GB/T20277-2015
信息安全技术网络和终端隔离产品测试评价方法
Informationsecuritytechnology—Testingandevaluationapproachesofnetworkandterminalseparationproducts
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2016-01-01
- 文件格式PDF
- 文本页数73页
- 文件大小1.09M
以图片形式预览信息安全技术网络和终端隔离产品测试评价方法
信息安全技术网络和终端隔离产品测试评价方法
国家标准 GB/T20277一2015 代替GB/T20277一2006 信息安全技术网络和终端隔离产品 测试评价方法 Informationseeuritytechnology一Iestimgandevaluationapproachesof networkandterminalseparationproducets 2015-05-15发布 2016-01-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/T20277一2015 目 次 前言 范围 规范性引用文件 术语和定义 测试环境与工具 4.1安全功能与环境适应性测试环境 4.2性能测试环境 安全功能测试 总体说明 5.1 5.2终端隔离产品 5.3网络隔离产品 网络单向导人产品 5.4 28 安全保证要求评估 5 基本级测试 51 6.1 6.2增强级测试 55 环境适应性测试 64 7.1 下一代互联网支持 64 7.2支持IPv6过渡网络环境 67 性能测试 68 交换速率 8.1 68 8.2硬件切换时间 69 参考文献 70
GB/T20277一2015 前 言 本标准按照GB/T1.1一2009给出的规则起草 本标准代替GB/T20277一2006《信息安全技术网络和终端设备隔离部件测试评价方法》
本标准与GB/T20277一2006的主要差异如下 分类修改为终端隔离产品、网络隔离产品和网络单向导人产品三类; 级别统一划分为基本级和增强级; 增加了下一代互联网协议支持能力的测试内容
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口
本标准起草单位;公安部计算机信息系统安全产赫质量监督检验中心,珠海经济特区伟思有限公 司,南京神易网络科技有限公司、公安部第三研究所 本标准主要起草人;陆臻、顾健、俞优、李旋、邓琦、左安骡、路文利刘斌 本标准所代替标准的历次版本发布情况 -GB/T202772006
GB/T20277一2015 信息安全技术网络和终端隔离产品 测试评价方法 范围 本标准依据GB/T202792015的技术要求,规定了网络和终端隔离产品的测试评价方法
本标准适用于按照GB/T20279一2015的安全等级要求所开发的网络和终端隔离产品的测试和 评价
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB17859一1999计算机信息系统安全保护划分准则 GB/T20279一2015信息安全技术网络和终端隔离产品安全技术要求 GB/T25069一2010信息安全技术术语 术语和定义 GB178591999,GB/T25069一2010和GB/T202792015界定的术语和定义适用于本文件
测试环境与工具 安全功能与环境适应性测试环境 4.1.1终端隔离产品 安全功能与环境适应性测试环境参见图1
PC 安全域A CPU 硬盘1 硬盘2 主板 双硬盘隔离卡 安全域B 图1终端隔离产品安全功能及环境适用性测试环境图
GB/T20277一2015 4.1.2网络隔离产品 安全功能与环境适应性测试环境参见图2. 安全域B 安全域 网络隔离产品 0 客户端 服务器 图2网络隔离产品安全功能与环境适用性测试环境图 4.1.3网络单向导入产品 安全功能与环境适应性测试环境参见图3
安全域B 安全域A 网络单向导入产品 信息发送方 信息接收方 图3网络单向导入产品安全功能与环境适用性测试环境图 4.2性能测试环境 性能测试环境参见图4,采用专用性能测试仪,测试仪接口直接通过网线连接网络和终端隔离产品 业务接口
教我测设备控制台 被测设备 性能渊试仪 渊试仪控制台 图4性能测试环境图
GB/T20277一2015 安全功能测试 5.1 总体说明 5.1.1测试评价方法分类 本标准依据GB/T20279一2015的技术要求,将网络和终端隔离产品测试与评价方法要求分为安 全功能、安全保证、环境适应性和性能要求四个大类
5.1.2安全等级 与GB/T202792015相对应,本标准将安全等级分为基本级和增强级
与基本级内容相比,增强 级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示
5.2终端隔离产品 5.2.1基本级测试 5.2.1.1访问控制 5.2.1.1.1安全属性定义 终端隔离产品的安全属性定义的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档.对于信息存储与传输部件,终端隔离产品所必需的安全属性,并且说 明具体的内容
测试产品的安全属性定义,记录测试结果并对该结果是否完全符合上述测试 评价方法要求做出判断
预期结果
产品应能够设定安全属性,应至少包括不同安全域网络切换方式,光驱和软驱等存储设备处在 哪个安全区域、网络设备接人方式和其他在开发者文档中提及的安全属性
5.2.1.1.2属性修改 终端隔离产品的属性修改的测试评价方法和预期结果如下 测试评价方法: a 评估开发者提供的文档,包括属性修改的详细描述
对安全属性进行修改操作,测试产品修改 与安全相关属性的参数的功能,包括安全域网络切换
记录测试结果并对该结果是否完全符 合上述测试评价方法要求做出判断
b)预期结果 产品应能够修改与安全相关属性的参数,应至少包括安全域网络切换
5.2.1.1.3属性查询 终端隔离产品的属性查询的测试评价方法和预期结果如下 a)测试评价方法: 评估开发者提供文档,说明属性查询的详细描述
对安全属性进行查询操作,测试终端隔离产 品用户对安全属性的查询功能,包括对一个安全域网络状态进行查询
记录测试结果并对该 结果是否完全符合上述测试评价方法要求做出判断
预期结果
GB/T20277一2015 终端隔离产品用户应能够进行安全属性的查询,应至少包括对一个安全域网络状态进行查询
5.2.1.1.4访问授权与拒绝 终端隔离产品的访问授权与拒绝的测试评价方法和预期结果如下 测试评价方法: 依据开发者所提供的访问授权与拒绝的详细描述进行测试 信息物理传导隔断测试;当终端隔离产品状态为安全域A网络状态时,尝试跟安全域A 网络和安全域B网络进行连接,产品保证跟安全域A网络主机可以互相访问,跟安全域 B网络主机互相不可访问;当终端隔离产品状态为安全域B网络状态时,尝试跟安全域A 网络和安全域B网络进行连接,产品保证跟安全域B网络主机可以互相访问,跟安全域 A网络主机互相不可访问; 信息物理存储隔断测试.测试对于断电后会逸失信息的部件如内存,寄存器等暂存部件 在网络转换时作清零处理的功能;对于断电后不会逸失信息的设备,如磁带机、硬盘等存 储设备,安全域A网络与安全域B网络信息以不同存储设备分开存储,比如硬盘,终端隔 离产品分别为安全域A网络与安全域B网络准备一个独立的硬盘;对移动存储介质,如 光盘、软盘、USB硬盘等,在网络转换前提示用户干预或禁止在双网都能使用这些设备; 记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
3 b)预期结果 信息物理传导隔断测试;当终端隔离产品状态为安全域A网络状态时,尝试跟安全域A 网络和安全域B网络进行连接,产品应保证跟安全域A网络主机可以互相访问,跟安全 域B网络主机互相不可访问;当终端隔离产品状态为安全域B网络状态时,尝试跟安全 域A网络和安全域B网络进行连接,产品应保证跟安全域B网络主机可以互相访问,跟 安全域A网络主机互相不可访问 信息物理存储隔断测试;对于断电后会逸失信息的部件,如内存、寄存器等暂存部件,应在 网络转换时作清零处理;对于断电后不会逸失信息的设备,如磁带机、硬盘等存储设备,安 全域A网络与安全域B网络信息应以不同存储设备分开存储,比如硬盘,终端隔离产品 应分别为安全域A网络与安全域B网络准备一个独立的硬盘;对移动存储介质,如光盘、 软盘、,USB硬盘等,应在网络转换前提示用户干预或禁止在双网都能使用这些设备
5.2.1.1.5切换信号一致性 终端隔离产品的切换信号一致性的测试评价方法和预期结果如下 测试评价方法 a 评估开发者提供的文档,包括切换信号一致性的详细描述
测试对被隔离的计算机信息资源 进行切换时,终端隔离产品的安全功能由同一信号对隔离的计算机信息资源进行切换,确保一 致性的功能
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
b预期结果 对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能应由同一信号对隔离的计 算机信息资源进行切换,确保一致性
