网关安全技术
1 范围
本标准规定了网关产品的安全功能要求、安全保障要求及等级划分要求。 本标准适用于网关产品的设计、开发与测试。
本标准不适用于其他具有明确定义和对应标准的网关型产品(如防火墙)。 2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 GB/T 25069-2010 信息安全技术 术语 3 术语和定义
GB/T 18336.3-2015和GB/T 25069-2010界定的以及下列术语和定义适用于本文件。 3.1
网关 gateway
在网络或各子网之间,或在不同安全域内的软件应用系统之间,一种旨在按照给定的安全策略来保护网络的产品。 4 缩略语
下列缩略语适用于本文件。
NAT:地址转换(Network Address Transiation)
SNAT:源地址转换(Source Network Address Transiation)
DNAT:目的地址转换(Destination Network Address Transiation) 5 网关描述
网关是一种网络互联设备,其安全目的是在不同的网络区域之间建立安全控制点,根据预先定义的访问控制策略和安全防护策略,解析和过滤经过网关的数据流,实现向被保护的网络区域提供访问可控的服务请求。
网关保护的资产是受安全策略保护的网络服务和资源等,此外,网关本身及其内部的重要数据也是受保护的资产。网关一般将网络划分为若干个网络区域,通过安全策略实现对不同网络区域间服务和访问的审计和控制。
网关通常部署在是不同网络区域之间,充当着关卡的作用,所有的进出数据都需要通过网关,网关具有十分重要的地位。下图1是网关的一个典型运行环境。它将网络分为多个网络区域。
受保护的网络区域1外部网络网关受保护的网络区域n
...图1 网关典型运行环境
6 网关总体说明 6.1 安全技术要求分类
本标准将网关安全技术要求分为安全功能要求和安全保障要求两类。其中,安全功能要求是对网关应具备的安全功能提出具体要求,包括用户标识、用户鉴别、网络连接控制、入侵防护、安全管理、安全审计、资源利用;安全保障要求针对网关的生命周期过程提出具体的要求,包括开发、指导性文档、生命周期支持、测试和脆弱性评定。 6.2 安全等级划分
本标准按照网关安全功能的强度划分安全功能要求的级别,按照GB/T 18336.3-2015划分安全保障要求的级别。安全等级突出安全特性,分为基本级和增强级,安全功能强弱和安全保障要求高低是等级划分的具体依据。 7 安全功能要求 7.1 用户标识 7.1.1 基本标识
应对网关的用户进行标识,一般以用户名或用户ID实现。口令的存储和传输应得到保护。 7.1.2 唯一性标识
应确保所标识用户唯一性,并满足: a) 将用户标识与审计相关联;
b) 在网关系统生命周期内唯一,如果一个网关用户被删除,该用户的标识符也不能再使用。 7.2 用户鉴别 7.2.1 动作前鉴别
应在网关安全功能实施所要求的动作之前,先对提出该动作要求的用户利用口令机制进行鉴别。当网关的管理员是远程访问进行管理时,还应对管理员所使用的设备进行鉴别以确定是否是可信主机,如通过IP地址鉴别。 7.2.2 同步鉴别
应允许用户在被鉴别之前实施由网关安全功能促成的某些动作,这些动作用来确定鉴别自己的条件(如生成口令)。除了这些动作以外,用户在实施其他动作之前,都应该先鉴别用户的身份。
7.2.3 不可伪造鉴别
应具有能检测出已经丢弃的或复制的鉴别数据重放的安全机制,防止一切伪造的鉴别数据以及任何拷贝的鉴别数据的使用。当管理员是远程访问管理时,应对传送鉴别信息的数据包提供完整性、保密性服务和抗重放功能。 7.2.4 一次性使用鉴别
应能提供一次性使用鉴别数据操作的鉴别机制,防止与已标识过的鉴别机制有关的鉴别数据的重用。一次性使用鉴别机制可通过在鉴别信息的数据包中提供序列号、验证码或数字签名等机制实施。 7.2.5 多鉴别机制
除通过简单的口令鉴别机制外,应提供其他鉴别机制,如通过数字证书、智能IC卡或通过人体的生物特征进行鉴别。 7.2.6 重新鉴别
应提供重新鉴别机制,在特定情况下可以对用户进行重新鉴别,如断开的用户重新登录。应周期性地对管理员身份进行确认,如果网关的管理员操作的时间超过一定时限,网关安全功能应对管理员身份重新进行鉴别。时限由网关的授权管理员进行设置。 7.2.7 鉴别失败处理
应提供鉴别失败处理功能,当对用户鉴别失败的次数达到或超过某一给定值时,应满足: a) 记录鉴别失败事件; b) 终止该用户的访问;
c) 当用户是远程访问时,切断相应主机的通信; d) 通知网关的安全管理员。 7.3 网络连接控制 7.3.1 地址转换
应提供NAT功能:
a) 支持双向NAT:SNAT和DNAT;
b) SNAT至少可实现“多对一”地址转换,使得内部网络主机访问外部网络时,其源IP地址被转
换;
c) DNAT至少可实现“一对多”地址转换,将DMZ的IP地址/端口映射为外部网络合法IP地址/
端口,使外部网络主机通过访问映射地址和端口实现对DMZ服务器的访问; d) 支持动态SNAT技术,实现“多对多”的SNAT。 7.3.2 路由控制
