1、 ICS 35.040 L 80 中华人民共和国国家标准GB/T 31499-2015 信息安全技术统一威胁管理产品技术要求和测试评价方法Information security t优hnology-Technicalrequirements and tting and evaluation approaches for unified threat management products 2015-05-15发布2016-01-01实施fzv飞中华人民共和国国家质量监督检验检菇总局也t吨位J中国国家标准化管理委员会&叩a GB/T 31499-2015 目次前言. . . . . . . .
2、 . . . .皿1 范围. 2 规范性引用文件3 术语和定义. 4 缩略语. . . . . . . . . . . . 3 5 综述. . . . . . 4 5.1 UTM产品概念模型. . . . . . . . . . . . . . . . . 4 5.2 安全环境. . . . . . . . . . . 5 5.3 安全目标. . . . . . . . . . . . . . 6 6 UTM等级划分说明6.1 综述6.2 基本级. . . . . . 7 6.3 增强级. . . . . . . . . . . . . . . . . . 7 6.4 功能和自身安全要求等级划
3、分7 详细技术要求. . 7.1 基本级. . . . . . . . 10 7.2 增强级. . . . . . . . . . . . . . . . . . . . . . 15 7.3 性能指标要求8 UTM产品翻评方法. . . . . . . . . 21 8.1 总体说明. . . . . . 21 8.2 功能测试. . . . . . . . . . . . 21 8.3 性能测试. 参考文献. . . . . . . . . . 44 I GB/T 31499一2015前本标准按照GB/T1.1-2009给出的规则起草._.圄.自自gE习请注意本文件的某些内容可能涉及专利.
4、本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口.本标准起草单位z北京启明星辰信息安全技术有限公司,华北计算技术研究所,清华大学,公安部计算机信息系统安全产品质量监督检验中心,公安部第芝研究所。本标准主要起草人z袁智辉、张怡、罩闻、俞优、顾健、袁卫库、沈颖、邓轶、任平、潘磊、蒋磊、范成刚、刘健、李国俊、肖聪、陈硕、真贝、杨金恒.E 1 范围信息安全技术统一威胁管理产品技术要求和测试评价方法GB/T 31499-2015 本标准规定了统一威胁管理产品的功能要求、性能指标、产品自身安全要求和产品保证要求,以及统一威胁管理产品的分级要求,
5、并根据技术要求给出了测试评价方法。本标准适用于统一威胁管理产品的设计、开发、测试和评价。2 规范性引用文件下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本包括所有的修改单)适用于本文件。GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 18336.12008信息技术安全技术信息技术安全性评估准则第1部分z简介和一般模型(lSO/IEC15408-1: 2005 , IDT) GB/T 25069信息安全技术术语3 术语和定义GB 17859-1999、GB/T25069和GB/T18336.1-20
6、08中界定的以及下列术语和定义适用于本文件。3.1 统一威胁管理unified threat management; UTM 通过统一部署的安全策略,融合多种安全功能,针对面向网络及应用系统的安全威胁进行综合防御的网关型设备或系统。3.2 访问控制accessntrol 通过对访问网络资源用户身份进行鉴别,并依照其所属的预定义组安全策略来授权对其提出的资源访问请求加以控制的技术。3.3 内部罔鳝intemal network 在组织范围内部与外部网络隔离的,受保护的可信网络区域。3.4 外部网络external network 在组织范围以外处理、传递公共资源的公开网络区域。3.5 安全策略s
7、ecurity policy 为保护业务系统安全而采用的具有特定安全防护要求的控制方法、手段和方针,1 GB/T 31499-2015 3.6 病毒virus 在计算机程序中插入破坏计算机功能或者数据,影响计算机使用并且能自我复制的一组计算机指令或程序代码。3.7 病毒特征virus signature 从病毒程序中提取出的一系列二进制字符串,用以标识某个病毒,将其与其他病毒或者正常的计算机程序区分开来。3.8 3.9 3.10 3.11 3.12 3.13 病毒特征库virus si伊aturedatab酣记录各种病毒特征的集合。事件incident 一种试图改变信息系统安全状态并可能造成损
