GB/T 20277-2015 信息安全技术 网络和终端隔离产品测试评价方法

ICS35.040

L80OB

中华人民共和国国彖标准

GB/T20277—2015

代替GB/T20277—2006

信息安全技术网络和终端隔离产品

测试评价方法

Informationsecuritytechnology——Testingandevaluationapproachesof

networkandterminalseparationproducts

2015-05-15发布2016-01-01实施

GB/T20277—2015

目次

刖BI

1范围1

2规范性引用文件1

3术语和定义1

4测试环境与工具1

4.1安全功能与环境适应性测试环境1

4.2性能测试环境2

5安全功能测试3

5.1总体说明3

5.2终端隔离产品3

5.3网络隔离产品9

5.4网络单向导入产品28

6安全保证要求评估51

6.1基本级测试51

6.2增强级测试55

7环境适应性测试64

7.1下一代互联网支持64

7.2支持IPv6过渡网络环境67

8性能测试68

8.1交换速率68

8.2硬件切换时间69

参考文献70

GB/T20277—2015

■ir■■i

刖吕

本标准按照GB/T1.1—2009给出的规则起草。

本标准代替GB/T20277—2006《信息安全技术网络和终端设备隔离部件测试评价方法》。

本标准与GB/T20277—2006的主要差异如下：

—分类修改为终端隔离产品、网络隔离产品和网络单向导入产品三类；

——级别统一划分为基本级和增强级；

——增加了下一代互联网协议支持能力的测试内容。

请注鳶本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任.

本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、珠海经济特区伟思有限公

司、南京神易网络科技有限公司、公安部第三研究所。

本标准主要起草人：陆臻、顾健、俞优、李旋、邓琦、左安骥、路文利、刘斌。

本标准所代替标准的历次版本发布情况：

——GB/T20277—2006o

T

GB/T20277—2015

信息安全技术网络和终端隔离产品

测试评价方法

1范围

本标准依据GB/T20279-2015的技术要求，规定了网络和终端隔离产品的测试评价方法。

本标准适用于按照GB/T20279-2015的安全等级要求所开发的网络和终端隔离产品的测试和

评价。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB17859—1999计算机信息系统安全保护划分准则

GB/T20279—2015信息安全技术网络和终端隔离产品安全技术要求

GB/T25069—2010信息安全技术术语

3术语和定义

GB17859—1999,GB/T25069—2010和GB/T20279—2015界定的术语和定义适用于本文件。

4测试环境与工具

4.1安全功能与环境适应性测试环境

4.1.1终端隔离产

安全功能与环境适应性测试环境参见图lo

图1终端隔离产品安全功能及环境适用性测试环境图

1

GB/T20277—2015

4.1.2网络隔离产

安全功能与环境适应性测试环境参见图2。

图2网络隔离产品安全功能与环境适用性测试环境图

4.1.3网络单向导入产

安全功能与环境适应性测试环境参见图30

f.111掩收力仏皿直世

图3网络单向导入产品安全功能与环境适用性测试环境图

4.2性能测试环境

性能测试环境参见图4,采用专用性能测试仪，测试仪接口直接通过网线连接网络和终端隔离产品

业务接口。

仪

MUR忡■台

图4性能测试环境图

2

GB/T20277—2015

5安全功能测试

5.1总体说明

5.1.1测试评价方法分类

本标准依据GB/T20279—2015的技术要求，将网络和终端隔离产品测试与评价方法要求分为安

全功能、安全保证、环境适应性和性能要求四个大类。

5.1.2安全等级

与GB/T20279—2015相对应，本标准将安全等级分为基本级和增强级。与基本级内容相比，增强

级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。

5.2终端隔离产

5.2.1基本级测试

5.2.1.1访问控制

.1安全属性定义

终端隔离产品的安全属性定义的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，对于信息存储与传输部件，终端隔离产品所必需的安全属性，并且说

