【国家标准(GB)】 信息安全技术 网络和终端设备隔离部件安全技术要求

ICS 35.040
中华人民共和国国家标准
GB/T20279—2006
信息安全技术
网络和终端设备隔离部件安全技术要求Information security lechnology-Security techniques requirements of separationcomponents of network and terminal eguipment061214000078
2006-05-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2006-12-01实施
规范性引而文件
术语和定义
4安全境
1.1物理方面
1.2人员方面
1.3连通性方面
5隔离部件分级安全技术要求
5.1物理断开隔离部件
5.1.1基本级要求
5、1.2增强级要求
5.2单向隔离部件
5.2.基木级要求　
5,2.2增强级要求
5.3协议隔离部件
5.3.1第一级
5.3.2第二级
5.3.3第=级….
5.4网闸隔离部件
3.4.1第一级·
5.4.2第二级
5.4.3第三级
参考文献
-YYKAONTKAca
GB/T 20279—2006
本标由全国信息安全标准化技术委员会提出并归口。本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心。YYKAoNnrKAca
GB/T20279--2006
本标准主要起草人：朱建平，陆臻、沈亮、邱梓华、张奕、张笑笑、顾玮、沈涛、赵婷、谷明、顾健m
GB/T20279-2006
本标准是信息安全等级保护技术要求系列标准的重要纽成部分，用以指导设计者如何设计和实现具有所需要的安全等级的隔离部件，主要从对隔离部件的安全保扩等级进行划分的角度米说明其技术要求，即主要说明为实现基于GB178591999的各个保护等级的安全要求对隔离部件应采取的安全技术措施，以及各安全技术要求在不同安牟级中具体实现上的差异。本标准以GB17859一1999的安全等级的划分为基础，针对隔离部件的技术特点，对相应安全等级的安全功能技术要求和安全保证技术要求做了详细描述。在本标谁文本中，如粗字体表示较高等级中新出现或增强的功能要求1范围
信息安全技术
网络和终端设备隔离部件安全技术要求-YYKAONTKAca
GB/T 20279--2006
本标准规定了对隔离部件进行安全保护等级划分所需要的详细技术要求，并给出了有-个安个保护等级的不同技术要求。
本标准适用于隔离部作的设计和实现，对隔离部件进行的测试、管理也川参照使用、2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容)或修订版本均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。儿是不注日期的引用文件，其最新版本造用于本标准。GB17859··1999计算机信息系统安全保护等级划分准则GB/T202712006信息安全技术信息系统通用安全技术要求3术语和定义
GB17859—1999和B/T202712006中确立的以及下列术计利定义适用于本标准。3. 1
物理断开physical disconmection指处于不同安个域的网络之间不能以直接或问接的方式相连接。在一个物埋网络环境中，实施不同安全域的网络物理断开，在技术上应确保信息在物理传导、物理存储上的断开。3. 2
协议转换prnto:ol nnversion
在隔离部件巾，协议转换的定义是协议的剥离和重建，在所属某一安全域的隔离部件一端，把基于网络的公共协议中的应用数据刹离出来，封装为系统专用协议传递至所属其他安全域的隔离部件另端，再将专用协议剥离，并封装成需要的格式。3.3
协议隔离proiocol stparalion
指处于不同安全域的网络在物理上是有连线的，通过协议转换的于段保证受保护信息在逻辑上是隔离的，只有被系统要求传翰的、内容受限的信息可以通过。3.4
