1、ICS 35.040 L 80 GB 中华人民共和国国家标准G/T 20279-2006 信息安全技术网络和终端设备隔离部件安全技术要求Information security technology-Security techniques requirements of separation components of network and terminal equipment 2006-05-31发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会2006-12-01实施发布GB/T 20279-2006 目次前言.皿引言NI 范围.,2 规范性引用文件3 术语和定义4 安全
2、环境24. 1 物理方面24.2 人员方面24. 3 连通性方面25 隔离部件分级安全技术要求25. 1 物理断开隔离部件25. l. 1 基本级要求25. l. 2 增强级要求45.2 单向隔离部件75.2. 1 基本级要求75.2.2 增强级要求85. 3 协议隔离部件5.3.1 第一级115.3.2 第二级5.3.3 第三级185. 4 网闸隔离部件235.4.1 第一级.5.4.2 第二级. 5.4.3 第三级m参考文献GB/T 20279-2006 前言本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心。本标准主要起草人:朱建
3、平、陆臻、沈亮、邱梓华、张奕、张笑笑、顾琦、沈涛、赵婷、邹春明、顾健。阳山GB/T 20279-2006 引本标准是信息安全等级保护技术要求系列标准的重要组成部分,用以指导设计者如何设计和实现具有所需要的安全等级的隔离部件,主要从对隔离部件的安全保护等级进行划分的角度来说明其技术要求,即主要说明为实现基于GB178591999的各个保护等级的安全要求对隔离部件应采取的安全技术措施,以及各安全技术要求在不同安全级中具体实现上的差异。本标准以GB17859 1999的安全等级的划分为基础,针对隔离部件的技术特点,对相应安全等级的安全功能技术要求和安全保证技术要求做了详细描述。在本标准文本中,加粗字
4、体表示较高等级中新出现或增强的功能要求。lV GB/T 20279-2006 信息安全技术网络和终端设备隔离部件安全技术要求1 范围本标准规定了对隔离部件进行安全保护等级划分所需要的详细技术要求,并给出了每一个安全保护等级的不同技术要求。本标准适用于隔离部件的设计和实现,对隔离部件进行的测试、管理也可参照使用。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版本均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB 1785
5、9一1999计算机信息系统安全保护等级划分准则GB/T 20271-2006 信息安全技术信息系统通用安全技术要求3 术语和定义GB 17859-1999和GB/T20271-2006中确立的以及下列术语和定义适用于本标准。3. 1 物理断开physical disconnection 指处于不同安全域的网络之间不能以直接或间接的方式相连接。在一个物理网络环境中,实施不同安全域的网络物理断开,在技术上应确保信息在物理传导、物理存储上的断开。3.2 协议转换protocol conversion 在隔离部件中,协议转换的定义是协议的剥离和重建。在所属某一安全域的隔离部件一端,把基于网络的公共协议
6、中的应用数据剥离出来,封装为系统专用协议传递至所属其他安全域的隔离部件另一端,再将专用协议剥离,并封装成需要的格式。3. 3 协议隔离protocol separation 指处于不同安全域的网络在物理上是有连线的,通过协议转换的于段保证受保护信息在逻辑上是隔离的,只有被系统要求传输的、内容受限的信息可以通过。3.4 信息摆渡information ferry 信息交换的一种方式,物理传输信道只在传输进行时存在。信息传输时,信息先由信息源所在安全域一端传输至中间缓存区域,同时物理断开中间缓存区域与信息目的所在安全域的连接;随后接通中间缓存区域与信息目的所在安全域的传输信道,将信息传输至信息目的
