信息安全技术 网络和终端隔离产品安全技术要求-编制说明

（一）工作简况任务来源

1.12011年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究修定《信息安全技术网络和终端隔离产品安全技术要求》国家标准（项目名称为“信息安全技术网络单向导入产品安全技术要求”）该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部计算机信息系统安全产品质量监督检验中心（公安部第三研究所）负责主办2012年，TC260根据国家发改委针对下一代互联网的要求，再次下达标准修订任务，本次修订的主要目的是使新一代网络隔离产品具备下一代互联网支持与高性能的要求协作单位

1.2本标准的协作单位有珠海经济特区伟思有限公司、南京神易网络科技有限公司珠海伟思公司是国内最早从事安全隔离卡和网络隔离与信息交换设备研发和生产的单位之一，是国内专业从事网络信息安全产品开发、生产、销售的高科技企业，是国家认定的双软企业，公司在国内有完整的销售网络和售后服务体系，公司在产品销售的基础上提供全面的网络信息安全服务（安全整体解决方案）珠海伟思公司自主开发的网络安全隔离卡系列产品、VieCA在线身份认证系统和ViGap隔离网闸是伟思公司的三大主流产品，在国内务系统建设中必须解决的技术问题信息安全与交换产品的产品形式开始分化、增多，并逐渐成为电子政务信息系统必须配置的设备，由此开始，信息安全与交换产品与技术在我国快速兴起，成为我国信息安全产业发展的一个新的增长点国家发展改革委办公厅在关于组织实施2012年国家下一代互联网信息安全专项有关事项的通知（发改办高技

[2012]287号）中明确，高性能安全隔离与信息交换系统作为发改委重点扶持发展的10类下一代信息安全产品之一由此表明网络隔离与信息安全交换产品在下一代互联网信息安全产品中的地位而目前的隔离部件国标，并没有涉及下一代互联网的相关技术内容，因此，编制基于下一代互联网的网络隔离与信息交换产品国标显得尤为迫切由于网络和终端隔离产品的形态和要求都发生了较大的变化，GB/T20279-2006《信息安全技术网络和终端设备隔离部件安全技术要求》经过八年的发展之后，不再适用于新形势的发展，必须对此进行修订本标准的编制目标是1）为国家等级保护建设提供支持等级保护的对象是系统安全，系统安全的基础是信息安全产品作为在重要信息系统中使用的基于下一代互联网的安全隔离与信息交换设备，必须制定一个满足国家信息安全等级保护建设需求的标准;2）为基于下一代互联网的安全隔离与信息交换设备生产提供指导;3）为国家信息安全产品管理部门与第三方测评机构对该类产品进行管理与测评提供依据b）确定编制内容根据《任务书》的要求，编制组的主要任务为研究适用于下一代互联网的高性能网络隔离与终端隔离产品安全技术要求；标准编制的主要内容为安全功能要求、安全保证要求、性能要求和IPv6适用性的内容从修订要点上概括，首先新标准必须适应基于IPv6的国家下一代互联网技术的发展;其次，新标准必须提出更高的性能指标；最后，新标准必须提出更高的安全性要求c）编制工作简要过程2011年12月，在前期调研和工作积累的基础上，公安部第三研究所检测中心组织由陆臻、顾健、沈亮、邹春明、张笑笑、吴其聪、俞优、顾建新、左安骥、刘斌等组成的标准编制组，进行标准编制工作，并于2012年12月底完成了标准草案的编制工作；2012年6月，在标准草案的基础上，编制组广泛征求相关隔离产品厂商的意见，编制完成了《信息安全技术网络和终端隔离产品安全技术要求》草案（第一稿）；该稿主要增加了以下内容——增加单向导入产品的内容；——将2类终端隔离产品合并为一类；——将2类网络隔离产品合并为一类；——将等级划分由三级划分为两级2012年9月，国家发改委组织了下一代互联网信息安全专项，并编制实施了《国家下一代互联网信息安全专项高性能安全隔离与信息交换系统测评方案》（FGBGJ

[2012]287CPFA-05）,对安全隔离与信息交换系统提出了高性能和支持下一代互联网的要求，并对8款被测产品进行了测试2013年3月，在征求意见稿第一稿的基础上，结合一代互联网信息安全专项的测试要求与经验，编制组广泛征求相关隔离产品厂商的意见后，编制完成了《信息安全技术网络和终端隔离产品安全技术要求》草案（第二稿）；该稿主要增加了以下内容——增加信息流控制的内容；——增加抗攻击的要求；——增加域隔离的要求；——增加容错的要求；——增加独立管理接口的要求2013年6月，WG5对本标准召开了标准评审会，与会专家审查标准文本并对有关问题进行了质询后提出了修改意见，编制组据此对标准进行了修改，形成了《信息安全技术网络和终端隔离产品安全技术要求》草案第三稿）；改稿主要修改了以下内容——采用YD标准将RFC标准进行替换；——对产品典型应用环境图进行了重新表述2013年8月，WG5面向各成员单位对本标准进行了投票投票单位包括江南天安、华北计算技术研究所、中科网威、中国信息安全测评中心等，对本标准提出了一些具体的修改意见编制组根据意见进行了修改，形成了《信息安全技术网络和终端隔离产品安全技术要求》征求意见稿2013年9月，WG5邀请标准化专家冯惠老师对标准做了格式上审查，提出了标准在格式上所存在的问题编制组根据意见对存在的问题进行了现场修改国家标准主要起草人及其所做的工作

