搜索结果: GB/T 20270-2006, GB/T20270-2006, GBT 20270-2006, GBT20270-2006
| 标准编号 | GB/T 20270-2006 (GB/T20270-2006) | | 中文名称 | 信息安全技术 网络基础安全技术要求 | | 英文名称 | Information security technology -- Basis security techniques requirement for network | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 67,613 | | 发布日期 | 2006-05-31 | | 实施日期 | 2006-12-01 | | 引用标准 | GB 17859-1999; GB/T 20271-2006 | | 标准依据 | 中国国家标准批准发布公告 2006年第7号(总第94号) | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准依据GB 17859-1999的五个安全保护等级的划分, 根据网络系统在信息系统中的作用, 规定了各个安全等级的网络系统所需要的基础安全技术的要求。本标准适用于按等级化的要求进行的网络系统的设计和实现, 对按等级化要求进行的网络系统安全的测试和管理可参照使用。 | GB/T 20270-2006: 信息安全技术 网络基础安全技术要求
GB/T 20270-2006 英文名称: Information security technology -- Basis security techniques requirement for network
中华人民共和国国家标准
GB/T 20270-2006
信息安全技术
网络基础安全技术要求
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
1 范围
本标准依据GB 17859-1999的五个安全保护等级的划分,根据网络系统在信息系统中的作用,规
定了各个安全等级的网络系统所需要的基础安全技术的要求。
本标准适用于按等级化的要求进行的网络系统的设计和实现,对按等级化要求进行的网络系统安
全的测试和管理可参照使用。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后的
所有修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研
究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
3 术语、定义和缩略语k
4 网络安全组成与相互关系
根据OSI参考模型和GB 17859-1999所规定的安全保护等级和安全要素,网络安全的组成与相
互关系如表1所示。
对于网络系统的物理层、链路层、网络层、传输层、会话层、表示层和应用层,可分别按GB 17859-
1999的各个安全等级的要求进行设计。
在各协议层中,安全要素的实现方法可有所不同。本标准基于各项安全要素对各协议层在各个安
全保护等级中应采用的安全技术和机制提出要求。
5 网络安全功能基本要求
5.1 身份鉴别
5.1.1 用户标识
a) 基本标识:应在SSF实施所要求的动作之前,先对提出该动作要求的用户进行标识。
b) 唯一性标识:应确保所标识用户在信息系统生存周期内的唯一性,并将用户标识与安全审计
相关联。
c) 标识信息管理:应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或删除。
5.1.2 用户鉴别
a) 基本鉴别:应在SSF实施所要求的动作之前,先对提出该动作要求的用户成功地进行鉴别。
b) 不可伪造鉴别:应检测并防止使用伪造或复制的鉴别数据。一方面,要求SSF应检测或防止
由任何别的用户伪造的鉴别数据,另一方面,要求SSF应检测或防止当前用户从任何其他用
户处复制的鉴别数据的使用。
c) 一次性使用鉴别:应能提供一次性使用鉴别数据操作的鉴别机制,即SSF应防止与已标识过
的鉴别机制有关的鉴别数据的重用。
d) 多机制鉴别:应能提供不同的鉴别机制,用于鉴别特定事件的用户身份,并且SSF应根据所描
述的多种鉴别机制如何提供鉴别的规则,来鉴别任何用户所声称的身份。
e) 重新鉴别:应有能力规定需要重新鉴别用户的事件,即SSF应在需要重鉴别的条件表所指示
的条件下,重新鉴别用户。例如,用户终端操作超时被断开后,重新连接时需要进行重鉴别。
5.1.3 用户-主体绑定
在SSON安全功能控制范围之内,对一个已标识和鉴别的用户,为了要求SSF完成某个任务,需要
