標(biāo)準(zhǔn)解讀

《GB/T 28452-2012 信息安全技術(shù) 應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求》是中國國家標(biāo)準(zhǔn)之一,該標(biāo)準(zhǔn)規(guī)定了應(yīng)用軟件系統(tǒng)在設(shè)計(jì)、開發(fā)、測試及運(yùn)行維護(hù)過程中所需遵循的安全技術(shù)要求。這些要求旨在提高應(yīng)用軟件系統(tǒng)的安全性,減少潛在的安全風(fēng)險(xiǎn)。

標(biāo)準(zhǔn)首先明確了其適用范圍,適用于各種類型的應(yīng)用軟件系統(tǒng),包括但不限于Web應(yīng)用、移動(dòng)應(yīng)用等,并為開發(fā)者提供了全面的安全指導(dǎo)原則和技術(shù)規(guī)范。

根據(jù)文檔內(nèi)容,《GB/T 28452-2012》主要從以下幾個(gè)方面對應(yīng)用軟件系統(tǒng)提出了具體的安全技術(shù)要求:

  1. 物理安全:確保存放有敏感信息或關(guān)鍵組件的物理環(huán)境得到適當(dāng)保護(hù)。
  2. 網(wǎng)絡(luò)安全:通過實(shí)施防火墻規(guī)則、加密通信等方式來保護(hù)數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的安全。
  3. 主機(jī)安全:加強(qiáng)操作系統(tǒng)層面的安全配置管理,比如關(guān)閉不必要的服務(wù)端口、定期更新補(bǔ)丁等措施。
  4. 應(yīng)用安全:針對應(yīng)用程序本身進(jìn)行加固處理,防止SQL注入攻擊、跨站腳本(XSS)攻擊等問題發(fā)生。
  5. 數(shù)據(jù)安全:采取有效手段保證重要數(shù)據(jù)的機(jī)密性、完整性和可用性,如使用加密算法存儲密碼等敏感信息。
  6. 安全管理:建立健全的信息安全管理制度,包括訪問控制策略、審計(jì)日志記錄等方面的內(nèi)容。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2012-06-29 頒布
  • 2012-10-01 實(shí)施
?正版授權(quán)
GB/T 28452-2012信息安全技術(shù)應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求_第1頁
GB/T 28452-2012信息安全技術(shù)應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求_第2頁
GB/T 28452-2012信息安全技術(shù)應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求_第3頁
GB/T 28452-2012信息安全技術(shù)應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求_第4頁
GB/T 28452-2012信息安全技術(shù)應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求_第5頁
已閱讀5頁,還剩51頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/T 28452-2012信息安全技術(shù)應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求-免費(fèi)下載試讀頁

文檔簡介

ICS35020

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T28452—2012

信息安全技術(shù)

應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求

Informationsecuritytechnology—

Commonsecuritytechniquerequirementforapplicationsoftwaresystem

2012-06-29發(fā)布2012-10-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T28452—2012

