GB/T20279-2015
信息安全技术网络和终端隔离产品安全技术要求
Informationsecuritytechnology—Securitytechnicalrequirementsofnetworkandterminalseparationproducts
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2016-01-01
- 文件格式PDF
- 文本页数38页
- 文件大小775.80KB
以图片形式预览信息安全技术网络和终端隔离产品安全技术要求
信息安全技术网络和终端隔离产品安全技术要求
国家标准 GB/T20279一2015 代替GB/T202792006 信息安全技术网络和终端隔离产品 安全技术要求 nfomationseeuritytechnology一Seeuritytechniealrequirementsfnetworkand terminalseparationproducts 2015-05-15发布 2016-01-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/T20279一2015 目 次 前言 范围 规范性引用文件 术语和定义 网络和终端隔离产品描述 安全技术要求 5.1总体说明 5.l.l安全技术要求分类 5.1.2安全等级 5.2安全功能要求 5.2.!终端隔岗产品 5.2.2网络隔离产品 5.2.3网络单向导人产品 6 5.3安全保证要求 25 5.3.1基本级要求 25 5.3.2增强级要求 21 5.4环境适应性要求 32 5.4.1下一代互联网支持(有则适用 32 5.4.2支持IPv6过渡网络环境(可选 33 5.5性能要求 34 5.5.1交换速率 34 5.5.2硬件切换时间 34 参考文献 35
GB/T20279一2015 前 言 本标准按照GB/T1.1一2009给出的规则起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任
本标准代替GB/T20279一2006《信息安全技术网络和终端设备隔离部件安全技术要求》
本标准与GB/T202792006的主要差异如下 分类修改为终端隔离产品网络隔离产品和网络单向导人产品三类 级别统一划分为基本级和增强级; -增加了终端隔离产品、网络隔离产品和网络单向导人产品描述; 增加了下一代互联网协议支持能力的要求; 在附录中增加了技术要求基本原理,包括安全功能要求基本原理和安全保证要求基本原理
本标准由全国信息安全标准化技术委员会(SAC/TC280)提出并归口 本标准起草单位;公安部计算机信息系统安全产品质量监督检验中心、珠海经济特区伟思有限公 司,南京神易网络科技有限公司公安部第三研究所
本标准主要起草人;陆臻、顾健、俞优、李旋、邓琦、左安骥、,路文利刘斌
GB/T20279一2015 信息安全技术网络和终端隔离产品 安全技术要求 范围 本标准规定了网络和终端隔离产品的安全功能要求,安全保证要求、环境适应性要求及性能要求
本标准适用于网络和终端隔离产品的设计,开发与测试
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB17859-1999计算机信息系统安全保护划分准则 GB/T18336.32008信息技术安全技术信息技术安全性评估准则第3部分;安全保证 要求 GB/T25069一2010信息安全技术术语 术语和定义 (GB17859一1999和GB/T25069-2010界定的以及下列术语和定义适用于本文件
3.1 安全域seeuritydomain 具有相同的安全保护需求和相同安全策略的计算机或网络区域
3.2 物理断开physiealdiscomnection 处于不同安全域的网络之间不能以直接或间接的方式相连接
注:在一个物理网络环境中,实施不同安全域的网络物理断开,在技术上应确保信息在物理传导、物理存储上的断开
3.3 协议转换protocolconversion" 协议的剥离和重建
在所属某一安全域的隔离产品一端,把基于网络的公共协议中的应用数据剥 离出来,封装为系统专用协议传递至所属其他安全域的隔离产品另一端,再将专用协议剥离,并封装成 需要的格式
3.4 协议隔离protocolseparation 处于不同安全域的网络在物理上是有连接的,通过协议转换的手段保证受保护信息在逻辑上是隔 离的,只有被系统要求传输的、内容受限的信息可以通过
3.5 信息摆渡informationferry 信息交换的一种方式,物理传输信道只在传输进行时存在
注:信息传输时,信息先由信息源所在安全域一端传输至中间缓存区域,同时物理断开中间缓存区域与信息目的所 在安全域的连接;随后接通中间缓存区域与信息目的所在安全域的传输信道,将信息传输至信息目的所在安全
GB/T20279一2015 域,同时在信道上物理断开信息源所在安全域与中间缓存区域的连接
在任一时刻,中间缓存区域只与一端安 全域相连 3.6 单向传输部件unilateraltransmissionunit -对具有物理上单向传输特性的传输部件,该传输部件由一对独立的发送和接收部件构成,发送和 接收部件只能以单工方式工作,发送部件仅具有单一的发送功能,接收部件仅具有单一的接收功能,两 者构成可信的单向信道,该信道无任何反馈信息
3.7 终端隔离产品terminalseparationproduet 同时连接两个不同安全域,采用物理断开技术在终端上实现安全域物理隔离的安全隔离卡或安全 隔离计算机
3.8 网络隔离产品networkseparationproduet 位于两个不同安全域之间,采用协议隔离技术在网络上实现安全域安全隔离与信息交换的产品
3.g 网络单向导入产品networkunilateraltransmissionproduct 位于两个不同安全域之间,通过物理方式构造信息单向传输的唯一通道,实现信息单向导人,并且 保证只有安全策略允许传输的信息可以通过,同时反方向无任何信息传输或反馈
网络和终端隔离产品描述 网络和终端隔离产品从形态和功能上可以划分为终端隔离产品、网络隔离产品和网络单向导人产 品三类,目的是在不同的网络终端和网络安全域之间建立安全控制点,实现在不同的网络终端和网络安 全域之间提供访问可控的服务
此外,适用于下一代互联网网络环境的网络和终端隔离产品的协议栈 除支持IPv4技术外,还应支持IPv6以及IPv4/IPv6过渡技术
网络和终端隔离产品保护的资产是受安全策略保护的网络服务和资源等,此外,网络和终端隔离产 品本身及其内部的重要数据也是受保护的资产 图1为终端隔离产品的一个典型运行环境
终端隔离产品一般以隔离卡的方式接人目标主机,隔 离卡通过电子开关以互斥的形式同时连通安全域A所连的硬盘1和安全域A,或者安全域B所连的硬 盘2和安全域B,从而实现内外两个安全域的物理隔离
该类产品也可将隔离卡整合人主机以整机的 形式作为产品
Pc 安全域A cP 硬盘" 硬盘2 主板 双硬盘隔离卡 安全域B 图1终端隔离产品典型运行环境
GB/T20279一2015 图2为网络隔离产品的一个典型运行环境
网络隔离产品一般以二主机加专用隔离部件的方式组 成,即由内部处理单元,外部处理单元和专用隔离部件组成
其中,专用隔离部件既可以是采用包含电 子开关并固化信息摆渡控制逻辑的专用隔离芯片构成的隔离交换板卡,也可以是经过安全强化的运行 专用信息传输逻辑控制程序的主机
网络隔离产品用于连接两个不同的安全域,实现两个安全域之间 应用代理服务,协议转换、信息流访问控制内容过滤和信息交换等功能
网络隔离产品中的内、外部处 理单元通过专用隔离部件相连,专用隔离部件是两个安全域之间唯一的可信物理信道
该内部信道裁 剪了TCP/AIP等公共网络协议栈,采用私有协议实现协议隔离
在一些安全性要求较低而实时性要求 较高的场合,专用隔离部件采用私有协议以逻辑方式实现协议隔离和信息传输
在一些安全性要求较 高而实时性要求相对较低的场合,专用隔离部件还会采用一组互斥的分时切换电子开关实现内部物理 信道的通断控制,以分时切换连接方式完成信息摆渡,从而在两个安全域之间形成 一个不存在实时物理 连接的隔离区 安个域 安全城B 网络隔离产品 客户端 服务器 图2网络隔离产品典型运行环境 图3为网络单向导人产品的一个典型运行环境
