GB T 20270-2006 信息安全技术.网络基础安全技术要求.pdf

资源描述

1、ICS 35.040 L 80 GB 中华人民共和国国家标准G/T 20270-2006 信息安全技术网络基础安全技术要求Information security technology 一Basis security techniques requirement for network 2006-05-31发布中华人民共和国国家质量监督检验检痊总局中国国家标准化管理委员会2006-12-01实施GB/T 20270-2006 目次vwu111122333344444444455555566666667777I 系关求出uu生择储-uu互要u定u输应产选存JZu相仨绑理略能围度的略能围度境响据析

2、阅牛平件调u与如u体处制策功范粒U性息制策功范粒环U的数分查事事文附义成能识别主败控制制制制u记记整信控制制制制制制计计计计计计用叼定组功别标鉴一失问控控控控u标标完记问控控控控控控计审审审审审审. 引己和语全全鉴户户户别访问问问问体体记标访问问问问问流审全全全全全全性占语略安安份用用用鉴主访访访访记主客标有制访访访访访据全安安安安安安围范语术缩络络身自标强数安范规术网网J2341234123412345123456士目主口12111112222233333444444566666664刚引123LL45丘旦旦旦5.5.5.5.5.孔丘旦旦旦旦旦丘旦旦旦旦旦旦旦旦旦旦旦旦GB/T 20270-

3、2006 且UOOQUQUQOOOQUQUQUOOOOQdQdQdQd119J4&RU句iQOnunu-9牛?Mnd4A飞FUPOPOOd门v门unJA14牟同iQdQd1111111A222222222222233333333 明且说念求能能皮级级11111报问时br护叮叮时护叮叮叮叮护酥酥级酥酥扫酥酥刷整整整密密-uu分E能保保能要保BE保包正保能证护能证邱能证三、自E功主青、1计自i记臣中即如阿甲且都叫叫问叩Et品r口出叫时内吐出12币1即如盟问时附加叮叮可ZH非非口仨时在4翩翩向阳阳叫比JJJJJJO队0.1网01网JJJJJJJJJJLU777788889111i1123456789

4、111i11222333444555=习5.15.旦旦旦旦5.ELL-旦旦6月队队队队队6.6.6.6.6.队717.1111111111117.附AHGB/T 20270-2006 A.2 关于网络各层协议主要功能的说明A.3 关于安全保护等级划分40A.4 关于主体和客体40A.5 关于SSON、SSF、白P、SFP及其相互关系 40 A.6 关于数据流控制4A.7 关于密码技术UA.8 关于安全网络的建设u参考文献. . . . . . . . . 42 E GB/T 20270-2006 目。自本标准的附录A是资料性附录。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位:

5、北京思源新创信息安全资讯有限公司，江南计算技术研究所技术服务中心。本标准主要起草人:吉增瑞、刘广明、王志强、陈冠直、景乾元、宋健平。V GB/T 20270一2006引牛一-R本标准用以指导设计者如何设计和实现具有所需要的安全保护等级的网络系统，主要说明为实现GB 17859-1999中每-个安全保护等级的安全要求，网络系统应采取的安全技术措施，以及各安全技术要求在不同安全保护等级中的具体差异。网络是一个具有复杂结构、由许多网络设备组成的系统，不同的网络环境又会有不同的系统结构。然而，从网络系统所实现的功能来看，可以概括为实现网上信息交换。网上信息交换具体可以分解为信息的发送、信息的传输和信息

6、的接收。从信息安全的角度，网络信息安全可以概括为保障网上信息交换的安全，具体表现为信息发送的安全、信息传输的安全和信息接收的安全，以及网上信息交换的抗抵赖等。网上信息交换是通过确定的网络协议实现的，不同的网络会有不同的协议。任何网络设备都是为实现确定的网络协议而设置的。典型的、具有代表性的网络协议是国际标准化组织的开放系统互连协议(1SO/OSO，也称七层协议。虽然很少有完全按照七层协议构建的网络系统，但是七层协议的理论价值和指导作用是任何网络协议所不可替代的。网络安全需要通过协议安全来实现。通过对七层协议每一层安全的描述，可以实现对网络安全的完整描述。网络协议的安全需要由组成网络系统的设备来

