【GA公共安全标准】 信息安全技术安全型硬拷贝产品安全技术要求

ICS35.240
中华人民共和国公共安全行业标准GA/T1529—2018
信息安全技术
安全型硬拷贝产品安全技术要求Informationsecuritytechnology-Security technical requirements for secure hard copy products2018-11-05发布
中华人民共和国公安部
2018-11-05实施
GA/T1529—2018
规范性引用文件
术语和定义
安全型硬拷贝产品描述
总体说明…
6安全功能要求
安全保障要求
等级划分要求
本标准按照GB/T1.120C9给出的规则起草。本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。GA/T1529—2018
本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心（公安部第三研究所）。本标准主要起草人：宋好好、张笑笑、沈亮、陆臻、顾健I
1范围
信息安全技术
安全型硬拷贝产品安全技术要求GA/T1529—2018
本标准规定了安全型硬拷贝产品的安全功能要求，安全保障要求及安全等级划分。本标准适用于安全型硬拷贝产品的设计、开发与测试。规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注口期的引用文件，仅注口期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件GB/T25C692010信息安全技术术语3术语和定义
GB/T25069一2010界定的以及下列术语和定义适用于本文件3.1
安全型硬拷贝产品
secure hard copy product
具备用户身份鉴别、作业硬拷贝流程管理、硬拷贝、作业操作审计、设各安全管理等功能的安全专用产品。
4安全型硬拷贝产品描述
安全型硬拷贝产品一般由管控服务器、客户端和安全硬拷贝设备3部分组成。安全硬拷贝设备具有打印、复印，扫描、传真中的一项或多项功能。用户通过客户端提交作业申请到管控服务器，管控服务器根据控制策略控制作业的审批，并在审批通过后在安全硬拷贝设备上执行硬拷贝操作，图1为安全型硬拷贝产品的一个典型运行环境1
GA/T1529—2018
5总体说明
安全技术要求分类
客户端A
客户端B
安全硬拷贝设备
图1安全型硬拷贝产品典型运行环境管控系统
本标准将安全型硬拷贝产品安全技术要求分为安全功能要求和安全保障要求两个大类。其中，安全功能要求是对安全型硬拷贝产品应具备的安全功能提出的具体要求，包括打印安全、复印安全、扫描安全、设备安全，缓存区安全、操作安全等；安全保障要求针对安全型硬拷贝产品的开发和使用文档的内容提出具体的要求，例如开发、指导性文档、生命周期支持、测试、脆弱性评定等5.2
安全等级
本标准按照安全型硬拷贝产品安全功能要求强度，以及按照GB/T18336.3一2015，对安全型硬拷贝产品安全等级进行划分。安全等级分为基本级和增强级，安全功能强弱和安全保障要求高低是等级划分的具体依据，安全等级突出安全特性。6安全功能要求
6.1打印安全
6.1.1打印作业申请
当用户请求打印文档时，打印安全型硬拷贝产品应控制用户的打印请求，并支持用户提交打印作业申请。
6.1.2打印作业审批
打印安全型硬拷贝产品应具备对用户提交的打印作业申请进行管理的能力，允许或拒绝用户的打2
印作业申请。
6.1.3打印控制
打印安全型硬拷贝产品应能依据打印作业的审批结果，控制用户执行打印操作6.1.4打印结果审计
GA/T1529—2018
打印安全型硬拷贝产品应对打印操作结果进行审计，审计内容至少应包括打印文件的名称、输出的页数、打印作业的状态等。
6.2复印安全
复印作业中请
当用户请求复印文档时，复印安全型硬拷贝产品应控制用户的复印请求，并支持用户提交复印作业申请、
6.2.2复印作业审批
复印安全型硬拷贝产品应具备对用户提交的复印作业申请进行管理的能力，允许或拒绝用户的复印作业申请。
6.2.3复印控制
复印安全型硬拷贝产品应能依据复印作业的审批结果，控制用户执行复制操作。6.2.4复印结果审计
复印安全型硬拷贝产品应对复印操作结果进行审计，审计内容至少应包括复印文件的名称、申请复印的页数、实际复印的页数、复印作业的状态等6.3扫描安全
6.3.1扫描作业申请
当用户请求扫描文档时，扫描安全型硬拷贝产品应控制用户的扫描请求，并支持用广提交扫描作业申请。
6.3.2扫描作业审批
扫描安全型硬拷贝产品应具备对用户提交的扫描作业申请进行管理的能力，允许或拒绝用户的扫摧作业申请。
6.3.3扫描控制
扫描安全型硬拷贝产品应能依据扫描作业的审批结果，控制用户执行扫描操作。6.3.4扫描结果审计
