標準解讀

GB/T 20271-2006《信息安全技術 信息系統通用安全技術要求》是中國制定的一項國家標準,旨在為各類信息系統的安全設計、實施和運維提供一套全面的技術規范和要求。該標準覆蓋了信息安全的多個維度,確保信息系統能夠有效防御各種安全威脅,保護信息的機密性、完整性和可用性。以下是標準內容的關鍵點概述:

  1. 范圍與適用對象:標準適用于政府、企業及各類組織的信息系統,規定了信息系統在規劃、建設、運行維護等生命周期各階段應遵循的安全技術要求。

  2. 安全功能框架:標準定義了一個信息安全功能框架,包括安全策略、安全防護、安全檢測、安全響應和安全管理五大方面,指導實現全方位的安全防護體系。

  3. 安全技術要求

    • 認證機制:要求實現用戶身份驗證,確保只有授權用戶可以訪問系統資源。
    • 訪問控制:明確數據和資源的訪問權限管理規則,防止未授權訪問或越權操作。
    • 數據加密:對敏感信息進行加密處理,保證數據在傳輸和存儲過程中的保密性。
    • 完整性保護:采用校驗機制確保信息不被非法篡改,保持數據完整性。
    • 審計功能:記錄系統活動,便于追蹤安全事件和進行合規性檢查。
    • 網絡安全:包括邊界防護、入侵檢測與防御、網絡流量監控等,保護網絡免受攻擊。
    • 惡意代碼防范:部署反病毒軟件、防火墻等措施,防止惡意代碼傳播。
    • 備份與恢復:定期備份重要數據,并建立災難恢復計劃,確保業務連續性。
    • 物理與環境安全:保護信息系統實體安全,如機房的物理訪問控制、防火防災等。

  4. 安全管理要求:強調了安全管理制度、人員安全意識培訓、安全事件應急響應機制的重要性,要求建立健全安全管理機制。

  5. 評估與符合性:提供了安全技術實施的評估方法和符合性判定準則,幫助組織檢驗其信息系統是否滿足規定的安全要求。


如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。

....

查看全部

  • 現行
  • 正在執行有效
  • 2006-05-31 頒布
  • 2006-12-01 實施
?正版授權
GB/T 20271-2006信息安全技術信息系統通用安全技術要求_第1頁
GB/T 20271-2006信息安全技術信息系統通用安全技術要求_第2頁
GB/T 20271-2006信息安全技術信息系統通用安全技術要求_第3頁
GB/T 20271-2006信息安全技術信息系統通用安全技術要求_第4頁
GB/T 20271-2006信息安全技術信息系統通用安全技術要求_第5頁
已閱讀5頁,還剩83頁未讀 繼續免費閱讀

下載本文檔

GB/T 20271-2006信息安全技術信息系統通用安全技術要求-免費下載試讀頁

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標準

犌犅/犜20271—2006

信息安全技術

信息系統通用安全技術要求

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犆狅犿犿狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀犻狇狌犲狊狉犲狇狌犻狉犲犿犲狀狋犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿

20060531發布20061201實施

中華人民共和國國家質量監督檢驗檢疫總局

發布

中國國家標準化管理委員會

犌犅/犜20271—2006

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅴ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅵ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術語、定義和縮略語!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3.1術語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3.2縮略語!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

