【GA公共安全标准】 信息安全技术负 载均衡产品安全技术要求

ICS35.240
中华人民共和国公共安全行业标准GA/T1726—2020
负载均衡产品安全技术要求
信息安全技术
Information security technologySecurity technical requirements forloadbalancingproducts
2020-04-26发布
中华人民共和国公安部
2020-08-01实施
规范性引用文件
术语和定义
缩略语
负载均衡产品措述
总体说明
安全技术要求分类
安全等级划分
安全功能要求
负载均衡
负载均衡调度算法支持
组件和链路监测
优化加速
会话保持
设备访问控制
高可用性
自身安全
性能要求
虚拟化环境中纯软件形态部署（有则适用）云管理平台对接(有则适用)
安全保障要求
指导性文档
8.3生命周期支持
脆弱性评定
不同安全等级的要求·
安全功能要求
安全保障要求
-rrKaeerKa-
GA/T1726—2020
本标准按照GB/T1.1—2009给出的规则起草。本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。GA/T1726—2020
本标准起草单位：公安部网络安全保卫局、公安部计算机信息系统安全产品质量监督检验中心、深信服科技股份有限公司。
本标准主要起草人：郭运尧、严文卿、张艳、陆臻、沈亮、顾健、张轶。m
-riKaeerkca-
1范围
GA/T1726—2020
信息安全技术
负载均衡产品安全技术要求
本标准规定了负载均衡产品的安全功能要求、安全保障要求及安全等级要求。本标准适用于负载均衡产品的设计、开发及测试。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。GB/T18336.3—2015信息技术安全技术信息技术安全评估准则1第3部分：安全保障组件
GB/T25069—2010信息安全技术术语术语和定义
GB/T18336.3—2015和GB/T25069—2010界定的以及下列术语和定义适用于本文件。3.1
行loadbalancing
负载均衡
通过特定的算法将同一任务分摊到多个操作单元上执行，使用健康检测机制保证调度合理性的技术。
automated client
自动化客户端
可以对属于另一个应用程序的公开对象进行操作的应用程序。缩略语
下列缩略语适用于本文件。
DDoS：分布式拒绝服务攻击（DistributedDenialofService）HA：高可用性（HighAvailability）HTTP：超文本传输协议（HypertextTransferProtocol）HTTPS：基于安全套接层超文本传输协议（HypertextTransferProtocoloverSecureSocketLayer）ICMP：因特网控制报文协议（InternetControlMessageProtocol)SNMP：简单网络管理协议（SimpleNetworkManagementProtocol)SSL：安全套接层（SecureSocketLayer）TCP：传输控制协议（TransmissionControlProtocol）UDP：用户数据报协议（UserDatagramProtocol）URL：统一资源定位符（UniformResourceLocator）QoS：服务质量（QualityofService）ARP：地址解析协议（AddressResolutionProtocol)1
-rKaeerkca-
GA/T1726—2020
IT：信息技术（InformationTechnology）SPX：序列分组交换协议（SequencedPacketExchangeprotocol)RST：重置连接、复位连接（ResettheConnection）IP：网络之间互连的协议（InternetProtocol)5负载均衡产品描述
负载均衡产品能够为用户的业务发布提供包括多数据中心负载均衡、多链路负载均衡、服务器负载均衡的解决方案。它利用多种检测手段实现对各个数据中心、链路以及服务器状态的实时监控，同时根据预设规则将用户的访问请求分配给相应的数据中心、链路以及服务器，进而实现数据流的合理分配，使所有的数据中心、链路和服务器都得到充分利用。配合服务器卸载、高速缓存、流量压缩、单边加速、连接复用和虚拟化等多项智能优化技术，可大幅提高业务系统的整体处理能力，提高其稳定性，切实改善用户的访问体验，有效降低IT投资成本。图1是负载均衡产品的一个典型运行环境。客户端N
服务器N
客户端2
客户端1
6总体说明
6.1安全技术要求分类
负载均衡产品
交换机
