中华人民共和国国家标准
GB/T20271-2006
信息安全技术 信息系统通用安全技术要求
Information security technologyCommon security techniques requirement for information system
中国国家标准化管理委员会 中华人民共和国国家质量监督检验检疫总局 发布
目
前言1范围 引言2规范性引用文件3术语、定义和缩略语3.1术语和定义4安全功能技术要求 3.2缩略语4.1物理安全4.1.1环境安全4.1.2设备安全4.1.3记录介质安全 4.2运行安全4.2.1风险分析4.2.2信息系统安全性检测分析4.2.3信息系统安全监控 4.2.4安全审计4.2.5 信息系统边界安全防护 104.2.6 备份与故障恢复 114.2.7 恶意代码防护 114.2.8 4.2.9可信计算和可信连接技术 信息系统的应急处理 12 124.3数据安全. 124.3. 1 身份鉴别 124.3.2 抗抵. 134.3.3 4.3.4 自主访问控制 标记. 14 144.3.5 强制访问控制 154.3.6 用户数据完整性保护 164.3.7 用户数据保密性保护. 164.3.9可信路径 4.3.8 数据流控制 17 174.3.10密码支持 175安全保证技术要求 175.1.1SSF物理安全保护. 5.1SSOIS自身安全保护 175.1.2SSF运行安全保护 17 175.1.3SSF数据安全保护 18
5.1.4SSOIS资源利用 65.2 SSOIS设计和实现 5.1.5SSOIS访问控制 205.2.1配置管理 20 205.2.2分发和操作 215.2.3开发 225.2.4 文档要求 245.2.5 5.2.6测. 生存周期支持 25 265.2.7脆璃性评定 275.3SSOIS安全管理 285.3.1SSF功能的管理 5.3.2安全属性的管理 285.3.3SSF数据的管理 29 295.3.4安全角色的定义与管理 305.3.5SSOIS安全机制的集中管理 306信息系统安全技术分等级要求 6.1第一级:用户自主保护级 30 306.1.1物理安全 306.1.2运行安全. 316.1.3数据安全 SSOIS自身安全保护 316.1.4 6.1.5S SSOIS设计和实现 32 326.1.6SSOIS安全管理 336.2第二级:系统审计保护级6.2.1物理安全 6.2.2运行安全.6.2.3 数据安全 346.2.4 SSOIS自身安全保护6.2.5 SSOIS设计和实现 986.2.6 6.3第三级:安全标记保护级 SSOIS安全管理 37 376.3.1物理安全.. 376.3.2 运行安全 386.3.3 SSOIS自身安全保护 数据安全6.3.4 6.3.5 SSOIS设计和实现 40 416.3.6 SSOIS安全管理 426.4第四级:结构化保护级 426.4.2运行安全. 6.4.1 物理安全 426.4.3 数据安全 43 446.4.4 SSOIS自身安全保护 46
6.4.5SSOIS设计和实现 476.4.6SSOIS安全管理6.5.1物理安全 6.5第五级:访问验证保护级 48 486.5.2运行安全 496.5.3数据安全 506.5.4 SSOIS设计和实现 SSOIS自身安全保护6.5.5 6.5.6SSOIS安全管理 54附录A(资料性附录)标准概念说明 55A.1组成与相互关系 55A.2关于安全保护等级的划分 A.3关于主体、客体 .. 56A.4关于SSOISSSF、SSP、SFP及其相互关系 56 99A.5关于密码技术 99A.6关于信息安全技术等级和信息系统安全等级 99B.1安全需求与分等级保护 附录B(资料性附录)等级化信息系统安全设计参考 58 58B.1.1确定安全需求的基本方法 58B.1.2分等级保护的基本思想 58B.1.3划分安全保护等级的假定 58B.1.4划分和确定安全保护等级的原则和方法 B.2信息系统安全设计概述 69B.2.1信息系统安全设计总体说明 61B.2.2信息系统安全的组成与相互关系 63B.2.3等级化信息系统安全的设计 附录C(资料性附录)安全技术要素与安全技术分等级要求的对应关系 63参考文献 68