明具体的内容。测试产品的安全属性定义，记录测试结果并对该结果是否完全符合上述测试

评价方法要求做出判断。

b）预期结果：

产品应能够设定安全属性，应至少包括不同安全域网络切换方式、光驱和软驱等存储设备处在

哪个安全区域、网络设备接入方式和其他在开发者文档中提及的安全属性。

.2属性修改

终端隔离产品的属性修改的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括属性修改的详细描述。对安全属性进行修改操作，测试产品修改

与安全相关属性的参数的功能,包括安全域网络切换。记录测试结果并对该结果是否完全符

合上述测试评价方法要求做出判断，

b）预期结果：

产品应能够修改与安全相关属性的参数，应至少包括安全域网络切换。

.3属性查询

终端隔离产品的属性查询的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供文档，说明属性查询的详细描述。对安全属性进行查询操作，测试终端隔离产

品用户对安全属性的查询功能，包括对一个安全域网络状态进行查询。记录测试结果并对该

结果是否完全符合上述测试评价方法要求做出判断。

b）预期结果：

3

GB/T20277—2015

终端隔离产品用户应能够进行安全属性的查询，应至少包括对一个安全域网络状态进行查询。

.4访问授权与拒绝

终端隔离产品的访问授权与拒绝的测试评价方法和预期结果如下：

a）测试评价方法：

依据开发者所提供的访问授权与拒绝的详细描述进行测试：

1）信息物理传导隔断测试：当终端隔离产品状态为安全域A网络状态时，尝试跟安全域A

网络和安全域B网络进行连接，产品保证跟安全域A网络主机可以互相访问，跟安全域

B网络主机互相不可访问；当终端隔离产品状态为安全域B网络状态时，尝试跟安全域A

网络和安全域B网络进行连接，产品保证跟安全域B网络主机可以互相访问，跟安全域

A网络主机互相不可访问；

2）信息物理存储隔断测试:测试对于断电后会逸失信息的部件，如内存、寄存器等暂存部件，

在网络转换时作清零处理的功能;对于断电后不会逸失信息的设备，如磁带机、硬盘等存

储设备，安全域A网络与安全域B网络信息以不同存储设备分开存储.比如硬盘,终端隔

离产品分別为安全域A网络与安全域B网络准备一个独立的硬盘;对移动存储介质，如

光盘、软盘、USB硬盘等，在网络转换前提示用户干预或禁止在双网都能使用这些设备；

3）记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。

b）预期结果：

1）信息物理传导隔断测试：当终端隔离产品状态为安全域A网络状态时，尝试跟安全域A

网络和安全域B网络进行连接，产品应保证跟安全域A网络主机可以互相访问，跟安全

域B网络主机互相不可访问；当终端隔离产品状态为安全域B网络状态时，尝试跟安全

域A网络和安全域B网络进行连接，产品应保证跟安全域B网络主机可以互相访问，跟

安全域A网络主机互相不可访问；

2）信息物理存储隔断测试:对于断电后会逸失信息的部件，如内存、寄存器等暂存部件，应在

网络转换时作清零处理;对于断电后不会逸失信息的设备，如磁带机、硬盘等存储设备，安

全域A网络与安全域B网络信息应以不同存储设备分开存储，比如硬盘,终端隔离产品

应分別为安全域A网络与安全域B网络准备一个独立的硬盘;对移动存储介质，如光盘、

软盘、USB硬盘等，应在网络转换前提示用户干预或禁止在双网都能使用这些设备。

.5切换信号一致性

终端隔离产品的切换信号一致性的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括切换信号一致性的详细描述。测试对被隔离的计算机信息资源

进行切换时，终端隔离产品的安全功能由同一信号对隔离的计算机信息资源进行切换，确保一

致性的功能。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。

b）预期结果：

对被隔离的计算机信息资源进行切换时，终端隔离产品的安全功能应由同一信号对隔离的计

算机信息资源进行切换,确保一致性。

.6口令保护

终端隔离产品的口令保护的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括口令保护的详细描述。测试对被隔离的计算机信息资源进行切

