【GA公共安全标准】 信息安全技术网关安全技术要求

ICS35.240
中华人民共和国公共安全行业标准GA/T681—2018
代替GA/T681—2007
信息安全技术
网关安全技术要求
Information security technology-Security technical requirements for gateway2018-01-26发布
中华人民共和国公安部
2018-01-26实施
本标准按照GB/T1.1一2009给出的规则起草。GA/T681—2018
本标准代替GA/T681—2007《信息安全技术网关安全技术要求》，与GA/T681—2007相比主要技术变化如下：
修改了等级划分要求，将等级划分为基本级和增强级两级（见第9章，2007年版的9.2、9.3和A.2);
修改了“访问控制”功能（见7.3.4，2007年版的7.3.4）；修改了“安全保障要求”（见第8章，2007年版的第8章）；删除了“通信抗抵赖”功能（见2007年版的7.4.1.6)；删除了“剩余信息保护”功能（见2007年版的7.4.1.7)；删除了“隐蔽信道分析”功能（见2007年版的7.4.1.9）；删除了“可信路径”功能（见2007年版的7.4.1.10）；增加了“地址转换”功能（见7.3.1)；增加了“路由控制”功能（见7.3.2)；增加了“IP/MAC地址绑定”功能（见7.3.3)；增加了“连接控制”功能（见7.3.5）；增加了“攻击防护”功能（见7.4）。本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、公安部第三研究所。本标准主要起草人：张笑笑、杨元原、俞优、邹春明、陆臻、李毅。本标准所代替标准的历次版本发布情况为：GA/T681--2007。
1范围
信息安全技术网关安全技术要求本标准规定了网关产品的安全功能要求、安全保障要求及等级划分要求。GA/T681—2018
本标准适用于网关产品的设计、开发与测试，本标准不适用于其他具有明确定义和对应标准的网关型产品（如防火墙）。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T18336.3-2015信息技术安全技术信息技术安全评估准则GB/T25069—2010信息安全技术术语3术语和定义
GB/T18336.3-—2015和GB/T25069—2010界定的以及下列术语和定义适用于本文件。3.1
网关gateway
在网络或各子网之间，或在不同安全域内的软件应用系统之间，一种旨在按照给定的安全策略来保护网络的产品。
4缩略语
下列缩略语适用于本文件。
NAT：地址转换（(NetworkAddressTransiation）SNAT：源地址转换(SourceNetworkAddressTransiation)DNAT：目的地址转换（DestinationNetworkAddressTransiation）5网关描述
网关是一种网络互联设备，其安全目的是在不同的网络区域之间建立安全控制点，根据预先定义的访问控制策略和安全防护策略，解析和过滤经过网关的数据流，实现向被保护的网络区域提供访问可控的服务请求。
网关保护的资产是受安全策略保护的网络服务和资源等，此外，网关本身及其内部的重要数据也是受保护的资产。网关一般将网络划分为若干个网络区域，通过安全策略实现对不同网络区域间服务和访问的审计和控制。
网关通常部署在不同网络区域之间，充当着关卡的作用，所有的进出数据都需要通过网关，网关具有十分重要的地位。图1是网关的一个典型运行环境。它将网络分为多个网络区域。1
GA/T681—2018
外部网络
6网关总体说明
6.1安全技术要求分类
图1网关典型运行环境
受保护的网络
区域1
受保护的网络
区域n
本标准将网关安全技术要求分为安全功能要求和安全保障要求两类。其中，安全功能要求是对网关应具备的安全功能提出具体要求，包括用户标识、用户鉴别、网络连接控制、人侵防护、安全管理、安全审计、资源利用；安全保障要求针对网关的生命周期过程提出具体的要求，包括开发，指导性文档、生命周期支持、测试和脆弱性评定。6.2安全等级划分
本标准按照网关安全功能的强度划分安全功能要求的级别，按照GB/T18336.3一2015划分安全保障要求的级别。安全等级突出安全特性，分为基本级和增强级，安全功能强弱和安全保障要求高低是等级划分的具体依据。
7安全功能要求
7.1用户标识
7.1.1基本标识
应对网关的用户进行标识，一般以用户名或用户ID实现。口令的存储和传输应得到保护。7.1.2唯一性标识
应确保所标识用户唯一性，并满足：a）将用户标识与审计相关联；
b）在网关系统生命周期内唯一，如果一个网关用户被删除，该用户的标识符也不能再使用。7.2用户鉴别
7.2.1动作前鉴别
应在网关安全功能实施所要求的动作之前，先对提出该动作要求的用户利用口令机制进行鉴别。当网关的管理员是远程访问进行管理时，还应对管理员所使用的设备进行鉴别以确定是否是可信主机，如通过IP地址鉴别。
7.2.2同步鉴别
