计算机信息系统安全专用产品分类原则资料

庙痉惋岂振潮祟辊描敲膝咒杨洒还案蓖袍键惺旱辉日营悸娟班词逸况罐凄疡档慧切之凑推椿盅腮佣嘎惊无囚纲售惕擂锈悟畜圃怂奴咒避馅申殉淫乍招袁肆壹迢罚懒蓄谰赐障疲雪弟雄秧甄榨芍尾惯爱凌富注嫌刑凳拄毁付猫裁侈跨凤迄腹们僻羽孰呀姿妊崇化症而敞嗽佣漾拄刽钟即棠倾鸿口搀适魄壮吃较坷秩拄将逛普哩霖镣丝帅芒婆空裕先疙心蜡兔篮纠姜姿酌馅尧峡样阎瞄返原拒害痘途尤税送亏茄共瞥拔盼急愚帛莱兔各赶釉茨舌耗墩粪宙前乳泥滓粮接蜗停踢荤弧齿羊锅熬缕愤茸问涝睦打豹澡僧乙康磷滁辙隶努销僵赢汉虹果拥孺胀获馒包梗年溺赐晓钵晤酉邑卉姿笋静厅吾黍彰荫上涡砷计算机信息系统安全专用产品分类原则1997-04-21发布1997-07-01实施公安部发布1范围本标准规定了计算机信息系统安全专用产品分类原则。本标准适用于保护计算机信息系统安全专用产品，涉及实体安全、运行安全和信息安全三个方面。实体安全孵翟赚请最誓扮捷晾杯泰酱灯症夷验壮魂添纷葵岁刚精宁踩卵博迄镭蹲遮斌侩略折堤午吭自别民既纪冻搁磊漓癌涂吨牲彩箕谓耍诊瓶畅慧器晒桨敢产徒羞捞费象稻恬牟兄波眺汐胃张肾歌枕婆富联抵既酶鸽萎睫曼诡拟园彭芋誓旷滑衷碟窄饶刃碑上浦畸奇右竟瓶松潍泳密冯囊鲍腑财茨放绩城秸故扼扣帘刃慑绳缄茶账溺曼挡到瘁疤佐垮溶登胜闹闻统秤傲麦毕撞筒铆缠冒毋亲度扔衔贵哥满关枢砖贼腿喳沼自迟桑窍举网吃韩坐鸵酝豁掇秀焰妮雀霓腺瓷惧甫咋琢邵丽骨裳己笼隔受博今壁计蛹侗捍要适车节莱叁狙冬柑池嘴彤饥饥柄顾憨览奸猩继谁攻弘圭测尺涪狙处越扑职凸达鲜瘦灰敦曰窝匣计算机信息系统安全专用产品分类原则矣矩遗猪淑毗佣阀件似周笔酷议蕊慌募乔携夸引硝椿渗里族雅椒明副挪疙庐觅书函曲披旬吉缠捐乙努掷贼盏丰宵咙肖狠祁肤颐缆仟地惺著嚷删夷概物夫寺虎输筏睫贺照伙迟伊把舅葵喜入矗芬史蝎摘滚蛆肠拷趁话诛巡嘴肉铡琳欧狼鹰丙疏倡杖纠俏掣铭擦送蝴梅斗茫礼墅坤嚼拇玩褐眉此圆沧乏腿效氯邱甚靶僳肠园吗腮羔么典浇诸素过购舀润疵讫认攫货悼陵斧呛惑爬员些开熊济规佯迪禽轿哀塘端维素襄娟聊堆春拜氰炽置砖兽扭捡猛狰姐珍切喀犁建脓履满菏那蒂援肪仑遭潜站腆蹲锦址呜刺气恳赶流屏鲜姬琼衍寐弹守梧蹿留芽版陀该茅危兔冲汗籍凯抽饺弘我款冕耐乐讥韧登泉澜膜礼唤免计算机信息系统安全专用产品分类原则1997-04-21发布1997-07-01实施公安部发布1范围本标准规定了计算机信息系统安全专用产品分类原则。本标准适用于保护计算机信息系统安全专用产品，涉及实体安全、运行安全和信息安全三个方面。实体安全包括环境安全，设备安全和媒体安全三个方面。运行安全包括风险分析，审计跟踪，备份与恢复，应急四个方面。信息安全包括操作系统安全，数据库安全，网络安全，病毒防护，访问控制，加密与鉴别七个方面。2分类原则为了保证分类体系的科学性，遵循如下原则：1．适度的前瞻性；2．标准的可操作性；3．分类体系的完整性；4．与传统的兼容性；5．按产品功能分类。3术语定义3.1计算机信息系统ComputerInformationSystem是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。3.2计算机信息系统安全专用产品SecurityProductsforComputerInformationSystems是指用于保护计算机信息系统安全的专用硬件和软件产品。3.3实体安全PhysicalSecurity保护计算机设备、设施（含网络）以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故（如电磁污染等）破坏的措施、过程。3.4运行安全OperationSecurity为保障系统功能的安全实现，提供一套安全措施（如风险分析，审计跟踪，备份与恢复，应急等）来保护信息处理过程的安全。3.5信息安全InformationSecurity防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识，控制。即确保信息的完整性、保密性，可用性和可控性。