《信息安全技术 办公设备安全测试方法-编制说明》

一、工作简况

1.1任务来源

本项目为2012年的标准编制项目，名为“信息安全技术硬拷贝设备安全测

试评价方法”（以下简称《测评方法》），计划号为20130341-T-469。该标准

以《信息安全技术办公设备基本安全要求》（GB/T29244-2012）为基础，制定

了对办公设备安全要求进行测试评价的方法。

本项目由中国电子技术标准化研究院承担，参与单位包括西安电子科技大

学、国家办公设备与耗材质量监督检验中心、珠海天威飞马打印耗材有限公司、

方正科技集团股份有限公司、珠海赛纳打印科技股份有限公司、天津复印机技术

研究所、东莞市金翔电器设备有限公司、天津光电通信技术有限公司、河北汉光

重工有限责任公司等国内单位，以及中国惠普有限公司、佳能（中国）有限公司、

柯尼卡美能达（中国）投资有限公司、上海富士施乐有限公司、夏普办公设备（常

熟）有限公司、三星电子（山东）数码打印机有限公司、爱普生（中国）有限公

司等国外企业。

1.2主要工作过程

1.2013年2月，成立标准编制组

考虑到办公设备的产业现状，标准编制组广泛吸收了国内的研究机构、质检

机构、办公设备企业参与到标准研制工作，同时按照相关程序，接受了部分国外

企业作为观察成员，参与标准研制过程。

2.2013年3月，调研国内外办公设备安全标准现状

研究现有国内外办公设备安全相关标准，分析各自特点，学习借鉴，主要包

括：

《信息安全技术办公设备基本安全要求》（GB/T29244-2012）

《IEEEStandardforInformationTechnology:HardcopyDeviceandSystem

Security》（IEEE2600-2008）

《IEEEStandardforaProtectionProfileinOperationalEnvironment

A/B/C/D》（IEEE2600.1~4-2009）

GB/T18336.1～3-2015(ISO／IEC15408-1～3－2005)

