GB T 25066-2010 信息安全技术 信息安全产品类别与代码.pdf

1、ICS 35.020 L 80 GB 中华人民主t/、和国国家标准GB/T 25066-2010 信息安全技术信息安全产品类别与代码Information security technology 一-Type and code of information security product 2010-09-02发布2011-02-01实施数码防伪中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布GB/T 25066-2010 目次前言.1 I 范围2 规范性引用文件.3 术语和定义.4 类别与代码2附录A(规范性附录)分类描述参考文献GB/T 25066-2010 目U昌本标准

2、由全国信息安全标准化技术委员会提出并归口。本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、中国信息安全测评中心信息安全实验室。本标准主要起草人:顾健、陆臻、李守鹏、江常青、沈亮、刘春明、张笑笑、姚轶崭、下斌、李红阳、吴其聪、邹琪、俞优、顾建新、林燕、彭勇、邹春明。I G/T 25066-2010 信息安全技术信息安全产品类别与代码1 范围本标准规定了信息安全产品的主要类别与代码，包括物理安全类、主机及其计算环境安全类、网络通信安全类、边界安全类、应用安全类、数据安全类、安全管理与支持类及其他类八个方面。本标准适用于国家信息安全等级保护建设与信息安全行业产品分类管理。本标准不适用于

3、提供密码算法运算的商用密码产品(如密码芯片和密码模块等)。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版本均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 18336. 1-2008信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型CISO/IEC15408-1: 2005 , IDT) GB/T 18336.2-2008信息技术安全技术

4、信息技术安全性评估准则第2部分:安全功能要求(lSO/IEC15408-2: 2005 , IDT) GB/T 18336. 3-2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求(ISO/IEC15408-3: 2005 , IDT) 3 术语和定义GB 17859-1999中确立的以及下列术语和定义适用于本标准。3. 1 信息安全产品information security product 保障信息安全的一个IT软件、固件或硬件及其组合体，它提供相关功能且可用于或组合到多种系统中。3.2 物理安全产品physical security product 采用一定信息技术实现

5、的，用以保护环境、设备、设施以及介质免遭物理破坏(如地震、火灾等自然灾害以及物理上的窃取、毁损等人为破坏)的信息安全产品。3.3 主机及其计算环境安全产晶host and computing environment security product 部署在主机及其计算环境中，保护用户计算环境保密性、完整性和可用性的信息安全产品。3.4 网络通信安全产晶network communication security product 部署在网络设备或通信终端上，用于监测、保护网络通信，保障网络通信的保密性、完整性和可用性的信息安全产品。1 G/T 25066-2010 3.5 边界安全产品bound

6、ary security product 部署在安全域的边界上，用于防御安全域外部对内部网络/主机设备进行攻击、渗透或安全域内部网络/主机设备向外部泄漏敏感信息的信息安全产品。3.6 应用安全产品application security product 部署在特定的应用系统中，用于保障应用安全的信息安全产品，例如，应用层的身份鉴别和访问控制服务。3. 7 数据安全产品data security product 防止信息系统数据被故意或无意非授权泄露、更改、破坏或使信息被非授权的系统辨识、控制，即确保数据的完整性、保密性、可用性和可控性的信息安全产品。3.8 安全管理与支持产品seurity m

7、anagement and support prodnct 为保障信息系统正常运行提供安全管理与支持，以及降低运行过程中安全风险的信息安全产品。4 类别与代码本标准以三级目录的形式将信息安全产品分为三级，一级分类代码为1位字母，二级分类代码为一级分类代码后增加1位数字，三级分类代码为二级分类代码后增加2位数字。表1信息安全产品类别与代码一级分类二级分类三级分类代码名称代码名称代码名称A101 区域防护Al 环境安全A102 灾难防范与恢复A103 容灾恢复计划辅助支持A201 设备防盗A202 设备防毁A 物理安全A2 设备安全A203 防线路截获A204 抗电磁干扰A2QS 电源保护A301

