GB/T 17900-1999 网络代理服务器的安全技术要求

GB/T17900-1999

前言

本标准是我国国际互联网网络安全标准之一，它对网络代理服务器的最低安全要求作了规定。

本标准由国家信息化办公室提出。

本标准由全国信息技术标准化技术委员会归口。

本标准由公安部第三研究所负责起草，参加起草工作的单位还有电子工业部标准化研究所。

本标准主要起草人:严忠槐、张岚、汪广杰、李富豪、罗韧鸿。

中华人民共和国国家标准

网络代理服务器的安全GB/T17900一1999

技术要求

Securitytechnicalrequirementsforproxyserver

1范围

本标准规定了网络代理服务器的安全技术要求，并作为网络代理服务器的安全技术检测依据。

2定义

2.1用户user

一个远离代理服务器并与代理服务器相互作用的个人，他没有能够影响代理眼务器安全策略执行

的特权。

2.2授权管理员authorizedadministrator

任何具有旁路或规避代理服务器安全策略权限的经鉴别过的个人。本标准中，“授权管理员”特指代

理服务器的管理员，但其职责不包括网络管理。

2.3主机host

一个远离代理服务器并与代理服务器相互作用的计算机，它没有能够影响代理服务器安全策略执

行的特权。

2.4可信主机trustedhost

任何具有旁路或规避代理服务器安全策略权限的计算机。

3概述

本标准规定了网络代理服务器在低风险环境下的最低安全要求。指出由该类代理服务器所能防止

的威胁，定义其实现的安全目标、使用环境以及安全功能和安全保证要求。

网络代理服务器以各种代理服务为基础，通过它提供集中的应用服务。它可以为不同的协议(如

Telnet,SMTP,FTP,HTTP等)进行代理。为在内部、外部两个网络之间建立安全可靠的应用服务，网

络代理服务器必须具备安全控制手段，只有合法有效的客户要求才由代理服务器提交给真正的服务器。

符合本标准规定的网络代理服务器不再局限于代理服务，它必须具有访问控制、应用层内容过滤、

数据截获处理、安全审计等，以保证本地网络资源的安全和对外部网络访问的控制。

图1给出代理服务器在网络中的逻辑示意图

国家质f技术监督局1999一11一11批准2000一05一01实施

GB/T17900一1999

对数据流的监控

对外部据的请求

，取得理ile中没

外部数据的缓存

图I逻辑图

4安全环境

遵循本标准的代理服务器应提供访I'll,控制策略，包括身份识别与鉴别、内容过滤、安全审计等。可用

于敏感但不保密的信息处理环境。

41安全条件假设

假设在运行环境中存在以「条件:

4.1.1单输入点(A.SINGLEPT)

如图I所示，代理服务器为内部网络与外部网络的唯一连接点。

4.1.2物理访问控制(A.SECURE)

指代理服务器及相关的控制台在物理上是安全的。而且仅供授权人使用。

4.1.3通信保护(A.COMMS)

对传输信息的保护应与信息的密级一致，但明确规定以明文传输的信息除外。

4.1.4用户(A.USER)

代理服务器应提供非一般用途的计算能力，它能对用户交送的各种代理请求进行鉴别和授权。只有

授权的管理员才具有直接访间和远程访间的权利。

4.1.5授权的管理员(A.NOEVIL)

被授权的管理员无恶意和可以信任，并能够正确执行各项职责。

4.2对安全的威胁

4十2.1代理服务器应阻止的威胁

4.2.，.1未授权的逻辑访间(T.LACCESS)

未授权的个人可能得到对代理服务器的逻辑访间权。未授权个人是指具有或者试图得到对系统的

访间权的个人，但他不是代理服务器的授权用户。

4.2--1.2N用网络地址(T.ISPOOE)

一个主体伪装成另一个主体试图得到信息访间权，

4.2-1.3攻击内部受保护网络(T.NATTACK)

攻击者通过高级协议、服务，攻击内部受保护网络或该网络上的某一主机。

4,2-1.4毁坏审计记录汀.AUDIT)

删除审计存储区文件，使审计记录丢失或毁坏，来逃避检测。

本2·卞5修改代理服务器配置及其他安全相关数据(T.DCORRUPT)

