GB/T 28452-2012信息安全技術應用軟件系統(tǒng)通用安全技術要求

ICS35020

L80.

中華人民共和國國家標準

GB/T28452—2012

信息安全技術

應用軟件系統(tǒng)通用安全技術要求

Informationsecuritytechnology—

Commonsecuritytechniquerequirementforapplicationsoftwaresystem

2012-06-29發(fā)布2012-10-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T28452—2012

目次

前言…………………………

Ⅴ

引言…………………………

Ⅵ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術語和定義縮略語………………………

3、1

術語和定義…………………………

3.11

縮略語………………

3.23

應用軟件生存周期安全技術要求………………………

43

應用軟件開始階段安全技術要求…………………

4.13

應用軟件獲得或開發(fā)階段安全技術要求…………

4.23

應用軟件實現(xiàn)和評估階段安全技術要求…………

4.33

應用軟件運行和維護階段安全技術要求…………

4.44

應用軟件結束和處置階段安全技術要求…………

4.54

第一級應用軟件系統(tǒng)安全技術要求……………………

54

安全功能技術要求…………………

5.14

用戶身份鑒別…………………

5.1.14

自主訪問控制…………………

5.1.25

用戶數(shù)據(jù)完整性保護…………

5.1.35

備份與故障恢復………………

5.1.45

安全保證技術要求…………………

5.25

安全子系統(tǒng)自身安全保護要求………………

5.2.15

安全子系統(tǒng)設計和實現(xiàn)要求…………………

5.2.26

安全子系統(tǒng)安全管理要求……………………

5.2.38

第二級應用軟件系統(tǒng)安全技術要求……………………

68

安全功能技術要求…………………

6.18

用戶身份鑒別…………………

6.1.18

自主訪問控制…………………

6.1.28

安全審計………………………

6.1.39

用戶數(shù)據(jù)完整性保護…………

6.1.49

用戶數(shù)據(jù)保密性保護…………

6.1.59

備份與故障恢復………………

6.1.610

系統(tǒng)安全性檢測分析…………

6.1.710

安全保證技術要求…………………

6.210

安全子系統(tǒng)自身保護要求……………………

6.2.110

安全子系統(tǒng)設計和實現(xiàn)要求…………………

6.2.211

安全子系統(tǒng)安全管理要求……………………

6.2.313

Ⅰ

GB/T28452—2012

第三級應用軟件系統(tǒng)安全技術要求……………………

713

安全功能技術要求…………………

7.113

用戶身份鑒別…………………

7.1.113

抗抵賴…………………………

7.1.214

自主訪問控制…………………

7.1.314

標記……………

7.1.415

強制訪問控制…………………

7.1.515

安全審計………………………

7.1.616

用戶數(shù)據(jù)完整性保護…………

7.1.716

用戶數(shù)據(jù)保密性保護…………

7.1.816

備份與故障恢復………………

7.1.917

系統(tǒng)安全性檢測分析………………………

7.1.1017

安全保證技術要求…………………

7.217

安全子系統(tǒng)自身保護要求……………………

7.2.117

安全子系統(tǒng)設計和實現(xiàn)要求…………………

7.2.219

安全子系統(tǒng)安全管理要求……………………

7.2.321

第四級應用軟件系統(tǒng)安全技術要求……………………

822

安全功能技術要求…………………

8.122

用戶身份鑒別…………………

8.1.122

抗抵賴…………………………

8.1.222

自主訪問控制…………………

8.1.323

標記……………

8.1.423

強制訪問控制…………………

8.1.524

安全審計………………………

8.1.624

用戶數(shù)據(jù)完整性保護…………

8.1.724

用戶數(shù)據(jù)保密性保護…………

8.1.825

可信路徑………………………

8.1.926

備份與故障恢復……………

8.1.1026

系統(tǒng)安全性檢測分析………………………

8.1.1126

安全保證技術要求…………………

8.226

安全子系統(tǒng)自身保護要求……………………

8.2.126

安全子系統(tǒng)設計和實現(xiàn)要求…………………

8.2.227

安全子系統(tǒng)安全管理要求……………………

8.2.330

第五級應用軟件系統(tǒng)安全技術要求……………………

931

安全功能技術要求…………………

9.131

用戶身份鑒別…………………

9.1.131

抗抵賴…………………………

9.1.231

自主訪問控制…………………

9.1.332

標記……………

9.1.432

強制訪問控制…………………

9.1.533

安全審計………………………

9.1.633

用戶數(shù)據(jù)完整性保護…………

9.1.733

Ⅱ

GB/T28452—2012

用戶數(shù)據(jù)保密性保護…………

9.1.834

可信路徑………………………

9.1.935

備份與故障恢復……………

9.1.1035

系統(tǒng)安全性檢測分析………………………

9.1.1135

安全保證技術要求…………………

9.235

安全子系統(tǒng)自身保護要求……………………

9.2.135

安全子系統(tǒng)設計和實現(xiàn)要求…………………

9.2.237

安全子系統(tǒng)安全管理要求……………………

9.2.340

附錄資料性附錄應用軟件系統(tǒng)安全的有關概念說明……………

A()41

附錄資料性附錄應用軟件系統(tǒng)安全與信息系統(tǒng)安全的關系……

B()42

附錄資料性附錄安全技術要素與安全技術分等級要求的對應關系……………

C()43

參考文獻……………………

47

Ⅲ

GB/T28452—2012

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位北京江南天安科技有限公司北京思源新創(chuàng)信息安全資訊有限公司