5.2.1.1.6口令保护 终端隔离产品的口令保护的测试评价方法和预期结果如下 测试评价方法: 评估开发者提供的文档,包括口令保护的详细描述
测试对被隔离的计算机信息资源进行切
GB/T20277一2015 换时,终端隔离产品的安全功能保证用户必须输人切换口令,并通过猜测口令验证口令保护的 有效性的功能
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
b预期结果: 对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能保证应保证用户必须输人 切换口令
5.2.1.1.7内存及USB端口的物理隔离 终端隔离产品的内存及USB端口的物理隔离的测试评价方法和预期结果如下 测试评价方法: 评估开发者提供的文档,包括内存及UsB端口的物理隔离的详细描述
若终端隔离产品以整 机隔离系统的形态存在,测试终端隔离产品的安全功能能够在物理上隔离内存及所有USB端 口,确保所有的存储设备都是物理上隔断,从物理上保证数据安全性
通过观察硬件配置信息 记录测试结果并对该结果是否完全符合上述测试评价方法要求做出 验证隔离的有效性
判断
b)预期结果 若终端隔离产品以整机隔离系统的形态存在,终端隔离产品的安全功能应能够在物理上隔离 内存及所有UsB端口,确保所有的存储设备都是物理上隔断,从物理上保证数据安全性
5.2.1.2不可旁路 终端隔离产品的不可旁路的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括不可旁路的详细描述
测试在与安全有关的操作(例如安全属性 的修改)被允许执行之前,终端隔离产品安全功能确保其通过安全功能策略的检查
记录测试 结果并对该结果是否完全符合上述测试评价方法要求做出判断
预期结果 b 在与安全有关的操作(例如安全属性的修改)被允许执行之前,终端隔离产品安全功能应确保 其通过安全功能策略的检查
5.2.1.3客体重用 终端隔离产品的客体重用的测试评价方法和预期结果如下: a)测试评价方法 评估开发者提供的文档,包括客体重用的详细描述
测试在为所有内部或外部网上的主机连 接进行资源分配时,终端隔离产品安全功能能够保证不提供以前连接的任何信息内容的功能
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
预期结果 在为所有内部或外部网上的主机连接进行资源分配时,终端隔离产品安全功能应保证不提供 以前连接的任何信息内容
5.2.2增强级测试 5.2.2.1访问控制 5.2.2.1.1安全属性定义 终端隔离产品的安全属性定义的测试评价方法和预期结果如下
GB/T20277一2015 测试评价方法 评估开发者提供的文档,对于信息存储与传输部件,终端隔离产品所必需的安全属性,并且说 明具体的内容
测试产品的安全属性定义,记录测试结果并对该结果是否完全符合上述测试 评价方法要求做出判断
b 预期结果: 产品应能够设定安全属性,应至少包括不同安全域网络切换方式,光驱和软驱等存储设备处在 哪个安全区域、网络设备接人方式和其他在开发者文档中提及的安全属性
5.2.2.1.2属性修改 终端隔离产品的属性修改的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括属性修改的详细描述
对安全属性进行修改操作,测试产品修改 与安全相关属性的参数的功能,包括安全域网络切换
记录测试结果并对该结果是否完全符 合上述测试评价方法要求做出判断
b)预期结果 产品应能够修改与安全相关属性的参数,应至少包括安全域网络切换
5.2.2.1.3属性查询 终端隔离产品的属性查询的测试评价方法和预期结果如下 测试评价方法 a 评估开发者提供文档,说明属性查询的详细描述
对安全属性进行查询操作,测试终端隔离产 品用户对安全属性的查询功能,包括对一个安全域网络状态进行查询
记录测试结果并对该 结果是否完全符合上述测试评价方法要求做出判断
b)预期结果 终端隔离产品用户应能够进行安全属性的查询,应至少包括对一个安全域网络状态进行查询
5.2.2.1.4访问授权与拒绝 终端隔离产品的访问授权与拒绝的测试评价方法和预期结果如下 测试评价方法 依据开发者所提供的访问授权与拒绝的详细描述进行测试 信息物理传导隔断测试;当终端隔离产品状态为安全域A网络状态时,尝试跟安全域A 网络和安全域B网络进行连接,产品保证跟安全域A网络主机可以互相访问,跟安全域 B网络主机互相不可访问;当终端隔离产品状态为安全域B网络状态时,尝试跟安全域A 网络和安全域B网络进行连接,产品保证跟安全域B网络主机可以互相访问,跟安全域 网络主机互相不可访问; 信息物理存储隔断测试:测试对于断电后会逸失信息的部件,如内存、寄存器等暂存部件, 在网络转换时作清零处理的功能;对于断电后不会逸失信息的设备,如磁带机,硬盘等存 储设备,安全域A网络与安全域B网络信息以不同存储设备分开存储,比如硬盘,终端隔 离产品分别为安全域A网络与安全域B网络准备一个独立的硬盘;对移动存储介质,如 光盘、软盘、USB硬盘等,在网络转换前提示用户干预或禁止在双网都能使用这些设备 3)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
b)预期结果 1 信息物理传导隔断测试:当终端隔离产品状态为安全域A网络状态时,尝试跟安全域A
GB/T20277一2015 网络和安全域B网络进行连接,产品应保证跟安全域A网络主机可以互相访问,跟安全 域B网络主机互相不可访问;当终端隔离产品状态为安全域B网络状态时,尝试跟安全 域A网络和安全域B网络进行连接,产品应保证跟安全域B网络主机可以互相访问,跟 安全域A网络主机互相不可访问 信息物理存储隔断测试;对于断电后会逸失信息的部件,如内存、寄存器等暂存部件,应在 网络转换时作清零处理,防止遗留信息窜网;对于断电后不会逸失信息的设备,如磁带机、 硬盘等存储设备,安全域A网络与安全域B网络信息应以不同存储设备分开存储,比如 硬盘,终端隔离产品应分别为安全域A网络与安全域B网络准备一个独立的硬盘;对移 动存储介质,如光盘、软盘、USB硬盘等,应在网络转换前提示用户干预或禁止在双网都 能使用这些设备
5.2.2.1.5网络非法外联 终端隔离产品的网络非法外联的测试评价方法和预期结果如下 测试评价方法 a 评估开发者提供文档,包括网络非法外联的详细描述
模拟非法外联事件的产生,测试终端附隔 离产品的安全功能能够保证用户在内网状态下,随时监测用户网络是否与互联网相连接,一旦 发现是否立即禁用网络并给出报警的功能
记录测试结果并对该结果是否完全符合上述测试 评价方法要求做出判断
预期结果 终淌隔离产品的安全功能应保证用户在内网状态下,随时监测用户网络是否与互联网相连接 旦发现应立即禁用网络并给出报警,确保内网安全
5.2.2.1.6切换信号一致性 终端隔离产品的切换信号一致性的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括切换信号一致性的详细描述
测试对被隔离的计算机信息资源 进行切换时,终端隔离产品的安全功能由同一信号对隔离的计算机信息资源进行切换,确保 致性的功能
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断 b预期结果
对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能应由同一信号对隔离的计 算机信息资源进行切换,确保一致性
5.2.2.1.7硬盘非法调换 终端隔离产品的硬盘非法调换的测试评价方法和预期结果如下 测试评价方法 a i评估开发者提供的文档,是否包括砸盘非法调换的详细描述
测试终端隔离产品的安全功能 能够在初始安装时对对应网络的硬盘进行唯一标识,保证硬盘与网络一一对应关系,确保内网 硬就数据的安全
模拟调换被测系统的砸就,检查保护措施的有效性
记录测试结果并对该 结果是否完全符合上述测试评价方法要求做出判断
预期结果 终端隔离产品的安全功能应能在始安装时对对应网络的硬盘进行唯一标识,保证硬盘与网 络 一对应关系,确保内网硬盘数据的安全
GB/T20277一2015 5.2.2.1.8口令保护 终端隔离产品的口令保护的测试评价方法和预期结果如下 a)测试评价方法: 评估开发者提供的文档,包括口令保护的详细描述
测试对被隔离的计算机信息资源进行切 换时,终端隔离产品的安全功能保证用户必须输人切换口令,并通过猜测口令验证口令保护的 有效性的功能
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
b预期结果 对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能保证应保证用户必须输人 切换口令
5.2.2.1.9内存及USB端口的物理隔离 终端隔离产品的内存及USB端口的物理隔离的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括内存及USB端口的物理隔离的详细描述