信惠摆渡informatian ferry
信息交换的一种方式，物理传输信道只在传输进行时存在。信息传输时，信息先由信息源所在安全域：-端传输至中间缓存区域，同时物理断开中间缓存区域与信息目的所在安全域的连接；随后按通中间缓存区域与信息目的所在安全域的传输信道，将信息传输至信息目的所在安全域，同时在信通上物理断开信息源所在安全域与中间缓存区域的连接。在任一时刻，中间缓存区域只与-端安全域相连。3.5
物理断开隔离部件physical disconneclion separation components在端上实现信息物理断开的信息安全部件，如物理隔离卡：GB/T20279-—2006
单向隔离部件unilateral separationcomponents在端上依靠硬件访问控制信息交换分区实现信息在不同的安全域信息单向流动的信息安全部件。3.7
协议隔离部件
protocolseparationcomponents位于两个不同安全域之间，实现协议隔离的信息安全部件。其信息流一般是专用应用数据，3.8
网闸gap
该信息安全部件位于两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息可以通过。其信息流一般是通用应用服务。4安全环境
4.1物理方面
对隔离部件资源的处理限定在
三一些可控制的访问设备内，防止未授权的物理访问。所有与实施隔离部件安全策略相关的硬件和软件应受到保护以免受未授权的物理修改。4.2人员方面
授权管理员不具敌意并遵守所有的管理员规则。4.3连通性方面
隔离部件是处于不同安全域网络之间的唯一连接点。对于物理断开隔离部件，不存在任何安全域网间的信息传输：对于单向隔离部件，信息可以从低级安全域向高级安全域通过断电非逸失性存储设备进行单向传输，反之则不能：对于协议隔离部件与网闸部件，所有安全域网络间的信息传输应经过隔离部件：授权管理员可以从高级安全域网络对隔离部件进行远程管理5隔离部件分级安全技术要求
5.1物理断开隔离部件
5.1.1基本级要求
5.1.1.1访问控制
5.1.1.1.1安全属性定义
对于信息存储与传输部件（主要是处于不同安全域的存储设备，网络接人设备），物理断开隔离部件应为其设定唯一的、为了执行安全功能策略所必需的安全属性。5.1.1.1.2属性修改
物理断开隔离部件安全功能应向端设备用户提供修改与安全相关属性的参数的能力。5.1.1.1.3属性查询
物理断开隔离部件安全功能应向端设备用户提供安全属性查询的能力。5.1.1.1.4访问授权与拒绝
物理断开隔离部件的安全功能应对被隔离的计算机信息资源提供明确的访问保障能力和访问拒绝能力。在技术上确保：
a）在信息物理传导上使内外网络隔断，确保外部网不能通过网络连接侵人内部网；同时阻止内部网信息通过网络连接泄露到外部网：b）在信息物理存储上隔断两个网络环境，对于断电后会逸失信息的部件，如内存、寄存器等暂存部件，要在网络转换时作清零处理，防止遗留信息审网对于断电后不会逸失信息的设备，如磁带机、硬盘等存储设备，内部网与外部网信息要以不同存储设备分开存储；对移动存储介质，如光盘、软盘，USB硬盘等，应在网络转换前提示用户干预或禁止在双网都能使用这些设备。2
5.1.1.2配置管理
开发者应为隔离部件产品的不同版本提供唯一的标识。隔离部件产品的每个版本应当使用它们的唯一标识作为标签。5.1.1.3交付与运行
5.1.1.3.1交付
开发者应使用一定的交付程序交付物理断开隔离部件，并将交付过程文挡化-YYKAONTKAca
GB/T20279—2006
交付文档应描述在给用户方交付物理断开隔离部件的各版本时，为维护安全所必需的所有程序。5.1.1.3.2安装生成
开发者应提供文档说明物理断开隔离部件的安装、生成和启动的过程。5.1.1.4安全功能开发过程
5.1.1.4.1功能设计
开发者应提供隔离部件产品的安全功能设计。功能设计应以非形式方法来描述安全功能与其外部接口，并描述使用外部安全功能接口的目的与方法，在需要的时候，还要提供例外情况和错误信息的细节。安全功能设计应是内在一致的并能完备地表示安全功能5.1.1.4.2表示对应性