8、害的情况.攻击特征atlack 81伊ature预先定义的能够发现一次攻击事件正在发生的特定信息。入侵intrusion 违反安全策略,避开安全措施,通过各种攻击手段来接入、控制或破坏信息系统的非法行为。入僵防御introsion prot配tioo通过分析网络流量发现具有入侵特征的网络行为,在其传人被保护网络前进行预先拦截的产品。垃摄邮件spam 收件人事先未提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等电子邮件,通常会隐藏或包含虚假的发件人身份、地址、标题等信息。3.14 主舰ht 计算机,用于放置主板及其他主要部件的容器.3.15 用户user 使用者在UTM安全策略的控制下,
9、通过UTM访问某一个区域,该使用者不具有能影响UTM安全策略执行的权限。3.16 授极管理员aotborized administrator 具有UTM管理权限的账户,负责对UTM的系统配置、安全策略、审计日志等进行管理。3.17 告警alert 当检测到攻击或威胁事件产生时.UTM向授权管理员发出的紧急通知。3.18 晌应r呻onseUTM产品检测到攻击事件发生时,阻止攻击并向管理员发送告警的行为。2 GB/T 31499-2015 3.19 吞吐量throogbpot 没有帧丢失的情况下,UTM产品能够接受的最大速率。3.20 延坦latency 数据帧的最后一个位的末尾到达UTM产品内部
10、网络输人端口至数据慎的第一个位的首部到达UTM产品外部网络输出端口之间的时间间隔。3.21 最大并发连接鼓maximom concurrent connection臼pacityUTM产品能同时保持并处理的最大TCP并发连接数目。3.22 3.23 最大新建连接踵率maximum connection四tablishmentrate UTM产品单位时间内所能建立的最大TCP连接速率。链蹄link 两台网络设备之间的物理连接。4 缩畸语下列缩略语适用于本文件。ARP:地址解析协议(AddressResolution ProtocoD AV:防病毒(Anti-virus)CLI:命令行界面(Com
11、mandLine Interface) CRL,证书吊销列表(CertificateRevocation List) DNAT:目的网络地址转换(DestinationNat) DNS,域名系统(DomainName System) FTP:文件传输协议(FileTransfer Protocol) GRE:通用路由封装(GenericRouting Encapsulation) HTML:超文本标记语言(HypertextMarkup Language) HTTP,超文本传送协议(HypertextTransfer Protocol) ICMP:互联网控制报文协议(1nternetContr
12、ol Message Protocol) 1M:即时通讯(1nstantMessaging) IMAP:互联网消息访问协议(1nternetMessage Access ProtocoD IP,互联网协议(1nternetProtocol) IPS:人侵防御系统(IntrusionProtection System ) LDAP:轻量目录访问协议(LightweightDirectory Access ProtocoD L2TP:二层隧道协议(Layer2 Tunneling ProtocoD NAT,网络地址转换(NetworkAddress Translation) NFS:网络文件系统(
13、NetworkFile System) OSPF:开放最短路径优先(OpenShortest Path First) P2P:点对点协议(Peer-to-peerProtocoD POP:邮局协议(PostOffice Protocol) RIP:路由信息协议(RoutingInformation Protocol) 3 GB/T 31499-2015 RPC:远程过程调用(RemoteProcedure Call) SMTP:简单邮件传送协议(SimpleMailTransfer ProtoD SNAT:摞网络地址转换(SourceIp Nat) SNMP:简单网络管理协议(SimpleNe
14、twork Management ProtocoD SQL:结构化查询语言(StructuredQuery Language) SSH:安全外壳协议(SecureShell) TCP:传输控制协议(TransportControl Protocol) TFTP:简单文件传送协议(TrivialFile Transfer ProtocoD UDP:用户数据报协议(UserDatagram ProtocoD URL:统一资源定位符(UniformResource Locator) VLAN,虚拟局域网(VirtualLocal Area Network) 5 镶边5.1 UTM产晶概念模型5.1.
