標(biāo)準(zhǔn)解讀

《GA/T 711-2007 信息安全技術(shù) 應(yīng)用軟件系統(tǒng)安全等級保護(hù)通用技術(shù)指南》是由中國公安部發(fā)布的關(guān)于應(yīng)用軟件系統(tǒng)安全保護(hù)的技術(shù)規(guī)范。這份標(biāo)準(zhǔn)旨在為各類組織和機構(gòu)提供一個統(tǒng)一的應(yīng)用軟件安全保護(hù)框架,確保信息系統(tǒng)的安全性符合國家等級保護(hù)的要求。下面是對該標(biāo)準(zhǔn)主要內(nèi)容的說明:

  1. 適用范圍:標(biāo)準(zhǔn)適用于指導(dǎo)各類應(yīng)用軟件系統(tǒng)的安全設(shè)計、實施、運維及評估工作,明確了不同安全保護(hù)等級下應(yīng)采取的技術(shù)措施和管理要求。

  2. 安全等級劃分:依據(jù)信息系統(tǒng)的受保護(hù)程度和重要性,將應(yīng)用軟件系統(tǒng)安全等級劃分為五級,從第一級(基本保護(hù))到第五級(專控保護(hù)),級別越高,安全保護(hù)要求越嚴(yán)格。

  3. 安全技術(shù)要求:針對每一安全等級,詳細(xì)規(guī)定了應(yīng)實施的安全控制點和技術(shù)措施,包括但不限于身份認(rèn)證、訪問控制、數(shù)據(jù)加密、安全審計、入侵防范、惡意代碼防護(hù)等方面,確保系統(tǒng)的完整性、保密性和可用性。

  4. 安全管理要求:強調(diào)了安全管理在保障軟件安全中的重要作用,包括安全策略、管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等方面的具體要求,確保有組織、有計劃地進(jìn)行安全管理工作。

  5. 安全測評與持續(xù)改進(jìn):提出了對應(yīng)用軟件系統(tǒng)進(jìn)行定期安全測評的方法和流程,要求根據(jù)測評結(jié)果進(jìn)行必要的安全整改和優(yōu)化,實現(xiàn)安全保護(hù)能力的持續(xù)提升。

  6. 技術(shù)選擇與實施指南:為不同類型的軟件系統(tǒng)提供了安全技術(shù)選擇的參考和實施指南,幫助開發(fā)者和管理者根據(jù)實際需求合理選擇和部署安全技術(shù)措施。

  7. 合規(guī)性與適應(yīng)性:強調(diào)了遵循國家法律法規(guī)及相關(guān)標(biāo)準(zhǔn)的重要性,同時要求技術(shù)措施和管理策略要具有一定的靈活性和可擴(kuò)展性,以適應(yīng)未來技術(shù)和威脅環(huán)境的變化。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 廢止
  • 已被廢除、停止使用,并不再更新
  • 2007-08-13 頒布
  • 2007-10-01 實施
?正版授權(quán)
GA/T 711-2007信息安全技術(shù)應(yīng)用軟件系統(tǒng)安全等級保護(hù)通用技術(shù)指南_第1頁
GA/T 711-2007信息安全技術(shù)應(yīng)用軟件系統(tǒng)安全等級保護(hù)通用技術(shù)指南_第2頁
GA/T 711-2007信息安全技術(shù)應(yīng)用軟件系統(tǒng)安全等級保護(hù)通用技術(shù)指南_第3頁
GA/T 711-2007信息安全技術(shù)應(yīng)用軟件系統(tǒng)安全等級保護(hù)通用技術(shù)指南_第4頁
GA/T 711-2007信息安全技術(shù)應(yīng)用軟件系統(tǒng)安全等級保護(hù)通用技術(shù)指南_第5頁

文檔簡介

犐犆犛35.020

犔09

中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn)

犌犃/犜711—2007

信息安全技術(shù)