网络单向导人产品一般以双机方式组成,即数据 发送处理单元和数据接收处理单元,双机之间采用单向传输部件相连
网络单向导人产品部署在两个 的安全域之间,其中,数据发送处理单元网络接口连接信息发送方安全域A,数据接收处理单元网络接 口连接接收信息接收方安全域B,信息流由发送数据的安全域A单向流人接收数据的安全域B
单向 -的单向传输通道,数据在这个通道中只能 沿数据发送处理单元向数据接收处理单元方向的可信路径单向传输,无任何反馈信号
单向传输部件 由一对单向接收部件和单向发送部件构成,单向发送部件安装在数据发送处理单元中,单向接收部件安 装在数据接收处理单元中
单向传输部件的单向物理传输特性固化不可修改,任何软件配置、物理跳线 等方式都不能更改其部件的单向传输特性以及传输方向,从而实现数据单向导人的可靠性
例:光通信,数据发送处理单元使用光发送模块,数据接收处理单元使用光接收模块,单向传输通道 使用单根光纤,实现数据单向传输
安全域B 安全域 网络单向导入产品 信息接收方 信息发送方 图3网络单向导入产品典型运行环境
GB/T20279一2015 安全技术要求 5.1 总体说明 5.1.1安全技术要求分类 本标准将网络和终端隔离产品安全技术要求分为安全功能、安全保证、环境适应性和性能要求四个 大类
其中,安全功能要求是对网络和终端隔离产品应具备的安全功能提出具体要求,终端隔离产品具 体要求包括访问控制、不可旁路和客体重用,网络隔离产品具体要求包括访问控制、抗攻击、安全管理、 标识和鉴别审计、域隔离、容错,数据完整性和密码支持,网络单向导人产品具体要求包括访问控制、抗 攻击、安全管理、标识和鉴别,审计,域隔离、配置数据保护和运行状态监测;安全保证要求针对网络和终 端隔离产品的开发和使用文档的内容提出具体的要求,例如配置管理、交付和运行、开发和指导性文档 等;环境适应性要求是对网络和终端隔离产品的应用环境提出具体的要求;性能要求则是对网络和终端 隔离产品应达到的性能指标做出规定,包括交换速率和硬件切换时间
5.1.2安全等级 本标准按照网络和终端隔离产品安全功能的强度划分安全功能要求的级别,按照GB/T18336.3 2008划分安全保证要求的级别
安全等级分为基本级和增强级,安全功能的强弱和安全保证要求的高 低是等级划分的具体依据
安全等级突出安全特性,环境适应性要求和性能要求不作为等级划分依据
与基本级内容相比,增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示
5.2安全功能要求 5.2.1终端隔离产品 5.2.1.1基本级要求 5.2.1.1.1 访问控制 5.2.1.1.1.1 安全属性定义 对于信息存储与传输部件(主要是处于不同安全域的存储设备、,网络接人设备),终端隔离产品应为 一的,为了执行安全功能策略所必需的安全属性 其设定唯 5.2.1.1.1.2属性修改 终端隔离产品的安全功能应包含向终端设备授权用户提供修改与安全相关属性的参数的功能 5.2.1.1.1.3属性查询 终端隔离产品的安全功能应包含向终端设备授权用户提供安全属性查询的功能
5.2.1.1.1.4访问授权与拒绝 终端隔离产品的安全功能应包含对被隔离的计算机信息资源提供明确的访问保障能力和访问拒绝 能力
在技术上确保 在信息物理传输上使内外安全域隔断,确保外部安全域不能通过网络连接侵人内部安全域;同 a 时阻止内部安全域信息通过网络连接泄露到外部安全域 b)在信息物理存储上隔断两个网络环境,对于断电后会逸失信息的部件,如内存、寄存器等暂存
GB/T20279一2015 部件,要在网络转换时作清零处理,防止遗留信息窜网;对于断电后不会逸失信息的设备,如磁 带机,硬盘等存储设备,内部安全域与外部安全域信息要以不同存储设备分开存储;对移动存 储介质,如光盘、软盘、USB存储设备等,应在安全域转换前提示用户干预或禁止在双安全域 都能使用这些设备
5.2.1.1.1.5切换信号一致性 对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能应由同一信号对隔离的计算机 信息资源进行切换,确保一致性 5.2.1.1.1.6口令保护 对被隔离的计算机信息资源进行切换时.终端隔离产品的安全功能应保证用户必须输人切换口令 5.2.1.1.1.7内存及USB端口的物理隔离 若终端隔离产品以整机隔离系统的形态存在,终端隔离产品的安全功能应在物理上隔离内存及所 有UsB端口,确保所有的存储设备都是物理上隔断,从物理上保证数据安全性
5.2.1.1.2不可旁路 在与安全有关的操作(例如安全属性的修改)被允许执行之前,终端隔离产品安全功能应确保其通 过安全功能策略的检查
客体重用 5.2.1.1.3 在为所有内部或外部网络上的主机连接进行资源分配时,终端隔离产品安全功能应保证不提供以 前连接的任何信息内容
5.2.1.2增强级要求 5.2.1.2.1访问控制 5.2.1.2.1.1安全属性定义 对于信息存储与传输部件(主要是处于不同安全域的存储设备、网络接人设备),终端隔离产品应为 其设定唯一的,为了执行安全功能策略所必需的安全属性
5.2.1.2.1.2属性修改 终端隔离产品安全功能应向终端设备授权用户提供修改与安全相关属性的参数的功能
5.2.1.2.1.3属性查询 终端隔离产品安全功能应向终端设备授权用户提供安全属性查询的功能
5.2.1.2.1.4访问授权与拒绝 终端隔离产品的安全功能应对被隔离的计算机信息资源提供明确的访问保障能力和访问拒绝能 力
在技术上确保 在信息物理传输上使内外安全域隔断,确保外部安全域不能通过网络连接侵人内部安全域;同 时阻止内部安全域信息通过网络连接泄露到外部安全域; b在信息物理存储上隔断两个网络环境,对于断电后会逸失信息的部件,如内存、寄存器等暂存
GB/T20279一2015 部件,要在网络转换时作清零处理,防止遗留信息窜网;对于断电后不会逸失信息的设备,如磁 带机,硬盘等存储设备,内部安全域与外部安全域信息要以不同存储设备分开存储;对移动存 储介质,如光盘、软盘、USB存储设备等,应在安全域转换前提示用户干预或禁止在双安全域 都能使用这些设备
5.2.1.2.1.5网络非法外联 终端隔离产品的安全功能应保证用户在内网状态下,随时监测用户网络是否与互联网相连接,一旦 发现则立即禁用网络并给出报警,确保内网安全
5.2.1.2.1.6切换信号一致性 对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能应由同一信号对隔离的计算机 信息资源进行切换,确保一致性
5.2.1.2.1.7硬盘非法调换 终端隔离产品的安全功能应在初始安装时对对应网络的硬盘进行唯一标识,保证硬盘与网络 对应,确保内网硬盘数据的安全
5.2.1.2.1.8口令保护 对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能应保证用户必须输人切换口令 5.2.1.2.1.9内存及UUSB端口的物理隔离 若终端隔离产品以整机隔离系统的形态存在,终端隔离产品的安全功能应在物理上隔离内存及所 有UsB端口,确保所有的存储设备都是物理上隔断,从物理上保证数据安全性
5.2.1.2.2不可旁路 在与安全有关的操作(例如安全属性的修改)被允许执行之前,终端隔离产品安全功能应确保其通 过安全功能策略的检查
客体重用 5.2.1.2.3 在为所有内部或外部网上的主机连接进行资源分配时,终端隔离产品安全功能应保证不提供以前 连接的任何信息内容
5.2.2网络隔离产品 5.2.2.1基本级要求 5.2.2.1.1 访问控制 基本的信息流控制策略 5.2.2.1.1.1 针对对主体、客体以及经过网络隔离产品的主客体之间的所有操作,网络隔离产品应能够执行以下 端到端基本的信息流控制策略 所有主客体之间发送和接收的信息流均执行网络层协议剥离,还原成应用层数据 a b主客体之间发送和接收的信息流均经过安全策略允许后传输 授权管理员通过独立的管理接口,经过身份验证后,授权管理员与网络隔离产品间发送的管理 c
GB/T20279一2015 信息经过安全策略允许后传输
