《信息安全技术防火墙技术要求和测试评价方法》.docx

《信息安全技术防火墙技术要求和测试评价方法》.docx

《《信息安全技术防火墙技术要求和测试评价方法》.docx》由会员分享，可在线阅读，更多相关《《信息安全技术防火墙技术要求和测试评价方法》.docx（19页珍藏版）》请在冰豆网上搜索。

《信息安全技术防火墙技术要求和测试评价方法》

《信息安全技术防火墙技术要求和测试评价方法》

编制说明

1　工作简况

1.1任务来源

国家发改委颁布了发改办高技[2012]288号文《国家发展改革委办公厅关于组织实施2012年国家下一代互联网信息安全专项有关试点和标准工作事项的通知》，开展实施一系列共81个下一代互联网信息安全标准的“下一代互联网信息安全标准专项项目”。

防火墙作为发改委重点扶持发展的十类下一代信息安全产品之一，表明了防火墙在下一代互联网信息安全产品中的地位，其标准的建设工作至关重要。

因此本标准项目建设工作主要是为配合国家下一代互联网产业中信息安全产品层面的推广和落地。

经中国国家标准化管理委员会批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究制定防火墙技术要求和测试评价方法的国家标准。

该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部计算机信息系统安全产品质量监督检验中心（公安部第三研究所）负责主办。

1.2协作单位

在接到《信息安全技术防火墙技术要求和测试评价方法》标准的任务后，公安部计算机信息系统安全产品质量监督检验中心立即与各生产防火墙的厂商进行沟通，并得到了多家业内知名厂商的积极参与和反馈。

经过层层筛选之后，最后确定由启明星辰信息技术有限公司、北京网康科技有限公司和华为技术有限公司作为标准编制协作单位。

1.3主要工作过程

1.3.1成立编制组

2012年12月接到标准编制任务，组建标准编制组，由本检测中心、启明星辰、华为及北京网康联合编制。

检测中心的编制组成员均具有资深的防火墙产品检测经验、有足够的标准编制经验、熟悉CC；其他厂商的编制成员均为防火墙的研发负责人及主要研发人员。

检测中心人员包括俞优、顾健、邹春明、沈亮、陆臻等；厂商包括王光宇、吕颖轩、王平等。

1.3.2制定工作计划

编制组首先制定了编制工作计划，并确定了编制组人员例会安排以便及时沟通交流工作情况。

1.3.3参考资料

该标准编制过程中，主要参考了：

•GB/T5271.8-2001信息系统词汇第8部分：

安全

•GB17859-1999计算机信息系统安全保护划分准则

•GB/T18336.3－2008信息技术安全技术信息技术安全性评估准则第3部分：

安全保证要求

•GB/T20271-2006信息安全技术信息系统通用安全技术要求

•GB/T20281-2006信息安全技术防火墙技术要求和测试评价方法

•GB/T22239-2008信息安全技术信息系统安全等级保护基本要求

•近几年到本检测中心所送检的相关防火墙产品及其技术资料

1.3.4确定编制内容

经标准编制组研究决定，以原国标内容和发改委专项测试要求为理论基础，以现有防火墙的发展动向为研究目标，以GB17859-1999《计算机信息系统安全保护等级划分准则》和GB/T18336-2008《信息技术安全技术信息技术安全性评估准则》为主要参考依据，完成《信息安全技术防火墙技术要求和测试评价方法》标准的编制工作。

1.3.5编制工作简要过程

按照项目进度要求，编制组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解，查阅有关资料，编写标准编制提纲，在完成对提纲进行交流和修改的基础上，开始具体的编制工作。

2013年1月，完成了对防火墙的相关技术文档和有关标准的前期基础调研。

在调研期间，主要对我检测中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析，对国内外相关产品的发展动向进行了研究，对相关产品的技术文档和标准进行了分析理解。

