信息技术网闸产品安全检验规范
1.范围
本规范规定了信息技术网闸产品的安全功能要求和保证要求。
本规范适用于信息技术网闸产品的生产及检测。
2.术语和定义
2.1 协议转换 protocol conversion
在隔离部件中,协议转换的定义是协议的剥离和重建。把基于网络的公共协议中的应用数据剥离出来,封装为系统专用协议传递至隔离部件另一端,再进行一次剥离并用公用协议封装。
2.2 信息渡船 information ferry
信息交换的一种方式,物理传输信道只在传输进行时存在。
2.3 网闸 net gate
位于两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,能且只能有被系统要求传输的、内容受限的信息通过的计算机安全部件。其信息流一般是通用应用服务。
3 信息技术网闸产品的安全功能
3.1 访问控制
3.1.1 安全属性定义
对于每一个授权管理员、构成系统的信息传输与控制部件和主机,网闸安全功能应为其提供一套唯一的、为了执行安全功能策略所必需的安全属性。
3.1.2 属性初始化
网闸安全功能应提供用默认值对授权管理员和主机属性初始化的能力。
3.1.3 属性修改
网闸安全功能应仅向授权管理员提供修改下述(包含但不仅限于)参数的能力:
标识与角色(例如:配置管理员等)的关系;
a)源地址、目的地址、传输层协议和请求的服务(例如:源端口号或目的端口号等访问控制属性);
b)配置的安全参数(例如:最大鉴别失败次数等数据)。
3.1.4 属性查询
网闸安全功能应仅向授权管理员提供以下查询:
a)源地址、目的地址、传输层协议和请求的服务(例如:源端口号或目的端口号等访问控制属性);
b)通过网闸传送信息的主机信息。
3.1.5 访问授权与拒绝
网闸安全功能应根据主体和客体的安全属性值[源地址、目的地址、传输层协议和请求的服务(例如:源端口号或目的端口号)、应用层协议、应用层关键字等],提供明确的访问保障能力和拒绝访问能力。网闸还应对内外网数据传输链路进行物理上的时分切换,既内外网络在物理链路上不能同时与中间交换单元连通。
3.1.6 不可旁路
在与安全有关的操作(例如安全属性的修改、内部网络主机向外部网络主机传送信息等)被允许执行之前,网闸安全功能应确保其通过安全功能策略的检查。
3.1.7 区分安全管理角色
网闸安全功能:
a)应将与安全相关的管理功能与其他功能区分开;
b)应包括安装、配置和管理隔离部件安全功能本身所需的所有功能,其中至少应包括:增加和删除主体(发送信息的主机)和客体(接受信息的主机),查阅安全属性,分配、修改和撤销安全属性,查阅和管理审计数据;
c)应把执行与安全相关的管理功能的能力限定为一种安全管理职责,该职责具有一套特别授权的功能和响应的责任;
d)应能把授权执行管理功能的授权管理员与使用隔离部件的所有其他个人或系统分开;
e)应仅允许授权管理员承担安全管理职责;
f)应在提出一个明确的请求以后,才会让授权管理员承担安全管理职责。
.1.8 管理功能
网闸安全功能应向授权管理员提供如下管理功能:
a)能设置和更新与安全相关的数据;
b)能执行隔离部件的安装及初始化、系统启动和关闭、备份和恢复的能力,备份能力应有自动工具的支持;
c)如果隔离部件安全功能支持外部或内部接口的远程管理,那么它应:
1) 具有对两个接口或其中之一关闭远程管理的选择权;
2) 能限制那些可进行远程管理的地址;
3) 能通过加密来保护远程管理对话。
3.2 身份鉴别
3.2.1 鉴别数据初始化
网闸安全功能应根据规定的鉴别机制,提供授权管理员鉴别数据的初始化功能,并确保仅允许授权管理员使用这些功能。
3.2.2 鉴别时机
在所有授权管理员请求执行的任何操作之前,网闸安全功能应确保对每个授权管理员进行了身份鉴别。
3.2.3 最少反馈
当进行鉴别时,网闸安全功能应仅将最少的反馈提供给用户。
3.2.4 鉴别失败处理
在经过一定次数的鉴别失败以后,网闸安全功能应能终止进行登录尝试主机建立会话的过程。最多失败次数仅由授权管理员设定。
3.3 客体重用
在为所有内部或外部网上的主机连接进行资源分配时,隔离部件安全功能应保证不提供以前连接的任何信息内容。
3.4 审计
3.4.1 审计数据生成
网闸安全功能应能对下列可审计事件生成一个审计记录:
a)审计功能的启动和关闭;
b)任何对审计记录进行操作的尝试,包括关闭审计功能或子系统,以及受影响客体的标识;
c)任何读取、修改、破坏审计记录的尝试;
d)所有对隔离部件规则覆盖的客体(内部或外部网络上的主机)执行操作的请求,以及受影响客体的标识;