8、 介质保护A3 介质安全A302 介质数据安全A9 物理安全其他B101 电子信息鉴别(主机)B1 身份鉴别B102 生物信息鉴别(主机)B201 可信计算B 主机及其计算环境安全B202 主机入侵检测B2 计算环境防护B203 主机访问控制B204 个人防火墙B205 终端使用安全二2 GB/T 25066-2010 表1(续)一级分类二级分类三级分类代码名称代码名称代码名称B301 计算机病毒防治B3 防恶意代码B302 特定代码防范B 主机及其计算环境安全B401 安全操作系统B4 操作系统安全B402 操作系统安全部件B9 主机及其计算环境安全其他C101 通信鉴别C1 通信安全CI0

9、2 通信保密C 网络通信安全C201 网络入侵检测C2 网络监测C202 网络活动监测与分析C9 网络通信安全其他D1 01 安全隔离卡D1 边界隔离D1 02 安全隔离与信息交换D201 入侵防御系统D2 入侵防范D202 网络恶意代码防范D203 可用性保障(抗DoS)D 边界安全D301 防火墙D3 边界访问控制D302 安全路由器D303 安全交换机D4 网络终端安全D401 终端接入控制D5 内容安全D501 信息内容过滤与控制D9 边界安全其他E101 安全应用服务El 应用服务安全E102 电子信息鉴别(应用E 应用安全EI03 生物信息鉴别(应用)E2 应用服务安全支持E201

10、 应用数据分析E9 应用安全其他F101 安全数据库Fl 数据平台安全F102 数据库安全部件F2 备份与恢复F201 数据备份与恢复F 数据安全F301 数据加密F3 数据保护F302 数据泄漏防护F303 电磁泄漏防护F9 数据安全其他G 安全管理与支持G1 综合审计I GI01 I安全审计3 GB/T 25066-2010 表1(续)一级分类二级分类三级分类名称代码名称名称应急计划辅助软件设施密码设备密钥管理G |安全管理与支持|G401|系统风险评估安全性检测分析安全资产管理安全监控4 GB/T 25066一2010A.1 物理安全(A)A. 1. 1 环境安全(A1) A.1.1.1

11、 区域防护(A10 1) 附录A(规范性附录)分类描述本类产品对特定区域(包括固定或移动的)使用信息技术提供某种形式的保护和隔离，目的是保护特定区域的信息系统和设备免受直接人为破坏。本类产品的安全功能可主要归纳为3个方面za) 人员出人控制;b) 受保护资源控制;c) 传感器网络。任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归入本类。A. 1. 1. 2 灾难防范与恢复(A102) 本类产品采用相关信息技术提供受灾报警、受灾保护和受灾恢复等功能，目的是保护信息系统或设备免受水、火、有害气体、地震、雷击和静电的危害。本类产品的安全功能可主要归纳为3个方面za) 灾难发生前，对灾难

12、的检测和报曹;b) 灾难发生时，对正遭受破坏的系统或设备采取紧急措施，进行现场实时保护;c) 灾难发生后，对已经遭受某种破坏的系统或设备进行灾后恢复。任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归入本类。A. 1. 1.3 窑灾恢复计划辅助支持(A103)本类产品采用相关信息技术为制定容灾恢复计划提供计算机辅助，它可以以容灾恢复计划辅助软件的形式提供，目的是实现容灾恢复计划的半自动化生成。本类产品的安全功能可主要归纳为3个方面:a) 受灾的影响分析;b) 受灾恢复计划的概要设计或详细制定pc) 受灾恢复计划的测试与完善。任何提供以上一种或数种功能，且该功能为主导性功能的产品，均

13、可归入本类。A.1.2 设备安全(A2)A. 1. 2.1 设备防盗(A201)本类产品采用相关信息技术提供对设备的防盗保护，目的是保护设备免遭人为盗窃。本类产品所提供的安全功能可主要归纳为:在设备中的部件上使用相关信息技术防盗手段(如信息系统网络探测报警)，保障这些部件的安全性。任何提供以上功能，且该功能为主导性功能的产品，均可归入本类。A. 1.2.2 设备防毁(A202)本类产品采用相关信息技术提供对设备的防毁保护，目的是保护设备免遭人为毁坏。本类产品所提供的安全功能可主要归纳为2个方面:a) 对抗自然力的破坏，使用一定的防毁措施(如网络远程控制防护)保护信息系统设备和部件;b) 对抗人

