GAT681-2007信息安全技术网关安全技术要求.pdf 38页

'ICS35.040Ago6A中华人民共和国公共安全行业标准GA/T681一2007信息安全技术网关安全技术要求Informationsecuritytechnology一Technicalrequirementsofgateway2007一03一20发布2007一05一01实施中华人民共和国公安部发布 GA/T681一2007目次前言············。。·。··································································································⋯⋯1引言·································44······································，，·······································⋯⋯11范围·························4·····················································································⋯⋯工2规范性引用文件···········，····················································································⋯⋯13术语和定义······································································································⋯⋯14网关的一般说明···············，，·········4································。····································⋯⋯24.1概述············································································································⋯⋯24.2安全环境······································································································⋯⋯25安全功能要求·······，··························································································⋯⋯35.1标识和鉴别·························································。。········································⋯⋯35.2审计·············································································································，一45.3通信抗抵赖······，，···························································································⋯⋯55.4标记············································································································⋯⋯55.5自主访问控制···········4······4········································4····································⋯⋯65.6强制访问控制·····························································4··································⋯⋯65.7数据存储保护···················4·····································4·4····································⋯⋯65.8数据传输保护·································································4······························⋯⋯65.9数据完整性保护·····························································································⋯⋯65.10剩余信息保护································································································⋯⋯75.1隐蔽信道分析·····················4··········································································⋯⋯75.12用户与网关间的可信路径·················································································⋯⋯75.13密码支持······，········，，·····················································································⋯⋯76安全保证技术要求·························4··················································4················⋯⋯86.1网关安全功能自身安全保护··············································································⋯⋯86.2网关安全设施设计和实现·················································································⋯⋯n6.3网关安全管理··············································。·················································⋯⋯177网关安全保护等级划分·······················································································⋯⋯187.1第一级用户自主保护级······································。。。·······································⋯⋯187.2第二级系统审计保护级················································································⋯⋯207.3第三级安全标记保护级···················································。····························⋯⋯227.4第四级结构化保护级····················································································⋯⋯257.5第五级访问验证保护级····································。。········································⋯⋯28附录A(资料性附录)标准概念说明········································································⋯⋯31A.1组成与相互关系····································。··。·。。。。···········································⋯⋯31A.2网关安全等级的划分····················································································⋯⋯31A.3关于网关中的主体与客体·································。···························4················⋯⋯3A.4关于网关中的TCB、网关安全功能和网关安全功能策略·············，·························⋯⋯3A.5关于密码技术和数据加密···································。··········································⋯⋯3参考文献············································································································⋯⋯34 GA/T681一2007前言本标准从信息技术方面详细规定了各安全保护级别的网关系统所应具有的安全功能要求和安全保证要求。本标准的附录A为资料性附录。本标准由公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:中国科学院研究生院信息安全国家重点实验室。本标准主要起草人:荆继武、冯登国、夏鲁宁、王琼臂、许良玉、聂晓峰、黄敏、高能、林碌锵、吕欣、廖洪变。 GA/T681一2007引言本标准用以指导设计者如何设计和实现具有所需安全等级的网关产品，主要从对网关的安全保护等级进行划分的角度来说明其技术要求，即主要说明为实现GB17859一1999中每一个安全保护等级的安全要求对网关应采取的安全技术措施，以及各安全技术要求在不同安全保护等级中的具体差异。本标准按GB17859一1999五个安全保护等级的划分，对每一个安全保护等级的安全功能技术要求和安全保证技术要求做了详细描述。文中每一级别比上一级别新增的要求以加粗字表示。 GA/T681一2007信息安全技术网关安全技术要求范围本标准规定了按GB17859一1999对网关进行安全等级保护划分所需要的详细技术要求。本标准适用于按GB17859一1999的要求所进行的网关的设计和实现。按GB17859一1999的要求对网关进行的测试、配置也可参照使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB17859一1999计算机信息系统安全保护等级划分准则GB/T18336.1一2o01信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型术语和定义GB17s59一1999和GB/Tls336.1一2001中确立的以及下列术语和定义适用于本标准。