【GA公共安全标准】 信息安全技术终端接入控制产品安全技术要求

ICS35.240
中华人民共和国公共安全行业标准GA/T1105—2013
信息安全技术
终端接入控制产品安全技术要求InformationsecuritytechnologySecurity technical requirements for terminal access control products2013-10-15发布
中华人民共和国公安部
2013-10-15实施
GA/T1105—2013
规范性引用文件
3术语和定义
安全功能要求
自身安全功能要求
安全保证要求
等级划分要求
本标准按照GB/T1.1—2009给出的规则起草，本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。GA/T1105—2013
本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、思科系统（中国）网络技术有限公司、杭州华三通信技术有限公司、迈克菲（上海）软件有限公司、赛门铁克软件（北京）有限公司、杭州盈高科技有限公司。
本标准主要起草人：赵婷、张笑笑、马海燕、俞优、顾健、林燕、卢佐华、贾晓巍、张艳、沈亮、张雷生、林文峰、苏伟华。
1范围
信息安全技术
终端接入控制产品安全技术要求GA/T1105—2013
本标准规定了终端接人控制产品的安全功能要求、自身安全功能要求、安全保证要求和等级划分要求。
本标准适用手终端接人控制产品的设计、开发及检测。2
规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB17859-1999计算机信息系统安全保护等级划分准则GB/T18336.3—2008
3信息技术安全技术信息技术安全性评估准则第3部分：要全保证
GB/T25069—2010
3术语和定义
信息安全技术术语
GB17859一1999、GB/T18336.3一2008和GB/T25069一2010界定的以及下列术语定义适用于本文件。
终端接入控制产品terminalaccesscontrolproduct对采用802.1x等认证方式接人局域网的终端，实现基于用户身份和终端安全状态接人控制的产品。该类产品能够发现终端接人网络的行为，并能根据接人控制策略采取相应措施，保证未被授权或不符合安全策略的终端设备无法接人网络，并设置可补救的隔离区供终端修正自身安全状态已满足安全策略要求。
受控网络
under-controllednetwork
具有安全保护需求、须满足安全访问控制和边界控制策略方可进人的逻辑区域。3.3
隔离区isolatedzone
为不符合策略的终端提供强制执行补救措施，使其满足策略要求的逻辑区域。3.4
authorized administratorwwW.bzxz.Net
授权管理员
具有终端接人控制产品管理权限的用户，负责对终端接人控制产品的系统配置、安全策略和审计数据进行管理。
GA/T1105—2013
安全功能要求
终端用户的身份认证
用户身份鉴别
当终端接人网络时，产品应鉴别用户身份。当授权用户在接人网络之前，产品应支持以下鉴别方式的一种或多种：a)口令机制：
b）数字证书；
e)生物认证方式。
如果采用口令机制，应不明文显示口令，并应保密存储，当进行鉴别时，产品应仅将最少的反馈（如：输人的字符数，鉴别的成功或失败）提供给被鉴别的用户。
4.1.2用户访问权限
通过用户身份鉴别后，产品应将基于终端接入角色的访问权限分配给相应的用户。4.1.3接入认证方式
产品应支持802.1x协议和IP层接人认证等方式进行接入认证。4.2安全策略定制
接入控制策略
产品应能设置以下终端接入控制策略：接入用户控制：
终端安全状态检查；
响应方式控制；
接入区域控制；
接入时段控制；
对接入终端使用的网络带宽限制。响应方式
在终端接人网络时，根据终端所适用接人控制策略的不同，产品对终端接入请求采取的响应方式应包括以下几种：
允许：已授权和符合策略的终端可接入受控网络a)