5.2.2.1.1.2基本的信息流控制功能 网络隔离产品的安全功能策略应能够执行以下基本的信息流控制功能,提供明确的访问保障能力 和拒绝访问能力
包括: 通过配置访问控制列表进行信息流控制,访问控制列表的元素包括;源IP地址、目的IP地址、 源端口、目的端口,协议号; 对经过的HTTP,FTP,SMTP,POP3等应用协议信息流进行合规性检查; b) e)对经过的HTTP,FTP,SMTP,POP3等应用协议信息流的协议信令及参数关键字进行过滤 d)对经过的HTTP,FTP,SMTP,POP3等应用协议信息流中的内容包括文件附件进行关键字 过滤; 通过协议隔离方式断开内部TCP/IP连接,完成信息传输
5.2.2.1.1.3残余信息保护 网络隔离产品在为所有内部或外部网上的主机连接进行资源分配时,网络隔离产品安全功能应保 证其分配的资源中不提供以前连接话动中所产生的任何信息内容 5.2.2.1.1.4不可旁路 在与安全有关的操作(例如安全属性的修改、内部网络主机向外部网络主机传送信息等)被允许执 行之前,网络隔离产品安全功能应确保其通过安全功能策略的检查
5.2.2.1.2抗攻击 网络隔离产品应能够抵御各种Dos/DDoS攻击,应能够识别和防御sYNFlood,ICMPFlood等 攻击
5.2.2.1.3安全管理 5.2.2.1.3.1区分安全管理角色 网络隔离产品安全功能: a)应将与安全相关的管理功能与其他功能区分开; b应包括安装、配置和管理隔离产品安全功能本身所需的所有功能,其中至少应包括;增加和删 除主体(发送信息的主机)和客体(接受信息的主机),查阅安全属性,分配、修改和撤销安全属 性,查阅和管理审计数据; 应把执行与安全相关的管理功能的能力限定为一种安全管理职责,该职责具有一套特别授权 的功能和响应的责任 d)应能把授权执行管理功能的授权管理员与使用隔离产品的所有其他个人或系统分开; 应仅允许授权管理员承担安全管理职责, e 应在提出一个明确的请求以后,才会让授权管理员承担安全管理职责
5.2.2.1.3.2管理功能 网络隔离产品安全功能应向授权管理员提供如下管理功能 设置和更新与安全相关的数据; b执行隔离产品的安装及初始化、系统启动和关闭、备份和恢复功能,备份能力应有自动工具的
GB/T20279一2015 支持; 设置双机热备或负载均衡等可用性参数 c d)若隔离产品安全功能支持外部或内部接口的远程管理,应 1 有对两个接口或其中之一关闭远程管理的选择权; 2) 限制可进行远程管理的地址; 3) 通过加密来保护远程管理会话
5.2.2.1.3.3独立管理接口 网络隔离产品应使用与通讯接口相互独立的管理接口与授权管理员连接,授权管理员经过身份鉴 别后,采用多因素身份鉴别和加密方式建立授权管理员与网络隔离产品间的可信路径,禁止其他用户非 授权访问管理接口
5.2.2.1.4标识和鉴别 5.2.2.1.4.1基本安全属性定义 对于每一个授权管理员,网络隔离产品安全功能应为其提供一套唯一的、为了执行安全功能策略所 必需的基本安全属性
包括但不限于 设备网络参数.包括接口地址.,网关地址等; a 设备接口属性;接口类型(例如管理接口,通信接口),接口速率等 b 安全管理参数;管理控制台地址、管理方式(例如;SSH.SsSL)等; c D 安全参数:最大鉴别失败次数等; 外部可信IT产品参数配置:包括时间同步服务器参数、日志服务器参数等; 系统参数:日志存储空间大小,设备名称等; 用户角色属性:授权管理员、授权审计员、授权用户等; 用户管理属性;用户名、用户角色、用户口令等; 主机地址:源主机地址、目的主机地址; 服务端口 使用时间或时间段 k 内容关键字
5.2.2.1.4.2属性初始化 网络隔离产品的安全功能应包含使用默认值对授权管理员和主机属性初始化的功能 5.2.2.1.4.3属性修改 网络隔离产品安全功能应仅向授权管理员提供修改下述(包含但不仅限于)参数的功能 a)标识与角色(例如;配置管理员等)的关系 b)源地址、目的地址、传输层协议和请求的服务(例如;源端口号或目的端口号等访问控制属性); 配置的安全参数(例如;最大鉴别失败次数等数据)
5.2.2.1.4.4属性查询 网络隔离产品安全功能应仅向授权管理员提供以下查询功能 源地址、目的地址、传输层协议和请求的服务(例如源端口号或目的端口号等访问控制属性); a b)关键字;
GB/T20279一2015 通过网络隔离产品传送信息的主机信息 5.2.2.1.4.5鉴别数据初始化 网络隔离产品安全功能应根据规定的鉴别机制,提供授权管理员鉴别数据的初始化功能,并确保仅 允许授权管理员使用这些功能 5.2.2.1.4.6鉴别时机 在所有授权管理员请求执行的任何操作之前,网络隔离产品安全功能应确保对每个授权管理员进 行身份鉴别
5.2.2.1.4.7最少反馈 当进行鉴别时,网络隔离产品安全功能应仅将最少的反馈提供给用户
5.2.2.1.4.8鉴别失败处理 在经过一定次数的鉴别失败以后,网络隔离产品安全功能应能终止进行登录尝试主机建立会话的 过程
最多失败次数仅由授权管理员设定
5.2.2.1.5审计 5.2.2.1.5.1审计数据生成 网络隔离产品安全功能应能对下列可审计事件生成一个审计记录,包括事件发生的日期和时间,事 件的类型,主体身份和成功或失败事件等信息 a)审计功能的启动和关闭 b任何对审计记录进行操作的尝试,包括关闭审计功能或子系统,以及受影响客体的标识 o任何读取、修改、破坏审计记录的尝试 所有对隔离产品规则覆盖的客体(内部或外部网络上的主机)执行操作的请求.,以及受影响客 d 体的标识; 修改安全属性的所有尝试,以及修改后安全属性的新值; e 所有使用安全功能中鉴别数据管理机制的请求 fD g)所有访问鉴别数据的请求,以及访问请求的目标; h)任何对鉴别机制的使用 所有使用标识机制的尝试; 所有对安全功能配置参数的修改(设置和更新),无论成功与否,以及配置参数的新值; 因鉴别尝试不成功的次数超出了设定的限制,导致的会话连接终止,以及会话连接使用的标 识符
审计记录管理 5.2.2.1.5.2 网络隔离产品安全功能应使授权管理员能存档,删除和清空审计记录
5.2.2.1.5.3可理解的格式 网络隔离产品安全功能应使存储于永久性审计记录中的所有审计数据可为人所理解
5.2.2.1.5.4限制审计记录访问 网络隔离产品安全功能应仅允许授权管理员访间审计记录
GB/T20279一2015 5.2.2.1.5.5可选择查阅审计 网络隔离产品安全功能应提供按主体ID,客体ID,日期、时间以及这些参数的逻辑组合等参数对审 计数据进行查找和排序的审计查阅工具
5.2.2.1.5.6防止审计数据丢失 对因故障或存储耗竭而导致审计数据丢失的最大审计存储容量,网络隔离产品的开发者应提供相 应的分析结果
并且网络隔离产品安全功能 应把生成的审计记录储存于一个永久性的审计记录中,并限制由于故障和攻击造成的审计事 件丢失的数量; b -且审计存储容量达到事先规定的警戒值,应能发出警告信息,并保证在授权管理员所采取的 审计行为以外,防止其他可审计行为的出现
5.2.2.1.6域隔离 为保护网络隔离产品安全功能免遭不可信主体(内部或外部网络上的主机)的干扰和篡改,网络隔 离产品安全功能应为其自身的执行环境设定一个安全区域,并把网络隔离产品控制范围内的各个主体 内部或外部网络上的主机)的安全区域分隔开
5.2.2.1.7容错 网络隔离产品应具有主备模式的容错能力,当一台主机因电源,CPU等硬件出现故障或软件错误 导致异常时,容错功能将当前安全服务功能自动切换到另一台备机上继续运行,保证安全功能的可 用性
5.2.2.1.8数据完整性 网络隔离产品安全功能应保护储存于设备中的鉴别数据和信息传输策略不受未授权查阅、修改和 破坏
5.2.2.1.9密码支持 网络隔离产品安全功能应保证其所提供的与密码算法相关功能符合国家密码主管部门的有关 规定
5.2.2.2增强级要求 5.2.2.2.1访问控制 5.2.2.2.1.1增强的信息流控制策略 针对主体、客体以及经过网络隔离产品的主客体之间的所有操作,网络隔离产品的信息流控制策略 应能够执行以下端到端增强的信息流控制策略 所有主客体之间发送和接收的信息流均执行网络层协议剥离,还原成应用层数据,包括应用层 携带的较大的附件,例如大于20M的邮件附件; b)主体与客体通讯之前需对主体授权用户进行基于用户名/口令、数字i证书的多因素身份验i证 通过验证后,主宰体之间发送和接收的信息流均经过安全策略控制允许后传输; 授权管理员通过独立的管理接口,经过身份鉴别后,授权管理员与网络隔离产品间发送的管理 信息经过安全策略允许后传输 10o
