GA/T 1138-2014《信息安全技术 主机资源访问控制产品安全技术要求》

GA/T 1138-2014《信息安全技术 主机资源访问控制产品安全技术要求》基本信息

标准号：GA/T 1138-2014

中文名称：《信息安全技术 主机资源访问控制产品安全技术要求》

发布日期：2014-03-10    

实施日期：2014-03-10

发布部门：中华人民共和国公安部    

提出单位：公安部网络安全保卫局    

归口单位：公安部信息系统安全标准化技术委员会    

起草单位：公安部计算机信息系统安全产品质量监督检验中心、浙江万赛软件科技有限公司、公安部第三研究所

起草人：宋好好、沈亮、俞优、胡维娜、顾健、顾玮、张笑笑、赵永亮    

中国标准分类号：A90社会公共安全综合

国际标准分类号：35.240信息技术应用

GA/T 1138-2014《信息安全技术 主机资源访问控制产品安全技术要求》介绍

中华人民共和国公安部于2014年3月10日发布并实施了《信息安全技术 主机资源访问控制产品安全技术要求》（GA/T 1138-2014）标准。

一、标准概述

GA/T 1138-2014标准是对主机资源访问控制产品安全技术要求的规范，旨在提高信息系统的安全性，防止未授权访问和数据泄露。该标准适用于主机资源访问控制产品的设计、开发、测试和评估。

二、标准适用范围

1、主机资源访问控制产品：包括但不限于操作系统、数据库管理系统、网络设备等。

2、设计、开发、测试和评估：标准适用于这些产品在设计、开发、测试和评估阶段的安全技术要求。

三、核心内容

安全功能要求

标准规定了主机资源访问控制产品应具备的安全功能，包括：

1、身份鉴别：确保只有经过验证的用户才能访问系统资源。

2、访问控制：限制用户对资源的访问，确保用户只能访问其被授权的资源。

3、安全审计：记录用户的访问行为，以便在需要时进行审计和追踪。

4、数据完整性和保密性：保护数据不被篡改和泄露。

安全保障要求

除了安全功能外，标准还对产品的安全保障提出了要求，包括：

1、产品开发生命周期：产品的设计、开发、测试和维护应遵循安全保障的生命周期。

2、脆弱性管理：产品应能够及时发现并修复安全漏洞。

3、安全配置：产品应提供安全配置选项，以降低安全风险。

四、实施指南

为了确保标准的实施，GA/T 1138-2014提供了以下实施指南：

1、培训和教育：对从业人员进行安全技术要求的培训和教育。

2、测试和评估：定期对产品进行安全测试和评估，确保其符合安全技术要求。

3、更新和维护：及时更新产品，修复已知的安全漏洞，并进行必要的安全维护。

五、标准的意义

GA/T 1138-2014标准的发布和实施，对于提升我国信息系统的安全水平具有重要意义。不仅为主机资源访问控制产品的设计和开发提供了指导，也为产品的安全测试和评估提供了依据。通过实施这一标准，可以有效减少信息系统的安全风险，保护用户数据的安全。