2013年2月完成了标准草案的编制工作。

以编制组人员收集的资料为基础，在不断的讨论和研究中，完善内容，最终形成了本标准草稿（第一稿）。

2013年3月，编制组在检测中心内部对标准草稿（第一稿）进行了讨论，修改完成后形成草稿（第二稿）。

2013年4月，编制组以意见征求会形式邀请深圳市深信服电子科技有限公司、北京中科网威信息技术有限公司等厂商进行现场征求意见，根据反馈意见，增加了透明传输部署模式、多重鉴别、双机热备和带宽管理等要求。

2013年6月，编制组以邮件方式征求了北京启明星辰信息安全技术有限公司、华为技术有限公司、北京网康科技有限公司等参与编制厂商的意见，根据反馈意见，增加连接数控制、会话管理、用户管控、审计空间耗尽处理等主要要求。

通过修改，形成了草稿（第三稿）。

2013年7月，WG5工作组在上海召开了标准评审专家会，与会专家对本标准进行了认真审议，并提出了相关意见和建议。

经过与会专家的评审，评审组同意通过评审。

编制组根据专家意见进行修改完善，形成了征求意见稿（第一稿）。

2013年8月，WG5工作组组织成员单位对本标准进行投票，全部为赞成票。

根据成员单位反馈的意见，标准编制组对标准进行了修改完善，形成了征求意见稿（第二稿）。

2013年9月，冯慧老师对本标准的格式、用语等方面提出了的修改建议，标准编制组依据专家意见进行了修改，形成了征求意见稿（第三稿）。

1.3.6起草人及其工作

标准编制组具体由俞优、邹春明、沈亮、陆臻、顾健等人组成。

俞优全面负责标准编制工作，包括制定工作计划、确定编制内容和整体进度、人员的安排；邹春明和沈亮主要负责标准的前期调研、现状分析、标准各版本的编制、意见汇总的讨论处理、编制说明的编写等工作；陆臻负责标准校对审核等工作；顾健主要负责标准编制过程中的各项技术支持和整体指导。

2　标准主要内容

2.1编制原则

为了使防火墙标准的内容从一开始就与国家标准保持一致，本标准的编写参考了其他国家有关标准，主要有GB/T17859-1999、GB/T20271-2006、GB/T22239-2008和GB/T18336-2008。

本标准符合我国的实际情况，遵从我国有关法律、法规的规定。

具体原则与要求如下：

1）先进性

标准是先进经验的总结，同时也是技术的发展趋势。

目前，我国防火墙产品种类繁多，功能良莠不齐，要制定出先进的产品国家标准，必须参考国内外先进技术和标准，吸收其精华，才能制定出具有先进水平的标准。

本标准的编写始终遵循这一原则。

2）实用性

标准必须是可用的，才有实际意义，因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上，结合我国的实际情况，广泛了解了市场上主流产品的功能，吸收其精华，制定出符合我国国情的、可操作性强的标准。

