GB/T20277—2015

换时，终端隔离产品的安全功能保证用户必须输入切换口令，并通过猜测口令验证口令保护的 有效性的功能。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。 b） 预期结果： 对被隔离的计算机信息资源进行切换时，终端隔离产品的安全功能保证应保证用户必须输入 切换口令

5.2.1.1.7内存及USB端口的物理隔离

厂房标准规范范本5.2.1.3客体重用

5.2.2.1访问控制

终端隔离产品的安全属性定义的测试评价方法和预期结果如下

a）测试评价方法： 评估开发者提供的文档，对于信息存储与传输部件，终端隔离产品所必需的安全属性，并且说 明具体的内容。测试产品的安全属性定义，记录测试结果并对该结果是否完全符合上述测试 评价方法要求做出判断。 b）预期结果： 产品应能够设定安全属性，应至少包括不同安全域网络切换方式、光驱和软驱等存储设备处在 哪个安全区域、网络设备接人方式和其他在开发者文档中提及的安全属性

5.2.2.1.2属性修改

终端隔离产品的属性修改的测试评价方法和预期结果如下： a）测试评价方法： 评估开发者提供的文档，包括属性修改的详细描述。对安全属性进行修改操作，测试产品修改 与安全相关属性的参数的功能，包括安全域网络切换。记录测试结果并对该结果是否完全符 合上述测试评价方法要求做出判断。 b）预期结果： 产品应能够修改与安全相关属性的参数，应至少包括安全域网络切换

5.2.2.1.3属性查询

终端隔离产品的属性查询的测试评价方法和预期结如下； &） 测试评价方法： 评估开发者提供义档，说明属性查询的详细描述。对安全属性进行查询操作，测试终端隔离产 品用户对安全属性的查询功能，包括对一个安全域网络状态进行查询。记录测试结果并对该 结果是否完全符合上述测试评价方法要求做出判断。 b） 预期结果： 终端隔离产品用户应能够进行安全属性的查询，应至少包括对一个安金域网终状态进行查询

5.2.2.1.4访问授权与拒绚

终端隔离产品的访问授权与拒绝的测试评价方法和预期结果如下： a） 测试评价方法： 依据开发者所提供的访问授权与拒绝的详细描述进行测试： 1）1 信息物理传导隔断测试：当终端隔离产品状态为安全域A网络状态时，尝试跟安全域A 网络和安全域3网络进行连接，产品保证跟安全域A网络主机可以互相访问，跟安全域 B网络主机互相不可访问；当终端隔离产品状态为安全域B网络状态时，尝试跟安全域A 网络和安全域13网络进行连接，产品保证跟安全域B网络主机可以互.相访问，跟安全域 A网络主机.互.相不可访问； 2） 信息物理存储隔断测试：测试对于断电后会逸失信息的部件，如内存、寄存器等暂存部件： 在网络转换时作清零处理的功能；对于断电后不会逸失信息的设备，如磁带机、硬盘等存 储设备，安全域A网络与安全域B网络信息以不同存储设备分开存储，比如硬盘，终端隔 离产品分别为安全域A网络与安全域B网络准备一个独立的硬盘；对移动存储介质，如 光盘、软盘、USB硬盘等，在网络转换前提示用户下预或禁止在双网都能使用这些设备； 3） 记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。 b）预期结果： 1）信息物理传导隔断测试：当终端隔离产品状态为安全域A网络状态时，尝试跟安全域A

网络和安全域B网络进行连接，产品应保证跟安全域A网络主机可以互.相访问，跟安全 域B网络主机互相不可访问；当终端隔离产品状态为安全域B网络状态时，尝试跟安全 域A网络和安企域B网络进行连接，产品应保证跟安全域B网络主机可以互相访问，跟 安全域A网络主机互相不可访问； 2 信息物理存储隔断测试：对丁断电后会逸失信息的部件，如内存、寄存器等暂存部件，应在 网络转换时作清零处理，防止遗留信息窜网；对于断电后不会逸失信息的设备，如磁带机、 硬盘等存储设备，安全域A网络与安全域B网络信息应以不同存储设备分开存储，比如 硬盘，终端隔离产品应分别为安全域Λ网络与安全域B网络准备：·个独立的硬盘；对移 动存储介质，如光盘、软盘、USB硬盘等，应在网络转换前提示用户干预或禁止在双网都 能使用这些设备