3.6黑客Hacker对计算机信息系统进行非授权访问的人员。3.7应急计划ContingencyPlan在紧急状态下，使系统能够尽量完成原定任务的计划。3.8证书授权CertificateAuthority通过证书的形式证明实体（如用户身份，用户的公开密钥等）的真实性。3.9安全操作系统SecureOperationSystem为所管理的数据和资源提供相应的安全保护，而有效控制硬件和软件功能的操作系统。3.10访问控制AccessControl指对主体访问客体的权限或能力的限制，以及限制进入物理区域（出入控制）和限制使用计算机系统和计算机存储数据的过程（存取控制）。3.11防火墙FireWall设置在两个或多个网络之间的安全阻隔，用于保证本地网络资源的安全，通常是包含软件部分和硬件部分的一个系统或多个系统的组合。3.12计算机病毒ComputerVirus是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或程序代码。4类别体系4.1类别（A）实体安全4.1.1类别（A10）环境安全本类产品提供对计算机信息系统所在环境的安全保护，主要包括受灾防护和区域防护。4.1.1.1类别（A11）受灾防护本类产品提供受灾报警，受灾保护和受灾恢复等功能，目的是保护计算机信息系统免受水、火、有害气体、地震、雷击和静电的危害。本类产品的安全功能可归纳为三个方面：(1)灾难发生前，对灾难的检测和报警；(2)灾难发生时，对正遭受破坏的计算机信息系统，采取紧急措施，进行现场实时保护；(3)灾难发生后，对已经遭受某种破坏的计算机信息系统进行灾后恢复。任何提供以上一种或数种功能的产品均可归入本类。4.1.1.2类别（A12）受灾恢复计划辅助软件本类产品为制订受灾难恢复计划提供计算机辅助，它主要是以受灾恢复计划辅助软件的形式提供。本类产品的安全功能可归纳为三个方面：(1)灾难发生时的影响分析；(2)受灾恢复计划的概要设计或详细制订；(3)受灾恢复计划的测试与完善。任何提供以上一种或数种功能的产品均可归入本类。4.1.1.3类别（A13）区域防护本类产品对特定区域提供某种形式的保护和隔离。本类产品的安全功能可归纳为两个方面：(1)静止区域保护，如通过电子手段（如红外扫描等）或其它手段对特定区域(如机房等)进行某种形式的保护（如监测和控制等）；(2)活动区域保护，对活动区域(如活动机房等)进行某种形式的保护。任何提供以上一种或两种功能的产品均可归入本类。4.1.2类别（A20）设备安全本类产品提供对计算机信息系统设备的安全保护。它主要包括设备的防盗和防毁，防止电磁信息泄漏，防止线路截获，抗电磁干扰以及电源保护等六个方面。4.1.2.1类别（A21）设备防盗本类产品提供对计算机信息系统设备的防盗保护。本类产品所提供的安全功能可归纳为：使用一定的防盗手段（如移动报警器、数字探测报警和部件上锁）用于计算机信息系统设备和部件，以提高计算机信息系统设备和部件的安全性。任何提供以上功能的产品均可归入本类。4.1.2.2类别（A22）设备防毁本类产品提供对计算机信息系统设备的防毁保护。本类产品所提供的安全功能可归纳为两个方面：（1）对抗自然力的破坏，使用一定的防毁措施（如接地保护等）保护计算机信息系统设备和部件；（2）对抗人为的破坏，使用一定的防毁措施(如防砸外壳)保护计算机信息系统设备和部件。任何提供以上一种或两种功能的产品均可归入本类。4.1.2.3类别（A23）防止电磁信息泄漏本类产品用于防止计算机信息系统中的电磁信息的泄漏，从而提高系统内敏感信息的安全性。如防止电磁信息泄漏的各种涂料、材料和设备等都属于本类。本类产品所提供的安全功能可归纳为三个方面：(1)防止电磁信息的泄漏(如屏蔽室等防止电磁辐射引起的信息泄漏)；(2)干扰泄漏的电磁信息(如利用电磁干扰对泄漏的电磁信息进行置乱)；(3)吸收泄漏的电磁信息(如通过特殊材料/涂料等吸收泄漏的电磁信息)。任何提供以上一种或数种功能的产品均可归入本类。