标准解读
GB/T 20274.2-2008是中国关于信息安全技术领域的一个重要标准,专注于信息系统安全保障评估框架的技术保障部分。该标准是系列标准中的第二部分,旨在为组织和机构提供一个全面的技术指导框架,以确保信息系统的安全性和稳定性。
标准背景
在信息化快速发展的背景下,信息系统的安全成为维护国家安全、社会稳定和企业运营的关键因素。GB/T 20274系列标准正是在此需求下应运而生,旨在构建一个系统化、规范化的信息安全保障体系评估方法。
主要内容
1. 安全保障评估概念
标准首先明确了信息系统安全保障评估的定义、目标和原则,强调了评估过程需要综合考虑风险管理、政策法规遵从性、技术和管理措施的整合应用。
2. 技术保障范围
详细阐述了技术保障的范畴,包括但不限于网络安全、数据保护、访问控制、恶意软件防御、系统安全配置、安全审计与监控、备份与恢复等方面。这些技术措施是实现信息系统安全的基础。
3. 评估模型与方法
提出了技术保障评估的模型和实施方法,指导如何从技术层面识别、分析和评价信息系统的安全风险及防护能力。评估过程涉及识别威胁、脆弱性,评估现有安全控制的有效性,并提出改进建议。
4. 技术保障能力要求
具体说明了信息系统在不同技术领域应达到的安全保障能力要求,如要求网络设备需具备基本的防火墙功能,数据传输应加密,系统应有定期更新和补丁管理机制等,确保技术措施能够有效应对各类安全威胁。
5. 实施指南
提供了实施技术保障评估的具体步骤和指导,包括准备阶段、实施评估、报告与改进等环节。强调了评估过程中文档记录、持续监控和周期性复审的重要性。
应用意义
该标准为企业和组织建立和完善信息安全管理体系提供了权威的技术参考,帮助其识别和弥补安全漏洞,提高信息系统抵御内外部安全威胁的能力。通过遵循此标准,可以促进信息安全管理的规范化、标准化,增强信息资产保护,支持业务连续性和可持续发展。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 现行
- 正在执行有效
- 2008-07-18 颁布
- 2008-12-01 实施
文档简介
犐犆犛35.040
犔80
中华人民共和国国家标准
犌犅/犜20274.2—2008
信息安全技术
信息系统安全保障评估框架
第2部分:技术保障
犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—
犈狏犪犾狌犪狋犻狅狀犳狉犪犿犲狑狅狉犽犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊狊犲犮狌狉犻狋狔犪狊狊狌狉犪狀犮犲—
犘犪狉狋2:犜犲犮犺狀犻犮犪犾犪狊狊狌狉犪狀犮犲
20080718发布20081201实施
中华人民共和国国家质量监督检验检疫总局
发布
中国国家标准化管理委员会
书
中华人民共和国
国家标准
信息安全技术
信息系统安全保障评估框架
第2部分:技术保障
GB/T20274.2—2008
中国标准出版社出版发行
北京复兴门外三里河北街16号
邮政编码:100045
网址www.spc.net.cn
电话:6852394668517548
中国标准出版社秦皇岛印刷厂印刷
各地新华书店经销
开本880×12301/16印张6.25字数184千字
2008年11月第一版2008年11月第一次印刷
书号:155066·134998
如有印装差错由本社发行中心调换
版权专有侵权必究
举报电话:(010)68533533
书
犌犅/犜20274.2—2008
目次
前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅴ
1范围!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
2规范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
3术语和定义!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
4本部分的结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
5信息安全技术保障!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
5.1安全技术保障概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
5.2安全技术体系架构能力级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
5.3安全技术保障控制要求范例!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
6信息安全技术保障控制结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5
6.1综述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5
6.2组件分类!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9
7FAU类:安全审计!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10
7.1安全审计自动响应(FAU_ARP)!!!!!!!!!!!!!!!!!!!!!!!!!!11
7.2安全审计数据产生(FAU_GEN)!!!!!!!!!!!!!!!!!!!!!!!!!!11
7.3安全审计分析(FAU_SAA)!!!!!!!!!!!!!!!!!!!!!!!!!!!!12
7.4安全审计查阅(FAU_SAR)!!!!!!!!!!!!!!!!!!!!!!!!!!!!14
7.5安全审计事件选择(FAU_SEL)!!!!!!!!!!!!!!!!!!!!!!!!!!15
7.6安全审计事件存储(FAU_STG)!!!!!!!!!!!!!!!!!!!!!!!!!!15
8FCO类:通信!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17
8.1原发抗抵赖(FCO_NRO)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17
8.2接收抗抵赖(FCO_NRR)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18
9FCS类:密码支持!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19
9.1密钥管理(FCS_CKM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20
9.2密码运算(FCS_COP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21
10FDP类:用户数据保护!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22