14、为的破坏，使用一定的防毁措施(如网络远程防拆报曹)保护信息系统设备和部件。5 GB/T 25066-2010 任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归入本类。A. 1. 2. 3 防线路截获(A203)本类产品采用相关信息技术用于防止通信线路中传输的信息被非授权截获，目的是提高敏感信息在传输过程中的安全性。本类产品的安全功能可主要归纳为2个方面:a) 探测线路截获，发现线路截获并报曹;b) 定位线路截获，发现线路截获设备工作的位置。任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归入本类。A. 1. 2. 4 抗电磁干扰他204)本类产品采用相关信息技术用于防

15、止电磁干扰，目的是保护系统或设备运行和数据的安全性。本类产品的安全功能可主要归纳为2个方面:a) 对抗外界对系统的电磁干扰;b) 消除来自系统内部的电磁干扰。任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归入本类。A. 1. 2. 5 电源保护(A205)本类产品采用相关信息技术为信息系统设备的可靠运行提供电源保障，目的是保障系统运行的稳定性。本类产品的安全功能可主要归纳为2个方面:a) 对工作电源的工作连续性的保护，如不间断电源zb) 对工作电源的工作稳定性的保护，如纹波抑制器。任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归入本类。A. 1.3 介质安全(A3)

16、A. 1.3.1 介质保护他301)本类产品采用相关信息技术提供对存储介质的安全保管，目的是通过保护介质本身来保护存储在介质上的信息。本类产品的安全功能可主要归纳为2个方面:a) 介质的防盗;b) 介质的防毁、防霉。任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归入本类。A. 1.3.2 介质数据安全(A302)本类产品采用相关信息技术提供对介质数据的保护，目的是为了防止数据被非授权删除或者被删除的敏感数据被非授权恢复。本类产品的安全功能可主要归纳为3个方面:a) 介质数据的防盗，如防止介质数据被非授权拷贝;b) 介质数据的销毁，包括介质的物理销毁和介质数据的彻底销毁(如消磁等)

17、，防止介质数据删除或销毁后被他人恢复而泄露信息;c) 介质数据的防毁，防止意外或故意的破坏使媒体数据的丢失。任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归入本类。A.1.4 物理安全其他忱的不能归为上述3类的物理安全类产品暂归为物理安全其他类。A.2 主机及其计算环境安全(B)A. 2.1 身份鉴别(B1) A. 2. 1. 1 电子信息鉴别(主机)(B10 1) 本类产品在主机设备可信操作初始执行时，要求用户提供以电子信息为载体的身份及鉴别信息，对6 、a, GB/T 25066-2010 其进行鉴别，目的是确认主机系统使用者的身份。本类产品的安全功能可主要归纳为4个方面:a

18、) 基于智能卡的身份鉴别，包括COS、芯片和读卡器;b) PKI/CA证书身份鉴别;c) 动态口令身份鉴别;d) 基于电子标签RFID的身份鉴别。任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归入本类。A. 2. 1. 2 生物信息鉴别(主机)(B102)本类产品在主机设备可信操作初始执行时，要求用户提供以生物信息为载体的身份及鉴别信息，对其进行鉴别，目的是确认主机系统使用者的身份。本类产品的安全功能可主要归纳为2个方面:a) 基于生物特征的身份鉴别，如手形、指纹/掌纹、脸形、虹膜、视网膜、脉搏、耳廓等;b) 基于行为特征的身份鉴别，如签字、语音、按键力度等。任何提供以上一种或两

19、种功能，且该功能为主导性功能的产品，均可归入本类。A.2.2 计算环境防护(B2)A. 2. 2.1 可信计算(B201)本类产品利用可信计算平台模块，对主机用户进行身份鉴别以及信息加密，目的是提供可信计算环境。任何提供以上功能，且该功能为主导性功能的产品，均可归入本类。A. 2. 2. 2 主机入侵检测(B202)本类产品对已经抵达主机的数据进行监测，从主机或服务器上采集包括操作系统日志、系统进程、文件访问和注册表访问等信息数据，并根据事先设定的策略判断数据是否异常，从而决定采取报警、控制等措施，目的是对入侵主机行为进行发现和阻止。任何提供以上功能，且该功能为主导性功能的产品，均可归入本类。