7、所在安全域,同时在信道上物理断开信息源所在安全域与中间缓存区域的连接。在任一时刻,中间缓存区域只与一端安全域相连。3.5 物理断开隔离部件physical disconnection separation components 在端上实现信息物理断开的信息安全部件,如物理隔离卡。GB/T 20279-2006 3. 6 单向隔离部件unilateral separation components 在端上依靠硬件访问控制信息交换分区实现信息在不同的安全域信息单向流动的信息安全部件。3. 7 协议隔离部件protocol separation components 位于两个不同安全域之间,实现协议
8、隔离的信息安全部件。其信息流一般是专用应用数据。3. 8 4 安全环境4. 1 物理方面对隔离部件资源的处1离部件安全策略相关材4. 2 人员方面授权管理员不5.1. 1.1. 2 属性修改物理断开隔离部件安全5. 1. 1. 1. 3 属性查询物理断开隔离部件安全功能应向峰、5. 1. 1. 1. 4 访问授权与拒绝访问。所有与实施隔物理断开隔离部件的安全功能应对被隔离的计算机信息资源提供明确的访问保障能力和访问拒绝能力。在技术上确保:2 a) 在信息物理传导上使内外网络隔断,确保外部网不能通过网络连接侵;人内部网;同时阻止内部网信息通过网络连接泄露到外部网;b) 在信息物理存储上隔断两个网
9、络环境,对于断电后会逸失信息的部件,如内存、寄存器等暂存部件,要在网络转换时作清零处理,防止遗留信息窜网;对于断电后不会逸失信息的设备,如磁带机、硬盘等存储设备,内部网与外部网信息要以不同存储设备分开存储;对移动存储介质,如光盘、软盘、USB硬盘等,应在网络转换前提示用户干预或禁止在双网都能使用这些设备。5. 1. 1. 2 配置管理开发者应为隔离部件产品的不同版本提供唯一的标识。隔离部件产品的每个版本应当使用它们的唯一标识作为标签。5. 1. 1. 3 交付与运行5. 1. 1. 3. 1 交付开发者应使用一定的交付程序交付物理断开隔离部件,并将交付过程文档化。GB/T 20279-2006
10、 交付文档应描述在给用户方交付物理断开隔离部件的各版本时,为维护安全所必需的所有程序。5.1. 1.3.2 安装生成开发者应提供文档说明物理断开隔5. 1. 1.4 安全功能开发过程5. 1. 1. 4. 2 表示i应开发者应在r4种安全功能表示时!有梆对之间提&对应性分析。对于隔离部件安全功能表示的每个相邻对T分析应阐明较为抽象的安全功能表示的所有相关安全功能,应在较具时自主J全功能表示中得到正确而完备地细化.5. 1. 1. 5指导咔档-5. 1. 1. 5. 1 管理员指南开发者应提侠系统管理员使用的管理员指南。管理员指南应说明以下内容:a) 隔离部件可p使用的管理功品和b) 怎样安全电
11、管理隔离部件;1。在安全处理环境中应进行苟制叫功能和权限;d) 所有对与隔离盼的安全操作有荣的用户行为的假:ii,e)所有受管理头由1安全参,如飞也指旦在值F每一种与管理功、能有美的安全相关事件,包括对安全功能用户指南应说明以下内容:a) 隔离部件的非管理用户可使用的安全功能和接口;b) 隔离部件提供给用户的安全功能和接口的用法;c) 用户可获取但应受安全处理环境控制的所有功能和权限;d) 隔离部件安全操作中用户所应承担的职责;e) 与用户有关的IT环境的所有安全要求。用户指南应与为评估而提供的其他所有文档保持一致。3 GB/T 20279-2006 5. 1. 1.6 测试5. 1. 1.