激活另一个主体(如进程),这时,要求通过用户-主体绑定将该用户与该主体相关联,从而将用户的身
份与该用户的所有可审计行为相关联。
5.1.4 鉴别失败处理
要求SSF为不成功的鉴别尝试次数(包括尝试数目和时间的阈值)定义一个值,以及明确规定达到
该值时所应采取的动作。鉴别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数
目相同的情况,并进行预先定义的处理。
5.2 自主访问控制
5.2.1 访问控制策略
SSF应按确定的自主访问控制安全策略进行设计,实现对策略控制下的主体与客体间操作的控制。
可以有多个自主访问控制安全策略,但它们必须独立命名,且不能相互冲突。常用的自主访问控制策略
包括:访问控制表访问控制、目录表访问控制、权能表访问控制等。
5.2.2 访问控制功能
SSF应明确指出采用一条命名的访问控制策略所实现的特定功能,说明策略的使用和特征,以及该
策略的控制范围。
无论采用何种自主访问控制策略,SSF应有能力提供:
---在安全属性或命名的安全属性组的客体上,执行访问控制SFP;
---在基于安全属性的允许主体对客体访问的规则的基础上,允许主体对客体的访问;
---在基于安全属性的拒绝主体对客体访问的规则的基础上,拒绝主体对客体的访问。
5.2.3 访问控制范围
网络系统中自主访问控制的覆盖范围分为:
a) 子集访问控制:要求每个确定的自主访问控制,SSF应覆盖网络系统中所定义的主体、客体及
其之间的操作;
b) 完全访问控制:要求每个确定的自主访问控制,SSF应覆盖网络系统中所有的主体、客体及其
之间的操作,即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的所有操作将至
少被一个确定的访问控制SFP覆盖。
5.2.4 访问控制粒度
网络系统中自主访问控制的粒度分为:
a) 粗粒度:主体为用户组/用户级,客体为文件、数据库表级;
b) 中粒度:主体为用户级,客体为文件、数据库表级和/或记录、字段级;
c) 细粒度:主体为用户级,客体为文件、数据库表级和/或记录、字段级或元素级。
5.3 标记
5.3.1 主体标记
应为实施强制访问控制的主体指定敏感标记,这些敏感标记是实施强制访问控制的依据。如:等级
分类和非等级类别组合的敏感标记是实施多级安全模型的基础。
5.3.2 客体标记
应为实施强制访问控制的客体指定敏感标记,这些敏感标记是实施强制访问控制的依据。如:等级
分类和非等级类别组合的敏感标记是实施多级安全模型的基础。
5.3.3 标记完整性
敏感标记应能准确地表示特定主体或客体的访问控制属性,主体和客体应以此发生关联。当数据
从SSON输出时,根据需要,敏感标记应能准确地和明确地表示输出数据的内部标记,并与输出的数据
相关联。
5.3.4 有标记信息的输出
SSON应对每个通信信道和I/O设备标明单级或多级。这个标志的任何变化都应由授权用户实
现,并可由SSON审计。SSON应维持并且能够对安全保护等级的任何变化进行审定,或对与通信信道
或I/O设备有关的安全保护等级进行安全审计。
a) 向多级安全设备的输出:当SSON将一客体信息输出到一个具有多级安全的I/O设备时,与
该客体有关的敏感标记也应输出,并以与输出信息相同的形式(如机器可读或人可读形式)驻
留在同一物理媒体上。当SSON在多级通信信道上输出或输入一客体信息时,该信道使用的
协议应在敏感标记和被发送或被接收的有关信息之间提供明确的配对关系。
b) 向单级安全设备的输出:单级I/O设备和单级通信信道不需要维持其处理信息的敏感标记,
但SSON应包含一种机制,使SSON与一个授权用户能可靠地实现指定的安全级的信息通
信。这种信息经由单级通信信道或I/O设备输入/输出。
c) 人可读标记的输出:SSON应标记所有人可读的、编页的、具有人可读的敏感标记的硬拷贝输
出(如行打印机输出)的开始和结束,以适当地表示输出敏感性。SSON应按默认值标记人可
读的、编页的、具有人可读的敏感标记的硬拷贝输出(如行打印机输出)每页的顶部和底部,以
适当地表示该输出总的敏感性,或表示该页信息的敏感性。SSON应该按默认值,并以一种适
当方法标记具有人可读的敏感标记的其他形式的人可读的输出(如图形),以适当地表示该输
出的敏感性。这些标记默认值的任何滥用都应由SSON审计。
5.4 强制访问控制
5.4.1 访问控制策略
网络强制访问控制策略应包括策略控制下的主体、客体,及由策略覆盖的被控制的主体与客体间的
操作。可以有多个访问控制安全策略,但它们必须独立命名,且不能相互冲突。当前常见的强制访问控
制策略有:
a) 多级安全模型:基本思想是,在对主、客体进行标记的基础上,SSOIS控制范围内的所有主体对
客体的直接或间接的访问应满足:
---向下读原则:仅当主体标记中的等级分类高于或等于客体标记中的等级分类,且主体标记
中的非等级类别包含了客体标记中的全部非等级类别,主体才能读该客体;
---向上写原则:仅当主体标记中的等级分类低于或等于客体标记中的等级分类,且主体标记
中的非等级类别包含于客体标记中的非等级类别,主体才能写该客体。
b) 基于角色的访问控制(BRAC):基本思想是,按角色进行权限的分配和管理;通过对主体进行
角色授予,使主体获得相应角色的权限;通过撤消主体的角色授予,取消主体所获得的相应角
色权限。在基于角色的访问控制中,标记信息是对主体的授权信息。
c) 特权用户管理:基本思想是,针对特权用户权限过于集中所带来的安全隐患,对特权用户按最
小授权原则进行管理。实现特权用户的权限分离;仅授予特权用户为完成自身任务所需要的
最小权限。
5.4.2 访问控制功能
SSF应明确指出采用一条命名的强制访问控制策略所实现的特定功能。SSF应有能力提供:
---在标记或命名的标记组的客体上,执行访问控制SFP;
---按受控主体和受控客体之间的允许访问规则,决定允许受控主体对受控客体执行受控操作;
---按受控主体和受控客体之间的拒绝访问规则,决定拒绝受控主体对受控客体执行受控操作。
5.4.3 访问控制范围
网络强制访问控制的覆盖范围分为:
a) 子集访问控制:对每个确定的强制访问控制,SSF应覆盖信息系统中由安全功能所定义的主
体、客体及其之间的操作;
b) 完全访问控制:对每个确定的强制访问控制,SSF应覆盖信息系统中所有的主体、客体及其之
间的操作,即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的操作将至少被一
个确定的访问控制SFP覆盖。
5.4.4 访问控制粒度
网络强制访问控制的粒度分为:
a) 中粒度:主体为用户级,客体为文件、数据库表级和/或记录、字段级;
b) 细粒度:主体为用户级,客体为文件、数据库表级和/或记录、字段级和/或元素级。
5.4.5 访问控制环境
a) 单一安全域环境:在单一安全域环境实施的强制访问控制应在该环境中维持统一的标记信息
和访问规则。当被控客体输出到安全域以外时,应将其标记信息同时输出;
b) 多安全域环境:在多安全域环境实施统一安全策略的强制访问控制时,应在这些安全域中维
持统一的标记信息和访问规则。当被控制客体在这些安全域之间移动时,应将其标记信息一
起移动。
5.5 数据流控制
对网络中以数据流方式实现数据流动的情况,应采用数据流控制机制实现对数据流动的控制,以防
止具有高等级安全的数据信息向低等级的区域流动。
5.6 安全审计
5.6.1 安全审计的响应
安全审计SSF应按以下要求响应审计事件:
a) 记审计日志:当检测到可能有安全侵害事件时,将审计数据记入审计日志;
b) 实时报警生成:当检测到可能有安全侵害事件时,生成实时报警信息;
c) 违例进程终止:当检测到可能有安全侵害事件时,将违例进程终止;
d) 服务取消:当检测到可能有安全侵害事件时,取消当前的服务;
e) 用户账号断开与失效:当检测到可能有安全侵害事件时,将当前的用户账号断开,并使其失效。
5.6.2 安全审计数据产生
SSF应按以下要求产生审计数据:
a) 为下述可审计事件产生审计记录:
---审计功能的启动和关闭;
---使用身份鉴别机制;
---将客体引入用户地址空间(例如:打开文件、程序初始化);
---删除客体;
---系统管理员、系统安全员、审计员和一般操作员所实施的操作;
---其他与系统安全有关的事件或专门定义的可审计事件。
b) 对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及
其他与审计相关的信息。
c) 对于身份鉴别事件,审计记录应包含请求的来源(例如:终端标识符)。
d) 对于客体被引入用户地址空间的事件及删除客体事件,审计记录应包含客体名及客体的安全
保护等级。
e) 将每个可审计事件与引起该事件的用户相关联。
5.6.3 安全审计分析
安全审计分析应包括:
a) 潜在侵害分析:应能用一系列规则去监控审计事件,并根据这些规则指出SSP的潜在侵害。
这些规则包括:
---由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合;
---任何其他的规则。
b) 基于异常检测的描述:应维护用户所具有的质疑等级---历史使用情况,以表明该用户的现
行活动与已建立的使用模式的一致性程度。当用户的质疑等级超过门限条件时,SSF应能指
......
|