標準解讀

《GB/T 28452-2012 信息安全技術 應用軟件系統通用安全技術要求》是中國國家標準之一,該標準規定了應用軟件系統在設計、開發、測試及運行維護過程中所需遵循的安全技術要求。這些要求旨在提高應用軟件系統的安全性,減少潛在的安全風險。

標準首先明確了其適用范圍,適用于各種類型的應用軟件系統,包括但不限于Web應用、移動應用等,并為開發者提供了全面的安全指導原則和技術規范。

根據文檔內容,《GB/T 28452-2012》主要從以下幾個方面對應用軟件系統提出了具體的安全技術要求:

  1. 物理安全:確保存放有敏感信息或關鍵組件的物理環境得到適當保護。
  2. 網絡安全:通過實施防火墻規則、加密通信等方式來保護數據在網絡傳輸過程中的安全。
  3. 主機安全:加強操作系統層面的安全配置管理,比如關閉不必要的服務端口、定期更新補丁等措施。
  4. 應用安全:針對應用程序本身進行加固處理,防止SQL注入攻擊、跨站腳本(XSS)攻擊等問題發生。
  5. 數據安全:采取有效手段保證重要數據的機密性、完整性和可用性,如使用加密算法存儲密碼等敏感信息。
  6. 安全管理:建立健全的信息安全管理制度,包括訪問控制策略、審計日志記錄等方面的內容。


如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。

....

查看全部

  • 現行
  • 正在執行有效
  • 2012-06-29 頒布
  • 2012-10-01 實施
?正版授權
GB/T 28452-2012信息安全技術應用軟件系統通用安全技術要求_第1頁
GB/T 28452-2012信息安全技術應用軟件系統通用安全技術要求_第2頁
GB/T 28452-2012信息安全技術應用軟件系統通用安全技術要求_第3頁
GB/T 28452-2012信息安全技術應用軟件系統通用安全技術要求_第4頁
GB/T 28452-2012信息安全技術應用軟件系統通用安全技術要求_第5頁
已閱讀5頁,還剩51頁未讀, 繼續免費閱讀

下載本文檔

GB/T 28452-2012信息安全技術應用軟件系統通用安全技術要求-免費下載試讀頁

文檔簡介

ICS35020

L80.

中華人民共和國國家標準

GB/T28452—2012

信息安全技術

應用軟件系統通用安全技術要求

Informationsecuritytechnology—

Commonsecuritytechniquerequirementforapplicationsoftwaresystem

2012-06-29發布2012-10-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T28452—2012