修改代理服务器的内部数据结构，篡改代理服务器配置等安全参数。

Ga/T17900一1999

回避身份识别和鉴别机制(T.AUTH)

攻击者试图绕过系统的身份识别和鉴别机制，伪装成一个授权的管理员，或者干扰一个已经创立的

进程

受保护网络上的一个有敌意的用户试图向外部用户提供信息((T.INSHARE)

此类威胁涉及的是内部(受保护)网络的用户企图把信息传送给外部网络的非授权用户。

4.2.2由运行环境阻止的威胁

以下威胁可以通过物理控制操作规程或管理手段来防止。

4.2-2.1受保护网络上的一个有敌意的用户攻击同一网络上的计算机(T.INAL工)

此类威胁指来自受保护网络内的对本网络服务功能的攻击，或者对同一网段上的计算机的攻击。

对高层协议和服务的攻击(T.SERVICES)

此类威胁针对传输层以上的协议层(和利用这些协议的服务，如超文本传输协议HTTP)中的漏

洞。符合本标准的代理服务器可以完全拒绝对特定主机或主机群的访问，但是，如果允许数据包通过的

话，那么仍有可能对上述的这些服务攻击。

截取传输的信息(T.PRIVACY)

攻击者可能截取通过代理服务器传输的敏感信息。

5安全目标

5.1信息技术性安全目标

代理服务器应达到的信息技术安全目标如下。

5.1.1访问仲裁(O.ACCESS)

目标是通过允许或拒绝从一个主体(发送实体)传到一个客体(接受实体)的信息流，为连接在代理

服务器上的两个网络之间提供受控制的访问，这些控制是根据主体、客体的有关参数，由代理服务器生

成的状态信息和管理上配置的访问控制规则实现的。

5.1.2管理员访问(O.ADMIN)

此项目标是仅限授权的管理者才能访问代理服务器，即只允许他们有配置代理服务器的能力。

5.1.3个体身份记录(O.ACCOUNT)

个体记录提供对用户的记录能力，并允许基于唯一身份对访问作出判定。鉴别为确定身份是否真实

提供了方法。

5.1.4代理服务器的自我保护(O.PROTECT)

为了成功地达到这一目标，代理服务器应能够从其正在处理的数据中分离出自身的控制信息而保

护自己不受外部实体的攻击。此外，代理服务器还应能保护授权管理员的通信会话连接。

5.1.5审计(O.AUDIT)

对于判定是否存在绕过安全策略尝试，是否因配置错误而不知觉地允许了本应拒绝的访问，审计记

录起着重要的作用。代理服务器不仅应收集审计数据，还应使其具有可读性并较易使用。审计记录应受

到充分保护，并应了解丢失审计记录的可能性有多大，以帮助授权管理员做出正确的安全决定。

5.2非信息技术安全目标

非信息技术性安全目标是指除代理服务器技术要求之外还需满足的要求，它们不需代理服务器硬

件和软件的机制实现。而是通过采用物理的、过程的或管理的方法来达到。

代理服务器的非信息技术安全目标如下。

5.2.1安装与操作控制(O.INSTALL)

确保代理服务器在运输、安装、保管、操作中的系统安全。

5.2.2物理控制(O.PACCESS)

控制对代理服务器的物理访问。

GB/T17900一1999

5.2.3授权管理员培A(O.TRAIN)

加强对授权管理员的培训，使他们具有建立和维护一定的安全策略的实际能力。

6信息技术安全要求

本章给出了符合本标准的代理服务器应满足的功能要求和安全要求。

6.1功能要求

本标准的功能安全要求由表I的下列项目组成:

表1功能要求

功能分类功能组件

FDPACC.2完整的客体访间控制

FDPACF.4访问授权与拒绝

FDPACF.2多种安全属性的访问控制

FDPIFC.2完整的信息流控制

用户数据保护

FDPIFF.8信息流授权与拒绝

FDPRIP.3资源分配时对遗留信息的充分保护

FDPSAM.1管理员属性修改

FDPSAQ.1管理员属性查询

FIAADA.1授权管理员、可信主机和用户鉴别数据初始化

FIAADP.1授权管理员、可信主机和用户鉴别数据的基本保护

FIAAFL.〕鉴别失败的基本处理

FIAATA.1授权管理员可信主机、主机和用户属性的初始化

识别与鉴别

FIAATD.2授权管理员可信主机、主机和用户唯一属性定义

FIAUAU.1授权管理员的基本鉴别

FIAUAU.2单一使用的鉴别机制

FIAUID.2授权管理员、可信主机、主机和用户的唯一标识

密码支持FCSCOP.2符合规定的加密操作

FPTRVM.1代理服务器安全策略的不可旁路性

可信安全FPTSEP.1代理服务器安全功能区域分隔

功能的保护FPTTSA.2区分安全管理角色

FPTTSM.1管理功能

FAUGEN.1审计数据生成

FAUMGT.1审计跟踪管理

FAUPOP.1可理解的格式

安全审计FAUPRO.1限制审计跟踪访间

FAUSAR.1限制审计查阅

FAUSAR.3可选择查阅审计

FAl7STG.3防止审计数据丢失

631

Gs/T17900一1999

要求概述:代理服务器安全策略由多项安全功能策略组成。定义如下三个安全策略:策略一，未鉴别

的端到端策略，负责处理正在通过代理服务器由内部网络向外部网客体或由外部网络向内部网络

客体发送信息的主体。策略二，已鉴别的端到端策略，负责处理相关的内部或外部网络上的主体，当

它在通过代理服务器向外部或内部网络的客体发送信息时，必须在代理服务器上被鉴别。策略三，

关键词过滤策略，负责处理正在通过代理服务器由内部网络向外部网客体或由外部网络向内部网

络客体发送的信息，并根据预置关键词对非加密明文信息作出授权或拒绝的决定。

6.1.1完整的客体访问控制(FDP_ACC.2)

FDP_ACC.2.1.代理服务器安全功能应在如下实体上执行未鉴别的端到端策略:

a)主体:未经代理服务器鉴别的主机;

b)客体:内部或外部网上的主机;

以及被安全功能策略覆盖的所有主体与客体间的操作。

FDP_ACC.2.2代理服务器安全功能应在如下实体上执行已鉴别的端到端策略:

a)主体:已在代理服务器鉴别的用户;

b)客体:内部或外部网上的主机;

以及被安全功能策略覆盖的所有主体与客体间的操作。

FDP_ACC2.3代理服务器应保证任何在代理服务器安全功能控制范围内的主体与客体间的操作都

被安全功能策略覆盖。

6.1.2访间授权与拒绝((FDPACF.4)

FDP_ACF.4.1代理服务器安全功能应保证:

—未鉴别的端到端策略

—已鉴别的端到端策略

根据主体和客体的安全属性值，提供明确的准许访问的能力。

FDP_ACF.4.2代理服务器安全功能应保证:

—未鉴别的端到端策略

—已鉴别的端到端策略

根据主体和客体的安全属性值，提供明确的拒绝访问的能力。

6.1.3多种安全属性的访间控制(FDPACF.2)

FDP_ACF.2.1代理服务器安全功能应保证:

对基于源地址、目的地址、传输层协议和所请求的服务客体实现

—未鉴别的端到端策略

FDP_ACF.2.2代理服务器安全功能应保证:

对基于用户ID,源地址、目的地址、传输层协议和所请求的服务的客体实现

—已鉴别的端到端策略

FDP_ACF.2.3代理服务器安全功能应保证如下附加规则以判定受控主体与受控客体间的操作是否

被允许:

a)代理服务器应拒绝源于一个外部未受保护网络上鉴别过的用户，但有一个内部，受保护网络上

主机的源地址的访间或服务请求;

b)代理服务器应拒绝源于一个外部未受保护网络上鉴别过的用户，但有一个广播网络源地址的访

问或服务请求;

c)代理服务器应拒绝源于一个外部未受保护网络上鉴别过的用户，但有一个私有的，保留网络主

机源地址的访问或服务请求;

d)代理服务器应拒绝源于一个外部未受保护网络上鉴别过的用户，但有环回网络上一个主机源地

址的访问或服务请求。

GB/T17900一1999

6.1.4完整的信息流控制(FDP_IFG2)