10.1访问控制策略(FDP_ACC)!!!!!!!!!!!!!!!!!!!!!!!!!!!!24
10.2访问控制功能(FDP_ACF)!!!!!!!!!!!!!!!!!!!!!!!!!!!!24
10.3数据鉴别(FDP_DAU)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25
10.4输出到TSF控制之外(FDP_ETC)!!!!!!!!!!!!!!!!!!!!!!!!26
10.5信息流控制策略(FDP_IFC)!!!!!!!!!!!!!!!!!!!!!!!!!!!27
10.6信息流控制功能(FDP_IFF)!!!!!!!!!!!!!!!!!!!!!!!!!!!28
10.7从TSF控制之外输入(FDP_ITC)!!!!!!!!!!!!!!!!!!!!!!!!30
10.8TOE内部传输(FDP_ITT)!!!!!!!!!!!!!!!!!!!!!!!!!!!32
10.9残余信息保护(FDP_RIP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!33
10.10反转(FDP_ROL)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34
10.11存储数据的完整性(FDP_SDI)!!!!!!!!!!!!!!!!!!!!!!!!!35
10.12TSF间用户数据传输的保密性保护(FDP_UCT)!!!!!!!!!!!!!!!!!!35
Ⅰ
书
犌犅/犜20274.2—2008
10.13TSF间用户数据传输的完整性保护(FDP_UIT)!!!!!!!!!!!!!!!!!!36
11FIA类:标识和鉴别!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38
11.1鉴别失败(FIA_AFL)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!39
11.2用户属性定义(FIA_ATD)!!!!!!!!!!!!!!!!!!!!!!!!!!!!39
11.3秘密的规范(FIA_SOS)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40
11.4用户鉴别(FIA_UAU)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40
11.5用户标识(FIA_UID)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!43
11.6用户_主体绑定(FIA_USB)!!!!!!!!!!!!!!!!!!!!!!!!!!!44
12FMT类:安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44
12.1TSF中功能的管理(FMT_MOF)!!!!!!!!!!!!!!!!!!!!!!!!!45
12.2安全属性的管理(FMT_MSA)!!!!!!!!!!!!!!!!!!!!!!!!!!46
12.3TSF数据的管理(FMT_MTD)!!!!!!!!!!!!!!!!!!!!!!!!!!47
12.4撤消(FMT_REV)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!48
12.5安全属性到期(FMT_SAE)!!!!!!!!!!!!!!!!!!!!!!!!!!!49
12.6安全管理角色(FMT_SMR)!!!!!!!!!!!!!!!!!!!!!!!!!!!50
13FPR类:隐秘!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!51
13.1匿名(FPR_ANO)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!51
13.2假名(FPR_PSE)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!52
13.3不可关联性(FPR_UNL)!!!!!!!!!!!!!!!!!!!!!!!!!!!!53
13.4不可观察性(FPR_UNO)!!!!!!!!!!!!!!!!!!!!!!!!!!!!54
14FPT类:TSF保护!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!55
14.1根本抽象机测试(FPT_AMT)!!!!!!!!!!!!!!!!!!!!!!!!!!57
14.2失败保护(FPT_FLS)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!57
14.3输出TSF数据的可用性(FPT_ITA)!!!!!!!!!!!!!!!!!!!!!!!57
14.4输出TSF数据的保密性(FPT_ITC)!!!!!!!!!!!!!!!!!!!!!!!58
14.5输出TSF数据的完整性(FPT_ITI)!!!!!!!!!!!!!!!!!!!!!!!!58
14.6TOE内TSF数据的传输(FPT_ITT)!!!!!!!!!!!!!!!!!!!!!!!59
14.7TSF物理保护(FPT_PHP)!!!!!!!!!!!!!!!!!!!!!!!!!!!61
14.8可信恢复(FPT_RCV)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!62
14.9重放检测(FPT_RPL)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!64
14.10参照仲裁(FPT_RVM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!64
14.11域分离(FPT_SEP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!65
14.12状态同步协议(FPT_SSP)!!!!!!!!!!!!!!!!!!!!!!!!!!!66
14.13时间戳(FPT_STM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!67
14.14TSF间TSF数据的一致性(FPT_TDC)!!!!!!!!!!!!!!!!!!!!!67
14.15TOE内TSF数据复制的一致性(FPT_TRC)!!!!!!!!!!!!!!!!!!!68
14.16TSF自检(FPT_TST)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!68
15FRU类:资源利用!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!69
15.1容错(FRU_FLT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!70