扫描安全型硬拷贝产品应对扫描探作结果行审计，审计内容至少应包括扫描文件的名称，申请扫推的页数，实际扫描的页数，扫描作业的状态等。3
GA/T1529—2018
6.4传真安全
6.4.1传真作业申请
当用户请求传真文档时，传真安全型硬拷贝产品应控制用户的传真请求，并支持用户提交传真作业申请。
6.4.2传真作业审批
传真安全型硬拷贝产品应具备对用户提交的传真作业申请进行管理的能力，允许或拒绝用户的传真作业中请。
6.4.3传真控制
传真安全型硬拷贝产品应能依据传真作业的审批结果，控制用户执行传真操作。6.4.4传真结果审计
传真安全型硬拷贝产品应对传真操作结果进行审计，审计内容至少应包括传真文件的名称、申请传真的页数，实际传真的页数，传真作业的状态等。6.4.5接收安全
传真安全型硬拷贝产品应对接收内容和网络地址范围进行管理：a）只允许接收图像格式的传真文件；b）限制接收传真的网络地址范围6.4.6接口安全
产品的传真接口应禁止提供远程配置及管理功能。6.5控制策略不可旁路
产品应确保用户对文档的硬拷贝都要受到控制策略的制约。设备安全
6.6.1固件完整性检查
产品应在开机时进行固件完整性，正确性自检，在发现异常情况时停止工作。6.6.2硒鼓安全
1硒鼓芯片限制
打印安全型硬拷贝产品和复印安全型硬拷贝产品应对硒鼓芯片的可写区域容量和存储内容进行限制，应只存储打印和复印的总页面数信息。6.6.2.2硒鼓潜影清除
打印安全型硬拷贝产品和复印安全型硬拷贝产品应在每次打印和复印作业结束后，对硒鼓的潜影进行自动清除。
6.6.3接口限制
产品应能禁用客户端的无线、USB等接口。6.7
缓存区安全
产品应在每次作业处理完成后，自动清除硬拷贝作业缓存信息6.8操作安全
GA/T 1529—2018
产品应具备独立的管控服务器，用户只有通过管控服务器才可以安装安全硬拷贝设备驱动程序。6.9
安全管理
6.9.1用户管理
产品应提供创建、修改和删除用户的能力。6.9.2设备管理
产品应提供添加、修改和删除安全硬拷贝设备的能力。6.9.3属性初始化
产品应提供授权管理员和用户属性（权限、口令等）的初始化能力。6.9.4唯一性标识
产品应为授权管理员和用户提供唯一的身份标识，同时将授权管理员和用户的身份标识与所有可审计事件相关联。
6.9.5属性修改
产品应提供授权管理员和用户的属性（至少包括口令）的修改能力。6.9.6身份鉴别
产品在执行任何与安全功能相关的操作之前，应鉴别任何声称要履行管理员和用户职责的请求者的身份。
6.9.7最少反馈
对管理员和用户身份进行鉴别时，产品应仅将最少的信息反馈（如：鉴别的成功或失败）提供给被鉴别的管理员和用户。
6.9.8鉴别失败处理
当对授权管理员和用户鉴别失败的次数达到指定阅值后，产品应阻止授权管理员和用户进一步的鉴别请求。
6.9.9鉴别数据保护
产品应保护鉴别数据在传输和存储过程中不被未授权查阅和修改。5
GA/T1529—2018
管理能力
产品应提供授权管理员配置和管理产品安全功能的能力，并防止非授权访问安全功能。6.9.11
管理角色
产品应能对管理员角色进行区分：a）具有系统管理员、安全管理员、安全审计员等至少3种不同权限的管理员角色；6）根据不同的功能模块，自定义各种不同权限角色，并可对管理员分配角色6.10安全审计
审计日志生成
产品应对下列可审计事件牛成审计日志：a）所有鉴别机制的使用，包括管理员和用户的登录和注销日志；b）管理员执行管理操作的行为，包括系统安全策略变更的操作日志，对用户和设备进行增加、册除和属性修改的操作；
c）用户执行硬拷贝操作的行为。对于每一条审计日志，产品应至少记录以下信息：事件发生的日期和时间、事件的类型、主体身份。2审计日志管理
产品应提供以下功能对审计日志进行管理：a）将审计日志存储在掉电非易失性存储介质中：b）只充许授权管理员访问审计日志；按日期、时间、用户标识等条件对审计日志进行组合查询；c）
d）对审计日志进行备份：
当审计日志的存储容量到达阈值时，应能及时通知授权管理员。6.11通信安全下载标准就来标准下载网
产品应对各组件之间传输的数据（如配置和控制信息、作业信息、作业数据、审计日志等）进行保护6.12升级安全
产品应确保固件升级时的安全。7安全保障要求
7.1开发
7.1.1安全架构
开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求：a）与产品设计文档中对安全功能实施拍象描述的级别一致：b）描述与安全功能要求一致的产品安全功能的安全域；描述产品安全功能初始化过程为何是安全的：c
证实产品安全功能能够防止被破环；d）
证实产品安全功能能够防止安全特性被旁路。e）
7.1.2功能规范
开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：a）完全描述产品的安全功能：
b）描述所有安全功能接口的目的与使用方法；标识和描述每个安全功能接口相关的所有参数：e)