12、6. 1 范围开发者应提供测试覆盖的分析结果。测试覆盖的分析结果应表明测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应的。5. 1. 1. 6. 2 功能测试开发者应测试安全功能,将结果文档化并提供测试文档。测试文档应包括测试计划、测试过程、预期的测试结果和实际测试结果。测试计划应标识要测试的安全功能,并描述测试的目标。测试过程应标识要执行的测试,并描述每个安全功能的测试概况,这些概况包括对其他测试结果的顺序依赖性。期望的测试结果应表明测试成功后的预期输出。实际测试结果应表明每个被测试的安全功能能按照规定进行运作。5. 1. 1. 7 生命周期支持开发者应提供开发安全文件。开发安全
13、文件应描述在隔离部件的开发环境中,为保护隔离部件设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施。开发安全文件还应提供在隔离部件的开发和维护过程中执行安全措施的证据。5.1.2 增强级要求5. 1. 2. 1 访问控制5. 1.2. 1. 1 安全属性定义对于信息存储与传输部件(主要是处于不同安全域的存储设备、网络接入设备),物理断开隔离部件应为其设定唯一的、为了执行安全功能策略所必需的安全属性。5. 1. 2. 1. 2 属性修改物理断开隔离部件安全功能应向端设备用户提供修改与安全相关属性的参数的能力。5.1.2. 1. 3 属性查询物理断开隔离部件安
14、全功能应向端设备用户提供安全属性查询的能力。5. 1. 2. 1. 4 访问授权与拒绝物理断开隔离部件的安全功能应对被隔离的计算机信息资源提供明确的访问保障能力和访问拒绝能力。在技术上确保:a) 在信息物理传导上使内外网络隔断,确保外部网不能通过网络连接侵入内部网;同时阻止内部网信息通过网络连接泄露到外部网;b) 在信息物理存储上隔断两个网络环境,对于断电后会逸失信息的部件,如内存、寄存器等暂存部件,要在网络转换时作清零处理,防止遗留信息窜网;对于断电后不会逸失信息的设备,如磁带机、硬盘等存储设备,内部网与外部网信息要以不同存储设备分开存储;对移动存储介质,如光盘、软盘、USB硬盘等,应在网络
15、转换前提示用户干预或禁止在双网都能使用这些设备。5.1.2.2 不可旁路在与安全有关的操作(例如安全属性的修改)被允许执行之前,物理断开隔离部件安全功能应确保其通过安全功能策略的检查。5.1.2.3 害体重用在为所有内部或外部网上的主机连接进行资源分配时,物理断开隔离部件安全功能应保证不提供以前连接的任何信息内容。5. 1. 2. 4 配置管理5. 1. 2. 4. 1 配置管理能力开发者应使用配置管理系统并提供配置管理文档,以及为隔离部件产品的不同版本提供唯一的4 GB/T 20279-2006 标识。配置管理系统应对所有的配置项作出唯一的标识,并保证只有经过授权才能修改配置项。配置管理文档
16、应包括配置清单和配置管理计划。在配置清单中,应对每一配置项给出相应的描述;在配置管理计划中,应描述配置管理系统是如何使用的。实施的配置管理应与配置管理计划相一致。配置管理文档还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效地维护的证据。5.1.2.4.2 配置管理范围开发者应提供配置管理文档。配置管理文档应说明配置管理系统至少能跟踪z隔离部件实现表示、设计文档、测试文档、用户文档、管理员文档和配置管理文档,并描述配置管理系统是如何跟踪配置项的。5.1.2.5 交付与运行5. 1. 2. 5. 1 交付开发者应使用一定的交付程序交付物理断开隔离部件,并将交付过程文档化。交付文档应描
17、述在给用户方交付物理断开隔离部件的各版本时,为维护安全所必需的所有程序。5.1.2.5.2 安装生成开发者应提供文档说明物理断开隔离部件的安装、生成和启动的过程。5.1.2.6 安全功能开发过程5. 1. 2. 6. 1 功能设计开发者应提供隔离部件的安全功能设计。功能设计应以非形式方法来描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和错误信息的细节。安全功能设计应是内在一致的并能完备地表示安全功能。5. 1. 2. 6. 2 高层设计开发者应提供隔离部件安全功能的高层设计。高层设计应以非形式方法表述并且是内在一致的。为说明安全功能的结构,高层
