GB/T 28452-2012信息安全技術(shù)應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求

ICS35020

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T28452—2012

信息安全技術(shù)

應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求

Informationsecuritytechnology—

Commonsecuritytechniquerequirementforapplicationsoftwaresystem

2012-06-29發(fā)布2012-10-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T28452—2012

目次

前言…………………………

Ⅴ

引言…………………………

Ⅵ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義縮略語………………………

3、1

術(shù)語和定義…………………………

3.11

縮略語………………

3.23

應(yīng)用軟件生存周期安全技術(shù)要求………………………

43

應(yīng)用軟件開始階段安全技術(shù)要求…………………

4.13

應(yīng)用軟件獲得或開發(fā)階段安全技術(shù)要求…………

4.23

應(yīng)用軟件實(shí)現(xiàn)和評(píng)估階段安全技術(shù)要求…………

4.33

應(yīng)用軟件運(yùn)行和維護(hù)階段安全技術(shù)要求…………

4.44

應(yīng)用軟件結(jié)束和處置階段安全技術(shù)要求…………

4.54

第一級(jí)應(yīng)用軟件系統(tǒng)安全技術(shù)要求……………………

54

安全功能技術(shù)要求…………………

5.14

用戶身份鑒別…………………

5.1.14

自主訪問控制…………………

5.1.25

用戶數(shù)據(jù)完整性保護(hù)…………

5.1.35

備份與故障恢復(fù)………………

5.1.45

安全保證技術(shù)要求…………………

5.25

安全子系統(tǒng)自身安全保護(hù)要求………………

5.2.15

安全子系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)要求…………………

5.2.26

安全子系統(tǒng)安全管理要求……………………

5.2.38

第二級(jí)應(yīng)用軟件系統(tǒng)安全技術(shù)要求……………………

68

安全功能技術(shù)要求…………………

6.18

用戶身份鑒別…………………

6.1.18

自主訪問控制…………………

6.1.28

安全審計(jì)………………………

6.1.39

用戶數(shù)據(jù)完整性保護(hù)…………

6.1.49

用戶數(shù)據(jù)保密性保護(hù)…………

6.1.59

備份與故障恢復(fù)………………

6.1.610

系統(tǒng)安全性檢測(cè)分析…………

6.1.710

安全保證技術(shù)要求…………………

6.210

安全子系統(tǒng)自身保護(hù)要求……………………

6.2.110

安全子系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)要求…………………

6.2.211

安全子系統(tǒng)安全管理要求……………………

6.2.313

Ⅰ

GB/T28452—2012

第三級(jí)應(yīng)用軟件系統(tǒng)安全技術(shù)要求……………………

713

安全功能技術(shù)要求…………………

7.113

用戶身份鑒別…………………

7.1.113

抗抵賴…………………………

7.1.214

自主訪問控制…………………

7.1.314

標(biāo)記……………

7.1.415

強(qiáng)制訪問控制…………………

7.1.515

安全審計(jì)………………………

7.1.616

用戶數(shù)據(jù)完整性保護(hù)…………

7.1.716

用戶數(shù)據(jù)保密性保護(hù)…………

7.1.816

備份與故障恢復(fù)………………

7.1.917

系統(tǒng)安全性檢測(cè)分析………………………

7.1.1017

安全保證技術(shù)要求…………………

7.217

安全子系統(tǒng)自身保護(hù)要求……………………

7.2.117

安全子系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)要求…………………

7.2.219

安全子系統(tǒng)安全管理要求……………………

7.2.321

第四級(jí)應(yīng)用軟件系統(tǒng)安全技術(shù)要求……………………

822

安全功能技術(shù)要求…………………

8.122

用戶身份鑒別…………………