3）兼容性

本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一致。

编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。

2.2编制思路

目前，我国开展信息安全管理的纲领性文件有两个，一个GB17859，另一个是GB/T18336。

这两个国家标准从提纲挈领的角度规定了我国开展信息安全管理和信息安全产品标准编制的基本原则。

具体理由阐述如下：

从20世纪80年代开始，世界各国相继制定了多个信息技术安全评价标准。

这些标准中美国国防部发布的可信计算机系统评估准则（TCSEC）是这方面最早的标准。

在TCSEC发布后的十多年里，美国政府和机构的信息系统安全性有了较大程度的提高，特别是在操作系统和数据库方面，开创了安全标准的先河。

根据TCSEC而进行的评估项目已经向一百多种商业安全产品颁发了证书，达到C2级的操作系统安全已得到世界上广泛的承认。

并随后引发了加拿大和欧洲等国进行相似标准的研发。

随着信息安全的不断向前推进，人们发现TCSEC的一些要求太严格，以致限制了其应用范围，需要新的评估准则来完成TCSEC所不能完成的使命。

同时，信息安全产品的厂商迫切需要一种国际性的评估准则，而不是各国各自的不同准则来评估其产品，这样产品的国际市场将大大拓宽。

因此，1996年，CC作为时代发展的产物被推上了历史的舞台。

为了更好的实现由TCSEC向CC的平稳过渡，美国国防部下属机构，“国家安全电信与信息系统安全委员会”（简称NSTISSC,现已更名为“国家系统安全委员会”简称CNSS）于1999年3月发布了“关于可信计算机评估准则向国际信息技术安全评估通用准则过渡的咨询备忘录”（NSTISSAMCOMPUSEC/1-99）。

“目前采用TCSEC准则进行评估的安全项目仍可进行，但自1999年2月1日起，任何新的安全产品必须采用CC来评估。

截止到2001年12月31日，之前所有采用TCSEC进行评估的产品要么废止，要么将TCSEC级别相应转换为CC的保证级别，否则所有TCSEC级别将被视为无效。

”

目前，NSA根据CC已将TCSEC中的C2、B1、B2、B3级操作系统形成了各自的PP，各类防火墙的PP已经完成。

根据此备忘录的精神，国家计算机安全处（NCSC）出版的包括TCSEC在内的彩虹系列在之后的时间里分别根据CC的需求进行相应的分类，要么不再采用，要么修改采用以满足CC的需求。

CC根据“安全保证要求”不断递增而分为7个保证级，但实际上除了这7个保证级外，“保护轮廓”（PP）根据数据的敏感性、信息所面对的威胁级别等要求也分为三种强健性级别：

基本、中等、高级。

因此，即使是同种产品，由于应用于不同强健级别的环境中，对其安全功能要求不同，故PP的级别不同。

这一点在本质上与TCSEC的按安全功能要求分为5级是相似的，也是CC在理论上承继TCSEC的具体体现。

上述资料表明，TCSEC与CC两者虽然在不同的历史时期出现，但在本质上它们是一脉相承，互相融合的。

由于信息技术及市场需求的发展，TCSEC准则在过渡到CC的时候，将自身有价值的方面融入新出现的CC准则中，让其不断发扬光大。

另一方面，TCSEC进入中国以后，也结合中国的特点进行了修改与完善，并形成了强制性国家标准GB17859。

GB17859首先对计算机信息系统及其可信计算基（TCB）作了规范性说明，指出：

“计算机信息系统”是由计算机及其相关的配套设备、设施（含网络）构成的，按照一定的应用目标和规格对信息进行采集、加工、存储、传输、检索等处理的人机系统，而“可信计算基”则是计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。

它建立了一个基本的保护环境，并提供一个可信计算系统所要求的附加用户服务。

GB17859在系统、科学地分析计算机信息系统安全问题的基础上，结合我国信息系统建设的实际情况，从技术角度将计算机信息系统安全保护等级划分为五个级别，即：

用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。

这五个级别定义了不同强度的信息系统保护能力，包含有不同要素和不同强度的安全控制。

安全保护能力从第一级到第五级逐级增强。

从某种意义上说，GB17859代表了中国信息安全的实际需求，GB/T18336则代表了与国际接轨的需求。

所以，基于TCSEC的GB17859与翻译自ISO/IEC15408的GB/T18336共同组成了我国信息安全标准体系的两大基础。

作为单一的信息安全产品标准，必须同时兼顾GB17859与GB/T18336的要求，才能做到既有特色与又能兼容，满足国家主管部门、厂商与用户对防火墙标准的实际需求。