《信息安全技术信息系统安全等级保护基本要求》（GB/T22239—2008）

《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）

1

3.2013年4月，调研国内办公设备安全测评需求与产业现状

2013年4月，与国内外办公设备厂商、国家办公设备与耗材质量监督检验中

心等代表进行研讨，并到个别厂商和政府机构实地调研情况，了解办公设备的安

全现状与测评需求。

4.2013年5月，召开标准启动会，确定标准范围和框架

2013年5月编制组召开标准启动会，与参与单位共同讨论，明确了标准的适

用范围和草案框架。

5.2013年6月-7月，初步形成标准草案，小范围征求意见。

根据标准草案框架，编制标准草案初稿，并于2013年7月底召开标准内部

研讨会，与编制组成员进行研讨，并小范围征求专家意见。

6.2013年8月-10月，完善标准草案，召开标准草案审查会

编制组根据标准内部研讨会的意见，完成标准草案。2013年10月信安标委

秘书处组织了标准草案审查会，评审专家对标准内容提出了修改意见。

7.2013年11月-12月，修改完善标准草案，召开标准草案研讨会

编制组根据审查会的专家意见，重新梳理了标准研制思路，并进行了任务分

工，完善了标准草案。2013年12月，信安标委秘书处组织了标准草案研讨会，

进一步对标准制定内容进行讨论。

8.2014年1月-2015年9月，修改完善标准草案，开展标准实验验证

为了验证标准的合理性和可操作性，编制组搭建了办公设备安全标准验证环

境，对主流品牌多款办公设备产品开展了大量安全测评实验，包括办公设备的安

全漏洞扫描、硬盘数据恢复、网络协议分析等，并研发配备了数据恢复、安全检

测等多款测评工具。

在测评实验验证的基础上，编制组对标准草案进一步修改完善，形成了标准

草案第二版。信安标委秘书处于2014年6月、2014年11月、2015年5月分别

组织三次标准草案研讨会，进一步对标准内容进行讨论。

8.2015年9月-2016年3月，修改完善标准草案

根据前期标准研讨会的专家意见，将标准草案进行完善，并参考国家等级保

护系列标准对标准草案的内容逻辑和文字描述进行修改，形成标准草案第三版。

2016年3月，陆续征求了几位专家对标准草案的意见，并进行了相应完善。

9.2016年4月，召开标准草案审查会，专家同意形成征求意见稿

2

2016年4月25日，召开标准草案审查会，会议专家同意形成征求意见稿，

并根据此标准研讨会的专家意见，将标准名称由《信息安全技术硬拷贝设备安

全测试评价方法》改为《信息安全技术办公设备安全测试评价方法》。

10.2016年10月，标准周审查该标准，同意形成征求意见稿

2016年10月14日召开内部专家评审会，会议专家对标准草案提出一些修改

意见，修改后形成标准草案第9稿。10月19日，该标准参加成都信息安全标准

周会议，会议同意该标准形成征求意见稿，但是标准名称更改未获同意，名称仍

为《信息安全技术硬拷贝设备安全测试评价方法》。

二、编制原则和主要内容

2.1编制原则

本标准的研究与编制工作遵循以下原则：

一是以GB/T29244-2012标准为基础。《测评方法》是《信息安全技术办

公设备基本安全要求》（GB/T29244-2012）对应的安全测评标准，因此标准编

制中针对GB/T29244-2012的每一条办公设备安全要求，提出了相应的安全测评

方法，力求做到一一对应，没有遗漏。

二是支持灵活的测评方法。由于办公设备类型多样，并且越来越网络化、智

能化，办公设备的安全测评方法也在不断发展变化，因此本标准在编制中尽量保

持技术中立，只对安全要求的测评提出要求，而不限制具体的测评实现方法，保

持了办公设备安全测评方法的灵活性。

三是考虑可操作性和实用性。为了确保标准的可操作性和实用性，标准编制

从两方面着手，一方面标准编制组广泛吸收了在国内办公设备市场的主流国内和

国外办公设备厂商作为标准编制组成员；另一方面标准编制过程中，开展了大量

了办公设备产品安全测评实验，为标准合理性和可操作性验证提供了支撑。

2.2主要内容

《测评方法》是GB/T29244-2012《信息安全技术办公设备基本安全要求》

对应的测评标准，规定了对办公设备安全要求进行测试评价的方法。该标准适用

于对办公设备具有安全要求的机构，对采购或使用的办公设备产品进行安全测

评，也可为办公设备供应商提供产品安全设计的参考，但不适用于涉及国家秘密

的信息处理环境。

《测评方法》在“测评概述”中介绍了办公设备安全测评的测评依据、测评

3

实施过程、测评方法、测试环境和对办公设备供应商的要求。其中，测评实施过

程将办公设备安全测评分成测评准备、测评计划开发、现场测评、综合分析四个

阶段。测评方法，包括访谈、检查、测试三种方法。测试环境，则给出了一个典

型的办公设备安全测评的实验室环境。

针对GB/T29244-2012的每一项办公设备安全要求，《测评方法》在“测评

规程”中给出了相应的安全测评方法，主要包括：

（1）标识和鉴别

（2）访问控制

（3）安全审计

（4）残余信息保护

（5）系统功能

（6）维护

（7）会话

（8）可移动非易失性存储

（9）密码要求

（10）安全属性管理

（11）数据管理

（12）用户角色管理

三、主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果

编制组搭建了办公设备安全标准验证环境，根据《测评方法》标准草案要求，

对HP、三星、理光、兄弟、佳能等主流品牌多款办公设备产品开展了大量安全

测评实验，涉及身份鉴别、访问控制、残余信息保护、安全审计、远程维护、系

统功能等多个方面，标准的合理性和可操作性效果良好。

四、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的

对比情况，或与测试的国外样品、样机的有关数据对比情况

信息安全标准已经成为网络空间国际竞争的战略制高点。特别是，办公设

备安全标准及其背后的管理政策将会对办公设备产业造成重大影响，也将限制国

外办公设备供应商渗透到我国敏感部门和重要行业，这必然会引起国外企业的强

烈反应。为此，编制组专门分析、参考、吸收了国外办公设备信息安全相关标准，

主要包括：

4

1）《硬拷贝设备和系统安全》（IEEE2600-2008）。这是硬拷贝设备的国

际标准，用于指导制造商或用户硬拷贝设备和系统的安全安装、配置或

使用。

2）《A类操作环境的硬拷贝设备保护轮廓》（IEEE2600.1-2009）。这是

适用于A类操作环境下硬拷贝设备的保护轮廓（PP）国际标准，A类

环境通常是HIPAA、PCIDSS，或高保密性的环境。

3）《B类操作环境的硬拷贝设备保护轮廓》（IEEE2600.2-2009）。这是

适用于B类操作环境下硬拷贝设备的保护轮廓（PP）国际标准，B类

环境常见于中到大型企业，或政府部门中（不需要高级安全的）。

4）《C类操作环境的硬拷贝设备保护轮廓》（IEEE2600.3-2009）。这是

适用于C类操作环境下硬拷贝设备的保护轮廓（PP）国际标准，C类

环境是服务于公众的环境。

5）《D类操作环境的硬拷贝设备保护轮廓》（IEEE2600.4-2009）。这是

适用于D类操作环境下硬拷贝设备的保护轮廓（PP）国际标准，D类

环境通常是远程工作环境，或小到中型企业。

由于GB/T29244-2012标准主要参考了IEEE2600.1-2009国际标准，本标准

在GB/T29244-2012标准的基础上，力求在技术要素上覆盖国际权威标准。同时，

为落实国家对办公设备信息安全管理的政策要求，标准在保持技术中立的前提

下，提出了大量扩展要求。

五、与有关的现行法律、法规和强制性国家标准的关系

《测评方法》符合现有法律法规。

《测评方法》是GB/T29244-2012《信息安全技术办公设备基本安全要求》

配套的测评标准，规定了对办公设备安全要求进行测试评价的要求。

《测评方法》与GB/T18336-2015《信息技术安全技术信息技术安全评估

准则》不矛盾、不冲突