服务器2
服务器1
图1负载均衡产品典型运行环境
负载均衡产品安全技术要求分为安全功能要求和安全保障要求两大类。其中，安全功能要求是对2
-riKaeerkca-
GA/T1726—2020
负载均衡产品应具备的安全功能提出具体要求，包括负载均衡、组件和链路监测、访问控制及路由和攻击防护等；安全保障要求针对负载均衡产品的开发和使用文档提出具体的要求，例如开发、指导性文档、生命周期支持和测试等。
安全等级划分
负载均衡产品的安全等级按照其安全功能要求和安全保障要求的强度不同划分为基本级和增强级，其中安全保障要求参考了GB/T18336.3—2015。7安全功能要求
7.1负载均衡
7.1.1链路负载均衡
链路负载均衡分为出、入站负载均衡：a）出站链路负载均衡：应能将内网用户发起的访问，根据策略分发到对应出口线路，供用户访问互联网；
b）入站链路负载均衡：应能将外网用户发起的访间，根据策略设定的机制分发到对应线路，供用户接人内部服务器。
7.1.2服务器负载均衡
服务器负载均衡包括应用负载均衡和数据库负载均衡：a）应用服务器负载均衡，应能将用户发起的访问，根据策略分发到后台应用服务器；b）数据库服务器负载均衡，应通过分表、读写分离等技术手段对数据服务器实现负载均衡。7.1.3全局负载均衡
应将广域网（包括互联网)用户发起的访问，根据策略设定的机制分发到不同地域的服务器。7.2负载均衡调度算法支持
基本级负载均衡产品应支持3种及以上算法，增强级负载均衡产品应支持5种及以上算法：a）轮循(RoundRobin)；
b）加权轮循（WeightedRoundRobin）；c)
随机(Random）；
最少连接数（LeastConnection）；加权最少连接（WeightedLeastConnection）；基于代理的自适应负载均衡（AgentBasedAdaptiveBalancing）；固定权重（FixedWeighted）；
加权响应（WeightedResponse)；源IP哈希（SourceIPHash)；
其他。
7.3组件和链路监测
链路状态检查
应可以检查链路的健康状况（带宽，延时和丢包等），并将人站方向流量引至正常链路。3
-rKaeerkAca-
GA/T1726—2020
7.3.2服务器状态检查
应支持以下各层的服务器状态检查：a）网络层（ICMP)检查后台服务器的服务器服务状态，并移除故障服务器；b）传输层（TCP、UDP、SPX)检查后台服务器的服务器服务状态，并移除故障服务器；c）应用层（应用程序服务及Agent等）检查后台服务器的服务状态，并移除故障服务器。7.3.3服务器被动状态检查
应可通过监控HTTP协议和TCP协议中异常特征数据包（如TCP协议中的RST包，HTTP协议中的404)的比例，判断服务器的健康状态。7.3.4应用性能监测
应详细监控中间件、数据库的关键应用性能指标，并予以呈现。7.4优化加速
7.4.1单边加速
应通过自动、实时、持续或动态地侦测网络路径中的延迟、丢包、重传的情况，改变传输机制和改善传输拥塞机制，避免数据报文过度重发，减少应用响应时间并提升传输效率。7.4.2TCP连接复用
应将众多客户端访问请求捆绑处理，通过复用服务器端TCP连接，将客户端请求依次转发到服务器，从而减轻服务器压力。
7.4.3SSL加速
应截断SSL连接请求，可在将用户请求转发给后台前将HTTPS变为HTTP，减轻服务器压力。7.4.4RAM高速缓存
应实现基于内存的反向代理Cache功能，在内存中缓存网站等相关资源的页面内容，采用内存缓存和包存储结构等方式，通过动态调整缓存空间提高响应速度。7.4.5HTTP压缩
应通过标准的HTTP压缩规范自动识别客户端对gzip或deflate压缩算法支持情况，并能够实现对数据动态压缩。
7.4.6服务器上线及退出优化
服务器上线及退出优化包括上线及退出两类场景：a）在服务器上线时，负载均衡器应逐步增加发往该服务器的请求，直至达到最大值，避免大量请求导致新上线的服务器服务异常；在服务器退出时，负载均衡器应不再将用户请求发往该服务器，并维持该服务器上的原有连b
接，直至该服务器上没有用户后，再移除该服务器。7.4.7出入站链路繁忙保护
在某条链路的流量达到预设阅值时，负载均衡应将后续流量引至流量较小的链路，待原链路流量恢4
-riKacerKAca-
复正常后，再依据原有调度策略进行链路选择。7.4.8Qos
应可为指定的网络通信提供更好的服务，以解决网络延迟和阻塞等问题，7.4.9IP-Anycast
GA/T1726—2020
应支持多台负载均衡器以相同的服务IP发布相同的业务，通过与动态路由协议的联动来为用户选择最优路径，实现就近访问和站点允余。7.4.10服务器浪涌保护
