GB T 17900-1999 网络代理服务器的安全技术要求.pdf

《GB T 17900-1999 网络代理服务器的安全技术要求.pdf》由会员分享，可在线阅读，更多相关《GB T 17900-1999 网络代理服务器的安全技术要求.pdf（21页珍藏版）》请在麦多课文档分享上搜索。

1、中华人民共和国国家标准网络代理服务器的安全技术要求发布实施国家质量技术监督局发布前言本标准是我国国际互联网网络安全标准之一它对网络代理服务器的最低安全要求作了规定本标准由国家信息化办公室提出本标准由全国信息技术标准化技术委员会归口本标准由公安部第三研究所负责起草参加起草工作的单位还有电子工业部标准化研究所本标准主要起草人严忠槐张岚汪广杰李富豪罗韧鸿中华人民共和国国家标准网络代理服务器的安全技术要求国家质量技术监督局批准实施范围本标准规定了网络代理服务器的安全技术要求并作为网络代理服务器的安全技术检测依据定义用户一个远离代理服务器并与代理服务器相互作用的个人他没有能够影响代理服务器安全策略执行的

2、特权授权管理员任何具有旁路或规避代理服务器安全策略权限的经鉴别过的个人本标准中授权管理员特指代理服务器的管理员但其职责不包括网络管理主机一个远离代理服务器并与代理服务器相互作用的计算机它没有能够影响代理服务器安全策略执行的特权可信主机任何具有旁路或规避代理服务器安全策略权限的计算机概述本标准规定了网络代理服务器在低风险环境下的最低安全要求指出由该类代理服务器所能防止的威胁定义其实现的安全目标使用环境以及安全功能和安全保证要求网络代理服务器以各种代理服务为基础通过它提供集中的应用服务它可以为不同的协议如等进行代理为在内部外部两个网络之间建立安全可靠的应用服务网络代理服务器必须具备安全控制手段只有

3、合法有效的客户要求才由代理服务器提交给真正的服务器符合本标准规定的网络代理服务器不再局限于代理服务它必须具有访问控制应用层内容过滤数据截获处理安全审计等以保证本地网络资源的安全和对外部网络访问的控制图给出代理服务器在网络中的逻辑示意图图逻辑图安全环境遵循本标准的代理服务器应提供访问控制策略包括身份识别与鉴别内容过滤安全审计等可用于敏感但不保密的信息处理环境安全条件假设假设在运行环境中存在以下条件单输入点如图所示代理服务器为内部网络与外部网络的唯一连接点物理访问控制指代理服务器及相关的控制台在物理上是安全的而且仅供授权人使用通信保护对传输信息的保护应与信息的密级一致但明确规定以明文传输的信息除外

4、用户代理服务器应提供非一般用途的计算能力它能对用户交送的各种代理请求进行鉴别和授权只有授权的管理员才具有直接访问和远程访问的权利授权的管理员被授权的管理员无恶意和可以信任并能够正确执行各项职责对安全的威胁代理服务器应阻止的威胁未授权的逻辑访问未授权的个人可能得到对代理服务器的逻辑访问权未授权个人是指具有或者试图得到对系统的访问权的个人但他不是代理服务器的授权用户冒用网络地址一个主体伪装成另一个主体试图得到信息访问权攻击内部受保护网络攻击者通过高级协议服务攻击内部受保护网络或该网络上的某一主机毁坏审计记录删除审计存储区文件使审计记录丢失或毁坏来逃避检测修改代理服务器配置及其他安全相关数据修改代理

5、服务器的内部数据结构篡改代理服务器配置等安全参数回避身份识别和鉴别机制攻击者试图绕过系统的身份识别和鉴别机制伪装成一个授权的管理员或者干扰一个已经创立的进程受保护网络上的一个有敌意的用户试图向外部用户提供信息此类威胁涉及的是内部受保护网络的用户企图把信息传送给外部网络的非授权用户由运行环境阻止的威胁以下威胁可以通过物理控制操作规程或管理手段来防止受保护网络上的一个有敌意的用户攻击同一网络上的计算机此类威胁指来自受保护网络内的对本网络服务功能的攻击或者对同一网段上的计算机的攻击对高层协议和服务的攻击此类威胁针对传输层以上的协议层和利用这些协议的服务如超文本传输协议中的漏洞符合本标准的代理服务器可