拒绝：阻断未经授权的终端的接人请求，不允许其接人受控网络；隔离：将不符合策略的终端移至隔离区，进行强制补教措施；d)
提示：对终端接人结果进行消息提醒，对不符合策略的终端限制其网络访问的同时，提示其违规的原因以及修复的方法；
限制接人时段：根据策略的生效期限，可限制终端的接入时间段。4.2.3访问豁免列表
产品应能设置直通方式的接入控制策略，允许指定的终端用户直接接人，不必通过终端安全状态检查。
4.3终端接入监控
终端安全状态检查
在接人受控网络之前，产品应对接人终端安全状态提供以下检查功能：a）操作系统漏洞；
操作系统版本；
防病毒软件及版本、病毒特征库版本（仅对Windows操作系统终端）；d
服务、进程或软件的安装和运行情况；自定义违规软件安装情况；
系统配置项；
硬件安装情况，至少包括：网卡、Modem等。g）
4.3.2定期终端安全状态检查
GA/T1105—2013
在终端接人受控网络后，产品应对受控网络内的终端安全状态进行定期检查，以保证终端安全状态始终符合安全策略要求。
4.3.3强制补救措施
产品应对被隔离终端存在的威胁进行漏洞扫措和病毒扫描后，在隔离区中强制执行补敦措施，如安装防病毒软件并升级病毒库，下载安装补丁，安装或删除相关服务或软件等。4.3.4支持主流操作系统
产品的客户端安全代理应支持主流操作系统，并能根据安全策略进行终端安全状态检查。4.3.5与主流防病毒/补丁产品联动产品应支持与主流防病毒产品及补丁服务器产品进行联动。4.4安全策略的不可旁路性
产品的安全功能应确保任何与安全有关的操作被允许执行之前，应通过安全策略的检查。管理功能
4.5.1策略管理
产品应能对所有安全策略进行管理：添加、删除、修改、分发、查询、导入、导出策略等操作；a
根据终端接入用户所处的不同用户组，分别设置不同的安全策略；b）
安全策路的分级管理，如全局策略、本地策略等。4.5.2终端用户管理
产品应提供终端接人用户的管理功能：a）新增用户、删除用户、查询用户及属性、修改用户属性等功能；b）用户的集中管理，可实现用户在线状态查询；c）用户角色分权管理等功能。
GA/T1105—2013
区域的配置管理
产品应提供区域的配置管理功能：区域的划分，设定等管理功能；a)
隔离区域内终端对资源（如：补丁服务器等）的有限访问；隔离区域内终端闲置时间的设置，一旦超时，应能将终端移出隔离区。4.5.4数据备份和恢复
产品应对策略数据、管理数据和终端用户数据进行备份和恢复。5自身安全功能要求
5.1组件安全
客户端安全
客户端安全代理算常状态处理
产品应能定期检查客户端安全代理，一且发现以下异常状态，应能将终端移出受控网络：a）客户端安全代理的非授权卸载；b）客户端安全代理的完整性篡改。5.1.1.2客户端的安装升级
产品应提供客户端程序的安装升级功能：a）客户端安全下载及安装；
b）客户端自动升级。
5.1.2组件通信安全保护
产品应能够保证组件之间的远程通信内容（如：用户名、口令）在网络上的安全传输。5.1.3集中式管理
产品应提供统一的管理界面，支持和维护产品功能配置：a）提供客户端功能或登录界面定制功能；b）提供客户端的集中管理工具；c）支持分级部署。
5.2安全管理
标识与鉴别
身份鉴别
产品应确保在执行与安全功能相关的任何操作之前，对授权管理员进行身份鉴别。5.2.1.2唯一性标识
产品应为自身用户提供唯一标识。同时将用户的身份标识与该用户的所有可审计能力相关联。4
5.2.1.3鉴别数据保护
产品应保证鉴别数据不被未授权查阅或修改5.2.1.4鉴别失败处理
当对用户鉴别失败的次数达到设定值时，产品应能按以下方式进行处理：终止会话；
GA/T1105—2013
锁定用户账户或远程登录主机的地址，锁定一定的时间后自动解锁或者直至授权管理员解锁；
产生系统报警消息，通知授权管理员。c
安全功能管理
应允许授权管理员对产品进行管理：a)
对安全属性（至少包括管理员口令）进行管理，即查看和修改安全属性的能力：增加、删除、查阅和修改各种安全策略（至少包括接人控制策略）；b)
查阅和管理审计记录；
启动、关闭全部或部分客户端安全代理。安全角色管理
