《网络基础安全技术要求》

信息安全技术网络基础安全技术要求引言本标准用以指导设计者如何设计和实现具有所需要的安全保护等级的网络系统，主要说明为实现GB7859—1999中每一个安全保护等级的安全要求，网络系统应采取的安全技术措施，以及各安全技术要求在不同安全保护等级中具体差异。网络是一个具有复杂结构、由许多网络设备组成的系统，不同的网络环境又会有不同的系统结构。然而，从网络系统所实现的功能来看，可以概括为“实现网上信息交换”。网上信息交换具体可以分解为信息的发送、信息的传输和信息的接收。从信息安全的角度，网络信息安全可以概括为“保障网上信息交换的安全”，具体表现为信息发送的安全、信息传输的安全和信息接收的安全，以及网上信息交换的抗抵赖等。网上信息交换是通过确定的网络协议实现的，不同的网络会有不同的协议。任何网络设备都是为实现确定的网络协议而设置的。典型的、具有代表性的网络协议是国际标准化组织的开放系统互连协议（ISO/OSI），也称七层协议。虽然很少有完全按照七层协议构建的网络系统，但是七层协议的理论价值和指导作用是任何网络协议所不可替代的。网络安全需要通过协议安全来实现。通过对七层协议每一层安全的描述，可以实现对网络安全的完整描述。网络协议的安全需要由组成网络系统的设备来保障。因此，对七层协议的安全要求自然包括对网络设备的安全要求。信息安全是与信息系统所实现的功能密切相关的，网络安全也不例外。网络各层协议的安全与其在每一层所实现的功能密切相关。附录A．2关于网络各层协议主要功能的说明，对物理层、链路层、网络层、传输层、会话层、表示层、应用层等各层的功能进行了简要描述，是确定网络各层安全功能要求的主要依据。本标准以GB/T20271-2006关于信息系统安全等级保护的通用技术要求为基础，围绕以访问控制为核心的思想进行编写，在对网络安全的组成与相互关系进行简要说明的基础上，第5章对网络安全功能基本技术分别进行了说明，第6章是对第5章网络安全功能的分级分层情况的描述。在此基础上，本标准的第7章对网络安全技术的分等级要求分别从安全功能技术要求和安全保证技术要求两方面进行了详细说明。在第7章的描述中除了引用以前各章的内容外，还引用了GB/T20271-2006中关于安全保证技术要求的内容。由于GB/T20271-2006的安全保证技术要求，对网络而言没有需要特别说明的内容，所以在网络基本技术及其分级分层的描述中没有涉及这方面的内容。信息安全技术网络基础安全技术要求1范围本标准依据GB17859-1999的五个安全保护等级的划分，根据网络系统在信息系统中的作用，规定了各个安全等级的网络系统所需要的基础安全技术的要求。本标准适用于按等级化的要求进行的网络系统的设计和实现，对按等级化要求进行的网络系统安全的测试和管理可参照使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其随后的所有修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB17859-1999计算机信息系统安全保护等级划分准则GB/T20271-2006信息安全技术信息系统通用安全技术要求3术语、定义和缩略语3.1术语和定义GB17859—1999确立的以及下列术语和定义适用于本标准。3.1.1网络安全networksecurity网络环境下存储、传输和处理的信息的保密性、完整性和可用性的表征。3.1.2网络安全基础技术basistechnologyofnetworksecurity实现各种类型的网络系统安全需要的所有基础性安全技术。3.1.3网络安全子系统securitysubsystemofnetwork网络中安全保护装置的总称，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的网络安全保护环境，并提供安全网络所要求的附加用户服务。注：按照GB17859-1999对TCB（可信计算基）的定义，SSON（网络安全子系统）就是网络的TCB。