信息安全技术 终端计算机通用安全技术规范修订研究报告.docxVIP

信息安全技术终端计算机通用安全技术规范修订研究报告

ResearchReportontheRevisionofGeneralSecurityTechnicalSpecificationsforTerminalComputersinInformationSecurityTechnology

摘要

随着信息技术的飞速发展和网络安全威胁的日益复杂化，终端计算机作为信息系统中数量最庞大、分布最广泛的设备，其安全防护已成为网络安全体系中的关键环节。本报告基于GB/T29240—2012《信息安全技术终端计算机通用安全技术要求与测试评价方法》的修订需求，深入分析了当前终端计算机面临的安全挑战和技术发展趋势。研究内容涵盖标准修订的背景意义、适用范围、主要技术内容调整以及预期实施效果。通过对硬件接口安全、固件安全、可信计算等14项安全功能要求的系统性重构，将原有的5级安全等级调整为更符合实际应用需求的3级体系，并同步更新了测试评价方法。本标准的修订将有效提升终端计算机的安全防护能力，为网络安全等级保护制度的实施提供技术支撑，对构建安全可信的网络空间环境具有重要战略意义。

关键词：终端计算机安全；安全技术规范；等级保护；可信计算；安全测评

Keywords:TerminalComputerSecurity;SecurityTechnicalSpecification;ClassifiedProtection;TrustedComputing;SecurityEvaluation

正文

1修订背景与意义

终端计算机作为信息网络系统中数量最庞大、分布最广泛的计算设备，是信息系统安全防御体系中最薄弱、最困难的环节。据统计，超过70%的安全事件源于终端设备的安全漏洞或配置不当。在当前数字化转型加速推进的背景下，终端设备承载的业务数据价值不断提升，安全防护需求日益迫切。

GB/T29240—2012《信息安全技术终端计算机通用安全技术要求与测试评价方法》自发布实施以来，为终端计算机的安全防护提供了重要技术依据。该标准参考了GB17859-1999、GB/T22239-2008、GB/T20272-2006、GB/T18336-2001等基础性安全标准，结合可信计算技术，从安全功能要求、安全子系统自身安全保护、安全子系统设计与实现、安全子系统管理4个维度提出了5个等级的终端计算机安全技术要求，并给出了相应的测试评价方法。

然而，随着信息技术的发展演进，该标准主要参考的GB/T22239、GB/T20272和GB/T18336等基础标准均已完成了重要修订。同时，国内外对可信计算技术的研究不断深入，零信任架构、主动防御等新型安全理念逐渐成熟，业界对终端计算机的安全保护需求也不断提高。在此背景下，迫切需要对GB/T29240进行系统性修订，以适应新技术环境下的安全防护需求。

全国信息安全标准化技术委员会秘书处于2022年3月发布的《关于发布2022年度网络安全国家标准需求的通知》（信安秘字【2022】47号），将本标准的修订工作列入了2022年度的修订计划。因此，GB/T29240—2012的第一起草单位公安部第三研究所（公安部计算机信息系统安全产品质量监督检验中心），以及GB/T29240—2012的第一起草人邱梓华，积极联合国内主流的终端计算机安全防护厂商，申请组织修订该标准。

2范围与主要技术内容

本项目为对GB/T29240—2012《信息安全技术终端计算机通用安全技术要求与测试评价方法》的全面修订。原标准与GB/T21028—2007《信息安全技术服务器安全技术要求》、GB/T25063—2010《信息安全技术服务器安全测评要求》共同构成了等级保护制度中计算环境安全的重要技术支撑，分别从终端计算机和服务器两个角度提出了产品相关的安全技术要求。

值得注意的是，服务器相关标准已于2020年完成修订，形成GB/T39680-2020《信息安全技术服务器安全技术要求和测评准则》，实现了技术要求的现代化更新。相比之下，终端计算机标准已发布10年，在技术适应性和实际应用性方面均存在明显不足，这也是标准在这些年未能得到广泛应用的重要原因。

本次修订基于终端计算机面临的新型安全威胁，包括设备被盗和丢失、主机保护失效、隐私数据泄露、非法访问、终端滥用、恶意软件攻击、网络攻击和漏洞利用等，从硬件、固件、操作系统、应用软件4个层面，系统设计了14项安全功能要求，具体包括：硬件接口安全、固件安全、身份标识与鉴别、访问控制、安全审计、运行时防护、安全性分析、数据传输保护、数据存储保护、备份和恢复、密码支持、集中管理、可信度量、基线配置检测。

3主要修订内容

3.1安全等