《电力监控系统通用主机可信防御组件检测标准.docx》由会员分享,可在线阅读,更多相关《电力监控系统通用主机可信防御组件检测标准.docx(61页珍藏版)》请在第一文库网上搜索。
1、s中国南方电网有限责任公司发布目录1 .范围42 .规范性引用文件43 .术语和定义44 .缩略语和定义65 .检测环境66 .功能测试方法87 .互联互通测试方法268 .安全测试方法289 .易用性测试方法4410 .性能测试方法4711 .兼容性测试方法49前言为规范南方电网电力监控系统通用主机可信防御组件在南方电网公司的测试与应用,统一质量要求及技术路线,保障系统的安全稳定运行。为确保可信防御组件在南方电网的安全性和可靠性,规范和指导可信防御组件在南方电网的安全性测评、设计、开发,制订本标准。本标准依据有关国家和行业标准并结合公司业务应用需求编制。本标准按照GB/T1.1-2023的规
2、则起草。本标准由中国南方电网电力调度控制中心提出并负责解释、生产技术部归口管理。本标准首次发布,自颁布之日起执行。1 .范围本规范规定了电力监控系统通用主机可信防御组件检测的环境条件要求、检测项目、检测要求及检测方法。本标准适用于南方电网公司电力监控系统通用主机可信防御组件的入网检测,也可为电力监控系统可信防御组件的研发及应用提供参考。2 .规范性引用文件下列文件对于本文件的应用起到参考作用。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T37935-2019信息安全技术可信计算规范可信软件基GB/T29829-20
3、23信息安全技术可信计算可信密码支撑平台功能和接口规范GB/T36572-2018电力监控系统网络安全防护导则GB/T39786-2023信息安全技术信息系统密码应用基本要求国能安全(2015)36号电力监控系统安全防护总体方案国家发改委14号令电力监控系统安全防护规定国能发安全(2018)72号国家能源局关于加强电力行业网络安全工作的指导意见Q/CSG1204099中国南方电网电力监控系统网络安全技术规范Q/CSG1204100-2023南方电网电力监控系统模块网络安全通用技术条件Q/CSG1204104-2023南方电网智能电网电力监控系统网络安全防护技术要求3 .术语和定义GB/T379
4、35-2019界定的以及下列术语和定义适用于本文件。1. 1可信根rootoftrust用于支撑可信节点信任链建立和传递的可对外提供完整性度量、安全存储、密码计算等服务的功能模块。1.2可信防御组件TrustedDefenseComponent构建在计算机系统中,用于实现可信功能的软件。可信管理中心TrUStedManagementCenter可信防御组件的管理端,实现对可信节点安全策略、审计告警等的集中管理。可信基准值TrustedBase1ineVa1ue表示对象可信特性的数据,作为判断对象是否可信的参照。可信基准库TrustedBase1ineVa1ueDatabase可信基准值的合集。
5、动态度量DynamicMeasurement在系统运行过程中,对系统完整性和行为安全性进行测量和评估的可信度量方法。可信节点TrustedNode可信防御组件所在的主机节点实体,如服务器、工作站等设备,也是可信管理中心所管理的对象。信任链TrUStedChain在计算系统启动和运行过程中,使用完整性度量方法在部件之间所建立的信任传递关系。通用主机A11-purposeOperatingSystemEquipment安装通用操作系统的主机设备,应用层和操作系统层之间有清晰的界线,如服务器、工作站等。4 .缩略语和定义下列缩略语适用于本文件。PCI-E:PCI-E总线(PCI-Express)CP
6、U:中央处理器(Centra1ProcessingUnit)SAP:态势感知平台(SitUationa1awarenessp1atform)5 .检测环境5.1. 检测环境检测环境由检测机构环境与送检机构环境组成:1、检测机构环境:a)提供安全检测的基础环境,包括电力监控系统态势感知平台、态势感知采集传输通道、可信管理中心、统一数字证书、计算机等资源;b)提供第三方虚拟化产品,以满足检测环境软件要求。2、送检方提供:a)含有可信防御组件的主机设备、可信部署软件包、可信板卡(可选项)及可信防御组件身份鉴别Ukey(可选项)等;b)本次需测试兼容性的操作系统,包括但不限于以下操作系统:操作系统版本
7、信息凝思6.0.60麒麟3.25.2. 检测拓扑图检测机构设备图1检测拓扑图本次检测拓扑如上,设备主要包括:含有可信组件的可信终端、终端侧接入交换机、态势感知采集装置、态势感知前置机、管理中心侧接入交换机、可信管理中心、测试客户机。可信终端基于态势感知的反向代理功能做为传输通道与可信管理中心进行通信。本次检测主要针对可信组件的功能、性能和安全性等。6 .功能测试方法6.1.基本信息检查序号基本信息被测设备1设备名称2规格型号3设备数量4可信根的形式口纯软件口板卡5身份认证形式软证书UKEY6资料一书三册(产品说明书、设计安装手册、运行维护手册、检验检修手册)6.2.可信根测试用例名称可信根测试
