ICS.35.020 L 80 中华人民共和国国家标准 GB/T 17900—1999 网络代理服务器的安全技术要求 Security technical reguirements for proxy server 1999-11-11发布 2000-05-01实施 国家质量技术监督局 发布 GB/T17900—1999 目 次 前言 1范围 2定义 3概述 4安全环境 4.1安全条件假设 4.2对安全的威胁 5安全目标 5.1信息技术性安全目标 5.2非信息技术安全目标… 6信息技术安全要求 6.1功能要求 6.2保证要求 7基本原理… 7.1信息技术安全目标的基本原理 7.2非信息技术安全目标的基本原理 13 7.3信息技术功能要求的基本原理 14 附录A（标准的附录）符号结构及含义 GB/T17900—1999 前言 本标准是我国国际互联网网络安全标准之一，它对网络代理服务器的最低安全要求作了规定。 本标准由国家信息化办公室提出。 本标准由全国信息技术标准化技术委员会归口。 本标准由公安部第三研究所负责起草，参加起草工作的单位还有电子工业部标准化研究所。 本标准主要起草人：严忠槐、张岚、汪广杰、李富豪、罗韧鸿。 1 中华人民共和国国家标准 网络代理服务器的安全 GB/T17900—1999 技术要求 Security technical requirements for proxy server 1 范围 本标准规定了网络代理服务器的安全技术要求，并作为网络代理服务器的安全技术检测依据。 2 定义 2.1用户user 二个远离代理服务器并与代理服务器相互作用的个人，他没有能够影响代理服务器安全策略执行 的特权。 2.2授权管理员authorizedadministrator 任何具有旁路或规避代理服务器安全策略权限的经鉴别过的个人。本标准中，“授权管理员”特指代 理服务器的管理员，但其职责不包括网络管理。 2.3主机host 一个远离代理服务器并与代理服务器相互作用的计算机，它没有能够影响代理服务器安全策略执 行的特权。 2.4可信主机，trusted host 任何具有旁路或规避代理服务器安全策略权限的计算机。 3概述 本标准规定了网络代理服务器在低风险环境下的最低安全要求。指出由该类代理服务器所能防止 的威胁，定义其实现的安全目标、使用环境以及安全功能和安全保证要求。 网络代理服务器以各种代理服务为基础，通过它提供集中的应用服务。它可以为不同的协议（如 Telnet、SMTP、FTP、HTTP等）进行代理。为在内部、外部两个网络之间建立安全可靠的应用服务，网 络代理服务器必须具备安全控制手段，只有合法有效的客户要求才由代理服务器提交给真正的服务器。 符合本标准规定的网络代理服务器不再局限于代理服务，它必须具有访问控制、应用层内容过滤、 数据截获处理、安全审计等，以保证本地网络资源的安全和对外部网络访问的控制 图1给出代理服务器在网络中的逻辑示意图。 国家质量技术监督局1999-11-11批准 2000-05-01实施 1 —1999 GB/T17900 对数据流的监控 对外部数据的请求 子网用户 外部WEB 服务器 代理服务器 外部WEB 子网用户 服务器 经鉴别后，取得缓存中没 有的数据 外部数据的缓存 图1逻辑图 4安全环境 遵循本标准的代理服务器应提供访问控制策略，包括身份识别与鉴别、内容过滤、安全审计等。可用 于敏感但不保密的信息处理环境。 4.1安全条件假设 假设在运行环境中存在以下条件： 4.1.1单输入点（A.SINGLEPT) 如图1所示，代理服务器为内部网络与外部网络的唯一连接点。 4.1.2物理访问控制（A.SECURE) 指代理服务器及相关的控制台在物理上是安全的，而且仅供授权人使用。 4.1.3通信保护（A.COMMS) 对传输信息的保护应与信息的密级一致，但明确规定以明文传输的信息除外。 4.1.4用户(A.USER) 代理服务器应提供非一般用途的计算能力，它能对用户交送的各种代理请求进行鉴别和授权。只有 授权的管理员才具有直接访问和远程访问的权利。 4.1.5授权的管理员（A.NOEVIL） 被授权的管理员无恶意和可以信任，并能够正确执行各项职责。 4.2对安全的威胁 4.2.1代理服务器应阻止的威胁 4.2.1.1未授权的逻辑访问(T.LACCESS) 未授权的个人可能得到对代理服务器的逻辑访问权。未授权个人是指具有或者试图得到对系统的 访问权的个人，但他不是代理服务器的授权用户。 4.2.1.2冒用网络地址（T.ISPOOF） 一个主体伪装成另一个主体，试图得到信息访问权。 4.2.1.3攻击内部受保护网络（T.NATTACK） 攻击者通过高级协议、服务，攻击内部受保护网络或该网络上的某一主机。 4.2.1.4毁坏审计记录（T.AUDIT) 删除审计存储区文件，使审计记录丢失或毁坏，来逃避检测。 4.2.1.5修改代理服务器配置及其他安全相关数据（T.DCORRUPT） 修改代理服务器的内部数据结构，篡改代理服务器配置等安全参数。 2