标准解读

《GA/T 1138-2014 信息安全技术 主机资源访问控制产品安全技术要求》这一标准,由中华人民共和国公安部发布,旨在为主机资源访问控制产品的设计、实施与评估提供一套统一的安全技术规范。该标准详细规定了此类产品应满足的安全功能要求、安全保证要求以及测试评价方法,以确保信息系统中的主机资源能够得到有效保护,防止未经授权的访问和操作。

标准内容概览如下:

  1. 范围:明确了标准适用的产品类型,即用于实现对主机系统资源(如文件、进程、网络连接等)访问控制的软件或硬件产品。

  2. 规范性引用文件:列出了实施本标准时需要参考的其他国家标准或行业标准文档。

  3. 术语和定义:对关键术语进行了界定,帮助读者准确理解标准内容,如“主体”、“客体”、“访问控制策略”等。

  4. 安全功能要求

    • 身份鉴别与认证:要求产品能对访问主体进行有效验证,确保其身份的真实性和合法性。
    • 访问控制策略管理:需支持灵活配置和管理访问控制规则,确保主体按权限访问相应客体。
    • 审计功能:记录并报告所有重要的访问及系统管理活动,以便事后审查和追踪。
    • 资源隔离与保护:确保不同安全等级的资源间有有效的隔离措施,防止权限扩散。
    • 安全标记与强制控制:对于需要更高安全级别的环境,应支持基于安全标签的强制访问控制。

  5. 安全保证要求

    • 安全性设计与实现:要求产品在设计和开发阶段就融入安全考量,遵循安全开发生命周期(SDLC)原则。
    • 安全性测试与评估:产品上市前应通过一系列安全性测试,包括渗透测试、脆弱性评估等,确保达到既定安全水平。
    • 文档与用户指南:提供详尽的安全功能说明、配置指南及用户教育材料,帮助用户正确部署和使用。

  6. 测评要求与方法:为第三方测评机构提供了具体的测试指标和评估流程,确保产品符合标准的各项要求。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2014-03-10 颁布
  • 2014-03-10 实施
©正版授权
GA/T 1138-2014信息安全技术主机资源访问控制产品安全技术要求_第1页
GA/T 1138-2014信息安全技术主机资源访问控制产品安全技术要求_第2页
GA/T 1138-2014信息安全技术主机资源访问控制产品安全技术要求_第3页
GA/T 1138-2014信息安全技术主机资源访问控制产品安全技术要求_第4页
GA/T 1138-2014信息安全技术主机资源访问控制产品安全技术要求_第5页
已阅读5页,还剩19页未读 继续免费阅读

下载本文档

免费下载试读页

文档简介

ICS35240

A90.

中华人民共和国公共安全行业标准

GA/T1138—2014

信息安全技术

主机资源访问控制产品安全技术要求

Informationsecuritytechnology—

Securitytechnicalrequirementsforaccesscontrolproductsofhostresources

2014-03-10发布2014-03-10实施

中华人民共和国公安部发布

GA/T1138—2014

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

主机资源访问控制产品描述

4……………1

安全环境

5…………………2

假设

5.1…………………2

威胁

5.2…………………2

组织安全策略

5.3………………………3

安全目的

6…………………3

产品安全目的

6.1………………………3

环境安全目的

6.2………………………4

安全功能要求

7……………4

访问控制所覆盖的主机资源

7.1………………………4

主机资源管理

7.2………………………4

访问控制策略

7.3………………………4

访问控制

7.4……………4

访问限制能力

7.5………………………5

访问控制策略下发

7.6…………………5

访问控制策略不可旁路

7.7……………5

用户认证管理

7.8………………………5

安全管理

7.9……………6

自身保护功能

7.10………………………6

远程传输安全

7.11………………………7

审计功能

7.12……………7

安全保证要求

8……………7

配置管理

8.1……………7

交付与运行

8.2…………………………8

开发

8.3…………………8

指导性文档

8.4…………………………10

生命周期支持

8.5………………………10

测试

8.6…………………11

脆弱性评定

8.7…………………………12

技术要求基本原理

9………………………12

安全功能要求基本原理

9.1……………12

GA/T1138—2014

安全保证要求基本原理

9.2……………14

等级划分要求

10…………………………14

概述

10.1………………14

安全功能要求等级划分

10.2…………14

安全保证要求等级划分

10.3…………15

GA/T1138—2014

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由公安部网络安全保卫局提出

本标准由公安部信息系统安全标准化技术委员会归口

本标准起草单位公安部计算机信息系统安全产品质量监督检验中心浙江万赛软件科技有限公

:、

司公安部第三研究所

、。

本标准主要起草人宋好好沈亮俞优胡维娜顾健顾玮张笑笑赵永亮

:、、、、、、、。

GA/T1138—2014

引言

本标准详细描述了与主机资源访问控制产品安全环境相关的假设威胁和组织安全策略定义了主

、,

机资源访问控制产品及其支撑环境的安全目的通过基本原理论证安全功能要求能够追溯并覆盖产品

,

安全目的安全目的能够追溯并覆盖安全环境相关的假设威胁和组织安全策略

,、。

本标准基本级参照了中规定的级安全保证要求增强级在级

GB/T18336.3—2008EAL2,EAL4

安全保证要求的基础上将脆弱性分析要求提升到可以抵御中等攻击潜力的攻击者发起的攻击

,。

本标准仅给出了主机资源访问控制产品应满足的安全技术要求但对主机资源访问控制产品的具

,

体技术实现方式方法等不做要求

、。

GA/T1138—2014

信息安全技术

主机资源访问控制产品安全技术要求

1范围

本标准规定了主机资源访问控制产品的安全功能要求安全保证要求及等级划分要求

、。

本标准适用于主机资源访问控制产品的设计开发及检测

、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

计算机信息系统安全保护等级划分准则

GB17859—1999

所有部分信息技术安全技术信息技术安全性评估准则

GB/T18336—2008()

信息安全技术术语

GB/T25069—2010

3术语和定义

所有部分和界定的术语和定义适用于

GB17859—1999、GB/T18336—2008()GB/T25069—2010

本文件

4主机资源访问控制产品描述

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论