4安全功能技術要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

4.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

4.1.1環境安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

4.1.2設備安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

4.1.3記錄介質安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

4.2運行安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

4.2.1風險分析!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

4.2.2信息系統安全性檢測分析!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

4.2.3信息系統安全監控!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

4.2.4安全審計!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

4.2.5信息系統邊界安全防護!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

4.2.6備份與故障恢復!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

4.2.7惡意代碼防護!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

4.2.8信息系統的應急處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

4.2.9可信計算和可信連接技術!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

4.3數據安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

4.3.1身份鑒別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

4.3.2抗抵賴!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

4.3.3自主訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

4.3.4標記!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

4.3.5強制訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

4.3.6用戶數據完整性保護!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

4.3.7用戶數據保密性保護!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

4.3.8數據流控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

4.3.9可信路徑!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

4.3.10密碼支持!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

5安全保證技術要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

5.1SSOIS自身安全保護!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

5.1.1SSF物理安全保護!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

5.1.2SSF運行安全保護!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

5.1.3SSF數據安全保護!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

犌犅/犜20271—2006

5.1.4SSOIS資源利用!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

5.1.5SSOIS訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

5.2SSOIS設計和實現!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

5.2.1配置管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

5.2.2分發和操作!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

5.2.3開發!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

5.2.4文檔要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

5.2.5生存周期支持!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

5.2.6測試!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!26

5.2.7脆弱性評定!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

5.3SSOIS安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

5.3.1SSF功能的管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

5.3.2安全屬性的管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

5.3.3SSF數據的管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

5.3.4安全角色的定義與管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

5.3.5SSOIS安全機制的集中管理!!!!!!!!!!!!!!!!!!!!!!!!!!30

6信息系統安全技術分等級要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

6.1第一級:用戶自主保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

6.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

6.1.2運行安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

6.1.3數據安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

6.1.4SSOIS自身安全保護!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

6.1.5SSOIS設計和實現!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

6.1.6SSOIS安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

6.2第二級:系統審計保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

6.2.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

6.2.2運行安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34

6.2.3數據安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34

6.2.4SSOIS自身安全保護!!!!!!!!!!!!!!!!!!!!!!!!!!!!!35

