GB/T 20279-2015 信息安全技术 网络和终端隔离产品安全技术要求

ICS35.040

L80GB

中华人民共和国国彖标准

GB/T20279—2015

代着GB/T20279—2006

信息安全技术网络和终端隔离产品

安全技术要求

Informationsecuritytechnology—Securitytechnicalrequirementsofnetworkand

terminalseparationproducts

2015-05-15发布2016-01-01实施

GB/T20279—2015

目次

刖BI

1范围1

2规范性引用文件1

3术语和定义1

4网络和终端隔离产品描述2

5安全技术要求4

5.1总体说明4

5.1.1安全技术要求分类4

5.1.2安全等级4

5.2安全功能要求4

5.2.1终端隔离产品4

5.2.2网络隔离产品6

5.2.3网络单向导入产品16

5.3安全保证要求25

5.3.1基本级要求25

5.3.2增强级要求27

5.4环境适应性要求32

5.4.1下一代互联网支持（有则适用）32

5.4.2支持IPv6过渡网络环境（可选）33

5.5性能要求34

5.5.1交换速率34

5.5.2硬件切换时间34

参文献35

GB/T20279—2015

■ir■■i

刖吕

本标准按照GB/T1.1—2009给出的规则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本标准代替GB/T20279—2006《信息安全技术网络和终端设备隔离部件安全技术要求》。

本标准与GB/T20279—2006的主要差异如下：

—分类修改为终端隔离产品、网络隔离产品和网络单向导入产品三类；

——级别统一划分为基本级和增强级；

——增加了终端隔离产品、网络隔离产品和网络单向导入产品描述；

——增加了下一代互联网协议支持能力的要求；

—在附录中增加了技术要求基本原理,包括安全功能要求基本原理和安全保证要求基本原理。

本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、珠海经济特区伟思有限公

司、南京神易网络科技有限公司、公安部第三研究所。

本标准主要起草人：陆臻、顾健、俞优、李旋、邓琦、左安骥、路文利、刘斌。

T

GB/T20279—2015

信息安全技术网络和终端隔离产品

安全技术要求

1范围

本标准规定了网络和终端隔离产品的安全功能要求、安全保证要求、环境适应性要求及性能要求。

本标准适用于网络和终端隔离产品的设计、开发与测试。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB17859—1999计算机信息系统安全保护划分准则

GB/T18336.3—2008信息技术安全技术信息技术安全性评估准则第3部分：安全保证

要求

GB/T25069—2010信息安全技术术语

3术语和定义

GB17859—1999和GB/T25069—2010界定的以及下列术语和定义适用于本文件。

3.1

安全域securitydomain

具有相同的安全保护需求和相同安全策略的计算机或网络区域。

3.2

物理断开physicaldisconnection

处于不同安全域的网络之间不能以直接或间接的方式相连接。

注：在一个物理网络环境中，实施不同安全域的网络物理断开，在技术上应确保信息在物理传导、物理存储匕的断开。

3.3

协议转换protocolconversion

协议的剥离和重建。在所属某一安全域的隔离产品一端，把基于网络的公共协议中的应用数据剥

离出来，封装为系统专用协议传递至所属其他安全域的隔离产品另一端，再将专用协议剥离，并封装成

需要的格式”

