1、中华人民共和国国家标准信息技术包过滤防火墙安全技术要求发布实施国家质量技术监督局发布前言本标准规定了采用传输控制协议网间协议的包过滤防火墙的安全技术要求本标准由国家信息化办公室提出本标准由全国信息技术标准化技术委员会归口本标准起草单位中国国家信息安全测评认证中心电子部所本标准主要起草人吴世忠陈晓桦龚奇敏张桂清杨燕伟贺卫东黄元飞中华人民共和国国家标准信息技术包过滤防火墙安全技术要求国家质量技术监督局批准实施范围本标准规定了采用传输控制协议网间协议的包过滤防火墙产品或系统的安全技术要求本标准适用于防火墙产品或系统安全功能的研制开发测试评估和产品的采购引用标准下列标准所包含的条文通过在本标准中引用而
2、构成为本标准的条文本标准出版时所示版本均为有效所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性信息处理系统开放系统互连基本参考模型第部分安全体系结构定义和记法约定本章给出本标准中使用的术语和记法约定术语定义本标准采用了中的下列术语和定义审计鉴别密钥管理下列术语适用于本标准用户一个在防火墙外与防火墙相互作用的人此人不具有能够影响防火墙安全策略执行的特权授权管理员任何具有旁路或绕过防火墙安全策略权限的个人本标准中的授权管理员特指防火墙的管理员其职责不包括网络管理主机一台在防火墙外与防火墙相互作用的机器它不具有能够影响防火墙安全策略执行的特权可信主机任何具有旁路或绕过防火墙安全策
3、略权限的机器记法约定细化用于增加某一功能要求的细节从而进一步限制该项要求对功能要求的细化用黑体字表示示例见选择用于从对某一功能要求的陈述中突出一个或多个选项用带下划线的黑体字表示示例见赋值用于将一个特定值赋给某个未定参数如某个口令字的长度赋值出现在方括号中要赋予的值表示某个值示例见包过滤防火墙概述本标准规定包过滤防火墙的最低安全要求指出该类防火墙应对付的威胁定义其实现的安全目标及环境提出安全功能和安全保证要求防火墙的目的是要在内部外部两个网络之间建立一个安全控制点通过允许拒绝或重新定向经过防火墙的数据流实现对进出内部网络的服务和访问的审计和控制虽然防火墙的体系结构和技术多种多样但防火墙产品主要
4、分为两类包过滤和应用网关本标准规定了包过滤防火墙的最低安全要求符合本标准的防火墙在内外网络之间的位置的逻辑表示如图所示包过滤防火墙应根据站点的安全策略在内部网络和外部网络之间选择性地过滤包其过滤规则主要是根据源地址目的地址协议源端口目的端口以及包到达或发出的接口而定图防火墙在网络中的典型位置安全环境符合本标准的防火墙产品应能提供访问控制策略身份识别和鉴别远程管理的加密安全审计功能和最基本的安全保证可用于政府部门企事业单位和商业领域等安全使用的条件防火墙的使用操作环境应满足以下条件连接条件防火墙的连接条件要求如下单一接入防火墙是内外网络之间的唯一连接点见图物理条件防火墙应满足下列物理条件物理访问
5、控制防火墙及其所属的可直接插接的控制端口在物理上是安全的并只有授权的人员才可访问通信保护对已传送的所有信息的保护级别与正在被发送的信息的保护级别相当例如受物理保护的传输媒体加密但明确规定以明文传输的信息除外人员条件用户服务包过滤防火墙不提供通常意义上的计算能力对网络用户基本上是透明的只有授权的管理员可直接访问或远程访问授权管理员授权的管理员应是可以信赖且能善尽职守的人防火墙面临的威胁符合本标准的防火墙应能对付以下威胁未授权逻辑访问未经授权的人可能在逻辑上访问防火墙未经授权的人是指除防火墙的授权用户之外所有已经或可能企图访问这个系统的人假冒网络地址攻击一个主体可能通过假冒成另一个主体获得对特定信
