信息安全等级保护检测产品检验规范
全国公安机关信息安全等级保护工作培训会议在郑州召开
l 信息安全技术 网络和终端设备隔离部件安全技术 要求 B 2 2 9 2 0 分级 2 信息安全技术 公钥基础 设施时间戳规 范 C / 0 7 — 0 6 r 4 2 青 息安全技术 防火墙技术要求和测 试评 价方法 / 0 8 - 0 6 分级 2 网络代理服务 器的安 全技术要求 ( 2 2 12 0 Br 5
了重要讲话。赵林 副主任 在讲话 中总结 了公 安机 关组织 开展信息安 全 等级保护定 级备案、等级测评体 系建设、部 署备案单位开展等 级测评
范 水平 ,推动 网安基 础工作 的角度去反 映工作成 效,从形成 具有 中
和安 全建设整 改、监督检 查等级保 护工作 落实等 方面 的工作成 绩,认 真分析 了当前信息安全等 级保护工作面临的严峻形势,指 出了当前各地
3 l2 言 息安全技术公钥基础设 施特定权限 管理中 心技术规 G , 59 2 0 范 B 2 1— 0 6 r0
全 国公 安机 关信 息安 全 等级保护工作培训会议在郑州召开
为学 习掌握开展 等级保 护工作 的基 本思 路、工作内容、工作 方法
和 要 求 , 交 流 先 进 经 验 和 做 法 ,推 动 公 安 机 关 深 入 开展 信 息 安 全 等 级
保护工作,经 公安 部领导 批准 ,公 安部 网络 安全 保卫局 于 6月 2 4日 至2 5日在河南 郑州召开 了全 国公安机 关 信息安全 等 级保护工作 培训 会。来 自全国各省 级公安机 关网安部 门分管等级保 护工作 的副 总队长 ( 处长 )和负责 等级 保护工作的 队长 ( 长 ) 科 、计 划单列市 公安局 网安
等级保护工作 中存在的领导不重视 、政 策标准不清 楚和发展 不平衡等 突出问题 ,并重点强调 了下~ 步的具体工作。同时,赵林副主任在会议 结束时 针对贯彻 落实本 次会议精神 提出了具体工作 意见,要 求会后各
ul安全测试标准
ul安全测试标准一、概述ul安全测试标准是针对电子设备安全性能的一种评估标准,旨在确保产品的安全性和可靠性。
本标准适用于各种类型的电子设备,包括但不限于计算机、网络设备、智能家居设备等。
二、测试范围1. 硬件安全:检查设备部件是否符合安全标准,是否存在潜在的机械损伤或过热等问题。
2. 软件安全:评估软件是否存在漏洞、后门、病毒等安全隐患,以及软件更新和升级的流程是否安全可靠。
3. 数据保护:检查设备是否具备数据加密、备份和恢复等功能,以确保数据的安全性和完整性。
4. 网络安全:评估设备是否具备抵御网络攻击的能力,如拒绝服务攻击、恶意软件入侵等。
5. 用户界面安全:检查用户界面是否存在误导、误操作等问题,以确保用户在使用过程中不会受到伤害。
三、测试方法1. 物理安全测试:对设备的外观、结构、材料等进行检查,确保设备不会因意外跌落、碰撞等导致损坏。
2. 软件漏洞扫描:使用专业的漏洞扫描工具对软件进行扫描,查找潜在的安全漏洞。
3. 病毒测试:模拟病毒攻击,检查设备是否具备有效的病毒检测和清除机制。
4. 数据加密和备份测试:对设备的数据加密和备份功能进行测试,确保数据的安全性和完整性。
5. 网络攻击测试:模拟网络攻击,检查设备是否具备有效的防护机制,以抵御各种网络攻击手段。
6. 用户界面测试:对用户界面的易用性、稳定性和安全性进行测试,确保用户在使用过程中不会受到伤害。
四、测试报告在完成测试后,需要对测试结果进行整理和分析,形成测试报告。
测试报告应包括以下内容:1. 设备基本信息;2. 测试环境描述;3. 测试方法及过程描述;4. 测试结果分析;5. 安全建议和改进措施;6. 报告签署和日期。
五、认证流程ul安全测试标准认证流程一般包括以下步骤:1. 申请:向认证机构提交申请表和相关资料;2. 审核:认证机构对申请进行审核,确认符合要求;3. 测试:根据ul安全测试标准对设备进行测试;4. 报告:完成测试后,认证机构出具测试报告;5. 认证:根据测试报告和改进建议,认证机构对设备进行认证;6. 颁发证书:认证通过后,认证机构颁发ul安全测试标准认证证书。
信息系统安全等级保护2级和3级标准差异对比
管理大概80,外网大概40,服务器数外网网络边界进行访问控制,基本的终端数量:内网大概80,外网大概40,服务器数量:11网络现况:电信宽带30MB(互联网),电信专网4MB(一门诊)、10MB(城北门诊),医保电信ADSL,电子远程药品监空系统移动光缆(带宽不详)现有应用系统:HIS、LIS、PACS 、EMR、物资资产财务、CA认证、医保数据备份:没有现有网络安全产品:防火墙1台(网神)在互联网出口处;服务器及内网终端安装Mcafee杀毒软件终端安全管理产品:没有分支机构远程连接:有2个分门诊,使用Radmin 、飞秋、远程桌面等局域网内部远程工具终端使用操作系统:WinXP、win8、win sever 2003、win sever 2008操作系统补丁更新:服务器与内网终端没有更新过终端杀毒软件:服务器、内网终端安装华军软件及功能:1)外网防火墙(对外网网络边界进行访问控制,基本的入侵防护的,可考虑原有网神防火墙利旧,需确认原有网神防火墙是否满足需求)2)内网防火墙(对内部网络边界进行访问控制,基本的入侵防护等)3)终端企业版杀毒软件(服务器及终端主机的防病毒统一管理、可进行终端个体的漏洞扫描及补丁更新)4)终端安全产品(对终端的信息安全进行防护,后期可根据需求增加和调整功能模块) 5)上网行为管理设备(对外网终端的上网行为进行监测,必要时进行管控)后期三级等保可考虑增加设备:1)入侵防御设备(IPS):网络边界处2)防病毒网关(多功能安全网关):网络边界处3)入侵检测设备(IDS):内网核心交换机处4)堡垒主机(运维网关、安全管理平台):核心交换机处5)网闸(信息交换与隔离系统):内外网边界处6)数据库审计(综合审计类产品):新:服务器与内网终端没有更新处5)网闸(信息交换系统运维管理。
信息安全技术信息系统安全等级保护测评要求
信息安全技术信息系统安全等级保护基本要求引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等有关文件要求,制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南;——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求;——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。
