GB-T 20277-2015 信息安全技术 网络和终端隔离产品测试评价方法.pdf

《GB-T 20277-2015 信息安全技术 网络和终端隔离产品测试评价方法.pdf》由会员分享，可在线阅读，更多相关《GB-T 20277-2015 信息安全技术 网络和终端隔离产品测试评价方法.pdf（73页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、I C S3 5.0 4 0L8 0中 华 人 民 共 和 国 国 家 标 准G B/T2 0 2 7 72 0 1 5代替G B/T2 0 2 7 72 0 0 6信息安全技术 网络和终端隔离产品测试评价方法I n f o r m a t i o ns e c u r i t y t e c h n o l o g yT e s t i n ga n de v a l u a t i o na p p r o a c h e so fn e t w o r ka n dt e r m i n a l s e p a r a t i o np r o d u c t s2 0 1 5-0 5-

2、1 5发布2 0 1 6-0 1-0 1实施中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会发 布目 次前言1 范围12 规范性引用文件13 术语和定义14 测试环境与工具1 4.1 安全功能与环境适应性测试环境1 4.2 性能测试环境25 安全功能测试3 5.1 总体说明3 5.2 终端隔离产品3 5.3 网络隔离产品9 5.4 网络单向导入产品2 86 安全保证要求评估5 1 6.1 基本级测试5 1 6.2 增强级测试5 57 环境适应性测试6 4 7.1 下一代互联网支持6 4 7.2 支持I P v 6过渡网络环境6 78 性能测试6 8 8.1

3、交换速率6 8 8.2 硬件切换时间6 9参考文献7 0G B/T2 0 2 7 72 0 1 5前 言 本标准按照G B/T1.12 0 0 9给出的规则起草。本标准代替G B/T2 0 2 7 72 0 0 6 信息安全技术 网络和终端设备隔离部件测试评价方法。本标准与G B/T2 0 2 7 72 0 0 6的主要差异如下:分类修改为终端隔离产品、网络隔离产品和网络单向导入产品三类;级别统一划分为基本级和增强级;增加了下一代互联网协议支持能力的测试内容。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(S A C/T C2

4、 6 0)提出并归口。本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、珠海经济特区伟思有限公司、南京神易网络科技有限公司、公安部第三研究所。本标准主要起草人:陆臻、顾健、俞优、李旋、邓琦、左安骥、路文利、刘斌。本标准所代替标准的历次版本发布情况:G B/T2 0 2 7 72 0 0 6。G B/T2 0 2 7 72 0 1 5信息安全技术 网络和终端隔离产品测试评价方法1 范围本标准依据G B/T2 0 2 7 92 0 1 5的技术要求,规定了网络和终端隔离产品的测试评价方法。本标准适用于按照G B/T2 0 2 7 92 0 1 5的安全等级要求所开发的网络和终端隔离产品

5、的测试和评价。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。G B1 7 8 5 91 9 9 9 计算机信息系统安全保护划分准则G B/T2 0 2 7 92 0 1 5 信息安全技术 网络和终端隔离产品安全技术要求G B/T2 5 0 6 92 0 1 0 信息安全技术 术语3 术语和定义G B1 7 8 5 91 9 9 9、G B/T2 5 0 6 92 0 1 0和G B/T2 0 2 7 92 0 1 5界定的术语和定义适用于本文件。4 测试环境与工具4.

6、1 安全功能与环境适应性测试环境4.1.1 终端隔离产品安全功能与环境适应性测试环境参见图1。图1 终端隔离产品安全功能及环境适用性测试环境图1G B/T2 0 2 7 72 0 1 54.1.2 网络隔离产品安全功能与环境适应性测试环境参见图2。图2 网络隔离产品安全功能与环境适用性测试环境图4.1.3 网络单向导入产品安全功能与环境适应性测试环境参见图3。图3 网络单向导入产品安全功能与环境适用性测试环境图4.2 性能测试环境性能测试环境参见图4,采用专用性能测试仪,测试仪接口直接通过网线连接网络和终端隔离产品业务接口。图4 性能测试环境图2G B/T2 0 2 7 72 0 1 55 安