15、1 慨念定义威胁是指违背安全的一种潜能,当存在可能损坏安全的情况、能力、措施或事件时,就一定存在这种可导致破坏的潜能。UTM是由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台,进行抵御来自网络的各种威胁。UTM框架见图1.TCPIIP 协议梳El 时I应用础| S町vice-Hk接口管理EthernetIPPPOEIL2TP I ARP 圈1UTM的架构5.1.2 网络部暑方式4 UTM通常部署在内部网络与外部网络的边界,对流出租进入内部网络的数据进行保护和控制。UTM在实际网络中的部署方式通常包括
16、z透明网桥、路由转发和NAT网关。GB/T 31499-2015 5.1.3 UTM功能组成UTM功能组成如下z一一网络接人功能z具备路由模式、NAT模式、透明模式网络接人能力。一一-带宽管理功能E具备监视、管理流量带宽的能力。一一访问控制功能z具备基本网络数据访问控制能力,根据定义的策略允许对应的IP数据包访问网络资源。一人侵防御功能z采用相关的分析检测技术,对流人目标网络的数据进行提取并分析,并根据定义的策略对入侵行为进行拦截响应。一一一防病毒功能E检测通过网络传输的文件,识别并阻断其中包含恶意代码的信息。一一应用协议控制功能z采用各种分析检测技术,识别并控制通过网络传输的各种网络应用协议
17、。一一管理配置功能z负责UTM产品定制策略、审阅日志、产品状态管理,并以可视化形式提交授权管理员进行管理。5.2 安全环境5.2.1 应用环境UTM适用于有安全网关要求的业务网系统,系统可以工作在三层路由/NAT模式下,也可以直接工作在透明模式下。5.2.2 安全威酶5.2.2.1 综述符合本标准的UTM要求能够对抗5.2.2.2.5.2.2.12中陈述的威胁。威胁代理可以是未授权的个人或未授权使用UTM的外部IT实体。5.2.2.2 未授权访问未授权的个人可能试图通过旁路UTM安全机制的方法,访问和使用UTM提供的安全功能和/或非安全功能。5.2.2.3 鉴别数据愚蠢猜测未授权的个人可能使用
18、反复猜测鉴别数据的方法,并利用所获信息,对UTM实施攻击。5.2.2.4 访问来髓记最由于访问未被记录,因此访问者可能不需对其操作的行为负责,这样可能导致某些攻击者能够逃避检测。5 G/T 31499-2015 5.2.2.5 配置鼓据键破坏未授权的个人可能读、修改或破坏了重要的UTM安全配置数据。5.2.2.6 审计记录破坏/丢失未授权的个人可能通过施尽审计数据存储空间的方法,导致审计记录的丢失或阻止未来审计记录的存储,从而掩盖攻击者的攻击行为。5.2.2.7 无控制的肉同访问内网部分主机可以被外网无限制访问s存在安全隐患。5.2.2.8 无控制的外网访问外网主机对外网访问无控制,存在安全隐
19、患。5.2.2.9 无限制的网络资谭占用未授权的访问滥用网络资源。5.2.2.10 非嚣窟错误行为针对IT系统的错误行为。5.2.2.11 愚蠢行为针对IT系统漏洞的恶意访问或攻击。5.2.2.12 病毒威胁恶意的代理可能会尝试通过网络引人病毒,并攻击系统。5.2.2.13 网络窃昕针对网络传输数据的非法窃听,窗取机雷信息。5.3 安全目标UTM应达到如下安全目标z5.3.1 身份盛删在允许用户访问UTM功能之前,UTM必须对用户身份进行唯一的标识和鉴别。5.3.2 防口令猎副攻击对从网络上进行UTM鉴别的用户,UTM必须防止口令猜测攻击。5.3.3 审计记录必须提供记录安全相关事件的、可读的