7、保障。因此，对七层协议的安全要求自然包括对网络设备的安全要求。信息安全是与信息系统所实现的功能密切相关的，网络安全也不例外。网络各层协议的安全与其在每一层所实现的功能密切相关。附录A中A.2关于网络各层协议主要功能的说明，对物理层、链路层、网络层、传输层、会话层、表示层、应用层等各层的功能进行了简要描述，是确定网络各层安全功能要求的主要依据。本标准以B/T20271-2006关于信息系统安全等级保护的通用技术要求为基础，围绕以访问控制为核心的思想进行编写，在对网络安全的组成与相互关系进行简要说明的基础上，第5章对网络安全功能基本技术分别进行了说明，第6章是对第5章网络安全功能的分级分层情况的描

8、述。在此基础上，本标准的第7章对网络安全技术的分等级要求分别从安全功能技术要求和安全保证技术要求两方面进行了详细说明。在第7章的描述中除了引用以前各章的内容外，还引用了GB/T20271一2006中关于安全保证技术要求的内容。由于GB/T20271-2006的安全保证技术要求，对网络而言没有需要特别说明的内容，所以在网络基本技术及其分级分层的描述中没有涉及这方面的内容。VI GB/ T 20270-2006 信息安全技术网络基础安全技术要求1 范围3 术语、定。GB 178 3. 1. 1 网络安网络环境3. 1. 2 网络安全实现各种类3. 1. 3 网络安全子系网络中安全保护、3. 1.4

9、 SSON安全策略SSON security policy ，对按等级化要求进行的网络系统安期的引用文件，其随后的标准达成协议的各方研系统)就是网络的TCB。对SSON中的资源进行管理、保护和分配的一组规则。一个SSON中可以有一个或多个安全策略。3. 1. 5 安全功能策略security function policy 为实现SSON安全要素要求的功能所采用的安全策略。3. 1. 6 安全要素security element 本标准中各安全保护等级的安全技术要求所包含的安全内容的组成成份。GB/T 20270-2006 3.1.7 SSON安全功能SSON security functio

10、n 正确实施SSON安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现，组成一个SSON安全功能模块。一个SSON的所有安全功能模块共同组成该SSON的安全功能。3.1.8 SSF控制范围SSF scope of control SSON的操作所涉及的主体和客体的范围。3.2 缩略语下列缩略语适用于本标准:SFP 安全功能策略security function policy SSC SSF控制范围SSF scope of control SSF SSON安全功能SSON security function SSP SSON安全策略SSON security policy SSON

11、网络安全子系统security subsystem of network 4 网络安全组成与相互关系根据OSI参考模型和GB17859-1999所规定的安全保护等级和安全要素，网络安全的组成与相互关系如表1所示。对于网络系统的物理层、链路层、网络层、传输层、会话层、表示层和应用层，可分别按GB17859 1999的各个安全等级的要求进行设汁。在各协议层中，安全要素的实现方法可有所不同。本标准基于各项安全要素对各协议层在各个安全保护等级中应采用的安全技术和机制提出要求。表1安全保护等级、网络层次与安全要素的相互关系安全要素安全等级和网络层次身份鉴别自主访问标记强制访问数据流控安全审计数据完数据

12、保可信路径抗抵赖网络安全控制控制制整性密性监控物理层女户链路层11坛1I 1I 自网络层才X1I 女1主传输层保女才过11I 护会话层才这女1I 1I 级表示层1I 女1I 1I 应用层11I 才这会物理层1I * 系统链路层1I 才X才X1审网络层* 才X1* * 计传输层女才X* 才X女保会话层才X1才X* 才这护表示层级* 1I * 才注* 应用层1I 女才X1与才这2 GB/T 20270-2006 表1(续)安全要素安全等级和网络层次身份鉴别自主访问标记强制访问数据流控安全审计数据完数据保可信路径抗抵赖网络安全控制控制制整性密性监控物理层为女安全链路层才注才X1:; 才注才这1:;

13、才X标网络层女才这1:; 才注女才这为1f过i己传输层女女女才这才这1:; 1:; 女才过保会话层才注1:; 才这才这才注1纣才过会才这f过护级表示层女才X1:; 为才这才注女1:; 1:; 才注应用层女1:; 女女女女才这女1:; 女物理层才X才X结链路层1:; 1:; 才这女1纭1纭1纣构网络层女才X会为1:; 女才这1:; 才X六化传输层女1:; 才这女保女才X才这1与1:; 1:; 护会话层为才这1:; 女1:; 11:; 1女1:; 女级表示层才X六女女女号主才注女才这1:; 为应用层1:; 才X1:; 女1与女1:; 才X女1:; 为物理层1:; 1访问链路层才这1:; 才注f过才

