網(wǎng)絡(luò)隔離產(chǎn)品檢驗規(guī)范

1、精品ICS 35.240A 90GF 公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心檢驗規(guī)范 MSTL JGF 04-004 0101 2006信息安全技術(shù)網(wǎng)閘產(chǎn)品檢驗規(guī)范2006-01-01 發(fā)布2006-02-01 實施可編輯公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心發(fā)布精品MSTL_JGF_04-004 0101 2006目次前 言 II1 范圍 12 規(guī)范性引用文件 13 術(shù)語和定義 14 產(chǎn)品安全功能要求 14.1 訪問控制 14.2 身份鑒別 24.3 客體重用 34.4 審計 34.5 數(shù)據(jù)完整性 35 產(chǎn)品安全保證要求 36 網(wǎng)閘安全功能的等級劃分 3可編輯精品MSTL_JGF

2、_04-004 0101 2006為了規(guī)范全國網(wǎng)閘產(chǎn)品的開發(fā)與應(yīng)用，保障公共信息網(wǎng)絡(luò)安全，根據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局的要求，本規(guī)范對網(wǎng)閘產(chǎn)品提出了安全功能要求和保證要求，作為對其進行檢測的依據(jù)。本規(guī)范由中華人民共和國公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局批準。本規(guī)范起草單位：公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心。公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心負責對本規(guī)范的解釋、提升和更改?？删庉婭I精品MSTL_JGF_04-004 0101 2006信息安全技術(shù) 網(wǎng)閘產(chǎn)品檢驗規(guī)范1 范圍本規(guī)范規(guī)定了網(wǎng)閘產(chǎn)品的安全功能要求和安全保證要求。 本規(guī)范適用于網(wǎng)閘產(chǎn)品的開發(fā)及檢測。2 規(guī)范性引用文件

3、 下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的 修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵根據(jù)本標準達成協(xié)議的各方研究 是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。idtGB/T 18336.3 2001 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則 第 3部分：安全保證要求（ ISO/IEC 15408-3:1999 ）3 術(shù)語和定義3.1 協(xié)議轉(zhuǎn)換 protocol conversion 在隔離產(chǎn)品中，協(xié)議轉(zhuǎn)換的定義是協(xié)議的剝離和重建。在所屬某一安全域的隔離產(chǎn)品一端，把基于 網(wǎng)絡(luò)的公共協(xié)議中的應(yīng)用

4、數(shù)據(jù)剝離出來，封裝為系統(tǒng)專用協(xié)議傳遞至所屬其他安全域的隔離產(chǎn)品另一 端，再進行一次協(xié)議剝離并用封裝成需要的格式。3.2 信息擺渡 information ferry 信息交換的一種方式，物理傳輸信道只在傳輸進行時存在。信息傳輸時，信息先由信息源所在安全 域一端傳輸至中間緩存區(qū)域，同時物理斷開中間緩存區(qū)域與信息目的所在安全域的連接；隨后接通中間 緩存區(qū)域與信息目的所在安全域的傳輸信道，將信息傳輸至信息目的所在安全域，同時在信道上物理斷 開信息源所在安全域與中間緩存區(qū)域的連接。3.3 網(wǎng)閘 net gate 該信息安全產(chǎn)品位于兩個不同安全域之間，通過協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實現(xiàn)數(shù)據(jù)交換，

5、且只有被系統(tǒng)明確要求傳輸?shù)男畔⒖梢酝ㄟ^。其信息流一般是通用應(yīng)用服務(wù)。4 產(chǎn)品安全功能要求4.1 訪問控制4.1.1 安全屬性定義 對于每一個授權(quán)管理員、構(gòu)成系統(tǒng)的信息傳輸與控制部件和主機，網(wǎng)閘安全功能應(yīng)為其提供一套唯 一的、為了執(zhí)行安全功能策略所必需的安全屬性。4.1.2 屬性初始化 網(wǎng)閘安全功能應(yīng)提供用默認值對授權(quán)管理員和主機屬性初始化的能力。4.1.3 屬性修改 網(wǎng)閘安全功能應(yīng)僅向授權(quán)管理員提供修改下述（包含但不僅限于）參數(shù)的能力： 標識與角色（例如：配置管理員等）的關(guān)系；a）源地址、目的地址、傳輸層協(xié)議和請求的服務(wù)（例如：源端口號或目的端口號等訪問控制屬 性）；b）配置的安全參數(shù)（例如：

