网络基础安全技术要求.docx
《网络基础安全技术要求.docx》由会员分享,可在线阅读,更多相关《网络基础安全技术要求.docx(70页珍藏版)》请在冰豆网上搜索。
网络基础安全技术要求
信息安全技术网络基础安全技术要求
引言
本标准用以指导设计者如何设计和实现拥有所需要的安全保护等级的网络系
统,主要说明为实现GB7859—1999中每一个安全保护等级的安全要求,网络
系统应采纳的安全技术措施,以及各安全技术要求在不一样安全保护等级中详细
差异。
网络是一个拥有复杂结构、由好多网络设备构成的系统,不一样的网络环
境又会有不一样的系统结构。
但是,从网络系统所实现的功能来看,可以概括为
“实现网上信息交换”。
网上信息交换详细可以分解为信息的发送、信息的传
输和信息的接收。
从信息安全的角度,网络信息安全可以概括为“保障网上信
息交换的安全”,详细表现为信息发送的安全、信息传输的安全和信息接收的
安全,以及网上信息交换的抗狡辩等。
网上信息交换是经过确定的网络协议实
现的,不一样的网络会有不一样的协议。
任何网络设备都是为实现确定的网络协议
而设置的。
典型的、拥有代表性的网络协议是国际标准化组织的开放系统互连
协议(ISO/OSI),也称七层协议。
固然极罕有完好依照七层协议成立的网络
系统,但是七层协议的理讲价值和指导作用是任何网络协议所不行代替的。
网
络安全需要经过协议安全来实现。
经过对七层协议每一层安全的描述,可以实现对网络安全的完好描述。
网络协议的安全需要由构成网络系统的设备来保
障。
所以,对七层协议的安全要求自然包含对网络设备的安全要求。
信息安所有是与信息系统所实现的功能亲近相关的,网络安全也不例外。
网络
各层协议的安全与其在每一层所实现的功能亲近相关。
附录A.2关于网络各层协议主要功能的说明,对物理层、链路层、网络层、传输层、会话层、表示
层、应用层等各层的功能进行了简要描述,是确定网络各层安全功能要求的主要依照。
本标准以GB/T20271-2006关于信息系统安全等级保护的通用技术要求为基础,环绕以接见控制为中心的思想进行编写,在对网络安全的构成与互相关系进行简要说明的基础上,第5章对网络安全功能基本技术分别进行了说明,第6章是对第5章网络安全功能的分级分层状况的描述。
在此基础上,本标准的
第7章对网络安全技术的分等级要求分别从安全功能技术要乞降安全保证技术要求双方面进行了详细说明。
在第7章的描述中除了引用从前各章的内容外,
还引用了GB/T20271-2006中关于安全保证技术要求的内容。
因为GB/T20271-2006的安全保证技术要求,对网络而言没有需要特别说明的内容,所以在网络基本技术及其分级分层的描述中没有涉及这方面的内容。
信息安全技术
网络基础安全技术要求
1范围
本标准依照GB17859-1999的五个安全保护等级的区分,依据网络系统在信息系统中的作用,规定了各个安全等级的网络系统所需要的基础安全技术的要求。
本标准合用于按等级化的要求进行的网络系统的设计和实现,对按等级化要求进行的网络系统安全的测试和管理可参照使用。
2规范性引用文件
以下文件中的条款经过本标准的引用而成为本标准的条款。
凡是注明天期的引用文件,其随后的所有更正单(不包含勘误的内容)或订正版均不合用于本标准,但是,鼓舞依据本标准完成协议的各方研究
能否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本合用于本标准。
GB17859-1999计算机信息系统安全保护等级区分准则GB/T20271-2006信息安全技术信息系统通用安全技术要求
3术语、定义和缩略语
3.1术语和定义
GB17859—1999确定的以及以下术语和定义合用于本标准。
网络安全networksecurity
网络环境下储存、传输和办理的信息的保密性、完好性和可用性的表征。
网络安全基础技术basistechnologyofnetworksecurity
的网络系统安全需要的所有基础性安全技术。
实现各种种类
网络安全子系统
securitysubsystemofnetwork
网络中安全保护装置的总称,包含硬件、固件、软件和负责执行安全策略的组合体。
它成立了一个基本的网络安全保护环境,并供应安全网络所要求的附带用户服务。
