top of page

数据销毁软件产品安全技术要求

ICS 35.240

A 90





中华人民共和国公共安全行业标准


GA/T 1143—2014






信息安全技术

数据销毁软件产品安全技术要求


Information security technology—

Security technical requirements for data destruction software products


2014-03-14发布


2014-03-14实施

中华人民共和国公安部   




   

   

本标准按照GB/T       1.1—2009给出的规则起草。

本标准由公安部网络安全保卫局提出。

本标准由公安部信息系统安全标准化技术委员会归口。

本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、中国科学院高能物理研究所 网络安全实验室、北京金元龙脉信息科技有限公司、厦门市美亚柏科信息股份有限公司、公安部第三研 究所,

本标准主要起草人:陆臻、赵婷、顾健、顾玮、邱梓华、梁薇、林帆、黄志炜、吴焕发。


   

本标准详细描述了与数据销毁软件产品安全环境,天的假设、威胁和组织安全策略,定义了数据销

毁软件产品及其支撑环境的安全目的,论证了安全功能要求能够追溯并覆益产品安全目的,安全目的能 够追溯并覆盖安全环境相关的假设、威胁和组织安全策略。

本标准基本级参照了GB/T   18336.3—2008中规定的 EAL2 级安全保证要求,增强级在 EALA 级 安全保证要求的基础上,将脆弱性分析要求提升到可以抵御中等攻击潜力的攻击者发起的攻击。 本标准仅给出了数据销毁软件产品应满足的安全技术要求,但对数据销毁软件产品的具体技术实现方式、方法等不做要求。


信息安全技术

数据销毁软件产品安全技术要求



1   范围


本标准规定了数据销毁软件产品的安全功能要求、安全保证要求及等级划分要求。

本标准适用于计算机信息系统中使用的、针对磁性存储介质的数据销毁软件产品的设计、开发和

检测。


2   规范性引用文件


下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文

件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB   17859-1999 计算机信息系统 安全保护等级划分准则

GB/T 18336—2008(所有部分) 信息技术 安全技术 信息技术安全性评估准则

GB/T 25069—2010 信息安全技术 术语


3   术语和定义


GB   17859-1999,GB/T   18336—2008(所有部分)和GB/T 25069—2010界定的以及下列术语和定

义适用于本文件。

3.1

数据覆写 data overwriting

将非敏感数据写入以前存有敏感数据的存储位量,达到清除数据的目的。

3.2

3次数据销毁方法 3 times data destraction method

对指定目标磁盘以数据覆写的方式进行擦写,磁头经过各区段覆写3次,第1次通过固定字符,第

2次通过固定字符的补码,第3次通过随机字符进行覆写。   

3.3

7次数据销败方法 7 times data destraction method

对指定目标磁盘以数据覆写的方式进行擦写,磁头经过各区段覆写7次,第1次和第2次通过固定 字符及其补码覆写,接下来分别用单字符、随机字符,然后再分别用固定字符及其补码覆写,最后使用随

机字符进行覆写,


4 数据销毁软件产品描述


数据销毁软件产品以软件的形式安装在需要销毁数据的主机上,将非敏感数据覆写入以前存有敏 感数据的存佛位置,达到清除数据的月的,

数据销毁软件产品保护的贤产是用户不再需要但仍然敏感的信息,这些信息对用户而言虽然不再


具有价值,但是一旦被非授权用户得到,依然会对用户的信息安全造成影响。


5 安全环境


5.1 假设

数据销毁软件产品安全环境相关的假设如表1所示。

表 1 假设



假设名称

假设描述

人员繁力

授权用户是无器意的,调练有素的,并准频用户指南

安全雄护

当产品的应用环境发生交化时,能够立即反映在产品的安全策略中并保持其安全功能有效



5.2 威胁

数据销毁软件产品安全环境相关的成胁如表2所示,

表 2 威胁



或胁名称

或胁描述

敏感信息泄露

非授权用户可能通过技术手段对用户已别除的敏感信息进行恢复,恢复的效果与使用的方 法、工具以及可访问途径(比如,通过操作系统访问或直接使用工具观察硬盘磁性颗粒)有关