所以，本标准的编制将主要基于GB17859和GB/T18336进行。

2.3标准内容

2.3.1标准结构

本标准的编写格式和方法依照GB/T1.1-2009标准化工作导则第一部分：

标准的结构和编写规则。

本标准主要结构包括如下内容：

1.范围2.规范性引用文件

3.术语和定义4.缩略语

5.防火墙描述6.技术要求

7.测试评价方法

2.3.2主要内容

2.3.2.1范围、规范性引用文件、术语和定义和缩略语

该部分定义了本标准适应的范围，所引用的其它标准情况，及以何种方式引用，术语和定义部分明确了该标准所涉及的一些术语。

在术语中明确了“防火墙”、“深度包检测”、“深度内容检测”、“SQL注入”和“跨站脚本”等重要概念。

2.3.2.2防火墙描述

防火墙的目的是在不同的安全域之间建立安全控制点，根据预先定义的访问控制策略和安全防护策略，解析和过滤经过防火墙的数据流，实现向被保护的安全域提供访问可控的服务请求。

此外，适用于下一代互联网网络环境的防火墙的协议栈除支持IPv4技术外，还应支持IPv6、IPv4/IPv6过渡技术。

防火墙保护的资产是受安全策略保护的网络服务和资源等，此外，防火墙本身及其内部的重要数据也是受保护的资产。

防火墙通常以路由模式或透明模式运行，且一般将网络划分为若干个安全域，通过安全策略实现对不同安全域间服务和访问的审计和控制。

下图1是防火墙的一个典型运行环境。

它将网络分为内部网络、外部网络和DMZ三个区域。

内部网络是一个可信区域，外部网络是一个不可信区域，DMZ中的服务器可以向外部网络和内部网络用户提供应用服务。

图1防火墙典型运行环境

2.3.2.3技术要求

标准将防火墙技术要求分为安全功能、安全保证、环境适应性和性能要求四个大类。

其中，安全功能要求是对防火墙应具备的安全功能提出具体要求，包括网络层控制、应用层控制和安全运维管理；安全保证要求针对防火墙的开发和使用文档的内容提出具体的要求，例如配置管理、交付和运行、开发和指南文件等；环境适应性要求是对防火墙的部署模式和应用环境提出具体的要求；性能要求则是对防火墙应达到的性能指标作出规定，包括吞吐量、延迟、最大并发连接数和最大连接速率。