18、设计应将安全功能分解为各个安全功能子系统进行描述,并阐明如何将有助于加强隔离部件安全功能的子系统和其他子系统分开。对于每一个安全功能子系统,高层设计应描述其提供的安全功能,标识其所有接口以及哪些接口是外部可见的,描述其所有接口的使用目的与方法,并提供安全功能子系统的作用、例外情况和错误信息的细节。高层设计还应标识安全功能要求的所有基础性的硬件、固件和软件,并且支持由这些硬件、固件或软件所实现的保护机制。5.1.2.6.3 表示对应性开发者应在隔离部件安全功能表示的所有相邻对之间提供对应性分析。对于隔离部件安全功能表示的每个相邻对,分析应阐明:较为抽象的安全功能表示的所有相关安全功能,应在较具体
19、的安全功能表示中得到正确而完备地细化。5. 1. 2. 7 指导性文档5. 1. 2. 7. 1 管理员指南开发者应提供系统管理员使用的管理员指南。管理员指南应说明以下内容:a) 隔离部件管理员可以使用的管理功能和接口;b) 怎样安全地管理隔离部件;c) 在安全处理环境中应进行控制的功能和权限;d) 所有对与隔离部件的安全操作有关的用户行为的假设;e) 所有受管理员控制的安全参数,如果可能,应指明安全值;5 GB/T 20279-2006 f) 每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变;g) 所有与系统管理员有关的IT环境的安全要求。管理员指南应与为评
20、估而提供的其他所有文档保持一致。安全功能,并描述测试的目示概况包括对其他测试结果的1果应表明每个被测试的安全功?5. 1. 2. 9. 4 独立性测试开发商应提供用于适合测试的部件,一致。5. 1. 2. 10 脆弱性评定5. 1. 2. 10 . 1 指南检查开发者应提供指南性文档。密性和完整性,而奋提供在隔离部件一其自测产品功能时使用的测试集合相在指南性文档中,应确定对隔离部件的所有可能的操作方式(包括失败和操作失误后的操作)、它们的后果以及对于保持安全操作的意义。指南性文档中还应列出所有目标环境的假设以及所有外部安全措施(包括外部程序的、物理的或人员的控制的要求。指南性文档应是完备的、清
21、晰的、一致的、合理的。G/T 20279-2006 5. 1. 2. 10.2 脆弱性分析开发者应从用户可能破坏安全策略的明显途径出发,对隔离部件的各种功能进行分析并提供文档。对被确定的脆弱性,开发者应明确记录采取的措施。对每一条脆弱性,应有证据显示在使用隔离部件的环境中该脆弱性不能被利用。在文档中,还需证明经过标识脆弱性的隔离部件可以抵御明显的穿透性攻击。5. 2 单向隔离部件5.2.1 基本级要求5. 2. 1. 1 访问控制5. 2. 1. 1. 1 安全属性定义对于信息存储与传输部件(主要其设定唯一的、为了执行安全功5.2. 1. 1. 2 属性修改单向隔离部件安全功川西5. 2. 1
22、. 1. 3 属性查询/单向隔离部件安5.2. 1. 3. 2 安装生成开发者应提供文档说明单向5.2.1.4 安全功能开发过程5.2. 1. 4. 1 功能设计开发者应提供隔离部件产品的安全功能设计。、网络接入设备),单向隔离部件应为;同时保证限定外息通过网络连接所必需的所有程序。功能设计应以非形式方法来描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和错误信息的细节。安全功能设计应是内在一致的并能完备地表示安全功能。5.2. 1. 4.2 表示对应性开发者应在隔离部件安全功能表示的所有相邻对之间提供对应性分析。对于隔离部件安全功能表示的每个相
23、邻对,分析应阐明:较为抽象的安全功能表示的所有相关安全7 GBjT 20279-2006 功能,应在较具体的安全功能表示中得到正确而完备地细化。5.2.1.5 指导性文档5.2. 1. 5. 1 管理员指南开发者应提供系统管理员使用的管理员指南。管理员指南应说明以下内容:a) 隔离部件可以使用的管理功能和接口;b) 怎样安全地管理隔离部件Fc) 在安全处理环境中应进行控制的功能和权限Fd) 所有对与隔离部件的安全操作有关的用户行为的假设Pe) 所有受管理员控制的安全参数,如果可能,应指明安全值;。每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变;g) 所有与系