6、息的访问例如外部网上的一个用户可能利用假地址伪装成内部网上的用户访问内部资源针对内部网络的攻击攻击者可能利用高层协议和服务对内部受保护的网络或者网上的主机进行攻击这类攻击可能以拒绝服务和穿透主机或网络结点为目的审计记录丢失或破坏攻击者可能采取耗尽审计存储量的方法导致审计记录丢失或破坏对防火墙配置和其他与安全有关数据的更改这类攻击包括所有采用读取或修改防火墙的内部代码或数据结构配置和与安全相关的数据对防火墙实施的攻击绕开身份识别和鉴别机制这类攻击是企图绕过或欺骗身份识别和鉴别机制假冒成另一个授权管理员或侵入已建立的会话连接例如拦截鉴别信息如口令字重放有效的鉴别交换信息以及截取会话连接等攻击运行环
7、境面临的威胁以下的可能威胁不是符合本标准的防火墙所能处理的它们应靠环境制度程序来对付可列为对系统的潜在威胁受保护网络内部网上的恶意用户企图把信息传送给网外用户这类威胁涉及的是内部受保护网络的用户企图把信息传送给外部网络的非授权用户由于防火墙的设计主要是为了保护内部网络免受外部网的侵害所以难以对付此类威胁受保护网络上的恶意用户攻击同一网上的计算机由于防火墙主要是用来保护防火墙内的网络用户免受防火墙外的用户的攻击因此它无法控制不经过防火墙的通信业务属于此范畴的攻击是指来自受保护网络内的对本网络服务功能的攻击或者对同一网段上的计算机的攻击对高层协议和服务的攻击此类威胁针对传输层以上的协议层和利用这些
8、协议的服务如超文本传输协议中的漏洞符合本标准的防火墙可以完全拒绝对特定主机或主机群的访问但是如果允许数据包通过的话那么仍有可能对上述的这些服务攻击截取传输的信息攻击者可能截取通过防火墙传输的敏感信息安全目标信息技术性安全目标防火墙应达到的信息技术安全目标如下访问仲裁目标是通过允许或拒绝从一个主体发送实体传到一个客体接受实体的信息流为连接在防火墙上的两个网络之间提供受控制的访问这些控制是根据主体客体的有关参数由防火墙生成的状态信息和管理上配置的访问控制规则实现的管理员访问此项目标是仅限授权的管理者才能访问防火墙即只允许他们有配置防火墙的能力个体身份记录个体记录提供对用户的记录能力并允许基于唯一身
9、份对访问作出判定鉴别为确定身份是否真实提供了方法防火墙的自保护为了成功地达到这一目标防火墙应能把正在处理的数据与需要运算的数据分开应保护自己不受外部实体的攻击此外防火墙还应能保护授权管理员的通信会话连接审计对于判定是否存在绕过安全策略尝试是否因配置错误而不知觉地允许了本应拒绝的访问审计记录起着重要的作用不仅应收集审计数据还应使其具有可读性并较易使用审计记录应受到充分保护并应了解丢失审计记录的可能性有多大以帮助管理者做出正确的安全决定非信息技术安全目标非信息技术安全目标是指除防火墙技术要求之外还需满足的要求它们不需防火墙硬件和软件的机制实现而是通过采用物理的过程的或管理的方法来达到由于防火墙是完
10、整的独立的专用设备因此正常工作时不必依靠任何其他设备但是为了支持防火墙的安全功能应达到有关运行环境方面的某些目标防火墙的非信息技术安全目标如下安装与操作控制要确保对防火墙的交付安装管理操作都是安全可控的物理控制对防火墙的物理访问应可控制授权管理员培训安全管理员应经过专业培训并得到资格认可以建立并保持正确的安全策略和实施水准安全要求本章给出了符合本标准的防火墙应满足的安全功能要求功能要求本标准的安全功能要求由表的下列项目组成用户数据保护功能类要求概述防火墙的安全策略由一项安全功能策略构成该策略定义如下该策略称为未鉴别的端到端策略用来处理防火墙一侧的主体向另一侧客体发送数据表功能要求功能分类功能组