14、达1女验网络层才这才X1:; 1号六1:; 1与为女1:; iE 传输层女1才X女1:; 节与1:; 才这1:; 才注保会话层1:; 1:; 女六女才这才这才X1:; 1:; 女护级表示层才X为1:; 女1:; 女为1:; 才X才X才注应用层才这才X1:; 会才过1:; 1:; 女才X1:; 才注注六表示具有该要素。每个安全级的各层协议所设置的安全要素可以是有选择的。选择的原则是整体上达到安全要求。5 网络安全功能基本要求5.1 身份鉴别5.1.1 用户标识a) 基本标识:应在SSF实施所要求的动作之前，先对提出该动作要求的用户进行标识。b) 唯一性标识:应确保所标识用户在信息系统生存周期内的

15、唯一性，并将用户标识与安全审计相关联。c) 标识信息管理:应对用户标识信息进行管理、维护，确保其不被非授权地访问、修改或删除。5. 1. 2 用户鉴别a) 基本鉴别:应在SSF实施所要求的动作之前，先对提出该动作要求的用户成功地进行鉴别。b) 不可伪造鉴别:应检测并防止使用伪造或复制的鉴别数据。方面，要求SSF应检测或防止由任何别的用户伪造的鉴别数据，另一方面，要求SSF应检测或防止当前用户从任何其他用3 GB/T 20270-2006 户处复制的鉴别数据的使用。c) 一次性使用鉴别:应能提供一次性使用鉴别数据操作的鉴别机制，即SSF应防止与己标识过的鉴别机制有关的鉴别数据的重用。d) 多机制

16、鉴别:应能提供不同的鉴别机制，用于鉴别特定事件的用户身份，并且SSF应根据所描述的多种鉴别机制如何提供鉴别的规则，来鉴别任何用户所声称的身份。e) 重新鉴别:应有能力规定需要重新鉴别用户的事件，即SSF应在需要重鉴别的条件表所指示的条件下，重新鉴别用户。例如，用户终端操作超时被断开后，重新连接时需要进行重鉴别。5. 1. 3 用户一主体绑定在SSON安全功能控制范围之内，对一个己标识和鉴别的用户，为了要求，SSF完成某个任务，需要制另一个主体(如进程)，这时，要求通过马伊峰组部该用户与该主体相关联，从而将用户的身份与该用户的所有可审计行为相关联5. 1.4 鉴别失败处理要求SSF为不成功的鉴该

17、值时所应采取的动作。SSF应按确定可以有多个自主访包括:访问控制表、5. 2. 3 访问控制范网络系统中自fb) SSC 少被斗确定的访问问FP苦苦5.2. 4 访问控制粒度网络系统中自主访问控制的粒度分为:a) 粗粒度:主体为用户组/用户级，客体为文件、数据库表级;b) 中粒度:主体为用户级，客体为文件、数据库表级和/或记录、字段级;c) 细粒度:主体为用户级，客体为文件、数据库表级和/或记录、宇段级或元素级。5. 3 标记5.3.1 主体标记应为实施强制访问控制的主体指定敏感标记，这些敏感标记是实施强制访问控制的依据。如:等级分类和非等级类别组合的敏感标记是实施多级安全模型的基础。4 GB

18、/T 20270-2006 5. 3.2 害体标记应为实施强制访问控制的客体指定敏感标记，这些敏感标记是实施强制访问控制的依据。如:等级分类和非等级类别组合的敏感标记是实施多级安全模型的基础。5. 3.3 标记完整性敏感标记应能准确地表示特定主体或客体的访问控制属性，主体和客体应以此发生关联。当数据从SSON输出时，根据需要，敏感标记应能准确地和明确地表示输出数据的内部标记，并与输出的数据相关联。5.4.1 访问控制非网络强制访问该客体有关的敏感标i留在同一物理媒体t。、，LU c) 人可读标i出(如1rt读的、编适当地主体与客体间的见的强制访问控体标记中的寺级类别，主b) 基于角色的访问控制