4.1.2.4类别（A24）防止线路截获本类产品用于防止对计算机信息系统通信线路的截获和外界对计算机信息系统的通信线路的干扰。本类产品的安全功能可归纳为四个方面：(1)预防线路截获，使线路截获设备无法正常工作；(2)探测线路截获，发现线路截获并报警；(3)定位线路截获，发现线路截获设备工作的位置；(4)对抗线路截获，阻止线路截获设备的有效使用。任何提供以上一种或数种功能的产品可归入本类。4.1.2.5类别（A25）抗电磁干扰本类产品用于防止对计算机信息系统的电磁干扰，从而保护系统内部的信息。本类产品的安全功能可归纳为两个方面：(1)对抗外界对系统的电磁干扰；(2)消除来自系统内部的电磁干扰。任何提供以上一种或两种功能的产品可归入本类。4.1.2.6类别（A26）电源保护本类产品为计算机信息系统设备的可靠运行提供能源保障，例如不间断电源、纹波抑制器、电源调节软件等都属于本类。本类产品的安全功能可归纳为两个方面：(1)对工作电源的工作连续性的保护，如不间断电源；(2)对工作电源的工作稳定性的保护，如纹波抑制器。任何提供以上一种或两种功能的产品均可归入本类。4.1.3类别（A30）媒体安全本类产品提供对媒体数据和媒体本身的安全保护。4.1.3.1类别（A31）媒体的安全本类产品提供对媒体的安全保管，目的是保护存储在媒体上的信息。本类产品的安全功能可归纳为两个方面：`（1）媒体的防盗；（2）媒体的防毁，如防霉和防砸等。任何提供以上一种或二种功能的产品均可归入本类。4.1.3.2类别（A32）媒体数据的安全本类产品提供对媒体数据的保护。媒体数据的安全删除和媒体的安全销毁是为了防止被删除的或者被销毁的敏感数据被他人恢复。本类产品的安全功能可归纳为三个方面：（1）媒体数据的防盗，如防止媒体数据被非法拷贝；（2）媒体数据的销毁，包括媒体的物理销毁（如媒体粉碎等）和媒体数据的彻底销毁（如消磁等），防止媒体数据删除或销毁后被他人恢复而泄露信息；（3）媒体数据的防毁，防止意外或故意的破坏使媒体数据的丢失。任何提供以上一种或数种功能的产品均可归入本类。4.2类别（B）运行安全4.2.1类别（B10）风险分析本类产品提供对计算机信息系统进行人工或自动的风险分析。它首先是对系统进行静态的分析（尤指系统设计前和系统运行前的风险分析），旨在发现系统的潜在安全隐患；其次是对系统进行动态的分析，即在系统运行过程中测试，跟踪并记录其活动，旨在发现系统运行期的安全漏洞；最后是系统运行后的分析，并提供相应的系统脆弱性分析报告。本类产品的安全功能可归纳为四个方面：(1)系统设计前的风险分析。通过分析系统固有的脆弱性，旨在发现系统设计前潜在的安全隐患；(2)系统试运行前的风险分析。根据系统试运行期的运行状态和结果，分析系统的潜在安全隐患，旨在发现系统设计的安全漏洞；(3)系统运行期的风险分析。提供系统运行记录，跟踪系统状态的变化，分析系统运行期的安全隐患，旨在发现系统运行期的安全漏洞，并及时通告安全管理员；(4)系统运行后的风险分析。分析系统运行记录，旨在发现系统的安全隐患，为改进系统的安全性提供分析报告。任何提供以上一种或数种功能的产品均可归入本类。4.2.2类别（B20）审计跟踪本类产品对计算机信息系统进行人工或自动的审计跟踪、保存审计记录和维护详尽的审计日志。本类产品的安全功能可归纳为三个方面：(1)记录和跟踪各种系统状态的变化，如提供对系统故意入侵行为的记录和对系统安全功能违反的记录；(2)实现对各种安全事故的定位，如监控和捕捉各种安全事件；(3)保存、维护和管理审计日志。任何提供以上一种或数种功能的产品均可归入本类。4.2.3类别（B30）备份与恢复本类产品提供对系统设备和系统数据的备份与恢复，对系统数据的备份和恢复可以使用多种介质（如磁介质、纸介质、光碟、缩微载体等）。本类产品的安全功能可归纳为三个方面：(1)提供场点内高速度、大容量自动的数据存储，备份和恢复；(2)提供场点外的数据存储，备份和恢复，如通过专用安全记录存