1.4陆臻作为项目负责人总体负责标准编制，包括制定工作计划、确定修订内容顾健、沈亮主要负责标准的前期调研、对标准现状分析、参考标准文献资料以及标准编制过程中的技术支持邹春明、张笑笑、吴其聪、李旋、左安骥、刘斌主要负责标准各个版本的修订、意见汇总的处理、编制说明的编写等工作俞优、顾建新主要负责向厂商征求意见与反馈、商务支持、会务支持、标准装订等工作标准项目负责人基本情况姓名陆臻学历（或职称）硕士（副研究员）电话021-64336810T209传真021-64335838电子邮件f lanker@mctc.gov.cn1）承担过的重要项目和发表的重要学术论文项目负责人（共5项）公安部应用创新计划项目“互联网上网服务营业场所信息安全管理・系统测试平台”（2006YYCXGASS037）（已验收完成）“十一五”国家科技支撑计划项目“重点领域认证认可推进工程”•子任务“安全隔离与信息交换产品认证方法研究”（2008BAK42B06）（已验收完成）公安理论及软科学研究计划项目“虚拟人、虚拟社区、虚拟社会行为及・管控措施研究”（2008LLYJGASS089）（已验收完成）个人防火墙国标预研项目（已验收完成）•项目参与（共2项）2005YYCXGASS054公安部应用创新计划“反垃圾邮件产品检测工具研•发”（已验收完成）2007YYCXGASS134公安部应用创新计划“信息过滤产品检测工具”•2）标准编制情况GB/T20277—2006信息安全技术网络和终端设备隔离部件测试评价•方法GB/T20279—2006信息安全技术网络和终端设备隔离部件安全技术•要求GB/T25066—2010信息安全技术信息安全产品类别与代码•GA370-2001端设备隔离部件安全技术要求•GA557-2005互联网上网服务营业场所信息安全管理代码•GA558-2005互联网上网服务营业场所信息安全管理系统数据交换格•式・GA559-2005互联网上网服务营业场所信息安全管理系统营业场所端功能要求GA560-2005互联网上网服务营业场所信息安全管理系统营业场•所端与营业场所经营管理系统接口技术要求GA561-2005互联网上网服务营业场所信息安全管理系统管理端•功能要求GA562-2005互联网上网服务营业场所信息安全管理系统管理端接口•技术要求GA658-2006互联网公共上网服务场所信息安全管理系统信息代码•GA659-2006互联网公共上网服务场所信息安全管理系统数据交换格•式GA660-2006互联网公共上网服务场所信息安全管理系统上网服务场•所端功能要求GA661-2006互联网公共上网服务场所信息安全管理系统远程通讯端•功能要求GA662-2006互联网公共上网服务场所信息安全管理系统上网服务场•所端接口技术要求GA663-2006互联网公共上网服务场所信息安全管理系统远程通讯端•接口技术要求GA/T696-2007信息安全技术单机防入侵产品安全功能要求•信息安全技术内网管理系统要求系列标准（行标送审稿）•GA/T695-2007信息安全技术网络通讯安全审计数据留存功能要求•・GA/T697-2007信息安全技术静态网页恢复产品安全功能要求•GA/T698-2007信息安全技术信息过滤产品安全功能要求3）论文发表情况•信息安全等级保护标准编制中等级划分的一点体会，第二十次全国计算机安全学术交流会论文集

2005.08,第一作者•隔离部件类产品现状，信息网络安全，

2007.04,第一作者•从一个实例看常规软件测试与安全测试的关系，信息网络安全，

2008.02,第一作者•正交试验方法在IDS测试中的应用，信息网络安全，

2010.02,第一作者•The applicationof ISO/IEC TR15446:2004in theprocess ofcompilationof Chinesenational standard“GB/T20279-2006”,11th InternationalCommon CriteriaConference,

2010.09,第一作者•A Surveyof SecuritySeparation Technologyand Products（发表于ICCSNT2011,2011年发表,EI检索号:第一作者•The Applicationof ISO/IEC TR15446in theCompilation ofChineseNational StandardGB/T20279（发表于BMEI2012）,第一作者•Study onthe Formulationof SeparationComponent StandardsofChina（发表于ICEE2012）,第一作者

（二）国家标准编制原则和确定国家标准主要内容一,）编制原则本标准符合我国的实际情况，遵从我国有关法律、法规的规定具体原则与要求如下实用性原则

1.标准必须是可用的，才有实际意义，本标准在修订过程中严格按照流程对产品的现状、技术等相关领域展开系统的、全面的调研工作,注重与相关产品生产单位的交流，使得标准更贴近产品实际情况，保证操作性先进性原则

2.标准是先进经验的总结，同时也是技术的发展趋势要制定出先进的国家标准，必须广泛了解市场上主流产品的功能，吸收其精华,制定出具有先进水平的标准尤其是适用性与高性能方面，更是要体现出这IPv6一原则兼容性原则

3.本标准与我国现有的政策、法规、标准、规范等相一致修订组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规二）主要内容本标准包括范围、规范性引用文件、术语和定义、网络和终端隔离产品描述、安全功能要求、安全保证要求、环境适应性要求和性能要求8个部分关键内容阐述如下、安全功能要求1终端隔离产品的安全功能要求等级划分如表所示1表终端隔离产品安全功能要求等级划分表1安全功能基本级增强级安全属性定义V V属性修改V V属性查询V V访问授权与拒绝V V网络非法外联—V访问控制切换信号一致性V V硬盘非法调换—V口令保护V V内存及USB端口的物V V理隔离不可旁路V V客体重用V V网络隔离产品的安全功能要求等级划分如表所示2表网络隔离产品安全功能要求等级划分表2安全功能基本级增强级基本的信息流控制V V束哈增强的信息流控制V—访问控制束哈基本的信息流控制V V功能增强的信息流控制V—功能强制访问控制—V残余信息保护V V不可旁路V V抗攻击V V区分安全管理角色V V安全管理管理功能V V独立管理接口V V敏感标记—V基本安全属性定义V V标识与鉴别增强的安全属性定V—义同类产品中居领先地位伟思研究开发的自主产品一伟思网络安全隔离卡与伟思网络安全隔离集线器，为内外网的物理隔断提供了具有国际领先技术水平的产品南京神易网络科技有限公司是一家专业从事网络安全产品的系统集成商和安全服务商，在生产、销售自主品牌的安全产品同时，还为国内著名品牌PC厂商提供安全解决方案南京神易网络科技有限公司在安全隔离卡领域拥有大量自主知识产权，也是国内最早从事安全隔离卡自主研发的公司之一

