网络基础安全技术要求Word文件下载.docx

1、层、应用层等各层的功能进行了简要描述，是确定网络各层安全功能要求的主要依照。本标准以 GB/T 20271-2006 关于信息系统安全等级保护的通用技术要求为基础，环绕以接见控制为中心的思想进行编写，在对网络安全的构成与互相关系进行简要说明的 基础上，第 5 章对网络安全功能基本技术分别进行了说明，第 6 章是对第 5 章网络安全功能的分级分层状况的描述。在此基础上，本标准的第 7 章对网络安全技术的 分等级要求分别从安全功能技术要乞降安全保证技术要求双方面进行了详细说明。在第 7 章的描述中除了引用从前各章的内容外，还引用了 GB/T 20271-2006 中关于安全保证技术要求的内容。因为

2、 GB/T 20271-2006 的安全保证技术要求，对网络而言没有需要特别说明的内容，所以在网络基本技术及其分级分层的描述中没有涉及这方面的内容。信息安全技术1范围本标准依照 GB 17859-1999 的五个安全保护等级的区分，依据网络系统在信息系统中的作用，规定了各个安全等级的网络系统所需要的基础安全技术的要求。本标准合用于按等级化的要求进行的网络系统的设计和实现，对按等级化要求进行的网络系统安全的测试和管理可参照使用。2规范性引用文件以下文件中的条款经过本标准的引用而成为本标准的条款。凡是注明天期的引用文件，其随后的所有更正单（不包含勘误的内容）或订正版均不合用于本标准，但是，鼓舞依据

3、本标准完成协议的各方研究能否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本合用于本标准。GB 17859-1999 计算机信息系统安全保护等级区分准则 GB/T20271-2006 信息安全技术 信息系统通用安全技术要求3术语、定义和缩略语3.1 术语和定义GB 178591999 确定的以及以下术语和定义合用于本标准。网络安全 network security网络环境下储存、传输和办理的信息的保密性、完好性和可用性的表征。网络安全基础技术 basis technology of network security的网络系统安全需要的所有基础性安全技术。实现各种种类网络安全子系统s

4、ecurity subsystem of network网络中安全保护装置的总称，包含硬件、固件、软件和负责执行安全策略的组合体。它成立了一个基本的网络安全保护环境，并供应安全网络所要求的附带用户服务。注：依照 GB 17859-1999 对 TCB（可信计算基）的定义， SSON（网络安全子系统）就是网络的 TCB。SSON安全策略 SS0N security policy 对 SS0N中的资源进行管理、保护和分配的一组规则。一个 SSON中可以有一个或多个安全策略。安全功能策略 security function policy为实现 SSON安全因素要求的功能所采纳的安全策略。安全因素 s

5、ecurity element本标准中各安全保护等级的安全技术要求所包含的安全内容的构成成份。SSON安全功能 SSON security function正的确施 SSON安全策略的所有硬件、固件、软件所供应的功能。每一个安全策略的实现，构成一个 SSON安全功能模块。一个 SSON的所有安全功能模块共同构成该 SSON的安全功能。SSF控制范围 SSF scope of controlSSON的操作所涉及的主体和客体的范围。3.2 缩略语以下缩略语合用于本标准：SFP 安全功能策略 security function policySSC SSF控制范围 SSF scope of contr

6、olSSF SSON安全功能 SSON security functionSSP SSON安全策略 SS0N security policySSON网络安全子系统 security subsystem of network4网络安全构成与互相关系依据 OSI 参照模型和 GB 17859-1999 所规定的安全保护等级和安全因素，网络安全的构成与互相关系如表 1 所示。关于网络系统的物理层、链路层、网络层、传输层、会话层、表示层和应用层，可分别按 GB 17859-1999 的各个安全等级的要求进行设计。在各协议层中，安全因素的实现方法可有所不一样。本标准基于各项安全因素对各协议层在各个安全保