6.2.5SSOIS設計和實現!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

6.2.6SSOIS安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

6.3第三級:安全標記保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

6.3.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

6.3.2運行安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38

6.3.3數據安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!39

6.3.4SSOIS自身安全保護!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40

6.3.5SSOIS設計和實現!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!41

6.3.6SSOIS安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!42

6.4第四級:結構化保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!42

6.4.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!42

6.4.2運行安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!43

6.4.3數據安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44

6.4.4SSOIS自身安全保護!!!!!!!!!!!!!!!!!!!!!!!!!!!!!46

犌犅/犜20271—2006

6.4.5SSOIS設計和實現!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!47

6.4.6SSOIS安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!48

6.5第五級:訪問驗證保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!48

6.5.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!48

6.5.2運行安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!49

6.5.3數據安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!50

6.5.4SSOIS自身安全保護!!!!!!!!!!!!!!!!!!!!!!!!!!!!!52

6.5.5SSOIS設計和實現!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!53

6.5.6SSOIS安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!54

附錄A(資料性附錄)標準概念說明!!!!!!!!!!!!!!!!!!!!!!!!!!55

A.1組成與相互關系!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!55

A.2關于安全保護等級的劃分!!!!!!!!!!!!!!!!!!!!!!!!!!!!56

A.3關于主體、客體!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!56

A.4關于SSOIS、SSF、SSP、SFP及其相互關系!!!!!!!!!!!!!!!!!!!!!56

A.5關于密碼技術!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!56

A.6關于信息安全技術等級和信息系統安全等級!!!!!!!!!!!!!!!!!!!!56

附錄B(資料性附錄)等級化信息系統安全設計參考!!!!!!!!!!!!!!!!!!!58

B.1安全需求與分等級保護!!!!!!!!!!!!!!!!!!!!!!!!!!!!!58

B.1.1確定安全需求的基本方法!!!!!!!!!!!!!!!!!!!!!!!!!!!58

B.1.2分等級保護的基本思想!!!!!!!!!!!!!!!!!!!!!!!!!!!!58

B.1.3劃分安全保護等級的假定!!!!!!!!!!!!!!!!!!!!!!!!!!!58

B.1.4劃分和確定安全保護等級的原則和方法!!!!!!!!!!!!!!!!!!!!!59

B.2信息系統安全設計概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!61

B.2.1信息系統安全設計總體說明!!!!!!!!!!!!!!!!!!!!!!!!!!61

B.2.2信息系統安全的組成與相互關系!!!!!!!!!!!!!!!!!!!!!!!!63

B.2.3等級化信息系統安全的設計!!!!!!!!!!!!!!!!!!!!!!!!!!63

附錄C(資料性附錄)安全技術要素與安全技術分等級要求的對應關系!!!!!!!!!!!68

參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!78

犌犅/犜20271—2006

前言

本標準的附錄A、附錄B、附錄C是資料性附錄。

本標準由全國信息安全標準化技術委員會提出并歸口。

本標準起草單位:北京思源新創信息安全資訊有限公司,江南計算技術研究所技術服務中心。

本標準主要起草人:吉增瑞、王志強、陳冠直、景乾元、宋健平。

犌犅/犜20271—2006

引言

本標準主要從信息系統安全保護等級劃分的角度,說明為實現GB17859—1999中每一個安全保

護等級的安全功能要求應采取的安全技術措施,以及各安全保護等級的安全功能在具體實現上的差異。

一個復雜的大型/巨大型信息系統可以由若干個分系統或子系統組成。無論從全系統、分系統或子

系統的角度,信息系統一般由支持軟件運行的硬件系統(含計算機硬件系統和網絡硬件系統)、對系統資

源進行管理和為用戶使用提供基本支持的系統軟件(含計算機操作系統軟件、數據庫管理系統軟件和網

絡協議軟件和管理軟件)、實現信息系統應用功能的應用系統軟件等組成。這些硬件和軟件共同協作運

行,實現信息系統的整體功能。從安全角度,組成信息系統各個部分的硬件和軟件都應有相應的安全功

能,確保在其所管轄范圍內的信息安全和提供確定的服務。這些安全功能分別是:確保硬件系統安全的

物理安全,確保數據網上傳輸、交換安全的網絡安全,確保操作系統和數據庫管理系統安全的系統安全

(含系統安全運行和數據安全保護),確保應用軟件安全運行的應用系統安全(含應用系統安全運行和數

據安全保護)。這四個層面的安全,再加上為保證其安全功能達到應有的安全性而必須采取的管理措

施,構成了實現信息系統安全的五個層面的安全。其實,在這五個層面中,許多安全功能和實現機制都

是相同的。比如,身份鑒別、審計、訪問控制、保密性保護、完整性保護等,在每一層都有體現,并有相應

的安全要求。本標準對這些安全功能的描述是從安全技術的角度進行的,每一個安全技術的要求(含功

能要求和保證要求)具有普遍的適用性,比如,對身份鑒別的描述既適用于操作系統,也適用于網絡系

統、數據庫管理系統和應用系統。這種按安全要素對安全技術要求進行描述的方法,具有簡潔、清晰的

優點。

本標準大量采用了GB/T18336—2001(idtISO/IEC15408:1999)的安全功能要求和安全保證要

求的技術內容,并按GB17859—1999的五個等級,對其進行了相應的等級劃分。

本標準首先對信息安全等級保護所涉及的安全功能技術要求和安全保證技術要求做了比較全面的

描述,然后按GB17859—1999的五個安全保護等級,對每一個安全保護等級的安全功能技術要求和安

全保證技術要求做了詳細描述。

需要特別說明的是,信息安全技術等級和信息系統安全等級是兩個既有聯系又不相同的概念。本

標準是對不同安全等級的信息安全技術要求的描述。信息技術安全等級是根據安全功能技術和安全保

證技術實現上的差異,參考國、內外已有標準并結合我國當前信息系統安全的實際情況確定的。而信息

系統的安全等級是根據信息系統的安全需求、參照所采用的安全技術的等級確定的(有關概念的詳細說

明,見A.6關于信息安全技術等級與信息系統安全等級)。為

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論