11、件用户数据保护完整的客体访问控制访问授权与拒绝多种安全属性访问控制资源分配时对遗留信息的充分保护管理员属性修改管理员属性查询识别和鉴别授权管理员和可信主机鉴别数据初始化授权管理员和可信主机鉴别数据的基本保护鉴别失败的基本处理授权管理员可信主机和主机属性的初始化授权管理员可信主机和主机唯一属性定义授权管理员的基本鉴别单一使用的鉴别机制授权管理员可信主机和主机唯一标识密码支持符合规定的加密操作可信安全功能的保护防火墙安全策略的不可旁路性安全功能区域分隔区分安全管理角色管理功能安全审计审计数据生成审计跟踪管理可理解的格式限制审计跟踪访问限制审计查阅可选择查阅审计防止审计数据丢失完整的客体访问控制防火
12、墙的安全功能应在以下方面执行未鉴别的端到端策略主体未经防火墙鉴别的主机客体内部或外部网上的主机以及安全功能策略所包括的主体客体的所有操作防火墙的安全功能应确保安全功能策略包括了控制范围中的任何主体和客体之间的所有操作访问授权与拒绝防火墙的安全功能应执行未鉴别的端到端策略根据主体和客体的安全属性值提供明确的访问保障能力防火墙的安全功能应执行未鉴别的端到端策略根据主体和客体的安全属性值提供明确的拒绝访问能力多种安全属性访问控制防火墙应根据源地址目的地址传输层协议和请求的服务如源端口号或目的端口号对客体执行未鉴别的端到端策略防火墙应执行以下附加规则以确定受控主体与受控客体之间的操作是否被允许防火墙应
13、拒绝从外部网络发出的但拥有内部网络上的主机源地址的访问或服务请求防火墙应拒绝从外部网络发出的但拥有广播网络上的主机源地址的访问或服务请求防火墙应拒绝从外部网络发出的但拥有保留网络上的主机源地址的访问或服务请求防火墙应拒绝从外部网络发出的但拥有环回网络上的主机源地址的访问或服务请求资源分配时对遗留信息的充分保护防火墙应保证在为所有客体进行资源分配时不提供以前的任何信息内容应用注解该要求是对用于支持连接的所有设备资源例如寄存器缓存器管理的要求目的是不让网络用户访问以前的任何会话信息这样其他任何网络用户的通信中都不会包含别人的信息或会话片段该要求通常是通过对这些设备资源进行清除或重写来达到要求概述下
14、述两项要求确定了支持管理员完成其职能所必需的能力特别是查阅和修改与安全相关参数的能力这些要求将在后续的对与安全有关数据初始化的要求中予以详述或补充随后的识别与鉴别组的要求与有关安全参数如鉴别数据的定义管理和使用的需要紧密相关管理员属性修改防火墙应执行访问控制的功能策略未鉴别的端到端策略向授权管理员提供修改下述参数的能力标识与角色例如管理员的关联中标识的访问控制属性与安全相关的管理数据管理员属性查询防火墙应执行访问控制的功能策略未鉴别的端到端策略向授权管理员提供以下查询中标识的访问控制属性主机名识别与鉴别功能类授权管理员和可信主机鉴别数据初始化防火墙应提供与和中规定的鉴别机制有关的授权管理员和可
15、信主机鉴别数据的初始化功能防火墙应确保只允许授权管理员使用这些功能授权管理员和可信主机鉴别数据的基本保护防火墙应保护储存于设备中的鉴别数据不受未授权查阅修改和破坏鉴别失败的基本处理防火墙的安全功能应能够在鉴别尝试经一个可设定的次数失败以后终止可信主机建立会话的过程最多失败次数仅由授权管理员设定在可信主机会话建立过程终止后防火墙的安全功能应能够关闭可信主机的帐号直至授权管理员重新开启授权管理员可信主机和主机属性的初始化防火墙的安全功能应提供用默认值对授权管理员可信主机和主机属性初始化的能力授权管理员可信主机和主机唯一属性定义防火墙的安全功能应为每一个规定的授权管理员可信主机和主机提供一套唯一的为
