GB/T 38558-2020 信息安全技術(shù) 辦公設(shè)備安全測(cè)試方法
- 發(fā)表時(shí)間:2023-03-16
- 來(lái)源:共立消防
- 人氣:
1 范圍
本標(biāo)準(zhǔn)規(guī)定了辦公設(shè)備安全技術(shù)要求和安全管理功能要求的測(cè)試方法。
本標(biāo)準(zhǔn)適用于測(cè)試機(jī)構(gòu)、辦公設(shè)備廠商對(duì)辦公設(shè)備的安全性進(jìn)行測(cè)試。
注:本標(biāo)準(zhǔn)規(guī)定的測(cè)試方法適用于GB/T 29244-2012的符合性測(cè)試,相關(guān)對(duì)應(yīng)關(guān)系參見(jiàn)附錄A。
2 規(guī)范性引用文件
下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 29244-2012 信息安全技術(shù) 辦公設(shè)備基本安全要求
3 術(shù)語(yǔ)和定義
GB/T 29244-2012界定的術(shù)語(yǔ)和定義適用于本文件。
4 縮略語(yǔ)
下列縮略語(yǔ)適用于本文件。
FC:內(nèi)置集成電路(Inter-Integrated Circuit)
SPI:串行外設(shè)接口(Serial Peripheral Interface)
5 測(cè)試方法
5.1 安全技術(shù)要求測(cè)試
5.1.1 標(biāo)識(shí)和鑒別
本項(xiàng)測(cè)試包括:
a)測(cè)試辦公設(shè)備是否采用了身份鑒別措施,身份標(biāo)識(shí)是否具有唯一性;分別以不同類型用戶登錄辦公設(shè)備,驗(yàn)證用戶在執(zhí)行受控的安全功能操作之前,是否成功標(biāo)識(shí)和鑒別該用戶;拒絕非授權(quán)用戶執(zhí)行受控安全功能操作。
b)測(cè)試辦公設(shè)備的用戶權(quán)限初始化和變更情況,查看是否能夠設(shè)置新建用戶的權(quán)限或修改已有用戶的權(quán)限,并驗(yàn)證權(quán)限初始化定義或權(quán)限變更是否符合安全策略。
5.1.2 訪問(wèn)控制
本項(xiàng)測(cè)試包括:
a)檢查辦公設(shè)備對(duì)普通用戶操作用戶文檔數(shù)據(jù)的訪問(wèn)控制策略,驗(yàn)證普通用戶是否只能對(duì)自己的用戶文檔數(shù)據(jù)進(jìn)行打印、復(fù)印、掃描、傳真、讀取、檢索、存儲(chǔ)、修改、刪除等操作,并驗(yàn)證是否
拒絕普通用戶對(duì)其他用戶文檔數(shù)據(jù)進(jìn)行上述操作;
b)檢查辦公設(shè)備對(duì)普通用戶操作用戶功能數(shù)據(jù)的訪問(wèn)控制策略,驗(yàn)證普通用戶是否僅能修改、刪除自己的用戶功能數(shù)據(jù),并驗(yàn)證是否拒絕普通用戶對(duì)其他用戶功能數(shù)據(jù)進(jìn)行修改和刪除操作;
c)檢查用戶使用辦公設(shè)備功能的訪問(wèn)控制策略,驗(yàn)證普通用戶是否僅能使用管理員明確授權(quán)的或設(shè)備自動(dòng)授權(quán)的辦公設(shè)備功能,而不能使用未授權(quán)的辦公設(shè)備功能;
d)修改普通用戶關(guān)于用戶數(shù)據(jù)訪問(wèn)的安全屬性,測(cè)試修改結(jié)果是否生效;
e)修改普通用戶關(guān)于辦公設(shè)備功能訪問(wèn)的安全屬性,測(cè)試修改結(jié)果是否生效。
5.1.3 安全審計(jì)
本項(xiàng)測(cè)試包括:
a)檢查辦公設(shè)備的產(chǎn)品文檔,確認(rèn)審計(jì)記錄中是否包含以下審計(jì)事件:
1)審計(jì)功能的開(kāi)啟和關(guān)閉;
2)操作啟動(dòng)和完成;
3)使用身份鑒別機(jī)制;
4)使用身份標(biāo)識(shí)機(jī)制;
5)管理功能的使用;
6)時(shí)間變更;
7)其他與系統(tǒng)安全有關(guān)的事件或?qū)iT定義的可審計(jì)事件。
并測(cè)試審計(jì)記錄是否準(zhǔn)確記錄相應(yīng)的審計(jì)事件。
b)檢查辦公設(shè)備的審計(jì)記錄,查看審計(jì)記錄是否包括事件發(fā)生日期和時(shí)間、事件類型、主體身份、事件結(jié)果(成功或失敗)、任務(wù)類型等內(nèi)容。
