計算機信息系統(tǒng)安全專用產(chǎn)品分類原則

1 范圍

本標準規(guī)定了計算機信息系統(tǒng)安全專用產(chǎn)品分類原則。

本標準適用于保護計算機信息系統(tǒng)安全專用產(chǎn)品，涉及實體安全、

運行安全和信息安全三個方面。

實體安全包括環(huán)境安全，設(shè)備安全和媒體安全三個方面。

運行安全包括風險分析,審計跟蹤，備份與恢復(fù)，應(yīng)急四個方面。

信息安全包括操作系統(tǒng)安全，數(shù)據(jù)庫安全，網(wǎng)絡(luò)安全，病毒防護，訪

問控制，加密與鑒別七個方面。

2 分類原則

為了保證分類體系的科學(xué)性，遵循如下原則：

1. 適度的前瞻性;

2. 標準的可操作性;

3. 分類體系的完整性;

4. 與傳統(tǒng)的兼容性;

5. 按產(chǎn)品功能分類。

3 術(shù)語定義

3.1 計算機信息系統(tǒng) Computer Information System

是指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照

一定的應(yīng)用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人

機系統(tǒng)。

3.2 計算機信息系統(tǒng)安全專用產(chǎn)品 Security Products for Computer Information Systems

是指用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品。

3.3 實體安全 Physical Security

保護計算機設(shè)備、設(shè)施(含網(wǎng)絡(luò))以及其它媒體免遭地震、水災(zāi)、火災(zāi)、

有害氣體和其它環(huán)境事故(如電磁污染等)破壞的措施、過程。

3.4 運行安全 Operation Security

為保障系統(tǒng)功能的安全實現(xiàn)，提供一套安全措施(如風險分析，審計跟蹤

，備份與恢復(fù)，應(yīng)急等)來保護信息處理過程的安全。

3.5 信息安全 Information Security

防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法

的系統(tǒng)辨識，控制。即確保信息的完整性、保密性，可用性和可控性。

3.6 黑客 Hacker

對計算機信息系統(tǒng)進行非授權(quán)訪問的人員。

3.7 應(yīng)急計劃 Contingency Plan

在緊急狀態(tài)下，使系統(tǒng)能夠盡量完成原定任務(wù)的計劃。

3.8 證書授權(quán) Certificate Authority

通過證書的形式證明實體(如用戶身份，用戶的公開密鑰等)的真實性。

3.9 安全操作系統(tǒng) Secure Operation System

為所管理的數(shù)據(jù)和資源提供相應(yīng)的安全保護，而有效控制硬件和軟件功能

的操作系統(tǒng)。

3.10 訪問控制 Access Control

指對主體訪問客體的權(quán)限或能力的限制，以及限制進入物理區(qū)域(出入

控制)和限制使用計算機系統(tǒng)和計算機存儲數(shù)據(jù)的過程(存取控制)。

3.11 防火墻 Fire Wall

設(shè)置在兩個或多個網(wǎng)絡(luò)之間的安全阻隔，用于保證本地網(wǎng)絡(luò)資源的安全

，通常是包含軟件部分和硬件部分的一個系統(tǒng)或多個系統(tǒng)的組合。

3.12 計算機病毒 Computer Virus

是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)、影

響計算機使用、并能自我復(fù)制的一組計算機指令或程序代碼。

4 類別體系

4.1 類別(A)實體安全

4.1.1 類別(A10)環(huán)境安全

本類產(chǎn)品提供對計算機信息系統(tǒng)所在環(huán)境的安全保護，主要包括受災(zāi)防護和區(qū)

域防護。

4.1.1.1 類別(A11)受災(zāi)防護

本類產(chǎn)品提供受災(zāi)報警，受災(zāi)保護和受災(zāi)恢復(fù)等功能，目的是保護計

算機信息系統(tǒng)免受水、火、有害氣體、地震、雷擊和靜電的危害。

本類產(chǎn)品的安全功能可歸納為三個方面：

(1) 災(zāi)難發(fā)生前，對災(zāi)難的檢測和報警;

(2) 災(zāi)難發(fā)生時，對正遭受破壞的計算機信息系統(tǒng)，采取緊急措施，進行現(xiàn)

場實時保護;

