標準解讀

《GB/T 34990-2017 信息安全技術(shù) 信息系統(tǒng)安全管理平臺技術(shù)要求和測試評價方法》是一項國家標準,該標準規(guī)定了信息系統(tǒng)安全管理平臺(ISMP, Information Security Management Platform)的技術(shù)要求及相應(yīng)的測試評價方法。其主要目的是為了提高信息系統(tǒng)的安全性,確保信息資產(chǎn)得到有效保護,并為安全管理人員提供一個集成化的管理工具。

根據(jù)標準內(nèi)容,信息系統(tǒng)安全管理平臺應(yīng)具備的功能包括但不限于:資產(chǎn)管理、漏洞管理、威脅管理、日事件處理與分析、報表生成等。此外,還強調(diào)了對數(shù)據(jù)收集能力的要求,即能夠從多種來源獲取安全相關(guān)信息,如網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)等,并對其進行統(tǒng)一管理和分析。

在技術(shù)要求方面,《GB/T 34990-2017》詳細描述了ISMP應(yīng)該達到的具體指標,比如響應(yīng)時間、并發(fā)用戶數(shù)支持情況、兼容性等方面的要求。同時,也明確了對于不同等級的信息系統(tǒng),安全管理平臺需要滿足的安全控制措施級別。

針對測試評價方法,《GB/T 34990-2017》提出了一系列詳細的測試項目與流程,旨在驗證ISMP是否符合上述所有技術(shù)規(guī)范。這些測試涵蓋了功能測試、性能測試、安全性測試等多個維度,通過客觀公正的方式評估產(chǎn)品的真實表現(xiàn)。

此標準適用于設(shè)計開發(fā)、選購部署以及維護使用信息系統(tǒng)安全管理平臺的企業(yè)或機構(gòu),為其提供了明確指導(dǎo)依據(jù)。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2017-11-01 頒布
  • 2018-05-01 實施
?正版授權(quán)
GB/T 34990-2017信息安全技術(shù)信息系統(tǒng)安全管理平臺技術(shù)要求和測試評價方法_第1頁
GB/T 34990-2017信息安全技術(shù)信息系統(tǒng)安全管理平臺技術(shù)要求和測試評價方法_第2頁
GB/T 34990-2017信息安全技術(shù)信息系統(tǒng)安全管理平臺技術(shù)要求和測試評價方法_第3頁
GB/T 34990-2017信息安全技術(shù)信息系統(tǒng)安全管理平臺技術(shù)要求和測試評價方法_第4頁
GB/T 34990-2017信息安全技術(shù)信息系統(tǒng)安全管理平臺技術(shù)要求和測試評價方法_第5頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T34990—2017

信息安全技術(shù)信息系統(tǒng)安全管理平臺

技術(shù)要求和測試評價方法

Informationsecuritytechnology—Technicalrequirementsandtestingevaluation

approachesofinformationsystemsecuritymanagementplatformproducts

2017-11-01發(fā)布2018-05-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T34990—2017

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………2

安全管理平臺概述

4………………………3

安全管理平臺基本原理

4.1……………3

安全管理平臺管理對象

4.2……………4

安全管理平臺使用環(huán)境

4.3……………5

安全管理平臺安全等級

4.4……………5

功能要求

5…………………6

功能構(gòu)成

5.1……………6

基礎(chǔ)功能

5.2……………7

安全策略及安全責任管理功能要求

5.2.1…………7

系統(tǒng)部件管理功能要求

5.2.2………………………9

安全機制管理功能要求

5.2.3………………………12

審計機制管理功能要求

5.2.4………………………14

平臺功能數(shù)據(jù)管理功能要求

5.2.5…………………17

平臺系統(tǒng)接口功能要求

5.2.6………………………19

平臺級聯(lián)功能要求

5.2.7……………21

擴展功能

5.3……………23

物理安全管理

5.3.1…………………23

安全風(fēng)險管理

5.3.2…………………24

其他擴展功能

5.3.3…………………25

安全要求及保障要求

6……………………25

安全要求

6.1……………25

身份鑒別

6.1.1………………………25

抗抵賴

6.1.2…………………………27

訪問控制

6.1.3………………………27

安全審計

6.1.4………………………28

完整性保護

6.1.5……………………29

保密性保護

6.1.6……………………30

入侵及惡意代碼防范

6.1.7…………31

軟件容錯及資源控制

6.1.8…………32

可信路徑

6.1.9………………………32

密碼支持

6.1.10……………………32

保障要求

6.2……………33

GB/T34990—2017

配置與設(shè)備選型

6.2.1………………33

交付與運行

6.2.2……………………34

開發(fā)