19、(BRA。当虹、烟，按恤刷得限的分配和管理;通过对主体进行角色授予，使主体获得相应角色的权限;通过撤消主体的角色授予，取消主体所获得的相应角色权限。在基于角色的访问控制中，标记信息是对主体的授权信息。c) 特权用户管理:基本思想是，针对特权用户权限过于集中所带来的安全隐患，对特权用户按最小授权原则进行管理。实现特权用户的权限分离;仅授予特权用户为完成自身任务所需要的最小权限。5. 4.2 访问控制功能SSF应明确指出采用一条命名的强制访问控制策略所实现的特定功能。SSF应有能力提供:5 G/T 20270-2006 一一在标记或命名的标记组的客体上，执行访问控制SFP;接受控主体和受控客体之间

20、的允许访问规则，决定允许受控主体对受控客体执行受控操作;按受控主体和受控客体之间的拒绝访问规则，决定拒绝受控主体对受控客体执行受控操作。5. 4. 3 访问控制范围网络强制访问控制的覆盖范围分为:a) 子集访问控制:对每个确定的强制访问控制，SSF应覆盖信息系统中由安全功能所定义的主体、客体及其之间的操作;b) 完全访问控制:对每个确定的强制访问控制，SSF应覆盖信息系统中所有的主体、客体及其之间的操作，即要求SSF应确保SSC内的任意一个主体和任意-个客体之间的操作将至少被一个确定的访问控制SFP覆盖。5.4.4 访问控制粒度网络强制访问控制的粒度分为:a) 中粒度:主体为用户级，客体为文件

21、、数据库表级和/或记录、宇段级;b) 细粒度:主体为用户级，客体为文件、数据库表级和/或记录、宇段级和/或元素级。5.4.5 访问控制环境a) 单一安全域环境:在单一安全域环境实施的强制访问控制应在该环境中维持统一的标记信息和访问规则。当被控客体输出到安全域以外时，应将其标记信息同时输出;b) 多安全域环境:在多安全域环境实施统一安全策略的强制访问控制时，应在这些安全域中维持统一的标记信息和访问规则。当被控制客体在这些安全域之间移动时，应将其标记信息一起移动。5.5 数据流控制对网络中以数据流方式实现数据流动的情况，应采用数据流控制机制实现对数据流动的控制，以防止具有高等级安全的数据信息向低等

22、级的区域流动。5.6 安全审计5.6. 1 安全审计的晌应安全审计SSF应按以下要求响应审计事件:a) 记审计日志:当检测到可能有安全侵害事件时，将审计数据记入审计日志;切实时报警生成:当检测到可能有安全侵害事件时，生成实时报警信息;c) 违例进程终止:当检测到可能有安全侵害事件时，将违例进程终止;d) 服务取消:当检测到可能有安全侵害事件时，取消当前的服务;e) 用户账号断开与失效:当检测到可能有安全侵害事件时，将当前的用户账号断开，并使其失效。5.6.2 安全审计数据产生6 SSF应按以下要求产生审计数据:a) 为下述可审计事件产生审计记录t审计功能的启动和关闭;一使用身份鉴别机制;一将客

23、体引人用户地址空间(例如:打开文件、程序初始化); 删除客体;一一系统管理员、系统安全员、审计员和-般操作员所实施的操作;一一其他与系统安全有关的事件或专门定义的可审计事件。b) 对于每一个事件，其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息。c) 对于身份鉴别事件，审计记录应包含请求的来源(例如:终端标识符)。GB/T 20270-2006 d) 对于客体被引人用户地址空间的事件及删除客体事件，审计记录应包含客体名及客体的安全保护等级。e) 将每个可审计事件与引起该事件的用户相关联。5.6.3 安全审计分析安全审计分析应包括:a) 潜在侵害分析:应能

24、用一系列规则去监控审计事件，并根据这些规则指出SSP的潜在侵害。这些规则包括:由己定义的可审计事件的子集所指示的潜在安全攻击的积累或组合;任何其他的规则。b) 基于异常检测的描述:应维护用户所具有的质疑等级历史使用情况，以表明该用户的现行活动与巳建立的使用模式的一致性程度。当用户的质疑等级超过门限条件时，SSF应能指出将要发生对安全性的威胁。c) 简单攻击探测:应能检测到对SSF实施有重大威胁的签名事件的出现。为此，SSF应维护指出对SSF侵害的签名事件的内部表示，并将检测到的系统行为记录与签名事件进行比较，当发现两者匹配时，指出一个对SSF的攻击即将到来。d) 复杂攻击探测:在上述简单攻击探