(3) 災(zāi)難發(fā)生后，對已經(jīng)遭受某種破壞的計算機信息系統(tǒng)進行災(zāi)后恢復(fù)。

任何提供以上一種或數(shù)種功能的產(chǎn)品均可歸入本類。

4.1.1.2 類別(A12)受災(zāi)恢復(fù)計劃輔助軟件

本類產(chǎn)品為制訂受災(zāi)難恢復(fù)計劃提供計算機輔助，它主要是以受災(zāi)恢

復(fù)計劃輔助軟件的形式提供。

本類產(chǎn)品的安全功能可歸納為三個方面：

(1) 災(zāi)難發(fā)生時的影響分析;

(2) 受災(zāi)恢復(fù)計劃的概要設(shè)計或詳細制訂;

(3) 受災(zāi)恢復(fù)計劃的測試與完善。

任何提供以上一種或數(shù)種功能的產(chǎn)品均可歸入本類。

4.1.1.3 類別(A13)區(qū)域防護

本類產(chǎn)品對特定區(qū)域提供某種形式的保護和隔離。

本類產(chǎn)品的安全功能可歸納為兩個方面：

(1) 靜止區(qū)域保護，如通過電子手段(如紅外掃描等)或其它手段對特定區(qū)

域(如機房等)進行某種形式的保護(如監(jiān)測和控制等);

(2) 活動區(qū)域保護，對活動區(qū)域(如活動機房等)進行某種形式的保護。

任何提供以上一種或兩種功能的產(chǎn)品均可歸入本類。

4.1.2 類別(A20)設(shè)備安全

本類產(chǎn)品提供對計算機信息系統(tǒng)設(shè)備的安全保護。它主要包括設(shè)備的

防盜和防毀，防止電磁信息泄漏，防止線路截獲，抗電磁干擾以及電源保護等

六個方面。

4.1.2.1 類別(A21)設(shè)備防盜

本類產(chǎn)品提供對計算機信息系統(tǒng)設(shè)備的防盜保護。

本類產(chǎn)品所提供的安全功能可歸納為:

使用一定的防盜手段(如移動報警器、數(shù)字探測報警和部件上鎖)用于計算機

信息系統(tǒng)設(shè)備和部件，以提高計算機信息系統(tǒng)設(shè)備和部件的安全性。

任何提供以上功能的產(chǎn)品均可歸入本類。

4.1.2.2 類別(A22)設(shè)備防毀

本類產(chǎn)品提供對計算機信息系統(tǒng)設(shè)備的防毀保護。

本類產(chǎn)品所提供的安全功能可歸納為兩個方面:

(1) 對抗自然力的破壞，使用一定的防毀措施(如接地保護等)保護計算機

信息系統(tǒng)設(shè)備和部件;

(2) 對抗人為的破壞，使用一定的防毀措施(如防砸外殼)保護計算機信息系

統(tǒng)設(shè)備和部件。

任何提供以上一種或兩種功能的產(chǎn)品均可歸入本類。

4.1.2.3 類別(A23)防止電磁信息泄漏

本類產(chǎn)品用于防止計算機信息系統(tǒng)中的電磁信息的泄漏，從而提高系統(tǒng)內(nèi)

敏感信息的安全性。如防止電磁信息泄漏的各種涂料、材料和設(shè)備等都屬于本

類。

本類產(chǎn)品所提供的安全功能可歸納為三個方面：

(1) 防止電磁信息的泄漏(如屏蔽室等防止電磁輻射引起的信息泄漏);

(2) 干擾泄漏的電磁信息(如利用電磁干擾對泄漏的電磁信息進行置亂);

(3) 吸收泄漏的電磁信息(如通過特殊材料/涂料等吸收泄漏的電磁信息)。

任何提供以上一種或數(shù)種功能的產(chǎn)品均可歸入本類。

4.1.2.4 類別(A24)防止線路截獲

本類產(chǎn)品用于防止對計算機信息系統(tǒng)通信線路的截獲和外界對計算機信息系統(tǒng)

的通信線路的干擾。

本類產(chǎn)品的安全功能可歸納為四個方面：

(1) 預(yù)防線路截獲，使線路截獲設(shè)備無法正常工作;

(2) 探測線路截獲，發(fā)現(xiàn)線路截獲并報警;

(3) 定位線路截獲，發(fā)現(xiàn)線路截獲設(shè)備工作的位置;

