GA/T 681-2007 信息安全技术 网关安全技术要求

ICS35.040

Ago

6A

中华人民共和国公共安全行业标准

GA/T681一2007

信息安全技术网关安全技术要求

Inofrmationsecuritytechnology一Technicalrequirementsofgateway

2007一03一20发布2007一05一01实施

中华人民共和国公安部发布

GA/T681一2007

目次

前言············。。·。··································································································……1

引言·································44······································，，·······································……11

1范围·························4·····················································································……工

2规范性引用文件··········，····················································································…·…1

3术语和定义······································································································……1

4网关的一般说明···············，，········4·································。····································……2

4.1概述············································································································……2

4.2安全环境······································································································……2

5安全功能要求·······，··························································································……3

5.1标识和鉴别·························································。。········································……3

5.2审计·············································································································，一4

5.3通信抗抵赖······，，···························································································……5

5.4标记············································································································……5

5.5自主访问控制··········4······4········································4·····································……6

5.6强制访问控制····························································4···································……6

5.7数据存储保护···················4·····································44·····································……6

5.8数据传输保护································································4·······························……6

5.9数据完整性保护·····························································································……6

5.01剩余信息保护································································································……7

5.11隐蔽信道分析····················4···········································································……7

5.21用户与网关间的可信路径·················································································……7

5.13密码支持······，········，，·····················································································……7

6安全保证技术要求························4··················································4·················……8

6.1网关安全功能自身安全保护··············································································……8

6.2网关安全设施设计和实现················································································…·…n

6.3网关安全管理··············································。·················································……17

7网关安全保护等级划分······················································································…·…81

7.1第一级用户自主保护级·······································。。。······································…·…81

7.2第二级系统审计保护级················································································…·…02

7.3第三级安全标记保护级····················································。···························…·…22

7.4第四级结构化保护级···················································································…·…25

7.5第五级访问验证保护级·····································。。·······································…·…82

附录A(资料性附录)标准概念说明········································································……31

A.1组成与相互关系····································。··。·。。。。···········································……31

A.2网关安全等级的划分···················································································…·…31

A.3关于网关中的主体与客体·································。··························4················…·…33

A.4关于网关中的TCB、网关安全功能和网关安全功能策略·············，·························……33

A.5关于密码技术和数据加密···································。·········································…·…33

参考文献············································································································……43

