《信息安全技术 网络和终端隔离产品安全技术要求》编制说明

(一)工作简况

1.1任务来源

2011年，经国标委批准，全国信息安全标准化技术委员会

（SAC/TC260）主任办公会讨论通过，研究修定《信息安全技术网络

和终端隔离产品安全技术要求》国家标准（项目名称为：“信息安全

技术网络单向导入产品安全技术要求”）。该项目由全国信息安全标

准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安

部计算机信息系统安全产品质量监督检验中心（公安部第三研究所）

负责主办。

2012年，TC260根据国家发改委针对下一代互联网的要求，再

次下达标准修订任务，本次修订的主要目的是使新一代网络隔离产品

具备下一代互联网支持与高性能的要求。

1.2协作单位

本标准的协作单位有：珠海经济特区伟思有限公司、南京神易网

络科技有限公司。

珠海伟思公司是国内最早从事安全隔离卡和网络隔离与信息交

换设备研发和生产的单位之一，是国内专业从事网络信息安全产品开

发、生产、销售的高科技企业，是国家认定的双软企业，公司在国内

有完整的销售网络和售后服务体系，公司在产品销售的基础上提供全

面的网络信息安全服务（安全整体解决方案）。

珠海伟思公司自主开发的网络安全隔离卡系列产品、VieCA在线

身份认证系统和ViGap隔离网闸是伟思公司的三大主流产品，在国内

同类产品中居领先地位。伟思研究开发的自主产品--伟思网络安全隔

离卡与伟思网络安全隔离集线器，为内外网的物理隔断提供了具有国

际领先技术水平的产品。

南京神易网络科技有限公司是一家专业从事网络安全产品的系

统集成商和安全服务商，在生产、销售自主品牌的安全产品同时，还

为国内著名品牌PC厂商提供安全解决方案。

南京神易网络科技有限公司在安全隔离卡领域拥有大量自主知

识产权，也是国内最早从事安全隔离卡自主研发的公司之一。

1.3主要工作过程

a）前期调研

1）网络单向导入

网络单向导入产品用于两个相互隔离的不同安全域之间，通过物

理方式（可基于电信号传输或光信号传输）构造信息单向传输的唯一

通道，实现信息单向导入，并且保证只有安全策略允许传输的信息可

以通过，同时反方向无任何信息传输或反馈。

根据中华人民共和国国家标准GB/T25066-2010信息安全技术

信息安全产品类别与代码的描述，本类产品属于“D边界安全”类。

网络单向导入产品目前在国内蓬勃发展，开发厂商越来越多（目前国

内已有近10家开发厂商），应用场合越来越广（如公安、电力、税务、

广电等），而相关标准却严重匮乏。厂商与测评机构都陷入了“无标

可依、无标可用”的窘境。为了应对该类产品开发、检测的需求，公

安部十一局批准发布了该类产品的检测规范。然而，发布一个更具权

威性、更广适用性的国家标准显然意义更大、需求更迫切。

其必要性及目的阐述如下：

世界范围内的知识经济时代已经到来，信息产生和传递的速度越

来越快，网络以信息量大、时效性强、传播广泛等优势正在越来越多

地融入到社会的各个方面，网络应用越来越深地渗透到政府、金融、

国防等关键领域，涉密网内部的工作人员，对信息的时效性要求越来

越高，需要及时、准确地得到互联网或其他安全域上大量的信息，以

便于利用。

但由于一些网络黑客入侵、病毒攻击等安全事件的不断发生，时

刻威胁着重要信息系统的安全，国家相关部门也制定了一些技术与管

理的措施。如，国家保密局发BMB17-2006文件中规定涉密网不能直

接或间接与互联网以及其他公共信息网络连接，必须实行物理隔离。

物理隔离虽能保障涉密信息系统的安全，却为内部的工作人员的信息

交换——尤其是从低级别安全域向高级安全域导入数据带来了不便。

用户对不同网络间的应用的需求是信息交换，涉密网络保密的需求是

物理隔离。如何才能更好的满足这两方面的需求，已成为当前信息安

全产品研发与生产的主要目标。

从互联网及其他低级别安全域网络上传递资料性文件等信息到

高级别安全域网络中，如何保证安全？为此国家相关科研机构与厂商

从管理上、技术上做了大量的探索，也取得了一定的成果；但现有的

几种解决办法仍存在不足之处。如何满足对文件传递的单向性、安全

性、易用性、经济性的要求？如何同时实现这几个要求？公司的技术

人员与相关部门进行了深入的讨论，并作了大量的研究和论证，开发

出这款基于专用介质的安全单向导入系统。

国内现阶段采用信息交换方式的分析：