6、最大鑒別失敗次數(shù)等數(shù)據(jù)）可編輯精品MSTL_JGF_04-004 0101 20064.1.4 屬性查詢 網(wǎng)閘安全功能應(yīng)僅向授權(quán)管理員提供以下查詢：a) 源地址、目的地址、傳輸層協(xié)議和請求的服務(wù)(例如：源端口號或目的端口號等訪問控制屬 性)；b) 通過網(wǎng)閘傳送信息的主機信息。4.1.5 訪問授權(quán)與拒絕網(wǎng)閘安全功能應(yīng)根據(jù)主體和客體的安全屬性值 源地址、目的地址、傳輸層協(xié)議和請求的服務(wù)(例 如：源端口號或目的端口號)、應(yīng)用層協(xié)議、應(yīng)用層關(guān)鍵字等 ，提供明確的訪問保障能力和拒絕訪問能 力。網(wǎng)閘還應(yīng)對內(nèi)外網(wǎng)數(shù)據(jù)傳輸鏈路進行物理上的時分切換，既內(nèi)外網(wǎng)絡(luò)在物理鏈路上不能同時與中間 交換單元連通。4.1.6

7、 不可旁路 在與安全有關(guān)的操作(例如安全屬性的修改、內(nèi)部網(wǎng)絡(luò)主機向外部網(wǎng)絡(luò)主機傳送信息等)被允許執(zhí) 行之前，網(wǎng)閘安全功能應(yīng)確保其通過安全功能策略的檢查。4.1.7 區(qū)分安全管理角色網(wǎng)閘安全功能：a) 應(yīng)將與安全相關(guān)的管理功能與其他功能區(qū)分開；b) 應(yīng)包括安裝、配置和管理隔離部件安全功能本身所需的所有功能，其中至少應(yīng)包括：增加和刪 除主體(發(fā)送信息的主機)和客體(接受信息的主機)，查閱安全屬性，分配、修改和撤銷安 全屬性，查閱和管理審計數(shù)據(jù)；c) 應(yīng)把執(zhí)行與安全相關(guān)的管理功能的能力限定為一種安全管理職責，該職責具有一套特別授權(quán)的 功能和響應(yīng)的責任；d) 應(yīng)能把授權(quán)執(zhí)行管理功能的授權(quán)管理員與使用隔

8、離部件的所有其他個人或系統(tǒng)分開；e) 應(yīng)僅允許授權(quán)管理員承擔安全管理職責；f) 應(yīng)在提出一個明確的請求以后，才會讓授權(quán)管理員承擔安全管理職責。4.1.8 管理功能網(wǎng)閘安全功能應(yīng)向授權(quán)管理員提供如下管理功能：a) 能設(shè)置和更新與安全相關(guān)的數(shù)據(jù)；b) 能執(zhí)行隔離部件的安裝及初始化、系統(tǒng)啟動和關(guān)閉、備份和恢復(fù)的能力，備份能力應(yīng)有自動工 具的支持；c) 如果隔離部件安全功能支持外部或內(nèi)部接口的遠程管理，那么它應(yīng)：1) 具有對兩個接口或其中之一關(guān)閉遠程管理的選擇權(quán)；2) 能限制那些可進行遠程管理的地址；3) 能通過加密來保護遠程管理對話。4.2 身份鑒別4.2.1 鑒別數(shù)據(jù)初始化 網(wǎng)閘安全功能應(yīng)根據(jù)規(guī)定

9、的鑒別機制，提供授權(quán)管理員鑒別數(shù)據(jù)的初始化功能,并確保僅允許授權(quán)管理員使用這些功能。4.2.2 鑒別時機 在所有授權(quán)管理員請求執(zhí)行的任何操作之前，網(wǎng)閘安全功能應(yīng)確保對每個授權(quán)管理員進行了身份鑒別。4.2.3 最少反饋 當進行鑒別時，網(wǎng)閘安全功能應(yīng)僅將最少的反饋提供給用戶。4.2.4 鑒別失敗處理 在經(jīng)過一定次數(shù)的鑒別失敗以后，網(wǎng)閘安全功能應(yīng)能終止進行登錄嘗試主機建立會話的過程。最多可編輯MSTL_JGF_04-004 0101 2006 失敗次數(shù)僅由授權(quán)管理員設(shè)定。4.3 客體重用 在為所有內(nèi)部或外部網(wǎng)上的主機連接進行資源分配時，隔離部件安全功能應(yīng)保證不提供以前連接的 任何信息內(nèi)容。4.4 審