GA/T681一2007

前言

本标准从信息技术方面详细规定了各安全保护级别的网关系统所应具有的安全功能要求和安全保

证要求。

本标准的附录A为资料性附录。

本标准由公安部公共信息网络安全监察局提出。

本标准由公安部信息系统安全标准化技术委员会归口。

本标准起草单位:中国科学院研究生院信息安全国家重点实验室。

本标准主要起草人:荆继武、冯登国、夏鲁宁、王琼臂、许良玉、聂晓峰、黄敏、高能、林碌锵、吕欣、

廖洪变。

GA/T681一2007

引言

本标准用以指导设计者如何设计和实现具有所需安全等级的网关产品，主要从对网关的安全保护

等级进行划分的角度来说明其技术要求，即主要说明为实现GB17859一1999中每一个安全保护等级

的安全要求对网关应采取的安全技术措施，以及各安全技术要求在不同安全保护等级中的具体差异。

本标准按GB17859一1999五个安全保护等级的划分，对每一个安全保护等级的安全功能技术要

求和安全保证技术要求做了详细描述。文中每一级别比上一级别新增的要求以加粗字表示。

GA/T681一2007

信息安全技术网关安全技术要求

范围

本标准规定了按GB17859一1999对网关进行安全等级保护划分所需要的详细技术要求。

本标准适用于按GB17859一1999的要求所进行的网关的设计和实现。按GB17859一1999的要

求对网关进行的测试、配置也可参照使用。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有

的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究

是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

GB17859一1999计算机信息系统安全保护等级划分准则

GB/T18336.1一2o01信息技术安全技术信息技术安全性评估准则第1部分:简介和一

般模型

术语和定义

GB17s59一1999和GB/Tls336.1一2001中确立的以及下列术语和定义适用于本标准。

3.1

主机host

主机指连接到一个或多个网络的设备，它可以向任何一个网络发送和接收数据，它在网关安全功能

策略控制下进行通信。

3.2

用户user

在网关中，用户与管理员同义，是指能访问网关并对网关进行管理和维护的个人。

注:为保持文中规范性语言与已有标准的一致性如“用户一主体绑定’，等，本标准仍保留“用户”这个术语，而不是统一

叫做“管理员”.

3.3

授权管理员authorizdeadministrator

能访问、实施、修改网关安全功能策略的个人，其职责仅限定于对网关的管理。

3.4

可信主机trustedhost

允许授权管理员对网关进行远程管理的主机。

3.5

网关gateway

网关是一种网络连接设备，实现不同网络之间的互连。

3.6

网关安全设施tr.stdecomPutingbaes(TCB)ofgateway

在网关系统中，网关的可信计算基是网关中保护装置的总称，包括硬件、固件、软件和负责执行安全

策略的组合体，在本标准中称为网关安全设施。它建立一个基本的保护环境，并提供网关所要求的附加

服务。在网关系统中，网关安全设施是物理上分散、逻辑上统一分布的。

GA/T681一2007

3.7

网关安全功能TCBsceurityfunction(TsF)

正确实施网关安全设施安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现，

组成一个安全功能模块。网关安全设施的所有安全功能模块共同组成网关的安全功能

3。8

网关安全功能策略TCBsecurityufnctionpolicy(Tsp)ofgateway

对网关安全设施中的资源进行管理、保护和分配的一组规则。网关安全功能策略构成一个安全域，

以防止不可信主体的干扰和篡改。一个网关安全设施可以有一个或多个安全功能策略。

3.9

网关数据gate，aydata

指在网关中存储、传输及处理的用户鉴别信息、网关配置信息、协议转换规则等数据。

3.10

被转发数据transmittdedata

指通过网关转发的数据。

3.11

网关安全功能数据TSFdata

指与网关安全功能相关的口令、密钥、证书、审计数据或网关安全功能的可执行代码等数据。

4网关的一般说明

4.1概述

网关是一种网络连接设备，实现不同网络之间的互连。网关能够连接使用相同或不同通信协议、数

据格式、语言甚至体系结构的两种网络。在必要的情况下，网关可以提供协议转换、速度调整、编码转

换、错误隔离以及安全测量等功能。网关可以完全由硬件实现，也可以完全由软件实现，也可以由软件

和硬件结合实现。根据实现的不同，网关可以工作在051模型的3层及以上各层。网关通常运行于网

络的边缘，因此一些相关功能例如防火墙、路由功能等常常附加在网关卜。

4.2安全环境

4.2.1安全威胁

安全威胁主要包括:

a)攻击者可以窃取或截获网关数据，可以收集信息的源地址、目的地址、数据量和时间，获取节点

的地址、配置信息和物理位置等;

b)攻击者将某一节点攻破，可改变网关的配置文件，导致网关的错误操作或使网关丧失安全

特征;

c)拒绝服务攻击和重放攻击;

)d非授权节点使用有效的网络地址或伪装成授权用户试图访问网络资源;

e)网络管理员可能超越所授予的权限而访问和修改数据，可能产生安全相关的错误，导致对信息

不合适的访问、修改或对资源不恰当的使用。

4.2.2安全应用假设

安全应用假设主要包括:

