信息安全技术 网络基础安全技术要求

GB/T20270-2006信息安全技术网络基础安全技术要求Informationsecuritytechnology—Basissecuritytechniquesrequirementsfornetwork自2006-12-1起执行目次前言引言1范围2规范性引用文件3术语、定义和缩略语3.1术语和定义3.2缩略语4网络安全组成与相互关系5网络安全功能基本要求5.1身份鉴别5.1.1用户标识5.1.2用户鉴别5.1.3用户—主体绑定5.1.4鉴别失败处理5.2自主访问控制5.2.1访问控制策略5.2.2访问控制功能5.2.3访问控制范围5.2.4访问控制粒度5.3标记5.3.1主体标记5.3.2客体标记5.3.3标记完整性5.3.4有标记信息的输出5.4强制访问控制5.4.1访问控制策略5.4.2访问控制功能5.4.3访问控制范围5.4.4访问控制粒度5.4.5访问控制环境5.5数据流控制5.6安全审计5.6.1安全审计的响应5.6.2安全审计数据产生5.6.3安全审计分析5.6.4安全审计查阅5.6.5安全审计事件选择5.6.6安全审计事件存储5.7用户数据完整性5.7.1存储数据的完整性5.7.2传输数据的完整性5.7.3处理数据的完整性5.8用户数据保密性5.8.1存储数据的保密性5.8.2传输数据的保密性5.8.3客体安全重用5.9可信路径5.10抗抵赖5.10.1抗原发抵赖5.10.2抗接收抵赖5.11网络安全监控6网络安全功能分层分级要求6.1身份鉴别功能6.2自主访问控制功能6.3标记功能6.4强制访问控制功能6.5数据流控制功能6.6安全审计功能6.7用户数据完整性保护功能6.8用户数据保密性保护功能6.9可信路径功能6.10抗抵赖功能6.11网络安全监控功能7网络安全技术分级要求7.1第一级：用户自主保护级7.1.1第一级安全功能要求7.1.2第一级安全保证要求7.2第二级：系统审计保护级7.2.1第二级安全功能要求7.2.2第二级安全保证要求7.3第三级：安全标记保护级7.3.1第三级安全功能要求7.3.2第三级安全保证要求7.4第四级：结构化保护级7.4.1第四级安全功能要求7.4.2第四级安全保证要求7.5第五级：访问验证保护级7.5.1第五级安全功能要求7.5.2第五级安全保证要求附录A(资料性附录)标准概念说明A.1组成与相互关系A.2关于网络各层协议主要功能的说明A.3关于安全保护等级划分A.4关于主体和客体A.5关于SSON、SSF、SSP、SFP及其相互关系A.6关于数据流控制A.7关于密码技术A.8关于安全网络的建议参考文献前言本标准的附录A是资料性附录.本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位：北京思源新创信息安全资讯有限公司，江南计算技术研究所技术服务中心。本标准主要起草人：吉增瑞、刘广明、王志强、陈冠直、景乾元、宋健平。引言本标准用以指导设计者如何设计和实现具有所需要的安全保护等级的网络系统，主要说明为实现GB17859—1999中每一个安全保护等级的安全要求，网络系统应采取的安全技术措施，以及各安全技术要求在不同安全保护等级中的具体差异。网络是一个具有复杂结构、由许多网络设备组成的系统，不同的网络环境又会有不同的系统结构。然而，从网络系统所实现的功能来看，可以概括为“实现网上信息交换”。网上信息交换具体可以分解为信息的发送、信息的传输和信息的接收。从信息安全的角度，网络信息安全可以概括为“保障网上信息交换的安全”，具体表现为信息发送的安全、信息传输的安全和信息接收的安全，以及网上信息交换的抗抵赖等。网上信息交换是通过确定的网络协议实现的，不同的网络会有不同的协议。任何网络设备都是为实现确定的网络协议而设置的。典型的、具有代表性的网络协议是国际标准化组织的开放系统互连协议(ISO/OSI)，也称七层协议。虽然很少有完全按照七层协议构建的网络系统，但是七层协议的理论价值和指导作用是任何网络协议所不可替代的。