20、审计迹的方法,审计记录必须具有精确的日期和时间F对审计迹,TOE必须提供基于属性的检索和分类的方法。5.3.4 自我保#UTM必须做好自身防护,以对抗非授权用户对UTM安全功能的旁路、抑制或篡政的尝试。6 GB/T 31499-2015 5.3.5 谛间控制对于经过UTM传输的数据,UTM必须做到允许或禁止的访问控制。5.3.6 应用层安全分街UTM必须能探测发生在IT系统上的有关访问滥用,恶意行为的所有事件信息s并进行分析。5.3.7 攻击响应UTM必须根据应用层分析结论,对攻击作出响应,如阻断、告警等。5.3.8 病毒防护UTM必须能检测通过网络传播的已知病毒,并对病毒作出处理.6 UTM
21、等级划分说明6. 1 综述依据UTM的网络部署能力、安全能力、自身安全性、保证性要求进行等级划分,分为基本级和增强级两个级别。本文件不依据性能为做等级划分依据。6.2 基本组本级定义了UTM功能的最低轮廓租要求。基本银UTM可部署于相对简单的网络边界,应具备za) 基本的安全能力z包括访问控制、人侵防御、防病毒等能力zb) 基本的自身安全性要求s提供管理员身份鉴别机制、安全审计能力,并能够抵御针对UTM自身的攻击Fc) 基本的开发过程保证性要求。6.3 增强组本级定义了UTM的增强性要求。增强级UTM可对复杂多样的安全威胁实施一体化防御,适用于复杂网络环境,可针对复杂多样的网络应用协议,实施威
22、胁分析与防御。应具备EU 增强的安全能力,利用细粒度分析与标识手段保证访问控制、入侵防御、防病毒等安全能力不被躲避zb) 增强的自身安全性要求z提供多种管理员身份鉴别和校验机制,保证管理员身份的合法性,通过数据加密或校验保证审计数据的可用性和安全性zc) 增强的开发过程保证性要求。6.4 功能和自身安全要求等级划分UTM产品的安全等级划分如表1、表2所示。对UTM产品的等级评定是依据下面两个表格,结合产品保证要求的综合评定得出的,符合基本级的UTM产品应满足表1、表2中所标明的基本级产品应满足的所有项目,以及对基本级产品的相关保证要求F符合增强级的UTM产品应满足表1、表2中所标明的增强级产品
23、应满足的所有项目,以及对增强级产品的相关保证要求。7 GB/T 31499-2015 表,UTM功能要求等级划分产品功能要求功能组件基本要求增强要求NAT功能食食静态路由* 食网络接人策略路由* * 动态路由食流量监测食食带宽管理流量限制* 流量保证食默认禁止原则食食数据拦截食食基于时间的策略控制* 食访问控制数据拦截记录食食IPMAC绑定食基于用户的策略控制食基于URL的访问控制食食应用协议控制基于电子邮件信息头的访问控制随食基于HTTP关键字的访问控制食食1M类协议访问控制食食应用协议控制P2P类协议访问控制食* 协议躲避识别食应用协议特征更新食数据分析食食入侵发现食食事件阻断* 食安全告
24、警能力食食事件可视化食食入侵防御定制特征* 事件分级食报表生成* 定制报表食攻击躲避识别* 入侵特征库更新* 病毒传输检测食* 病毒阻断食食病毒防妒压缩文件病毒检测* 病毒特征库更新食8 GB/T 31499-2015 表1(续产品功能要求功能组件基本要求增强要求用户自定义IP地址标记垃圾邮件食反垃圾邮件邮件自学习食邮件信息记录食本地管理食食远程管理* 食管理配置策略配置食食产品升级食食统一管理* 注=食指具有此功能.囊2UTM产晶自身安全要求等级划分产品功能要求功能组件基本要求增强要求用户属性定义* 食口令鉴别* 食多重鉴别机制食标识与鉴别鉴别失败处理* * 鉴别的时机食食与第三方认证系统配