3.1主机host主机指连接到一个或多个网络的设备，它可以向任何一个网络发送和接收数据，它在网关安全功能策略控制下进行通信。3.2用户user在网关中，用户与管理员同义，是指能访问网关并对网关进行管理和维护的个人。注:为保持文中规范性语言与已有标准的一致性如“用户一主体绑定’，等，本标准仍保留“用户”这个术语，而不是统一叫做“管理员”.3.3授权管理员authorizedadministrator能访问、实施、修改网关安全功能策略的个人，其职责仅限定于对网关的管理。3.4可信主机trustedhost允许授权管理员对网关进行远程管理的主机。3.5网关gateway网关是一种网络连接设备，实现不同网络之间的互连。3.6网关安全设施tr.stedcomPutingbase(TCB)ofgateway在网关系统中，网关的可信计算基是网关中保护装置的总称，包括硬件、固件、软件和负责执行安全策略的组合体，在本标准中称为网关安全设施。它建立一个基本的保护环境，并提供网关所要求的附加服务。在网关系统中，网关安全设施是物理上分散、逻辑上统一分布的。 GA/T681一20073.7网关安全功能TCBsecurityfunction(TsF)正确实施网关安全设施安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现，组成一个安全功能模块。网关安全设施的所有安全功能模块共同组成网关的安全功能3。8网关安全功能策略TCBsecurityfunctionpolicy(Tsp)ofgateway对网关安全设施中的资源进行管理、保护和分配的一组规则。网关安全功能策略构成一个安全域，以防止不可信主体的干扰和篡改。一个网关安全设施可以有一个或多个安全功能策略。3.9网关数据gate，aydata指在网关中存储、传输及处理的用户鉴别信息、网关配置信息、协议转换规则等数据。3.10被转发数据transmitteddata指通过网关转发的数据。3.11网关安全功能数据TSFdata指与网关安全功能相关的口令、密钥、证书、审计数据或网关安全功能的可执行代码等数据。4网关的一般说明4.1概述网关是一种网络连接设备，实现不同网络之间的互连。网关能够连接使用相同或不同通信协议、数据格式、语言甚至体系结构的两种网络。在必要的情况下，网关可以提供协议转换、速度调整、编码转换、错误隔离以及安全测量等功能。网关可以完全由硬件实现，也可以完全由软件实现，也可以由软件和硬件结合实现。根据实现的不同，网关可以工作在051模型的3层及以上各层。网关通常运行于网络的边缘，因此一些相关功能例如防火墙、路由功能等常常附加在网关卜。4.2安全环境4.2.1安全威胁安全威胁主要包括:a)攻击者可以窃取或截获网关数据，可以收集信息的源地址、目的地址、数据量和时间，获取节点的地址、配置信息和物理位置等;b)攻击者将某一节点攻破，可改变网关的配置文件，导致网关的错误操作或使网关丧失安全特征;c)拒绝服务攻击和重放攻击;d)非授权节点使用有效的网络地址或伪装成授权用户试图访问网络资源;e)网络管理员可能超越所授予的权限而访问和修改数据，可能产生安全相关的错误，导致对信息不合适的访问、修改或对资源不恰当的使用。4.2.2安全应用假设安全应用假设主要包括:a)安全的网关需要运行在具有同样安全级别的网络或操作系统之上b)根据网络安全策略定期评估和分析审计信息。c)所有设备确保受到足够的物理保护，能免遭自然灾害的破坏。网关位于访问可控的设施内，能防止未授权人员的访问。d)有可靠的时间戳来源，以便于信息传输的同步以及审计获得可靠的时间戳。 GA/T681一2007e)所有相关的人员得到关于安装、配置、维护网关、网关安全功能和所有网络组件的相应培训，所有人员按照已定文档中的程序进行操作。5安全功能要求5.1标识和鉴别5.，.1用户标识a)基本标识。应对网关的用户进行标识，一般以用户名或用户ID实现。口令的存储和传输应得到保护。b)唯一性标识。应确保所标识用户在网关系统生命周期内的唯一性，如果一个用户被删除，该用户的标识符也不能再使用。同时将用户标识与审计相关联。5.1.2用户鉴别5.1.21动作前鉴别网关安全功能在动作被实施之前，先对提出该动作请求的用户利用口令机制进行鉴别。网关的用户，即管理员，通过远程访问进行管理时，还应对所使用的远程设备进行鉴别以确定是否是可信主机，如通过IP地址鉴别。5.1.22同步鉴别网关安全功能允许用户在被鉴别之前实施由网关安全功能促成的某些动作，这些动作用来确定鉴别自己的条件(如生成口令)。除了这些动作以外，用户在实施其他动作之前，都应先鉴别用户的身份。5.1.2.3不可伪造鉴别网关安全功能应具有能检测出已经丢弃的或复制的鉴别数据重放的安全机制。网关安全功能应防止一切伪造的鉴别数据以及任何拷贝的鉴别数据的使用。当管理员是远程访问管理时，应对传送鉴别信息的数据包提供完整性、保密性服务和抗重放功能。5.1.2.4一次性使用鉴别网关安全功能应能提供一次性使用鉴别数据操作的鉴别机制，防止与已标识过的鉴别机制有关的鉴别数据的重用。一次性使用鉴别机制可通过在鉴别信息的数据包中提供序列号、验证码或数字签名等机制实施。5，.2.5多鉴别机制除通过简单的口令鉴别机制外，网关安全功能还应提供其他鉴别机制，如通过数字证书、智能IC卡或通过人体的生物特征进行鉴别。5.1.2.6，新鉴别网关安全功能应提供重新鉴别机制，在特定情况下对用户进行重新鉴别，如断开的用户重新登录。应周期性地对管理员身份进行确认，如果网关的管理员操作的时间超过一定时限，网关安全功能应对管理员身份重新进行鉴别。时限由网关的授权管理员进行设置。5.1.3鉴别失败处理当对用户鉴别失败的次数达到或超过某一给定值时，网关安全功能应:a)记录鉴别错误事件;b)通知网关的安全管理员;c)终止该用户的访问;d)当用户是远程访问时，切断相应主机的通信，禁止源或目的地为该主机的数据包通过网关。5.1，4用户一主体绑定网关安全功能在网关安全功能控制范围之内，对一个已标识和鉴别的用户，在激活另一主体如访问、修改网关配置文件或协议转换规则时，应通过用户一主体绑定将该用户与该主体相关联，从而将用户的身份与该用户的所有可审计行为相关联。 GA/T681一20075.2审计5.2.1安全审计的响应当网关可能受到攻击时，能够自动记录攻击发起人的IP地址及企图攻击的时间，以及攻击包数据，给系统安全管理及追查网络犯罪提供可靠的线索。通常当安全审计检测到可能有安全侵害事件时，网关安全功能应:a)生成实时报警信息;b)终止违例进程，取消当前的服务;c)断开当前用户账号，并使其失效;d)切断相关主机的通信。522安全审计数据产生a)网关安全功能应为下述可审计事件产生审计记录:—审计功能的启动和关闭;—身份鉴别的失败，审计记录应包括用户的身份和所使用访问设备的标识，如MAC或IP地址;—管理员的所有相关操作，如添加、修改或删除配置文件或协议转换规则;—协议转换失败事件，应记录转换数据包的来源、时间、数据包长度等;—源或目标地址为某主机的通信量，应记录数据包的源和目的地址。b)其他相关安全审计事件包括:不可信节点的传输发送，不可信节点的传输接收，恢复安全相关事件的响应动作，恢复安全相关事件的时间，所有受到安全相关事件影响的组件。对于每一个事件，其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息。将每个可审计事件与引起该事件的用户相关联。5.2.3审计查阅5.2.3.1有限审计查阅网关安全功能应禁止具有只读访问权限以外的用户读取审计信息，只为授权管理员以便于理解的方式提供从审计记录中读取审计信息列表的能力。5.23.2可选审计查阅在有限审计查阅的基础上，审计查阅工具应具有根据准则来选择要查阅的审计数据的功能，并根据某种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能力。5.2.4审计分析a)潜在侵害分析:网关安全功能应提供一系列规则去监控审计事件，并根据这些规则指出网关系统的潜在威胁，如在某一主机上存有多次用户鉴别失败的记录;b)基于异常检测的描述:通过对审计历史的记录，网关安全功能应维护与每个用户相对应的质疑等级，当用户的质疑等级超出某一门限时，网关安全功能应指出即将发生的安全威胁，如某一主机通信量在一段时间内急剧上升;c)简单攻击探测:网关安全功能对有侵害性的系统事件进行分组，并做相应的描述，当检测到侵害性事件与上述组中的相应描述相匹配时，指出一个对网关攻击的到来，d)复杂攻击探测:在简单攻击探测上，网关安全功能应能检测到多步人侵情况，并能根据已知的事件序列模拟出完整的人侵情况。5.2.5审计事件选择网关安全功能根据以下属性包括或排除审计事件集中的可审计事件:客体身份、用户身份、主体身份、主机身份或事件类型。5.2.6审计事件存储a)受保护的审计踪迹存储:审计踪迹的存储应受到保护，能检测或防止对网关系统审计记录的 GA/T681一2007修改;b)确保审计数据的可用性:在意外情况出现时，网关安全功能应检测或防止对审计记录的修改，以及在发生审计存储已满、存储失败或存储受到攻击时，确保审计记录不被破坏;c)审计数据可能丢失情况下的措施:当审计跟踪超过预定的门限时，应采取相应的措施，进行审计数据可能丢失情况的处理;d)防止审计数据丢失:在审计踪迹存储记满时，应采取相应的防止审计数据丢失的措施，可选择“忽略可审计事件”、“阻止除具有特殊权限外的其他用户产生可审计事件”、“覆盖已存储的最老的审计记录”和“一旦审计存储失败所采取的其他行动”等措施，防止审计数据丢失。例如，审计踪迹存储记满时网关安全功能可阻止除授权用户或审计员外产生的所有可审计事件。5.2.7网络环境安全审计与评估应建立由安全审计服务器和审计代理程序组成的分布式安全审计系统，统一进行管理和控制，实现分布式的审计系统。可通过多个网关上安装审计代理程序，经由安全审计服务器对网络进行统一分析、审计。5.3通仿抗抵赖5.31抗原发抵赖抗原发抵赖确保信息的发起者不能否认曾经发送过信息。网关安全功能应提供一种方法，确保网关在数据交换期间获得了证明信息原发的证据。此证据可由网关或其他主体验证。当网关间需要交换信息时，可通过如预共享密钥、公钥加密或数字签名等手段，提供抗原发抵赖能力:a)选择性原发证明:在接收到原发证明请求时，网关安全功能应具有提供原发信息证据的能力;b)强制原发证明:网关安全功能应总是对传送的信息产生原发证据;c)被转发数据选择性原发证明:抗原发抵赖还应确保被转发数据的发起者不能否认曾发出数据。在网关转发了发送者发出的数据时，网关安全功能应具有提供发送信息证据的能力。此证据可由被转发数据的发起者、接收者或其他主体验证。5.3.2杭接收抵赖接收抗抵赖确保信息的接收者不能否认对信息的接收。网关安全功能应提供一种方法来确保发送信息的主体在数据交换期间获得了证明信息接收的证据，此证据可由发送主体或其他主体验证。当网关间交换网络拓朴结构信息时，可通过预共享密钥、公钥加密或数字签名等手段，提供抗接收抵赖:a)选择性接收证明:在接收到请求时，网关安全功能应具有提供接收信息证据的能力;b)强制接收证明:网关安全功能应总是对接收信息产生证据;c)被转发数据选择性接收证明:抗接收抵赖还应确保被转发数据的接收者不能否认对信息的接收。在接收者接收了自网关转发的数据时，网关安全功能应具有提供接收信息证据的能力。此证据可由被转发数据的发起者、接收者或其他主体验证。54标记a)网关对所有客体(如配置文件、协议转换规则、访问表、审计记录、管理员属性表等)和主体(管理员以及所启动的程序)都指定并维护相关的敏感标记。对于在通信期间要移动的数据项、发起通信的进程与实体、响应通信的进程与实体、在通信时被用到的信道和其他资源等，都可以用各自的属性来标记。b)被转发数据可通过数据包的协议字段设置相关的安全属性和敏感标记。