标准搜索结果: 'GB/T 20279-2024'
| 标准编号 | GB/T 20279-2024 (GB/T20279-2024) | | 中文名称 | 网络安全技术 网络和终端隔离产品技术规范 | | 英文名称 | Cybersecurity technology - Technical specification for network and terminal separation products | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.030 | | 字数估计 | 50,560 | | 发布日期 | 2024-09-29 | | 实施日期 | 2025-04-01 | | 旧标准 (被替代) | GB/T 20279-2015,GB/T 20277-2015 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 20279-2024: 网络安全技术 网络和终端隔离产品技术规范
ICS 35.030
CCSL80
中华人民共和国国家标准
代替GB/T 20279-2015,GB/T 20277-2015
网络安全技术 网络和终端隔离产品
技术规范
separationproducts
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 通则 3
6 安全技术要求 5
6.1 安全功能要求 5
6.2 自身安全要求 9
6.3 性能要求 10
6.4 安全保障要求 11
7 测评方法 13
7.1 安全功能测评 13
7.2 自身安全测评 23
7.3 性能测评 26
7.4 安全保障测评 26
附录A(规范性) 网络和终端隔离产品分类及安全技术要求级别划分 33
附录B(规范性) 网络和终端隔离产品分类及测评方法级别划分 39
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件代替GB/T 20279-2015《信息安全技术 网络和终端隔离产品安全技术要求》和GB/T 20277-
2015《信息安全技术 网络和终端隔离产品测试评价方法》,与GB/T 20279-2015和GB/T 20277-2015
相比,除结构调整和编辑性改动外,主要技术变化如下:
---更改了网络隔离类产品的产品分类(见第5章,GB/T 20279-2015年版的第4章);
---增加了通则(见第5章);
---更改了信息流控制策略要求(见6.1.1.1,GB/T 20279-2015年版的5.2.2.1.1.1、5.2.2.2.1.1、
---更改了信息流控制功能要求(见6.1.1.2,GB/T 20279-2015年版的5.2.2.1.1.2、5.2.2.2.1.2、
---增加了应用及协议支持要求(见6.1.2);
---增加了信息过滤要求(见6.1.3);
---更改抗攻击要求为攻击防护要求(见6.1.5,GB/T 20279-2015年版的5.2.2.1.2、5.2.2.2.2、
5.2.3.1.2和5.2.3.2.2);
---更改域隔离要求为安全隔离要求(见6.1.6,GB/T 20279-2015年版的5.2.2.1.6、5.2.2.2.6、
5.2.3.1.6和5.2.3.2.6);
---更改容错要求为高可用要求(见6.1.7,GB/T 20279-2015年版的5.2.2.1.7、5.2.2.2.7和
5.2.3.2.7);
---增加了联动要求(见6.1.10);
---更改环境适应性要求为IPv6支持要求(见6.1.11,GB/T 20279-2015年版的5.4);
---增加了虚拟化部署要求(见6.1.12);
---增加了自身安全要求(见6.2);
---更改了性能要求(见6.3,GB/T 20279-2015年版的5.5);
---更改了安全保障要求(见6.4,GB/T 20279-2015年版的5.3);
---增加了网络和终端隔离产品分类及安全技术要求级别划分(见附录A);
