標(biāo)準(zhǔn)解讀

GB/T 20276-2006是一項(xiàng)中國(guó)國(guó)家標(biāo)準(zhǔn),全稱為《信息安全技術(shù) 智能卡嵌入式軟件 安全技術(shù)要求(EAL4增強(qiáng)級(jí))》。這項(xiàng)標(biāo)準(zhǔn)詳細(xì)規(guī)定了智能卡嵌入式軟件在設(shè)計(jì)、開(kāi)發(fā)及實(shí)施過(guò)程中應(yīng)遵循的安全技術(shù)要求,以確保智能卡應(yīng)用的高安全性。EAL(Evaluation Assurance Level)即評(píng)估保證級(jí)別,是信息技術(shù)產(chǎn)品和系統(tǒng)安全認(rèn)證中的一個(gè)關(guān)鍵指標(biāo),EAL4增強(qiáng)級(jí)意味著該標(biāo)準(zhǔn)達(dá)到了相對(duì)較高的安全保證要求。

標(biāo)準(zhǔn)核心內(nèi)容概覽:

  1. 范圍:明確了標(biāo)準(zhǔn)適用的對(duì)象為智能卡及其嵌入式軟件,特別強(qiáng)調(diào)了這些軟件在信息安全方面需滿足的要求。

  2. 術(shù)語(yǔ)和定義:對(duì)涉及的關(guān)鍵詞匯如智能卡、嵌入式軟件、安全功能、安全威脅等進(jìn)行了明確界定,為理解標(biāo)準(zhǔn)內(nèi)容奠定基礎(chǔ)。

  3. 安全要求

    • 功能性要求:確保智能卡軟件能夠正確執(zhí)行其預(yù)定功能,包括數(shù)據(jù)存儲(chǔ)、處理和傳輸?shù)陌踩浴?/li>
    • 保障要求:涵蓋了軟件開(kāi)發(fā)過(guò)程的安全管理、配置管理、文檔記錄等方面,以防止非授權(quán)訪問(wèn)或篡改。
    • 安全功能要求:具體規(guī)定了加密算法使用、密鑰管理、身份驗(yàn)證、訪問(wèn)控制等安全機(jī)制必須達(dá)到的標(biāo)準(zhǔn)。
    • 抵抗攻擊能力:要求軟件具備抵抗物理攻擊、邏輯攻擊和側(cè)信道攻擊的能力。
  4. EAL4增強(qiáng)級(jí)特定要求:在此級(jí)別,除了基本的功能驗(yàn)證和結(jié)構(gòu)測(cè)試外,還需進(jìn)行更深入的設(shè)計(jì)審查和嚴(yán)格的半正式的安全測(cè)試,確保軟件的內(nèi)部結(jié)構(gòu)能夠有效抵抗已知的安全威脅。

  5. 評(píng)估方法和過(guò)程:指導(dǎo)如何對(duì)智能卡嵌入式軟件進(jìn)行安全評(píng)估,包括評(píng)估的范圍、深度、所需文檔和證據(jù)等。

  6. 符合性和認(rèn)證:闡述了軟件產(chǎn)品如何證明其符合本標(biāo)準(zhǔn)要求的方法,以及認(rèn)證機(jī)構(gòu)在認(rèn)證過(guò)程中的角色和責(zé)任。

實(shí)施意義:

此標(biāo)準(zhǔn)為企業(yè)和開(kāi)發(fā)者提供了智能卡嵌入式軟件開(kāi)發(fā)和維護(hù)的安全框架,有助于提升智能卡產(chǎn)品的安全性能,保護(hù)用戶數(shù)據(jù)不被非法訪問(wèn)或泄露。通過(guò)遵循這一標(biāo)準(zhǔn),可以增強(qiáng)公眾對(duì)智能卡應(yīng)用的信任度,促進(jìn)智能卡技術(shù)在金融、交通、身份認(rèn)證等多個(gè)領(lǐng)域的廣泛應(yīng)用。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 20276-2016
  • 2006-05-31 頒布
  • 2006-12-01 實(shí)施
?正版授權(quán)
GB/T 20276-2006信息安全技術(shù)智能卡嵌入式軟件安全技術(shù)要求(EAL4增強(qiáng)級(jí))_第1頁(yè)
GB/T 20276-2006信息安全技術(shù)智能卡嵌入式軟件安全技術(shù)要求(EAL4增強(qiáng)級(jí))_第2頁(yè)
GB/T 20276-2006信息安全技術(shù)智能卡嵌入式軟件安全技術(shù)要求(EAL4增強(qiáng)級(jí))_第3頁(yè)
GB/T 20276-2006信息安全技術(shù)智能卡嵌入式軟件安全技術(shù)要求(EAL4增強(qiáng)級(jí))_第4頁(yè)
GB/T 20276-2006信息安全技術(shù)智能卡嵌入式軟件安全技術(shù)要求(EAL4增強(qiáng)級(jí))_第5頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余35頁(yè)可下載查看