例如对于TCP/1P协议的数据包，可利用如下字段确定数据包的敏感标记:—源或目的MAC地址;—源IP地址，—目的IP地址，—传输协议类型; GA/T681一2007—传输端口号。通过数据包的敏感标记，确定其是否需要加密、是否需要提供完整性保护或是否允许通过等。5.5自主访问控制常用的自主访问控制策略为访问控制表(ACL)，包括目录表访问控制、存取控制表访问控制、访问控制矩阵访问控制和能力表访问控制等。a)对于网关数据，只有授权管理员才能访问。当网关是基于某一具体的操作系统时，也可借助操作系统的自主访问控制机制实施。各种网关数据都应预先标出一组安全属性，用户对网关数据的访问权限对应一张访问控制表，用以表明用户对网关数据的访问能力没有存取权的用户只允许由授权用户指定对客体的访问权b)应将自主访问控制扩展到所有主体与客体，并要求能为每个命名主体指定用户名和用户组，以及规定他们对客体的访问模式。c)自主访问控制应还应与身份鉴别和审计相结合，通过确认用户的身份和记录用户对客体访问情况，使用户对自己的行为承担明确的责任。d)网关安全功能还应控制访问权限扩散。应规定以下权限:网关数据的查看、添加、删除、隐含、共享、属性修改，以及对文件和目录的查看、执行、添加、删除、隐含、共享、属性修改等权限。5.6强制访问控制网关安全功能应通过管理员和网关安全功能数据的敏感标记，控制管理员对相关安全功能数据的访问。a)管理员不应是单一角色，而应划分为系统管理员、系统安全员和系统审计员分别担任系统的常规管理、与安全有关的管理以及审计管理，以相互制约，防止权限过于集中。与强制访问有关的数据或信息应由相应的管理员进行管理。系统管理员负责网关的启动、关闭、用户管理等;系统安全员负责网关的安全策略指定和实施，管理网关的配置信息和协议转换规则等;系统审计员负责网关审计的管理，当出现安全相关事件时，与系统安全员进行协作处理。b)网关安全功能应为系统中主体与它能够访问的所有资源指定敏感标记。网关安全功能应根据相应的安全策略，为系统中的用户指定访问权限。c)所有主体对客体的直接或间接的访问应满足下读上写原则。5.7数据存储保护应对网关中存储的重要网关数据进行保护，以免被非授权访问。5.8数据传输保护网关安全功能应保护网关数据在传输过程中不被泄绍和窃取。能根据传送的数据包类型，通过实施一定的信息流控制策略，如过滤被禁止的信息流或数据包。5.9数据完整性保护a)存储数据的完整性:对于网关中重要的网关数据如用户的鉴别信息、网关的协议转换规则、审计记录等，应采用完整性监测，确保防止非法用户的人侵和对数据的修改。在检测到网关数据的完整性错误时，网关安全功能应具有相关的恢复机制。b)传输数据的完整性:对于网关传输的数据，应通过数字签名、Hash算法、加解密等实现数据的完整性保护。网关安全功能应检测出传输中的网关数据被篡改、删除、插人等情况，并阻止非授权用户破坏敏感信息。网关安全功能应具有相应的恢复机制，恢复其完整性。c)处理数据的完整性:对于网关系统中相关管理员的误操作，网关安全功能应具有回退的功能，尤其对于配置信息和协议转换规则的修改。d)被转发数据完整性:网关对于所转发或进行协议转换的数据包，应确保数据包中包含的数据没有被修改或破坏。 GA/T681一2007510剩余信息保护在网关系统中，为了防止重放攻击，网关安全功能应确保对所有客体分配资源时，使该资源任何以前的信息内容不再使用。并且，新生成的客体确实不包含不应被访问的信息，即在向一个主体初始转让、分配或重分配客体之前或回收客体资源以后，应确保其残留信息全部被清除。网关安全功能一般利用多次重写的办法来确保数据包在成功转发后，没有可用的遗留信息。a)子集信息保护:网关安全功能应确保任何资源的任何残余信息内容，在分配或释放资源时，对于已定义的客体子集而言是不可用的;b)完全信息保护:网关安全功能应确保在分配或释放资源时，任何资源的任何残余信息内容对于所有客体都是不可用的;c)特殊信息保护:对于某些需要特别保护的信息，应采用专门的方法对残留信息做彻底清除，如对剩磁的清除等。5.1隐蔽伯道分析5.1.1一般性的隐蔽信道分析应通过对网关系统中隐蔽存储信道的非形式化搜索，标识出可识别的隐蔽存储信道，并以文档形式说明以下情况:a)标识出隐蔽存储信道并估算它们的带宽;b)描述用于确定隐蔽存储信道存在的过程，以及进行隐蔽存储信道分析所需要的信息;c)描述隐蔽存储信道分析期间所作的全部假设;d)描述最坏的情况下对隐蔽存储信道带宽进行估算的方法;e)为每个可标识的隐蔽存储信道描述其最大可能的利用情形。5.1.2系统化的隐蔽信道分析应通过对网关系统中隐蔽信道的系统化搜索，标识出可识别的隐蔽信道，并以结构化、可重复的方式标识出隐蔽信道，以文档形式说明以下情况:a)标识出隐蔽信道并估算它们的带宽;b)描述用于确定隐蔽信道存在的过程，以及进行隐蔽信道分析所需要的信息;c)描述隐蔽信道分析期间所作的全部假设;d)描述最坏的情况下对隐蔽信道带宽进行估算的方法;e)为每个可标识的隐蔽信道描述其最大可能的利用情形。5.1.3彻底化的隐蔽信道分析应通过对隐蔽信道的穷举搜索，标识出可识别的隐蔽信道，并以结构化、可重复的方式标识出隐蔽信道;应提供额外的证据，证明对隐蔽信道的所有可能的搜索方法都已执行。对分析文档的要求与一般J陛隐蔽信道分析相同。5.12用户与网关间的可信路径用户用来连接网关的路径应是可信路径。a)提供真实的端点标识，并保护通信数据免遭修改和泄露;b)允许网关与本地用户或远程用户原发的经可信路径的通信;c)对原发用户的鉴别或需要可信路径的其他服务均使用可信路径;d)运用以PKI为基础的混合密码体制建立安全的可信路径。513密码支持网关安全功能可以利用密码功能来满足一些高级安全目的。这些功能包括(但不限于):标识与鉴别、抗抵赖、可信路径、可信信道和数据分离。网关各个安全保护等级所要求的密码算法的强度，根据国家密码管理部门的密码分类和配套管理办法，按照密码强度与信息系统安全等级匹配的原则，由国家密码主管部门的规定分级配置。网关中使用的密钥的产生、分发、管理和销毁按照相关的机制保护，网关 GA/T681一2007中使用的公钥私钥可通过PKI系统实施管理。6安全保证技术要求6.1网关安全功能自身安全保护6.1.1安全运行测试网关安全功能在网关系统初始化期间、在正常运转中应周期性地、根据授权用户的请求或在其他条件下，运行一组与网关系统当前状态有关的测试套件，来验证由网关安全功能所提供的安全假定的正确性。系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的人口和文档中未说明的任何模式的人口。6.12失败保护当网关安全功能发生电源故障，检测到不安全的操作或未知状态时应保存一个保护状态，以确保网关安全功能从失败恢复时安全策略的正确性。途径可以有软硬件控制的系统还原、重新启动或重新安装等。61.3输出网关安全功能数据的可用性应通过一系列规则，根据网关安全功能数据类型列表的指示，在所定义的可用性度量范围内，确保网关安全功能数据(如口令、密钥、证书、审计数据或网关安全功能的可执行代码)在网关安全功能与远程可信IT产品之间传输时的可用性。61.4输出网关安全功能数据的保密性应保护网关安全功能数据，如口令、密钥、证书、审计数据和网关安全功能的可执行代码，在网关安全功能与远程可信IT产品之间传输时，不被未经授权的泄露。6.1.5输出网关安全功能数据的完整性a)网关安全功能间修改的检测要求:对网关安全功能数据，包括口令、密钥、证书、审计数据和网关安全功能的可执行代码实施保护，在网关安全功能与远程可信IT产品之间传输时，应提供在所定义的修改度量范围内检测网关安全功能与远程IT产品之间传输的所有网关安全功能数据被修改的能力;b)网关安全功能间修改的检测与改正进一步要求:如果检测到修改，能按修改类型将所有被修改的数据改正过来，具有重发和产生审计记录的能力。61.6网关内网关安全功能数据传输网关安全功能数据在网关内的分离部分间传输时应受到保护。包括:a)内部网关安全功能数据传输的基本保护。网关安全功能应对网关的分离部分间传输的安全功能数据，包括口令、密钥、证书、审计数据和网关安全功能的可执行代码等，进行保护，使其在传输过程中不被泄露或修改。b)网关安全功能数据传输分离。在网关内部的分离部分间传输数据时，网关安全功能应将网关数据与网关安全功能数据进行分离c)网关安全功能数据完整性保护。在网关的分离部分间传输网关安全功能数据时，网关安全功能应检测出所传输的网关安全功能数据被修改、替换、重排序、删除等完整性错误，并能采取规定的措施进行修正。6.1.7物理安全保护6.17.1物理攻击的被动检测对可能危及网关安全功能安全的物理篡改应提供明确的检测手段，并提供判断网关安全功能设备或要素是否已被物理篡改的能力.篡改检测是被动的，授权用户应激活安全管理功能或用手动方式检查，以确定篡改是否发生。 GA/T681一20076.1.7，2物理攻击的自动报告对需主动检测的网关安全功能设备或要素，网关安全功能应监视这些设备和要素，并当其发生物理篡改时，自动报告给指定用户。6.1.7.3物理攻击抵抗提供自动检测并抵制对网关安全功能设备或要素的物理篡改，使网关安全策略不受损害。对某些形式的威胁，网关安全功能不仅有必要检测到它们，更要以使设备受到保护的策略自动回应物理篡改，真正地抵制或阻止这些攻击。比如，根据保密性策略的要求，对于存储在某类存储介质上的信息，使其处于不可写的状态，从而保护其上的信息不被篡改。6.1.8可倍恢复应在确定不减弱保护的情况下启动网关，并在网关安全功能运行中断后能在不减弱保护的情况下恢复运行。可信恢复包括:a)手动恢复。允许以人工干预的方法使网关返回到安全状态。当发生失败或服务中断时，网关安全功能应进人维护方式，以手工方法使网关返回到一个保护状态。b)自动恢复。对至少一种类型的服务中断(如电源故障和比特计算完整性丢失)，网关安全功能应确保自动化过程使网关返回到一个安全状态。c)无过分丢失的自动恢复。在实现上述自动恢复时，应确保网关安全功能数据或客体无超过限量的丢失。d)功能恢复。网关安全功能应确保网关安全功能或者被成功完成，或者对指定的情况恢复到一致的和安全的状态。6.1.9，放检测网关安全功能应检测如授权管理员的访问消息等实体的重放。检测到重放时，网关安全功能应忽略重放操作，并产生相应的审计记录。6.1.10参服仲裁网关安全功能应确保在网关安全功能控制范围内允许继续执行每一项功能前，网关安全策略的执行功能都被成功激活，确保实现网关安全功能的访问监视器和/或前端过滤器是“始终被激活的”。对一个给定的网关安全功能策略，确保要求执行策略的所有行动，都应由网关安全功能根据安全功能策略加以确认。确保网关安全功能的执行对所有安全功能策略都不可旁路。6.1.11域分离a)网关安全功能域分离，应为自身执行维护一个安全域，以防止不可信主体的干扰和篡改，并进行安全功能控制范围内主体安全域之间的强行分离。域分离的具体要求如下:—通过将网关安全功能的安全域(“保护域”)的资源与该域外的主体及不受约束的实体分离开，使得保护域外的实体不能观察或修改保护域内的网关安全功能数据或编码;一一域间的传输是受控的，不能随意地进入或退出保护域;—按地址传到保护域的用户或应用参数，根据保护域的地址空间进行确认，而按值传到保护的域的用户或应用参数则根据保护域所期望的值进行确认;—除了由网关安全功能控制的共享部分外，每个主体有不同的安全域。b)安全功能策略域分离，按安全功能策略对网关安全功能的域进一步细分:一个安全功能策略的确定集合是一个域，网关安全功能的其余部分是一个域，网关内的非网关安全功能部分是一个域，并且要求:—网关安全功能的未隔离部分应对自身的执行维护一个安全域，以防止不可信主体的干扰和篡改;—网关安全功能应对安全功能控制范围内主体的安全域之间作强行分离;—网关安全功能应对网关中与访问控制安全功能策略有关的部分，维护一个自身执行的安 GA/T681一2007全域，以防止被网关内非网关安全功能部分的干扰和篡改。