一般来说,信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。
本标准针对信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。
单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。
整体测评根据安全控制点间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。
本标准给出了等级测评结论中应包括的主要内容,未规定给出测评结论的具体方法和量化指标。
如果没有特殊指定,本标准中的信息系统主要指计算机信息系统。
在本标准文本中,黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。
信息系统安全等级保护测评要求1 范围本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测评要求。
本标准略去对第五级信息系统进行单元测评的具体内容要求。
本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。
信息安全等级保护系列标准
全国信安标委秘书处 上官晓丽国家信息安全等级保护安全建设工程师培训二○一五年十一月一、标准化基础知识二、国家信息安全等级保护标准的要求三、我国信息安全标准化工作的发展四、信息安全标准体系与标准分类五、信息安全等级保护标准简介基本概念——“标准( standard )”定义:为在一定的范围内获得最佳秩序、经协商一致制定并由公认机构批准、共同使用和重复使用的一种规范性文件。
理解:1)制定标准的目的是“为在一定范围内获得最佳秩序”和“促进最佳的共同效益”。
2)标准是共同使用和重复使用的一种规范性文件。
3)制定标准的对象是“活动或其结果”。
4)标准产生的基础是“科学、技术和经验的综合成果”。
5)标准需经过有关方面协商一致。
6)标准需经“公认机构”的批准。
基本概念——“标准化( standardization )”定义:为了在既定范围内获得最佳秩序,促进共同效益,对现实问题或潜在问题确立共同使用和重复使用的条款,编制、发布和应用文件的活动。
注1:标准化活动确立的条款,可形成标准化文件,包括标准和其他标准化文件。
注2:标准化的主要效益在于为了产品、过程和服务的预期目的改进它们的适用性,促进贸易、交流以及技术合作标准项目制定流程①立项阶段②准备阶段③起草、征求意见阶段④送审阶段⑤报批阶段国家相关政策文件▪(一)中华人民共和国国务院1994年2月18日147号令《中华人民共和国计算机信息系统安全保护条例》第二章第九条规定“计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
(二)2003年中共中央办公厅和国务院办公厅联合发布的中办发[2003]27号文件中要求:“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,“要加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准衔接的中国特色的信息安全标准体系。
要重视信息安全标准的贯彻实施,充分发挥其基础性、规范性作用”。
国家标准 信息安全技术 信息系统安全等级保护定级指南
De 3ICS 35.040L 80信息安全技术信息系统安全等级保护定级指南Information security technology-Classification guide for classified protection of information system中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布GB/T 22240—2008目次目次 (I)前言...................................................................................................................................................................... I I 引言.. (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 定级原理 (1)4.1 信息系统安全保护等级 (1)4.2 信息系统安全保护等级的定级要素 (2)4.2.1 受侵害的客体 (2)4.2.2 对客体的侵害程度 (2)4.3 定级要素与等级的关系 (2)5 定级方法 (3)5.1 定级的一般流程 (3)5.2 确定定级对象 (4)5.3 确定受侵害的客体 (5)5.4 确定对客体的侵害程度 (5)5.4.1 侵害的客观方面 (6)5.4.2 综合判定侵害程度 (6)5.5 确定定级对象的安全保护等级 (7)6 等级变更 (8)IGB/T 22240—2008II 前言(略)GB/T 22240—2008引言依据国家信息安全等级保护管理规定制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T 22239—2008《信息系统安全等级保护基本要求》;——国家标准《信息系统安全等级保护实施指南》;——国家标准《信息系统安全等级保护测评准则》。
信息安全等级保护系列标准概述
一、标准化基础知识二、国家信息安全等级保护标准的要求三、我国信息安全标准化工作的发展四、信息安全标准体系与标准分类五、信息安全等级保护标准简介基本概念——“标准( s tandard )”定义:为在一定的范围内获得最佳秩序、经协商一致制定并由公认机构批准、共同使用和重复使用的一种规范性文件。
理解:1)制定标准的目的是“为在一定范围内获得最佳秩序”和“促进最佳的共同效益”。
2)标准是共同使用和重复使用的一种规范性文件。
3)制定标准的对象是“活动或其结果”。
4)标准产生的基础是“科学、技术和经验的综合成果”。
5)标准需经过有关方面协商一致。
6)标准需经“公认机构”的批准。
基本概念——“标准化( s tandardization )”定义:为了在既定范围内获得最佳秩序,促进共同效益,对现实问题或潜在问题确立共同使用和重复使用的条款,编制、发布和应用文件的活动。
