标准搜索结果: 'GB/T 20279-2015'
| 标准编号 | GB/T 20279-2015 (GB/T20279-2015) | | 中文名称 | 信息安全技术 网络和终端隔离产品安全技术要求 | | 英文名称 | Information security technology -- Security technical requirements of network and terminal separation products | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 60,623 | | 发布日期 | 2015-05-15 | | 实施日期 | 2016-01-01 | | 旧标准 (被替代) | GB/T 20279-2006 | | 引用标准 | GB 17859-1999; GB/T 18336.3-2008; GB/T 25069-2010 | | 标准依据 | 国家标准公告2015年第15号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准规定了网络和终端隔离产品的安全功能要求、安全保证要求、环境适应性要求及性能要求。本标准适用于网络和终端隔离产品的设计、开发与测试。 | GB/T 20279-2015
Information security technology.Security technical requirements of network and terminal separation products
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 20279-2006
信息安全技术 网络和终端隔离产品
安全技术要求
2015-05-15发布
2016-01-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅰ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 网络和终端隔离产品描述 2
5 安全技术要求 4
5.1 总体说明 4
5.1.1 安全技术要求分类 4
5.1.2 安全等级 4
5.2 安全功能要求 4
5.2.1 终端隔离产品 4
5.2.2 网络隔离产品 6
5.2.3 网络单向导入产品 16
5.3 安全保证要求 25
5.3.1 基本级要求 25
5.3.2 增强级要求 27
5.4 环境适应性要求 32
5.4.1 下一代互联网支持(有则适用) 32
5.4.2 支持IPv6过渡网络环境(可选) 33
5.5 性能要求 34
5.5.1 交换速率 34
5.5.2 硬件切换时间 34
参考文献 35
前言
本标准按照GB/T 1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准代替GB/T 20279-2006《信息安全技术 网络和终端设备隔离部件安全技术要求》。
本标准与GB/T 20279-2006的主要差异如下:
---分类修改为终端隔离产品、网络隔离产品和网络单向导入产品三类;
---级别统一划分为基本级和增强级;
---增加了终端隔离产品、网络隔离产品和网络单向导入产品描述;
---增加了下一代互联网协议支持能力的要求;
---在附录中增加了技术要求基本原理,包括安全功能要求基本原理和安全保证要求基本原理。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、珠海经济特区伟思有限公
司、南京神易网络科技有限公司、公安部第三研究所。
本标准主要起草人:陆臻、顾健、俞优、李旋、邓琦、左安骥、路文利、刘斌。
信息安全技术 网络和终端隔离产品
安全技术要求
1 范围
本标准规定了网络和终端隔离产品的安全功能要求、安全保证要求、环境适应性要求及性能要求。