7、全功能测试5.1 总体说明5.1.1 测试评价方法分类本标准依据G B/T2 0 2 7 92 0 1 5的技术要求,将网络和终端隔离产品测试与评价方法要求分为安全功能、安全保证、环境适应性和性能要求四个大类。5.1.2 安全等级与G B/T2 0 2 7 92 0 1 5相对应,本标准将安全等级分为基本级和增强级。与基本级内容相比,增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。5.2 终端隔离产品5.2.1 基本级测试5.2.1.1 访问控制5.2.1.1.1 安全属性定义终端隔离产品的安全属性定义的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,对于信息

8、存储与传输部件,终端隔离产品所必需的安全属性,并且说明具体的内容。测试产品的安全属性定义,记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:产品应能够设定安全属性,应至少包括不同安全域网络切换方式、光驱和软驱等存储设备处在哪个安全区域、网络设备接入方式和其他在开发者文档中提及的安全属性。5.2.1.1.2 属性修改终端隔离产品的属性修改的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包括属性修改的详细描述。对安全属性进行修改操作,测试产品修改与安全相关属性的参数的功能,包括安全域网络切换。记录测试结果并对该结果是否完全符合上述测试评价方法要求做

9、出判断。b)预期结果:产品应能够修改与安全相关属性的参数,应至少包括安全域网络切换。5.2.1.1.3 属性查询终端隔离产品的属性查询的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供文档,说明属性查询的详细描述。对安全属性进行查询操作,测试终端隔离产品用户对安全属性的查询功能,包括对一个安全域网络状态进行查询。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:3G B/T2 0 2 7 72 0 1 5终端隔离产品用户应能够进行安全属性的查询,应至少包括对一个安全域网络状态进行查询。5.2.1.1.4 访问授权与拒绝终端隔离产品的访问授权与拒绝的测试评

10、价方法和预期结果如下:a)测试评价方法:依据开发者所提供的访问授权与拒绝的详细描述进行测试:1)信息物理传导隔断测试:当终端隔离产品状态为安全域A网络状态时,尝试跟安全域A网络和安全域B网络进行连接,产品保证跟安全域A网络主机可以互相访问,跟安全域B网络主机互相不可访问;当终端隔离产品状态为安全域B网络状态时,尝试跟安全域A网络和安全域B网络进行连接,产品保证跟安全域B网络主机可以互相访问,跟安全域A网络主机互相不可访问;2)信息物理存储隔断测试:测试对于断电后会逸失信息的部件,如内存、寄存器等暂存部件,在网络转换时作清零处理的功能;对于断电后不会逸失信息的设备,如磁带机、硬盘等存储设备,安全

11、域A网络与安全域B网络信息以不同存储设备分开存储,比如硬盘,终端隔离产品分别为安全域A网络与安全域B网络准备一个独立的硬盘;对移动存储介质,如光盘、软盘、U S B硬盘等,在网络转换前提示用户干预或禁止在双网都能使用这些设备;3)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:1)信息物理传导隔断测试:当终端隔离产品状态为安全域A网络状态时,尝试跟安全域A网络和安全域B网络进行连接,产品应保证跟安全域A网络主机可以互相访问,跟安全域B网络主机互相不可访问;当终端隔离产品状态为安全域B网络状态时,尝试跟安全域A网络和安全域B网络进行连接,产品应保证跟安全域B网络主机

12、可以互相访问,跟安全域A网络主机互相不可访问;2)信息物理存储隔断测试:对于断电后会逸失信息的部件,如内存、寄存器等暂存部件,应在网络转换时作清零处理;对于断电后不会逸失信息的设备,如磁带机、硬盘等存储设备,安全域A网络与安全域B网络信息应以不同存储设备分开存储,比如硬盘,终端隔离产品应分别为安全域A网络与安全域B网络准备一个独立的硬盘;对移动存储介质,如光盘、软盘、U S B硬盘等,应在网络转换前提示用户干预或禁止在双网都能使用这些设备。5.2.1.1.5 切换信号一致性终端隔离产品的切换信号一致性的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包括切换信号一致性的详细