（1）内外物理隔离，直接采用移动存储介质，作为数据导入工

具

现在很多部门在工作中采用U盘、MP3、移动硬盘等移动存储介

质作为数据传输的工具。我们以U盘为例：工作人员先将互联网上收

集到的有关资料拷贝到U盘中，然后再将U盘内的资料拷贝到被隔离

的内网计算机中。通过交叉使用完成数据导入。这种方式虽然操作方

便，使用灵活，但是存在着巨大的泄密隐患。首先，介质本身的安全

问题，这种介质在数据传输过程中很容易感染木马和病毒。比如，有

一种名为"U盘泄密者"的病毒，该病毒可以自动复制计算机和介质中

的文件到指定目录下，使工作人员在不经意间造成内网敏感信息的泄

露。其次，采用这种方式进行数据传输也为不法分子进行主动窃密提

供有效途径。

2）内外物理隔离，通过中间机方式进行数据传输

有些部门设立一个专用的中间机，通过中转完成数据传输。首先

将互联网上获取的资料用移动存储介质拷贝到中间机中，然后通过中

间机刻录光盘，然后再用光盘拷入到内网信息系统中。虽然这种方式

安全性较高，能够实现数据交换的要求，但是操作复杂，工作过程时

间长，大大降低了工作效率，而且容易造成资源浪费。同时还是存在

安全隐患，因为内网计算机必须提供光驱读取信息，这就为敏感信息

外泄或恶意代码的流入提供了渠道。

3）采用网闸的方式

在两个安全级别不同的网络之间设置隔离网闸，通过协议转换的

手段，以信息摆渡的方式实现数据交换。网闸虽然在硬件层面设计了

物理断开的控制部件，但对于上层信息流而言，这种物理断开是透明

的。也就是对于信息交换来说，依然需要物理层以上的手段来进行访

问控制，如图1所示。这种方案的缺点是信息的单向传输是由安全策

略通过上层的访问控制来实现的。因此，实质上破坏了原有系统物理

隔离的状态，降低的安全保护的级别，增加了风险。

访问控制

信息流

逻辑层

物理层

低安全域高安全域

图1

网络单向导入产品和网闸不同之处在于，其对于单向传输的访问

控制直接作用在物理层，因此在网络隔离保障方面也具有更好的安全

性。

网络单向导入产品所要解决的安全目的：

高级别安全域的信息安全保护目的主要分为三大类，一类侧重于

保证信息的保密性；另一类侧重于保证信息的完整性与可用性；最后

一类是三性都很重要。

网络单向导入产品主要侧重于解决前两种类型。当高级别安全域

侧重于保证信息的保密性时，其安全需求允许信息由低到高传输，但

应禁止由高到低传输，如图2。

（保密性）

低安全域信息流高安全域

信息流

图2

当高级别安全域侧重于保证信息的完整性与可用性时，其安全需

求允许信息由高到低传输，但应禁止信息由低到高传输，如图3。

（完整性）

（可用性）

低安全域信息流高安全域

信息流

图3

对于最后一类，信息的三性都需要保证时，则必须严格地执行内

外网物理隔离，原则上禁止一切信息流入或流出。

所以，单向导入严格意义上讲并不只是“导入”，也有可能是“导

出”，单向的应用其实本质上侧重于信息的流动。但是从习惯上，从

易于理解的角度出发，目前仍暂定“网络单向导入”这个名称。

2）下一代互联网支持

IPv6是发展下一代互联网技术和物联网技术的关键环节。IPv6

简化了协议报头，并且引入了两个新的扩展报头AH和ESP。它们帮

助IPv6解决了身份认证，数据完整性和机密性的问题，使IPv6极大

的提高了物联网传输承载层的安全，这是一大进步。但是，这些安全

机制对于当前的计算机网络安全体系造成了很大的冲击。这些原理和

特征发生明显变化的安全问题直接影响到信息安全产品的发展方向。

随着IPv6的推广与普及，原有的信息安全产品必然面临着全新

的设计与实现。一方面，现有的信息安全产品必须适应IPv6的网络

环境；另一方面，随着IPv6使用时间的延伸，新的安全问题必将逐

渐暴露，新的安全防护技术也必将逐渐产生。这必将催使新一代信息

安全产品的诞生。基于3层以上的网络通讯控制类产品，如防火墙、

UTM、IPS、网络隔离、安全三层交换机、安全路由器等产品，受到

IPv6冲击影响较为严重。在纯IPv6网络中，IPv6端与端的IPSec以

及最终摆脱NAT的发展构架，最终可能将此类产品降为3层的路由器

模式。但在IPv4和IPv6共存阶段的物联网中，此类产品还是有些工

作需要进行的。

由于从原理上发生的改变，测试方法以及标准也因此需要改变。

比如在IPv6下TCP/UDP报头位置同IPv4的不同，IP报头与TCP/UDP