下載本文檔

免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

犐犆犛35.040

犔80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

犌犅/犜20276—2006

信息安全技術(shù)智能卡嵌入式軟件

安全技術(shù)要求(犈犃犔4增強(qiáng)級(jí))

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犛犲犮狌狉犻狋狔狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉狊犿犪狉狋犮犪狉犱犲犿犫犲犱犱犲犱狊狅犳狋狑犪狉犲(犈犃犔4+)

20060531發(fā)布20061201實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

書(shū)

犌犅/犜20276—2006

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅰ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅱ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語(yǔ)和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4智能卡嵌入式軟件描述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4.2特征!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

5安全環(huán)境!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1資產(chǎn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.2假設(shè)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.3威脅!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.4組織安全策略!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

6安全目的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

6.1智能卡嵌入式軟件安全目的!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

6.2環(huán)境安全目的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

7安全要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

7.1智能卡嵌入式軟件安全要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

7.2環(huán)境安全要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

8基本原理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

8.1安全目的基本原理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

8.2安全要求基本原理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

8.3滿足依賴關(guān)系的基本原理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

參考文獻(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34

書(shū)

犌犅/犜20276—2006

前言

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。

本標(biāo)準(zhǔn)主要起草單位:中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心。

本標(biāo)準(zhǔn)主要起草人:李守鵬、徐長(zhǎng)醒、付敏、簡(jiǎn)余良、凌晨、潘瑩、楊永生、祁斌、黃小鵬、楊延輝、李昊、

趙子淵、李永祿。

犌犅/犜20276—2006

引言

智能卡應(yīng)用范圍的擴(kuò)大和應(yīng)用環(huán)境復(fù)雜性的增加,要求智能卡嵌入式軟件具有更強(qiáng)的保護(hù)數(shù)據(jù)

能力。

本標(biāo)準(zhǔn)在GB/T18336—2001中規(guī)定的EAL4級(jí)安全要求組件的基礎(chǔ)上,增加了模塊化組件

(ADV_INT),并且將脆弱性分析要求由可以抵御低等攻擊的組件(AVA_VLA.2)提升到可以抵御中

級(jí)攻擊潛力攻擊的組件(AVA_VLA.3)。

本標(biāo)準(zhǔn)僅給出了智能卡嵌入式軟件應(yīng)滿足的安全技術(shù)要求,對(duì)智能卡嵌入式軟件的具體技術(shù)實(shí)現(xiàn)

方式、方法等不做描述。

犌犅/犜20276—2006

信息安全技術(shù)智能卡嵌入式軟件

安全技術(shù)要求(犈犃犔4增強(qiáng)級(jí))

1范圍

本標(biāo)準(zhǔn)規(guī)定了對(duì)EAL4增強(qiáng)級(jí)的智能卡嵌入式軟件進(jìn)行安全保護(hù)所需要的安全技術(shù)要求。

本標(biāo)準(zhǔn)適用于智能卡嵌入式軟件的研制、開(kāi)發(fā)、測(cè)試、評(píng)估和產(chǎn)品的采購(gòu)。

2規(guī)范性引用文件

下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有

的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn),然而,鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究

是否可使用這些文件的最新版本。凡不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。

GB/T18336.1—2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第1部分:簡(jiǎn)介和一般

模型(idtISO/IEC154081:1999)

GB/T18336.2—2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第2部分:安全功能要

求(idtISO/IEC154082

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

評(píng)論

0/150

提交評(píng)論