5.2.2.1.5网络非法外联

5.2.2.1.6切换信号一致性

终端隔离产品的切换信号··致性的测试评价方法利预期结果如下： a）测试评价方法： 评估开发者提供的文档，包括切换信号一致性的详细描述。测试对被隔离的计算机信息资源 进行切换时，终端隔离产品的安全功能由同一信号对隔离的计算机信息资源进行切换，确保 致性的功能。记录测试结果并对该结果是否完企符合上述测试评价方法要求做出判断。 b 预期结果： 对被隔离的计算机信息资源进行切换时，终端隔离产品的安全功能应由同一信号对隔离的计 算机信息资源进行切换，确保一致性。

5.2.2.1.7硬盘非法调控

终端隔离产品的硬盘非法调换的测试评价方法和预期结果如下： a）测试评价方法： 评估开发者提供的文档，是否包括硬盘非法调换的详细描述。测试终端隔离产品的安全功能 能够在初始安装时对对应网络的硬盘进行唯一标识，保证硬盘与网络一一对应关系，确保内网 硬盘数据的安全。模拟调换被测系统的硬盘，检查保护措施的有效性。记录测试结果并对该 结果是否完全符合上述测试评价方法要求做出判断。 b） 预期结果： 终端隔离产品的安全功能应能在初始安装时对对应网络的硬盘进行唯一标识，保证硬盘与网 络一一对应关系，确保内网硬盘数据的安全。

5.2.2.1.8口令保护

终端隔离产品的口令保护的测试评价方法和预期结果如下： a）测试评价方法： 评估开发者提供的文档，包括口令保护的详细描述。测试对被隔离的计算机信息资源进行切 换时，终端隔离产品的安全功能保证用户必须输人切换口令，并通过猜测口令验证口令保护的 有效性的功能。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。 b）预期结果： 对被隔离的计算机信息资源进行切换时，终端隔离产品的安全功能保证应保证用户必须输入

5.2.2.3客体重用

终端隔离产品的客体重用的测试评价方法和预期结果如下： a）测试评价方法： 评估开发者提供的文档，包括客体重用的详细描述。测试在为所有内部或外部网上的主机连 接进行资源分配时，终端隔离产品安全功能能够保证不提供以前连接的任何信息内容的功能。 记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。 b） 预期结果： 在为所有内部或外部网上的主机连接进行资源分配时，终端隔离产品安全功能应保证不提供 以前连接的任何信息内容

5.3.1.1访问控制

5.3.1.1.1基本的信息流控制策略

GB/T 202772015

1）网络隔离产品应可通过配置ACL访问控制列表进行信息流控制，ACL访问控制列表的 元素应包括：源IP地址、的IP地址、源端口、日的端口、协议号； 2） 网络隔离产品应可对经过的HTTP、FTP、SMTP、POP3等应用协议信息流进行合规性 检查； 网络隔离产品应可对经过的HTTP、FTP、SMTP、POP3等应用协议信息流的协议信令 及参数关键字进行过滤； 4 网络隔离产品应可对经过的HTTP、FTP、SMTP、POP3等应用协议信息流中的内容包 括文件附件进行关键字过滤； 5） 网络隔离产品应可通过协议隔离方式断开内部TCP/IP连接，完成信息摆渡传输

5.3.1.1.3残余信息保护

网络隔离产品的残余信息保护的测试评价方法和预期结果如下： a 测试评价方法： 评估开发者提供的文档，包括残余信息保护的详细描述。测试网络隔离产品在为所有内部或 外部网上的主机连接进行资源分配时，网络隔离产品安全功能能够保证其分配的资源中不提 供以前连接活动中所产生的任何信息内容。记录测试结果并对该结果是否完全符合.上述测试 评价方法要求做出判断。 b）预期结果： 网络隔离产品安全功能应能够保证其分配的资源中不提供以前连接活动中所产生的任何信息 内容。

