搜索结果: GB/T 20277-2015, GB/T20277-2015, GBT 20277-2015, GBT20277-2015
| 标准编号 | GB/T 20277-2015 (GB/T20277-2015) | | 中文名称 | 信息安全技术 网络和终端隔离产品测试评价方法 | | 英文名称 | Information security technology -- Testing and evaluation approaches of network and terminal separation products | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 143,136 | | 发布日期 | 2015-05-15 | | 实施日期 | 2016-01-01 | | 旧标准 (被替代) | GB/T 20277-2006 | | 引用标准 | GB 17859-1999; GB/T 20279-2015; GB/T 25069-2010 | | 标准依据 | 国家标准公告2015年第15号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准依据GB/T 20279-2015的技术要求, 规定了网络和终端隔离产品的测试评价方法。本标准适用于按照GB/T 20279-2015的安全等级要求所开发的网络和终端隔离产品的测试和评价。 | GB/T 20277-2015: 信息安全技术 网络和终端隔离产品测试评价方法
GB/T 20277-2015 英文名称: Information security technology -- Testing and evaluation approaches of network and terminal separation products
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 20277-2006
信息安全技术 网络和终端隔离产品
测试评价方法
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
1 范围
本标准依据GB/T 20279-2015的技术要求,规定了网络和终端隔离产品的测试评价方法。
本标准适用于按照GB/T 20279-2015的安全等级要求所开发的网络和终端隔离产品的测试和
评价。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
5.2.2.1.1 安全属性定义
终端隔离产品的安全属性定义的测试评价方法和预期结果如下:
a) 测试评价方法:
评估开发者提供的文档,对于信息存储与传输部件,终端隔离产品所必需的安全属性,并且说
明具体的内容。测试产品的安全属性定义,记录测试结果并对该结果是否完全符合上述测试
评价方法要求做出判断。
b) 预期结果:
产品应能够设定安全属性,应至少包括不同安全域网络切换方式、光驱和软驱等存储设备处在
哪个安全区域、网络设备接入方式和其他在开发者文档中提及的安全属性。
5.2.2.1.5 网络非法外联
终端隔离产品的网络非法外联的测试评价方法和预期结果如下:
a) 测试评价方法:
评估开发者提供文档,包括网络非法外联的详细描述。模拟非法外联事件的产生,测试终端隔
离产品的安全功能能够保证用户在内网状态下,随时监测用户网络是否与互联网相连接,一旦
发现是否立即禁用网络并给出报警的功能。记录测试结果并对该结果是否完全符合上述测试
评价方法要求做出判断。
b) 预期结果:
终端隔离产品的安全功能应保证用户在内网状态下,随时监测用户网络是否与互联网相连接,
一旦发现应立即禁用网络并给出报警,确保内网安全。
5.2.2.1.6 切换信号一致性
终端隔离产品的切换信号一致性的测试评价方法和预期结果如下:
a) 测试评价方法:
评估开发者提供的文档,包括切换信号一致性的详细描述。测试对被隔离的计算机信息资源
进行切换时,终端隔离产品的安全功能由同一信号对隔离的计算机信息资源进行切换,确保一
致性的功能。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。
b) 预期结果:
对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能应由同一信号对隔离的计
算机信息资源进行切换,确保一致性。
5.3.1.1.1 基本的信息流控制策略
网络隔离产品的基本的信息流控制策略的测试评价方法和预期结果如下:
a) 测试评价方法:
1) 评估开发者提供的文档,包括基本的信息流控制策略的详细描述。模拟生成设备所支持
的信息流,测试对主体、客体以及经过网络隔离产品的主客体之间的所有操作,网络隔离