25、合随审计数据的生成* 食审计数据的查阅食食安全审计审计数据的可用性食受限的审计数据查阅* 安全功能行为管理食* 安全属性管理食* 安全管理基于安全属性的访问控制食* 系统属性管理* 食安全角色食食抗源IP地址欺骗食食抗拒绝服务攻击食抗渗透抗网络、端口扫描食抗漏洞扫描* 可信恢复配置信息不丢失食食注食指具有此功能.9 GB/T 31499-2015 7 详细技术要求7.1 基本级7.1.1 产品功能要求7.1. 1. 1 网络接入7.1. 1.1. 1 NAT功能UTM应支持双向NAT功能,包括SNAT和DNAT,具体技术要求如下za) SNAT应实现多对一地址转换,使得内部网络主机正常访问外部
26、网络时,其源IP地址被转换Fb) DNAT应实现一对一地址转换,将服务器区的IP地址映射为外部网络合法IP地址,使外部网络主机通过访问映射的目的地址时,实现对服务器区服务器的访问。7.1. 1.1.2 静牵路由UTM应支持手工配置静态路由功能,可以让处于不同网段的计算机通过路由转发的方式互相通信。7. 1.1. 1.3 策略路由UTM应至少支持源地址、目的地址、协议、接口的组合控制数据包的转发路径.7. 1.1.2 带宽管理流量监测:UTM应至少支持通过IP地址、时间和协议类型参数或它们的组合进行流量统计。7.1.1.3 审问控制7.1. 1.3.1 融认禁止原则UTM产品应具备在未配置任何访
27、问控制策略时,禁止所有数掘进入目标网络的功能,7.1. 1.3.2 撒据拦截UTM产品应具备对违反策略定义的数据进行阻断的功能,防止未合规数据进入目标网络。策略应至少支持对源IP、目的IP、服务、接口的组合配置。7.1. 1.3.3 基于时间的策略控制UTM应至少支持基于时间的包过滤访问控制。7.1. 1.3.4 撒据拦截记录UTM应能对拦截行为及时生成审计记录,记录的信息应至少包括数据拦截发生日期时间、源IP地址、源端口、目的IP地址、目的端口。7. 1.1.4 应用协议控制7. 1.1.4.1 基于URL的访问控制UTM应支持URL的访问控制功能,能够禁止指定的URL访问。GB/T 314
28、99-2015 7.1.1.4.2 基于电子邮件信息头的访问控制UTM应至少支持对电子邮件中的Subject、To、From域进行的访问控制。7.1. 1.4.3 基于HTTP关键字的访问控制UTM应支持基于关键字过滤HTTP网页内容的功能,控制用户对非法内容的访问。7. 1.1.4.4 1M类协议访问控制UTM应具备1M类协议的访问控制功能,至少支持对MSN、QQ的登录进行控制。7. 1.1.4.5 P2P类协议访问控制UTM应具备P2P类协议的访问控制功能,至少支持对bt文件传输协议、ed2k文件传输协议的阻断。7. 1. 1.5 入侵防御7.1.1.5.1 数据分街UTM产品应对收集的数
29、据包进行分析,应至少支持以下协议类型:ARP、ICMP、IP、TCP、UDP、RPC、HTTP、FTP、TFTP、SNMP、TELNET、DNS、SMTP、POP3,NETBIOS、NFS、MSSQL、5MB、MSN.7. 1. 1.5.2 入侵发现UTM产品应能发现数据中的人侵行为,应至少支持以下人侵行为的检测z木马后门类事件、拒绝服务类事件、缓冲区溢出类事件。7.1. 1.5.3 事件阻断UTM产品应对发现的入侵行为进行预先拦截,防止入侵行为进入目标网络。7. 1.1.5.4 安全告警能力UTM产品应支持在检测到入侵时自动采取相应动作,发出安全警告。告警动作应包含且不限于电子邮件、告警日志
30、。7.1. 1.5.5 事件可视化UTM产品应支持图形界面上查看拦截到的人侵事件。人侵事件信息应至少包括z事件名称、事件发生日期时间、源IP地址、源端口、目的IP地址、目的端口、危害等级。7.1. 1.6 病毒防7. 1. 1.6.1 病毒传输栓翻UTM应具备对通过网络进行传输的病毒的检测能力,可以检测激活的病毒、蠕虫、木马等恶意代码的传输行为并进行日志记录和报誓。检测日志的内容应至少包含事件名称、掘地址、目的地址、事件发生的日期和时间、事件描述。7.1. 1.6.2 病毒阻断UTM应支持对病毒文件传输的阻断,能够拦截试图穿越产品的包含病毒代码的文件传输。11 GB/T 31499-2015