4

GB/T20277—2015

换时，终端隔离产品的安全功能保证用户必须输入切换口令，并通过猜测口令验证口令保护的

有效性的功能。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。

b）预期结果：

对被隔离的计算机信息资源进行切换时，终端隔离产品的安全功能保证应保证用户必须输入

切换口令。

.7内存及USB端口的物理隔离

终端隔离产品的内存及USB端口的物理隔离的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括内存及USB端口的物理隔离的详细描述。若终端隔离产品以整

机隔离系统的形态存在，测试终端隔离产品的安全功能能够在物理上隔离内存及所有USB端

口，确保所有的存储设备都是物理上隔断,从物理上保证数据安全性。通过观察硬件配置信息

验证隔离的有效性。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出

判断。

b）预期结果：

若终端隔离产品以整机隔离系统的形态存在，终端隔离产品的安全功能应能够在物理上隔离

内存及所有USB端口，确保所有的存储设备都是物理上隔断,从物理上保证数据安全性。

不可旁路

终端隔离产品的不可旁路的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括不可旁路的详细描述。测试在与安全有关的操作（例如安全属性

的修改）被允许执行之前，终端隔离产品安全功能确保其通过安全功能策略的检杳.记录测试

结果并对该结果是否完全符合上述测试评价方法要求做出判断。

b）预期结果：

在与安全有关的操作（例如安全属性的修改）被允许执行之前，终端隔离产品安全功能应确保

其通过安全功能策略的检查。

5.2.1.3客体重用

终端隔离产品的客体重用的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括客体重用的详细描述。测试在为所有内部或外部网上的主机连

接进行资源分配时，终端隔离产品安全功能能够保证不提供以前连接的任何信息内容的功能。

记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。

b）预期结果：

在为所有内部或外部网上的主机连接进行资源分配时，终端隔离产品安全功能应保证不提供

以前连接的任何信息内容。

5.2.2增强级测试

5.2.2.1访问控制

.1安全属性定义

终端隔离产品的安全属性定义的测试评价方法和预期结果如下:

5

GB/T20277—2015

a）测试评价方法：

评估开发者提供的文档，对于信息存储与传输部件，终端隔离产品所必需的安全属性，并且说

明具体的内容。测试产品的安全属性定义，记录测试结果并对该结果是否完全符合上述测试

评价方法要求做出判断。

b）预期结果：

产品应能够设定安全属性，应至少包括不同安全域网络切换方式、光驱和软驱等存储设备处在

哪个安全区域、网络设备接入方式和其他在开发者文档中提及的安全属性。

.2属性修改

终端隔离产品的属性修改的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括属性修改的详细描述。对安全属性进行修改操作，测试产品修改

与安全相关属性的参数的功能,包括安全域网络切换。记录测试结果并对该结果是否完全符

合上述测试评价方法要求做出判断。

b）预期结果：

产品应能够修改与安全相关属性的参数，应至少包括安全域网络切换。

.3属性查询

终端隔离产品的属性查询的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供文档，说明属性查询的详细描述。对安全属性进行查询操作，测试终端隔离产

品用户对安全属性的查询功能，包括对一个安全域网络状态进行查询。记录测试结果并对该

结果是否完全符合卜-述测试评价方法要求做出判断’

