信息安全技术 网关安全技术要求 GAT 681-2018.pdf

GA/T681-20187.2.2同步鉴别应允许用户在被鉴别之前实施由网关安全功能促成的某些动作，这些动作用来确定鉴别自己的条件（如生成口令）。除了这些动作以外，用户在实施其他动作之前，都应该先鉴别用户的身份。7.2.3不可伪造鉴别应具有能检测出已经丢弃的或复制的鉴别数据重放的安全机制，防止一切伪造的鉴别数据以及任何拷贝的鉴别数据的使用。当管理员是远程访问管理时，应对传送鉴别信息的数据包提供完整性、保密性服务和抗重放功能。7.2.4一次性使用鉴别应能提供一次性使用鉴别数据操作的鉴别机制，防止与已标识过的鉴别机制有关的鉴别数据的重用。一次性使用鉴别机制可通过在鉴别信息的数据包中提供序列号、验证码或数字签名等机制实施。7.2.5多鉴别机制除通过简单的口令鉴别机制外，应提供其他鉴别机制，如通过数字证书、智能C卡或通过人体的生物特征进行鉴别。7.2.6重新鉴别应提供重新鉴别机制，在特定情况下可以对用户进行重新鉴别，如断开的用户重新登录。应周期性地对管理员身份进行确认，如果网关的管理员操作的时间超过一定时限，网关安全功能应对管理员身份重新进行鉴别。时限由网关的授权管理员进行设置。7.2.7鉴别失败处理应提供鉴别失败处理功能，当对用户鉴别失败的次数达到或超过某一给定值时，应满足：)记录鉴别失败事件：b)终止该用户的访问：)当用户是远程访问时，切断相应主机的通信；d)通知网关的安全管理员。73网络连接控制7.3.1地址转换应提供NAT功能：a)支持双向NAT:SNAT和DNAT:b)SNAT至少可实现“多对一”地址转换，使得内部网络主机访问外部网络时，其源P地址被转换；c)DNAT至少可实现“一对多”地址转换，将DMZ的P地址/端口映射为外部网络合法IP地址/端口，使外部冈络主机通过访问映射地址和端口实现对DMZ报务器的访间：d)支特动态SNAT技术，实现“多对多”的SNAT。7.3.2路由控制应支持路由功能，并满足：