1、ICS 35.040 L 80 望中华人民共和国国家标准GB/T 29244-2012 信息安全技术办公设备基本安全要求Information security technology-Basic security requirements for office devices 2012-12-31发布2013-06-01实施气中华人民共和国国家质量监督检验检蔑总局峪世332 中国国家标准化管理委员会a叩GB/T 29244-2012 目次E1112223333344444458 型模估评全安备设储UUU公四办护失求理川理U件H别保-uu易要管管同文求鉴制计息试HU非求能性理色阶用义要和控审信测
2、动要功属管角帷引定术识问全余能护话移码理全据户和性和技标访安残功维会可密管安数用嘴边V围范语全全123A刘言范规术安UUUMUAtUM安丘丘5录考前12345附参I GB/T 29244-2012 前本标准按照GB/T1. 1-2009给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位z中国电子技术标准化研究所、珠海天威飞马打印耗材有限公司、方正科技集团股份有限公司、天津复印机技术研究所、东莞市金翔电器设备有限公司、广州市弘宇科技有限公司。本标准主要起草人z杨建军、陈星、高健、玉立建、张希平、乔怀信、秦振山、刘慧玲、梁峰。皿GB/T 29244
3、-2012 信息安全技术办公设备基本安全要求1 范围本标准规定了办公设备安全技术要求和安全管理功能要求。本标准适用于政府部门等机构中对办公设备具有高安全要求的信息处理环境,用于办公设备的采购、测评、维护和管理,也可为办公设备的设计提供参考。本标准不适用于渺及国家秘密的信息处理环境。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单适用于本文件。GB/T 18336-2008(所有部分信息技术安全技术信息技术安全性评估准则GB/T 25069-2010信息安全技术术语3 术语和定义GB/T
4、 18336-2008和GB/T25069-2010界定的以及下列术语和定义适用于本文件。3. 1 办公设备office devices 用于产生或处理电子或其他媒体文件的设备。注=主要是指具有打印、扫描、传真、复印中的一项或多项功能的设备产品.办公设备评估对象模型描述请参见附录A.3.2 办公设备功能fuoction 办公设备中执行数据处理、存储或传输的实体,包括打印、复印、传真、扫描等。3.3 多功能设备muItifunction device 把两个或两个以上的办公设备功能组合在一起的一种办公设备。3.4 主体su时配t对客体实施操作的主动实体。注g在本标准中主体和用户是一致的.3.5
5、窑体。均四t办公设备中包含有或接收信息的并由主体操作的被动实体。3.6 实体entity 与办公设备客体、数据或资源进行交互的主体、客体、用户或另一信息技术设备。1 GB/T 29244-2012 3. 7 管理员administrator 被授权管理办公设备的某些部分或所有部分的用户,其行为可能影响安全功能策略。3.8 操作operation 主体在客体上实施的一类行为。3.9 用户user 办公设备之外,与办公设备进行交互的实体(人或信息技术实体。3. 10 用户数据田erdata 由用户创建或为用户商/创建,且不影响办公设备安全功能运行的数据。用户数据包括用户文档数据和用户功能数据。3.
6、 11 安全功能s眈uri句function办公设备中通过信息技术实现的、实施安全策略的机制。3. 12 安全属性s四urityattribute 主体、客体、信息、会话和/或资源的个特性,用于定义安全功能要求,并且它的值用于实施安全功能策略。注2例如某一用户的访问表,指出用户允许访问的功能列表,或是某一功能的访问表,指出允许使用该功能的用户列表。3. 13 复位reset 使办公设备的所有用户设置都恢复到出厂默认设置,并删除设备上存储的所有用户数据和安全功能数据。3. 14 非易失性存储装置nODlOlatile slrage device 当电源关闭时,其上数据不能清除的数据存储装置。3.