6.2.3……………34

指導(dǎo)性文檔

6.2.4……………………36

測試

6.2.5……………37

脆弱性評定

6.2.6……………………37

生命周期支持

6.2.7…………………38

測試評價方法

7……………39

測試評價范圍

7.1………………………39

平臺功能測試

7.2………………………40

安全策略及安全責任管理功能測試

7.2.1…………40

系統(tǒng)部件管理功能測試

7.2.2………………………42

安全機制管理功能測試

7.2.3………………………44

審計機制管理功能測試

7.2.4………………………47

數(shù)據(jù)管理功能測試

7.2.5……………50

接口管理功能測試

7.2.6……………52

級聯(lián)功能測試

7.2.7…………………53

附錄資料性附錄安全管理平臺技術(shù)要求安全等級劃分

A()…………56

附錄資料性附錄平臺對各類管理對象的控制過程說明

B()…………59

附錄資料性附錄安全管理平臺在云計算中的應(yīng)用

C()………………63

附錄資料性附錄信息系統(tǒng)安全機制參考

D()…………65

參考文獻

……………………69

GB/T34990—2017

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位公安部第一研究所北京中科網(wǎng)威信息技術(shù)有限公司北京江南天安科技有限公

:、、

司公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心浙江遠望電子有限公司中國電信股份有限公

、、、

司北京研究院北京凝思科技有限公司北京啟明星辰信息技術(shù)股份有限公司北京賽博興安科技有限

、、、

公司北京華熱科技發(fā)展有限公司北京初志科技有限公司北京聆云信息技術(shù)有限公司

、、、。

本標準主要起草人胡志昂陳冠直景乾元殷國強張翔蘇智睿張笑笑傅如毅劉兵明旭

:、、、、、、、、、、

胡托任王磊李大鵬李清玉

、、、。

GB/T34990—2017

引言

本標準中安全管理平臺是能夠滿足國家信息安全管理需要體現(xiàn)組織管理層意志以信息安全策

,,,

略和管理責任為主線以信息系統(tǒng)的系統(tǒng)部件管理安全機制管理審計機制管理為主要手段以信息安

,、、,

全管理對象識別安全策略設(shè)置安全機制監(jiān)控安全事件處置為主要工作過程實現(xiàn)信息安全管理和信

、、、,

息安全技術(shù)有機結(jié)合的安全管理中心的關(guān)鍵技術(shù)支撐性產(chǎn)品安全管理平臺適用于不同安全保護等級

。

的信息系統(tǒng)更有益于關(guān)鍵信息基礎(chǔ)設(shè)施的安全集中管理

,。

本標準依據(jù)國家信息安全等級保護要求提出了統(tǒng)一管理安全機制的平臺規(guī)定了安全管理平臺的

,,

技術(shù)要求和測試評價方法本標準的第章安全管理平臺概述明確了基本原理管理對象使用環(huán)境

。4,、、

和安全等級第章安全管理平臺的功能要求闡述了功能構(gòu)成基礎(chǔ)功能擴展功能其中基礎(chǔ)功能

。5,、、;,

包括安全策略及安全責任管理功能要求系統(tǒng)部件管理功能要求安全機制管理功能要求審計機制管

、、、

理功能要求平臺功能數(shù)據(jù)管理功能要求平臺系統(tǒng)接口功能要求平臺級聯(lián)功能要求擴展功能包括

、、、;,

物理安全管理安全風(fēng)險管理和其他擴展功能要求第章安全管理平臺的安全要求及保障要求闡述

、。6,

了平臺自身的安全要求保障要求第章安全管理平臺的測試評價方法闡述了測試評價范圍平臺

、。7,、

功能測試本標準的附錄均為資料性附錄其中附錄闡述了安全管理平臺技術(shù)要求安全等級劃分

。,,A,

附錄闡述了平臺對各類管理對象的控制過程說明附錄闡述了安全管理平臺在云計算中的應(yīng)用

B,C,

附錄闡述了信息系統(tǒng)安全機制參考

D。

GB/T34990—2017

信息安全技術(shù)信息系統(tǒng)安全管理平臺

技術(shù)要求和測試評價方法

1范圍

本標準規(guī)定了安全管理平臺的基于信息安全策略和管理責任的系統(tǒng)管理安全管理審計管理等功

、、

能以及對象識別策略設(shè)置安全監(jiān)控事件處置等過程的平臺功能要求平臺自身的安全要求保障要

,、、、,、

求以及測試評價方法

,。

本標準適用于安全管理平臺的規(guī)劃設(shè)計開發(fā)和檢測評估以及在信息系統(tǒng)安全管理中心中的

、、,

應(yīng)用

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計算機信息系統(tǒng)安全保護等級劃分準則

GB17859—1999

信息安全技術(shù)路由器安全技術(shù)要求

GB/T18018

信息安全技術(shù)信息系統(tǒng)安全管理要求

GB/T20269—2006

信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

GB/T20270

信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求

GB/T20272

信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求

GB/T20273

信息安全技術(shù)網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)要求和測試評價方法

GB/T20275

信息安全技術(shù)網(wǎng)絡(luò)和終端隔離產(chǎn)品安全技術(shù)要求

GB/T20279

信息安全技術(shù)防火墻安全技術(shù)要求和測試評價方法

GB/T20281

信息安全技術(shù)信息系統(tǒng)安全審計產(chǎn)

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論