6、以完全拒绝对特定主机或主机群的访问但是如果允许数据包通过的话那么仍有可能对上述的这些服务攻击截取传输的信息攻击者可能截取通过代理服务器传输的敏感信息安全目标信息技术性安全目标代理服务器应达到的信息技术安全目标如下访问仲裁目标是通过允许或拒绝从一个主体发送实体传到一个客体接受实体的信息流为连接在代理服务器上的两个网络之间提供受控制的访问这些控制是根据主体客体的有关参数由代理服务器生成的状态信息和管理上配置的访问控制规则实现的管理员访问此项目标是仅限授权的管理者才能访问代理服务器即只允许他们有配置代理服务器的能力个体身份记录个体记录提供对用户的记录能力并允许基于唯一身份对访问作出判定鉴别为确定身份

7、是否真实提供了方法代理服务器的自我保护为了成功地达到这一目标代理服务器应能够从其正在处理的数据中分离出自身的控制信息而保护自己不受外部实体的攻击此外代理服务器还应能保护授权管理员的通信会话连接审计对于判定是否存在绕过安全策略尝试是否因配置错误而不知觉地允许了本应拒绝的访问审计记录起着重要的作用代理服务器不仅应收集审计数据还应使其具有可读性并较易使用审计记录应受到充分保护并应了解丢失审计记录的可能性有多大以帮助授权管理员做出正确的安全决定非信息技术安全目标非信息技术性安全目标是指除代理服务器技术要求之外还需满足的要求它们不需代理服务器硬件和软件的机制实现而是通过采用物理的过程的或管理的方法来达到

8、代理服务器的非信息技术安全目标如下安装与操作控制确保代理服务器在运输安装保管操作中的系统安全物理控制控制对代理服务器的物理访问授权管理员培训加强对授权管理员的培训使他们具有建立和维护一定的安全策略的实际能力信息技术安全要求本章给出了符合本标准的代理服务器应满足的功能要求和安全要求功能要求本标准的功能安全要求由表的下列项目组成表功能要求功能分类功能组件用户数据保护完整的客体访问控制访问授权与拒绝多种安全属性的访问控制完整的信息流控制信息流授权与拒绝资源分配时对遗留信息的充分保护管理员属性修改管理员属性查询识别与鉴别授权管理员可信主机和用户鉴别数据初始化授权管理员可信主机和用户鉴别数据的基本保护鉴

9、别失败的基本处理授权管理员可信主机主机和用户属性的初始化授权管理员可信主机主机和用户唯一属性定义授权管理员的基本鉴别单一使用的鉴别机制授权管理员可信主机主机和用户的唯一标识密码支持符合规定的加密操作可信安全功能的保护代理服务器安全策略的不可旁路性代理服务器安全功能区域分隔区分安全管理角色管理功能安全审计审计数据生成审计跟踪管理可理解的格式限制审计跟踪访问限制审计查阅可选择查阅审计防止审计数据丢失要求概述代理服务器安全策略由多项安全功能策略组成定义如下三个安全策略策略一未鉴别的端到端策略负责处理正在通过代理服务器由内部网络向外部网客体或由外部网络向内部网络客体发送信息的主体策略二已鉴别的端到端策