a)安全的网关需要运行在具有同样安全级别的网络或操作系统之上

b)根据网络安全策略定期评估和分析审计信息。

c)所有设备确保受到足够的物理保护，能免遭自然灾害的破坏。网关位于访问可控的设施内，能

防止未授权人员的访问。

)d有可靠的时间戳来源，以便于信息传输的同步以及审计获得可靠的时间戳。

GA/T681一2007

)e所有相关的人员得到关于安装、配置、维护网关、网关安全功能和所有网络组件的相应培训，所

有人员按照已定文档中的程序进行操作。

5安全功能要求

5.1标识和鉴别

5.，.1用户标识

a)基本标识。应对网关的用户进行标识，一般以用户名或用户ID实现。口令的存储和传输应得

到保护。

b)唯一性标识。应确保所标识用户在网关系统生命周期内的唯一性，如果一个用户被删除，该

用户的标识符也不能再使用。同时将用户标识与审计相关联。

5.1.2用户鉴别

5.1.21动作前鉴别

网关安全功能在动作被实施之前，先对提出该动作请求的用户利用口令机制进行鉴别。网关的用

户，即管理员，通过远程访问进行管理时，还应对所使用的远程设备进行鉴别以确定是否是可信主机，如

通过PI地址鉴别。

5.1.22同步鉴别

网关安全功能允许用户在被鉴别之前实施由网关安全功能促成的某些动作，这些动作用来确定鉴

别自己的条件(如生成口令)。除了这些动作以外，用户在实施其他动作之前，都应先鉴别用户的身份。

5.1.2.3不可伪造鉴别

网关安全功能应具有能检测出已经丢弃的或复制的鉴别数据重放的安全机制。网关安全功能应防

止一切伪造的鉴别数据以及任何拷贝的鉴别数据的使用。当管理员是远程访问管理时，应对传送鉴别

信息的数据包提供完整性、保密性服务和抗重放功能。

5.1.2.4一次性使用鉴别

网关安全功能应能提供一次性使用鉴别数据操作的鉴别机制，防止与已标识过的鉴别机制有关的

鉴别数据的重用。一次性使用鉴别机制可通过在鉴别信息的数据包中提供序列号、验证码或数字签名

等机制实施。

5，.2.5多鉴别机制

除通过简单的口令鉴别机制外，网关安全功能还应提供其他鉴别机制，如通过数字证书、智能CI卡

或通过人体的生物特征进行鉴别。

5.1.2.6，新鉴别

网关安全功能应提供重新鉴别机制，在特定情况下对用户进行重新鉴别，如断开的用户重新登录。

应周期性地对管理员身份进行确认，如果网关的管理员操作的时间超过一定时限，网关安全功能应对管

理员身份重新进行鉴别。时限由网关的授权管理员进行设置。

5.1.3鉴别失败处理

当对用户鉴别失败的次数达到或超过某一给定值时，网关安全功能应:

a)记录鉴别错误事件;

b)通知网关的安全管理员;

)c终止该用户的访问;

)d当用户是远程访问时，切断相应主机的通信，禁止源或目的地为该主机的数据包通过网关。

5.1，4用户一主体绑定

网关安全功能在网关安全功能控制范围之内，对一个已标识和鉴别的用户，在激活另一主体如访

问、修改网关配置文件或协议转换规则时，应通过用户一主体绑定将该用户与该主体相关联，从而将用户

的身份与该用户的所有可审计行为相关联。

GA/T681一2007

5.2审计

5.2.1安全审计的响应

当网关可能受到攻击时，能够自动记录攻击发起人的PI地址及企图攻击的时间，以及攻击包数据，

给系统安全管理及追查网络犯罪提供可靠的线索。通常当安全审计检测到可能有安全侵害事件时，网

关安全功能应:

a)生成实时报警信息;

b)终止违例进程，取消当前的服务;

c)断开当前用户账号，并使其失效;

)d切断相关主机的通信。

522安全审计数据产生

a)网关安全功能应为下述可审计事件产生审计记录:

—审计功能的启动和关闭;

—身份鉴别的失败，审计记录应包括用户的身份和所使用访问设备的标识，如MAC或PI

地址;

—管理员的所有相关操作，如添加、修改或删除配置文件或协议转换规则;