1.3主要工作过程a）前期调研1）网络单向导入网络单向导入产品用于两个相互隔离的不同安全域之间，通过物理方式（可基于电信号传输或光信号传输）构造信息单向传输的唯一通道，实现信息单向导入，并且保证只有安全策略允许传输的信息可以通过，同时反方向无任何信息传输或反馈根据中华人民共和国国家标准GB/T25066-2010信息安全技术信息安全产品类别与代码的描述，本类产品属于“D边界安全”类网络单向导入产品目前在国内蓬勃发展，开发厂商越来越多（目前国内已有近10家开发厂商），应用场合越来越广（如公安、电力、税务、广电等），而相关标准却严重匮乏厂商与测评机构都陷入了“无标可依、无标可用”的窘境为了应对该类产品开发、检测的需求，公安部十一局批准发布了该类产品的检测规范然而，发布一个更具权属性初始化V V属性修改V V属性查询V V鉴别数据初始化V V鉴别时机V V最少反馈V V多鉴别机制—V鉴别失败处理V V抗重放—V受保护的鉴别反馈—V口令强度—V审计数据生成V V安全审计分析V用户身份关联—V审计记录管理V V审计可理解的格式V V限制审计记录访问V V可选择查阅审计V V防止审计数据丢失V V基本的域隔离V V域隔离增强的域隔离—V容错基本的容错V V增强的容错—V数据完整性数据完整性V V密码支持密码支持V VIPv6核心协议V—RFC246XIPv6协议一IPv6邻居发现协议—VIPv6无状态地址自V致性—动配置IPv6PMTU发现协议—VICPMv6协议—V纯IPv6环境V1一1IPv4/IPv6双栈环境—VIPv6环境适IPv4/IPv6协议转换V—应性环境ISATAP环境—V交换速率—V性能要求系统延时—V

2、安全保证要求网络和终端隔离产品的安全保证要求等级划分如表3所示表3网络和终端隔离产品安全保证要求等级划分表安全保证要求基本级增强级部分配置管理自动化—V版本号V V配置项V V配置管授权控制—V配置管理能力产生支持和接受V理—程序配置管理覆盖—V配置管问题跟踪配置管V理范围—理覆盖交付程序V V交付与运行修改检测V.一口安装、生成和启动程序V V非形式化功能规VV功能规范范充分定义的外部V—接口描述性高层设计V V开发高层设安全加强的高层V计—设计安全功能实现的子集—V描述性低层设计—V非形式化对应性证实V V非形式化产品安全策略模V—型管理员指南V V指导性文用户指南V V档安全措施标识—V生命周开发者定义的生命周期模V期支持型明确定义的开发工具—V测试覆盖证据V V测试覆盖覆盖分析—V测试高层设计—V功能测试V V独立一致性V V测试抽样V V指南审查—V误用分析确认—V产品安全功能强度评估V V开发者脆弱性分V V脆弱性评脆弱析定性分独立的脆弱性分V—析析中级抵抗力—V其中，达到基本级要求的产品安全保证要求内容对应GB/T的级，推荐使用在安全保护等级为第

一、二级的信息

18336.3-2008EAL2系统中；达到增强级要求的产品安全保证要求内容对应GB/T

18336.3-2008的级，推荐使用在安全保护等级为第

三、四级的信息系统中EAL4+

（三）主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果暂不涉及

（四）采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况本标准的编制过程参考了以及的相关ISO/IEC15408ISO/IEC15446思想描述与中的内容及其各部分内容之间的相互关ISO/IEC15446PP ST系的详细指南给出与文档内容的概述，给出了样本目录清单，ISO/IEC15446PP ST给出了目标用户最关心的内容，陈述了与之间的关系，以及PP ST PP与的开发编写过程ST给出编写指南，用于指导与的描述部分的编写，ISO/IEC15446PP ST内容涵盖与的引言、针对用户和使用者的描述以及针对PP STTOE ST作者和开发者的应用注释；用于指导安全环境的定义；用TOE PPTOE于指导编写安全目的，安全目的由及其环境导出；用于指导选择TOE IT安全要求组件，描述了中定义的功能组件和保证组件的ISO/IEC15408使用方法，以及非定义的组件的使用方法；用于指导ISO/IEC15408ST中概要规范的编制；用于指导基本原理的编制；用于指导复合TOE TOE的与的编制，复合是由两个或多个组成；用于指导安PP STTOE TOE全功能包和保证包的构成方法所涉及到的基本概念有ISO/IEC TR15446评估目标TOE Targetof Evaluation产品或系统+相关的管理指南和用户指南文档IT是评估的对象TOE ISO/IEC15408保护轮廓PP ProtectProfile满足特定的消费者需求的，独立于实现的一组安全要求回答“需要什么？”,而不涉及“如何实现？二PP安全目标ST SecurityTarget依赖于实现的一组安全要求和说明与类似，是针对某一特STPP定安全产品而言，与安全环境相关的安全要求与概要设计说明书，TOE可以引用某个些PP回答“提供什么？”、“如何实现？ST通过所提供的编写指南，参照图所示的基本ISO/IEC TR154461PP原理图，标准编制组通过参考制定若干个的过程，并将所采用的PP的安全功能组件进行了本地化处理，结合了中国所实施的ISO/IEC15408信息安全等级保护的一些内容，最终实现了隔离部件国家标准的编制这些改变，主要包括了以下方面）对安全功能要求与安全保证要求进行了分级；a）对的安全功能组件进行重新编排；b ISO/IEC15408）对个别内容根据中国的实际环境与要求进行补充c安全需求安全要求声明IT SOF图基本原理要求1PP网络和终端隔离产品使用环境