7、护等级中应采纳的安全技术和系统提出要求。5网络安全功能基本要求5.1 身份鉴别 用户表记a）基本表记：应在 SSF实行所要求的动作从前，先对提出该动作要求的用户进行表记。b）独一性表记：应保证所表记用户在信息系统生计周期内的独一性，并将用户表记与安全审计相关系。c）表记信息管理：对付用户表记信息进行管理、保护，保证其不被非受权地接见、更正或删除。 用户鉴别a）基本鉴别：应在 SSF实行所要求的动作从前，先对提出该动作要求的用户成功地进行鉴别。b）不行捏造鉴别：应检测并防范使用捏造或复制的鉴别数据。一方面，要求 SSF应检测或防范由任何其余用户捏造的鉴别数据，另一方面，要求 SSF应检测或防范当

8、前用户从任何其余用户处复制的鉴别数据的使用；c）一次性使用鉴别：应能供应一次性使用鉴别数据操作的鉴别系统，即SSF应防范与已表记过的鉴别系统相关的鉴别数据的重用；d）多系统鉴别：应能供应不一样的鉴别系统，用于鉴别特定事件的用户身份，并且 SSF应依据所描述的多种鉴别系统如何供应鉴其余规则，来鉴别任何用户所宣称的身份；e）重新鉴别：应有能力规定需要重新鉴别用户的事件，即 SSF应在需要重鉴其余条件表所指示的条件下，重新鉴别用户。比方，用户终端操作超时被断开后，重新连接时需要进行重鉴别。 用户 - 主体绑定在 SSON安全功能控制范围以内，对一个已表记和鉴其余用户，为了要求SSF完成某个任务，需要

9、激活另一个主体（如进度），这时，要求经过用户 - 主体绑定将该用户与该主体相关系，从而将用户的身份与该用户的所有可审计行为相关系。 鉴别失败办理要求 SSF为不行功的鉴别试试次数（包含试试数量和时间的阈值）定义一个值，以及明确规定达到该值时所应采纳的动作。鉴别失败的办理应包含检测出现相关的不行功鉴别试试的次数与所规定的数量相同的状况，并进行早先定义的办理。5.2 自主接见控制 接见控制策略SSF应按确定的自主接见控制安全策略进行设计，实现对策略控制下的主体与客体间操作的控制。可以有多个自主接见控制安全策略，但它们一定独立命名，且不可以互相矛盾。常用的自主接见控制策略包含：接见控制表接见控制、目

10、录表接见控制、权能表接见控制等。 接见控制功能SSF应明确指出采纳一条命名的接见控制策略所实现的特定功能，说明策略的使用和特色，以及该策略的控制范围。不论采纳何种自主接见控制策略， SSF应有能力供应：在安全属性或命名的安全属性组的客体上，执行接见控制 SFP；在基于安全属性的同意主体对客体接见的规则的基础上，同意主体对客体的接见；在基于安全属性的拒绝主体对客体接见的规则的基础上，拒绝主体对客体的接见。 接见控制范围网络系统中自主接见控制的覆盖范围分为：a） 子集接见控制：要求每个确定的自主接见控制， SSF应覆盖网络系统中所定义的主体、客体及其之间的操作；b） 完好接见控制：要求每个确定的自

11、主接见控制， SSF应覆盖网络系统中所有的主体、客体及其之间的操作，即要求 SSF应保证 SSC内的任意一个主体和任意一个客体之间的所有操作将最少被一个确定的接见控制 SFP覆盖。 接见控制粒度网络系统中自主接见控制的粒度分为：a） 粗粒度：主体为用户组 / 用户级，客体为文件、数据库表级；b） 中粒度：主体为用户级，客体为文件、数据库表级和 / 或记录、字段级；c） 细粒度：主体为用户级，客体为文件、数据库表级和 / 或记录、字段级或元素级。5.3 标记 主体标记应为实行强迫接见控制的主体指定敏感标记，这些敏感标记是实行强迫接见控制的依照。如：等级分类和非等级类型组合的敏感标记是实行多级安全