此外，按照防火墙安全功能要求强度，以及参照GB/T18336.3-2008，对防火墙安全等级进行划分。

安全等级分为基本级和增强级，安全功能强弱和安全保证要求高低是等级划分的具体依据。

安全等级突出安全特性，环境适应性要求和性能要求不作为等级划分依据。

一、安全功能要求

产品安全功能要求主要对产品实现的功能进行了要求。

主要包括网络层控制、应用层控制和安全运维管理三部分。

其中网络层控制包括：

包过滤、NAT、状态检测、策略路由、动态端口开放、IP/MAC绑定、流量会话管理、抗拒绝服务攻击和网络扫描防护等；应用层控制包括：

用户管控、应用协议控制、应用内容控制、恶意代码防护和应用攻击防护；安全运维管理包括：

运维管理、安全审计、安全管理和高可用性。

表1安全功能要求分级说明

安全功能要求

基本级

增强级

网络层控制

包过滤

*

*

NAT

*

**

状态检测

*

*

策略路由

*

**

动态开放端口

*

**

IP/MAC地址绑定

*

*

流量会话管理

流量统计

*

*

带宽管理

*

连接数控制

*

*

会话管理

*

抗拒绝服务攻击

*

*

网络扫描防护

*

**

应用层控制

用户管控

*

应用协议控制

*

*

应用内容控制

*

恶意代码防护

*

应用攻击防护

*

安全运维管理

运维管理

*

**

安全审计

*

*

安全管理

管理口独立

*

*

安全支撑系统

*

*

异常处理机制

*

*

高可用性

双击热备

*

负载均衡

*

注：

“*”表示具有该要求，“**”表示要求有所增强。

二、安全保证要求

该部分对产品的开发和使用文档的内容进行了要求，包括配置管理、交付与运行、开发、指导性文档、生命周期支持、测试保证和脆弱性分析保证。

表2安全保证要求分级说明

安全保证要求

基本级

增强级

配置管理

部分配置管理自动化

*

配置管理能力

版本号

*

*

配置项

*

*

授权控制

*

产生支持和接受程序

*

配置管理范围

配置管理覆盖

*

问题跟踪配置管理覆盖

*

交付与运行

交付程序

*

*

修改检测

*

安装、生成和启动程序

*

*

开发

功能规范

非形式化功能规范

*

*

充分定义的外部接口

*

高层设计

描述性高层设计

*

*

安全加强的高层设计

*

安全功能实现的子集

*

描述性低层设计

*

非形式化对应性证实

*

*

非形式化产品安全策略模型

*

指导性文档

管理员指南

*

*

用户指南

*

*

生命周期支持

安全措施标识

*

开发者定义的生命周期模型

*

明确定义的开发工具

*

测试

测试覆盖

覆盖证据

*

*

覆盖分析

*

测试：

高层设计

*

功能测试

*

*

独立测试

一致性

*

*

抽样

*

*

脆弱性评定

误用

指南审查

*

分析确认

*

产品安全功能强度评估

*

*

脆弱性分析

开发者脆弱性分析

*

*

独立的脆弱性分析

*

中级抵抗力

*

三、环境适应性要求

该部分对防火墙产品的部署模式、以及对下一代互联网环境的适应性支持。

四、性能要求

该部分对防火墙的吞吐量、延迟、最大并发连接数、最大连接速率和最大事务数等性能指标进行了要求。

2.3.2.4安全功能基本原理

本部分资料用以说明防火墙安全功能要求产生的过程。

下述内容详细描述了与防火墙安全需求相关的使用环境、安全风险和组织策略，定义了防火墙及其支撑环境的安全目的，并通过对应关系论证了安全功能要求能够追溯并覆盖产品安全目的，安全目的能够追溯并覆盖安全需求相关的使用环境、安全风险和组织策略。