报头之间常常还存在其他的扩展报头，如路由选项报头，AH/ESP报

头等。IPv6的网络通讯控制类产品必须逐个找到下一个报头，直到

TCP/UDP报头为止，才能进行过滤，这对网络通讯控制类产品的处理

性能会有很大的影响。另外，不同的过渡技术在地址以及通讯协议实

现上都有很大区别，这对网络通讯控制类产品的实现支持能力是一个

巨大的考验。网络通讯控制类产品根据IPv6的特点而改变，在IPv4

和IPv6共存阶段的物联网中，产品将向增强对过渡技术的支持能力

以及在这种新环境中的性能负载能力的方向发展。

因此在网络通讯控制类产品除坚持测试原功能和性能指标外，着

重进行IPv4/IPv6双协议以及各种IPv4/IPv6过渡网络支持方面的测

试。具体产品标准以及测评要求的发展情况如下表所示。

表1网络通信控制类产品标准以及测评发展趋势

增加双协在双协议下，对过渡网络下，需要支

产品原国家、行

议识别支原性能指标进行持的新协议功能测

类型业标准

持扩充试

防保留，Dual在双协议IPv6协议一致

火墙、直接加上Stack双协下，测试性测试（我中心仪表

UTM、IPv6或议栈方式、RFC2944吞吐支持，或者取信国际

IPS、IPv4/IPv6NAT－PT协量、响应时间、上的IPv6Ready测

网络协议下的议转换方丢包率等；在双试结果）；双栈协议/

隔离、功能/性能式、Tunnel协议下，测试密钥隧道支持测试；

安全即可。如产隧道方式RFC3511最大并加强DHCPv6、

三层品的自身（6to4、发量、最大新建PPPoev6、IPv6碎片

交换安全功能、ISATAP、速率等；增加路包识别、IPv6路由

机、安保证要求Teredo以由协议性能压力协议等具备IPv6新

全路等及Tunnel测试（IPv6是全协议特征的测试；进

由器Broker）球寻址，路由收行IPv4/IPv6协议

等敛速度问题等性fuzz的协议安全性

能测试，针对支测试（暴力模拟IPv6

持路由协议的网错误协议内容）

络通讯控制类产

品是必须的）

我国2000年1月1日起实施的《计算机信息系统国际联网保密

管理规定》第二章第六条规定，“涉及国家秘密的计算机信息系统，

不得直接或间接地与国际互联网或其它公共信息网络相连接，必须实

行物理隔离”。

信息安全与交换产品最早出现在美国、以色列等国家的军方，用

以解决涉密网络与公共网络连接时的安全。我国也有庞大的政府涉密

网络和军事涉密网络，但是我国的涉密网络与公共网络，特别是与互

联网是无任何关联的独立网络，不存在与互联网的信息交换，因此

“物理断开”相关产品为该类应用的主要体现。

同时，随着我国信息化建设步伐的加快，“电子政务”应运而生，

并以前所未有的速度发展。电子政务体现在社会生活的各个方面：工

商注册申报、网上报税、网上报关、基金项目申报等。在我国电子政

务系统建设中，外部网络连接着广大民众，内部网络连接着政府公务

员桌面办公系统，专网连接着各级政府的信息系统，在外网、内网、

专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前

提下，实现从民众到政府的网络畅通、资源共享、方便快捷是电子政

务系统建设中必须解决的技术问题。信息安全与交换产品的产品形式

开始分化、增多，并逐渐成为电子政务信息系统必须配置的设备，由

此开始，信息安全与交换产品与技术在我国快速兴起，成为我国信息

安全产业发展的一个新的增长点。

国家发展改革委办公厅在关于组织实施2012年国家下一代互联

网信息安全专项有关事项的通知（发改办高技[2012]287号）中明确，

高性能安全隔离与信息交换系统作为发改委重点扶持发展的10类下

一代信息安全产品之一。由此表明网络隔离与信息安全交换产品在下

一代互联网信息安全产品中的地位。

而目前的隔离部件国标，并没有涉及下一代互联网的相关技术内

容，因此，编制基于下一代互联网的网络隔离与信息交换产品国标显

得尤为迫切。

由于网络和终端隔离产品的形态和要求都发生了较大的变化，

GB/T20279-2006《信息安全技术网络和终端设备隔离部件安全技术

要求》经过八年的发展之后，不再适用于新形势的发展，必须对此进

行修订。

本标准的编制目标是：

1）为国家等级保护建设提供支持

等级保护的对象是系统安全，系统安全的基础是信息安全产品。

作为在重要信息系统中使用的基于下一代互联网的安全隔离与信息

交换设备，必须制定一个满足国家信息安全等级保护建设需求的标准；