注1:标准化活动确立的条款,可形成标准化文件,包括标准和其他标准化文件。
注2:标准化的主要效益在于为了产品、过程和服务的预期目的改进它们的适用性,促进贸易、交流以及技术合作标准项目制定流程①立项阶段②准备阶段③起草、征求意见阶段④送审阶段⑤报批阶段国家相关政策文件▪(一)中华人民共和国国务院1994年2月18日147号令《中华人民共和国计算机信息系统安全保护条例》第二章第九条规定“计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
(二)2003年中共中央办公厅和国务院办公厅联合发布的中办发[2003]27号文件中要求:“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,“要加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准衔接的中国特色的信息安全标准体系。
要重视信息安全标准的贯彻实施,充分发挥其基础性、规范性作用”。
与27号文件相关的如66号等文件中进一步提出,信息系统安全、安全保护产品、安全事件处理等均贯彻分类、分级原则。
全国信息安全标准化技术委员会关于印发《信息安全技术信息系统安全等级保护基本要求》国家标准报批稿的通知
全国信息安全标准化技术委员会关于印发《信息安全技术信息系统安全等级保护基本要求》国家标准报批稿的通知文章属性•【制定机关】全国信息安全标准化技术委员会•【公布日期】2007.06.27•【文号】信安字[2007]12号•【施行日期】2007.06.27•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】标准化正文全国信息安全标准化技术委员会关于印发《信息安全技术信息系统安全等级保护基本要求》国家标准报批稿的通知(信安字〔2007〕12号)各有关单位:《信息安全技术信息系统安全等级保护基本要求》国家标准基本成熟,通过了全国信息安全标准化技术委员会的审查,已形成国家标准报批稿,正在报批过程中。
为推动正在进行的全国信息系统安全等级保护工作,经信安标委主任办公会议同意,现将该国家标准报批稿先印发给你们,供在工作中参考。
特此通知。
全国信息安全标准化技术委员会二00七年六月二十七日附件:《信息安全技术信息系统安全等级保护基本要求》信息安全技术信息系统安全等级保护基本要求GB/T 0000-0000Information security technology-Baseline for classified protection of information system前言本标准的附录A和附录B是规范性附录。
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:马力、任卫红、李明、袁静、谢朝海、曲洁、李升、陈雪秀、朱建平、黄洪、刘静、罗峥、毕马宁。
引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
信息安全等级保护测评技术规格书
信息安全等级保护测评技术规格书一、项目概述:随着网络安全法的正式施行, 网络安全等级保护工作上升为一项基本国策。
与此同时, 跟随网络安全法配套的各项规章条例以及标准规范也逐一落实, 2018年6月27日, 公安部发布《网络安全等级保护条例(征求意见稿)》(以下简称“《保护条例》”)。
作为《网络安全法》的重要配套法规, 《保护条例》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求。
为此, 我公司提出了《信息系统信息安全测评项目》, 项目旨参照相关安全安全标准对我公司目前运行的信息系统开展安全测评, 确保其高效、稳定、安全地运行。
欢迎国内具有独立承担民事责任的企业, 具备相关资格(具备信息安全等级保护测评资质)条件的供应商参加。
二、项目实施范围:芜湖新兴铸管有限责任公司的信息安全等级保护测评服务项目, 等保测评级别按国家对我公司信息安全等级保护工作的相关法律和技术标准要求执行。
定级系统: (二级)①公司OA办公系统;②物流系统;③采购系统;④质量中心系统;⑤炼铁部-工业网络系统;⑥铸管部-工业网络系统;工作范围包括我公司的等保检测定级、公安系统备案、建设整改、测评报告等工作, 完成国家相关部门对我公司的信息安全要求。
项目实施内容:1.安全检查(1)信息安全现状问题检查, 包括信息安全管理、信息安全技术、信息安全运维等各方面问题分析;(2)信息安全存在的主要问题及风险, 包括信息安全管理、信息安全技术、信息安全运维等各方面存在的问题及期潜在风险;(3)信息安全问题改进建议, 包括信息安全管理、信息安全技术、信息安全运维等各方面整改建议、具体实施方案以及改进期望值。
2.信息安全等级保护检测根据国家对信息安全等级保护工作的相关法律和技术标准要求, 结合本项目的系统保护等级开展实施与之相应的检查工作, 具体检查内容应包括:对信息系统进行等级保护差距测评, 测评内容包括物理安全、网络安全、主机安全、应用安全、数据安全及备份、安全管理。
信息系统等级保护测评指标(二级与三级)
工作的总体目标、范围、原则和安全框架等
管理制度(G2) 应对安全管理活动中重要的管理内容建立安全管理制度
应对安全管理人员或操作人员执行的重要管理操作建立操
作规程
应指定或授权专门的部门或人员负责安全管理制度的制定
制定和发布(G2) 应组织相关人员对制定的安全管理制度进行论证和审定
应将安全管理制度以某种方式发布到相关人员手中
分类 应用安全
子类 安全审计(G2) 入侵防范(G2) 恶意代码防范
(G2) 资源控制(A2)
身份鉴别(S2)
访问控制(S2)
安全审计(G2)