---增加了网络和终端隔离产品分类及测评方法级别划分(见附录B)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:公安部第三研究所、国家工业信息安全发展研究中心、中国网络安全审查认证和
市场监管大数据中心、中国电子技术标准化研究院、北京天融信网络安全技术有限公司、北京安盟信息
技术股份有限公司、中孚信息股份有限公司、清华大学、深圳市利谱信息技术有限公司、启明星辰信息技
术集团股份有限公司、珠海经济特区伟思有限公司、拓尔思天行网安信息技术有限责任公司、奇安信网
神信息技术(北京)股份有限公司、中国科学院软件研究所、公安部第一研究所、腾讯云计算(北京)有限
责任公司、西安交大捷普网络科技有限公司、北京数安行科技有限公司、山东首瀚信息科技有限公司、
长扬科技(北京)股份有限公司、郑州信大捷安信息技术股份有限公司、新华三技术有限公司、国网区块
链科技(北京)有限公司、蓝盾信息安全技术股份有限公司、广州天懋信息系统股份有限公司、南方电网
电力科技股份有限公司、中电科网络安全科技股份有限公司、南京神易网络科技有限公司、蓝象标准
(北京)科技有限公司、杭州领信数科信息技术有限公司、成都赛波安全技术开发有限公司。
本文件主要起草人:陆臻、祝国邦、李旋、顾健、顾建新、沈亮、安高峰、刘智飞、马奥、杨晨、孙彦、
张东举、王冲华、申永波、沈文杰、江军、路文立、焦蒙蒙、左安骥、张习雨、卢栋梁、晏敏、杨春华、胡维娜、
王路晗、张凌云、乔华阳、余果、刘玉红、杨更、赵华、刘为华、何建锋、石竹玉、焦少波、万晓兰、李士奇、
常媛媛、刘强、邹凯、林迪、李克鹏、韩秀德、张大伟、赵会敏、钱韵洁、丁稳所、杨威、张震宇、林丹生、
李慧敏、郭爱波。
本文件及其所代替文件的历次版本发布情况为:
---GB/T 20279,2006年首次发布,2015年第一次修订;
---GB/T 20277,2006年首次发布,2015年第一次修订;
---本次为第二次修订。
网络安全技术 网络和终端隔离产品
技术规范
1 范围
本文件规定了网络和终端隔离产品的分类、级别划分、安全技术要求及测评方法。
本文件适用于网络和终端隔离产品的设计、开发与测试。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 18336.3-2024 网络安全技术 信息技术安全评估准则 第3部分:安全保障组件
GB/T 25069-2022 信息安全技术 术语
GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南
GB 42250-2022 信息安全技术 网络安全专用产品安全技术要求
3 术语和定义
GB/T 18336.3-2024、GB/T 25069-2022、GB/T 30279-2020和GB 42250-2022界定的以及下
列术语和定义适用于本文件。
3.1
安全域 securitydomain
遵从共同安全策略的资产和资源的集合。
[来源:GB/T 25069-2022,3.36]
3.2
使用物理方法保证不同安全域之间无法以直接或间接的方式相连接的技术。
注:实施不同安全域的物理断开,包括在物理传导、物理存储上的断开。
3.3
协议转换 protocolconversion
把基于网络的公共协议中的应用数据剥离出来,封装为系统专用的私有协议进行数据传输的技术。
3.4
信息摆渡 informationferry
信息由信息源所在安全域传输至中间缓存区域,再将中间缓存区域的信息传输至信息目的所在安
全域的数据传输技术。
注:在任一时刻,中间缓存区域只与一端安全域相连。
3.5
一对独立的发送和接收部件,发送部件仅提供单一的发送功能,接收部件仅提供单一的接收功能。
注:单向传输部件的发送和接收功能由物理特性决定。
3.6
采用物理断开技术在终端上实现不同安全域隔离的产品。
3.7
位于两个不同安全域之间,采用协议转换、信息摆渡、数据单向传输等技术在网络上实现安全隔离
与数据传输的产品。
3.8
位于两个不同安全域之间,采用协议转换技术实现网络隔离,并且保证只有安全策略允许传输的信
息能够通过的产品。
3.9
网闸 gap
位于两个不同安全域之间,采用协议转换和信息摆渡技术实现网络隔离,并且保证只有安全策略允
许传输的信息能够通过的产品。
3.10