2）为基于下一代互联网的安全隔离与信息交换设备生产提供指

导；

3）为国家信息安全产品管理部门与第三方测评机构对该类产品

进行管理与测评提供依据。

b）确定编制内容

根据《任务书》的要求，编制组的主要任务为研究适用于下一代

互联网的高性能网络隔离与终端隔离产品安全技术要求；标准编制的

主要内容为安全功能要求、安全保证要求、性能要求和IPv6适用性

的内容。

从修订要点上概括，

首先新标准必须适应基于IPv6的国家下一代互联网技术的发展；

其次，新标准必须提出更高的性能指标；

最后，新标准必须提出更高的安全性要求。

c）编制工作简要过程

2011年12月，在前期调研和工作积累的基础上，公安部第三研

究所检测中心组织由陆臻、顾健、沈亮、邹春明、张笑笑、吴其聪、

俞优、顾建新、左安骥、刘斌等组成的标准编制组，进行标准编制工

作，并于2012年12月底完成了标准草案的编制工作；

2012年6月，在标准草案的基础上，编制组广泛征求相关隔离

产品厂商的意见，编制完成了《信息安全技术网络和终端隔离产品

安全技术要求》草案（第一稿）；该稿主要增加了以下内容：

——增加单向导入产品的内容；

——将2类终端隔离产品合并为一类；

——将2类网络隔离产品合并为一类；

——将等级划分由三级划分为两级。

2012年9月，国家发改委组织了下一代互联网信息安全专项，

并编制实施了《国家下一代互联网信息安全专项高性能安全隔离与信

息交换系统测评方案》（FGBGJ[2012]287CPFA-05），对安全隔离与信

息交换系统提出了高性能和支持下一代互联网的要求，并对8款被测

产品进行了测试。

2013年3月，在征求意见稿第一稿的基础上，结合一代互联网

信息安全专项的测试要求与经验，编制组广泛征求相关隔离产品厂商

的意见后，编制完成了《信息安全技术网络和终端隔离产品安全技

术要求》草案（第二稿）；该稿主要增加了以下内容：

——增加信息流控制的内容；

——增加抗攻击的要求；

——增加域隔离的要求；

——增加容错的要求；

——增加独立管理接口的要求。

2013年6月，WG5对本标准召开了标准评审会，与会专家审查标

准文本并对有关问题进行了质询后提出了修改意见，编制组据此对标

准进行了修改，形成了《信息安全技术网络和终端隔离产品安全技

术要求》草案第三稿）；改稿主要修改了以下内容：

——采用YD标准将RFC标准进行替换；

——对产品典型应用环境图进行了重新表述。

2013年8月，WG5面向各成员单位对本标准进行了投票。投票单

位包括江南天安、华北计算技术研究所、中科网威、中国信息安全测

评中心等，对本标准提出了一些具体的修改意见。编制组根据意见进

行了修改，形成了《信息安全技术网络和终端隔离产品安全技术要

求》征求意见稿。

2013年9月，WG5邀请标准化专家冯惠老师对标准做了格式上审

查，提出了标准在格式上所存在的问题。编制组根据意见对存在的问

题进行了现场修改。

1.4国家标准主要起草人及其所做的工作

陆臻作为项目负责人总体负责标准编制，包括制定工作计划、确

定修订内容。顾健、沈亮主要负责标准的前期调研、对标准现状分析、

参考标准文献资料以及标准编制过程中的技术支持。邹春明、张笑笑、

吴其聪、李旋、左安骥、刘斌主要负责标准各个版本的修订、意见汇

总的处理、编制说明的编写等工作。俞优、顾建新主要负责向厂商征

求意见与反馈、商务支持、会务支持、标准装订等工作。

标准项目负责人基本情况：

姓名：陆臻学历（或职称）硕士（副研究员）

电话1209传真子邮

件:flanker@

1）承担过的重要项目和发表的重要学术论文：

项目负责人（共5项）：

●公安部应用创新计划项目“互联网上网服务营业场所信息安全管理

系统测试平台”（2006YYCXGASS037）（已验收完成）

●“十一五”国家科技支撑计划项目“重点领域认证认可推进工程”

子任务“安全隔离与信息交换产品认证方法研究”（2008BAK42B06）

（已验收完成）

●公安理论及软科学研究计划项目“虚拟人、虚拟社区、虚拟社会行

为及管控措施研究”（2008LLYJGASS089）（已验收完成）

●个人防火墙国标预研项目（已验收完成）

项目参与（共2项）：

●2005YYCXGASS054公安部应用创新计划“反垃圾邮件产品检测工

具研发”（已验收完成）

●2007YYCXGASS134公安部应用创新计划“信息过滤产品检测工具”