8、用例标识kxjc.1.1.测试要求1 .可信根内应具导入和导出数字证书的功能;2 .密码算法应符合国家密码主管部门的要求,采用国密算法;3 .可信根应具备算法调用接口,通过专用接口调用可信根,实现各算法的调用;4 .可基于可信根对计算节点的引导程序、系统程序、应用程序等进行可信验证;5 .硬件形式的可信根采用计算机板卡形式提供,板卡接口应符合主流计算机设备通用接口标准,如PCI-Eo板卡上应板载密码算法芯片和存储硬件。硬件应能够分别提供实模式层、内核层、应用层的算法和存储调用接口,支撑可信防御组件在引导阶段完成对操作系统的引导和内核度量,提供硬件级的加密算法和存储保护能力;6 .硬件可信根应能
9、够存储引导阶段可信基准值和引导审计信息;7 .可信根应以安全方式存密钥、数字证书及其他敏感信息。8 .检测可信根或可信根提供算法的核心部件(如安全芯片)提供的算法是否符合国家密码主管部门的要求,是否符合GM/TOO1KGM/T0012、GM/T0013、GM/T0058、GM/T0028、GM/T008等可信计算或密码相关标准要求的其中一项要求,并提供对应的商用密码产品认证证书;前置条件1 .设备已接入可信根,并且运行正常;2 .可信功能正常生效。测试工具1 .可信根证书管理工具2 .可信根算法接口调用工具;3 .国密算法通用计算工具;测试方法1 .使用可信根证书管理工具,进行数字证书(数字证
10、书由测试机构提供)的导入与查看;2 .检测可信根提供的算法是否符合国家密码主管部门的要求,是否支持的国密算法;3 .通过可信根算法接口调用工具,使用sm3算法计算任意文件的哈希值,与国密算法通用计算工具使用sm3算法计算相同文件的哈希值,查看哈希值是否相同;4 .拔出可信根,查看设备在没有可信根的情况下能否向用户发送告警并由用户决定是否阻断操作系统启动;5 .查看板卡是否符合通用接口标准,送检方提供的硬件可信根是否可以在检测方设备中识别;6 .通过可信根基准值与审计信息查看工具,读取引导阶段可信基准值和引导审计信息;7 .尝试篡改可信根中的密钥、数字证书及其他敏感信息。8 .查看可信根或可信根
11、提供算法的核心部件的国密证书预期结果1 .可以导入并查看由测试机构分发的数字证书;2 .可信根提供的算法符合国家密码主管部门的要求,支持Sm2、Sm3、sm4国密算法;3 .通过可信根算法接口计算与国密算法通用计算工具计算所得哈希值相同;4 .移除可信根,系统启动时提示缺少可信根,并支持选择阻断系统或者忽略告警继续启动系统。5 .可信根板卡接口为通用标准接口,送检方提供的硬件可信根可以在检测方设备中识别;6 .可以读取引导阶段可信基准值和引导审计信息;7 .密钥、数字证书及其他敏感信息篡改失败。8 .提供相应的国密证书项目类别关键项(软可信根检测1、2、3、7,硬件可信根检测6)一般项(硬件可
12、信根检测8)测试用例名称可信防御组件自保护测试用例标识kxjc.1.2.测试要求可信软件基应具备内核级的自保护能力,自身核心进程防杀死,模块功能生效后防卸载,可信防御组件的相关程序和配置应具备防止篡改和删除等破坏的能力,避免恶意攻击绕过可信计算保护机制。前置条件可信功能正常生效。测试工具进程终止工具ki11。测试方法1 .检测可信防御组件进程是否具备内核态防终止能力,尝试使用任何权限系统账户终止可信防御组件核心进程;2 .检测可信防御组件是否具备防卸载能力,尝试使用任何权限系统账户卸载可信防御组件;3 .检测可信防御组件是否具备对可信程序和配置文件的保护能力,尝试使用任何权限系统账户删除可信防
13、御组件的安装目录,尝试修改配置文件。预期结果1 .可信防御组件核心进程无法终止;2 .可信防御组件无法进行卸载;3 .可信防御组件安装目录中的程序文件与配置文件无法删除、篡改。项目类别关键项6.4.可信基准库测试用例名称可信基准库测试用例标识kxjc.1.3.测试要求1 .可信防御组件采集可信节点程序的预期值生成可信基准库,预期值要求包含路径与内容;2 .可信基准库存储在非易失性存储器(如存储芯片、硬盘)中,并对可信基准库进行安全保护,防止被非法篡改;3 .可信预期值只能通过可信防御组件的专用更新接口进行更新。前置条件可信功能正常生效。测试工具非可信的基准值查添加工具。测试方法1 .查看可信防
14、御组件能否采集可信节点程序,计算可信基准值生成可信基准库;2 .查看可信基准库是否存储在非易失性存储器(如存储芯片、硬盘)中;3 .使用非防御组件程序对可信基准库文件进行破解、篡改;4 .变更(如增删改等操作)可信基准值,查看可信基准值是否只能通过可信防御组件的专用更新接口进行更新。预期结果1 .在可信基准库界面中显示可信节点程序基准值信息;2 .可信基准库文件存储在非易失性存储器中;3 .无法使用非防御组件程序对可信基准库文件进行破解、篡改;4 .使用非可信的基准值查看工具进行基准值添加与删除失败。项目类别关键项6.5.引导程序可信验证测试用例名称引导程序可信验证测试用例标识kxjc.1.4
15、.测试要求1 .在系统引导阶段,对系统启动程序目录下的关键文件(如内核文件、初始盘文件、程序文件、配置文件等)进行静态度量并校验,如果校验通过,系统程序可正常加载启动;如果校验失败,应能主动阻断系统的启动,形成审计记录;2 .可信防御组件正常加载后,应能感知引导程序的修改,并产生审计记录;3 .引导阶段的可信基准值及引导审计信息应存储在硬件可信根中。前置条件可信功能正常生效。测试工具1 .文件修改工具;2 .可信根基准值与审计信息查看工具。测试方法1 .关闭可信功能后,修改系统启动程序目录下的关键文件(如内核文件、初始盘文件、程序文件、配置文件等),重新引导系统在系统引导阶段,查看对系统引导的度量情况,进入系统后查看可信防御组件审计是否记录可信引导度量失败的结果;