1、ICS 35.020 L 80 道昌中华人民=lI工.,.、和国国家标准GB/T 28452-2012 信息安全技术应用软件系统通用安全技术要求Information security technology-Common security technique requirement for application software system 2012-06-29发布eg:g.,勾JV W守飞:w. = 酶_s1 数码防伪中华人民共和国国家质量监督检验检茂总局中国国家标准化管理委员会2012-10-01实施发布GB/T 28452一2012目次前言.v 引言.VI 1 范围-2 规范性引用文
2、件3 术语和定义、缩略语. . . 1 3. 1 术语和定义3.2 缩略语.3 4 应用软件生存周期安全技术要求.34. 1 应用软件开始阶段安全技术要求4.2 应用软件获得或开发阶段安全技术要求4. 3 应用软件实现和评估阶段安全技术要求4.4 应用软件运行和维护阶段安全技术要求.4 4.5 应用软件结束和处置阶段安全技术要求.4 5 第一级应用软件系统安全技术要求.45. 1 安全功能技术要求.4 5. 1. 1 用户身份鉴别.4 5. 1. 2 自主访问控制.5 5. 1. 3 用户数据完整性保护.5 5. 1. 4 备份与故障恢复.5 5.2 安全保证技术要求.5 5.2.1 安全子系
3、统自身安全保护要求5.2.2 安全子系统设计和实现要求5.2.3 安全子系统安全管理要求.8 6 第二级应用软件系统安全技术要求.8 6. 1 安全功能技术要求.8 6. 1. 1 用户身份鉴别.8 6. 1. 2 自主访问控制.8 6. 1. 3 安全审计6. 1. 4 用户数据完整性保护6. 1. 5 用户数据保密性保护.9 6. 1. 6 备份与故障恢复.10 6. 1. 7 系统安全性检测分析.10 6.2 安全保证技术要求.10 6.2.1 安全子系统自身保护要求.10 6.2.2 安全子系统设计和实现要求.116.2.3 安全子系统安全管理要求uG/T 28452-2012 7 第
4、三级应用软件系统安全技术要求.13 7.1 安全功能技术要求.13 7. 1. 1 用户身份鉴别7. 1. 2 抗抵赖.14 7. 1. 3 自主访问控制.14 7. 1. 4 标记.7. 1. 5 强制访问控制.7. 1. 6 安全审计.16 7. 1. 7 用户数据完整性保护.16 7. 1. 8 用户数据保密性保护.7. 1. 9 备份与故障恢复7. 1. 10 系统安全性检测分析.17 7.2 安全保证技术要求.7.2.1 安全子系统自身保护要求.7.2.2 安全子系统设计和实现要求7.2.3 安全子系统安全管理要求.21 8 第四级应用软件系统安全技术要求.22 8.1 安全功能技术
5、要求.22 8. 1. 1 用户身份鉴别8. 1. 2 抗抵赖.22 8. 1. 3 自主访问控制.23 8. 1. 4 标记238. 1. 5 强制访问控制.24 8. 1. 6 安全审计.24 8. 1. 7 用户数据完整性保护.24 8. 1. 8 用户数据保密性保护.25 8. 1. 9 可信路径.268. 1. 10 备份与故障恢复.8. 1. 11 系统安全性检测分析.26 8. 2 安全保证技术要求m8.2.1 安全子系统自身保护要求.26 8.2.2 安全子系统设计和实现要求.27 8.2.3 安全子系统安全管理要求309 第五级应用软件系统安全技术要求9. 1 安全功能技术要
6、求.31 E 9. 1. 1 用户身份鉴别.31 9. 1. 2 9. 1. 3 9. 1. 4 9. 1. 5 9. 1. 6 9. 1. 7 抗抵赖.自主访问控制.标记强制访问控制33安全审计.33 用户数据完整性保护.33 GB/T 28452-2012 9. 1. 8 用户数据保密性保护.34 9. 1. 9 可信路径9. 1. 10 备份与故障恢复9. 1. 11 系统安全性检测分析9.2 安全保证技术要求359.2.1 安全子系统自身保护要求.9.2.2 安全子系统设计和实现要求.37 9.2.3 安全子系统安全管理要求40附录A(资料性附录)应用软件系统安全的有关概念说明u附录B