2）标准编制情况

●GB/T20277－2006信息安全技术网络和终端设备隔离部件测试评

价方法

●GB/T20279－2006信息安全技术网络和终端设备隔离部件安全技

术要求

●GB/T25066－2010信息安全技术信息安全产品类别与代码

●GA370-2001端设备隔离部件安全技术要求

●GA557-2005互联网上网服务营业场所信息安全管理代码

●GA558-2005互联网上网服务营业场所信息安全管理系统数据交

换格式

●GA559-2005互联网上网服务营业场所信息安全管理系统营业场

所端功能要求

●GA560-2005互联网上网服务营业场所信息安全管理系统营业场

所端与营业场所经营管理系统接口技术要求

●GA561-2005互联网上网服务营业场所信息安全管理系统管理端

功能要求

●GA562-2005互联网上网服务营业场所信息安全管理系统管理端

接口技术要求

●GA658-2006互联网公共上网服务场所信息安全管理系统信息代

码

●GA659-2006互联网公共上网服务场所信息安全管理系统数据交

换格式

●GA660-2006互联网公共上网服务场所信息安全管理系统上网服

务场所端功能要求

●GA661-2006互联网公共上网服务场所信息安全管理系统远程通

讯端功能要求

●GA662-2006互联网公共上网服务场所信息安全管理系统上网服

务场所端接口技术要求

●GA663-2006互联网公共上网服务场所信息安全管理系统远程通

讯端接口技术要求

●GA/T696-2007信息安全技术单机防入侵产品安全功能要求

●信息安全技术内网管理系统要求系列标准（行标送审稿）

●GA/T695-2007信息安全技术网络通讯安全审计数据留存功能要

求

●GA/T697-2007信息安全技术静态网页恢复产品安全功能要求

●GA/T698-2007信息安全技术信息过滤产品安全功能要求

3）论文发表情况

●信息安全等级保护标准编制中等级划分的一点体会，第二十次全

国计算机安全学术交流会论文集2005.08，第一作者

●隔离部件类产品现状，信息网络安全，2007.04，第一作者

●从一个实例看常规软件测试与安全测试的关系，信息网络安全，

2008.02，第一作者

●正交试验方法在IDS测试中的应用，信息网络安全，2010.02，第

一作者

●TheapplicationofISO/IECTR15446:2004intheprocessof

compilationofChinesenationalstandard“GB/T20279-2006”，

11thInternationalCommonCriteriaConference，2010.09，第一

作者

●ASurveyofSecuritySeparationTechnologyandProducts

（发表于ICCSNT2011，2011年发表，EI检索号：20121914993955，

第一作者

●TheApplicationofISO/IECTR15446intheCompilationof

ChineseNationalStandardGB/T20279（发表于BMEI2012），第

一作者

●StudyontheFormulationofSeparationComponentStandards

ofChina（发表于ICEE2012），第一作者

（二）国家标准编制原则和确定国家标准主要内容

一）编制原则

本标准符合我国的实际情况，遵从我国有关法律、法规的规定。

具体原则与要求如下：

1.实用性原则

标准必须是可用的，才有实际意义，本标准在修订过程中严格按

照流程对产品的现状、技术等相关领域展开系统的、全面的调研工作，

注重与相关产品生产单位的交流，使得标准更贴近产品实际情况，保

证操作性。

2.先进性原则

标准是先进经验的总结，同时也是技术的发展趋势。要制定出先

进的国家标准，必须广泛了解市场上主流产品的功能，吸收其精华，

制定出具有先进水平的标准。尤其是IPv6适用性与高性能方面，更

是要体现出这一原则。

3.兼容性原则

本标准与我国现有的政策、法规、标准、规范等相一致。修订组

在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有

关政策、法律和法规。

二）主要内容

本标准包括范围、规范性引用文件、术语和定义、网络和终端隔

离产品描述、安全功能要求、安全保证要求、环境适应性要求和性能

要求8个部分。

关键内容阐述如下：

1、安全功能要求

终端隔离产品的安全功能要求等级划分如表1所示

表1终端隔离产品安全功能要求等级划分表

安全功能基本级增强级

安全属性定义√√

属性修改√√

属性查询√√

访问授权与拒绝√√

网络非法外联——√

访问控制

切换信号一致性√√

硬盘非法调换——√

口令保护√√

内存及USB端口的物√√

理隔离

不可旁路√√

客体重用√√

网络隔离产品的安全功能要求等级划分如表2所示。