5.3.1.1.4不可旁路

网络隔离产品的不可旁路的测试评价方法和预期结果如下： 测试评价方法： 评估开发者提供的文档，包括不可旁路保护的详细描述。审查文档并且验证其是否真实。提 供文档说明网络隔离产品来用何种机制和措施，确保安全策略的不可旁路性，即任何与安全有 关的操作被允许执行之前，都必须通过安全策略的检查。文档应该分析并确认，网络隔离产品 确实控制了端设备用广的每次访问请求，不存在其他可能旁路网络隔离产品的途径。记录测 试结果并对该结果是否全符合上述测试评价方法要求做出判断。 预期结果： 产品应不存在其他可能旁路网络隔离产品的途径。

5.3.1,2 抗攻击

网络隔离产品的抗攻击的测试评价方法与预期结果如下： a）测试评价方法： 1）配置启用网络隔离产品抗攻击功能； 2） 采用模拟攻击设备，通过网络隔离产品，发起产品声明支持带宽10%的攻击流量（至少包 括SYNFlood、ICMPFlood等），同时通过网络隔离产品建立正常的传输业务，持续时间 1min; 3） 检查拒绝服务攻击包通过的比例，以及正常业务成功建立的比例。 b）预期结果： 1）网络隔离产品具备抗拒绝服务器攻击能力； 2）攻击包通过的比例不大于5%、正常业务建立成功率不低于90%，

5.3.1.3安全管理

3.1区分安全管理角色

网络隔离产品的区分安全管理角色的测试评价方法和预期结果如下： a）测试评价方法： 依据开发者所提供的区分安全管理角色的详细描述进行测试： 1）产品至少提供两类用户角色，至少有一类为管理员角色，保证此两类用户角色并不相同。 评价者测试此两类用户角色是否不同，且有一类属于管理员角色； 2 创建一未授予安全管理角色的普通用户，以此用户执行安全管理功能相关操作，网络隔离 产品拒绝其操作； 3 将安全管理角色授与此用户，再次执行安全管理功能的相关操作（应包括安装、配置和管 理网络隔离产品安全功能本身所箭的所有功能，其中至少应包括：增加和删除主体（发送 信息的主机）和客体（接受信息的主机），查阅安全属性，分配、修改和撤销安全属性，查阅 和管理审计数据），测试网络隔离产品是否允许其操作； 4）记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。 b 预期结果： 1）产品应至少提供两类用户角色，至少有一类为管理员角色，保证此两类用户角色并不 相； 2） 网络隔离产品应拒绝未授子安全管理角色的普通用户执行安全管理功能相关操作； 3 将安全管理角色授与此用，再次执行安全管理功能的相关操作（应包括安装、配置和管 理网络隔离产品安企功能本身所需的所有功能，其申至少应包括：增加和除正体（发送 信息的亡机）和客体（接受信息的主机），查阅安全属性，分配、修改和撤销安全属性，查阅 和管理审计数据），网络隔离产品应允许其操作

5.3. 1.3,2管理功能

网络隔离产品的管理功能的测试评价方法和预期结果如下： 测试评价方法： 1 评估开发者提供的文档，包括管理功能的详细描述。以授权管理员身份登录，测试能够进 行如下操作： 设置和更新与安全相关的数据； 一网络隔离产品的安装及初始化； 一系统启动和关闭； 备份利恢复系统配冒信息。 2）记录测试结果并对该结果是否完企符合上述测试评价方法要求做出判断。 b）预期结果： 网络隔离产品应能执行上述操作，并且网络隔离产品的各种备份（如安全配置的备份，审计记 录的备份）工作可以通过自动工具完成。如果网络隔离产品支持外部或内部接1的远程管理， 尝试关闭内部和外部接口或其中之一及配远程管理地址，网络隔离产品应充许这些操作的 执行；从未授权远程管理的主机地址，尝试进行远程管理，网络隔离产品应予以把绝；远程管理 会话应进行加密保护