3.4

协议隔离protocolseparation

处于不同安全域的网络在物理上是有连接的，通过协议转换的手段保证受保护信息在逻辑上是隔

离的，只有被系统要求传输的、内容受限的信息可以通过。

3.5

信息摆渡informationferry

信息交换的一种方式，物理传输信道只在传输进行时存在。

注：信息传输时，信息先由信息源所在安全域一端传输至中间缓存区域，同时物理断开中间缓存区域与信息目的所

在安全域的连接；随后接通中间缓存区域与信息目的所在安全域的传输信道，将信息传输至信息目的所在安全

1

GB/T20279—2015

域，同时在信道上物理断开信息源所在安全域与中间缓存区域的连接。在任一时刻，中间缓存区域只与一端安

全域相连。

3.6

单向传输部件unilateraltransmissionunit

一对具有物理上单向传输特性的传输部件，该传输部件由一对独立的发送和接收部件构成，发送和

接收部件只能以单T方式工作，发送部件仅具有单一的发送功能，接收部件仅具有单一的接收功能，两

者构成可信的单向信道，该信道无任何反馈信息。

3.7

终端隔离产品terminalseparationproduct

同时连接两个不同安全域,采用物理断开技术在终端上实现安全域物理隔离的安全隔离卡或安全

隔离计算机。

3.8

网络隔离产品networkseparationproduct

位于两个不同安全域之间，采用协议隔离技术在网络上实现安全域安全隔离与信息交换的产品。

3.9

网络单向导入产品networkunilateraltransmissionproduct

位于两个不同安全域之间，通过物理方式构造信息单向传输的唯一通道，实现信息单向导入，并且

保证只有安全策略允许传输的信息可以通过，同时反方向无任何信息传输或反馈。

4网络和终端隔离产品描述

网络和终端隔离产品从形态和功能上可以划分为终端隔离产品、网络隔离产品和网络单向导入产

品三类，目的是在不同的网络终端和网络安全域之间建立安全控制点，实现在不同的网络终端和网络安

全域之间提供访问可控的服务。此外，适用于下一代互联网网络环境的网络和终端隔离产品的协议栈

除支持IPv4技术外，还应支持IPv6以及IPv4/IPv6过渡技术。

网络和终端隔离产品保护的资产是受安全策略保护的网络服务和资源等，此外，网络和终端隔离产

品本身及其内部的重要数据也是受保护的资产。

图1为终端隔离产品的一个典型运行环境。终端隔离产品一般以隔离卡的方式接入目标主机，隔

离卡通过电子开关以互斥的形式同时连通安全域A所连的硬盘1和安全域A,或者安全域B所连的硬

盘2和安全域B,从而实现内外两个安全域的物理隔离。该类产品也可将隔离卡整合入主机，以整机的

形式作为产品。

图1终端隔离产品典型运行环境

2

GB/T20279—2015

图2为网络隔离产品的一个典型运行环境。网络隔离产品一般以二主机加专用隔离部件的方式组

成，即由内部处理单元、外部处理单元和专用隔离部件组成。其中，专用隔离部件既可以是采用包含电

子开关并固化信息摆渡控制逻辑的专用隔离芯片构成的隔离交换板卡，也可以是经过安全强化的运行

专用信息传输逻辑控制程序的主机。网络隔离产品用于连接两个不同的安全域，实现两个安全域之间

应用代理服务、协议转换、信息流访问控制、内容过滤和信息交换等功能。网络隔离产品中的内、外部处

理单元通过专用隔离部件相连，专用隔离部件是两个安全域之间唯一的可信物理信道。该内部信道裁

剪了TCP/IP等公共网络协议栈，采用私有协议实现协议隔离。在一些安全性要求较低而实时性要求

较高的场合，专用隔离部件采用私有协议以逻辑方式实现协议隔离和信息传输。在一些安全性要求较

高而实时性要求相对较低的场合，专用隔离部件还会采用一组互斥的分时切换电子开关实现内部物理

信道的通断控制，以分时切换连接方式完成信息摆渡，从而在两个安全域之间形成一个不存在实时物理

连接的隔离区。

图2网络隔离产品典型运行环境

图3为网络单向导入产品的一个典型运行环境。网络单向导入产品一般以双机方式组成，即数据

发送处理单元和数据接收处理单元，双机之间采用单向传输部件相连。网络单向导入产品部署在两个

的安全域之间，其中，数据发送处理单元网络接口连接信息发送方安全域A,数据接收处理单元网络接

口连接接收信息接收方安全域B,信息流由发送数据的安全域A单向流入接收数据的安全域B。单向