卜vPIFC.2.1代理服务器安全功能应在如下实体上执行关键词过滤策略

。)主体:内部或外部网上的主机或用户;

b)客体:内部或外部网上的主机或用户;

以及被安全功能策略覆盖的所有主体与客体间的操作

FDPIFC.2.2代理服务器应保证任何在代理服务器安全功能控制范围内的主体与客体间的操作都

被安全功能策略覆盖。

6.1.5信息流授权与拒绝F〔DP_IFF.8)

FDPIFF.8.1代理服务器安全功能应保证关键词过滤策略，根据主体和客体的安全属性值明确地对

信息流授权。

FDPIFF.8.2代理服务器安全功能应保证关键词过滤策略，根据主体和客体的安全属性值明确地拒

绝信息流。

6.1.6资源分配时对遗留信息的充分保护((FDP_RIP.3)

PDPRIP.3.1代理服务器安全功能应保证在为所有客体分配资源时，不提供以前的任何信息内容。

应用注释:该要求需要管理用于支持连接的所有资源(如:寄存器、缓冲区)，使得不允许访问以前会

话中的信息。该要求通常通过清除或覆盖这些资源来满足。

墨主鱼塑:下述两项要求(FDP_SAM.1,FDP_SAQ.1)确定了支持管理员完成其职能所必需的

能力，特别是查阅和修改与安全相关参数的能力。这些要求将在后续的对与安全有关数据初始化的

要求中予以详述或补充。随后的识别与鉴别组的要求与有关安全参数(如鉴别数据)的定义、管理和

使用的需要紧密相关。

6.1.7管理员属性修改(FDP_SAM.1)

FDPSAM.I.1代理服务器安全功能应执行如下访间控制安全功能策略。

—未鉴别的端到端策略

—已鉴别的端到端策略

以保证管理员可以修改:

—标识与角色的联系(如:授权的管理员);

—由FDP_ACF.2标识的访问控制属性;

—与安全相关的管理数据。

61.8管理员属性查询((FDP_SAQ.1)

FDP_SAQ.1.1代理服务器安全功能应执行如下访问控制安全功能策略。

一未鉴别的端到端策略

一已鉴别的端到端策略

以保证管理员可以查询:

-FDP_ACF.2标识的访问控制属性，

—主机名;

—用户名。

6.1.9授权管理员、可信主机和用户鉴别数据初始化(FIA_ADA.1)

FIA_ADA.1.1代理服务器安全功能应能够提供与FIA_UAU.1和FIA_UAU.2规定的鉴别机制

相关的授权管理员、可信主机和用户鉴别数据的初始化功能。

FIA_ADA,b2代理服务器安全功能应限制只能由管理员使用这些功能。

6.1.10授权管理员、可信主机和用户鉴别数据的基本保护(FIA_ADP.1)

FIA_ADP.I.1代理服务器安全功能应防止未授权的查阅、修改、销毁存储在代理服务器中的鉴别数

据。

GB/T17900一1999

6.1.11鉴别失败的基本处理(FIA_AFL.1)

FIAAFL.1.1代理服务器安全功能应有能力在一定次数的鉴别失败后，中断可信主机或用户会话

的建立过程。失败次数限值应只能由授权管理员设置。

FIAAFL.1.2中断可信主机或用户会话的建立过程后，代理服务器安全功能应能够使相应的可信

主机帐号或用户帐号失效，直到授权管理员解除对会话的封锁。

6.1.12授权管9员、可信主机、主机和用户属性的初始化(FIA_ATA.1)

FIAATA.1.1代理服务器安全功能应提供用缺省值对授权管理员、可信主机、主机和用户属性初始

化的能力。

6.1.13授权管理员、可信主机、主机和用户唯一属性定义(FIA_ATD.2)

FIA_ATD.2.1代理服务器安全功能应为定义的每一个授权管理员、可信主机、主机和用户提供执行

代理服务器安全策略所必须的唯一的安全属性集合。

6.1.14授权管理员的基本鉴别(FIA_UAU.1)