5.3.1.3.3独立管理接口

隔离产品的独立管理接口的测试评价方法和预期

a）测试评价方法： 评估开发者提供的文档，包括独立管理接口的详细描述。测试网络隔离产品使用与通讯接口 相互独立的管理接口与授权管理员连接，授权管理员经过身份鉴别后，是否采用多因素身份鉴 别和加密方式建立授权管理员与网络隔离产品间的可信路径，是否禁止其他用户非授权访问 管理接口。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。 6 预期结果： 网络隔离产品应使用与通讯接口相互独立的管理接口与授权管理员连接，授权管理员经过身 份鉴别后，应采用多因素身份鉴别和加密方式建立授权管理员与网络隔离产品间的可信路径： 应禁止其他用户非授权访问管理接口

5.3.1.4标识和鉴别

5.3.1.4.3属性修改

络隔离产品的属性修改的测试评价方法和预期结果如下： 测试评价方法： 依据开发者提供的属性修改的详细描述进行测试： 1 测试能以授权管理员的身份对源地址、目的地址、传输层协议和请求的服务（例如：源端口 号或目的端口号等访问控制属性）和配置的安全参数（至少包括：最大鉴别失败次数等娄 据）进行修改

GB/T20277—2015

2）测试修改后的设置是否有效； 3）记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。 预期结果： 1） 应能以授权管理员的身份对源地址、目的地址、传输层协议和请求的服务（例如：源端口号 或目的端口号等访问控制属性）和配置的安全参数（至少包括：最大鉴别失败次数等数据） 进行修改； 2）修改后的设置应能够生效

5.3.1.4.4属性查询

5.3.1.4.6鉴别时机

a 测试评价方法： 评估开发者提供的文档，包括网络隔离产品鉴别机制的详细描述。设置多个授权管理员，分别 以所有这些授权管理员的身份登录，测试在所有授权管理员请求执行的任何操作之前，网络隔 离产品对每个授权管理员都进行了身份鉴别。记录测试结果并对该结果是否完全符合上述测 试评价方法要求做出判断。 b） 预期结果： 在所有授权管理员请求执行的任何操作之前，网络隔离产品应对每个授权管理员都进行身份 鉴别。

5.3.1.4.7最少反馈

网络隔离产品的最少反馈的测试评价方法和预期

a）测试评价方法： 评估开发者提供的文档，包括网络隔离产品鉴别机制的详细描述。分别以授权管理员和普通 用广的身份登录，并几输入正确或者错误的口令，测试网络隔离产品的反馈信息最少。记录测 试结果并对该结果是否完全符合上述测试评价方法要求做出判断。 b） 预期结果： 分别以授权管理员和普通用户的身份登录，并且输人正确或者错误的口令，网络隔离产品应反 馈最少的信息，

5.3.1.4.8鉴别失败处理

网络隔离产品的鉴别失败处理的测试评价方法和预期结如下： a）测试评价方法： 评估开发者提供的文档，包括网络隔离产品鉴别机制的详细描述。以错误的用户名一令登 录，在一定次数的鉴别失败后，测试网络隔离产品终正了进行登录尝试主机建立会话的过程。 分别以授权臂理员和普通用户的身份登求，测试该部件提供最多失败次数的设定功能，且敢多 失败次数仅由授权管理员设定。记求测试结果并对该结果否完全符合上述测试评价方法要 求做出判断。 b）预期结果： 以错误的用户名一口令登录，在一定次数的鉴别失败后，网络隔离产品应能够终止进行登录尝 试主机建立会话的过程。分别以授权管理员和普通用的身份登录，产品应提供最多失败次 数的设定功能，且最多失败次数应仅由授权管理员设定。