20、A. 2. 2. 3 主机访问控制(B203)本类产品在身份鉴别的基础上，根据主体身份对应的权限(预定义的)对其访问客体的能力加以控制，目的是对不同的身份分配不同的权限，从而实现权限分立。本类产品的安全功能可主要归纳为3个方面:a) 自主访问控制;b) 强制访问控制;c) 基于角色的访问控制。任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归入本类。A. 2. 2. 4 个人防火墙(B204)本类产品针对主机设备的网络出站/人站提供保护功能，如主机包过滤、应用程序访问控制等，一般为软件，目的是对主机提供网络综合防护。任何提供以上功能，且该功能为主导性功能的产品，均可归入本类。A.

21、2. 2. 5 终端使用安全(B205)本类产品提供对接入系统的终端进行保护的功能，能够防止对终端的未授权使用(如终端使用口令保护等)，目的是通过对终端访问的保护，保障终端资源安全。任何提供以上功能，且该功能为主导性功能的产品，均可归入本类。A.2.3 防恶意代码(B3)A. 2. 3.1 计算机病毒防治(B301)本类产品提供对计算机病毒的防治，防护侧重于防护本地计算机资源。计算机病毒防治产品是通过对内容或行为的判断建立系统保护机制，目的是预防、检测和消除计算机病毒。7 GB/T 25066-2010 任何提供以上功能，且该功能为主导性功能的产品，均可归入本类。A. 2. 3. 2 特定代码

22、防范(B302)本类产品针对特定恶意代码(如木马、恶意脚本)的防范，提供阻止和查杀的功能，目的是预防、检测和消除特定恶意代码。任何提供以上功能，且该功能为主导性功能的产品，均可归入本类。A.2.4 操作系统安全(B4)A. 2. 4.1 安全操作系统(B401)本类产品是指从系统设计、实现和使用等各个阶段都遵循了一套完整的安全策略的操作系统，目的是在操作系统层面保障系统安全。任何具有不同安全级别的安全操作系统产品均可归入本类。A. 2.4.2 操作系统安全部件(B402)本类产品以安全部件的形式增强现有操作系统的安全性，目的是在操作系统层面保障系统安全。本类产品的安全功能可主要归纳为2个方面=

23、a) 通过构造安全模块，增强现有操作系统的安全性;b) 通过构造安全外罩，增强现有操作系统的安全性。任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归入本类。A.2.5 主机及其计算环境安全其他(B9)不能归为上述4类的计算环境安全类产品暂归为主机及其计算环境安全其他类。A.3 网络通信安全(C)A. 3.1 通信安全(C1)A. 3.1.1 通信鉴别(C101)本类产品用于防御通信方伪造身份或对通信过程的抵赖，目的是确保信息交换方能确认对方的身份或通信方不能对通信过程抵赖。本类产品的安全功能可主要归纳为3个方面:a) 信息的接受者可以确认数据发起者的身份;b) 抗原发抵赖，确保信

24、息的发起者不能否认曾经发送的信息;c) 抗接收抵赖，确保信息的接受者不能否认接收过信息。任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归入本类。A. 3. 1. 2 通信保密(C102)本类产品用于防御攻击者窃取网络传输中的数据，目的是保障网络数据安全。本类产品的安全功能可主要归纳为2个方面:a) 采用密码技术对传递的数据进行加密，确保攻击者即使截获数据仍元法解析出明文;b) 采用信息隐藏技术实现数据的隐蔽传输，确保攻击者即使截获数据仍元法获取隐藏的数据。任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归入本类。A.3.2 网络监测(C2)A. 3. 2.1 网络入侵

