ICS 35.240 GA A90 中华人民共和国公共安全行业标准 GA/T1105--2013 信息安全技术 终端接入控制产品安全技术要求 Information security technology- Security technical requirements for terminal access control products 2013-10-15发布 2013-10-15实施 中华人民共和国公安部 发布 GA/T 1105-2013 目 次 前言 1范围 2规范性引用文件 3术语和定义 4安全功能要求 5自身安全功能要求 6安全保证要求 等级划分要求 7 GA/T1105—2013 前言 本标准按照GB/T1.12009给出的规则起草。 本标准由公安部网络安全保卫局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、思科系统（中国)网络技术有 限公司、杭州华三通信技术有限公司、迈克菲（上海）软件有限公司、赛门铁克软件（北京）有限公司、杭州 盈高科技有限公司。 本标准主要起草人：赵婷、张笑笑、马海燕、俞优、顾健、林燕、卢佐华、贾晓巍、张艳、沈亮、张雷生 林文峰、苏伟华。 I GA/T1105—2013 信息安全技术 终端接入控制产品安全技术要求 1范围 本标准规定了终端接人控制产品的安全功能要求、自身安全功能要求、安全保证要求和等级划分 要求。 本标准适用于终端接入控制产品的设计、开发及检测。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB17859一1999计算机信息系统安全保护等级划分准则 GB/T18336.3一2008信息技术安全技术信息技术安全性评估准则第3部分：安全保证 要求 GB/T25069一2010信息安全技术术语 3术语和定义 GB17859一1999、GB/T18336.3一2008和GB/T25069一2010界定的以及下列术语和定义适用 于本文件。 3. 1 终端接入控制产品terminalaccesscontrolproduct 对采用802.1x等认证方式接入局域网的终端，实现基于用户身份和终端安全状态接人控制的产 品。该类产品能够发现终端接人网络的行为，并能根据接人控制策略采取相应措施，保证未被授权或不 符合安全策略的终端设备无法接入网络，并设置可补救的隔离区供终端修正自身安全状态已满足安全 策略要求。 3. 2 受控网络under-controllednetwork 具有安全保护需求、须满足安全访问控制和边界控制策略方可进入的逻辑区域。 3.3 隔离区isolatedzone 为不符合策略的终端提供强制执行补措施，使其满足策略要求的逻辑区域。 3.4 授权管理员 authorized administrator 具有终端接人控制产品管理权限的用户，负责对终端接入控制产品的系统配置、安全策略和审计数 据进行管理。 1 GA/T1105—2013 4安全功能要求 4.1终端用户的身份认证 4.1.1用户身份鉴别 当终端接入网络时，产品应鉴别用户身份。 当授权用户在接人网络之前，产品应支持以下鉴别方式的一种或多种： a）口令机制； b）数字证书； c）生物认证方式。 如果采用口令机制，应不明文显示口令，并应保密存储。 当进行鉴别时，产品应仅将最少的反馈（如：输人的字符数，鉴别的成功或失败）提供给被鉴别的 用户。 4.1.2用户访问权限 通过用户身份鉴别后，产品应将基于终端接人角色的访问权限分配给相应的用户。 4.1.3接入认证方式 产品应支持802.1x协议和IP层接人认证等方式进行接入认证。 4.2安全策略定制 4.2.1接入控制策略 产品应能设置以下终端接人控制策略： a) 接人用户控制 b) 终端安全状态检查； c)[ 响应方式控制； (P 接入区域控制 e） 接入时段控制； f) 对接人终端使用的网络带宽限制。 4.2.2响应方式 在终端接入网络时，根据终端所适用接入控制策略的不同，产品对终端接人请求采取的响应方式应 包括以下几种： a） 允许：已授权和符合策略的终端可接入受控网络； b) 拒绝：阻断未经授权的终端的接人请求，不允许其接入受控网络； c) 隔离：将不符合策略的终端移至隔离区，进行强制补救措施； (P 提示：对终端接入结果进行消息提醒，对不符合策略的终端限制其网络访问的同时，提示其违 规的原因以及修复的方法； e) 限制接人时段：根据策略的生效期限，可限制终端的接入时间段。 4.2.3访问豁免列表 产品应能设置直通方式的接入控制策略，允许指定的终端用户直接接人，不必通过终端安全状态 检查。 GA/T1105—2013 4.3终端接入监控 4.3.1终端安全状态检查 在接入受控网络之前，产品应对接入终端安全状态提供以下检查功能： a）操作系统漏洞； b）操作系统版本； 防病毒软件及版本、病毒特征库版本（仅对Windows操作系统终端）； (P 服务、进程或软件的安装和运行情况； e） 自定义违规软件安装情况； f) 系统配置项； g) 硬件安装情况，至少包括：网卡、Modem等。 4.3.2定期终端安全状态检查 在终端接入受控网络后，产品应对受控网络内的终端安全状态进行定期检查，以保证终端安全状态 始终符合安全策略要求。 4.3.3强制补救措施 产品应对被隔离终端存在的威胁进行漏洞扫描和病毒扫描后，在隔离区中强制执行补救措施，如安 装防病毒软件并升级病毒库，下载安装补丁，安装或删除相关服务或软件等。 4.3.4支持主流操作系统 产品的客户端安全代理应支持主流操作系统，并能根据安全策略进行终端安全状态检查。 4.3.5与主流防病毒/补丁产品联动 产品应支持与主流防病毒产品及补丁服务器产品进行联动。 4.4安全策略的不可旁路性 产品的安全功能应确保任何与安全有关的操作被允许执行之前，应通过安全策略的检查。 4.5管理功能 4.5.1策略管理 产品应能对所有安全策略进行管理： a）添加、删除、修改、分发、查询、导人、导出策略等操作； b）根据终端接人用户所处的不同用户组，分别设置不同的安全策略； c）安全策略的分级管理，如全局策略、本地策略等。 4.5.2终端用户管理 产品应提供终端接入用户的管理功能： a）新增用户、删除用户、查询用户及属性、修改用户属性等功能； b）用户的集中管理，可实现用户在线状态查询； c）用户角色分权管理等功能。