GB/T20279一2015 5.2.2.2.1.2增强的信息流控制功能 网络隔离产品的安全功能策略应能够执行以下增强的信息流控制功能,提供明确的访问保障能力 和拒绝访问能力
包括 通过配置访问控制列表进行信息流控制,访问控制列表的元素包括源IP地址、目的IP地址、 源端口、目的端口、协议号; 对经过的HrP,FIP,SIP,PoP3,soLRSIP,sIP等应用协议信息流进行合规性检查 b 对经过的HrTP,FIPSTP,PoP3、SoL、,RSTPsIP等应用协议信息流的协议信令及参数关 键字进行过滤 配置文件同步任务,根据网络隔离产品上配置的同步务参数,从源主桃读取文件摆渡传输到 目的主桃实现文件同步 配置数据库同步任务,根据网络隔离产品上配置的同步任务参数,从源主机数据库读取数据、 还原成文件后摆渡传输到另一端网络后写入目的主机数据库,实现数据库同步; 识别主体的应用类型,并通过访问应用控制列表进行信息流控制,禁止非授权应用访问客体 fD 应断开ICP/IP连接对内外网数据传输链路进行物理上的时分切换,即内外网络在物理链路 上不能同时与专用隔离部件连通,并完成信息摆渡
5.2.2.2.1.3强制访问控制 网络隔离产品安全功能应通过授权管理员和授权管理员控制的安全功能数据的敏感标记,控制授 权管理员对相关安全功能数据的直接访问. 5.2.2.2.1.4残余信息保护 网络隔离产品在为所有内部或外部网络上的主机连接进行资源分配时,网络隔离产品安全功能应 保证其分配的资源中不提供以前连接活动中所产生的任何信息内容
5.2.2.2.1.5不可旁路 在与安全有关的操作(例如安全属性的修改、内部网络主机向外部网络主机传送信息等)被允许执 行之前,网络隔离产品安全功能应确保其通过安全功能策略的检查
5.2.2.2.2抗攻击 网络隔离产品应能够抵御各种Dos/DDoS攻击,应能够识别和防御sYNFlood,IcCMPFlood等 攻击
安全管理 5.2.2.2.3 区分安全管理角色 5.2.2.2.3.1 网络隔离产品安全功能 应将与安全相关的管理功能与其他功能区分开; a b)应包括安装、配置和管理隔离产品安全功能本身所需的所有功能,其中至少应包括,增加和删 除主体(发送信息的主机)和客体(接受信息的主机),查阅安全属性分配、修改和撤销安全属 性,查阅和管理审计数据; 应把执行与安全相关的管理功能的能力限定为一种安全管理职责,该职责具有一套特别授权 的功能和响应的责任;
GB/T20279一2015 d)应能把授权执行管理功能的授权管理员与使用隔离产品的所有其他个人或系统分开; 应仅允许授权管理员承担安全管理职责 e f)应在提出一个明确的请求以后,才会让授权管理员承担安全管理职责
5.2.2.2.3.2管理功能 网络隔离产品安全功能应向授权管理员提供如下管理功能 a)设置和更新与安全相关的数据 b) 执行隔离产品的安装及初始化、系统启动和关闭、备份和恢复功能,备份能力应有自动工具的 支持 c)设置双机热备或负载均衡等可用性参数; d)如果隔离产品安全功能支持外部或内部接口的远程管理,则应 1有对两个接口或其中之一关闭远程管理的选择权; 2)限制可进行远程管理的地址; 3)通过加密来保护远程管理会话
5.2.2.2.3.3独立管理接口 网络隔离产品应使用与通讯接口相互独立的管理接口与授权管理员连接,授权管理员经过身份鉴 别后,采用多因素身份鉴别和加密方式,建立授权管理员与网络隔离产品间的可信路径,禁止其他用户 非授权访问管理接口
5.2.2.2.4标识和鉴别 5.2.2.2.4.1敏感标记 网络隔离产品安全功能应维护授权管理员可直接访问的网络隔离产品中安全功能相关数据的敏感 标记
5.2.2.2.4.2基本安全属性定义 对于每一个授权管理员,网络隔离产品安全功能应为其提供一套唯一的为了执行安全功能策略所 必需的基本安全属性
包括但不限于 a)设备网络参数;包括接口地址、网关地址等; b 设备接口属性;接口类型例如;管理接口,通信接口),接口速率等; e)安全管理参数管理控制台地址、管理方式(例如SSH、SSL.)等; d)安全参数:最大鉴别失败次数 外部可信IT产品参数配置;包括时间同步服务器参数、日志服务器参数等; f 系统参数:日志存储空间大小,设备名称等; 用户角色属性;授权管理员、授权审计员,授权用户等; g h用户管理属性;用户名、用户角色、用户口令等; 主机地址;源主机地址、目的主机地址等; i 服务端口 k 使用时间或时间段; 内容关键字
5.2.2.2.4.3增强的安全属性定义 对于每一个授权管理员,网络隔离产品安全功能应为其提供一套唯一的为了执行安全功能策略提 12
GB/I20279一2015 供的增强的安全属性
包括但不限于: a)协议号:CP,UDP; b 应用协议;例如rP,FIP,SMP,ISP笠; e)应用类型;例如FIP客户滥QQ,.MISN,迅雷停 d)数据库同步参数;数据库类型,源数据库地址、目的数据库地址、同步方式(例如;增量同步、定 时同步、全表同步)、源数撮库账号/口令、目的数撮库账号/口令、源数据库表名、目的数据库 表名 文件同步参数.源文件服务器地址、目的文件服务器地址、梦、日令$ 5.2.2.2.4.4属性初始化 网络隔离产品安全功能应提供使用默认值对授权管理员和主机属性初始化的功能 5.2.2.2.4.5属性修改 网络隔离产品安全功能应仅向授权管理员提供修改下述(包含但不仅限于)参数的功能 标识与角色(例如;配置管理员等)的关系, a b源地址、目的地址、传输层协议和请求的服务例如源端口号或目的端口号等访问控制属性) 配置的安全参数(例如;最大鉴别失败次数等数据)
5.2.2.2.4.6属性查询 网络隔离产品安全功能应仅向授权管理员提供以下查询功能" a)源地址、目的地址、传输层协议和请求的服务(例如:源端口号或目的端口号等访问控制属性); b)关键字 通过网络隔离产品传送信息的主机信息
5.2.2.2.4.7鉴别数据初始化 网络隔离产品安全功能应根据规定的鉴别机制,提供授权管理员鉴别数据的初始化功能,并确保仅 允许授权管理员使用这些功能
5.2.2.2.4.8鉴别时机 在所有授权管理员请求执行的任何操作之前,网络隔离产品安全功能应确保对每个授权管理员进 行身份鉴别
5.2.2.2.4.9最少反馈 当进行鉴别时,网络隔离产品安全功能应仅将最少的反馈提供给用户
5.2.2.2.4.10多鉴别机制 网络隔离产品安全功能应提供多因素的鉴别机制以支持用户多鉴别,其中,至少应包含以下不可共 用的鉴别数据中的一种 USBKEY密码钏匙; a 生物指纹 b 次性口令; c d)数字证书 13
GB/T20279一2015 5.2.2.2.4.11鉴别失败处理 在经过一定次数的鉴别失败以后,网络隔离产品安全功能应能终止进行登录尝试主机建立会话的 过程
最多失败次数仅由授权管理员设定
5.2.2.2.4.12抗重放 网络隔离产品的鉴别机制应具有抗重放的能力,授权管理员及其他用户不能复制使用上一次通过 的鉴别信息再次鉴别成功
5.2.2.2.4.13受保护的鉴别反馈 网络隔离产品的授权管理员在鉴别过程中输入的口令停敏感信息应以不可见和不可推理的形式显 示在鉴别信息的登录输入界面中 5.2.2.2.4.14口令强度 网络隔离产品应采用口令校验机制对授权管理员生成的口令复杂度进行检查,口令强度应保证口 令长度大于6位,口令类型为数字十大小写字母组合
5.2.2.2.5审计 5.2.2.2.5.1审计数据生成 网络隔离产品安全功能应能对下列可审计事件生成一个审计记录,包括事件发生的日期和时间,事 件的类型,主体身份和成功或失败事件等信息 a审计功能的启动和关闭; b 任何对审计记录进行操作的尝试,包括关闭审计功能或子系统,以及受影响客体的标识 c 任何读取、修改,破坏审计记录的尝试 d)所有对隔离产品规则覆盖的客体(内部或外部网络上的主机)执行操作的请求,以及受影响客 体的标识; 修改安全属性的所有尝试,以及修改后安全属性的新值 所有使用安全功能中鉴别数据管理机制的请求; g)所有访问鉴别数据的请求,以及访问请求的目标 任何对鉴别机制的使用 所有使用标识机制的尝试 所有对安全功能配置参数的修改(设置和更新),无论成功与否,以及配置参数的新值; 因鉴别尝试不成功的次数超出了设定的限制,导致的会话连接终止,以及会话连接使用的标 识符