10、略负责处理相关的内部或外部网络上的主体当它在通过代理服务器向外部或内部网络的客体发送信息时必须在代理服务器上被鉴别策略三关键词过滤策略负责处理正在通过代理服务器由内部网络向外部网客体或由外部网络向内部网络客体发送的信息并根据预置关键词对非加密明文信息作出授权或拒绝的决定完整的客体访问控制代理服务器安全功能应在如下实体上执行未鉴别的端到端策略主体未经代理服务器鉴别的主机客体内部或外部网上的主机以及被安全功能策略覆盖的所有主体与客体间的操作代理服务器安全功能应在如下实体上执行已鉴别的端到端策略主体已在代理服务器鉴别的用户客体内部或外部网上的主机以及被安全功能策略覆盖的所有主体与客体间的操作代理服务

11、器应保证任何在代理服务器安全功能控制范围内的主体与客体间的操作都被安全功能策略覆盖访问授权与拒绝代理服务器安全功能应保证未鉴别的端到端策略已鉴别的端到端策略根据主体和客体的安全属性值提供明确的准许访问的能力代理服务器安全功能应保证未鉴别的端到端策略已鉴别的端到端策略根据主体和客体的安全属性值提供明确的拒绝访问的能力多种安全属性的访问控制代理服务器安全功能应保证对基于源地址目的地址传输层协议和所请求的服务客体实现未鉴别的端到端策略代理服务器安全功能应保证对基于用户源地址目的地址传输层协议和所请求的服务的客体实现已鉴别的端到端策略代理服务器安全功能应保证如下附加规则以判定受控主体与受控客体间的操作

12、是否被允许代理服务器应拒绝源于一个外部未受保护网络上鉴别过的用户但有一个内部受保护网络上主机的源地址的访问或服务请求代理服务器应拒绝源于一个外部未受保护网络上鉴别过的用户但有一个广播网络源地址的访问或服务请求代理服务器应拒绝源于一个外部未受保护网络上鉴别过的用户但有一个私有的保留网络主机源地址的访问或服务请求代理服务器应拒绝源于一个外部未受保护网络上鉴别过的用户但有环回网络上一个主机源地址的访问或服务请求完整的信息流控制代理服务器安全功能应在如下实体上执行关键词过滤策略主体内部或外部网上的主机或用户客体内部或外部网上的主机或用户以及被安全功能策略覆盖的所有主体与客体间的操作代理服务器应保证任何

13、在代理服务器安全功能控制范围内的主体与客体间的操作都被安全功能策略覆盖信息流授权与拒绝代理服务器安全功能应保证关键词过滤策略根据主体和客体的安全属性值明确地对信息流授权代理服务器安全功能应保证关键词过滤策略根据主体和客体的安全属性值明确地拒绝信息流资源分配时对遗留信息的充分保护代理服务器安全功能应保证在为所有客体分配资源时不提供以前的任何信息内容应用注释该要求需要管理用于支持连接的所有资源如寄存器缓冲区使得不允许访问以前会话中的信息该要求通常通过清除或覆盖这些资源来满足要求概述下述两项要求确定了支持管理员完成其职能所必需的能力特别是查阅和修改与安全相关参数的能力这些要求将在后续的对与安全有关数

14、据初始化的要求中予以详述或补充随后的识别与鉴别组的要求与有关安全参数如鉴别数据的定义管理和使用的需要紧密相关管理员属性修改代理服务器安全功能应执行如下访问控制安全功能策略未鉴别的端到端策略已鉴别的端到端策略以保证管理员可以修改标识与角色的联系如授权的管理员由标识的访问控制属性与安全相关的管理数据管理员属性查询代理服务器安全功能应执行如下访问控制安全功能策略未鉴别的端到端策略已鉴别的端到端策略以保证管理员可以查询标识的访问控制属性主机名用户名授权管理员可信主机和用户鉴别数据初始化代理服务器安全功能应能够提供与和规定的鉴别机制相关的授权管理员可信主机和用户鉴别数据的初始化功能代理服务器安全功能应限