产品应对管理员角色进行区分管理：具有至少两种不同权限的管理员角色；a)
根据不同的功能模块，定义各种不同权限角色，并对管理员分配角色。5.3安全审计
可审计事件
产品应对以下事件生成审计记录：a)
终端接入及接入尝试的事件，无论成功与否；终端安全策略的匹配检查事件，无论策略满足与否：接人监控保护服务的开启和关闭；对产品进行操作的尝试，如关闭系统；任何对鉴别机制的使用；
对接人控制安全策略进行更改的操作；对管理角色进行增加、删除和属性修改的操作；因鉴别尝试不成功的次数超出了设定的限值，导致的会话连接终止；读取、修改、破坏审计跟踪数据的尝试；对其他安全功能配置参数的修改（设置和更新），无论成功与否。产品应在每一条审计日志中记录事件发生的日期、时间、用户标识、事件描述和结果。5.3.2
可理解的格式
产品应使所有审计数据为人所理解，不应有歧义。5.3.3审计记录跟踪管理
产品应提供下列审计记录的管理功能：5
GA/T1105-—2013
具有查阅审计记录的工具，只允许授权管理员访问审计记录；a)
授权管理员应能存档、删除和清空审计日志。b)
5.3.4审计记录查询
审计记录的查询应满足以下要求：按日期、时间、事件主体等条件进行查询；a)
按条件组合进行查询。
审计记录存储
审计信息的存储应满足以下要求：审计信息应能存储于永久性存储介质中；a
b）产品应能够采取一定的措施防止因存储空间耗尽而引起的审计日志丢失。5.4高可用性
产品应提供余功能，一且主系统出现问题时，能自动切换到备份系统运行，保证系统能安全可靠运行。
6安全保证要求
6.1配置管理
配置管理能力
6.1.1.1版本号
开发者应为产品的不同版本提供唯的标识。6.1.1.2
配置项
开发者应使用配置管理系统并提供配置管理文档。配置管理文档应包括一个配置清单，配置清单应唯一标识组成产品的所有配置项并对配置项进行描述，还应描述对配置项给出唯一标识的方法，并提供所有的配置项得到有效维护的证据。6.1.1.3授权控制
开发者提供的配置管理文档应包括一个配置管理计划，配置管理计划应描述如何使用配置管理系统。实施的配置管理应与配置管理计划相一致。开发者应提供所有的配置项得到有效地维护的证据，并应保证只有经过授权才能修改配置项。6.1.2配置管理覆盖
配置管理范围至少应包括产品交付与运行文档、开发文档、指导性文档、生命周期支持文档、测试文档、脆弱性分析文档和配置管理文档，从而确保它们的修改是在一个正确授权的可控方式下进行的。配置管理文档至少应能跟踪上述内容，并描述配置管理系统是如何跟踪这些配置项的。6.2交付与运行
6.2.1交付程序
开发者应使用一定的交付程序交付产品，并将交付过程文档化。6
GA/T1105-—2013
交付文档应描述在给用户方交付产品的各版本时，为维护安全所必需的所有程序。6.2.2安装、生成和启动程序
开发者应提供文档说明产品的安装、生成和启动的过程。6.3开发
6.3.1非形式化功能规范
开发者应提供一个功能规范，使用非形式化风格来描述产品安全功能及其外部接口。功能规范应是内在一致的，应描述所有外部接口的用途与使用方法，适当时应提供效果、例外情况和错误消息的细节，并完备地表示产品的功能。6.3.2高层设计
6.3.2.1描述性高层设计
开发者应提供产品安全功能的高层设计。高层设计应以非形式风格表述并且是内在一致的。为说明安全功能的结构，高层设计应将安全功能分解为各个安全功能子系统进行描述，对于每一个安全功能系统，商层设计应描述其提供的安全功能，标识其所有接口以及哪些接口是外部可见的，描述其所有接口的使用自的和方法。高层设计还应标识安全功能要求的所有基础性的硬件、固件和软件，并且支持由这些硬件、固件和软件实现的保护机制。
6.3.2.2安全加强的高层设计
开发者应阐明如何将有助于产品安全功能的子系统和其他子系统分开，并适当提供安全功能子系统的作用、例外情况和错误消息的细节。6.3.3非形式化对应性证实
开发者应在产品安全功能表示的所有相邻对之间提供对应性分析。对于产品安全功能表示的每个相邻对，分析应阐明：较为抽象的安全功能表示的所有相关安全功能，应在较具体的安全功能表示中得到正确且完备地细化，6.4指导性文档
