还剩2页未读,继续阅读
文本内容:
编制背景
1.为了建立和完善国家信息安全标准体系,贯彻和落实《关于加强信息安全保障工作的意见》(中办发号)的文件精神,根据当前我国信息化建设过程中对信息安全产
[2003]27品或信息产品的安全性的实际需求,中国信息安全测评中心制定了《信息安全技术智能卡读写机具安全技术要求(增强)》,主要起草人包括彭勇、江常青、谢丰、戴忠EAL4华、高洋、张舒、张狮斌、陈冬青、赵伟、熊琦、高海辉、杨永生、霍杏梅、伊胜伟、王婷、韩雪峰、向憧,完成了标准的调研及所负责章节的编写工作在《信息安全技术智能卡读写机具读卡器安全技术要求(增强)》标准的编制EAL4过程中,全国信息安全标准化委员会第五工作组针对标准组织了多次专家评审会,同时我们也组织了智能卡读写机具企业的讨论会,广泛征求了内外部意见,标准的修改过程如下年月,项目启动在研究国外相关标准以及同业界专家交流的基础上,形•20077成了标准的征求意见稿第稿1年月,全国信息安全标准化委员会第五工作组组织召开了征求意见稿的专•20084家评审会根据专家意见进行了修改,形成征求意见稿第稿2年月,组织智能卡读写机具企业专家对征求意见第稿进行了评审讨论根•200862据读写机具企业专家的意见,组织了多次内部讨论和修改,形成征求意见第稿3年月,全国信息安全标准化委员会第五工作组组织召开了征求意见稿的专•20093家评审会根据专家意见进行了修改,形成征求意见稿第稿4年月,全国信息安全标准化委员会组织召开了征求意见稿的专家评审会根•20104据专家意见进行了修改,形成征求意见稿第稿5年月,全国信息安全标准化委员会组织召开了征求意见稿的专家评审会根•20127据专家意见进行了修改,形成征求意见稿第稿6年月,全国信息安全标准化委员会组织召开了征求意见稿的专家评审会•20137根据专家意见进行了修改,形成征求意见稿第稿7整个编制过程认真考虑了专家的各项意见,对于每项意见或采纳或给出解释,同时对标准的内容进行不断完善,最终形成征求意见稿第稿7本标准的制定者依据国标⑵《信息技术安全技术信息技术安全性GB/T
18336.13-2001评估准则》定义的关于保护轮廓框架结构要求,并参考了智能卡读写机Protection Profile具在电信、社保、银行、交通等领域的具体应用,确定了《信息安全技术智能卡读写机具安全技术要求增强》的形式和内容国标《信息技术安全EAL4GB/T
18336.1/2/3-2001技术信息技术安全性评估准则》等同于国际标准化组织制定的ISO/IEC
15408.1-1/2/31999《信息技术安全技术信息技术安全性评估准则》本标准由此而与国际信息技术安全性评估标准相衔接这对于我国发展信息产业,增强产业队伍的研发、测试和制作能力,提高信息产品的功能、性能和质量,建立国家信息产品安全防护体系以及促使信息产品进入国际市场具有重要的促进和推动意义本标准使用国标《信息技术安全技术信息技术安全性评估准则》GB/T
18336.1/2/3-2001定义的安全要求,在分析环境风险和基于智能卡读写机具保护的资产而可能受到的威胁的基础上,确定了智能卡读写机具应当具备的安全功能要求和研发、制作软件系统应具备的安全保证要求其中,安全环境和预期使用方式用“假设”、“威胁”和“组织安全政策”描述,在分析环境风险和威胁的基础上导出安全目的,通过细化安全目的,定义了一组与具体实现无关的、完整的、紧密结合的最小安全要求的集合本标准的基本原理部分论证了标准中确定的最小安全要求集合的合理性,安全功能覆盖的完备性、对应关系的一致性本标准为智能卡读写机具的开发、测评和应用提供了内在一致的交互平台编制原则
2.《信息安全技术智能卡读写机具安全技术要求增强》标准的编制立足于我国EAL4产业发展的现状和研发及生产者的技术与能力,着眼于国际同类产品的主流发展方向和IT安全性评估水准编制过程中本着“规范、合理、系统、适用”的原则,注重先进性、实用性、可操作性,也兼顾了与我国现有政策、法规与标准的执行范围本标准制定过程中参考了如下标准信息技术安全技术信息技术安全性评估准则第部分简介和1GB/T
18336.1-20081一般模型信息技术安全技术信息技术安全性评估准则第部分2GB/T18336220082安全功能要求信息技术安全技术信息技术安全性评估准则第部分安全保3GB/T
18336.3-20083证要求内容简介
3.《信息安全技术智能卡读写机具安全技术要求(增强)》中的智能卡读写机具EAL4是一个与智能卡有交互能力的读写设备,它能有效地获得鉴别信息和用户数据,并将其传给应用软件,生成一个可靠的用户活动;它应在受控环境中使用智能卡读写机具由硬件组件和软件构成软件分为系统软件和应用软件两部分系统软件分为嵌入到硬件中的和能远程更改的两部分;应用软件可以下载到机具中用以提供产品预期的功能本标准中的是一个不含应用的机具产品,因此本标准中描述的安全功能是机具中除应用之外的所TOE有安全功能适用于本标准的机具应该具有键盘、显示部件,可广泛应用于电信、银行、公安、建设、交通、社保、税务及各种收费、储值、查询等卡管理应用系统CPU本标准在中规定的级安全要求组件基础上,增加了模块化组GB/T18336-2001EAL4件(」)并且将脆弱性分析要求由可以抵御低等攻击潜力的攻击者发起的攻击ADV NT.l,(组件)提升到可以抵御中等攻击潜力的攻击者发起的攻击(组件AVA_VLA,2)AVA_VLA.30本标准仅给出了智能卡读写机具应满足的安全技术要求,对智能卡读写机具的具体技术实现方式、方法等不做描述本标准从以下几方面描述了智能卡读写机具的安全技术要求()描述智能卡读写机具及其生命周期1()描述智能卡读写机具的安全环境(包括在开发和用户使用阶段),基于智能卡读2写机具保护的资产、智能卡读写机具和在其运行环境中可能遇到的威胁()描述智能卡读写机具的安全目的,包含了读卡器应达到的安全目的和其环境应3达到的安全目的()定义安全要求,包括智能卡读写机具的信息技术安全功能要求、安全保证要求4和环境安全要求()描述基本原理,论证了安全环境导出的安全目的的对应性、一致性,论证了由5此导出的安全要求的合理性和充分性,并确定了必须的安全评估的保证级别本标准定义了智能卡读写机具的最低安全要求,采用的安全保证级别是增强的级EAL4o《信息安全技术智能卡读写机具安全技术要求(EAL4增强)》(征求意见稿)编制说明《信息安全技术智能卡读写机具安全技术要求(EAL4增强)》(征求意见稿)编制说明《信息安全技术智能卡读写机具安全技术要求(EAL4增强)》(征求意见稿)编制说明《信息安全技术智能卡读写机具安全技术要求(EAL4增强)》(征求意见稿)编制说明。