25、检测CC201)本类产品针对网络入侵进行监测，它可以自动识别各种入侵模式，在对网络数据进行分析时与这些模式进行匹配，一旦发现某些人侵的企图，就会进行报瞥，目的是通过对网络入侵的检测，弥补防火墙等边界安全产品的不足，及时发现网络中违反安全策略的行为和被攻击的迹象。任何提供以上功能，且该功能为主导性功能的产品，均可归入本类。A. 3. 2. 2 网络活动监测与分析(C202)8 本类产品对网络传输信息进行检测与分析，目的是为管理员进行网络管理提供支持。本类产品的安全功能可主要归纳为2个方面: 飞而. 、G/T 25066-2010 a) 根据不同的网络协议进行监测，对网络通信信息进行记录并还原;b

26、) 通过流量分析等手段将网络活动信息与顶先设置好的安全策略进行匹配，从而发现网络活动异常。任何提供以上一种功能，且该功能为主导性功能的产品，均可归入本类。A. 3. 3 网络通信安全其他(C9)不能归为上述2类的网络通信安全类产品暂归为网络通信安全其他类。A.4 边界安全(D)A.4.1 边界隔离(D1)A. 4. 1. 1 安全隔离卡(Dl01)本类产品(含线路选择器)在终端设备上对不同安全域进行划分与隔离，目的是在同一终端上实现安全域隔离与特定条件下的数据传输(仅适用单向，且该单向传输指任意时段单向)。本类产品的安全功能可主要归纳为3个方面:a) 物理断开(卡); b) 单向隔离(卡);

27、c) 通过安装以上隔离部件实现隔离功能的计算机。任何提供以上一种功能，且该功能为主导性功能的产品，均可归入本类。A. 4. 1. 2 安全隔离与信息交换(Dl02)本类产品在安全域边界上对不同安全域进行隔离与信息交换，目的是在保障安全域安全的前提下进行有限数据交换。本类产品的安全功能可主要归纳为2个方面:a) 协议隔离zb) 网闸。任何提供以上一种功能，且该功能为主导性功能的产品，均可归入本类。A.4.2 入侵防范(1)2)A.4.2.1 入侵防御系统(D201)本类产品在网络入侵行为进入被保护网络之前通过报警、阻断等措施为信息系统提供防护，目的是对网络入侵行为进行阻止。本类产品的安全功能可主

28、要归纳为2个方面:a) 边界入侵阻断pb) 边界入侵诱导(蜜罐。任何提供以上一种栩栩能，且该功能为主导性功能的产品，明白人本类。A. 4. 2. 2 网络恶意代码防范(D202)本类产品侧重于防护网络系统资源，针对特定恶意代码(如木马、恶意脚本、病毒等)的网际传播提供过滤功能，目的是防止特定恶意代码通过网络进行扩散。本类产品的安全功能可主要归纳为2个方面:a) 防病毒网关;b) 网际恶意代码防范。任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归入本类。A. 4. 2. 3 可用性保障(抗DoS)(D203) 本类产品用于防御攻击者通过消耗过量信息系统资源(如DoS、DDoS攻击)

29、而导致系统不能及时执行合法用户任务的攻击，目的是保障系统可用性。本类产品的安全功能可主要归纳为2个方面:a) 当遇到大量用户请求时，可以识别出合法用户的请求而给予响应;9 GB/T 25066-2010 b) 当遇到大量用户请求时，可以动态的分配资源从而保障通信的畅通。任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归入本类。A. 4. 3 边界访问控制CD3)A. 4. 3.1 防火墙(D301)本类产品在边界上针对信息系统的网络数据流入/流出提供过滤和保护，目的是阻止安全域外部连接的非授权进入内部，以及通过网络手段阻断特定的内外连接。本类产品的安全功能可主要归纳为3个方面:a)

30、 包过滤防火墙(包括状态检测); b) 应用级防火墙;c) 混合型防火墙。任何提供以上一种功能，且该功能为主导性功能的产品，均可归入本类。A. 4. 3. 2 安全路由器(D302)本类产品集成常规路由功能与网络安全功能，除普通路由功能以外，它内置防火墙、IPSEC等模块，提供网络互连、流量控制、网络和信息安全维护等安全功能，目的是阻止安全域外部连接的非授权进入内部，以及保障网络通信的安全性。任何提供以上功能，且该功能为主导性功能的产品，均可归入本类。A. 4. 3. 3 安全交换机(D303)本类产品在传统的交换功能的基础上，提供了基于ACL的报文过滤、CPU过载保护、广播风暴控制、VLAN