應(yīng)用軟件系統(tǒng)安全等級保護(hù)通用技術(shù)指南

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犆狅犿犿狅狀狋犲犮犺狀犻狇狌犲犵狌犻犱犲狅犳狊犲犮狌狉犻狋狔犮犾犪狊狊犻犳犻犮犪狋犻狅狀狆狉狅狋犲犮狋犻狅狀犳狅狉

犪狆狆犾犻犮犪狋犻狅狀狊狅犳狋狑犪狉犲狊狔狊狋犲犿

20070813發(fā)布20071001實施

中華人民共和國公安部發(fā)布

犌犃/犜711—2007

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語、定義和縮略語!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4應(yīng)用軟件系統(tǒng)基礎(chǔ)安全技術(shù)要求!!!!!!!!!!!!!!!!!!!!!!!!!!!3

4.1應(yīng)用軟件系統(tǒng)風(fēng)險分析和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!3

4.2應(yīng)用軟件系統(tǒng)安全方案!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

4.3應(yīng)用軟件系統(tǒng)環(huán)境安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

4.4應(yīng)用軟件系統(tǒng)業(yè)務(wù)連續(xù)性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

4.5應(yīng)用軟件系統(tǒng)及相應(yīng)信息系統(tǒng)安全等級劃分!!!!!!!!!!!!!!!!!!!!!4

5應(yīng)用軟件系統(tǒng)安全技術(shù)分等級要求!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.1第一級用戶自主保護(hù)級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.1.1基礎(chǔ)安全技術(shù)要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.1.2安全功能技術(shù)要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.1.3SSOASS自身保護(hù)要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.1.4SSOASS設(shè)計和實現(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.1.5SSOASS安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

5.2第二級系統(tǒng)審計保護(hù)級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.2.1基礎(chǔ)安全技術(shù)要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.2.2安全功能技術(shù)要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.2.3SSOASS自身保護(hù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

5.2.4SSOASS設(shè)計和實現(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

5.2.5SSOASS安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.3第三級安全標(biāo)記保護(hù)級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.3.1基礎(chǔ)安全技術(shù)要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.3.2安全功能技術(shù)要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.3.3SSOASS自身保護(hù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

5.3.4SSOASS設(shè)計和實現(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

5.3.5SSOASS安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

5.4第四級結(jié)構(gòu)化保護(hù)級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

5.4.1基礎(chǔ)安全技術(shù)要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

5.4.2安全功能技術(shù)要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

5.4.3SSOASS自身保護(hù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

5.4.4SSOASS設(shè)計和實現(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

5.4.5SSOASS安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

5.5第五級訪問驗證保護(hù)級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

5.5.1基礎(chǔ)安全技術(shù)要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

犌犃/犜711—2007

5.5.2安全功能技術(shù)要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

5.5.3SSOASS自身保護(hù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

5.5.4SSOASS設(shè)計和實現(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

5.5.5SSOASS安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

附錄A(資料性附錄)應(yīng)用軟件系統(tǒng)安全的有關(guān)概念說明!!!!!!!!!!!!!!!!!32

A.1應(yīng)用軟件系統(tǒng)在信息系統(tǒng)中的位置!!!!!!!!!!!!!!!!!!!!!!!!32

A.2應(yīng)用軟件系統(tǒng)安全在信息系統(tǒng)安全中的作用!!!!!!!!!!!!!!!!!!!!32

A.3關(guān)于應(yīng)用軟件系統(tǒng)的業(yè)務(wù)連續(xù)性!!!!!!!!!!!!!!!!!!!!!!!!!32

犌犃/犜711—2007

前言

本標(biāo)準(zhǔn)的附錄A為資料性附錄。

本標(biāo)準(zhǔn)由公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口。

本標(biāo)準(zhǔn)起草單位:北京江南天安科技有限公司,北京思源新創(chuàng)信息安全資訊有限公司。

本標(biāo)準(zhǔn)主要起草人:吉增瑞、王志強、陳冠直、景乾元、宋健平。

犌犃/犜711—2007

引言

本標(biāo)準(zhǔn)為按照信息系統(tǒng)安全等級保護(hù)的要求設(shè)計和實現(xiàn)所需要的安全等級的應(yīng)用軟件系統(tǒng)提供指