15、制只能由管理员使用这些功能授权管理员可信主机和用户鉴别数据的基本保护代理服务器安全功能应防止未授权的查阅修改销毁存储在代理服务器中的鉴别数据鉴别失败的基本处理代理服务器安全功能应有能力在一定次数的鉴别失败后中断可信主机或用户会话的建立过程失败次数限值应只能由授权管理员设置中断可信主机或用户会话的建立过程后代理服务器安全功能应能够使相应的可信主机帐号或用户帐号失效直到授权管理员解除对会话的封锁授权管理员可信主机主机和用户属性的初始化代理服务器安全功能应提供用缺省值对授权管理员可信主机主机和用户属性初始化的能力授权管理员可信主机主机和用户唯一属性定义代理服务器安全功能应为定义的每一个授权管理员可信

16、主机主机和用户提供执行代理服务器安全策略所必须的唯一的安全属性集合授权管理员的基本鉴别当授权的管理员通过控制台访问代理服务器时代理服务器安全功能应在授权管理员执行任何功能前鉴别其身份单一使用的鉴别机制代理服务器安全功能应在执行相应授权管理员可信主机或用户的任何功能前鉴别授权管理员可信主机或用户所声明的身份代理服务器安全功能应防止请求如下服务的远程授权管理员远程可信主机和用户相关的鉴别数据重复使用文件传输协议超文本传输协议登录邮政协议远程登录简单网络管理协议远程终端仿真应用说明该要求仅需在提供这些服务的代理服务器上满足授权管理员可信主机主机和用户的唯一标识代理服务器安全功能应在执行授权管理员可信

17、主机或用户请求的任何操作前唯一地识别每一个授权用户可信主机主机或用户符合规定的加密操作代理服务器安全功能应保证其远程管理会话的加密符合国家密码管理的有关规定要求概述下面两项要求和规定了保护内部代码和数据结构的基础性体系结构的能力并能够表明安全策略始终是有效的代理服务器安全策略的不可旁路性代理服务器安全功能应保证在任何与安全相关的操作被允许进行前代理服务器安全策略总是被使用并是成功的代理服务器安全功能区域分隔代理服务器安全功能应为其自身的执行维护一个安全区域以保护其免遭不可信主体的干扰和篡改代理服务器安全功能应将代理服务器安全功能控制范围内的各个主体的安全区域分隔开区分安全管理角色代理服务器安全

18、功能应能够将与安全相关的管理功能与其他功能区分开代理服务器安全功能中与安全相关的管理功能的集合应包括安装配置和管理代理服务器安全功能所需要的所有功能至少此集合应包括增加和删除主体和客体查阅访问控制安全属性分配修改和取消访问控制安全属性查阅和管理审计数据代理服务器安全功能应将执行与安全相关的管理功能的能力限制到具有特定的授权功能和责任的一个安全管理角色上代理服务器安全功能应能够从所有使用代理服务器的个体和系统集中区分出具有管理功能的授权管理员和可信主机的集合代理服务器安全功能应只允许授权管理员和可信主机承担安全管理职能代理服务器安全功能应需要一个明确的请求以使授权管理员和可信主机承担安全管理职能

19、管理功能代理服务器安全功能应提供给授权管理员设置和修改与安全相关的管理数据的能力并能给予或取消中服务的用户鉴别代理服务器安全功能应提供给授权管理员执行安装和初始化代理服务器及使系统起动与关闭备份与恢复的功能的能力备份能力应被自动的工具支持如果代理服务器安全功能支持从内部或外部接口远程管理的能力则代理服务器安全功能应有可以禁止从内部和外部接口远程管理的选择权能够限制可以执行远程管理的地址能够通过加密保护远程管理会话要求概述余下的功能安全要求类涉及产生管理保护和处理安全审计信息的需要审计数据生成代理服务器安全功能应能够对下列可审计事件产生一个审计记录启动和关闭审计功能由表中的功能组成部分中定义为基