产品基本的信息流控制策略能够执行以下端到端基本的信息流控制策略:
---所有主客体之间发送和接收的信息流是否执行了网络层协议剥离,查看还原成为应
用层数据的能力;
---主客体之间发送和接收的信息流经过了安全策略允许后传输;
---授权管理员与网络隔离产品间发送的管理信息经过了安全策略允许后传输;
2) 记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。
b) 预期结果:
针对主体、客体以及经过网络隔离产品的主客体之间的所有操作,网络隔离产品基本的信息流
控制策略应能够执行以下端到端基本的信息流控制策略:
1) 所有主客体之间发送和接收的信息流应执行网络层协议剥离,还原成应用层数据;
2) 主客体之间发送和接收的信息流应经过安全策略允许后传输;
3) 授权管理员与网络隔离产品间发送的管理信息应经过安全策略允许后传输。
2) 记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。
b) 预期结果:
网络隔离产品应能执行上述操作,并且网络隔离产品的各种备份(如安全配置的备份,审计记
录的备份)工作可以通过自动工具完成。如果网络隔离产品支持外部或内部接口的远程管理,
尝试关闭内部和外部接口或其中之一及配置远程管理地址,网络隔离产品应允许这些操作的
执行;从未授权远程管理的主机地址,尝试进行远程管理,网络隔离产品应予以拒绝;远程管理
会话应进行加密保护。
5.3.1.3.3 独立管理接口
网络隔离产品的独立管理接口的测试评价方法和预期结果如下:
a) 测试评价方法:
评估开发者提供的文档,包括独立管理接口的详细描述。测试网络隔离产品使用与通讯接口
相互独立的管理接口与授权管理员连接,授权管理员经过身份鉴别后,是否采用多因素身份鉴
别和加密方式建立授权管理员与网络隔离产品间的可信路径,是否禁止其他用户非授权访问
管理接口。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。
b) 预期结果:
网络隔离产品应使用与通讯接口相互独立的管理接口与授权管理员连接,授权管理员经过身
份鉴别后,应采用多因素身份鉴别和加密方式建立授权管理员与网络隔离产品间的可信路径,
应禁止其他用户非授权访问管理接口。
5.3.1.4 标识和鉴别
5.3.1.4.1 基本安全属性定义
网络隔离产品的基本安全属性定义的测试评价方法和预期结果如下:
a) 测试评价方法:
评估开发者提供的文档,包括对于每一个授权管理员、构成系统的信息传输与控制部件、应用
层数据采集与接受部件,网络隔离产品为其提供一套唯一的、为了执行安全功能策略所必需的
安全属性,并且说明具体的内容。测试产品是否设定了这些安全属性,至少包括授权管理员的
安全属性、构成系统的信息传输与控制部件的安全属性、应用层数据采集与接受部件的安全属
性和其他在开发者文档中提及的安全属性。如果产品设定规定范围内的安全属性和开发者文
档中存在的安全属性,则此项判定为合格。记录测试结果并对该结果是否完全符合上述测试
评价方法要求做出判断。
b) 预期结果:
产品应设定至少包括授权管理员的安全属性、构成系统的信息传输与控制部件的安全属性、应
用层数据采集与接受部件的安全属性和其他在开发者文档中提及的安全属性。
5.3.1.4.2 属性初始化
网络隔离产品的属性初始化的测试评价方法和预期结果如下:
a) 测试评价方法:
评估开发者提供的文档,包括属性初始化的详细描述。按照开发者提供的初始化方法进行初
始化,审查初始化结果是否与文档宣称的初始化值一致。记录测试结果并对该结果是否完全
符合上述测试评价方法要求做出判断。
b) 预期结果:
测试结果应完全符合上述测试评价方法要求做出判断,测试和审查的初始化过程和结果应符
合文档说明。
5.3.2.1.5 不可旁路
网络隔离产品的不可旁路的测试评价方法和预期结果如下:
a) 测试评价方法:
评估开发者提供的文档,包括不可旁路保护的详细描述。审查文档并且验证其是否真实。提
供文档说明网络隔离产品采用何种机制和措施,确保安全策略的不可旁路性,即任何与安全有
关的操作被允许执行之前,都必须通过安全策略的检查。文档应该分析并确认,网络隔离产品
确实控制了端设备用户的每次访问请求,不存在其他可能旁路网络隔离产品的途径。记录测
试结果并对该结果是否完全符合上述测试评价方法要求做出判断。
b) 预期结果:
产品应不存在其他可能旁路网络隔离产品的途径。
5.3.2.3.1 区分安全管理角色
网络隔离产品的区分安全管理角色的测试评价方法和预期结果如下:
a) 测试评价方法:
依据开发者所提供的区分安全管理角色的详细描述进行测试:
1) 产品至少提供两类用户角色,至少有一类为管理员角色,保证此两类用户角色并不相同。