導(dǎo),主要說明為實現(xiàn)GB17859—1999所規(guī)定的每一個安全保護(hù)等級,應(yīng)用軟件系統(tǒng)應(yīng)達(dá)到的安全技術(shù)

要求。

應(yīng)用軟件系統(tǒng)是信息系統(tǒng)的重要組成部分,是信息系統(tǒng)中對應(yīng)用業(yè)務(wù)進(jìn)行處理的軟件的總和。業(yè)

務(wù)應(yīng)用的安全需求,是信息系統(tǒng)安全需求的出發(fā)點和歸宿。信息系統(tǒng)安全所采取的一切技術(shù)和管理措

施,最終都是為確保業(yè)務(wù)應(yīng)用的安全。這些安全措施,有的可以在應(yīng)用軟件系統(tǒng)中實現(xiàn),有的需要在信

息系統(tǒng)的其他組成部分實現(xiàn)。

本標(biāo)準(zhǔn)是對各個應(yīng)用領(lǐng)域的應(yīng)用軟件系統(tǒng)普遍適用的安全技術(shù)要素的概括描述。不同應(yīng)用領(lǐng)域的

應(yīng)用軟件系統(tǒng)應(yīng)根據(jù)需要選取不同的安全技術(shù)要素,以滿足其各自業(yè)務(wù)應(yīng)用的具體安全需求。

本標(biāo)準(zhǔn)第4章,應(yīng)用軟件系統(tǒng)基礎(chǔ)安全技術(shù)要求,是對應(yīng)用軟件系統(tǒng)的每一個安全等級都適用的基

礎(chǔ)性安全技術(shù)要求的描述,包括:應(yīng)用軟件系統(tǒng)風(fēng)險分析和安全需求,應(yīng)用軟件系統(tǒng)安全方案,應(yīng)用軟件

系統(tǒng)環(huán)境安全,應(yīng)用軟件系統(tǒng)業(yè)務(wù)連續(xù)性,以及應(yīng)用軟件系統(tǒng)與相應(yīng)信息系統(tǒng)安全等級劃分等。

本標(biāo)準(zhǔn)第5章,應(yīng)用軟件系統(tǒng)安全技術(shù)分等級要求,以GB17859—1999的五個安全等級的劃分為

基本依據(jù),以GB/T20271—2006關(guān)于信息系統(tǒng)通用安全技術(shù)要求的等級劃分為基礎(chǔ),對每一個安全等

級的應(yīng)用軟件系統(tǒng)的安全技術(shù)要求進(jìn)行描述,包括:基礎(chǔ)安全技術(shù)要求,安全功能技術(shù)要求,以及為實現(xiàn)

上述安全技術(shù)要求應(yīng)用軟件系統(tǒng)安全子系統(tǒng)的自身保護(hù)、設(shè)計和實現(xiàn)及安全管理要求。其中,“加粗宋

體”表示在較高等級中比上一級增加或增強的內(nèi)容。

犌犃/犜711—2007

信息安全技術(shù)

應(yīng)用軟件系統(tǒng)安全等級保護(hù)通用技術(shù)指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了按照GB17859—1999的五個安全保護(hù)等級的劃分對應(yīng)用軟件系統(tǒng)進(jìn)行安全等級保

護(hù)所涉及的通用技術(shù)要求。

本標(biāo)準(zhǔn)適用于按照GB17859—1999的五個安全保護(hù)等級的劃分對應(yīng)用軟件系統(tǒng)進(jìn)行的安全等級

保護(hù)的設(shè)計與實現(xiàn)。對于按照GB17859—1999的五個安全保護(hù)等級的劃分對應(yīng)用軟件系統(tǒng)進(jìn)行的安

全等級保護(hù)的測試、管理也可參照使用。

2規(guī)范性引用文件

下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有

的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn),然而,鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論