20、本或最低级别的所有可审计事件基于包括在安全目标中的所有功能组成部件的在表中说明为扩展的附加事件代理服务器安全功能在每一条审计记录中应至少记录如下信息事件发生的时期和时间事件的类型主体的身份及事件的成败与否对每一种审计事件类型表第四列说明的附加信息表可审计事件功能族级别可审计事件附加审计记录内容基本任何对审计跟踪进行操作的尝试包括关闭审计功能或子系统如适用受影响客体的标识基本任何对审计跟踪读取修改和破坏的尝试基本所有对安全功能策略覆盖的客体执行操作的请求受影响客体的标识基本修改安全属性的所有尝试包括拟修改客体的身份基本查询安全属性的所有尝试包括拟修改客体的身份基本任何包含关键词的信息流表完功能族

21、级别可审计事件附加审计记录内容基本所有使用安全功能中鉴别数据管理机制的请求基本所有访问鉴别数据的请求访问请求的目标扩展因鉴别尝试不成功的次数超出了设定的限值导致的会话连接终止使用的标识符基本任何对鉴别机制的使用基本所有使用标识机制包括所提供的身份的尝试最低使用与某项安全相关的管理功能基本所有对代理服务器安全功能配置参数的修改设置和更新无论成功与否配置参数的更新审计跟踪管理代理服务器安全功能应提供给授权管理员创建归档删除和清空审计跟踪记录的能力可理解的格式代理服务器安全功能应能使存储在永久审计跟踪中的审计数据可为人理解限制审计跟踪访问代理服务器安全功能应只允许授权管理员访问审计跟踪限制审计查阅代

22、理服务器安全功能应提供具有查阅审计数据能力的审计查阅工具代理服务器安全功能应只允许授权管理员使用审计查阅工具可选择查阅审计代理服务器安全功能应提供基于如下审计数据进行查找和排序的查阅工具主体标识客体标识日期时间以上参数的任何逻辑组合如与或应用注释代理服务器的开发者应详细描述审计查阅工具的功能特别是应清楚说明根据与安全相关的属性查找和排序的能力防止审计数据的丢失代理服务器安全功能应将产生的审计记录在一个永久审计跟踪中代理服务器安全功能应减少由于故障和攻击导致的审计事件丢失的数目当审计存储空间用尽时代理服务器安全功能应能够防止可审计事件的发生除了那些由授权管理员产生的应用注释对因故障或存储耗竭而导

23、致审计数据丢失的最大容量防火墙的开发者应提供相应的分析结果保证要求保证要求针对开发者由表给出表保证要求保证类保证组件配置管理最低限度的支持交付与操作安装生成和启动过程开发代理服务器和安全策略高层设计描述非形式的一致性证明指南文件管理员指南用户指南测试独立测试一致性测试覆盖面非形式的功能测试测试功能规范脆弱性分析代理服务器安全功能强度的评估开发者脆弱性分析最低限度的支持开发者应使用配置管理系统开发者应提供配置管理文件配置管理文件应包括一个配置目录配置目录应描述包括代理服务器的各个配置条目并应包括代理服务器使用的外部网络服务项目配置管理文件应描述用于唯一识别代理服务器配置项目的方法评估者应确认所提

24、供的信息满足证据的内容和表述的所有要求安装生成和启动过程开发者应提供安全安装生成和启动代理服务器的文件该文件应描述安全安装生成和启动代理服务器所必须的步骤评估者应确认所提供的信息满足证据的内容和表述的所有要求代理服务器和安全策略开发者应提供一份功能规格说明开发者应提供一个代理服务器安全策略该功能规格说明应使用一种非形式的方法描述代理服务器安全策略该功能规格说明应包括一份所有代理服务器安全功能外部接口的语法和语义的非形式表述该功能规格说明应包括能说明代理服务器安全功能被完整描述的证明应用注释这条要求可以通过安全目标和外部接口指标等文件的组合来达到评估者应确认所提供的信息满足证据的内容和表述的所有

