信息安全技术 网络基础安全技术要求VIP免费

GB/T20270-2006信息安全技术网络基础安全技术要求Informationsecuritytechnology—Basissecuritytechniquesrequirementsfornetwork自2006-12-1起执行目次前言引言1范围2规范性引用文件3术语、定义和缩略语3.1术语和定义3.2缩略语4网络安全组成与相互关系5网络安全功能基本要求5.1身份鉴别5.1.1用户标识5.1.2用户鉴别5.1.3用户—主体绑定5.1.4鉴别失败处理5.2自主访问控制5.2.1访问控制策略5.2.2访问控制功能5.2.3访问控制范围5.2.4访问控制粒度5.3标记5.3.1主体标记5.3.2客体标记5.3.3标记完整性5.3.4有标记信息的输出5.4强制访问控制5.4.1访问控制策略5.4.2访问控制功能5.4.3访问控制范围5.4.4访问控制粒度5.4.5访问控制环境5.5数据流控制5.6安全审计5.6.1安全审计的响应5.6.2安全审计数据产生5.6.3安全审计分析5.6.4安全审计查阅5.6.5安全审计事件选择5.6.6安全审计事件存储5.7用户数据完整性5.7.1存储数据的完整性5.7.2传输数据的完整性5.7.3处理数据的完整性5.8用户数据保密性5.8.1存储数据的保密性5.8.2传输数据的保密性5.8.3客体安全重用5.9可信路径5.10抗抵赖5.10.1抗原发抵赖5.10.2抗接收抵赖5.11网络安全监控6网络安全功能分层分级要求6.1身份鉴别功能6.2自主访问控制功能6.3标记功能6.4强制访问控制功能6.5数据流控制功能6.6安全审计功能6.7用户数据完整性保护功能6.8用户数据保密性保护功能6.9可信路径功能6.10抗抵赖功能6.11网络安全监控功能7网络安全技术分级要求7.1第一级：用户自主保护级7.1.1第一级安全功能要求7.1.2第一级安全保证要求7.2第二级：系统审计保护级7.2.1第二级安全功能要求7.2.2第二级安全保证要求7.3第三级：安全标记保护级7.3.1第三级安全功能要求7.3.2第三级安全保证要求7.4第四级：结构化保护级7.4.1第四级安全功能要求7.4.2第四级安全保证要求7.5第五级：访问验证保护级7.5.1第五级安全功能要求7.5.2第五级安全保证要求附录A(资料性附录)标准概念说明A.1组成与相互关系A.2关于网络各层协议主要功能的说明A.3关于安全保护等级划分A.4关于主体和客体A.5关于SSON、SSF、SSP、SFP及其相互关系A.6关于数据流控制A.7关于密码技术A.8关于安全网络的建议参考文献前言本标准的附录A是资料性附录.本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位：北京思源新创信息安全资讯有限公司，江南计算技术研究所技术服务中心。本标准主要起草人：吉增瑞、刘广明、王志强、陈冠直、景乾元、宋健平。引言本标准用以指导设计者如何设计和实现具有所需要的安全保护等级的网络系统，主要说明为实现GB17859—1999中每一个安全保护等级的安全要求，网络系统应采取的安全技术措施，以及各安全技术要求在不同安全保护等级中的具体差异。网络是一个具有复杂结构、由许多网络设备组成的系统，不同的网络环境又会有不同的系统结构。然而，从网络系统所实现的功能来看，可以概括为“实现网上信息交换”。网上信息交换具体可以分解为信息的发送、信息的传输和信息的接收。从信息安全的角度，网络信息安全可以概括为“保障网上信息交换的安全”，具体表现为信息发送的安全、信息传输的安全和信息接收的安全，以及网上信息交换的抗抵赖等。网上信息交换是通过确定的网络协议实现的，不同的网络会有不同的协议。任何网络设备都是为实现确定的网络协议而设置的。典型的、具有代表性的网络协议是国际标准化组织的开放系统互连协议(ISO/OSI)，也称七层协议。虽然很少有完全按照七层协议构建的网络系统，但是七层协议的理论价值和指导作用是任何网络协议所不可替代的。网络安全需要通过协议安全来实现。通过对七层协议每一层安全的描述，可以实现对网络安全的完整描述。网络协议的安全需要由组成网络系统的设备来保障。因此，对七层协议的安全要求自然包括对网络设备的安全要求。信息安全是与信息系统所实现的功能密切相关的，网络安全也不例外。网络各层协议的安全与其在每一层所实现的功能密切相关。附录A中A.2关于网络各层协议主要功能的说明，对物理层、链路层、网络层、传输层、会话层、表示层、应用层等各层的功能进行了简要描述，是确定网络各层安全功能要求的...