12、模型的基础。 客体标记应为实行强迫接见控制的客体指定敏感标记，这些敏感标记是实行强迫接见控制的依照。 标记完好性敏感标记应能正确地表示特定主体或客体的接见控制属性，主体和客体应以此发生关系。当数据从 SSON输出时，依据需要，敏感标记应能正确地和明确地表示输出数据的内部标记，并与输出的数据相关联。 有标记信息的输出SSON对付每个通讯信道和 I/O 设备注明单级或多级。这个标记的任何变化都应由受权用户实现，并可由 SSON审计。 SSON应保持并且可以对安全保护等级的任何变化进行鉴定，或对与通讯信道或 I/O 设备相关的安全保护等级进行安全审计。a）向多级安全设备的输出：当 SSON将一客体信

13、息输出到一个拥有多级安全的 I/O 设备时，与该客体相关的敏感标记也应输出，并以与输出信息相同的形式 （ 如机器可读或人可读形式 ） 驻留在同一物理媒体上。当 SSON在多级通讯信道上输出或输入一客体信息时，该信道使用的协议应在敏感标记和被发送或被接收的相关信息之间供应明确的配对关系；b）向单级安全设备的输出：单级 I/O 设备和单级通讯信道不需要保持其办理信息的敏感标记，但 SSON应包含一种系统，使 SSON与一个受权用户能靠谱地实现指定的安全级的信息通讯。这类信息经由单级通讯信道或 I/O 设备输入 / 输出；c）人可读标记的输出： SSON应标记所有人可读的、编页的、拥有人可读的敏感标

14、记的硬拷贝输出 （ 如行打印机输出 ） 的开始和结束，以适合地表示输出敏感性。 SSON应按默认值标记人可读的、编页的、具有人可读的敏感标记的硬拷贝输出 （ 如行打印机输出 ） 每页的顶部和底部，以适合地表示该输出总的敏感性，或表示该页信息的敏感性。 SSON应当按默认值，并以一种适合方法标记拥有人可读的敏感标记的其余形式的人可读的输出 （ 如图形 ） ，以适合地表示该输出的敏感性。这些标记默认值的任何滥用都应由 SSON审计。5.4 强迫接见控制网络强迫接见控制策略应包含策略控制下的主体、客体，及由策略覆盖的被控制的主体与客体间的操作。可以有多个接见控制安全策略，但它们一定独立命名，且不可以

15、互相矛盾。当前常有的强迫访问控制策略有：a） 多级安全模型：基本思想是，在对主、客体进行标记的基础上， SSOIS 控制范围内的所有主体对客体的直接或间接的接见应满足：向下读原则：仅当主体标记中的等级分类高于或等于客体标记中的等级分类，且主体标记中的非等级类型包含了客体标记中的所有非等级类型，主体才能读该客体；向上写原则：仅当主体标记中的等级分类低于或等于客体标记中的等级分类，且主体标记中的非等级类型包含于客体标记中的非等级类型，主体才能写该客体；b）基于角色的接见控制（ BRAC）：基本思想是，按角色进行权限的分配和管理；经过对主体进行角色授与，使主体获取相应角色的权限；经过撤消主体的角色授

16、与，撤消主体所获取的相应角色权限。在基于角色的接见控制中，标记信息是对主体的受权信息；c）特权用户管理：基本思想是，针对特权用户权限过于集中所带来的安全隐患，对特权用户按最小受权原则进行管理。实现特权用户的权限分别；仅授与特权用户为完成自己任务所需要的最小权限。SSF应明确指出采纳一条命名的强迫接见控制策略所实现的特定功能。 SSF 应有能力供应：在标记或命名的标记组的客体上，执行接见控制 SFP；按受控主体和受控客体之间的同意接见规则，决定同意受控主体对受控客体执行受控操作；按受控主体和受控客体之间的拒绝接见规则，决定拒绝受控主体对受控客体执行受控操作。网络强迫接见控制的覆盖范围分为：a）子

17、集接见控制：对每个确定的强迫接见控制， SSF应覆盖信息系统中由安全功能所定义的主体、客体及其之间的操作；b）完好接见控制：对每个确定的强迫接见控制， SSF应覆盖信息系统中所有的主体、客体及其之间的操作，即要求 SSF应保证 SSC内的任意一个主体和任意一个客体之间的操作将最少被一个确定的接见控制 SFP覆盖。网络强迫接见控制的粒度分为：a） 中粒度：主体为用户级，客体为文件、数据库表级和/ 或记录、字段级；b） 细粒度：主体为用户级，客体为文件、数据库表级和和 / 或元素级。/ 或记录、字段级 接见控制环境a）单一安全域环境：在单一安全域环境实行的强迫接见控制应在该环境中保持一致的标记信息