应将超过服务器处理能力的数据做队列处理，缓慢发送给服务器，避免浪涌导致服务器异常。7.4.11不对称负载均衡
应支持服务器回包时数据不经过负载均衡器，通过第三方产品直接发送至客户端，以此来提高产品的吞吐性能。
7.4.12图片优化转码
负载均衡器可将服务器上的图片做优化转码处理，减少图片的文件大小，同时保证图片质量，提高传输速度。
5会话保持
应将同一用户一次完整交互过程中的连接请求转发至相同的后台服务器或相同的链路7.6设备访问控制
应对服务器设备接入或接入请求进行访问控制。7.7高可用性
7.7.1集群部署
应支持集群部署，有效保证自身高可用的同时提高资源利用率。7.7.2功能恢复
应确保断电恢复后，相关的均衡策略、系统日志和系统配置恢复到断电前状态。7.7.3双机热备
应支持通过双机热备的方式实现负载均衡产品自身的高可用性。7.7.4故障告警
应支持通过SNMP-Traps、邮件等方式实现告警，报警内容至少包括服务器和链路的故障信息。7.8自身安全
7.8.1鉴别失败处理
检测并记录任何鉴别验证相关的剩余鉴别尝试的操作及次数（用户名及鉴别信息）：5
-rKaeerkca-
GA/T1726—2020
当鉴别尝试次数还有2次时，产品应采取提示用户确认该鉴别操作（提示应遵循最小反馈原则>；
当鉴别数据验证或用户失败次数达到上限时（不超过10次），产品应采取有效措施防止用户进b）
一步尝试操作。
2单一鉴别、管理机制的使用
同一管理员账号同一时间不得同时进行产品管理操作，不同用户同一时间不得同时修改产品的同一属性。
7.8.3日志
记录以下日志信息：
a）应记录用户通过HTTP协议访问服务器时的基本信息（如URL等）；b）应通过Syslog协议将日志传输至远程日志服务器；应内置日志管理系统，可跟踪管理员的操作信息，提高产品安全性。c)
7.8.4安全功能数据的管理
具备以下管理功能：
应仅限管理员能够对鉴别信息、失败次数进行重置操作；a)
应仅限管理员能够对要求存储的安全数据进行修改操作；c)
应以安全方式存储敏感信息数据（用户鉴别信息、用户身份信息等）。7.9
性能要求
7.9.1网络层性能要求
1新建连接
验证产品标称网络层新建连接性能值（包大小覆盖128B和16KB)，测试时长300s。7.9.1.2并发
验证产品标称网络层并发性能值（包大小覆盖128B和16KB)，测试时长300s。7.9.1.3吞吐量
验证产品在不丢包的情况下的标称网络层吞吐量性能值（包大小覆盖128B和16KB），测试时长3005。
2应用层性能要求
7.9.2.1新建请求
验证产品标称应用层新建请求性能值（包大小覆盖128B和16KB），测试时长300s。7.9.2.2
2吞吐量
验证在不丢包的情况下的产品标称应用层吞吐量性能值（包大小覆盖128B和16KB），测试时长300s。
-rrKaeerkAca-
7.9.3SSL性能要求
7.9.3.1SSL传输新建TPS（TransactionperSecond）验证产品标称TPS性能值（包大小覆盖128B和16KB)，测试时长300s。7.9.3.2加密吞吐量
GA/T1726—2020
验证产品在不丢包的情况下的标称加密吞吐量性能值（包大小覆盖128B和16KB），测试时长300s。
7.9.4攻击防护
7.9.4.1网络层DDoS攻击防护
应能有效识别并防护网络层的DDoS攻击，测试时长300 s。7.9.4.2应用层DDoS攻击防护
应有效识别并防护应用层的DDoS攻击，测试时长300s。7.9.4.3自动化客户端程序识别（有则适用）应有效识别并阻止恶意的由自动化客户端发起的访问。7.10虚拟化环境中纯软件形态部署（有则适用）应可提供纯软件形态的产品，方便用户将其部署于虚拟化环境中，对虚拟机实现负载均衡。7.11云管理平台对接（有则适用）应支持与主流云管理平台（Openstack、VMware等）对接，方便用户统一管理。3安全保障要求
8.1开发
安全架构
开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求：a）与产品设计文档中对安全功能实施抽象描述的级别一致；b）描述与安全功能要求一致的产品安全功能的安全域；c
描述产品安全功能初始化过程为何是安全的；d)
证实产品安全功能能够防止被破坏；证实产品安全功能能够防止安全特性被旁路。功能规范
开发者应提供完备的功能规范说明。功能规范说明应满足以下要求：a）完全描述产品的安全功能；
b）描述所有安全功能接口的目的与使用方法：7
-riKacerKAca-
GA/T1726—2020
标识和描述每个安全功能接口相关的所有参数：d）描述安全功能接口相关的安全功能实施行为；描述由安全功能实施行为处理而引起的直接错误消息；e）