6.1，2状态同步协议确保网关系统中两个部分(如主机)在完成与安全有关的活动后，状态保持同步。包括:a)单向的可信回执:当网关安全功能收到来自另一网关安全功能发出的传输数据时应提供确认(回执)，以表明其成功地接收到了未经修改的网关安全功能数据;b)相互的可信回执:在单向的可信回执的基础上.发出传输数据的网关安全功能在收到回执后，应发送可信回执，以确认其收到回执，使得交换数据的双方知道在其各部分传送数据处于正确状态。6.1.13时间俄网关安全功能应为其自身应用提供可靠的时间戳。6.1.14数据一致性6.，.14.1网关安全功能间的网关安全功能数据一致性网关安全功能与其他可信1丁产品共享网关安全功能数据时，网关安全功能应提供对审计记录，安全支持参数和密钥等相关数据一致性解释的能力。6.1，14.2网关安全功能内数据复制一致性网关安全功能应确保网关系统各部分间的网关安全功能数据复制的一致性，如在网关重新启动时，应确保网关安全功能数据复制的一致性。6.1.15安全功能检测提供了对网关安全功能正确操作的测试能力。包括:a)网关安全功能自检:网关安全功能应运行一套自检，可以根据授权用户要求，在初始化启动期间或正常工作期间周期性地进行，以表明网关安全功能操作地正确性;h)网关安全功能数据完整性验证:网关安全功能应为授权用户提供一种验证能力，验证网关安全功能数据完整性;c)网关安全功能可执行代码完整性验证:网关安全功能还应为授权用户提供一种能力，对存储的网关安全功能可执行代码的完整性进行验证.6.1，16资源利用6.1.161故陈容错应确保网关系统即便出现部分故障时，也能维持正常运转。包括:a)降级故障容错:当网关系统中出现确定的故障(如电源短时间中断、软件错误等)时，网关安全功能能检测出，并发出相应出错警报，并能继续正确运行指定的功能;b)受限故障容错:网关系统应确保标识的故障发生时，能采取有效的对抗措施，保证网关安全功能仍能继续运行。6.1.16.2服务优先级网关安全功能控制用户(主体)应对网哭系统中资源的访问和使用，使得系统内高优先级任务的完成总是不受系统中低优先级任务所造成的干扰和延迟的影响。服务优先级包括:a)有限服务优先级:网关安全功能应给网关系统中的每个用户(主体)分配一种优先级。服务优先级的控制范围限定于网关系统中的某个资源子集中。b)全部服务优先级:网关安全功能应给网关系统中的每个用户(主体)分配一种优先级。服务优先级的控制范围应包括网关系统的全部资源。6.1.163资源分配网关安全功能应控制主体对资源的使用，不应由于未授权的主体独占资源而出现拒绝服务。包括:a)最高限额控制:应确保网关系统中的主体不会超过某一数量或不会独占某种受控资源。网关安全功能应规定受控资源的最高分配限额。系统安全管理员指定受控资源列表(如进程、传输1O GA/T681一2007带宽)。b)最低和最高限额控制:除确保上述最高限额的受控资源分配外.还应确保网关系统中的主体获得最小规定资源的下限。6.1.17网关安全设施访问控制网关安全设施访问控制应提供控制用户与网关安全设施建立会话的功能。网关安全设施访问控制包括:a)按可选属性范围限定的要求:提供网关建立会话时限制会话安全属性范围的要求。网关安全功能应基于访问方法、访问地址或端口以及访问时间，限制用户可能选择的会话安全属性的范围。b)按多重并发会话的基本限定的要求:提供了适用于网关安全功能内所有用户的限定。网关安全功能应限制属于同一用户的并发会话的最大数量。网关安全功能还应缺省执行对会话次数的限定管理。c)按网关安全设施会话建立所描述的要求:应提供交互式会话的网关安全功能原发的和用户原发的锁定和解锁能力及网关安全功能原发终止能力，以便对交互式会话在进入非活动周期后对终端进行锁定或结束会话。d)按网关安全设施访问标记的要求:访问标记定义了向用户显示有关适当使用网关的可配置劝告性警示信息的要求。e)按网关安全设施访问历史所描述的要求:网关安全功能应在一次会话成功建立的基础上，显示该账户上一次会话成功或不成功建立的日期、时间、方法和位置等信息，以及从最后一次成功的会话建立以来不成功的尝试次数，实现对会话管理的设计。f)按网关安全设施会话建立所描述的要求:应提供拒绝用户基于属性对网关安全设施访问的要求。网关安全功能应能拒绝基于无效远程用户口令或缺少硬件令牌的会话建立，实现对会话建立管理的设计。6.1，18可信路径网关内可能有多个网关安全设施。在每个网关安全设施的安全功能之间、网关安全功能与外部产品之间，以及网关安全功能与用户之间应建立可信路径。包括:a)网关安全功能间的可信路径:应在多个安全功能之间或应在它自身和远程产品之间提供一条可信通信信道.b)网关安全功能和用户间的可信路径:应在网关安全功能与用户之间提供一条可信的信息传输路径，该可信路径应提供真实的端点标识，保护通信数据免遭修改和泄露。6.2网关安全设施设计和实现6.2.1配置管理6.2.11配t管理自动化配置管理自动化可增加配置管理系统的有效性，防止网关系统配置受人为错误或疏忽的影响。包括:a)部分配置管理自动化:应在配置管理系统中使用一些工具来支持网关系统的自动生成。配置管理计划应描述在配置管理系统中使用了哪些自动生成工具以及这些工具的使用方法。扮完全配置管理自动化:在部分配置管理自动化的基础上，配置管理系统能自动地确定网关系统与以前版本之间的变化，以及因给定的配置项的修改而受到影响的其他所有配置项。6.2.1.2配t管理能力配置管理系统的能力表明了确保网关系统的完整性的能力以及防止配置项未授权修改的可能性。包括:a)版本号:开发者所使用的版本号与所表示的网关系统应完全对应，没有歧义。11 GA/T681一2007b)配置清单:在版本号基础上，开发者应提供配置管理文档，包括配置清单。配置清单应能对配置项进行唯一标识，并清楚地标识出组成安全功能的配置项。c)配置管理计划:在配置清单的基础上，配置管理文档还应包括一个配置管理计划。配置管理计划应描述配置管理系统的使用方法，并确保实施中的配置管理与配置管理计划是一致的。配置管理文档应能证明所有配置项在配置管理系统下得到有效地维护，且配置管理系统确保对配置项只进行授权修改、增加或删除。d)接受计划:在配置管理计划基础上，配置管理文档还应包括一个接受计划。接受计划应描述用来接受修改过或新建的作为网关系统一部分的配置项的程序。e)进一步的支持:集成过程应有助于确保由一组被管理的配置项生成网关的过程是以授权的方式正确进行的，配置管理系统应有能力标识用于生成网关的主拷贝的材料，这有助于通过适当的技术，以及物理的和过程的安全措施来保持这些材料的完整性。为此，配置管理应进一步支持:—配置管理文档除包括配置清单、配置管理计划外，还应包括一个验收计划和集成过程，集成过程应描述在网关制作过程中如何使用配置管理系统;—配置管理系统应将一个配置项接收到配置管理中的不是该配置项的开发者;—配置管理系统应明确标识组成网关安全管理的配置项;—配置管理系统应支持所有对网关修改的审计，至少应包括操纵者、日期、时间等信息;—配置管理系统应有能力标明用于生成网关主拷贝的所有材料;—配置管理文档应阐明配置管理系统与开发安全方法相联系的使用，并只允许对网关作授权的修改;—配置管理文档应阐明集成过程的使用能够确保网关的生成是以授权的方式正确进行的;—配置管理文档应阐明配置管理系统足以确保负责将某配置项接收到配置管理中的不是该配置项的开发者;—配置管理文档应能证明接收过程对所有配置项的修改都提供了充分而适当的复查。6.2.1.3配t管理范围应确保配置管理系统能跟踪所有必需的网关系统中的配置项，保证这些配置项的完整性是受配置管理系统能力保护的。包括:a)配置管理范围:配置管理文档应说明配置管理系统如何跟踪配置项，并说明至少能跟踪:网关系统的实现表示、设计文档、测试文档、用户文档、管理员文档和配置管理文档;b)跟踪安全缺陷:在配置管理范围基础上，配置管理文档应说明配置管理系统能跟踪安全缺陷;c)跟踪开发工具:在跟踪配置管理范围基础上，配置管理文档应说明配置管理系统还能跟踪开发工具和相关信息。6.2，2分发和操作6.2.2.1分发应通过系统控制、分发设备和程序来保证接收方所收到的网关产品正是发送者所发送的，且无任何修改。包括:a)分发过程:应将网关系统或其部分的程序以文档形式提供给用户，分发文档应描述维护安全所必需的所有程序;b)检测修改:在分发过程的基础上，分发文档应描述如何使用多种程序和技术上的措施来检测修改、检测开发者的主拷贝和用户方收到的版本之间的任何差异以及检测试图伪装成开发者向用户发送产品的方法;c)防止修改:在检测修改的基础上，分发文档应描述如何防止修改的方法和技术;d)网关所有软件应提供安全安装的默认值，在安全管理员不做选择时，默认值应使安全机制有12 GA/T681一2Q07效地发挥安全功能。6.2.2.2操作确保在开发者所期望的安全方式下进行安装、生成和启动。包括:a)过程文档化:开发者应将网关系统安全地安装、生成和启动的过程文档化，文档应描述网关安全地安装、生成和启动所必要的步骤;b)日志生成:在过程文档化的基础上，文档应描述建立日志的过程，该日志能够明确决定网关系统是何时及如何产生的。6.2.3开发6.23.1功能设计功能设计是用户可见接口和网关安全功能行为的一个高层描述。它是网关安全功能要求的一个实例化。包括:a)非形式化功能设计:开发者应提供网关系统的功能设计。功能设计使用非形式化风格描述网关安全功能及其外部接口，并应描述所有外部网关安全功能接口的用途和使用方法;b)完备表示安全功能:在非形式化功能设计的基础上，应提供所有影响、例外情况和错误信息的全部细节，还应包括网关安全功能是完备地表示的基本原理;。)半形式化功能设计:在完备表示安全功能的基础上，使用半形式化风格来描述网关安全功能及其外部接口，必要时可由非形式化、解释性的文字来支持;d)形式化功能设计:在半形式化功能设计的基础上，应使用形式化风格来完备地描述网关安全功能及其外部接口。6.23.2高层设计将功能设计细化成子系统，对网关安全功能的每个结构单元的功能及其相互关系进行描述，实现网关的安全功能要求。包括:a)描述性高层设计:开发者应提供网关安全功能的非形式化高层设计，该高层设计按子系统来描述网关安全功能的结构以及每个子系统所提供的安全功能，并标识网关安全功能子系统的所有接口;b)安全加强的高层设计:在描述性高层设计的基础上，该高层设计应描述网关安全功能子系统所有接口的用途与使用方法，还应将网关系统分成安全功能策略实施的子系统和其他子系统;c)半形式化高层设计:在安全加强的高层设计的基础上，该高层设计应是半形式化的;d)半形式化高层解释:除上述要求外，高层设计还应证明所标识的分离方法，包括任何保护机制，是足以确保从非安全功能策略加强功能中将安全功能策略加强功能清晰而有效地分离出来，并应证明网关安全功能机制足以实现在高层设计中标识的安全功能;e)形式化高层设计:在半形式化高层设计的基础上，该高层设计的表示应是形式化的。6.2.33实现衰示应以源代码、固件或硬件等来表述网关安全功能的具体符号表示，从而可以获得网关安全功能内部的详细工作情况。包括:a)安全功能子集实现:开发者应提供网关安全功能子集的实现表示(如:源代码、硬件图)文档，实现表示应是内在一致的，并且无歧义地定义了详细的网关安全功能;b)安全功能完全实现:在安全功能子集的实现的基础上，实现表示还应描述实现各部分之间的关系;c)安全功能的结构化实现:在安全功能实现的基础上，实现表示应被构造成一些构造较小的，且易于理解的部件。6.2.3.4安全功能内部设计为简化网关安全功能的设计，并使其达到可分析的程度，采用模块化、层次化、复杂度最小化的方法l3 GA/T681一2007对网关安全功能的内部进行结构设计。包括:a)模块化:网关安全功能的设计和构建应模块化，开发者应提供一种描述网关安全功能模块以及这些模块的用途、接口、参数和影响的结构化描述;b)层次化:在模块化的基础上，结构化描述应描述分层结构，并说明如何使交互作用最小化;c)复杂性最小化:在层次化的基础上，结构化描述应使网关安全功能达到最小复杂性。