【电子行业标准(SJ)】 军用通信网络管理通用安全要求

中华人民共和国电子行业军用标准FL0133
SJ 20849—2002
军用通信网络管理系统
通用安全要求
General securityrequirementsformanagement system ofmilitary communication network2002-12-12发布
2003-05-01实施
中华人民共和国信息产业部批准1范围.
1.1主题内容.
1.2适用范围，
2引用文件，
3定义..
3.1术语..
3.2缩写词．.
4一般要求
5详细要求．
5.1网管系统的安全服务
网管实体鉴别，
网管实体访问控制，
网管数据机密性
网管数据完整性
网管数据抗抵赖，
5.2网管系统特定的安全机制，
网管数据加密机制.
网管数字签名机制
网管访间控制机制.
网管数据完整性机制
网管鉴别交换机制.
网管业务填充机制.
网管路由选择控制机制.
网管公证机制。
网管系统普遍适用的安全机制，5.3.1
网管可信功能（度）机制：
网管安全标记机制：
网管安全事件检测机制.
网管安全审计跟踪机制..
5.3.5网管安全恢复机制
5.4网管系统安全服务与安全机制之间的相互关系.5.5网管系统安全服务和机制的管理，5.5.1
安全管理的分类.
5.5.2特定的系统安全管理活动..5.5.3安全机制的管理功能.
5.6网管系统的安全管理功能。
5.6.1安全告警报告功能
5.6.2安全审计跟踪功能..
5.6.3访问控制的客体和属性，
-TKAoNiKAca-
中华人民共和国电子行业军用标准军用通信网络管理系统通用安全要求General security requirementsfor managementsystem ofmilitary communication network1.1主题内容
SJ20849—2002
本标准对军用通信网络管理（以下简称展等）系统面临的安全威胁，规定了相应的安全服务、实现这些服务的安全机制、服务和机制的要求。
1.2适用范围
每管理及有关安全系统管理功能等方面RD
本标准适用于享用通信网管理系统安全分系统的设计、研制、运行，以及网管系统的安全性评
估等场合。
引用文件
GB/T937
7498-1：199
GB/T91
ISO7498-2：
ISO/IEC7498
GB/T162
GB/T16264bZxz.net
GB/T16644-
GB/T16645.1
GB/T16687-1996
息技术放系
信息处理系统
基本参考模
系统互连基本参#
基本参
信接集开放系统连
模型（idtISO/IEC
第2部安全体系结构Cidt
管理框架（idt
tISO8824:1990)
dt1SO/EL9594-8:1990)
日菜，些别架
息技术开放系统互连公共管理信息服等定tdysO/IEC9595：1991）特术
开放系统互连公共管理信息协议放系
GB/T16688-1996信息技术
开放系
idtISO/IEC9596-1:
元素协议规范（idtISO8650：1988）制服务元素服务定义（idtISO8649：1988）GB/T17142—1997信息技术开放系统工连系统管理综述（idtISO/EC10040：1992）GB/T17143.1—1997信息技术开放系统互连系统管理：客体管理功能（idtISO/IEC10164-1：1993)
GB/T17143.2--1997信息技术开放系统互连系统管理：状态管理功能（idtISO/IEC10164-2：1993)
中华人民共和国信息产业部2002-12-12发布2003-05-01实施
SJ20849-2002
GB/T17143.3一1997信息技术开放系统互连系统管理：表示关系的属性（idtISO/IEC10164-3:1993)
GB/T17143.4—1997信息技术开放系统互连系统管理：告警报告功能（idtISO/IEC10164-4：1992)
GB/T17143.51997
10164-5:1993)
开放系统互连系统管理：事作报告管理功能（idtISO/IEC信息技术
GB/T17143.6—1997
信息技术开放系统互连系统管理：日志控制功能（idtISO/IEC10164-6：1993)
GB/T17143.7—1997
10164-7:1992)
GB/T17143.8—1997
10164-8:1993)
GB/T 17175.1—1997
ISO/IEC10165-1：1993)
信息技术
信息技术