8.1.122

抗抵賴…………………………

8.1.222

自主訪問控制…………………

8.1.323

標(biāo)記……………

8.1.423

強(qiáng)制訪問控制…………………

8.1.524

安全審計(jì)………………………

8.1.624

用戶數(shù)據(jù)完整性保護(hù)…………

8.1.724

用戶數(shù)據(jù)保密性保護(hù)…………

8.1.825

可信路徑………………………

8.1.926

備份與故障恢復(fù)……………

8.1.1026

系統(tǒng)安全性檢測(cè)分析………………………

8.1.1126

安全保證技術(shù)要求…………………

8.226

安全子系統(tǒng)自身保護(hù)要求……………………

8.2.126

安全子系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)要求…………………

8.2.227

安全子系統(tǒng)安全管理要求……………………

8.2.330

第五級(jí)應(yīng)用軟件系統(tǒng)安全技術(shù)要求……………………

931

安全功能技術(shù)要求…………………

9.131

用戶身份鑒別…………………

9.1.131

抗抵賴…………………………

9.1.231

自主訪問控制…………………

9.1.332

標(biāo)記……………

9.1.432

強(qiáng)制訪問控制…………………

9.1.533

安全審計(jì)………………………

9.1.633

用戶數(shù)據(jù)完整性保護(hù)…………

9.1.733

Ⅱ

GB/T28452—2012

用戶數(shù)據(jù)保密性保護(hù)…………

9.1.834

可信路徑………………………

9.1.935

備份與故障恢復(fù)……………

9.1.1035

系統(tǒng)安全性檢測(cè)分析………………………

9.1.1135

安全保證技術(shù)要求…………………

9.235

安全子系統(tǒng)自身保護(hù)要求……………………

9.2.135

安全子系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)要求…………………

9.2.237

安全子系統(tǒng)安全管理要求……………………

9.2.340

附錄資料性附錄應(yīng)用軟件系統(tǒng)安全的有關(guān)概念說明……………

A()41

附錄資料性附錄應(yīng)用軟件系統(tǒng)安全與信息系統(tǒng)安全的關(guān)系……

B()42

附錄資料性附錄安全技術(shù)要素與安全技術(shù)分等級(jí)要求的對(duì)應(yīng)關(guān)系……………

C()43

參考文獻(xiàn)……………………

47

Ⅲ

GB/T28452—2012

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位北京江南天安科技有限公司北京思源新創(chuàng)信息安全資訊有限公司

:、。

本標(biāo)準(zhǔn)主要起草人吉增瑞陳冠直王志強(qiáng)景乾元

:、、、。

Ⅴ

GB/T28452—2012

引言

本標(biāo)準(zhǔn)描述為實(shí)現(xiàn)所規(guī)定的每一個(gè)安全保護(hù)等級(jí)的應(yīng)用軟件系統(tǒng)應(yīng)達(dá)到的安全

GB17859—1999

技術(shù)要求為按照信息系統(tǒng)安全等級(jí)保護(hù)的要求設(shè)計(jì)和實(shí)現(xiàn)所要求的安全等級(jí)的應(yīng)用軟件系統(tǒng)提供

,

指導(dǎo)

。

從廣義角度應(yīng)用軟件系統(tǒng)應(yīng)該包括針對(duì)特定應(yīng)用開發(fā)的業(yè)務(wù)處理軟件以及為這些業(yè)務(wù)處理軟件

,,

的開發(fā)和運(yùn)行提供支持的各種工具軟件和中間件等本標(biāo)準(zhǔn)僅對(duì)各個(gè)安全保護(hù)等級(jí)的業(yè)務(wù)處理軟件的

。

安全保護(hù)應(yīng)采取的安全技術(shù)進(jìn)行描述

。

應(yīng)用軟件系統(tǒng)是信息系統(tǒng)的重要組成部分是信息系統(tǒng)中對(duì)應(yīng)用業(yè)務(wù)進(jìn)行處理的軟件的總和業(yè)

,。

務(wù)應(yīng)用的安全需求是信息系統(tǒng)安全需求的出發(fā)點(diǎn)和歸宿信息系統(tǒng)安全所采取的一切技術(shù)和管理措

,。

施最終都是為確保業(yè)務(wù)應(yīng)用安全的這些安全措施有的可以在應(yīng)用軟件系統(tǒng)中實(shí)現(xiàn)有的需要在信

,。,,

息系統(tǒng)的其他組成部分實(shí)現(xiàn)

。

本標(biāo)準(zhǔn)主要是對(duì)各個(gè)應(yīng)用領(lǐng)域的應(yīng)用軟件系統(tǒng)普遍適用的安全技術(shù)要素的安全技術(shù)要求的描述