网络安全需要通过协议安全来实现。通过对七层协议每一层安全的描述，可以实现对网络安全的完整描述。网络协议的安全需要由组成网络系统的设备来保障。因此，对七层协议的安全要求自然包括对网络设备的安全要求。信息安全是与信息系统所实现的功能密切相关的，网络安全也不例外。网络各层协议的安全与其在每一层所实现的功能密切相关。附录A中A.2关于网络各层协议主要功能的说明，对物理层、链路层、网络层、传输层、会话层、表示层、应用层等各层的功能进行了简要描述，是确定网络各层安全功能要求的主要依据。本标准以GB/T20271-2006关于信息系统安全等级保护的通用技术要求为基础，围绕以访问控制为核心的思想进行编写，在对网络安全的组成与相互关系进行简要说明的基础上，第5章对网络安全功能基本技术分别进行了说明，第6章是对第5章网络安全功能的分级分层情况的描述。在此基础上，本标准的第7章对网络安全技术的分等级要求分别从安全功能技术要求和安全保证技术要求两方面进行了详细说明。在第7章的描述中除了引用以前各章的内容外，还引用了GB/T20271-2006中关于安全保证技术要求的内容。由于GB/T20271-2006的安全保证技术要求，对网络而言没有需要特别说明的内容，所以在网络基本技术及其分级分层的描述中没有涉及这方面的内容。信息安全技术网络基础安全技术要求1范围本标准依据GB17859-1999的五个安全保护等级的划分，根据网络系统在信息系统中的作用，规定了各个安全等级的网络系统所需要的基础安全技术的要求。本标准适用于按等级化的要求进行的网络系统的设计和实现，对按等级化要求进行的网络系统安全的测试和管理可参照使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其随后的所有修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB17859-1999计算机信息系统安全保护等级划分准则GB/T20271-2006信息安全技术信息系统通用安全技术要求3术语、定义和缩略语3.1术语和定义GB17859-1999确立的以及下列术语和定义适用于本标准。3.1.1网络安全networksecurity网络环境下存储、传输和处理的信息的保密性、完整性和可用性的表征。3.1.2网络安全基础技术basistechnologyofnetworksecurity实现各种类型的网络系统安全需要的所有基础性安全技术。3.1.3网络安全子系统securitysubsystemofnetwork网络中安全保护装置的总称，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的网络安全保护环境，并提供安全网络所要求的附加用户服务。注：按照GB17859-1999对TCB(可信计算基)的定义，SSON(网络安全子系统)就是网络的TCB。3.1.4SSON安全策略SSONsecuritypolicy对SSON中的资源进行管理、保护和分配的一组规则。一个SSON中可以有一个或多个安全策略。3.1.5安全功能策略securityfunctionpolicy为实现SSON安全要素要求的功能所采用的安全策略。3.1.6安全要素securityelement本标准中各安全保护等级的安全技术要求所包含的安全内容的组成成份。3.1.7SSON安全功能SSONsecurityfunction正确实施SSON安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现，组成一个SSON安全功能模块。一个SSON的所有安全功能模块共同组成该SSON的安全功能。3.1.8SSF控制范围SSFscopeofcontrolSSON的操作所涉及的主体和客体的范围。