注:
依照GB17859-1999对TCB(可信计算基)的定义,SSON(网络安全子系统)就是网络的TCB。
SSON安全策略SS0Nsecuritypolicy对SS0N中的资源进行管理、保护和
分配的一组规则。
一个SSON中可以有一个或多个安全策略。
安全功能策略securityfunctionpolicy
为实现SSON安全因素要求的功能所采纳的安全策略。
安全因素securityelement
本标准中各安全保护等级的安全技术要求所包含的安全内容的构成成份。
SSON安全功能SSONsecurityfunction
正的确施SSON安全策略的所有硬件、固件、软件所供应的功能。
每一个安全策略的实现,构成一个SSON安全功能模块。
一个SSON的所有安全功能模块共同构成该SSON的安全功能。
SSF控制范围SSFscopeofcontrol
SSON的操作所涉及的主体和客体的范围。
3.2缩略语
以下缩略语合用于本标准:
SFP安全功能策略securityfunctionpolicy
SSCSSF控制范围SSFscopeofcontrol
SSFSSON安全功能SSONsecurityfunction
SSPSSON安全策略SS0Nsecuritypolicy
SSON网络安全子系统securitysubsystemofnetwork
4网络安全构成与互相关系
依据OSI参照模型和GB17859-1999所规定的安全保护等级和安全因素,网络安全的构成与互相关系如表1所示。
关于网络系统的物理层、链路层、网络层、传输层、会话层、表示层和应用层,可分别按GB17859-1999的各个安全等级的要求进行设计。
在各协议层中,安全因素的实现方法可有所不一样。
本标准基于各项安全因素对各协议层在各个安全保护等级中应采纳的安全技术和系统提出要求。
5网络安全功能基本要求
5.1身份鉴别
用户表记
a)基本表记:
应在SSF实行所要求的动作从前,先对提出该动作要求的用户进行表记。
b)独一性表记:
应保证所表记用户在信息系统生计周期内的独一性,并将用户表记与安全审计相关系。
c)表记信息管理:
对付用户表记信息进行管理、保护,保证其不被非受权地接见、更正或删除。
用户鉴别
a)基本鉴别:
应在SSF实行所要求的动作从前,先对提出该动作要求的用户成功地进行鉴别。
b)不行捏造鉴别:
应检测并防范使用捏造或复制的鉴别数据。
一方面,要
求SSF应检测或防范由任何其余用户捏造的鉴别数据,另一方面,要求SSF应检测或防范当前用户从任何其余用户处复制的鉴别数
据的使用;
c)一次性使用鉴别:
应能供应一次性使用鉴别数据操作的鉴别系统,即SSF应防范与已表记过的鉴别系统相关的鉴别数据的重用;
d)多系统鉴别:
应能供应不一样的鉴别系统,用于鉴别特定事件的用户身份,并且SSF应依据所描述的多种鉴别系统如何供应鉴其余规则,来鉴别任何用户所宣称的身份;
e)重新鉴别:
应有能力规定需要重新鉴别用户的事件,即SSF应在需要重鉴其余条件表所指示的条件下,重新鉴别用户。
比方,用户终端操作超时被断
开后,重新连接时需要进行重鉴别。
用户-主体绑定
在SSON安全功能控制范围以内,对一个已表记和鉴其余用户,为了要求
SSF完成某个任务,需要激活另一个主体(如进度),这时,要求经过用户-主体绑定将该用户与该主体相关系,从而将用户的身份与该用户的所有可审计行为相关系。
鉴别失败办理
要求SSF为不行功的鉴别试试次数(包含试试数量和时间的阈值)定义一个值,以及明确规定达到该值时所应采纳的动作。
鉴别失败的办理应包含检测出现相关的不行功鉴别试试的次数与所规定的数量相
同的状况,并进行早先定义的办理。
5.2自主接见控制
接见控制策略
SSF应按确定的自主接见控制安全策略进行设计,实现对策略控制下的主体与客体间操作的控制。
可以有多个自主接见控制安全策略,但它们一定独立命名,且不可以互相矛盾。
常用的自主接见控制策略包含:
接见控制表接见控制、目录表接见控制、权能表接见控制等。
接见控制功能
SSF应明确指出采纳一条命名的接见控制策略所实现的特定功能,说明策略的使用和特色,以及该策略的控制范围。
不论采纳何种自主接见控制策略,SSF应有能力供应:
——在安全属性或命名的安全属性组的客体上,执行接见控制SFP;
