GB/T 38558-2020 信息安全技術(shù) 辦公設(shè)備安全測試方法
- 發(fā)表時間:2023-03-16
- 來源:共立消防
- 人氣:
1 范圍
本標準規(guī)定了辦公設(shè)備安全技術(shù)要求和安全管理功能要求的測試方法。
本標準適用于測試機構(gòu)、辦公設(shè)備廠商對辦公設(shè)備的安全性進行測試。
注:本標準規(guī)定的測試方法適用于GB/T 29244-2012的符合性測試,相關(guān)對應(yīng)關(guān)系參見附錄A。
2 規(guī)范性引用文件
下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 29244-2012 信息安全技術(shù) 辦公設(shè)備基本安全要求
3 術(shù)語和定義
GB/T 29244-2012界定的術(shù)語和定義適用于本文件。
4 縮略語
下列縮略語適用于本文件。
FC:內(nèi)置集成電路(Inter-Integrated Circuit)
SPI:串行外設(shè)接口(Serial Peripheral Interface)
5 測試方法
5.1 安全技術(shù)要求測試
5.1.1 標識和鑒別
本項測試包括:
a)測試辦公設(shè)備是否采用了身份鑒別措施,身份標識是否具有唯一性;分別以不同類型用戶登錄辦公設(shè)備,驗證用戶在執(zhí)行受控的安全功能操作之前,是否成功標識和鑒別該用戶;拒絕非授權(quán)用戶執(zhí)行受控安全功能操作。
b)測試辦公設(shè)備的用戶權(quán)限初始化和變更情況,查看是否能夠設(shè)置新建用戶的權(quán)限或修改已有用戶的權(quán)限,并驗證權(quán)限初始化定義或權(quán)限變更是否符合安全策略。
5.1.2 訪問控制
本項測試包括:
a)檢查辦公設(shè)備對普通用戶操作用戶文檔數(shù)據(jù)的訪問控制策略,驗證普通用戶是否只能對自己的用戶文檔數(shù)據(jù)進行打印、復(fù)印、掃描、傳真、讀取、檢索、存儲、修改、刪除等操作,并驗證是否
拒絕普通用戶對其他用戶文檔數(shù)據(jù)進行上述操作;
b)檢查辦公設(shè)備對普通用戶操作用戶功能數(shù)據(jù)的訪問控制策略,驗證普通用戶是否僅能修改、刪除自己的用戶功能數(shù)據(jù),并驗證是否拒絕普通用戶對其他用戶功能數(shù)據(jù)進行修改和刪除操作;
c)檢查用戶使用辦公設(shè)備功能的訪問控制策略,驗證普通用戶是否僅能使用管理員明確授權(quán)的或設(shè)備自動授權(quán)的辦公設(shè)備功能,而不能使用未授權(quán)的辦公設(shè)備功能;
d)修改普通用戶關(guān)于用戶數(shù)據(jù)訪問的安全屬性,測試修改結(jié)果是否生效;
e)修改普通用戶關(guān)于辦公設(shè)備功能訪問的安全屬性,測試修改結(jié)果是否生效。
5.1.3 安全審計
本項測試包括:
a)檢查辦公設(shè)備的產(chǎn)品文檔,確認審計記錄中是否包含以下審計事件:
1)審計功能的開啟和關(guān)閉;
2)操作啟動和完成;
3)使用身份鑒別機制;
4)使用身份標識機制;
5)管理功能的使用;
6)時間變更;
7)其他與系統(tǒng)安全有關(guān)的事件或?qū)iT定義的可審計事件。
并測試審計記錄是否準確記錄相應(yīng)的審計事件。
b)檢查辦公設(shè)備的審計記錄,查看審計記錄是否包括事件發(fā)生日期和時間、事件類型、主體身份、事件結(jié)果(成功或失敗)、任務(wù)類型等內(nèi)容。
c)測試辦公設(shè)備是否對用戶登錄、審計功能開啟/關(guān)閉、修改用戶權(quán)限、時間變更等重要安全事件進行了審計,并驗證審計事件記錄是否與導(dǎo)致該事件的用戶身份進行關(guān)聯(lián)。
d)檢查辦公設(shè)備是否具有時間管理功能,是否提供可靠的時間戳;能否防止審計記錄時間被篡改。
5.1.4 殘余信息保護
本項測試包括:
a)檢查辦公設(shè)備的殘余信息保護能力,驗證用戶數(shù)據(jù)的存儲空間在被釋放或重新分配給其他用戶前,是否將先前存儲的數(shù)據(jù)完全銷毀,或者是否已采取保護措施使殘余信息無法被利用;
b)檢查辦公設(shè)備供應(yīng)方提供的產(chǎn)品文檔或媒體,查看是否明確告知辦公設(shè)備用戶可能存在殘余信息的資源類型及所在位置。
5.1.5 功能測試
本項測試包括:
a)檢查辦公設(shè)備在啟動、自檢、用戶要求的情況下,是否能正常執(zhí)行系統(tǒng)自測功能,以及系統(tǒng)自測信息能否驗證全部或部分辦公設(shè)備安全功能操作的正確性;
b)檢查辦公設(shè)備能否允許授權(quán)用戶驗證信息存儲、處理和傳輸功能等操作的正確性;
c)檢查辦公設(shè)備是否提供對全部或部分安全功能數(shù)據(jù)的完整性進行驗證的功能或方法,并由授權(quán)用戶對該功能或方法的有效性進行測試;