3.1.4SSON安全策略SS0Nsecuritypolicy对SS0N中的资源进行管理、保护和分配的一组规则。一个SSON中可以有一个或多个安全策略。3.1.5安全功能策略securityfunctionpolicy为实现SSON安全要素要求的功能所采用的安全策略。3.1.6安全要素securityelement本标准中各安全保护等级的安全技术要求所包含的安全内容的组成成份。3.1.7SSON安全功能SSONsecurityfunction正确实施SSON安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现，组成一个SSON安全功能模块。一个SSON的所有安全功能模块共同组成该SSON的安全功能。3.1.8SSF控制范围SSFscopeofcontrolSSON的操作所涉及的主体和客体的范围。3.2缩略语下列缩略语适用于本标准：SFP安全功能策略securityfunctionpolicySSCSSF控制范围SSFscopeofcontrolSSFSSON安全功能SSONsecurityfunctionSSPSSON安全策略SS0NsecuritypolicySSON网络安全子系统securitysubsystemofnetwork4网络安全组成与相互关系根据OSI参考模型和GB17859-1999所规定的安全保护等级和安全要素，网络安全的组成与相互关系如表1所示。对于网络系统的物理层、链路层、网络层、传输层、会话层、表示层和应用层，可分别按GB17859-1999的各个安全等级的要求进行设计。在各协议层中，安全要素的实现方法可有所不同。本标准基于各项安全要素对各协议层在各个安全保护等级中应采用的安全技术和机制提出要求。5网络安全功能基本要求5.1身份鉴别5.1.1用户标识a)基本标识：应在SSF实施所要求的动作之前，先对提出该动作要求的用户进行标识。b)唯一性标识：应确保所标识用户在信息系统生存周期内的唯一性，并将用户标识与安全审计相关联。c)标识信息管理：应对用户标识信息进行管理、维护，确保其不被非授权地访问、修改或删除。5.1.2用户鉴别a)基本鉴别：应在SSF实施所要求的动作之前，先对提出该动作要求的用户成功地进行鉴别。b)不可伪造鉴别：应检测并防止使用伪造或复制的鉴别数据。一方面，要求SSF应检测或防止由任何别的用户伪造的鉴别数据，另一方面，要求SSF应检测或防止当前用户从任何其它用户处复制的鉴别数据的使用；c)一次性使用鉴别：应能提供一次性使用鉴别数据操作的鉴别机制，即SSF应防止与已标识过的鉴别机制有关的鉴别数据的重用；d)多机制鉴别：应能提供不同的鉴别机制，用于鉴别特定事件的用户身份，并且SSF应根据所描述的多种鉴别机制如何提供鉴别的规则，来鉴别任何用户所声称的身份；e)重新鉴别：应有能力规定需要重新鉴别用户的事件，即SSF应在需要重鉴别的条件表所指示的条件下，重新鉴别用户。例如，用户终端操作超时被断开后，重新连接时需要进行重鉴别。5.1.3用户-主体绑定在SSON安全功能控制范围之内，对一个已标识和鉴别的用户，为了要求SSF完成某个任务，需要激活另一个主体（如进程），这时，要求通过用户-主体绑定将该用户与该主体相关联，从而将用户的身份与该用户的所有可审计行为相关联。5.1.4鉴别失败处理要求SSF为不成功的鉴别尝试次数（包括尝试数目和时间的阈值）定义一个值，以及明确规定达到该值时所应采取的动作。鉴别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数目相同的情况，并进行预先定义的处理。5.2自主访问控制5.2.1访问控制策略SSF应按确定的自主访问控制安全策略进行设计，实现对策略控制下的主体与客体间操作的控制。可以有多个自主访问控制安全策略，但它们必须独立命名，且不能相互冲突。常用的自主访问控制策略包括：访问控制表访问控制、目录表访问控制、权能表访问控制等。5.2.2访问控制功能SSF应明确指出采用一条命名的访问控制策略所实现的特定功能，说明策略的使用和特征，以及该策略的控制范围。