《信息安全技术 网络和终端隔离产品技术规范》征求意见
- 2023/5/19 9:27:45 27232
- 来源:仪表网
【仪表网 行业标准】近日,由公安部第三研究所 、国家工业信息安全发展研究中心等单位起草的,由 TC260(全国信息安全标准化技术委员会)归口的国家标准计划《信息安全技术 网络和终端隔离产品技术规范》征求意见稿已编制完成,现公开征求意见。
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
本文件代替GB/T 20279-2015《信息安全技术 网络和终端隔离产品安全技术要求》和GB/T 20277-2015《信息安全技术 网络和终端隔离产品测试评价方法》,文件名称修改为《信息安全技术 网络和终端隔离产品技术规范》,与GB/T 20279-2015和GB/T 20277-2015相比,除结构调整和编辑性改动外,主要技术变化如下:
——修改原标准中网络隔离类产品的产品分类;(见第 5 章);
——增加了概述(见第 5 章);
——增加了“类型与结构”要求(见 6.1.1);
——修改了原标准中的“信息流控制策略”要求(见 6.1.2.1);
——修改了原标准中的“信息流控制功能”要求(见 6.1.2.2);
——修改了原标准中“残余信息保护”和“抗重放” 两个要求为“客体重用”要求(见 6.1.2.8);
——增加了“应用及协议支持”要求(见 6.1.3);
——增加了“信息过滤”要求(见 6.1.4);
——修改了原标准中的“强制访问控制”和“标记”两个要求为“标记和强制访问控制”要求(见6.1.5);
——修改了原标准中的“抗攻击”要求为“攻击防护”要求(见 6.1.6);
——修改了原标准中的“域隔离”要求为“安全隔离”要求(见 6.1.7);
——修改了原标准中的“容错”要求为“高可用”要求(见 6.1.8);
——增加了“联动”要求(见 6.1.12);
——修改了原标准中的“环境适应性要求”要求为“IPv6 支持”要求(见 6.1.13);
——增加了“虚拟化部署”要求(见 6.1.14);
——增加了“自身安全要求”章节(见 6.2);
——增加了“系统安全”要求(见 6.2.5);
——修改了原标准中的“性能要求”(见 6.3);
——修改了原标准中的“安全保障要求”(见 6.4);
——增加了规范性附录(见附录 A、附录 B)。
本文件规定了网络和终端隔离产品的分类、级别划分、安全技术要求及测评方法。本文件适用于网络和终端隔离产品的设计、开发与测试。
类型与结构的测评方法如下:
a) 测评内容:
1) 检查终端隔离产品是否为隔离卡形式,或者包括内部主机、外部主机和隔离卡,是否应仅通过隔离卡同时连通内部网络和硬盘,或者外部网络和硬盘的方式,实现内外两个安全域的物理断开;
2) 检查协议转换产品是否以二主机加专用隔离部件的方式组成,即由内部处理单元、外部处理单元和专用隔离部件组成,专用隔离部件是否满足协议转换的要求;
3) 检查网闸是否以二主机加专用隔离部件的方式组成,即由内部处理单元、外部处理单元和专用隔离部件组成,专用隔离部件是否满足协议转换和信息摆渡的要求;
4) 检查网络单向导入产品是否以双机方式组成,即数据发送处理单元和数据接收处理单元,双机之间采用单向传输部件相连,单向传输部件是否以单向传输的物理特性建立数据发送和接收处理单元之间唯一的单向传输通道。
b) 预期结果:
1) 终端隔离产品包括内部主机、外部主机和隔离卡,仅通过隔离卡同时连通内部网络和硬盘,或者外部网络和硬盘的方式,实现内外两个安全域的物理断开;
2) 协议转换产品以二主机加专用隔离部件的方式组成,即由内部处理单元、外部处理单元和专用隔离部件组成,专用隔离部件满足协议转换的要求;
3) 网闸以二主机加专用隔离部件的方式组成,即由内部处理单元、外部处理单元和专用隔离部件组成,专用隔离部件满足协议转换和信息摆渡的要求;
4) 网络单向导入产品以双机方式组成,即数据发送处理单元和数据接收处理单元,双机之间采用单向传输部件相连,单向传输部件以单向传输的物理特性建立数据发送和接收处理单元之间唯一的单向传输通道。
c) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
脆弱性评定的测评方法如下:
a) 测评内容:
1) 从用户可能破坏安全策略的明显途径出发,按照安全机制定义的安全强度级别,对产品进行脆弱性分析;
2) 判断产品是否能抵抗基本型攻击;
3) 判断产品是否能抵抗中等型攻击。
b) 预期结果:
1) 测试结果应表明产品能抵抗基本型攻击;
2) 测试结果应表明产品能抵抗中等型攻击。
c) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
更多详情请见附件。
全部评论