基本要求 些帐户的默认口令 应及时删除多余的、过期的帐户、避免共享帐户的存在 审计范围应覆盖到服务器上的每个操作系统用户和数据库 用户 审计内容应包括重要用户行为、系统资源的异常使用和重要 系统命令的使用等系统内重要的安全相关事件 审计记录应包括事件的日期、时间、类型、主体标识、客体 标识和结果等 应保护审计记录,避免受到未预期的删除、修改或覆盖等 操作系统应遵循最小安装的原则,仅安装需要的组件和应用 程序,并通过设置升级服务器等方式保持系统补丁及时得到 更新 应安装防恶意代码软件,并及时更新防恶意代码软件版本和 恶意代码库 应支持防恶意代码软件的统一管理 应通过设定终端接入方式、网络地址范围等条件限制终端登 录 应根据安全策略设置登录终端的操作超时锁定 应限制单个用户对系统资源的最大或最小使用限度 应提供专用的登录控制模块对登录用户进行身份标识和鉴 别 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证 应用系统中不存在重复用户身份标识,身份鉴别信息不易被 冒用 应提供登录失败处理功能,可采取结束会话、限制非法登录 次数和自动退出等措施 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别 信息复杂度检查以及登录失败处理功能,并根据安全策略配 置相关参数 应提供访问控制功能,依据安全策略控制用户对文件、数据 库表等客体的访问 访问控制的覆盖范围应包括与资源访问相关的主体、客体及 它们之间的操作 应由授权主体配置访问控制策略,并严格限制默认帐户的访 问权限 应授予不同帐户为完成各自承担任务所需的最小权限,并在 它们之间形成相互制约的关系 应提供覆盖到每个用户的安全审计功能,对应用系统重要安 全事件进行审计 应保证无法删除、修改或覆盖审计记录 审计记录的内容至少应包括事件日期、时间、发起者信息、 类型、描述和结果等
信息系统安全等级保护第四级检查-管理要求+技术要求
应选择两种或两种以上组合的鉴别技术来进行身份鉴别,身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
应选择两种或两种以上组合的鉴别技术来进行身份鉴别,身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并措施防止鉴别信息在网络传输过程中被窃听。
安全审计
抗抵赖
身份鉴别
访问控制
通信完整性 通信保密性
数据安全及备份恢复
备份和恢复
第四级检查-管理要求+技术要求 检查项
系统管理+系
查网络安全管理体系是否由总体方针、安全策略、管理制度、操作规程等构成。
安全管理制度是否具有统一的格式进行版本控制,并通过正式、有效的方式发布。
检查是否定期对安全管理制度进行评审和修订。
用软件的运行状态、网络流量、用户行为、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理,并对监测和报警记录进行分析。
络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;是否定期对网络系统进行漏洞扫描
络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;是否定期对网络系统进行漏洞扫描
提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
应具有对重要信息资源设置敏感标记的功能。 应禁止默认帐户的访问。 应采用密码技术保证通信过程中数据的完整性。 应对通信过程中的整个报文或会话过程进行加密。 应基于硬件化的设备对重要通信过程进行加解密运算和密钥管理。
,备份介质场外存放;应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令;
安全产品检测制度范本
安全产品检测制度范本一、总则为确保我国信息安全,维护国家安全和社会公共利益,保护用户合法权益,加强对安全产品的监督管理,根据《中华人民共和国网络安全法》、《计算机信息系统安全保护条例》等法律法规,制定本检测制度。
二、安全产品及范围本检测制度适用于以下安全产品的检测:1. 计算机信息系统安全专用产品;2. 网络安全设备、软件和系统;3. 信息安全服务;4. 其他涉及国家安全、公共安全、重要领域关键信息基础设施的安全产品。
三、检测机构1. 检测机构应具备国家认可的检测能力和资质;2. 检测机构应遵守国家有关法律法规、标准和规范,独立、客观、公正地进行检测;3. 检测机构应对检测过程和检测结果保密,不得泄露用户隐私和商业秘密。
四、检测流程1. 生产或供应商应向检测机构提交安全产品检测申请;2. 检测机构对申请进行审查,符合条件的予以受理;3. 检测机构对安全产品进行实验室检测和现场检测;4. 检测机构出具检测报告,并对检测结果负责;5. 生产或供应商根据检测报告对安全产品进行改进和完善;6. 检测机构对改进后的安全产品进行复测,直至满足检测要求。
五、销售许可证制度1. 安全产品生产或供应商应向公安机关申请销售许可证;2. 公安机关对申请进行审查,符合条件的颁发销售许可证;3. 销售许可证有效期为五年,过期应重新申请;4. 生产或供应商在销售安全产品时,应主动向用户告知销售许可证编号和使用注意事项;5. 公安机关对销售许可证进行监督检查,发现问题及时处理。
六、监督管理1. 公安机关、质检部门、认监委等有关部门应加强对安全产品检测和销售许可证管理的监督检查;2. 发现违反本检测制度的,依法予以查处;3. 鼓励用户和社会各界对安全产品检测和销售许可证管理进行监督。
七、法律责任1. 生产或供应商提供虚假材料、隐瞒重要事实或采取其他不正当手段申请销售许可证的,一经发现,依法予以查处;2. 检测机构违反本检测制度,造成严重后果的,依法予以查处;3. 违反本检测制度,给用户造成损失的,依法承担赔偿责任。
信息安全技术安全管理平台产品检验规范
4.1 安全产品监管功能 4.1.1 所支持的安全设备
安全管理平台至少要能够支持两个不同类型的安全产品,能够对其进行远程管理。应提供扩展接口。 4.1.2 安全设备管理
管理员能够增加、删除受控设备。 4.1.3 运行状态监测
安全管理平台能够实时监测各受控产品的状态,比如是否在线,CPU使用率、内存占用率等。 4.1.4 日志报警信息收集
目次
前 言 ............................................................................. II 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 产品安全功能要求 .................................................................... 1 4.1 安全产品监管功能................................................................... 1 4.2 审计管理功能....................................................................... 2 4.3 自身安全功能....................................................................... 2 5 产品安全保证要求 .................................................................... 2
