原则。本标准适用于保护计算机信息系统安全专用产品,涉及实体安全、运行安全和信息安全三个方面。实体安全包括环境安全,设备安全和媒体安全三个方面。 运行安全包括风险分析,审计跟
2、踪,备份与恢复,应急四个方面。信息安全包括操作系统安全,数据库安全,网络安全,病毒防护,访问控制,加密与鉴别七个方面。2 分类原则为了保证分类体系的科学性,遵循如下原则:1 适度的前瞻性;2 标准的可操作性;3 分类体系的完整性;4 与传统的兼容性;5 按产品功能分类。3 术语定义3.1 计算机信息系统 Computer Information System是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。3.2 计算机信息系统安全专用产品 Security Products for Computer In
3、formation Systems 是指用于保护计算机信息系统安全的专用硬件和软件产品。3.3 实体安全 Physical Security保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施、过程。3.4 运行安全 Operation Security为保障系统功能的安全实现,提供一套安全措施(如风险分析,审计跟踪,备份与恢复,应急等)来保护信息处理过程的安全。3.5 信息安全 Information Security防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识,控制。即确保信息的完整性、保密性,可用性
4、和可控性。3.6 黑客 Hacker对计算机信息系统进行非授权访问的人员。3.7 应急计划 Contingency Plan在紧急状态下,使系统能够尽量完成原定任务的计划。3.8 证书授权 Certificate Authority通过证书的形式证明实体(如用户身份,用户的公开密钥等)的真实性。3.9 安全操作系统 Secure Operation System为所管理的数据和资源提供相应的安全保护,而有效控制硬件和软件功能的操作系统。 3.10 访问控制 Access Control指对主体访问客体的权限或能力的限制,以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程
5、(存取控制)。3.11 防火墙 Fire Wall设置在两个或多个网络之间的安全阻隔,用于保证本地网络资源的安全,通常是包含软件部分和硬件部分的一个系统或多个系统的组合。3.12 计算机病毒 Computer Virus是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或程序代码。4 类别体系4.1 类别(A)实体安全4.1.1 类别(A10)环境安全本类产品提供对计算机信息系统所在环境的安全保护,主要包括受灾防护和区域防护。4.1.1.1 类别(A11)受灾防 护本类产品提供受灾报警,受灾保护和受灾恢复等功能,目的是保护计算机信息系统免受
6、水、火、有害气体、地震、雷击和静电的危害。本类产品的安全功能可归纳为三个方面:(1) 灾 难发 生前,对灾 难的检测和报警;(2) 灾 难发 生时,对正遭受破坏的 计算机信息系统,采取紧急措施,进行现场实时保护;(3) 灾 难发 生后,对已 经遭受某种破坏的计算机信息系统进行灾后恢复。任何提供以上一种或数种功能的产品均可归入本类。 4.1.1.2 类别(A12)受灾恢复 计划辅助软件本类产品为制订受灾难恢复计划提供计算机辅助,它主要是以受灾恢复计划辅助软件的形式提供。本类产品的安全功能可归纳为三个方面:(1) 灾 难发 生时的影响分析;(2) 受灾恢复计划的概要 设计或详细制订;(3) 受灾恢
7、复计划的 测试与完善。任何提供以上一种或数种功能的产品均可归入本类。4.1.1.3 类别(A13)区域防 护本类产品对特定区域提供某种形式的保护和隔离。本类产品的安全功能可归纳为两个方面:(1) 静止区域保护,如通 过电子手段(如红外扫描等)或其它手段对特定区域(如机房等) 进行某种形式的保护(如监测和控制等);(2) 活 动区域保 护,对 活动区域(如活动机房等 )进行某种形式的保护。任何提供以上一种或两种功能的产品均可归入本类。4.1.2 类别(A20)设备 安全本类产品提供对计算机信息系统设备的安全保护。它主要包括设备的防盗和防毁,防止电磁信息泄漏,防止线路截获,抗电磁干扰以及电源保护等