25、测的基础上，要求SSF应能检测到多步入侵情况，并能根据己知的事件序列模拟出完整的入侵情况，还应指出发现对SSF的潜在侵害的签名事件或事件序列的时间。5.6.4 安全审计查阅安全审计查阅工具应具有:a) 审计查阅:提供从审计记录中读取信息的能力，即要求SSF为授权用户提供获得和解释审计信息的能力。当用户是人时，必须以人类可懂的方式表示信息;当用户是外部IT实体时，必须以电子方式无歧义地表示审计信息。b) 有限审计查阅:在上述审计查阅的基础上，审计查阅工具应禁止具有读访问权限以外的用户读取审计信息。c) 可选审计查阅:在上述有限审计查阅的基础上，审计查阅工具应具有根据准则来选择要查阅的审计数据的功

26、能，并根据某种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能力。5.6.5 安全审计事件选择应根据以下属性选择可审计事件:a) 客本身份、用户身份、主体身份、主机身份、事件类型;b) 作为审计选择性依据的附加属性。5.6.6 安全审计事件存储应具有以下创建并维护安全的审计踪迹记录的能力:a) 受保护的审计踪迹存储:要求审计踪迹的存储受到应有的保护，能检测或防止对审计记录的修改;b) 审计数据的可用性确保:要求在意外情况出现时，能检测或防止对审计记录的修改，以及在发生审计存储己满、存储失败或存储受到攻击时，确保审计记录不被破坏;c) 审计数据可能丢失情况下的措施:要求当审计跟踪超过预定的门

27、限时，应采取相应的措施，进行审计数据可能丢失情况的处理;d) 防止审计数据丢失:要求在审计踪迹存储记满时，应采取相应的防止审计数据丢失的措施，可选择忽略可审计事件、阻止除具有特殊权限外的其他用户产生可审计事件、覆盖己存储7 GB/T 20270-2006 的最老的审计记录和一旦审计存储失败所采取的其他行动等措施，防止审计数据丢失。5. 7 用户数据完整性5. 7. 1 存储数据的完整性应对存储在SSC内的用户数据进行完整性保护，包括:a) 完整性检测:要求SSF应对基于用户属性的所有客体，对存储在SSC内的用户数据进行完整性检测;b) 完整性检测和恢复:要求SSF应对基于用户属性的所有客体，对

28、存储在SSC内的用户数据进行完整性检测，并且当检测取必要的SSF应采取必要的恢复、审计或报警措施。5.7. 2 传输数据的完整当用户数据在SSFa) 完整性检测被篡改、b) 数据交5.7.3 起信息的泄露。客a) 子集信息保b) 完全信息保护:要代表该用户运行的进c) 特殊信息保护:对于某些需彻底清除，如对剩磁的清除等。5. 9 可信路径用户与SSF间的可信路径应:a) 提供真实的端点标识，并保护通信数据免遭修改和泄露;b) 利用可信路径的通信可以由SSF自身、本地用户或远程用户发起;c) 对原发用户的鉴别或需要可信路径的其他服务均使用可信路径。5.10 抗抵赖5. 10 . 1 抗原发抵赖式

29、传送或接收的用户数据接收者SSON自己无。若没有可恢复条应执行访问控制中的剩余信息不应引资源，在将其分配给某一应确保信息的发送者不能否认曾经发送过该信息。这就要求SSF提供一种方法，来确保接收信息8 GB/ T 20270-2006 的主体在数据交换期间能获得证明信息原发的证据，而且该证据可由该主体或第三方主体验证。抗原发抵赖分为:a) 选择性原发证明:要求SSF具有为主体提供请求原发证据信息的能力。即SSF在接到原发者或接收者的请求时，能就传输的信息产生原发证据，证明该信息的发送由该原发者所为。b) 强制性原发证明:要求SSF在任何时候都能对传输的信息产生原发证据。即SSF在任何时候都能就传

30、输的信息强制产生原发证据，证明该信息的发送由该原发者所为。5. 10. 2 抗接收抵赖应确保信息的接收者不能否认接受过这靠E。体在数据交换期间能获得证明该信J4 抗接收抵赖分为:证据吨力。即即在接到原发者收由该接收者所为。b) 5. 11 网络安全监E网络安全监控、，hu 户名和标识符也不能再使吨，鉴别应确保用户的真实il ，并在每夜宵节噎嗖嗦:统之前i莓，宇鉴别。口令应是不可见的，并在存储和传输时进行保护。智能IC卡穿翰雀别应以密码技术为矗棚，并按用户鉴别中不可伪造鉴别所描述的要求进行设计。对于鉴别失败的情况，要京暂军明安败所描述的要求进行处理。用户在系统中的行为一般由进程代为执行，要求按