7、(资料性附录)应用软件系统安全与信息系统安全的关系.42 附录c(资料性附录)安全技术要素与安全技术分等级要求的对应关系.43参考文献.47 阳山G/T 28452-2012 目U昌本标准按照GB/T1. 1一2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会CSAC/TC260)提出并归口。本标准起草单位:北京江南天安科技有限公司、北京思源新创信息安全资讯有限公司。本标准主要起草人:吉增瑞、陈冠直、王志强、景乾元。V GB/T 28452-2012 51 本标准描述为实现GB17859-1999所规定的每
8、一个安全保护等级的应用软件系统应达到的安全技术要求,为按照信息系统安全等级保护的要求设计和实现所要求的安全等级的应用软件系统提供指导。从广义角度,应用软件系统应该包括针对特定应用开发的业务处理软件,以及为这些业务处理软件的开发和运行提供支持的各种工具软件和中间件等。本标准仅对各个安全保护等级的业务处理软件的安全保护应采取的安全技术进行描述。应用软件系统是信息系统的重要组成部分,是信息系统中对应用业务进行处理的软件的总和。业务应用的安全需求,是信息系统安全需求的出发点和归宿。信息系统安全所采取的一切技术和管理措施,最终都是为确保业务应用安全的。这些安全措施,有的可以在应用软件系统中实现,有的需要
9、在信息系统的其他组成部分实现。本标准主要是对各个应用领域的应用软件系统普遍适用的安全技术要素的安全技术要求的描述。不同应用领域的应用软件系统可选取不同的安全技术要素,以满足各自应用业务的具体安全需求。本标准同时对应用软件系统生存周期的各个阶段应遵循的安全技术要求进行了简要描述。按照标准编写的规范性要求,本标准在第1章范围、第2章规范性引用文件及第3章术语和定义、缩略语之后,第4章应用软件生存周期安全技术要求,从应用软件生存周期的角度,分别对应用软件的开始阶段、获得或开发阶段、实现和评估阶段、运行和维护阶段以及结束和处置阶段的安全技术要求进行了简要描述。标准从第5章到第9章,以GB17859一1
10、999的五个安全等级的划分为基本依据,以GB/T 20271-2006关于信息系统通用安全技术要求的等级划分为基础,对每个安全等级的应用软件系统的安全技术要求进行了描述,包括:安全功能技术要求和安全保证技术要求(含应用软件系统安全子系统自身保护要求、应用软件系统安全子系统设计和实现要求、应用软件系统安全子系统安全管理要求)。在第5章到第9章的分等级描述中,如粗宋体表示在较高等级中比较低一级增加或增强的内容。本标准附录A(资料性附录)应用软件系统安全的有关概念说明,对应用软件系统在信息系统中的位置和应用软件系统安全在信息系统安全中的作用等进行了说明。附录B(资料性附录)应用软件系统安全与信息系统
11、安全的关系,对应用软件系统安全是信息系统安全的核心和应用软件系统安全需求就是信息系统安全需求进行了描述。附录C(资料性附录)给出了应用软件系统安全要素与安全分等级要求之间的对应关系。表C.1是安全功能技术要素与安全功能技术分等级要求的对应关系;表C.2是安全保证技术要素与安全保证技术分等级要求的对应关系。VI GB/T 28452-2012 信息安全技术应用软件系统通用安全技术要求1 范围本标准规定了按照GB17859-1999的5个安全保护等级的划分对应用软件系统进行等级保护所涉及的通用技术要求。本标准适用于按照GB17859-1999的5个安全保护等级的划分对应用软件系统进行的安全等级保护
12、的设计与实现。对于按照GB17859-1999的5个安全保护等级的划分对应用软件系统进行的安全等级保护的测试、管理也可参照使用。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB 17859-1999 计算机信息系统安全保护等级划分准则GBjT 20271-2006 信息安全技术信息系统通用安全技术要求GBjT 20272-2006 信息安全技术操作系统安全技术要求GBjT 20273-2006 信息安全技术数据库管理系统安全技术要求3 术语和定义、缩略语3. 1 术
