ICS35040

L80.

中華人民共和國國家標準

GB/T34990—2017

信息安全技術信息系統(tǒng)安全管理平臺

技術要求和測試評價方法

Informationsecuritytechnology—Technicalrequirementsandtestingevaluation

approachesofinformationsystemsecuritymanagementplatformproducts

2017-11-01發(fā)布2018-05-01實施

中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T34990—2017

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………2

安全管理平臺概述

4………………………3

安全管理平臺基本原理

4.1……………3

安全管理平臺管理對象

4.2……………4

安全管理平臺使用環(huán)境

4.3……………5

安全管理平臺安全等級

4.4……………5

功能要求

5…………………6

功能構成

5.1……………6

基礎功能

5.2……………7

安全策略及安全責任管理功能要求

5.2.1…………7

系統(tǒng)部件管理功能要求

5.2.2………………………9

安全機制管理功能要求

5.2.3………………………12

審計機制管理功能要求

5.2.4………………………14

平臺功能數(shù)據(jù)管理功能要求

5.2.5…………………17

平臺系統(tǒng)接口功能要求

5.2.6………………………19

平臺級聯(lián)功能要求

5.2.7……………21

擴展功能

5.3……………23

物理安全管理

5.3.1…………………23

安全風險管理

5.3.2…………………24

其他擴展功能

5.3.3…………………25

安全要求及保障要求

6……………………25

安全要求

6.1……………25

身份鑒別

6.1.1………………………25

抗抵賴

6.1.2…………………………27

訪問控制

6.1.3………………………27

安全審計

6.1.4………………………28

完整性保護

6.1.5……………………29

保密性保護

6.1.6……………………30

入侵及惡意代碼防范

6.1.7…………31

軟件容錯及資源控制

6.1.8…………32

可信路徑

6.1.9………………………32

密碼支持

6.1.10……………………32

保障要求

6.2……………33

Ⅰ

GB/T34990—2017

配置與設備選型

6.2.1………………33

交付與運行

6.2.2……………………34

開發(fā)

6.2.3……………34

指導性文檔

6.2.4……………………36

測試

6.2.5……………37

脆弱性評定

6.2.6……………………37

生命周期支持

6.2.7…………………38

測試評價方法

7……………39

測試評價范圍

7.1………………………39

平臺功能測試

7.2………………………40

安全策略及安全責任管理功能測試

7.2.1…………40

系統(tǒng)部件管理功能測試

7.2.2………………………42

安全機制管理功能測試

7.2.3………………………44

審計機制管理功能測試

7.2.4………………………47

數(shù)據(jù)管理功能測試

7.2.5……………50

接口管理功能測試

7.2.6……………52

級聯(lián)功能測試

7.2.7…………………53

附錄資料性附錄安全管理平臺技術要求安全等級劃分

A()…………56

附錄資料性附錄平臺對各類管理對象的控制過程說明

B()…………59

附錄資料性附錄安全管理平臺在云計算中的應用

C()………………63

附錄資料性附錄信息系統(tǒng)安全機制參考

D()…………65

參考文獻

……………………69

Ⅱ

GB/T34990—2017

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位公安部第一研究所北京中科網(wǎng)威信息技術有限公司北京江南天安科技有限公

:、、

司公安部計算機信息系統(tǒng)安全產(chǎn)品質量監(jiān)督檢驗中心浙江遠望電子有限公司中國電信股份有限公

、、、

司北京研究院北京凝思科技有限公司北京啟明星辰信息技術股份有限公司北京賽博興安科技有限

、、、

公司北京華熱科技發(fā)展有限公司北京初志科技有限公司北京聆云信息技術有限公司

、、、。

本標準主要起草人胡志昂陳冠直景乾元殷國強張翔蘇智睿張笑笑傅如毅劉兵明旭

:、、、、、、、、、、

胡托任王磊李大鵬李清玉

、、、。

Ⅲ

GB/T34990—2017

引言

本標準中安全管理平臺是能夠滿足國家信息安全管理需要體現(xiàn)組織管理層意志以信息安全策

,,,

略和管理責任為主線以信息系統(tǒng)的系統(tǒng)部件管理安全機制管理審計機制管理為主要手段以信息安

,、、,

全管理對象識別安全策略設置安全機制監(jiān)控安全事件處置為主要工作過程實現(xiàn)信息安全管理和信

、、、,

息安全技術有機結合的安全管理中心的關鍵技術支撐性產(chǎn)品安全管理平臺適用于不同安全保護等級

。

的信息系統(tǒng)更有益于關鍵信息基礎設施的安全集中管理

,。

本標準依據(jù)國家信息安全等級保護要求提出了統(tǒng)一管理安全機制的平臺規(guī)定了安全管理平臺的

,,

技術要求和測試評價方法本標準的第章安全管理平臺概述明確了基本原理管理對象使用環(huán)境

。4,、、

和安全等級第章安全管理平臺的功能要求闡述了功能構成基礎功能擴展功能其中基礎功能

。5,、、;,

包括安全策略及安全責任管理功能要求系統(tǒng)部件管理功能要求安全機制管理功能要求審計機制管

、、、

理功能要求平臺功能數(shù)據(jù)管理功能要求平臺系統(tǒng)接口功能要求平臺級聯(lián)功能要求擴展功能包括

、、、;,

物理安全管理安全風險管理和其他擴展功能要求第章安全管理平臺的安全要求及保障要求闡述

、。6,

了平臺自身的安全要求保障要求第章安全管理平臺的測試評價方法闡述了測試評價范圍平臺

、。7,、

功能測試本標準的附錄均為資料性附錄其中附錄闡述了安全管理平臺技術要求安全等級劃分

。,,A,

附錄闡述了平臺對各類管理對象的控制過程說明附錄闡述了安全管理平臺在云計算中的應用

B,C,

附錄闡述了信息系統(tǒng)安全機制參考

D。

Ⅳ

GB/T34990—2017

信息安全技術信息系統(tǒng)安全管理平臺

技術要求和測試評價方法

1范圍

本標準規(guī)定了安全管理平臺的基于信息安全策略和管理責任的系統(tǒng)管理安全管理審計管理等功

、、

能以及對象識別策略設置安全監(jiān)控事件處置等過程的平臺功能要求平臺自身的安全要求保障要

,、、、,、

求以及測試評價方法

,。

本標準適用于安全管理平臺的規(guī)劃設計開發(fā)和檢測評估以及在信息系統(tǒng)安全管理中心中的

、、,

應用

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計算機信息系統(tǒng)安全保護等級劃分準則

GB17859—1999

信息安全技術路由器安全技術要求

GB/T18018

信息安全技術信息系統(tǒng)安全管理要求

GB/T20269—2006

信息安全技術網(wǎng)絡基礎安全技術要求

GB/T20270

信息安全技術操作系統(tǒng)安全技術要求

GB/T20272

信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全技術要求

GB/T20273

信息安全技術網(wǎng)絡入侵檢測系統(tǒng)技術要求和測試評價方法

GB/T20275

信息安全技術網(wǎng)絡和終端隔離產(chǎn)品安全技術要求

GB/T20279

信息安全技術防火墻安全技術要求和測試評價方法

GB/T20281

信息安全技術信息系統(tǒng)安全審計產(chǎn)