(4) 對抗線路截獲，阻止線路截獲設(shè)備的有效使用。

任何提供以上一種或數(shù)種功能的產(chǎn)品可歸入本類。

4.1.2.5 類別(A25)抗電磁干擾

本類產(chǎn)品用于防止對計算機信息系統(tǒng)的電磁干擾，從而保護系統(tǒng)內(nèi)部

的信息。

本類產(chǎn)品的安全功能可歸納為兩個方面：

(1) 對抗外界對系統(tǒng)的電磁干擾;

(2) 消除來自系統(tǒng)內(nèi)部的電磁干擾。

任何提供以上一種或兩種功能的產(chǎn)品可歸入本類。

4.1.2.6 類別(A26)電源保護

本類產(chǎn)品為計算機信息系統(tǒng)設(shè)備的可靠運行提供能源保障，例如不間

斷電源、紋波抑制器、電源調(diào)節(jié)軟件等都屬于本類。

本類產(chǎn)品的安全功能可歸納為兩個方面：

(1) 對工作電源的工作連續(xù)性的保護，如不間斷電源;

(2) 對工作電源的工作穩(wěn)定性的保護，如紋波抑制器。

任何提供以上一種或兩種功能的產(chǎn)品均可歸入本類。

4.1.3 類別(A30)媒體安全

本類產(chǎn)品提供對媒體數(shù)據(jù)和媒體本身的安全保護。

4.1.3.1 類別(A31)媒體的安全

本類產(chǎn)品提供對媒體的安全保管，目的是保護存儲在媒體上的信息。

本類產(chǎn)品的安全功能可歸納為兩個方面：

`

(1) 媒體的防盜;

(2) 媒體的防毀，如防霉和防砸等。

任何提供以上一種或二種功能的產(chǎn)品均可歸入本類。

4.1.3.2 類別(A32)媒體數(shù)據(jù)的安全

本類產(chǎn)品提供對媒體數(shù)據(jù)的保護。媒體數(shù)據(jù)的安全刪除和媒體的安全

銷毀是為了防止被刪除的或者被銷毀的敏感數(shù)據(jù)被他人恢復(fù)。

本類產(chǎn)品的安全功能可歸納為三個方面：

(1) 媒體數(shù)據(jù)的防盜，如防止媒體數(shù)據(jù)被非法拷貝;

(2) 媒體數(shù)據(jù)的銷毀，包括媒體的物理銷毀(如媒體粉碎等)和媒體數(shù)據(jù)的

徹底銷毀(如消磁等)，防止媒體數(shù)據(jù)刪除或銷毀后被他人恢復(fù)而泄露信息;

(3) 媒體數(shù)據(jù)的防毀，防止意外或故意的破壞使媒體數(shù)據(jù)的丟失。

任何提供以上一種或數(shù)種功能的產(chǎn)品均可歸入本類。

4.2 類別(B)運行安全

4.2.1 類別(B10)風險分析

本類產(chǎn)品提供對計算機信息系統(tǒng)進行人工或自動的風險分析。它首先是對

系統(tǒng)進行靜態(tài)的分析(尤指系統(tǒng)設(shè)計前和系統(tǒng)運行前的風險分析)，旨在發(fā)現(xiàn)

系統(tǒng)的潛在安全隱患;其次是對系統(tǒng)進行動態(tài)的分析，即在系統(tǒng)運行過程中測

試，跟蹤并記錄其活動，旨在發(fā)現(xiàn)系統(tǒng)運行期的安全漏洞;最后是系統(tǒng)運行后

的分析，并提供相應(yīng)的系統(tǒng)脆弱性分析報告。

本類產(chǎn)品的安全功能可歸納為四個方面：

(1) 系統(tǒng)設(shè)計前的風險分析。通過分析系統(tǒng)固有的脆弱性，旨在發(fā)現(xiàn)系統(tǒng)設(shè)

計前潛在的安全隱患;

(2) 系統(tǒng)試運行前的風險分析。根據(jù)系統(tǒng)試運行期的運行狀態(tài)和結(jié)果，分析

系統(tǒng)的潛在安全隱患，旨在發(fā)現(xiàn)系統(tǒng)設(shè)計的安全漏洞;

(3) 系統(tǒng)運行期的風險分析。提供系統(tǒng)運行記錄，跟蹤系統(tǒng)狀態(tài)的變化，分

析系統(tǒng)運行期的安全隱患，旨在發(fā)現(xiàn)系統(tǒng)運行期的安全漏洞，并及時通告安全

管理員;