13、语和定义GBjT 20271-2006界定的以及下列术语和定义适用于本文件。3. 1. 1 应用软件系统application software system 信息系统的重要组成部分,是指信息系统中对特定业务进行处理的软件系统。3. 1.2 应用软件系统安全技术application software system security t配hnology为确保应用软件系统达到确定的安全性目标的安全技术措施中可采用的技术。3.1.3 应用软件系统安全子系统CSSOASS)security subsystem of application software system 应用软件系统中安全保护模块的
14、总称。它建立了应用软件系统的一个基本安全保护环境,并提供安全应用软件系统要求的附加用户服务。按照GB17859-1999对可信计算基CTCB)的定义,SSOASS属于应用软件系统的TCB。其中所需要的硬件和固件支持由低层的安全机制提供。3. 1. 4 SSOASS安全策略CSSP)SSOASS security policy 对SSOASS中的资源进行管理、保护和分配的规则。一个SSOASS中可以有一种或多种安全策略。1 GB/T 28452-2012 3. 1. 5 安全功能策略(町的security function policy 为实现SSOASS安全要素的功能所采用的安全策略。3. 1
15、. 6 安全技术要素security technique element 本标准中各安全保护等级的安全技术要求所包含的安全内容的组成成分。3. 1. 7 SSOASS安全功能(SSF)SSOASS security function 正确实施SSOASS安全策略的全部硬件、固件、软件所提供的功能。每一种安全策略的实现,体现在SSOASS的某一个安全功能模块之中。一个SSOASS的所有安全功能模块共同组成该SSOASS的安全功能。3. 1.8 SSF控制范围(SSC)SSF scope of control SSOASS的操作所涉及的主体和客体的范围。3. 1.9 用户公开数据user publ
16、ished data 在应用软件系统中向所有用户公开的数据,该类数据的安全性受到破坏,将会对业务应用相关的公民、法人和其他组织的权益有一定影响,但不会危害国家安全、社会秩序、经济建设和公共利益。3. 1. 10 用户-般数据user general data 在应用软件系统中具有一般使用价值和保密程度,需要进行一定保护的单位内部的一般数据。该类数据的安全性受到破坏,将会对业务应用相关的公民、法人和其他组织的权益有较大影响或对国家安全、社会秩序、经济建设和公共利益造成一定的损害。3. 1. 11 用户重要数据user important data 在应用软件系统中具有重要使用价值或保密程度,需要
17、进行重点保护的单位的重要数据。该类数据的安全性受到破坏,将会对业务应用相关的公民、法人和其他组织的权益有重大影响或对国家安全、社会秩序、经济建设和公共利益造成较大损害。3. 1. 12 用户关键数据user chief data 在应用软件系统中具有很高使用价值或保密程度,需要进行特别保护的单位的关键数据。该类数据的安全性受到破坏,将会对业务应用相关的公民、法人和其他组织的权益有特别重大影响或对国家安全、社会秩序、经济建设和公共利益造成严重损害。3. 1. 13 用户核心数据user kemel data 在应用软件系统中具有最高使用价值或保密程度,需要进行绝对保护的单位的核心数据。该类数据的
18、安全性受到破坏,将会对相关的业务应用和用户单位利益造成特别严重损害。3. 1. 14 一般用户general user 以普通用户身份注册到应用软件系统,运行应用软件系统的用户或通过系统提供的用户操作界面对应用软件系统的运行进行操作控制的用户。2 GB/T 28452-2012 3. 1. 15 系统用户system user 在应用软件系统中,通过系统操作界面进行特定操作实现对应用软件系统的特定功能进行控制的用户,如应用软件系统的管理员、安全员和审计员等。系统用户具有一般用户所不具有的特殊权限,所以也称特权用户。3.2 缩略语下列缩略语适用于本文件。SSOASS:应用软件系统安全子系统Cse
