|
中华人民共和国公共安全行业标准
GA 163-1997
—————————————————————
计 算 机 信 息 系 统 安 全 专 用 产 品 分 类 原 则
Classification of Security Products in Computer Information Systems
1997-04-21 发布 1997-07-01实施
公安部 发布
--------------------------------------------------------------------------------
1 范围
本标准规定了计算机信息系统安全专用产品分类原则。
本标准适用于保护计算机信息系统安全专用产品,涉及实体安全、
运行安全和信息安全三个方面。
实体安全包括环境安全,设备安全和媒体安全三个方面。
运行安全包括风险分析,审计跟踪,备份与恢复,应急四个方面。
信息安全包括操作系统安全,数据库安全,网络安全,病毒防护,访
问控制,加密与鉴别七个方面。
2 分类原则
为了保证分类体系的科学性,遵循如下原则:
1. 适度的前瞻性;
2. 标准的可操作性;
3. 分类体系的完整性;
4. 与传统的兼容性;
5. 按产品功能分类。
3 术语定义
3.1 计算机信息系统 Computer Information System
是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
3.2 计算机信息系统安全专用产品 Security Products for Computer Information
Systems 是指用于保护计算机信息系统安全的专用硬件和软件产品。
3.3 实体安全 Physical Security
保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施、过程。
3.4 运行安全 Operation Security
为保障系统功能的安全实现,提供一套安全措施(如风险分析,审计跟踪,备份与恢复,应急等)来保护信息处理过程的安全。
3.5 信息安全 Information Security
防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识,控制。即确保信息的完整性、保密性,可用性和可控性。
3.6 黑客 Hacker
对计算机信息系统进行非授权访问的人员。
3.7 应急计划 Contingency Plan
在紧急状态下,使系统能够尽量完成原定任务的计划。
3.8 证书授权 Certificate Authority
通过证书的形式证明实体(如用户身份,用户的公开密钥等)的真实性。
3.9 安全操作系统 Secure Operation System
为所管理的数据和资源提供相应的安全保护,而有效控制硬件和软件功能的操作系统。
3.10 访问控制 Access Control
指对主体访问客体的权限或能力的限制,以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存取控制)。
3.11 防火墙 Fire Wall
设置在两个或多个网络之间的安全阻隔,用于保证本地网络资源的安全,通常是包含软件部分和硬件部分的一个系统或多个系统的组合。
3.12 计算机病毒 Computer Virus
是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或程序代码。
4 类别体系
4.1 类别(A)实体安全
4.1.1 类别(A10)环境安全
本类产品提供对计算机信息系统所在环境的安全保护,主要包括受灾防护和区域防护。
4.1.1.1 类别(A11)受灾防护
本类产品提供受灾报警,受灾保护和受灾恢复等功能,目的是保护计算机信息系统免受水、火、有害气体、地震、雷击和静电的危害。
本类产品的安全功能可归纳为三个方面:
(1) 灾难发生前,对灾难的检测和报警;
(2) 灾难发生时,对正遭受破坏的计算机信息系统,采取紧急措施,进行现场实时保护;
(3) 灾难发生后,对已经遭受某种破坏的计算机信息系统进行灾后恢复。
任何提供以上一种或数种功能的产品均可归入本类。
4.1.1.2 类别(A12)受灾恢复计划辅助软件
本类产品为制订受灾难恢复计划提供计算机辅助,它主要是以受灾恢复计划辅助软件的形式提供。
