GB/T 28452-2012信息安全技術(shù)應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求

ICS35020

L80.

中華人民共和國國家標準

GB/T28452—2012

信息安全技術(shù)

應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求

Informationsecuritytechnology—

Commonsecuritytechniquerequirementforapplicationsoftwaresystem

2012-06-29發(fā)布2012-10-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T28452—2012

目次

前言…………………………

Ⅴ

引言…………………………

Ⅵ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義縮略語………………………

3、1

術(shù)語和定義…………………………

3.11

縮略語………………

3.23

應(yīng)用軟件生存周期安全技術(shù)要求………………………

43

應(yīng)用軟件開始階段安全技術(shù)要求…………………

4.13

應(yīng)用軟件獲得或開發(fā)階段安全技術(shù)要求…………

4.23

應(yīng)用軟件實現(xiàn)和評估階段安全技術(shù)要求…………

4.33

應(yīng)用軟件運行和維護階段安全技術(shù)要求…………

4.44

應(yīng)用軟件結(jié)束和處置階段安全技術(shù)要求…………

4.54

第一級應(yīng)用軟件系統(tǒng)安全技術(shù)要求……………………

54

安全功能技術(shù)要求…………………

5.14

用戶身份鑒別…………………

5.1.14

自主訪問控制…………………

5.1.25

用戶數(shù)據(jù)完整性保護…………

5.1.35

備份與故障恢復(fù)………………

5.1.45

安全保證技術(shù)要求…………………

5.25

安全子系統(tǒng)自身安全保護要求………………

5.2.15

安全子系統(tǒng)設(shè)計和實現(xiàn)要求…………………

5.2.26

安全子系統(tǒng)安全管理要求……………………

5.2.38

第二級應(yīng)用軟件系統(tǒng)安全技術(shù)要求……………………

68

安全功能技術(shù)要求…………………

6.18

用戶身份鑒別…………………

6.1.18

自主訪問控制…………………

6.1.28

安全審計………………………

6.1.39

用戶數(shù)據(jù)完整性保護…………

6.1.49

用戶數(shù)據(jù)保密性保護…………

6.1.59

備份與故障恢復(fù)………………

6.1.610

系統(tǒng)安全性檢測分析…………

6.1.710

安全保證技術(shù)要求…………………

6.210

安全子系統(tǒng)自身保護要求……………………

6.2.110

安全子系統(tǒng)設(shè)計和實現(xiàn)要求…………………

6.2.211

安全子系統(tǒng)安全管理要求……………………

6.2.313

Ⅰ

GB/T28452—2012

第三級應(yīng)用軟件系統(tǒng)安全技術(shù)要求……………………

713

安全功能技術(shù)要求…………………

7.113

用戶身份鑒別…………………

7.1.113

抗抵賴…………………………

7.1.214

自主訪問控制…………………

7.1.314

標記……………

7.1.415

強制訪問控制…………………

7.1.515

安全審計………………………

7.1.616

用戶數(shù)據(jù)完整性保護…………

7.1.716

用戶數(shù)據(jù)保密性保護…………

7.1.816

備份與故障恢復(fù)………………

7.1.917

系統(tǒng)安全性檢測分析………………………

7.1.1017

安全保證技術(shù)要求…………………

7.217

安全子系統(tǒng)自身保護要求……………………

7.2.117

安全子系統(tǒng)設(shè)計和實現(xiàn)要求…………………

7.2.219

安全子系統(tǒng)安全管理要求……………………

7.2.321

第四級應(yīng)用軟件系統(tǒng)安全技術(shù)要求……………………

822

安全功能技術(shù)要求…………………

8.122

用戶身份鑒別…………………

8.1.122

抗抵賴…………………………

8.1.222

自主訪問控制…………………

8.1.323

標記……………

8.1.423

強制訪問控制…………………

8.1.524

安全審計………………………

8.1.624

用戶數(shù)據(jù)完整性保護…………

8.1.724

用戶數(shù)據(jù)保密性保護…………

8.1.825

可信路徑………………………

8.1.926

備份與故障恢復(fù)……………

8.1.1026

系統(tǒng)安全性檢測分析………………………

8.1.1126

安全保證技術(shù)要求…………………

8.226

安全子系統(tǒng)自身保護要求……………………

8.2.126

安全子系統(tǒng)設(shè)計和實現(xiàn)要求…………………

8.2.227

安全子系統(tǒng)安全管理要求……………………

8.2.330

第五級應(yīng)用軟件系統(tǒng)安全技術(shù)要求……………………

931

安全功能技術(shù)要求…………………

9.131

用戶身份鑒別…………………

9.1.131

抗抵賴…………………………

9.1.231

自主訪問控制…………………

9.1.332

標記……………

9.1.432

強制訪問控制…………………

9.1.533

安全審計………………………

9.1.633

用戶數(shù)據(jù)完整性保護…………

9.1.733

Ⅱ

GB/T28452—2012

用戶數(shù)據(jù)保密性保護…………

9.1.834

可信路徑………………………

9.1.935

備份與故障恢復(fù)……………

9.1.1035

系統(tǒng)安全性檢測分析………………………

9.1.1135

安全保證技術(shù)要求…………………

9.235

安全子系統(tǒng)自身保護要求……………………

9.2.135

安全子系統(tǒng)設(shè)計和實現(xiàn)要求…………………

9.2.237

安全子系統(tǒng)安全管理要求……………………

9.2.340

附錄資料性附錄應(yīng)用軟件系統(tǒng)安全的有關(guān)概念說明……………

A()41

附錄資料性附錄應(yīng)用軟件系統(tǒng)安全與信息系統(tǒng)安全的關(guān)系……

B()42

附錄資料性附錄安全技術(shù)要素與安全技術(shù)分等級要求的對應(yīng)關(guān)系……………

C()43

參考文獻……………………

47

Ⅲ

GB/T28452—2012

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位北京江南天安科技有限公司北京思源新創(chuàng)信息安全資訊有限公司

