网上银行系统信息安全保障评估准则资料精.pdf

ICS 35.040 L80 中华人民共和国国家标准 GB/T ××××—×××× 信息安全技术 网上银行系统信息安全保障评估准则 Information security technology- Evaluation criteria for online banking information systems security assurance （报批稿） ××××- ××- ××发布 ××××- ××- ××实施 国家质量监督检验检疫总局 发布 华人民共和国建设部 发布 GB/T ××××—×××× 目 次 前 言 III 引 言 IV 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 系统描述 1 4.1 网上银行系统描述 1 4.2 使命描述 3 4.3 系统概述 3 4.4 系统详细描述 6 5 系统安全环境 8 5.1 假设 8 5.2 威胁 9 5.3 组织安全策略 11 6 安全保障目的 14 6.1 安全保障技术目的 14 6.2 安全保障管理目的 15 6.3 安全保障工程目的 15 7 安全保障要求 16 7.1 技术保障要求 16 7.2 管理保障要求 48 7.3 工程保障要求 60 附 录 A （规范性附录）网上银行系统信息安全保障符合性 77 A.1 安全保障目的符合性声明 77 A.2 安全保障要求符合性声明 86 参考文献 96 图1 网上银行系统描述框架 2 图2 网上银行系统评估边界和接口描述示意图 4 图3 网上银行系统子安全域划分示例 5 图4 网上银行系统逻辑层次结构 7 表1 网上银行系统威胁描述 10 表2 网上信息流控制策略 17 表3 可审计安全事件类型 21 表4 可查阅的审计记录 22 表5 安全角色对系统安全功能行为的管理权限 23 表6 授权人员对系统安全属性的管理权限表举例 24 表7 主体对客体采取的操作对照表举例 37 表8 网上信息流控制策略举例 37 I GB/T ××××—×××× 表9 可审计安全事件类型 40 表9 （续） 41 表10 可查阅的审计记录 41 表11 安全角色对系统安全功能行为的管理权限 42 表12 可审计安全事件类型 46 表13 可查阅的审计记录 47 表A.1 安全环境和安全技术保障目的对应表（一） 78 表A.2 安全环境和安全管理、安全工程保障目的对应表（二） 84 表A.3 安全保障技术目的和安全保障技术要求映射（一） 87 表A.4 安全保障技术目的和安全保障技术要求映射（二） 90 表A.5 安全保障管理目的和安全保障管理要求 94 表A.6 安全保障工程目的和安全保障工程要求 95 II GB/T ××××—×××× 前 言 本标准的附录A为规范性附录。