31、用户一主体绑定所描述的要求，将用户与代表该用户行为的进程相关联。这种关联应体现在SSON安全功能控制范围之内各主、客体之间的相互关系上。比如，一个用户通过键入一条命令要求访问一个指定文件，信息系统运行某一进程实现这一功能。这时，该进程应与该用户相关联，于是该进程的行为即可看作该用户的行为。身份鉴别应区分实体鉴别和数据起游、鉴别:当身份是由参与通信连接或会话的远程实体提交时叫实体鉴别，它可以作为访问控制服务的一种必要支持;当身份信息是由数据项发送者提交时叫数据起师、鉴别，它是确保部分完整性目标的直接方法，确保知道某个数据项的真正起源。表2给出了从用户自主保护级到访问验证保护级对身份鉴别功能的分层

32、分级要求。9 GBjT 20270-2006 表2身份鉴别功能分层分摄要求安全保护等级安全功能基本要求和网络层次5. 1. 1用户标识5.1.2用户鉴别5.1.3用户主体绑定5.1.4鉴别失败处理物理层链路层女* * 网络层* 才这才这阳户自主传输层* 1与* 保护级会话层* * 才达表示层* * 才X应用层女* 才过物理层链路层* 女1网络层女才X女系统审计传输层* 女* 保护级会话层为* 1表示层* 才这才注应用层1纭1与女物理层链路层才这为女网络层女女女|安全标记传输层* * * 保护级会话层六* 女表示层女才X* 应用层女才这* 为物理层链路层为* * 网络层女* * 结构化传输层f过

33、女* 保护级会话层女* * 表示层女* t主应用层六* * * 物理层链路层女* * 网络层女六才这访问验证传输层才注才这才X保护级会话层为* * 表示层为* * 应用层女才这* 女注六表示具有该要求。每个安全保护等级的具体要求可能不同，详见第7章描述。nu l GB/T 20270-2006 6.2 自主访问控制功能应按照对访问控制策略的要求，选择所需的访问控制策略，并按照对访问控制功能的要求，设计和实现所需要的自主访问控制功能。当使用文件、目录和网络设备时，网络管理员应给文件、目录等指定访问属性。访问控制规则应将给定的属性与网络服务器的文件、目录和网络设备相联系。网络上的资源都应预先标出一

34、组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。自主访问控制应能控制以下权限:a) 向某个文件写数据、拷贝文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等;b) 为每个命名客体指定用户名和用户组，以及规定他们对客体的访问模式。表3给出了从用户自主保护级到访问验证保护级对自主访问控制功能的分层分级要求。表3自主访问控制功能分层分级要求安全功能基本要求安全保护等级5.2.3访问控制范围5.2.4访问控制粒度和网络层次5.2.1访问5.2.2访问控制策略控制功能a)子集访问控制b)完全访问控制a)粗粒度b)中粒度c)细粒度物理层链路

35、层女才这食* 用户网络层为才X才注女自主传输层才这才这才这才这|保护级会话层为女* 才X表示层女才X* * 应用层女才X古主* 物理层链路层大* 女女系统网络层才与* * 会审计传输层为1* * 保护级会话层为才X女才这表示层为女才X才过应用层才注* 才这才X物理层链路层为* * 女安全网络层会* 才X会标记传输层为* 女女悚护级会话层大k才X* * 表示层会* 女* 应用层1与才过* * -11 GB/T 20270-2006 安全保护等级15.2.1访问15.2.2访问和网络层次1- . . I/J I -J I 控制策略|控制功能表3(续)安全功能基本要求5.2.3访问控制范围a)子集访

36、问控制Ib)完全访问控制5.2.4访问控制粒度a)粗粒度Ib)中糙度Ic)细粒度物理层链路层女* 1纭* 网络层* * 会会传输层才这* 啕-h女. F 会话层才注女斗，1与、叫会表示层* 食应用层为t物理层链路层女网络层女访问会1坛表示层1坛应用层女6. 3 标记功能应按照主体标在网络环境中，者(或无连接数据单元包含数据项的资源应附加数据，也可能是隐含的隐含的信息，可由数据源或路由证。此外，它们还必须安全可靠地对于在通信期间要移动的数据项，JiMllbJ!t二d向应通信的进程与实体，在通信时被用到的信道和其他资源等，都可以用各自的敏感信息来标记。安全策略应指明如何使用敏感信息以提供必要的安全