若终端隔离产品以整 机隔离系统的形态存在,测试终端隔离产品的安全功能能够在物理上隔离内存及所有UsB端 口,确保所有的存储设备都是物理上隔断,从物理上保证数据安全性
通过观察硬件配置信息 验证隔离的有效性
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出 判断
预期结果 b 若终端隔离产品以整机隔离系统的形态存在,终端隔离产品的安全功能应能够在物理上隔离 内存及所有UsB端口,确保所有的存储设备都是物理上隔断,从物理上保证数据安全性
5.2.2.2不可旁路 终端隔离产品的不可旁路的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括不可旁路的详细描述
测试在与安全有关的操作(例如安全属性 的修改)被允许执行之前,终端隔离产品安全功能确保其通过安全功能策略的检查
记录测试 结果并对该结果是否完全符合上述测试评价方法要求做出判断
预期结果 在与安全有关的操作(例如安全属性的修改)被允许执行之前,终端隔离产品安全功能应确保 其通过安全功能策略的检查
5.2.2.3客体重用 终端隔离产品的客体重用的测试评价方法和预期结果如下 测试评价方法: a 评估开发者提供的文档,包括客体重用的详细描述
测试在为所有内部或外部网上的主机连 接进行资源分配时,终端隔离产品安全功能能够保证不提供以前连接的任何信息内容的功能
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
预期结果
在为所有内部或外部网上的主机连接进行资源分配时,终端隔离产品安全功能应保证不提供 以前连接的任何信息内容
GB/T20277一2015 5.3网络隔离产品 5.3.1基本级测试 5.3.1.1访问控制 5.3.1.1.1基本的信息流控制策略 网络隔离产品的基本的信息流控制策略的测试评价方法和预期结果如下 测试评价方法 1 评估开发者提供的文档,包括基本的信息流控制策略的详细描述
模拟生成设备所支持 的信息流,测试对主体、客体以及经过网络隔离产品的主客体之间的所有操作,网络隔离 产品基本的信息流控制策略能够执行以下端到端基本的信息流控制策略: -所有主客体之间发送和接收的信息流是否执行了网络层协议剥离,查看还原成为应 用层数据的能力 主客体之间发送和接收的信息流经过了安全策略允许后传输; -授权管理员与网络隔离产品间发送的管理信息经过了安全策略允许后传输, 2)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
b)预期结果 针对主体、客体以及经过网络隔离产品的主客体之间的所有操作,网络隔离产品基本的信息流 控制策略应能够执行以下端到端基本的信息流控制策略 1)所有主客体之间发送和接收的信息流应执行网络层协议剥离,还原成应用层数据; 2主客体之间发送和接收的信息流应经过安全策略允许后传输" 授权管理员与网络隔离产品间发送的管理信息应经过安全策略允许后传输
3 5.3.1.1.2基本的信息流控制功能 网络隔离产品的基本的信息流控制功能的测试评价方法和预期结果如下 a 测试评价方法: 评估开发者提供的文档包括基本的信息流控制功能的详细描述
模拟生成设备所支持 的信息流,测试网络隔离产品安全功能策略可执行以下基本的信息流控制功能,提供明确 的访问保障能力和拒绝访问能力
包括 -网络隔离产品是否可通过配置ACL访问控制列表进行信息流控制,ACL访问控制 列表的元素包括;源IP地址、目的IP地址、源端口、目的端口协议号: 网络隔离产品可对经过的HTTP、FTP,SMTP,POP3等应用协议信息流进行合规 性检查 网络隔离产品可对经过的HTTP,FTP,sMTPPOP3等应用协议信息流的协议信 令及参数关键字进行过滤; 网络隔离产品可对经过的HTTP,FTP,sMTP,POP3等应用协议信息流中的内容 包括文件附件进行关键字过滤, 网络隔离产品可通过协议陌离方式断开内部TCP/IP连接,完成信息传输 记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
b)预期结果: 网络隔离产品安全功能策略应能够执行以下基本的信息流控制功能,应提供明确的访问保障 能力和拒绝访问能力
包括:
GB/T20277一2015 1网络隔离产品应可通过配置ACL访问控制列表进行信息流控制,ACL访问控制列表的 元素应包括:源IP地址、目的P地址、源端口、目的端口,协议号; 网络隔离产品应可对经过的HTTPFTP,SMTP,POP3等应用协议信息流进行合规性 检查; 网络隔离产品应可对经过的HTTP,FTP,SMTPPOP3等应用协议信息流的协议信令 及参数关键字进行过滤; 网络隔离产品应可对经过的HTTP,FTP,SMTP,POP3等应用协议信息流中的内容包 括文件附件进行关键字过滤; 网络隔离产品应可通过协议隔离方式断开内部TCP/IP连接,完成信息摆渡传输
5.3.1.1.3残余信息保护 网络隔离产品的残余信息保护的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括残余信息保护的详绸描述
渊试网络隔离产品在为所有内部或 外部网上的主机连接进行资源分配时,网络隔离产品安全功能能够保证其分配的资源中不提 供以前连接活动中所产生的任何信息内容
记录测试结果并对该结果是否完全符合上述测试 评价方法要求做出判断
预期结果
网络隔离产品安全功能应能够保证其分配的资源中不提供以前连接活动中所产生的任何信息 内容
5.3.1.1.4不可旁路 网络隔离产品的不可旁路的测试评价方法和预期结果如下: 测试评价方法 a 评估开发者提供的文档,包括不可旁路保护的详细描述
审查文档并且验证其是否真实
提 供文档说明网络隔离产品采用何种机制和措施,确保安全策略的不可旁路性,即任何与安全有 关的操作被允许执行之前,都必须通过安全策略的检查
文档应该分析并确认,网络隔离产品 确实控制了端设备用户的每次访问请求,不存在其他可能旁路网络隔离产品的途径
记录测 试结果并对该结果是否完全符合上述测试评价方法要求做出判断
b 预期结果 产品应不存在其他可能旁路网络隔离产品的途径 5.3.1.2抗攻击 网络隔离产品的抗攻击的测试评价方法与预期结果如下: a 测试评价方法 配置启用网络隔离产品抗攻击功能; 1 2)采用模拟攻击设备,通过网络隔离产品,发起产品声明支持带宽10%的攻击流量(至少包 括SYNFlood,ICMPFlood等),同时通过网络隔离产品建立正常的传输业务,持续时间 1min; 3检查拒绝服务攻击包通过的比例,以及正常业务成功建立的比例
预期结果 网络隔离产品具备抗拒绝服务器攻击能力; 2)攻击包通过的比例不大于5%,正常业务建立成功率不低于90%
10o
GB/T20277一2015 5.3.1.3安全管理 5.3.1.3.1区分安全管理角色 网络隔离产品的区分安全管理角色的测试评价方法和预期结果如下 测试评价方法: a 依据开发者所提供的区分安全管理角色的详细描述进行测试 产品至少提供两类用户角色,至少有一类为管理员角色,保证此两类用户角色并不相同
1 评价者测试此两类用户角色是否不同,且有一类属于管理员角色, 创建一未授予安全管理角色的普通用户,以此用户执行安全管理功能相关操作,网络隔离 产品拒绝其操作 将安全管理角色授与此用户,再次执行安全管理功能的相关操作(应包括安装、配置和管 理网络隔离产品安全功能本身所需的所有功能,其中至少应包括:增加和删除主体(发送 信息的主机)和客体(接受信息的主机),查阅安全属性,分配,修改和撤销安全属性,查阅 和管理审计数据),测试网络隔离产品是否允许其操作; 记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
b)预期结果
产品应至少提供两类用户角色,至少有一类为管理员角色,保证此两类用户角色并不 相同 2)网络隔离产品应拒绝未授予安全管理角色的普通用户执行安全管理功能相关操作 3) 将安全管理角色授与此用户,再次执行安全管理功能的相关操作(应包括安装、配置和管 理网络隔离产品安全功能本身所需的所有功能,其中至少应包括增加和删除主体(发送 信息的主机)和客体(接受信息的主机),查阅安全属性,分配、修改和撤销安全属性,查阅 和管理审计数据),网络隔离产品应允许其操作
5.3.1.3.2 管理功能 网络隔离产品的管理功能的测试评价方法和预期结果如下 a)测试评价方法 1评估开发者提供的文档,包括管理功能的详细描述
以授权管理员身份登录,测试能够进 行如下操作 设置和更新与安全相关的数据; -网络隔离产品的安装及初始化; 系统启动和关闭 备份和恢复系统配置信息
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断 b预期结果: 网络隔离产品应能执行上述操作,并且网络隔离产品的各种备份(如安全配置的备份,审计记 录的备份)工作可以通过自动工具完成