16、了执行安全策略所必需的安全属性授权管理员的基本鉴别防火墙的安全功能应鉴别任何通过防火墙的控制口履行授权管理员功能的管理员身份单一使用的鉴别机制防火墙的安全功能应鉴别任何声称要履行授权管理员和可信主机功能的管理员和主机的身份防火墙应预防与远程管理和远程可信主机操作有关的鉴别数据的重用授权管理员可信主机和主机唯一身份识别防火墙的安全功能应确保在所有授权管理员可信主机和主机请求执行的任何操作之前对每个授权管理员可信主机和主机进行唯一身份识别保密功能类符合规定的加密操作防火墙的安全功能应保证其远程管理会话的加密符合国家密码管理的有关规定可信安全功能保护类要求概述下面两项要求和规定了保护内部代码和数据结
17、构的基础性体系结构的能力并能够表明安全策略始终是有效的防火墙安全策略的不可旁路性防火墙的安全功能应确保任何与安全有关的操作被允许执行之前都必须通过安全策略的检查安全功能区域分隔防火墙的安全功能应为其自身的执行过程设定一个安全区域以保护其免遭不可信主体的干扰和篡改防火墙的安全功能应把防火墙控制范围内的各个主体的安全区域分隔开应用注解该项可选区分安全管理角色防火墙的安全功能应将与安全相关的管理功能与其他功能区分开防火墙的安全功能中与安全相关的管理功能集应包括安装配置和管理防火墙安全功能所需的所有功能其中至少应包括增加和删除主体和客体查阅安全属性分配修改和撤销安全属性查阅和管理审计数据防火墙的安全功
18、能应把执行与安全相关的管理功能的能力限定为一种安全管理职责该职责具有一套特别授权的功能和响应的责任防火墙的安全功能应能把授权执行管理功能的授权管理员和可信主机与使用防火墙的所有其他个人或系统分开防火墙的安全功能应只允许授权管理员和可信主机承担安全管理职责防火墙的安全功能应在提出一个明确的请求以后才会让授权管理员和可信主机承担安全管理职责管理功能防火墙的安全功能应使授权管理员能够设置和更新与安全相关的数据防火墙的安全功能应向授权管理员提供能够执行防火墙的安装及初始配置系统启动和关闭功能备份和恢复的能力备份能力应有自动工具的支持如果防火墙的安全功能支持外部或内部接口的远程管理那么它应该具有对两个接
19、口或其中之一关闭远程管理的选择权能够限制那些可进行远程管理的地址能够通过加密来保护远程管理对话安全审计功能类要求概述下列功能安全要求类规定了安全审计信息的生成管理保护和处理审计数据生成防火墙的安全功能应能够对下列可审计事件生成一个审计记录审计功能的启动和关闭在安全目标包括的所有功能性项目中在表中定义为基本审计级别的所有可审计事件安全目标包括的所有功能性项目中在表中标为扩展的事件防火墙的安全功能应在每一个审计记录中至少记录以下信息事件发生的日期和时间事件的类型主体身份和成功或失败事件在本标准对其他功能性项目的可审计事件定义的基础上表第列对每一类审计事件所说明的附加信息表可审计事件功能族级别可审计
20、事件附加审计记录内容基本任何对审计跟踪进行操作的尝试包括关闭审计功能或子系统若适用受影响客体的标识基本任何读取修改破坏审计跟踪的尝试基本所有对安全功能策略覆盖的客体执行操作的请求受影响的客体的标识基本修改安全属性的所有尝试包括拟修改的客体的身份修改后安全属性的新值基本所有使用安全功能中鉴别数据管理机制的请求基本所有访问鉴别数据的请求访问请求的目标扩展因鉴别尝试不成功的次数超出了设定的限值导致的会话连接终止使用的标识符基本任何对鉴别机制的使用基本所有使用标识机制包括所提供的身份的尝试基本所有对安全功能配置参数的修改设置和更新无论成功与否配置参数的新值审计跟踪管理防火墙的安全功能应使管理员能创建存