15.2服务优先级(FRU_PRS)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!70
15.3资源分配(FRU_RSA)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!71
16FTA类:TOE访问!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!72
16.1可选属性范围限定(FTA_LSA)!!!!!!!!!!!!!!!!!!!!!!!!!72
Ⅱ
犌犅/犜20274.2—2008
16.2多重并发会话限定(FTA_MCS)!!!!!!!!!!!!!!!!!!!!!!!!!73
16.3会话锁定(FTA_SSL)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!74
16.4TOE访问旗标!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!75
16.5TOE访问历史(FTA_TAH)!!!!!!!!!!!!!!!!!!!!!!!!!!!76
16.6TOE会话建立(FTA_TSE)!!!!!!!!!!!!!!!!!!!!!!!!!!!76
17TP类:可信路径/信道!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!77
17.1TSF间可信信道(FTP_ITC)!!!!!!!!!!!!!!!!!!!!!!!!!!!77
17.2可信路径(FTP_TRP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!78
18安全技术架构能力成熟度级!!!!!!!!!!!!!!!!!!!!!!!!!!!!78
18.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!78
18.2安全技术架构能力成熟度级说明!!!!!!!!!!!!!!!!!!!!!!!!!79
附录A(资料性附录)安全技术要求应用注释!!!!!!!!!!!!!!!!!!!!!!81
A.1注释的结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!81
A.1.1类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!81
A.1.2子类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!81
A.1.3组件结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!82
A.2依赖关系表!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!82
附录B(资料性附录)分层多点信息系统安全体系结构!!!!!!!!!!!!!!!!!!89
B.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!89
B.2信息技术系统TOE的分析模型!!!!!!!!!!!!!!!!!!!!!!!!!!89
B.3分层多点安全技术体系架构介绍!!!!!!!!!!!!!!!!!!!!!!!!!90
参考文献!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!92
图1安全技术保障控制要求范例(单个TOE)!!!!!!!!!!!!!!!!!!!!!!2
图2分布式TOE内的安全功能图!!!!!!!!!!!!!!!!!!!!!!!!!!!3
图3用户数据和TSF数据的关系!!!!!!!!!!!!!!!!!!!!!!!!!!!5
图4“鉴别数据”和“秘密”的关系!!!!!!!!!!!!!!!!!!!!!!!!!!!!5
图5安全技术保障控制类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6
图6安全技术保障控制子类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!6
图7安全技术保障控制组件结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!7
图8示范类分解图!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9
图9安全审计类分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10
图10通信类分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17
图11密码支持类分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19
图12用户数据保护类分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23
图13标识和鉴别类分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38
图14安全管理类分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!45
图15隐秘类分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!51
图16TSF保护类分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!56
图17资源利用类分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!69
图18TOE访问类分解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!72
图19可信路径/信道类分解图!!!!!!!!!!!!!!!!!!!!!!!!!!!!77
Ⅲ
犌犅/犜20274.2—2008
图A.1安全技术保障控制类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!81
图A.2安全技术保障控制子类结构!!!!!!!!!!!!!!!!!!!!!!!!!!81
图A.3安全技术保障控制组件结构!!!!!!!!!!!!!!!!!!!!!!!!!!82
图B.1信息技术系统分析模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!90
图B.2分层多点安全技术体系结构!!!!!!!!!!!!!!!!!!!!!!!!!!91
表A.1安全技术保障控制组件依赖关系表!!!!!!!!!!!!!!!!!!!!!!!83
Ⅳ
犌犅/犜20274.2—2008
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
评论
0/150
提交评论