:、。

本標準主要起草人吉增瑞陳冠直王志強景乾元

:、、、。

Ⅴ

GB/T28452—2012

引言

本標準描述為實現(xiàn)所規(guī)定的每一個安全保護等級的應用軟件系統(tǒng)應達到的安全

GB17859—1999

技術要求為按照信息系統(tǒng)安全等級保護的要求設計和實現(xiàn)所要求的安全等級的應用軟件系統(tǒng)提供

,

指導

。

從廣義角度應用軟件系統(tǒng)應該包括針對特定應用開發(fā)的業(yè)務處理軟件以及為這些業(yè)務處理軟件

,,

的開發(fā)和運行提供支持的各種工具軟件和中間件等本標準僅對各個安全保護等級的業(yè)務處理軟件的

。

安全保護應采取的安全技術進行描述

。

應用軟件系統(tǒng)是信息系統(tǒng)的重要組成部分是信息系統(tǒng)中對應用業(yè)務進行處理的軟件的總和業(yè)

,。

務應用的安全需求是信息系統(tǒng)安全需求的出發(fā)點和歸宿信息系統(tǒng)安全所采取的一切技術和管理措

,。

施最終都是為確保業(yè)務應用安全的這些安全措施有的可以在應用軟件系統(tǒng)中實現(xiàn)有的需要在信

,。,,

息系統(tǒng)的其他組成部分實現(xiàn)

。

本標準主要是對各個應用領域的應用軟件系統(tǒng)普遍適用的安全技術要素的安全技術要求的描述

。

不同應用領域的應用軟件系統(tǒng)可選取不同的安全技術要素以滿足各自應用業(yè)務的具體安全需求本

,。

標準同時對應用軟件系統(tǒng)生存周期的各個階段應遵循的安全技術要求進行了簡要描述

。

按照標準編寫的規(guī)范性要求本標準在第章范圍第章規(guī)范性引用文件及第章術語和定義

,1、23、

縮略語之后第章應用軟件生存周期安全技術要求從應用軟件生存周期的角度分別對應用軟件的

,4,,

開始階段獲得或開發(fā)階段實現(xiàn)和評估階段運行和維護階段以及結束和處置階段的安全技術要求進

、、、

行了簡要描述標準從第章到第章以的五個安全等級的劃分為基本依據(jù)以

。59,GB17859—1999,

關于信息系統(tǒng)通用安全技術要求的等級劃分為基礎對每一個安全等級的應用軟

GB/T20271—2006,

件系統(tǒng)的安全技術要求進行了描述包括安全功能技術要求和安全保證技術要求含應用軟件系統(tǒng)安

,:(

全子系統(tǒng)自身保護要求應用軟件系統(tǒng)安全子系統(tǒng)設計和實現(xiàn)要求應用軟件系統(tǒng)安全子系統(tǒng)安全管理

、、

要求在第章到第章的分等級描述中加粗宋體表示在較高等級中比較低一級增加或增強的內(nèi)

)。59,“”

容本標準附錄資料性附錄應用軟件系統(tǒng)安全的有關概念說明對應用軟件系統(tǒng)在信息系統(tǒng)中的

。A(),

位置和應用軟件系統(tǒng)安全在信息系統(tǒng)安全中的作用等進行了說明附錄資料性附錄應用軟件系統(tǒng)

。B()

安全與信息系統(tǒng)安全的關系對應用軟件系統(tǒng)安全是信息系統(tǒng)安全的核心和應用軟件系統(tǒng)安全需求就

,

是信息系統(tǒng)安全需求進行了描述附錄資料性附錄給出了應用軟件系統(tǒng)安全要素與安全分等級要

。C()

求之間的對應關系表是安全功能技術要素與安全功能技術分等級要求的對應關系表是安

。C.1;C.2

全保證技術要素與安全保證技術分等級要求的對應關系

。

Ⅵ

GB/T28452—2012

信息安全技術

應用軟件系統(tǒng)通用安全技術要求

1范圍

本標準規(guī)定了按照的個安全保護等級的劃分對應用軟件系統(tǒng)進行等級保護所

GB17859—19995

涉及的通用技術要求

。

本標準適用于按照的個安全保護等級的劃分對應用軟件系統(tǒng)進行的安全等級

GB17859—19995

保護的設計與實現(xiàn)對于按照的個安全保護等級的劃分對應用軟件系統(tǒng)進行的安

。GB17859—19995

全等級保護的測試管理也可參照使用

、。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的