:、。

本標準主要起草人吉增瑞陳冠直王志強景乾元

:、、、。

Ⅴ

GB/T28452—2012

引言

本標準描述為實現(xiàn)所規(guī)定的每一個安全保護等級的應(yīng)用軟件系統(tǒng)應(yīng)達到的安全

GB17859—1999

技術(shù)要求為按照信息系統(tǒng)安全等級保護的要求設(shè)計和實現(xiàn)所要求的安全等級的應(yīng)用軟件系統(tǒng)提供

,

指導(dǎo)

。

從廣義角度應(yīng)用軟件系統(tǒng)應(yīng)該包括針對特定應(yīng)用開發(fā)的業(yè)務(wù)處理軟件以及為這些業(yè)務(wù)處理軟件

,,

的開發(fā)和運行提供支持的各種工具軟件和中間件等本標準僅對各個安全保護等級的業(yè)務(wù)處理軟件的

。

安全保護應(yīng)采取的安全技術(shù)進行描述

。

應(yīng)用軟件系統(tǒng)是信息系統(tǒng)的重要組成部分是信息系統(tǒng)中對應(yīng)用業(yè)務(wù)進行處理的軟件的總和業(yè)

,。

務(wù)應(yīng)用的安全需求是信息系統(tǒng)安全需求的出發(fā)點和歸宿信息系統(tǒng)安全所采取的一切技術(shù)和管理措

,。

施最終都是為確保業(yè)務(wù)應(yīng)用安全的這些安全措施有的可以在應(yīng)用軟件系統(tǒng)中實現(xiàn)有的需要在信

,。,,

息系統(tǒng)的其他組成部分實現(xiàn)

。

本標準主要是對各個應(yīng)用領(lǐng)域的應(yīng)用軟件系統(tǒng)普遍適用的安全技術(shù)要素的安全技術(shù)要求的描述

。

不同應(yīng)用領(lǐng)域的應(yīng)用軟件系統(tǒng)可選取不同的安全技術(shù)要素以滿足各自應(yīng)用業(yè)務(wù)的具體安全需求本

,。

標準同時對應(yīng)用軟件系統(tǒng)生存周期的各個階段應(yīng)遵循的安全技術(shù)要求進行了簡要描述

。

按照標準編寫的規(guī)范性要求本標準在第章范圍第章規(guī)范性引用文件及第章術(shù)語和定義

,1、23、

縮略語之后第章應(yīng)用軟件生存周期安全技術(shù)要求從應(yīng)用軟件生存周期的角度分別對應(yīng)用軟件的

,4,,

開始階段獲得或開發(fā)階段實現(xiàn)和評估階段運行和維護階段以及結(jié)束和處置階段的安全技術(shù)要求進

、、、

行了簡要描述標準從第章到第章以的五個安全等級的劃分為基本依據(jù)以

。59,GB17859—1999,

關(guān)于信息系統(tǒng)通用安全技術(shù)要求的等級劃分為基礎(chǔ)對每一個安全等級的應(yīng)用軟

GB/T20271—2006,

件系統(tǒng)的安全技術(shù)要求進行了描述包括安全功能技術(shù)要求和安全保證技術(shù)要求含應(yīng)用軟件系統(tǒng)安

,:(

全子系統(tǒng)自身保護要求應(yīng)用軟件系統(tǒng)安全子系統(tǒng)設(shè)計和實現(xiàn)要求應(yīng)用軟件系統(tǒng)安全子系統(tǒng)安全管理

、、

要求在第章到第章的分等級描述中加粗宋體表示在較高等級中比較低一級增加或增強的內(nèi)

)。59,“”

容本標準附錄資料性附錄應(yīng)用軟件系統(tǒng)安全的有關(guān)概念說明對應(yīng)用軟件系統(tǒng)在信息系統(tǒng)中的

。A(),

位置和應(yīng)用軟件系統(tǒng)安全在信息系統(tǒng)安全中的作用等進行了說明附錄資料性附錄應(yīng)用軟件系統(tǒng)

。B()

安全與信息系統(tǒng)安全的關(guān)系對應(yīng)用軟件系統(tǒng)安全是信息系統(tǒng)安全的核心和應(yīng)用軟件系統(tǒng)安全需求就

,

是信息系統(tǒng)安全需求進行了描述附錄資料性附錄給出了應(yīng)用軟件系統(tǒng)安全要素與安全分等級要

。C()

求之間的對應(yīng)關(guān)系表是安全功能技術(shù)要素與安全功能技術(shù)分等級要求的對應(yīng)關(guān)系表是安

。C.1;C.2

全保證技術(shù)要素與安全保證技術(shù)分等級要求的對應(yīng)關(guān)系

。

Ⅵ

GB/T28452—2012

信息安全技術(shù)

應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求

1范圍

本標準規(guī)定了按照的個安全保護等級的劃分對應(yīng)用軟件系統(tǒng)進行等級保護所

GB17859—19995

涉及的通用技術(shù)要求

。

本標準適用于按照的個安全保護等級的劃分對應(yīng)用軟件系統(tǒng)進行的安全等級

GB17859—19995

保護的設(shè)計與實現(xiàn)對于按照的個安全保護等級的劃分對應(yīng)用軟件系統(tǒng)進行的安

。GB17859—19995

全等級保護的測試管理也可參照使用

、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的