b）预期结果：

终端隔离产品用户应能够进行安全属性的查询，应至少包括对一个安全域网络状态进行查询。

.4访问授权与拒绝

终端隔离产品的访问授权与拒绝的测试评价方法和预期结果如下：

a）测试评价方法：

依据开发者所提供的访问授权与拒绝的详细描述进行测试：

1）信息物理传导隔断测试：当终端隔离产品状态为安全域A网络状态时，尝试跟安全域A

网络和安全域B网络进行连接，产品保证跟安全域A网络主机可以互相访问，跟安全域

B网络主机互相不可访问；当终端隔离产品状态为安全域B网络状态时，尝试跟安全域A

网络和安全域B网络进行连接，产品保证跟安全域B网络主机可以互相访问，跟安全域

A网络主机互相不可访问；

2）信息物理存储隔断测试:测试对于断电后会逸失信息的部件，如内存、寄存器等暂存部件，

在网络转换时作清零处理的功能;对于断电后不会逸失信息的设备，如磁带机、硬盘等存

储设备，安全域A网络与安全域B网络信息以不同存储设备分开存储，比如硬盘,终端隔

离产品分別为安全域A网络与安全域B网络准备一个独立的硬盘;对移动存储介质，如

光盘、软盘、USB硬盘等，在网络转换前提示用户干预或禁止在双网都能使用这些设备；

3）记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。

b）预期结果：

1）信息物理传导隔断测试：当终端隔离产品状态为安全域A网络状态时，尝试跟安全域A

6

GB/T20277—2015

网络和安全域B网络进行连接，产品应保证跟安全域A网络主机可以互相访问，跟安全

域B网络主机互相不可访问；当终端隔离产品状态为安全域B网络状态时，尝试跟安全

域A网络和安全域B网络进行连接，产品应保证跟安全域B网络主机可以互相访问，跟

安全域A网络主机互相不可访问；

2）信息物理存储隔断测试:对于断电后会逸失信息的部件，如内存、寄存器等暂存部件，应在

网络转换时作清零处理，防止遗留信息窜网；对于断电后不会逸失信息的设备，如磁带机、

硬盘等存储设备，安全域A网络与安全域B网络信息应以不同存储设备分开存储，比如

硬盘，终端隔离产品应分別为安全域A网络与安全域B网络准备一个独立的硬盘;对移

动存储介质，如光盘、软盘、USB硬盘等，应在网络转换前提示用户干预或禁止在双网都

能使用这些设备。

.5网络非法外联

终端隔离产品的网络非法外联的测试评价方法和预期结果如下：

a）测试评价方法：

评佔开发者提供文档，包括网络非法外联的详细描述。模拟非法外联事件的产生，测试终端隔

离产品的安全功能能够保证用户在内网状态下，随时监测用户网络是否与耳联网相连接，一旦

发现是否立即禁用网络并给出报警的功能。记录测试结果并对该结果是否完全符合I：述测试

评价方法耍求做出判断。

b）预期结果：

终端隔离产品的安全功能应保证用户在内网状态下，随时监测用户网络是否与互联网相连接，

一P发现应立即禁用网络并给出报警，确保内网安全。

.6切换信号一致性

终端隔离产品的切换信号一致性的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括切换信号一致性的详细描述。测试对被隔离的计算机信息资源

进行切换时，终端隔离产品的安全功能由同一信号对隔离的计算机信息资源进行切换,确保一

致性的功能。记录测试结果并对该结果是否完全符合上述测试评价方法要求做岀判断。

b）预期结果：

对被隔离的计算机信息资源进行切换时，终端隔离产品的安全功能应由同一信号对隔离的计

算机信息资源进行切换,确保一致性。

.7硬盘非法调换

终端隔离产品的硬盘非法调换的测试评价方法和预期结果如下：

a）测试评价方法：

评佔开发者提供的文档，是否包括硕盘非法调换的详细描述。测试终端隔离产品的安全功能

能够在初始安装时对对应网络的硕盘进行唯-标识，保证硕盘与网络一一对应关系，确保内网

硕盘数据的安全。模拟调换被测系统的硕盘，检查保护措施的有效性。记录测试结果并对该

结果是否完全符合I：述测试评价方法要求做出判断。

b）预期结果：

终端隔离产品的安全功能应能在初始安装时对对应网络的硕盘进行唯一标识，保证硕盘与网

络一一对应关系.确保内网硕盘数据的安全。

7

GB/T20277—2015

.8口令保护

终端隔离产品的口令保护的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括口令保护的详细描述。测试对被隔离的计算机信息资源进行切

换时，终端隔离产品的安全功能保证用户必须输入切换口令，并通过猜测口令验证口令保护的

有效性的功能。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。

b）预期结果：

对被隔离的计算机信息资源进行切换时，终端隔离产品的安全功能保证应保证用户必须输入

切换口令。

.9内存及USB端口的物理隔离

终端隔离产品的内存及USB端口的物理隔离的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括内存及USB端口的物理隔离的详细描述。若终端隔离产品以整