8、六个方面。4.1.2.1 类别(A21)设备 防盗本类产品提供对计算机信息系统设备的防盗保护。本类产品所提供的安全功能可归纳为:使用一定的防盗手段(如移动报警器、数字探测报警和部件上锁)用于计算机信息系统设备和部件,以提高计算机信息系统设备和部件的安全性。任何提供以上功能的产品均可归入本类。4.1.2.2 类别(A22)设备 防毁本类产品提供对计算机信息系统设备的防毁保护。本类产品所提供的安全功能可归纳为两个方面:(1) 对抗自然力的破坏,使用一定的防毁措施(如接地保护等)保护计算机信息系统设备和部件;(2) 对抗人为的破坏,使用一定的防毁措施(如防砸外壳)保护计算机信息系统设备和部件。任何提
9、供以上一种或两种功能的产品均可归入本类。4.1.2.3 类别(A23)防止 电磁信息泄漏本类产品用于防止计算机信息系统中的电磁信息的泄漏,从而提高系统内敏感信息的安全性。如防止电磁信息泄漏的各种涂料、材料和设备等都属于本类。本类产品所提供的安全功能可归纳为三个方面:(1) 防止 电 磁信息的泄漏 (如屏蔽室等防止电磁辐射引起的信息泄漏);(2) 干 扰泄漏的 电磁信息 (如利用电磁干扰对泄漏的电磁信息进行置乱);(3) 吸收泄漏的电磁信息 (如通过特殊材料/ 涂料等吸收泄漏的电磁信息)。任何提供以上一种或数种功能的产品均可归入本类。4.1.2.4 类别(A24)防止 线路截获本类产品用于防止对
10、计算机信息系统通信线路的截获和外界对计算机信息系统的通信线路的干扰。 本类产品的安全功能可归纳为四个方面:(1) 预 防线 路截获,使线路截获设备无法正常工作;(2) 探 测线 路截获,发现线 路截获并报警;(3) 定位 线 路截获,发现线 路截获设备工作的位置;(4) 对 抗线 路截获,阻止 线路截获设备的有效使用。任何提供以上一种或数种功能的产品可归入本类。4.1.2.5 类别(A25)抗 电磁干扰本类产品用于防止对计算机信息系统的电磁干扰,从而保护系统内部的信息。本类产品的安全功能可归纳为两个方面:(1) 对 抗外界 对系统 的电磁干扰;(2) 消除来自系统内部的 电磁干扰。任何提供以上
11、一种或两种功能的产品可归入本类。4.1.2.6 类别(A26)电 源保护本类产品为计算机信息系统设备的可靠运行提供能源保障,例如不间断电源、纹波抑制器、电源调节软件等都属于本类。本类产品的安全功能可归纳为两个方面:(1) 对 工作 电源的工作 连续性的保护,如不间断电源;(2) 对 工作 电源的工作 稳定性的保护,如 纹波抑制器。任何提供以上一种或两种功能的产品均可归入本类。4.1.3 类别(A30)媒体安全本类产品提供对媒体数据和媒体本身的安全保护。4.1.3.1 类别(A31)媒体的安全本类产品提供对媒体的安全保管,目的是保护存储在媒体上的信息。本类产品的安全功能可归纳为两个方面:(1)
12、媒体的防盗;(2) 媒体的防毁,如防霉和防砸等。任何提供以上一种或二种功能的产品均可归入本类。4.1.3.2 类别(A32)媒体数据的安全本类产品提供对媒体数据的保护。媒体数据的安全删除和媒体的安全销毁是为了防止被删除的或者被销毁的敏感数据被他人恢复。本类产品的安全功能可归纳为三个方面:(1) 媒体数据的防盗,如防止媒体数据被非法拷贝;(2) 媒体数据的销毁,包括媒体的物理销毁(如媒体粉碎等)和媒体数据的彻底销毁(如消磁等),防止媒体数据删除或销毁后被他人恢复而泄露信息; (3) 媒体数据的防毁,防止意外或故意的破坏使媒体数据的丢失。任何提供以上一种或数种功能的产品均可归入本类。4.2 类别(
13、B)运行安全4.2.1 类别(B10)风险分析本类产品提供对计算机信息系统进行人工或自 动的风险分析。它首先是对系统进行静态的分析(尤指系统设计前和系统运行前的风险分析),旨在发现系统的潜在安全隐患;其次是对系统进行动态的分析,即在系统运行过程中测试,跟踪并记录其活动,旨在发现系统运行期的安全漏洞;最后是系统运行后的分析,并提供相应的系统脆弱性分析报告。本类产品的安全功能可归纳为四个方面: (1) 系 统设计 前的风险 分析。通过分析系统固有的脆弱性,旨在发现系统设计前潜在的安全隐患;(2) 系 统试 运行前的 风险分析。根据系统试运行期的运行状态和结果,分析系统的潜在安全隐患,旨在发现系统设计的安全漏洞;