信息技术
开放系统互连系统管理：安全告警报告功能（idtISO/IEC开放系统互连系统管理：安全审计跟踪功能（idtISO/IEC开放系统互连
管理信息结构第1部分：管理信息模型（id管理信息结构第2部分：管理信息定义（idtGB/T17175.2—1997
信息技术开放系统互连
ISO/IEC10165-2：1992)
GB/17175.4—1997信息技术开放系统互连、管理信息结构第4部分：被管客体定义指南(idtISO/IEC10165-4：1992)
ISO/IEC10164-9：1995信息技术开放系统互连系统管理：访问控制的客体和属性SO/EC10181-3：1996信息技术开放系统互连开放系统安全框架：访问控制框架RFC1157简单网络管理协议（SNMP）RFC1904简单网络管理协议第2版的一致性描述RFC2572简单网络管理协议第3版的报文处理及发送（草案标准）RFC2574简单网络管理协议第3版基于用户的安全模型RFC2575简单网络管理协议第3版基于视图的访问控制模型RFC2580简单网络管理协议第3版的一致性描述3定义
3.1术语
GB/T9387.2确立的下列术语和定义适用于本标准。3.1.1安全标记
3.1.2安全策略
3.1.3安全服务
3.1.4安全审计
3.1.5安全审计跟踪
3.1.6策略
3.1.7对等实体鉴别
3.1.8访问控制
3.1.9访问控制表
FKAONiKAca-
3.1.10抵赖
3.1.11公证
3.1.12加密
3.1.13解密
机密性
服务拒绝
可用性
路由选择控制
密码校验值
密钥管理
鉴别交换
鉴别信
SJ20849-—2002
STANDARDS
SINORMATION
物理安
通信业务
缩写词
本标准使用下列缩存
OpenSystem
开放系统互连
3.2.2 TcP/Ip Transmission Control Protocol/Internet Protocol传输控制协议/网间协议
3.2.3sDuServiceDataUnit
服务数据单元
3.2.4MIBManagement Information Base管理信息库
3.2.5 SMiB SecurityManagement Information Base安全管理信息库
SJ20849--2002
3.2.6 CMip Common Management Information Protocol公共管理信息协议
3.2.7 SNMP Simple Network Management Protocol简单网络管理协议
4一般要求
对于军用通信网络管理系统，必须针对它所面临的安全威胁，明确规定其安全服务、安全机制、两者之间相互关系、两者的管理、有关安全的系统管理功能。军用通信网络管理系统属于地位和功能特殊的信息系统。基于OSI体系结构的军用通信网络管理系统应按照GB/T9387.4规定的管理框架和GB/T9387.2规定的安全体系结构进行设计：基于TCP/P体系结构的军用通信网络管理系统除按照RFC1904（SNMPV2）、RFC2574、2575、2580（SNMPV3）规定的管理协议和安全要求进行设计外，还应建立进一步的安全机制：基于其它体系结构的军用通信网络管理系统也应建立必要的安全体系结构。本标准只定义基于OSI体系结构的军用通信网络管理系统的安全服务和安全机制。
军用通信网络管理系统应当在建立安全机制并提供安全服务的基础上，执行有关安全的系统管理功能协议，包括安全告警报告功能，安全审计跟踪功能、访问控制的客体和属性等。5详细要求
5.1网管系统的安全服务
下面各项安全服务是在OSI参考模型的框架内能提供的可选的服务，是网络管理系统基本的安全服务，一些特定安全机制可以用来实现这些基本安全服务的组合。其中的鉴别服务需要鉴别信息，包括本地存贮的信息和为鉴别而传送的数据（凭证）。下面所述N层安全服务中N的取值根据网络管理系统的具体情况确定。
5.1.1网管实体鉴别
鉴别服务包括网管通信对等实体鉴别和网管数据原发鉴别，分述如下。a.网管对等实体鉴别
当本服务由（N）层提供时，它向（N+1）层网管实体确证其对等网管实体正是所要求的（N+1）层网管实体。
本服务在网管连接建立阶段或在网管数据传送阶段使用，以便确证一个或多个网管实体在同另外一个或多个网管实体相连接时的身份标识。本服务使人相信：仅在使用时间内，某一个网管实体没有尝试冒充另一个网管实体或未经授权重复前一个连接。无论使用或不使用活动性检验，都可以使用对等网管实体之间单向鉴别和相互鉴别机制，提供程度可变的保护。b.网管数据原发鉴别