19、curitysubsystem of application software system) SSP:SSOASS安全策略CSSOASSsecurity policy) SFP:安全功能策略Csecurityfunction policy) SSF:SSOASS安全功能CSSOASSsecurity function) SSC:SSF控制范围CSSFscope of controD 4 应用软件生存周期安全技术要求4. 1 应用软件开始阶段安全技术要求为确保应用软件系统的安全性达到相应安全等级的安全技术要求,应用软件生存周期开始阶段的安全技术要求如下za) 详细说明相应安全等级的应用软件系统
20、的保密性、完整性和可用性指标;b) 详细说明应用软件系统中需要保护的用户资产;c) 完成初步的应用软件系统风险评估;d) 详细说明应用软件系统安全应采用的整体安全策略。4.2 应用软件获得或开发阶段安全技术要求为确保应用软件系统在软件获得或开发过程中的安全性达到相应安全等级的安全技术要求,对于通过各种途经获得的应用软件或自主开发的应用软件,在本阶段的安全技术要求如下:a) 选择并确定相应安全等级的应用软件系统的安全技术要求;b) 自主开发的应用软件,应按照确定的安全技术要求进行安全设计和实现;c) 获得的应用软件,应确认其满足所确定的安全技术要求;d) 自主开发的应用软件,应对其开发和运行中的
21、安全附加开销和性能进行分析,并对成本和风险进行折中平衡;e) 获得的应用软件,应对其运行中安全附加开销和性能进行分析,确认其成本和风险符合折中平衡的要求。4.3 应用软件实现和评估阶段安全技术要求为了确保应用软件系统在安全设计和评估过程中达到确定的安全等级所要求的安全目标要求,应用软件实现和评估阶段的安全技术要求如下:a) 编程语言、编译器和程序库应按照确定的满足相应安全等级要求的安全准则进行鉴定;b) 应用程序的代码应被检验,以确保保密性、完整性和可用性目标已经达到,并且安全性没有降低;c) 测试软件成分和评估一个系统需要一个静态方法的组合(例如,按照适当选择的设想测试软件和固件); d)
22、软件部件的安全测试和分布式软件的安全测试是关键性的开发活动之一,应按照相应安全等3 GB/T 28452-2012 级的要求进行安全性测试;e) 对高等级的应用软件系统,应使用形式化方法对应用软件的安全设计进行验证;f) 通过测试与评估确认应用软件的安全性是否达到所确定的安全技术要求,对于未达到安全技术要求的,应从应用软件获得或开发阶段重新开始开展工作。4.4 应用软件运行和维护阶段安全技术要求为了确保应用软件系统在运行维护过程中达到相应安全等级确定的安全目标,并能根据情况的变化及时改变安全设计,应用软件系统运行和维护阶段安全技术要求如下:a) 按照相关文档的操作说明和所确定的操作规程,进行应
23、用软件系统安全机制的配置和操作;b) 定期或根据情况的变化及时进行应用软件系统安全性评估,并在必要时对安全性要求进行重新定义和设计,形成新的修订版本;c) 对应用软件系统的修订版本进行严格的测试和必要的控制,确认其达到新目标的要求,且未产生不良影响。4.5 应用软件结束和处置阶段安全技术要求为了确保应用软件系统的安全目标在其生存周期结束时不会受到影响,结束和处置阶段安全技术要求如下:a) 对于结束运行的应用软件,应进行认真处置,确保该软件系统在结束运行后,不会带来安全相关问题;b) 对于信息系统中所有与该应用软件系统相关的程序和数据信息均应进行妥善处理,除了根据信息系统的需要保留一些与业务应用
24、无关的数据信息(如用户名和标识)以外,信息系统中不应有与该应用软件的业务有关的残留信息;c) 对于该应用软件系统运行过程中使用过的可移动的记录介质,应进行记录内容的消除,确保介质中不残留任何与该应用软件相关的信息。5 第一级应用软件系统安全技术要求5. 1 安全功能技术要求5. 1. 1 用户身份鉴别用户身份鉴别包括对一般用户和系统用户如系统管理员的身份进行标识和鉴别。应按GB/T 20271-2006中6.1.3. 1的要求,从以下方面设计和实现应用软件系统的身份鉴别功能z4 a) 用户注册z对应用软件系统的注册用户,按以下要求设计和实现标识功能z。凡需进人应用软件系统的用户,应先进行标识建