传输部件利用单向传输的物理特性建立两个安全域之间唯一的单向传输通道，数据在这个通道中只能

沿数据发送处理单元向数据接收处理单元方向的可信路径单向传输，无任何反馈信号。单向传输部件

由一对单向接收部件和单向发送部件构成，单向发送部件安装在数据发送处理单元中，单向接收部件安

装在数据接收处理单元中。单向传输部件的单向物理传输特性固化不可修改，任何软件配置、物理跳线

等方式都不能更改其部件的单向传输特性以及传输方向，从而实现数据单向导入的可靠性。

例：光通信,数据发送处理单元使用光发送模块，数据接收处理单元使用光接收模块，单向传输通道

使用单根光纤，实现数据单向传输。

们匕《1枚万血於*氐万

图3网络单向导入产品典型运行环境

3

GB/T20279—2015

5安全技术要求

5.1总体说明

5.1.1安全技术要求分类

本标准将网络和终端隔离产品安全技术要求分为安全功能、安全保证、环境适应性和性能要求四个

大类。其中，安全功能要求是对网络和终端隔离产品应具备的安全功能提出具体要求，终端隔离产品具

体要求包括访问控制、不可旁路和客体重用，网络隔离产品具体要求包括访问控制、抗攻击、安全管理、

标识和鉴别、审计、域隔离、容错、数据完整性和密码支持，网络单向导入产品具体要求包括访问控制、抗

攻击、安全管理、标识和鉴別、审计、域隔离、配置数据保护和运行状态监测；安全保证要求针对网络和终

端隔离产品的开发和使用文档的内容提出具体的要求，例如配置管理、交付和运行、开发和指导性文档

等;环境适应性要求是对网络和终端隔离产品的应用坏境提出具体的要求;性能要求则是对网络和终端

隔离产品应达到的性能指标做出规定，包括交换速率和硬件切换时间。

5.1.2安全等级

本标准按照网络和终端隔离产品安全功能的强度划分安全功能要求的级别，按照GB/T18336.3-

2008划分安全保证要求的级别。安全等级分为基本级和增强级，安全功能的强弱和安全保证要求的高

低是等级划分的具体依据。安全等级突出安全特性，环境适应性要求和性能要求不作为等级划分依据。

与基本级内容相比，增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。

5.2安全功能要求

5.2.1终端隔离产品

基本级要求

.1访问控制

.1.1安全属性定义

对于信息存储与传输部件（主要是处于不同安全域的存储设备、网络接入设备），终端隔离产品应为

其设定唯一的、为了执行安全功能策略所必需的安全属性。

.1.2属性修改

终端隔离产品的安全功能应包含向终端设备授权用户提供修改与安全相关属性的参数的功能。

.1.3属性查询

终端隔离产品的安全功能应包含向终端设备授权用户提供安全属性查询的功能，

.1.4访问授权与拒绝

终端隔离产品的安全功能应包含对被隔离的计算机信息资源提供明确的访问保障能力和访问拒绝

能力。在技术上确保：

a）在信息物理传输上使内外安全域隔断，确保外部安全域不能通过网络连接侵入内部安全域；同

时阻止内部安全域信息通过网络连接泄露到外部安全域；

b）在信息物理存储上隔断两个网络环境，对于断电后会逸失信息的部件，如内存、寄存器等暂存

4

GB/T20279—2015

部件，要在网络转换时作清零处理，防止遗留信息窜网；对于断电后不会逸失信息的设备，如磁

带机、硬盘等存储设备，内部安全域与外部安全域信息要以不同存储设备分开存储；对移动存

储介质，如光盘、软盘、USB存储设备等，应在安全域转换前提示用户干预或禁止在双安全域

都能使用这些设备。

.1.5切换信号一致性

对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能应由同一信号对隔离的计算机

信息资源进行切换,确保一致性。

.1.6口令保护

对被隔离的计算机信息资源进行切换时，终端隔离产品的安全功能应保证用户必须输入切换口令。

.1.7内存及USB端口的物理隔离

若终端隔离产品以整机隔离系统的形态存在，终端隔离产品的安全功能应在物理上隔离内存及所

有USB端口，确保所有的存储设备都是物理上隔断,从物理上保证数据安全性。

.2不可旁路

在与安全有关的操作（例如安全属性的修改）被允许执行之前，终端隔离产品安全功能应确保其通

过安全功能策略的检查。

.3客体重用

在为所有内部或外部网络上的主机连接进行资源分配时，终端隔离产品安全功能应保证不提供以

前连接的任何信息内容’