目次

前言…………………………

引言…………………………

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義縮略語………………………

3、1

術(shù)語和定義…………………………

3.11

縮略語………………

3.23

應(yīng)用軟件生存周期安全技術(shù)要求………………………

43

應(yīng)用軟件開始階段安全技術(shù)要求…………………

4.13

應(yīng)用軟件獲得或開發(fā)階段安全技術(shù)要求…………

4.23

應(yīng)用軟件實(shí)現(xiàn)和評估階段安全技術(shù)要求…………

4.33

應(yīng)用軟件運(yùn)行和維護(hù)階段安全技術(shù)要求…………

4.44

應(yīng)用軟件結(jié)束和處置階段安全技術(shù)要求…………

4.54

第一級應(yīng)用軟件系統(tǒng)安全技術(shù)要求……………………

54

安全功能技術(shù)要求…………………

5.14

用戶身份鑒別…………………

5.1.14

自主訪問控制…………………

5.1.25

用戶數(shù)據(jù)完整性保護(hù)…………

5.1.35

備份與故障恢復(fù)………………

5.1.45

安全保證技術(shù)要求…………………

5.25

安全子系統(tǒng)自身安全保護(hù)要求………………

5.2.15

安全子系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)要求…………………

5.2.26

安全子系統(tǒng)安全管理要求……………………

5.2.38

第二級應(yīng)用軟件系統(tǒng)安全技術(shù)要求……………………

68

安全功能技術(shù)要求…………………

6.18

用戶身份鑒別…………………

6.1.18

自主訪問控制…………………

6.1.28

安全審計(jì)………………………

6.1.39

用戶數(shù)據(jù)完整性保護(hù)…………

6.1.49

用戶數(shù)據(jù)保密性保護(hù)…………

6.1.59

備份與故障恢復(fù)………………

6.1.610

系統(tǒng)安全性檢測分析…………

6.1.710

安全保證技術(shù)要求…………………

6.210

安全子系統(tǒng)自身保護(hù)要求……………………

6.2.110

安全子系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)要求…………………

6.2.211

安全子系統(tǒng)安全管理要求……………………

6.2.313

GB/T28452—2012

第三級應(yīng)用軟件系統(tǒng)安全技術(shù)要求……………………

713

安全功能技術(shù)要求…………………

7.113

用戶身份鑒別…………………

7.1.113

抗抵賴…………………………

7.1.214

自主訪問控制…………………

7.1.314

標(biāo)記……………

7.1.415

強(qiáng)制訪問控制…………………

7.1.515

安全審計(jì)………………………

7.1.616

用戶數(shù)據(jù)完整性保護(hù)…………

7.1.716

用戶數(shù)據(jù)保密性保護(hù)…………

7.1.816

備份與故障恢復(fù)………………

7.1.917

系統(tǒng)安全性檢測分析………………………

7.1.1017

安全保證技術(shù)要求…………………

7.217

安全子系統(tǒng)自身保護(hù)要求……………………

7.2.117

安全子系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)要求…………………

7.2.219

安全子系統(tǒng)安全管理要求……………………

7.2.321

第四級應(yīng)用軟件系統(tǒng)安全技術(shù)要求……………………

822

安全功能技術(shù)要求…………………

8.122

用戶身份鑒別…………………

8.1.122

抗抵賴…………………………

8.1.222

自主訪問控制…………………

8.1.323

標(biāo)記……………

8.1.423

強(qiáng)制訪問控制…………………

8.1.524

安全審計(jì)………………………

8.1.624

用戶數(shù)據(jù)完整性保護(hù)…………

8.1.724

用戶數(shù)據(jù)保密性保護(hù)…………

8.1.825

可信路徑………………………

8.1.926

備份與故障恢復(fù)……………

8.1.1026

系統(tǒng)安全性檢測分析………………………

8.1.1126

安全保證技術(shù)要求…………………

8.226

安全子系統(tǒng)自身保護(hù)要求……………………

8.2.126

安全子系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)要求…………………

8.2.227

安全子系統(tǒng)安全管理要求……………………

8.2.330

第五級應(yīng)用軟件系統(tǒng)安全技術(shù)要求……………………

931

安全功能技術(shù)要求…………………

9.131

用戶身份鑒別…………………

9.1.131

抗抵賴…………………………

9.1.231

自主訪問控制…………………

9.1.332

標(biāo)記……………

9.1.432

強(qiáng)制訪問控制…………………

9.1.533

安全審計(jì)………………………

9.1.633

用戶數(shù)據(jù)完整性保護(hù)…………

9.1.733

GB/T28452—2012

用戶數(shù)據(jù)保密性保護(hù)…………

9.1.834

可信路徑………………………

9.1.935

備份與故障恢復(fù)……………

9.1.1035

系統(tǒng)安全性檢測分析………………………

9.1.1135

安全保證技術(shù)要求…………………

9.235

安全子系統(tǒng)自身保護(hù)要求……………………

9.2.135

安全子系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)要求…………………

9.2.237

安全子系統(tǒng)安全管理要求……………………

9.2.340

附錄資料性附錄應(yīng)用軟件系統(tǒng)安全的有關(guān)概念說明……………

A()41

附錄資料性附錄應(yīng)用軟件系統(tǒng)安全與信息系統(tǒng)安全的關(guān)系……

B()42

附錄資料性附錄安全技術(shù)要素與安全技術(shù)分等級要求的對應(yīng)關(guān)系……………

C()43

參考文獻(xiàn)……………………

47

GB/T28452—2012

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位北京江南天安科技有限公司北京思源新創(chuàng)信息安全資訊有限公司

:、。

本標(biāo)準(zhǔn)主要起草人吉增瑞陳冠直王志強(qiáng)景乾元

:、、、。

GB/T28452—2012

引言

本標(biāo)準(zhǔn)描述為實(shí)現(xiàn)所規(guī)定的每一個(gè)安全保護(hù)等級的應(yīng)用軟件系統(tǒng)應(yīng)達(dá)到的安全

GB17859—1999

技術(shù)要求為按照信息系統(tǒng)安全等級保護(hù)的要求設(shè)計(jì)和實(shí)現(xiàn)所要求的安全等級的應(yīng)用軟件系統(tǒng)提供

,

指導(dǎo)

。

從廣義角度應(yīng)用軟件系統(tǒng)應(yīng)該包括針對特定應(yīng)用開發(fā)的業(yè)務(wù)處理軟件以及為這些業(yè)務(wù)處理軟件

,,

的開發(fā)和運(yùn)行提供支持的各種工具軟件和中間件等本標(biāo)準(zhǔn)僅對各個(gè)安全保護(hù)等級的業(yè)務(wù)處理軟件的

安全保護(hù)應(yīng)采取的安全技術(shù)進(jìn)行描述

。

應(yīng)用軟件系統(tǒng)是信息系統(tǒng)的重要組成部分是信息系統(tǒng)中對應(yīng)用業(yè)務(wù)進(jìn)行處理的軟件的總和業(yè)