本标准适用于网络和终端隔离产品的设计、开发与测试。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 17859-1999 计算机信息系统安全保护划分准则
GB/T 18336.3-2008 信息技术 安全技术 信息技术安全性评估准则 第3部分:安全保证
要求
GB/T 25069-2010 信息安全技术 术语
3 术语和定义
GB 17859-1999和GB/T 25069-2010界定的以及下列术语和定义适用于本文件。
3.1
安全域 securitydomain
具有相同的安全保护需求和相同安全策略的计算机或网络区域。
3.2
处于不同安全域的网络之间不能以直接或间接的方式相连接。
注:在一个物理网络环境中,实施不同安全域的网络物理断开,在技术上应确保信息在物理传导、物理存储上的断开。
3.3
协议转换 protocolconversion
协议的剥离和重建。在所属某一安全域的隔离产品一端,把基于网络的公共协议中的应用数据剥
离出来,封装为系统专用协议传递至所属其他安全域的隔离产品另一端,再将专用协议剥离,并封装成
需要的格式。
3.4
协议隔离 protocolseparation
处于不同安全域的网络在物理上是有连接的,通过协议转换的手段保证受保护信息在逻辑上是隔
离的,只有被系统要求传输的、内容受限的信息可以通过。
3.5
信息摆渡 informationferry
信息交换的一种方式,物理传输信道只在传输进行时存在。
注:信息传输时,信息先由信息源所在安全域一端传输至中间缓存区域,同时物理断开中间缓存区域与信息目的所
在安全域的连接;随后接通中间缓存区域与信息目的所在安全域的传输信道,将信息传输至信息目的所在安全
域,同时在信道上物理断开信息源所在安全域与中间缓存区域的连接。在任一时刻,中间缓存区域只与一端安
全域相连。
3.6
一对具有物理上单向传输特性的传输部件,该传输部件由一对独立的发送和接收部件构成,发送和
接收部件只能以单工方式工作,发送部件仅具有单一的发送功能,接收部件仅具有单一的接收功能,两
者构成可信的单向信道,该信道无任何反馈信息。
3.7
同时连接两个不同安全域,采用物理断开技术在终端上实现安全域物理隔离的安全隔离卡或安全
隔离计算机。
3.8
位于两个不同安全域之间,采用协议隔离技术在网络上实现安全域安全隔离与信息交换的产品。
3.9
位于两个不同安全域之间,通过物理方式构造信息单向传输的唯一通道,实现信息单向导入,并且
保证只有安全策略允许传输的信息可以通过,同时反方向无任何信息传输或反馈。
4 网络和终端隔离产品描述
网络和终端隔离产品从形态和功能上可以划分为终端隔离产品、网络隔离产品和网络单向导入产
品三类,目的是在不同的网络终端和网络安全域之间建立安全控制点,实现在不同的网络终端和网络安
全域之间提供访问可控的服务。此外,适用于下一代互联网网络环境的网络和终端隔离产品的协议栈
除支持IPv4技术外,还应支持IPv6以及IPv4/IPv6过渡技术。
网络和终端隔离产品保护的资产是受安全策略保护的网络服务和资源等,此外,网络和终端隔离产
品本身及其内部的重要数据也是受保护的资产。
图1为终端隔离产品的一个典型运行环境。终端隔离产品一般以隔离卡的方式接入目标主机,隔
离卡通过电子开关以互斥的形式同时连通安全域A所连的硬盘1和安全域A,或者安全域B所连的硬
盘2和安全域B,从而实现内外两个安全域的物理隔离。该类产品也可将隔离卡整合入主机,以整机的
形式作为产品。
图1 终端隔离产品典型运行环境
图2为网络隔离产品的一个典型运行环境。网络隔离产品一般以二主机加专用隔离部件的方式组
成,即由内部处理单元、外部处理单元和专用隔离部件组成。其中,专用隔离部件既可以是采用包含电
子开关并固化信息摆渡控制逻辑的专用隔离芯片构成的隔离交换板卡,也可以是经过安全强化的运行
专用信息传输逻辑控制程序的主机。网络隔离产品用于连接两个不同的安全域,实现两个安全域之间
应用代理服务、协议转换、信息流访问控制、内容过滤和信息交换等功能。网络隔离产品中的内、外部处