—协议转换失败事件，应记录转换数据包的来源、时间、数据包长度等;

—源或目标地址为某主机的通信量，应记录数据包的源和目的地址。

b)其他相关安全审计事件包括:不可信节点的传输发送，不可信节点的传输接收，恢复安全相关

事件的响应动作，恢复安全相关事件的时间，所有受到安全相关事件影响的组件。对于每一

个事件，其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功，及其他与审

计相关的信息。将每个可审计事件与引起该事件的用户相关联。

5.2.3审计查阅

5.2.3.1有限审计查阅

网关安全功能应禁止具有只读访问权限以外的用户读取审计信息，只为授权管理员以便于理解的

方式提供从审计记录中读取审计信息列表的能力。

5.23.2可选审计查阅

在有限审计查阅的基础上，审计查阅工具应具有根据准则来选择要查阅的审计数据的功能，并根据

某种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能力。

5.2.4审计分析

a)潜在侵害分析:网关安全功能应提供一系列规则去监控审计事件，并根据这些规则指出网关系

统的潜在威胁，如在某一主机上存有多次用户鉴别失败的记录;

b)基于异常检测的描述:通过对审计历史的记录，网关安全功能应维护与每个用户相对应的质

疑等级，当用户的质疑等级超出某一门限时，网关安全功能应指出即将发生的安全威胁，如某

一主机通信量在一段时间内急剧上升;

)c简单攻击探测:网关安全功能对有侵害性的系统事件进行分组，并做相应的描述，当检测到侵

害性事件与上述组中的相应描述相匹配时，指出一个对网关攻击的到来，

)d复杂攻击探测:在简单攻击探测上，网关安全功能应能检测到多步人侵情况，并能根据已知的

事件序列模拟出完整的人侵情况。

5.2.5审计事件选择

网关安全功能根据以下属性包括或排除审计事件集中的可审计事件:客体身份、用户身份、主体身

份、主机身份或事件类型。

5.2.6审计事件存储

a)受保护的审计踪迹存储:审计踪迹的存储应受到保护，能检测或防止对网关系统审计记录的

GA/T681一2007

修改;

b)确保审计数据的可用性:在意外情况出现时，网关安全功能应检测或防止对审计记录的修改，

以及在发生审计存储已满、存储失败或存储受到攻击时，确保审计记录不被破坏;

)c审计数据可能丢失情况下的措施:当审计跟踪超过预定的门限时，应采取相应的措施，进行审

计数据可能丢失情况的处理;

)d防止审计数据丢失:在审计踪迹存储记满时，应采取相应的防止审计数据丢失的措施，可选择

“忽略可审计事件”、“阻止除具有特殊权限外的其他用户产生可审计事件”、“覆盖已存储的最

老的审计记录”和“一旦审计存储失败所采取的其他行动”等措施，防止审计数据丢失。例如，

审计踪迹存储记满时网关安全功能可阻止除授权用户或审计员外产生的所有可审计事件。

5.2.7网络环境安全审计与评估

应建立由安全审计服务器和审计代理程序组成的分布式安全审计系统，统一进行管理和控制，实现

分布式的审计系统。可通过多个网关上安装审计代理程序，经由安全审计服务器对网络进行统一分析、

审计。

5.3通仿抗抵赖

5.31抗原发抵赖

抗原发抵赖确保信息的发起者不能否认曾经发送过信息。网关安全功能应提供一种方法，确保网

关在数据交换期间获得了证明信息原发的证据。此证据可由网关或其他主体验证。当网关间需要交换

信息时，可通过如预共享密钥、公钥加密或数字签名等手段，提供抗原发抵赖能力:

a)选择性原发证明:在接收到原发证明请求时，网关安全功能应具有提供原发信息证据的能力;

b)强制原发证明:网关安全功能应总是对传送的信息产生原发证据;