5.2.2.2.5.2安全审计分析 网络隔岗产品安全功能应提供以下统计分析功能 所有隔离产品规则覆盖的主体(内部或外部网络上的主机)对客体执行操作时使用的应用分类 a 统计; 网络陌岗产品总应用诫量,每个应用类别流量的统计 b c 网络隔离产晶CPU,内存、磁盘占用率的统计; d)在线用户列表及在线用户时长的统让 14
GB/T20279一2015 5.2.2.2.5.3用户身份关联 网络隔离产品安全功能应能将每个可审计事件与引起该事件的用户身份相关联
5.2.2.2.5.4审计记录管理 网络隔离产品安全功能应使授权管理员能存档、删除和清空审计记录
5.2.2.2.5.5可理解的格式 网络隔离产品安全功能应使存储于永久性审计记录中的所有审计数据可为人所理解
5.2.2.2.5.6限制审计记录访问 网络隔离产品安全功能应仅允许授权管理员访问审计记录
可选择查阅审计 5.2.2.2.5.7 网络隔离产品安全功能应提供能按主体ID客体ID,日期,时间以及这些参数的逻辑组合等参数对 审计数据进行查找和排序的审计查阅工具
5.2.2.2.5.8防止审计数据丢失 对因故障或存储耗竭而导致审计数据丢失的最大审计存储容量,网络隔离产品的开发者应提供相 应的分析结果
并且网络隔离产品安全功能 应把生成的审计记录储存于一个永久性的审计记录中,并应限制由于故障和攻击造成的审计 a 事件丢失的数量 -旦审计存储容量达到事先规定的警戒值,应能发出警告信息,并保证在授权管理员所采取的 b 审计行为以外,防止其他可审计行为的出现
5.2.2.2.6域隔离 5.2.2.2.6.1基本的域隔离 为保护网络隔离产品安全功能免遭不可信主体(内部或外部网络上的主机)的干扰和篡改,网络隔 离产品安全功能应为其自身的执行环境设定一个安全区域,并把网络隔离产品控制范围内的各个主体 内部或外部网络上的主机)的安全区域分隔开
5.2.2.2.6.2增强的域隔离 为保护网络隔离产品安全功能免遭不可信主体(内部或外部网络上的主桃)的干扰和篡改,网络惭 离产品安全功能应为其自身的行环境设定一个安全区域,该安全区域被标记为高安全等级,授权管理 员以及网络隔离产品所覆盖的所有主体内部或外部网络上的主机)授权后只能读取该区域存储的文 件、程序,不能进行删除和修改,采用强制访问控制策略,授权管理员无法修改访问策略
5.2.2.2.7容错 5.2.2.2.7.1基本的容错 网络隔离产品应具有主备模式的容错能力,当一台主机因电源,CPU等硬件出现故障或软件错误 导致异常时,容错功能将当前安全服务功能自动切换到另一台备机上继续运行,保证安全功能的可 用性 15
GB/T20279一2015 5.2.2.2.7.2增强的容错 网络隔离产品应具有主主模式的容错能力,两台主机同时对内部和外部网络提供安全服务功能,当 台主机闪电源CPU邻硬件出现故障或软件错误导致异常时,另-台主机继鳞提供安全服务功能,保 i证安全功能的可用性 5.2.2.2.8数据完整性 网络隔离产品安全功能应保护储存于设备中的鉴别数据和信息传输策略不受未授权查阅、修改和 破坏
5.2.2.2.9密码支持 网络隔离产品安全功能应保证其所提供的与密码算法相关功能符合国家密码主管部门的有关 规定
5.2.3网络单向导入产品 5.2.3.1基本级要求 5.2.3.1.1 访问控制 5.2.3.1.1.1信息流控制策略 网络单向导人产品应将数据发送方网络信息流剥离协议,重新封装后单向导人信息接收方网络目 的主机 5.2.3.1.1.2基本的信息流控制功能 网络单向导人产品的安全功能策略应能够执行以下基本的信息流控制功能,提供明确的访问保障 能力和拒绝访问能力
包括 通过配置单向同步任务的安全属性值,实现明确的源数据向目标数据的单向导人,缺省情况 a 下,网络单向导人产品拒绝任何数据的单向导人; 信息流所包含的源主机IP地址、目的主机IP地址、服务类型不匹配单向同步任务安全属性值 的,明确拒绝访问; 对单向导人的数据内容进行病毒扫描,阻断含病毒数据的导人 d)对单向导人的数据内容进行关键字检查,阻断非法数据的导人; 对发送和接收数据流的主体进行身份鉴别,防止非法数据访问 支持文件单向导人、数据库单向导人等服务类型
fD 5.2.3.1.1.3单向传输保证 网络单向导人产品安全功能应通过物理方式构造信息单向传输的唯一通道,实现信息单向导人,即 信息只能由一个安全域向另一个安全域传输,并且保证反方向无任何信息传输或反馈
单向传输部件 数据发送单元只具有单一的数据发送功能,数据接收单元只具有单一的数据接收功能,不存在可能导致 物理特性改变的软、硬件
5.2.3.1.1.4残余信息保护 网络单向导人产品在为新创建的单向同步任务分配资源时,安全功能应保证其分配的资源中不提 16
GB/T20279一2015 供以前单向同步任务所产生的任何信息内容
5.2.3.1.1.5不可旁路 在与安全有关的操作(例如安全属性的修改、同步任务的建立等)被允许执行之前,网络单向导人产 品安全功能应确保其通过安全策略的检查
5.2.3.1.1.6数据完整性保证 网络单向导人产品应具备数据单向导人过程的完整性保护功能,在没有任何反馈信息的前提下,保 证单向导人的数据完整性
5.2.3.1.2抗攻击 网络单向导人产品应能够抵御各种Dos/DDoS攻击,应能够识别和防御sYNFlood,ICMPFlood 等攻击
安全管理 5.2.3.1.3 5.2.3.1.3.1区分安全管理角色 网络单向导人产品安全功能 a)应将与安全相关的管理功能与其他功能区分开; b)应包括安装、配置和管理网络单向导人产品安全功能本身所需的所有功能,其中至少应包括 增加和删除主体(发送信息的主机)和客体(接受信息的主机),查阅安全属性,分配、修改和撤 销安全属性,查阅和管理审计数据 应把执行与安全相关的管理功能的能力限定为一种安全管理职责,该职责具有一套特别授权 的功能和响应的责任; d)应能把授权执行管理功能的授权管理员与使用隔离部件的所有其他个人或系统分开; 应仅允许授权管理员承担安全管理职责 应在提出一个明确的请求以后,才会让授权管理员承担安全管理职责 fD 5.2.3.1.3.2管理功能 网络单向导人产品安全功能应向授权管理员提供如下管理功能 a)设置和更新与安全相关的数据 b) 能执行网络单向导人产品的初始化、系统启动和关闭、备份和恢复功能,备份能力应有自动工 具的支持 能设置双机热备等可用性参数; c 若支持远程管理,则应: d 能限制可进行远程管理的地址; 1 能通过加密来保护远程管理会话
2 5.2.3.1.3.3独立管理接口 网络单向导人产品应使用与通讯接口相互独立的管理接口与授权管理员连接,授权管理员经过身 份鉴别后,采用多因素身份鉴别和加密方式建立授权管理员与网络隔离产品间的可信路径,禁止其他用 户非授权访问管理接口 17
GB/T20279一2015 5.2.3.1.4标识和鉴别 5.2.3.1.4.1安全属性定义 对于每一个授权管理员,网络单向导人产品安全功能应为其提供一套唯一的,为了执行安全功能策 略提供的必须的安全属性,包括但不限于 设备网络参数;包括接口地址、网关地址等 a b 设备接口属性;接口类型例如管理接口,通信接口),接口速率等; 安全管理参数;管理控制台地址、管理方式例如SSH、sSL)等; d) 安全参数;最大鉴别失败次数,管理空闲超时; e)外部可信IT产品参数配置;包括时间同步服务器参数、日志服务器参数等; O 系统参数;日志存储空间大小,设备名称等; g)用户角色属性;授权管理员、授权审计员、授权用户等 h)用户管理属性;用户名、用户角色、用户口令等
5.2.3.1.4.2属性初始化 网络单向导人产品安全功能应提供使用默认值对授权管理员和主机属性初始化的功能
5.2.3.1.4.3属性修改 网络单向导人产品安全功能应仅向授权管理员提供修改下述(包括但不限于)参数的功能 标识与角色(例如;配置管理员等)的关系; a b)主体(数据采集方)和客体(数据接收方)的安全属性值; 配置的安全参数(例如;最大鉴别失败次数等数据