评价者测试此两类用户角色是否不同,且有一类属于管理员角色;
2) 创建一未授予安全管理角色的普通用户,以此用户执行安全管理功能相关操作,网络隔离
产品拒绝其操作;
3) 将安全管理角色授与此用户,再次执行安全管理功能的相关操作(应包括安装、配置和管
理网络隔离产品安全功能本身所需的所有功能,其中至少应包括:增加和删除主体(发送
信息的主机)和客体(接受信息的主机),查阅安全属性,分配、修改和撤销安全属性,查阅
和管理审计数据),测试网络隔离产品是否允许其操作;
4) 记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。
b) 预期结果:
1) 产品应至少提供两类用户角色,至少有一类为管理员角色,保证此两类用户角色并不
相同;
2) 网络隔离产品应拒绝未授予安全管理角色的普通用户执行安全管理功能相关操作;
3) 将安全管理角色授与此用户,再次执行安全管理功能的相关操作(应包括安装、配置和管
理网络隔离产品安全功能本身所需的所有功能,其中至少应包括:增加和删除主体(发送
信息的主机)和客体(接受信息的主机),查阅安全属性,分配、修改和撤销安全属性,查阅
和管理审计数据),网络隔离产品应允许其操作。
5.3.2.3.2 管理功能
网络隔离产品的管理功能的测试评价方法和预期结果如下:
a) 测试评价方法:
1) 评估开发者提供的文档,包括管理功能的详细描述。以授权管理员身份登录,测试能够进
行如下操作:
---设置和更新与安全相关的数据;
---网络隔离产品的安装及初始化;
---系统启动和关闭;
---备份和恢复系统配置信息。
2) 记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。
b) 预期结果:
网络隔离产品应能执行上述操作,并且网络隔离产品的各种备份(如安全配置的备份,审计记
录的备份)工作可以通过自动工具完成。如果网络隔离产品支持外部或内部接口的远程管理,
尝试关闭内部和外部接口或其中之一及配置远程管理地址,网络隔离产品应允许这些操作的
执行;从未授权远程管理的主机地址,尝试进行远程管理,网络隔离产品应予以拒绝;远程管理
会话应进行加密保护。
5.3.2.3.3 独立管理接口
网络隔离产品的独立管理接口的测试评价方法和预期结果如下:
a) 测试评价方法:
评估开发者提供的文档,包括独立管理接口的详细描述。测试网络隔离产品使用与通讯接口
相互独立的管理接口与授权管理员连接,授权管理员经过身份鉴别后,是否采用多因素身份鉴
别和加密方式建立授权管理员与网络隔离产品间的可信路径,是否禁止其他用户非授权访问
管理接口。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。
b) 预期结果:
网络隔离产品应使用与通讯接口相互独立的管理接口与授权管理员连接,授权管理员经过身
份鉴别后,应采用多因素身份鉴别和加密方式建立授权管理员与网络隔离产品间的可信路径,
应禁止其他用户非授权访问管理接口。
5.3.2.4.1 敏感标记
网络隔离产品的敏感标记的测试评价方法和预期结果如下:
a) 测试评价方法:
评估开发者提供的文档,包括标记的相关文档。根据开发者提供的文档,对主体和客体设定敏
感标记。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。
b) 预期结果:
产品应支持对主体和客体进行敏感标记。
5.3.2.4.2 基本安全属性定义
网络隔离产品的基本安全属性定义的测试评价方法和预期结果如下:
a) 测试评价方法:
评估开发者提供的文档,包括对于每一个授权管理员、构成系统的信息传输与控制部件、应用
层数据采集与接受部件,网络隔离产品为其提供一套唯一的、为了执行安全功能策略所必需的
安全属性,并且说明具体的内容。测试产品是否设定了这些安全属性,至少包括授权管理员的
安全属性、构成系统的信息传输与控制部件的安全属性、应用层数据采集与接受部件的安全属
性和其他在开发者文档中提及的安全属性。如果产品设定规定范围内的安全属性和开发者文
档中存在的安全属性,则此项判定为合格。记录测试结果并对该结果是否完全符合上述测试
评价方法要求做出判断。
b) 预期结果:
对于每一个授权管理员,网络隔离产品安全功能应为其提供一套唯一的、为了执行安全功能策
略提供的增强的安全属性。测试产品应设定基本的安全属性,至少包括设备网络参数、设备接
口属性、安全管理参数、安全参数、外部可信IT产品参数配置、系统参数、用户角色属性、用户
管理属性、主机地址、服务端口、使用时间或时间段、内容关键字和其他在开发者文档中提及的
基本的安全属性,如果产品设定规定范围内的基本的安全属性和开发者文档中存在的基本的
安全属性,则此项判定为合格。
5.3.2.......
|