c)測(cè)試辦公設(shè)備是否對(duì)用戶登錄、審計(jì)功能開(kāi)啟/關(guān)閉、修改用戶權(quán)限、時(shí)間變更等重要安全事件進(jìn)行了審計(jì),并驗(yàn)證審計(jì)事件記錄是否與導(dǎo)致該事件的用戶身份進(jìn)行關(guān)聯(lián)。
d)檢查辦公設(shè)備是否具有時(shí)間管理功能,是否提供可靠的時(shí)間戳;能否防止審計(jì)記錄時(shí)間被篡改。
5.1.4 殘余信息保護(hù)
本項(xiàng)測(cè)試包括:
a)檢查辦公設(shè)備的殘余信息保護(hù)能力,驗(yàn)證用戶數(shù)據(jù)的存儲(chǔ)空間在被釋放或重新分配給其他用戶前,是否將先前存儲(chǔ)的數(shù)據(jù)完全銷毀,或者是否已采取保護(hù)措施使殘余信息無(wú)法被利用;
b)檢查辦公設(shè)備供應(yīng)方提供的產(chǎn)品文檔或媒體,查看是否明確告知辦公設(shè)備用戶可能存在殘余信息的資源類型及所在位置。
5.1.5 功能測(cè)試
本項(xiàng)測(cè)試包括:
a)檢查辦公設(shè)備在啟動(dòng)、自檢、用戶要求的情況下,是否能正常執(zhí)行系統(tǒng)自測(cè)功能,以及系統(tǒng)自測(cè)信息能否驗(yàn)證全部或部分辦公設(shè)備安全功能操作的正確性;
b)檢查辦公設(shè)備能否允許授權(quán)用戶驗(yàn)證信息存儲(chǔ)、處理和傳輸功能等操作的正確性;
c)檢查辦公設(shè)備是否提供對(duì)全部或部分安全功能數(shù)據(jù)的完整性進(jìn)行驗(yàn)證的功能或方法,并由授權(quán)用戶對(duì)該功能或方法的有效性進(jìn)行測(cè)試;
d)檢查辦公設(shè)備是否為授權(quán)用戶提供對(duì)安全功能可執(zhí)行代碼的完整性進(jìn)行驗(yàn)證的功能或方法,并測(cè)試能否驗(yàn)證安全功能可執(zhí)行代碼未被篡改。
5.1.6 維護(hù)
本項(xiàng)測(cè)試包括:
a)檢查辦公設(shè)備的測(cè)試和維護(hù)接口,測(cè)試管理員能否對(duì)辦公設(shè)備的軟件維護(hù)操作進(jìn)行權(quán)限限制,驗(yàn)證普通用戶是否只有在管理員授權(quán)的情況下才能對(duì)辦公設(shè)備的軟件進(jìn)行更新、升級(jí)、修改和刪除等操作;
b)檢查產(chǎn)品文檔,查看是否具有全局復(fù)位或各功能模塊復(fù)位的功能,檢查辦公設(shè)備是否具有快速刪除設(shè)備上存儲(chǔ)的所有用戶數(shù)據(jù)和安全功能數(shù)據(jù)的功能,并測(cè)試對(duì)應(yīng)功能的可用性。
5.1.7 會(huì)話
從本地或遠(yuǎn)程登錄辦公設(shè)備,當(dāng)?shù)卿浻脩粼陟o默狀態(tài)規(guī)定的時(shí)間無(wú)操作時(shí),檢查辦公設(shè)備是否會(huì)自動(dòng)終止交互會(huì)話。
5.1.8 可移動(dòng)非易失性存儲(chǔ)
本項(xiàng)測(cè)試包括:
a)檢查可移動(dòng)非易失性存儲(chǔ)裝置的數(shù)據(jù)存儲(chǔ)是否采取了安全性措施,對(duì)用戶數(shù)據(jù)、安全功能數(shù)據(jù)等進(jìn)行防護(hù);
b)查看移動(dòng)非易失性存儲(chǔ)裝置的數(shù)據(jù)結(jié)構(gòu),包括存儲(chǔ)地址、存儲(chǔ)內(nèi)容、存儲(chǔ)空間長(zhǎng)度等是否公開(kāi);
c)測(cè)試移動(dòng)非易失性存儲(chǔ)裝置是否通過(guò)公開(kāi)的接口協(xié)議,例如,SPI、IC等,與辦公設(shè)備主機(jī)進(jìn)行數(shù)據(jù)交換;
d)查看產(chǎn)品文檔是否明確標(biāo)識(shí)移動(dòng)非易失性存儲(chǔ)裝置的存儲(chǔ)容量;
e)測(cè)試辦公設(shè)備中的可移動(dòng)非易失性存儲(chǔ)裝置,是否可對(duì)存儲(chǔ)的數(shù)據(jù)(用戶數(shù)據(jù)和安全功能數(shù)據(jù))進(jìn)行完整性檢查。
5.1.9 密碼要求
查看辦公設(shè)備供應(yīng)方提供的產(chǎn)品文檔,確認(rèn)密碼技術(shù)的使用及管理是否遵照國(guó)家密碼管理的相關(guān)規(guī)定。
