﹫﹤  中华人民共和国国家标准 ﹩﹣燉— 网络代理服务器的安全技术要求 ┊┇┉┎┉┃━┇┆┊┇│┃┉┈┄┇┅┇┄┍┎┈┇┋┇ ┐┐ 发布 ┐┐ 实施 国家质量技术监督局 发布﹩﹣燉— 目 次 前言 Ⅰ ………………………………………………………………………………………………………… １ 范围 １ ……………………………………………………………………………………………………… ２ 定义 １ ……………………………………………………………………………………………………… ３ 概述 １ ……………………………………………………………………………………………………… ４ 安全环境 ２ ………………………………………………………………………………………………… ４１ 安全条件假设 ２ ………………………………………………………………………………………… ４２ 对安全的威胁 ２ ………………………………………………………………………………………… ５ 安全目标 ３ ………………………………………………………………………………………………… ５１ 信息技术性安全目标 ３ ………………………………………………………………………………… ５２ 非信息技术安全目标 ３ ………………………………………………………………………………… ６ 信息技术安全要求 ４ ……………………………………………………………………………………… ６１ 功能要求 ４ ……………………………………………………………………………………………… ６２ 保证要求 ９ ……………………………………………………………………………………………… ７ 基本原理 １３ ………………………………………………………………………………………………… ７１ 信息技术安全目标的基本原理 １３ ……………………………………………………………………… ７２ 非信息技术安全目标的基本原理 １３ …………………………………………………………………… ７３ 信息技术功能要求的基本原理 １４ ……………………………………………………………………… 附录 Ａ（ 标准的附录 ） 符号结构及含义 １７ ………………………………………………………………… ﹩﹣燉— 前 言 本标准是我国国际互联网网络安全标准之一 ， 它对网络代理服务器的最低安全要求作了规定 。 本标准由国家信息化办公室提出 。 本标准由全国信息技术标准化技术委员会归口 。 本标准由公安部第三研究所负责起草 ， 参加起草工作的单位还有电子工业部标准化研究所 。 本标准主要起草人 ： 严忠槐 、 张岚 、 汪广杰 、 李富豪 、 罗韧鸿 。 Ⅰ 中华人民共和国国家标准 网络代理服务器的安全 技术要求 ┊┇┉┎┉┃━┇┆┊┇│┃┉┈┄┇┅┇┄┍┎┈ ┇┋┇﹩﹣燉 — 国家质量技术监督局 ┐┐ 批准 ┐┐ 实施  范围 本标准规定了网络代理服务器的安全技术要求 ， 并作为网络代理服务器的安全技术检测依据 。  定义  用户 ｕｓｅｒ 一个远离代理服务器并与代理服务器相互作用的个人 ， 他没有能够影响代理服务器安全策略执行 的特权 。  授权管理员 ａｕｔｈｏｒｉｚｅｄａｄｍｉｎｉｓｔｒａｔｏｒ 任何具有旁路或规避代理服务器安全策略权限的经鉴别过的个人 。 本标准中 ，“ 授权管理员 ” 特指代 理服务器的管理员 ， 但其职责不包括网络管理 。  主机 ｈｏｓｔ 一个远离代理服务器并与代理服务器相互作用的计算机 ， 它没有能够影响代理服务器安全策略执 行的特权 。  可信主机 ｔｒｕｓｔｅｄｈｏｓｔ 任何具有旁路或规避代理服务器安全策略权限的计算机 。  概述 本标准规定了网络代理服务器在低风险环境下的最低安全要求 。 指出由该类代理服务器所能防止 的威胁 ， 定义其实现的安全目标 、 使用环境以及安全功能和安全保证要求 。 网络代理服务器以各种代理服务为基础 ， 通过它提供集中的应用服务 。 它可以为不同的协议 （ 如 Ｔｅｌｎｅｔ、ＳＭＴＰ、ＦＴＰ、ＨＴＴＰ 等 ） 进行代理 。 为在内部 、 外部两个网络之间建立安全可靠的应用服务 ， 网 络代理服务器必须具备安全控制手段 ， 只有合法有效的客户要求才由代理服务器提交给真正的服务器 。 符合本标准规定的网络代理服务器不再局限于代理服务 ， 它必须具有访问控制 、 应用层内容过滤 、 数据截获处理 、 安全审计等 ， 以保证本地网络资源的安全和对外部网络访问的控制 。 