d)檢查辦公設(shè)備是否為授權(quán)用戶提供對安全功能可執(zhí)行代碼的完整性進行驗證的功能或方法,并測試能否驗證安全功能可執(zhí)行代碼未被篡改。
5.1.6 維護
本項測試包括:
a)檢查辦公設(shè)備的測試和維護接口,測試管理員能否對辦公設(shè)備的軟件維護操作進行權(quán)限限制,驗證普通用戶是否只有在管理員授權(quán)的情況下才能對辦公設(shè)備的軟件進行更新、升級、修改和刪除等操作;
b)檢查產(chǎn)品文檔,查看是否具有全局復(fù)位或各功能模塊復(fù)位的功能,檢查辦公設(shè)備是否具有快速刪除設(shè)備上存儲的所有用戶數(shù)據(jù)和安全功能數(shù)據(jù)的功能,并測試對應(yīng)功能的可用性。
5.1.7 會話
從本地或遠程登錄辦公設(shè)備,當(dāng)?shù)卿浻脩粼陟o默狀態(tài)規(guī)定的時間無操作時,檢查辦公設(shè)備是否會自動終止交互會話。
5.1.8 可移動非易失性存儲
本項測試包括:
a)檢查可移動非易失性存儲裝置的數(shù)據(jù)存儲是否采取了安全性措施,對用戶數(shù)據(jù)、安全功能數(shù)據(jù)等進行防護;
b)查看移動非易失性存儲裝置的數(shù)據(jù)結(jié)構(gòu),包括存儲地址、存儲內(nèi)容、存儲空間長度等是否公開;
c)測試移動非易失性存儲裝置是否通過公開的接口協(xié)議,例如,SPI、IC等,與辦公設(shè)備主機進行數(shù)據(jù)交換;
d)查看產(chǎn)品文檔是否明確標識移動非易失性存儲裝置的存儲容量;
e)測試辦公設(shè)備中的可移動非易失性存儲裝置,是否可對存儲的數(shù)據(jù)(用戶數(shù)據(jù)和安全功能數(shù)據(jù))進行完整性檢查。
5.1.9 密碼要求
查看辦公設(shè)備供應(yīng)方提供的產(chǎn)品文檔,確認密碼技術(shù)的使用及管理是否遵照國家密碼管理的相關(guān)規(guī)定。
5.2 安全管理功能要求測試
5.2.1 安全屬性管理
本項測試包括:
a)查看產(chǎn)品文檔是否說明辦公設(shè)備具有初始化安全屬性的功能;復(fù)位辦公設(shè)備,檢查辦公設(shè)備是否恢復(fù)到安全屬性的默認值;
b)測試辦公設(shè)備是否限制普通用戶對安全屬性進行初始化操作;
c)測試辦公設(shè)備是否允許管理員或授權(quán)用戶對用戶的安全屬性進行維護操作;
d)檢查辦公設(shè)備是否限制普通用戶對安全屬性進行操作,包括查詢、修改、刪除和默認值變更。
5.2.2 數(shù)據(jù)管理
本測試包括:
a)檢查辦公設(shè)備安全功能數(shù)據(jù)列表的訪問控制策略,驗證安全功能數(shù)據(jù)列表是否僅能由管理員或除普通用戶以外授權(quán)用戶進行操作,或者是否禁止任何人進行操作,包括查詢、修改、刪除、清除和默認值變更;
以上為標準部分內(nèi)容,如需看標準全文,請到相關(guān)授權(quán)網(wǎng)站購買標準正版。
- 2023-08-22消防維修保養(yǎng)記錄
- 2023-08-22消防設(shè)施維修維護
- 2023-08-19消防水池維修
- 2023-08-19消防水炮維修
- 2023-08-19消防線路維修
- 2023-08-19消防維保服務(wù)系統(tǒng)
- 2023-08-19消防主機維修維保大全
- 2023-08-19消防維保作用
- 2023-08-18消防維保工作聯(lián)系單
- 2023-08-18消防維保每年都要做嗎
- 2023-08-18 消防維保技術(shù)服務(wù)
- 2023-08-18消防主板維修
- 2023-08-18消防維保軟件
- 2023-08-18消防維保規(guī)章制度
- 2023-08-17消防檢測和維保
- 2023-08-17消防維保檢查
- IG541混合氣體滅火系統(tǒng)
IG541混合氣體滅火系統(tǒng):IG-541滅火系統(tǒng)采用的IG-541混合氣體滅火劑是由大氣層中的氮氣(N2)、氬氣(Ar)和二氧化碳(CO2)三種氣體分別以52%、40%、8%的比例混合而成的一種滅火劑
- 二氧化碳氣體滅火系統(tǒng)
二氧化碳氣體滅火系統(tǒng):二氧化碳氣體滅火系統(tǒng)由瓶架、滅火劑瓶組、泄漏檢測裝置、容器閥、金屬軟管、單向閥(滅火劑管)、集流管、安全泄漏裝置、選擇閥、信號反饋裝置、滅火劑輸送管、噴嘴、驅(qū)動氣體瓶組、電磁驅(qū)動
- 七氟丙烷滅火系統(tǒng)
七氟丙烷(HFC—227ea)滅火系統(tǒng)是一種高效能的滅火設(shè)備,其滅火劑HFC—ea是一種無色、無味、低毒性、絕緣性好、無二次污染的氣體,對大氣臭氧層的耗損潛能值(ODP)為零,是鹵代烷1211、130
- 手提式干粉滅火器
手提式干粉滅火器適滅火時,可手提或肩扛滅火器快速奔赴火場,在距燃燒處5米左右,放下滅火器。如在室外,應(yīng)選擇在上風(fēng)方向噴射。使用的干粉滅火器若是外掛式儲壓式的,操作者應(yīng)一手緊握噴槍、另一手提起儲氣瓶上的