增强级要求

.1访问控制

.1.1安全属性定义

对于信息存储与传输部件（主要是处于不同安全域的存储设备、网络接入设备），终端隔离产品应为

其设定唯一的、为了执行安全功能策略所必需的安全属性。

.1.2属性修改

终端隔离产品安全功能应向终端设备授权用户提供修改与安全相关属性的参数的功能。

.1.3属性查询

终端隔离产品安全功能应向终端设备授权用户提供安全属性查询的功能。

.1.4访问授权与拒绝

终端隔离产品的安全功能应对被隔离的计算机信息资源提供明确的访问保障能力和访问拒绝能

力。在技术上确保：

a）在信息物理传输上使内外安全域隔断，确保外部安全域不能通过网络连接侵入内部安全域；同

时阻止内部安全域信息通过网络连接泄露到外部安全域；

b）在信息物理存储上隔断两个网络环境，对于断电后会逸失信息的部件，如内存、寄存器等暂存

5

GB/T20279—2015

部件，要在网络转换时作清零处理，防止遗留信息窜网；对于断电后不会逸失信息的设备，如磁

带机、硬盘等存储设备，内部安全域与外部安全域信息要以不同存储设备分开存储;对移动存

储介质，如光盘、软盘、USB存储设备等，应在安全域转换前提示用户干预或禁止在双安全域

都能使用这些设备。

.1.5网络非法外联

终端隔离产品的安全功能应保证用户在内网状态下，随时监测用户网络是否与互联网相连接，一

发现则立即禁用网络并给出报警.确保内网安全。

.1.6切换信号一致性

对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能应由同一信号对隔离的计算机

信息资源进行切换，确保一致性。

.1.7硬盘非法调换

终端隔离产品的安全功能应在初始安装时对对应网络的硕盘进行唯一标识，保证硕盘与网络一一

对应•确保内网硕盘数据的安全。

.1.8口令保护

对被隔离的计算机信息资源进行切换时，终端隔离产品的安全功能应保证用户必须输入切换口令。

.1.9内存及USB端口的物理隔离

若终端隔离产品以整机隔离系统的形态存在，终端隔离产品的安全功能应在物理上隔离内存及所

有USB端口，确保所有的存储设备都是物理上隔断,从物理上保证数据安全性。

.2不可旁路

在与安全有关的操作（例如安全属性的修改）被允许执行之前,终端隔离产品安全功能应确保其通

过安全功能策略的检查。

.3客体重用

在为所有内部或外部网上的主机连接进行资源分配时，终端隔离产品安全功能应保证不提供以前

连接的任何信息内容。

5.2.2网络隔离产品

基本级要求

.1访问控制

.1.1基本的信息流控制策略

针对对主体、客体以及经过网络隔离产品的主客体之间的所有操作，网络隔离产品应能够执行以下

端到端基本的信息流控制策略：

a）所有主客体之间发送和接收的信息流均执行网络层协议剥离，还原成应用层数据；

b）主客体之间发送和接收的信息流均经过安全策略允许后传输；

c）授权管理员通过独立的管理接口，经过身份验证后，授权管理员与网络隔离产品间发送的管理

6

GB/T20279—2015

信息经过安全策略允许后传输。

.1.2基本的信息流控制功能

网络隔离产品的安全功能策略应能够执行以下基本的信息流控制功能，提供明确的访问保障能力

和拒绝访问能力。包括：

a）通过配置访问控制列表进行信息流控制，访问控制列表的元素包括：源IP地址、目的IP地址、

源端口、目的端口、协议号；

b）对经过的HTTP、FTP、SMTP、P（）P3等应用协议信息流进行合规性检查；

c）对经过的HTTP、FTP、SMTP、P（）P3等应用协议信息流的协议信令及参数关键字进行过滤；

d）对经过的HTTP、FTP、SMTP、P（）P3等应用协议信息流中的内容包括文件附件进行关键字

过滤；

e）通过协议隔离方式断开内部TCP/IP连接，完成信息传输。

.1.3残余信息保护

网络隔离产品在为所有内部或外部网上的主机连接进行资源分配时，网络隔离产品安全功能应保

证其分配的资源中不提供以前连接活动中所产生的任何信息内容。

.1.4不可旁路

在与安全有关的操作（例如安全属性的修改、内部网络主机向外部网络主机传送信息等）被允许执