24、统管理员有关的IT环境的安全要求。管理员指南应与为评估而提供的其他所有文档保持一致。5.2. 1. 5. 2 用户指南开发者应提供用户指南。用户指南应说明以下内容:a) 隔离部件的非管理用户可使用的安全功能和接口pb) 隔离部件提供给用户的安全功能和接口的用法pc) 用户可获取但应受安全处理环境控制的所有功能和权限Fd) 隔离部件安全操作中用户所应承担的职责pe) 与用户有关的IT环境的所有安全要求。用户指南应与为评估而提供的其他所有文档保持一致。5.2. 1. 6 测试5. 2. 1. 6. 1 范围开发者应提供测试覆盖的分析结果。测试覆盖的分析结果应表明测试文档中所标识的测试与安全功能设计
25、中所描述的安全功能是对应的。5.2. 1. 6. 2 功能测试开发者应测试安全功能,将结果文档化并提供测试文挡。测试文档应包括测试计划、测试过程、预期的测试结果和实际测试结果。测试计划应标识要测试的安全功能,并描述测试的目标。测试过程应标识要执行的测试,并描述每个安全功能的测试概况,这些概况包括对其他测试结果的顺序依赖性。期望的测试结果应表明测试成功后的预期输出。实际测试结果应表明每个被测试的安全功能能按照规定进行运作。5.2. 1. 7 生命周期支持开发者应提供开发安全文件。开发安全文件应描述在隔离部件的开发环境中,为保护隔离部件设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他
26、方面所采取的必要的安全措施。开发安全文件还应提供在隔离部件的开发和维护过程中执行安全措施的证据。5.2.2 增强级要求5.2.2. 1 访问控制5.2.2. 1. 1 安全属性定义对于信息存储与传输部件(主要是处于不同安全域的存储设备、网络接入设备),单向隔离部件应为8 GB/T 20279-2006 其设定唯一的、为了执行安全功能策略所必需的安全属性。5.2.2. 1. 2 属性修改单向隔离部件安全功能应向端设备用户提供修改与安全相关属性的参数的能力。5.2.2.1.3 属性查询单向隔离部件安全功能应向端设备用户提供安全属性查询的能力。5.2.2. 1. 4 访问授权与拒绝单向隔离部件的安全
27、功能应对被隔离的计算机信息资摞提供明确的访问保障能力和访问拒绝能力。在技术上确保:a) 在信息物理传导上使内外网络隔断,确保内部网不能通过网络连接到外部网;同时保证限定外部网信息只能通过特定存储区域转移至内部网存储区域,从而阻止内部网信息通过网络连接泄露到外部网。b) 在信息物理存储上隔断两个网络环境,对于断电后会逸失信息的部件,如内存、寄存器等暂存部件,要在网络转换时作清零处理,防止遗留信息窜网;对于断电后不会逸失信息的设备,如磁带机、硬盘等存储设备,内部网与外部网信息要以不同存储设备分开存储;对移动存储介质,如光盘、软盘、USB硬盘等,应在网络转换前提示用户干预或禁止在双网都能使用这些设备
28、。5.2.2.2 不可旁路在与安全有关的操作(例如安全属性的修改)被允许执行之前,隔离部件安全功能应确保其通过安全功能策略的检查。5.2.2.3 害体重用在为所有内部或外部网上的主机连接进行资源分配时,隔离部件安全功能应保证不提供以前连接的任何信息内容。5.2.2.4 配置管理5.2.2.4.1 配置管理能力开发者应使用配置管理系统并提供配置管理文档,以及为隔离部件产品的不同版本提供唯一的标识。配置管理系统应对所有的配置项作出唯一的标识,并保证只有经过授权才能修改配置项。配置管理文档应包括配置清单和配置管理计划。在配置清单中,应对每一配置项给出相应的描述;在配置管理计划中,应描述配置管理系统是
29、如何使用的。实施的配置管理应与配置管理计划相一致。配置管理文档还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效地维护的证据。5.2.2.4.2 配置管理范围开发者应提供配置管理文挡。配置管理文档应说明配置管理系统至少能跟踪:隔离部件实现表示、设计文档、测试文档、用户文档、管理员文档和配置管理文挡,并描述配置管理系统是如何跟踪配置项的。5.2.2.5 交付与运行5.2.2.5. 1 交付开发者应使用一定的交付程序交付单向隔离部件,并将交付过程文档化。交付文档应描述在给用户方交付单向隔离部件的各版本时,为维护安全所必需的所有程序。5.2.2.5.2 安装生成开发者应提供文档说明单向隔