21、档删除和清空审计记录可理解的格式防火墙的安全功能应使使存储于永久性审计记录中的所有审计数据可为人所理解限制审计跟踪访问防火墙的安全功能应只允许授权管理员访问审计记录限制审计查阅防火墙的安全功能应提供具有查阅审计数据能力的工具防火墙应只允许授权管理员使用审计查阅工具可选择查阅审计防火墙的安全功能应提供能对审计数据进行查找和排序的审计查阅工具主体客体日期时间上述各参数的逻辑组合如和与应用注解防火墙的开发者应详细描述审计查阅工具的功能特别是应说清楚根据与安全相关的属性查找和排序的能力防止审计数据丢失防火墙的安全功能应把生成的审计记录储存于一个永久性的审计记录中防火墙的安全功能应限制由于故障和攻击造成
22、的审计事件丢失的数量一旦审计存储耗尽防火墙应能保证在授权管理员所采取的审计行为以外防止其他可审计行为的出现应用注解对因故障或存储耗竭而导致审计数据丢失的最大容量防火墙的开发者应提供相应的分析结果保证要求防火墙的安全保证要求是对防火墙产品或系统的开发研制及供应商提出的管理性规定这些要求与信息技术安全评估通用准则中的安全保证要求是一致的内容见下表表保证要求保证分类保证组件配置管理最低限度的支持交付和操作安装生成和启动过程开发防火墙和安全策略高层设计描述非形式的一致性证明指南文件管理员指南用户指南测试独立测试一致性测试覆盖面非形式分析功能测试测试功能规范脆弱性分析防火墙安全功能强度的评估开发者脆弱性
23、分析配置管理保证最低限度的支持开发者应使用配置管理系统开发者应提供配置管理文件配置管理文件应包括一个配置目录配置目录应描述防火墙的各个配置项目并应包括防火墙使用的外部网络的服务项目配置管理文件应描述用于唯一识别防火墙的配置项的方法评估者应确认所提供的信息满足在内容和表述上的所有要求交付和操作保证安装生成和启动过程开发者应以文件方式说明用于防火墙的安全安装生成和启动的过程说明文件中应描述防火墙的安全安装生成和启动所必须的步骤评估者应确认所提供的信息满足内容和表述上的所有要求开发过程保证防火墙和安全策略开发者应提供防火墙的功能规范开发者应提供防火墙的安全策略功能规范应以非形式方法来描述安全策略功能
24、规范应包括以非形式方法表述的所有外部安全功能接口的语法和语义功能规范应包括能证明安全功能已完全实现了的证据应用注解这条要求可以通过安全目标和外部接口指标等文件的组合来达到评估者应确认所提供的信息满足内容和表述上的所有要求评估者应确认功能规范与安全策略是一致的评估者应确认安全功能的表述是否包含了安全目标中的每一项功能要求高层设计描述开发者应提供防火墙安全功能的高层设计高层设计应以非形式方法表述高层设计应根据子系统来描述安全功能的结构高层设计应描述由安全功能的每一个子系统提供的安全功能高层设计应标明安全功能子系统的接口高层设计应说明安全功能所需的所有底层硬件固件和软件以及其中已实现的保护机制所提供
25、的功能评估者应确认所提供的信息满足内容和表述上的所有要求评估者应确认安全功能的表述是否包含了安全目标中的每一项功能要求非形式的一致性证明开发者应证明所提供的对安全功能的扼要表述准确一致并且完整地反应了安全目标中的功能要求对于同一安全功能的两个相邻层的表述开发者应证明在较高层抽象表述的所有部分在较底层抽象中得到了细化对于同一安全功能的两个相邻层的表述其对应关系可以用非形式化方法表述评估者应确认所提供的信息满足内容和表达上的所有要求评估者应对安全目标中所陈述的功能要求和以最低层抽象之间的对应关系进行分析以保证准确一致和完整指南文件保证管理员指南开发者应提供能满足系统管理者需要的管理员指南管理员指南
26、应描述怎样以安全的方式管理防火墙对于应该控制在安全处理环境中的功能和特权管理员指南应有警告管理员指南应对一致有效地使用安全功能提供指导管理员指南应说明两种类型功能之间的差别一种是允许管理员控制安全参数而另一种是只允许管理员获得信息管理员指南应描述管理员控制下的所有安全参数管理员指南应描述各类需要执行管理功能的安全相关事件包括在安全功能控制下改变实体的安全特性管理员指南应包括安全功能如何相互作用的指导管理员指南应包括怎样配置防火墙的指令管理员指南应描述在防火墙的安全安装过程中可能要使用的所有配置选项管理员指南应充分描述与安全管理相关的详细过程管理员指南应与提交评估的所有其他文件一致评估者应确认所