——在基于安全属性的同意主体对客体接见的规则的基础上,同意主体对客体的接见;
——在基于安全属性的拒绝主体对客体接见的规则的基础上,拒绝主体对客体的接见。
接见控制范围
网络系统中自主接见控制的覆盖范围分为:
a)子集接见控制:
要求每个确定的自主接见控制,SSF应覆盖网络系统中所定义的主体、客体及其之间的操作;
b)完好接见控制:
要求每个确定的自主接见控制,SSF应覆盖网络系统中所有的主体、客体及其之间的操作,即要求SSF应保证SSC内的任意一个主体和任意一个客体之间的所有操作将最少被一个确定
的接见控制SFP覆盖。
接见控制粒度
网络系统中自主接见控制的粒度分为:
a)粗粒度:
主体为用户组/用户级,客体为文件、数据库表级;
b)中粒度:
主体为用户级,客体为文件、数据库表级和/或记录、字段级;
c)细粒度:
主体为用户级,客体为文件、数据库表级和/或记录、字段级或元素级。
5.3标记
主体标记
应为实行强迫接见控制的主体指定敏感标记,这些敏感标记是实行强迫接见控制的依照。
如:
等级分类和非等级类型组合的敏感标记是实行多级安全模型的基础。
客体标记
应为实行强迫接见控制的客体指定敏感标记,这些敏感标记是实行强迫接见控制的依照。
如:
等级分类和非等级类型组合的敏感标记是实行多级安全模型的基础。
标记完好性
敏感标记应能正确地表示特定主体或客体的接见控制属性,主体和客体应以此发生关系。
当数据从SSON输出时,依据需要,敏感标记应能正确地和明确地表示输出数据的内部标记,并与输出的数据相关
联。
有标记信息的输出
SSON对付每个通讯信道和I/O设备注明单级或多级。
这个标记的任何变化都应由受权用户实现,并可由SSON审计。
SSON应保持并且可以对安全保护等级的任何变化进行鉴定,或对与通讯信道或I/O设备
相关的安全保护等级进行安全审计。
a)向多级安全设备的输出:
当SSON将一客体信息输出到一个拥有多级安全的I/O设备时,与该客体相关的敏感标记也应输出,并以与输出信息相同的形式(如机器可读或人可读形式)驻留在同一物理媒体上
。
当SSON在多级通讯信道上输出或输入一客体信息时,该信道使用的协议应在敏感标记和被发送或被接收的相关信息之间供应明确的配对关系;
b)向单级安全设备的输出:
单级I/O设备和单级通讯信道不需要保持其办理信息的敏感标记,但SSON应包含一种系统,使SSON与一个受权用户能靠谱地实现指定的安全级的信息通讯。
这类信息经由单级
通讯信道或I/O设备输入/输出;
c)人可读标记的输出:
SSON应标记所有人可读的、编页的、拥有人可读的敏感标记的硬拷贝输出(如行打印机输出)的开始和结束,以适合地表示输出敏感性。
SSON应按默认值标记人可读的、编页的、具
有人可读的敏感标记的硬拷贝输出(如行打印机输出)每页的顶部和底部,以适合地表示该输出总的敏感性,或表示该页信息的敏感性。
SSON应当按默认值,并以一种适合方法标记拥有人可读的敏感标记
的其余形式的人可读的输出(如图形),以适合地表示该输出的敏感性。
这些标记默认值的任何滥用都应由SSON审计。
5.4强迫接见控制
接见控制策略
网络强迫接见控制策略应包含策略控制下的主体、客体,及由策略覆盖的被控制的主体与客体间的操作。
可以有多个接见控制安全策略,但它们一定独立命名,且不可以互相矛盾。
当前常有的强迫访
问控制策略有:
a)多级安全模型:
基本思想是,在对主、客体进行标记的基础上,SSOIS控制范围内的所有主体对客体的直接或间接的接见应满足:
——向下读原则:
仅当主体标记中的等级分类高于或等于客体标记中的等级分类,且主体标记中的非等级类型包含了客体标记中的所有非等级类型,主体才能读该客体;
——向上写原则:
仅当主体标记中的等级分类低于或等于客体标记中的等级分类,且主体标记中的非等级类型包含于客体标记中的非等级类型,主体才能写该客体;
b)基于角色的接见控制(BRAC):
基本思想是,按角色进行权限的分配和管理;经过对主体进行角色授与,使主体获取相应角色的权限;经过撤消主体的角色授与,撤消主体所获取的相应角色权限。
在
基于角色的接见控制中,标记信息是对主体的受权信息;
c)特权用户管理:
基本思想是,针对特权用户权限过于集中所带来的安全