开发者应在隔离部件安全功能表示的所有相邻对之间提供对应性分析。对于隔离部件安全功能表示的每个相邻对，分析应阐明：较为抽象的安全功能表示的所有相关安全功能，应在较具体的安全功能表示中得到正确而完备地细化。5.1.1.5指导性文档
5.1.1.5.1管理员指南
开发者应提供系统管理员使用的管理员指南。管理员指南应说明以下内容：
隔离部件可以使用的管理功能和接口；a
怎样安全地管理隔离部件：
在安全处理环境中应进行控制的功能和权限；c
所有对与隔离部件的安全操作有关的用户行为的假设，d
所有受管理员控制的安全参数，如果可能，应指明安全值，e
每一种与管理功能有关的安全相关事件，包括对安全功能所控制的实体的安全特性进行的f)
改变；
g）所有与系统管理员有关的IT环境的安全要求管理员指南应与为评估而提供的其他所有文档保持一致5.1.1.5.2用户指南
开发者应提供用户指南。
用户指南应说明以下内容：
隔离部件的非管理用户可使用的安全功能和接口；a
隔离部件提供给用户的安全功能和接口的用法；用户可获取但应受安全处理环境控制的所有功能和权限；e
隔离部件安全操作中用户所应承担的职责；d)
e）与用户有关的IT环境的所有安全要求。用户指南应与为评估而提供的其他所有文档保持一致。3
GB/T 20279—2006
5. 1.1. 6测试
5. 1. 1. 6. 1 范围
开发者应提供测试覆盖的分析结果，测试覆盖的分析结果应表明测试文挡中所标识的测试与安全功能设计中所描述的安全功能是对应的。
5.1.1.6.2功能测试
开发者应测试安全功能，将结果文档化并提供测试文档。测试文档应包括测试计划、测试过程，预期的测试结果和实际测试结果。测试计划应标识要测试的安全功能，并描述测试的自标。测战过程应标识要执行的测试，并描述每个安全功能的测试概说，这些概况包括对其他测试结果的顺序依赖性。期望的测试结果应表明测试成功后的预期输出。实际测试结果应表明每个被测试的安全功能能按照规定进行运作。5. 1.1.7生命周期支持
开发者应提供开发安全文件。
开发要全文件应描述在隔离部件的开发环境中，为保护隔离部件设计和实现的机密性和完整性，而在物理上，程序上、人员上以及其他方面所采取的必要的安全措施。开发安全文件还应提供在隔离部件的开发和维护过程中执行安全措施的证据。5.1.2增强级要求
5.1.2.1访问控制
5. 1.2. 1.1安全属性定义
对于信息存储与传输部件（十要是处于不间安个域的存储设备、网络接人设备），物理断开隔离部付应为其设定唯一的、为了执行安全功能策咯所必需的安全属性。5. 1. 2. 1. 2 属性修改
物理断开隔离部件安全功能应向端设备用提供修改与安全相关属性的参数的能力。5.1.2.1.3属性查询
物理断开隔离部作安功能应向端设备用户提供安全属性查询的能力。5. 1. 2. 1, 4访问授权与拒绝
物理断开隔离部件的安全功能应对被隔离的计算机信息资源提供明确的访问保障能力和访间拒绝能力。在技术上确保：
a）在信息物理传导上使内外网络隔断，确保外部网不能通过网络连接侵人内部网：同时阻止内部网信息通过网络连接泄露到外部网：1）在信息物理存储上隔断两个网络环境，对于断电后会逸失信息的部件,如内存，寄行器等暂有部件，要在网络转换时作清零处理，斑止遗留信息窜网：对于断电后不会逸失信息的设备，如避带机，硬等存储设备，内部网与外部网信息要以不同存储设备分开存諾：对移动存储介质，如光盘.软盘，USB硬盘等，应在网络转换前提示用户干预或禁止.在双网都能使用这些设备，5.1.2.2不可旁路
在与安全有关的操作（例如安全属性的修改）被允许执行之前，物理断开隔离部件安全功能应确保其通过安全功能策略的检查。
5.1.2.3客体重用
在为所有内部或外部网上的主机连接进行资源分配时，物理断开隔离部件安全功能应保证不提供以前连接的任何信息内容。
5.1. 2. 4配置管理
5.1.2.4.1配置管理能力bzxz.net