30、离部件的安装、生成和启动的过程。5.2.2.6 安全功能开发过程5.2.2.6. 1 功能设计开发者应提供隔离部件的安全功能设计。9 GB/T 20279-2006 功能设计应以非形式方法来描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和错误信息的细节。安全功能设计应是内在一致的并能完备地表示安全功能。5.2.2.6.2 高层设计开发者应提供隔离部件安全功能的高层设计。高层设计应以非形式方法表述并且是内在一致的。为说明安全功能的结构,高层设计应将安全功能分解为各个安全功能子系统进行描述,并阐明如何将有助于加强隔离部件安全功能的子系统和其他子系统
31、分开。对于每一个安全功能子系统,高垦设址应描述其提供的安全功能,标识其所有接口以及哪b) 怎样5.2.2.7.2 用户指南开发者应提供用户指占安全功能子系统的作用、例外情况和件、固件和软件,并且支持由这些c) 用户可获取但应受安全处理环境控制的所有功能和权限;d) 隔离部件安全操作中用户所应承担的职责;的与用户有关的IT环境的所有安全要求。用户指南应与为评估而提供的其他所有文档保持一致。5.2.2.8 生命周期支持开发者应提供开发安全文件。开发安全文件应描述在隔离部件的开发环境中,为保护隔离部件设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施。开发安全文
32、件还应提供在隔离部件10 GB/T 20279一2006的开发和维护过程中执行安全措施的证据。5.2. 2.9 测试5.2. 2.9.1 范围开发者应提供测试覆盖的分析结果。测试覆盖的分析结果应表明测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应的,且该对应是完备的。5.2. 2.9.2 测试深度开发者应提供测试深度的分析。在深度分析中,应说明测试文档中一致的。5.2.2.9.3 功能测试开发者应测试安全测试计划应标识要测试的对每一条脆弱性吨明经过标识脆弱性的隔5. 3 协议隔离部件5.3.1 第一级5.3. 1. 1 访问控制5. 3. 1. 1. 1 安全属性定义利用。在文档中
33、,还需证对于每一个授权管理员、构成系统的信息传输与控制部件、应用层数据采集与接受部件,协议隔离部件安全功能应为其提供一套唯一的、为了执行安全功能策略所必需的安全属性。5.3.1 . 1.2 属性初始化协议隔离部件安全功能应提供用默认值对授权管理员和主机属性初始化的能力。5.3. 1. 1.3 属性修改协议隔离部件安全功能应仅向授权管理员提供修改下述(包含但不仅限于)参数的能力:a) 标识与角色(例如:配置管理员等)的关系;b) 数据采集与接收部件参数(例如:采集、接收部件主机的IP地址、应用服务参数等); 11 G/T 20279-2006 c) 配置的安全参数(例如:最大鉴别失败次数等数据)
34、。5.3. 1. 1. 4 属性查询协议隔离部件安全功能应仅向授权管理员提供以下查询za) 数据采集与接收部件参数(例如z采集、接收部件主机的IP地址、应用服务参数等); b) 通过协议隔离部件传送信息的设备名。5. 3. 1. 1. 5 访问授权与拒绝协议隔离安全功能应根据数据发送方和接收方的安全属性值主机名、IP地址、预先定义的传输层协议和请求的服务(例如:源端口号或目的端口号)、应用层协议、应用数据关键字等.提供明确的访问保障能力和拒绝访问能力。5.3. 1. 2 身份鉴别5.3. 1. 2. 1 鉴别数据初始化协议隔离部件安全功能应根据规定的鉴别机制,提供授权管理员鉴别数据的初始化功能
35、,并确保仅允许授权管理员使用这些功能。5.3. 1.2.2 鉴别时机在所有授权管理员请求执行的任何操作之前,协议隔离部件安全功能应确保对每个授权管理员进行了身份鉴别。5.3. 1.2.3 鉴别失败处理在经过一定次数的鉴别失败以后,协议隔离部件安全功能应能终止进行登录尝试主机建立会话的过程。最多失败次数仅由授权管理员设定。5.3. 1. 3 数据完整性协议隔离部件安全功能应保护储存的鉴别数据和过滤策略不受未授权查阅、修改和破坏。5.3. 1. 4 配置管理开发者应为隔离部件产品的不同版本提供唯一的标识。隔离部件产品的每个版本应当使用它们的唯一标识作为标签。5.3. 1. 5 交付与运行5.3.1
