標準解讀

GB/T 20270-2006《信息安全技術 網絡基礎安全技術要求》是中國關于網絡基礎安全領域的一項重要國家標準,旨在為網絡系統提供一套全面的安全防護指導原則和技術要求。該標準詳細規定了網絡基礎設施在設計、實施和運維過程中必須遵循的安全措施,以確保信息的保密性、完整性、可用性和可追溯性。以下是該標準內容的關鍵點概述:

  1. 安全區域劃分與邊界控制:標準強調網絡應合理劃分為不同的安全區域,并在區域間實施嚴格的訪問控制策略,通過防火墻、入侵檢測系統等技術手段保護邊界安全,防止非法入侵和數據泄露。

  2. 訪問控制與身份認證:要求對所有網絡資源的訪問實施基于角色的訪問控制機制,并采用強身份認證技術,如多因素認證,確保只有經過授權的用戶或系統能夠訪問相應的資源。

  3. 加密通信:提倡在網絡傳輸過程中采用加密技術,如SSL/TLS協議,保護數據在傳輸過程中的保密性和完整性,防止數據被竊取或篡改。

  4. 安全審計與日志管理:要求系統應具備日志記錄功能,詳細記錄網絡活動,包括但不限于登錄嘗試、訪問操作等,同時需定期審查這些日志,以便及時發現并應對安全事件。

  5. 惡意代碼防范:標準指出應部署防病毒軟件、反惡意軟件系統等,對網絡流量進行實時監測與過濾,防止病毒、木馬等惡意代碼的傳播。

  6. 網絡設備與軟件安全管理:強調對網絡設備、服務器及終端軟件進行定期的安全更新和補丁管理,確保操作系統、數據庫、中間件等軟件的安全性,減少因已知漏洞導致的安全風險。

  7. 備份與災難恢復:要求制定數據備份策略和災難恢復計劃,確保關鍵數據的可恢復性,以及在遭遇重大安全事故時能迅速恢復網絡服務。

  8. 安全意識培訓:雖然不是直接的技術要求,但標準也間接提到,提高用戶的安全意識和技能培訓對于維護網絡安全至關重要,應定期對員工進行信息安全教育。


如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。

....

查看全部

  • 現行
  • 正在執行有效
  • 2006-05-31 頒布
  • 2006-12-01 實施
?正版授權
GB/T 20270-2006信息安全技術網絡基礎安全技術要求_第1頁
GB/T 20270-2006信息安全技術網絡基礎安全技術要求_第2頁
GB/T 20270-2006信息安全技術網絡基礎安全技術要求_第3頁
GB/T 20270-2006信息安全技術網絡基礎安全技術要求_第4頁
GB/T 20270-2006信息安全技術網絡基礎安全技術要求_第5頁
已閱讀5頁,還剩47頁未讀 繼續免費閱讀

下載本文檔

GB/T 20270-2006信息安全技術網絡基礎安全技術要求-免費下載試讀頁

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標準

犌犅/犜20270—2006

信息安全技術

網絡基礎安全技術要求

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犅犪狊犻狊狊犲犮狌狉犻狋狔狋犲犮犺狀犻狇狌犲狊狉犲狇狌犻狉犲犿犲狀狋犳狅狉狀犲狋狑狅狉犽

20060531發布20061201實施

中華人民共和國國家質量監督檢驗檢疫總局

發布

中國國家標準化管理委員會

犌犅/犜20270—2006

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅴ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅵ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術語、定義和縮略語!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3.1術語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3.2縮略語!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

4網絡安全組成與相互關系!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5網絡安全功能基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.1身份鑒別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.1.1用戶標識!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.1.2用戶鑒別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.1.3用戶—主體綁定!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.1.4鑒別失敗處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.2自主訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.2.1訪問控制策略!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.2.2訪問控制功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.2.3訪問控制范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.2.4訪問控制粒度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.3標記!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.3.1主體標記!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.3.2客體標記!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.3.3標記完整性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.3.4有標記信息的輸出!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.4強制訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.4.1訪問控制策略!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.4.2訪問控制功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.4.3訪問控制范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.4.4訪問控制粒度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.4.5訪問控制環境!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.5數據流控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.6安全審計!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.6.1安全審計的響應!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.6.2安全審計數據產生!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.6.3安全審計分析!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

5.6.4安全審計查閱!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

5.6.5安全審計事件選擇!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

5.6.6安全審計事件存儲!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

犌犅/犜20270—2006

5.7用戶數據完整性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.7.1存儲數據的完整性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.7.2傳輸數據的完整性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.7.3處理數據的完整性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.8用戶數據保密性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.8.1存儲數據的保密性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.8.2傳輸數據的保密性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.8.3客體安全重用!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.9可信路徑!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.10抗抵賴!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.10.1抗原發抵賴!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.10.2抗接收抵賴!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