开发者应使用配置管理系统并提供配置管理文档，以及为隔离部件产品的不同版本提供唯一的标识。
-rYYKAONTKAca
GB/T 20279—2006
配置管理系统应对所有的配置项作出唯一的标识，并保证只有经过授权才能修改配置项。配置管理文档应包括配置清单和配置管理计划。在配置清单中，应对每一配置项给出相应的描述；在配置管理计划中，应描述配置管理系统是如何使用的。实施的配置管理应与配置管理计划相一致。配置管理文档还应描述对配置项给出唯一一标识的方法，并提供所有的配置项得到有效地维护的证据。
5.1.2.4.2配置管理范围
开发者应提供配置管理文档。
配置管理文档应说明配置管理系统至少能跟踪：隔离部件实现表示，设计文档、测试文档、用户文档、管理员文档和配置管理文档，并描述配置管理系统是如何跟踪配置项的。5. 1.2.5 交付与运行
5. 1. 2. 5. 1交付
开发者应使用·定的交付程序交付物埋断开漏离部件：并将交付过程文档化。交付文档应描述在给用户方交付物埋断开隔离部件的各版本时，为维护安全所必需的所有程序，5, 1.2.5.2安装生成
开发者应提供文档说明物理断并隔离部件的安装、生成和启动的过程5.1.2.6安全功能开发过程
5.1.2.6.1功能设计
开发应提供隔离部件的安全功能设计功能设计应以非形式方法米描述安全功能与其外部接口，并描述使用外部安全功能接口的月的与方法，在需要的时候，还要提供例外情况和错误信息的细节。安全功能设计应是内在致的开能完备地表示安全功能。5. 1. 2. 6, 2 高层设计
开发者应提供隔离部件安全功能的高层设计高层设计应以非形式方法表述并且是内在一致的。为说明安全功能的结，高层设计应将安全功能分解为各个安全功能子系统进行描送，井阐明如何将有助于加强歸离部件安全功能的子系统和其他手系统分开。对于每一个安全功能子系统，高层设计应描述其提供的安全功能，标识其所有接口以及娜些接口是外部可见的，描述其所有接口的使用目的与方法，并提供安全功能子系统的作用、例外情况和错误信息的细节。高层设计还应标识安全功能要求的所有基础性的硬件、固件和软件，并且支持由这些硬件、固件或软件所实现的保护机制。5. 1.2.6.3表示对应性
升发者应在隔离部件安全功能表小的所有相邻对之间提供对度性分析。对于隔离部件安全功能表示的每个相邻对，分析应阐明：较为抽象的安全功能表示的所有相关安全功能，应在较具休的安全功能表示中得到正确而完备地细化。5.1.2.7指导性文档
5. 1, 2.7. 1管理员指南
开发者应提供系统管理员使用的管埋员指南。管理员指南应说明以下内睿：
a）隔离部件管理员可以使用的管理功能和接几；h）怎样安全地管理隔离部件；
在安全处埋环境中应进行控制的功能和权限；c
所有对与隔离部件的安全操作有的用户行为的假设！所有受管理员控制的安全参数，如果可能，应指明安全值：5
GB/T20279—2006
f每一种与管理功能有关的安全相关事件，包括对安全功能所控制的实体的安全特性进行的改变；
g）所有与系统管理员有关的IT环境的安全要求。管理员指南应与为评估而提供的其他所有文档保持一致。5.1.2.7.2用户指南
开发者应提供用户指南。
用户指南应说明以下内容：
隔离部件的非管理用户可使用的安全功能和接口；a
隔离部件提供给用户的安全功能和接口的用法；b）
用户可获取但应受安全处理环境控制的所有功能和权限：c
隔离部件安全操作中用户所应承担的职责：d)
e）与用户有关的IT环境的所有安全要求用广指南应与为评估而提供的其他所有文档保持一致。5.1.2.8生命周期支持
开发者应提供开发安全文件
开发安全文件应描述在隔离部件的开发环境中，为保护隔离部件设计和实现的机密性和完整性，而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施。开发安全文件还应提供在隔离部件的开发和维护过程中执行安全措施的证据。5.1.2.9测试
5.1.2.9.1范围
开发者应提供测试覆盖的分析结果测试覆盖的分析结果应表明测试文档中所标识的测试与安全功能设计中所措述的安全功能是对应的，且该对应是完备的。