6.2.3.5低层设计确保正确有效地细化网关安全功能子系统。低层设计表述了每一个子系统的用途、功能、接口、依赖关系以及所有网关安全策略实施的实现。包括:a)描述性低层设计:开发者应提供网关安全功能的非形式化低层设计，该低层设计应以模块化描述网关安全功能，并描述每一个模块的用途以及模块的接口;b)半形式化低层设计:在描述性低层设计的基础上，低层设计的表示应是半形式化的，应详细描述网关安全功能模块所有接口的用途与用法;c)形式化低层设计:在半形式化低层设计的基础上，低层设计的表示应是形式化的。6.2.3.6表示的对应性各种网关安全功能表示(如网关系统概要设计、功能设计、高层设计、低层设计、实现表示)之间在相应严格程度上应具有对应性。包括:a)非形式化对应性说明:开发者应提供的相邻两阶段开发文档之间提供其对应性分析，对于所提供的安全策略表示的每个相邻对，对应性分析应阐明，上一阶段的安全策略表示的在下一阶段文档中得到正确而完备地细化;b)半形式化对应性说明:在非形式化对应性说明基础上，如果所提供的安全策略表示的相邻对是半形式化的，对应性阐明也应是半形式化的;c)形式化对应性说明:在半形式化对应性说明的基础上，如果所提供的安全策略表示的相邻对是形式化的，对应性阐明也应是形式化的。62.3.7安全策略模型化通过开发一个基于网关安全策略子集的安全策略模型，并确定功能设计、安全策略模型和网关安全策略之间的对应性，保证在功能范围中的安全功能可以实施网关安全策略中的策略。包括:a)非形式化安全策略模型:开发者应提供安全策略模型，用以描述所有可以模型化的安全策略的规则和特性。安全策略模型应阐明或适当时严格证明功能设计和安全策略模型之间的对应性，并说明功能规约中的安全功能对于安全策略模型来说，是其一致的而且是完备的;b)半形式化网关安全策略模型:在非形式化安全策略模型的基础上，功能规约是半形式化的，安全策略模型与功能规约之间的对应性的阐明也应是半形式化的;。)形式化网关安全策略模型:在半形式化网关安全策略模型的基础上，功能规约是形式化时，安全策略模型与功能规约之间的对应性的阐明也应是形式化的。6.2.4指导性文档指导性文档中不应提供任何会危及系统安全的信息。有关安全的指令和文档应划分等级分别提供给安全管理员和用户。这些文档应为独立的文档，或作为独立的章节插人到安全管理员指南。文档也可为硬拷贝、电子文档或联机文档。如果是联机文档应控制对其的访问。6.2.4.1安全管理员指南安全管理员指南是指一种书面材料，其目的是让负责设置、维护和管理网关系统的人以正确的方式、最大限度地保证安全。开发者应提供安全管理员指南，安全管理员指南应描述对于授权安全管理角色可使用的管理功能和接口、安全管理网关系统的方式、受控制的安全参数、设置配置文件如安全策略数据库SPD的方法以及与安全操作有关的用户行为的假设。安全管理员指南应与为评估而提供的其他所有文件保持一致。14 GA/T681一200762.4.2用户指南用户指南指网关系统的非安全管理员类用户或其他使用网关系统外部接口的人员(如。程序员)所使用的材料。开发者应提供用户指南。用户指南应描述用户可获取的安全功能和接口的用法，安全操作中用户的职责(包括用户行为假设)。用户指南应与为评估而提供的其他所有文件保持一致，不应包括那些如果公开将会危及系统安全的任何信息。6.2.5生命周期支持62.5，1开发安全为保护网关系统的安全而在开发环境中采取包括开发场地的物理安全和开发人员的选择等安全措施。包括:a)安全措施描述:开发者应提供的开发安全文档，描述在网关系统的开发环境中，为保护网关系统设计和实现的保密性和完整性在物理、程序、人员以及其他方面采取的必要的安全措施;b)安全措施的充分性:在安全措施描述的基础上，开发安全文档应能提供证据证明安全措施对维护网关系统的保密性和完整性提供了必要的保护级别。6.2.5，2缺陷纠正开发者应对已发现的安全缺陷进行跟踪和纠正。包括:a)基本缺陷纠正:开发者应提供的缺陷纠正的程序文档。文档应描述用以跟踪所有网关系统版本里已被报告的安全缺陷的过程，还应描述所提供的每个安全缺陷的性质和效果，以及缺陷纠正的情况。还应标识每个安全缺陷所采取的纠正措施，还应描述为用户的纠正行为所提供的信息、纠正和指导的方法。b)缺陷报告过程:在基本缺陷纠正的基础上，开发者应提供接受缺陷报告和更正缺陷的要求，能采取相应解决措施的程序。程序应确保所有已知缺陷都已被更正，并将纠正办法发布给用户，还要确保为纠正这些安全缺陷所引进的纠正方法不会带来新的缺陷。c)系统缺陷纠正:在缺陷报告过程的基础上，缺陷纠正程序应包括这样一个程序，它负责及时将安全缺陷报告及其相应的更正自动分发给可能受到这安全缺陷影响的注册用户。6.2，5.3生命周期定义:应在网关系统生命周期内建立网关系统开发和维护的模型。包括:a)开发者定义的生命周期模型:开发者应建立用于开发和维护网关系统的生命周期定义文档和生命周期模型。生命周期定义文档应描述用于开发和维护网关系统的模型。生命周期模型应提供对网关系统开发和维护所必要的控制。b)标准化生命周期模型:在开发者定义的生命周期模型的基础上生命周期定义文档应解释选择该模型的原因以及如何用该模型来开发和维护网关系统‘c)可测量的生命周期模型:在标准化生命周期模型的基础上，开发者应利用标准化的和可测量的生命周期模型来衡量网关系统的开发，并提供网关系统开发的测量结果。6.2.5.4工具和技术工具和技术是选择用于开发、分析和实现网关系统的工具的一个方面。基于在实现标准及其选项文档的描述和范围上增加的要求，工具和技术分为:a)明确定义的开发工具:开发者应明确定义所有用于实现的开发工具。开发者提供的开发工具文档应明确定义实现中每个语句的含义，以及无歧义地定义所有基于实现的选项的含义b)描述应用实现标准:在明确定义的开发工具的基础上，开发者还应描述应用网关安全设施的实现标准。c)描述所有实现标准:在描述应用实现标准的基础上，开发者还应描述所应用的网关安全设施所有部分的实现标准。 GA/T681一200762.6测试6.2.6.1，盖范围说明网关安全功能要被测试的广度，以及测试是否广泛得足以论证网关安全功能如规定的那样运作。覆盖范围分为:a)范围证据:开发者提供的测试覆盖范围的证据应论证测试文档中所标识的测试和功能设计中所描述的网关安全功能之间的对应性，b)范围分析:在范围证据的基础上，开发者提供测试覆盖范围的分析应表明测试文档中所标识的测试与功能设计中所描述的网关安全功能之间的对应性，并阐明功能设计中所描述的网关安全功能和测试文档所标识的测试之间的对应性是完备的;c)范围的严格分析:在范围分析的基础上，测试范围的分析应严格地论证功能设计所标识的网关安全功能的所有外部接口已经被完备测试。6.2.6.2测试深度涉及了网关安全功能测试所能到达的详细程度。根据网关安全功能表示所提供的从高层设计到实现表示不断增加的细节，测试的深度分为:。)高层设计测试:开发者提供的测试深度的分析应论证测试文档中所标识的测试足以论证该网关安全功能运行是和高层设计一致的;b)低层设计测试:在高层设计测试的基础上，深度分析应论证测试文档中所标识的测试足以论证该网关安全功能运行也和低层设计是一致的，c)实现表示测试:在低层设计测试的基础上，深度分析应论证测试文档中所标识的测试足以论证该网关安全功能运行也根据实现表示而运作的。62.63功能测试a)一般功能测试:开发者应提供测试文档，包括测试计划、测试过程描述、预期的测试结果和实际测试结果。测试计划应标识要测试的安全功能，描述要执行的测试目标。测试过程描述应标识要执行的测试，测试概况。预期的测试结果应表明成功测试运行后的预期输出。b)顺序的功能测试:在一般功能测试的基础上，测试文档应包含测试程序对顺序依赖性的分析。62，6.4独立性测试基于测试文档、测试支持和评估者测试的数量，独立性测试分为:a)符合独立性测试:开发者提供网关系统应与测试相适应;b)抽样独立性测试:在符合独立性测试的基础上，开发者还应提供一个与开发者的网关安全功能功能测试中使用的资源相当的集合;c)完全独立性测试:在抽样独立性测试的基础上，评估者应执行测试文档内的所有测试，以验证开发者的测试结果。6.2.6.5渗通性测试对网关系统进行渗透性测试，利用第三方测试或是专业机构对网关系统进行大量的攻击来探查网关系统是否能够经受来自恶意黑客的同类攻击。在渗透性测试中，伪造的攻击可能包括社会工程等真正黑客可能尝试的任何攻击.6.2，7脆弱性评定6.2.7.1隐蔽信道分析目的在于确定非预期的信号信道(例如非法信息流)的存在性及其潜在的容量。保证要求提出了非预期的和可利用的信号信道在违反网关安全功能策略运行时造成的威胁。基于隐蔽信道分析不断增加的严格程度，隐蔽信道分析分为:a)一般性隐蔽信道分析:开发者对每个信息流控制策略都应搜索隐蔽信道。开发者提供隐蔽信道分析文档应标识出隐蔽性道并且估计它们的容量，还应描述以下内容:用于确定隐蔽信道存l6 GA/T681一2007在的程序;进行隐蔽信道分析所需要的信息;隐蔽信道分析期间所作的全部假设;在最坏的情况下对通道容量进行评估的方法，每个可标识的隐蔽信道其最坏的利用情况。b)系统化隐蔽信道分析:在一般性隐蔽信道分析的基础上，分析文档应证明对于隐蔽信道的分析是系统化的。开发者应以结构化、可重复的方式标识出隐蔽信道。c)彻底化隐蔽信道分析:在系统化隐蔽信道分析的基础上，应通过对隐蔽信道的穷举搜索，标识出可标识的隐蔽信道。为此，开发者应提供额外的证据，证明对隐蔽信道的所有可能的搜索方法都已执行。6.2.7.2防止误用应使对网关系统的无法检测的不安全配置和安装，操作中人为的或其他错误造成的安全功能解除、无效或者无法激活，以及导致进人无法检测的不安全状态的风险达到最小。基于开发者所提供不断增加的证据和不断增加的分析严格性，误用分为:a)指南检查:开发者提供的指导性文档应确定对网关系统的所有可能的运行方式(包括失败和操作失误后的运行)，它们的后果以及对于保持安全运行的意义。指导性文档应是完备的、清晰的、一致的、合理的，且列出所有目标环境的假设和所有外部安全措施(包括外部程序的、物理的或人员的控制)的要求。b)分析确认:在指南检查的基础上，开发者还应文档化对指导性文档的分析。分析文档应论证指导性文档是完备的。c)对安全状态的检测和分析:在分析确认的基础上，还应进行独立测试，以确定安全管理员或用户在理解指导性文档的情况下能基本判断网关系统是否在不安全状态下配置或运行。6.2.7.3安全功能强度对每个具有安全功能强度声明的安全机制，开发者应进行安全功能强度的分析。证明该机制达到或超过安全目标要求所定义的最低强度，并证明该机制达到或超过安全目标要求所定义的特定功能强度。6.2.7.4脆弱性分析脆弱性分析是一种评定，用来决定在对网关系统的构建和预期运行进行评估或通过其他方法(例如缺陷假设)中所标识的脆弱性是否允许用户违反网关安全功能。a)开发者脆弱性分析:开发者应提供脆弱性分析文档，文档应标识脆弱性的分布，并说明在所期望的环境中这些脆弱性不会被利用。b)独立脆弱性分析:在开发者脆弱性分析的基础上，开发者应文档化已标识脆弱性的分布。文档应证明对于具有已标识脆弱性的网关系统可以抵御明显的穿透性攻击。评估者则应进一步实施独立的脆弱性分析，并在此基础上实施独立的穿透性测试，以确定在所期望环境下额外标识的脆弱性的可利用性。c)中级抵抗力分析:在独立脆弱性分析的基础上，证据应能说明对于具有已标识脆弱性的网关可以抵御中级攻击能力攻击者发起的穿透性攻击。d)高级抵抗力分析:在中级抵抗力分析的基础上，分析文档应提供完备地分析表述网关的脆弱性，开发者应确定可以抵御高级攻击能力攻击者发起的对网关的穿透性攻击。6.3网关安全管理对相应的网关的访问控制、鉴别控制、审计和安全属性管理等相关的功能，以及与一般的安装、配置等有关的功能，制定相应的操作、运行规程和行为规章制度。