GB/T20983-2007 信息安全技术网上银行系统信息安全保障评估准则
分類: 图书,计算机/网络,信息安全,
作者: 本社 编
出 版 社: 中国标准出版社
出版时间: 2007-10-1字数: 155000版次: 1页数: 77印刷时间: 2007/10/01开本:印次:纸张: 胶版纸I S B N : GB/T20983-2007包装: 平装内容简介
本标准的附录A为规范性附录。
本标准由全国信息安全标准化技术委员会提出并归口。
目录
前言
引言
1范围
2规范性引用文件
3术语和定义
4系统描述
4.1网上银行系统概述
4.2使命描述
4.3系统概要描述
4.4系统详细描述
5系统安全环境
5.1假设
5.2威胁
5.3组织安全策略
6安全保障目的
6.1安全保障技术目标
6.2安全保障管理目标
6.3安全保障工程目标
7安全保障要求
7.1安全保障技术要求
7.2安全保障管理要求
7.3安全保障工程要求
附录A(规范性附录)网上银行系统信息安全保障符合性
A.1安全保障目的符合性声明
A.2安全保障要求符合性声明
参考文献
图1 网上银行系统描述框架
图2 网上银行系统评估边界和接口描述示意图
图3网上银行系统子安全域划分示例
图4网上银行系统逻辑层次结构
表1 网上银行系统威胁描述
表2 网上信息流控制策略
表3端到端安全保障技术要求的可审计安全事件类型
表4端到端安全保障技术要求的可查阅审计记录
表5 端到端安全保障技术要求中安全角色对系统安全功能行为的管理权限
表6端到端安全保障技术要求中授权人员对系统安全属性的管理权限表举例
表7系统边界安全保障技术要求中主体对客体采取的操作对照表举例
表8系统边界安全保障技术要求的网上信息流控制策略举例
表9系统边界安全保障技术要求的可审计安全事件类型
表10系统边界安全保障技术要求的可查阅审计记录
表11 系统边界安全保障技术要求中安全角色对系统安全功能行为的管理权限
表12支撑性基础设施安全保障技术要求的可审计安全事件类型
表13支撑性基础设施安全保障技术要求的可查阅审计记录
表A.1 安全保障技术目标和威胁、策略的对应表
表A.2安全保障管理、安全保障工程目标和威胁、策略的对应表
表A.3安全保障技术目标和安全保障技术要求映射
表A.4安全保障管理目标和安全保障管理要求映射
表A.5安全保障工程目标和安全保障工程要求映射