3.2缩略语下列缩略语适用于本标准：SFP安全功能策略SecurityfunctionpolicySSCSSF控制范围SSFscopeofcontrolSSFSSON安全功能SSONsecurityfunctionSSPSSON安全策略SSONsecuritypolicySSON网络安全子系统securitysubsystemofnetwork4网络安全组成与相互关系根据OSI参考模型和GB17859—1999所规定的安全保护等级和安全要素，网络安全的组成与相互关系如表1所示。表1安全保护等级、网络层次与安全要素的相互关系对于网络系统的物理层、链路层、网络层、传输层、会话层、表示层和应用层，可分别按GB17859—1999的各个安全等级的要求进行设计。在各协议层中，安全要素的实现方法可有所不同。本标准基于各项安全要素对各协议层在各个安全保护等级中应采用的安全技术和机制提出要求。5网络安全功能基本要求5.1身份鉴别5.1.1用户标识a)基本标识：应在SSF实施所要求的动作之前，先对提出该动作要求的用户进行标识。b)唯一性标识：应确保所标识用户在信息系统生存周期内的唯一性，并将用户标识与安全审计相关联。c)标识信息管理：应对用户标识信息进行管理、维护，确保其不被非授权地访问、修改或删除。5.1.2用户鉴别a)基本鉴别：应在SSF实施所要求的动作之前，先对提出该动作要求的用户成功地进行鉴别。b)不可伪造鉴别：应检测并防止使用伪造或复制的鉴别数据。一方面，要求SSF应检测或防止由任何别的用户伪造的鉴别数据，另一方面，要求SSF应检测或防止当前用户从任何其他用户处复制的鉴别数据的使用。c)一次性使用鉴别：应能提供一次性使用鉴别数据操作的鉴别机制，即SSF应防止与已标识过的鉴别机制有关的鉴别数据的重用。d)多机制鉴别：应能提供不同的鉴别机制，用于鉴别特定事件的用户身份，并且SSF应根据所描述的多种鉴别机制如何提供鉴别的规则，来鉴别任何用户所声称的身份。e)重新鉴别：应有能力规定需要重新鉴别用户的事件，即SSF应在需要重鉴别的条件表所指示的条件下，重新鉴别用户。例如，用户终端操作超时被断开后，重新连接时需要进行重鉴别。5.1.3用户—主体绑定在SSON安全功能控制范围之内，对一个已标识和鉴别的用户，为了要求SSF完成某个任务，需要激活另一个主体(如进程)，这时，要求通过用户—主体绑定将该用户与该主体相关联，从而将用户的身份与该用户的所有可审计行为相关联。5.1.4鉴别失败处理要求SSF为不成功的鉴别尝试次数(包括尝试数目和时间的阈值)定义一个值，以及明确规定达到该值时所应采取的动作。鉴别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数目相同的情况，并进行预先定义的处理。5.2自主访问控制5.2.1访问控制策略SSF应按确定的自主访问控制安全策略进行设计，实现对策略控制下的主体与客体间操作的控制。可以有多个自主访问控制安全策略，但它们必须独立命名，且不能相互冲突。常用的自主访问控制策略包括：访问控制表访问控制、目录表访问控制、权能表访问控制等。5.2.2访问控制功能SSF应明确指出采用一条命名的访问控制策略所实现的特定功能，说明策略的使用和特征，以及该策略的控制范围。无论采用何种自主访问控制策略，SSF应有能力提供：——在安全属性或命名的安全属性组的客体上，执行访问控制SFP；——在基于安全属性的允许主体对客体访问的规则的基础上，允许主体对客体的访问；——在基于安全属性的拒绝主体对客体访问的规则的基础上，拒绝主体对客体的访问。5.2.3访问控制范围网络系统中自主访问控制的覆盖范围分为：a)子集访问控制：要求每个确定的自主访问控制，SSF应覆盖网络系统中所定义的主体、客体及其之间的操作；b)完全访问控制：要求每个确定的自主访问控制，SSF应覆盖网络系统中所有的主体、客体及其之间的操作，即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的所有操作将至少被一个确定的访问控制SFP覆盖。5.2.4访问控制粒度网络系统中自主访问控制的粒度分为：a)粗粒度：主体为用户组/用户级，客体为文件、数据库表级；b)中粒度：主体