6.3.1安全功能管理允许授权用户对网关安全功能中的行为进行管理。网关安全功能应具有限制系统和安全管理员决定、取消、调整用户审计、选择审计事件、管理审计追踪、访问控制列表等功能行为的能力。17 GA/T681一20Q76.3.2安全属性的管理允许授权用户对安全属性进行管理，即查看和修改安全属性的能力。在没有专门指定某个值为安全属性时，用缺省值(默认值)作为安全属性值。缺省值在参数初始过程中获得。包括:a)安全属性的管理:网关安全功能仅允许授权管理员以维护安全的方式去管理安全属性;b)安全的安全属性:网关安全功能应确保安全属性只接受安全的值，即确保分配给安全属性的值，其安全状态是有效的，从而保证任何可以接受的安全属性的组合处在一个安全的状态中;c)静态属性初始化:网关安全功能应为相关客体安全属性提供缺省值，并确保安全属性的缺省值适用于许可的或受限的情况。63.3网关安全功能数据的管理允许授权用户(角色)控制网关安全功能数据的管理。这里的网关安全功能数据包括审计信息、时钟、系统配置和其他网关安全功能配置参数。网关安全功能数据管理分为:a)管理网关安全功能数据:网关安全功能应限制授权角色查询、修改或删除网关安全功能数据的能力。仅允许授权角色的用户去管理这些数据，在参数创建过程中提供的缺省值作为默认值。b)网关安全功能数据限值的管理:网关安全功能应规定受限的网关安全功能数据以及这些受限值。如果网关安全功能数据值超出了指定的限制，网关安全功能将采取特定的动作。c)安全的网关安全功能数据:应确保分配给网关安全功能数据的值，其安全状态是有效的，即赋值应在网关安全设施保持在安全状态中的前提下进行6.3.4安全角色管理应通过对用户给以不同的角色配置，确定这些角色的安全管理能力。安全角色管理分为:a)安全角色的定义:安全功能应能维护标识的授权角色，并把用户与该角色关联起来，应明确定义并识别不同的角色。通常系统应区分客体的拥有者、管理员和其他用户。在安全标记保护级及其以上级别，网关安全功能应由系统管理员、系统安全员和系统审计员分别担任系统的常规管理、与安全有关的管理以及审计管理等三个角色。系统管理员负责网关用户管理、启动关闭网关等;系统安全员负责网关安全策略的指定和实施;系统审计员负责网关审计的管理，当出现安全相关事件时，与系统安全员进行协作处理。b)安全角色的限制:网关安全功能能识别授权角色，并确保用户的不同角色应满足的条件，并规定角色详细说明及控制角色之间关系的规则。。)角色承担:网关安全功能应设置下列角色:系统管理员、安全管理员和系统审计员。6.3.5时限授权为授权用户提供对指定的安全属性说明有效期的能力.应有对标识的授权用户按支持有效期的安全属性表的规定实施有效期的能力，并在超过了指定的有效期后，能根据活动表的规定采取必要的动作。6.3.6撤消提供对某一时刻将实施的安全属性的撤销。应对网关系统内标识的授权角色，有限制地提供其撤消与用户、主体、客体，及其他附加资源相关联的安全属性的能力。定义对网关系统内各种实体安全属性的撤消，规定对撤消权限的要求，并对撤消规则有详细的说明。7网关安全保护等级划分7.1第一级用户自主保护级7.11安全功能要求7.1.1.1身份鉴别a)按5.1.la)实现用户基本标识;b)按5.1.2.1进行动作前鉴别，18 GA/T681一2007c)按5.1.3a)和5.1.3b)进行鉴别失败处理。7.1.1.2自主访问控制按55a)实现自主访问控制.71.1.3数据完整性按5.gb)实施传输数据的完整性保护。7.1.2安全保证要求7.12.1网关安全功能自身安全保护7.1.2.1.1网关安全功能保护按下列要求设计网关的网关安全功能保护:a)按6.1.1的描述，验证由网关安全功能所提供的安全假定的正确性;b)按6.1.2的描述，实现失败保护;c)按6.1.6a)的描述，实现内部安全功能数据传输的基本保护，d)按6.1.7.1的描述，实现物理攻击的被动检测，e)按6.1.13的描述，为网关的运行提供可靠的时间截支持，f)应执行6.1.15a)中描述的在网关初始化启动期间的网关安全功能自检。7.1.2.，.2资源利用资源利用按如下要求进行设计:a)按6.1.16.la)进行降级故障容错设计，b)按6.1.16.Za)进行有限服务优先级设计，c)按6.1.16.3a)进行最高限额控制。7.1.2.1.3网关安全设施访问控制网关安全设施的访间控制按下列要求设计:a)按6.1.17a)实施可选属性范围限定。b)按6.1.17b)实施多重并发会话的基本限定，c)按6.1.17f)实施网关安全设施的会话建立。7.1.2.2网关安全设施设计和实现应具有基本的配t管理能力。7.1.2.2.1配t管理按6.2.1.Za)确保用户所使用的版本号与网关样本保持一致.7.1.2.2.2分发和操作应以文档形式提供对网关安全地进行分发以及安装、生成和启动的过程进行说明。a)按6.2.2.la)提供分发文档，b)按6.2.2.Za)实现网关系统安装、生成和启动过程的文档化。7.1.223开发网关安全设施的开发应:a)按6.2.3.la)进行非形式化功能设计;b)按6.2.3.Za)进行描述性高层设计;c)按6.2.3.3a)安全功能子集实现进行实现表示设计;d)按6.2.34a)模块化进行内部结构设计;e)按6.2.3.sa)进行描述性低层设计;f)按6.2.3.6a)提供非形式化对应性说明。7.1.2.2.4指导性文档按6.2.4提供用户和管理员指南. GA/T681一20077.1.2.2.5生命周期支持应提供6.2.53a)开发者定义的生命周期模型。7.1.2.2.6测试a)应执行6.2.6.3a)一般功能测试;b)应执行6.2.6.4a)符合独立性测试。7.1.2.3网关安全管理操作程序、运行规程和行为规章制度应满足以下要求:a)按6.3.1实施网关安全功能管理，b)按6.3.4a)定义安全角色。7.2第二级系统审计保护级7.21安全功能要求721.1身份鉴别a)在5.1.la)用户基本标识的基础上，应实现5.1.lb)用户唯一性标识，b)按5.12.1进行动作前鉴别，按5.1.2.2进行同步鉴别，c)按5.1.3a)、5.1.3b)和5.1.3c)进行鉴别失败处理。7.2.1.2自主访问控制按5.sa)实现自主访问控制。7.2.13审计a)按5.2.la)生成实时报替信息，b)按5.2.Za)产生审计数据;c)按5.2.3.1提供有限审计查阅，d)按5.2.4a)进行潜在侵害分析;e)按5.2.5进行审计事件选择;f)按5.2.6a)实施受保护的审计踪迹存储。7.2.1.4抗抵赖在网关之间传输数据时，网关安全功能应确保信息的接收方和发送方身份的不可抵赖性。a)信息的发送方，按5.3.la)选择性原发证明进行设计，b)信息的接收方，按5.3.Za)选择性接收证明进行设计。7.2.15剩余信息保护按5.10a)子集信息保护进行设计。7.2.1.6数据完整性a)按5.ga)实施存储数据完整性保护;b)按5.gb)实施传输数据完整性保护。7.2.1.7数据加密按5.13密码支持进行设计。7.2.2安全保证要求7.2.2.1网关安全设施自身安全保护7.2.2.1.1网关安全功能保护按下列要求设计网关的网关安全功能保护:a)按6.11的描述，验证由网关安全功能所提供的安全假定的正确性;b)按6.1.2的描述，实现失败保护;。)按6.1.6a)的描述，实现内部安全功能数据传输的基本保护;d)按6.1.71的描述，实现物理攻击的被动检测;2O GA/T681一2007e)按6.1.13的描述，为网关的运行提供可靠的时间戳支持;f)应执行6.1.15a)中描述的在网关初始化启动期间的网关安全功能自检，和6.1.15b)中的网关安全功能数据完整性验证。7.2.2.1.2资源利用资源利用按如下要求进行设计:a)按6.1.16.la)进行降级故障容错设计;b)按6.116.Za)进行有限服务优先级设计;c)按6.1.16.3a)进行最高限额控制。7.2.2.1.3网关安全设施访问控制网关安全设施的访问控制按下列要求设计:a)按6.1.17a)实施可选属性范围限定;b)按6.1.17b)实施多重并发会话的基本限定;c)按6.1.17e)网关安全设施访问历史设计，d)按6117f)提供拒绝用户基于属性对网关安全设施访问的要求。7.2.2.2网关安全设施设计和实现7.222.1配t管理a)按6.21.Za)确保用户所使用的版本号与网关样本保持一致;b)按6.2.1.3a)配里管理范围进行设计。7.2.2.2.2分发和操作应以文档形式提供对网关安全地进行分发以及安装、生成和启动的过程进行说明。a)按62.2.la)提供分发文档;b)按6.2.2.ld)提供安全安装默认值;c)按6.2.2，Za)实现网关系统安装、生成和启动过程的文档化;d)按6.2.2.Zb)生成日志编制说明。7.2.2.2.3开发网关安全设施的开发应:a)按6.23.la)非形式化功能设计和6.2.3.lb)完备表示安全功能进行设计;b)按6.2.3.Za)进行描述性高层设计;c)按6.2.3.3a)安全功能子集实现进行实现表示设计;d)按6.2.3.4a)模块化和6.2.3.4b)层次化进行内部结构设计;e)按6.2.3.sa)进行描述性低层设计;f)按6.2.3，6a)提供非形式化对应性说明;9)按6.2.3.7a)非形式化网关安全策略模型进行设计。7.2.2.2.4指导性文档按6.24提供用户和管理员指南。文档还应包括生命周期支持和脆弱性评定等方面的内容。7.2.2.2.5生命周期支持a)按6.2.5.1。)进行安全措施描述;b)按6.2.53a)提供开发者定义的生命周期模型。72.2.2.6测试a)按6.2.6.la)提供测试筱盖范围的证据;b)按6.2.6.lb)进行测试彼盖范围的分析;c)按6.2.6.Za)进行高层设计测试;d)执行6.2.6.3a)一般功能测试; GA/T681一2007e)执行6.26，4a)符合独立性测试。7.2.2.2.7脆弱性评定a)按6.2.7.Za)指南检查，进行防止误用的分析;b)按6.2.7.3进行网关安全功能强度分析，c)按6.2.7.4a)进行开发者脆弱性分析。7.22.3网关安全管理操作程序、运行规程和行为规章制度应满足以下要求:a)按6，3.1实施网关安全功能管理;b)按6.34a)定义安全角色。7.3第三级安全标记保护级7.3.，安全功能要求7.3.1.1身份鉴别a)按5.1.1实现用户标识;b)按5.1.21、51.2.2、5.1.2.3不可伪造鉴别、5，1.2.4一次性鉴别和5.1.2.5多鉴别进行用户鉴别;c)按5.1.3a)、51.3b)、5.1.3c)和5.1.3d)进行鉴别失败处理;d)按5.1.4进行用户一主体绑定.7，3.1.2自主访问控制a)按5.sa)实现自主访问控制;b)按5.5。)将自主访问控制与身份鉴别和审计相结合，c)按5.sd)控制访问权限的扩散。7.3.1.3标记按5.4a)对所有客体和主体指定敏感标记。7.31.4强制访问控制按56实现强制访间控制。7，31.5审计应根据5.2的描述，实现网关系统的审计，包括对标记、强制访间控制的审计。a)按5.2.la)实时报警生成和5.21b)违例进程的终止，设计审计响应功能;b)按5.2.Za)产生审计数据;c)按5.2.3.1有限审计查阅和5.2.3。2可选审计查阅进行安全审计查阅设计;d)按5，24a)潜在侵害分析和5‘24b)基于异常检测的描述进行审计分析设计;e)按5.2.5进行审计事件选择;f)按5.2.6a)受保护的审计踪迹存储和5.2.6b)确保审计数据的可用性，提供对审计事件的保护存储;9)按5.2.7实现分布式安全审计系统.7.3.16抗抵赖在网关之间传输数据时，网关安全功能应确保信息的接收方和发送方身份的真实性和不可抵赖性。a)信息的发送方，按5.3.工a)选择性原发证明进行设计;b)信息的接收方，按5.3，Za)选择性接收证明进行设计。7.3.1.7剩余信息保护按5.10a)子集信息保护进行设计。