【儀表網 行業標準】近日,由公安部第三研究所 、國家工業信息安全發展研究中心等單位起草的,由 TC260(全國信息安全標準化技術委員會)歸口的國家標準計劃《信息安全技術 網絡和終端隔離產品技術規范》征求意見稿已編制完成,現公開征求意見。
本文件按照GB/T 1.1—2020《標準化工作導則 第1部分:標準化文件的結構和起草規則》的規定起草。
本文件代替GB/T 20279-2015《信息安全技術 網絡和終端隔離產品安全技術要求》和GB/T 20277-2015《信息安全技術 網絡和終端隔離產品測試評價方法》,文件名稱修改為《信息安全技術 網絡和終端隔離產品技術規范》,與GB/T 20279-2015和GB/T 20277-2015相比,除結構調整和編輯性改動外,主要技術變化如下:
——修改原標準中網絡隔離類產品的產品分類;(見第 5 章);
——增加了概述(見第 5 章);
——增加了“類型與結構”要求(見 6.1.1);
——修改了原標準中的“信息流控制策略”要求(見 6.1.2.1);
——修改了原標準中的“信息流控制功能”要求(見 6.1.2.2);
——修改了原標準中“殘余信息保護”和“抗重放” 兩個要求為“客體重用”要求(見 6.1.2.8);
——增加了“應用及協議支持”要求(見 6.1.3);
——增加了“信息過濾”要求(見 6.1.4);
——修改了原標準中的“強制訪問控制”和“標記”兩個要求為“標記和強制訪問控制”要求(見6.1.5);
——修改了原標準中的“抗攻擊”要求為“攻擊防護”要求(見 6.1.6);
——修改了原標準中的“域隔離”要求為“安全隔離”要求(見 6.1.7);
——修改了原標準中的“容錯”要求為“高可用”要求(見 6.1.8);
——增加了“聯動”要求(見 6.1.12);
——修改了原標準中的“環境適應性要求”要求為“IPv6 支持”要求(見 6.1.13);
——增加了“虛擬化部署”要求(見 6.1.14);
——增加了“自身安全要求”章節(見 6.2);
——增加了“系統安全”要求(見 6.2.5);
——修改了原標準中的“性能要求”(見 6.3);
——修改了原標準中的“安全保障要求”(見 6.4);
——增加了規范性附錄(見附錄 A、附錄 B)。
本文件規定了網絡和終端隔離產品的分類、級別劃分、安全技術要求及測評方法。本文件適用于網絡和終端隔離產品的設計、開發與測試。
類型與結構的測評方法如下:
a) 測評內容:
1) 檢查終端隔離產品是否為隔離卡形式,或者包括內部主機、外部主機和隔離卡,是否應僅通過隔離卡同時連通內部網絡和硬盤,或者外部網絡和硬盤的方式,實現內外兩個安全域的物理斷開;
2) 檢查協議轉換產品是否以二主機加專用隔離部件的方式組成,即由內部處理單元、外部處理單元和專用隔離部件組成,專用隔離部件是否滿足協議轉換的要求;
3) 檢查網閘是否以二主機加專用隔離部件的方式組成,即由內部處理單元、外部處理單元和專用隔離部件組成,專用隔離部件是否滿足協議轉換和信息擺渡的要求;
4) 檢查網絡單向導入產品是否以雙機方式組成,即數據發送處理單元和數據接收處理單元,雙機之間采用單向傳輸部件相連,單向傳輸部件是否以單向傳輸的物理特性建立數據發送和接收處理單元之間唯一的單向傳輸通道。
b) 預期結果:
1) 終端隔離產品包括內部主機、外部主機和隔離卡,僅通過隔離卡同時連通內部網絡和硬盤,或者外部網絡和硬盤的方式,實現內外兩個安全域的物理斷開;
2) 協議轉換產品以二主機加專用隔離部件的方式組成,即由內部處理單元、外部處理單元和專用隔離部件組成,專用隔離部件滿足協議轉換的要求;
3) 網閘以二主機加專用隔離部件的方式組成,即由內部處理單元、外部處理單元和專用隔離部件組成,專用隔離部件滿足協議轉換和信息擺渡的要求;
4) 網絡單向導入產品以雙機方式組成,即數據發送處理單元和數據接收處理單元,雙機之間采用單向傳輸部件相連,單向傳輸部件以單向傳輸的物理特性建立數據發送和接收處理單元之間唯一的單向傳輸通道。
c) 結果判定:
實際測評結果與相關預期結果一致則判定為符合,其他情況判定為不符合。
脆弱性評定的測評方法如下:
a) 測評內容:
1) 從用戶可能破壞安全策略的明顯途徑出發,按照安全機制定義的安全強度級別,對產品進行脆弱性分析;
2) 判斷產品是否能抵抗基本型攻擊;
3) 判斷產品是否能抵抗中等型攻擊。
b) 預期結果:
1) 測試結果應表明產品能抵抗基本型攻擊;
2) 測試結果應表明產品能抵抗中等型攻擊。
c) 結果判定:
實際測評結果與相關預期結果一致則判定為符合,其他情況判定為不符合。
更多詳情請見附件。
所有評論僅代表網友意見,與本站立場無關。