如果网络隔离产品支持外部或内部接口的远程管理, 尝试关闭内部和外部接口或其中之一及配置远程管理地址,网络隔离产品应允许这些操作的 执行;从未授权远程管理的主机地址,尝试进行远程管理,网络隔离产品应予以拒绝;远程管理 会话应进行加密保护 5.3.1.3.3独立管理接口 网络隔离产品的独立管理接口的测试评价方法和预期结果如下 11
GB/T20277一2015 测试评价方法: 评估开发者提供的文档,包括独立管理接口的详细描述
测试网络隔离产品使用与通讯接口 相互独立的管理接口与授权管理员连接,授权管理员经过身份鉴别后,是否采用多因素身份鉴 别和加密方式建立授权管理员与网络隔离产品间的可信路径,是否禁止其他用户非授权访问 管理接口
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
预期结果 网络隔离产品应使用与通讯接口相互独立的管理接口与授权管理员连接,授权管理员经过身 份鉴别后,应采用多因素身份鉴别和加密方式建立授权管理员与网络隔离产品间的可信路径. 应禁止其他用户非授权访问管理接口
5.3.1.4标识和鉴别 5.3.1.4.1基本安全属性定义 网络隔离产品的基本安全属性定义的测试评价方法和预期结果如下 测试评价方法 a 评估开发者提供的文档,包括对于每一个授权管理员、构成系统的信息传输与控制部件、应用 层数据采集与接受部件,网络隔离产品为其提供一套唯一的,为了执行安全功能策略所必需的 安全属性,并且说明具体的内容
测试产品是否设定了这些安全属性,至少包括授权管理员的 安全属性、构成系统的信息传输与控制部件的安全属性、应用层数据采集与接受部件的安全属 性和其他在开发者文档中提及的安全属性
如果产品设定规定范围内的安全属性和开发者文 档中存在的安全属性,则此项判定为合格
记录渊试结果并对该结果是青完全符合上述测试 评价方法要求做出判断
预期结果 产品应设定至少包括授权管理员的安全属性,构成系统的信息传输与控制部件的安全属性,应 用层数据采集与接受部件的安全属性和其他在开发者文档中提及的安全属性
5.3.1.4.2属性初始化 网络隔离产品的属性初始化的测试评价方法和预期结果如下 测试评价方法: a 评估开发者提供的文档,包括属性初始化的详细描述
按照开发者提供的初始化方法进行初 始化,审查初始化结果是否与文档宣称的初始化值一致
记录测试结果并对该结果是否完全 符合上述测试评价方法要求做出判断
预期结果 b 测试结果应完全符合上述测试评价方法要求做出判断,测试和审查的初始化过程和结果应符 合文档说明
5.3.1.4.3属性修改 网络隔离产品的属性修改的测试评价方法和预期结果如下 测试评价方法 依据开发者提供的属性修改的详细描述进行测试 测试能以授权管理员的身份对源地址,目的地址、传输层协议和请求的服务(例如;源端口 1 号或目的端口号等访问控制属性)和配置的安全参数(至少包括;最大鉴别失败次数等数 据)进行修改; 12
GB/T20277一2015 2)测试修改后的设置是否有效; 3)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
b)预期结果 应能以授权管理员的身份对源地址、目的地址、传输层协议和请求的服务(例如;源端口号 或目的端口号等访问控制属性)和配置的安全参数至少包括;最大鉴别失败次数等数据 进行修改 修改后的设置应能够生效
5.3.1.4.4 属性查询 网络隔离产品的属性查询的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括属性查询的详细描述
测试能以授权管理员的身份对源地址、目 的地址、传输层协议和请求的服务(例如;源端口号或目的端口号等访问控制属性)和配置的安 全参数(至少包括;最大鉴别失败次数等数据)进行查询
记录测试结果并对该结果是否完全 符合上述测试评价方法要求做出判断
预期结果
应能以授权管理员的身份对源地址、目的地址、传输层协议和请求的服务(例如:源端口号或目 的端口号等访问控制属性)和配置的安全参数(至少包括;最大鉴别失败次数等数据)进行 查询
5.3.1.4.5鉴别数据初始化 网络隔离产品的鉴别数据初始化的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括网络隔离产品鉴别机制的详细描述
根据开发者提供的网络隔 离产品鉴别机制的详细描述,分别以授权管理员和普通用户的身份登录,测试该部件是否提供 鉴别数据的初始化功能
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出 判断
预期结果 b 以授权管理员和普通用户的身份登录网络隔离产品,产品应提供鉴别数据的初始化功能
5.3.1.4.6鉴别时机 网络隔离产品的鉴别时机的测试评价方法和预期结果如下: 测试评价方法 评估开发者提供的文档,包括网络隔离产品鉴别机制的详细描述
设置多个授权管理员,分别 以所有这些授权管理员的身份登录,测试在所有授权管理员请求执行的任何操作之前,网络隔 离产品对每个授权管理员都进行了身份鉴别
记录测试结果并对该结果是否完全符合上述测 试评价方法要求做出判断
b预期结果 在所有授权管理员请求执行的任何操作之前,网络隔离产品应对每个授权管理员都进行身份 鉴别
5.3.1.4.7最少反馈 网络隔离产品的最少反馈的测试评价方法和预期结果如下 13
GB/T20277一2015 测试评价方法: 评估开发者提供的文档,包括网络隔离产品鉴别机制的详细描述
分别以授权管理员和普通 用户的身份登录,并且输人正确或者错误的口令,测试网络隔离产品的反馈信息最少
记录测 试结果并对该结果是否完全符合上述测试评价方法要求做出判断
b 预期结果: 分别以授权管理员和普通用户的身份登录,并且输人正确或者错误的口令,网络隔离产品应反 馈最少的信息 5.3.1.4.8鉴别失败处理 网络隔离产品的鉴别失败处理的测试评价方法和预期结果如下 测试评价方法: 评估开发者提供的文档,包括网络隔离产品鉴别机制的详细描述
以错误的用户名 一口令登 定次数的鉴别失败后,测试网络隔离产品终止了进行登录尝试主机建立会话的过程
录,在 分别以授权管理员和普通用户的身份登录,测试该部件提供最多失败次数的设定功能,且最多 失败次数仅由授权管理员设定
记录测试结果并对该结果是否完全符合上述测试评价方法要 求做出判断
b预期结果
以错误的用户名一口令登录,在一定次数的鉴别失败后,网络隔离产品应能够终止进行登录尝 试主机建立会话的过程
分别以授权管理员和普通用户的身份登录,产品应提供最多失败次 数的设定功能,且最多失败次数应仅由授权管理员设定
5.3.1.5审计 5.3.1.5.1审计数据生成 网络隔离产品的审计数据生成的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括评价所需的相关文档(例如;产品说明书产品测试文档)
根据开 发者文档,使用不同角色用户模拟对产品不同模块进行访问、运行、修改,关闭以及重复失败尝 试等相关操作
审查审计记录的正确性
记录测试结果并对该结果是否完全符合上述测试评 价方法要求做出判断
b 预期结果 网络隔离产品应能够准确记录不同角色用户对产品不同模块进行访问、运行、修改,关闭以及 重复失败尝试等相关操作
5.3.1.5.2审计记录管理 网络隔离产品的审计记录管理的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括评价所需的相关文档例如;产品说明书产品测试文档)
模拟授 权管理员进行审计操作,测试网络隔离产品安全功能允许授权管理员存档、删除和清空审计记 录
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
预期结果 网络隔离产品应能够允许授权管理员存档,删除和清空审计记录
14
GB/I20277一2015 5.3.1.5.3可理解的格式 网络隔离产品的可理解的格式的测试评价方法和预期结果如下 测试评价方法: a 评估开发者提供的文档,包括评价所需的相关文档例如:产品说明书产品测试文档)
审查网 络隔离产品安全功能使存储于永久性审计记录中的所有审计数据可为人所理解(至少包括能 为人理解的描述内容以及审计数据本身)
记录测试结果并对该结果是否完全符合上述测试 评价方法要求做出判断
b预期结果 网络隔离产品应使存储于永久性审计记录中的所有审计数据可为人所理解(至少包括能为人 理解的描述内容以及审计数据本身
限制审计记录访问 5.3.1.5.4 网络隔离产品的限制审计记录访问的渊试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,是否包括评价所需的相关文档(例如;产品说明书产品测试文档)
模 拟授权与非授权管理员访问审计记录,测试网络隔离产品安全功能仅允许授权管理员访问审 计记录
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断 b)预期结果 网络隔离产品应仅允许授权管理员访问审计记录
5.3.1.5.5可选择查阅审计 网络隔离产品的可选择查阅审计的测试评价方法和预期结果如下 测试评价方法 a 评估开发者提供的文档是否包括评价所需的相关文档(例如;产品说明书产品测试文档)