隐患,对特权用户按最小受权原则进行管理。
实现特权用户的权限分别;仅授与特权用户为完成自己任务所需要的最小权限。
接见控制功能
SSF应明确指出采纳一条命名的强迫接见控制策略所实现的特定功能。
SSF应有能力供应:
——在标记或命名的标记组的客体上,执行接见控制SFP;
——按受控主体和受控客体之间的同意接见规则,决定同意受控主体对受控客体执行受控操作;
——按受控主体和受控客体之间的拒绝接见规则,决定拒绝受控主体对受控客体执行受控操作。
接见控制范围
网络强迫接见控制的覆盖范围分为:
a)子集接见控制:
对每个确定的强迫接见控制,SSF应覆盖信息系统中由安全功能所定义的主体、客体及其之间的操作;
b)完好接见控制:
对每个确定的强迫接见控制,SSF应覆盖信息系统中所有的主体、客体及其之间的操作,即要求SSF应保证SSC内的任意一个主体和任意一个客体之间的操作将最少被一个确定的接见控
制SFP覆盖。
接见控制粒度
网络强迫接见控制的粒度分为:
a)中粒度:
主体为用户级,客体为文件、数据库表级和
/或记录、字段
级;
b)细粒度:
主体为用户级,客体为文件、数据库表级和和/或元素级。
/或记录、字段级
接见控制环境
a)单一安全域环境:
在单一安全域环境实行的强迫接见控制应在该环境中保持一致的标记信息和接见规则。
当被控客体输出到安全域之外时,应将其标记信息同时输出;
b)多安全域环境:
在多安全域环境实行一致安全策略的强迫接见控制时,应在这些安全域中保持一致的标记信息和接见规则。
当被控制客体在这些安全域之间挪动时,应将其标记信息一起挪动。
5.5数据流控制
对网络中以数据流方式实现数据流动的状况,应采纳数据流控制系统实现对数据流动的控制,以防范拥有高等级安全的数据信息向低等级的地域流动。
5.6安全审计
安全审计的响应
安全审计SSF应按以下要求响应审计事件:
a)记审计日记:
当检测到可能有安全伤害事件时,将审计数据记入审计日
志;
b)及时报警生成:
当检测到可能有安全伤害事件时,生成及时报警信息;
c)违例进度停止:
当检测到可能有安全伤害事件时,将违例进度停止;
d)服务撤消:
当检测到可能有安全伤害事件时,撤消当前的服务;
e)用户账号断开与无效:
当检测到可能有安全伤害事件时,将当前的用户账号断开,并使其无效。
安全审计数据产生
SSF应按以下要求产生审计数据:
a)为下述可审计事件产生审计记录:
——审计功能的启动和关闭;——使用身份鉴别系统;——将客体引入用户地址空间(比方:
打开文件、程序初始化);——删除客体;——系统管理员、系统安全员、审计员和一般操作员所实行的操作;——其余与系统安全相关的事件或特地定义的可审计事件;
b)关于每一个事件,其审计记录应包含:
事件的日期和时间、用户、事件种类、事件能否成功,及其余与审计相关的信息;
c)关于身份鉴别事件,审计记录应包含央求的本源(比方:
终端表记
符);
d)关于客体被引入用户地址空间的事件及删除客体事件,审计记录应包含客体名及客体的安全保护等级;
e)将每个可审计事件与惹起该事件的用户相关系。
安全审计解析
安全审计解析应包含:
a)潜伏伤害解析:
应能用一系列规则去监控审计事件,并依据这些规则指出SSP的潜伏伤害。
这些规则包含:
——由已定义的可审计事件的子集所指示的潜伏安全攻击的累积或组合;
——任何其余的规则;
b)基于异样检测的描述:
应保护用户所拥有的怀疑等级——历史使用状况,以表示该用户的现行活动与已成立的使用模式的一致性程度。
当用户的怀疑等级超出门限条件时,SSF应能指出将要发生对安全
性的威迫;
c)简单攻击探测:
应能检测到对SSF实行有重要威迫的署名事件的出现。
为此,SSF应保护指出对SSF伤害的署名事件的内部表示,并将检测到的系统行为记录与署名事件进行比较,当发现二者般配时,
指出一个对SSF的攻击马上到来;
d)复杂攻击探测:
在上述简单攻击探测的基础上,要求SSF应能检测到多步入侵状况,并能依据已知的事件序列模拟出完好的入侵状况,还应指出发现
对SSF的潜伏伤害的署名事件或事件序列的时间。
5.6.4安全审计查阅
安全审计查阅工具应拥有:
a)审计查阅:
供应从审计记录中读守信息的能力,即要求SSF为受权用户供应获取和解说审计信息的能力。
当用户是人时,一定以人类可懂的方式表示
