GA/T 1552-2019 信息安全技术 盘阵安全存储产品安全技术要求

ICS35.240

A90

GA

中华人民共和国公共安全行业标准

GA/TXXXX—XXXX

信息安全技术盘阵安全存储产品安全技术

要求

InformationsecuritytechnologySecuritytechnicalrequirementsfordiskarray

safetystorageproducts

（报批稿）

XXXX-XX-XX发布XXXX-XX-XX实施

中华人民共和国公安部发布

GA/TXXXX—XXXX

目次

前言II

1范围1

2规范性引用文件1

3术语和定义1

4缩略语1

5总体说明2

5.1安全技术要求分类2

5.2安全等级划分2

6安全功能要求2

6.1存储类型支持2

6.2存储资源访问控制2

6.3数据安全3

6.4存储可靠性3

6.5标识与鉴别3

6.6管理功能要求4

6.7审计功能要求4

7安全保障要求5

7.1开发5

7.2指导性文档6

7.3生命周期支持6

7.4测试7

7.5脆弱性评定8

8不同安全等级的要求8

8.1安全功能要求8

8.2安全保障要求9

I

GA/TXXXXX—XXXX

前言

本标准按照GB/T1.1-2009给出的规则起草。

本标准由公安部网络安全保卫局提出。

本标准由公安部信息系统安全标准化技术委员会归口。

本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、公安部网络安全保卫局、中

电海康集团有限公司、浙江大华技术股份有限公司、杭州宏杉科技有限公司。

本标准主要起草人：李曦、邹春明、周嵩岑、赵戈、张艳、范春玲、宋好好、张龙君、蔡剑峰、傅

方、陆臻、顾健。

II

GA/TXXXX—XXXX

信息安全技术盘阵安全存储产品安全技术要求

1范围

本标准规定了盘阵安全存储产品的安全功能要求、安全保障要求和等级划分要求。

本标准适用于盘阵安全存储产品的设计、开发及测试。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T18336.3-2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件

GB/T25069-2010信息安全技术术语

3术语和定义

GB/T18336.3-2015和GB/T25069-2010界定的以及下列术语和定义适用于本文件。

3.1

盘阵安全存储产品diskarraysafetystorageproduct

具备安全功能的盘阵存储类产品。

3.2

独立冗余磁盘阵列redundantarrayofindependentdisk

由独立磁盘构成的具有冗余能力的阵列。

3.3

存储主体storagebody

存储资源的使用者，包括主机和用户。

4缩略语

下列缩略语适用于本文件。

ISCSI：Internet小型计算机系统接口（InternetSmallComputerSystemInterface）

FC：光纤通道（FibreChannel）

SAN：存储区域网络（StorageAreaNetwork）

NAS：网络附属存储（NetworkAttachedStorage）

RAID：独立冗余磁盘阵列（RedundantArrayofIndependentDisk）

1

GA/TXXXXX—XXXX

5总体说明

5.1安全技术要求分类

本标准将盘阵安全存储产品安全技术要求分为安全功能和安全保障要求两大类。其中，安全功能要

求是对盘阵安全存储产品应具备的安全功能提出具体要求，包括存储类型支持、存储资源访问控制、数

据安全、存储可靠性等；安全保障要求针对盘阵安全存储产品的生命周期过程提出具体的要求，例如开

发、指导性文档、生命周期支持和测试等。

5.2安全等级划分

盘阵安全存储产品的安全等级按照其安全功能要求和安全保障要求的强度划分为基本级和增强级，

其中安全保障要求参考了GB/T18336.3—2015。

6安全功能要求

6.1存储类型支持

至少支持iSCSI、FCSAN、NAS中的一种。

6.2存储资源访问控制

6.2.1存储主体管理

应能对存储主体进行管理：

a)可添加、删除使用存储资源的主机或用户；

b)对主机或用户进行分组管理，可以建立具有不同级别的主机组和用户组，设定不同的访问权限。

6.2.2存储资源管理

应能对存储资源进行管理：

a)存储资源可分配给授权主体；

b)对存储资源使用情况进行监测；

c)能够扩展存储资源。

6.2.3访问控制策略

应支持基于存储主体、存储资源、访问方式配置访问控制策略。

6.2.4访问保障能力

授权主体应能够根据预定义的策略访问相应存储资源。

6.2.5访问控制能力

应支持以下访问控制能力：

a)访问主体限制：仅授权主体能够对存储资源进行访问；

b)访问内容限制：授权主体对存储资源进行访问的内容不能超出预定义的范围；

c)访问地址限制：授权主体通过网络对存储资源进行远程访问时，该主体所在地址不能超出预定

义的范围；

2

GA/TXXXX—XXXX

d)访问动作限制：授权主体对存储资源进行访问的动作，不能超出预定义的允许范围：

1)若支持iscsi或FCSAN方式，应能限制授权主体对存储资源的只读、读写等动作，不能超

出预定义的允许范围；

2)若支持NAS方式，应能限制授权主体对存储资源的只读、写、执行、属性修改和删除等操

作，不能超出预定义的允许范围。

6.3数据安全

6.3.1数据传输安全

应能通过加密等方式来保护主体访问存储资源时的远程访问会话内容不被非授权获取。

6.3.2数据存储安全

应采用加密或其他保护措施实现数据存储保密性。

6.3.3加密算法

数据存储应使用国家密码管理主管部门批准的密码算法。

6.4存储可靠性

6.4.1关键部件冗余

应能对关键部件提供冗余保护机制：

a)支持接口及链路冗余；