27、提供的信息能满足在内容和表述上的所有要求评估者应确认安装过程能产生一个安全的配置用户指南开发者应提供用户指南用户指南应描述用户可使用的安全功能和接口用户指南应包含使用防火墙提供的安全功能的指导对于应该控制在安全的处理环境中的功能和特权用户指南应有警告用户指南应描述那些用户可见的安全功能之间的相互作用用户指南应与提交评估的所有其他文件一致评估者应确认所提供的信息能满足在内容和表述上的所有要求测试保证独立测试一致性开发者应向国家授权的信息安全产品测评认证机构提供用于测试的防火墙防火墙应适合于测试评估者应确认所提供的信息能满足在内容和表述上的所有要求测试覆盖面非形式分析开发者应提供一个对测试覆盖范围
28、的分析测试覆盖范围分析应证明测试文件中确定的测试项目能覆盖防火墙的安全功能评估者应确认所提供的信息能满足在内容和表述上的所有要求功能测试开发者应测试防火墙安全功能并记录其结果开发者应提供测试文件测试文件应由测试计划测试过程描述和测试结果组成测试计划应确定将要测试的安全功能并描述将要达到的测试目标测试过程的描述应确定将要进行的测试并描述测试每一安全功能的实际情况测试文件中的测试结果应给出每一项测试的预期结果开发者得到的测试结果应能证明每一项安全功能与设计目标相符评估者应确认所提供的信息满足在内容和表述上的所有要求测试功能规范开发者应提供对测试深度的分析深度分析应证明测试文件中确定的测试充分表明了
29、防火墙的运行符合安全功能规范评估者应确认所提供的信息满足在内容和表述上的所有要求脆弱性分析保证防火墙安全功能强度的评估开发者应确定防火墙适合作安全功能强度分析的安全机制开发者应对确定的每一机制进行安全功能强度分析加密与鉴别机制应满足有关规定和国家标准对于安全功能对抗威胁的能力防火墙安全功能强度分析应能判定所标明的安全机制对其产生的影响防火墙安全功能强度分析应证明所标明的安全功能强度与安全目标是一致的安全强度分为中等或高等两档评估者应确认所提供的信息满足在内容和表述上的所有要求评估者应确认所有需要强度分析的安全机制已确定评估者应确认各项强度声明已确认开发者脆弱性分析开发者应从用户可能破坏安全策略
30、的明显途径方面对防火墙的各种功能进行分析并提供文件开发者应明确记录对被确定的脆弱性的处置对每一条脆弱性应有证据显示该脆弱性在使用防火墙的环境中不能被利用评估者应确认所提供的信息符合证据在内容和表述上的所有要求评估者应在开发者脆弱性分析的基础上进行渗透测试以确保明显的薄弱点已得到加强基本原理信息技术安全目标的基本原理访问仲裁此安全目标对防止和威胁是必需的管理员访问此安全目标对防止和威胁是必需的个体身份记录此安全目标对防止威胁是必需的防火墙的自保护此安全目标对防止和威胁是必需的审计此安全目标对防止和威胁是必需的表威胁与安全目标之间的映射关系非信息技术安全目标的基本原理安装与操作控制此安全目标对防止
31、和威胁是必需的物理控制此安全目标对防止威胁是必需的授权管理员培训此安全目标对防止和威胁是必需的表威胁和非安全目标之间的映射关系信息技术功能要求的基本原理完整的客体访问控制该组件用于定义防火墙的访问控制功能它直接支持访问仲裁安全目标访问授权与拒绝该组件要求防火墙具有对访问控制功能的配置能力实际上就是允许管理员实现其安全策略该组件直接支持访问仲裁安全目标多种安全属性访问控制该组件规定防火墙的访问控制功能它直接支持访问仲裁安全目标资源分配时对遗留信息的充分保护该组件用于避免遗留数据在存储体中的暴露该组件确保用户不能意外的得到不该属于他们的数据以支持访问控制策略它支持访问仲裁安全目标管理员属性修改该组
