本规范由中华人民共和国公安部公共信息网络安全监察局提出。
本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。
公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。

信息技术访问控制产品安全检验规范
1.范围
本规范规定了访问控制产品的安全功能要求和保证要求。
本规范适用于访问控制产品的生产及安全功能检测。
2.术语和定义
2.1访问控制 Access Control
访问控制是网络安全防范和保护的主要策略，它的主要任务是保证系统资源不被非法使用和访问，使用访问控制的目的在于限制用户对特定信息的访问。
3.访问控制产品的安全功能
3.1 访问控制功能
3.1.1 用户身份鉴别
在用户请求访问系统资源时至少进行一次身份鉴别。
3.1.2 访问限制：
a)有且只有授权用户才能访问分配给该用户的资源。
b)用户不能访问没有分配给该用户的资源。
3.2 安全功能
3.2.1 符合规定的加密操作
a)如果支持远程管理，应能够通过加密等方式来保护远程管理对话内容不被非授权获取；
b)如果用户必须通过网络访问特定信息，应能够通过加密来保护远程访问会话。
3.2.2 用户分级管理功能
访问控制产品应具有多用户分级管理功能，产品应可建立具有不同权限的用户，并可以针对不同客户设定对资源的不同访问权限。