5,3,1,5.1审计数据生成

网络隔离产品的审计数据生成的测试评价方法和预期结果如下： a） 测试评价方法： 评估开发者提供的文档，包括评价所需的相关文档（例如：产品说明书产品测试文档）。根据开 发者文档，使用不同角色用户模拟对产品不同模块进行访问、运行、修改、关闭以及重复失败尝 试等相关操作。审查审计记录的正确性。记录测试结果并对该结果是否完全符合上述测试评 价方法要求做出判断。 b）预期结果： 网络隔离产品应能够准确记求不同角色用户对产品不同模块进行访问、运行、修改、关闭以及 重复失败类试等相关操作

5.3.1.5.2审计记录管理

网络隔离产品的审计记录管理的测试评价方法和预期结果如下： a） 测试评价方法： 评估开发者提供的文档，包括评价所需的相关文档（例如：产品说明书产品测试文档）。模拟授 权管理员进行审计操作，测试网络隔离产品安全功能允许授权管理员存档、删除和清空审计记 录。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。 b） 预期结果： 网络隔离产品应能够允许授权管理员存档、删除和清空审计记录。

5.3.1.5.3可理解的格式

网络隔离产品的可理解的格式的测试评价方法和预期结果如下： a）测试评价方法： 评估开发者提供的文档，包括评价所需的相关文档（例如：产品说明书产品测试文档）。审查网 络隔离产品安全功能使存储于永久性审计记录中的所有审计数据可为人所理解（至少包括能 为人理解的描述内容以及审计数据本身）。记录测试结果并对该结果是否完全符合上述测试 评价方法要求做山判断。 b）预期结果： 网络隔离产品应使存储于永久性审计记录中的所有审计数据可为人所理解（至少包括能为人 理解的描述内容以及审计数据本身）。

5.3.1.5.4限制审计记录访问

网络隔离产品的限制审计记录访问的测试评价方法和预期结果如下： a）测试评价方法： 评估开发者提供的文档，是否包括评价所需的相关文档（例如：产品说明书产品测试文档）。模 拟授权与非授权管理员访问审计记录，测试网络隔离产品安全功能仪允许授权管理员访问审 计记录。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。 b）预期结果： 网络隔离产品应仅允许授权管理员访问审计记录。

5.3.1.5.5可选择查阅审计

网络隔离产品的可选择查阅审计的测试评价方法和预期结果如下： a）测试评价方法： 评估开发者提供的文档是否包括评价所需的相关文档（例如：产品说明书产品测试文档）。测 试网络隔离产品安全功能是否自身提供了审计查阅工具，能够按照主体ID（标识符）、客体ID、 期、时间进行逻辑组合对审计数据进行正确的套找和排序。记录测试结果并对该结果是否 完全符合上述测试评价方法要求做出判断。 b 预期结果： 网络隔离产品应自身提供审计查阅工具，能够按照主体ID（标识符）、客体IID)、F期、时间进行 逻钮组合对审计数据进行正确的夺找和排序

5.3.1.5.6防止审计数据丢失

网络隔离产品的防止审计数据丢失的测试评价方法和预期结果如下： 测试评价方法： 1）依据开发者提供的相关文档（例如：产品说明书产品测试文档）进行测试： 测试网络隔离产品安全功能将生成的审计记录储存丁一个永久性的审计记录中，并 限制山于故障和攻击造成的审计事件丢失的数量（测试是否提供了手段进行了限 制； 模拟审计容量大量消耗相关的操作，测试网络隔离产品在审计存储容量达到事先规 定的警戒值时发山警告信息，并保证在授权管理员所采取的审计行为以外，防止其他 可审计行为的出现； 2）对因故障或存储耗竭而导致审计数据丢失的最大审计存储容量，网络隔离产品的开发者

提供相应的分析结果（审查是否估计了审计数据丢失）； 3） 记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。 b 预期结果： 网络隔离产品应能够将生成的审计记录储存于一个永久性的审计记录中，并限制由于故 障和攻击造成的审计事件丢失的数量（测试是否提供了手段进行了限制）； 2） 网络隔离产品应在审计存储容量达到事先规定的警戒值时发出警告信息，并保证在授权 管理员所采取的审计行为以外，防止其他可审计行为的出现； 3） 对因故障或存储耗竭而导致审计数据丢失的最大审计存储容量，网络隔离产品的开发者 应提供相应的分析结果并符合实际测试结果