当本服务由（N）层提供时，它向（N+1）层网管实体确证某网管数据的原发正是所要求的对等（N+1）层网管实体。
本服务用于证实网管数据单元原发，但本服务不能防止网管数据单元被复制或修改5.1.2网管实体访问控制
本服务防止未经授权地使用网管资源，这些网管资源可能是通过OSI协议可以访问的OSI资源或非OSI资源。本保护服务可用于控制对网管资源进行各种不同类型的访问（如通信资源的使用，网管信息资源的读、写、删，处理资源的执行）或对网管资源进行所有访问。4
-TTKAONTKAca-
访问控制遵循各种安全策略。
5.1.3网管数据机密性
SJ20849--2002
本服务保护网管数据免遭遵未经许可的泄露，分述如下。a.有连接机密性
本服务为（N）层网管连接上的所有（N）层网管数据进行保密。b.无连接机密性
本服务为单个无连接型（N）-SDU的所有（N）层网管数据进行保密。c.有选择字段机密性
本服务为（N）层网管连接或单个无连接型（N）-SDU的（N）层网管数据中所选字段进行保密d.业务流机密性
本服务为有可能从业务流的观测结果中推目5.1.4网管数据完整性
本服务用来对付主动型或
a．带恢复的连接完整
本服务用于保证
据是否已被修改
b.不带恢
本服务用
据是否已被修
c．有选
本服务用
（N）房
的信息提供保护。
性，检测整个SDU序列内网管数
，连接上所有（N）层网管数据的元爽乐或重放，并试图恢复。
了的连接
形式是确定康
选安段
当本服务
本服务用
还可以提供有限的形
e有选择字投无车
本服务用于保证车
5.1.5网管数据抗抵赖
除我重放，但不
层网管数据的完
DU的（N）层网
检测婴SU序列内网管数
接中所选
宅整性，采取的
数据的完型
到的sDU器
药已被修改。此外，
虚接SaU内所选字段的完整性，采取的形是确定所选字段是否已被修改。
NPORMA
本服务可采用下列一种剪丽
a.基于原发证据的抗抵赖
数据或接受者否认接收了网管数网管数据的接收方获得发送方已经发送网管数据的证据。这将防止发送方错误地否认发送过网管数据或否认发送过的内容。
b.基于交付证据的抗抵赖
网管数据的发送方获得已向接收方交付网管数据的证据。这将防止接收方错误地否认收到过网管数据或否认接收过的内容。
5.2网管系统特定的安全机制
下列机制可以与适当的（N）层相结合以便提供上述的一些服务。5
SJ20849—2002
5.2.1网管数据加密机制
加密机制用于为网管数据或业务流信息提供保密，并且在其它一些安全机制中起作用或做补充。其加密算法可以是可逆的或不可逆的。可逆加密算法包括以下两种类型：a：对称（即秘密密钥）型加密，知道加密密钥意味着知道解密密钥，反之亦然；b．不对称（如公开密钥）型加密，知逆加密密钥并不意味着知道解密密钥，反之亦然。这种系统的两个密钥有时称为“公开密钥”和“秘密密钥”。5.2.2网管数字签名机制
本机制包括两个进程：
签名进程-为网管数据单元签署名字；a.
b，检验进程-检验已签名的网管数据单元。签名进程是使用签名者私用（唯一和保密）的信息作为私钥对网管数据单元进行加密，或生成网管数据单元的密码校验值。
检验进程是使用公并可得（但不能由此推导出签名者私有信息）的规程和信息来确定该签名是否是使用签名者的私有信息产生的。数字签名机制的根本特性是签名只有使用签名者的私有信息才能产生出来。这样，当该签名被验证时，任何时候都能够向第三方证明：只有私有信息的唯一拥有者能够产生签名。5.2.3网管访间控制机制
本机制可以使用网管实体的已鉴别身份标识或有关网管实体的信息（例如已知网管实体集合的成员）或网管实体的访问权力，来确定和实施网管实体的访问权。若网管实体企图未经授权使用网管资源，或企图借助不恰当的访问类型使用已经授权的网管资源，则访问控制机制将拒绝这种企图，并报告所发生的事件，以便产生告和/或作为安全审计跟踪的一部分加以记录。作为实例，访问控制机制可使用下列一项或者干项来实现：a，访问控制信息库：保存对等网管实体的访问权限。这种信息可由投权中心或被访问的网管实体以访问控制表或以等级式模型或分布式结构的形式保存。这是预先假定对等网管实体的鉴别已经得到保证：
b．鉴别信息（如通行字）：网管实体拥有并能出示该鉴别信息就是该网管实体访问鉴别的证据；c．权力证书：网管实体拥有并能展示该权力证书表明有权访问该权力证书所规定的网管实体或网管资源：
d.安全标记：通常是在网管实体有联系时根据安全策略使用此种标记来允许或拒绝网管实体的访问：