25、要求评估者应判定该功能规格说明与代理服务器安全策略是一致的评估者应判定代理服务器安全功能的描述已满足代理服务器安全目标中的功能要求高层设计描述开发者应提供代理服务器安全功能的高层设计说明高层设计的表述应是非形式的高层设计应根据子系统来描述代理服务器安全功能的结构高层设计应描述由代理服务器安全功能的每个子系统提供的安全功能高层设计应描述代理服务器安全功能子系统的接口高层设计应标明所有低层的硬件固件和或代理服务器安全功能所需的软件并说明由使用硬件固件软件实现的保护机制提供的功能评估者应确认所提供的信息满足证据的内容和表述的所有要求评估者应判定代理服务器安全目标中的功能要求已被代理服务器安全功能的描

26、述满足非形式的一致性证明开发者应提供证据说明所提供的最扼要的代理服务器安全功能介绍是准确完整的并且是在代理服务器安全目标中陈述的功能要求的完全实现对于代理服务器同一安全功能两个相邻层的表述开发者应证明在较高层抽象表述的所有部分在较底层抽象中得到了细化对于代理服务器同一安全功能的两个相邻层的表述其对应关系可以用非形式化方法表述评估者应确认所提供的信息满足证据的内容和表述的所有要求评估者应分析在代理服务器安全目标中陈述的功能要求和以最低层抽象之间的对应关系进行分析以保证正确性一致性和完整性管理员指南开发者必须向系统管理人员提供管理员指南管理员指南应描述如何用安全的方式管理代理服务器管理员指南应包括

27、对于应该在安全处理环境下受控制的功能和优先权的警告管理员指南应包括统一和有效使用代理服务器安全功能中安全功能的指导管理员指南应描述两种类型功能之间的区别一种是管理员控制安全参数的功能另一种是只允许管理员获得信息的功能管理员指南应对管理员控制下的所有安全参数进行描述管理员指南应描述各种与安全相关的事件这些事件都是需要执行与管理功能相关的功能包括在代理服务器安全功能控制下改变实体的安全特征管理员指南应包括安全功能如何相互作用的指导管理员指南应包括怎样配置代理服务器的指令管理员指南应描述所有在安全安装代理服务器过程中可能使用的配置选项管理员指南应描述与安全管理相关的详细过程管理员指南应与提交评估的所

28、有其他文件一致评估者应确认所提供的信息满足证据的内容和表述的所有要求评估者应确认安装过程应产生一个安全的配置用户指南开发者应提供用户指南用户指南应描述用户可使用的代理服务器安全功能和接口用户指南应包括使用代理服务器提供的安全功能的指导用户指南应包括对于应该在安全处理环境下受控制的功能和优先权的警告用户指南应包括与用户可见的安全功能之间交互作用的描述用户指南应与提交评估的所有其他文件一致评估者应确认所提供的信息满足证据的内容和表述的所有要求独立测试一致性开发者应提供用于测试的代理服务器代理服务器应适合测试评估者应确认所提供的信息满足证据的内容和表述的所有要求测试覆盖面非形式的开发者应提供对测试范

29、围的分析测试范围的分析应说明在测试文件中确定的测试覆盖了代理服务器的安全功能评估者应确认所提供的信息满足证据的内容和表述的所有要求功能测试开发者应测试代理服务器的安全功能并将结果记录在文件中开发者应提供测试文件测试文件应由测试计划测试过程描述和测试结果组成测试计划应确定要被测试的安全功能并描述所做测试的目标测试过程描述应确定要进行的测试并且描述每一安全功能测试的详细步骤测试文件中的测试结果应给出每项测试的预期结果开发者执行测试所得的结果应证明每项安全功能与设计目标相符评估者应确认所提供的信息满足证据的内容和表述的所有要求测试功能规范开发者应提供对测试深度的分析深度分析应证明测试文件中确定的测试

