下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1.编制背景
为了建立和完善国家信息安全标准体系,贯彻和落实《关于加强信息安全保障工作
的意见》(中办发[2003]27号)的文件精神,根据当前我国信息化建设过程中对信息安
全产品或信息产品的安全性的实际需求,中国信息安全测评中心制定了《信息安全技术
智能卡读写机具安全技术要求(EAL4增强)》,主要起草人包括:彭勇、江常青、谢丰、
戴忠华、高洋、张舒、张翀斌、陈冬青、赵伟、熊琦、高海辉、杨永生、霍杏梅、伊胜
伟、王婷、韩雪峰、向憧,完成了标准的调研及所负责章节的编写工作。
在《信息安全技术智能卡读写机具读卡器安全技术要求(EAL4增强)》标准的编
制过程中,全国信息安全标准化委员会第五工作组针对标准组织了多次专家评审会,同
时我们也组织了智能卡读写机具企业的讨论会,广泛征求了内外部意见,标准的修改过
程如下:
2007年7月,项目启动。在研究国外相关标准以及同业界专家交流的基础上,
形成了标准的征求意见稿第1稿。
2008年4月,全国信息安全标准化委员会第五工作组组织召开了征求意见稿的
专家评审会。根据专家意见进行了修改,形成征求意见稿第2稿。
2008年6月,组织智能卡读写机具企业专家对征求意见第2稿进行了评审讨论。
根据读写机具企业专家的意见,组织了多次内部讨论和修改,形成征求意见第
3稿。
2009年3月,全国信息安全标准化委员会第五工作组组织召开了征求意见稿的
专家评审会。根据专家意见进行了修改,形成征求意见稿第4稿。
2010年4月,全国信息安全标准化委员会组织召开了征求意见稿的专家评审会。
根据专家意见进行了修改,形成征求意见稿第5稿。
2012年7月,全国信息安全标准化委员会组织召开了征求意见稿的专家评审会。
根据专家意见进行了修改,形成征求意见稿第6稿。
2013年7月,全国信息安全标准化委员会组织召开了征求意见稿的专家评审会。
根据专家意见进行了修改,形成征求意见稿第7稿。
整个编制过程认真考虑了专家的各项意见,对于每项意见或采纳或给出解释,同时
1
对标准的内容进行不断完善,最终形成征求意见稿第7稿。
本标准的制定者依据国标GB/T18336.1/2/3-2001《信息技术安全技术信息技术
安全性评估准则》定义的关于保护轮廓(ProtectionProfile)框架结构要求,并参考了智
能卡读写机具在电信、社保、银行、交通等领域的具体应用,确定了《信息安全技术智
能卡读写机具安全技术要求(EAL4增强)》的形式和内容。国标GB/T18336.1/2/3-2001
《信息技术安全技术信息技术安全性评估准则》等同于国际标准化组织制定的
ISO/IEC15408.1-1/2/3:1999《信息技术安全技术信息技术安全性评估准则》。本标准
由此而与国际信息技术安全性评估标准相衔接。这对于我国发展信息产业,增强产业队
伍的研发、测试和制作能力,提高信息产品的功能、性能和质量,建立国家信息产品安
全防护体系以及促使信息产品进入国际市场具有重要的促进和推动意义。
本标准使用国标GB/T18336.1/2/3-2001《信息技术安全技术信息技术安全性评估
准则》定义的安全要求,在分析环境风险和基于智能卡读写机具保护的资产而可能受到
的威胁的基础上,确定了智能卡读写机具应当具备的安全功能要求和研发、制作软件系
统应具备的安全保证要求。其中,安全环境和预期使用方式用“假设”、“威胁”和“组
织安全政策”描述,在分析环境风险和威胁的基础上导出安全目的,通过细化安全目的,
定义了一组与具体实现无关的、完整的、紧密结合的最小安全要求的集合。本标准的基
本原理部分论证了标准中确定的最小安全要求集合的合理性,安全功能覆盖的完备性、
对应关系的一致性。本标准为智能卡读写机具的开发、测评和应用提供了内在一致的交
互平台。
2.编制原则
《信息安全技术智能卡读写机具安全技术要求(EAL4增强)》标准的编制立足于
我国IT产业发展的现状和研发及生产者的技术与能力,着眼于国际同类产品的主流发
