标准解读

《GA/T 711-2007 信息安全技术 应用软件系统安全等级保护通用技术指南》是由中国公安部发布的关于应用软件系统安全保护的技术规范。这份标准旨在为各类组织和机构提供一个统一的应用软件安全保护框架,确保信息系统的安全性符合国家等级保护的要求。下面是对该标准主要内容的说明:

  1. 适用范围:标准适用于指导各类应用软件系统的安全设计、实施、运维及评估工作,明确了不同安全保护等级下应采取的技术措施和管理要求。

  2. 安全等级划分:依据信息系统的受保护程度和重要性,将应用软件系统安全等级划分为五级,从第一级(基本保护)到第五级(专控保护),级别越高,安全保护要求越严格。

  3. 安全技术要求:针对每一安全等级,详细规定了应实施的安全控制点和技术措施,包括但不限于身份认证、访问控制、数据加密、安全审计、入侵防范、恶意代码防护等方面,确保系统的完整性、保密性和可用性。

  4. 安全管理要求:强调了安全管理在保障软件安全中的重要作用,包括安全策略、管理制度、人员安全管理、系统建设管理、系统运维管理等方面的具体要求,确保有组织、有计划地进行安全管理工作。

  5. 安全测评与持续改进:提出了对应用软件系统进行定期安全测评的方法和流程,要求根据测评结果进行必要的安全整改和优化,实现安全保护能力的持续提升。

  6. 技术选择与实施指南:为不同类型的软件系统提供了安全技术选择的参考和实施指南,帮助开发者和管理者根据实际需求合理选择和部署安全技术措施。

  7. 合规性与适应性:强调了遵循国家法律法规及相关标准的重要性,同时要求技术措施和管理策略要具有一定的灵活性和可扩展性,以适应未来技术和威胁环境的变化。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 废止
  • 已被废除、停止使用,并不再更新
  • 2007-08-13 颁布
  • 2007-10-01 实施
©正版授权
GA/T 711-2007信息安全技术应用软件系统安全等级保护通用技术指南_第1页
GA/T 711-2007信息安全技术应用软件系统安全等级保护通用技术指南_第2页
GA/T 711-2007信息安全技术应用软件系统安全等级保护通用技术指南_第3页
GA/T 711-2007信息安全技术应用软件系统安全等级保护通用技术指南_第4页
GA/T 711-2007信息安全技术应用软件系统安全等级保护通用技术指南_第5页
已阅读5页,还剩35页未读 继续免费阅读

下载本文档

免费下载试读页

文档简介

犐犆犛35.020

犔09

中华人民共和国公共安全行业标准

犌犃/犜711—2007

信息安全技术

应用软件系统安全等级保护通用技术指南

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犆狅犿犿狅狀狋犲犮犺狀犻狇狌犲犵狌犻犱犲狅犳狊犲犮狌狉犻狋狔犮犾犪狊狊犻犳犻犮犪狋犻狅狀狆狉狅狋犲犮狋犻狅狀犳狅狉

犪狆狆犾犻犮犪狋犻狅狀狊狅犳狋狑犪狉犲狊狔狊狋犲犿

20070813发布20071001实施

中华人民共和国公安部发布

犌犃/犜711—2007

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

1范围!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2规范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3术语、定义和缩略语!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4应用软件系统基础安全技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!3

4.1应用软件系统风险分析和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!3

4.2应用软件系统安全方案!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

4.3应用软件系统环境安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

4.4应用软件系统业务连续性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

4.5应用软件系统及相应信息系统安全等级划分!!!!!!!!!!!!!!!!!!!!!4

5应用软件系统安全技术分等级要求!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.1第一级用户自主保护级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.1.1基础安全技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.1.2安全功能技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.1.3SSOASS自身保护要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.1.4SSOASS设计和实现!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.1.5SSOASS安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

5.2第二级系统审计保护级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.2.1基础安全技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.2.2安全功能技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.2.3SSOASS自身保护!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

5.2.4SSOASS设计和实现!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

5.2.5SSOASS安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.3第三级安全标记保护级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.3.1基础安全技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.3.2安全功能技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.3.3SSOASS自身保护!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

5.3.4SSOASS设计和实现!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

5.3.5SSOASS安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

5.4第四级结构化保护级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

5.4.1基础安全技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

5.4.2安全功能技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

5.4.3SSOASS自身保护!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

5.4.4SSOASS设计和实现!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

5.4.5SSOASS安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

5.5第五级访问验证保护级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

5.5.1基础安全技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

犌犃/犜711—2007

5.5.2安全功能技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

5.5.3SSOASS自身保护!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

5.5.4SSOASS设计和实现!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

5.5.5SSOASS安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

附录A(资料性附录)应用软件系统安全的有关概念说明!!!!!!!!!!!!!!!!!32

A.1应用软件系统在信息系统中的位置!!!!!!!!!!!!!!!!!!!!!!!!32

A.2应用软件系统安全在信息系统安全中的作用!!!!!!!!!!!!!!!!!!!!32

A.3关于应用软件系统的业务连续性!!!!!!!!!!!!!!!!!!!!!!!!!32

犌犃/犜711—2007

前言

本标准的附录A为资料性附录。

本标准由公安部信息系统安全标准化技术委员会提出并归口。

本标准起草单位:北京江南天安科技有限公司,北京思源新创信息安全资讯有限公司。

本标准主要起草人:吉增瑞、王志强、陈冠直、景乾元、宋健平。

犌犃/犜711—2007

引言

本标准为按照信息系统安全等级保护的要求设计和实现所需要的安全等级的应用软件系统提供指

导,主要说明为实现GB17859—1999所规定的每一个安全保护等级,应用软件系统应达到的安全技术

要求。

应用软件系统是信息系统的重要组成部分,是信息系统中对应用业务进行处理的软件的总和。业

务应用的安全需求,是信息系统安全需求的出发点和归宿。信息系统安全所采取的一切技术和管理措

施,最终都是为确保业务应用的安全。这些安全措施,有的可以在应用软件系统中实现,有的需要在信

息系统的其他组成部分实现。

本标准是对各个应用领域的应用软件系统普遍适用的安全技术要素的概括描述。不同应用领域的

应用软件系统应根据需要选取不同的安全技术要素,以满足其各自业务应用的具体安全需求。

本标准第4章,应用软件系统基础安全技术要求,是对应用软件系统的每一个安全等级都适用的基

础性安全技术要求的描述,包括:应用软件系统风险分析和安全需求,应用软件系统安全方案,应用软件

系统环境安全,应用软件系统业务连续性,以及应用软件系统与相应信息系统安全等级划分等。

本标准第5章,应用软件系统安全技术分等级要求,以GB17859—1999的五个安全等级的划分为

基本依据,以GB/T20271—2006关于信息系统通用安全技术要求的等级划分为基础,对每一个安全等

级的应用软件系统的安全技术要求进行描述,包括:基础安全技术要求,安全功能技术要求,以及为实现

上述安全技术要求应用软件系统安全子系统的自身保护、设计和实现及安全管理要求。其中,“加粗宋

体”表示在较高等级中比上一级增加或增强的内容。

犌犃/犜711—2007

信息安全技术

应用软件系统安全等级保护通用技术指南

1范围

本标准规定了按照GB17859—1999的五个安全保护等级的划分对应用软件系统进行安全等级保

护所涉及的通用技术要求。

本标准适用于按照GB17859—1999的五个安全保护等级的划分对应用软件系统进行的安全等级

保护的设计与实现。对于按照GB17859—1999的五个安全保护等级的划分对应用软件系统进行的安

全等级保护的测试、管理也可参照使用。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有

的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论