证实安全功能要求到安全功能接口的追溯；f
描述安全功能实施过程中，与安全功能接口相关的所有行为；描述可能由安全功能接口的调用而引起的所有直接错误消息。h）
8.1.3实现表示
开发者应提供全部安全功能的实现表示。实现表示应满足以下要求：提供产品设计描述与实现表示实例之间的映射，并证明其一致性；a)
按详细级别定义产品安全功能，详细程度达到无须进一步设计就能生成安全功能的程度c）以开发人员使用的形式提供。8.1.4产品设计
开发者应提供产品设计文档。产品设计文档应满足以下要求：根据子系统描述产品结构；bzxz.net
标识和描述产品安全功能所有子系统：描述产品安全功能所有子系统间的相互作用；c
提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口；d)
根据模块描述安全功能；
提供安全功能子系统到模块间的映射关系；描述所有安全功能实现模块，包括其目的及与其他模块间的相互作用；g)
描述所有实现模块的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及h)
调用的接口；
描述所有安全功能的支撑或相关模块，包括其目的及与其他模块间的相互作用。8.2指导性文档
8.2.1操作用户指南
开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一致，对每一种用户角色的描述应满足以下要求；描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；a)
b）描述如何以安全的方式使用产品提供的可用接口；描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值；c
明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控d)
制实体的安全特性；
标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全e）
运行之间的因果关系和联系；
f)）充分实现安全目的所必须执行的安全策略。8.2.2准备程序
开发者应提供产品及其准备程序，准备程序描述应满足以下要求：8
-rKaeerkca-
描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；a)
b）描述安全安装产品及其运行环境必需的所有步骤。8.3生命周期支持
8.3.1配置管理能力
开发者的配置管理能力应满足以下要求：a)
为产品的不同版本提供唯一的标识，使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项。b）
提供配置管理文档，描述用于唯一标识配置项的方法。c)
GA/T1726—2020
配置管理系统提供一种自动方式来支持产品的生成，通过该方式确保只能对产品的实现表示d)
进行已授权的改变。
配置管理文档包括一个配置管理计划，描述如何使用配置管理系统开发产品。实施的配置管e)
理与配置管理计划相一致。
配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。配置管理范围
开发者应提供产品配置项列表，并说明配置项的开发者。配置项列表应包含以下内容：a）产品、安全保障要求的评估证据和产品的组成部分；b）实现表示、安全缺陷报告及其解决状态。8.3.3，交付程序
开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时，交付文档应描述为维护安全所必需的所有程序。8.3.4开发安全
开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。8.3.5生命周期定义
开发者应建立一个生命周期模型对产品的开发和维护进行必要控制，并提供生命周期定义文档，描述用于开发和维护产品的模型。8.3.6工具和技术
开发者应明确定义用于开发产品的工具，并提供开发工具文档，无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义。8.4测试
8.4.1覆盖
开发者应提供测试覆盖文档，测试覆盖描述应满足以下要求：a）表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性；9
-riKaeerKAca-
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。