5.3.1.8数据完整性

网络隔离产品的数据完整性的测试评价方法和预期结果如下： a）测试评价方法： 评估开发者提供的文档，包括网络隔离产品对外提供的所有接口及服务的详细描述。测试网 络隔离产品确保通过所有接口对鉴别数据和信息传输策略的查阅、修改、删除等操作前必须经 过身份鉴别，只有授权人员才能进行以上操作。记录测试结果并对该结果是否完全符合上述 测试评价方法要求做出判断。 b） 预期结果：

须经过身份鉴别，只有授权人员才能进行以上担

须经过身份鉴别，只有授权人员才能进行以上操作

5.3.1.9密码支持

网络隔离产品的密码支持的测试评价方法和预期结果如下： a）测试评价方法： 评估开发者提供的文档，包括国家密码委员会对加密算法的批文。审查开发者所提供的密码 算法批文为国家密码委员会的正式有效批文。记录审查结果并对该结果是否完全符合上述测 试评价方法要求做出判断。 6） 预期结果： 开发者所提供的密码算法批

5.3.2.1访问控制

5.3.2.1.2增强的信息流控制功能

网络隔离产品的增强的信息流控制功能的测试评价方法和预期结果如下： 测试评价方法： 评估开发者提供的文档，包括增强的信息流控制功能的详细描述。模拟生成设备所支持的信 息流，测试网络隔离产品安全功能策略是否可执行以下增强的信息流控制功能，是否提供明确 的访问保障能力和拒绝访问能力。包括： 网络隔离产品可通过配置ACL访间控制列表进行的信息流控制，ACL访问控制列表的 元素是否包括：源IP地址、目的IP地址、源端口、目的端口、协议号； 2）网络隔离产品可对经过的HTTP、FTP、SMTP、POP3、SOL、RSTP、SIP等应用协议信息流

进行合规性检查； 3） 网络隔离产品可对经过的HTTP、FTP、SMTP、POP3、SQL、RSTP、SIP等应用协议信息流 的协议信令及参数关键字进行过滤； 4） 网络隔离产品可配置文件同步任务，根据网络隔离产品上配置的同步任务参数，从源主机 读取文件摆渡传输到目的主机，实现文件同步； 5） 网络隔离产品可配暨数据库同步任务，根据网络隔离产品上配置的同步任务参数，从源主 机数据库读取数据，还原成义件后摆渡传输到另·端网络后写入目的主机数据库，实现数 据库同步； 6 网络隔离产品可识别主体的应用类型，可通过访问应用控制列表进行信息流控制，禁比非 授权应用访问客体； 7） 网络隔离产品能够断开TCP/IP连接对内外网数据传输链路进行物理上.的时分切换，即 禁止内外网络在物理链路上同时与专用隔离部件连通。 预期结果： 1） 网络隔离产品应可通过配置ACL访间控制列表行信息流控制，ACL访问控制列表的 元素应包括：源IP地址、月的IP地址、源端口、目的端口、协议号； 2 网络隔离产品应可对经过的HTTP、FTP、SMTP、POP3、SQL、RSTP、SIP等应用协议信息 流进行合规性检查； 3 网络隔离产品应可对经过的HTTP、FTP、SMTP、POP3、SQL、RSTP、SIP等应用协议信息 流的协议信令及参数关键学进行过滤； 网络隔离产品应可配置文件同步任务，根据网络隔离产品上配置的同步任务参数，从源主 机读取文件摆渡传输到日的卡机，实现文件间步 5） 网络隔离产品应可配置数据库同步任务，根据网络隔离产品上配置的同步任务参数，从源 主机数据库读取数据，还原成文件后摆渡传输到另一端网络后写入目的主机数据库，实现 数据库步； 6） 网络隔离产品应可识别主体的应用类型，应可通过访问应川控制列表进行信息流控制，禁 止非授权应用访间客体； 7） 网络隔离产品应能够断开TCP/IP连接对内外网数据传输链路进行物理上的时分切换， 即禁止内外网络在物理链路上同时与专隔离部件连通

