(高清版)GB∕T 38558-2020 信息安全技術(shù) 辦公設(shè)備安全測(cè)試方法

ICS35.040L80中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)信息安全技術(shù)辦公設(shè)備安全測(cè)試方法Iv2020-03-06發(fā)布2020-10-01實(shí)施國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)GB／T38558—2020 1范圍 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4縮略語(yǔ) 5測(cè)試方法 5.1安全技術(shù)要求測(cè)試 5.2安全管理功能要求測(cè)試 附錄A（資料性附錄）本標(biāo)準(zhǔn)安全測(cè)試方法與GB/T29244—2012安全要求對(duì)應(yīng)關(guān)系 ⅠGB／T38558—2020本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本標(biāo)準(zhǔn)起草單位：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、西安電子科技大學(xué)、珠海天威飛馬打印耗材有限公司、珠海賽納打印科技股份有限公司、北京工業(yè)大學(xué)、天津天復(fù)檢測(cè)技術(shù)有限公司、東莞市金翔光電科技有限公司、天津光電通信技術(shù)有限公司、中船重工漢光科技股份有限公司、珠海奔圖電子有限公司、聯(lián)想圖像（天津）科技有限公司。本標(biāo)準(zhǔn)主要起草人：范科峰、楊建軍、高林、劉碩、胡影、王佳敏、孫彥、蔡磊、徐克超、喬懷信、陳星、1GB／T38558—2020信息安全技術(shù)辦公設(shè)備安全測(cè)試方法本標(biāo)準(zhǔn)規(guī)定了辦公設(shè)備安全技術(shù)要求和安全管理功能要求的測(cè)試方法。本標(biāo)準(zhǔn)適用于測(cè)試機(jī)構(gòu)、辦公設(shè)備廠商對(duì)辦公設(shè)備的安全性進(jìn)行測(cè)試。注：本標(biāo)準(zhǔn)規(guī)定的測(cè)試方法適用于GB/T29244—2012的符合性測(cè)試，相關(guān)對(duì)應(yīng)關(guān)系參見附錄A。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T29244—2012信息安全技術(shù)辦公設(shè)備基本安全要求3術(shù)語(yǔ)和定義GB/T29244—2012界定的術(shù)語(yǔ)和定義適用于本文件。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。5測(cè)試方法5.1安全技術(shù)要求測(cè)試本項(xiàng)測(cè)試包括：辦公設(shè)備，驗(yàn)證用戶在執(zhí)行受控的安全功能操作之前，是否成功標(biāo)識(shí)和鑒別該用戶；拒絕非授權(quán)用戶執(zhí)行受控安全功能操作。用戶的權(quán)限，并驗(yàn)證權(quán)限初始化定義或權(quán)限變更是否符合安全策略。本項(xiàng)測(cè)試包括：的用戶文檔數(shù)據(jù)進(jìn)行打印、復(fù)印、掃描、傳真、讀取、檢索、存儲(chǔ)、修改、刪除等操作，并驗(yàn)證是否2GB／T38558—2020拒絕普通用戶對(duì)其他用戶文檔數(shù)據(jù)進(jìn)行上述操作；除自己的用戶功能數(shù)據(jù)，并驗(yàn)證是否拒絕普通用戶對(duì)其他用戶功能數(shù)據(jù)進(jìn)行修改和刪除操作；或設(shè)備自動(dòng)授權(quán)的辦公設(shè)備功能，而不能使用未授權(quán)的辦公設(shè)備功能；本項(xiàng)測(cè)試包括：1)審計(jì)功能的開啟和關(guān)閉；2)操作啟動(dòng)和完成；3)使用身份鑒別機(jī)制；4)使用身份標(biāo)識(shí)機(jī)制；5)管理功能的使用；6)時(shí)間變更；7)其他與系統(tǒng)安全有關(guān)的事件或?qū)ｉT定義的可審計(jì)事件。并測(cè)試審計(jì)記錄是否準(zhǔn)確記錄相應(yīng)的審計(jì)事件。事件結(jié)果（成功或失?。⑷蝿?wù)類型等內(nèi)容。進(jìn)行了審計(jì)，并驗(yàn)證審計(jì)事件記錄是否與導(dǎo)致該事件的用戶身份進(jìn)行關(guān)聯(lián)。篡改。本項(xiàng)測(cè)試包括：戶前，是否將先前存儲(chǔ)的數(shù)據(jù)完全銷毀，或者是否已采取保護(hù)措施使殘余信息無(wú)法被利用；信息的資源類型及所在位置。本項(xiàng)測(cè)試包括：信息能否驗(yàn)證全部或部分辦公設(shè)備安全功能操作的正確性；權(quán)用戶對(duì)該功能或方法的有效性進(jìn)行測(cè)試；并測(cè)試能否驗(yàn)證安全功能可執(zhí)行代碼未被篡改。3GB／T38558—2020本項(xiàng)測(cè)試包括：驗(yàn)證普通用戶是否只有在管理員授權(quán)的情況下才能對(duì)辦公設(shè)備的軟件進(jìn)行更新、升級(jí)、修改和刪除等操作；刪除設(shè)備上存儲(chǔ)的所有用戶數(shù)據(jù)和安全功能數(shù)據(jù)的功能，并測(cè)試對(duì)應(yīng)功能的可用性。從本地或遠(yuǎn)程登錄辦公設(shè)備，當(dāng)?shù)卿浻脩粼陟o默狀態(tài)規(guī)定的時(shí)間無(wú)操作時(shí)，檢查辦公設(shè)備是否會(huì)自動(dòng)終止交互會(huì)話。5.1.8可移動(dòng)非易失性存儲(chǔ)本項(xiàng)測(cè)試包括：等進(jìn)行防護(hù)；行數(shù)據(jù)交換；據(jù)）進(jìn)行完整性檢查。查看辦公設(shè)備供應(yīng)方提供的產(chǎn)品文檔，確認(rèn)密碼技術(shù)的使用及管理是否遵照國(guó)家密碼管理的相關(guān)規(guī)定。5.2安全管理功能要求測(cè)試本項(xiàng)測(cè)試包括：否恢復(fù)到安全屬性的默認(rèn)值；本測(cè)試包括：或除普通用戶以外授權(quán)用戶進(jìn)行操作，或者是否禁止任何人進(jìn)行操作，包括查詢、修改、刪除、清除和默認(rèn)值變更；4GB／T38558—2020的安全功能數(shù)據(jù)，是否僅能由管理員或相關(guān)的普通用戶來(lái)操作，或者是否禁止任何人操作，包括查詢、修改、刪除、清除和默認(rèn)值變更。本測(cè)試包括：角色進(jìn)行新建、修改或刪除等操作；僅有管理員可設(shè)置用戶對(duì)應(yīng)的角色。5GB／T38558—2020附錄A（資料性附錄）GBT292442012表A.1給出了本標(biāo)準(zhǔn)安全測(cè)試方法與GB/T29244—2012安全要求之間的對(duì)應(yīng)關(guān)系。AT292442012安全要求對(duì)應(yīng)關(guān)系GB/T29244—2012安全要求本標(biāo)準(zhǔn)安全測(cè)試方法安全技術(shù)要求標(biāo)識(shí)和鑒別訪問(wèn)控制安