。

不同應(yīng)用領(lǐng)域的應(yīng)用軟件系統(tǒng)可選取不同的安全技術(shù)要素以滿足各自應(yīng)用業(yè)務(wù)的具體安全需求本

,。

標(biāo)準(zhǔn)同時(shí)對(duì)應(yīng)用軟件系統(tǒng)生存周期的各個(gè)階段應(yīng)遵循的安全技術(shù)要求進(jìn)行了簡(jiǎn)要描述

。

按照標(biāo)準(zhǔn)編寫的規(guī)范性要求本標(biāo)準(zhǔn)在第章范圍第章規(guī)范性引用文件及第章術(shù)語和定義

,1、23、

縮略語之后第章應(yīng)用軟件生存周期安全技術(shù)要求從應(yīng)用軟件生存周期的角度分別對(duì)應(yīng)用軟件的

,4,,

開始階段獲得或開發(fā)階段實(shí)現(xiàn)和評(píng)估階段運(yùn)行和維護(hù)階段以及結(jié)束和處置階段的安全技術(shù)要求進(jìn)

、、、

行了簡(jiǎn)要描述標(biāo)準(zhǔn)從第章到第章以的五個(gè)安全等級(jí)的劃分為基本依據(jù)以

。59,GB17859—1999,

關(guān)于信息系統(tǒng)通用安全技術(shù)要求的等級(jí)劃分為基礎(chǔ)對(duì)每一個(gè)安全等級(jí)的應(yīng)用軟

GB/T20271—2006,

件系統(tǒng)的安全技術(shù)要求進(jìn)行了描述包括安全功能技術(shù)要求和安全保證技術(shù)要求含應(yīng)用軟件系統(tǒng)安

,:(

全子系統(tǒng)自身保護(hù)要求應(yīng)用軟件系統(tǒng)安全子系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)要求應(yīng)用軟件系統(tǒng)安全子系統(tǒng)安全管理

、、

要求在第章到第章的分等級(jí)描述中加粗宋體表示在較高等級(jí)中比較低一級(jí)增加或增強(qiáng)的內(nèi)

)。59,“”

容本標(biāo)準(zhǔn)附錄資料性附錄應(yīng)用軟件系統(tǒng)安全的有關(guān)概念說明對(duì)應(yīng)用軟件系統(tǒng)在信息系統(tǒng)中的

。A(),

位置和應(yīng)用軟件系統(tǒng)安全在信息系統(tǒng)安全中的作用等進(jìn)行了說明附錄資料性附錄應(yīng)用軟件系統(tǒng)

。B()

安全與信息系統(tǒng)安全的關(guān)系對(duì)應(yīng)用軟件系統(tǒng)安全是信息系統(tǒng)安全的核心和應(yīng)用軟件系統(tǒng)安全需求就

,

是信息系統(tǒng)安全需求進(jìn)行了描述附錄資料性附錄給出了應(yīng)用軟件系統(tǒng)安全要素與安全分等級(jí)要

。C()

求之間的對(duì)應(yīng)關(guān)系表是安全功能技術(shù)要素與安全功能技術(shù)分等級(jí)要求的對(duì)應(yīng)關(guān)系表是安

。C.1;C.2

全保證技術(shù)要素與安全保證技術(shù)分等級(jí)要求的對(duì)應(yīng)關(guān)系

。

Ⅵ

GB/T28452—2012

信息安全技術(shù)

應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了按照的個(gè)安全保護(hù)等級(jí)的劃分對(duì)應(yīng)用軟件系統(tǒng)進(jìn)行等級(jí)保護(hù)所

GB17859—19995

涉及的通用技術(shù)要求

。

本標(biāo)準(zhǔn)適用于按照的個(gè)安全保護(hù)等級(jí)的劃分對(duì)應(yīng)用軟件系統(tǒng)進(jìn)行的安全等級(jí)

GB17859—19995

保護(hù)的設(shè)計(jì)與實(shí)現(xiàn)對(duì)于按照的個(gè)安全保護(hù)等級(jí)的劃分對(duì)應(yīng)用軟件系統(tǒng)進(jìn)行的安

。GB17859—19995

全等級(jí)保護(hù)的測(cè)試管理也可參照使用

、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的