本类产品的安全功能可归纳为三个方面:
(1) 灾难发生时的影响分析;
(2) 受灾恢复计划的概要设计或详细制订;
(3) 受灾恢复计划的测试与完善。
任何提供以上一种或数种功能的产品均可归入本类。
4.1.1.3 类别(A13)区域防护
本类产品对特定区域提供某种形式的保护和隔离。
本类产品的安全功能可归纳为两个方面:
(1) 静止区域保护,如通过电子手段(如红外扫描等)或其它手段对特定区域(如机房等)进行某种形式的保护(如监测和控制等);
(2) 活动区域保护,对活动区域(如活动机房等)进行某种形式的保护。
任何提供以上一种或两种功能的产品均可归入本类。
4.1.2 类别(A20)设备安全
本类产品提供对计算机信息系统设备的安全保护。它主要包括设备的防盗和防毁,防止电磁信息泄漏,防止线路截获,抗电磁干扰以及电源保护等六个方面。
4.1.2.1 类别(A21)设备防盗
本类产品提供对计算机信息系统设备的防盗保护。
本类产品所提供的安全功能可归纳为:
使用一定的防盗手段(如移动报警器、数字探测报警和部件上锁)用于计算机信息系统设备和部件,以提高计算机信息系统设备和部件的安全性。
任何提供以上功能的产品均可归入本类。
4.1.2.2 类别(A22)设备防毁
本类产品提供对计算机信息系统设备的防毁保护。
本类产品所提供的安全功能可归纳为两个方面:
(1) 对抗自然力的破坏,使用一定的防毁措施(如接地保护等)保护计算机信息系统设备和部件;
(2) 对抗人为的破坏,使用一定的防毁措施(如防砸外壳)保护计算机信息系统设备和部件。
任何提供以上一种或两种功能的产品均可归入本类。
4.1.2.3 类别(A23)防止电磁信息泄漏
本类产品用于防止计算机信息系统中的电磁信息的泄漏,从而提高系统内敏感信息的安全性。如防止电磁信息泄漏的各种涂料、材料和设备等都属于本类。
本类产品所提供的安全功能可归纳为三个方面:
(1) 防止电磁信息的泄漏(如屏蔽室等防止电磁辐射引起的信息泄漏);
(2) 干扰泄漏的电磁信息(如利用电磁干扰对泄漏的电磁信息进行置乱);
(3) 吸收泄漏的电磁信息(如通过特殊材料/涂料等吸收泄漏的电磁信息)。
任何提供以上一种或数种功能的产品均可归入本类。
4.1.2.4 类别(A24)防止线路截获
本类产品用于防止对计算机信息系统通信线路的截获和外界对计算机信息系统的通信线路的干扰。
本类产品的安全功能可归纳为四个方面:
(1) 预防线路截获,使线路截获设备无法正常工作;
(2) 探测线路截获,发现线路截获并报警;
(3) 定位线路截获,发现线路截获设备工作的位置;
(4) 对抗线路截获,阻止线路截获设备的有效使用。
任何提供以上一种或数种功能的产品可归入本类。
4.1.2.5 类别(A25)抗电磁干扰
本类产品用于防止对计算机信息系统的电磁干扰,从而保护系统内部的信息。
本类产品的安全功能可归纳为两个方面:
(1) 对抗外界对系统的电磁干扰;
(2) 消除来自系统内部的电磁干扰。
任何提供以上一种或两种功能的产品可归入本类。
4.1.2.6 类别(A26)电源保护
本类产品为计算机信息系统设备的可靠运行提供能源保障,例如不间断电源、纹波抑制器、电源调节软件等都属于本类。
本类产品的安全功能可归纳为两个方面:
(1) 对工作电源的工作连续性的保护,如不间断电源;
(2) 对工作电源的工作稳定性的保护,如纹波抑制器。
任何提供以上一种或两种功能的产品均可归入本类。
4.1.3 类别(A30)媒体安全
本类产品提供对媒体数据和媒体本身的安全保护。
4.1.3.1 类别(A31)媒体的安全
本类产品提供对媒体的安全保管,目的是保护存储在媒体上的信息。
本类产品的安全功能可归纳为两个方面:`
(1) 媒体的防盗;
(2) 媒体的防毁,如防霉和防砸等。
任何提供以上一种或二种功能的产品均可归入本类。
4.1.3.2 类别(A32)媒体数据的安全
本类产品提供对媒体数据的保护。媒体数据的安全删除和媒体的安全销毁是为了防止被删除的或者被销毁的敏感数据被他人恢复。
本类产品的安全功能可归纳为三个方面:
(1) 媒体数据的防盗,如防止媒体数据被非法拷贝;
(2) 媒体数据的销毁,包括媒体的物理销毁(如媒体粉碎等)和媒体数据的彻底销毁(如消磁等),防止媒体数据删除或销毁后被他人恢复而泄露信息;
(3) 媒体数据的防毁,防止意外或故意的破坏使媒体数据的丢失。
任何提供以上一种或数种功能的产品均可归入本类。 |
|