5.2.3.1.4.4属性查询 网络单向导人产品安全功能应仅向授权管理员提供以下查询功能 a)标识和角色的关系; 主体(数据采集方)和客体(数据接收方)的安全属性值 b 配置的各安全参数
5.2.3.1.4.5鉴别数据初始化 网络单向导人产品安全功能应根据规定的鉴别机制,提供授权管理员鉴别数据的初始化功能,并确 保仅允许授权管理员使用这些功能
5.2.3.1.4.6鉴别时机 在所有授权管理员请求执行的任何操作之前,网络单向导人产品安全功能应确保对每个授权管理 员进行身份鉴别
5.2.3.1.4.7最少反馈 当进行鉴别时,网络单向导人产品安全功能应仅将最少的反馈提供给用户 5.2.3.1.4.8鉴别失败处理 在经过一定次数的鉴别失败以后,网络单向导人产品安全功能应能终止进行登录尝试主机建立会 18
GB/T20279一2015 话的过程
最多失败次数仅由授权管理员设定
5.2.3.1.4.9超时重鉴别 网络单向导人产品应具有登录超时锁定或注销功能
在设定的时间段内没有任何操作的情况下 终止会话,需要再次进行身份鉴别才能够重新操作
最大超时时间仅由授权管理员设定
5.2.3.1.4.10抗重放 网络单向导人产品的鉴别机制应具有抗重放的能力,授权管理员及其他用户不能复制使用上一次 通过的鉴别信息再次鉴别成功
5.2.3.1.4.11保护的鉴别反馈 网络单向导人产品的授权管理员在鉴别过程中输人的口令等敏感信息应以不可见和不可推理的形 式显示在鉴别信息的登录输人界面中 5.2.3.1.5审计 5.2.3.1.5.1 审计数据生成 网络单向导人产品安全功能应能对下列可审计事件生成审计记录,包括事件发生的日期和时间,事 件的类型,主体身份和成功或失败事件 a)审计功能的启动和关闭; b 任何对审计记录进行操作的尝试,包括关闭审计功能或子系统,以及受影响客体的标识; 任何读取、修改,破坏审计记录的尝试 c d 所有对访问授权与拒绝规则覆盖的主体执行操作的请求,以及受影响客体的标识; 修改安全属性的所有尝试,以及修改后安全属性的新值; 所有使用安全功能中鉴别数据管理机制的请求; 所有访问鉴别数据的请求,以及访问请求的目标; h 任何对鉴别机制的使用; 所有使用标识机制的尝试; 所有对安全功能配置参数的修改(设置和更新),无论成功与否,以及配置参数的新值
5.2.3.1.5.2用户身份关联 网络单向导人产品安全功能应能将每个可审计事件与引起该事件的用户身份相关联
5.2.3.1.5.3审计记录管理 网络单向导人产品安全功能应使授权管理员能存档、删除和清空审计记录
5.2.3.1.5.4可理解的格式 网络单向导人产品安全功能应使存储于永久性审计记录中的所有审计数据可为人所理解 5.2.3.1.5.5限制审计记录访问 网络单向导人产品安全功能应仅允许授权管理员访问审计记录
5.2.3.1.5.6可选择查阅审计 网络单向导人产品安全功能应提供能按主体ID(标识符)客体ID、日期、时间以及这些参数的逻辑 19
GB/T20279一2015 组合等参数对审计数据进行查找和排序的审计查阅工具
5.2.3.1.5.7防止审计数据丢失 对因故障或存储耗竭而导致审计数据丢失的最大审计存储容量,网络单向导人产品的开发者应提 供相应的分析结果,并且网络单向导人产品安全功能应把生成的审计记录储存于一个永久性的审计记 录中,并应限制由于故障和攻击造成的审计事件丢失的数量
5.2.3.1.6域隔离 为保护网络单向导人产品安全功能免遭不可信主体(内部或外部网络上的主机)的干扰和篡改,网 络单向导人产品安全功能应为其自身的执行环境设定一个安全区域,并把网络单向导人产品控制范围 内的各个主体(内部或外部网络上的主机)的安全区域分隔开
5.2.3.1.7配置数据保护 网络单向导人产品安全功能应保护储存于设备中的鉴别数据和信息传输策略不受未授权查阅、修 改和破坏
5.2.3.1.8运行状态监测 网络单向导人产品安全功能应能够实时监测单向导人产品内外网主机的状态,比如cPU使用率、 内存占用率、存储空间等
5.2.3.2增强级要求 5.2.3.2.1访问控制 5.2.3.2.1.1信息流控制策略 网络单向导人产品应将数据发送方网络信息流剥离协议,重新封装后单向导人信息接收方网络目 的主机
5.2.3.2.1.2基本的信息流控制功能 网络单向导人产品的安全功能策略应能够执行以下基本的信息流控制功能,提供明确的访问保障 能力和拒绝访问能力
包括: 通过配置单向同步任务的安全属性值,实现明确的源数据向目标数据的单向导人,缺省情况 下,网络单向导人产品拒绝任何数据的单向导人: b 信息流所包含的源主机IP地址、目的主机IP地址、服务类型不匹配单向同步任务安全属性值 的,明确拒绝访问; c 对单向导人的数据内容进行病毒扫描,阻断含病毒数据的导人; d) 对单向导人的数据内容进行关键字检查,阻断非法数据的导人; 对发送和接收数据流的主体进行身份鉴别,防止非法数据访问; e f 支持文件单向导人、数据库单向导人等服务类型
5.2.3.2.1.3增强的信息流控制功能 网络单向导入产品的安全功能策略应能够执行以下增强的信息流控制功能,提供明确的访问保障 能力和拒绝访问能力
包括: 解析多种数据编码格式,识别文件中是否包含非文本型数据,并根据授权管理员配置的安全策 2o0
GB/T20279一2015 略进行阻断或放行; b)支持文件单向导入、数据库单向导入、邮件单向导入和代理接收单向导入等服务类型: 根据预设的时间周期性定时完成数据的单向导入
5.2.3.2.1.4单向传输保证 网络单向导人产品应通过物理方式构造信息单向传输的唯一通道,实现信息单向导人,即信息只能 由一个安全域向另一个安全域传输,并且保证反方向无任何信息传输或反馈
单向传输部件数据发送 单元只具有单一的数据发送功能,数据接收单元只具有单一的数据接收功能,不存在可能导致物理特性 改变的软,硬件
5.2.3.2.1.5强制访问控制 网络单向导入产品应能根据单向同步E务的类型构建一个强制访问控制型,安全功能应能识别 用户和应用数据的敏感标记,根据标记执行强制访问控制策略 5.2.3.2.1.6残余信息保护 网络单向导人产品在为新创建的单向同步任务分配资源时,安全功能应保证其分配的资源中不提 供以前单向同步任务所产生的任何信息内容 5.2.3.2.1.7不可旁路 在与安全有关的操作(例如安全属性的修改、同步任务的建立等)被允许执行之前,应确保其通过安 全策略的检查
5.2.3.2.1.8数据完整性保证 网络单向导人产品应具备数据单向导人过程的完整性保护,在没有任何反馈信息的前提下,保证单 向导人的数据完整性
5.2.3.2.2抗攻击 网络单向导人产品应能够抵御各种Dos/DDoS攻击,应能够识别和防御sYNFlood,ICMPFlood 等攻击
5.2.3.2.3安全管理 区分安全管理角色 5.2.3.2.3.1 网络单向导人产品安全功能 a)应将与安全相关的管理功能与其他功能区分开 b)应包括安装、配置和管理网络单向导人产品安全功能本身所需的所有功能,其中至少应包括 增加和删除主体(发送信息的主机)和客体(接受信息的主机),查阅安全属性,分配、修改和撤 销安全属性,查阅和管理审计数据; 应把执行与安全相关的管理功能的能力限定为一种安全管理职责,该职责具有一套特别授权 的功能和响应的责任; 应能把授权执行管理功能的授权管理员与使用隔离部件的所有其他个人或系统分开; 应仅允许授权管理员承担安全管理职责 应在提出一个明确的请求以后,才会让授权管理员承担安全管理职责
21
GB/T20279一2015 5.2.3.2.3.2管理功能 网络单向导人产品安全功能应向授权管理员提供如下管理功能 设置和更新与安全相关的数据 a b)能执行网络单向导人产品的初始化、系统启动和关闭、备份和恢复功能,备份能力应有自动工 具的支持, 能设置双机热备等可用性参数; d若支持远程管理,则应 1)能限制可进行远程管理的地址; 2)能通过加密来保护远程管理会话
5.2.3.2.3.3独立管理接口 网络单向导人产品应使用与通讯接口相互独立的管理接口与授权管理员连接,授权管理员经过身 份鉴别后,采用多因素身份鉴别和加密方式建立授权管理员与网络隔离产品间的可信路径,禁止其他用 户非授权访问管理接口