FIA_UAU.1.1当授权的管理员通过控制台访问代理服务器时，代理服务器安全功能应在授权管理

员执行任何功能前鉴别其身份。

6.1.15单一使用的鉴别机制(FIA_UAU.2)

FIA_UAU.2.1代理服务器安全功能应在执行相应授权管理员、可信主机或用户的任何功能前，鉴

别授权管理员、可信主机或用户所声明的身份。

FIA_UAU.2.2代理服务器安全功能应防止请求如下服务的远程授权管理员、远程可信主机和用户

相关的鉴别数据重复使用:

—文件传输协议((FTP);

—超文本传输协议(HTTP);

—登录(login);

—邮政协议p〔op);

—远程登录(rlogin);

—简单网络管理协议((SNMP);

—远程终端仿真(Telnet),

应用说明:该要求仅需在提供这些服务的代理服务器上满足。

6.1-16授权管理员、可信主机、主机和用户的唯一标识(FIA_UID.2)

FIA_UID.2.1代理服务器安全功能应在执行授权管理员、可信主机或用户请求的任何操作前，唯一

地识别每一个授权用户、可信主机、主机或用户。

6.117符合规定的加密操作(FCS_COP.2)

FCS_COP.2.1代理服务器安全功能应保证其远程管理会话的加密符合国家密码管理的有关规定。

璧主鱼述:下面两项要求((FPT_RVM.1和FPT_SEP.1)规定了保护内部代码和数据结构的基础

性体系结构的能力，并能够表明安全策略始终是有效的。

6.1.18代理服务器安全策略的不可旁路性((FP丁_RVM.1)

FPT_RVM.1.1代理服务器安全功能应保证在任何与安全相关的操作被允许进行前代理服务器安

全策略总是被使用，并是成功的。

6，·19代理服务器安全功能区域分隔(FPT_SEP.1)

FPT_SEP.1.1代理服务器安全功能应为其自身的执行维护一个安全区域，以保护其免遭不可信主

体的干扰和篡改。

FPT_SEP.b2代理服务器安全功能应将代理服务器安全功能控制范围内的各个主体的安全区域分

GB/T17900一1999

隔开。

6.1-20区分安全管理角色((FPTTSA.2)

FPT_TSA.2.1代理服务器安全功能应能够将与安全相关的管理功能与其他功能区分开。

FPT_TSA.2.2代理服务器安全功能中与安全相关的管理功能的集合应包括安装、配置和管理代理

服务器安全功能所需要的所有功能。至少，此集合应包括:增加和删除主体和客体;查

阅访间控制安全属性;分配、修改和取消访间控制安全属性;查阅和管理审计数据。

FPT_TSA.2.3代理服务器安全功能应将执行与安全相关的管理功能的能力，限制到具有特定的授

权功能和责任的一个安全管理角色上。

FPT_TSA.2.4代理服务器安全功能应能够从所有使用代理服务器的个体和系统集中区分出具有管

理功能的授权管理员和可信主机的集合。

FPT_TSA.2.5代理服务器安全功能应只允许授权管理员和可信主机承担安全管理职能。

FPT_TSA.2.6代理服务器安全功能应需要一个明确的请求，以使授权管理员和可信主机承担安全

管理职能。

6.1.21管理功能(FPTTSM.1)

FPT_TSM.1.1代理服务器安全功能应提供给授权管理员设置和修改与安全相关的管理数据的能

力，并能给予或取消FIA_UAU.2.2中服务的用户鉴别。

FPT_TSM.1.2代理服务器安全功能应提供给授权管理员执行安装和初始化代理服务器，及使系统

起动与关闭、备份与恢复的功能的能力，备份能力应被自动的工具支持。

如果代理服务器安全功能支持从内部或外部接口远程管理的能力，则代理服务器安全功能应:

a)有可以禁止从内部和外部接口远程管理的选择权;

b)能够限制可以执行远程管理的地址;

c)能够通过加密保护远程管理会话。

璧垄趣丝:余下的功能安全要求((FAU类)涉及产生、管理、保护和处理安全审计信息的需要。

6.1-22