机隔离系统的形态存在，测试终端隔离产品的安全功能能够在物理上隔离内存及所有USB端

口，确保所有的存储设备都是物理上隔断,从物理上保证数据安全性。通过观察硬件配置信息

验证隔离的有效性。记录测试结果并对该结果是否完全符合上述测试评价方法要求做岀

判断。

b）预期结果：

若终端隔离产品以整机隔离系统的形态存在，终端隔离产品的安全功能应能够在物理上隔离

内存及所有USB端口，确保所有的存储设备都是物理上隔断,从物理上保证数据安全性。

不可旁路

终端隔离产品的不可旁路的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括不可旁路的详细描述。测试在与安全有关的操作（例如安全属性

的修改）被允许执行之前,终端隔离产品安全功能确保其通过安全功能策略的检查。记录测试

结果并对该结果是否完全符合上述测试评价方法要求做出判断。

b）预期结果：

在与安全有关的操作（例如安全属性的修改）被允许执行之前，终端隔离产品安全功能应确保

其通过安全功能策略的检查。

客体重用

终端隔离产品的客体重用的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括客体重用的详细描述。测试在为所有内部或外部网上的主机连

接进行资源分配时，终端隔离产品安全功能能够保证不提供以前连接的任何信息内容的功能。

记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。

b）预期结果：

在为所有内部或外部网上的主机连接进行资源分配时，终端隔离产品安全功能应保证不提供

以前连接的任何信息内容。

8

GB/T20277—2015

5.3网络隔离产品

5.3.1基本级测试

5.3.1.1访问控制

.1基本的信息流控制策略

网络隔离产品的基本的信息流控制策略的测试评价方法和预期结果如下：

a）测试评价方法：

1）评估开发者提供的文档，包括基本的信息流控制策略的详细描述。模拟生成设备所支持

的信息流，测试对主体、客体以及经过网络隔离产品的主客体之间的所有操作，网络隔离

产品基本的信息流控制策略能够执行以下端到端基本的信息流控制策略：

—所有主客体之间发送和接收的信息流是否执行了网络层协议剥离，查看还原成为应

用层数据的能力；

——主客体之间发送和接收的信息流经过了安全策略允许后传输；

——授权管理员与网络隔离产品间发送的管理信息经过了安全策略允许后传输；

2）记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。

b）预期结果：

针对主体、客体以及经过网络隔离产品的主客体之间的所有操作，网络隔离产品基本的信息流

控制策略应能够执行以下端到端基本的信息流控制策略：

1）所有主客体之间发送和接收的信息流应执行网络层协议剥离，还原成应用层数据；

2）主客体之间发送和接收的信息流应经过安全策略允许后传输；

3）授权管理员与网络隔离产品间发送的管理信息应经过安全策略允许后传输。

.2基本的信息流控制功能

网络隔离产品的基本的信息流控制功能的测试评价方法和预期结果如下：

a）测试评价方法：

1）评估开发者提供的文档，包括基本的信息流控制功能的详细描述。模拟生成设备所支持

的信息流，测试网络隔离产品安全功能策略可执行以下基本的信息流控制功能，提供明确

的访问保障能力和拒绝访问能力。包括：

-网络隔离产品是否可通过配置ACL访问控制列表进行信息流控制，ACL访问控制

列表的元素包括：源IP地址、目的IP地址、源端口、目的端口、协议号；

-网络隔离产品可对经过的HTTP、FTP、SMTP、POP3等应用协议信息流进行合规

性检查；

-网络隔离产品可对经过的HTTP、FTP、SMTP、POP3等应用协议信息流的协议信

令及参数关键字进行过滤；

-网络隔离产品可对经过的HTTP、FTP、SMTP、POP3等应用协议信息流中的内容

包括文件附件进行关键字过滤；

——网络隔离产品可通过协议隔离方式断开内部TCP/IP连接，完成信息传输；

2）记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。

b）预期结果：

网络隔离产品安全功能策略应能够执行以下基本的信息流控制功能，应提供明确的访问保障

能力和拒绝访问能力。包括：

9

GB/T20277—2015

1）网络隔离产品应可通过配置ACL访问控制列表进行信息流控制，ACL访问控制列表的

元素应包括：源IP地址、目的IP地址、源端口、目的端口、协议号；

2）网络隔离产品应可对经过的HTTP、FTP、SMTP、POP3等应用协议信息流进行合规性

检查；

3）网络隔离产品应可对经过的HTTP、FTP、SMTP、POP3等应用协议信息流的协议信令

及参数关键字进行过滤；

4）网络隔离产品应可对经过的HTTP、FTP、SMTP、POP3等应用协议信息流中的内容包

括文件附件进行关键字过滤；

5）网络隔离产品应可通过协议隔离方式断开内部TCP/IP连接,完成信息摆渡传输。

.3残余信息保护

网络隔离产品的残余信息保护的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括残余信息保护的详细描述。测试网络隔离产品在为所有内部或

外部网上的主机连接进行资源分配时，网络隔离产品安全功能能够保证其分配的资源中不提

供以前连接活动中所产生的任何信息内容。记录测试结果并对该结果是否完全符合上述测试

评价方法要求做出判断。

b）预期结果：

网络隔离产品安全功能应能够保证其分配的资源中不提供以前连接活动中所产生的任何信息

内容。

.4不可旁路

网络隔离产品的不可旁路的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括不可旁路保护的详细描述。审查文档并且验证其是否真实。提