4.1网络和终端隔离产品使用环境相关的假设如表所示4表假设4产品假设名称假设描述类别假设攻击者有足够的时间，并具备实施攻击所需的技术知识，拥有电脑和相关设备，动机可能有经济利益、政治利益或其他等极端情况攻击者的能力下，攻击者还有可能是掌握系统底层（包括计算机硬件和操作系统）漏洞的敌对势力假设用户拥有访问终端隔离产品某些管理功能终端的权限对于终端隔离产品而言，本身并不具隔离用户权限备太多有价值的信息，因此权限控制主要就是产品管理权限的控制，所谓的用户，一般也就是指管理员用户假设终端隔离产品的开发者、发行者、管理角色管理者和使用者能被安全地管理假设终端隔离产品被放置在一个安全的物物理安全理环境中并且只能由授权用户访问除了终端隔离产品之外，被分隔的安全域不单点接入再有其他可能的联系途径网络假设攻击者有足够的时间，并具备实施攻击所隔离攻击者的能力需的技术知识，拥有电脑和相关设备，动机可产品能有经济利益、政治利益或其他等极产品假设名称假设描述类别端情况下，攻击者还有可能是掌握系统底层（包括计算机硬件和操作系统）漏洞的敌对势力假设用户拥有访问网络隔离产品某些信息的权限对于网络隔离产品而言，自身所拥有的信息也许并不具备直接的价值，但是这些信息往用户权限往对应着信息系统的应用信息不同的用户权限，往往意味着用户可以获得不同应用系统信息假设管理或使用网络隔离产品的人胜任工管理者能力作假设网络隔离产品的开发者、发行者、管理角色管理者和使用者能被安全地管理外部数据存储假设能以安全的方式管理相关的外部数据假设网络隔离产品被放置在一个安全的物物理安全理环境中并且只能由授权用户访问除了通过网络隔离产品之外，被分隔的安全单点接入域不再有其他可能的联系途径密钥生成假设网络隔离产品中生成的密钥都是安全的产品假设名称假设描述类别假设攻击者有足够的时间，并具备实施攻击所需的技术知识，拥有电脑和相关设备，动机可攻击者的能力能有经济利益、政治利益或其他等极端情况下，攻击者还有可能是掌握系统底层（包括计算机硬件和操作系统）漏洞的敌对势力假设用户拥有访问网络单向导入产品某些信息的权限对于网络单向导入产品而言，自身所拥有的信息也许并不具备直接的价值，但是这用户权限网络单些信息往往对应着信息系统的应用信息不同向导入的用户权限，往往意味着用户可以获得不同应产品用系统信息假设网络单向导入产品的管理员和审计员能胜管理者能力任工作，能够正确地配置和管理设备假设网络单向导入产品的开发者、发行者、角色管理管理者和使用者能被安全地管理假设管理员定期维护网络隔离产品，定期更换系统维护管理员口令，及时升级网络单向导入产品软件版本物理安全假设网络单向导入产品被放置在一个安全威性、更广适用性的国家标准显然意义更大、需求更迫切其必要性及目的阐述如下世界范围内的知识经济时代已经到来，信息产生和传递的速度越来越快，网络以信息量大、时效性强、传播广泛等优势正在越来越多地融入到社会的各个方面，网络应用越来越深地渗透到政府、金融、国防等关键领域，涉密网内部的工作人员，对信息的时效性要求越来越高，需要及时、准确地得到互联网或其他安全域上大量的信息，以便于利用但由于一些网络黑客入侵、病毒攻击等安全事件的不断发生，时刻威胁着重要信息系统的安全，国家相关部门也制定了一些技术与管理的措施如，国家保密局发BMB17-2006文件中规定涉密网不能直接或间接与互联网以及其他公共信息网络连接，必须实行物理隔离物理隔离虽能保障涉密信息系统的安全，却为内部的工作人员的信息交换一一尤其是从低级别安全域向高级安全域导入数据带来了不便用户对不同网络间的应用的需求是信息交换，涉密网络保密的需求是物理隔离如何才能更好的满足这两方面的需求，已成为当前信息安全产品研发与生产的主要目标从互联网及其他低级别安全域网络上传递资料性文件等信息到高级别安全域网络中，如何保证安全？为此国家相关科研机构与厂商从管理上、技术上做了大量的探索，也取得了一定的成果；但现有的几种解决办法仍存在不足之处如何满足对文件传递的单向性、安全性、易用性、经济性的要求？如何同时实现这几个要求？公司的技术产品假设名称假设描述类别的物理环境中并且只能由授权用户访问，管理控制台、管理员USBKEY密匙等得到了妥善的保管，只能由授权管理人员使用除了通过网络单向导入产品之外，被分隔的单点接入安全域不再有其他可能的联系途径假设网络单向导入产品部署环境具备安全可靠的时间戳可靠的时间戳假设网络单向导入产品网络连接方向正确，确连接方向保信息流由发送方的安全域单向流入接收方的安全域假设网络隔离产品中使用的密钥都是安全密钥使用存储的，密钥长度和算法强度是恰当的网络和终端隔离产品安全环境相关的安全风险如表5所示表5安全风险产品风险名称风险描述类别终端对于终端隔离产品而言，必须保证在两个切换客体重用隔离的系统之间保持不存在可以重用的客体；口Tfe厂口风险名称风险描述口一但形成客体重用（例如，切换时没有将内广口口存数据清除），则会造成隔离的失败由于电子开关的故障导致系统切换时存储介质切换器故障与网络的切换不同步，最终造成隔离失败操作人员误将当前系统所在的安全域搞错，进而通过手动拷贝引起不同安全域信息错操作错误误的交互操作人员在切换时没有将与本安全域相对应的遗忘存储介质存储介质移除，进而引起不同安全域信息错误的交互非授权用户可能利用身份认证机制的脆弱性，采用口令猜测、网络抓包、社会工程、中间人非授权访问攻击、IP欺骗等攻击手段试图伪造用户身份通网络过身份鉴别，非授权获得对受保护资源的访问隔离许可*口广口口攻击者可能利用网络隔离产品的脆弱性，采用高级逃逸技术，如IP分片逃逸、重叠逃逸、添旁路加多余字节逃逸等技术，试图绕过网络隔离产品安全功能的检查，直接连接和访产品风险名称风险描述类别问受保护资源是指被授予明确指定的访问权限的合法用户，利用网络隔离产品授权机制的缺陷，试图超越授权范围获得资源访问许可的可能越权访问性，如授权用户访问未被授权的资源，普通用户账号越权使用授权管理员的权限进行设备管理和审计操作等行为对于网络隔离产品而言，由于多用户共同使用这一系统，且数据落地后通过信息摆渡进行交换，因此内、外端处理单元内存和专用隔离部件缓存中可能存在之前用户未完全残余信息泄露清除敏感数据的存储空间被重新分配给新用户使用的可能，从而导致客体重用的情况出现，新用户因此可能获得之前用户访问资源