5.1.2.9.2测试深度
开发者应提供测试深度的分析。在深度分析中，应说明测试文档中所标识的对安全功能的测试，足以表明该安全功能和高层设计是一致的。
5.1.2.9.3功能测试
开发者应测试安全功能将结果文档化并提供测试文档。测试文档应包括测试计划、测试过程、预期的测试结果和实际测试结果。测武计划应标识要测试的安全功能，并描述测试的目标。测试过程应标识要执行的测试，并描述每个安全功能的测试概况，这些概况包括对其他测试结果的顺序依赖性。期望的测试结果应表明测试成功后的预期输出。实际测试结果应表明每个被测试的安全功能能按照规定进行运作。5.1.2.9.4独立性测试
开发商应提供用于适合测试的部件，且提供的测试集合应与其自测产品功能时使用的测试集合相一致。
5.1.2.10脆弱性评定
5.1.2.10.1指南检查
开发者应提供指南性文档。
在指南性文档中，应确定对隔离部件的所有可能的操作方式（包括失败和操作失误后的操作）、它们的后果以及对于保持安全操作的意义。指南性文档中还应列出所有目标环境的假设以及所有外部安全措施（包括外部程序的、物理的或人员的控制）的要求。指南性文档应是完备的、清晰的、一致的、合理的。
5.1.2.10.2脆弱性分析
-YYKAONTKAca
GB/T20279—2006
开发者应从用户可能破坏安全策略的明显途径出发，对隔离部件的各种功能进行分析并提供文档。对被确定的脆弱性，开发者应明确记录采取的措施，对每一条脆弱性，应有证据显示在使用隔离部件的环境中该脆弱性不能被利用。在文档中，还需证明经过标识脆弱性的隔离部件可以抵御明显的穿透性攻击。5.2单向隔离部件
5.2.1基本级要求
5.2.1.1访问控制
5.2.1.1.1安全属性定义
对于信息存储与传输部件（主要是处于不同安全域的存储设备、网络接人设备），单向隔离部件应为其设定唯一的、为了执行安全功能策略所必需的安全属性。5.2.1.1.2属性修改
单向隔离部件安全功能应向端设备用户提供修改与安全相关属性的参数的能力。5.2.1.1.3属性查询
单向隔离部件安全功能应向端设备用户提供安全属性查询的能力。5.2.1.1.4访问授权与拒绝
单向隔离部件的安全功能应对被隔离的计算机信息资源提供明确的访问保障能力和访问拒绝能力。在技术上确保！?
a）在信息物理传导上使内外网络隔断，确保内部网不能通过网络连接到外部网：同时保证限定外部网信息只能通过特定存储区域转移至内部网存储区域，从而阻止内部网信息通过网络连接泄露到外部网。
b）在信息物理存储上隔断两个网络环境，对于断电后会逸失信息的部件，如内存，寄存器等暂存部件，要在网络转换时作清零处理，防止遗留信息审网，对于断电后不会逸失信息的设备，如磁带机、硬盘等存储设备，内部网与外部网信息要分开存储并以硬件手段保证其特定的访问控制；对移动存储介质，如光盘，软盘、USB硬盘等，应在网络转换前提示用户干预。5.2.1.2配置管理
开发者应为隔高部件产品的不同版本提供唯一的标识。隔离部件产品的每个版本应当使用它们的唯一标识作为标签。5.2.1.3交付与运行
5.2.1.3.1交付
开发者应使用一定的交付程序交付单向隔离部件，并将交付过程文档化。交付文档应描述在给用户方交付单向隔离部件的各版本时，为维护安全所必需的所有程序。5.2.1.3.2安装生成
开发者应提供文档说明单向隔离部件的安装、生成和启动的过程。5.2.1.4安全功能开发过程
5.2.1.4.1功能设计
开发者应提供隔离部件产品的安全功能设计。功能设计应以非形式方法来描述安全功能与其外部接口，并描述使用外部安全功能接口的目的与方法，在需要的时候，还要提供例外情况和错误信息的细节。安全功能设计应是内在一致的并能完备地表示安全功能。5.2.1.4.2表示对应性
开发者应在隔离部件安全功能表示的所有相邻对之间提供对应性分析。对于隔离部件安全功能表示的每个相邻对，分析应阐明：较为抽象的安全功能表示的所有相关安全
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。