行之前，网络隔离产品安全功能应确保其通过安全功能策略的检查。

.2抗攻击

网络隔离产品应能够抵御各种DoS/DDoS攻击，应能够识别和防御SYNFlood.ICMPFlood等

攻击。

.3安全管理

.3.1区分安全管理角色

网络隔离产品安全功能：

a）应将与安全相关的管理功能与其他功能区分开；

b）应包括安装、配置和管理隔离产品安全功能本身所需的所有功能，其中至少应包括：增加和删

除主体（发送信息的主机）和客体（接受信息的主机），查阅安全属性，分配、修改和撤销安全属

性，查阅和管理审计数据；

c）应把执行与安全相关的管理功能的能力限定为一种安全管理职责，该职责具有一套特别授权

的功能和响应的责任；

d）应能把授权执行管理功能的授权管理员与使用隔离产品的所有其他个人或系统分开；

e）应仅允许授权管理员承担安全管理职责；

f）应在提出一个明确的请求以后，才会讣授权管理员承担安全管理职责。

.3.2管理功能

网络隔离产品安全功能应向授权管理员提供如下管理功能：

a）设置和更新与安全相关的数据；

b）执行隔离产品的安装及初始化、系统启动和关闭、备份和恢复功能，备份能力应有自动工具的

7

GB/T20279—2015

支持；

c）设置双机热备或负载均衡等可用性参数；

d）若隔离产品安全功能支持外部或内部接口的远程管理，应：

1）有对两个接口或其中之一关闭远程管理的选择权；

2）限制可进行远程管理的地址；

3）通过加密来保护远程管理会话，

.3.3独立管理接口

网络隔离产品应使用与通讯接口相互独立的管理接口与授权管理员连接，授权管理员经过身份鉴

别后，采用多因素身份鉴别和加密方式建立授权管理员与网络隔离产品间的可信路径，禁止其他用户非

授权访问管理接口。

.4标识和鉴别

.4.1基本安全属性定义

对于每一个授权管理员，网络隔离产品安全功能应为其提供一套唯一的、为了执行安全功能策略所

必需的基本安全属性。包括但不限于：

a）设备网络参数:包括接口地址、网关地址等；

b）设备接口属性:接口类型（例如：管理接口、通信接口）、接口速率等；

c）安全管理参数:管理控制台地址、管理方式（例如:SSH.SSL）等；

d）安全参数：最大鉴别失败次数等；

e）外部可信IT产品参数配置:包括时间同步服务器参数、日志服务器参数等；

f）系统参数：日志存储空间大小、设备名称等；

g）用户角色属性:授权管理员、授权审计员、授权用户等；

h）用户管理属性:用户名、用户角色、用户口令等；

i）主机地址：源主机地址、目的主机地址；

i）服务端口；

k）使用时间或时间段；

l）内容关键字。

.4.2属性初始化

网络隔离产品的安全功能应包含使用默认值对授权管理员和主机属性初始化的功能。

.4.3属性修改

网络隔离产品安全功能应仅向授权管理员提供修改下述（包含但不仅限于）参数的功能：

a）标识与角色（例如：配置管理员等）的关系；

b）源地址、目的地址、传输层协议和请求的服务（例如：源端口号或目的端口号等访问控制属性）；

C）配置的安全参数（例如：最大鉴别失败次数等数据）O

.4.4属性查询

网络隔离产品安全功能应仅向授权管理员提供以下查询功能：

a）源地址、目的地址、传输层协议和请求的服务（例如：源端口号或目的端口号等访问控制属性）；

b）关键字；

8

GB/T20279—2015

c）通过网络隔离产品传送信息的主机信息。

.4.5鉴别数据初始化

网络隔离产品安全功能应根据规定的鉴别机制，提供授权管理员鉴別数据的初始化功能，并确保仅

允许授权管理员使用这些功能。

.4.6鉴别时机

在所有授权管理员请求执行的任何操作之前，网络隔离产品安全功能应确保对每个授权管理员进

行身份鉴別。

.4.7最少反馈

当进行鉴别时，网络隔离产品安全功能应仅将最少的反馈提供给用户。

.4.8鉴别失败处理

在经过一定次数的鉴別失败以后，网络隔离产品安全功能应能终止进行登录尝试主机建立会话的

过程。最多失败次数仅由授权管理员设定。

.5审计

.5.1审计数据生成

网络隔离产品安全功能应能对下列可审计事件生成一个审计记录,包括事件发生的日期和时间，事

件的类型，主体身份和成功或失败事件等信息：

a