e.试图访问的时间：
f、试图访问的路由；
g。访问持续时间。
访问控制机制可应用在网管通信联系的任一端点和/或任一中间点。5.2.4网管数据完整性机制
网管数据完整性机制的含义包括以下儿点：a.网管数据完整性分为两种：
1）单个网管数据单元或字段的完整性：2）网管数据单元流或字段流的完整性。6
FIKAONiKAca
SJ20849—-2002
通常分别使用不同的机制提供不同的网管数据完整性服务，虽然不提供第一种服务而提供第二种服务是不切实际的。
b.为了确定单个网管数据单元的完整性，要在发送网管实体和按收网管实体上实施两个进程。发送网管实体在将要发送的网管数据单元上附加一个分量，这个分量是该网管数据本身的函数，它可以是一些补充信息（例如网管数据分组校验码或密码校验值），其本身又可以被加密。接收网管实体生成相应的分量并和收到的分量相比较，来确定该网管数据是否在传输过程中被修改过。
仅有这个机制本身并不能防止单个网管数据单元被重放。在体系结构的适当层上，若检测到网管数据单元已被操作过，则导致该层或更高层采取恢复动作（例如重发或纠错）。
C，对于有连接型网管数据传送，为了保护网管数据单元顺序的完整（即防止网管数据序号错乱，丢失、重放、插入、修改网管数据），应当使用荣种明最排序的形式，如顺序号、时间戳或密码链。d.对于无连接型网管数据传送，ANUAND
套限形式随止各个网管数据单元被重放。应爱便用时可鑫
5.2.5网管鉴别交换机制
可用于鉴别交换的
一些衣如
a.鉴别信息
，（例如由发逆网管实体提供并由接收网管实体检验的通行字）b.密码技术
c.网管实本的某些
为了提供射算馆
若本机制在懿剩革
踪输入数据利/成间安全
在使用密码技术寸，
实体的没有成功您
环心报告
鉴别交技态的步择取有格神闭
a.时间我与回步时钟
b.两方提
c.由数字签
（N）层结合起来
拒绝建立或终止数解系，
议结合起来防止
可用下
能向安全审让跟
5.2.6网管业务镇机
网管通信业务填充机聊用来提供各种不同等级的保护，以防止网管通信务管通信业务填充受保密性服务的保护时才能奏效。证其活动性）。
液分析。本机制仅当网
5.2.7网管路由选择控制机制OF
网管通信时的路由可通过动忘方或预以便只使用物理上安全可靠的子网、中继器或链路。
当网管端系统发现网管数据受到持续性操作攻击时，它可能希望通知网络服务的提供者另选不同路由来建立网管连接。
带有某些安全标记的网管数据有可能被安全策略禁止通过某些子网、中继器或链路。另外，网管连接的发起者（或无连接型网管数据单元的发送者）可以规定一些路由选择警告，要求避并一些特定子网、中继器或链路。5.2.8网管公证机制
在两个或多个网管实体之间进行通信的网管数据的特性（如网管数据的完整性、原发、时间和目的7
SJ20849—2002
地等）均可借助于公证机制加以保证。这种保证是由第三方公证者提供的，公证者受网管通信实体的委托，并常握必要的信息，以便以可证实方式提供所需要的保证。每个网管通信实例可以使用数字签名、加密和完整性机制，以适应公证者提供的服务。当调用上述公证机制时，网管数据就经过受保护的通信实例和公证者，在进行通信的网管实体之间进行传递。5.3网管系统普遍适用的安全机制这里阐述若干个不是为任何特定安全服务而专设的安全机制，因此并没有在任何特定层明显地描述这些机制。这些普遍适用安全机制中有些可以被看成安全管理的某些方面。这些机制的重要性通常直按与所需要的安全等级有关。
5.3.1网管可信功能（度）机制
网管可信功能（度）机制可用来扩大其它安全机制的范围或确立这些机制的有效性。真接提供安全机制或使用该安全机制的任何功能（度），都应当是可信的。用来保证对这样硬件和软件给予信任的规程手段已超出本标准的范围，而且在任何情况下均随养可察觉威胁的程度和受保护信息的价值而变化。这些规程手段的实现通常是昂贵而且困难的。为了尽量缩小上述难题，要选用那种允许以模块来实现安全功能的体系结构，要与无关安全功能分开并由无关安全功能提供。对受保护层上面网管联系的任何保护均必须通过其它手段例如适当的可信功能（度）米提供。5.3.2网管安全标记机制
包含网管数据的资源可携带有关它们的安全标记，例如表示敏感度的标记。在传送网管数据时常常需要同时传递适当的安全标记。安全标记可能是与被传递的网管数据有关的附加数据，也可能是隐含的（例如使用专门的密钥对网管数据进行加密，或者是网管数据的上下文如原发或路由）。显式安全标记必须是可清楚地识别的，以便它们可以被恰当地检验。此外，这些标记必须与有关的网管数据安全可靠地绑定。
