標(biāo)準(zhǔn)解讀

《GA/T 1394-2017 信息安全技術(shù) 運(yùn)維安全管理產(chǎn)品安全技術(shù)要求》這一標(biāo)準(zhǔn),由中華人民共和國(guó)公安部發(fā)布,旨在為運(yùn)維安全管理產(chǎn)品的設(shè)計(jì)、開發(fā)和應(yīng)用提供一套統(tǒng)一的安全技術(shù)指標(biāo)與實(shí)施指南。該標(biāo)準(zhǔn)詳細(xì)規(guī)定了運(yùn)維安全管理產(chǎn)品應(yīng)滿足的安全功能要求和技術(shù)實(shí)現(xiàn)細(xì)節(jié),以確保信息系統(tǒng)運(yùn)維過(guò)程中的安全性、可控性和合規(guī)性。以下是標(biāo)準(zhǔn)內(nèi)容的幾個(gè)關(guān)鍵點(diǎn)概述:

  1. 范圍定義:標(biāo)準(zhǔn)明確了適用的產(chǎn)品類型,即用于保障信息系統(tǒng)運(yùn)維安全的管理軟件及系統(tǒng),包括但不限于網(wǎng)絡(luò)監(jiān)控、訪問控制、配置管理、安全審計(jì)、脆弱性管理等功能模塊。

  2. 安全功能要求

    • 訪問控制:要求產(chǎn)品具備嚴(yán)格的用戶身份認(rèn)證機(jī)制,支持角色劃分和權(quán)限管理,確保只有授權(quán)用戶能訪問和操作系統(tǒng)資源。
    • 審計(jì)日志:需記錄詳細(xì)的系統(tǒng)操作日志,包括登錄登出、配置變更、異常事件等,且日志應(yīng)不可篡改,便于安全審計(jì)和事件追溯。
    • 數(shù)據(jù)保護(hù):強(qiáng)調(diào)對(duì)敏感信息的加密存儲(chǔ)和傳輸,確保數(shù)據(jù)完整性,防止數(shù)據(jù)泄露或被非法訪問。
    • 脆弱性管理:要求產(chǎn)品能夠定期檢測(cè)系統(tǒng)漏洞,并提供修復(fù)建議或自動(dòng)修復(fù)功能,降低被攻擊的風(fēng)險(xiǎn)。
    • 應(yīng)急響應(yīng):制定應(yīng)急預(yù)案,當(dāng)系統(tǒng)遭受攻擊或出現(xiàn)異常時(shí),能迅速響應(yīng)并恢復(fù),減少損失。

  3. 技術(shù)實(shí)現(xiàn)指導(dǎo):標(biāo)準(zhǔn)還提供了技術(shù)層面的指導(dǎo)原則,如采用安全編程規(guī)范、進(jìn)行安全編碼審查、實(shí)施軟件開發(fā)生命周期(SDLC)中的安全控制等,以促進(jìn)產(chǎn)品的安全可靠。

  4. 合規(guī)性與評(píng)估:指出運(yùn)維安全管理產(chǎn)品應(yīng)符合國(guó)家和行業(yè)的相關(guān)安全法規(guī)與標(biāo)準(zhǔn),鼓勵(lì)通過(guò)第三方安全測(cè)試和認(rèn)證,以證明其安全性能滿足要求。

  5. 持續(xù)監(jiān)控與改進(jìn):強(qiáng)調(diào)在產(chǎn)品部署后應(yīng)實(shí)施持續(xù)的安全監(jiān)控,定期評(píng)估安全態(tài)勢(shì),并根據(jù)新出現(xiàn)的威脅和漏洞進(jìn)行功能升級(jí)和策略調(diào)整。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2017-04-19 頒布
  • 2017-04-19 實(shí)施
?正版授權(quán)
GA/T 1394-2017信息安全技術(shù)運(yùn)維安全管理產(chǎn)品安全技術(shù)要求_第1頁(yè)
GA/T 1394-2017信息安全技術(shù)運(yùn)維安全管理產(chǎn)品安全技術(shù)要求_第2頁(yè)
GA/T 1394-2017信息安全技術(shù)運(yùn)維安全管理產(chǎn)品安全技術(shù)要求_第3頁(yè)
GA/T 1394-2017信息安全技術(shù)運(yùn)維安全管理產(chǎn)品安全技術(shù)要求_第4頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余12頁(yè)可下載查看

下載本文檔

文檔簡(jiǎn)介

ICS35240

A90.

