ICS 35.240 A 90 GA 中华人民共和国公共安全行业标准 GA/T 681—2018 代替GA/T681—2007 信息安全技术 网关安全技术要求 Information security technologySecurity technical requirements for gateway 2018-01-26发布 2018-01-26实施 中华人民共和国公安部 发布 GA/T 681—2018 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准代替GA/T681—2007《信息安全技术网关安全技术要求》，与GA/T681—2007相比主 要技术变化如下： 修改了等级划分要求，将等级划分为基本级和增强级两级（见第9章，2007年版的9.2、9.3和 A.2); 修改了“访问控制”功能（见7.3.4，2007年版的7.3.4）； 修改了“安全保障要求”（见第8章，2007年版的第8章）； 删除了“通信抗抵赖”功能（见2007年版的7.4.1.6）； 删除了“剩余信息保护”功能（见2007年版的7.4.1.7）； 删除了“隐蔽信道分析”功能（见2007年版的7.4.1.9）； 删除了可信路径”功能（见2007年版的7.4.1.10）； 增加了“地址转换"功能（见7.3.1)； 增加了“路由控制”功能（见7.3.2）； 增加了“IP/MAC地址绑定”功能（见7.3.3）； 增加了“连接控制”功能（见7.3.5）； 增加了“攻击防护”功能（见7.4）。 本标准由公安部网络安全保卫局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、公安部第三研究所。 本标准主要起草人：张笑笑、杨元原、俞优、邹春明、陆臻、李毅。 本标准所代替标准的历次版本发布情况为： GA/T 681—2007。 I GA/T 681—2018 信息安全技术网关安全技术要求 1范围 本标准规定了网关产品的安全功能要求、安全保障要求及等级划分要求。 本标准适用于网关产品的设计、开发与测试，本标准不适用于其他具有明确定义和对应标准的网关 型产品（如防火墙）。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。 GB/T18336.3一2015信息技术安全技术信息技术安全评估准则 GB/T250692010信息安全技术术语 3术语和定义 GB/T18336.3一2015和GB/T25069—2010界定的以及下列术语和定义适用于本文件。 3.1 网关gateway 在网络或各子网之间，或在不同安全域内的软件应用系统之间，一种旨在按照给定的安全策略来保 护网络的产品。 4缩略语 下列缩略语适用于本文件。 NAT:地址转换(Network Address Transiation) SNAT：源地址转换（SourceNetworkAddressTransiation） DNAT：目的地址转换(Destination Network Address Transiation) 5网关描述 网关是一种网络互联设备，其安全目的是在不同的网络区域之间建立安全控制点，根据预先定义的 访问控制策略和安全防护策略，解析和过滤经过网关的数据流，实现向被保护的网络区域提供访问可控 的服务请求。 网关保护的资产是受安全策略保护的网络服务和资源等，此外，网关本身及其内部的重要数据也是 受保护的资产。网关一般将网络划分为若干个网络区域，通过安全策略实现对不同网络区域间服务和 访问的审计和控制。 网关通常部署在不同网络区域之间，充当着关卡的作用，所有的进出数据都需要通过网关，网关具 有十分重要的地位。图1是网关的一个典型运行环境。它将网络分为多个网络区域 1 GA/T 681—2018 受保护的网络 区域1 外部网络 网关 受保护的网络 区域n 图1网关典型运行环境 6网关总体说明 6.1 安全技术要求分类 本标准将网关安全技术要求分为安全功能要求和安全保障要求两类。其中，安全功能要求是对网 关应具备的安全功能提出具体要求，包括用户标识、用户鉴别、网络连接控制、入侵防护、安全管理、安全 审计、资源利用；安全保障要求针对网关的生命周期过程提出具体的要求，包括开发、指导性文档、生命 周期支持、测试和脆弱性评定。 6.25 安全等级划分 本标准按照网关安全功能的强度划分安全功能要求的级别，按照GB/T18336.3一2015划分安全 保障要求的级别。安全等级突出安全特性，分为基本级和增强级，安全功能强弱和安全保障要求高低是 等级划分的具体依据。 7安全功能要求 7.1 用户标识 7.1.1基本标识 应对网关的用户进行标识，一般以用户名或用户ID实现。口令的存储和传输应得到保护。 7.1.2唯一性标识 应确保所标识用户唯一性，并满足： a） 将用户标识与审计相关联； b）在网关系统生命周期内唯一，如果一个网关用户被删除，该用户的标识符也不能再使用。 7.2用户鉴别 7.2.1动作前鉴别 应在网关安全功能实施所要求的动作之前，先对提出该动作要求的用户利用口令机制进行鉴别， 当网关的管理员是远程访问进行管理时，还应对管理员所使用的设备进行鉴别以确定是否是可信主机， 如通过IP地址鉴别。 GA/T 681—2018 7.2.2同步鉴别 应允许用户在被鉴别之前实施由网关安全功能促成的某些动作，这些动作用来确定鉴别自已的条 件（如生成口令）。除了这些动作以外，用户在实施其他动作之前，都应该先鉴别用户的身份。 7.2.3不可伪造鉴别 应具有能检测出已经丢弃的或复制的鉴别数据重放的安全机制，防止一切伪造的鉴别数据以及任 何拷贝的鉴别数据的使用。当管理员是远程访问管理时，应对传送鉴别信息的数据包提供完整性、保密 性服务和抗重放功能。 7.2.4一次性使用鉴别 应能提供一次性使用鉴别数据操作的鉴别机制，防止与已标识过的鉴别机制有关的鉴别数据的重 用。一次性使用鉴别机制可通过在鉴别信息的数据包中提供序列号、验证码或数字签名等机制实施 7.2.5多鉴别机制 除通过简单的口令鉴别机制外，应提供其他鉴别机制，如通过数字证书、智能IC卡或通过人体的生 物特征进行鉴别。 7.2.6重新鉴别 应提供重新鉴别机制，在特定情况下可以对用户进行重新鉴别，如断开的用户重新登录。应周期性 地对管理员身份进行确认，如果网关的管理员操作的时间超过一定时限，网关安全功能应对管理员身份 重新进行鉴别。时限由网关的授权管理员进行设置。 7.2.7鉴别失败处理 应提供鉴别失败处理功能，当对用户鉴别失败的次数达到或超过某一给定值时，应满足： a） 记录鉴别失败事件； b） 终止该用户的访问； c） 当用户是远程访问时，切断相应主机的通信； d） 通知网关的安全管理员。 7.3 网络连接控制 7.3.1地址转换 应提供NAT功能： a）支持双向NAT:SNAT和DNAT； b)S 转换； c）DNAT至少可实现“一对多”地址转换，将DMZ的IP地址/端口映射为外部网络合法IP地 址/端口，使外部网络主机通过访问映射地址和端口实现对DMZ服务器的访问； d）支持动态SNAT技术，实现“多对多”的SNAT。 7.3.2路由控制 应支持路由功能，并满足： 3