5.2.3.2.4标识和鉴别 敏感标记 5.2.3.2.4.1 网络单向导入产品安全功能应能维护用户和应用数据的敏感标记,并根据标记执行强访问控制
5.2.3.2.4.2安全属性定义 对于每一个授权管理员,网络单向导人产品安全功能应为其提供一套唯一的,为了执行安全功能策 略提供的必须的安全属性,包括但不限于 设备网络参数;包括接口地址、网关地址等; a 设备接口属性;接口类型(例如,管理接口,通信接口)接口速率等 b 安全管理参数;管理控制台地址、管理方式(例如:ssH,ssL)等; 安全参数;最大鉴别失败次数、管理空闲超时 D 外部可信IT产品参数配置;包括时间同步服务器参数、日志服务器参数等; e 系统参数;日志存储空间大小,设备名称等; g)用户角色属性;授权管理员、授权审计员、授权用户等 h 用户管理属性;用户名,用户角色、用户口令等
5.2.3.2.4.3属性初始化 网络单向导人产品安全功能应提供用默认值对授权管理员和主机属性初始化的功能 5.2.3.2.4.4属性修改 网络单向导人产品安全功能应仅向授权管理员提供修改下述(包含但不仅限于)参数的功能 a)标识与角色(例如:配置管理员等)的关系 b) 主体(数据采集方)和客体(数据接收方)的安全属性值; c 配置的安全参数(例如;最大鉴别失败次数等数据
5.2.3.2.4.5属性查询 网络单向导人产品安全功能应仅向授权管理员提供以下查询 22
GB/I20279一2015 标识和角色的关系; a b)主体(数据采集方)和客体(数据接收方)的安全属性值; 配置的各安全参数
5.2.3.2.4.6鉴别数据初始化 网络单向导人产品安全功能应根据规定的鉴别机制提供授权管理员鉴别数据的初始化功能,并确 保仅允许授权管理员使用这些功能
5.2.3.2.4.7鉴别时机 在所有授权管理员请求执行的任何操作之前,网络单向导人产品安全功能应确保对每个授权管理 员进行身份鉴别
5.2.3.2.4.8最少反馈 当进行鉴别时,网络单向导人产品安全功能应仅将最少的反馈提供给用户
5.2.3.2.4.9鉴别失败处理 在经过一定次数的鉴别失败以后,网络单向导人产品安全功能应能终止进行登录尝试主机建立会 话的过程
最多失败次数仅由授权管理员设定
5.2.3.2.4.10超时重鉴别 网络单向导人产品安全功能应具有登录超时锁定或注销功能
在设定的时间段内没有任何操作的 情况下,网络单向导人产品安全功能应终止会话,需要再次进行身份鉴别才能够重新操作
最大超时时 间仅由授权管理员设定
多鉴别机制 5.2.3.2.4.11 网络单向导入产品安全功能应提供两种或两种以上的鉴别机制,以支持当发送方网络主体通过刚 络单向导入产点内置的信息流接收服务发送数据到接收方刚络的情况下的用户多重身份鉴别
5.2.3.2.4.12抗重放 网络单向导人产品的鉴别机制应具有抗重放的能力,授权管理员及其他用户不能复制使用上一次 通过的鉴别信息再次鉴别成功
5.2.3.2.4.13保护的鉴别反馈 网络单向导人产品的授权管理员在鉴别过程中输人的口令等敏感信息应以不可见和不可推理的形 式显示在鉴别信息的登录输人界面中 5.2.3.2.4.14口令强度 网络单向导入产M应采用目令校验机制对授权管理员生成的1令复杂度进行检查,口令州度应保 i证口令长度大于6位,口令类型为数字十大小写字母组合
5.2.3.2.5审计 5.2.3.2.5.1审计数据生成 网络单向导人产品安全功能应能对下列可审计事件生成审计记录,包括事件发生的日期和时间,事 23
GB/T20279一2015 件的类型,主体身份和成功或失败事件 a)审计功能的启动和关闭; 任何对审计记录进行操作的尝试,包括关闭审计功能或子系统,以及受影响客体的标识 b 任何读取、修改,破坏审计记录的尝试 c) dD 所有对访问授权与拒绝规则覆盖的主体执行操作的请求,以及受影响客体的标识:; 修改安全属性的所有尝试,以及修改后安全属性的新值; 所有使用安全功能中鉴别数据管理机制的请求; 所有访问鉴别数据的请求,以及访问请求的目标 g 任何对鉴别机制的使用 所有使用标识机制的尝试; 所有对安全功能配置参数的修改(设置和更新,无论成功与否,以及配置参数的新值
5.2.3.2.5.2用户身份关联 网络单向导人产品安全功能应能将每个可审计事件与引起该事件的用户身份相关联
5.2.3.2.5.3审计记录管理 网络单向导人产品安全功能应使授权管理员能存档,删除和清空审计记录
5.2.3.2.5.4可理解的格式 网络单向导人产品安全功能应使存储于永久性审计记录中的所有审计数据可为人所理解
5.2.3.2.5.5限制审计记录访问 网络单向导人产品安全功能应仅允许授权管理员访问审计记录
5.2.3.2.5.6可选择查阅审计 网络单向导人产品安全功能应提供能按主体ID(标识符),客体ID、日期、时间以及这些参数的逻辑 组合等参数对审计数据进行查找和排序的审计查阅工具
5.2.3.2.5.7防止审计数据丢失 对因故障或存储耗竭而导致审计数据丢失的最大审计存储容量,网络单向导人产品的开发者应提 供相应的分析结果,并且网络单向导人产品安全功能应把生成的审计记录储存于一个永久性的审计记 录中,并应限制由于故障和攻击造成的审计事件丢失的数量 5.2.3.2.6域隔离 基本的域隔离 5.2.3.2.6.1 为保护网络单向导人产品安全功能免遭不可信主体(内部或外部网络上的主机)的干扰和篡改,网 络单向导人产品安全功能应为其自身的执行环境设定一个安全区域,并把网络单向导人产品控制范围 内的各个主体(内部或外部网络上的主机)的安全区域分隔开
5.2.3.2.6.2增强的域隔离 为保护网络陌离产品安金功能免遭不可信主体(内部或外部网络上的主机)的干扰和墓改,网络单 向导入产晶安全功能应为其自身的执行环境设定一个安全区域,采用强制访问控制策略,该安全区域被 2
GB/T20279一2015 标记为高安全等级,授权管理员以及网络单向导入产品所覆盖的所有主体(内部或外部网络上的主机 授权后只能读取该区域存储的文件、程序,不能进行删除和修改,授权管理员无法修改访问策略 5.2.3.2.7容错 网络单向导入产品应具有主备模式的容错能力,当一台主机因电源,CPU等硬件出现故障或软件 错误导致异常时,容错功能将当前安全服务功能自动切换到另一台备桃上继续运行保证安全功能的可 用性
5.2.3.2.8配置数据保护 网络单向导人产品安全功能应保护储存于设备中的鉴别数据和信息传输策略不受未授权查阅修 改和破坏
5.2.3.2.9运行状态监测 网络单向导人产品安全功能应能够实时监测单向导人产品内外网主机的状态,比如CPU使用率、 内存占用率,存储空间等
5.3安全保证要求 5.3.1基本级要求 5.3.1.1配置管理 5.3.1.1.1 版本号 开发者应为产品的不同版本提供唯一的标识
5.3.1.1.2配置项 开发者应使用配置管理系统并提供配置管理文档 配置管理文档应包括一个配置清单,配置清单应唯一标识组成产品的所有配置项并对配置项进行 描述,还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效维护的证据
5.3.1.2交付与运行 5.3.1.2.1交付程序 开发者应使用一定的交付程序交付产品,并将交付过程文档化
在给用户方交付产品的各版本时,交付文档应描述为维护安全所必需的所有程序
5.3.1.2.2安装、生成和启动程序 开发者应提供文档说明产品的安装、生成和启动的过程
5.3.1.3开发 5.3.1.3.1非形式化功能规格说明 开发者应提供一个功能规格说明,功能规格说明应满足以下要求 使用非形式化风格来描述产品安全功能及其外部接口; a b)是内在一致的; 25
GB/T20279一2015 描述所有外部接口的用途与使用方法,适当时应提供效果、例外情况和错误消息的细节; d)完备地表示产品安全功能
5.3.1.3.2描述性高层设计 开发者应提供产品安全功能的高层设计,高层设计应满足以下要求 a)表示应是非形式化的; b)是内在一致的; o按子系统描述安全功能的结构 d)描述每个安全功能子系统所提供的安全功能性 标识安全功能所要求的任何基础性的硬件、固件或软件,以及在这些硬件、固件或软件中实现 的支持性保护机制所提供功能的一个表示: 标识安全功能子系统的所有接口; g标识安全功能子系统的哪些接口是外部可见的
非形式化对应性证实 5.3.1.3.3 开发者应提供产品安全功能表示的所有相邻对之间的对应性分析