(4) 系統(tǒng)運行后的風險分析。分析系統(tǒng)運行記錄，旨在發(fā)現(xiàn)系統(tǒng)的安全隱患

，為改進系統(tǒng)的安全性提供分析報告。

任何提供以上一種或數(shù)種功能的產(chǎn)品均可歸入本類。

4.2.2 類別(B20)審計跟蹤

本類產(chǎn)品對計算機信息系統(tǒng)進行人工或自動的審計跟蹤、保存審計記錄和

維護詳盡的審計日志。

本類產(chǎn)品的安全功能可歸納為三個方面：

(1) 記錄和跟蹤各種系統(tǒng)狀態(tài)的變化，如提供對系統(tǒng)故意入侵行為的記錄和對

系統(tǒng)安全功能違反的記錄;

(2)實現(xiàn)對各種安全事故的定位，如監(jiān)控和捕捉各種安全事件;

(3)保存、維護和管理審計日志。

任何提供以上一種或數(shù)種功能的產(chǎn)品均可歸入本類。

4.2.3 類別(B30)備份與恢復(fù)

本類產(chǎn)品提供對系統(tǒng)設(shè)備和系統(tǒng)數(shù)據(jù)的備份與恢復(fù)，對系統(tǒng)數(shù)據(jù)的備份和

恢復(fù)可以使用多種介質(zhì)(如磁介質(zhì)、紙介質(zhì)、光碟、縮微載體等)。

本類產(chǎn)品的安全功能可歸納為三個方面：

(1) 提供場點內(nèi)高速度、大容量自動的數(shù)據(jù)存儲，備份和恢復(fù);

(2) 提供場點外的數(shù)據(jù)存儲，備份和恢復(fù)，如通過專用安全記錄存儲設(shè)施對

系統(tǒng)內(nèi)的主要數(shù)據(jù)進行備份;

(3) 提供對系統(tǒng)設(shè)備的備份。

任何提供以上一種或數(shù)種功能的產(chǎn)品均可歸入本類。

4.2.4 類別(B40)應(yīng)急

本類產(chǎn)品提供緊急事件或安全事故發(fā)生時，保障計算機信息系統(tǒng)繼續(xù)運行或緊

急恢復(fù)所需要的一類產(chǎn)品，如應(yīng)急計劃輔助軟件和應(yīng)急設(shè)施兩個方面。

4.2.4.1 類別(B41)應(yīng)急計劃輔助軟件

本類產(chǎn)品為制訂應(yīng)急計劃提供計算機輔助，它主要是以應(yīng)急計劃輔助

軟件的形式提供。

本類產(chǎn)品的安全功能可歸納為三個方面：

(1) 緊急事件或安全事故發(fā)生時的影響分析;

(2) 應(yīng)急計劃的概要設(shè)計或詳細制訂;

(3) 應(yīng)急計劃的測試與完善。

任何提供以上一種或數(shù)種功能的產(chǎn)品均可歸入本類。

4.2.4.2 類別(B42)應(yīng)急設(shè)施

本類產(chǎn)品提供緊急事件或安全事故發(fā)生時，計算機信息系統(tǒng)實施應(yīng)急計劃

所需要的一類產(chǎn)品，它包括實時應(yīng)急設(shè)施、非實時應(yīng)急設(shè)施等。這些設(shè)施一般

由專門廠商提供。實時應(yīng)急設(shè)施、非實時應(yīng)急設(shè)施的區(qū)別主要表現(xiàn)在對緊急事

件發(fā)生時的響應(yīng)時間長短上。

本類產(chǎn)品的安全功能可歸納為二個方面：

(1) 提供實時應(yīng)急設(shè)施，實現(xiàn)應(yīng)急計劃，保障計算機信息系統(tǒng)的正常安全運

行;

(2) 提供非實時應(yīng)急設(shè)施，實現(xiàn)應(yīng)急計劃。

任何提供以上一種或兩種功能的產(chǎn)品均可歸入本類。

4.3 類別(C)信息安全

4.3.1 類別(C10)操作系統(tǒng)安全

本類產(chǎn)品提供對計算機信息系統(tǒng)的硬件和軟件資源的有效控制，能夠為所管理

的資源提供相應(yīng)的安全保護。它們或是以底層操作系統(tǒng)所提供的安全機制為基

礎(chǔ)構(gòu)作安全模塊，或者完全取代底層操作系統(tǒng)，目的是為建立安全信息系統(tǒng)提

供一個可信的安全平臺。

4.3.1.1 類別(C11)安全操作系統(tǒng)