过程中残留的账号、口令、操作行为、收发数据等残余敏感信息攻击者试图利用扫描和嗅探技术获取受保护安全域中主机的系统信息，并通过系统信息发现渗透攻击潜在漏洞，最后利用漏洞攻击并控制受保护主机产品风险名称风险描述类别用户或攻击者做了某些操作以后，例如发送邮抵赖件不承认或无法追踪到这些操作攻击者可能利用网络隔离产品的缺陷获取系统自身安全性的控制权，覆盖或替换执行安全功能的主要程序，破坏安全防护机制攻击者采用重放攻击方法，即攻击者截获网络重放上的密文信息后，并不将其破译，而是再次转发这些数据包，以实现其恶意目的攻击者将远程控制指令、非法应用层协议指令伪装或隐藏在正常网络层协议的信息流中传输应用层恶意攻击的方法，攻击或远程控制受保护安全域的主机，这样的威胁一般的包过滤手段无法防范恶意程序或恶意用户通过将敏感信息隐藏在正敏感信息流出常协议的通讯流中进入非受控安全域，这样的威胁一般的包过滤手段无法防范非授权用户可能利用身份认证机制的脆弱性，网络单采用口令猜测、网络抓包、社会工程、中间人非授权访问向导入攻击、IP欺骗等攻击手段试图伪造用户身份通产品过身份鉴别，非授权获得数据单向产品风险名称风险描述类别导入的权限攻击者可能利用网络单向导入产品的脆弱性，采用高级逃逸技术，如IP分片逃逸、重叠逃逸、旁路添加多余字节逃逸等技术，试图绕过网络单向导入产品安全功能的检查，直接连接和访问受保护资源对于网络单向导入产品而言，攻击者可能利用替换单向传输部件驱动程序，修改控制参数等篡改传输方向软件方式试图篡改单向传输部件的传输方向，从而使受保护安全域中的敏感信息流出到非受控安全域合法的授权用户可能存在越权向受保护安越权访问全域中非授权主机单向发送数据对于网络单向导入产品而言，由于多用户共同使用这一系统，且数据落地后通过单向技术传输受保护安全域，因此数据发送处理单元内存残余信息泄露和硬盘中可能存在之前用户未完全清除敏感数据的存储空间被重新分配给新用户使用的可能，从而导致客体重用的情况出现，新用户因此可能获得之前用户访问资产品风险名称风险描述类别源过程中残留的账号、口令、操作行为、收发数据等残余敏感信息攻击者试图利用扫描和嗅探技术获取受保护安全域中主机的系统信息，并通过系统信息发现渗透攻击潜在漏洞，最后利用漏洞攻击并控制受保护主机用户或攻击者做了某些操作以后，不承认或抵赖无法追踪到这些操作攻击者可能利用网络单向导入产品的缺陷获取自身安全性系统的控制权，覆盖或替换执行安全功能的主要程序，破坏安全防护机制对于网络单向导入系统而言，由于不存在任何反馈信息，因此，单向传输信道不存在可靠连数据完整性接，数据接收处理单元收到的数据可能因网络丢包、收发队列拥塞等原因导致数据传输不完整攻击者采用重放攻击方法，即攻击者截获网络重放上的密文信息后，并不将其破译，而是再次转发这些数据包，以实现其恶意目的恶意代码流入恶意代码通过将自身伪装或隐藏在正常协产品风险名称风险描述类别议的通讯流中进入受保护安全域，这样的威胁一般的包过滤手段无法防范恶意程序或恶意用户通过将敏感信息隐藏在正敏感信息流出常协议的通讯流中进入非受控安全域，这样的威胁一般的包过滤手段无法防范网络和终端隔离产品安全环境相关的组织策略如表所示6表组织策略6产品组织策略名称组织策略描述类别终端隔离应彻底断开不同安全域之间信息资隔离资源访问源产品用户必须对他们的访问行为负责，为了通过安全审计网络在安全事件之间建立联系并追踪责任，应该记录、维持并再现安全事件隔离网络隔离产品应提供双机热备等高可靠性产品高可用性功能保障在电源、CPU、网卡等设备硬件故障、软件运行错误或系统过载等情况出现时，产品能够继续正常提供信息摆渡及相关安全服务用户口令应采用强口令，口令强度应保证口口令强度令长度大于位，口令类型为数字+大小写6字母组合网络隔离产品应该以一种安全的方式向安全管理授权管理员提供管理的途径用户必须为他们的行为负责，为了通过在安安全审计全事件之间建立联系并追踪责任，应该记录、维持并再现安全事件网络单向导入产品应提供双机热备等高可靠性功能保障在电源、等设备硬件故CPU高可用性网络单障、软件运行错误或系统过载等情况出现向导入时，产品能够继续正常提供信息单向导入及产品相关安全服务用户口令应采用强口令，口令强度应保证口口令强度令长度大于位，口令类型为数字+大小写6字母组合网络单向导入产品应该以一种安全的方安全管理式向授权管理员提供管理的途径表定义了产品的安全目的这些安全目的旨在对应已标识的威7胁或组织安全策略表产品安全目的7产品对应的威产品安全产品安全目的描述类别胁或组织安目的名称全策略客体重用、终端隔离产品应保护存储在其所在计操作错误、数据保护算机中的不同安全域的数据不被未授遗忘存储权的读取、修改和删除介质终端终端隔离产品应能保证处于不同安全隔离域的网络之间不能以直接或间接的方资源访问、产品式相连接实施不同安全域的网络物切换器故物理隔离理断开，在技术上应确保信息的物理障传导、物理存储上断开两个安全域的网络环境网络隔离产品应对用户的身份进行标标识与鉴网络用户身份的识，并对使用用户身份标识试图行使别假冒隔离用户权限的使用者进行用户身份鉴别产品网络隔离产品应保护存储在网络应用程序数据保护隔离产品中的安全功能相关数据的非授权产品对应的威产品安全产品安全目的描述类别胁或组织目的名称安全策略不被未授权的读取、修改和删除使用、客体重用、推理访问数据网络隔离产品应对安全事件进行记录和保存，以便对事件发生的责任进行抵赖、安全审安全审计追踪，同时还必须提供一种可理解方计式供管理员读取网络隔离产品应将管理职能划分给不操作错误、管理角色同的管理权限，以更好地行使管理职维护错误能，控制权限滥用网络隔离产品的授权管理员可以通信侦听、安全管理采用一种安全的方式进行管理安全管理网络隔离产品应采用密码技术对对信息进行密码用户数据进行保护重发网络隔离产品应对流入/流出网络隔恶意代码信息流控离产品的信息流进行访问控制，除了流入、敏感制一般的协议控制之外，还应包括对信信息流出息的深度检测并过滤网络标识与鉴网络单向导入产品应对用户的身非授权访人员与相关部门进行了深入的讨论，并作了大量的研究和论证，开发出这款基于专用介质的安全单向导入系统国内现阶段采用信息交换方式的分析1内外物理隔离，直接采用移动存储介质，作为数据导入工具现在很多部门在工作中采用U盘、MP