测 试网络隔离产品安全功能是否自身提供了审计查阅工具,能够按照主体ID(标识符,客体ID 日期、时间进行逻辑组合对审计数据进行正确的查找和排序
记录测试结果并对该结果是否 完全符合上述测试评价方法要求做出判断
预期结果 b 网络隔离产品应自身提供审计查阅工具,能够按照主体ID(标识符,客体ID,日期,时间进行 逻辑组合对审计数据进行正确的查找和排序
5.3.1.5.6防止审计数据丢失 网络隔离产品的防止审计数据丢失的测试评价方法和预期结果如下 测试评价方法 依据开发者提供的相关文档例如;产品说明书产品测试文档)进行测试: -测试网络隔离产品安全功能将生成的审计记录储存于一个永久性的审计记录中,并 限制由于故障和攻击造成的审计事件丢失的数量(测试是否提供了手段进行了限 制); -模拟审计容量大量消耗相关的操作,测试网络隔离产品在审计存储容量达到事先规 定的警戒值时发出警告信息,并保证在授权管理员所采取的审计行为以外,防止其他 可审计行为的出现; 对因故障或存储耗竭而导致审计数据丢失的最大审计存储容量,网络隔离产品的开发者 15
GB/T20277一2015 提供相应的分析结果(审查是否估计了审计数据丢失); 记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
b)预期结果 网络隔离产品应能够将生成的审计记录储存于一个永久性的审计记录中,并限制由于故 障和攻击造成的审计事件丢失的数量测试是否提供了手段进行了限制); 网络隔离产品应在审计存储容量达到事先规定的警戒值时发出警告信息,并保证在授权 管理员所采取的审计行为以外,防止其他可审计行为的出现 对因故障或存储耗竭而导致审计数据丢失的最大审计存储容量,网络隔离产品的开发者 应提供相应的分析结果并符合实际测试结果
5.3.1.6域隔离 网络隔离产品的域隔离的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括评价所需的相关文档例如;产品说明书产品测试文档). 网络隔离产品保护其免遭不可信主体的干扰和篡改; 网络隔离产品将控制范围内的各个主体的安全区域分割开, 审查文档并且验证其真实性; 2 3)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
b)预期结果 网络隔离产品应能够保护其免遭不可信主体的干扰和篡改 1 2)网络隔离产品应能够将控制范围内的各个主体的安全区域分割开
5.3.1.7容错 网络隔离产品的容错的测试评价方法和预期结果如下 测试评价方法 a 评估开发者提供的文档,包括评价所需的相关文档例如;产品说明书产品测试文档)
测试网 络隔离产品具有主备模式的容错能力,当一台主机因电源,CPU等硬件出现故障或软件错误 导致异常时,容错功能能够将当前安全服务功能自动切换到另一台备机上继续运行,保证安全 功能的可用性
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
预期结果: 网络隔离产品应具有主备模式的容错能力,当一台主机因电源、CPU等硬件出现故障或软件 错误导致异常时,容错功能应能够将当前安全服务功能自动切换到另一台备机上继续运行,保 证安全功能的可用性
5.3.1.8数据完整性 网络隔离产品的数据完整性的测试评价方法和预期结果如下 测试评价方法 a 评估开发者提供的文档,包括网络隔离产品对外提供的所有接口及服务的详细描述
测试网 络隔离产品确保通过所有接口对鉴别数据和信息传输策略的查阅、修改,删除等操作前必须经 过身份鉴别,只有授权人员才能进行以上操作
记录测试结果并对该结果是否完全符合上述 测试评价方法要求做出判断
b)预期结果 网络隔离产品应确保通过所有接口对鉴别数据和信息传输策略的查阅、修改,删除等操作前必 16
GB/I20277一2015 须经过身份鉴别,只有授权人员才能进行以上操作 5.3.1.9密码支持 网络隔离产品的密码支持的测试评价方法和预期结果如下: 测试评价方法 a 评估开发者提供的文档包括国家密码委员会对加密算法的批文
审查开发者所提供的密吗 算法批文为国家密码委员会的正式有效批文
记录审查结果并对该结果是否完全符合上述测 试评价方法要求做出判断
b)预期结果 开发者所提供的密码算法批文应为国家密码委员会的正式有效批文
5.3.2增强级测试 5.3.2.1访问控制 5.3.2.1.1增强的信息流控制策略 网络隔离产品的增强的信息流控制策略的测试评价方法和预期结果如下 测试评价方法 a 评估开发者提供的文档,包括增强的信息流控制策略的详细描述
模拟生成设备所支持 1 的信息流,测试对主体、客体以及经过网络隔离产晶的主客体之间的所有操作,网络隔离 产品基本的信息流控制策略能够行以下端到端增强的信息流控制策略 -所有主客体之间发送和接收的信息流执行网络层协议刹离,还原成应川层数据,还原 后的应用层数据是否包括了应用层携带的较大的附件,例如大于20M的邮件附件; 主体与客体通讯之前对主体授权用户进行基于用户名/口令、数字证书的多因素身份 验i证,通过验证后,主客体之间发送和接收的信息流是否经过了安全策略控制允许后 传输 2)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
预期结果 b 对主体、客体以及经过网络隔离产品的主客体之间的所有操作,网络隔离产品基本的信息流控 制策略应能够执行以下端到端增强的信息流控制策略 所有主客体之间发送和接收的信息流应执行网络层协议刹离,还原成应用层数据,还原后 的应用层数据应包括应用层携带的较大的附件,例如大于20的邮件附件 主体与客体通讯之前应对主体授权用户进行基于用户名/口令、数字证书的多因素身份验 证,通过验证后,主客体之间发送和接收的信息流应经过安全策略控制允许后传输 5.3.2.1.2增强的信息流控制功能 网络隔离产品的增强的信息流控制功能的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括增强的信息流控制功能的详细描述
模拟生成设备所支持的信 息流,测试网络隔离产品安全功能策略是否可执行以下增强的信息流控制功能,是否提供明确 的访问保障能力和拒绝访问能力
包括 网络隔离产品可通过配置ACL访问挖制列表进行的信息流控制,ACL访问控制列表的 元素是否包括源IP地址、目的IP地址、源端口、目的端口、协议号; 网络隔离产品可对经过的HIP,FIP,SMTP,POP3,sQLRSIP,SIP等应用协议信息流 17
GB/T20277一2015 进行合规性检查; 3) 网络隔离产品可对经过的HIP,FTP,SMIP,OP3,sQL,RSIP,sIP等应用协议信息流 的协议信令及参数关键字进行过滤 网络隔离产品可配置文件同步任务,根据网络隔离产品上配置的同步任务参数,从源主机 读取文件摆渡传输到目的主机,实现文件同步; 网络隔离产品可配置数据库同步任务,根据网络隔离产品上配置的同步任务参数,从源主 机数据库读取数据,还原成文件后摆渡传输到另一端网络后写入目的主桃数据库,实现数 据库同步; 网络隔离产品可识别主体的应用类型,可通过访问应用控制列表进行信息流控制,禁止非 授权应用访问客体; 网络陌岗产品能够断开Tcr/连接对内外网数据传输链路进行物理上的时分切换,即 禁止内外网络在物理链路上同时与专用隔肖部件连通
b 预期结果 网络隔离产品应可通过配置ACL访问控制列表进行信息流控制.ACL访问控制列表的 元素应包括源IP地址、目的IP地址,源端口、目的端口协议梦 2)网络隔离产品应可对经过的HTP,FIP,SMIP,PoP3.soL、RsTPsIP等应用协议信息 流进行合规性检查 网络隔离产品应可对经过的HIP,rIP,SMP,PoP3.soL,RsTP,sIP邻应用协议信息 流的协议信令及参数关健字进行过滤; 网络隔离产品应可配置文件同步任务,根据刚络隔离产品上配置的同步任务参数,从源主 机读取文件摆渡传输到日的主机,实现文件同步; 网络隔离产品应可配置数据库同步任务,根据刚络隔离产品上配置的同步任务参数,从源 主机数据库读取数据,还原成文件后摆渡传输到另一端网络后写入目的主机数据库,实现 数据库同步 网络隔离产品应可识别主体的应用类型,应可通过访问应用控制列表进行信息流控制.禁 止非授权应用访问客体; 网络隔离产品应能够断开ICP/AIP连接对内外网数据传输链路进行物理上的时分圳换, 即禁止内外网络在物理链路上同时与专用隔离部件连通
5.3.2.1.3强制访问控制 网络隔离产品的强制访问控制的测试评价方法和预期结果如下 测试评价方法 a 评估开发者提供的文档,包括所设计的强制访问控制桃型
根据强制访问控制模型,设定主体 和客体的敏感标记,根据强制访问挖制模型得出相应的强制访问控制规则
记录测试结果那 对该结果是否完全符合上述测试评价方法要求做出判断
预期结果 b 以授权主体和未授权主体分别访问客体,强制访问控制规则应能够生效
5.3.2.1.4残余信息保护 网络隔离产品的残余信息保护的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括残余信息保护的详细描述
测试网络隔离产品在为所有内部或 外部网上的主机连接进行资源分配时,网络隔离产品安全功能能够保证其分配的资源中不提 18