13、描述。测试对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能由同一信号对隔离的计算机信息资源进行切换,确保一致性的功能。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能应由同一信号对隔离的计算机信息资源进行切换,确保一致性。5.2.1.1.6 口令保护终端隔离产品的口令保护的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包括口令保护的详细描述。测试对被隔离的计算机信息资源进行切4G B/T2 0 2 7 72 0 1 5换时,终端隔离产品的安全功能保证用户必须输入切换口令,并通

14、过猜测口令验证口令保护的有效性的功能。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能保证应保证用户必须输入切换口令。5.2.1.1.7 内存及U S B端口的物理隔离终端隔离产品的内存及U S B端口的物理隔离的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包括内存及U S B端口的物理隔离的详细描述。若终端隔离产品以整机隔离系统的形态存在,测试终端隔离产品的安全功能能够在物理上隔离内存及所有U S B端口,确保所有的存储设备都是物理上隔断,从物理上保证数据安全性。通过观察硬件配置信

15、息验证隔离的有效性。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:若终端隔离产品以整机隔离系统的形态存在,终端隔离产品的安全功能应能够在物理上隔离内存及所有U S B端口,确保所有的存储设备都是物理上隔断,从物理上保证数据安全性。5.2.1.2 不可旁路终端隔离产品的不可旁路的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包括不可旁路的详细描述。测试在与安全有关的操作(例如安全属性的修改)被允许执行之前,终端隔离产品安全功能确保其通过安全功能策略的检查。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:在与安全有

16、关的操作(例如安全属性的修改)被允许执行之前,终端隔离产品安全功能应确保其通过安全功能策略的检查。5.2.1.3 客体重用终端隔离产品的客体重用的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包括客体重用的详细描述。测试在为所有内部或外部网上的主机连接进行资源分配时,终端隔离产品安全功能能够保证不提供以前连接的任何信息内容的功能。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:在为所有内部或外部网上的主机连接进行资源分配时,终端隔离产品安全功能应保证不提供以前连接的任何信息内容。5.2.2 增强级测试5.2.2.1 访问控制5.2.2.1.1

17、 安全属性定义终端隔离产品的安全属性定义的测试评价方法和预期结果如下:5G B/T2 0 2 7 72 0 1 5a)测试评价方法:评估开发者提供的文档,对于信息存储与传输部件,终端隔离产品所必需的安全属性,并且说明具体的内容。测试产品的安全属性定义,记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:产品应能够设定安全属性,应至少包括不同安全域网络切换方式、光驱和软驱等存储设备处在哪个安全区域、网络设备接入方式和其他在开发者文档中提及的安全属性。5.2.2.1.2 属性修改终端隔离产品的属性修改的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包

18、括属性修改的详细描述。对安全属性进行修改操作,测试产品修改与安全相关属性的参数的功能,包括安全域网络切换。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:产品应能够修改与安全相关属性的参数,应至少包括安全域网络切换。5.2.2.1.3 属性查询终端隔离产品的属性查询的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供文档,说明属性查询的详细描述。对安全属性进行查询操作,测试终端隔离产品用户对安全属性的查询功能,包括对一个安全域网络状态进行查询。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:终端隔离产品用户应能够进行安全属性

19、的查询,应至少包括对一个安全域网络状态进行查询。5.2.2.1.4 访问授权与拒绝终端隔离产品的访问授权与拒绝的测试评价方法和预期结果如下:a)测试评价方法:依据开发者所提供的访问授权与拒绝的详细描述进行测试:1)信息物理传导隔断测试:当终端隔离产品状态为安全域A网络状态时,尝试跟安全域A网络和安全域B网络进行连接,产品保证跟安全域A网络主机可以互相访问,跟安全域B网络主机互相不可访问;当终端隔离产品状态为安全域B网络状态时,尝试跟安全域A网络和安全域B网络进行连接,产品保证跟安全域B网络主机可以互相访问,跟安全域A网络主机互相不可访问;2)信息物理存储隔断测试:测试对于断电后会逸失信息的部件