31、、基于802.1X的接入控制、交换机与IDS系统的联动等安全功能，目的是保障安全域数据交换的安全性。任何提供以上功能，且该功能为主导性功能的产品，均可归入本类。A.4.4 网络终端安全(D4)A.4.4.1 终端接入控制(D401)本类产品提供对接入系统的终端进行访问控制的功能，能发现终端接入系统的行为，并能根据访问控制策略采取行动(如允许授权终端接人、断开非授权的终端连接等)，目的是通过对终端接人的控制，保障安全域边界安全。任何提供以上功能，且该功能为主导性功能的产品，均可归入本类。A.4.5 内容安全(D5)A. 4. 5.1 信息内容过滤与控制(D501) 本类产品基于内容识别来过滤网络

32、信息，目的是阻止安全域外部的特定信息流入安全域内部。本类产品的安全功能可主要归纳为4个方面:a) 文本过滤;b) 图片过滤;c) 多媒体流过滤;d) 综合过滤(如反垃圾邮件)。任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归入本类。A.4.6 边界安全其他CD9)不能归为上述5类的边界安全类产品暂归为边界安全其他类。A.5 应用安全(E)A. 5.1 应用服务安全(E1)A. 5. 1. 1 安全应用服务也101)本类产品提供具有信息安全保障能力的应用服务的功能，目的是通过所采用的信息安全技术保障服务的安全性。10 G/T 25066-2010 本类产品的安全功能可主要归纳为5个

33、方面:a) 互联网交易软件安全;b) 办公自动化公文流转软件安全;c) 网络信息发布系统安全;d) 电子签章系统;e) 其他应用系统安全。任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归入本类。A. 5. 1. 2 电子信息鉴别(应用)(E102) 本类产品在应用服务可信操作初始执行时，要求用户提供以电子信息为载体的身份及鉴别信息，对其进行鉴别，目的是确认应用系统使用者的身份。本类产品的安全功能可主要归纳为4个方面:a) 基于智能卡的身份鉴别，包括COS、芯片和读卡器;b) PKI/CA证书身份鉴别;c) 动态口令身份鉴别;d) 基于电子标签RFID的身份鉴别。任何提供以上一种或

34、数种功能，且该功能为主导性功能的产品，均可归入本类。A.5. 1. 3 生物信息鉴别(应用)(E103)本类产品在应用服务可信操作初始执行时，要求用户提供以生物信息为载体的身份及鉴别信息，对其进行鉴别，目的是确认应用系统使用者的身份。本类产品的安全功能可主要归纳为2个方面:a) 基于生物特征的身份鉴别，如手形、指纹/掌纹、脸形、虹膜、视网膜、脉搏、耳廓等;b) 基于行为特征的身份鉴别，如签字、语音、按键力度等。任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归入本类。A.5.2 应用服务安全支持(E2)A.5.2.1 应用数据分析(E201)本类产品为服务提供应用层面的数据分析，包

35、括应用数据审计、统计、查询、分析、报表等，目的是提高应用服务运行的安全性。任何提供以上功能，且该功能为主导性功能的产品，均可归入本类。A.5.3 应用安全其他币的不能归为上述2类的应用安全类产品暂归为应用安全其他类。A.6 数据安全(F)A.6.1 数据平台安全(Fl)A. 6. 1. 1 安全数据库(Fl0 1) 本类产品是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略的数据库系统，目的是在数据库层面保障数据安全。任何具有不同安全级别的安全数据库系统均可归入本类。A. 6. 1. 2 数据库安全部件(Fl02)本类产品是以现有数据库系统所提供的功能为基础构造安全模块，以