GB/T20277一2015 供以前连接活动中所产生的任何信息内容
记录测试结果并对该结果是否完全符合上述测试 评价方法要求做出判断
b)预期结果 网络隔离产品安全功能应能够保证其分配的资源中不提供以前连接活动中所产生的任何信息 内容
5.3.2.1.5不可旁路 网络隔离产品的不可旁路的测试评价方法和预期结果如下: 测试评价方法 a 评估开发者提供的文档,包括不可旁路保护的详细描述
审查文档并且验证其是否真实
提 供文档说明网络隔离产品采用何种机制和措施,确保安全策略的不可旁路性,即任何与安全有 关的操作被允许执行之前,都必须通过安全策略的检查
文档应该分析并确认,网络隔离产品 确实控制了端设备用户的每次访问请求,不存在其他可能旁路网络隔离产品的途径
记录测 试结果并对该结果是否完全符合上述测试评价方法要求做出判断
b)预期结果 产品应不存在其他可能旁路网络隔离产品的途径 5.3.2.2抗攻击 网络隔离产品的抗攻击的测试评价方法与预期结果如下 测试评价方法 1配置启用网络隔离产品抗攻击功能 2)采用模拟攻击设备,通过网络隔离产品,发起产品声明支持带宽10%的攻击流量(至少包 括SYNFlood,ICMPFlood等),同时通过网络隔离产品建立正常的传输业务,持续时间 1min; 检查拒绝服务攻击包通过的比例,以及正常业务成功建立的比例
3 预期结果 网络隔离产品具备抗拒绝服务器攻击能力; 2)攻击包通过的比例不大于5%、正常业务建立成功率不低于90%
5.3.2.3安全管理 5.3.2.3.1区分安全管理角色 网络隔离产品的区分安全管理角色的测试评价方法和预期结果如下 测试评价方法 a 依据开发者所提供的区分安全管理角色的详细描述进行测试 产品至少提供两类用户角色,至少有一类为管理员角色,保证此两类用户角色并不相同
评价者测试此两类用户角色是否不同,且有一类属于管理员角色, 创建一未授予安全管理角色的普通用户,以此用户执行安全管理功能相关操作,网络隔离 产品拒绝其操作; 将安全管理角色授与此用户,再次执行安全管理功能的相关操作(应包括安装、配置和管 理网络隔离产品安全功能本身所需的所有功能,其中至少应包括:增加和删除主体(发送 信息的主机)和客体(接受信息的主机),查阅安全属性,分配、修改和撤销安全属性,查阅 和管理审计数据),测试网络隔离产品是否允许其操作; 19
GB/T20277一2015 记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
b预期结果 产品应至少提供两类用户角色,至少有一类为管理员角色,保证此两类用户角色并不 相同: 2)网络隔离产品应拒绝未授予安全管理角色的普通用户执行安全管理功能相关操作 将安全管理角色授与此用户,再次执行安全管理功能的相关操作(应包括安装、配置和管 3 理网络隔离产品安全功能本身所需的所有功能,其中至少应包括;增加和删除主体(发送 信息的主机)和客体(接受信息的主机),查阅安全属性,分配、修改和撤销安全属性,查阅 和管理审计数据),网络隔离产品应允许其操作
管理功能 5.3.2.3.2 网络隔离产品的管理功能的测试评价方法和预期结果如下: 测试评价方法 a 评估开发者提供的文档,包括管理功能的详细描述
以授权管理员身份登录,测试能够进 1 行如下操作 设冒和更新与安全相关的数据 -网络隔离产品的安装及初始化; 系统启动和关闭; 备份和恢复系统配置信息
2)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断 b)预期结果 网络隔离产品应能执行上述操作,并且网络隔离产品的各种备份(如安全配置的备份,审计记 录的备份)工作可以通过自动工具完成
如果网络隔离产品支持外部或内部接口的远程管理
尝试关闭内部和外部接口或其中之一及配置远程管理地址,网络隔离产品应允许这些操作的 执行;从未授权远程管理的主机地址,尝试进行远程管理,网络隔离产品应予以拒绝;远程管理 会话应进行加密保护 5.3.2.3.3独立管理接口 网络隔离产品的独立管理接口的测试评价方法和预期结果如下 测试评价方法 a 评估开发者提供的文档,包括独立管理接口的详细描述
测试网络隔离产品使用与通讯接口 相互独立的管理接口与授权管理员连接,授权管理员经过身份鉴别后,是否采用多因素身份鉴 别和加密方式建立授权管理员与网络隔离产品间的可信路径,是否禁止其他用户非授权访问 管理接口
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断 预期结果: 网络隔离产品应使用与通讯接口相互独立的管理接口与授权管理员连接授权管理员经过身 份鉴别后,应采用多因素身份鉴别和加密方式建立授权管理员与网络隔离产品间的可信路径, 应禁止其他用户非授权访问管理接口
5.3.2.4标识和鉴别 5.3.2.4.1敏感标记 网络隔离产品的敏感标记的测试评价方法和预期结果如下 20
GB/T20277一2015 测试评价方法: 评估开发者提供的文档,包括标记的相关文档
根据开发者提供的文档,对主体和客体设定敏 感标记
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断 预期结果 产品应支持对主体和客体进行敏感标记
5.3.2.4.2基本安全属性定义 网络隔离产品的基本安全属性定义的测试评价方法和预期结果如下: 测试评价方法 评估开发者提供的文档,包括对于每一个授权管理员、构成系统的信息传输与控制部件、应用 层数据采集与接受部件,网络隔离产品为其提供一 -套唯一的,为了执行安全功能策略所必需的 安全属性,并且说明具体的内容
测试产品是否设定了这些安全属性,至少包括授权管理员的 安全属性、构成系统的信息传输与控制部件的安全属性、应用层数据采集与接受部件的安全属 性和其他在开发者文档中提及的安全属性
如果产品设定规定范围内的安全属性和开发者文 档中存在的安全属性,则此项判定为合格
记录测试结果并对该结果是否完全符合上述测试 评价方法要求做出判断
预期结果 b 对于每一个授权管理员,网络隔离产品安全功能应为其提供一套唯一的为了执行安全功能策 略提供的增强的安全属性
测试产晶应设定基本的安全属性,至少包括设备网络参数.设备接 口属性、安全管理参数,安全参数,外部可信IT产品参数配置、系统参数、用户角色属性、用户 管理属性、主机地址、服务端口,使用时间或时间段、内容关键字和其他在开发者文档中提及的 基本的安全属性,如果产品设定规定范围内的基本的安全属性和开发者文档中存在的基本的 安全属性,则此项判定为合格
5.3.2.4.3增强的安全属性定义 网络隔离产品的增强的安全属性定义的测试评价方法和颜期结果如下 测试评价方法 评估开发者提供的文档,但括对于每一个授权管理员,网络隔产品安全功能为其提供了一食 唯一的、为了执行安全功能策略提供的增强的安全属性
测试产品设定了增强的安全属性,至 少包括设备协议号,应川协议、应用类型和其他在开发者文档中提及的增的发全属性
记录 测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
预期结果: 对于每一个授权管理员,网络隔离产品安全功能应为其提供一套唯一的、为了执行安全功能策 略提供的增强的安全属性
测试产品应设定增强的安全属性,至少包括设备协议号、应用协 议、应用类型和其他在开发者文档中提及的增强的安全属性,如果产品设定规定范围内的增强 的安全属性和开发者文档中存在的增强的安全属性,则此项判定为合格
5.3.2.4.4属性初始化 网络隔离产品的属性初始化的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括属性初始化的详细描述
按照开发者提供的初始化方法进行初 始化,审查初始化结果与文档宣称的初始化值一致
记录测试结果并对该结果是否完全符合 上述测试评价方法要求做出判断 21
GB/T20277一2015 b预期结果 测试结果应完全符合上述测试评价方法要求做出判断,测试和审查的初始化过程和结果应符 合文档说明
5.3.2.4.5 属性修改 网络隔离产品的属性修改的测试评价方法和预期结果如下: 测试评价方法: 测试能以授权管理员的身份对源地址,目的地址、传输层协议和请求的服务(例如,源端口 号或目的端口号等访问控制属性)和配置的安全参数(至少包括:最大鉴别失败次数等数 据)进行修改; 测试修改后的设置是否有效" 2 记录测试结果并对该结果是青完全符合上述测试评价方法要求做出判断
预期结果
b 应能以授权管理员的身份对源地址,目的地址、传输层协议和请求的服务(例如,源端口号 或目的端口号等访问控制属性)和配置的安全参数(至少包括;最大鉴别失败次数等数据 进行修改 修改后的设置应能够生效
5.3.2.4.6属性查询 网络隔离产品的属性查询的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括属性查询的详细描述
测试能以授权管理员的身份对源地址、目 的地址、传输层协议和请求的服务(例如;源端口号或目的端口号等访问控制属性)和配置的安 全参数(至少包括:最大鉴别失败次数等数据)进行查询
记录测试结果并对该结果是否完全 符合上述测试评价方法要求做出判断