20、,如内存、寄存器等暂存部件,在网络转换时作清零处理的功能;对于断电后不会逸失信息的设备,如磁带机、硬盘等存储设备,安全域A网络与安全域B网络信息以不同存储设备分开存储,比如硬盘,终端隔离产品分别为安全域A网络与安全域B网络准备一个独立的硬盘;对移动存储介质,如光盘、软盘、U S B硬盘等,在网络转换前提示用户干预或禁止在双网都能使用这些设备;3)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:1)信息物理传导隔断测试:当终端隔离产品状态为安全域A网络状态时,尝试跟安全域A6G B/T2 0 2 7 72 0 1 5网络和安全域B网络进行连接,产品应保证跟安全域A网

21、络主机可以互相访问,跟安全域B网络主机互相不可访问;当终端隔离产品状态为安全域B网络状态时,尝试跟安全域A网络和安全域B网络进行连接,产品应保证跟安全域B网络主机可以互相访问,跟安全域A网络主机互相不可访问;2)信息物理存储隔断测试:对于断电后会逸失信息的部件,如内存、寄存器等暂存部件,应在网络转换时作清零处理,防止遗留信息窜网;对于断电后不会逸失信息的设备,如磁带机、硬盘等存储设备,安全域A网络与安全域B网络信息应以不同存储设备分开存储,比如硬盘,终端隔离产品应分别为安全域A网络与安全域B网络准备一个独立的硬盘;对移动存储介质,如光盘、软盘、U S B硬盘等,应在网络转换前提示用户干预或禁止

22、在双网都能使用这些设备。5.2.2.1.5 网络非法外联终端隔离产品的网络非法外联的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供文档,包括网络非法外联的详细描述。模拟非法外联事件的产生,测试终端隔离产品的安全功能能够保证用户在内网状态下,随时监测用户网络是否与互联网相连接,一旦发现是否立即禁用网络并给出报警的功能。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:终端隔离产品的安全功能应保证用户在内网状态下,随时监测用户网络是否与互联网相连接,一旦发现应立即禁用网络并给出报警,确保内网安全。5.2.2.1.6 切换信号一致性终端隔离产品的切换信号一致

23、性的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包括切换信号一致性的详细描述。测试对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能由同一信号对隔离的计算机信息资源进行切换,确保一致性的功能。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能应由同一信号对隔离的计算机信息资源进行切换,确保一致性。5.2.2.1.7 硬盘非法调换终端隔离产品的硬盘非法调换的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,是否包括硬盘非法调换的详细描述。测试终端隔离产品的安全功

24、能能够在初始安装时对对应网络的硬盘进行唯一标识,保证硬盘与网络一一对应关系,确保内网硬盘数据的安全。模拟调换被测系统的硬盘,检查保护措施的有效性。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:终端隔离产品的安全功能应能在初始安装时对对应网络的硬盘进行唯一标识,保证硬盘与网络一一对应关系,确保内网硬盘数据的安全。7G B/T2 0 2 7 72 0 1 55.2.2.1.8 口令保护终端隔离产品的口令保护的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包括口令保护的详细描述。测试对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能保证用

25、户必须输入切换口令,并通过猜测口令验证口令保护的有效性的功能。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:对被隔离的计算机信息资源进行切换时,终端隔离产品的安全功能保证应保证用户必须输入切换口令。5.2.2.1.9 内存及U S B端口的物理隔离终端隔离产品的内存及U S B端口的物理隔离的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包括内存及U S B端口的物理隔离的详细描述。若终端隔离产品以整机隔离系统的形态存在,测试终端隔离产品的安全功能能够在物理上隔离内存及所有U S B端口,确保所有的存储设备都是物理上隔断,从物理上保证数据安