3、移动硬盘等移动存储介质作为数据传输的工具我们以U盘为例工作人员先将互联网上收集到的有关资料拷贝到U盘中，然后再将U盘内的资料拷贝到被隔离的内网计算机中通过交叉使用完成数据导入这种方式虽然操作方便，使用灵活，但是存在着巨大的泄密隐患首先，介质本身的安全问题，这种介质在数据传输过程中很容易感染木马和病毒比如，有一种名为〃U盘泄密者〃的病毒，该病毒可以自动复制计算机和介质中的文件到指定目录下，使工作人员在不经意间造成内网敏感信息的泄露其次，采用这种方式进行数据传输也为不法分子进行主动窃密提供有效途径2内外物理隔离，通过中间机方式进行数据传输有些部门设立一个专用的中间机，通过中转完成数据传输首先将互联网上获取的资料用移动存储介质拷贝到中间机中，然后通过中间机刻录光盘，然后再用光盘拷入到内网信息系统中虽然这种方式安全性较高，能够实现数据交换的要求，但是操作复杂，工作过程时间长，大大降低了工作效率，而且容易造成资源浪费同时还是存在安全隐患，因为内网计算机必须提供光驱读取信息，这就为敏感信息产品对应的威产品安全产品安全目的描述类别胁或组织目的名称安全策略别问、重放、单向导份进行标识，并对使用用户身份标识入产品试图行使用户权限的使用者进行用户口令强度身份鉴别旁路、篡改传输方向、协议转换网络单向导入产品应断开所连接两个渗透攻击、安全域间的网络连接，利用单向传输与单向导敏感信息部件的物理特性实现数据的单向导入流出、安全入，无任何反馈信息审计网络单向导入产品应保护存储在网络越权访问、残隔离产品中的系统运行和安全功能相系统保护余信息泄露、关数据不被未授权用户读取、修改和自身安全性删除，保护系统主要程序不被篡改网络单向导入产品应对安全事件进行记录和保存，以便对事件发生的责任抵赖、安全审安全审计进行追踪，同时还必须提供一种可理计解方式供管理员读取系统配置网络单向导入产品应对重要的系局可用性产品对应的威产品安全产品安全目的描述类别胁或组织安目的名称全策略统配置数据提供备份/恢复功能，应具备高可用性保障能力网络单向导入产品应具备一种安全的方法保障数据传输的完整性，防止因传输保障数据完整性网络丢包、收发队列拥塞等导致的单向传输数据不完整网络单向导入产品应采用一种安全的非授权访方式通过物理上独立的带外管理接口问、越权访安全管理对设备进行管理，将管理职能按角色问、安全管划分不同的管理权限，以更好地行使理管理职能，控制权限滥用网络单向导入产品采用数据同步机非授权访制，按照授权管理员配置的数据同步问、自身安数据单向任务，主动从源主机读取数据并写入全性、渗透同步目标主机，实现两个安全域间单向文攻击件同步或数据库同步表8定义了非技术或程序方法进行处理的安全目的表4确定的假设被包含在环境安全目的中表环境安全目的8产品环境安全对应的假环境安全目的描述类别目的名称设或威胁攻击者有足够的时间，并具备实施攻击所需的技术知识，拥有电脑和相关设备，动机可能有经济利益、政治利攻击者的攻击者的能益或其他等极端情况下，攻击者还能力力有可能是掌握系统底层（包括计算机硬件和操作系统）漏洞的敌对势力终端用户拥有访问终端隔离产品某些管隔离理功能的权限对于终端隔离产品而产品言，本身并不具备太多有价值的信用户权限用户权限息，因此权限控制主要就是管理权限的控制，所谓的用户，一般也就是指管理员用户终端隔离产品的开发者、发行者、角色管理角色管理管理者和使用者能被安全地管理终端隔离产品被放置在一个安全的物理安全物理安全物理环境中并且只能由授权用产品环境安全对应的假环境安全目的描述类别目的名称设或威胁户访问除了终端隔离产品之外，被分隔的安单点接入单点接入全域不再有其他可能的联系途径攻击者有足够的时间，并具备实施攻击所需的技术知识，拥有电脑和相关设备，动机可能有经济利益、政治利攻击者的攻击者的益或其他等极端情况下，攻击者还能力能力有可能是掌握系统底层（包括计算机硬件和操作系统）漏洞的敌对势力网络用户拥有访问网络隔离产品某些信隔离息的权限对于网络隔离产品而言，产品自身所拥有的信息也许并不具备直用户权限用户权限接的价值，但是这些信息往往对应着信息系统的应用信息不同的用户权限，往往意味着用户可以获得不同应用系统信息管理或使用网络隔离产品的人胜管理者能力管理者能力任工作产品环境安全对应的假环境安全目的描述类别目的名称设或威胁网络隔离产品的开发者、发行者、角色管理角色管理管理者和使用者能被安全地管理外部数据能以安全的方式管理相关的外部外部数据存储数据存储网络隔离产品被放置在一个安全的物理安全物理安全物理环境中并且只能由授权用户访问除了通过网络隔离产品之外，被分隔单点接入单点接入的安全域不再有其他可能的联系途径网络隔离产品中生成的密钥都是密钥生成密钥生成安全的攻击者有足够的时间，并具备实施攻击所需的技术知识，拥有电脑和相关设备，动机可能有经济利益、政治利攻击者的攻击者的网络单益或其他等极端情况下，攻击者还能力能力向导入有可能是掌握系统底层产品（包括计算机硬件和操作系统）漏洞的敌对势力用户权限用户拥有访问网络单向导入产品用户权限产品环境安全对应的假环境安全目的描述类别目的名称设或威胁某些信息的权限对于网络单向导入产品而言，自身所拥有的信息也许并不具备直接的价值，但是这些信息往往对应着信息系统的应用信息不同的用户权限，往往意味着用户可以获得不同应用系统信息管理或使用网络单向导入产品的管理者能力管理者能力人胜任工作网络单向导入产品的开发者、发行角色管理角色管理者、管理者和使用者能被安全地管理外部数据能以安全的方式管理相关的外部外部数据存储数据存储网络单向导入产品被放置在一个安物理安全物理安全全的物理环境中并且只能由授权用户访问除了通过网络单向导入产品之外，被分隔的安全域不再有其他可能单点接入单点接入的联系途径产品环境安全对应的假环境安全目的描述类别目的名称设或威胁网络单向导入产品中生成的密钥密钥生成密钥生成都是安全的