37、性。当安全策略是基于用户身份时，不论直接或通过进程访问数据，敏感标记均应包含有关用户身份的信息。用于特定标记的那些规则应该表示在安全管理信息库中的一个安全策略中，如果需要，还应与端系统协商。标记可以附带敏感信息，指明其敏感性，说明处理与分布上的隐蔽处，强制定时中继。连接的发起的连相据数的送传被K寸, 的与定位，以及指明对该端系统特有的要求。采用的安全策略决定了标记所携带的敏感信息及其含义，不同的网络会有差异。表4给出了从安全标记保护级到访问验证保护级对标记功能的分层分级要求。12 G/T 20270一2006表4标记功能分层分级要求安全功能基本要求安全保护等级和网络层次5. 3. 3 丰示i己

38、完整性5.3.4 有标记信息的输出a)向多级设备Ib)向单级设备Ic)人可读标记的输出| 的输出| 的输出5. 3. 2 客体标记5.3.1 主体标记物理层链路层* 女* 女网络层女* 女1纣传输层会会话层斗法表示层1应用层物理层链路层网络层传输层会话层表示层应用层物理层链路层女|女女|六* 女|六六|食保护级女结构化保护级会话层表示层应用层6.4 强制访问控制功能应按照强制访问控制功功能。女会一食一食-女一会一女女-a有一女一六二六一食所需要的强制访问控制统一管理系统中.贺访问控制有关的事件和信息。为了防止由于系统管理人员或特权用户的权限过于来小市安全隐患，应将系统的常规管理、与安全有关的管

39、理以及审计管理，由系统管理员、系统安全员和系统审计员分别承担，并在三者之间形成相互制约的关系。采用多级安全模型的强制访问控制应将SSON安全控制范围内的所有主、客体成分通过标记方式设置敏感标记，这些敏感标记与访问规则一起确定每一次主体对客体的访问是否被允许。这里所要求的对客体的控制范围除涉及系统内部的存储、处理和传输过程外，还应包括将信息进行输入、输出操作的过程，即无论信息以何种形式存在，都应有一定的安全属性与其相关联，并按强制访问控制规则对其进行控制。13 GB/T 20270-2006 第三级的强制访问控制应对SSON所定义的主体与客体实施控制。第四级以上的强制访问控制应扩展到信息系统中的

40、所有主体与客体。表5给出了从安全标记保护级到访问验证保护级强制访问控制功能的分层分级要求。表5强制访问控制功能分层分级要求安全功能基本要求安全保护等级5.4.3 访问控制范围5.4.4 访问控制粒度和网络层次5.4.1 访问5.4.2 访问5.4.4 访问控制策略控制功能a)子集访b)完全访a)中粒度b)细粒度控制环境问控制问控制物理层链路层女女女女1:; 网络层1:; 女女女才X怯全标记传输层女1才过1:; 女保护级会话层女才这1为1:; 表示层1:; 为女才这女应用层女1:; 1:; 女1:; 物理层链路层什1:; 才这才X1:; * 网络层1:; * 1:; 1:; 1:; 结构化传输层

41、1:; * 1:; 才过* 保护级会话层1:; * 才过1才这表示层* * 才X女女应用层1* 1* 1:; 物理层链路层1:; * ?也女六网络层女* 才X女斗法访问验证传输层* 保护级才达1:; 1:; 才过会话层* * 六才这t主表示层女* 才这才X号主应用层才X1:; 女女女注.六表示具有该要求。6.5 数据流控制功能对在网络中以数据流方式进行的数据交换，应按照数据?在控制的要求进行用户数据保密性保护设计。表6给出了从安全标记保护级到访问验证保护级对数据流控制功能的分层分级要求。14 GB/T 20270-2006 表6数据流控制功能分层分级要求安全功能基本要求安全保护等级和网络层次5