26、全性。通过观察硬件配置信息验证隔离的有效性。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:若终端隔离产品以整机隔离系统的形态存在,终端隔离产品的安全功能应能够在物理上隔离内存及所有U S B端口,确保所有的存储设备都是物理上隔断,从物理上保证数据安全性。5.2.2.2 不可旁路终端隔离产品的不可旁路的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包括不可旁路的详细描述。测试在与安全有关的操作(例如安全属性的修改)被允许执行之前,终端隔离产品安全功能确保其通过安全功能策略的检查。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。

27、b)预期结果:在与安全有关的操作(例如安全属性的修改)被允许执行之前,终端隔离产品安全功能应确保其通过安全功能策略的检查。5.2.2.3 客体重用终端隔离产品的客体重用的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包括客体重用的详细描述。测试在为所有内部或外部网上的主机连接进行资源分配时,终端隔离产品安全功能能够保证不提供以前连接的任何信息内容的功能。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:在为所有内部或外部网上的主机连接进行资源分配时,终端隔离产品安全功能应保证不提供以前连接的任何信息内容。8G B/T2 0 2 7 72 0 1

28、 55.3 网络隔离产品5.3.1 基本级测试5.3.1.1 访问控制5.3.1.1.1 基本的信息流控制策略网络隔离产品的基本的信息流控制策略的测试评价方法和预期结果如下:a)测试评价方法:1)评估开发者提供的文档,包括基本的信息流控制策略的详细描述。模拟生成设备所支持的信息流,测试对主体、客体以及经过网络隔离产品的主客体之间的所有操作,网络隔离产品基本的信息流控制策略能够执行以下端到端基本的信息流控制策略:所有主客体之间发送和接收的信息流是否执行了网络层协议剥离,查看还原成为应用层数据的能力;主客体之间发送和接收的信息流经过了安全策略允许后传输;授权管理员与网络隔离产品间发送的管理信息经过

29、了安全策略允许后传输;2)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:针对主体、客体以及经过网络隔离产品的主客体之间的所有操作,网络隔离产品基本的信息流控制策略应能够执行以下端到端基本的信息流控制策略:1)所有主客体之间发送和接收的信息流应执行网络层协议剥离,还原成应用层数据;2)主客体之间发送和接收的信息流应经过安全策略允许后传输;3)授权管理员与网络隔离产品间发送的管理信息应经过安全策略允许后传输。5.3.1.1.2 基本的信息流控制功能网络隔离产品的基本的信息流控制功能的测试评价方法和预期结果如下:a)测试评价方法:1)评估开发者提供的文档,包括基本的信

30、息流控制功能的详细描述。模拟生成设备所支持的信息流,测试网络隔离产品安全功能策略可执行以下基本的信息流控制功能,提供明确的访问保障能力和拒绝访问能力。包括:网络隔离产品是否可通过配置A C L访问控制列表进行信息流控制,A C L访问控制列表的元素包括:源I P地址、目的I P地址、源端口、目的端口、协议号;网络隔离产品可对经过的HT T P、F T P、S MT P、P O P 3等应用协议信息流进行合规性检查;网络隔离产品可对经过的HT T P、F T P、S MT P、P O P 3等应用协议信息流的协议信令及参数关键字进行过滤;网络隔离产品可对经过的HT T P、F T P、S MT

31、P、P O P 3等应用协议信息流中的内容包括文件附件进行关键字过滤;网络隔离产品可通过协议隔离方式断开内部T C P/I P连接,完成信息传输;2)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:网络隔离产品安全功能策略应能够执行以下基本的信息流控制功能,应提供明确的访问保障能力和拒绝访问能力。包括:9G B/T2 0 2 7 72 0 1 51)网络隔离产品应可通过配置A C L访问控制列表进行信息流控制,A C L访问控制列表的元素应包括:源I P地址、目的I P地址、源端口、目的端口、协议号;2)网络隔离产品应可对经过的HT T P、F T P、S MT

32、P、P O P 3等应用协议信息流进行合规性检查;3)网络隔离产品应可对经过的HT T P、F T P、S MT P、P O P 3等应用协议信息流的协议信令及参数关键字进行过滤;4)网络隔离产品应可对经过的HT T P、F T P、S MT P、P O P 3等应用协议信息流中的内容包括文件附件进行关键字过滤;5)网络隔离产品应可通过协议隔离方式断开内部T C P/I P连接,完成信息摆渡传输。5.3.1.1.3 残余信息保护网络隔离产品的残余信息保护的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包括残余信息保护的详细描述。测试网络隔离产品在为所有内部或外部网上的主机