5.3.2.1.3强制访问控制

网络隔离产品的强制访问控制的测试评价方法和预期结果如下： 测试评价方法： 评估开发者提供的文档，包括所设计的强制访间控制模型。根据强制访问控制模型，设定主体 和客体的敏感标记，根据强制访间控制模型得出相应的强制访问控制规则。记录测试结果并 对该结果是否完全符合上述测试评价方法要求做出判断。 b） 预期结果： 以授权主体和未授权主体分别访问客体，强制访问控制规划应能够生效

5.3.2.1.4残余信息保护

网络隔离产品的残余信息保护的测试评价方法和预期结果如下： a 测试评价方法： 评估开发者提供的文档，包括残余信息保护的详细描述。测试网络隔离产品在为所有内部 外部网上的主机连接进行资源分配时，网络隔离产品安全功能能够保证其分配的资源中不

供以前连接活动币所产生的任何信息内容。记录测试结果并对该结果是否究全符合述测试 评价方法要求做出判断。 6） 预期结果： 网络隔离产品安全功能应能够保证其分配的资源中不提供以前连接流动中所产生的任何信息 内器

5.3.2.1.5 不可旁路

网络隔离产品的不可旁路的测试评价方法和预期结果如下： a）测试评价方法： 评估开发者提供的文档，包括不可劳路保护的详细描述。审查文档并且验证其是否真实。提 供文档说明网络隔离产品采用何种机制和措施，确保安全策略的不可旁路性，即任何与安全有 关的操作被允许执行之前，都必须通过安全策略的检查。文档应该分析并确认，网络隔离产品 确实控制了端设备用户的每次访问请求，不存在其他可能旁路网络隔离产品的途径。记录测 试结果井对该结果是否完全符合上述测试评价方法要求出判断。 b） 预期结果： 产品应不存在其他可能旁路网络隔离产品的途径。

网络隔离产品的抗攻击的测试评价方法与预期结果如下： a）测试评价方法： 1）配置启用网络隔离产品抗攻击功能： 2）采用模拟攻击设备，通过网络隔离产品，发起产品声明支持带宽10%的攻击流量（至少包 括SYNFlood、ICMPFlood等），同时通过网络隔离产品建立正常的传输业务，持续时间 1min; 3）检查拒绝服务攻击包通过的比例，以及正常业务成功建立的比例。 b 预期结果： 1）网络隔离产品具备抗拒绝服务器攻击能力； 2）攻击包通过的比例不人于5%、正常业务建立成功率不低于90%

5.3.2.3 安全管理

5.3.2.3.1区分安全管理角色

网络隔离产品的区分安全管理用色的测试评价方法和预期结案如下： a 测试评价方法： 依据升发者所提供的区分安全管理角色的详细描述进行测试： 1）产品至少提供两类用户角色，至少有·类为管现员角色，保证此两类用广角色并不相同 评价者测试此两类用户角色是否不同，月有一类属于管理员角色； 2） 创建一末授予安全管理角色的普通用户，以此用户执行安企管理功能相关操作，网络隔离 产品拒绝其操作； 3 将安全管理角色授与此用户，再次执行安全管理功能的相关操作（应包括安装、配置和管 理网络隔离产品安企功能本身所需的所有功能，其中至少应包括：增加利删除主体（发送 信息的主机)和客体（接受信息的主机），香阅安全属性，分配、修改和撤销安全属性，查阅 和管理审计数据）测试网络隔离产品是允许其操作，

4）记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。 b） 预期结果 1）产品应至少提供两类用户角色，至少有一类为管理员角色，保证此两类用户角色并不 相同； 2） 网络隔离产品应拒绝未授予安全管理角色的普通用户执行安全管理功能相关操作； 3 将安全管理角色授与此用户，再次执行安全管理功能的相关操作（应包括安装、配置和管 理网络隔离产品安全功能本身所需的所有功能，其中至少应包括：增加和制除主体（发送 信息的主机）和客体（接受信息的主机），查阅安全属性，分配、修改和撤销安全属性，查阅 和管理审计数据），网络隔离产品应允许其操作