滥用

非授权用户可能使用数据销毁软件产品销毁用户希望保留的信真

失效

产品运行错误可能导致系统失去响皮



5.3 组织安全策赂

数据销毁软件产品安全环境相关的组织安全策略如表3所示。

表 3 组织安全策路




组织安全策略名称

组织安全策略描述

审计

为追踪所有与安全相关活动的责任,与安全相关的事件应记景、保存和审查

安全管理

产品应为授权管理员提供管理手段,使其以安全的方式进行管理



6   安全目的

6.1   产品安全目的

表4定义了产品的安全目的,这些安全目的旨在对应已标识的成胁或组织安会策略。




表 4 产品安全目的



产品安全目的名称

产品安全目的描述

对应的成胁或组织安全策略

管理权限

产品应仅对提权用户开放管理功能

滥用

数据别腺

产品应采取不同强度的技术方法测除用户效盛信息

敏感信息滑置

稳定容镜

产品应推定运行,并具有一定容健性

失效

安全管理

产品应向授权用户提供以安全方式进行管理的有效手段

安全管理

审计

产品应记录自身安全相关的事件,以便准踪安全相关行为的贵 任,并应提供方法审查所记录的数据

审计



6.2 环境安全目的

表5定义了非技术或程序方法进行处理的安全目的。5.1确定的假设被包含在环境安全目的中。

表 5 环境安全目的



环境安全目的名称

不境安全目的描述

对应的假设或成脉

人员能力

授权用户是无恶量的,训练有素的,并速循用户指南

人员能力

安全维护

当产品的应用环境发失变化时,应立即反应在产品的安全策略 中并保持其安全功能有效

安全维护



7   安全功能要求

7.1 擦除功能

7.1.1 常规擦除

7.1.1.1 擦除文件

产品应能根据所选择的数据销毁方法,擦陈单个和多个指定的文件。

7.1.1.2 擦除目景

产品应能根据所选择的数据销聚方法,擦除单个和多个指定的目录(含被擦除目录下的文件与子目 录)。

7.1.1.3 擦除磁查分区中内容

产品应能根据所选择的数据销毁方法,擦除磁盘中单个和多个分区的内容(含被擦除分区下的目录 与文件),

7.1.1.4 擦除磁盘分区未使用的空简

产品应能根据所选择的数据销最方法,擦除单个和多个截盘分区中来使用的空间(含被擦除截盘下 的分区、目录与文件),


7.1.1.5 擦除文件间除

产品应能根据所选择的数据销毁方法,擦除单个和多个文件的文件间隙。

7.1.1.6 擦除整块磁盘

产品应能根据所选择的数据销毁方法,擦除单个和多个磁盘。

7.1.1.7 擦除临时文件

产品应能根据所选择的数据销毁方法,擦除系统中的临时文件。用户应能选择要擦除的临时文件 类型,如:Windows 临时文件、Internet Explorer临时文件、cookie文件,Windows 页面文件等。

7.1,1.8 擦除已测除文件

产品应能根据所选择的数据销毁方法,删除磁盘中用操作系统自带测除方法删除的文件。

7.1.1.9 文件搜素擦除

产品应能针对某个磁盘搜索某种具体类型的文件并依据相关条件(例如,文件类型)进行筛选擦除。

7.1.1.10 擦除文件和目录痕建

产品应能根据所选挥的数据销毁方法,擦除文件名称、日录名称、文件及其日录中其他的一些痕迹。

7.1.1.11 多种擦除方法支持

产品应能支持多种数据销毁方法(如3次数据销毁方法、7次数据销毁方法等),并能根据用户的需 求进行擦除方法的选择。

7.1.1.12 自定义擦除方法

产品应能支持用户自定义擦除方法,至少包括自定义以下参数:

a) 覆写的数据;

b) 覆写的方式(如顺序覆写,跳位覆写,随机覆写等);

c) 覆写的次数。

7.1.1.13 擦除时机设置

用户可设置擦除时机,如定时擦除、关机前擦除等。

7.1.1.14 擦除任务管理

用户可创建擦除任务,包括擦除对象、擦除方法、擦除时机等,用户可以对任务进行开始执行、暂 停、继续运行、终止、剃除等操作。

7.1.1.15 擦除操作确认

产品应能在用户执行擦除操作之前,提示用户确认擦除操作。

7.1.1.16 支持的操作系统和分区格式

产品应至少能支持 Windows98/XP/2000/2003/Vista/7/8/2008等操作系统,支持所有的磁盘分区   分区格式,如 FAT16,FAT32、exFAT、NTFS 等,