无论采用何种自主访问控制策略，SSF应有能力提供：——在安全属性或命名的安全属性组的客体上，执行访问控制SFP；——在基于安全属性的允许主体对客体访问的规则的基础上，允许主体对客体的访问；——在基于安全属性的拒绝主体对客体访问的规则的基础上，拒绝主体对客体的访问。5.2.3访问控制范围网络系统中自主访问控制的覆盖范围分为：a）子集访问控制：要求每个确定的自主访问控制，SSF应覆盖网络系统中所定义的主体、客体及其之间的操作；b）完全访问控制：要求每个确定的自主访问控制，SSF应覆盖网络系统中所有的主体、客体及其之间的操作，即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的所有操作将至少被一个确定的访问控制SFP覆盖。5.2.4访问控制粒度网络系统中自主访问控制的粒度分为：a）粗粒度：主体为用户组/用户级，客体为文件、数据库表级；b）中粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段级；c）细粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段级或元素级。5.3标记5.3.1主体标记应为实施强制访问控制的主体指定敏感标记，这些敏感标记是实施强制访问控制的依据。如：等级分类和非等级类别组合的敏感标记是实施多级安全模型的基础。5.3.2客体标记应为实施强制访问控制的客体指定敏感标记，这些敏感标记是实施强制访问控制的依据。如：等级分类和非等级类别组合的敏感标记是实施多级安全模型的基础。5.3.3标记完整性敏感标记应能准确地表示特定主体或客体的访问控制属性，主体和客体应以此发生关联。当数据从SSON输出时，根据需要，敏感标记应能准确地和明确地表示输出数据的内部标记，并与输出的数据相关联。5.3.4有标记信息的输出SSON应对每个通信信道和I/O设备标明单级或多级。这个标志的任何变化都应由授权用户实现，并可由SSON审计。SSON应维持并且能够对安全保护等级的任何变化进行审定，或对与通信信道或I/O设备有关的安全保护等级进行安全审计。a)向多级安全设备的输出：当SSON将一客体信息输出到一个具有多级安全的I/O设备时，与该客体有关的敏感标记也应输出，并以与输出信息相同的形式(如机器可读或人可读形式)驻留在同一物理媒体上。当SSON在多级通信信道上输出或输入一客体信息时，该信道使用的协议应在敏感标记和被发送或被接收的有关信息之间提供明确的配对关系；b)向单级安全设备的输出：单级I/O设备和单级通信信道不需要维持其处理信息的敏感标记，但SSON应包含一种机制，使SSON与一个授权用户能可靠地实现指定的安全级的信息通信。这种信息经由单级通信信道或I/O设备输入/输出；c)人可读标记的输出：SSON应标记所有人可读的、编页的、具有人可读的敏感标记的硬拷贝输出(如行打印机输出)的开始和结束，以适当地表示输出敏感性。SSON应按默认值标记人可读的、编页的、具有人可读的敏感标记的硬拷贝输出(如行打印机输出)每页的顶部和底部，以适当地表示该输出总的敏感性，或表示该页信息的敏感性。SSON应该按默认值，并以一种适当方法标记具有人可读的敏感标记的其他形式的人可读的输出(如图形)，以适当地表示该输出的敏感性。这些标记默认值的任何滥用都应由SSON审计。5.4强制访问控制5.4.1访问控制策略网络强制访问控制策略应包括策略控制下的主体、客体，及由策略覆盖的被控制的主体与客体间的操作。可以有多个访问控制安全策略，但它们必须独立命名，且不能相互冲突。当前常见的强制访问控制策略有：a)多级安全模型：基本思想是，在对主、客体进行标记的基础上，SSOIS控制范围内的所有主体对客体的直接或间接的访问应满足：——向下读原则：仅当主体标记中的等级分类高于或等于客体标记中的等级分类，且主体标记中的非等级类别包含了客体标记中的全部非等级类别，主体才能读该客体；——向上写原则：仅当主体标