31、7.1. 1.7 管理配置7. 1.1.7.1 本地管理UTM应支持本地CLI或图形管理界面对UTM进行配置管理。7. 1. 1.7.2 远程管理UTM应支持加密的远程管理,如基于SSH、HTTPS协议的远程管理.7. 1.1.7.3 策略配置UTM应支持对访问控制策略、入侵防御策略、病毒防护策略进行配置的功能,包括策略匹配条件、矛盾策略检测和策略相应措施。7. 1.1.7.4 产晶升级UTM产品应支持更新自身系统的能力,包括对软件系统的升级以及各种安全能力特征库的升级。7.1.2 产晶自身安全统一威胁管理产品在进行资源分配时,安全功能应保证其分配的资源中不提供以前所产生的任何信息内容。7.1
32、.2.1 标惧与鉴别7. 1.2.1.1 用户属性定义UTM应维护属于单个用户的安全属性,安全属性应包含且不限于2用户标识(如用户名、授权信息或用户组信息。7.1.2.1.2 口令鉴别UTM应支持通过口令鉴别的方式识别用户。7. 1.2. 1.3 鉴到失政处理UTM产品应支持检测与鉴别事件相关的未成功鉴别尝试次数达到或超过系统默认或仅由授权管理员设定的未成功鉴别次数阔值.当达到或超过所定义的鉴别失败尝试次数时,UTM产品应终止进行登录尝试动作。7. 1.2.1 .4 鉴别的时机在用户被鉴别前,UTM产品安全功能应仅允许用户执行输人登录信息或查看帮助信息等与用户安全无关的操作。在允许执行除输入登
33、录信息和查看帮助信息等与用户安全无关的操作外的其他授权操作前,UTM产品安全功能应要求每个用户都已被成功鉴别.7.1.2.2 安全审计7. 1.2.2.1 审计敏据的生成UTM应支持对自身的管理行为及发生的网络行为和事件进行日志记录za) 应至少支持以下日志z管理员操作行为、访问控制事件、入侵事件、病毒事件、邮件过滤事件、WEB过滤事件Fb) 日志的内容需要包含以下内容E时间、事件类型、主体身份、事件的结果。GB/T 31499-2015 7.1.2.2.2 审计数据的查阅UTM应支持只有授权的管理员可以获得和解释审计信息的能力,用户是人员用户时,审计数据必须以人类可理解的方式表示s用户是外部
34、IT实体时,信息必须能够以电子方式无歧义表示.7. 1.2.3 安全管理7.1.2.3.1 安全功能行为管理UTM产品如果支持下述安全功能,则功能应仅限于巳标识的授权角色能够执行zu 用户的维护如删除、修改、添加、启用或禁用等)J b) 用户角色的维护自。如果一个授权用户能够改变在鉴别前所允许的动作,那么能执行对动作列表的管理sd) 远程管理主机的维护。7. 1.2.3.2 安全属性管理UTM产品安全功能应执行访问控制策略,以仅限于已标识的授权角色能够执行以下安全属性管理行为Ea) 对用户名进行管理操作(如查阅、修改或删除等); b) 对远程管理主机IP地址进行管理操作(如查阅、修改或删除等)
35、; O 对用户权限进行管理操作(如授权、更改或取消等hd) UTM产品应保证经过升级后,安全属性数据的完整性。7.1.2.3.3 基于安全属性的访问控制UTM产品安全功能应基于远程管理主机IP地址、用户名等属性对UTM产品的安全管理执行访问控制策略.7.1.2.3.4 系统属性管理UTM产品安全功能应仅限于巳标识的授权角色能够执行以下管理行为sa) 对审计信息的管理,包含但不限于查阅、查询、清空或导出等行为Fb) 如果产晶允许授权用户管理未成功鉴别尝试次数,则对未成功鉴别尝试次数的设置$0 对鉴别数据的管理如改变用户口令默认值或修改用户口令等7.1.2.3.5 安全角色UTM产品安全功能应维护