供文档说明网络隔离产品采用何种机制和措施，确保安全策略的不可旁路性，即任何与安全有

关的操作被允许执行之前，都必须通过安全策略的检查。文档应该分析并确认，网络隔离产品

确实控制了端设备用户的每次访问请求，不存在其他可能旁路网络隔离产品的途径。记录测

试结果并对该结果是否完全符合上述测试评价方法要求做出判断。

b）预期结果：

产品应不存在其他可能旁路网络隔离产品的途径。

抗攻击

网络隔离产品的抗攻击的测试评价方法与预期结果如下：

a）测试评价方法：

1）配置启用网络隔离产品抗攻击功能；

2）采用模拟攻击设备，通过网络隔离产品，发起产品声明支持带宽10%的攻击流量（至少包

括SYNFloodJCMPFlood等），同时通过网络隔离产品建立正常的传输业务，持续时间

1min；

3）检查拒绝服务攻击包通过的比例，以及正常业务成功建立的比例。

b）预期结果：

1）网络隔离产品具备抗拒绝服务器攻击能力；

2）攻击包通过的比例不大于5%、正常业务建立成功率不低于90%。

10

GB/T20277—2015

安全管理

.1区分安全管理角色

网络隔离产品的区分安全管理角色的测试评价方法和预期结果如下：

a）测试评价方法：

依据开发者所提供的区分安全管理角色的详细描述进行测试：

1）产品至少提供两类用户角色，至少有一类为管理员角色，保证此两类用户角色并不相同。

评价者测试此两类用户角色是否不同，且有一类属于管理员角色；

2）创建一未授予安全管理角色的普通用户，以此用户执行安全管理功能相关操作，网络隔离

产品拒绝其操作；

3）将安全管理角色授与此用户，再次执行安全管理功能的相关操作（应包括安装、配置和管

理网络隔离产品安全功能本身所需的所有功能，其中至少应包括：增加和删除主体（发送

信息的主机）和客体（接受信息的主机），查阅安全属性，分配、修改和撤销安全属性，查阅

和管理审计数据），测试网络隔离产品是否允许其操作；

4）记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。

b）预期结果：

1）产品应至少提供两类用户角色，至少有一类为管理员角色，保证此两类用户角色并不

相同；

2）网络隔离产品应拒绝未授予安全管理角色的普通用户执行安全管理功能相关操作；

3）将安全管理角色授与此用户，再次执行安全管理功能的相关操作（应包括安装、配置和管

理网络隔离产品安全功能本身所需的所有功能，其中至少应包括：增加和删除主体（发送

信息的主机）和客体（接受信息的主机），查阅安全属性，分配、修改和撤销安全属性，查阅

和管理审计数据）,网络隔离产品应允许其操作。

.2管理功能

网络隔离产品的管理功能的测试评价方法和预期结果如下：

a）测试评价方法：

1）评估开发者提供的文档，包括管理功能的详细描述。以授权管理员身份登录，测试能够进

行如下操作：

——设置和更新与安全相关的数据；

——网络隔离产品的安装及初始化；

系统启动和关闭；

——备份和恢复系统配置信息，

2）记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。

b）预期结果：

网络隔离产品应能执行上述操作，并且网络隔离产品的各种备份（如安全配置的备份，审计记

录的备份）工作可以通过自动工具完成。如果网络隔离产品支持外部或内部接口的远程管理，

尝试关闭内部和外部接口或其中之一及配置远程管理地址，网络隔离产品应允许这些操作的

执行;从未授权远程管理的主机地址，尝试进行远程管理，网络隔离产品应予以拒绝；远程管理