7、 15 可移动的非易失性存储装置ovablenonvolatile storage devke 办公设备的一部分,可由授权人员从办公设备中移出或插入的非易失性存储装置。4 安全技术要求4. 1 标识和鉴别办公设备应za) 在用户执行受控的办公设备安全功能操作之前,成功标识/鉴别该用户;b) 按照安全属性初始化规则和变更规则,建立和维护用户安全属性与主体操作之间的关联。4.2 访问控制办公设备应zd 对普通用户操作用户文档数据进行控制,普通用户只能操作自己的用户文档,操作包括打印、2 GB/T 29244-2012 复印、扫描、传真、存取和检索、存储、修改、删除等zb) 对普通用户修改或删除用户
8、功能数据进行控制,普通用户只能修改或删除自己的用户功能数据zc) 对用户使用办公设备功能进行控制,普通用户只能使用管理员明确授权的或设备自动授权的办公设备功能zd) 基于安全属性,明确授权/拒绝用户对用户数据进行访问ge) 基于安全属性,明确授权/拒绝用户对办公设备功能的访问。4.3 安全审计办公设备应EU 对下述可审计事件产生审计记录E1) 审计功能的开启和美闭z2) 操作启动和完成z3) 使用身份鉴别机制FO 使用身份标识机制ED 管理功能的使用;的时间变更F7) 其他与系统安全有关的事件或专门定义的可审计事件。b) 提供的审计记录内容至少包括z事件发生日期和时间、事件类型、主体身份如果可
9、用的话)、以及事件结果(成弱或失败)、任务类型等。c) 为每一可审计事件与导致该事件的用户身份进行关联。d) 能对系挠时间进行管理,提供可靠时间戳。4.4 残余信息保#办公设备应za) 在给用户文挡或其他用户数据分配资源,或从资源释放用户文档或其他用户数据时,资源上的任何先前信息内容不可再利用pb) 在产品文档或媒体中明确告知办公设备用户可能存在残余信息的资樨及其位置。4.5功能测试飞、/ 办公设备应za) 在启动、自检或用户要求的情况下运行自测程序,证实全部或部分安全功能操作的正确性Fb) 允许授权用户验证所有信息存储、处理和传输功能操作的正确性pc) 允许授权用户验证全部或部分安全功能数据
10、的完整性zd) 允许授权用户验证安全功能可执行代码的完整性。4.6 维护办公设备应za) 只有在管理员许可的情况下才能对办公设备的软件进行操作,包括更新、升级、修改和删除等zb) 具有复位功能和快速删除设备上存储的所有用户数据和安全功能数据的功能。4.7 会话办公设备应确保在保持静默状态规定的时间后,自动终止交互会话。3 GB/T 29244-2012 4.8 可移动非易失性存储办公设备中的可移动非易失性存储装置应za) 采取提高存储的用户数据和安全功能数据安全性的措施Fb) 采用公开的数据存储结构:c) 通过公开的接口协议与办公设备主机进行数据交换sd) 在设备或产品文档中明确标识存储容量z
11、e) 能对存储的用户数据和安全功能数据进行完整性检查。4.9 密码要求办公设备如采用密码技术,应符合国家密码管理相关规定。5 安全管理功能要求5. 1 安全属性管理办公设备应zd 具有初始化安全属性默认值的功能Fb) 具有限制用户初始化安全属性默认值的功能zd 具有维护用户安全属性的功能zd) 具有限制用户操作安全属性的功能,对安全属性的操作包括默认值变更、查询、修改或删除。5.2 数据管理办公设备应za) 确保只有管理员或除普通用户以外的授权标识角色来操作安全功能数据列表,或者禁止任何人操作安全功能数据列表,包括默认值变更、查询、修改、删除或清除sb) 确保只有管理员或与安全功能数据相关的普
12、通用户来操作与普通用户或普通用户的工作或任务相关的安全功能数据,或者禁止任何人操作与普通用户或普通用户的工作或任务相关的安全功能数据,包括默认值变更、查询、修改、删除或清除。5.3 用户角色管理办公设备应能za) 具有维护用户列表和角色列表的功能;b) 具有把用户与角色相关联的功能。4 GB/T 29244-2012 附录A(资料性附录办公设备安全评估模型A.1 办公设备概述本标准定义的办公设备主要用于打印、扫描、复印和传真等。办公设备可以依据其意图或用途,以多种不同的配置予以实现。简单的设备通过单一功能实现其单一用途,例如打印机、扫描仪、复印机或传真机。有些设备在其主要用途的基础上增加一些耐
13、姐功能,例如一个传真机也可用于复印,或一个复印机也可用于打印。复杂多功能设备通过使用不同功能的组合,执行多个本同单一功能的操作,实现多种用途。有些设备为增强其能力,还具有一些附加功能,例如硬盘或其他非易失性存储、文件服务器、手工或自动更新办公设备运行软件等。A.2 办公设备安全评估模型(见图A.1)办公设备安全功能办公设备施用功能安全功能数据一一安全功能保护数据一一安全功能机密数据个E个sl!圄A.1办公设备安全评估模型圈注g该图参阅了IEEE2600. 1-2009中的评估对象模型.A.3 模型说明A. 3.1 用户办公设备用户可以分为两类z普通用户和管理员,表A.l对两类用户进行了定义。5