5.3.2.3.2管理功能

5.3.2.4标识和鉴别

5.3.2.4.1敏感标记

隔离产品的敏感标记的测试评价方法和预期结身

网络隔离产品的敏感标记的测试评价方 和顶期结米如

a）测试评价方法： 评估开发者提供的文档，包括标记的相关文档。根据开发者提供的文档，对主体和客体设定额 感标记。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。 b） 预期结果： 产品应支持对主体和客体进行敏感标记

5.3.2.4.2基本安全属性定义

5.3.2.4.4属性初始化

网络隔离产品的属性初始化的测试评价方法和预期结果如下： 测试评价方法： 评估开发者提供的文档，包括属性初始化的详细描述。按照开发者提供的初始化方法进行 始化，审查初始化结果与文档宣称的初始化值一致。记录测试结果并对该结果是否完全符合 上述测试评价方法要求做出判断

预期结果 测试结果应完全符合上述测试评价方法要求做出判断，测试和审查的初始化过程和结果应符 合文档说明。

5.3.2.4.5属性修改

网络隔离产品的属性修改的测试评价方法和预期结果如下： a）测试评价方法： 1）测试能以授权管理员的身份对源地址、目的地址、传输层协议和请求的服务（例如：源端口 号或日的端口号等访问控制属性）和配置的安全参数（至少包括：最大鉴别失败次数等数 据）进行修改； 2） 测试修改后的设置是否有效； 3）记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。 b）预期结果： 1）应能以授权管理员的身份对源地址、月的地址、传输层协议和请求的服务（例如：源端口号 或日的端口号等访问控制属性）和配置的安全参数（至少包括：最大鉴别失败次数等数据） 进行修改； 2）修改后的设置应能够生效。

网络隔离产品的属性查询的测试评价方法和预期结果如下： a）测试评价方法： 评估开发者提供的文档，包括属性查询的详细描述。测试能以投权管理员的身份对源地址、目 的地址、传输层协议和请求的服务（例如：源端I1号或目的端口号等访问控制属性）和配暨的安 全参数（至少包括：最大鉴别失败次数等数据）进行查询。记录测试结果并对该结果是否完金 符合上述测试评价方法要求做出判断。 b） 预期结果： 应能以授权管理员的身份对源地址、目的地址、传输层协议和请求的服务（例如：源端口号或日 的端口号等访问控制属性）和配置的安全参数（至少包括：最大鉴别失败次数等数据）进行 香询，

5.3.2.4.7鉴别数据初始

网络隔离产品的鉴别数据初始化的测试评价方法和预期结果如下： a）测试评价方法： 评估开发者提供的文档，包括网络隔离产品鉴别机制的详细描述。根据开发者提供的网络 离产品鉴别机制的详细描述，分别以授权管理员和普通用户的身份登录农业标准，测试该部件是否提供 鉴别数据的初始化功能。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出 判断。 b）预期结果： 以授权管理员和普通用户的身份登录网络隔离产品，产品应提供鉴别数据的初始化功能。

5.3.,2.4.8鉴别时机

网络隔离产品的鉴别时机的测试评价方法和预期结果如下 ）测试评价方汰：

测绘标准GB/T 202772015

评估开发者提供的文档，包括网络隔离产品鉴别机制的详细描述。设置多个授权管理员，分别 以所有这些授权管理员的身份登录，测试在所有授权管理员请求执行的任何操作之前，网络隔 离产品对每个授权管理员都进行了身份鉴别。记录测试结果并对该结果是否完全符合上述测 试评价方法要求做山判断。 b） 预期结果： 在所有授权管理员请求执行的任何操作之前，网络隔离产品应对每个授权管理员都进行身份 鉴别。

5.3.2.4.9最少反馈