10、計4.4.1 審計數(shù)據(jù)生成 網(wǎng)閘安全功能應(yīng)能對下列可審計事件生成一個審計記錄： a) 審計功能的啟動和關(guān)閉；b) 任何對審計記錄進行操作的嘗試，包括關(guān)閉審計功能或子系統(tǒng)，以及受影響客體的標識；c) 任何讀取、修改、破壞審計記錄的嘗試；d) 所有對隔離部件規(guī)則覆蓋的客體(內(nèi)部或外部網(wǎng)絡(luò)上的主機)執(zhí)行操作的請求，以及受影響客 體的標識；e) 修改安全屬性的所有嘗試，以及修改后安全屬性的新值；f) 所有使用安全功能中鑒別數(shù)據(jù)管理機制的請求；g) 所有訪問鑒別數(shù)據(jù)的請求，以及訪問請求的目標；h) 任何對鑒別機制的使用；i) 所有使用標識機制的嘗試；j) 所有對安全功能配置參數(shù)的修改(設(shè)置和更新)，無論

11、成功與否，以及配置參數(shù)的新值； 對于每一個審計記錄，隔離部件安全功能應(yīng)至少記錄以下信息：事件發(fā)生的日期和時間，事件的類 型，主體身份和成功或失敗事件。4.4.2 審計記錄管理 網(wǎng)閘安全功能應(yīng)使授權(quán)管理員能創(chuàng)建、存檔、刪除和清空審計記錄。4.4.3 可理解的格式 網(wǎng)閘安全功能應(yīng)使存儲于永久性審計記錄中的所有審計數(shù)據(jù)可為人所理解。4.4.4 限制審計記錄訪問 網(wǎng)閘安全功能應(yīng)僅允許授權(quán)管理員訪問審計記錄。4.4.5 可選擇查閱審計網(wǎng)閘安全功能應(yīng)提供能按主體 ID (標識符)、客體 ID 、日期、時間以及這些參數(shù)的邏輯組合等參數(shù) 對審計數(shù)據(jù)進行查找和排序的審計查閱工具。4.4.6 防止審計數(shù)據(jù)丟失 網(wǎng)

12、閘安全功能應(yīng)把生成的審計記錄儲存于一個永久性的審計記錄中,并應(yīng)限制由于故障和攻擊造成的審計事件丟失的數(shù)量； 對因故障或存儲耗竭而導致審計數(shù)據(jù)丟失的最大審計存儲容量，網(wǎng)閘的開發(fā)者應(yīng)提供相應(yīng)的分析結(jié)果。4.5 數(shù)據(jù)完整性 網(wǎng)閘安全功能應(yīng)保護儲存于設(shè)備中的鑒別數(shù)據(jù)和信息傳輸策略不受未授權(quán)查閱、修改和破壞。5 產(chǎn)品安全保證要求安全保證要求按 GB/T 18336.3 2001 第二級執(zhí)行。6 網(wǎng)閘安全功能的等級劃分依據(jù)網(wǎng)閘的開發(fā)、生產(chǎn)現(xiàn)狀及實際應(yīng)用情況，我們對網(wǎng)閘類產(chǎn)品的安全功能要求劃分成二個等級。 網(wǎng)閘安全功能的等級劃分如表 1 所示。MSTL_JGF_04-004 0101 2006表 1 網(wǎng)閘產(chǎn)品安全功能等級劃分表安全功能類4.1.1 安全屬性定義基本要求增強要求4.1.2 屬性初始化4.1.3 屬性修改4.1.4 屬性查詢4.1.5 訪問授權(quán)與拒絕4.1.6 不可旁路4.1.7 區(qū)分安全管理角色4.1.