33、连接进行资源分配时,网络隔离产品安全功能能够保证其分配的资源中不提供以前连接活动中所产生的任何信息内容。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:网络隔离产品安全功能应能够保证其分配的资源中不提供以前连接活动中所产生的任何信息内容。5.3.1.1.4 不可旁路网络隔离产品的不可旁路的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包括不可旁路保护的详细描述。审查文档并且验证其是否真实。提供文档说明网络隔离产品采用何种机制和措施,确保安全策略的不可旁路性,即任何与安全有关的操作被允许执行之前,都必须通过安全策略的检查。文档应该分析并确认,网

34、络隔离产品确实控制了端设备用户的每次访问请求,不存在其他可能旁路网络隔离产品的途径。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:产品应不存在其他可能旁路网络隔离产品的途径。5.3.1.2 抗攻击网络隔离产品的抗攻击的测试评价方法与预期结果如下:a)测试评价方法:1)配置启用网络隔离产品抗攻击功能;2)采用模拟攻击设备,通过网络隔离产品,发起产品声明支持带宽1 0%的攻击流量(至少包括S YNF l o o d、I CMPF l o o d等),同时通过网络隔离产品建立正常的传输业务,持续时间1m i n;3)检查拒绝服务攻击包通过的比例,以及正常业务成功建立的

35、比例。b)预期结果:1)网络隔离产品具备抗拒绝服务器攻击能力;2)攻击包通过的比例不大于5%、正常业务建立成功率不低于9 0%。01G B/T2 0 2 7 72 0 1 55.3.1.3 安全管理5.3.1.3.1 区分安全管理角色网络隔离产品的区分安全管理角色的测试评价方法和预期结果如下:a)测试评价方法:依据开发者所提供的区分安全管理角色的详细描述进行测试:1)产品至少提供两类用户角色,至少有一类为管理员角色,保证此两类用户角色并不相同。评价者测试此两类用户角色是否不同,且有一类属于管理员角色;2)创建一未授予安全管理角色的普通用户,以此用户执行安全管理功能相关操作,网络隔离产品拒绝其操

36、作;3)将安全管理角色授与此用户,再次执行安全管理功能的相关操作(应包括安装、配置和管理网络隔离产品安全功能本身所需的所有功能,其中至少应包括:增加和删除主体(发送信息的主机)和客体(接受信息的主机),查阅安全属性,分配、修改和撤销安全属性,查阅和管理审计数据),测试网络隔离产品是否允许其操作;4)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:1)产品应至少提供两类用户角色,至少有一类为管理员角色,保证此两类用户角色并不相同;2)网络隔离产品应拒绝未授予安全管理角色的普通用户执行安全管理功能相关操作;3)将安全管理角色授与此用户,再次执行安全管理功能的相关操作(

37、应包括安装、配置和管理网络隔离产品安全功能本身所需的所有功能,其中至少应包括:增加和删除主体(发送信息的主机)和客体(接受信息的主机),查阅安全属性,分配、修改和撤销安全属性,查阅和管理审计数据),网络隔离产品应允许其操作。5.3.1.3.2 管理功能网络隔离产品的管理功能的测试评价方法和预期结果如下:a)测试评价方法:1)评估开发者提供的文档,包括管理功能的详细描述。以授权管理员身份登录,测试能够进行如下操作:设置和更新与安全相关的数据;网络隔离产品的安装及初始化;系统启动和关闭;备份和恢复系统配置信息。2)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:网络隔