25、立注册账号h2) 应用软件系统的用户应以用户名和用户标识符(UID)等信息进行标识Fb) 用户登录z对登录到应用软件系统的用户,应按以下要求进行身份的真实性鉴别z1) 采用口令进行鉴别,并在每次用户登录系统时进行鉴别s2) 口令应是不可见的,具有相应的抗攻击能力,并在存储时有安全保护;3) 通过对不成功的鉴别尝试的值(包括尝试次数和时间的阔值进行预先定义,并明确规定达到该值时所应采取的具有规范性和安全性的措施来实现鉴别失败的处理Fc) 用户-主体绑定z对注册到应用软件系统的用户,应按以下要求设计和实现用户-主体绑定功能z1) 将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者
26、用户;GB/T 28452-2012 2) 将系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前服务要求者用户。5. 1. 2 自主访问控制应按GB/T20271-2006中6.1.3. 2的要求,从以下方面设计和实现应用软件系统的自主访问控制功能za) 自主访问控制功能z对命名用户以用户/用户组规定并控制其对客体的访问,并阻止非授权用户对客体的访问z可以有多个自主访问控制功能,但其访问控制策略应具有一致性zb) 自主访问控制策略z提供用户按照确定的访问控制策略对自身创建的客体的访问进行控制的功能,包括zD 客体创建者有权以各种操作方式访问自身所创建的客体z2) 客体创建
27、者有权对其他用户进行访问授权,使其可对客体拥有者创建的指定客体能按授权的操作方式进行访问;3) 客体创建者有权对其他用户进行授权传播,使其可以获得将该拥有者的指定客体的访问权限授予其他用户的权限z的客体创建者有权收回其所授予其他用户的访问授权和授权传播55) 未经授权的用户不得以任何操作方式访问客体F6) 授权用户不得以未授权的操作方式访问客体Fc) 操作系统支持的自主访问控制z以文件形式存储和操作的用户数据,在操作系统的支持下,按GB/T 20272-2006中4.1.1. 2的要求,可实现文件级粒度的自主访问控制;d) 数据库管理系统支持的自主访问控制z以数据库形式存储和操作的用户数据,在
28、数据库管理系统的支持下,按GB/T20273-2006中5.1.1. 2的要求,可实现对表级粒度的自主访问控制zd 应用软件系统自身的自主访问控制E在应用软件系统中,通过设置自主访问控制的安全机制,可实现文件级粒度的自主访问控制。5.1.3 用户数据完整性保护应按GB/T20271-2006中6.1.3. 3的要求,对在应用软件系统控制范围内存储和传输的用户数据,从以下方面设计和实现完整性保护功能z用户公开数据的传输保护:对应用软件系统中通过网络传输的用户公开数据,进行完整性检测,发现其完整性被破坏的情况。5. 1. 4 备份与故障恢复应按GB/T20271-2006中6.1.2. 4的要求,
29、从以下方面设计和实现应用软件系统的备份与故障恢复z用户自我信息备份与恢复z提供用户有选择地备份重要信息的功能F当由于某种原因引起信息系统中用户信息丢失或破坏时,能提供用户按自我信息备份所保留的信息进行信息恢复的功能。5.2 安全保证技术要求5.2. 1 安全子系统自身安全保护要求5.2. 1. 1 SSF物理安全保护应按GB/T20271-2006中6.1.4. 1的要求,从以下方面实现应用软件系统SSF的物理安全保护z物理攻击检测。5 GB/T 28452-2012 5.2. 1. 2 SSF运行安全保护应按GB/T20271-2006中6.1.4. 2的要求,从以下方面设计和实现应用软件系
30、统SSF的运行安全保护za) 后门控制z系统在设计时不应留有后门。即不应以维护、支持或操作需要为借口,设计有违反或绕过安全规则的任何类型的人口和文档中未说明的任何模式的人口。b) 安全系统子集结构z安全系统应是一个独立的、严格定义的应用软件系统的一个子集,并应防止外部干扰和破坏,如修改其代码或数据结构。c) 用户和管理员安全属性定义:应提供设置和升级配置参数的安装机制;在初始化和对与安全有关的数据结构进行保护之前,应对用户和管理员的安全策略属性进行定义。d) 安全系统失败或中断的处理z在SSOASS失败或中断后,应按照失败保护中所描述的内容,保护其以最小的损害实现对SSF出现失败时的处理。5.