7.3，1.8数据完整性a)按59a)实施存储数据完整性保护;22 GA/T681一2007b)按5.gb)实施传输数据完整性保护;c)按59c)实施处理数据完整性保护。7.3.1.9数据加密按5.13密码支持进行设计。7.3.2安全保证要求7.3.2.1网关安全设施自身安全保护7.3.2.1.1网关安全功能保护按下列要求设计网关的安全功能保护:a)按6.1.1的描述，验证由网关安全功能所提供的安全假定的正确性;卜)按6.1.2的描述，实现失败保护;c)按6.1.3的描述，实现网关安全功能数据的可用性保护;d)按6.1.4的描述，实现网关安全功能数据的保密性保护;e)按6.1.sa)的描述，实现网关安全功能数据的完整性保护，f)实现6.1.6a)内部网关安全功能数据传输的基本保护、6.16b)网关安全功能数据传输分离保护和6.1.6c)网关安全功能数据完整性保护.9)按6.1.7.1物理攻击的被动检测、6.1.7.2物理攻击的自动报告，实现对网关的物理安全保护;h)按6.1.9的描述，实现重放检侧要求，1)按61.10参照仲裁，实现网关安全功能策略的不可旁路;j)按6.1.11a)的描述，实现网关安全功能域分离，k)按61.12a)的描述，实现单向的可信回执;1)按6.1.13的描述，为网关的运行提供可靠的时间戳支持;m)按6.114.1的描述，确保网关安全功能间网关安全功能数据的一致性;n)按6.1.14.2的描述，确保网关安全功能数据复制的一致性;0)应执行6.1.15a)在网关初始化启动期间的网关安全功能自检、6.1.15b)网关安全功能数据完整性验证和6.1.15c)网关安全功能可执行代码的完整性验证。7.3.2.1.2资源利用a)按6.1.16.la)降级故障容错和6.1.161b)受限故障容错设计;b)按6.1.16.Zb)全部服务优先级设计，c)按6.1.16.3b)最低和最高限顿控制，进行资源的管理和分配。7.3.2.1.3网关安全设施访问控制a)按6.1.17a)实施可选属性范围限定;b)按6.1.17}))实施多重并发会话的基本限定;c)按6.1.17c)的描述，实现对网关安全设施会话会话的锁定和解锁能力以及原发终止能力;d)按6.1.17d)的描述，实现网关安全设施访问标记的要求，e)按6.工.17e)网关安全设施访问历史设计;f)按6.1.17f)提供拒绝用户基于属性对网关安全设施访问的要求。7，3.2.2网关安全设施设计和实现7.3.22.1配1管理a)按6.2lla)实现部分配置管理自动化;1)按6.2.1.Za)确保用户所使用的版本号与网关样本保持一致;c)按6.2.1.Zb)提供配置清单，d)按62.1.ZC)提供配置管理计划;2只 GA/T681一2007e)按621.3a)配置管理范围进行设计;f)按6.2.1.3b)跟踪安全缺陷进行设计。7.3.2.2.2分发和操作应以文档形式提供对网关安全地进行分发以及安装、生成和启动的过程进行说明。a)按62.2.la)提供分发文档;b)按6.2.2.lb)进行检测和修改;c)按6.2.2.ld)提供安全安装默认值;d)按6.2.2.2确保在开发者所期望的安全方式下进行安装、生成和启动。7.322.3开发a)按6.23.la)非形式化功能设计和6，2.3.lb)完备表示安全功能进行设计;b)按6.2.3.Zb)进行安全加强的高层设计;c)按6.2‘3。3b)网关安全功能的完全实现进行设计，d)按623.4a)模块化和6.23.4b)层次化进行内部结构设计;e)按6.2.35a)进行描述性低层设计;f)按6.2.3.6a)提供非形式化对应性说明;9)按6.23.7a)非形式化网关安全策略模型进行设计。7.32.2.4指导性文档按62.4提供用户和管理员指南。文档还应包括生命周期支持和脆弱性评定等方面的内容。73.225生命周期支持a)按62.5.la)进行安全措施描述;b)按6.2.5.Za)提供基本缺陷纠正支持，c)按62.5.3b)提供标准化生命周期模型;d)按6.2.5.4a)明确定义开发工具。7.3.2.2.6测试。)按6.26.la)和6.2.6.lb)进行测试极盖范围分析;b)按6.2.6.Za)进行高层设计测试;c)按6.262b)进行低层设计测试;d)按6.2.6.3a)进行一般功能测试;e)按6.2.6.3b)进行顺序功能测试;f)按6.26.4a)进行符合独立性测试;9)按626.4b)进行抽样独立性侧试。7.3.2.27脆弱性评定a)按6.2.7.Za)进行防止误用的分析;b)按6.27.Zb)进行分析确认;c)按6.2.73进行网关安全功能强度分析;d)按6274a)进行开发者脆弱性分析。e)按6.2.7.4b)进行独立脆弱性分析。7.3.2.3网关安全管理操作程序、运行规程和行为规章制度应满足以下要求:a)按631实施网关安全功能管理;b)按6.32a)实施安全属性的管理;c)按6.3.Zb)确保安全属性只接受安全的值;d)按6.3.3a)管理网关安全功能数据;24 GA/T681一2007e)按6.3.3b)实施网关安全功能数据限值的管理;f)按6.3.4a)定义安全角色;9)按63.4b)定义安全角色的限制，h)按6.3.4。)设置安全角色的承担;1)按6.3.5提供时限授权，j)按6.3.6提供对安全属性的撤消.7.4第四级结构化保护级741安全功能要求7.4.1.1身份鉴别a)按5.1，1实现用户标识;b)按5.1.2.1、5.1.2.2、512.3、5.1.2.4、5.1.2.5和5.1.2.6重新鉴别进行用户鉴别;c)按5.1.3进行鉴别失败处理;d)按5.1.4进行用户一主体绑定。7.4.1.2自主访问控制a)按5.sa)实现自主访问控制;b)按5.sb)将自主访问控制扩展到所有主体和客体;c)按5.sc)将自主访问控制与身份鉴别和审计相结合，d)按55d)控制访问权限的扩散。74.1.3标记按54a)对所有客体和主体指定敏感标记，并按5.4b)对被转发数据指定敏感标记。7.4.1.4强制访问控制按5.6实现强制访间控制。7.4.1.5审计应根据5.2的描述，实现网关系统的审计，包括对隐蔽信道分析和可信路径的审计。a)按5.2.la)实时报警生成、5.2.lb)违例进程的终止和5.2.Ic)断开帐号，设计审计响应功能;b)按5.2.Za)和5.2.Zb)产生审计数据;c)按5.2.3.1和5.2.3.2进行安全审计查阅设计;d)按524a)、5.2.4b)和5.2.4c)简单攻击探测进行审计分析设计;e)按5.25进行审计事件选择;f)按5.2.6a)、5.26b)和5.2.6c)在审计数据可能丢失情况下的措施提供对审计事件的保护存储;9)按5.2.7实现分布式安全审计系统。7.4.1.6抗抵赖在网关之间传输数据时，网关安全功能应确保信息的接收方和发送方身份的真实性和不可抵赖性。a)信息的发送方，按5.3.lb)强制性原发证明进行设计;b)信息的接收方，按5.3.Zb)强制性接收证明进行设计。7.4.1.7剩余信息保护按5.10b)完全信息保护进行设计。741.8数据完整性a)按59a)实施存储数据完整性保护;b)按5.gb)实施传输数据完整性保护;c)按59c)实施处理数据完整性保护;d)按5.gd)实施对被转发数据的完整性保护.25 GA/T681一200774.1.9隐蔽信道分析a)按5.n.1，进行一般性的隐蔽信道分析;b)在5.11.1的基础上，按5.n.2进行系统化隐蔽信道分析。7.41.10可信路径按5.12，设计网关与用户间的可信路径。7.4.1.1数据加密按513密码支持进行设计。7.4.2安全保证要求7.4.2.1网关安全设施自身安全保护7.4.2，1.1网关安全功能保护按下列要求设计网关的安全功能保护:a)按61.1的描述，验证由网关安全功能所提供的安全假定的正确性;b)按6.1.2的描述，实现失败保护;c)按6.1.3的描述，实现网关安全功能数据的可用性保护;d)按6.1.4的描述，实现网关安全功能数据的保密性保护;e)按6.1.sb)网关安全功能间修改的检侧与改正的进一步要求，实现网关安全功能数据的完整性保护;f)按6.1.6的描述，实现网关内网关安全功能数据传输的保护;9)按6.1.7.1物理攻击的被动检测、6.1.7.2物理攻击的自动报告和61.7.3物理攻击抵抗，实现对网关的物理安全保护;h)按6.1.sa)和61.sb)的要求，实现手工可信恢复和自动可信恢复;1)按6.1.9的描述，实现重放检测要求;j)按6.1.10参照仲裁，实现网关安全功能策略的不可旁路;k)按61.nb)的描述，实现网关安全功能策略域分离.1)按6.1.12b)实现相互的可信回执;m)按6.1.13的描述，为网关的运行提供可靠的时间戳支持;n)按6.1.14.1的描述，确保网关安全功能间网关安全功能数据的一致性;0)按61.14.2的描述，确保网关安全功能数据复制的一致性;p)按6.1.15实现网关安全功能检测。7.4.2.1.2资源利用资源利用按如下要求进行设计:a)按6.飞.16.1进行故障容错设计;b)按61162b)全部服务优先级设计;c)按61.16.3b)最低和最高限额控制，进行资源的管理和分配。7.4.2.1.3网关安全设施访问控制按6.1.17实施网关安全设施的访问控制。7.4.2.1.4可信路径a)按6.1.18a)建立网关安全功能间可信路径，b)按6.1.18b)建立用户与网关安全功能间的可信路径。7.4.2.2网关安全设施设计和实现7.4.2.2.1配t管理a)按6.2lla)实现部分配置管理自动化;1))按6.2.1.Za)版本号、6.2.1.Zb)配置清单和6.2.1.ZC)配置管理计划进行设计;26 GA/T681一2007c)按6.2.1.Zd)产生支持和接受程序;d)按6.2.1.3a)网关配置管理范围和6，2.1.3b)跟踪安全缺陷进行设计;e)按6.2.1.3c)，说明配置管理能够跟踪开发工具和相关信息。7.4.2.2.2分发和操作应以文档形式提供对网关安全地进行分发以及安装、生成和启动的过程进行说明。a)按6221a)提供分发文档和按6.2.2.lb)进行检测和修改;b)按6.2.2.1。)防止修改;c)按6.2.2.ld)提供安全安装默认值;山按6.2.22确保在开发者所期望的安全方式下进行安装、生成和启动。7.4.2.2.3开发a)按6.2.3.1。)进行半形式化功能设计;b)按6.2.3.Zc)进行半形式化高层设计;c)按6.2.3.3c)网关安全功能的结构化实现进行设计;d)按6.2.3.4。)复杂性最小化进行内部结构设计;e)按6.2.3.sb)进行半形式化低层设计;f)按6.2.3.6b)提供半形式化对应性说明，9)按6.2.3.7b)半形式化网关安全策略模型进行设计。7.4.2.2.4指导性文档按6.2.4提供用户和管理员指南。文档还应包括生命周期支持和脆弱性评定等方面的内容。7.4.2.2.5生命周期支持a)按6.2.5.1。)进行安全措施描述;b)按6.2.5.lb)证明安全措施的充分性;c)按6.2.5.Za)提供基本缺陷纠正支持;d)按6.2.5.Zb)定义缺陷报告过程，e)按6.2.5.3b)提供标准化生命周期模型;f)按6.2.5.4a)明确定义开发工具;9)按6.2.5.4b)描述应用的实现标准。7.4，22.6测试a)按6.2.6.la)、6.261b)和6.2.6.Ic)进行测试班盖范围分析;b)按6.2.6.Za)、6.2.6.Zb)和6.2.6.2。)定义测试深度。c)按6.2.6.3进行功能测试;d)按6.2.6.4a)和6.2.6.4b)进行独立性测试。7.4.2.2.7脆弱性评定a)按6.2.7.la)进行一般性隐蔽信道分析，1)按6.2.7.Za)和6.2.7.Zb)进行检查、分析确认;c)按6.2.7.Zc)进行安全状态的检测和分析;d)按6.2.7.3进行网关安全功能强度评估;e)按6.2.7.4a)进行开发者脆弱性分析，按6.27.4切进行独立脆弱性分析;f)按6.2.7.4c)进行中级抵抗力分析。