36、.5. 1 支付开发者应使用一定的交付程序交付协议隔离部件,并将交付过程文档化。交付文档应描述在给用户方交付协议隔离部件的各版本时,为维护安全所必需的所有程序。5.3. 1. 5. 2 安装生成开发者应提供文档说明协议隔离部件的安装、生成和启动的过程。5.3. 1. 6 安全功能开发过程5. 3. 1. 6. 1 功能设计开发者应提供隔离部件产品的安全功能设计。功能设计应以非形式方法来描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和错误信息的细节。安全功能设计应是内在一致的并能完备地表示安全功能。5.3. 1. 6. 2 表示对应性开发者应在隔
37、离部件安全功能表示的所有相邻对之间提供对应性分析。对于隔离部件安全功能表示的每个相邻对,分析应阐明:较为抽象的安全功能表示的所有相关安全功能,应在较具体的安全功能表示中得到正确而完备地细化。5.3. 1. 7 指导性文档5.3. 1.7. 1 管理员指南开发者应提供系统管理员使用的管理员指南。12 GB/T 20279-2006 管理员指南应说明以下内容:a) 隔离部件可以使用的管理功能和接口pb) 怎样安全地管理隔离部件F。在安全处理环境中应进行控制的功能和权限Fd) 所有对与隔离部件的安全操作有关的用户行为的假设;e) 所有受管理员控制的安全参数,如果可能,应指明安全值Ff) 每一种与管理
38、功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变Fg) 所有与系统管理员有关的IT环境的安全要求。管理员指南应与为评估而提供的其他所有文档保持一致。5.3.1.7.2 用户指南开发者应提供用户指南。用户指南应说明以下内容za) 隔离部件的非管理用户可使用的安全功能和接口pb) 隔离部件提供给用户的安全功能和接口的用法Fc) 用户可获取但应受安全处理环境控制的所有功能和权限Fd) 隔离部件安全操作中用户所应承担的职责FU 与用户有关的IT环境的所有安全要求。用户指南应与为评估而提供的其他所有文档保持一致。5.3. 1. 8 测试5. 3. 1. 8. 1 范围开发者应提供测
39、试覆盖的分析结果。测试覆盖的分析结果应表明测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应的。5.3. 1. 8. 2 功能测试开发者应测试安全功能,将结果文档化井提供测试文档。测试文档应包括测试计划、测试过程、预期的测试结果和实际测试结果。测试计划应标识要测试的安全功能,并描述测试的目标。测试过程应标识要执行的测试,并描述每个安全功能的测试概况,这些概况包括对其他测试结果的顺序依赖性。期望的测试结果应表明测试成功后的预期输出。实际测试结果应表明每个被测试的安全功能能按照规定进行运作。5.3. 1. 9 生命周期支持开发者应提供开发安全文件。开发安全文件应描述在隔离部件的开发环境中
40、,为保护隔离部件设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施。开发安全文件还应提供在隔离部件的开发和维护过程中执行安全措施的证据。5.3.2 第二级5.3.2.1 访问控制5.3.2.1.1 安全属性定义对于每一个授权管理员、构成系统的信息传输与控制部件、应用层数据采集与接受部件,协议隔离部件安全功能应为其提供一套唯一的、为了执行安全功能策略所必需的安全属性。5.3.2. 1.2 属性初始化协议隔离部件安全功能应提供用默认值对授权管理员和主机属性初始化的能力。13 GB/T 20279-2006 5. 3. 2. 1.3 属性修改协议隔离部件安全功能
41、应仅向授权管理员提供修改下述(包含但不仅限于)参数的能力:a) 标识与角色(例如:配置管理员等)的关系;b) 数据采集与接收部件参数(例如:采集、接收部件主机的IP地址、应用服务参数等); c) 配置的安全参数(例如:最大鉴别失败次数等数据)。5.3. 2. 1. 4 属性查询协议隔离部件安全功能应仅向授权管理员提供以下查询:a) 数据采集与接收部件参数(例如:采集、接收部件主机的IP地址、应用服务参数等); b) 通过协议隔离部件传送信息的设备a ) b ) H _-二国u 改和撤销安全属有一套特别授权d)应能把军础行管理功能根权伊巧呵呵部气的所有其他?人啼系统分开;e) f) 路5旁ud部