36、安全部件的形式增强现有数据库系统的安全性，目的是在数据库层面保障数据安全。本类产品的安全功能可主要归纳为2个方面:a) 通过构造安全模块，增强现有数据库系统的安全性;b) 通过构造安全外罩，增强现有数据库系统的安全性。任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归入本类。11 GB/T 25066-2010 A. 6. 2 备份与恢复(F2)A. 6. 2.1 数据备份与恢复(F201)本类产品提供对信息系统中的数据进行备份与恢复，如网站备份与恢复及应用服务器备份与恢复等，目的是保障数据安全。本类产品的安全功能可主要归纳为2个方面:a) 采用在线技术实现数据的备份和恢复;b)

37、采用离线技术实现数据的备份和恢复。任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归入本类。A. 6. 3 数据保护(F3)A. 6. 3.1 数据加密(F301) 本类产品用于防御攻击者窃取以文件等形式存储的数据，目的是保障存储数据的安全。本类产品的安全功能可主要归纳为2个方面:a) 采用密码技术对存储的数据进行加密(如文件加密、整盘加密等手段)，确保攻击者即使获取数据仍无法解析出明文;b) 采用信息隐藏技术实现数据的隐蔽存储，确保攻击者即使获取数据仍元法获取隐藏的信息。任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归入本类。A. 6. 3. 2 数据泄露防护(F3

38、02)本类产品通过对安全域内部敏感信息输出的主要途径(如通过外设、网络输出)进行控制，目的是为了防止安全域内部敏感信息被有意或无意外漏。本类产品的安全功能可主要归纳为2个方面:a) 网络输出控制(控制点包括网络边界出口或主机hb) 外设接口输出控制。任何提供以上功能，且该功能为主导性功能的产品，均可归入本类。A. 6. 3. 3 电磁泄漏防护(F303)本类产品采用相关信息技术防止电磁信息的泄漏，目的是特定安全域内提高敏感数据在信息系统和设备中运行时的安全性。本类产品所提供的安全功能可主要归纳为2个方面za) 防止电磁信息的泄漏;b) 干扰泄漏的电磁信息。任何提供以上一种或两种功能，且该功能为

39、主导性功能的产品，均可归入本类。A.6.4 数据安全其他(F9)不能归为上述3类的数据安全类产品暂归为数据安全其他类。A.7 安全管理与支持(G)A. 7.1 综合审计(Gl)A. 7.1. 1 安全审计(G101)本类产品针对信息系统的活动信息进行审计记录及分析，目的是通过安全审计挖掘安全事件，并加以分析，得到相关信息。本类产品的安全功能可主要归纳为4个方面:a) 计算环境安全审计，针对主机进程调用及文件访问等事件进行审计Eb) 网络安全审计，针对网络数据进行审计;c) 数据库安全审计，针对数据库活动进行审计;d) 日志分析，针对指定审计数据的数据分析与挖掘。任何提供以上一种或数种功能，且该

40、功能为主导性功能的产品，均可归入本类。12 G.B/T 25066-2010 A. 7. 2 应急晌应支持(G2)A. 7. 2.1 应急计划辅助软件(G201)本类产品为制定应急计划提供计算机辅助，目的是实现应急计划的半自动化支持。本类产品的安全功能可主要归纳为3个方面:a) 紧急事件或安全事件发生时的影响分析;b) 应急计划的概要设计或详细制定;c) 应急计划的测试与完善。任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归入本类。A. 7. 2. 2 应急设施(G202)本类产品包括实时应急设施、非实时应急设施等，目的是在紧急事件或安全事件发生时，提供信息系统实施应急计划支持。

41、本类产品的安全功能可主要归纳为2个方面:a) 提供实时应急设施，实现应急计划，保障信息系统的正常安全运行;b) 提供非实时应急设施，实现应急计划。任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归入本类。A. 7. 3 密码支持(G3)A. 7. 3.1 密码设备(G301)本类产品提供密码信息存储并能执行加密函数，目的是为保障信息的保密性提供基础设施支持，如商用加密机、加密卡等。相关要求均应遵照国家有关密码政策执行。任何提供以上功能，且该功能为主导性功能的产品，均可归入本类。A. 7. 3. 2 密钥管理(G302)本类产品指生成和保护密钥相关的各种操作，具体包括密钥的生成、存储

