GAT387-2002 计算机信息系统安全等级保护网络技术要求

GB 17859-1999《计算机信息系统安全保护等级划分准则》是我国计算机信息系统安全等级管理 的重要标准，已于 1999年9月 13日发布。为促进安全等级管理工作正常有序地开展，特制定一系列相 关的标准，包括: — 计算机信息系统安全等级保护技术要求系列标准; — 计算机信息系统安全等级保护管理要求; — 计算机信息系统安全等级保护工程实施要求; — 计算机信息系统安全等级保护评测系列标准。 其中，计算机信息系统安全等级保护技术要求系列标准由以下标准和其他相关标准组成: GA/T 390-2002 计算机信息系统安全等级保护通用技术要求; GA/T 387-2002 计算机信息系统安全等级保护网络技术要求; GA/T 388-2002 计算机信息系统安全等级保护操作系统技术要求; GA/T 389-2002 计算机信息系统安全等级保护数据库管理系统技术要求。 本标准是计算机信息系统安全等级保护技术要求系列标准的第2项。 本标准的附录A是资料性附录。 本标准由中华人民共和国公安部公共信息网络安全监察局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标准是计算机信息系统安全等级保护技术要求系列标准的重要组成部分，用以指导设计者如何 设计和实现具有所需要的安全等级的网络系统，主要从对网络系统的安全保护等级进行划分的角度来 说明其技术要求，即主要说明为实现 GB 17859-1999中每一个安全保护等级的安全要求对网络系统 应采取的安全技术措施，以及各安全技术要求在不同安全保护等级中具体差异 本标准按GB 17859-1999五个安全保护等级的划分，对每一个安全保护等级的安全功能技术要 求和安全保证技术要求做了详细描述。本标准中有关概念的说明见附录 A。本标准参考的主要文件列 在参考文献中。 范围 本标准规定了按GB 17859-1999对网络系统进行安全保护等级划分所需要的详细技术要求。 本标准适用于按 GB 17859—1999 的要求所进行的网络系统的设计和实现。按 GB 17859-1999 的要求对网络系统进行的测试、管理也可参照使用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款，凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB17859-1999 计算机信息系统 安全保护等级划分准则GA/T 390-2002 计算机信息系统安全等级保护通用技术要求3 术语和定义 GB 17859—1999 和GA/T 390--2002中确立的术语和定义适用于本标准。 4 网络安全组成与相互关系 根据idt ISO 7498-2：1989的参考模型和GB 17859-1999所规定的安全保护等级和安全要素、网1络安全的组成与相互关系如表 1 所示。 对于网络系统的每个协议层，如物理层、链路层、网络层、会话层、表示层、以及应用层，都可按GB 17859—1999的要求进行设计。 在各层中，安全要素的实现方法应有所不同，本标准分别从物理层、链路层、网络层、会话层、表示层及应用层对 GB 17859—1999 中的各项安全要素在每个安全保护等级中应采用的安全技术和机制提出要求。对于每一个安全要素，则根据其提供的安全功能和安全保证来区分各个安全保护等级的差别。 a）基本标识：应在TSF实施所要求的动作之前，先对提出该动作要求的用户进行标识。 b）唯一性标识：应确保所标识用户在计算机信息系统生命周期内的唯一性，并将用户标识与审计相关联。 c）标识信息管理：应对用户标识信息进行管理、维护，确保其不被非授权地访问、修改或删除。 5.1.2 用户鉴别 a）基本鉴别：应在 TSF 实施所要求的动作之前，先对提出该动作要求的用户成功地进行鉴别。 b）不可伪造鉴别：应检测并防止使用伪造或复制的鉴别数据，一方面，要求 TSF 应检测或防止由任何别的用户伪造的鉴别数据；另一方面，要求TSF应检测或防止当前用户从任何其他用户处复制的鉴别数据的使用。 c）一次性使用鉴别：应能提供一次性使用鉴别数据操作的鉴别机制，即 TSF 应防止与已标识过的鉴别机制有关的鉴别数据的重用。 d）多机制鉴别：应能提供不同的鉴别机制，用于鉴别特定事件的用户身份，并且 TSF 应根据所描述的多种鉴别机制如何提供鉴别的规则，来鉴别任何用户所声称的身份。 e）重新鉴别：应有能力规定需要重新鉴别用户的事件，即TSF应在需要重鉴别的条件表所指示的条件下，重新鉴别用户。例如，用户终端操作超时被断开后，重新连接时需要进行重鉴别。 5.1.3 用户 主体绑定 在TCB安全功能控制范围之内，对一个已标识和鉴别的用户，为了要求TSF完成某个任务，需要激活另一个主体（如进程），这时，要求通过用户-主体绑定将该用户与该主体相关联，从而将用户的身份与该用户的所有可审计行为相关联。 5.1.4 鉴别失败处理 要求TSF为不成功的鉴别尝试次数（包括尝试数目和时间的阈值）定义一个值，以及明确规定达到该值时所应采取的动作。鉴别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数目相同的情况，并进行预先定义的处理。 5.2 自主访问控制 5.2.1 访问控制策略 TSF 应按确定的自主访问控制安全策略进行设计，实现对策略控制下的主体与客体间操作的控制。可以有多个自主访问控制安全策略，但它们必须独立命名，且不能相互冲突。常用的自主访问控制策略包括：访问控制表访问控制、目录表访问控制、权能表访问控制等。 5.2.2 访问控制功能 TSF 应明确指出采用一条命名的访问控制策略所实现的特定功能，说明策略的使用和特征，以及该策略的控制范围。