对于产品安全功能所表示的每个相邻对,分析应阐明,较为抽象的安全功能表示的所有相关安全功 能,应在较具体的安全功能表示中得到正确且完备地细化
5.3.1.4指导性文档 5.3.1.4.1管理员指南 开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一致
管理员指南应说明以下内容: 管理员可使用的管理功能和接口; b)怎样安全地管理产品; 在安全处理环境中应被控制的功能和权限 C d所有对与产品的安全操作有关的用户行为的假设; 所有受管理员控制的安全参数,如果可能,应指明安全值; e 每 一种与管理功能有关的安全相关事件,包括对安全功能所控制实体的安全特性进行的改变 g 所有与管理员有关的IT环境安全要求
用户指南 5.3.1.4.2 开发者应提供用户指南,用户指南应与为评估而提供的其他所有文档保持一致
用户指南应说明以下内容 a)产品的非管理员用户可使用的安全功能和接口; b)产品提供给用户的安全功能和接口的使用方法; 用户可获取但应受安全处理环境所控制的所有功能和权限; c d产品安全操作中用户所应承担的职责; 与用户有关的IT环境的所有安全要求
5.3.1.5测试 5.3.1.5.1测试覆盖 开发者应提供测试覆盖的证据
26
GB/T20279一2015 在测试覆盖证据中,应表明测试文档中所标识的测试与功能规格说明中所描述的产品的安全功能 是对应的
5.3.1.5.2功能测试 开发者应测试安全功能.将结果文档化并提供测试文档
测试文档应包括以下内容: a)测试计划,应标识要测试的安全功能,并描述测试的目标, b) 测试过程,应标识要执行的测试,并描述每个安全功能的测试概况,这些概况应包括对于其他 测试结果的顺序依赖性 预期的测试结果,应表明测试成功后的预期输出 c d实际测试结果,应表明每个被测试的安全功能能按照规定进行运作 5.3.1.5.3独立测试 5.3.1.5.3.1 -致性 开发者应提供适合测试的产品.提供的测试集合应与其自测产品功能时使用的测试集合相一致
5.3.1.5.3.2抽样 开发者应提供一组相当的资源,用于安全功能的抽样测试
5.3.1.6脆弱性评定 5.3.1.6.1产品安全功能强度评估 开发者应对指导性文档中所标识的每个具有安全功能强度声明的安全机制进行安全功能强度分 析,并说明安全机制达到或超过定义的最低强度级别或特定功能强度度量
5.3.1.6.2开发者脆弱性分析 开发者应执行脆弱性分析,并提供脆弱性分析文档
开发者应从用户可能破坏安全策略的明显途径出发,对产品的各种功能进行分析并提供文档
对 被确定的脆弱性,开发者应明确记录采取的措施
对每一条脆弱性,应有证据显示在使用产品的环境中,该脆弱性不能被利用
5.3.2增强级要求 5.3.2.1配置管理 5.3.2.1.1部分配置管理自动化 配置管理系统应提供一种自动方式来支持产品的生成,通过该方式确保只能对产品的实现表示进 行已授权的改变 配置管理计划应描述在配置管理系统中所使用的自动工具,并描述在配置管理系统中如何使用自 动工具
5.3.2.1.2配置管理能力 5.3.2.1.2.1版本号 开发者应为产品的不同版本提供唯一的标识 27
信息安全技术网络和终端隔离产品安全技术要求GB/T20279-2015
信息安全是当前社会面临的重要问题之一,在数字化时代,各种信息系统中大量敏感数据的存在使得信息安全保护变得越来越重要。网络和终端隔离技术作为信息安全领域的一种重要手段,其安全技术要求也成为了关注的焦点。GB/T20279-2015是我国网络和终端隔离产品安全技术标准,本文将结合该标准,为您详细介绍网络和终端隔离产品的安全技术要求。
安全技术的定义
GB/T20279-2015标准中,网络和终端隔离产品的安全技术指产品设计的安全功能和实现方式。该标准针对网络和终端隔离产品的安全需求,分类定义了三种安全技术等级:
- 一级安全技术:指能够满足基本安全要求,确保产品可以抵御常见攻击。
- 二级安全技术:指能够满足基本安全要求的基础上,提供更高级别的安全功能,增强产品的免疫能力,并且具有一定的应对危险威胁的能力。
- 三级安全技术:指能够满足基本安全要求和高级安全要求,在保障系统高效运作的同时,拥有最完善的安全功能,可以有效地抵御各种高级攻击和恶意代码的威胁。
对应的安全技术措施
针对三种不同等级的安全技术,GB/T20279-2015标准中也规定了相应的安全技术措施,其中包括以下内容:
- 一级安全技术:采用基本的防护技术和安全措施,如隔离、访问控制、防病毒等。
- 二级安全技术:在一级安全技术的基础上,增加了安全监控、异常检测、应急响应等高级安全措施。
- 三级安全技术:在二级安全技术的基础上,进一步提升了安全性能和防护能力,并加强了安全自我保护和恢复能力。
实现要求
GB/T20279-2015标准中还规定了网络和终端隔离产品安全技术实现的要求,主要包括以下内容:
- 采用安全可靠的设计方式。
- 采用安全的开发方法和流程,确保软件安全可靠。
- 支持信息安全事件的记录与分析,进行安全事件的追溯与溯源。
- 提供安全管理控制台,方便管理员对产品进行安全管理和操作。
- 加强对用户数据的保护,确保用户数据不被泄露。
通过GB/T20279-2015标准中对网络和终端隔离产品安全技术要求的定义、分级以及对应的安全技术措施和实现要求等方面的规定,可以有效地保障信息系统的安全,并为网络和终端隔离产品的研发提供了科学的指导和标准化的参考,从而推动信息安全领域的发展。
信息安全技术网络和终端隔离产品安全技术要求的相关资料
- 了解信息安全技术公钥基础设施证书策略与认证业务声明框架GB/T26855-2011
- 金融服务信息安全指南GB/T27910-2011解读
- 银行业务密钥管理(零售)第3部分:非对称密码系统及其密钥管理和生命周期GB/T27909.3-2011
- 银行业务密钥管理(零售)第2部分:对称密码及其密钥管理和生命周期GB/T27909.2-2011
- 信息安全技术引入可信第三方的实体鉴别及接入架构规范GB/T28455-2012
- 实验室质量控制利用统计质量保证和控制图技术评价分析测量系统的性能GB/T27407-2010
- 反垃圾信息技术要求GB/T26265-2010
- 信息技术软件资产管理:GB/T26236.1-2010
- GB/T26228.1-2010信息技术自动识别与数据采集技术条码检测仪一致性规范第1部分:一维条码
- GB/T26227-2010信息技术自动识别与数据采集技术条码原版胶片测试规范
- 网络入侵检测系统技术要求GB/T26269-2010
- 网络入侵检测系统测试方法GB/T26268-2010
- 工业环境中的通信网络安装GB/T26336-2010
- 信息技术中继组播控制协议(RMCP)第1部分:框架GB/T26243.1-2010
- 网络测量和控制系统的精确时钟同步协议GB/T25931-2010
- 信息安全技术网络和终端隔离产品安全技术要求GB/T20279-2015
- 信息安全技术网络和终端隔离产品测试评价方法GB/T20277-2015
- 稀土精矿化学分析方法第9部分:五氧化二磷量的测定磷铋钼蓝分光光度法GB/T18114.9-2010
- 工业自动化系统与集成产品数据表达与交换第56部分:集成通用资源:状态GB/T16656.56-2010
- 工业自动化系统与集成产品数据表达与交换第55部分:集成通用资源:过程与混合表达GB/T16656.55-2010
- 工业自动化系统与集成产品数据表达与交换第54部分:集成通用资源:分类和集合论GB/T16656.54-2010
- 工业自动化系统与集成产品数据表达与交换第51部分:集成通用资源:数学表达GB/T16656.51-2010
- 园林机械以汽(柴)油机为动力的步进式草坪割草机安全技术要求和试验方法GB26509-2011
- 园林机械坐骑式草坪割草机安全技术要求和试验方法GB26508-2011
- 玻璃家具安全技术要求GB28008-2011
- 机械压力机安全技术要求GB27607-2011
- 自动锻压机安全技术要求GB28244-2012
- 信息安全技术网络和终端隔离产品安全技术要求GB/T20279-2015
