GA370--20011GA中华人民共和国公共安全行业标准GA370—2001端设备隔离部件安全技术要求Securityrequirementsforend-equipmentisolatecomponents2001-12-24发布2002-5-1实施中华人民共和国公安部发布GA370--20012前言本标准根据公安部公共信息网络安全监察局的要求,依据《计算机信息网络国际联网安全保护管理办法》和《计算机信息系统国际联网保密管理规定》的有关规定,提出了对端设备隔离部件的安全技术要求。本标准的编写格式和方法按照GB/T1.1-2000《标准化工作导则第一部分:标准的结构和编写规则》的要求制定。本标准由公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:公安部公共信息网络安全监察局、公安部计算机信息系统安全产品质量监督检验中心。本标准主要起草人:朱建平、陆臻、沈亮。本标准由公安部公共信息网络安全监察局负责解释。3端设备隔离部件安全技术要求1范围本标准规定了端设备隔离部件的分类、安全功能技术要求和安全保证要求。本标准适用于端设备隔离部件产品的研制、开发、测试、评估和产品的采购。2术语定义本标准采用下列定义:2.1物理隔离physicalisolation公共网络和专网在网络物理连线上是完全隔离的,且没有任何公用的存储信息。2.2逻辑隔离logicalisolation公共网络和专网在物理上是有连线的,通过技术手段保证在逻辑上是隔离的。2.3协议转换protocolconversion把公共协议转换为专用协议。3端设备隔离部件分类3.1物理隔离部件通过物理隔离的方式,在两个网间转换时,保证计算机的数据在网际间不被重用。该部件的连接如图1所示。公网专网物理隔离部件图1物理隔离部件连接示图计算机公网存储设备专网存储设备43.2逻辑隔离部件通过逻辑隔离的方式实现网络间隔离,该部件的连接如图2所示。逻辑隔离部件公网专网图2逻辑隔离部件示图3.3单向隔离部件a)数据流无法从专网流向公网。b)数据流能在指定存储区域从公网流向专网,对专网而言,能使用公网的某些指定的要导入的数据。该部件的连接如图3所示。公网专网单向隔离部件图3单向隔离部件示图4端设备隔离部件安全功能的技术要求4.1物理隔离部件的安全功能应保证被隔离的计算机资源不能被访问(至少应包括硬盘、软盘和光盘),计算机数据不能被重用(至少应包括内存)。4.2逻辑隔离部件的安全功能应保证被隔离的计算机资源不能被访问,只能进行隔离器内外的原始应用数据交换。计算机一计算机二计算机公网存储设备交换存储设备专网存储设备54.3单向隔离部件的安全功能应保证被隔离的计算机资源不能被访问(至少应包括硬盘/硬盘分区、软盘和光盘),计算机数据不能被重用(至少应包括内存)。4.4逻辑隔离部件应保证其存在泄露网络资源的风险不得多于开发商的评估文档中所提及的内容。4.5逻辑隔离部件的安全功能应保证在进行数据交换时数据的完整性。4.6逻辑隔离部件的安全功能应保证隔离措施的可控性,隔离的安全策略应由用户进行控制,开发者必须提供可控方法。5端设备隔离部件安全功能的保证要求5.1最低限度支持开发商应提供有关隔离安全策略的说明文档。5.2开发过程保证开发商应提供隔离部件产品的技术开发文档。5.3交付和操作保证开发商应提供隔离部件产品的安装说明。5.4指南文件保证开发商应提供隔离部件产品的使用指南。5.5测试保证开发商应提供隔离部件产品的测试文档。5.6脆弱性分析保证开发商应提供隔离部件产品的脆弱性分析文档。