7.1.2 扩展擦除

7.1.2.1 上网痕迹擦除

产品应能擦除用户的上网痕迹。

7.1.2.2 文件类型甄别

产品应能通过分析文件数据结构,面非依据文件名苏,正确地罪别出某个文件的真正文件类型,并 据此进行覆写操作。

能甄别的文件类型应至少包括:doc、xls,ppt.pdf.txt,bmp.jpg、png,ip,rar,mps,vi,exe,d等 .

7.2 审计功能

7.2.1 日志记录

产品至少应能对以下事件生成日志记菜:

a) 产品的启动和停止;

b)   擦除方法的选择、擦除计划的设置等;

c) 捺除操作。

日志记录的内容应包括事件发生的日期和时间、事件主体、事件客体、事件描述和成功或失败的 标志。

7.2.2 日志管理

产品应提供以下日志管理功能:

a)   只允许授权用户访问日志;

b) 对日志记录的查询功能;

c) 对日志的备份、剥除和清空功能。

7.3 安全管理功能

7.3.1 用户鉴别

产品应在用户行使管理权限之前对其进行身份鉴别。

7.3.2 用户分级

产品应能根据不同的擦除权限,给用户设置不同的级别。

7.3.3 鉴别失败处理

产品应备措施防止对用户口令的暴力猜测,

7.4 稳定性和客错性

产品稳定性和容错性应满足以下要求:

a) 防止主界面长时间失去响应或非正常邀出;

b) 防止擦除进度停滞不前;

c) 擦除任务能随时停止

d) 若擦除失败,提示用户并安全遇出擦除任务。


8 安全保证要求

8.1 配置管理

8.1.1 部分配置管理自动化

配量管理系统应提供一种自动方式来支持产品的生成,通过该方式确保只能对产品的实现表示进 行已授权的改变。

配置管理计划应描述在配量管理系统中所使用的自动工具,并描述在配置管理系统中如何使用自 动工具。

8.1.2 配置管理能力

8.1.2.1 版本号

开发者应为产品的不同版本提供唯一的标识。

8.1.2.2 配置项

开发者应使用配置管理系统并提供配置管理文档。

配置管理文档应包括一个配置清单,配量清单应唯一标识组成产品的所有配置项并对配置项进行 描述,还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效维护的证据。

8.1.2.3 授权控制

开发者提供的配量管理文档应包括一个配置管理计划,配置管理计划应描述如何使用配量管理系 统。实施的配量管理应与配置管理计划相一致,

开发者应提供所有的配置项得到有效地维护的证据,并应保证只有经过授权才能修改配置项。

8.1.2.4 产生支持和接受程序

开发者提供的配置管理文档应包括一个接受计划,接受计划应描述用来接受修改过的或新建的作 为产品组成部分的配置项的程序。

配量管理系统应支持产品的生成。

8.1.3 配置管理范国

8,1.3.1 配置管理覆菌

配置管理范围至少应包括产品实现表示、设计文档、测试文档、指导性文档、配置管理文档,从而确 保它们的修改是在一个正确授权的可控方式下进行的,

配量管理文档至少应能跟踪上述内容,并描述配量管理系统是如何跟踪这些配量项的。

8.1,3.2 问题跟踪配量管理覆描

配量管理范围应包括安全缺陷,确保安全缺陷置于配置管理系统之下、

8.2 交付与运行

8.2.1 交付程序

开发者应使用一定的交付程序交付产品,并将交付过程文档化。


交付文档应描述在给用户方交付产品的各版本时,为维护安全所必需的所有程序

8.2.2 修改检测

交付文档应描述如何提供多种程序和技术上的措施来检测修改,或检测开发者的主持贝和用户力   所收到版本之间的任何差异。还应描述如何使用多种程序来发现试曲伪装成开发者,甚至是在开发者 没有向用户方发送任何东西的情况下,向用户方交付产品。