38、离产品应能执行上述操作,并且网络隔离产品的各种备份(如安全配置的备份,审计记录的备份)工作可以通过自动工具完成。如果网络隔离产品支持外部或内部接口的远程管理,尝试关闭内部和外部接口或其中之一及配置远程管理地址,网络隔离产品应允许这些操作的执行;从未授权远程管理的主机地址,尝试进行远程管理,网络隔离产品应予以拒绝;远程管理会话应进行加密保护。5.3.1.3.3 独立管理接口网络隔离产品的独立管理接口的测试评价方法和预期结果如下:11G B/T2 0 2 7 72 0 1 5a)测试评价方法:评估开发者提供的文档,包括独立管理接口的详细描述。测试网络隔离产品使用与通讯接口相互独立的管理接口与授权管

39、理员连接,授权管理员经过身份鉴别后,是否采用多因素身份鉴别和加密方式建立授权管理员与网络隔离产品间的可信路径,是否禁止其他用户非授权访问管理接口。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:网络隔离产品应使用与通讯接口相互独立的管理接口与授权管理员连接,授权管理员经过身份鉴别后,应采用多因素身份鉴别和加密方式建立授权管理员与网络隔离产品间的可信路径,应禁止其他用户非授权访问管理接口。5.3.1.4 标识和鉴别5.3.1.4.1 基本安全属性定义网络隔离产品的基本安全属性定义的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包括对于每一个授权

40、管理员、构成系统的信息传输与控制部件、应用层数据采集与接受部件,网络隔离产品为其提供一套唯一的、为了执行安全功能策略所必需的安全属性,并且说明具体的内容。测试产品是否设定了这些安全属性,至少包括授权管理员的安全属性、构成系统的信息传输与控制部件的安全属性、应用层数据采集与接受部件的安全属性和其他在开发者文档中提及的安全属性。如果产品设定规定范围内的安全属性和开发者文档中存在的安全属性,则此项判定为合格。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:产品应设定至少包括授权管理员的安全属性、构成系统的信息传输与控制部件的安全属性、应用层数据采集与接受部件的安全属性和

41、其他在开发者文档中提及的安全属性。5.3.1.4.2 属性初始化网络隔离产品的属性初始化的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包括属性初始化的详细描述。按照开发者提供的初始化方法进行初始化,审查初始化结果是否与文档宣称的初始化值一致。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:测试结果应完全符合上述测试评价方法要求做出判断,测试和审查的初始化过程和结果应符合文档说明。5.3.1.4.3 属性修改网络隔离产品的属性修改的测试评价方法和预期结果如下:a)测试评价方法:依据开发者提供的属性修改的详细描述进行测试:1)测试能以授权管理员

42、的身份对源地址、目的地址、传输层协议和请求的服务(例如:源端口号或目的端口号等访问控制属性)和配置的安全参数(至少包括:最大鉴别失败次数等数据)进行修改;21G B/T2 0 2 7 72 0 1 52)测试修改后的设置是否有效;3)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:1)应能以授权管理员的身份对源地址、目的地址、传输层协议和请求的服务(例如:源端口号或目的端口号等访问控制属性)和配置的安全参数(至少包括:最大鉴别失败次数等数据)进行修改;2)修改后的设置应能够生效。5.3.1.4.4 属性查询网络隔离产品的属性查询的测试评价方法和预期结果如下:a)测

43、试评价方法:评估开发者提供的文档,包括属性查询的详细描述。测试能以授权管理员的身份对源地址、目的地址、传输层协议和请求的服务(例如:源端口号或目的端口号等访问控制属性)和配置的安全参数(至少包括:最大鉴别失败次数等数据)进行查询。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:应能以授权管理员的身份对源地址、目的地址、传输层协议和请求的服务(例如:源端口号或目的端口号等访问控制属性)和配置的安全参数(至少包括:最大鉴别失败次数等数据)进行查询。5.3.1.4.5 鉴别数据初始化网络隔离产品的鉴别数据初始化的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提

44、供的文档,包括网络隔离产品鉴别机制的详细描述。根据开发者提供的网络隔离产品鉴别机制的详细描述,分别以授权管理员和普通用户的身份登录,测试该部件是否提供鉴别数据的初始化功能。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:以授权管理员和普通用户的身份登录网络隔离产品,产品应提供鉴别数据的初始化功能。5.3.1.4.6 鉴别时机网络隔离产品的鉴别时机的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包括网络隔离产品鉴别机制的详细描述。设置多个授权管理员,分别以所有这些授权管理员的身份登录,测试在所有授权管理员请求执行的任何操作之前,网络隔离产品对每