理单元通过专用隔离部件相连,专用隔离部件是两个安全域之间唯一的可信物理信道。该内部信道裁
剪了TCP/IP等公共网络协议栈,采用私有协议实现协议隔离。在一些安全性要求较低而实时性要求
较高的场合,专用隔离部件采用私有协议以逻辑方式实现协议隔离和信息传输。在一些安全性要求较
高而实时性要求相对较低的场合,专用隔离部件还会采用一组互斥的分时切换电子开关实现内部物理
信道的通断控制,以分时切换连接方式完成信息摆渡,从而在两个安全域之间形成一个不存在实时物理
连接的隔离区。
图2 网络隔离产品典型运行环境
图3为网络单向导入产品的一个典型运行环境。网络单向导入产品一般以双机方式组成,即数据
发送处理单元和数据接收处理单元,双机之间采用单向传输部件相连。网络单向导入产品部署在两个
的安全域之间,其中,数据发送处理单元网络接口连接信息发送方安全域A,数据接收处理单元网络接
口连接接收信息接收方安全域B,信息流由发送数据的安全域A单向流入接收数据的安全域B。单向
传输部件利用单向传输的物理特性建立两个安全域之间唯一的单向传输通道,数据在这个通道中只能
沿数据发送处理单元向数据接收处理单元方向的可信路径单向传输,无任何反馈信号。单向传输部件
由一对单向接收部件和单向发送部件构成,单向发送部件安装在数据发送处理单元中,单向接收部件安
装在数据接收处理单元中。单向传输部件的单向物理传输特性固化不可修改,任何软件配置、物理跳线
等方式都不能更改其部件的单向传输特性以及传输方向,从而实现数据单向导入的可靠性。
例:光通信,数据发送处理单元使用光发送模块,数据接收处理单元使用光接收模块,单向传输通道
使用单根光纤,实现数据单向传输。
图3 网络单向导入产品典型运行环境
5 安全技术要求
5.1 总体说明
5.1.1 安全技术要求分类
本标准将网络和终端隔离产品安全技术要求分为安全功能、安全保证、环境适应性和性能要求四个
大类。其中,安全功能要求是对网络和终端隔离产品应具备的安全功能提出具体要求,终端隔离产品具
体要求包括访问控制、不可旁路和客体重用,网络隔离产品具体要求包括访问控制、抗攻击、安全管理、
标识和鉴别、审计、域隔离、容错、数据完整性和密码支持,网络单向导入产品具体要求包括访问控制、抗
攻击、安全管理、标识和鉴别、审计、域隔离、配置数据保护和运行状态监测;安全保证要求针对网络和终
端隔离产品的开发和使用文档的内容提出具体的要求,例如配置管理、交付和运行、开发和指导性文档
等;环境适应性要求是对网络和终端隔离产品的应用环境提出具体的要求;性能要求则是对网络和终端
隔离产品应达到的性能指标做出规定,包括交换速率和硬件切换时间。
5.1.2 安全等级
本标准按照网络和终端隔离产品安全功能的强度划分安全功能要求的级别,按照GB/T 18336.3-
2008划分安全保证要求的级别。安全等级分为基本级和增强级,安全功能的强弱和安全保证要求的高
低是等级划分的具体依据。安全等级突出安全特性,环境适应性要求和性能要求不作为等级划分依据。
与基本级内容相比,增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。
5.2 安全功能要求
5.2.1 终端隔离产品
5.2.1.1 基本级要求
5.2.1.1.1 访问控制
5.2.1.1.1.1 安全属性定义
对于信息存储与传输部件(主要是处于不同安全域的存储设备、网络接入设备),终端隔离产品应为
其设定唯一的、为了执行安全功能策略所必需的安全属性。
5.2.1.1.1.2 属性修改
终端隔离产品的安全功能应包含向终端设备授权用户提供修改与安全相关属性的参数的功能。
5.2.1.1.1.3 属性查询
终端隔离产品的安全功能应包含向终端设备授权用户提供安全属性查询的功能。
5.2.1.1.1.4 访问授权与拒绝
终端隔离产品的安全功能应包含对被隔离的计算机信息资源提供明确的访问保障能力和访问拒绝
能力。在技术上确保:
a) 在信息物理传输上使内外安全域隔断,确保外部安全域不能通过网络连接侵入内部安全域;同
时阻止内部安全域信息通过网络连接泄露到外部安全域;