目次

前言…………………………

引言…………………………

范圍………………………

11

規范性引用文件…………………………

21

術語和定義縮略語………………………

3、1

術語和定義…………………………

3.11

縮略語………………

3.23

應用軟件生存周期安全技術要求………………………

43

應用軟件開始階段安全技術要求…………………

4.13

應用軟件獲得或開發階段安全技術要求…………

4.23

應用軟件實現和評估階段安全技術要求…………

4.33

應用軟件運行和維護階段安全技術要求…………

4.44

應用軟件結束和處置階段安全技術要求…………

4.54

第一級應用軟件系統安全技術要求……………………

54

安全功能技術要求…………………

5.14

用戶身份鑒別…………………

5.1.14

自主訪問控制…………………

5.1.25

用戶數據完整性保護…………

5.1.35

備份與故障恢復………………

5.1.45

安全保證技術要求…………………

5.25

安全子系統自身安全保護要求………………

5.2.15

安全子系統設計和實現要求…………………

5.2.26

安全子系統安全管理要求……………………

5.2.38

第二級應用軟件系統安全技術要求……………………

68

安全功能技術要求…………………

6.18

用戶身份鑒別…………………

6.1.18

自主訪問控制…………………

6.1.28

安全審計………………………

6.1.39

用戶數據完整性保護…………

6.1.49

用戶數據保密性保護…………

6.1.59

備份與故障恢復………………

6.1.610

系統安全性檢測分析…………

6.1.710

安全保證技術要求…………………

6.210

安全子系統自身保護要求……………………

6.2.110

安全子系統設計和實現要求…………………

6.2.211

安全子系統安全管理要求……………………

6.2.313

GB/T28452—2012

第三級應用軟件系統安全技術要求……………………

713

安全功能技術要求…………………

7.113

用戶身份鑒別…………………

7.1.113

抗抵賴…………………………

7.1.214

自主訪問控制…………………

7.1.314

標記……………

7.1.415

強制訪問控制…………………

7.1.515

安全審計………………………

7.1.616

用戶數據完整性保護…………

7.1.716

用戶數據保密性保護…………

7.1.816

備份與故障恢復………………

7.1.917

系統安全性檢測分析………………………

7.1.1017

安全保證技術要求…………………

7.217

安全子系統自身保護要求……………………

7.2.117

安全子系統設計和實現要求…………………

7.2.219

安全子系統安全管理要求……………………

7.2.321

第四級應用軟件系統安全技術要求……………………

822

安全功能技術要求…………………

8.122

用戶身份鑒別…………………

8.1.122

抗抵賴…………………………

8.1.222

自主訪問控制…………………

8.1.323

標記……………

8.1.423

強制訪問控制…………………

8.1.524

安全審計………………………

8.1.624

用戶數據完整性保護…………

8.1.724

用戶數據保密性保護…………

8.1.825

可信路徑………………………

8.1.926

備份與故障恢復……………

8.1.1026

系統安全性檢測分析………………………

8.1.1126

安全保證技術要求…………………

8.226

安全子系統自身保護要求……………………

8.2.126

安全子系統設計和實現要求…………………

8.2.227

安全子系統安全管理要求……………………

8.2.330

第五級應用軟件系統安全技術要求……………………

931

安全功能技術要求…………………

9.131

用戶身份鑒別…………………

9.1.131

抗抵賴…………………………

9.1.231

自主訪問控制…………………

9.1.332

標記……………

9.1.432

強制訪問控制…………………

9.1.533

安全審計………………………

9.1.633

用戶數據完整性保護…………

9.1.733

GB/T28452—2012

用戶數據保密性保護…………

9.1.834

可信路徑………………………

9.1.935

備份與故障恢復……………

9.1.1035

系統安全性檢測分析………………………

9.1.1135

安全保證技術要求…………………

9.235

安全子系統自身保護要求……………………

9.2.135

安全子系統設計和實現要求…………………

9.2.237

安全子系統安全管理要求……………………

9.2.340

附錄資料性附錄應用軟件系統安全的有關概念說明……………

A()41

附錄資料性附錄應用軟件系統安全與信息系統安全的關系……

B()42

附錄資料性附錄安全技術要素與安全技術分等級要求的對應關系……………

C()43

參考文獻……………………

47

GB/T28452—2012

前言

本標準按照給出的規則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位北京江南天安科技有限公司北京思源新創信息安全資訊有限公司

:、。

本標準主要起草人吉增瑞陳冠直王志強景乾元

:、、、。

GB/T28452—2012

引言

本標準描述為實現所規定的每一個安全保護等級的應用軟件系統應達到的安全

GB17859—1999

技術要求為按照信息系統安全等級保護的要求設計和實現所要求的安全等級的應用軟件系統提供

,

指導

。

從廣義角度應用軟件系統應該包括針對特定應用開發的業務處理軟件以及為這些業務處理軟件

,,

的開發和運行提供支持的各種工具軟件和中間件等本標準僅對各個安全保護等級的業務處理軟件的

安全保護應采取的安全技術進行描述

。

應用軟件系統是信息系統的重要組成部分是信息系統中對應用業務進行處理的軟件的總和業

,。

務應用的安全需求是信息系統安全需求的出發點和歸宿信息系統安全所采取的一切技術和管理措

,。

施最終都是為確保業務應用安全的這些安全措施有的可以在應用軟件系統中實現有的需要在信

,。,,

息系統的其他組成部分實現

本標準主要是對各個應用領域的應用軟件系統普遍適用的安全技術要素的安全技術要求的描述

。

不同應用領域的應用軟件系統可選取不同的安全技術要素以滿足各自應用業務的具體安全需求本

,。

標準同時對應用軟件系統生存周期的各個階段應遵循的安全技術要求進行了簡要描述

。

按照標準編寫的規范性要求本標準在第章范圍第章規范性引用文件及第章術語和定義

,1、23、

縮略語之后第章應用軟件生存周期安全技術要求從應用軟件生存周期的角度分別對應用軟件的

,4,,

開始階段獲得或開發階段實現和評估階段運行和維護階段以及結束和處置階段的安全技術要求進

、、、

行了簡要描述標準從第章到第章以的五個安全等級的劃分為基本依據以

。59,GB17859—1999,

關于信息系統通用安全技術要求的等級劃分為基礎對每一個安全等級的應用軟

GB/T20271—2006,

件系統的安全技術要求進行了描述包括安全功能技術要求和安全保證技術要求含應用軟件系統安

,:(

全子系統自身保護要求應用軟件系統安全子系統設計和實現要求應用軟件系統安全子系統安全管理

、、

要求在第章到第章的分等級描述中加粗宋體表示在較高等級中比較低一級增加或增強的內

)。59,“”

容本標準附錄資料性附錄應用軟件系統安全的有關概念說明對應用軟件系統在信息系統中的

。A(),

位置和應用軟件系統安全在信息系統安全中的作用等進行了說明附錄資料性附錄應用軟件系統

。B()

安全與信息系統安全的關系對應用軟件系統安全是信息系統安全的核心和應用軟件系統安全需求就

,

是信息系統安全需求進行了描述附錄資料性附錄給出了應用軟件系統安全要素與安全分等級要

。C()

求之間的對應關系表是安全功能技術要素與安全功能技術分等級要求的對應關系表是安

。C.1;C.2

全保證技術要素與安全保證技術分等級要求的對應關系

。

GB/T28452—2012

信息安全技術

應用軟件系統通用安全技術要求

1范圍

本標準規定了按照的個安全保護等級的劃分對應用軟件系統進行等級保護所

GB17859—19995

涉及的通用技術要求

本標準適用于按照的個安全保護等級的劃分對應用軟件系統進行的安全等級

GB17859—19995

保護的設計與實現對于按照的個安全保護等級的劃分對應用軟件系統進行的安

。GB17859—19995

全等級保護的測試管理也可參照使用

、。

2規范性引用文件

下列文件對于本文件的應用是必不可少的

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論