42、、分发、导人、导出、使用、备份、恢复、归档和销毁等，目的是保障密钥安全。本类产品的安全功能可主要归纳为2个方面:a) 密钥的产生、分配、访问和销毁等;b) 数字证书的产生、分配、发放和销毁等。任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归入本类。A.7.4 风险评估(G的A. 7.4.1 系统凤险评估(G401)本类产品提供对信息系统进行半自动或自动的风险评估，目的是提高系统安全性。本类产品的安全功能可主要归纳为4个方面:a) 系统设计前的风险评估，通过分析业务系统固有的脆弱性，旨在发现系统设计前潜在的安全隐患;b) 系统试运行前的风险评估，根据系统试运行期的运行状态和结果，分

43、析系统的潜在安全隐患，旨在发现系统设计的安全漏洞;c) 系统运行期的风险评估，提供系统运行记录，跟踪系统状态的变化，分析系统运行期的安全隐患，旨在发现系统运行期的安全漏洞。任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归人本类。A. 7. 4. 2 安全性检测分析(G402)本类产品针对信息系统特定对象进行安全性检测分析，该分析过程一般包括脆弱性扫描、分析与建议3个过程，目的是提高系统安全性。本类产品的安全功能可主要归纳为6个方面:a) 操作系统安全性检测分析;b) 数据库及数据库管理系统安全性检测分析;13 GB/T 25066-2010 c) 传输、网络系统安全性检测分析;d

44、) 应用系统安全性检测分析;的硬件系统安全性检测分析;f) 攻击性和渗透性检测分析。任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归入本类。A. 7. 5 安全管理CG5)A. 7. 5.1 安全资产管理CG501)本类产品是一个信息交换、存储和处理平台，通过该平台，能够对各安全信息进行控制管理，目的是为了对信息安全资产进行统一管理，增强资产管理的时效性、可控性和全面性。本类产品的安全功能可主要归纳为3个方面:a) 安全产品管理，该平台允许授权主体对安全属性(访问控制列表、能力表等)进行查看或修改;提供对角色的统一管理;对日志信息进行统一收集和处理;b) 补丁管理，对操作系统和安

45、全软件的补丁安装情况设置统一的策略，进行统一的管理;c) 升级管理，对操作系统和安全软件的版本升级情况设置统一的策略，进行统一的管理;d) 其他信息安全相关的资产管理。任何提供以上功能，且该功能为主导性功能的产品，均可归入本类。A. 7. 5. 2 安全监控CG502)本类产品针对信息系统信息流进行安全性监测和控制，目的是发现和阻止系统和网络资源的非授权使用。本类产品的安全功能可主要归纳为2个方面:a) 远程监测，对远程主机的在线状态、系统资源、软件安装、服务、进程、外设使用、上网等情况进行实时监测;b) 非授权外联监控，对受保护网络内部主机在安全策略允许之外通过modem、双网卡、元线设备(

46、如CDMA、GSM、GPRS、WLAN等)等非授权途径与外部网络进行连接的情况加以监测、报警及阻断。任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归入本类。A. 7. 6 安全管理与支持其他CG9)不能归为上述5类的安全管理与支持类产品暂归为安全管理与支持其他类。A.8 其他(Z)不能归为上述7类的信息安全产品暂归为其他类。14 参考文献lJ GA 163 计算机信息系统安全专用产品分类原则2J GB/T 20271-2006 信息安全技术信息系统通用安全技术要求GB/T 25066-2010 OFONilomNH阁。国华人民共和国家标准信息安全技术信息安全产品类别与代码GB/T 25066-2010 中* 中国标准出版社出版发行北京复兴门外三里河北街16号邮政编码:100045 网址电话:6852394668517548 中国标准出版社秦皇岛印刷厂印刷各地新华书店经销* 印张1.25 字数30千字2010年11月第一次印刷开本880X12301/16 2010年11月第一版* 定价21.元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68533533书号:155066 1-40471 GB/T 25066-2010 打印日期:2010年12月3H F002