6.4.1管理员指南
开发者应提供管理员指南，管理员指南应与为评估面提供的其他所有文档保持一致。管理员指南应说明以下内容：
管理员可使用的管理功能和接口；a
怎样安全地管理产品：
在安全处理环境中应被控制的功能和权限d)
所有对与产品的安全操作有关的用户行为的假设：所有受管理员控制的安全参数，如果可能，应指明安全值；D
每一种与管理功能有关的安全相关事件，包括对安全功能所控制实体的安全特性进行的改变：g)
所有与管理员有关的IT环境安全要求。7
GA/T1105---2013
6.4.2用户指南
开发者应提供用户指南，用户指南应与为评估而提供的其他所有文档保持一致用户指南应说明以下内容：
a）产品的非管理员用户可使用的安全功能和接口；b）产品提供给用户的安全功能和接口的使用方法；用户可获取但应受安全处理环境所控制的所有功能和权限c)
产品安全操作中用户所应承担的职责e)
与用户有关的IT环境的所有安全要求。6.5生存周期支持
开发者应提供开发安全文档。
开发安全文档应描述在产品的开发环境中，为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施，并应提供在产品的开发和维护过程中执行安全措施的证据。
6.6测试
6.6.1测试覆盖
6.6.1.1覆盖证据
开发者应提供测试覆盖的证据
测试覆盖的证据应说明测试文档中所标识的测试与功能规范中所描述的产品的安全功能之间的对应性。
6.6.1.2覆盖分析
开发者应提供测试覆盖的分析结果测试覆盖的分析结果应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能之间的对应性是完备的。
6.6.2测试深度
开发者应提供测试深度的分析。在深度分析中，应说明测试文档中所标识的对安全功能的测试，足以表明该安全功能和高层设计是一致的。
6.6.3功能测试
开发者应测试安全功能，将结果文档化并捷供测试文档测试文档应包括以下内容：
测试计划，应标识要测试的安全功能，并描述测试的目标；a
测试过程，应标识要执行的测试，并描述每个安全功能的测试概况，这些概况应包括对于其他测试结果的顺序依赖性；
预期的测试，结果应表明测试成功后的预期输出：d)
实际测试结果，应表明每个被测试的安全功能能按照规定进行运作。8
6.6.4独立测试
6.6.4.1一致性
GA/T1105—2013
开发者应提供适合测试的产品，提供的测试集合应与其自测产品功能时使用的测试集合相一致，6.6.4.2抽样
开发者应提供一组相当的资源，用于安全功能的抽样测试。6.7脆弱性分析保证
6.7.1指南审查
开发者应提供指南性文档。
在指南性文档中，应确定对产品的所有可能的操作方式（包括失败或失误后的操作）、它们的后果以及对于保持安全操作的意义，应列出所有目标环境的假设以及所有外部安全措施（包括外部程序的、物理的或人员的控制）要求。
指南性义档应是完备的、清晰的、一致的、合理的。6.7.2安全功能强度评估
开发者应对指导性文档中所标识的每个具有安全功能强度声明的安全机制进行安全功能强度分析，说明该安全机制达到或超过指导性文档中定义的最低强度级别和特定功能强度度量。6.7.3开发者脆弱性分析
开发者应执行脆弱性分析，并提供脆弱性分析文档。开发者应从用户可能破坏安全策略的明显途径出发，对产品的各种功能进行分析并提供文档。对被确定的脆弱性，开发者应明确记录来的措施对每一条脆弱性，应有证据显示在使用产品的环境中，该脆弱性不能被利用。在文档中，还需证明经过标识脆弱性的产品可以抵御明显的穿透性攻击。7等级划分要求
7.1概述
依据终端接人控制产品的开发、生产现状及实际应用情况，将终端接人控制产品安全功能要求、自身安全要求和安全保证要求划分成三个等级。7.2安全功能要求等级划分
安全功能要求等级划分如表1所示。表1终端接入控制产品安全功能要求等级划分安全功能要求
用户身份鉴别
终端用户的身份认证
用户访同权限
接人认证方式
第一级
第二级
第三级
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。