图 １ 给出代理服务器在网络中的逻辑示意图 。 １ 子网用户子网用户 ……… 代理服务器 ……… 外部 ＷＥＢ 服务器 服务器外部 ＷＥＢ 对数据流的监控 对外部数据的请求 外部数据的缓存经鉴别后 ， 取得缓存中没 有的数据 图 １ 逻辑图  安全环境 遵循本标准的代理服务器应提供访问控制策略 ， 包括身份识别与鉴别 、 内容过滤 、 安全审计等 。 可用 于敏感但不保密的信息处理环境 。  安全条件假设 假设在运行环境中存在以下条件 ：  单输入点 （ＡＳＩＮＧＬＥＰＴ） 如图 １ 所示 ， 代理服务器为内部网络与外部网络的唯一连接点 。  物理访问控制 （ＡＳＥＣＵＲＥ） 指代理服务器及相关的控制台在物理上是安全的 ， 而且仅供授权人使用 。  通信保护 （ＡＣＯＭＭＳ） 对传输信息的保护应与信息的密级一致 ， 但明确规定以明文传输的信息除外 。  用户 （ＡＵＳＥＲ） 代理服务器应提供非一般用途的计算能力 ， 它能对用户交送的各种代理请求进行鉴别和授权 。 只有 授权的管理员才具有直接访问和远程访问的权利 。  授权的管理员 （ＡＮＯＥＶＩＬ） 被授权的管理员无恶意和可以信任 ， 并能够正确执行各项职责 。  对安全的威胁  代理服务器应阻止的威胁  未授权的逻辑访问 （ＴＬＡＣＣＥＳＳ） 未授权的个人可能得到对代理服务器的逻辑访问权 。 未授权个人是指具有或者试图得到对系统的 访问权的个人 ， 但他不是代理服务器的授权用户 。  冒用网络地址 （ＴＩＳＰＯＯＦ） 一个主体伪装成另一个主体 ， 试图得到信息访问权 。  攻击内部受保护网络 （ＴＮＡＴＴＡＣＫ） 攻击者通过高级协议 、 服务 ， 攻击内部受保护网络或该网络上的某一主机 。  毁坏审计记录 （ＴＡＵＤＩＴ） 删除审计存储区文件 ， 使审计记录丢失或毁坏 ， 来逃避检测 。  修改代理服务器配置及其他安全相关数据 （ＴＤＣＯＲＲＵＰＴ） 修改代理服务器的内部数据结构 ， 篡改代理服务器配置等安全参数 。 ２ ﹩﹣燉 —  回避身份识别和鉴别机制 （ＴＡＵＴＨ） 攻击者试图绕过系统的身份识别和鉴别机制 ， 伪装成一个授权的管理员 ， 或者干扰一个已经创立的 进程 。  受保护网络上的一个有敌意的用户试图向外部用户提供信息 （ＴＩＮＳＨＡＲＥ） 此类威胁涉及的是内部 （ 受保护 ） 网络的用户企图把信息传送给外部网络的非授权用户 。  由运行环境阻止的威胁 以下威胁可以通过物理控制操作规程或管理手段来防止 。  受保护网络上的一个有敌意的用户攻击同一网络上的计算机 （ＴＩＮＡＬＬ） 此类威胁指来自受保护网络内的对本网络服务功能的攻击 ， 或者对同一网段上的计算机的攻击 。  对高层协议和服务的攻击 （ＴＳＥＲＶＩＣＥＳ） 此类威胁针对传输层以上的协议层 （ 和利用这些协议的服务 ， 如超文本传输协议 ＨＴＴＰ） 中的漏 洞 。 符合本标准的代理服务器可以完全拒绝对特定主机或主机群的访问 ， 但是 ， 如果允许数据包通过的 话 ， 那么仍有可能对上述的这些服务攻击 。  截取传输的信息 （ＴＰＲＩＶＡＣＹ） 攻击者可能截取通过代理服务器传输的敏感信息 。  安全目标  信息技术性安全目标 代理服务器应达到的信息技术安全目标如下 。  访问仲裁 （ＯＡＣＣＥＳＳ） 目标是通过允许或拒绝从一个主体 （ 发送实体 ） 传到一个客体 （ 接受实体 ） 的信息流 ， 为连接在代理 服务器上的两个网络之间提供受控制的访问 ， 这些控制是根据主体 、 客体的有关参数 ， 由代理服务器生 成的状态信息和管理上配置的访问控制规则实现的 。  管理员访问 （ＯＡＤＭＩＮ） 此项目标是仅限授权的管理者才能访问代理服务器 ， 即只允许他们有配置代理服务器的能力 。  个体身份记录 （ＯＡＣＣＯＵＮＴ） 个体记录提供对用户的记录能力 ， 并允许基于唯一身份对访问作出判定 。 鉴别为确定身份是否真实 提供了方法 。  代理服务器的自我保护 （ＯＰＲＯＴＥＣＴ） 为了成功地达到这一目标 ， 代理服务器应能够从其正在处理的数据中分离出自身的控制信息而保 护自己不受外部实体的攻击 。 此外 ， 代理服务器还应能保护授权管理员的通信会话连接 。  审计 （ＯＡＵＤＩＴ） 对于判定是否存在绕过安全策略尝试 ， 是否因配置错误而不知