GA/T 681-2007信息安全技術(shù)網(wǎng)關(guān)安全技術(shù)要求

犐犆犛３５．０４０

犃９０

中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn)

犌犃／犜６８１—２００７

信息安全技術(shù)網(wǎng)關(guān)安全技術(shù)要求

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—犜犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊狅犳犵犪狋犲狑犪狔

２００７０３２０發(fā)布２００７０５０１實(shí)施

中華人民共和國公安部發(fā)布

書

犌犃／犜６８１—２００７

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅰ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅱ

１范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

４網(wǎng)關(guān)的一般說明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

４．１概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

４．２安全環(huán)境!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

５安全功能要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

５．１標(biāo)識(shí)和鑒別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

５．２審計(jì)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

５．３通信抗抵賴!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

５．４標(biāo)記!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

５．５自主訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

５．６強(qiáng)制訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

５．７數(shù)據(jù)存儲(chǔ)保護(hù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

５．８數(shù)據(jù)傳輸保護(hù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

５．９數(shù)據(jù)完整性保護(hù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

５．１０剩余信息保護(hù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

５．１１隱蔽信道分析!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

５．１２用戶與網(wǎng)關(guān)間的可信路徑!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

５．１３密碼支持!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

６安全保證技術(shù)要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

６．１網(wǎng)關(guān)安全功能自身安全保護(hù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

６．２網(wǎng)關(guān)安全設(shè)施設(shè)計(jì)和實(shí)現(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

６．３網(wǎng)關(guān)安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

７網(wǎng)關(guān)安全保護(hù)等級(jí)劃分!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

７．１第一級(jí)用戶自主保護(hù)級(jí)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

７．２第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２０

７．３第三級(jí)安全標(biāo)記保護(hù)級(jí)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２２

７．４第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２５

７．５第五級(jí)訪問驗(yàn)證保護(hù)級(jí)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２８

附錄Ａ（資料性附錄）標(biāo)準(zhǔn)概念說明!!!!!!!!!!!!!!!!!!!!!!!!!!３１

Ａ．１組成與相互關(guān)系!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３１

Ａ．２網(wǎng)關(guān)安全等級(jí)的劃分!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３１

Ａ．３關(guān)于網(wǎng)關(guān)中的主體與客體!!!!!!!!!!!!!!!!!!!!!!!!!!!!３３

Ａ．４關(guān)于網(wǎng)關(guān)中的ＴＣＢ、網(wǎng)關(guān)安全功能和網(wǎng)關(guān)安全功能策略!!!!!!!!!!!!!!!３３

Ａ．５關(guān)于密碼技術(shù)和數(shù)據(jù)加密!!!!!!!!!!!!!!!!!!!!!!!!!!!!３３

參考文獻(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３４

書

犌犃／犜６８１—２００７

前言

本標(biāo)準(zhǔn)從信息技術(shù)方面詳細(xì)規(guī)定了各安全保護(hù)級(jí)別的網(wǎng)關(guān)系統(tǒng)所應(yīng)具有的安全功能要求和安全保

證要求。

本標(biāo)準(zhǔn)的附錄Ａ為資料性附錄。

本標(biāo)準(zhǔn)由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局提出。

本標(biāo)準(zhǔn)由公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。

本標(biāo)準(zhǔn)起草單位：中國科學(xué)院研究生院信息安全國家重點(diǎn)實(shí)驗(yàn)室。

本標(biāo)準(zhǔn)主要起草人：荊繼武、馮登國、夏魯寧、王瓊霄、許良玉、聶曉峰、黃敏、高能、林瞡鏘、呂欣、

廖洪鑾。

Ⅰ

犌犃／犜６８１—２００７

引言

本標(biāo)準(zhǔn)用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需安全等級(jí)的網(wǎng)關(guān)產(chǎn)品，主要從對(duì)網(wǎng)關(guān)的安全保護(hù)

等級(jí)進(jìn)行劃分的角度來說明其技術(shù)要求，即主要說明為實(shí)現(xiàn)ＧＢ１７８５９—１９９９中每一個(gè)安全保護(hù)等級(jí)

的安全要求對(duì)網(wǎng)關(guān)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全保護(hù)等級(jí)中的具體差異。

本標(biāo)準(zhǔn)按ＧＢ１７８５９—１９９９五個(gè)安全保護(hù)等級(jí)的劃分，對(duì)每一個(gè)安全保護(hù)等級(jí)的安全功能技術(shù)要

求和安全保證技術(shù)要求做了詳細(xì)描述。文中每一級(jí)別比上一級(jí)別新增的要求以加粗字表示。

Ⅱ

犌犃／犜６８１—２００７

信息安全技術(shù)網(wǎng)關(guān)安全技術(shù)要求

１范圍

本標(biāo)準(zhǔn)規(guī)定了按ＧＢ１７８５９—１９９９對(duì)網(wǎng)關(guān)進(jìn)行安全等級(jí)保護(hù)劃分所需要的詳細(xì)技術(shù)要求。

本標(biāo)準(zhǔn)適用于按ＧＢ１７８５９—１９９９的要求所進(jìn)行的網(wǎng)關(guān)的設(shè)計(jì)和實(shí)現(xiàn)。按ＧＢ１７８５９—１９９９的要

求對(duì)網(wǎng)關(guān)進(jìn)行的測試、配置也可參照使用。

２規(guī)范性引用文件

下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有

的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究

是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。

ＧＢ１７８５９—