18、和接见规则。当被控客体输出到安全域之外时，应将其标记信息同时输出；b）多安全域环境：在多安全域环境实行一致安全策略的强迫接见控制时，应在这些安全域中保持一致的标记信息和接见规则。当被控制客体在这些安全域之间挪动时，应将其标记信息一起挪动。5.5 数据流控制对网络中以数据流方式实现数据流动的状况，应采纳数据流控制系统实现对数据流动的控制，以防范拥有高等级安全的数据信息向低等级的地域流动。5.6 安全审计 安全审计的响应安全审计 SSF应按以下要求响应审计事件：a）记审计日记：当检测到可能有安全伤害事件时，将审计数据记入审计日志；b）及时报警生成：当检测到可能有安全伤害事件时，生成及时报警信息；c

19、）违例进度停止：当检测到可能有安全伤害事件时，将违例进度停止；d）服务撤消：当检测到可能有安全伤害事件时，撤消当前的服务；e）用户账号断开与无效：当检测到可能有安全伤害事件时，将当前的用户账号断开，并使其无效。 安全审计数据产生SSF应按以下要求产生审计数据：a）为下述可审计事件产生审计记录：审计功能的启动和关闭；使用身份鉴别系统；将客体引入用户地址空间（比方：打开文件、程序初始化）；删除客体；系统管理员、系统安全员、审计员和一般操作员所实行的操作；其余与系统安全相关的事件或特地定义的可审计事件；b）关于每一个事件，其审计记录应包含：事件的日期和时间、用户、事件种类、事件能否成功，及其余与审计

20、相关的信息；c）关于身份鉴别事件，审计记录应包含央求的本源（比方：终端表记符）；d）关于客体被引入用户地址空间的事件及删除客体事件，审计记录应包含客体名及客体的安全保护等级；e）将每个可审计事件与惹起该事件的用户相关系。 安全审计解析安全审计解析应包含：a）潜伏伤害解析：应能用一系列规则去监控审计事件，并依据这些规则指出 SSP的潜伏伤害。这些规则包含：由已定义的可审计事件的子集所指示的潜伏安全攻击的累积或组合；任何其余的规则；b）基于异样检测的描述：应保护用户所拥有的怀疑等级历史使用状况，以表示该用户的现行活动与已成立的使用模式的一致性程度。当用户的怀疑等级超出门限条件时， SSF应能指出将

21、要发生对安全性的威迫；c）简单攻击探测：应能检测到对 SSF实行有重要威迫的署名事件的出现。为此， SSF应保护指出对 SSF伤害的署名事件的内部表示，并将检测到的系统行为记录与署名事件进行比较，当发现二者般配时，指出一个对 SSF的攻击马上到来；d） 复杂攻击探测：在上述简单攻击探测的基础上，要求 SSF应能检测到多步入侵状况，并能依据已知的事件序列模拟出完好的入侵状况，还应指出发现对 SSF的潜伏伤害的署名事件或事件序列的时间。 5.6.4 安全审计查阅安全审计查阅工具应拥有：a）审计查阅：供应从审计记录中读守信息的能力，即要求 SSF为受权用户供应获取和解说审计信息的能力。当用户是人时，

22、一定以人类可懂的方式表示信息；当用户是外面 IT 实体时，一定以电子方式无歧义地表示审计信息；b）有限审计查阅：在上述审计查阅的基础上，审计查阅工具应严禁拥有读接见权限之外的用户读取审计信息；c）可选审计查阅：在上述有限审计查阅的基础上，审计查阅工具应拥有依据准则来选摘要查阅的审计数据的功能，并依据某种逻辑关系的标准供应对审计数据进行搜寻、分类、排序的能力。 安全审计事件选择应依据以手下性选择可审计事件：a）客体身份、用户身份、主体身份、主机身份、事件种类；b）作为审计选择性依照的附带属性。 安全审计事件储存应拥有以下创立并保护安全的审计踪迹记录的能力：a）受保护的审计踪迹储存：要求审计踪迹的