表2网络隔离产品安全功能要求等级划分表

安全功能基本级增强级

基本的信息流控制√√

策略

增强的信息流控制——√

策略

基本的信息流控制√√

功能

访问控制

增强的信息流控制——√

功能

强制访问控制——√

残余信息保护√√

不可旁路√√

抗攻击√√

区分安全管理角色√√

安全管理管理功能√√

独立管理接口√√

敏感标记——√

基本安全属性定义√√

标识与鉴别

增强的安全属性定——√

义

属性初始化√√

属性修改√√

属性查询√√

鉴别数据初始化√√

鉴别时机√√

最少反馈√√

多鉴别机制——√

鉴别失败处理√√

抗重放——√

受保护的鉴别反馈——√

口令强度——√

审计数据生成√√

安全审计分析——√

用户身份关联——√

审计记录管理√√

审计

可理解的格式√√

限制审计记录访问√√

可选择查阅审计√√

防止审计数据丢失√√

基本的域隔离√√

域隔离

增强的域隔离——√

容错基本的容错√√

增强的容错——√

数据完整性数据完整性√√

密码支持密码支持√√

IPv6核心协议√

——

RFC246X

IPv6邻居发现协议——√

IPv6协议一

IPv6无状态地址自√

致性——

动配置

IPv6PMTU发现协议——√

ICPMv6协议——√

纯IPv6环境——√

IPv4/IPv6双栈环境——√

IPv6环境适

IPv4/IPv6协议转换√

应性——

环境

ISATAP环境——√

交换速率——√

性能要求

系统延时——√

2、安全保证要求

网络和终端隔离产品的安全保证要求等级划分如表3所示。

表3网络和终端隔离产品安全保证要求等级划分表

安全保证要求基本级增强级

部分配置管理自动化——√

版本号√√

配置项√√

配置管

授权控制——√

配置管理能力

产生支持和接受√

理——

程序

配置管理覆盖——√

配置管

问题跟踪配置管√

理范围——

理覆盖

交付程序√√

交付与

修改检测——√

运行

安装、生成和启动程序√√

非形式化功能规√

√

功能规范

范充分定义的外部√

——

接口

描述性高层设计√√

开发高层设

安全加强的高层√

计——

设计

安全功能实现的子集——√

描述性低层设计——√

非形式化对应性证实√√

非形式化产品安全策略模√

——

型

指导性管理员指南√√

文档用户指南√√

安全措施标识——√

生命周开发者定义的生命周期模√

——

期支持型

明确定义的开发工具——√

测试覆盖证据√√

覆盖覆盖分析——√

测试：高层设计——√

测试

功能测试√√

独立一致性√√

测试抽样√√

指南审查——√

误用

分析确认——√

产品安全功能强度评估√√

脆弱性开发者脆弱性分√√

评定脆弱析

性分独立的脆弱性分√

——

析析

中级抵抗力——√

其中，达到基本级要求的产品安全保证要求内容对应GB/T

18336.3-2008的EAL2级，推荐使用在安全保护等级为第一、二级的

信息系统中；达到增强级要求的产品安全保证要求内容对应GB/T

18336.3-2008的EAL4+级，推荐使用在安全保护等级为第三、四级的

信息系统中。

（三）主要试验（或验证）的分析、综述报告，技术经济论证，预期

的经济效果

暂不涉及。

（四）采用国际标准和国外先进标准的程度，以及与国际、国外同类

标准水平的对比情况

本标准的编制过程参考了ISO/IEC15408以及ISO/IEC15446的

相关思想。

ISO/IEC15446描述PP与ST中的内容及其各部分内容之间的相

互关系的详细指南。

ISO/IEC15446给出PP与ST文档内容的概述，给出了样本目录

清单，给出了目标用户最关心的内容，陈述了PP与ST之间的关系，

以及PP与ST的开发编写过程。

ISO/IEC15446给出编写指南，用于指导PP与ST的描述部分的

编写，内容涵盖PP与ST的引言、针对用户和使用者的TOE描述以

及针对ST作者和TOE开发者的PP应用注释；用于指导TOE安全环

境的定义；用于指导编写安全目的，安全目的由TOE及其环境导出；

用于指导选择IT安全要求组件，描述了ISO/IEC15408中定义的功

能组件和保证组件的使用方法，以及非ISO/IEC15408定义的组件的

使用方法；用于指导ST中TOE概要规范的编制；用于指导基本原理

的编制；用于指导复合TOE的PP与ST的编制，复合TOE是由两个

或多个TOE组成；用于指导安全功能包和保证包的构成方法。

ISO/IECTR15446所涉及到的基本概念有：

评估目标TOE(TargetofEvaluation)

IT产品或系统+相关的管理指南和用户指南文档。

TOE是ISO/IEC15408评估的对象。

保护轮廓PP(ProtectProfile)

满足特定的消费者需求的，独立于实现的一组安全要求。

PP回答“需要什么？”，而不涉及“如何实现？”。

安全目标ST(SecurityTarget)