32、件要求管理员是唯一能够配置和修改防火墙访问控制功能的人该组件直接支持访问仲裁安全目标和管理员访问安全目标管理员属性查询该组件允许管理员具有查询自己设置的访问控制规则的能力该组件直接支持管理员访问安全目标和访问仲裁安全目标授权管理员可信主机和用户鉴别数据初始化该组件支持授权管理员对鉴别数据的初始化并始终对其进行管理该组件支持个体身份记录安全目标和管理员访问安全目标授权管理员可信主机和用户鉴别数据的基本保护该组件提供用户鉴别数据的保护这样做对满足个体身份记录安全目标和防火墙自保护安全目标是很关键的鉴别失败的基本处理该组件用于防止对防火墙反复隐蔽的攻击特别是像对身份和口令等鉴别数据的猜测尝试它直接支
33、持防火墙自保护安全目标同时支持管理员访问安全目标和个体身份记录安全目标授权管理员可信主机主机和用户属性的初始化通过满足定义和初始化用户属性的需要该组件支持个体身份记录安全目标授权管理员可信主机主机和用户唯一属性定义该组件支持中依赖性满足定义共享属性的需要且直接支持个体身份记录安全目标授权管理员的基本鉴别该组件要求防火墙管理员在使用防火墙之前必须登录它直接支持个体身份记录安全目标单一使用的鉴别机制该组件要求防火墙支持一次性口令它直接支持个体身份记录安全目标授权管理员可信主机主机和用户唯一身份标识该组件支持和中依赖性本功能支持个体身份记录安全目标符合规定的加密操作当向管理员提供远程访问能力时该组件
34、提供对授权管理员与防火墙之间交互过程的保护它直接支持要求的能力和防火墙自保护安全目标防火墙安全策略的不可旁路性该组件是安全产品的基本要求它要求防火墙控制网络用户对服务和资源的每次请求直接支持防火墙自保护安全目标间接支持访问仲裁安全目标安全功能区域分隔该组件用于保证防火墙不受不可信主体的攻击该组件支持防火墙自保护安全目标安全管理角色该组件支持不同的管理员角色以提供对防火墙安全功能的管理和对管理功能的控制该组件直接支持管理员访问安全目标管理功能该组件进一步说明有效并且安全地管理防火墙所必需的功能它直接支持管理员访问安全目标审计数据生成该组件指出特殊类型的审计事件以及审计记录的最少内容需要说明的是在
35、中只需要记录故障事件因此信息量必须是可管理的该组件支持审计安全目标审计跟踪管理该组件进一步定义必要的审计跟踪事务管理能力它直接支持审计安全目标可理解的格式如果没有查阅的手段审计数据是没有任何用处的该组件要求审计记录是可查阅的它直接支持审计安全目标限制审计跟踪访问该组件要求限制使用查阅工具它直接支持审计安全目标和管理员访问安全目标限制审计查阅该组件要求具备查阅审计数据的工具而且这些工具只限于授权管理员使用该组件支持审计安全目标和管理员访问安全目标可选择查阅审计该组件要求提供一定的检索和排序能力因为审计的数据量大所以该组件的意义是显见的该组件直接支持审计安全目标防止审计数据丢失该组件不仅满足审计记录的要求而且还包括了对攻击或故障而导致的审计记录丢失数量的限制在维护相对完整的审计记录时该组件对支持审计安全目标很重要表安全目标和功能要求之间的关系表完保证要求基本原理在厂商没有提供完整的开发记录的情况只进行中低等级安全评估的独立保证为此厂商需要额外承担的最低限度的任务是支持功能测试除此之外如果在开发中已注意使用了合理的标准则厂商不参加也可以进行评估所选的保证级别应满足所有的功能相关性并与设想的威胁环境一致尤其是恶意攻击的威胁不应大于中等级别并且就明显缺陷已对产品做过检查