位于两个不同安全域之间,采用单向传输部件构造信息单向传输的唯一通道,实现信息单向传
输,并且保证只有安全策略允许传输的信息能够通过的产品。
4 缩略语
下列缩略语适用于本文件。
IP:网际协议(InternetProtocol)
SMB:服务器消息块(ServerMessageBlock)
USB:通用串行总线(UniversalSerialBus)
网络和终端隔离产品分为终端隔离产品和网络隔离产品两大类。终端隔离产品指隔离卡或者隔离
计算机。网络隔离产品根据产品形态和功能上的不同,分为协议转换产品、网闸和网络单向导入产品三
种,其中协议转换产品和网闸通常又被称为安全隔离与信息交换系统或产品。网络和终端隔离产品的
功能目标是在不同的网络安全域之间建立安全控制点,在不同的网络安全域之间提供访问可控的服
务,网络和终端隔离产品保护的资产是受安全策略保护的网络服务和资源等。此外,网络和终端隔离产
品本身及其内部的重要信息也是受保护的对象。
终端隔离产品的典型结构及其部署见图1。终端隔离产品一般以隔离卡作为产品,接入到主机
中,隔离卡通过电子开关以互斥的形式连通安全域A及其所连的硬盘1,或者安全域B及其所连的硬盘
2,从而实现两个安全域的物理断开。该类产品也能将隔离卡整合到主机中,以隔离计算机的形态作为
产品。该类产品仅能通过控制隔离卡切换的方式,达到不同安全域的物理断开,实现终端隔离。
图1 终端隔离产品典型结构及其部署
协议转换产品的典型结构及其部署见图2。该类产品一般以双主机的方式组成,即由内部处理单
元、外部处理单元和连接两个处理单元的私有协议通信介质组成。其中,私有协议通信介质承载私有协
议进行数据传输。该产品用于连接两个不同的安全域,实现两个安全域之间应用代理服务、协议转换、
访问控制、信息过滤和数据交换等功能。该产品中的内部处理单元和外部处理单元通过私有协议通信
介质相连,私有协议通信介质是两个安全域之间唯一信任的物理信道。该内部信道剥离了TCP/IP等
公共网络协议,采用私有协议实现数据交换。
图2 协议转换产品典型结构及其部署
网闸的典型结构及其部署见图3。该类产品的组成方式与协议转换产品类似,以双主机加专用隔
离部件(中间缓存区域)的方式组成。其中,专用隔离部件是采用包含电子开关并固化信息摆渡控制逻
辑的专用隔离芯片构成的隔离交换板卡。该产品用于连接两个不同的安全域,实现两个安全域之间应
用代理服务、信息摆渡、访问控制、信息过滤和数据交换等功能。该产品中的内部处理单元和外部处理
单元通过专用隔离部件相连,专用隔离部件是两个安全域之间唯一信任的物理信道。该内部信道剥离
了TCP/IP等公共网络协议,采用协议转换和信息摆渡的方式实现数据交换。
图3 网闸典型结构及其部署
网络单向导入产品的典型结构及其部署见图4。网络单向导入产品一般以双主机加单向传输部件
方式组成,即数据发送处理单元、数据接收处理单元和单向传输部件。其中,数据发送处理单元网络接
口连接信息发送方安全域A,数据接收处理单元网络接口连接信息接收方安全域B,信息流由发送数据
的安全域A单向流入接收数据的安全域B。单向传输部件利用单向传输的物理特性建立两个安全域
之间唯一的单向传输通道,数据在这个通道中只能由数据发送处理单元向数据接收处理单元方向的路
径单向传输,无任何反馈信号。单向传输部件由一对单向接收部件和单向发送部件构成,单向发送部件
安装在数据发送处理单元中,单向接收部件安装在数据接收处理单元中。单向传输部件的单向物理传
输特性固化无法修改,任何软件配置、物理跳线等方式都不能更改其部件的单向传输特性以及传输
方向。
图4 网络单向导入产品典型部署环境
此外,网络隔离产品还能够以前置服务器、协议转换产品/网闸/网络单向导入产品和后置服务器的
形态出现,前、后置服务器主要提供应用代理、访问控制以及攻击防护等安全功能,协议转换产品/网
闸/网络单向导入产品提供网络隔离和数据交换安全功能。
本文件将网络和终端隔离产品的安全功能要求、自身安全要求、性能要求和安全保障要求分为基本
级和增强级,安全功能与自身安全的强弱以及安全保障要求的高低是等级划分的具体依据。与基本级
内容相比,增强级中要求有所增加或增强。各类网络和终端隔离产品(以下简称“产品”)的具体安全技