31、2.1.3 SSF数据安全保护应按GB/T20271-2006中6.1. 4. 3的要求,对在SSOASS内传输的SSF数据进行以下安全保护zSSF数据传输保护z实现SSOASS内SSF数据的基本传输保护。5.2. 1. 4 安全子系统资源利用应按GB/T20271-2006中6.1.4. 4的要求,从以下方面实现SSOASS的资源利用zU 通过一定措施确保当系统出现某些确定的故障时,SSF也能维持正常运行Fb) 对主体使用SSC内某个资源子集,按有限服务优先级,进行SSOASS资源的管理和分配zc) 按资晦分配中最大限额的要求,进行SSOASS资源的管理和分配,确保用户和主体不会独占某种受控
32、资源。5.2. 1.5 安全子系统访问控制应按GB/T20271-2006中6.1.4. 5的要求,从以下方面实现SSOASS的访问控制zd 按会话建立机制,对会话建立的管理进行设计。b) 按可选属性范围限定的要求,从访问方法、访问地址和访问时间等方面,对用来建立会话的安全属性的范围进行限制。c) 按多重并发会话限定中基本限定的要求,进行会话管理的设计。在基于基本标识的基础上,SSF应限制系统的并发会话的最大次数,并就会话次数的限定数设置默认值。5.2.2 安全子系统设计和实现要求5.2.2. 1 配置管理应按GB/T20271-2006中6.1.5. 1的要求,提供基本的配置管理能力,即要求
33、开发者所使用的版本号与所表示的SSOASS样本完全对应。5.2.2.2 分发和操作6 应按GB/T20271-2006中6.1.5. 2的要求,从以下方面实现SSOASS的分发和操作za) 以文档形式描述对SSOASS安全地进行分发的过程,对安装、初始化、启动并最终生成安全配置的过程进行说明。文档中所描述的内容应包括zGB/T 28452-2012 1) 分发的过程F2) 安全启动和操作的过程。b) 在交付过程中,应将系统的未授权修改风险控制到最低限度。包装及安全分送和安装过程中的安全性应由最终用户确认。所有软件应提供安全安装默认值,在客户不做选择时,使安全机制自动地发挥作用。d) 随同系统交
34、付的全部默认用户标识码,应在交付时处于非激活状态,并在使用前由管理员激活。e) 用户文档应同交付的软件一起包装,并有相应的规程确保交付的软件是严格按照最新的版本制作的。5.2.2.3 开发应按GB/T20271-2006中6.1.5. 3的要求,从以下方面进行SSOASS的开发za) 按非形式化功能说明、描述性高层设计、SSF子集实现、SSF内部结构模块化、描述性低层设计和非形式化对应性说明的要求,进行SSOASS的设计;b) 开发过程应保护数据的完整性,例如,检查数据更新的规则,多重输入的正确处理,返回状态的检查,中间结果的检查,异常值输人检查,事务处理更新的正确性检查等zc) 通过对内部代
35、码的检查,解决潜在的安全缺陆,关闭或取消所有的后门;d) 对交付的软件和文档,应进行关于安全缺陷的定期的和书面的检查,并将检查结果告知用户ze) 由系统控制的敏感数据,如口令、密钥等,不应在未受保护的程序或文档中以明文形式存储50 应以书面形式提供给用户关于软件所有权法律保护的指南。5.2.2.4 文档应按GB/T20271-2006中6.1.5. 4的要求,从以下方面编制SSOASS的文档za) 用户文档应提供关于不同类型用户的可见的安全机制,并说明它们的用途和提供有关它们使用的指南zb) 安全管理员文档应提供有关如何设置、维护和分析系统安全的详细说明,以及与安全有关的管理员功能的详细描述,
36、包括增加和删除一个用户,改变主、客体的安全属性等zd 文档中不应提供任何一旦泄露将会危及本安全级范围内系统安全的信息;d) 有关安全的指令和文挡根据权限应分别提供给一般用户、系统管理员、系统安全员和系统审计员z这些文档应为独立的文挡,或作为独立的章、条插人到安全管理指南和用户指南中。5.2.2.5 生存周期支持应按GB/T20271-2006中6.1.5. 5的要求,从以下方面实现SSOASS的生存周期支持za) 生存周期模型=按开发者定义生存周期模型进行SSOASS开发;b) 生存周期文档要求z文档应详细阐述安全启动和操作的过程,详细说明安全功能在启动、正常操作维护时是否能被撤销或修改,说明