本類產(chǎn)品是安全操作系統(tǒng)，是指從系統(tǒng)設(shè)計、實現(xiàn)和使用等各個階段都遵循了

一套完整的安全策略的操作系統(tǒng)。

任何具有不同安全級別的安全操作系統(tǒng)產(chǎn)品均可歸入本類。

4.3.1.2 類別(C12)操作系統(tǒng)安全部件

本類產(chǎn)品是操作系統(tǒng)安全部件，目的是增強現(xiàn)有操作系統(tǒng)的安全性。

本類產(chǎn)品的安全功能可歸納為兩個方面：

(1) 通過構(gòu)作安全模塊，增強現(xiàn)有操作系統(tǒng)的安全性;

(2) 通過構(gòu)作安全外罩，增強現(xiàn)有操作系統(tǒng)的安全性。

任何提供以上一種或兩種功能的產(chǎn)品均可歸入本類。

4.3.2 類別(C20)數(shù)據(jù)庫安全

本類產(chǎn)品對數(shù)據(jù)庫系統(tǒng)所管理的數(shù)據(jù)和資源提供安全保護。它一般采用多種安

全機制與操作系統(tǒng)相結(jié)合，實現(xiàn)數(shù)據(jù)庫的安全保護。

4.3.2.1 類別(C21)安全數(shù)據(jù)庫系統(tǒng)

本類產(chǎn)品是安全數(shù)據(jù)庫系統(tǒng)，即從系統(tǒng)設(shè)計、實現(xiàn)、使用和管理等各

個階段都遵循一套完整的系統(tǒng)安全策略的安全數(shù)據(jù)庫系統(tǒng)。

任何具有不同安全級別的安全數(shù)據(jù)庫系統(tǒng)均可歸入本類。

4.3.2.2 類別(C22)數(shù)據(jù)庫系統(tǒng)安全部件

本類產(chǎn)品是數(shù)據(jù)庫系統(tǒng)安全部件，是以現(xiàn)有數(shù)據(jù)庫系統(tǒng)所提供的功能

為基礎(chǔ)構(gòu)作安全模塊，旨在增強現(xiàn)有數(shù)據(jù)庫系統(tǒng)的安全性。

本類產(chǎn)品的安全功能可歸納為兩個方面：

(1) 通過構(gòu)作安全模塊，增強現(xiàn)有數(shù)據(jù)庫系統(tǒng)的安全性;

(2) 通過構(gòu)作安全外罩，增強現(xiàn)有數(shù)據(jù)庫系統(tǒng)的安全性。

任何提供以上一種或兩種功能的產(chǎn)品均可歸入本類。

4.3.3 類別(C30)網(wǎng)絡(luò)安全

本類產(chǎn)品提供訪問網(wǎng)絡(luò)資源或使用網(wǎng)絡(luò)服務(wù)的安全保護。

4.3.3.1 類別(C31)網(wǎng)絡(luò)安全管理

本類產(chǎn)品為網(wǎng)絡(luò)的使用提供安全管理。

本類產(chǎn)品的安全功能可歸納為四個方面：

(1) 幫助協(xié)調(diào)網(wǎng)絡(luò)的使用，預(yù)防安全事故的發(fā)生;

(2) 跟蹤并記錄網(wǎng)絡(luò)的使用，監(jiān)測系統(tǒng)狀態(tài)的變化。如提供對網(wǎng)絡(luò)系統(tǒng)故意入

侵行為的記錄和對違反網(wǎng)絡(luò)系統(tǒng)安全管理行為的記錄;

(3) 實現(xiàn)對各種網(wǎng)絡(luò)安全事故的定位，探測網(wǎng)絡(luò)安全事件發(fā)生的確切位置;

(4) 提供某種程度的對緊急事件或安全事故的故障排除能力.