5.3.3网管安全事件检测机制
网管安全事件的检测包括对明显违反安全的事件的检测，也可以包括对“正常”事件例如成功的访问（或登录）等的检测。有关安全的事作可由含安全机制的OSI实体进行检测。关于事件构成的规范由事件处理管理负责提供。在检测到各种有关安全的事件时，可能导致采取下面作为实例列出的一个动作或多个动作：
a.向本地报告该事件；
b.向远端报告该事件；
c.记录该事件；
d.实施恢复动作。
下面是这些有关安全的事件的实例：a.违反特定安全规章：
b.有选择的特定事件；
c.事件发生计数溢出。
这个领域的标准将考虑事件报告和事件记录有关信息的传输，以及用于传输事件报告和事件记录的语法和语义的定义。
5.3.4网管安全审计跟踪机制
网管安全审计跟踪提供有价值的安全机制，从潜在角度吞，通过事后的安全审计，可检测和调查违8
TiKAoNiKAca
SJ20849—2002
反安全的行为。安全审计是对系统记录和活动的独立观察和检查，以便检查网管系统的控制是否恰当和足够，保证符合既定策略和操作规程，帮助评估损失，并建议对控制、策略和规程作出改变。安全审计要求把安全审计跟踪中有关安全的信息记录下来，对取自安全审计跟踪的信息进行分析和报告。这种日志和记录被认为是一种安全机制，本条对其进行描述.分析和报告的生成则被认为是一种安全管理功能。可以通过把记录的有关安全的事件加以分类（例如对安全的明显违章或成功地完成操作）让安全审计跟踪信息的收集适应各种不同的要求。安全审计跟踪的存在可以用于防止安全攻击的某些潜在米源。安全审计跟踪将考虑可以任选地登记什么信息、在什么情况下需要登记该信息，以及将用于互换安全审计跟踪信息的语法和语义的定义。5.3.5网管安全恢复机制
网管安全恢复机制用于处理来自一些机制例如事件处理和管理功能等的请求，并作为使用一套规则的结果而采取恢复动作。这些恢复缺作断a，立即性动作：功以之即酸外操安
b.临时性动：
长期性
不网管实体暂的
把某一个网管实体列入“黑名单5.4网管系统安全服务与安全机制之间的相互关系网管安
1所示。
全服务与
些相互
网资刻
数据境告
有连接网管航
要全机制之间的相互关系一般是一对多的广装网管安
无连接网管极
网管有选择字设框
网管业务流机性
带恢复的连接完整性
不带恢复的连按完整性
有选择字段连接完整性
无连接网管信息完整性
有选择字段无连接完整性
抗抵赖（带原发证据）
抗抵赖（带交付证据）
或改变其密钥。
某些情况下是一对一的关系，如表简的柏互关
设务与安全机制之
完整备
注：①“”被认为是不合适的机制；②“Y”被认为是合适的机制，无论是单独使用或与其它机制结合使用。制
路由选
择控制
5.5网管系统安全服务和机制的管理5.5.1安全管理的分类
SJ208492002
网络管理系统的安全管理活动分为以下兰种：a。系统安全的管理；
b.安全服务的管理：
c.安全机制的管理。
此外还必须考虑管理本身的安全。5.5.1.1系统安全的管理
系统安全管理关心整个网管系统环境安全方面的管理，例如：a。整个安全策略的管理，包括一致性的修改和维护；与其它管理功能的交互作用；
与安全服务管理和安全机制管理的交互作用；c.
d.事件处理的管理：
安全审计的管理：
f.安全恢复的管理。
5.5.1.2安全服务的管理
安全服务管理关心特定安全服务的管理。下面是在管理一个特定安全服务时可能实施的典型活动：为特定安全服务确定和分配目标安全保护；a.
分配和维护那些选择（如果可选）特定安全机制（它可用于提供所需安全服务）的规则：b.
对那些需要事先达成管理协定的可用安全机制进行（本地和远地）协商；c.
通过适当的安全机制管理功能来调用特定安全机制，例如行政上强制的安全服务：d.
与其它安全服务管理功能和安全机制管理功能交互作用。5.5.1.3安全机制的管理
安全机制管理关心特定安全机制的管理。下面是典型的安全机制管理功能，位并不是完全无遗漏的：密钥管理；
加密管理：
数字签名管理：
访问控制管理；
数据完整性管理：
鉴别管理；
业务填充管理：
路由选择控制管理：
公证管理。
5.5.1.4管理的安全
所有管理功能的安全和管理信息通信的安全都是系统安全的重要组成部分。这类安全管理将适当地选择上列安全服务和安全机制，以便确保管理协议和管理信息受到充分的保护。例如，包括管理信息库在内的管理实体之间的通信一般都要求某种形式的保护。10
TTKAONiKAca-
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。