应支持路由功能,并满足: a) 支持静态路由表; b) 支持动态路由表;
c) 提供基于源、目的IP策略路由。 7.3.3 IP/MAC地址绑定
应支持自动或管理员手工绑定IP/MAC地址;应能够检测IP地址盗用,拦截盗用IP地址的主机经过网关的各种访问。 7.3.4 访问控制
应对经过网关的会话提供访问控制功能:
a) 基于访问方法、访问地址或端口以及访问时间,限制用户可能选择的会话安全属性的范围; b) 将访问控制与用户鉴别和审计相结合,通过确认用户的身份和记录用户对客体访问情况,使用
户对自己的行为承担明确的责任; c) 将访问控制扩展到所有主体和客体,并要求为每个命名主体指定用户名和用户组,以及规定他
们对客体的访问模式。 7.3.5 连接控制
应能监测通过网关的网络连接,并满足:
a) 连接终止:允许授权管理员终止指定的网络连接;
b) 连接超时退出:在会话处于非活跃一定时间或会话结束后终止网络连接; c) 连接限制:根据一定条件,如协议,限制最大同时连接数量; d) 频率限制;根据一定条件,如协议,限制单位时间内的连接数量。 7.4 攻击防护
当发现网关受到攻击(至少支持漏洞扫描和拒绝服务攻击)时,能够自动记录攻击发起人的IP地址及企图攻击的时间,以及攻击类型,生成实时报警信息,并具有一定阻断能力。 7.5 安全管理 7.5.1 安全角色管理
应能对安全角色进行区分:
a) 区分管理员用户和普通用户,仅管理员用户能够查看、配置网关的安全属性和安全策略; b) 能够赋予不同管理员用户不同的权限。 7.5.2 远程管理主机
若提供远程管理功能,应能对可远程管理的主机地址进行限制。 7.5.3 数据保护 7.5.3.1 数据存储保护
应对网关中存储的重要数据进行保护,以免被非授权访问。这些重要数据包括: a) 用户的鉴别信息; b) 网关的配置信息; c) 安全策略; d) 审计信息。 7.5.3.2 数据传输保护
应通过加密或其他方式保护重要数据在传输过程中不被泄露和窃取。这些重要数据包括: a) 用户的鉴别信息; b) 网关的配置信息; c) 安全策略。 7.5.3.3 数据备份和恢复
应提供重要数据(包括网关的配置信息和安全策略等)的备份和恢复功能,并对备份数据进行保护。 7.6 安全审计
7.6.1 安全审计数据产生
应为可审计事件生成审计记录。审计记录应易于理解,并包括以下内容:事件的日期和时间,事件的类型,主客体身份,事件的结果(成功或失败)。网关主要的审计事件包括:
a) b) c) d) e) f) g) 用户鉴别事件;
根据策略,数据包被允许事件; 根据策略,数据包被丢弃事件; 授权用户的一般操作; 鉴别失败处理事件; 入侵防护事件;
对审计日志的处理事件。
7.6.2 安全审计查阅
应提供安全审计查阅工具,并满足:
a) 审计查阅:为授权用户提供获得和解释审计信息的能力;
b) 有限审计查阅:禁止具有读访问权限以外的用户读取审计信息; c) 可选审计查阅:具有根据准则来选择要查阅的审计数据的功能,并根据某种逻辑关系的标准提
供对审计数据进行搜索、分类、排序的能力。 7.6.3 安全审计事件存储
应具有以下创建并维护安全的审计踪迹记录的能力: a) 能够检测或防止非授权用户对审计记录的修改;
b) 当审计跟踪超过预定的门限时,采取相应的措施,进行审计数据可能丢失情况的处理,例如,
通知管理员;
c) 在审计踪迹存储记满时,采取相应的防止审计数据丢失的措施,如选择 “阻止除具有特殊权
限外的其他用户产生可审计事件”、“覆盖已存储的最老的审计记录”或“对审计记录进行转储并删除”等措施,防止审计数据丢失。 7.6.4 安全审计事件分析
网关安全功能应提供审计分析功能:
a) 潜在侵害分析:提供一系列规则去监控审计事件,并根据这些规则指出网关系统的潜在威胁。
如存有多次用户鉴别失败的记录;
b) 基于异常检测的描述:通过对审计历史的记录,维护与每个用户相对应的质疑等级,当用户的
质疑等级超出某一门限时,能指出即将发生的安全威胁。如某一主机通信量在一段时间内急剧上升。 7.7 资源利用 7.7.1 故障容错
应确保网关系统即便出现部分故障时,也能维持正常运转。包括:
a) 降级故障容错:当网关系统中出现确定的故障(如电源短时间中断、软件错误等)时,能检测
出,并发出相应出错警报,并能继续正确运行指定的功能;
b) 受限故障容错:确保标识的故障发生时,能采取有效的对抗措施,保证网关安全功能仍能继续
运行。 7.7.2 服务优先级
应能控制用户(主体)对网关系统中资源的访问和使用,使得系统内高优先级任务的完成总是不受系统中低优先级任务所造成的干扰和延迟的影响。应给网关系统中的每个用户(主体)分配一种优先级。服务优先级的控制范围限定于网关系统中的某个资源子集中。 7.7.3 资源分配
应能控制主体对资源的使用,不应由于未授权的主体独占资源而出现拒绝服务。应确保网关系统中的主体不会超过某一数量或不会独占某种受控资源。网关安全功能应规定受控资源的最高分配限额。系
网关安全技术