描述安全功能接口相关的安全功能实施行为：e
描述由安全功能实施行为处理而引起的直接错误消息；证实安全功能要求到安全功能接口的追溯：描述安全功能实施过程中，与安全功能接口相关的所有行为；g）
描述可能由安全功能接口的调用而引起的所有直接误消息。h）
7.1.3实现表示
开发者应提供全部安全功能的实现表示，实现表示应满足以下要求a）提供产品设计描述与实现表示实例之间的映射，并证明其一致性GA/T1529—2018
b）按详细级别定义产品安全功能，详细程度达到无须进一步设计就能生成安全功能的程度；c
以开发人员使用的形式提供。
7.1.4产品设计
开发者应提供产品设计文档产品设计文档应满足以下要求：根据子系统描述产品结构；
b）标识和描述产品安全功能的所有子系统：c）描述安全功能所有子系统间的相互作用；d）提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口；根据模块描述安全功能；
提供安全功能子系统到模块间的映射美系；描述所有安全功能实现模块，包括其目的及与其他模块间的相互作用；g）
描述所有实现模块的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及调用的接口；
描述所有安全功能的支撑或相关模块，包括其日的及与其他模块间的相互作用。7.2指导性文档
7.2.1操作用户指南
开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持致，对每一种用户角色的措述应满足以下要求：a）描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；b）描述如何以安全的方式使用产品提供的可用接口；e)
描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值：d)
明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控制实体的安全特性：
标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全e）
运行之间的因果关系和联系；
充分实现安全自的所必须执行的安全策略。GA/T1529—2018
7.2.2准备程序
开发者应提供产品及其准备程序，准备程序描述应满足以下要求：a）描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤：b）描述安全安装产品及其运行环境必需的所有步骤。7.3
生命周期支持
7.3.1配置管理能力
开发者的配置管理能力应满足以下要求：a）为产品的不同版本提供唯一的标识；b）使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项；提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法；c
配置管理系统提供一种白动方式来支持产品的生成，通过该方式确保只能对产品的实现表示d)
进行已授权的改变；
配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发产品。实施的配置管理与配置管理划相一致：f
配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序7.3.2配置管理范围
开发者应提供产品配置项列表，并说明配置项的开发者。配置项列表应包含以下内容：a）产品、安全保障要求的评估证据和产品的组成部分；b）实现表示、安全缺陷报告及其解决状态。7.3.3交付程序
开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时交付文档应描述为维护安全所必需的所有程序。7.3.4开发安全
开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。7.3.5生命周期定义
开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制，并提供生命周期定义文档描述用于开发和维护产品的模型。7.3.6工具和技术
开发者应明确定义用于开发产品的工具，并提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义。7.4测试
7.4.1测试覆盖
开发者应提供测试覆盖文档，测试覆盖措述应满足以下要求：a）表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性；8
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。