ICS _35. 040 A 90 GA 中华人民共和国公共安全行业标准 GA/T 6812007 信息安全技术 网关安全技术要求 Information security technology-Technical requirements of gateway 2007-03-20发布 2007-05-01实施 中华人民共和国公安部 发布 GA/T 681—2007 目 次 前言 引言 范围 规范性引用文件 3 术语和定义 网关的一 一般说明 4. 1 概述 4.2 安全环境 安全功能要求 5. 1 标识和鉴别 5. 2 审计 5. 3 通信抗抵赖 5. 4 标记 5. 5 自主访问控制 5.6 强制访问控制 5. 7 数据存储保护 5.8 数据传输保护 5.9 数据完整性保护 5.10 剩余信息保护 5.11 隐蔽信道分析 5.12 用户与网关间的可信路径 5.13 密码支持· 安全保证技术要求 6. 1 网关安全功能自身安全保护 6.2 网关安全设施设计和实现… 6.3 网关安全管理.. 网关安全保护等级划分 7. 1 第一级 用户自主保护级· 7. 2 第二级 系统审计保护级· 7. 3 第三级 安全标记保护级· 7. 4 第四级 结构化保护级…· 25 7. 5 第五级 访问验证保护级 附录A（资料性附录）标准概念说明 A. 1 组成与相互关系 A.2 网关安全等级的划分 A.3 关于网关中的主体与客体 A.4关于网关中的TCB、网关安全功能和网关安全功能策略 33 GA/T 681—2007 前言 本标准从信息技术方面详细规定了各安全保护级别的网关系统所应具有的安全功能要求和安全保 证要求。 本标准的附录 A为资料性附录。 本标准由公安部公共信息网络安全监察局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标准起草单位：中国科学院研究生院信息安全国家重点实验室。 本标准主要起草人：荆继武、冯登国、夏鲁宁、王琼弯、许良玉、轰晓峰、黄敏、高能、林璟、吕欣、 廖洪。 GA/T 6812007 引 言 本标准用以指导设计著如何设计和实现具有所需安全等级的网关产品，主要从对网关的安全保护 等级进行划分的角度来说明其技术要求，即主要说明为实现GB17859--1999中每一个安全保护等级 的安全要求对网关应采取的安全技术措施，以及各安全技术要求在不同安全保护等级中的具体差异。 本标准按GB17859一1999五个安全保护等级的划分，对每一个安全保护等级的安全功能技术要 求和安全保证技术要求做了详细描述。文中每一级别比上一级别新增的要求以加粗字表示。 GA/T 681-2007 信息安全技术 网关安全技术要求 范围 本标准规定了按GB17859—1999对网关进行安全等级保护划分所需要的详细技术要求。 本标准适用于按GB17859—1999的要求所进行的网关的设计和实现。按GB17859—1999的要 求对网关进行的测试、配置也可参照使用。 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有 的修改单（不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB17859—1999 计算机信息系统 安全保护等级划分准则 GB/T18336.1—2001 信息技术 安全技术 信息技术安全性评估准则 第1部分：简介和一 般模型 术语和定义 GB17859—1999和GB/T18336.1-2001中确立的以及下列术语和定义适用于本标准。 3. 1 主机host 主机指连接到一个或多个网络的设备，它可以向任何一个网络发送和接收数据，它在网关安全功能 策略控制下进行通信。 3. 2 用户 user 在网关中，用户与管理员同义，是指能访间网关并对网关进行管理和维护的个人。 注：为保持文中规范性语言与已有标准的一致性如“用户-主体绑定"等，本标准仍保留“用户"这个术语，面不是统一 叫做“管理员”。 3. 3 授权管理员 authorized administrator 能访问、实施、修改网关安全功能策略的个人，其职责仅限定于对网关的管理。 3. 4 可信主机 trusted host 允许授权管理员对网关进行远程管理的主机。 3. 5 网关gateway 网关是一种网络连接设备，实现不同网络之间的互连。 3. 6 网关安全设施 trusted computing base(TCB) of gateway 在网关系统中，网关的可信计算基是网关中保护装置的总称，包括硬件、固件、软件和负责执行安全 策略的组合体，在本标准中称为网关安全设施。它建立一个基本的保护环境，并提供网关所要求的附加 服务。