会话应进行加密保护。

.3独立管理接口

网络隔离产品的独立管理接口的测试评价方法和预期结果如下:

11

GB/T20277—2015

a）测试评价方法：

评估开发者提供的文档，包括独立管理接口的详细描述。测试网络隔离产品使用与通讯接口

相互独立的管理接口与授权管理员连接,授权管理员经过身份鉴别后，是否采用多因素身份鉴

别和加密方式建立授权管理员与网络隔离产品间的可信路径，是否禁止其他用户非授权访问

管理接口。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。

b）预期结果：

网络隔离产品应使用与通讯接口相互独立的管理接口与授权管理员连接，授权管理员经过身

份鉴別后，应采用多因素身份鉴别和加密方式建立授权管理员与网络隔离产品间的可信路径，

应禁止其他用户非授权访问管理接口。

标识和鉴别

.1基本安全属性定义

网络隔离产品的基本安全属性定义的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括对于每一个授权管理员、构成系统的信息传输与控制部件、应用

层数据采集与接受部件，网络隔离产品为其提供一套唯一的、为了执行安全功能策略所必需的

安全属性，并且说明具体的内容。测试产品是否设定了这些安全属性，至少包括授权管理员的

安全属性、构成系统的信息传输与控制部件的安全属性、应用层数据采集与接受部件的安全属

性和其他在开发者文档中提及的安全属性。如果产品设定规定范围内的安全属性和开发者文

档中存在的安全属性，则此项判定为合格。记录测试结果并对该结果是否完全符合上述测试

评价方法要求做出判断。

b）预期结果：

产品应设定至少包括授权管理员的安全属性、构成系统的信息传输与控制部件的安全属性、应

用层数据采集与接受部件的安全属性和其他在开发者文档中提及的安全属性。

.2属性初始化

网络隔离产品的属性初始化的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括属性初始化的详细描述。按照开发者提供的初始化方法进行初

始化，审查初始化结果是否与文档宣称的初始化值一致。记录测试结果并对该结果是否完全

符合上述测试评价方法要求做出判断。

b）预期结果：

测试结果应完全符合上述测试评价方法要求做出判断，测试和审查的初始化过程和结果应符

合文档说明。

.3属性修改

网络隔离产品的属性修改的测试评价方法和预期结果如下：

a）测试评价方法：

依据开发者提供的属性修改的详细描述进行测试：

1）测试能以授权管理员的身份对源地址、目的地址、传输层协议和请求的服务（例如：源端口

号或目的端口号等访问控制属性）和配置的安全参数（至少包括：最大鉴別失败次数等数

据）进行修改；

12

GB/T20277—2015

2）测试修改后的设置是否有效；

3）记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。

b）预期结果：

1）应能以授权管理员的身份对源地址、目的地址、传输层协议和请求的服务（例如：源端口号

或目的端口号等访问控制属性）和配置的安全参数（至少包括：最大鉴别失败次数等数据）

进行修改；

2）修改后的设置应能够生效。

.4属性查询

网络隔离产品的属性查询的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括属性查询的详细描述。测试能以授权管理员的身份对源地址、目

