信息技術訪問控制產品安全檢驗規(guī)范.doc_第1頁
信息技術訪問控制產品安全檢驗規(guī)范.doc_第2頁
信息技術訪問控制產品安全檢驗規(guī)范.doc_第3頁
信息技術訪問控制產品安全檢驗規(guī)范.doc_第4頁
信息技術訪問控制產品安全檢驗規(guī)范.doc_第5頁
免費預覽已結束,剩余1頁可下載查看

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

本規(guī)范由中華人民共和國公安部公共信息網絡安全監(jiān)察局提出。本規(guī)范起草單位:公安部計算機信息系統(tǒng)安全產品質量監(jiān)督檢驗中心。公安部計算機信息系統(tǒng)安全產品質量監(jiān)督檢驗中心負責對本規(guī)范的解釋、提升和更改。 信息技術訪問控制產品安全檢驗規(guī)范1.范圍本規(guī)范規(guī)定了訪問控制產品的安全功能要求和保證要求。本規(guī)范適用于訪問控制產品的生產及安全功能檢測。2.術語和定義2.1訪問控制 Access Control 訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證系統(tǒng)資源不被非法使用和訪問,使用訪問控制的目的在于限制用戶對特定信息的訪問。3.訪問控制產品的安全功能3.1 訪問控制功能3.1.1 用戶身份鑒別在用戶請求訪問系統(tǒng)資源時至少進行一次身份鑒別。3.1.2 訪問限制:a)有且只有授權用戶才能訪問分配給該用戶的資源。b)用戶不能訪問沒有分配給該用戶的資源。3.2 安全功能3.2.1 符合規(guī)定的加密操作a)如果支持遠程管理,應能夠通過加密等方式來保護遠程管理對話內容不被非授權獲?。籦)如果用戶必須通過網絡訪問特定信息,應能夠通過加密來保護遠程訪問會話。3.2.2 用戶分級管理功能訪問控制產品應具有多用戶分級管理功能,產品應可建立具有不同權限的用戶,并可以針對不同客戶設定對資源的不同訪問權限。 3.2.3 資源管理功能訪問控制產品應可以對被訪問控制產品控制訪問的資源進行管理,可以增加和減少資源。3.2.4管理員身份鑒別應保證只有授權管理員和可信主機才有權使用產品的管理功能,對授權管理員和可信主機應進行身份鑒別。3.2.5管理員權限:a)管理員屬性修改(更改口令等);b)制定和修改訪問控制安全策略。3.2.6 身份鑒別時效和失敗處理當用戶的失敗登錄次數超過允許的嘗試鑒別次數時,應能加以檢測,并應該阻止該用戶的進一步登錄嘗試,直至授權管理員恢復對該用戶的鑒別能力。3.3日志功能3.3.1日志數據生成應能對下列事件生成日志:a)對管理員的身份鑒別結果應進行審計跟蹤;b)對用戶的身份鑒別結果應進行審計跟蹤;c)對用戶訪問被保護資源的行為應進行審計跟蹤。應在每一個日志記錄中記錄事件發(fā)生的日期和時間、事件描述。3.3.2 日志管理應提供下列日志管理功能:a)只允許授權管理員訪問日志記錄;b)提供對日志記錄的查詢功能。4.訪問控制產品的保證要求4.1交付和運行4.1.1交付過程4.1.1.1 開發(fā)者行為元素:a)開發(fā)者應將把訪問控制產品及其部分交付給用戶的程序文檔化;b)開發(fā)者應使用交付程序。4.1.1.2 證據元素的內容和表示交付文檔應描述,在給用戶方分配訪問控制產品的版本時,用以維護安全所必需的所有程序。4.1.2 安裝、生成和啟動程序4.1.2.1 開發(fā)者行為元素開發(fā)者應將訪問控制產品安全地安裝、生成和啟動所必需的程序文檔化。4.1.2.2 證據元素的內容和表示文檔應描述訪問控制產品安全地安裝、生成和啟動所必要的步驟。4.2 指導性文檔4.2.1 管理員指南4.2.1.1 開發(fā)者行為元素開發(fā)者應當提供針對系統(tǒng)管理員的管理員指南。4.2.1.2證據的內容和形式元素:a)管理員指南應當描述訪問控制產品管理員可使用的管理功能和接口;b)管理員指南應當描述如何以安全的方式管理訪問控制產品;c)管理員指南應當包含在安全處理環(huán)境中必須進行控制的功能和權限的警告;d)管理員指南應當描述所有與訪問控制產品的安全運行有關的用戶行為的假設;e)管理員指南應當描述所有受管理員控制的安全參數,合適時,應指明安全值;f)管理員指南應當描述每一種與需要執(zhí)行的管理功能有關的安全相關事件,包括改變TSF所控制的實體的安全特性;g)管理員指南應當與為評估而提供的其他所有文檔保持一致;h)管理員指南應當描述與管理員有關的IT環(huán)境的所有安全要求。4.2.2 用戶指南4.2.2.1開發(fā)者行為元素開發(fā)者應當提供用戶指南。4.2.2.2證據的內容和形式元素:a)用戶指南應該描述訪問控制產品的非管理用戶可用的功能和接口;b)用戶指南應該描述訪問控制產品提供的用戶可訪問的安全功能的用法;c)用戶指南應該包含受安全處理環(huán)境中所控制的用戶可訪問的功能和權限的警告;d)用戶指南應該清晰地闡述訪問控制產品安全運行中用戶所必須負的職責,包括有關在訪問控制產品安全環(huán)境闡述中找得到的用戶行為的假設;e)用戶指南應該與為評估而提供的其它所有文檔保持一致;f)用戶指南應該描述與用戶有關的IT環(huán)境的所有安全要求。 5.訪問控制產品安全技術要求的等級劃分依據信息技術-訪問控制產品的開發(fā)、生產現狀及實際應用情況,我們對訪問控制產品的安全功能要求劃分成二個等級。訪問控制產品安全技術要求等級劃分如表1所示。信息技術-訪問控制產品安全等級劃分表安全功能類 基本要求 增強要求用戶身份鑒別 訪問限制 符合規(guī)定的加密操

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論