术要求和级别划分应符合附录A的规定,测评方法及级别划分应符合附录B的规定。
6 安全技术要求
6.1 安全功能要求
6.1.1 访问控制
6.1.1.1 信息流控制策略
产品应能够执行下列信息流控制策略。
a) 对被隔离的计算机信息资源进行切换时,产品的安全功能保证用户输入切换口令;
b) 在进行业务数据传输前,对访问用户/设备进行身份鉴别,鉴别方式包括:
1) 基于口令/数字证书/生物特征信息等的鉴别;
2) 基于两种或两种以上的多因素组合鉴别。
6.1.1.2 信息流控制功能
产品的安全功能策略应能够执行以下的信息流控制功能,提供明确的访问保障能力和拒绝访问
能力。
a) 在信息物理传输上使内外安全域隔断,确保外部安全域不能通过网络连接侵入内部安全域,同
时阻止内部安全域信息通过网络连接泄露到外部安全域。
b) 在信息物理存储上隔断两个网络环境,对于断电后易失信息的部件,如内存、寄存器等暂存部
件,在网络转换时做清零处理。对于断电后不易失信息的设备,如硬盘、存储卡等存储设备,内
部安全域与外部安全域信息以不同存储设备分开存储;对移动存储介质,如光盘、软盘、
USB存储设备等,在安全域转换前提示用户干预或禁止在双安全域都能使用这些设备。
c) 通过配置的访问控制策略,实现明确的信息流传输控制,访问控制策略的元素应包括:IP地
址、端口和协议类型(包括TCP、UDP和应用层协议)等,缺省情况下,产品拒绝任何数据的
传输。
d) 提供数据同步功能,根据产品支持的应用协议配置同步任务(如文件、数据库等),从源主机读
取数据传输或导入到目的主机,实现数据同步。
e) 支持以代理接收数据的形式完成数据传输。
f) 根据预设的时间,周期性定时完成数据的传输。
g) 通过协议转换方式断开内部TCP/IP连接,还原成应用层数据并封装成非TCP/IP形式的私
有协议,完成信息传输,私有协议应提供协议一致性校验功能。
h) 对内外部数据传输链路进行物理上的时分切换,即内外网络在物理链路上不能同时与专用隔
离部件连通,并完成信息摆渡。
i) 通过物理方式构造信息单向传输的唯一通道,实现信息单向传输并且保证反方向无任何信息
传输或反馈。
6.1.1.3 网络违规外联
产品应保证用户在内网状态下,监测用户网络是否与互联网相连接,发现违规联网行为则禁用网络
并发送报警,确保内网安全。
6.1.1.4 切换信号一致性
对被隔离的计算机信息资源进行切换时,产品应由同一信号对隔离的计算机信息资源进行切换,确
保一致性。
6.1.1.5 硬盘违规调换
产品应在初始安装时对对应网络的硬盘进行唯一标识,保证硬盘与网络一一对应,发现内外网硬盘
违规调换则发送报警。
6.1.1.6 内存及USB端口隔离
若产品以整机隔离系统的形态存在,产品应在物理上隔离内存及所有USB端口,确保所有的存储
设备都是物理上隔离的,从物理上保证数据安全性。
6.1.1.7 不可旁路
在与安全有关的操作(如配置修改、内部主机向外部主机传送信息等)被允许执行之前,产品应确保
其通过安全功能策略的检查。
6.1.1.8 客体重用
在为所有内部或外部网络上的主机连接进行资源分配时,产品应保证不提供以前连接的任何信息
内容。
6.1.2 应用及协议支持
产品应支持如下协议应用,每类应用协议支持应不少于2种,包括但不限于:
a) HTTP、FTP、SMB等或其他自定义的文件数据传输类协议应用;
b) SMTP、POP3等邮件类协议应用;
c) 数据库类协议应用;
d) SIP、RTSP等音视频类传输协议应用;
e) Modbus、OPC等工控类协议应用;
f) MQTT、JMS等物联网类协议应用;
g) API、WEBService等服务调用类协议应用;
h) HTTPS、FTPS等加密类协议应用。
注:根据产品分类及其应用领域不同产品支持的应用及协议在a)~h)中选择。
6.1.3 信息过滤
针对产品所支持的协议应用类型不同,产品具备如下安全功能。
a) 文件类传输协议应用,支持:
1) 应用协议的协议命令过滤;
2) 应对传输的数据内容进行关键字过滤;
3) 应对传输的文件类型进行过滤;
4) 若能够对传输的图片文件进行识别,则应能够识别文件中的非图片数据并过滤。
b) 邮件类传输协议应用,支持:
1) 应用协议的协议规约检查;