7.4.2.3网关安全管理操作程序、运行规程和行为规章制度应满足以下要求:a)按6.3.1实施网关安全功能管理;b)按6.3.2实施安全属性的管理; GA/T681一2007c)按6.3.3a)管理网关安全功能数据，按6.3.3b)实施网关安全功能数据限值的管理;d)按6.3.3c)确保网关安全功能数据的安全;e)按63.4定义安全角色、安全角色限制以及安全角色的承担;f)按6.3.5提供时限授权;9)按63..6提供对安全属性的撤消。7.5第五级访问验证保护级7.51安全功能要求7.5.1.1身份鉴别a)按5.1.1实现用户标识;b)按5.1.2定义的全部机制进行用户鉴别;c)按5.1.3进行鉴别失败处理;d)按5.1.4进行用户一主体绑定。7.5.1.2自主访问控制按5.5实现自主访问控制。7.5.1.3标记按54指定敏感标记7.5.1.4强制访问控制按5.6实现强制访问控制。7515审计应根据52的描述，实现网关系统的审计，包括对可信恢复的审计。a)按5.2.la)、52.lb)、5.2.IC)和5.2.ld)切断相关主机通信，设计审计响应功能;b)按52.2产生审计数据;c)按5.2.3.1和5.2.3.2进行安全审计查阅设计，d)按5.2.4a)、5.2.4b)、52.4。)和5.2.4d)复杂攻击探测进行审计分析设计;e)按5.2.5进行审计事件选择;f)按5.2.6a)、5.2.6b)、52.6。)和5.2.6d)防止审计数据丢失提供对审计事件的保护存储;9)按5.27实现分布式安全审计系统。7.5.1.6剩余伯息保护应在5.10a)和5.10b)的基础上，按5.10c)特殊信息保护进行设计。7.5.1.7抗抵赖在网关之间传输数据时，网关安全功能应确保信息的接收方和发送方身份的真实性和不可抵赖性。a)信息的发送方，按5.3.lb)强制性原发证明进行设计;b)信息的接收方，按5.3.Zb)强制性接收证明进行设计;c)被转发数据的发送方，按5.3.Ic)被转发数据选择性原发证明设计;d)被转发数据的接收方，按5.3.Zc)被转发数据选择性接收证明设计。7.5.1.8数据完整性按5.9实施数据完整性保护。7.5.1.9隐蔽信道分析在5111一般性隐蔽信道分析和5.n.2系统化隐蔽信道分析的基础上，按5.n.3进行彻底化的隐蔽信道分析。7.5.1.10可信路径按5.12设计网关与用户间的可信路径。28 GA/T681一20077.51.1数据加密按5.13密码支持进行设计。7.5.2安全保证要求752.1网关安全设施自身安全保护75.2.1.1网关安全功能保护a)按61.1的描述，验证由网关安全功能所提供的安全假定的正确性;b)按6.1.2的描述，实现失败保护;c)按6.1.3的描述，实现网关安全功能数据的可用性保护;d)按6.1.4的描述，实现网关安全功能数据的保密性保护;e)按6.1.5的描述，实现网关安全功能数据的完整性保护;f)按6.1.6的描述，实现网关内网关安全功能数据传输的保护;9)按6，1.7的描述，实现对网关的物理安全保护;h)按6.1.sa)和6.1.sb)的要求，实现手工可信恢复和自动可信恢复;1)按6.1.sc)实现无过分丢失的自动可信恢复;j)按6.1.sd)实现功能可信恢复，k)按6.1.9的描述，实现重放检测要求;1)按6.110参照仲裁，实现网关安全功能策略的不可旁路;m)按6.1.n的描述，实现域分离;n)按6.1.12b)实现相互的可信回执;0)按6.1，13的描述，为网关的运行提供可靠的时间戮支持;p)按6.1.14.1的描述，确保网关安全功能间网关安全功能数据的一致性;q)按6.1.14.2的描述，确保网关安全功能数据复制的一致性;r)按61.15实现网关安全功能检测。7.5.2.1，2资源利用资源利用按如下要求进行设计:a)按6.1.16.1进行故障容错设计;b)按6116.Zb)全部服务优先级设计;c)按6.1.163b)最低和最高限额控制，进行资源的管理和分配。7.5.2.1.3网关安全设施访问控制按61.17实施网关安全设施的访问控制。7.52.1.4可信路径a)按61.18a)建立网关安全功能间可信路径，b)按6.1.18b)建立用户与网关安全功能间的可信路径。7.5.2.2网关安全设施设计和实现7.5.2.2.1配t管理a)按6.2.1.lb)实现完全配t管理自动化;b)按6.2.12a)、6.2.1.Zb)、6.2.1.Zc)和6.2.1.Zd)进行设计;c)按62.1.Ze)，实现对配置管理的进一步支持;d)按6.2.1.3进行设计。7.5.2.22分发和操作应以文档形式提供对网关安全地进行分发以及安装、生成和启动的过程进行说明。a)按6.2.2.1进行网关产品的分发;b)按6.2.22确保在开发者所期望的安全方式下进行安装、生成和启动。 GA/T681一20077.5.2.2.3开发a)按6.2.3.ld)进行形式化功能设计;b)按6.2.3.Zd)进行形式化高层设计;c)按6.2.3.3c)网关安全功能的结构化实现进行设计;d)按6.23.4c)复杂性最小化进行内部结构设计;e)按6.2.3.sc)进行形式化低层设计，f)按6.2.3.6c)提供形式化对应性说明;9)按6.2.3.7c)形式化网关安全策略模型进行设计。7.5.2，2.4指导性文档按6.2.4提供用户和管理员指南。文档还应包括生命周期支持和脆弱性评定等方面的内容。7.5.2.2.5生命周期支持a)按6.2.5.1进行开发安全描述和证明;b)按6.25.Za)提供基本缺陷纠正支持，按6.2.5.Zb)定义缺陷报告过程，并按6.2.5.Zc)提供系统缺陷纠正支持，c)按6.2.5.3。)提供可测量的生命周期模型;d)按6.2.5.4a)明确定义开发工具，按6.2.5.4b)描述应用实现标准;e)按6.2.5.4c)描述所有实现标准。7.5.2.2.6测试a)按62.6.1进行测试覆盖范围分析;b)按6.2.6.2定义测试深度;c)按6.2.6.3进行功能测试;d)按6.2.6.4a)、6.2.6.4b)和6.2.6.4c)进行独立性测试，e)按62.6.5进行渗透性测试。7.5.2.2.7脆弱性评定a)按6.27.lb)进行系统化隐蔽信道分析和按6.2.7.1。)进行彻底化隐蔽信道分析;b)按6.2.7.2进行防止误用分析，c)按62.7.3进行网关安全功能强度评估;d)按6.2.7.4a)进行开发者脆弱性分析，按6.2.7.4b)进行独立脆弱性分析和按6.2.7.4c)进行中级抵抗力分析;e)按6.2.7.4d)进行高级抵抗力分析。7，5.2.3网关安全管理操作程序、运行规程和行为规章制度应满足以下要求:a)按6.3.1实施网关安全功能管理;b)按6.32实施安全属性的管理;c)按6.3.3管理网关安全功能数据，d)按6.3.4定义安全角色、安全角色限制以及安全角色的承担;e)按6.3.5提供时限授权;f)按6.3.6提供对安全属性的撤消。 GA/T681一2007附录A(资料性附录)标准概念说明A.1组成与相互关系一个安全的网关，应从安全功能和安全保证两方面考虑其安全性。安全功能主要说明网关所实现的安全策略和安全机制符合GB17859一1999中相应级别的要求;安全保证则是通过一定的方法保证网关所提供的安全功能确实达到了确定的功能要求。本标准描述了网关每一安全级所应达到的安全功能要求和安全保证要求。A.2网关安全等级的划分根据GB飞7859一飞99，我们划分了五个级别，每个级别中的安全功能要求和保证要求如表A.1和表A.2所示。表A.1功能要求功能分类功能详细分类第一级第二级第三级第四级第五级基本标识+++++用户标识唯一性标示++++基本鉴别+十十++不可伪造鉴别十+++用户鉴别一次性使用鉴别于++多鉴别机制+++重新鉴别++鉴别失败处理+十+++用户一主体绑定+++++安全审计的响应+十十+十+~r刁「了「-r审计事件十+++潜在侵害分析十+++基于异常检测的描述++十审计分析简单攻击探测十+复杂攻击探测+审计查阅++干十审计查阅有限审计查阅十+++可选审计查阅十+受保护的审计踪迹存储++斗+确保审计数据的可用性+++审计事件存储审计数据可能丢失情况下的措施++防止审计数据丢失+ GA/T681一2007表A.1(续)功能分类功能详细分类第一级第二级第三级第四级第五级网络环境安全审计与评估+++选择性原发证明++++强制原发证明++通信抗抵赖选择性接收证明++++强制接收证明十+自主访问控制++++++++++一「一「一「一「标记+++强制访问控制++十++数据存储保护++++数据传输保护+++完整性监测++++存储数据的完整性完整性检侧和恢复+++完整性监测+++++传愉数据的完整性数据交换恢复+++处理数据的完整性十+++子集信息保护++++完全信息保护+十特殊信息保护+一般性的隐蔽信道分析++系统化的隐蔽信道分析+十彻底化的隐蔽信道分析+表A.2保证要求保证要求分类保证要求详细分类第一级第二级第三级第四级第五级安全运行测试+++十++++失败保护++十++输出网关安全功能数据的可用性+++袖出网关安全功能数据的保密性++十输出网关安全功能数据的完整性+++++网关安全功能网关专用网内网关安全功能数据传输++++++++自身安全保护物理安全保护+++++++十++可信恢复+重放检测+++参照仲裁+++域分离+十+++状态同步协议+++++ GA/T681一2007衰AZ(续)保证要求分类保证要求详细分类第一级第二级第三级第四级第五级时间戳+++++网关安全功能数据一致性+++自身安全保护安全功能检测++++++++可信路径/信道++故障容错++十十+十++资源利用服务优先级++++++++资源分配++++++++网关安全设施网关安全设施访问控制++++++++++++访问控制配置管理++++++++++十++++分发和操作++++++++++++++开发+++++十+++++++++网关安全指导性文档++十++++++设施设计和实现生命周期支持++++++一广一广一r一广一一111测试+++++++++++++++脆弱性评定++++++++++功能管理+++++安全月性的管理+++网关安全网关安全功能数据的管理+++++设施安全管理安全角色管理+++十++++时限授权+++撤消+++A.3关于网关中的主体与客体网关中，每一个实体成分应是主体或客体，或既是主体又是客体。它包括用户、用户组、终端、主机或一个程序。系统中最原始的主体应是用户(包括网关的系统管理员、系统安全员、系统审计员等)。A4关千网关中的TCB、网关安全功能和网关安全功能策略在网关中，网关安全设施(可信计算基)是构成一个安全的网关的所有安全保护装置的组合体，可以是一个物理上分散、逻辑上统一的分布式网关安全设施。一个网关安全设施可以包含多个网关安全功能(网关安全设施安全功能模块)，每个网关安全功能是一个或多个安全功能策略的实现。网关安全功能策略是这些安全功能策略的总称，构成一个安全域，以防止不可信主体的干扰和篡改。实现网关安全功能有两种方法，一种是设置前端过滤器，另一种是设置访问监督器。两者都是在一定硬件基础上通过软件实现确定的安全策略，并提供所要求的附加服务。A.5关于密码技术和数据加密网关中密码技术的主要应用领域可包括标识与鉴别、抗抵赖、数据加密保护、数据的完整性保护等。对于不同安全等级的密码配置应由国家密码主管部门来确定。 GA/T681一2007今考文献r1刁raJGB/T18336.2一2001信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求F0FesL乙GB/T18336.3一2001信息技术安全技术信息技术安全性评估准则第3部分:安全l保证要求L勺﹁L口信息处理系统开放系统互连基本参考模型第2部分:安全体-GB/T9387.2一1995系结构'