5.2 安全管理功能要求測(cè)試
5.2.1 安全屬性管理
本項(xiàng)測(cè)試包括:
a)查看產(chǎn)品文檔是否說(shuō)明辦公設(shè)備具有初始化安全屬性的功能;復(fù)位辦公設(shè)備,檢查辦公設(shè)備是否恢復(fù)到安全屬性的默認(rèn)值;
b)測(cè)試辦公設(shè)備是否限制普通用戶對(duì)安全屬性進(jìn)行初始化操作;
c)測(cè)試辦公設(shè)備是否允許管理員或授權(quán)用戶對(duì)用戶的安全屬性進(jìn)行維護(hù)操作;
d)檢查辦公設(shè)備是否限制普通用戶對(duì)安全屬性進(jìn)行操作,包括查詢、修改、刪除和默認(rèn)值變更。
5.2.2 數(shù)據(jù)管理
本測(cè)試包括:
a)檢查辦公設(shè)備安全功能數(shù)據(jù)列表的訪問(wèn)控制策略,驗(yàn)證安全功能數(shù)據(jù)列表是否僅能由管理員或除普通用戶以外授權(quán)用戶進(jìn)行操作,或者是否禁止任何人進(jìn)行操作,包括查詢、修改、刪除、清除和默認(rèn)值變更;
以上為標(biāo)準(zhǔn)部分內(nèi)容,如需看標(biāo)準(zhǔn)全文,請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買標(biāo)準(zhǔn)正版。
- 2023-08-22消防維修保養(yǎng)記錄
- 2023-08-22消防設(shè)施維修維護(hù)
- 2023-08-19消防水池維修
- 2023-08-19消防水炮維修
- 2023-08-19消防線路維修
- 2023-08-19消防維保服務(wù)系統(tǒng)
- 2023-08-19消防主機(jī)維修維保大全
- 2023-08-19消防維保作用
- 2023-08-18消防維保工作聯(lián)系單
- 2023-08-18消防維保每年都要做嗎
- 2023-08-18 消防維保技術(shù)服務(wù)
- 2023-08-18消防主板維修
- 2023-08-18消防維保軟件
- 2023-08-18消防維保規(guī)章制度
- 2023-08-17消防檢測(cè)和維保
- 2023-08-17消防維保檢查
- IG541混合氣體滅火系統(tǒng)
IG541混合氣體滅火系統(tǒng):IG-541滅火系統(tǒng)采用的IG-541混合氣體滅火劑是由大氣層中的氮?dú)猓∟2)、氬氣(Ar)和二氧化碳(CO2)三種氣體分別以52%、40%、8%的比例混合而成的一種滅火劑
- 二氧化碳?xì)怏w滅火系統(tǒng)
二氧化碳?xì)怏w滅火系統(tǒng):二氧化碳?xì)怏w滅火系統(tǒng)由瓶架、滅火劑瓶組、泄漏檢測(cè)裝置、容器閥、金屬軟管、單向閥(滅火劑管)、集流管、安全泄漏裝置、選擇閥、信號(hào)反饋裝置、滅火劑輸送管、噴嘴、驅(qū)動(dòng)氣體瓶組、電磁驅(qū)動(dòng)
- 七氟丙烷滅火系統(tǒng)
七氟丙烷(HFC—227ea)滅火系統(tǒng)是一種高效能的滅火設(shè)備,其滅火劑HFC—ea是一種無(wú)色、無(wú)味、低毒性、絕緣性好、無(wú)二次污染的氣體,對(duì)大氣臭氧層的耗損潛能值(ODP)為零,是鹵代烷1211、130
- 手提式干粉滅火器
手提式干粉滅火器適滅火時(shí),可手提或肩扛滅火器快速奔赴火場(chǎng),在距燃燒處5米左右,放下滅火器。如在室外,應(yīng)選擇在上風(fēng)方向噴射。使用的干粉滅火器若是外掛式儲(chǔ)壓式的,操作者應(yīng)一手緊握噴槍、另一手提起儲(chǔ)氣瓶上的
- 0消防維保收費(fèi)每平方多少錢
- 1GB/T 7588.1-2020 電梯制造與安裝安全規(guī)范 第1部分:乘客電梯和載貨電梯
- 2消防安全評(píng)估報(bào)告多久做一次
- 3GB 50160-2018 石油化工企業(yè)設(shè)計(jì)防火規(guī)范
- 4GB 4351.1-2005 手提式滅火器 第1部分:性能和結(jié)構(gòu)要求
- 5消防安全評(píng)估收費(fèi)標(biāo)準(zhǔn)
- 6GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求
- 7消防維保多長(zhǎng)時(shí)間維保一次
- 8GB 50229-2019 火力發(fā)電廠與變電站設(shè)計(jì)防火標(biāo)準(zhǔn)
- 9消防維保是干什么的