)c被转发数据选择性原发证明:抗原发抵赖还应确保被转发数据的发起者不能否认曾发出数据。

在网关转发了发送者发出的数据时，网关安全功能应具有提供发送信息证据的能力。此证据

可由被转发数据的发起者、接收者或其他主体验证。

5.3.2杭接收抵赖

接收抗抵赖确保信息的接收者不能否认对信息的接收。网关安全功能应提供一种方法来确保发送

信息的主体在数据交换期间获得了证明信息接收的证据，此证据可由发送主体或其他主体验证。当网

关间交换网络拓朴结构信息时，可通过预共享密钥、公钥加密或数字签名等手段，提供抗接收抵赖:

a)选择性接收证明:在接收到请求时，网关安全功能应具有提供接收信息证据的能力;

b)强制接收证明:网关安全功能应总是对接收信息产生证据;

c)被转发数据选择性接收证明:抗接收抵赖还应确保被转发数据的接收者不能否认对信息的接

收。在接收者接收了自网关转发的数据时，网关安全功能应具有提供接收信息证据的能力。

此证据可由被转发数据的发起者、接收者或其他主体验证。

54标记

a)网关对所有客体(如配置文件、协议转换规则、访问表、审计记录、管理员属性表等)和主体(管

理员以及所启动的程序)都指定并维护相关的敏感标记。对于在通信期间要移动的数据项、发

起通信的进程与实体、响应通信的进程与实体、在通信时被用到的信道和其他资源等，都可以

用各自的属性来标记。

b)被转发数据可通过数据包的协议字段设置相关的安全属性和敏感标记。例如对于TCP/1P协

议的数据包，可利用如下字段确定数据包的敏感标记:

—源或目的MAC地址;

—源PI地址，

—目的IP地址，

—传输协议类型;

GA/T681一2007

—传输端口号。

通过数据包的敏感标记，确定其是否需要加密、是否需要提供完整性保护或是否允许通过等。

5.5自主访问控制

常用的自主访问控制策略为访问控制表(ACL)，包括目录表访问控制、存取控制表访问控制、访问

控制矩阵访问控制和能力表访问控制等。

a)对于网关数据，只有授权管理员才能访问。当网关是基于某一具体的操作系统时，也可借助操

作系统的自主访问控制机制实施。各种网关数据都应预先标出一组安全属性，用户对网关数

据的访问权限对应一张访问控制表，用以表明用户对网关数据的访问能力没有存取权的用

户只允许由授权用户指定对客体的访问权

b)应将自主访问控制扩展到所有主体与客体，并要求能为每个命名主体指定用户名和用户组，

以及规定他们对客体的访问模式。

)c自主访问控制应还应与身份鉴别和审计相结合，通过确认用户的身份和记录用户对客体访问

情况，使用户对自己的行为承担明确的责任。

)d网关安全功能还应控制访问权限扩散。应规定以下权限:网关数据的查看、添加、删除、隐含、

共享、属性修改，以及对文件和目录的查看、执行、添加、删除、隐含、共享、属性修改等权限。

5.6强制访问控制

网关安全功能应通过管理员和网关安全功能数据的敏感标记，控制管理员对相关安全功能数据的

访问。

a)管理员不应是单一角色，而应划分为系统管理员、系统安全员和系统审计员分别担任系统的常

规管理、与安全有关的管理以及审计管理，以相互制约，防止权限过于集中。与强制访问有关

的数据或信息应由相应的管理员进行管理。系统管理员负责网关的启动、关闭、用户管理等;