8.2.3 安装、生成和启动程序

开发者应提供文档说明产品的安装、生成和启动的过程。

8.3 开发

8.3.1 功能规范

8.3.1.1   非形式化功能规范

开发者应提供一个功能规范,功能规范应满足以下要求:

a)    使用非形式化风格来描述产品安全功能及其外部接口

b) 是内在一致的;

描述所有外部接口的用途与使用方法,适当时提供效果、例外情况和错误消息的细节;

d)   完备地表示产品安全功能。

8.3.1.2 充分定义的外部接口

功能规范应包括安全功能是完备地表示的合理性。

8.3.2 高层设计

8.3.2.1 描述性高屋设计

开发者应提供产品安全功能的高层设计,高层设计应满足以下要求:

a) 表示是非形式化的

b) 是内在一致的,

c) 按子系统描述安全功能的结构;

d) 描述每个安全功能子系统所提供的安全功能性;

。标识安全功能所要求的任何基础性的要件、面件或软件,以及在这数硬件、固件或软件中实现 的支持性保护机制所提供功能的个表示;

f) 标识安全功能子系统的所有接口;

g) 标识安全功能子系统的哪些接口是外部可见的。

8.3.2.2 安全加强的高层设计

开发者提供的安全加强的高层设计应满足以下要求;

”)描述产品的功能子累统所有接口的用施与使用方法,适当时提供教果、例外情况和错误消息的 细节;

b)   把产品分成安全策略实施和其他子系统来描述,

8.3.3 安全功能实观的子集

开发者应为选定的安全功能子集提供实现表示,实现表示应当无歧义而且详细地定义安全功能,


使得无须进一步设计就能生成安全功能,实现表示应是内在一致的,

8.3.4   描述性低层设计

开发者应提供产品安全功能的低层设计,低层设计应满足以下要求

a)   表示是非形式化的

b)   是内在一致的

c)   按模块描述安全功能;

d)   描述每个模块的用途

)根据所提供的安全功能性和对其他模块的依赖关系两方面来定义模块间的相互关系;

f)   描述每个安全策略实施功能是如何被提供的

g)   标识安全功能模块的所有接口

h) 标识安全功能模块的哪些接口是外部可见的;

i ) 捕述安全功能模块所有接口的用途和用法,适当时提供效果、例外情况和错误消息的细节

j) 把产品分为安全策略实施模块和其他模块来描述。

8.3.5 非形式化对应性证实

开发者应提供产品安全功能表示的所有相邻对之间的对应性分析

对于产品安全功能所表示的每个相邻对,分析应阐明,较为抽象的安全功能表示的所有相关安全功

能,应在较具体的安全功能表示中得到正确且完备的细化。

8.3.6 非形式化产品安全策略模型

开发者应提供安全策略模型,安全策略模型应满足以下要求:

a) 表示是非形式化的;

b) 描述所有能被模型化的安全策略的规则与特征;

)包含合理性,即论证该模型相对所有能被模型化的安全策略来说是一致的,而且是完备的;

d) 阐明安全策略模型和功能提范之间的对应性,即论证所有功能规范中的安全功能对于安全策

略模型来说是一致的,而且是完备的。

8.4 指导性文档

8.4.1 管理员指南

开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一歌。

管理员指南应说明以下内容:

a) 管理员可使用的管理功能和接口;

b) 怎样安全地管理产品;

c) 在安全处理环境中应被控制的功能和权限;

d) 所有对与产品的安全操作有关的用户行为的假设;

e) 所有受管理员控制的安全参数,如果可能,应指明安全值;

D    每一种与管理功能有关的安全相关事件,包括对安全功能所控制实体的安全特性进行的改变

g) 所有与管理员有关的IT 环境安全要求。

8.4.2 用户指南

开发者应提供用户指南,用户指南应与为评估需提供的其他所有文档保持一致、


用户指南应说明以下内容:

a)   产品的非管理员用户可使用的安全功能和接口

b)   产品提供给用户的安全功能和接口的使用方法

c)   用户可获取但应受安全处理环境所控制的所有功能和权限

d)   产品安全操作中用户所应承担的职责

e)     与用户有关的IT 环境的所有安全要求

8.5   生命周期支持

8.5.1   安全措施标识

开发者应提供开发安全文档,

开发安全文档应描述在产品的开发环境中,为保护产品设计和实现的保密性和完整性所必需的所 有物理的、程序的、人员的和其他方面的安全措施,并应提供在产品的开发和维护过程中执行安全措施

