网络基础安全技术要求【参考】.docx

信息安全技术 网络基础安全技术要求 引 言本标准用以指导设计者如何设计和实现具有所需要的安全保护等级的网络系统，主要说明为实现GB 7859—1999中每一个安全保护等级的安全要求，网络系统应采取的安全技术措施，以及各安全技术要求在不同安全保护等级中具体差异。 网络是一个具有复杂结构、由许多网络设备组成的系统，不同的网络环境又会有不同的系统结构。然而，从网络系统所实现的功能来看，可以概括为“实现网上信息 交换”。网上信息交换具体可以分解为信息的发送、信息的传输和信息的接收。从信息安全的角度，网络信息安全可以概括为“保障网上信息交换的安全”，具体表 现为信息发送的安全、信息传输的安全和信息接收的安全，以及网上信息交换的抗抵赖等。网上信息交换是通过确定的网络协议实现的，不同的网络会有不同的协 议。任何网络设备都是为实现确定的网络协议而设置的。典型的、具有代表性的网络协议是国际标准化组织的开放系统互连协议（ISO/OSI），也称七层协 议。虽然很少有完全按照七层协议构建的网络系统，但是七层协议的理论价值和指导作用是任何网络协议所不可替代的。网络安全需要通过协议安全来实现。通过对 七层协议每一层安全的描述，可以实现对网络安全的完整描述。网络协议的安全需要由组成网络系统的设备来保障。因此，对七层协议的安全要求自然包括对网络设 备的安全要求。 信息安全是与信息系统所实现的功能密切相关的，网络安全也不例外。网络各层协议的安全与其在每一层所实现的功能密切相关。附录A．2关于网络各层协议主要 功能的说明，对物理层、链路层、网络层、传输层、会话层、表示层、应用层等各层的功能进行了简要描述，是确定网络各层安全功能要求的主要依据。 本标准以GB/T 20271-2006关于信息系统安全等级保护的通用技术要求为基础，围绕以访问控制为核心的思想进行编写，在对网络安全的组成与相互关系进行简要说明的 基础上，第5章对网络安全功能基本技术分别进行了说明，第6章是对第5章网络安全功能的分级分层情况的描述。在此基础上，本标准的第7章对网络安全技术的 分等级要求分别从安全功能技术要求和安全保证技术要求两方面进行了详细说明。在第7章的描述中除了引用以前各章的内容外，还引用了GB/T 20271-2006中关于安全保证技术要求的内容。由于GB/T 20271-2006的安全保证技术要求，对网络而言没有需要特别说明的内容，所以在网络基本技术及其分级分层的描述中没有涉及这方面的内容。 ?信息安全技术 网络基础安全技术要求 ?1 范围 本标准依据GB 17859-1999的五个安全保护等级的划分，根据网络系统在信息系统中的作用，规定了各个安全等级的网络系统所需要的基础安全技术的要求。 本标准适用于按等级化的要求进行的网络系统的设计和实现，对按等级化要求进行的网络系统安全的测试和管理可参照使用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其随后的所有修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T20271-2006 信息安全技术 信息系统通用安全技术要求 3 术语、定义和缩略语 3.1 术语和定义 GB 17859—1999确立的以及下列术语和定义适用于本标准。 3.1.1 网络安全 network security 网络环境下存储、传输和处理的信息的保密性、完整性和可用性的表征。 3.1.2 网络安全基础技术 basis technology of network security 实现各种类型的网络系统安全需要的所有基础性安全技术。 3.1.3 网络安全子系统 security subsystem of network 网络中安全保护装置的总称，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的网络安全保护环境，并提供安全网络所要求的附加用户服务。 注：按照GB 17859-1999对TCB（可信计算基）的定义，SSON（网络安全子系统）就是网络的TCB。 3.1.4 SSON安全策略 SS0N security policy 对SS0N中的资源进行管理、保护和分配的一组规则。一个SSON中可以有一个或多个安全策略。 3.1.5 安全功能策略 security function policy 为实现SSON安全要素要求的功能所采用的安全策略。 3.1.6 安全要素 security element 本标准中各安全保护等级的安全技术要求所包含的安全内容的组成成份。 3.1.7 SSON安全功能 SSON secur