45、个授权管理员都进行了身份鉴别。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:在所有授权管理员请求执行的任何操作之前,网络隔离产品应对每个授权管理员都进行身份鉴别。5.3.1.4.7 最少反馈网络隔离产品的最少反馈的测试评价方法和预期结果如下:31G B/T2 0 2 7 72 0 1 5a)测试评价方法:评估开发者提供的文档,包括网络隔离产品鉴别机制的详细描述。分别以授权管理员和普通用户的身份登录,并且输入正确或者错误的口令,测试网络隔离产品的反馈信息最少。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:分别以授权管理员和普通用户的

46、身份登录,并且输入正确或者错误的口令,网络隔离产品应反馈最少的信息。5.3.1.4.8 鉴别失败处理网络隔离产品的鉴别失败处理的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包括网络隔离产品鉴别机制的详细描述。以错误的用户名口令登录,在一定次数的鉴别失败后,测试网络隔离产品终止了进行登录尝试主机建立会话的过程。分别以授权管理员和普通用户的身份登录,测试该部件提供最多失败次数的设定功能,且最多失败次数仅由授权管理员设定。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:以错误的用户名口令登录,在一定次数的鉴别失败后,网络隔离产品应能够终止进行登录

47、尝试主机建立会话的过程。分别以授权管理员和普通用户的身份登录,产品应提供最多失败次数的设定功能,且最多失败次数应仅由授权管理员设定。5.3.1.5 审计5.3.1.5.1 审计数据生成网络隔离产品的审计数据生成的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包括评价所需的相关文档(例如:产品说明书产品测试文档)。根据开发者文档,使用不同角色用户模拟对产品不同模块进行访问、运行、修改、关闭以及重复失败尝试等相关操作。审查审计记录的正确性。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:网络隔离产品应能够准确记录不同角色用户对产品不同模块进行访问

48、、运行、修改、关闭以及重复失败尝试等相关操作。5.3.1.5.2 审计记录管理网络隔离产品的审计记录管理的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,包括评价所需的相关文档(例如:产品说明书产品测试文档)。模拟授权管理员进行审计操作,测试网络隔离产品安全功能允许授权管理员存档、删除和清空审计记录。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:网络隔离产品应能够允许授权管理员存档、删除和清空审计记录。41G B/T2 0 2 7 72 0 1 55.3.1.5.3 可理解的格式网络隔离产品的可理解的格式的测试评价方法和预期结果如下:a)测试

49、评价方法:评估开发者提供的文档,包括评价所需的相关文档(例如:产品说明书产品测试文档)。审查网络隔离产品安全功能使存储于永久性审计记录中的所有审计数据可为人所理解(至少包括能为人理解的描述内容以及审计数据本身)。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:网络隔离产品应使存储于永久性审计记录中的所有审计数据可为人所理解(至少包括能为人理解的描述内容以及审计数据本身)。5.3.1.5.4 限制审计记录访问网络隔离产品的限制审计记录访问的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档,是否包括评价所需的相关文档(例如:产品说明书产品测试文档)。

50、模拟授权与非授权管理员访问审计记录,测试网络隔离产品安全功能仅允许授权管理员访问审计记录。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b)预期结果:网络隔离产品应仅允许授权管理员访问审计记录。5.3.1.5.5 可选择查阅审计网络隔离产品的可选择查阅审计的测试评价方法和预期结果如下:a)测试评价方法:评估开发者提供的文档是否包括评价所需的相关文档(例如:产品说明书产品测试文档)。测试网络隔离产品安全功能是否自身提供了审计查阅工具,能够按照主体I D(标识符)、客体I D、日期、时间进行逻辑组合对审计数据进行正确的查找和排序。记录测试结果并对该结果是否完全符合上述测试评价方法