的证据。

8.5.2 开发者定义的生命周期模型

开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制,并提供生命周期定义文档

描述用于开发和维护产品的模型,

8.5.3 明确定义的开发工具

开发者应明确定义用于开发产品的工具,并提供开发工具文档无统义地定义实现中每个语句的含

义和所有依鞭于实现的选项的含义。

8.6 测试

8.6.1 测试覆盖

8.6.1.1 覆盖证据

开发者应提供测试覆盖的证据。

在测试要物证据中,应表明测试文档中所标识的测试与功能规范中所描达的产品的安全功能是对

应的。

8.6.1.2 覆盖分析

开发者应提供测试覆盖的分析结果。

满试覆监的分析结果应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能之闻 的对应性是完备的。

8.6.2 测试;高展设计

开发者应提供测试深度的分析。

度分新应证实测试文精中所标以的测试是以征实该产品的功能是依照其离层设计运行的。

8.6.3 功能测试

开发者应测试安全功能,将结果文档化并提供测试文梢。

测试文档应包括以下内容:


a)   测试计划,应标识要测试的安全功能,并描述测试的目标;

b)   测试过程,应标识要执行的测试,并描述每个安全功能的测试概况,这些概况应包括对于其他 测试结果的顺序依赖性;

c)   预期的测试结果,应表明测试成功后的预期输出;

d)     实际测试结果,应表明每个被测试的安全功能能按照规定进行运作

8.6.4 独立测试

8.6.4.1 一致性

开发者应提供适合测试的产品,提供的测试集合应与其自测产品功能时使用的测试集合相一致。

8.6.4.2 抽样

开发者应提供一组相当的资源,用于安全功能的抽样测试。

8.7   脆弱性评定

8.7.1 误用

8.7,1.1 指南审查

开发者应提供指导性文档,指导性文档应满足以下要求:

a) 标识所有可能的产品运行模式(包括失败或操作失误后的运行)、它们的后果以及对于保持安

全运行的意义;

b) 是完备的、清晰的、 一致的、合理的;

c) 列出关于预期使用环境的所有假设;

d)    列出对外部安全措施(包括外部程序的、物理的或人员的控制)的所有要求

8.7.1.2 分析确认

开发者应提供分析文档论证指导性文档是完备的。

8.7.2 产品安金功能强度评估

开发者应对指导性文档中所标识的每个具有安全功能强度声明的安全机制进行安全功能强度分

析,并说明安全机制达到或超过定义的最低强度级别或特定功能强度度量。

8.7.3 脆羁性分析

8.7.3,1 开发者脆弱性分析

开发者应执行脆弱性分析,并提供脆弱性分析文档。

开发者应从用户可能破坏安全策略的明显途径出发,对产品的各种功能进行分析并提供文档。对 被确定的腕弱性,开发者应明确记录采取的措施。

别每一条能弱性,应有证据显示在使用产品的环境中,该胞弱性不能被利用。

8.7.3.2   独立的脆解性分析

开发者应提供文档证明经过标识院易性的产品可以插御明是的穿进性攻击。



8.7.3.3   中级抵抗力

开发者应提供文档证明产品可以抵御中级强度的穿进性攻击,并提供证据说明对跳弱性的搜素是 系统化的,


9   技术要求基本原理


9.1   安全功能要求基本原理

表6说明了安全功能要求的充分必要性的基本原理,即每个产品安全目的都至少有一个安全功能 要求与其对应,每个安全功能要求都至少解决了一个产品安全目的,因此安全功能要求是充分和必要 的、表6中的“ ”即表明对应关系。