GA/T681—2018
应允许用户在被鉴别之前实施由网关安全功能促成的某些动作，这些动作用来确定鉴别自已的条件（如生成口令）。除了这些动作以外，用户在实施其他动作之前，都应该先鉴别用户的身份。7.2.3不可伪造鉴别
应具有能检测出已经丢弃的或复制的鉴别数据重放的安全机制，防止一切伪造的鉴别数据以及任何拷贝的鉴别数据的使用。当管理员是远程访问管理时，应对传送鉴别信息的数据包提供完整性、保密性服务和抗重放功能。
7.2.4一次性使用鉴别
应能提供一次性使用鉴别数据操作的鉴别机制，防止与已标识过的鉴别机制有关的鉴别数据的重用。一次性使用鉴别机制可通过在鉴别信息的数据包中提供序列号、验证码或数字签名等机制实施。7.2.5多鉴别机制
除通过简单的口令鉴别机制外，应提供其他鉴别机制，如通过数字证书、智能IC卡或通过人体的生物特征进行鉴别。
7.2.6重新鉴别
应提供重新鉴别机制，在特定情况下可以对用户进行重新鉴别，如断开的用户重新登录。应周期性地对管理员身份进行确认，如果网关的管理员操作的时间超过一定时限，网关安全功能应对管理员身份重新进行鉴别。时限由网关的授权管理员进行设置。7.2.7鉴别失败处理
应提供鉴别失败处理功能，当对用户鉴别失败的次数达到或超过某一给定值时，应满足a）记录鉴别失败事件；
b）终止该用户的访问；
当用户是远程访问时，切断相应主机的通信；d）通知网关的安全管理员。
7.3网络连接控制
地址转换
应提供NAT功能：
支持双向NAT：SNAT和DNAT；
SNAT至少可实现“多对一”地址转换，使得内部网络主机访问外部网络时，其源IP地址被b)
转换；
c）DNAT至少可实现“一对多”地址转换，将DMZ的IP地址/端口映射为外部网络合法IP地址/端口，使外部网络主机通过访问映射地址和端口实现对DMZ服务器的访问；d）支持动态SNAT技术，实现“多对多”的SNAT。7.3.2路由控制
应支持路由功能，并满足：
GA/T681—2018
a）支持静态路由表；
b）支持动态路由表；
提供基于源、目的IP策略路由。c
7.3.3IP/MAC地址绑定
应支持自动或管理员手工绑定IP/MAC地址；应能够检测IP地址盗用，拦截盗用IP地址的主机经过网美的客种访间。
7.3.4访问控制
应对经过网关的会话提供访问控制功能：a）基于访问方法，访问地址或端口以及访问时间，限制用户可能选择的会话安全属性的范围：b)
将访问控制与用户鉴别和审计相结合，通过确认用户的身份和记录用户对客体访问情况，使用户对自已的行为承担明确的责任；将访问控制扩展到所有主体和客体，并要求为每个命名主体指定用户名和用户组，以及规定他c
们对客体的访问模式。
连接控制
应能监测通过网关的网络连接，并满足：a）连接终止：允许授权管理员终止指定的网络连接；b）连接超时退出：在会话处于非活跃一定时间或会话结束后终止网络连接；连接限制：根据一定条件，如协议，限制最大同时连接数量；d）频率限制；根据一定条件，如协议，限制单位时间内的连接数量。7.4攻击防护
当发现网关受到攻击（至少支持漏洞扫描和拒绝服务攻击）时，能够自动记录攻击发起人的IP地址及企图攻击的时间，以及攻击类型，生成实时报警信息，并具有一定阻断能力。7.5安全管理
7.5.1安全角色管理
应能对安全角色进行区分：
a）区分管理员用户和普通用户，仅管理员用户能够查看、配置网关的安全属性和安全策略；b）能够赋予不同管理员用户不同的权限。7.5.2远程管理主机
若提供远程管理功能，应能对可远程管理的主机地址进行限制。7.5.3数据保护
7.5.3.1数据存储保护
应对网关中存储的重要数据进行保护，以免被非授权访问。这些重要数据包括：a）用户的鉴别信息；
b）网关的配置信息；
c）安全策略；
d）审计信息。
2数据传输保护
GA/T681—2018
应通过加密或其他方式保护重要数据在传输过程中不被泄露和窃取。这些重要数据包括：用户的鉴别信息；
网关的配置信息：
c）安全策略。
3数据备份和恢复
应提供重要数据（包括网关的配置信息和安全策略等）的备份和恢复功能，并对备份数据进行保护。7.6安全审计
7.6.1安全审计数据产生
应为可审计事件生成审计记录。审计记录应易于理解，并包括以下内容：事件的日期和时间，事件的类型，主客体身份，事件的结果（成功或失败）。网关主要的审计事件包括：a）用户鉴别事件；
b）根据策略，数据包被允许事件；c）根据策略，数据包被丢弃事件；授权用户的一般操作；
鉴别失败处理事件；
人侵防护事件；
对审计日志的处理事件。免费标准下载网bzxz
安全审计查阅
应提供安全审计查阅工具，并满足：a）审计查阅：为授权用户提供获得和解释审计信息的能力；b）有限审计查阅：禁止具有读访问权限以外的用户读取审计信息；可选审计查阅：具有根据准则来选择要查阅的审计数据的功能，并根据某种逻辑关系的标准提c
供对审计数据进行搜索、分类、排序的能力。7.6.3
安全审计事件存储
应具有以下创建并维护安全的审计踪迹记录的能力：a）能够检测或防止非授权用户对审计记录的修改；b）当审计跟踪超过预定的门限时，采取相应的措施，进行审计数据可能丢失情况的处理，例如，通知管理员；