2) 应对传输的数据内容进行关键字过滤,包括主题、附件中的关键字;
3) 应对传输的附件类型进行过滤。
c) 数据库类传输协议应用,支持:
1) 应用协议的协议命令过滤;
2) 应对传输的数据内容进行关键字过滤;
3) 宜对传输的表字段内容进行脱敏。
d) 音视频类传输协议应用,支持:
1) 应用协议的协议信令过滤;
2) 宜对流媒体数据编码格式过滤。
e) 工控类传输协议应用,支持:
1) 应用协议的协议命令过滤;
2) 应对传输的数据内容进行关键字过滤。
f) 物联网类传输协议应用,支持:
1) 应用协议的协议命令过滤;
2) 应用协议的数据过滤。
g) 服务调用类传输协议应用,支持:
1) 应用协议的协议命令过滤;
2) 应对传输的数据内容进行关键字过滤。
h) 加密类协议应用,支持:
1) 应用协议的协议命令过滤;
2) 宜对传输的文件类型进行过滤;
3) 宜对传输的数据内容进行关键字过滤。
注:与6.1.2产品所支持的应用及协议保持一致。
6.1.4 标记和强制访问控制
产品应能维护用户和应用数据的敏感标记,根据产品构建的强制访问控制模型,应能识别用户和应
用数据的敏感标记,根据标记执行强制访问控制策略。
6.1.5 攻击防护
6.1.5.1 拒绝服务攻击防护
产品应支持拒绝服务攻击防护功能,包括但不限于:
a) ICMPFlood攻击防护;
b) SYNFlood攻击防护;
c) UDPFlood攻击防护;
d) PingofDeath攻击防护。
6.1.5.2 恶意代码防护
产品应具备特征库,支持恶意代码防护功能,能够检测并拦截数据传输过程中所携带的恶意代码。
6.1.6 安全隔离
6.1.6.1 域隔离
为保护产品安全功能免遭不可信主体(内部或外部网络上的主机)的干扰和篡改,产品安全功能应
为其自身的执行环境设定一个安全区域,并把产品控制范围内的各个主体(内部或外部网络上的主机)
的安全区域分隔开。
6.1.6.2 标记隔离
为保护产品安全功能免遭不可信主体(内部或外部网络上的主机)的干扰和篡改,产品安全功能应
为其自身的执行环境设定一个安全区域,该安全区域被标记为高安全等级,授权管理员以及产品所覆盖
的所有主体(内部或外部网络上的主机)授权后只能读取该区域存储的文件、程序,不能进行删除和修
改,采用强制访问控制策略。
6.1.7 高可用
6.1.7.1 容错
产品应具有“主-备”模式的容错能力,当一台产品因电源、CPU等硬件出现故障或软件错误导致
异常时,容错功能将当前安全服务功能自动切换到另一台产品上继续运行,保证安全功能的可用性。
6.1.7.2 集群
产品应具有集群部署的能力,多台产品同时对内部和外部网络提供安全服务功能,当一台产品因电
源、CPU等硬件出现故障或软件错误导致异常时,另外的产品继续提供安全服务功能,保证安全功能的
可用性。
6.1.8 数据完整性
产品应具有完整性保护功能,包括但不限于:
a) 保护储存于设备中的鉴别数据和信息传输策略不受未授权查阅、修改和破坏;
b) 具备数据传输过程的完整性保护,保证传输的数据完整性。
6.1.9 安全审计与分析
6.1.9.1 安全审计
产品应支持安全审计功能,包括但不限于以下内容。
a) 记录事件类型:
1) 被产品访问控制策略匹配的访问请求;
2) 被产品访问控制策略阻断的访问请求;
3) 检测到的攻击行为。
b) 日志内容:
1) 事件发生的日期和时间;
2) 事件发生的主体、客体和描述,其中数据包日志包括协议类型、源地址、目标地址、源端口
和目标端口等;
3) 攻击事件的描述。
c) 日志管理:
1) 仅允许授权管理员访问日志,并提供日志查阅、导出等功能;
2) 能对审计事件按日期、时间、主体、客体等条件查询;
3) 日志存储于掉电非易失性存储介质中,保存时间不少于6个月;
4) 存储空间达到阈值时,以告警方式通知授权管理员,并确保审计功能的正常运行;
5) 日志支持自动化备份至其他存储设备。
6.1.9.2 告警
产品应支持对访问控制策略阻断的和攻击行为等进行告警,并对高频发生的相同告警事件进行合
并告警,避免出现告警风暴。告警方式为声光、界面提示、邮件或短消息等方式,告警信息至少包括以下
内容:
a) 事件主体;
b) 事件客体;
c) ......
|