计算机信息系统安全专用产品检测执行标准规范目录
计算机信息系统安全专用产品检测计算机信息系统安全专用产品检测执行标准规范目录执行标准规范目录序号标准规范名称标准规范编号 备注1 信息安全技术信息安全技术网络和终端设备隔离部件安全技术要求技术要求 GB/T 20279-2006 分级分级2 信息安全技术信息安全技术 防火墙技术要求和测试评价防火墙技术要求和测试评价方法方法 GB/T 20281-2006 分级分级3 信息安全技术信息安全技术 入侵检测系统技术要求入侵检测系统技术要求GB/T 20275-2006 分级分级4 信息安全技术信息安全技术 网络脆弱性扫描产品技术要求网络脆弱性扫描产品技术要求 GB/T 20278-2006 分级分级5 信息安全技术信息安全技术 信息系统安全审计产品技术要求和测试评价方法求和测试评价方法 GB/T 20945-2007 分级分级 6 信息安全技术信息安全技术 网络通讯安全审计数据留存功能要求能要求GA/T 695-2007 分级分级7 信息安全技术信息安全技术 单机防入侵产品安全功能要求单机防入侵产品安全功能要求 GA/T 696-2007 分级分级 8 信息安全技术信息安全技术 路由器安全技术要求路由器安全技术要求 GB/T 18018-2007 分级分级 9 信息安全技术信息安全技术 虚拟专用网安全技术要求虚拟专用网安全技术要求 GA/T 686-2007 分级分级 10 信息安全技术信息安全技术 静态网页恢复产品安全功能要求 GA/T 697-2007 分级分级 11 信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求 GB/T 20272-2006 分级分级 12 信息安全技术信息安全技术 数据库管理系统安全技术要求数据库管理系统安全技术要求 GB/T 20273-2006 分级分级 13 信息安全技术信息安全技术 信息过滤产品安全功能要求信息过滤产品安全功能要求 GA/T 698-2007 分级分级 14 信息安全技术信息安全技术 公钥基础设施安全技术要求公钥基础设施安全技术要求 GA/T 687-2007 分级分级 15 信息技术信息技术 安全技术安全技术 公钥基础设施在线证书状态协议状态协议GB/T 19713-200516 信息技术信息技术 安全技术安全技术 公钥基础设施证书管理协议协议GB/T 19714-2005 17 信息技术信息技术 安全技术安全技术 公钥基础设施PKI 组件最小互操作规范最小互操作规范GB/T 19771-2005 18 信息安全技术信息安全技术 公钥基础设施数字证书格式公钥基础设施数字证书格式GB/T 20518-200619 信息安全技术信息安全技术 公钥基础设施特定权限管理中心技术规范心技术规范GB/T 20519-2006 20 信息安全技术信息安全技术 公钥基础设施时间戳规范公钥基础设施时间戳规范 GB/T 20520-200621 网络代理服务器的安全技术要求网络代理服务器的安全技术要求 GB/T 17900-1999 22 信息安全技术信息安全技术 交换机安全技术要求交换机安全技术要求信息安全技术信息安全技术 交换机安全评估准则交换机安全评估准则 GA/T 684-2007GA/T 685-2007 分级分级23信息安全技术信息安全技术终端计算机系统安全等级技术要求要求GA/T 671-2006 GA/T 672-2006 分级分级信息安全技术信息安全技术 终端计算机系统安全等级评估准则准则24 信息安全技术信息安全技术 网关安全技术要求网关安全技术要求GA/T 681-2007分级分级 25 电子数据存储介质复制工具要求及检测方法电子数据存储介质复制工具要求及检测方法 GA/T 754-2008 26 电子数据存储介质写保护设备要求及检测方法GA/T 755-200827 信息安全技术信息安全技术 服务器安全技术要求服务器安全技术要求 GB/T 21028-2007 分级分级 28 计算机信息系统安全产品部件计算机信息系统安全产品部件 第一部分:安全功能检测全功能检测 GA 216.1-1999 29 信息技术信息技术 小型防火墙产品安全检验规范小型防火墙产品安全检验规范 MSCTC-GFJ-0130信息技术信息技术 访问控制产品安全检验规范访问控制产品安全检验规范MSTL_JGF_04-010 分级分级 31 信息技术信息技术本地数据备份与恢复产品安全检验规范规范MSTL_JGF_04-024 分级分级 32 信息技术信息技术 Web Web 过滤防护产品安全检验规范过滤防护产品安全检验规范 MSTL_JGF_04-02033 信息技术信息技术 数据库安全审计产品安全检验规范数据库安全审计产品安全检验规范 MSTL_JGF_04-021 分级分级 34 信息技术信息技术 非授权外联监测产品安全检验规范非授权外联监测产品安全检验规范 MSTL_JGF_04-01235 信息技术信息技术网际恶意代码控制产品安全检验规范MSTL_JGF_04-022 36信息技术信息技术 主机安全漏洞扫描产品安全检验规范MSTL_JGF_04-017分级分级 37 信息技术信息技术 数据库扫描器产品安全检验规范数据库扫描器产品安全检验规范 MSTL_JGF_04-016 38 信息技术信息技术 远程主机监测产品安全检验规范远程主机监测产品安全检验规范 MSTL_JGF_04-011 39 信息技术信息技术 主机文件监测产品安全检验规范主机文件监测产品安全检验规范 MSTL_JGF_04-02540 信息技术信息技术 文件加密产品安全检验规范文件加密产品安全检验规范 MSTL_JGF_04-009 分级分级 41 信息技术信息技术 入侵防御产品安全检验规范入侵防御产品安全检验规范MSCTC-GFJ-0542信息技术信息技术 自适应网络主动防御产品安全检验规范规范MSTL_JGF_04-026 43 信息技术信息技术 日志分析产品安全检验规范日志分析产品安全检验规范 MSTL_JGF_04-01844 