依赖于实现的一组安全要求和说明。ST与PP类似，是针对某一

特定安全产品而言，与TOE安全环境相关的安全要求与概要设计说

明书，可以引用某个(些)PP。

ST回答“提供什么？”、“如何实现？”。

通过ISO/IECTR15446所提供的编写指南，参照图1所示的PP

基本原理图，标准编制组通过参考制定若干个PP的过程，并将所采

用的ISO/IEC15408的安全功能组件进行了本地化处理，结合了中国

所实施的信息安全等级保护的一些内容，最终实现了隔离部件国家标

准的编制。

这些改变，主要包括了以下方面：

a)对安全功能要求与安全保证要求进行了分级；

b)对ISO/IEC15408的安全功能组件进行重新编排；

c)对个别内容根据中国的实际环境与要求进行补充。

安全需求

威胁组织安全策略假设

适于满足

支持

安全目的

TOE目的环境的目的

适于满足一致

IT安全要求SOF声明

图1PP基本原理要求

4.1网络和终端隔离产品使用环境

网络和终端隔离产品使用环境相关的假设如表4所示。

表4假设

产品

假设名称假设描述

类别

假设攻击者有足够的时间，并具备实施攻击

所需的技术知识，拥有电脑和相关设备，动

机可能有经济利益、政治利益或其他等。极

攻击者的能力

端情况下，攻击者还有可能是掌握系统底层

（包括计算机硬件和操作系统）漏洞的敌对

势力

假设用户拥有访问终端隔离产品某些管理

终端功能的权限。对于终端隔离产品而言，本身

隔离用户权限并不具备太多有价值的信息，因此权限控制

产品主要就是管理权限的控制，所谓的用户，一

般也就是指管理员用户

假设终端隔离产品的开发者、发行者、管理

角色管理

者和使用者能被安全地管理

假设终端隔离产品被放置在一个安全的物

物理安全

理环境中并且只能由授权用户访问

除了终端隔离产品之外，被分隔的安全域不

单点接入

再有其他可能的联系途径

网络假设攻击者有足够的时间，并具备实施攻击

隔离攻击者的能力所需的技术知识，拥有电脑和相关设备，动

产品机可能有经济利益、政治利益或其他等。极

产品

假设名称假设描述

类别

端情况下，攻击者还有可能是掌握系统底层

（包括计算机硬件和操作系统）漏洞的敌对

势力

假设用户拥有访问网络隔离产品某些信息

的权限。对于网络隔离产品而言，自身所拥

有的信息也许并不具备直接的价值，但是这

用户权限

些信息往往对应着信息系统的应用信息。不

同的用户权限，往往意味着用户可以获得不

同应用系统信息

假设管理或使用网络隔离产品的人胜任工

管理者能力

作

假设网络隔离产品的开发者、发行者、管理

角色管理

者和使用者能被安全地管理

外部数据存储假设能以安全的方式管理相关的外部数据

假设网络隔离产品被放置在一个安全的物

物理安全

理环境中并且只能由授权用户访问

除了通过网络隔离产品之外，被分隔的安全

单点接入

域不再有其他可能的联系途径

假设网络隔离产品中生成的密钥都是安全

密钥生成

的

产品

假设名称假设描述

类别

假设攻击者有足够的时间，并具备实施攻击

所需的技术知识，拥有电脑和相关设备，动

机可能有经济利益、政治利益或其他等。极

攻击者的能力

端情况下，攻击者还有可能是掌握系统底层

（包括计算机硬件和操作系统）漏洞的敌对

势力

假设用户拥有访问网络单向导入产品某些

信息的权限。对于网络单向导入产品而言，

网络自身所拥有的信息也许并不具备直接的价

用户权限

单向值，但是这些信息往往对应着信息系统的应

导入用信息。不同的用户权限，往往意味着用户

产品可以获得不同应用系统信息

假设网络单向导入产品的管理员和审计员

管理者能力

能胜任工作，能够正确地配置和管理设备

假设网络单向导入产品的开发者、发行者、

角色管理

管理者和使用者能被安全地管理

假设管理员定期维护网络隔离产品，定期更

系统维护换管理员口令，及时升级网络单向导入产品

软件版本

物理安全假设网络单向导入产品被放置在一个安全

产品

假设名称假设描述

类别

的物理环境中并且只能由授权用户访问，管

理控制台、管理员USBKEY密匙等得到了妥

善的保管，只能由授权管理人员使用

除了通过网络单向导入产品之外，被分隔的

单点接入

安全域不再有其他可能的联系途径

假设网络单向导入产品部署环境具备安全

可靠的时间戳

可靠的时间戳

假设网络单向导入产品网络连接方向正确，

连接方向确保信息流由发送方的安全域单向流入接

收方的安全域

假设网络隔离产品中使用的密钥都是安全

密钥使用

存储的，密钥长度和算法强度是恰当的

网络和终端隔离产品安全环境相关的安全风险如表5所示。

表5安全风险

产品

风险名称风险描述

类别

终端对于终端隔离产品而言，必须保证在两个切

客体重用

隔离换的系统之间保持不存在可以重用的客体；

产品

风险名称风险描述

类别

产品一但形成客体重用（例如，切换时没有将内

存数据清除），则会造成隔离的失败

由于电子开关的故障导致系统切换时存储

切换器故障介质与网络的切换不同步，最终造成隔离失

败

操作人员误将当前系统所在的安全域搞错，

操作错误进而通过手动拷贝引起不同安全域信息错

误的交互

操作人员在切换时没有将与本安全域相对

