《网络安全技术终端接入控制产品技术规范》.docx

GB/TXXXX—XXXX

PAGEII

ICSFORMTEXT35.030

CCSFORMTEXTL80

中华人民共和国国家标准

FORMTEXTGB/TXXXX-XXXX

网络安全技术终端接入控制产品

技术规范

Cybersecuritytechnology－Technicalspecificationforterminal

accessandcontrolproducts

FORMTEXT(点击此处添加与国际标准一致性程度的标识)

（征求意见稿）

2024年9月24日

FORMDROPDOWN

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

国家市场监督管理总局国家标准化管理委员会

国家市场监督管理总局

国家标准化管理委员会

发布

GB/TXXXXX—XXXX

PAGE15

PAGE14

网络安全技术终端接入控制产品技术规范

范围

本文件规定了终端接入控制产品的安全功能要求、自身安全要求、环境适应性要求、安全保障要求及对应的测试评价方法。

本文件适用于对终端接入控制产品的研发、生产、检测和认证工作。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T18336（所有部分）信息技术安全技术信息技术安全评估准则

GB/T25069—2022信息安全技术术语

GB42250—2022信息安全技术网络安全专用产品安全技术要求

GB/TXXXX《信息安全技术网络安全产品互联互通框架》

术语和定义

GB/T18336—2015和GB/T25069—2022界定的以及下列术语和定义适用于本文件。

3.1

接入控制accesscontrol

针对通过有线或无线接入局域网的计算机、移动终端、服务器、网络打印机、网络摄像头、感知设备等终端，采用身份认证、终端安全检查、访问控制等技术实现对接入网络的终端进行控制。

3.2

安全检查compliancecheck

对终端设备是否符合安全规范、安全规则做出评价，通常以通过或不通过作为检查结果。

3.3

隔离区isolatedzone

适用于终端接入控制产品的一个特殊网络区域。当终端设备尝试接入网络但不符合安全策略时，会被临时放置到这个区域并提供强制执行补救措施，使其满足策略要求的逻辑区域。

3.4

管理员administrator

具有终端接入控制产品管理权限的用户,可根据不同角色授予相应权限，负责对终端接入控制产品的系统配置、安全策略和审计数据进行管理。

缩略语

下列缩略语适用于本文件。

ARP：地址解析协议（AddressResolutionProtocol）

DHCP：动态主机配置协议（DynamicHostConfigurationProtocol）

HTTPS：超文本传输安全协议（HyperTextTransferProtocoloverSecureSocketLayer）

IP：网际互连协议（InternetProtocol）

LDAP：轻量目录访问协议（ LightweightDirectoryAccessProtocol）

RADIUS：远程用户拨号认证协议（RemoteAuthenticationDialInUserService）

MAC：媒体访问控制（MediaAccessControl）

概述

本文件中的终端接入控制产品是用于管理和限制终端设备接入特定网络或系统的安全防护产品。通过策略和安全机制，对试图接入的终端进行身份验证、安全状态检查和授权，确保满足特定要求的终端能够成功接入网络，保障终端入网的安全可信。此类产品通常包括用户身份鉴别、访问控制、终端安全检查、资产管控、日志审计及必要的自身防护机制。本文件中的终端接入控制产品主要适用于部署在机构或企业局域网络边界，防止非授权或不安全的外来设备接入，保障局域网内部资源不被非法获取或破坏的产品。其中，保护资源（如应用服务端）位于机构或企业内部，试图接入的终端可以从外部接入，也可以从内部接入，产品通过接入控制最终实现对内部资源的访问进行保护。

图1：终端接入控制产品逻辑示意图

终端接入控制产品的技术要求分为安全功能要求、自身安全要求、环境适应性要求和安全保障要求。其中，安全功能