36、已标识的授权角色,UTM产品安全功能应能够把用户和角色关联起来。7. 1.2.4 抗浩遗抗源IP地址欺骗,UTM产品应支持抵御源IP地址欺骗攻击。7.1.2.5 可信恢复配置信息不丢失:UTM产品应支持手动保存配置信息或自动保存配置信息,使配置信息可恢复到关机前的状态F支持恢复出厂默认配置.13 GB/T 31499-2015 7.1.3 产晶保证要求7.1.3.1 配置管理开发者应为系统的不同版本提供唯一的标识。系统的每个版本应当使用它们的唯一标识作为标签。7. 1.3.2 交付与运行开发者应提供文档说明系统的安装、生成和启动。7.1.3.3 安全功能开发7.1.3.3.1 功能设计开发者应
37、提供系统的安全功能设计文挡。功能设计应以非形式方法来描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和出错信息的细节。7.1.3.3.2 表示对应性开发者应在产品安全功能表示的所有相邻对之间提供对应性分析。7.1.3.4 文档要求7. 1.3.4.1 管理员指南开发者应提供授权管理员使用的管理员指南。管理员指南应说明以下内容za) 系统可以使用的管理功能和接口zb) 怎样安全地管理系统F。在安全处理环境中应进行控制的功能和权限zd) 所有对与系统的安全操作有关的用户行为的假设pe) 所有受管理员控制的安全参数,如果可能,应指明安全值3f) 每一种
38、与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变Fg) 所有与授权管理员有关的IT环境的安全要求。管理员指南应与为评价而提供的其他所有文件保持一致。7.1.3.4.2 用户指南开发者应提供用户指南。用户指南应说明以下内容za) 系统的非管理用户可使用的安全功能和接口,b) 系统提供给用户的安全功能和接口的用法p。用户可获取但应受安全处理环境控制的所有功能和权限sd) 系统安全操作中用户所应承担的职责F的与用户有关的IT环境的所有安全要求z。开发者应承诺不以任何欺骗、偷窃或其他非法手段收集用户相关信息z不利用技术优势干扰、控制用户产品的正常运行,中断或威胁中断技术支持
39、与服务,不在未经用户同意的情况下收集用户相关信息、将用户相关信息披露或转移给第三方。用户指南应与为评价而提供的其他所有文件保持一致,GB/T 31499-2015 7.1.3.5 开发安全要求开发者应提供开发安全文件。开发安全文件应描述在系统的开发环境中,为保护系统设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施。开发安全文件还应提供在系统的开发和维护过程中执行安全措施的证据。7.1.3.6 测试7. 1.3.6.1 范围开发者应提供测试覆盖的分析结果。测试覆盖的分析结果应表明测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应的。7.1.3.6
40、.2 功能测试开发者应测试安全功能,并提供相应的测试文档。测试文档应包括测试计划、测试规程、预期的测试结果和实际测试结果。测试计划应标识要测试的安全功能,并描述测试的目标。测试规程应标识要执行的测试,并描述每个安全功能的测试概况,这些概况包括对其他测试结果的顺序依旗性。期望的测试结果应表明测试成功后的预期输出.实际测试结果应表明每个被测试的安全功能能按照规定进行运作。7.2 增强辑7.2.1 产晶功能要求7.2. 1. 1 网络摄入动态路由:UTM应至少支持RIP、OSPF路由协议。7.2. 1.2 带宽管理7.2.1.2.1 流量限制UTM应支持管理员将指定掘IP、目的IP、协议的流量限制到