30、足够表明代理服务器的运行符合代理服务器安全功能规范评估者应确认所提供的信息满足证据的内容和表述的所有要求代理服务器安全功能强度的评估开发者应确定代理服务器安全功能强度的分析适合于所有代理服务器安全机制开发者应对每一确定的安全机制进行代理服务器安全功能强度分析加密与鉴别机制应满足有关规定和国家标准对于安全功能对抗威胁的能力代理服务器安全功能强度分析应判定标明的代理服务器安全机制所受的影响代理服务器安全功能强度分析应证明标明的安全功能强度与代理服务器安全目标一致安全强度分为中等或高等两档评估者应确认所提供的信息满足证据的内容和表述的所有要求评估者应确认所有需要进行强度分析的代理服务器安全机制都已经

31、确定评估者应确认各项强度声明已被确定开发者脆弱性分析开发者应作出一份代理服务器查找用户用常规方法扰乱代理服务器安全策略的分析文件开发者应作出确认的脆弱性的特征的文件对每一种脆弱性应有证据说明在代理服务器的预期环境中脆弱性不能被利用评估者应确认所有需要进行强度分析的代理服务器安全机制都已经确定评估者应进行基于开发者脆弱性分析的入侵测试以保证明显的脆弱性已被标明基本原理信息技术安全目标的基本原理访问仲裁此安全目标对防止和威胁是必需的管理员访问此安全目标对防止和威胁是必需的个体身份记录此安全目标对防止威胁是必需的代理服务器的自我保护此安全目标对防止和威胁是必需的审计此安全目标对防止和威胁是必需的信息

32、技术安全目标与威胁关系见表表信息技术安全目标与威胁关系非信息技术安全目标的基本原理安装与操作控制此安全目标对防止和威胁是必需的实体控制此安全目标对防止和威胁是必需的授权管理员的培训此安全目标对防止和威胁是必需的非信息技术安全目标与威胁关系见表表非信息技术安全目标与威胁的关系信息技术功能要求的基本原理完整的客体访问控制该功能组件用于提供代理服务器访问控制功能的基本定义该组件直接支持访问仲裁安全目标访问授权与拒绝该功能组件要求代理服务器具有对访问控制功能的配置能力实际上就是允许管理员实现其安全策略该组件直接支持访问仲裁安全目标多种安全属性的访问控制该功能组件规定了代理服务器的访问控制功能该组件直接

33、支持访问仲裁安全目标完整的信息流控制该功能组件用于提供代理服务器非加密明文信息流控制功能的基本定义该组件直接支持访问仲裁安全目标信息流授权与拒绝该功能组件要求代理服务器具有对非加密明文信息流控制功能的配置能力实际上就是允许管理员实现其安全策略该组件直接支持访问仲裁安全目标资源分配时对遗留信息的充分保护该功能组件用于避免残余数据在存储体中的暴露以确保用户不能意外得到不属于他的数据该组件支持访问仲裁安全目标管理员属性修改该功能组件要求管理员是唯一能够配置和修改代理服务器访问控制功能的人该组件支持访问仲裁安全目标和管理员访问安全目标管理员属性查询该功能组件允许管理员具有查询已建立的访问控制规则的能力

34、该组件直接支持管理员访问安全目标和访问仲裁安全目标授权管理员和可信主机鉴别数据初始化该功能组件支持授权管理员对鉴别数据的初始化并始终对其进行管理该组件支持个体身份记录安全目标和管理员访问安全目标授权管理员和可信主机鉴别数据的基本保护该功能组件提供用户鉴别数据的保护以满足个体身份记录安全目标和防火墙自保护安全目标鉴别失败的基本处理该功能组件用于防止对代理服务器反复隐蔽的攻击特别是试图猜测身份和类似口令的鉴别数据该组件直接支持代理服务器的自我保护同时支持管理员访问安全目标和个体身份记录安全目标授权管理员可信主机和主机属性的初始化该功能组件通过满足定义和初始化用户属性的需要支持个体身份记录安全目标授