预期结果 b 应能以授权管理员的身份对源地址、目的地址、传输层协议和请求的服务(例如;源端口号或目 的端口号等访问控制属性)和配置的安全参数(至少包括;最大鉴别失败次数等数据)进行 查询
5.3.2.4.7鉴别数据初始化 网络隔离产品的鉴别数据初始化的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括网络隔离产品鉴别机制的详细描述
根据开发者提供的网络隔 离产品鉴别机制的详细描述,分别以授权管理员和普通用户的身份登录,测试该部件是否提供 鉴别数据的初始化功能
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出 判断
b预期结果 以授权管理员和普通用户的身份登录网络隔离产品,产品应提供鉴别数据的初始化功能
5.3.2.4.8鉴别时机 网络隔离产品的鉴别时机的测试评价方法和预期结果如下 测试评价方法 a 22
GB/T20277一2015 评估开发者提供的文档,包括网络隔离产品鉴别机制的详细描述
设置多个授权管理员,分别 以所有这些授权管理员的身份登录,测试在所有授权管理员请求执行的任何操作之前,网络隔 离产品对每个授权管理员都进行了身份鉴别
记录测试结果并对该结果是否完全符合上述测 试评价方法要求做出判断
b预期结果: 在所有授权管理员请求执行的任何操作之前,网络隔离产品应对每个授权管理员都进行身份 鉴别
5.3.2.4.9最少反馈 网络隔离产品的最少反馈的测试评价方法和预期结果如下 测试评价方法: 评估开发者提供的文档,包括网络隔离产品鉴别机制的详细描述
分别以授权管理员和普通 用户的身份登录,并且输人正确或者错误的口令,测试网络隔离产品的反馈信息最少
记录测 试结果并对该结果是否完全符合上述测试评价方法要求做出判断
b)预期结果 分别以授权管理员和普通用户的身份登录,并且输人正确或者错误的口令,网络隔离产品应反 馈最少的信息
5.3.2.4.10多鉴别机制 网络隔岗产品的多鉴别机制的测试评价方法和颅期结果如下 测试评价方法 评估开发者提供的文档,包括网络隔离产品鉴别机制的详细描述
根据开发者提供的网络惭 离产品鉴别机制的详绷描述,验证提供了多鉴别制功能
记录测试结果非对该结果是否完 全符合上述测试评价方法要求做出判断
预期结果 b 网络隔离产品应提供多鉴别机制
5.3.2.4.11鉴别失败处理 网络隔离产品的鉴别失败处理的测试评价方法和预期结果如下 a)测试评价方法: 评估开发者提供的文档,包括网络隔离产品鉴别机制的详细描述
以错误的用户名口令登 录,在一定次数的鉴别失败后,测试网络隔离产品终止了进行登录尝试主机建立会话的过程
分别以授权管理员和普通用户的身份登录,测试该部件提供最多失败次数的设定功能,且最多 失败次数仅由授权管理员设定
记录测试结果并对该结果是否完全符合上述测试评价方法要 求做出判断
预期结果 b 以错误的用户名一口令登录,在一定次数的鉴别失败后,网络隔离产品应能够终止进行登录尝 试主机建立会话的过程
分别以授权管理员和普通用户的身份登录,产品应提供最多失败次 数的设定功能,且最多失败次数应仅由授权管理员设定
5.3.2.4.12抗重放 网络隔离产品的抗重放的测试评价方法和预期结果如下 测试评价方法 23
GB/T20277一2015 评情开发者提供的文档,包括网络隔离产品抗重放的详细描述
网络隔离产品的鉴别机制具 有抗重放的能力,授权管理员及其他用户无法复制使用上一次通过的鉴别信息再次鉴别成功
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断 颜期结果 网络隔岗产品的整别机别应具有抗重放的能力授权管理员及其他用户版无法复制使用上一 次通过的鉴别信息再次鉴别成功
5.3.2.4.13受保护的鉴别反馈 网络隔离产品的受保护的鉴别反馈的测试评价方法和颜期结果如下 测试评价方法 评估开发者提供的文档,包括网络隔离产品受保护的鉴别反馈的详细描述
测试网络隔离产 品的授权管理员在鉴别过程中输入的日令等敏感信息以不可见和不可推理的形式显示在鉴别 信息的登录输入界面巾
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出 判断
预期结果 b 网络隔离产品的授权管理员在鉴别过程中输入的口令等敏感信息应以不可见和不可推理的形 式显示在鉴别信息的登录输入界而中 5.3.2.4.14口令强度 网络隔离产品的口令强度的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括网络隔离产品口令强度的详细描述
渊试网络隔离产品采用了 口令校验机制对授权管理员生成的口令复杂度进行检查,口令强度是否保证口令长度大于6 位,口令类邪为数宁十大小写兮字陕组合
并通过锁拟日令狸米验谁措施的有效性
记求测试 结果并对该结果是否完全符合上述测试评价方法要求做出判断
预期结果: 网络隔离产品应采用目令校验机制对授权管理员生成的口令复杂度进行检查,口令强度应保 i证口令长度大于6位,口令类型为数字十大小写字母组合
5.3.2.5审计 5.3.2.5.1审计数据生成 网络隔离产品的审计数据生成的测试评价方法和预期结果如下 测试评价方法: 评估开发者提供的文档包括评价所需的相关文档(例如;产品说明书产品测试文档)
根据开 发者文档,使用不同角色用户模拟对产品不同模块进行访问,运行,修改,关闭以及重复失败尝 试等相关操作
审查审计记录的正确性
记录测试结果并对该结果是否完全符合上述测试评 价方法要求做出判断
预期结果 网络隔离产品应能够准确记录不同角色用户对产品不同模块进行访问,运行、修改,关闭以及 重复失败尝试等相关操作
5.3.2.5.2安全审计分析 网络隔离产品的安全审计分析的测试评价方法和预期结果如下 2
GB/T20277一2015 测试评价方法: 评情开发者提供的文档,包括网络隔离产品安全审计分析的详细描述
测试安全审计分 析是否包 -网络隔离产品规则覆盖的主体(内部或外部网络上的主机)对客体执行操作时使用的 应用进行分类统计; -网络隔离产品对应用流量、每个应用类别流量进行统计 -网络隔离产品对CPU内存,磁盘占用率进行统计 -对在线用户列表及在线用户时长进行了统计 记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
b 预期结果 网络隔离产晶规则覆盖的主体(内部或外部网络上的主机)对客体执行操作时使用的应用 应分类统计; 网络附出产品应对总应用该量.,绿个应用类剔流M进行统计 2 37 网络陌离产品应对cPU.内春磁盘占用率进行统计 应具有在线用户列表及在线用户时长的统计
4 用户身份关联 5.3.2.5.3 网络隔离产品的用户身份关联的测试评价方法和预期结果如下 测试评价方法 a 评估开发者提供的文档,包括评价所需的相关文档例如;产品说明书产品测试文档)
使用不 同角色用户执行所有产品功能相关的操作,测试网络隔肖产品安全功能能将绿个可审计事件 与引起该事件的用户身份相关联
记录测试结果并对该结果完全符合上述测试评价方法要求 做出判断
预期结果 b 网络隔离产品应能将绿个可审计事件与引起该事件的用户身份相关联
5.3.2.5.4审计记录管理 网络隔离产品的审计记录管理的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括评价所需的相关文档例如;产品说明书产品测试文档)
模拟授 权管理员进行审计操作,测试网络隔离产品安全功能允许授权管理员存档、删除和清空审计记 录
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
b 预期结果 网络隔离产品应能够允许授权管理员存档,删除和清空审计记录
5.3.2.5.5可理解的格式 网络隔离产品的可理解的格式的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括评价所需的相关文档例如;产品说明书产品测试文档)
审查网 络隔离产品安全功能使存储于永久性审计记录中的所有审计数据可为人所理解(至少包括能 为人理解的描述内容以及审计数据本身)
记录测试结果并对该结果是否完全符合上述测试 评价方法要求做出判断
b预期结果: 25
GB/T20277一2015 网络隔离产品应使存储于永久性审计记录中的所有审计数据可为人所理解(至少包括能为人 理解的描述内容以及审计数据本身 5.3.2.5.6 限制审计记录访问 网络隔离产品的基本的限制审计记录访问的测试评价方法和预期结果如下 测试评价方法: a 评估开发者提供的文档,是否包括评价所需的相关文档(例如,产品说明书产品测试文档)
模 拟授权与非授权管理员访问审计记录,测试网络隔离产品安全功能仅允许授权管理员访问审 计记录
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
b)预期结果: 网络隔离产品应仅允许授权管理员访问市计记录
5.3.2.5.7可选择查阅审计 网络隔离产品的可选择查阅审计的测试评价方达和预期结果如下 测试评价方法 评估开发者提供的文档是否包括评价所需的相关文档(例如:产品说明书产品测试文档)