5.11網絡安全監控!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

6網絡安全功能分層分級要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

6.1身份鑒別功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

6.2自主訪問控制功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

6.3標記功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

6.4強制訪問控制功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

6.5數據流控制功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

6.6安全審計功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

6.7用戶數據完整性保護功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

6.8用戶數據保密性保護功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

6.9可信路徑功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

6.10抗抵賴功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

6.11網絡安全監控功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

7網絡安全技術分級要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

7.1第一級:用戶自主保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

7.1.1第一級安全功能要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

7.1.2第一級安全保證要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

7.2第二級:系統審計保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

7.2.1第二級安全功能要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

7.2.2第二級安全保證要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

7.3第三級:安全標記保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!26

7.3.1第三級安全功能要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!26

7.3.2第三級安全保證要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

7.4第四級:結構化保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

7.4.1第四級安全功能要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

7.4.2第四級安全保證要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

7.5第五級:訪問驗證保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34

7.5.1第五級安全功能要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34

7.5.2第五級安全保證要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

附錄A(資料性附錄)標準概念說明!!!!!!!!!!!!!!!!!!!!!!!!!!39

A.1組成與相互關系!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!39

犌犅/犜20270—2006

A.2關于網絡各層協議主要功能的說明!!!!!!!!!!!!!!!!!!!!!!!!39

A.3關于安全保護等級劃分!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40

A.4關于主體和客體!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40

A.5關于SSON、SSF、SSP、SFP及其相互關系!!!!!!!!!!!!!!!!!!!!!40

A.6關于數據流控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!41

A.7關于密碼技術!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!41

A.8關于安全網絡的建設!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!41

參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!42

犌犅/犜20270—2006

前言

本標準的附錄A是資料性附錄。

本標準由全國信息安全標準化技術委員會提出并歸口。

本標準起草單位:北京思源新創信息安全資訊有限公司,江南計算技術研究所技術服務中心。

本標準主要起草人:吉增瑞、劉廣明、王志強、陳冠直、景乾元、宋健平。

犌犅/犜20270—2006

引言

本標準用以指導設計者如何設計和實現具有所需要的安全保護等級的網絡系統,主要說明為實現

GB17859—1999中每一個安全保護等級的安全要求,網絡系統應采取的安全技術措施,以及各安全技

術要求在不同安全保護等級中的具體差異。

網絡是一個具有復雜結構、由許多網絡設備組成的系統,不同的網絡環境又會有不同的系統結構。

然而,從網絡系統所實現的功能來看,可以概括為“實現網上信息交換”。網上信息交換具體可以分解為

信息的發送、信息的傳輸和信息的接收。從信息安全的角度,網絡信息安全可以概括為“保障網上信息

交換的安全”,具體表現為信息發送的安全、信息傳輸的安全和信息接收的安全,以及網上信息交換的抗

抵賴等。網上信息交換是通過確定的網絡協議實現的,不同的網絡會有不同的協議。任何網絡設備都

是為實現確定的網絡協議而設置的。典型的、具有代表性的網絡協議是國際標準化組織的開放系統互

連協議(ISO/OSI),也稱七層協議。雖然很少有完全按照七層協議構建的網絡系統,但是七層協議的理

論價值和指導作用是任何網絡協議所不可替代的。網絡安全需要通過協議安全來實現。通過對七層協

議每一層安全的描述,可以實現對網絡安全的完整描述。網絡協議的安全需要由組成網絡系統的設備

來保障。因此,對七層協議的安全要求自然包括對網絡設備的安全要求。

信息安全是與信息系統所實現的功能密切相關的,網絡安全也不例外。網絡各層協議的安全與其

在每一層所實現的功能密切相關。附錄A中A.2關于網絡各層協議主要功能的說明,對物理層、鏈路

層、網絡層、傳輸層、會話層、表示層、應用層等各層的功能進行了簡要描述,是確定網絡各層安全功能要

求的主要依據。

本標準以GB/T20271—2006關于信息系統安全等級保護的通用技術要求為基礎,圍繞以訪問控

制為核心的思想進行編寫,在對網絡安全的組成與相互關系進行簡要說明的基礎上,第5章對網絡安全

功能基本技術分別進行了說明,第6章是對第5章網絡安全功能的分級分層情況的描述。在此基礎上,

本標準的第7章對網絡安全技術的分等級要求分別從安全功能技術要求和安全保證技術要求兩方面進

行了詳細說明。在第7章的描述中除了引用以前各章的內容外,還引用了GB/T20271—2006中關于

安全保證技術要求的內容。由于

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論