37、在故障或系统出错时如何恢复系统至安全状态。5.2.2.6 测试应按GB/T20271-2006中6.1.5. 6的要求,从以下方面对SSOASS进行测试za) 通过一般功能测试,符合性独立测试,确认SSOASS的功能与所要求功能的一致性zb) 所有系统的安全特性,应被全面测试zc) 所有发现的漏洞应被改正、消除或使其无效,并在消除漏洞后重新测试,以证实它们已被消除,且没有引出新的漏洞z7 GB/T 28452-2012 d) 应提供测试文档,详细描述测试计划、测试过程、测试结果。5.2.3 安全子系统安全管理要求应根据本安全等级中安全功能技术要求和安全保证技术要求所涉及的SSOASS自身保护、
38、SSOASS设计和实现等有关内容,按GB/T20271-2006中6.1.6的要求,从以下方面实现SSOASS的安全管理za) 操作规程和规章制度z对安全保证措施所涉及的SSOASS自身保护、SSOASS设计和实现等有关内容,以及与一般的安装、配置等有关的功能,制定相应的操作、运行规程和行为规章制度Fb) SSF安全功能管理z对SSOASS中的每个安全功能模块,根据安全功能技术和安全保证技术所实现的安全功能,实现SSF安全功能的管理。6 第二级应用软件系统安全技术要求6. 1 安全功能技术要求6. 1. 1 用户身份鉴别用户身份鉴别包括对一般用户和系统用户(如系统管理员、审计员)的身份进行标识
39、和鉴别。应按GB/T 20271-2006中6.2.3.1的要求,从以下方面设计和实现应用软件系统的用户身份鉴别功能:a) 用户注册1对应用软件系统的注册用户,按以下要求设计和实现标识功能:1) 凡需进入应用软件系统的用户,应先进行标识(建立注册账号); 2) 应用软件系统的用户应以用户名和用户标识符(UID)等信息进行标识,并在应用软件系统的整个生存周期实现用户的唯一性标识,以及用户名或别名、UID等之间的一致性zb) 用户登录:对登录到应用软件系统的用户,应按以下要求进行身份的真实性鉴别t1) 采用强化管理的口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别机制进行用户身份鉴别,并在每次用户登
40、录系统时进行鉴别;2) 鉴别信息应是不可见的,具有相应的抗攻击能力,并在存储和传输时进行安全保护;3) 通过对不成功的鉴别尝试的值(包括尝试次数和时间的阔值进行预先定义,并明确规定达到该值时所应采取的具有规范性和安全性的措施来实现鉴别失败的处理;c) 用户-主体绑定:对注册到应用软件系统的用户,应按以下要求设计和实现用户-主体绑定功能:1) 将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户;2) 将系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前服务要求者用户。6. 1. 2 自主访问控制应按GB/T20271-2006中6.2.3.2的要求,从以下方面设计和实现应用软件系统的自主访问控制功能:8 a) 自主访问控制功能:命名用户以用户的身份规定并控制对客体的访问,并阻止非授权用户对客体的访问;可以有多个自主访问控制功能,但其访问控制策略必须具有一致性;b) 自主访问控制策略:提供用户按照确定的访问控制策略对自身创建的客体的访问进行控制的功能,包括:1) 客体创建者有权以各种操作方式访问自身所创建的客体;GB/T 28452-2012 2) 客体创建者有权对其他用户进行访问授权,使其可对客体拥有者创建的指定客体能按授权的操作方式进行访问;3) 客体创建者有权对其他用户进行授权传播,使其可以获得将该拥有者的指定