（五）与有关的现行法律、法规和强制性国家标准的关系本标准按照给出的规则起草GB/T

1.1-2009本标准代替《信息安全技术网络和终端设备隔离GB/T20279-2006部件安全技术要求》本标准与的主要差异如下GB/T20279-2006——本标准名称修改为《信息安全技术网络和终端隔离产品安全技术要求》；——分类修改为终端隔离产品、网络隔离产品和网络单向导入产品三类；——级别统一划分为基本级和增强级；——增加了终端隔离产品、网络隔离产品和网络单向导入产品描述；——增加了下一代互联网协议支持能力的要求；——增加了技术要求基本原理，包括安全功能要求基本原理和安全保证要求基本原理——本标准为修订推荐性国标，修订后建议沿用原标准为推荐性国标不触犯国家现行法律法规，不与强制性国标相冲突

（六）重大分歧意见的处理经过和依据暂无

（七）国家标准作为强制性国家标准或推荐性国家标准的建议本标准是对信息安全技术网络和终端隔离部件安GB/T20279-2006全技术要求的修订，建议沿用原标准为推荐性国标

（八）贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）网络和终端隔离产品是信息系统中重要的一个保障单元建议本标准作为国标推荐实施

（九）废止现行有关标准的建议本标准是对信息安全技术网络和终端隔离部件安GB/T20279-2006全技术要求的修订，建议本标准发布后废止原标准GB/T20279-2006o