中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn)

GA/T1394—2017

信息安全技術(shù)運(yùn)維安全管理產(chǎn)品

安全技術(shù)要求

Informationsecuritytechnology—Securitytechnicalrequirementsfor

securityoperationandmaintenancemanagementproducts

2017-04-19發(fā)布2017-04-19實(shí)施

中華人民共和國(guó)公安部發(fā)布

GA/T1394—2017

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

運(yùn)維安全管理產(chǎn)品描述

4…………………1

總體說(shuō)明

5…………………2

安全技術(shù)要求分類

5.1…………………2

安全等級(jí)劃分

5.2………………………2

安全功能要求

6……………2

單點(diǎn)登錄

6.1………………2

訪問控制

6.2……………2

操作審計(jì)

6.3……………3

會(huì)話監(jiān)視

6.4……………3

會(huì)話回放

6.5……………3

告警

6.6…………………3

違規(guī)操作阻斷

6.7………………………3

高可用性

6.8……………4

標(biāo)識(shí)與鑒別

6.9…………………………4

安全管理

6.10……………4

審計(jì)日志

6.11……………5

安全保障要求

7……………5

開發(fā)

7.1…………………5

指導(dǎo)性文檔

7.2…………………………6

生命周期支持

7.3………………………6

測(cè)試

7.4…………………7

脆弱性評(píng)定

7.5…………………………8

等級(jí)劃分要求

8……………8

概述

8.1…………………8

安全功能要求等級(jí)劃分

8.2……………8

安全保障要求等級(jí)劃分

8.3……………9

GA/T1394—2017

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由公安部網(wǎng)絡(luò)安全保衛(wèi)局提出

。

本標(biāo)準(zhǔn)由公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口

本標(biāo)準(zhǔn)起草單位公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心公安部第三研究所

:、。

本標(biāo)準(zhǔn)主要起草人張艷張笑笑鄒春明趙婷沈亮李毅

:、、、、、。

GA/T1394—2017

信息安全技術(shù)運(yùn)維安全管理產(chǎn)品

安全技術(shù)要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了運(yùn)維安全管理產(chǎn)品的安全功能要求安全保障要求及等級(jí)劃分要求

、。

本標(biāo)準(zhǔn)適用于運(yùn)維安全管理產(chǎn)品的設(shè)計(jì)開發(fā)與測(cè)試

、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第部分安全保障組件

GB/T18336.3—20153:

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2010

3術(shù)語(yǔ)和定義

和界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T18336.3—2015GB/T25069—2010。

31

.

運(yùn)維用戶operationandmaintenanceuser

對(duì)服務(wù)器網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫(kù)等信息系統(tǒng)的重要資產(chǎn)進(jìn)行運(yùn)行維護(hù)的人員

、。

32

.

運(yùn)維安全管理產(chǎn)品securityoperationandmaintenancemanagementproduct

對(duì)信息系統(tǒng)重要資產(chǎn)的維護(hù)過(guò)程實(shí)現(xiàn)單點(diǎn)登錄集中授權(quán)集中管理和審計(jì)的產(chǎn)品

、、。

33

.

運(yùn)維對(duì)象operationandmaintenanceobject

受運(yùn)維安全管理產(chǎn)品保護(hù)的資產(chǎn)

。

4運(yùn)維安全管理產(chǎn)品描述

運(yùn)維安全管理產(chǎn)品為運(yùn)維用戶提供統(tǒng)一的身份認(rèn)證接口多種遠(yuǎn)程運(yùn)維管理方式

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問題。

評(píng)論

0/150

提交評(píng)論