信息技术信息技术 反垃圾邮件产品安全检验规范反垃圾邮件产品安全检验规范MSTL_JGF_04-013 分级分级 45信息技术信息技术 反垃圾邮件客户端产品安全检验规范MSTL_JGF_04-023 分级分级 46 信息技术信息技术 安全管理平台产品安全检验规范安全管理平台产品安全检验规范 MSTL_JGF_04-019 47 互联网上网服务营业场所信息安全管理系统系列标准列标准GA 557~562562——2005 2005 48互联网公共上网服务场所信息安全管理系统系列标准列标准 GA 658~663663——2006 2006 49 计算机病毒防治产品评级准则计算机病毒防治产品评级准则GA 243-2000 分级分级 50 移动终端病毒防治产品评级准则移动终端病毒防治产品评级准则分级分级51DOS 操作系统环境中计算机病毒防治产品测试方法方法 GA 135-1996 52 基于DOS 的信息安全产品评级准则的信息安全产品评级准则 GA 174-1998 分级分级 53 计算机信息系统防雷保安器计算机信息系统防雷保安器GA 173—2002分级分级。
信息安全产品测试方法介绍精编
信息安全产品测试方法介绍精编信息安全产品测试是确保信息安全产品(如防火墙、入侵检测系统、加密算法等)在设计、开发和部署过程中,满足预期目标的关键步骤。
它有助于识别和修复产品中可能存在的漏洞和弱点,以提高产品的安全性和可靠性。
本文将介绍信息安全产品测试的方法。
一、需求分析在进行信息安全产品测试之前,首先需要进行需求分析,明确产品的预期功能和性能目标。
测试团队与产品开发团队紧密合作,共同制定测试计划和评估标准,以确保测试的准确性和有效性。
二、安全需求规范安全需求规范是根据安全测试的目标制定的一组规范和要求。
这些规范和要求可以包括对产品进行评估的方法、评估标准和测试环境的要求。
通过制定明确的安全需求规范,可以确保测试团队能够全面和准确地测试产品的安全性能。
三、功能测试功能测试是对信息安全产品的各项功能进行验证和测试的过程。
通过模拟实际使用场景和攻击场景,测试团队可以检查产品是否按照需求进行设计和开发,是否能够正确地检测和阻止各种安全攻击,并评估产品的准确性和可靠性。
四、性能测试性能测试是评估信息安全产品在处理高负载和大流量情况下的性能表现的过程。
测试团队通过模拟实际使用场景和大流量攻击场景,测试产品的吞吐量、响应时间、资源利用率等关键指标,以评估产品在面对实际攻击时的性能能力。
五、安全漏洞扫描和评估安全漏洞扫描和评估是测试团队使用自动工具或手动方法对产品进行安全漏洞扫描和评估的过程。
通过识别和评估产品中可能存在的漏洞和弱点,测试团队可以提供有关如何修复这些漏洞和弱点的建议,并帮助开发团队提升产品的安全性能。
六、安全性能评估安全性能评估是对信息安全产品的整体安全性能进行评估的过程。
测试团队会使用各种渗透测试方法和手段,模拟实际攻击行为,评估产品在面对各种攻击时的防御能力和恢复能力。
评估结果将为产品的安全性能提供准确和全面的评估。
七、安全认证和合规性测试安全认证和合规性测试是测试团队使用国家标准和行业标准对产品进行安全认证和合规性测试的过程。
信息安全技术信息系统安全等级保护测评要求
信息安全技术信息系统安全等级保护测评要求在当今数字化的时代,信息系统已经成为了各个组织和企业运营的核心支撑。
从金融机构的交易系统到医疗机构的患者信息管理系统,从政府部门的政务服务平台到企业的生产管理系统,信息系统的广泛应用带来了巨大的便利和效率提升,但同时也伴随着日益严峻的安全挑战。
为了保障信息系统的安全可靠运行,保护公民、法人和其他组织的合法权益,我国推行了信息系统安全等级保护制度,而其中的测评要求则是确保这一制度有效实施的关键环节。
信息系统安全等级保护测评是指依据国家有关信息安全等级保护的标准规范,对信息系统的安全保护状况进行检测评估的活动。
其目的在于发现信息系统中存在的安全漏洞和风险,提出相应的整改建议,以提高信息系统的安全防护能力,使其达到相应的安全等级要求。
在进行信息系统安全等级保护测评时,首先需要明确测评的对象和范围。
信息系统包括了硬件、软件、数据、人员、环境等多个方面,测评应涵盖信息系统的全部组成部分。
同时,还需要根据信息系统的业务功能、服务范围、用户群体等因素,确定其安全等级。
我国的信息系统安全等级分为五级,从第一级到第五级,安全要求逐步提高。
测评的内容主要包括物理安全、网络安全、主机安全、应用安全、数据安全和安全管理等多个方面。
物理安全主要关注信息系统所在的物理环境,如机房的防火、防水、防盗,设备的供电、散热等。
网络安全则涉及网络拓扑结构、访问控制、网络设备的安全配置等。
主机安全包括操作系统、数据库系统的安全设置,以及服务器的漏洞扫描和加固。
应用安全侧重于应用软件的安全性,如身份认证、权限管理、数据加密等。
数据安全重点考察数据的备份恢复、数据的保密性和完整性。
安全管理则涵盖安全管理制度的制定和执行、人员的安全培训和意识教育等。
在测评过程中,需要遵循一系列的标准和规范。
这些标准和规范为测评工作提供了统一的方法和依据,确保测评结果的客观、准确和可比。
例如,《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)等。
信息系统安全等级保护_资质申请_要求、资质、工具和收费
(六)具有胜任等级测评工作的专业技术人员和管理人员,大
学本科(含)以上学历所占比例不低于80%。其中测评技术人员不少 于10人;
(七)具备必要的办公环境、设备、设施及完备的安全管理制
度;
(八)对国家安全、社会秩序、公共利益不构成威胁; (九)应当具备的其他条件。
suansin@
suansin@
1、测评机构要求-业务范围
地方测评机构在本地开展测评业务,行业测评机构在行
业内开展测评业务。行业测评机构在地方开展测评业务前,应与本地 等级保护协调(领导)小组办公室协调; 承担有关部门委托的安全测评专项任务; 配合当地公安网安部门对信息系统进行监督、检查; 开展风险评估、信息安全培训、咨询服务和信息安全工程监理; 为当地信息安全等级保护工作提供技术支持和服务; 其他有关文件规定的职责任务。
等级测评活动是确保信息安全等级保护工作的关键环节,通过测评 能够了解系统的安全现状与等级保护要求之间的差距,明确安全整 改的目标与方向。工具测试作为一种高灵活性的辅助测试手段,在 测评活动中发挥着重要作用。
suansin@
3、测评工具-分类
根据在等级测评过程中任务的不同,等级测评工具可以分成如下三大类:
1、测评机构要求-设施与设备
1、 等级测评机构应具备必要的办公环境、设备、设施和
管理系统。
2 、等级测评机构应具备满足等级测评工作需要的工具,
如漏洞扫描器、协议分析仪、性能测试仪和渗透测试工具 等。
3 、等级测评机构应具备符合相关要求的机房以及必要的
软、硬件设备,用于满足信息系统仿真、技术培训和模拟 测试的需要。
1)等级测评安全测试工具:主要用于对信息系统的主要部件
信息安全技术安全管理平台产品检验规范
应保证只有授权管理员才有权使用产品的管理功能,对授权管理员应进行身份认证。 4.3.2 鉴别失败处理
要有一定的措施防止对管理员口令的暴力猜测。 4.3.3 管理员分级
管理员要求分级,至少两个级别 5 产品安全保证要求
保证要求按 GB/T 18336.3-2001 第二级执行。
2
I
MSTL_JGF_04-019 0101—2006
前言
为了规范全国安全管理平台产品的开发与应用,保障公共信息网络安全,根据公安部公共信息网络 安全监察局的要求,本规范对安全管理平台产品提出了安全功能要求和保证要求,作为对其进行检测的 依据。
本规范由中华人民共和国公安部公共信息网络安全监察局批准。 本规范起草单位:公安部计算机信息系统安全产品质量监督检验中心。 公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。
4 产品安全功能要求
4.1 安全产品监管功能 4.1.1 所支持的安全设备
安全管理平台至少要能够支持两个不同类型的安全产品,能够对其进行远程管理。应提供扩展接口。 4.1.2 安全设备管理
管理员能够增加、删除受控设备。 4.1.3 运行状态监测
安全管理平台能够实时监测各受控产品的状态,比如是否在线,CPU使用率、内存占用率等。 4.1.4 日志报警信息收集
II
MSTL_JGF_04-019 0101—2006
信息安全技术 安全管理平台产品检验规范
1 范围
本规范规定了安全管理平台产品的安全功能要求和安全保证要求。 本规范适用于安全管理平台产品的开发及检测。
2 规范性引用文件
信息系统等级保护测评指标(二级与三级)
1. 信息系统等级保护测评指标等级保护的测评技术指标至少覆盖各系统等保二级、等级保三级的全部指标1.1. 等级保护二级测评基本指标1.2. 等级保护三级测评基本指标边界完整性检查 S3) 入侵防范( G3 ) 网络设备防护 G3) 恶意代码防范 (G3) 事件是否成功及其他与审计相关的信息; c) 应能够根据记录数据进行分析,并生成审计报表; d) 应对审计记录进行保护,避免受到未预期的删除、修改或覆 盖等。
a) 应能够对非授权设备私自联到内部网络的行为进行检 查,准确定出位置,并对其进行有效阻断; b) 应能够对内部网络用户私自联到外部网络的行为进行 检查,准确定出位置,并对其进行有效阻断。
a) 应在网络边界处监视以下攻击行为: 端口扫描、强力攻 击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、 IP 碎片攻击和网络蠕虫攻击等; b) 当检测到攻击行为时,记录攻击源 IP 、攻击类型、攻击 目的、攻击时间,在发生严重入侵事件时应提供报警。
a) 应在网络边界处对恶意代码进行检测和清除; b) 应维护恶意代码库的升级和检测系统的更新。
a) b) c) 应对登录网络设备的用户进行身份鉴别; 应对网络设备的管理员登录地址进行限制; 网络设备用户的标识应唯一; 主要网络设备应对同一用户选择两种或两种以上组合 d) 的鉴别技术来进行身份鉴别; e) 身份鉴别信息应具有不易被冒用的特点, 度要求并定期更换; 口令应有复杂 f) 应具有登录失败处理功能,可采取结束会话、限制非法 登录次数和当网络登录连接超时自动退出等措施; g) 当对网络设备进行远程管理时,应采取必要措施防止鉴 别信息在网络传输过程中被窃听; b) 操作系统和数据库系统管理用户身份标识应具有不易 被冒用的特点,口令应有复杂度要求并定期更换; c) 应启用登录失败处理功能,可采取结束会话、限制非法a) 应提供专用的登录控制模块对登录用户进行身份标识应用安全 身份鉴别( S3 ) 和鉴别; b) 应对同一用户采用两种或两种以上组合的鉴别技术实 现用户身份鉴别; c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能, 保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被 冒用; d) 应提供登录失败处理功能,可采取结束会话、限制非法登录 次数和自动退出等措施; e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份 鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配 置相关参数。
信息安全技术网络安全等级保护测评要求
信息安全技术网络安全等级保护测评要求随着互联网和信息技术的快速发展,网络安全问题也日益突出,对信息安全的保护引起了广泛关注。
为了确保信息系统及网络的安全性,我国于2024年开始推行信息安全技术网络安全等级保护测评制度。
该制度旨在对我国各类信息系统和网络进行评估与分类,为信息系统用户在选择合适的信息系统提供参考。
其次,信息安全技术网络安全等级保护测评要求评测对象能够提供完整、真实和准确的信息。
评测对象应提供有关信息系统和网络的基本信息、软硬件配置、网络拓扑、安全策略和安全防御措施等资料,以便对其进行全面的测评。
评测对象可通过书面报告、流程图、技术文档等方式提供这些信息。
第三,在信息安全技术网络安全等级保护测评中,要求评测机构按照测评计划进行测评工作,并确保测试环境的真实性。
评测机构应编制详细的测评计划,明确测评的目的、范围和方法,并根据实际情况调整计划。
同时,评测机构应搭建真实的测试环境,确保能够模拟恶意攻击和各种安全事件的发生,并对评测结果进行客观和准确的分析。
第四,在信息安全技术网络安全等级保护测评中,要求评测机构对评测结果进行详细的报告和建议。
评测报告应包括评测对象的安全状态、存在的安全隐患、安全事件的发生概率等,同时给出改进建议和措施。
评测机构还应对评测结果进行保密处理,确保测评过程和结果不泄露给非评测参与方。
最后,在信息安全技术网络安全等级保护测评中,要求评测机构对测评工作进行记录和备份,确保测评结果的完整性和可溯性。