的地址、传输层协议和请求的服务（例如：源端口号或目的端口号等访问控制属性）和配置的安

全参数（至少包括:最大鉴別失败次数等数据）进行查询。记录测试结果并对该结果是否完全

符合上述测试评价方法要求做出判断。

b）预期结果：

应能以授权管理员的身份对源地址、目的地址、传输层协议和请求的服务（例如：源端口号或目

的端口号等访问控制属性）和配置的安全参数（至少包括：最大鉴別失败次数等数据）进行

查询。

.5鉴别数据初始化

网络隔离产品的鉴別数据初始化的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括网络隔离产品鉴别机制的详细描述。根据开发者提供的网络隔

离产品鉴别机制的详细描述，分别以授权管理员和普通用户的身份登录，测试该部件是否提供

鉴别数据的初始化功能。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出

判断。

b）预期结果：

以授权管理员和普通用户的身份登录网络隔离产品，产品应提供鉴别数据的初始化功能。

.6鉴别时机

网络隔离产品的鉴别时机的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括网络隔离产品鉴別机制的详细描述。设置多个授权管理员，分别

以所有这些授权管理员的身份登录，测试在所有授权管理员请求执行的任何操作之前，网络隔

离产品对每个授权管理员都进行了身份鉴別。记录测试结果并对该结果是否完全符合上述测

试评价方法要求做出判断。

b）预期结果：

在所有授权管理员请求执行的任何操作之前，网络隔离产品应对每个授权管理员都进行身份

鉴别。

.7最少反馈

网络隔离产品的最少反馈的测试评价方法和预期结果如下:

13

GB/T20277—2015

a）测试评价方法：

评估开发者提供的文档，包括网络隔离产品鉴别机制的详细描述。分别以授权管理员和普通

用户的身份登录，并且输入正确或者错误的口令，测试网络隔离产品的反馈信息最少。记录测

试结果并对该结果是否完全符合上述测试评价方法要求做出判断。

b）预期结果：

分别以授权管理员和普通用户的身份登录，并且输入正确或者错误的口令，网络隔离产品应反

馈最少的信息。

.8鉴别失败处理

网络隔离产品的鉴別失败处理的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括网络隔离产品鉴别机制的详细描述。以错误的用户名一口令登

录，在一定次数的鉴别失败后，测试网络隔离产品终止了进行登录尝试主机建立会话的过程。

分别以授权管理员和普通用户的身份登录，测试该部件提供最多失败次数的设定功能，且最多

失败次数仅由授权管理员设定。记录测试结果并对该结果是否完全符合上述测试评价方法要

求做出判断。

b）预期结果：

以错误的用户名一口令登录，在一定次数的鉴别失败后，网络隔离产品应能够终止进行登录尝

试主机建立会话的过程。分别以授权管理员和普通用户的身份登录，产品应提供最多失败次

数的设定功能，且最多失败次数应仅由授权管理员设定。

审计

.1审计数据生成

网络隔离产品的审计数据生成的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括评价所需的相关文档（例如：产品说明书产品测试文档）。根据开

发者文档，使用不同角色用户模拟对产品不同模块进行访问、运行、修改、关闭以及重复失败尝

试等相关操作。审查审计记录的正确性。记录测试结果并对该结果是否完全符合上述测试评

价方法要求做出判断。

b）预期结果：

网络隔离产品应能够准确记录不同角色用户对产品不同模块进行访问、运行、修改、关闭以及

重复失败尝试等相关操作。

.2审计记录管理

网络隔离产品的审计记录管理的测试评价方法和预期结果如下：

a）测试评价方法：

评估开发者提供的文档，包括评价所需的相关文档（例如：产品说明书产品测试文档）。模拟授