（十）其他应予说明的事项无《信息安全技术网络和终端隔离产品安全技术要求》网络与终端隔离产品国家标准修订项目编制说明网络与终端隔离产品国家标准修订项目编制说明网络与终端隔离产品国家标准修订项目编制说明网络与终端隔离产品国家标准修订项目编制说明外泄或恶意代码的流入提供了渠道3）采用网闸的方式在两个安全级别不同的网络之间设置隔离网闸，通过协议转换的手段，以信息摆渡的方式实现数据交换网闸虽然在硬件层面设计了物理断开的控制部件，但对于上层信息流而言，这种物理断开是透明的也就是对于信息交换来说，依然需要物理层以上的手段来进行访问控制，如图1所示这种方案的缺点是信息的单向传输是由安全策略通过上层的访问控制来实现的因此，实质上破坏了原有系统物理隔离的状态，降低的安全保护的级别，增加了风险访问控制物理层逻辑层网络单向导入产品和网闸不同之处在于，其对于单向传输的访问控制直接作用在物理层，因此在网络隔离保障方面也具有更好的安全性网络单向导入产品所要解决的安全目的图1高级别安全域的信息安全保护目的主要分为三大类，一类侧重于保证信息的保密性；另一类侧重于保证信息的完整性与可用性；最后一类是三性都很重要网络单向导入产品主要侧重于解决前两种类型当高级别安全域侧重于保证信息的保密性时，其安全需求允许信息由低到高传输，但应禁止由高到低传输，如图2（保密性）低安全域高安全域信息流图2当高级别安全域侧重于保证信息的完整性与可用性时，其安全需求允许信息由高到低传输，但应禁止信息由低到高传输，如图3（完整性）」（可用性）低安全域信息流高安全域图3对于最后一类，信息的三性都需要保证时，则必须严格地执行内外网物理隔离，原则上禁止一切信息流入或流出所以，单向导入严格意义上讲并不只是“导入”，也有可能是“导出”，单向的应用其实本质上侧重于信息的流动但是从习惯上，从易于理解的角度出发，目前仍暂定“网络单向导入”这个名称2）下一代互联网支持IPv6是发展下一代互联网技术和物联网技术的关键环节IPv6简化了协议报头，并且引入了两个新的扩展报头AH和ESPo它们帮助IPv6解决了身份认证，数据完整性和机密性的问题，使IPv6极大的提高了物联网传输承载层的安全，这是一大进步但是，这些安全机制对于当前的计算机网络安全体系造成了很大的冲击这些原理和特征发生明显变化的安全问题直接影响到信息安全产品的发展方向随着IPv6的推广与普及，原有的信息安全产品必然面临着全新的设计与实现一方面，现有的信息安全产品必须适应IPv6的网络环境；另一方面，随着IPv6使用时间的延伸，新的安全问题必将逐渐暴露，新的安全防护技术也必将逐渐产生这必将催使新一代信息安全产品的诞生基于3层以上的网络通讯控制类产品，如防火墙、UTM、IPS、网络隔离、安全三层交换机、安全路由器等产品，受到IPv6冲击影响较为严重在纯IPv6网络中，IPv6端与端的IPSec以及最终摆脱NAT的发展构架，最终可能将此类产品降为3层的路由器模式但在IPv4和IPv6共存阶段的物联网中，此类产品还是有些工作需要进行的由于从原理上发生的改变，测试方法以及标准也因此需要改变比如在IPv6下TCP/UDP报头位置同IPv4的不同，IP报头与TCP/UDP报头之间常常还存在其他的扩展报头，如路由选项报头，AH/ESP报头等IPv6的网络通讯控制类产品必须逐个找到下一个报头，直到TCP/UDP报头为止，才能进行过滤，这对网络通讯控制类产品的处理性能会有很大的影响另外，不同的过渡技术在地址以及通讯协议实现上都有很大区别，这对网络通讯控制类产品的实现支持能力是一个巨大的考验网络通讯控制类产品根据IPv6的特点而改变，在IPv4和IPv6共存阶段的物联网中，产品将向增强对过渡技术的支持能力以及在这种新环境中的性能负载能力的方向发展因此在网络通讯控制类产品除坚持测试原功能和性能指标外，着重进行IPv4/IPv6双协议以及各种IPv4/IPv6过渡网络支持方面的测试具体产品标准以及测评要求的发展情况如下表所示表1网络通信控制类产品标准以及测评发展趋势增加双协产品原国家、行在双协议下，对原过渡网络下，需要支持议识别支类型业标准性能指标进行扩充的新协议功能测试持IPv6协议一致性Dual防保留，在双协议下，测试（我中心仪表支火墙、直接加上Stack双协测试RFC2944吞持，或者取信国际上UTM、IPv6或议栈方式、吐量、响应时间、的IPv6Ready测试结IPS、网IPv4/IPv6NAT-PT协议丢包率等；在双协果）；双栈协议/密钥络隔协议下的功议下，测试转换方式、隧道支持测试；加强离、安能/性能即Tunnel隧道RFC3511最大并DHCPv

6、PPPoev6全三层可如产品方式（6to

4、发量、最大新建速IPv6碎片包识别、交换的自身安全ISATAP、率等；增加路由IPv6路由协议等具备机、安功能、保证Teredo以协议性能压力测IPv6新协议特征的测全路要求等及Tunnel试（IPv6是全试；进Broker由器球寻址，路由收敛行IPv4/IPv6协议等速度问题等性能fuzz的协议安全性测测试，针对支持试（暴力模拟IPv6错路由协议的网络误协议内容）通讯控制类产品是必须的）我国2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章第六条规定，“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接，必须实行物理隔离”信息安全与交换产品最早出现在美国、以色列等国家的军方，用以解决涉密网络与公共网络连接时的安全我国也有庞大的政府涉密网络和军事涉密网络，但是我国的涉密网络与公共网络，特别是与互联网是无任何关联的独立网络，不存在与互联网的信息交换，因此“物理断开”相关产品为该类应用的主要体现同时，随着我国信息化建设步伐的加快，“电子政务”应运而生,并以前所未有的速度发展电子政务体现在社会生活的各个方面工商注册申报、网上报税、网上报关、基金项目申报等在我国电子政务系统建设中，外部网络连接着广大民众，内部网络连接着政府公务员桌面办公系统，专网连接着各级政府的信息系统，在外网、内网、专网之间交换信息是基本要求如何在保证内网和专网资源安全的前提下，实现从民众到政府的网络畅通、资源共享、方便快捷是电子政。