42、可到离不叫一隔川口议川剧扮Z在前1之丘行a ) b) 5.3. 2.2 身份鉴别5.3. 2. 2.1 鉴别数据初始化协议隔离部件安全功能应根据规定的鉴别机制,提供授权管理员鉴别数据的初始化功能,并确保仅允许授权管理员使用这些功能。5. 3.2. 2.2 鉴别时机在所有授权管理员请求执行的任何操作之前,协议隔离部件安全功能应确保对每个授权管理员进行了身份鉴别。14 G/T 20279-2006 5. 3. 2.2.3 最少反馈当进行鉴别时,协议隔离部件安全功能应仅将最少的反馈提供给用户。5. 3.2.2.4 鉴别失败处理在经过一定次数的鉴别失败以后,协议隔离部件安全功能应能终止进行登录尝试主机
43、建立会话的过程。最多失败次数仅由授权管理员设定。5.3. 2.3 害体重用在为所有内部或外部网上的主机连接进行资源分配时,协议隔离部件安全功能应保证不提供以前连接的任何信息内容。5.3. 2.4 审计5.3. 2.4. 1 审计数据生成协议隔离部件安全功能b ) g ) h) 5. 3.2. 4. 2 审计协议隔离部件5. 3.2. 4. 3 可理解协议隔离部件安5. 3.2. 4.4 限制审计记话啊协议隔离部件安全功划5.3.2.4. 6 防止审计数据丢失时间,事件的类、H期、时间以及这些参数的逻辑组合协议隔离部件安全功能应把生成的审计记录储存于一个永久性的审计记录中,并应限制由于故障和攻击
44、造成的审计事件丢失的数量。对因故障或存储耗竭而导致审计数据丢失的最大审计存储容量,协议隔离部件的开发者应提供相应的分析结果。5.3.2.5 数据完整性协议隔离部件安全功能应保护储存于设备中的鉴别数据和信息传输策略不受未授权查阅、修改和破坏。15 GB/T 20279-2006 5.3.2.6 配置管理5.3.2.6. 1 配置管理能力开发者应使用配置管理系统并提供配置管理文档,以及为隔离部件产品的不同版本提供唯-的标识。配置管理系统应对所有的配置项作出唯一的标识,并保证只有经过授权才能修改配置项。配置管理文档应包括配置清单和配置管理计划。在配置清单中,应对每一配置项给出相应的描述F在配置管理计
45、划中,应描述配置管理系统是如何使用的。实施的配置管理应与配置管理计划相一致。配置管理文档还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效地维护的证据。5.3.2.6.2 配置管理范围开发者应提供配置管理文档。配置管理文档应说明配置管理系统至少能跟踪z隔离部件实现表示、设计文档、测试文档、用户文档、管理员文档和配置管理文档,并描述配置管理系统是如何跟踪配置项的。5.3.2.7 交付与运行5.3.2.7.1 交付开发者应使用一定的交付程序交付协议隔离部件,并将交付过程文档化。交付文档应描述在给用户方交付协议隔离部件的各版本时,为维护安全所必需的所有程序。5.3.2.7.2 安装生成开
46、发者应提供文档说明协议隔离部件的安装、生成、启动和日志生成的过程。5.3.2.8 安全功能开发过程5.3.2.8. 1 功能设计开发者应提供隔离部件的安全功能设计。功能设计应以非形式方法来描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和错误信息的细节。安全功能设计应是内在一致的并能完备地表示安全功能。5.3.2.8.2 高层设计开发者应提供隔离部件安全功能的高层设计。高层设计应以非形式方法表述并且是内在一致的。为说明安全功能的结构,高层设计应将安全功能分解为各个安全功能子系统进行描述,并阐明如何将有助于加强隔离部件安全功能的子系统和其他子系统分
47、开。对于每一个安全功能子系统,高层设计应描述其提供的安全功能,标识其所有接口以及哪些接口是外部可见的,描述其所有接口的使用目的与方法,并提供安全功能子系统的作用、例外情况和错误信息的细节。高层设计还应标识安全功能要求的所有基础性的硬件、固件和软件,并且支持由这些硬件、固件或软件所实现的保护机制。5.3.2.8.3 表示对应性开发者应在隔离部件安全功能表示的所有相邻对之间提供对应性分析。对于隔离部件安全功能表示的每个相邻对,分析应阐明:较为抽象的安全功能表示的所有相关安全功能,应在较具体的安全功能表示中得到正确而完备地细化。5.3.2.9 指导性文档5.3.2.9. 1 管理员指南16 开发者应提供系统管理员使用的管理员指南。管理员指南应说明以下内容:a) 隔离部件管理员可以使用的管理功能和接口;b) 怎样安全地管理隔离部件;G/T 20279-2006 c) 在安全处理环境中应进行控制的功能和权限;d) 所有对与隔离部件的安全操作有关的用户行为的假设;e) 所有受管理员控制的