系统安全员负责网关的安全策略指定和实施，管理网关的配置信息和协议转换规则等;系统审

计员负责网关审计的管理，当出现安全相关事件时，与系统安全员进行协作处理。

b)网关安全功能应为系统中主体与它能够访问的所有资源指定敏感标记。网关安全功能应根

据相应的安全策略，为系统中的用户指定访问权限。

c)所有主体对客体的直接或间接的访问应满足下读上写原则。

5.7数据存储保护

应对网关中存储的重要网关数据进行保护，以免被非授权访问。

5.8数据传输保护

网关安全功能应保护网关数据在传输过程中不被泄绍和窃取。能根据传送的数据包类型，通过实

施一定的信息流控制策略，如过滤被禁止的信息流或数据包。

5.9数据完整性保护

a)存储数据的完整性:对于网关中重要的网关数据如用户的鉴别信息、网关的协议转换规则、审

计记录等，应采用完整性监测，确保防止非法用户的人侵和对数据的修改。在检测到网关数据

的完整性错误时，网关安全功能应具有相关的恢复机制。

b)传输数据的完整性:对于网关传输的数据，应通过数字签名、Hash算法、加解密等实现数据的

完整性保护。网关安全功能应检测出传输中的网关数据被篡改、删除、插人等情况，并阻止非

授权用户破坏敏感信息。网关安全功能应具有相应的恢复机制，恢复其完整性。

c)处理数据的完整性:对于网关系统中相关管理员的误操作，网关安全功能应具有回退的功能，

尤其对于配置信息和协议转换规则的修改。

)d被转发数据完整性:网关对于所转发或进行协议转换的数据包，应确保数据包中包含的数据

没有被修改或破坏。

GA/T681一2007

501剩余信息保护

在网关系统中，为了防止重放攻击，网关安全功能应确保对所有客体分配资源时，使该资源任何以

前的信息内容不再使用。并且，新生成的客体确实不包含不应被访问的信息，即在向一个主体初始转

让、分配或重分配客体之前或回收客体资源以后，应确保其残留信息全部被清除。网关安全功能一般利

用多次重写的办法来确保数据包在成功转发后，没有可用的遗留信息。

a)子集信息保护:网关安全功能应确保任何资源的任何残余信息内容，在分配或释放资源时，对

于已定义的客体子集而言是不可用的;

b)完全信息保护:网关安全功能应确保在分配或释放资源时，任何资源的任何残余信息内容对

于所有客体都是不可用的;

c)特殊信息保护:对于某些需要特别保护的信息，应采用专门的方法对残留信息做彻底清除，如

对剩磁的清除等。

5.11隐蔽伯道分析

5.11.1一般性的隐蔽信道分析

应通过对网关系统中隐蔽存储信道的非形式化搜索，标识出可识别的隐蔽存储信道，并以文档形式

说明以下情况:

a)标识出隐蔽存储信道并估算它们的带宽;

b)描述用于确定隐蔽存储信道存在的过程，以及进行隐蔽存储信道分析所需要的信息;

)c描述隐蔽存储信道分析期间所作的全部假设;

)d描述最坏的情况下对隐蔽存储信道带宽进行估算的方法;

)e为每个可标识的隐蔽存储信道描述其最大可能的利用情形。

5.11.2系统化的隐蔽信道分析

应通过对网关系统中隐蔽信道的系统化搜索，标识出可识别的隐蔽信道，并以结构化、可重复的方

式标识出隐蔽信道，以文档形式说明以下情况:

a)标识出隐蔽信道并估算它们的带宽;

b)描述用于确定隐蔽信道存在的过程，以及进行隐蔽信道分析所需要的信息;

c)描述隐蔽信道分析期间所作的全部假设;

)d描述最坏的情况下对隐蔽信道带宽进行估算的方法;

)e为每个可标识的隐蔽信道描述其最大可能的利用情形。

5.11.3彻底化的隐蔽信道分析

应通过对隐蔽信道的穷举搜索，标识出可识别的隐蔽信道，并以结构化、可重复的方式标识出隐蔽

信道;应提供额外的证据，证明对隐蔽信道的所有可能的搜索方法都已执行。对分析文档的要求与一般

J陛隐蔽信道分析相同。

5.21用户与网关间的可信路径

用户用来连接网关的路径应是可信路径。

a)提供真实的端点标识，并保护通信数据免遭修改和泄露;

b)允许网关与本地用户或远程用户原发的经可信路径的通信;

c)对原发用户的鉴别或需要可信路径的其他服务均使用可信路径;