在网关系统中，网关安全设施是物理上分散、逻辑上统一分布的。 1 GA/T 6812007 3. 7 网关安全功能 TCB security function(TSF) 正确实施网关安全设施安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现， 组成一个安全功能模块。网关安全设施的所有安全功能模块共同组成网关的安全功能。 3. 8 网关安全功能策略TCB security function policy(TSP）of gateway 对网关安全设施中的资源进行管理、保护和分配的一组规则。网关安全功能策略构成一个安全域， 以防止不可信主体的干扰和篡改。一个网关安全设施可以有一个或多个安全功能策略。 3. 9 网关数据 gateway data 指在网关中存储、传输及处理的用户鉴别信息、网关配置信息、协议转换规则等数据。 3. 10 被转发数据 transmitted data 指通过网关转发的数据。 3. 11 网关安全功能数据 TSF data 指与网关安全功能相关的口令、密钥、证书、审计数据或网关安全功能的可执行代码等数据。 网关的一般说明 4.1概述 网关是一种网络连接设备，实现不同网络之间的互连。网关能够连接使用相同或不同通信协议、数 据格式、语言甚至体系结构的两种网络。在必要的情况下，网关可以提供协议转换、速度调整、编码转 换、错误隔离以及安全测量等功能。网关可以完全由硬件实现，也可以完全由软件实现，也可以由软件 和硬件结合实现。根据实现的不同，网关可以工作在OSI模型的3层及以上各层。网关通常运行于网 络的边缘，因此一些相关功能例如防火墙、路由功能等常常附加在网关上。 4.2安全环境 4.2.1安全威胁 安全威胁主要包括： ) 攻击者可以窃取或截获网关数据，可以收集信息的源地址、目的地址、数据量和时间，获取节点 的地址、配置信息和物理位置等； 攻击者将某一节点攻破，可改变网关的配置文件，导致网关的错误操作或使网关丧失安全 特征； c) 拒绝服务攻击和重放攻击； d) 非授权节点使用有效的网络地址或伪装成授权用户试图访问网络资源； e) 网络管理员可能超越所授予的权限而访问和修改数据，可能产生安全相关的错误，导致对信息 不合适的访问、修改或对资源不恰当的使用。 4.2.2 安全应用假设 安全应用假设主要包括： a) 安全的网关需要运行在具有同样安全级别的网络或操作系统之上。 b) 根据网络安全策略定期评估和分析审计信息。 c) 所有设备确保受到足够的物理保护，能免遭自然灾害的破坏。网关位于访问可控的设施内，能 防止未授权人员的访问。 d) 有可靠的时间载来源，以便于信息传输的同步以及审计获得可靠的时间戳。 GA/T 6812007 e) 所有相关的人员得到关于安装、配置、维护网关、网关安全功能和所有网络组件的相应培训，所 有人员按照已定文档中的程序进行操作。 5安全功能要求 5.1标识和鉴别 5.1.1 用户标识 a) ）基本标识。应对网关的用户进行标识，一般以用户名或用户ID实现。口令的存储和传输应得 到保护。 唯一性标识。应确保所标识用户在网关系统生命周期内的唯一性，如果一个用户被删除，该 用户的标识符也不能再使用。同时将用户标识与审计相关联。 5.1.2 用户鉴别 5.1.2.1动作前监别 网关安全功能在动作被实施之前，先对提出该动作请求的用户利用口令机制进行鉴别。网关的用 户，即管理员，通过远程访问进行管理时，还应对所使用的远程设备进行鉴别以确定是否是可信主机，如 通过IP地址鉴别。 5.1.2.2同步鉴别 网关安全功能允许用户在被鉴别之前实施由网关安全功能促成的某些动作，这些动作用来确定鉴 别自已的条件（如生成口令）。除了这些动作以外，用户在实施其他动作之前，都应先鉴别用户的身份。 5.1.2.3不可伪造鉴别 网关安全功能应具有能检测出已经丢弃的或复制的鉴别数据重放的安全机制。网关安全功能应防 止一切伪造的鉴别数据以及任何拷贝的鉴别数据的使用。当管理员是远程访问管理时，应对传送鉴别 信息的数据包提供完整性、保密性服务和抗重放功能。 5.1.2.4一次性使用鉴别 网关安全功能应能提供一次性使用鉴别数据操作的鉴别机制，防止与已标识过的鉴别机制有关的 鉴别数据的重用。一次性使用鉴别机制可通过在鉴别信息的数据包中提供序列号、验证码或数字签名 等机制实施， 5.1.2.5多监别机制 除通过简单的口令鉴别机制外，网关安全功能还应提供其他鉴别机制，如通过数字证书、智能IC卡 或通过人体的生物特征进行鉴别。 5.1.2.6重新鉴别 网关安全功能应提供重新鉴别机制，在特定情况下对用户进行重新鉴别，如断开的用户重新登录， 应周期性地对管理员身份进行确认，如果网关的管理员操作的时间超过一定时限，网关安