b) 在信息物理存储上隔断两个网络环境,对于断电后会逸失信息的部件,如内存、寄存器等暂存
部件,要在网络转换时作清零处理,防止遗留信息窜网;对于断电后不会逸失信息的设备,如磁
带机、硬盘等存储设备,内部安全域与外部安全域信息要以不同存储设备分开存储;对移动存
储介质,如光盘、软盘、USB存储设备等,应在安全域转换前提示用户干预或禁止在双安全域
都能使用这些设备。
5.2.1.1.1.5 切换信号一致性
对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能应由同一信号对隔离的计算机
信息资源进行切换,确保一致性。
5.2.1.1.1.6 口令保护
对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能应保证用户必须输入切换口令。
5.2.1.1.1.7 内存及USB端口的物理隔离
若终端隔离产品以整机隔离系统的形态存在,终端隔离产品的安全功能应在物理上隔离内存及所
有USB端口,确保所有的存储设备都是物理上隔断,从物理上保证数据安全性。
5.2.1.1.2 不可旁路
在与安全有关的操作(例如安全属性的修改)被允许执行之前,终端隔离产品安全功能应确保其通
过安全功能策略的检查。
5.2.1.1.3 客体重用
在为所有内部或外部网络上的主机连接进行资源分配时,终端隔离产品安全功能应保证不提供以
前连接的任何信息内容。
5.2.1.2 增强级要求
5.2.1.2.1 访问控制
5.2.1.2.1.1 安全属性定义
对于信息存储与传输部件(主要是处于不同安全域的存储设备、网络接入设备),终端隔离产品应为
其设定唯一的、为了执行安全功能策略所必需的安全属性。
5.2.1.2.1.2 属性修改
终端隔离产品安全功能应向终端设备授权用户提供修改与安全相关属性的参数的功能。
5.2.1.2.1.3 属性查询
终端隔离产品安全功能应向终端设备授权用户提供安全属性查询的功能。
5.2.1.2.1.4 访问授权与拒绝
终端隔离产品的安全功能应对被隔离的计算机信息资源提供明确的访问保障能力和访问拒绝能
力。在技术上确保:
a) 在信息物理传输上使内外安全域隔断,确保外部安全域不能通过网络连接侵入内部安全域;同
时阻止内部安全域信息通过网络连接泄露到外部安全域;
b) 在信息物理存储上隔断两个网络环境,对于断电后会逸失信息的部件,如内存、寄存器等暂存
部件,要在网络转换时作清零处理,防止遗留信息窜网;对于断电后不会逸失信息的设备,如磁
带机、硬盘等存储设备,内部安全域与外部安全域信息要以不同存储设备分开存储;对移动存
储介质,如光盘、软盘、USB存储设备等,应在安全域转换前提示用户干预或禁止在双安全域
都能使用这些设备。
5.2.1.2.1.5 网络非法外联
终端隔离产品的安全功能应保证用户在内网状态下,随时监测用户网络是否与互联网相连接,一旦
发现则立即禁用网络并给出报警,确保内网安全。
5.2.1.2.1.6 切换信号一致性
对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能应由同一信号对隔离的计算机
信息资源进行切换,确保一致性。
5.2.1.2.1.7 硬盘非法调换
终端隔离产品的安全功能应在初始安装时对对应网络的硬盘进行唯一标识,保证硬盘与网络一一
对应,确保内网硬盘数据的安全。
5.2.1.2.1.8 口令保护
对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能应保证用户必须输入切换口令。
5.2.1.2.1.9 内存及USB端口的物理隔离
若终端隔离产品以整机隔离系统的形态存在,终端隔离产品的安全功能应在物理上隔离内存及所
有USB端口,确保所有的存储设备都是物理上隔断,从物理上保证数据安全性。
5.2.1.2.2 不可旁路
在与安全有关的操作(例如安全属性的修改)被允许执行之前,终端隔离产品安全功能应确保其通
过安全功能策略的检查。
5.2.1.2.3 客体重用