23、储存遇到应有的保护，能检测或防范对审计记录的更正；b）审计数据的可用性保证：要求在不测状况出现时，能检测或防范对审计记录的更正，以及在发生审计储存已满、储存失败或储存遇到攻击时，保证审计记录不被破坏；c）审计数据可能扔掉状况下的措施：要求当审计追踪超出预约的门限时，应采纳相应的措施，进行审计数据可能扔掉状况的办理；d）防范审计数据扔掉：要求在审计踪迹储存记满时，应采纳相应的防范审计数据扔掉的措施，可选择“忽视可审计事件”、“阻挡除拥有特别权限外的其余用户产生可审计事件”、“覆盖已储存的最老的审计记录”和“一旦审计储存失败所采纳的其余行动”等措施，防范审计数据扔掉。5.7 用户数据完好性 储存数

24、据的完好性对付储存在 SSC内的用户数据进行完好性保护，包含：a）完好性检测：要求 SSF对付基于用户属性的所有客体，对储存在 SSC内的用户数据进行完好性检测；b）完好性检测和恢复：要求 SSF对付基于用户属性的所有客体，对储存在SSC内的用户数据进行完好性检测 , 并且当检测到完好性错误时， SSF应采纳必需的 SSF应采纳必需的恢复、审计或报警措施。 传输数据的完好性当用户数据在 SSF和其余可信 IT 系统间传输时应供应完好性保护，包含：要求对被传输的用户数据进行检测，及时发现以某种方式传递或接收的用户数据被篡改、删除、插入等状况发生；b）数据交换恢复：由接收者 SSON借助于源可信

25、IT 系统供应的信息，或由接收者 SSON自己不必来自源可信 IT 系统的任何帮助，能恢复被破坏的数据为原始的用户数据。若没有可恢复条件，应向源可信 IT 系统供应反响信息。 办理数据的完好性回退：对信息系统中办理中的数据，应经过“回退”进行完好性保护，即要求 SSF应执行接见控制 SFP，以同意对所定义的操作序列进行回退。 5.8 用户数据保密性5.8.1 储存数据的保密性对付储存在 SSC内的用户数据进行保密性保护。 5.8.2 传输数据的保密性对付在 SSC内传输的用户数据进行保密性保护。 客体安全重用在对资源进行动向管理的系统中，客体资源（寄存器、内存、磁盘等记录介质）中的节余信息不该

26、惹起信息的泄漏。客体安全重用分为：a）子集信息保护：要求对 SSON安全控制范围以内的某个子集的客体资源，在将其分配给某一用户或代表该用户运转的进度时，应不会泄漏该客体中的原有信息；b）完好信息保护：要求对 SSON安全控制范围以内的所有客体资源，在将其分配给某一用户或代表该用户运转的进度时，应不会泄漏该客体中的原有信息；c）特别信息保护：关于某些需要特别保护的信息，应采纳特地的方法对客体资源中的残留信息做完全除去，如对剩磁的除去等。5.9 可信路径用户与 SSF间的可信路径应：a）供应真实的端点表记，并保护通讯数据免遭更正和泄漏；b）利用可信路径的通讯可以由 SSF自己、当地用户或远程用户倡导；c）对原发用户的鉴别或需要可信路径的其余服务均使用可信路径。5.10 抗狡辩 抗原发狡辩应保证信息的发送者不可以否认以前发送过该信息。这就要求 SSF供应一种方法，来保证接收信息的主体在数据交换时期能获取证明信息原发的凭据，并且该凭据可由该主体或第三方主体考据。抗原发狡辩分为：a）选择性原发证明：要求 SSF拥有为主体供应央求原发凭据信息的能力。即 SSF在接到原发者或接收者的央求时，能就传输的信息产生原发凭据，证明该信息的发送由该原发者所为；b）强迫性原发证明：要求 SSF在任何时候都能对传输的信息产生原发凭据。即 SSF在任何时候都能就传输的