6 安全功能要求基本原理



项    目

管疆权限

数据删除

都定春情

安全管差

审计



擦除功能

常炭擦除






扩展擦除






审计功能

日志记录






日志管理





安全管理功能

用户基别





用户分级






蔓别失败处理





律定性和容罐性








9.2 安全保证要求基本原理

安全保证要求参照了GB/T   18336.3-2008中的相关要求。


10   等级划分


10.1 概述

按照数据销毁软件产品的安全功能要求强度,将数据销毁软件产品安全功能要求划分成基本级和

增强级;安全保证要求基本级参照了EAL2 级安全保证要求,增强级在 EALA 级安全保证要求的基础

上,将脆弱性分析要求提升到可以抵御中等攻击潜力的攻击者发起的政击。

10.2 安全功能要求等级划分

数据销毁软件产品的安全功能要求等级划分如表7所示,


7 数据销败软件产品安全功能要求等级划分



安全功能要求

基本级

增强级
















擦除功能













常规擦脸

擦除文件

7.1.1.1

7.1.1.1



擦除目录

7.1.1.2

7.1.1.2



擦除敬盘分区中内容

7.1.1.3

7.1.1.3



擦除磁盘分区未使用的空间

7.1.1.4

7.1.1.4



擦除文件间脉


7.1.1.5



擦除整块磁盘

7.1.1.6

7.1.1.6



擦除临时文件

7.1.1.7

7.1.1.1



擦除已剥除文件

7.1.1.8

7.1.1.8



文件搜素练脉


7.1.1.9



擦除文件和目录痰迹

7.1.1.10

7.1.1.10



多种擦除方法支排

7.1.1.11

7.1.1.11



自定义擦除方法


7.1.1.12



擦除时机设置

7.1.1.13

7.1.1.13



擦除任务管理

7.1.1.14

7.1.1.14



擦除操作确认

7.1.1.15

7.1.1.15



支持的操作系烧和分区格式

7.1.1.16

7.1.1.16


扩展接脸


7.1.2



审计功能

日志记录

7.2.1

7.2.1



日志管理


7.2.2



安全管理 功能

用户鉴别

7.3.1

7.3.1



用户分级


7.3.2



鉴别失败处理


7.3.3


橡定性和将错性

7.4

7.4





10.3 安全保证要求等级划分

数据销毁软件产品的安全保证要求等级划分如表8所示


8 数据销毁软件产品安全保证要求等级划分



安全保证要求

基本级

地强级






配置管

部分配置管理自动化


8.1.1




配量管理 能力

版本号

8.1.2.1

8.1.2.1



配置项

8.1.2.2

8.1.2.2



授权控制


8.1.2.3



产生支持和接受程序


8,1.2.4


配置管理 范围

配量管理覆盐


8.1.3.1



问题展踪配置管理覆整


8.1.3.2


交付与运行

交付程序

8.2.1

8.2.1



修改检测


8.2.2



安装、生成和启动程序

8.2.3

8.2.3






开发

功能规范

非形式化功能规范

8.3.1.1

8.3.1.1



充分定义的外部接口


8.3.1.Z


高层设计

描述性高展设计

8.3.2.1

8.3.2.1



安全加强的高层设计


8.3.2.2


安全功能实现的子集


8.3.3



推述性低屋设计


8.3.4



非形式化对应性证实

8.3.5

8.3.5



节形式化产品安全策略模型


8.3.6


指导性文档

管理员指南

8.4.1

8.4.1



用户指南

8.4.2

8.4.2


生命周期 支持

安全措旅标识


8,5.1



开发者定义的生命周期模型


8.5.2



明确定又的开发工具


8.5.3





测试

测试覆蓝

覆整证据

8.6.1.1

8.6.1.1



覆盖分新


8.6.1.2


测试:离层设计


8.6.2



功能测试

8.6.3

8.6.3



独立测试

一致性

8.6.4,1

8.6.4.1



抽样

8.6.4.2

8.6.4.2




弱性评定

课用

指南审查


8.7.1.1



分析确认


8.7.1.2


产品安全功能强度评估

8.7.2

8.7.2




监弱性分析

开发者膜养性分析

8.7.3.1

8.7.3.1



独立的脆群性分析


8.7.3.2



中级抵抗力


8.7.3.3





2 次查看0 則留言