42、. 5 数据流控制物理层链路层才达网络层才注安全标记保护级传输层才过会话层1I 表示层女应用层才注物理层链路层会网络层1I 结构化保护级传输层才这会话层1I 表示层女应用层1I 物理层链路层1I 网络层1I 访问验证保护级传输层才达会话层女表示层1I 应用层女注六表示具有该要求。每个安全保护等级的具体要求可能不同，详见第7章描述。6. 6 安全审计功能应按照对安全审计的要求进行设计。按安全审计数据产生的描述产生审计数据;按安全审计查阅的描述提供审计查阅、有限审计查阅和可选审计查阅;按安全审计事件选择的描述提供对审计事件的选择;按安全审计事件存储中受保护的审计踪迹存储、审计数据的可用性确保、审计

43、数据可能丢失行动和防止审计事件丢失的要求来保存审计事件;按安全审计分析中的潜在侵害分析、基于异常检测的描述以及简单攻击探测和复杂攻击探测的要求进行审计分析设计;按安全审计的自动响应的要求设计相应的功能。网络安全审计涉及与安全有关的事件，包括事件的探测、收集、控制，进行事件责任的追查。审计中必须包含的信息的典型类型包括:标定哪些网段需要有限授权访问或数据加密，哪些设备、文件和目录需要加锁或口令保护，哪些文件应该进行存档备份，执行备份程序的频率，以及网络所使用的病毒防护措施的类型等。安全审计通过对网络上发生的各种访问情况记录日志，并对日志进行统计分析，从而对资源使用情况进行事后分析。审计也是发现和

44、追踪安全事件的常用措施，能够自动记录攻击发起人的IP地址及企图攻击的时间，以及攻击包数据，给系统安全管理及追查网络犯罪提供可靠的线索。安全审计应该提供有关网络所使用的紧急事件和灾难处理程序，提供准确的网络安全审计和趋向分析报告，15 GB/T 20270-2006 支持安全程序的计划和评估。对于较高安全等级的安全审计数据，可通过数字签名技术进行保护，限定审计数据可由审计员处理，但不可修改。表7给出了从系统审计保护级到访问验证保护级对安全审计功能的分层分级要求。表7安全审计功能分层分级要求安全功能基本要求安全保护等级和网络层次5. 6 安全审计安全15.6.3安全15.6.4安全15.6.5安全

46、安全要求应按照存储数据的完整性保护中完整性监视的要求，设计相应的SSON安全功能模块，对SSON安全控制范围内的用户数据进行完整性保护;较高安全要求应通过密码支持系统所提供的功能，对加密存储的数据进行存储数据的完整性检验或采用其他相应的安全机制，在检测到完整性错误时采取必要的恢复措施。对经过网络传输的用户数据完整性保护，应革县，.ss_ON间通信保护中用户用户数据保密性和完整性检测、以及源恢复和目的恢复自9要嘉琐咱-相应的SSON1彗写1iI.t模块。对系统中进行处理的数据咆胃整性保护，血革且国退自告要求设相应的SSON安全功能模块，进用户数据完整性保护功和网络层次用户自主保护级系统审计保护级

47、安全标记保护级会话层|应用层物理层链路层|网络层会话层表示层应用层、. v 币、食、止才这内、I 罪?， 1与* 女* 会* 女* 才旨* 女六女主保护级到访问验证保护级* * * 5. 7. 3 处理数据完整性* 食1坛女会才这17 GB/T 20270-2006 表8(续)安全功能基本要求安全保护等级5. 7. 1 存储数据完整性5.7.2 传输数据完整性和网络层次5.7.3 处理数据a)完整性检测b)完整性检测a)完整性检测b)数据交换恢复完整性和恢复物理层才注t在链路层才这为网络层* 1纭结构化传输层保护级* * 会话层才X才这为表示层* 才注女应用层会1* 物理层* 才这链路层* * 网络层女* 访问验证传输层保护级女为会话层为女* 表示层为t主* 应用层女才这女注六表示具有该要求。6.8 用户数据保密性保护功能应对系统中存储、传输和处理的信息采取有效的保护措施，防止其遭受非授权的泄露。对存储在系统中的数据的完整性保护，较低安全要求应按照存储数据的保密性保护的一般方法，设计相应的SSON安全功能模块，对SSON安全控制范围内的用户数据进行完整性保护;较高安全要求应通过密码支持系统所提供的功能或相应安全性的安全机制所提供的安全功能，对存储的数据进行保密性保护。对在系统中传输的数据，较低级别应按照存储数据

展开阅读全文