ICS 35. 240 L70/84 团 体 标 准 T/Z1S1A02-2024 自主创新型网络安全技术 安全可信启动设计要求 Autonomous and innovative cybersecurity technology Design requirements for secure and trusted booting 2024-06-05发布 2024-06-05实施 中关村网络安全与信息化产业联盟发布
T/Z1S1A 22024 目次 前言 引言. II 1范围.... 2规范性引用文件 3术语和定义, 4符号和缩略语 5安全可信启动设计原则 6安全可信启动保护对象 7硬件设计要求, 7.1硬件资源隔离, 7.2安全启动芯片.
7.3安全存储... 7.4安全通讯机制. 8软件设计要求. 8.1软件启动流程设计要求 8.2安全可信启动验签要求 8.3安全固件更新设计要求, 8.4安全启动配置.. 8.5安全日志记录, 8.6安全更新机制 8.7安全权限控制.
T/Z1S1A22024 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规 则》的规定起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中关村网络安全与信息化产业联盟提出并归口.
本文件起草单位:飞腾信息技术有限公司、奇安信科技集团股份有限公司、中关村网络 安全与信息化产业联盟、中电(海南)联合创新研究院有限公司、北京源堡科技有限公司、 麒麟软件有限公司、昆仑太科(北京)技术股份有限公司、杭州吉利汽车数字科技有限公司、 东莞理工学院、武汉大学、北京乐达智联科技有限公司.
本文件主要起草人:陈才、罗洪毅、杨有桂、毛庆梅、任燕、王震、陈华平、袁华强、 陈晶、杜君、张大朋、陈晓峰、常凯翔、杨伟萍、王长帅、王海洋、魏宁、于晴、邹冬、陈 小春、肖志坤、戴庆、章正柱、乔思远、汪列军、白敏.
T/Z1S1A 22024 引言 随着数字化时代的深入发展,信息安全与信任成为了企业发展中至关重要的因素.
安全 可信启动标准旨在为组织提供一套系统化的指导原则,为服务器、终端、嵌入式产品等整机 厂商提供了实践性、可操作性的指导,帮助其建立和维护安全可信的业务环境,从面满足当 前数字化环境下的安全可信需求.
本标准是对T/ZISIA01-2024《自主创新型网络安全技术框架》标准中关于安全可信启 动相关要求的细化:本标准对T/ZISIA03-2024《自主创新型网络安全技术计算基础环境安 支撑,从面构成自主创新型网络可信计算体系.
我们期待本标准能够成为组织在构建安全可信业务环境中的重要参考,为推动产业发展 和数字化进程做出积极贡献.
I
T/Z1S1A 22024 自主创新型网络安全技术安全可信启动设计要求 1范围 本文件给出了安全可信启动设计原则、安全可信启动保护对象、硬件设计要求、软件设 计要求.
本文件适用于指导整机厂商进行计算机系统(包括服务器、终端、嵌入式产品等)的安 全可信启动的设计.
2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.
其中,凡是注 日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包 括的修改版)适用于本文件.
GM/T0008-2012安全芯片密码检测标准 GB/T40650-2021信息安全技术可信计算规范可信平台控制模块 GB/T37935-2019信息安全技术可信计算规范可信软件基 GB/T25069-2022信息安全技术术语 GM/T0002SM4分组密码算法 GM/T0003SM2椭圆曲线公钥密码算法 GM/T0004SM3密码杂凑算法 GM/T0005随机性检测规范 T/ZISIA01-2024自主创新型网络安全技术框架 T/ZISIA03-2024自主创新型网络安全技术计算基础环境安全要求 T/ZISIA04-2024自主创新型网络安全技术可信计算技术要求 3术语和定义 GB/T25069界定的术语和定义以及下列术语和定义适用于本文件: 3. 1 固件firmware 固化到计算机中的非易失性存储器中的一组程序或软件,为计算机提供最基本的硬件初 始化,还可能向上层软件提供底层硬件的访问接口或服务.
3. 2 信任链trustchain 数字证书链,指从根证书开始,通过层层信任,使持有终端实体证书的人可以获得委托 信任,以证明身份.
3. 3 基本输入输出系统basicinput/outputsystem 是计算机中的一种固件,是操作系统和计算机平台硬件之间连接的一个桥梁,负责计算 机开机时的硬件检测、设备初始化、操作系统引导并向操作系统提供服务接口.
3. 4 安全可信启动 secure and trusted booting 计算机启动时,启动过程中的每个组件都必须通过数字签名进行验证,以确保它们是由 受信任的发行方发布的,并且没有被纂改或替换.
3. 5 缓存cache 缓存是一种临时存储设备或存储器,用于存储临时性数据,以便加快数据访问速度.
缓 存通常位于CPU和主存之间,用于存储频繁访问的数据或指令,以便提高数据的访问速度和 系统性能.