35、权管理员可信主机和主机唯一属性定义该功能组件满足定义共享属性的需要支持中的依赖性直接支持个体身份记录安全目标授权管理员的基本鉴别该功能组件要求代理服务器管理员在使用代理服务器之前必须先登录该组件直接支持个体身份记录安全目标单一使用的鉴别机制该功能组件要求代理服务器支持一次性口令该组件直接支持个体身份记录安全目标授权管理员可信主机和主机的唯一标识该功能组件支持和中的依赖性该组件直接支持个体身份记录安全目标符合规定的加密操作该功能组件支持当提供远程管理员访问功能时保护授权管理员与代理服务器的对话该组件直接支持要求的功能和代理服务器自我保护安全目标代理服务器安全策略的不可旁路性该功能组件是安全产品的

36、基本要求它要求代理服务器控制网络用户对服务和资源的每一个请求该组件直接支持代理服务器自保护安全目标间接支持访问仲裁安全目标代理服务器安全功能区域分隔该功能组件用于保证代理服务器不受不可信主体的攻击该组件支持代理服务器自保护安全目标区分安全管理角色该功能组件通过支持不同的管理员角色提供一种管理代理服务器安全功能的方法并控制管理功能的执行该组件直接支持管理员访问安全目标管理功能该功能组件进一步说明成功且安全地管理代理服务器所必需的功能该组件直接支持管理员访问安全目标审计数据生成该功能组件指出特定类型的审计事件以及审计记录的最少内容该组件直接支持审计安全目标审计跟踪管理该功能组件进一步定义必要的审计

37、跟踪管理能力该组件直接支持审计安全目标可理解的格式如果没有查阅的手段审计数据是没有任何用处的该功能组件要求审计记录是可查阅的该组件直接支持审计安全目标限制审计跟踪访问该功能组件要求限制使用查阅工具该组件直接支持审计安全目标和管理员访问安全目标限制审计查阅该功能组件要求具备查阅审计数据的工具而且这些工具只限于授权管理员使用该组件支持审计安全目标和管理员访问安全目标可选择查阅审计该功能组件要求提供检索和排序能力因为审计的数据量大所以该要求的意义是显而易见的该组件直接支持审计安全目标防止审计数据丢失该功能组件不仅满足由审计报告要求所产生的依赖性而且还包括了对攻击或故障而导致的审计记录丢失数量的限制维

38、护相对完整的审计记录时该组件支持审计安全目标表安全目标与功能要求关系附录标准的附录符号结构及含义助记符英文意义中文意义单输入点物理访问控制通信保护用户授权的管理员未授权的逻辑访问冒用网络地址攻击内部受保护网络毁坏审计记录修改代理服务器配置及其他安全相关数据回避身份识别和鉴别机制受保护网络上的一个有敌意的用户试图向外部用户提供信息受保护网络上的一个有敌意的用户攻击同一网络上的计算机对高级协议和服务的攻击截取传输的信息访问仲裁管理员访问个体身份记录代理服务器的自我保护审计安装和操作控制物理控制授权管理员的培训完整的客体访问控制访问授权与拒绝多种安全属性的访问控制表续助记符英文意义中文意义完整的信息

39、流控制信息流授权与拒绝资源分配时对遗留信息的充分保护管理员属性修改管理员属性查询授权管理员可信主机和用户鉴别数据初始化授权管理员可信主机和用户鉴别数据的基本保护鉴别失败的基本处理授权管理员可信主机主机和用户属性的初始化授权管理员可信主机主机和用户唯一属性定义授权管理员的基本鉴别单一使用的鉴别机制授权管理员可信主机主机和用户的唯一标识符合规定的加密操作代理服务器安全策略的不可旁路性代理服务器安全功能区域分隔区分安全管理角色管理功能审计数据生成审计跟踪管理表完助记符英文意义中文意义可理解的格式限制审计跟踪访问限制审计查阅可选择查阅审计防止审计数据丢失最低限度的支持安装生成和启动过程代理服务器和安全策略高层设计描述非形式的一致性证明管理员指南用户指南独立测试一致性测试覆盖面非形式的功能测试测试功能规范代理服务器安全功能强度的评估开发者脆弱性分析