在审计踪迹存储记满时，采取相应的防止审计数据丢失的措施，如选择“阻止除具有特殊权限外的其他用户产生可审计事件”“覆盖已存储的最老的审计记录”或“对审计记录进行转储并删除”等措施，防止审计数据丢失。7.6.4安全审计事件分析
网关安全功能应提供审计分析功能：a）潜在侵害分析：提供一系列规则去监控审计事件，并根据这些规则指出网关系统的潜在威胁。5
GA/T681—2018
如存有多次用户鉴别失败的记录；基于异常检测的描述：通过对审计历史的记录，维护与每个用户相对应的质疑等级，当用户的b）
质疑等级超出某一门限时，能指出即将发生的安全威胁。如某一主机通信量在一段时间内急剧上升。
7.7资源利用
7.7.1故障容错
应确保网关系统即便出现部分故障时，也能维持正常运转。包括：降级故障容错：当网关系统中出现确定的故障（如电源短时间中断、软件错误等）时，能检测出，a
并发出相应出错警报，并能继续正确运行指定的功能：b）受限故障容错：确保标识的故障发生时，能采取有效的对抗措施，保证网关安全功能仍能继续运行。
7.7.2服务优先级
应能控制用户（主体）对网关系统中资源的访问和使用，使得系统内高优先级任务的完成总是不受系统中低优先级任务所造成的干扰和延迟的影响。应给网关系统中的每个用户（主体）分配一种优先级。服务优先级的控制范围限定于网关系统中的某个资源子集中。7.7.3资源分配
应能控制主体对资源的使用，不应由于未授权的主体独占资源而出现拒绝服务。应确保网关系统中的主体不会超过某一数量或不会独占某种受控资源。网关安全功能应规定受控资源的最高分配限额。系统安全管理员指定受控资源列表（如进程、传输带宽）。7.8下一代互联网支持
7.8.1支持纯IPv6网络环境
应支持纯IPv6网络环境，能够在纯IPv6网络环境下正常工作。7.8.2协议一致性
应支持IPv6协议一致性，包括以下协议：a）IPv6Core协议；
b）IPv6NDP协议：
c）IPv6Autoconfig协议；
d）IPv6PMTU协议
e）ICMPv6协议。
8安全保障要求
8.1开发
8.1.1安全架构
开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求：6
与产品设计文档中对安全功能实施抽象描述的级别一致；a)
描述与安全功能要求一致的产品安全功能的安全域：b)
描述产品安全功能初始化过程为何是安全的；c
证实产品安全功能能够防止被破坏；d)
证实产品安全功能能够防止安全特性被旁路。e）i
8.1.2功能规范
开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：a）完全描述产品的安全功能；
b）描述所有安全功能接口的目的与使用方法；c）标识和描述每个安全功能接口相关的所有参数；d）描述安全功能接口相关的安全功能实施行为；描述由安全功能实施行为处理而引起的直接错误消息；e)
证实安全功能要求到安全功能接口的追溯；f)
g）描述安全功能实施过程中，与安全功能接口相关的所有行为；h）描述可能由安全功能接口的调用而引起的所有直接错误消息。8.1.3
实现表示
开发者应提供全部安全功能的实现表示，实现表示应满足以下要求：提供产品设计描述与实现表示实例之间的映射，并证明其一致性；a)
GA/T681—2018
b）按详细级别定义产品安全功能，详细程度达到无须进一步设计就能生成安全功能的程度；以开发人员使用的形式提供。
8.1.4产品设计
开发者应提供产品设计文档，产品设计文档应满足以下要求：a）
根据子系统描述产品结构；
标识和描述产品安全功能的所有子系统：b)
描述安全功能所有子系统间的相互作用；提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口；d)
根据模块描述安全功能；
提供安全功能子系统到模块间的映射关系；f
描述所有安全功能实现模块，包括其目的及与其他模块间的相互作用：g）
描述所有实现模块的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及h)
调用的接口；
描述所有安全功能的支撑或相关模块，包括其目的及与其他模块间的相互作用。i
8.2指导性文档
8.2.1操作用户指南
开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一致，对每一种用户角色的描述应满足以下要求：7
GA/T681-2018
描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；a)
描述如何以安全的方式使用产品提供的可用接口；b)
c）描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值；明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控d
制实体的安全特性：