任何提供以上一種或數(shù)種功能的產(chǎn)品均可歸入本類。

4.3.3.2 類別(C32)安全網(wǎng)絡(luò)系統(tǒng)

本類產(chǎn)品對網(wǎng)絡(luò)資源的訪問和網(wǎng)絡(luò)服務(wù)的使用提供一套完整的安全保護。

本類產(chǎn)品是安全網(wǎng)絡(luò)系統(tǒng)，即從網(wǎng)絡(luò)系統(tǒng)的設(shè)計、實現(xiàn)、使用和管理各個階段

遵循一套完整的安全策略的網(wǎng)絡(luò)系統(tǒng)。

任何具有不同安全級別的安全網(wǎng)絡(luò)系統(tǒng)均可歸入本類。

4.3.3.3 類別(C33)網(wǎng)絡(luò)系統(tǒng)安全部件

本類產(chǎn)品是網(wǎng)絡(luò)系統(tǒng)安全部件，是對網(wǎng)絡(luò)系統(tǒng)的某個過程、部分或服

務(wù)提供安全保護，旨在增強整個網(wǎng)絡(luò)系統(tǒng)的安全性。

本類產(chǎn)品的安全功能可歸納為三個方面：

(1) 對網(wǎng)絡(luò)資源訪問的某一過程提供安全保護，例如身份認證是對登錄過程

的保護，旨在防止黑客對網(wǎng)絡(luò)資源的訪問;

(2) 對網(wǎng)絡(luò)資源的某一部分提供安全保護，例如防火墻是對網(wǎng)絡(luò)資源的某個

部分(本地網(wǎng)絡(luò)資源)的保護;

(3) 對網(wǎng)絡(luò)系統(tǒng)提供的某種服務(wù)提供安全保護，例如安全電子郵件服務(wù)是對

網(wǎng)絡(luò)系統(tǒng)提供的電子郵件服務(wù)的保護。

任何提供以上一種或數(shù)種功能的產(chǎn)品均可歸入本類。

4.3.4 類別(C40)計算機病毒防護

本類產(chǎn)品提供對計算機病毒的防護。病毒防護包括單機系統(tǒng)的防護和網(wǎng)絡(luò)

系統(tǒng)的防護。

單機系統(tǒng)的防護側(cè)重于防護本地計算機資源，而網(wǎng)絡(luò)系統(tǒng)的防護側(cè)重于防

護網(wǎng)絡(luò)系統(tǒng)資源。計算機病毒防護產(chǎn)品是通過建立系統(tǒng)保護機制，預(yù)防、檢測

和消除病毒。

4.3.4.1 類別(C41)單機系統(tǒng)病毒防護

本類產(chǎn)品提供對單機系統(tǒng)的病毒防護，既可以是軟件產(chǎn)品，也可以是硬件

產(chǎn)品。

本類產(chǎn)品的安全功能可歸納為以下五個方面：

(1) 預(yù)防計算機病毒侵入系統(tǒng);

(2) 檢測已侵入系統(tǒng)的計算機病毒;

(3) 定位已侵入系統(tǒng)的病毒;

(4) 防止病毒在系統(tǒng)中的傳染;

(5) 清除系統(tǒng)中已發(fā)現(xiàn)的計算機病毒。

任何提供以上一種或數(shù)種功能的產(chǎn)品均可歸入本類。

4.3.4.2 類別(C42)網(wǎng)絡(luò)系統(tǒng)病毒防護

本類產(chǎn)品提供對網(wǎng)絡(luò)系統(tǒng)的病毒防護。

本類產(chǎn)品的安全功能可歸納為以下五個方面：

(1) 預(yù)防計算機病毒侵入網(wǎng)絡(luò)系統(tǒng);

(2) 檢測已侵入網(wǎng)絡(luò)系統(tǒng)的病毒;

(3) 定位已侵入網(wǎng)絡(luò)系統(tǒng)的病毒;

(4) 防止網(wǎng)絡(luò)系統(tǒng)中病毒的傳染;

(5) 清除網(wǎng)絡(luò)系統(tǒng)中已發(fā)現(xiàn)的病毒。

任何提供以上一種或數(shù)種功能的產(chǎn)品均可歸入本類。

4.3.5 類別(C50)訪問控制

本類產(chǎn)品保證系統(tǒng)的外部用戶或內(nèi)部用戶對系統(tǒng)資源的訪問以及對敏感信

息的訪問方式符合組織安全策略。本類產(chǎn)品主要包括：出入控制和存取控制

4.3.5.1 類別(C51)出入控制

本類產(chǎn)品主要用于阻止非授權(quán)用戶進入機構(gòu)或組織。一般是以電子技

術(shù)、生物技術(shù)或者電子技術(shù)與生物技術(shù)結(jié)合阻止非授權(quán)用戶進入。

本類產(chǎn)品包括：

(1) 物理通道的控制，例如利用重量檢查控制通過通道的人數(shù);