e)修改安全属性的所有尝试,以及修改后安全属性的新值;
f)所有使用安全功能中鉴别数据管理机制的请求;
g)所有访问鉴别数据的请求,以及访问请求的目标;
h)任何对鉴别机制的使用;
i)所有使用标识机制的尝试;
j)所有对安全功能配置参数的修改(设置和更新),无论成功与否,以及配置参数的新值;
对于每一个审计记录,隔离部件安全功能应至少记录以下信息:事件发生的日期和时间,事件的类型,主体身份和成功或失败事件。
3.4.2 审计记录管理
网闸安全功能应使授权管理员能创建、存档、删除和清空审计记录。
3.4.3 可理解的格式
网闸安全功能应使存储于永久性审计记录中的所有审计数据可为人所理解。
3.4.4 限制审计记录访问
网闸安全功能应仅允许授权管理员访问审计记录。
3.4.5 可选择查阅审计
网闸安全功能应提供能按主体ID(标识符)、客体ID、日期、时间以及这些参数的逻辑组合等参数对审计数据进行查找和排序的审计查阅工具。
3.4.6 防止审计数据丢失
网闸安全功能应把生成的审计记录储存于一个永久性的审计记录中,并应限制由于故障和攻击造成的审计事件丢失的数量;
对因故障或存储耗竭而导致审计数据丢失的最大审计存储容量,网闸的开发者应提供相应的分析结果。
3.5 数据完整性
网闸安全功能应保护储存于设备中的鉴别数据和信息传输策略不受未授权查阅、修改和破坏。
4 网闸产品的保证要求
4.1 交付和运行
4.1.1 交付过程
4.1.1 .1 开发者行为元素:
a)开发者应将把网闸产品及其部分交付给用户的程序文档化;
b)开发者应使用交付程序。
4.1.1 .2 证据元素的内容和表示
交付文档应描述,在给用户方分配网闸产品的版本时,用以维护安全所必需的所有程序。
4.1.2 安装、生成和启动程序
4.1.2 .1 开发者行为元素
开发者应将网闸产品安全地安装、生成和启动所必需的程序文档化。
4.1.2 .2 证据元素的内容和表示
文档应描述网闸产品安全地安装、生成和启动所必要的步骤。
4.2 指导性文档
4.2.1 管理员指南
4.2.1 .1 开发者行为元素
开发者应当提供针对系统管理员的管理员指南。
4.2.1 .2 证据的内容和形式元素:
a)管理员指南应当描述网闸产品管理员可使用的管理功能和接口;
b)管理员指南应当描述如何以安全的方式管理网闸产品;
c)管理员指南应当包含在安全处理环境中必须进行控制的功能和权限的警告;
d)管理员指南应当描述所有与网闸产品的安全运行有关的用户行为的假设;
e)管理员指南应当描述所有受管理员控制的安全参数,合适时,应指明安全值;
f)管理员指南应当描述每一种与需要执行的管理功能有关的安全相关事件,包括改变TSF所控制的实体的安全特性;
g)管理员指南应当与为评估而提供的其他所有文档保持一致;
h)管理员指南应当描述与管理员有关的IT环境的所有安全要求。
4.2.2 用户指南
4.2.2 .1 开发者行为元素
开发者应当提供用户指南。
4.2.2 .2 证据的内容和形式元素:
a)用户指南应该描述网闸产品的非管理用户可用的功能和接口;
b)用户指南应该描述网闸产品提供的用户可访问的安全功能的用法;
c)用户指南应该包含受安全处理环境中所控制的用户可访问的功能和权限的警告;
d)用户指南应该清晰地阐述网闸产品安全运行中用户所必须负的职责,包括有关在网闸产品安全环境阐述中找得到的用户行为的假设;
e)用户指南应该与为评估而提供的其它所有文档保持一致;
f)用户指南应该描述与用户有关的IT环境的所有安全要求。
5.网闸安全功能的等级划分
依据网闸的开发、生产现状及实际应用情况,我们对网闸类产品的安全功能要求划分成二个等级。
网闸安全功能的等级划分如表1所示。
表1 网闸类产品安全等级划分表
安全功能类 基本要求 增强要求
3.1.1 安全属性定义 √ √
3.1.2 属性初始化 √ √
3.1.3 属性修改 √ √
3.1.4 属性查询 √ √
3.1.5 访问授权与拒绝 √ √
3.1.6 不可旁路 √
3.1.7 区分安全管理角色 √
3.1.8 管理功能 √
3.2.1 鉴别数据初始化 √ √
3.2.2 鉴别时机 √ √
3.2.3 最少反馈 √
3.2.4 鉴别失败处理 √ √
3.3 客体重用 √
3.4.1 审计数据生成 √
3.4.2 审计记录管理 √
3.4.3 可理解的格式 √
3.4.4 限制审计记录访问 √
3.4.5 可选择查阅审计 √
3.4.6 防止审计数据丢失 √
3.5 数据完整性 √ √
注:a)基本要求:为网闸产品的最底安全级别。
b)增强要求:为进一步提升产品安全功能的附加要求。