遗忘存储介质应的存储介质移除，进而引起不同安全域信

息错误的交互

非授权用户可能利用身份认证机制的脆弱

性，采用口令猜测、网络抓包、社会工程、

非授权访问中间人攻击、IP欺骗等攻击手段试图伪造用

网络户身份通过身份鉴别，非授权获得对受保护

隔离资源的访问许可

产品攻击者可能利用网络隔离产品的脆弱性，采

用高级逃逸技术，如IP分片逃逸、重叠逃

旁路

逸、添加多余字节逃逸等技术，试图绕过网

络隔离产品安全功能的检查，直接连接和访

产品

风险名称风险描述

类别

问受保护资源

是指被授予明确指定的访问权限的合法用

户，利用网络隔离产品授权机制的缺陷，试

图超越授权范围获得资源访问许可的可能

越权访问

性，如授权用户访问未被授权的资源，普通

用户账号越权使用授权管理员的权限进行

设备管理和审计操作等行为

对于网络隔离产品而言，由于多用户共同使

用这一系统，且数据落地后通过信息摆渡进

行交换，因此内、外端处理单元内存和专用

隔离部件缓存中可能存在之前用户未完全

残余信息泄露清除敏感数据的存储空间被重新分配给新

用户使用的可能，从而导致客体重用的情况

出现，新用户因此可能获得之前用户访问资

源过程中残留的账号、口令、操作行为、收

发数据等残余敏感信息

攻击者试图利用扫描和嗅探技术获取受保

护安全域中主机的系统信息，并通过系统信

渗透攻击

息发现潜在漏洞，最后利用漏洞攻击并控制

受保护主机

产品

风险名称风险描述

类别

用户或攻击者做了某些操作以后，例如发送

抵赖

邮件不承认或无法追踪到这些操作

攻击者可能利用网络隔离产品的缺陷获取

自身安全性系统的控制权，覆盖或替换执行安全功能的

主要程序，破坏安全防护机制

攻击者采用重放攻击方法，即攻击者截获网

重放络上的密文信息后，并不将其破译，而是再

次转发这些数据包，以实现其恶意目的

攻击者将远程控制指令、非法应用层协议指

令伪装或隐藏在正常网络层协议的信息流

应用层恶意攻

中传输的方法，攻击或远程控制受保护安全

击

域的主机，这样的威胁一般的包过滤手段无

法防范

恶意程序或恶意用户通过将敏感信息隐藏

敏感信息流出在正常协议的通讯流中进入非受控安全域，

这样的威胁一般的包过滤手段无法防范

网络非授权用户可能利用身份认证机制的脆弱

单向性，采用口令猜测、网络抓包、社会工程、

非授权访问

导入中间人攻击、IP欺骗等攻击手段试图伪造用

产品户身份通过身份鉴别，非授权获得数据单向

产品

风险名称风险描述

类别

导入的权限

攻击者可能利用网络单向导入产品的脆弱

性，采用高级逃逸技术，如IP分片逃逸、

旁路重叠逃逸、添加多余字节逃逸等技术，试图

绕过网络单向导入产品安全功能的检查，直

接连接和访问受保护资源

对于网络单向导入产品而言，攻击者可能利

用替换单向传输部件驱动程序，修改控制参

篡改传输方向数等软件方式试图篡改单向传输部件的传

输方向，从而使受保护安全域中的敏感信息

流出到非受控安全域

合法的授权用户可能存在越权向受保护安

越权访问

全域中非授权主机单向发送数据

对于网络单向导入产品而言，由于多用户共

同使用这一系统，且数据落地后通过单向技

术传输受保护安全域，因此数据发送处理单

残余信息泄露元内存和硬盘中可能存在之前用户未完全

清除敏感数据的存储空间被重新分配给新

用户使用的可能，从而导致客体重用的情况

出现，新用户因此可能获得之前用户访问资

产品

风险名称风险描述

类别

源过程中残留的账号、口令、操作行为、收

发数据等残余敏感信息

攻击者试图利用扫描和嗅探技术获取受保

护安全域中主机的系统信息，并通过系统信

渗透攻击

息发现潜在漏洞，最后利用漏洞攻击并控制

受保护主机

用户或攻击者做了某些操作以后，不承认或

抵赖

无法追踪到这些操作

攻击者可能利用网络单向导入产品的缺陷

自身安全性获取系统的控制权，覆盖或替换执行安全功

能的主要程序，破坏安全防护机制

对于网络单向导入系统而言，由于不存在任

何反馈信息，因此，单向传输信道不存在可

数据完整性靠连接，数据接收处理单元收到的数据可能

因网络丢包、收发队列拥塞等原因导致数据

传输不完整

攻击者采用重放攻击方法，即攻击者截获网

重放络上的密文信息后，并不将其破译，而是再

次转发这些数据包，以实现其恶意目的

恶意代码流入恶意代码通过将自身伪装或隐藏在正常协

产品

风险名称风险描述

类别

议的通讯流中进入受保护安全域，这样的威

胁一般的包过滤手段无法防范

恶意程序或恶意用户通过将敏感信息隐藏

敏感信息流出在正常协议的通讯流中进入非受控安全域，

这样的威胁一般的包过滤手段无法防范

网络和终端隔离产品安全环境相关的组织策略如表6所示。

表6组织策略

产品

组织策略名称组织策略描述

类别

终端

隔离应彻底断开不同安全域之间信息资

隔离资源访问

源

产品

用户必须对他们的访问行为负责，为了通

安全审计过在安全事件之间建立联系并追踪责任，

网络

应该记录、维持并再现安全事件

隔离

网络隔离产品应提供双机热备等高可靠

产品

高可用性性功能保障在电源、CPU、网卡等设备硬

件故障、软件运行错误或系统过载等情况

出现时，产品能够继续正常提供信息摆渡