(2) 門的控制，例如雙重門，陷阱門等;

凡是采用電子技術(shù)、生物特征技術(shù)以及與其他技術(shù)相結(jié)合以實現(xiàn)出入控制的安

全產(chǎn)品均可歸入本類。

4.3.5.2 類別(C52)存取控制

本類產(chǎn)品提供主體訪問客體時的存取控制，如通過對授權(quán)用戶存取系

統(tǒng)敏感信息時進行安全性檢查，以實現(xiàn)對授權(quán)用戶的存取權(quán)限的控制。

本類產(chǎn)品提供的安全功能可歸納為以下四個方面 ：

(1) 提供對口令字的管理和控制功能。例如提供一個弱口令字庫，禁止用戶

使用弱口令字，強制用戶更換口令字等;

(2) 防止入侵者對口令字的探測;

(3) 監(jiān)測用戶對某一分區(qū)或域的存取;

(4) 提供系統(tǒng)中主體對客體訪問權(quán)限的控制。

任何提供以上一種或數(shù)種功能的產(chǎn)品均可歸入本類。

4.3.6 類別(C60)加密

本類產(chǎn)品提供數(shù)據(jù)加密和密鑰管理。

4.3.6.1 類別(C61)加密設(shè)備

本類產(chǎn)品提供對數(shù)據(jù)的加密。

本類產(chǎn)品提供的安全功能可歸納為以下三個方面：

(1) 對文字的加密;

(2) 對語音的加密;

(3) 對圖象、圖形的加密。

任何提供以上一種或數(shù)種功能的產(chǎn)品均可歸入本類。

4.3.6.2 類別(C62)密鑰管理

本類產(chǎn)品提供對密鑰的管理。例如證書授權(quán)中心(提供對用戶的公開

密鑰的管理)和密鑰恢復(fù)，都屬于本類。

本類產(chǎn)品的安全功能可歸納為六個方面：

(1) 密鑰分發(fā)或注入;

(2) 密鑰更新;

(3) 密鑰回收;

(4) 密鑰歸檔;

(5) 密鑰恢復(fù);

(6) 密鑰審計。

任何提供以上一種或數(shù)種功能的產(chǎn)品均可歸入本類。

4.3.7 類別(C70)鑒別

本類產(chǎn)品提供身份鑒別和信息鑒別。身份鑒別是提供對信息收發(fā)方(

包括用戶，設(shè)備和進程)真實身份的鑒別;信息鑒別是提供對信息的正確性，

完整性和不可否認性的鑒別。本類產(chǎn)品亦提供防偽性。

4.3.7.1 類別(C71)身份鑒別

本類產(chǎn)品提供對用戶的身份鑒別，主要用于阻止非授權(quán)用戶對系統(tǒng)資

源的訪問。一般是以電子技術(shù)、生物技術(shù)或者電子技術(shù)與生物技術(shù)結(jié)合鑒別授

權(quán)用戶身份的真實性。

本類產(chǎn)品的安全功能可歸納為三個方面：

(1) 根據(jù)用戶的生物特性來鑒別其真?zhèn)?

(2) 根據(jù)用戶所持物品來鑒別其真?zhèn)?

(3) 根據(jù)用戶所知來鑒別其真?zhèn)巍?

任何提供以上一種或多種功能的產(chǎn)品均可歸入本類。

4.3.7.2 類別(C72)完整性鑒別

本類產(chǎn)品提供信息完整性鑒別，使得用戶，設(shè)備，進程可以證實接收

到的信息的完整性。

本類產(chǎn)品的安全功能可歸納為：

證實信息內(nèi)容未被非法修改或遺漏，如完整性校驗設(shè)備。

任何提供以上功能的產(chǎn)品均可歸入本類。

4.3.7.3 類別(C73)不可否認性鑒別

本類產(chǎn)品提供不可否認性鑒別，使得信息發(fā)送者不可否認對信息的發(fā)

送和信息接收者不可否認對信息的接收。

本類產(chǎn)品的安全功能可歸納為兩個方面：

(1) 證實發(fā)方發(fā)送的信息確實為收方接收，收方不可否認;

(2) 證實收方接收到的信息為發(fā)方發(fā)送，發(fā)方不可否認。

任何提供以上一種或兩種功能的產(chǎn)品均可歸入本類。