测 试网络隔离产品安全功能是否自身提供了审计查阅工具,能够按照主体ID(标识符)、客体ID. 日期,时间进行逻辑组合对审计数据进行正确的查找和排序
记录测试结果并对该结果是否 完全符合上述测试评价方法要求做出判断
预期结果
网络隔离产品应自身提供审计查阅工具,能够按照主体ID(标识符)、客体ID、日期,时间进行 逻辑组合对审计数据进行正确的查找和排序
5.3.2.5.8防止审计数据丢失 网络隔离产品的防止审计数据丢失的测试评价方法和预期结果如下 a)测试评价方法: 1)依据开发者所提供的评价所需的相关文档(例如;产品说明书产品测试文档)进行测试 -测试网络隔离产品安全功能将生成的审计记录储存于一个永久性的审计记录中,并 限制由于故障和攻击造成的审计事件丢失的数量(测试是否提供了手段进行了限 制 -模拟审计容量大量消耗相关的操作,测试网络隔离产品在审计存储容量达到事先规 定的警戒值时发出警告信息,并保证在授权管理员所采取的审计行为以外,防止其他 可审计行为的出现
2)对因故障或存储耗竭而导致审计数据丢失的最大审计存储容量,网络隔离产品的开发者 提供相应的分析结果(审查是否估计了审计数据丢失). 记录测试结果 并 该结果是否完全符合上述测试评价方法要求做出判断
3 对 预期结果 网络隔离产品应能够将生成的审计记录储存于一个永久性的审计记录中,并限制由于故 障和攻击造成的审计事件丢失的数量(测试是否提供了手段进行了限制; 网络隔离产品应在审计存储容量达到事先规定的警戒值时发出警告信息,并保证在授权 管理员所采取的审计行为以外,防止其他可审计行为的出现 对因故障或存储耗竭而导致审计数据丢失的最大审计存储容量,网络隔离产品的开发者 应提供相应的分析结果并符合实际测试结果 26
GB/T20277一2015 5.3.2.6域隔离 5.3.2.6.1基本的域隔离 网络隔离产品的基本的域隔离的测试评价方法和预期结果如下 测试评价方法 评估开发者提供的文档,包括评价所需的相关文档例如;产品说明书产品测试文档). -网络隔离产品保护其免遭不可信主体的干扰和篡改; -网络隔离产品将控制范围内的各个主体的安全区域分割开
审查文档并且验证其真实性; 2 记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断 3 b)预期结果 网络隔离产品应能够保护其免遭不可信主体的干扰和篡改 网络隔离产品应能够将控制范围内的各个主体的安全区域分割开
2 5.3.2.6.2增强的域隔离 网络隔离产品的增强的域隔离的测试评价方法和预期结果如下 测试评价方法 a 评估开发者提供的文档,包括评价所需的相关文档例如;产品说明书产品测试文档)
测试网 络隔离产品安全功能为其自身的安全区域被标记为高安全等缓,授权管理员以及网络隔离产 品所覆盗的所有主体(内部或外部刚络上的主机)授权后只能读取该区域存储的文件、序,不 能进行删除和修改,能否采用强制访问控制策略授权管理员可以修改访间策略
记录测试结 果并对该结果是否完全符合上述测试评价方法要求做出判断
预期结果 网络隔离产安全功能应为其自身的安全区域被标记为高安全等级,授权管理员以及网络隔 离产品所覆盗的所有主体(内部或外部网络上的主机)授权后只能读取该区域荐储的文件、程 序,不能进行除和修改,应能够采用强制访问控制策略,授权管理员无法修改访问策略
5.3.2.7容错 5.3.2.7.1基本的容错 网络隔离产品的基本的容错的测试评价方法和预期结果如下 测试评价方法 a 评估开发者提供的文档,包括评价所需的相关文档例如;产品说明书产品测试文档)
测试网 络隔离产品具有主备模式的容错能力,当一台主机因电源,CPU等硬件出现故障或软件错误 导致异常时,容错功能能够将当前安全服务功能自动切换到另一台备机上继续运行,保证安全 功能的可用性
记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断
预期结果: 网络隔离产品应具有主备模式的容错能力,当一台主机因电源、CPU等硬件出现故障或软件 错误导致异常时,容错功能应能够将当前安全服务功能自动切换到另一台备机上继续运行,保 证安全功能的可用性
5.3.2.7.2增强的容错 网络隔离产品的增强的容错的测试评价方法和颜期结果如下 27
信息安全技术网络和终端隔离产品测试评价方法GB/T20277-2015
信息安全一直是企业和个人在数字化时代必须关注的重要问题之一。网络和终端隔离技术作为信息安全技术的一种重要手段,在各行各业得到了广泛应用。而如何对网络和终端隔离产品进行测试评价成为了信息安全领域一个新的挑战。
评价内容
GB/T20277-2015是我国网络和终端隔离产品测试评价的标准,该标准主要包括以下评价内容:
- 功能性能评价:即产品是否满足预期的功能需求。
- 安全性能评价:即产品是否能够有效地保护系统免受恶意攻击和未授权访问的威胁。
- 易用性评价:即产品的用户界面是否友好、易于使用。
- 可靠性评价:即产品是否能够在长期使用中保持稳定、可靠。
评价方法
GB/T20277-2015标准还规定了以下测试评价方法:
- 功能性能测试:通过对产品的功能性能进行测试,验证产品是否满足预期的功能需求。
- 安全性能测试:通过对产品的安全性能进行测试,验证产品是否能够有效地保护系统免受恶意攻击和未授权访问的威胁。
- 易用性测试:通过对产品的用户界面进行测试,验证产品是否易于使用。
- 可靠性测试:通过对产品的可靠性进行测试,验证产品是否能够在长期使用中保持稳定、可靠。
评价要求
GB/T20277-2015标准还规定了以下评价要求:
- 测试应该基于真实的场景和环境进行。
- 测试应该尽可能覆盖产品的各个方面。
- 测试应该考虑产品的适用性,即产品是否适用于不同类型的系统和应用场景。
- 测试报告应该明确、详细、易于理解。
通过GB/T20277-2015标准所规定的评价内容、方法和要求,可以更加全面、系统地对网络和终端隔离产品进行测试评价,为保护信息安全提供更加可靠的技术手段。
信息安全技术网络和终端隔离产品测试评价方法的相关资料
- 了解信息安全技术公钥基础设施证书策略与认证业务声明框架GB/T26855-2011
- 金融服务信息安全指南GB/T27910-2011解读
- 银行业务密钥管理(零售)第3部分:非对称密码系统及其密钥管理和生命周期GB/T27909.3-2011
- 银行业务密钥管理(零售)第2部分:对称密码及其密钥管理和生命周期GB/T27909.2-2011
- 信息安全技术引入可信第三方的实体鉴别及接入架构规范GB/T28455-2012
- 实验室质量控制利用统计质量保证和控制图技术评价分析测量系统的性能GB/T27407-2010
- 反垃圾信息技术要求GB/T26265-2010
- 信息技术软件资产管理:GB/T26236.1-2010
- GB/T26228.1-2010信息技术自动识别与数据采集技术条码检测仪一致性规范第1部分:一维条码
- GB/T26227-2010信息技术自动识别与数据采集技术条码原版胶片测试规范
- 网络入侵检测系统技术要求GB/T26269-2010
- 网络入侵检测系统测试方法GB/T26268-2010
- 工业环境中的通信网络安装GB/T26336-2010
- 信息技术中继组播控制协议(RMCP)第1部分:框架GB/T26243.1-2010
- 网络测量和控制系统的精确时钟同步协议GB/T25931-2010
- 信息安全技术网络和终端隔离产品安全技术要求GB/T20279-2015
- 信息安全技术网络和终端隔离产品测试评价方法GB/T20277-2015
- 稀土精矿化学分析方法第9部分:五氧化二磷量的测定磷铋钼蓝分光光度法GB/T18114.9-2010
- 工业自动化系统与集成产品数据表达与交换第56部分:集成通用资源:状态GB/T16656.56-2010
- 工业自动化系统与集成产品数据表达与交换第55部分:集成通用资源:过程与混合表达GB/T16656.55-2010
- 工业自动化系统与集成产品数据表达与交换第54部分:集成通用资源:分类和集合论GB/T16656.54-2010
- 工业自动化系统与集成产品数据表达与交换第51部分:集成通用资源:数学表达GB/T16656.51-2010
- 实验室质量控制非标准测试方法的有效性评价线性关系GB/T27408-2010
- 反垃圾信息技术要求GB/T26265-2010
- GB/T26228.1-2010信息技术自动识别与数据采集技术条码检测仪一致性规范第1部分:一维条码
- GB/T26227-2010信息技术自动识别与数据采集技术条码原版胶片测试规范
- 绝对发光强度分布的测量方法GB/T26184-2010
- 辐射度计和光度计性能评价方法GB/T26177-2010
- 畜禽饲料有效性与安全性评价全收粪法
- 畜禽饲料有效性与安全性评价强饲法
- 纺织品静电性能的评定第7部分:动态静电压GB/T12703.7-2010
- 纺织品静电性能的评定第6部分:纤维泄漏电阻GB/T12703.6-2010
- 信息安全技术网络和终端隔离产品测试评价方法GB/T20277-2015