在为所有内部或外部网上的主机连接进行资源分配时,终端隔离产品安全功能应保证不提供以前
连接的任何信息内容。
5.2.2 网络隔离产品
5.2.2.1 基本级要求
5.2.2.1.1 访问控制
5.2.2.1.1.1 基本的信息流控制策略
针对对主体、客体以及经过网络隔离产品的主客体之间的所有操作,网络隔离产品应能够执行以下
端到端基本的信息流控制策略:
a) 所有主客体之间发送和接收的信息流均执行网络层协议剥离,还原成应用层数据;
b) 主客体之间发送和接收的信息流均经过安全策略允许后传输;
c) 授权管理员通过独立的管理接口,经过身份验证后,授权管理员与网络隔离产品间发送的管理
信息经过安全策略允许后传输。
5.2.2.1.1.2 基本的信息流控制功能
网络隔离产品的安全功能策略应能够执行以下基本的信息流控制功能,提供明确的访问保障能力
和拒绝访问能力。包括:
a) 通过配置访问控制列表进行信息流控制,访问控制列表的元素包括:源IP地址、目的IP地址、
源端口、目的端口、协议号;
b) 对经过的HTTP、FTP、SMTP、POP3等应用协议信息流进行合规性检查;
c) 对经过的HTTP、FTP、SMTP、POP3等应用协议信息流的协议信令及参数关键字进行过滤;
d) 对经过的HTTP、FTP、SMTP、POP3等应用协议信息流中的内容包括文件附件进行关键字
过滤;
e) 通过协议隔离方式断开内部TCP/IP连接,完成信息传输。
5.2.2.1.1.3 残余信息保护
网络隔离产品在为所有内部或外部网上的主机连接进行资源分配时,网络隔离产品安全功能应保
证其分配的资源中不提供以前连接活动中所产生的任何信息内容。
5.2.2.1.1.4 不可旁路
在与安全有关的操作(例如安全属性的修改、内部网络主机向外部网络主机传送信息等)被允许执
行之前,网络隔离产品安全功能应确保其通过安全功能策略的检查。
5.2.2.1.2 抗攻击
网络隔离产品应能够抵御各种DoS/DDoS攻击,应能够识别和防御SYNFlood、ICMPFlood等
攻击。
5.2.2.1.3 安全管理
5.2.2.1.3.1 区分安全管理角色
网络隔离产品安全功能:
a) 应将与安全相关的管理功能与其他功能区分开;
b) 应包括安装、配置和管理隔离产品安全功能本身所需的所有功能,其中至少应包括:增加和删
除主体(发送信息的主机)和客体(接受信息的主机),查阅安全属性,分配、修改和撤销安全属
性,查阅和管理审计数据;
c) 应把执行与安全相关的管理功能的能力限定为一种安全管理职责,该职责具有一套特别授权
的功能和响应的责任;
d) 应能把授权执行管理功能的授权管理员与使用隔离产品的所有其他个人或系统分开;
e) 应仅允许授权管理员承担安全管理职责;
f) 应在提出一个明确的请求以后,才会让授权管理员承担安全管理职责。
5.2.2.1.3.2 管理功能
网络隔离产品安全功能应向授权管理员提供如下管理功能:
a) 设置和更新与安全相关的数据;
b) 执行隔离产品的安装及初始化、系统启动和关闭、备份和恢复功能,备份能力应有自动工具的
支持;
c) 设置双机热备或负载均衡等可用性参数;
d) 若隔离产品安全功能支持外部或内部接口的远程管理,应:
1) 有对两个接口或其中之一关闭远程管理的选择权;
2) 限制可进行远程管理的地址;
3) 通过加密来保护远程管理会话。
5.2.2.1.3.3 独立管理接口
网络隔离产品应使用与通讯接口相互独立的管理接口与授权管理员连接,授权管理员经过身份鉴
别后,采用多因素身份鉴别和加密方式建立授权管理员与网络隔离产品间的可信路径,禁止其他用户非
授权访问管理接口。
5.2.2.1.4 标识和鉴别
5.2.2.1.4.1 基本安全属性定义
对于每一个授权管理员,网络隔离产品安全功能应为其提供一套唯一的、为了执行安全功能策略所
必需的基本安全属性。包括但不限于:
a) 设备网络参数:包括接口地址、网关地址等;
b) 设备接口属性:接口类型(例如:管理接口、通信接口)、接口速率等;
c) 安全管理参数:管理控制台地址、管理方式(例如:SSH......
|