SJ20849-2002 军用通信网络管理通用安全要求

SJ20849-2002 军用通信网络管理通用安全要求 范围 1.1主题内容 本标准对军用通信网络管理（以下简称网络）系统而临的安全威胁，规定了相应的安全服务、实的要求. 现这些服务的安全机制、服务利之问题彻壁设有关安全系统管理功能等方面 1.2 适用范围 本标准适用于苹用通信网络管理系统安全分系统的设计、研器、运行，以及网管系统的安全性评估等场合.2引用文件 GB/T 931798息技术放系统基本参考模型1分型（idt ISO/IEC 7498-1：199 GB/T91821p95总系统工迮 基本参第全体结构（idt ISO 7498-2：1989） GB/T 9181p96信息处理系统元基本参第4分管理板架（idt ISOMEC 74984S GB/T 16262-46技术开收系统店评 （ASNA）iet ISO 8824：1990） GB/T 162686开放系统立连 别框架 dt40ΛEE9594-8：1990） GB/T 16644-19技术 开放系统互连 公共管理信息服务定dSO/EC 9595：1991） GB/T 16645.1-99息技术开放系统互连公共管理息t（idt ISO/EC 9596-1： 1991 GB/T16688-1996 信息技术 开放热 形系驻券元来协议规范（idt ISO 8650：1988）GB/T 16687-1996联系务元索服务定义（idt ISO 8649：1988）GB/T 17142-1997 信息技术 开放系统江建 系统管理综述（idt ISO/IEC 10040：1992）GB/T 17143.1-1997信息技术 开放系统互连 系统管理：客体管理功能（idtISO/EC 10164-1： 1993） GB/T 17143.2-1997 信息技术 开放系统互连 系统管理：状态管理功能（idt ISO/EC 10164-2： 1993） GB/T 17143.4-1997 信息技术 开放系统互连 系统管理：告警报告功能（idt ISO/IEC 10164-4： 1992） GB/T 17143.5-1997 信息技术 开放系统互连 系统管理：事作报告管理功能（idt ISO/EC 10164-5：1993） GB/T 17143.6-1997 信息技术 开放系统互连系统管理：日志控制功能（idt ISO/EC 10164-6： 1993 GB/T 17143.7-1997 信息技术 开放系统互连 系统管理：安全告警报告功能（idt ISOMEC 10164-7：1992） GB/T 17143.8-1997 信息技术 开放系统连 系统管理：安全审计跟踪功能（idt ISOMIEC 10164-8：1993） GB/T 17175.1-1997 信息技术 开放系统互连 管理信息结构 第 1 部分：管理信息模型（idt ISOIEC 10165-1.1993） GB/T 17175.2—1997 信息技术 开放系统互连 管理信息结构 第 2 部分：管理信息定义（idt ISOMEC 10165-2：1992） GB/T 17175.4-1997 信息技术 开放系统工连 管理信息结构 第 4 部分：被管客体定义指南 （idt ISОЛЕС 10165-4：1992） ISO/IEC 10164-9：1995 信息技术 开放系统互连 系统管理：访问控制的客体和属性ISOMEC 10181-3：1996 信息技术 开放系统互连 开放系统安全框架：访问控制框架RFC 1157 简单网络管理协议（SNMP） RFC 1904 简单网络管理协议第2版的一致性描述 RFC 2572 简单网络管理协议第 3 版的报文处理及发送（草案标准）RFC 2574 简单网络管理协议第3版基于用户的安全模型 RFC2575 简单网络管理协议第 3版基于视图的访问控制模型 RFC2580 简单网络管理协议第3版的一致性描述 3 定义 3.1术语 GB/T 9387.2 确立的下列术语和定义适用于本标准。 3.1.1 安全标记3.1.2 安全策略3.1.3 安全服务3.1.4 安全审计 3.1.5 安全审计跟踪 一般要求 对于军用通信网络管理系统、必须针对它所面临的安全成胁，明确规定其安全服务、安全机制、两看之间相互关系、两者的管理、有关女全的系统管理功能。 军用通信网络管理系统属于地位和功能特殊的信息系统，基于 OSI 体系结构的军用通信网络管理系统应按照GB/T 9387.4 规定的管理框架和GB/T 9387.2 规定的安全体系结构进行设计：基于 TCP/IP体系结构的军用通信网络管理系统除按照 RFC 1904（SNMP V2）、RFC2574.2575.2580（SNMPV3） 规定的管理协议和安全要求进行设计外，还应建立进一-步的安全机制：基于其它体系结构的军用通信网络管理系统也应建立必要的安全体系结构。本标准只定义基于 OSI 体系结构的军用通信网络管理系统的安全服务和安全机制 军用通信网络管理系统应当在建立安全机制并提供安全服务的基础上，执行有关安全的系统管理功能协议，包括安全告警报告功能、安全审计跟踪功能、访间控制的客体和属性等。 5 详细要求 5.1 网管系统的安全服务 下面各项安全服务是在OS1参考模型的框架内能提供的可选的服务，是网络管理系统基本的安全服务，一些特定安全机制可以用来实现这些基本安全服务的组合。其中的鉴别服务需要鉴别信息，包括本地存贮的信息和为鉴别而传送的数据（凭证）。下面所述 N 层安全服务中 N 的取值根据网络管理系统的具体情况确定。 5.1.1 网管实体鉴别 鉴别服务包括网管通信对等实体鉴别和网管数据原发签别，分述如下。 网管对等实体鉴别 当本服务由（N）层提供时，它向（N+1）层网管实体确证其对等网管实体正是所要求的（N+1）层网管实体 本服务在网管连接建立阶段或在网管数据传送阶段使用，以便确证一个或多个网管实体在同另外一个或多个网管实体相连接时的身份标识。本服务使人相信：仅在使用时间内，某一个网管实体没有尝试冒充另一个网管实体或未经授权重复前一个连接。无论使用或不使用活动性检验，都可以使用对等网管实体之间单向鉴别和相互鉴别机制，提供程度可变的保护。 b.网管数据原发鉴别 当本服务由（N）层提供时，它向（N+1）层网管实体确证某网管数据的原发正是所要求的对等（N+1） 层网管实体。 本服务用于证实网管数据单元原发，但本服务不能防止网管数据单元被复制或修改。