41、规定值。7.2.1.2.2 流量保证UTM应支持拥塞发生时,对管理员指定的源IP、目的IP、协议的流量,按照预先设置的带宽优先转发数据。7.2.1.3 审问控制7.2.1.3.1 IP MAC绑定UTM应支持手工或自动配置IP地址与MAC地址绑定,不符合绑定内容的数据包被丢弃。7.2.1.3.2 基于用户的策略控制UTM应支持基于用户的包过滤访问控制,只有通过认证的用户才能访问特定的网络资源.15 GB/T 31499-2015 7.2.1.4 应用协议控制7.2. 1.4.1 协议躲避识别UTM应支持对采用标准协议如TCP80、443端口等端口上传输其他类型应用的检测和识别。具体技术要求如下
42、za) 支持采用HTTP方式登录的1M软件的禁止,至少支持MSN、QQ;b) 支持采用HTTP、HTTPS方式传输的P2P软件的禁止,至少支持BitTorrent、eMule.7.2.1.4.2 应用协议特征更新UTM应具备对网络应用协议包含且不限于1M、P2P类)的tJj议特征升级能力。7.2. 1.5 入侵防御7.2. 1.5.1 定制特征UTM产品应允许授权管理员自定义事件的特征,符合自定义特征的数据包可以被阻断。7.2.1.5.2 事件分组UTM产品应支持按照事件的严重程度对事件进行分级。7.2.1.5.3 报表生成报表内容应包含表格形式、柱状圈、饼图等,并应能够生成日报、周报等汇总报
43、表。7.2. 1.5.4 定制报表UTM产品应支持授权管理员按照自己的要求修改和定制报表内容,并输出成方便阅读的文件格式,文件格式应至少支持以下文件格式中的一种或多种:DOC、PDF、HTML、XLS。7.2.1.5.5 攻击躲避识副UTM产品应能发现躲避或欺骗检测的行为,应至少支持:IP碎片重组、TCP流重组、协议端口重定位、URL字符串变形、shell代码变形。7.2.1.5.6 入侵特征库更新UTM产品应具备升级入侵特征事件库的能力。7.2.1.6 病毒防#7.2.1.6.1 压缩文件睛毒监测UTM产品应支持检测不同压缩格式的文件,应至少支持ZIP、RAR压缩格式。7.2.1.6.2 病
44、毒特征库更新UTM产品应具备升级病毒特征库的能力。7.2. 1.7 反雄坦邮件7.2.1.7.1 用户自定义IP地址标记垃圾邮件UTM应支持授极管理员设置基于IP地址的反垃圾邮件规则,应能够按照规则将指定IP地址发. GB/T 31499-2015 送的邮件标记为垃圾邮件.7.2. 1.7.2 邮件自学习UTM应支持通过对标记的邮件学习,具备对垃摄邮件的智能识别能力。7.2.1.7.3 邮件信息记录UTM应支持对经过反垃圾邮件功能处理的邮件进行统计,包括正常邮件的数量和标记为垃极邮件的数量。7.2.1.8 管理配置7.2.1.8.1 统一管理UTM应支持通过一个管理中心对多台UTM进行集中管理
45、,需要支持以下功能za) 统一升级软件版本sb) 统一配置,c) 统一监控。7.2.2 产晶自身安全7.2.2.1 标识与鉴别7.2.2.1.1 多重鉴别机制除支持口令鉴别方式外,UTM应支持通过文件证书或USBKey的方式对用户进行身份鉴别。7.2.2.1.2 与第三方认证票统配合UTM应支持与第三方认证系统配合的功能,包括RADIUS或LDAP认证方式。7.2.2.2 安全审计7.2.2.2.1 审计撒握的可用性UTM审计的数据应至少支持z管理员的名称、访问时间、操作时间、登录方式、使用的地址。审计数据的内容应具有可读性。7.2.2.2.2 受限的审计撒据查阅UTM审计的数据应只支持授权管理员查询,非授权用户应无法查询审计数据。7.2.2.3 抗渗嚣7.2.2.3.1 抗拒跑服务攻击UTM产
