ICS35.020 L80 中华人民共和国国家标准 GB/T28452—2012 信 息安全技术 应用软件系统通用安全技术要求 Informationsecuritytechnology— Commonsecuritytechniquerequirementforapplicationsoftwaresystem 2012-06-29发布 2012-10-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅴ ………………………………………………………………………………………………………… 引言 Ⅵ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义、缩略语 1 ……………………………………………………………………………………… 3.1 术语和定义 1 ………………………………………………………………………………………… 3.2 缩略语 3 ……………………………………………………………………………………………… 4 应用软件生存周期安全技术要求 3 ……………………………………………………………………… 4.1 应用软件开始阶段安全技术要求 3 ………………………………………………………………… 4.2 应用软件获得或开发阶段安全技术要求 3 ………………………………………………………… 4.3 应用软件实现和评估阶段安全技术要求 3 ………………………………………………………… 4.4 应用软件运行和维护阶段安全技术要求 4 ………………………………………………………… 4.5 应用软件结束和处置阶段安全技术要求 4 ………………………………………………………… 5 第一级应用软件系统安全技术要求 4 …………………………………………………………………… 5.1 安全功能技术要求 4 ………………………………………………………………………………… 5.1.1 用户身份鉴别 4 ………………………………………………………………………………… 5.1.2 自主访问控制 5 ………………………………………………………………………………… 5.1.3 用户数据完整性保护 5 ………………………………………………………………………… 5.1.4 备份与故障恢复 5 ……………………………………………………………………………… 5.2 安全保证技术要求 5 ………………………………………………………………………………… 5.2.1 安全子系统自身安全保护要求 5 ……………………………………………………………… 5.2.2 安全子系统设计和实现要求 6 ………………………………………………………………… 5.2.3 安全子系统安全管理要求 8 …………………………………………………………………… 6 第二级应用软件系统安全技术要求 8 …………………………………………………………………… 6.1 安全功能技术要求 8 ………………………………………………………………………………… 6.1.1 用户身份鉴别 8 ………………………………………………………………………………… 6.1.2 自主访问控制 8 ………………………………………………………………………………… 6.1.3 安全审计 9 ……………………………………………………………………………………… 6.1.4 用户数据完整性保护 9 ………………………………………………………………………… 6.1.5 用户数据保密性保护 9 ………………………………………………………………………… 6.1.6 备份与故障恢复 10 ……………………………………………………………………………… 6.1.7 系统安全性检测分析 10 ………………………………………………………………………… 6.2 安全保证技术要求 10 ………………………………………………………………………………… 6.2.1 安全子系统自身保护要求 10 …………………………………………………………………… 6.2.2 安全子系统设计和实现要求 11 ………………………………………………………………… 6.2.3 安全子系统安全管理要求 13 …………………………………………………………………… ⅠGB/T28452—2012 7 第三级应用软件系统安全技术要求 13 …………………………………………………………………… 7.1 安全功能技术要求 13 ………………………………………………………………………………… 7.1.1 用户身份鉴别 13 ………………………………………………………………………………… 7.1.2 抗抵赖 14 ………………………………………………………………………………………… 7.1.3 自主访问控制 14 ………………………………………………………………………………… 7.1.4 标记 15 …………………………………………………………………………………………… 7.1.5 强制访问控制 15 ………………………………………………………………………………… 7.1.6 安全审计 16 ……………………………………………………………………………………… 7.1.7 用户数据完整性保护 16 ………………………………………………………………………… 7.1.8 用户数据保密性保护 16 ………………………………………………………………………… 7.1.9 备份与故障恢复 17 ……………………………………………………………………………… 7.1.10 系统安全性检测分析 17 ……………………………………………………………………… 7.2 安全保证技术要求 17 ………………………………………………………………………………… 7.2.1 安全子系统自身保护要求 17 …………………………………………………………………… 7.2.2 安全子系统设计和实现要求 19 ………………………………………………………………… 7.2.3 安全子系统安全管理要求 21 …………………………………………………………………… 8 第四级应用软件系统安全技术要求 22 …………………………………………………………………… 8.1 安全功能技术要求 22 ………………………………………………………………………………… 8.1.1 用户身份鉴别 22 ………………………………………………………………………………… 8.1.2 抗抵赖 22 ………………………………………………………………………………………… 8.1.3 自主访问控制 23 ………………………………………………………………………………… 8.1.4 标记 23 …………………………………………………………………………………………… 8.1.5 强制访问控制 24 ………………………………………………………………………………… 8.1.6 安全审计 24 ……………………………………………………………………………………… 8.1.7 用户数据完整性保护 24 ………………………………………………………………………… 8.1.8 用户数据保密性保护 25 ………………………………………………………………………… 8.1.9 可信路径 26 ……………………………………………………………………………………… 8.1.10 备份与故障恢复 26 …………………………………………………………………………… 8.1.11 系统安全性检测分析 26 ……………………………………………………………………… 8.2 安全保证技术要求 26 ………………………………………………………………………………… 8.2.1 安全子系统自身保护要求 26 …………………………………………………………………… 8.2.2 安全子系统设计和实现要求 27 ………………………………………………………………… 8.2.3 安全子系统安全管理要求 30 …………………………………………………………………… 9 第五级应用软件系统安全技术要求 31 …………………………………………………………………… 9.1 安全功能技术要求 31 ………………………………………………………………………………… 9.1.1 用户身份鉴别 31 ………………………………………………………………………………… 9.1.2 抗抵赖 31 ………………………………………………………………………………………… 9.1.3 自主访问控制 32 ………………………………………………………………………………… 9.1.4 标记 32 …………………………………………………………………………………………… 9.1.5 强制访问控制 33 ………………………………………………………………………………… 9.1.6 安全审计 33 ……………………………………