一、安全需求

1、使用环境

防火墙安全需求相关的使用环境如表3所示。

表3使用环境

使用环境名称

使用环境描述

物理访问

所有实施防火墙安全策略相关的硬件和软件应受到保护，以免受非授权的物理更改

人员能力

只用授权的管理员才能直接访问或远程访问防火墙；授权管理员是无恶意的，训练有素的，并遵循管理员指南

连接性

防火墙是被分隔的安全域网络之间的唯一连接点

安全维护

当防火墙的应用环境发生变化时，应立即反映在产品的安全策略中并保持其安全功能有效

2、安全风险

防火墙安全需求相关的安全风险如表4所示。

表4安全风险

安全风险名称

安全风险描述

未授权访问

非授权用户可能试图访问和使用防火墙提供的安全功能；未授权用户是指除防火墙授权用户之外所有已经或可能企图访问的人

未授权信息流入、流出

未授权的信息流的流入\流出，可能导致外网非法信息的入侵或内网信息的泄露

网络地址欺骗攻击

外部网络的用户可能尝试伪装利用内网网络地址，访问内部资源

网络恶意攻击

攻击者可能对内部受保护的网络或主机进行攻击，这类攻击可能已拒绝服务和穿透主机或网络节点为目的

应用恶意攻击

攻击者可能对内部受保护的服务资源进行攻击，这类攻击可能以恶意代码的形式进入网络，导致服务资源的信息泄露或崩溃

绕开鉴别机制攻击

攻击者可能绕过或欺骗身份鉴别机制，假冒授权管理员或侵入已建立的会话连接。

例如，拦截鉴别信息、重放有效地鉴别数据以及截取会话连接等攻击

持续鉴别攻击

非授权用户可能通过反复猜测鉴别数据的方法，进一步获取管理员权限

审计记录丢失或破坏

攻击者可能采取耗尽审计存储空间的方法导致审计记录丢失或破坏

设备脆弱性攻击

攻击者可能通过防火墙的自身缺陷进行攻击，导致产品权限丢失或功能故障

设备状态异常

防火墙可能出现超负载、断电故障等异常情况，导致防火墙无法提供正常服务

3、组织策略

防火墙安全需求相关的组织策略如表5所示。

表5组织策略

组织策略名称

组织策略描述

安全审计

为追踪与安全相关活动的责任，防火墙应对与安全相关的事件进行记录、保存和审查，并提供一种可理解方式供管理员读取

安全管理

防火墙应为授权管理员提供管理手段，使其以安全的方式进行管理

二、安全目的基本原理

1、产品安全目的

表6定义了防火墙的安全目的。

这些安全目的旨在对应已标识的安全风险或组织策略。

表6产品安全目的

产品安全目的名称

产品安全目的描述

对应的安全风险或组织策略

身份认证

在允许用户访问产品功能之前，产品必须对用户身份进行唯一的标识和鉴别

未授权访问

信息流控制

防火墙应控制流入\流出防火墙的信息流，除了一般的协议控制之外，还应包括对信息的深度检测并控制

未授权信息流入、流出

抗攻击渗透

防火墙应能抵抗地址欺骗、拒绝服务、网络扫描、恶意代码、应用漏洞等常见攻击

网络地址欺骗攻击

网络恶意攻击

应用恶意攻击

鉴别失败处理

防火墙应具备安全机制防止恶意用户反复猜测鉴别数据

持续鉴别攻击

审计记录保护

审计记录应受到充分保护，防火墙应具备防止事件记录丢失的措施

审计记录丢失或破坏

自身保护

为更好地防范防火墙自身的漏洞，应确保底层支撑系统的可靠性和稳定性；此外防火墙还应保护授权管理员的通信会话连接

绕开鉴别机制攻击

设备脆弱性攻击

失效处理

防火墙应具备负载均衡、双击热备等高可用性保证措施

设备状态异常

安全审计

产品应记录安全相关的事件，以便追踪安全相关行为的责任，并应提供方法审查所记录的数据

未授权信息流入、流出

网络恶意攻击

审计记录丢失或破坏

审计

安全管理

产品应向授权管理员提供以安全方式进行管理的有效手段

管理

2、环境安全目的

表7定义了非技术或程序方法进行处理的安全目的。

该部分确定的使用环境被包含在环境安全目的中。

表7环境安全目的

环境安全目的名称

环境安全目的描述

对应的使用环境

物理访问

所有实施防火墙安全策略相关的硬件和软件应受到保护，以免受非授权的物理更改

物理访问

人员能力

只用授权的管理员才能直接访问或远程访问防火墙；授权管理员是无恶意的，训练有素的，并遵循管理员指南

人员能力

连接性

防火墙是被分隔的安全域网络之间的唯一连接点

连接性

安全维护

当防火墙的应用环境发生变化时，应立即反映在产品的安全策略中并保持其安全功能有效

安全维护

三、安全功能要求基本原理

表8说明了安全功能要求的充分必要性的基本原理，即每个产品安全目的都至少有一个安全功能要求与其对应，每个安全功能要求都至少解决了一个产品安全目的，因此安全功能要求是充分和必要的。

表8中的“”即表明对应关系。

表8安全功能要求基本原理

产品安全目的

产品功能要求

身份认证

信息流控制

抗攻击渗透

鉴别失败处理

审计记录保护

自身保护

失效处理

安全审计

安全管理

网络层控制

包过滤

NAT

状态检测

策略路由

动态开放端口

IP/MAC地址绑定

流量会话管理

抗拒绝服务攻击

网络扫描防护

应用层控制

用户管控

应用协议控制

应用内容控制

恶意代码防护

应用攻击防护

安全运维管理

运维管理

安全审计