评测机构应记录测评过程、操作和结果,以备查证。
评测机构还应将评测结果备份,避免因不可抗力因素导致数据丢失或篡改。
综上所述,信息安全技术网络安全等级保护测评要求包括测评机构具备合法和可信的资质、评测对象提供完整、真实和准确的信息、评测按计划进行并确保测试环境的真实性、评测结果报告和建议、测评工作的记录和备份等。
这些要求旨在确保测评的准确性和可信度,为信息系统用户提供安全可靠的选择参考。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
身份鉴别User Authentication
身份鉴别是对信息系统访问者身份合法性的确认,是对其访问权限进行分配与管理的前提,同时也是审计功能及用户数据保护的先决条件。通过标识与鉴别的方式确保用户与正确的安全属性(如身份、组、角色、机密性类或完整性类)相连接。对授权用户的明确标识,以及为用户与主题关联正确的安全属性。
中华人民共和国公安部发布
前
本标准的全部技术内容为强制性。
本标准由公安部网络安全保卫局提出。
本标准由公安部信息系统信息网络安全监察总队、公安部计算机病毒防治产品检验中心、国家计算机病毒应急处理中心。
本标准主要起草人:张津弟、陈建民、张健、范春玲、苗得雨、肖新光、曹鹏。
3.10
日志记录器Logger
日志机制记录信息。系统或程序的配置参数表明了信息的类型和数量。日志机制可以把信息记录成二进制形式或可读的形式,或者直接把收集的信息传达给分析机制。
3.11
报警系统AlarmSystem
安全报警的产生,是检测到任何符合已定义报警条件的安全相关事件的结果,这可能包括门限(阈值)的情况。报警系统是用来响应诸如安全违规这类非正常事件的。
系统漏洞是指系统中的脆弱性,是计算机软件、硬件、协议设计实现的过程中或系统安全策略上存在的缺陷和不足,包括一切可能导致威胁,损坏计算机安全性、完整性、可用性、可靠性和可控性的因素。
3.7
安全审计Security Audit
为了测试系统的控制是否足够,为了保证与已建立的策略和操作堆积相符合,为了发现安全中的漏洞,以及为了建议在控制、策略和堆积中做任何指定的改变,而对操作系统记录与活动的独立观察和考核。
操作系统所存储、传输和处理的信息的保密性、完整性和可用性的表征。
3.2
用户标识User Identification
用来标明用户的身份,确保用户在系统中的唯一性和可辨认性,一般用名称和用户标识符(UID)来标明系统中的一个用户。名称和标识符都是公开的明码信息。标识是有效实施其他安全策略(如:用户数据保护、安全审计等)的基础。通过为用户提供唯一标识,能使用户对自己的行为负责。
3.4
安全策略Security Policy
对计算机信息系统中与安全相关的资源,尤其是敏感信息进行管理、保护、控制和发布的规定和实施细则。一个计算机信息系统中可以有一个或者多个安全策略。
3.5
访问控制Access Control
防止对资源的未授权使用,包括防止以未授权方式使用某一资源。
3.6
系统漏洞System Vulnerability
计算机主机安全检测产品测评准则
1
本标准规定了针对计算机主机安全检测产品的受检要求、测试指标要求、功能要求、测试方法、报告格式及评级方法。
本标准适用于针对计算机主机安全检测产品的检测和评级。
2
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
4
4.1
检验机构对程序版本发生重大升级或名称发生改变的主机安全检测产品应进行检验;同时,可以根据安全威胁和国家标准与法规的发展情况对主机安全检测产品进行专项检验。
4.2
受检企业应提交其产品检验用的测试用例,提交的测试用例应是近期流行的有效攻击方式。
4.3
受检企业应提交以下产品相关资料:
a)受检企业应提交产品研发人员的个人简历;
b)受检企业应提交产品的中文使用说明书;
c)受检企业应提交核封完整的正式产品。
5
5.1测试指标
5.1.1产品载体
主机安全检测产品单机版应该提供以下载体的产品检测介质,并需要在以下介质的直接执行能力:
a)光盘
b)U盘
主机安全检测产品网络版除需提供单机版的检测介质外,还需要提供用于检测程序下发和结果汇总的便携式的主机安全检测工作站设备。
3.8
密码策略Password Policy
在信息系统中,鉴别一般是在用户登录时发生的,系统提示用户输入口令,然后判断用户输入的口令,然后判断用户输入的口令是否与系统中存在的该用户口令一致。密码口令机制虽然使用的普遍,但较为脆弱,许多用户经常使用自己的姓名、生日等安全性较弱的密码,这种口令很难经得住常见的字典攻击。因此需要制定密码长度不小于8个字符并同时含有数字和字母的密码,并限定一个密码的生存周期。
GA
中华人民共和国公共安全行业标准
GA ×××× — ××××
计算机主机安全检测产品
测评准则
Testing and evaluation criteria for detection products of host computer security
(试行)
201× -××-××发布201× -××-××实施
5.2检测病毒能力
对病毒样本基本库至少能检测其中的95%;
对流行病毒样本库至少能检测其中的98%;
对特殊格式病毒样本库至少能检测其中的95%。
6
6.1身份鉴别
计算机主机安全检测产品应能够对操作系统的用户进行身份标识和鉴别。
6.1.1口令鉴别
计算机主机安全检测产品应能够对操作系统口令信息复杂度进行识别,并通过分析提取信息判断用户口令是否合规。对不合规的弱口令与空口令应进行提示,并形成检查报表。
3.9
审计机制AuditMechanism
审计机制是对系统、用户主体、对象(包括文件、消息、信号量、共享区等)等用户动作归纳成为一个个可区分、可识别、可标志用户行为和可记录的固定审计事件集。对用户来讲,系统可以设置要求审计的时间,即用户事件标准。用户的操作处于系统监视之下,一旦其行为落入用户事件集或系统固定审计事件集中,系统就会将这一信息记录下来。
GA243-2000计算机病毒防治产品评级准则
GB/T 18336.3-2001信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求(idt ISO/IEC 15408-3:1999)
3
GA243-2000、GB/T 18336.3-2001中确立的以及下列术语和定义适用于本标准。
3.1
操作系统安全Operating System Security