展方向和安全性评估水准。编制过程中本着“规范、合理、系统、适用”的原则,注重
先进性、实用性、可操作性,也兼顾了与我国现有政策、法规与标准的执行范围。本标
准制定过程中参考了如下标准:
1)GB/T18336.1-2008信息技术安全技术信息技术安全性评估准则第1部分:
简介和一般模型
2)GB/T18336.2-2008信息技术安全技术信息技术安全性评估准则第2部分:
安全功能要求
2
3)GB/T18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分:
安全保证要求
3.内容简介
《信息安全技术智能卡读写机具安全技术要求(EAL4增强)》中的智能卡读写机
具是一个与智能卡有交互能力的读写设备,它能有效地获得鉴别信息和用户数据,并将
其传给应用软件,生成一个可靠的用户活动;它应在受控环境中使用。智能卡读写机具
由硬件组件和软件构成。软件分为系统软件和应用软件两部分。系统软件分为嵌入到硬
件中的和能远程更改的两部分;应用软件可以下载到机具中用以提供产品预期的功能。
本标准中的TOE是一个不含应用的机具产品,因此本标准中描述的安全功能是机具中
除应用之外的所有安全功能。适用于本标准的机具应该具有键盘、显示部件,可广泛应
用于电信、银行、公安、建设、交通、社保、税务及各种收费、储值、查询等CPU卡
管理应用系统。
本标准在GB/T18336-2001中规定的EAL4级安全要求组件基础上,增加了模块化
组件(ADV_INT.1),并且将脆弱性分析要求由可以抵御低等攻击潜力的攻击者发起的
攻击(组件AVA_VLA.2)提升到可以抵御中等攻击潜力的攻击者发起的攻击(组件
AVA_VLA.3)。
本标准仅给出了智能卡读写机具应满足的安全技术要求,对智能卡读写机具的具体
技术实现方式、方法等不做描述。
本标准从以下几方面描述了智能卡读写机具的安全技术要求:
(1)描述智能卡读写机具及其生命周期。
(2)描述智能卡读写机具的安全环境(包括在开发和用户使用阶段),基于智能卡
读写机具保护的资产、智能卡读写机具和在其运行环境中可能遇到的威胁。
(3)描述智能卡读写机具的安全目的,包含了读卡器应达到的安全目的和其环境
应达到的安全目的。
(4)定义安全要求,包括智能卡读写机具的信息技术安全功能要求、安全保证要
求和环境安全要求。
(5)描述基本原理,论证了安全环境导出的安全目的的对应性、一致性,论证了
由此导出的安全要求的合理性和充分性,并确定了必须的安全评估的保证级
别。
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2023年泵及液体提升机投资申请报告
- 2024至2030年河北省建筑业发展预测及投资策略分析报告
- 2024至2030年全球及中国汽车线束行业市场分析及投资建议报告
- 2024至2030年中国黄色氧化钨行业深度调研及发展预测报告
- 2024至2030年中国鞣料及鞣料制剂行业深度调研及发展预测报告
- 2024至2030年中国灭火装置行业深度调研与投资战略咨询报告
- 2024至2030年中国数控弓锯床行业发展预测及投资策略报告
- 2024至2030年中国制糖工业发展预测及投资策略分析报告
- 2024至2030年中国双戊烯行业发展预测及投资策略报告
- 2024至2030年中国橡胶助剂市场前景及融资战略咨询报告
- 护理临床思维与工作能力
- 海南省海口市各县区乡镇行政村村庄村名明细居民村民委员会
- 脑卒中的识别与防治课件
- 初中综合实践 课件教案(7年级下册) 课时5-第五单元 广东靓汤我来煲-第1课时 汤料搭配我知道-课件
- 双重预防体系培训考试卷(含答案)
- 2022年注册土木工程师水利水电专业基础真题
- 小学道德与法治人教三年级上册第二单元我们的学校-《让我们的学校更美好》第一课时教学设计
- 《博物馆学概论》讲义
- 医院医疗质量管理结构图
- 用电检查管理办法
- 教师节庆祝活动表彰PPT模板
评论
0/150
提交评论