信息;当用户是外面IT实体时,一定以电子方式无歧
义地表示审计信息;
b)有限审计查阅:
在上述审计查阅的基础上,审计查阅工具应严禁拥有读接见权限之外的用户读取审计信息;
c)可选审计查阅:
在上述有限审计查阅的基础上,审计查阅工具应拥有依据准则来选摘要查阅的审计数据的功能,并依据某种逻辑关系的标准供应对审计数据进行搜寻、分类、排序的能
力。
安全审计事件选择
应依据以手下性选择可审计事件:
a)客体身份、用户身份、主体身份、主机身份、事件种类;
b)作为审计选择性依照的附带属性。
安全审计事件储存
应拥有以下创立并保护安全的审计踪迹记录的能力:
a)受保护的审计踪迹储存:
要求审计踪迹的储存遇到应有的保护,能检测或防范对审计记录的更正;
b)审计数据的可用性保证:
要求在不测状况出现时,能检测或防范对审计记录的更正,以及在发生审计储存已满、储存失败或储存遇到攻击时,保证审计记录不被破坏;
c)审计数据可能扔掉状况下的措施:
要求当审计追踪超出预约的门限时,应采纳相应的措施,进行审计数据可能扔掉状况的办理;
d)防范审计数据扔掉:
要求在审计踪迹储存记满时,应采纳相应的防范审计数据扔掉的措施,可选择“忽视可审计事件”、“阻挡除拥有特别权限外的其余用户产生可审计事件”、“覆盖已储存的最老的审计记
录”和“一旦审计储存失败所采纳的其余行动”等措施,防范审计数据扔掉。
5.7用户数据完好性
储存数据的完好性
对付储存在SSC内的用户数据进行完好性保护,包含:
a)完好性检测:
要求SSF对付基于用户属性的所有客体,对储存在SSC内的用户数据进行完好性检测;
b)完好性检测和恢复:
要求SSF对付基于用户属性的所有客体,对储存在SSC内的用户数据进
行完好性检测,并且当检测到完好性错误时,SSF应采纳必需的SSF应采纳必需的恢复、审计或报警措施。
传输数据的完好性
当用户数据在SSF和其余可信IT系统间传输时应供应完好性保护,包含:
a)完好性检测:
要求对被传输的用户数据进行检测,及时发现以某种方式传递或接收的用户数据被篡改、删除、插入等状况发生;
b)数据交换恢复:
由接收者SSON借助于源可信IT系统供应的信息,或由
接收者SSON自己不必来自源可信IT系统的任何帮助,能恢复被破坏的数据为原始的用户数据。
若没有可恢复条件,应向源可信IT系
统供应反响信息。
办理数据的完好性
回退:
对信息系统中办理中的数据,应经过“回退”进行完好性保护,即要
求SSF应执行接见控制SFP,以同意对所定义的操作序列进行回退。
5.8用户数据保密性
5.8.1储存数据的保密性
对付储存在SSC内的用户数据进行保密性保护。
5.8.2传输数据的保密性
对付在SSC内传输的用户数据进行保密性保护。
客体安全重用
在对资源进行动向管理的系统中,客体资源(寄存器、内存、磁盘等记录介质)中的节余信息不该惹起信息的泄漏。
客体安全重用分为:
a)子集信息保护:
要求对SSON安全控制范围以内的某个子集的客体资源,在将其分配给某一用户或代表该用户运转的进度时,应不会泄漏该客体中的原有信息;
b)完好信息保护:
要求对SSON安全控制范围以内的所有客体资源,在将其
分配给某一用户或代表该用户运转的进度时,应不会泄漏该客体中的原有信息;
c)特别信息保护:
关于某些需要特别保护的信息,应采纳特地的方法对客体资源中的残留信息做完全除去,如对剩磁的除去等。
5.9可信路径
用户与SSF间的可信路径应:
a)供应真实的端点表记,并保护通讯数据免遭更正和泄漏;
b)利用可信路径的通讯可以由SSF自己、当地用户或远程用户倡导;
c)对原发用户的鉴别或需要可信路径的其余服务均使用可信路径。
5.10抗狡辩
抗原发狡辩
应保证信息的发送者不可以否认以前发送过该信息。
这就要求SSF供应一种方法,来保证接收信息的主体在数据交换时期能获取证明信息原发的凭据,并且该凭据可由该主体或第三方主体考据。
抗原发狡辩分为:
a)选择性原发证明:
要求SSF拥有为主体供应央求原发凭据信息的能力。
即SSF在接到原发者或接收者的央求时,能就传输的信息产生原发凭据,证明该信息的发送由该原发者所为;
b)强迫性原发证明:
要求SSF在任何时候都能对传输的信息产生原发凭据。
即SSF在任何时候都能就传输的
升级会员 