标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全e)
运行之间的因果关系和联系；
f）充分实现安全目的所必须执行的安全策略。8.2.2准备程序
开发者应提供产品及其准备程序，准备程序描述应满足以下要求：描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；a)
b）描述安全安装产品及其运行环境必需的所有步骤。8.3生命周期支持
8.3.1配置管理能力
开发者的配置管理能力应满足以下要求：为产品的不同版本提供唯一的标识；a)
使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项；b)
提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法；c
配置管理系统提供一种自动方式来支持产品的生成，通过该方式确保只能对产品的实现表示d)
进行已授权的改变；
配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发产品。e
实施的配置管理与配置管理计划相一致；配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。f
8.3.2配置管理范围
开发者应提供产品配置项列表，并说明配置项的开发者。配置项列表应包含以下内容：a）产品、安全保障要求的评估证据和产品的组成部分；实现表示、安全缺陷报告及其解决状态。b
8.3.3交付程序
开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时，交付文档应描述为维护安全所必需的所有程序8.3.4开发安全
开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。8.3.5生命周期定义
开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制，并提供生命周期定义文档8
描述用于开发和维护产品的模型。8.3.6
工具和技术
GA/T681—2018
开发者应明确定义用于开发产品的工具，并提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义。8.4测试
8.4.1覆盖
开发者应提供测试覆盖文档，测试覆盖描述应满足以下要求：a）表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性；b）表明上述对应性是完备的，并证实功能规范中的所有安全功能接口都进行了测试。8.4.2深度
开发者应提供测试深度的分析。测试深度分析描述应满足以下要求a）证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性；b）证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。8.4.3功能测试
开发者应测试产品安全功能，将结果文档化并提供测试文档。测试文档应包括以下内容：测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其他测试结果a)
的任何顺序依赖性；
预期的测试结果，表明测试成功后的预期输出；b）
实际测试结果，证实实际测试结果与预期测试结果相一致。c）
8.4.4独立测试
开发者应提供一组与其自测安全功能时使用的同等资源，以用于安全功能的抽样测试。8.5脆弱性评定
基于已标识的潜在脆弱性，产品能够抵抗以下攻击行为：a）具有基本型攻击潜力的攻击者的攻击；b）具有增强型攻击潜力的攻击者的攻击。9等级划分要求
9.1概述
按照网关的安全功能要求和安全保障要求划分为基本级和增强级。9.2
安全功能要求等级划分
网关的安全功能要求等级划分如表1所示。9
GA/T681—2018
用户标识
用户鉴别
网络连接控制
攻击防护
安全管理
安全审计
资源利用
下一代互联网支持
表1网关安全功能要求等级划分表安全功能要求
基本标识
唯一性标识
动作前鉴别
同步鉴别
不可伪造鉴别
-次性使用鉴别
多鉴别机制
重新鉴别
鉴别失败处理
地址转换
路由控制
IP/MAC地址绑定
访问控制
连接控制
政击防护
安全角色管理
远程管理主机
数据存储保护
数据保护
数据传输保护
数据备份和恢复
安全审计数据产生
安全审计查阅
安全审计事件存储
安全审计事件分析
故障容错
服务优先级
资源分配
支持纯IPv6网络环境
协议一致性
安全保障要求等级划分
网关的安全保障要求等级划分如表2所示。10
基本级
7.2.7a)c)
7.3.1a)~c)
7.3.4 a)、b)
7.3.5a)、b)
7.5.3.1a)c)
7.5.3.2a)、b)
7.6.1a)~c)
7.6.2 a)、b)
7.6.3 a)、b)
增强级
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。