GBT17900-1999 网络代理服务器的安全技术要求

范围 本标准规定了网络代理服务器的安全技术要求，并作为网络代理服务器的安全技术检测依据2 定义 2.1 用户 user一个远离代理服务器并与代理服务器相互作用的个人，他没有能够影响代理服务器安全策略执行的特权， 2.2 授权管理员 authorized administrator任何具有旁路或规避代理服务器安全策略权限的经鉴别过的个人。本标准中，“授权管理员"特指代理服务器的管理员，但其职责不包括网络管理。 2.3 主机 host一个远离代理服务器并与代理服务器相互作用的计算机，它没有能够影响代理服务器安全策略执行的特权 2.4 可信主机 trusted host任何具有旁路或规避代理服务器安全策略权限的计算机。 w概述 本标准规定了网络代理服务器在低风险环境下的最低安全要求，指出由该类代理服务器所能防止的威胁，定义其实现的安全目标、使用环境以及安全功能和安全保证要求。 网络代理服务器以各种代理服务为基础，通过它提供集中的应用服务，它可以为不同的协议《如Teinet、SMTP、FTP、HTTP等）进行代理、为在内部、外部两个网络之间建立安全可靠的应用服务，网络代理服务器必须具备安全控制手段，只有合法有效的客户要求才由代理服务器提交给真正的服务器，符合本标准规定的网络代理服务器不再局限于代理服务，它必须具有访问控制、应用层内容过滤、数据截获处理、安全审计等，以保证本地网络资源的安全和对外部网络访问的控制。 图1给出代理服务器在网络中的逻辑示意图. 安全环境 遵循本标准的代理服务器应提供访问控制策略，包括身份识别与鉴别、内容过滤、安全审计等，可用于敏感但不保密的信息处理环境。 4.1 安全条件假设 假设在运行环境中存在以下条件： 4.1.1 单输入点（A.SINGLEPT） 如图 1 所示，代理服务器为内部网络与外部网络的唯一连接点。 4.1.2 物理访问控制（A.SECURE） 指代理服务器及相关的控制合在物理上是安全的，而且仅供授权人使用。 4.1.3 通信保护（A.COMMS） 对传输信息的保护应与信息的密级一致，但明确规定以明文传输的信息除外。 4.1.4 用户（A.USER） 代理服务器应提供非一般用途的计算能力，它能对用户交送的各种代理请求进行鉴别和授权，只有授权的管理员才具有直接访问和远程访问的权利。 4.1.5 授权的管理员（A.NOEVIL） 被授权的管理员无恶意和可以信任，并能够正确执行各项职责。 4.2 对安全的威胁 4.2.1 代理服务器应阻止的威胁 4.2-1.1 未授权的逻辑访问（T.LACCESS） 未授权的个人可能得到对代理服务器的逻辑访问权，未授权个人是指具有或者试图得到对系统的访问权的个人，但他不是代理服务器的授权用户。 4.2.1.2 冒用网络地址（T.ISPOOF） 一个主体伪装成另一个主体，试图得到信息访问权。 4.2.1.3 攻击内部受保护网络（T.NATTACK） 攻击者通过高级协议、服务，攻击内部受保护网络或该网络上的某一主机。 4.2.1.4 毁坏审计记录（T.AUDIT） 删除审计存储区文件，使审计记录丢失或毁坏，来逃避检测。 4.2.1.5 修改代理服务器配置及其他安全相关数据（T.DCORRUPT） 修改代理服务器的内部数据结构，篡改代理服务器配置等安全参数。 4.2.1.6 回避身份识别和鉴别机制（T.AUTH） 攻击者试图绕过系统的身份识别和鉴别机制，伪装成一个授权的管理员，或者干扰一个已经创立的进程. 4.2.1.7 受保护网络上的一个有敌意的用户试图向外部用户提供信息（T.INSHARB） 此类威胁涉及的是内部《受保护》网络的用户企图把信息传送给外部网络的非授权用户 4.2.2 由运行环境阻止的威胁 以下威胁可以通过物理控制操作规程或管理手段来防止. 4.2.2.1 受保护网络上的一个有敌意的用户攻击同一网络上的计算机（T.INALL） 此类威胁指来自受保护网络内的对本网络服务功能的攻击，或者对同一网段上的计算机的攻击。 4.2.2.2 对高层协议和服务的攻击（T.SERVICES） 此类威胁针对传输层以上的协议层《和利用这些协议的服务，如超文本传输协议HTTP）中的漏洞。符合本标准的代理服务器可以完全拒绝对特定主机或主机群的访问，但是，如果允许数据包通过的话，那么仍有可能对上述的这些服务攻击。 4.2.2.3 截取传输的信息（T.PRIVACY） 攻击者可能截取通过代理服务器传输的敏感信息。 5 安全目标 5-1 信息技术性安全目标 代理服务器应达到的信息技术安全目标如下。 5.1.1 访问仲裁（O.ACCESS） 目标是通过允许或拒绝从一个主体《发送实体》传到一个客体《接受实体》的信息流，为连接在代理服务器上的两个网络之间提供受控制的访问，这些控制是根据主体、客体的有关参数，由代理服务器生成的状态信息和管理上配置的访问控制规则实现的。 5.1.2 管理员访问（O.ADMIN） 此项目标是仅限授权的管理者才能访问代理服务器，即只允许他们有配置代理服务器的能力. 5-1.3 个体身份记录（O.ACCOUNT） 个体记录提供对用户的记录能力，并允许基于唯一身份对访问作出判定，鉴别为确定身份是否真实提供了方法 51.4 代理服务器的自我保护（O.PROTBCT） 为了成功地达到这一目标，代理服务器应能够从其正在处理的数据中分离出自身的控制信息而保护自己不受外部实体的攻击。此外，代理服务器还应能保护授权管理员的通信会话连接 5.1.5 审计（O.AUDIT） 对于判定是否存在绕过安全策略尝试，是否因配置错误而不知觉地允许了本应拒绝的访问，审计记录起着重要的作用。代理服务器不仅应收集审计数据，还应使其具有可读性并较易使用。审计记录应受到充分保护，并应了解丢失审计记录的可能性有多大，以帮助授权管理员做出正确的安全决定。 5-2 非信息技术安全目标 非信息技术性安全目标是指除代理服务器技术要求之外还需满足的要求，它们不需代理服务器硬件和软件的机制实现。而是通过采用物理的、过程的或管理的方法来达到。