)d运用以PKI为基础的混合密码体制建立安全的可信路径。

531密码支持

网关安全功能可以利用密码功能来满足一些高级安全目的。这些功能包括(但不限于):标识与鉴

别、抗抵赖、可信路径、可信信道和数据分离。网关各个安全保护等级所要求的密码算法的强度，根据国

家密码管理部门的密码分类和配套管理办法，按照密码强度与信息系统安全等级匹配的原则，由国家密

码主管部门的规定分级配置。网关中使用的密钥的产生、分发、管理和销毁按照相关的机制保护，网关

GA/T681一2007

中使用的公钥私钥可通过PKI系统实施管理。

6安全保证技术要求

6.1网关安全功能自身安全保护

6.1.1安全运行测试

网关安全功能在网关系统初始化期间、在正常运转中应周期性地、根据授权用户的请求或在其他条

件下，运行一组与网关系统当前状态有关的测试套件，来验证由网关安全功能所提供的安全假定的正

确性。

系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口，设计有违反或绕过安全规

则的任何类型的人口和文档中未说明的任何模式的人口。

6.12失败保护

当网关安全功能发生电源故障，检测到不安全的操作或未知状态时应保存一个保护状态，以确保网

关安全功能从失败恢复时安全策略的正确性。途径可以有软硬件控制的系统还原、重新启动或重新安

装等。

61.3输出网关安全功能数据的可用性

应通过一系列规则，根据网关安全功能数据类型列表的指示，在所定义的可用性度量范围内，确保

网关安全功能数据(如口令、密钥、证书、审计数据或网关安全功能的可执行代码)在网关安全功能与远

程可信TI产品之间传输时的可用性。

61.4输出网关安全功能数据的保密性

应保护网关安全功能数据，如口令、密钥、证书、审计数据和网关安全功能的可执行代码，在网关安

全功能与远程可信IT产品之间传输时，不被未经授权的泄露。

6.1.5输出网关安全功能数据的完整性

a)网关安全功能间修改的检测要求:对网关安全功能数据，包括口令、密钥、证书、审计数据和网

关安全功能的可执行代码实施保护，在网关安全功能与远程可信IT产品之间传输时，应提供

在所定义的修改度量范围内检测网关安全功能与远程IT产品之间传输的所有网关安全功能

数据被修改的能力;

b)网关安全功能间修改的检测与改正进一步要求:如果检测到修改，能按修改类型将所有被修

改的数据改正过来，具有重发和产生审计记录的能力。

61.6网关内网关安全功能数据传输

网关安全功能数据在网关内的分离部分间传输时应受到保护。包括:

a)内部网关安全功能数据传输的基本保护。网关安全功能应对网关的分离部分间传输的安全功

能数据，包括口令、密钥、证书、审计数据和网关安全功能的可执行代码等，进行保护，使其在传

输过程中不被泄露或修改。

b)网关安全功能数据传输分离。在网关内部的分离部分间传输数据时，网关安全功能应将网关

数据与网关安全功能数据进行分离

)c网关安全功能数据完整性保护。在网关的分离部分间传输网关安全功能数据时，网关安全功

能应检测出所传输的网关安全功能数据被修改、替换、重排序、删除等完整性错误，并能采取规

定的措施进行修正。

6.1.7物理安全保护

6.17.1物理攻击的被动检测

对可能危及网关安全功能安全的物理篡改应提供明确的检测手段，并提供判断网关安全功能设备

或要素是否已被物理篡改的能力.篡改检测是被动的，授权用户应激活安全管理功能或用手动方式检

查，以确定篡改是否发生。

GA/T681一2007

6.1.7，2物理攻击的自动报告

对需主动检测的网关安全功能设备或要