,。

務(wù)應(yīng)用的安全需求是信息系統(tǒng)安全需求的出發(fā)點(diǎn)和歸宿信息系統(tǒng)安全所采取的一切技術(shù)和管理措

,。

施最終都是為確保業(yè)務(wù)應(yīng)用安全的這些安全措施有的可以在應(yīng)用軟件系統(tǒng)中實(shí)現(xiàn)有的需要在信

,。,,

息系統(tǒng)的其他組成部分實(shí)現(xiàn)

。

本標(biāo)準(zhǔn)主要是對各個(gè)應(yīng)用領(lǐng)域的應(yīng)用軟件系統(tǒng)普遍適用的安全技術(shù)要素的安全技術(shù)要求的描述

不同應(yīng)用領(lǐng)域的應(yīng)用軟件系統(tǒng)可選取不同的安全技術(shù)要素以滿足各自應(yīng)用業(yè)務(wù)的具體安全需求本

,。

標(biāo)準(zhǔn)同時(shí)對應(yīng)用軟件系統(tǒng)生存周期的各個(gè)階段應(yīng)遵循的安全技術(shù)要求進(jìn)行了簡要描述

。

按照標(biāo)準(zhǔn)編寫的規(guī)范性要求本標(biāo)準(zhǔn)在第章范圍第章規(guī)范性引用文件及第章術(shù)語和定義

,1、23、

縮略語之后第章應(yīng)用軟件生存周期安全技術(shù)要求從應(yīng)用軟件生存周期的角度分別對應(yīng)用軟件的

,4,,

開始階段獲得或開發(fā)階段實(shí)現(xiàn)和評估階段運(yùn)行和維護(hù)階段以及結(jié)束和處置階段的安全技術(shù)要求進(jìn)

、、、

行了簡要描述標(biāo)準(zhǔn)從第章到第章以的五個(gè)安全等級的劃分為基本依據(jù)以

。59,GB17859—1999,

關(guān)于信息系統(tǒng)通用安全技術(shù)要求的等級劃分為基礎(chǔ)對每一個(gè)安全等級的應(yīng)用軟

GB/T20271—2006,

件系統(tǒng)的安全技術(shù)要求進(jìn)行了描述包括安全功能技術(shù)要求和安全保證技術(shù)要求含應(yīng)用軟件系統(tǒng)安

,:(

全子系統(tǒng)自身保護(hù)要求應(yīng)用軟件系統(tǒng)安全子系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)要求應(yīng)用軟件系統(tǒng)安全子系統(tǒng)安全管理

、、

要求在第章到第章的分等級描述中加粗宋體表示在較高等級中比較低一級增加或增強(qiáng)的內(nèi)

)。59,“”

容本標(biāo)準(zhǔn)附錄資料性附錄應(yīng)用軟件系統(tǒng)安全的有關(guān)概念說明對應(yīng)用軟件系統(tǒng)在信息系統(tǒng)中的

。A(),

位置和應(yīng)用軟件系統(tǒng)安全在信息系統(tǒng)安全中的作用等進(jìn)行了說明附錄資料性附錄應(yīng)用軟件系統(tǒng)

。B()

安全與信息系統(tǒng)安全的關(guān)系對應(yīng)用軟件系統(tǒng)安全是信息系統(tǒng)安全的核心和應(yīng)用軟件系統(tǒng)安全需求就

,

是信息系統(tǒng)安全需求進(jìn)行了描述附錄資料性附錄給出了應(yīng)用軟件系統(tǒng)安全要素與安全分等級要

。C()

求之間的對應(yīng)關(guān)系表是安全功能技術(shù)要素與安全功能技術(shù)分等級要求的對應(yīng)關(guān)系表是安

。C.1;C.2

全保證技術(shù)要素與安全保證技術(shù)分等級要求的對應(yīng)關(guān)系

。

GB/T28452—2012

信息安全技術(shù)

應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了按照的個(gè)安全保護(hù)等級的劃分對應(yīng)用軟件系統(tǒng)進(jìn)行等級保護(hù)所

GB17859—19995

涉及的通用技術(shù)要求

。

本標(biāo)準(zhǔn)適用于按照的個(gè)安全保護(hù)等級的劃分對應(yīng)用軟件系統(tǒng)進(jìn)行的安全等級

GB17859—19995

保護(hù)的設(shè)計(jì)與實(shí)現(xiàn)對于按照的個(gè)安全保護(hù)等級的劃分對應(yīng)用軟件系統(tǒng)進(jìn)行的安

。GB17859—19995

全等級保護(hù)的測試管理也可參照使用

、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

最新文檔

評論

0/150

提交評論