ICS35.030 CCSL80 中华人民共和国国家标准 GB/T20279—2024 代替GB/T20279—2015,GB/T20277—2015 网络安全技术 网络和终端隔离产品 技术规范 Cybersecuritytechnology—Technicalspecificationfornetworkandterminal separationproducts 2024-09-29发布 2025-04-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 通则 3 ……………………………………………………………………………………………………… 6 安全技术要求 5 …………………………………………………………………………………………… 6.1 安全功能要求 5 ……………………………………………………………………………………… 6.2 自身安全要求 9 ……………………………………………………………………………………… 6.3 性能要求 10 …………………………………………………………………………………………… 6.4 安全保障要求 11 ……………………………………………………………………………………… 7 测评方法 13 ………………………………………………………………………………………………… 7.1 安全功能测评 13 ……………………………………………………………………………………… 7.2 自身安全测评 23 ……………………………………………………………………………………… 7.3 性能测评 26 …………………………………………………………………………………………… 7.4 安全保障测评 26 ……………………………………………………………………………………… 附录A(规范性) 网络和终端隔离产品分类及安全技术要求级别划分 33 ……………………………… 附录B(规范性) 网络和终端隔离产品分类及测评方法级别划分 39 …………………………………… ⅠGB/T20279—2024 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件代替GB/T20279—2015《信息安全技术 网络和终端隔离产品安全技术要求》和GB/T20277— 2015《信息安全技术 网络和终端隔离产品测试评价方法》,与GB/T20279—2015和GB/T20277—2015 相比,除结构调整和编辑性改动外,主要技术变化如下: ———更改了网络隔离类产品的产品分类(见第5章,GB/T20279—2015年版的第4章); ———增加了通则(见第5章); ———更改了信息流控制策略要求(见6.1.1.1,GB/T20279—2015年版的5.2.2.1.1.1、5.2.2.2.1.1、 5.2.3.1.1.1和5.2.3.2.1.1); ———更改了信息流控制功能要求(见6.1.1.2,GB/T20279—2015年版的5.2.2.1.1.2、5.2.2.2.1.2、 5.2.3.1.1.2、5.2.3.2.1.2和5.2.3.2.1.3); ———增加了应用及协议支持要求(见6.1.2); ———增加了信息过滤要求(见6.1.3); ———更改抗攻击要求为攻击防护要求(见6.1.5,GB/T20279—2015年版的5.2.2.1.2、5.2.2.2.2、 5.2.3.1.2和5.2.3.2.2); ———更改域隔离要求为安全隔离要求(见6.1.6,GB/T20279—2015年版的5.2.2.1.6、5.2.2.2.6、 5.2.3.1.6和5.2.3.2.6); ———更改容错要求为高可用要求(见6.1.7,GB/T20279—2015年版的5.2.2.1.7、5.2.2.2.7和 5.2.3.2.7); ———增加了联动要求(见6.1.10); ———更改环境适应性要求为IPv6支持要求(见6.1.11,GB/T20279—2015年版的5.4); ———增加了虚拟化部署要求(见6.1.12); ———增加了自身安全要求(见6.2); ———更改了性能要求(见6.3,GB/T20279—2015年版的5.5); ———更改了安全保障要求(见6.4,GB/T20279—2015年版的5.3); ———增加了网络和终端隔离产品分类及安全技术要求级别划分(见附录A); ———增加了网络和终端隔离产品分类及测评方法级别划分(见附录B)。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:公安部第三研究所、国家工业信息安全发展研究中心、中国网络安全审查认证和 市场监管大数据中心、中国电子技术标准化研究院、北京天融信网络安全技术有限公司、北京安盟信息 技术股份有限公司、中孚信息股份有限公司、清华大学、深圳市利谱信息技术有限公司、启明星辰信息技 术集团股份有限公司、珠海经济特区伟思有限公司、拓尔思天行网安信息技术有限责任公司、奇安信网 神信息技术(北京)股份有限公司、中国科学院软件研究所、公安部第一研究所、腾讯云计算(北京)有限 责任公司、西安交大捷普网络科技有限公司、北京数安行科技有限公司、山东首瀚信息科技有限公司、 长扬科技(北京)股份有限公司、郑州信大捷安信息技术股份有限公司、新华三技术有限公司、国网区块 链科技(北京)有限公司、蓝盾信息安全技术股份有限公司、广州天懋信息系统股份有限公司、南方电网 电力科技股份有限公司、中电科网络安全科技股份有限公司、南京神易网络科技有限公司、蓝象标准 ⅢGB/T20279—2024 (北京)科技有限公司、杭州领信数科信息技术有限公司、成都赛波安全技术开发有限公司。 本文件主要起草人:陆臻、祝国邦、李旋、顾健、顾建新、沈亮、安高峰、刘智飞、马奥、杨晨、孙彦、 张东举、王冲华、申永波、沈文杰、江军、路文立、焦蒙蒙、左安骥、张习雨、卢栋梁、晏敏、杨春华、胡维娜、 王路晗、张凌云、乔华阳、余果、刘玉红、杨更、赵华、刘为华、何建锋、石竹玉、焦少波、万晓兰、李士奇、 常媛媛、刘强、邹凯、林迪、李克鹏、韩秀德、张大伟、赵会敏、钱韵洁、丁稳所、杨威、张震宇、林丹生、 李慧敏、郭爱波。 本文件及其所代替文件的历次版本发布情况为: ———GB/T20279,2006年首次发布,2015年第一次修订; ———GB/T20277,2006年首次发布,2015年第一次修订; ———本次为第二次修订。 ⅣGB/T20279—2024 网络安全技术 网络和终端隔离产品 技术规范 1 范围 本文件规定了网络和终端隔离产品的分类、级别划分、安全技术要求及测评方法。 本文件适用于网络和终端隔离产品的设计、开发与测试。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T18336.3—2024 网络安全技术 信息技术安全评估准则 第3部分:安全保障组件 GB/T25069—2022 信息安全技术 术语 GB/T30279—2020 信息安全技术 网络安全漏洞分类分级指南 GB42250—2022 信息安全技术 网络安全专用产品安全技术要求 3 术语和定义 GB/T18336.3—2024、GB/T25069—2022、GB/T30279—2020和GB42250—2022界定的以及下 列术语和定义适用于本文件。 3.1 安全域 securitydomain 遵从共同安全策略的资产和资源的集合。 [来源:GB/T25069—2022,3.36] 3.2 物理断开 physicaldisconnection 使用物理方法保证不同安全域之间无法以直接或间接的方式相连接的技术。 注:实施不同安全域的物理断开,包括在物理传导、物理存储上的断开。 3.3 协议转换 protocolconversion 把基于网络的公共协议中的应用数据剥离出来,封装为系统专用的私有协议进行数据传输的技术。 3.4 信息摆渡 informationferry 信息由信息源所在安全域传输至中间缓存区域,再将中间缓存区域的信息传输至信息目的所在安 全域的数据传输技术。 注:在任一时刻,中间缓存区域只与一端安全域相连。 1GB/T20279—2024 3.5 单向传输部件 unilateraltransmissionunit 一对独立的发送和接收部件,发送部件仅提供单一的发送功能,接收部件仅提供单一的接收功能。 注:单向传输部件的发送和接收功能由物理特性决定。 3.6 终端隔离产品 terminalseparationproducts 采用物理断开技术在终端上实现不同安全域隔离的产品。 3.7 网络隔离产品 networkseparationprodu