14、 GB/T 29244-2012 表A.1用户名称定义普通用户授权操作办公设备处理用户文档数据的用户授权用户管理员授权管理办公设备,以及影响办公设备安全策略的用户A.3.2 资产办公设备包括三种类型的资产z用户数据、安全功能数据和办公设备功能。A.3.3 用户数据用户数据是由用户创建的或为用户而创建的数据,它不影响办公设备安全功能的运行。这种类型的数据有两类z用户文档数据和用户功能数据,表A.2对用户数据进行了定义.表A.2用户鼓据名称定义用户文裆数据是指办公设备处理的用户文档中的所有信息,包括g正在扫描或拷贝的原件数用户文挡数据据,拟打印的电子文件内容,由扫描或传真得到的图像数据,输出的打印
15、文档,以及在硬盘或其他存储设备中残留或存储的数据用户功能数据用户功能数据是指与办公设备所处理业务有关的信息,包括作业指令和作业状态A.3.4 安全功能鼓据安全功能数据是指实施办公设备安全功能所需的数据,它可影响办公设备的运行。安全功能数据可以分为两类z安全功能保护数据和安全功能机密数据,表A.3和表A.4给出了安全功能数据的定义和示例。表A.3安全功能数据名称定义办公设备安全功能保护数据包括za) 办公设备的作业和使用日志、地址簿以及设备配置z安全功能保护数据b) 网络管理数据,例如胆地址gc) 办公设备的数字资源和其他常驻数据,这些数据不是用户文档数据或办公设备软件(例如字型或存储表格)的必
16、要组成部分办公设备安全功能机密数据包括2安全功能机密数据a) 用户口令gb) 设备管理数据,例如安全事件审计日志数据6 GB/T 29244-2012 表A.4安全功能数据分类示例安全功能受保护数据示例安全功能机密数据示倒用户和管理者标识数据用户和管理者鉴别数据扫描/传真/邮件地址表或通讯录访问外部设备如邮件或文件服务器的凭证任务状态日志工作细节和审计日志挂起或储存任务和文档的状态访问控制列表设备和网络状态信息和配置设置设备和网络管理(如2简单网络管理协议鉴别数据设备安全状态加密钥匙A.3.5 办公设备功能办公设备功能是指办公设备对用户数据的处理、存储和转换,具体定义参见表A.5.表A.5办公
17、设备功能定义功能名称定义打印将电子文档输入转换为物理文挡输出的功能扫描将物理文档输入转换为电子文档输出的功能复印将物理文档输入复制为物理文档输出的功能传真将物理文档输入转换为基于电话的传真发送的功能,并将基于电话的文档传真接受转换为物理文件输出的功能文档存取一个任务期间存储文裆,在后续一个或多个任务中取回文档的功能将用户数据和安全功能数据存储在固定存储设备上的功能,该设备是评估安全保护对象模型非易失性存储的一部分但设计成可由授权人员从安全保护对象模型上移出。对存储装置的非正常访问或l者被拆卸时,在不受保护的环境下,可被攻击者离线分析其内容;或从办公设备保护环境之外重新插入类似设备,可能使攻击者
18、把恶意内容引人到办公设备中共享媒体接口在一个通信媒介上发送或接收用户数据或安全功能数据,在一般实践中,该通讯媒体可以同l时被多个用户访问,例如有线网络以及大多数元线网络A.3.6 操作办公设备包括以下五种类型的操作z可导致信息泄露的读操作,可导致信息改变的生成操作、修改操作和删除操作,以及调用功能的操作。A.3.7 通道通道是一种数据输入/输出办公设备的机制,办公设备通道通常包含私有媒体接口、共享媒体接口、原始文档处理器和硬拷贝输出处理器。A.3.8 运行模型办公设备由输入、输出、储存和处理等元素组成,以便在用户文档数据上执行以下一个或多个文档处理操作z打印、扫描、复印、传真、存储等。操作期间
19、,可以产生和修改用户功能数据例如任务状态和安全功能数据例如任务审计日志7 GB/T 29244-2012 参考文献lJ IEEE 2600. 1-2009 A操作环境下的保护轮廓标准8 NFONl叮叮NNH阁。华人民共和国家标准信息安全技术办公设备基本安全要求GB/T 29244-2012 国中* 中国标准出版社出版发行北京市朝阳区和平里西街甲2号。00013)北京市西城区三里河北街16号(10004日网址总编室,(010)64275323发行中心,(010)51780235读者服务部:(010)68523946中国标准出版社秦皇岛印刷厂印刷各地新华书店经销* 开本880X12301/16 印张1字数18千字2013年4月第一版2013年4月第一次印刷 书号,155066. 1-46893定价18.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68510107GB/T 29244-2012
