1、ICS 35.040 L 80 .,r.: . . :.:.1o骂.飞:;:.-.-.,.,/,几.I!i古白主.古iI;_冒冒.引号司-r:_ 1.:古配工飞巳:JlllJr:.,:飞-臼Iw:.-吁.:.:.:. .-.:.-一-,:.:.-. _ H,:f.;_ J.:.:量.唱唱.tiI._ 1I 中华人民共和国国家标准GB/T 31505-2015 信息安全技术主机型防火墙安全技术要求和测试评价方法Information security technology-Technique requirements and testing and evaluation approaches f
2、or host-based firewall and personal firewaH 2015-05-15发布2016-01-01实施.萄罩la.:l.fbJ叭这、乎忘/飞、VJ、)J吨ggzz俨E警军莹主气为中华人民共和国国家质量监督检验检菠总局中国国家标准化管理委员会发布GB/T 31505-2015 目次前言. . . . . . . . . . . . . . . . . . . . . 1 1 范围2 规范性引用文件-3 术语和定义4 主机型防火墙描述. 5 安全技术要求. . . . . . . . . . . . . . . . . . . . . . . . . 2 5.1
3、总体说明. . 2 5.2 基本级要求. . . . . . . . . . . . . . . . . . . . . .,. . . 2 5.3 增强级要求. . . . . . . . . . . . . . . . . . . . . . . 6 6 测试评价方法. . . . . . . . .,. . . . 14 6.1 测试环境. . . . . . . . . . . . . . . . . . . . 14 6.2 基本级测试. . . . . . . . . . . . . . . . . . . . 14 6.3 增强级测试. . . . . . . . . . . .
4、 . . . . . . . . . . . 22 GB/T 31505-2015 前本标准按照GB/T1.1-2009给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位z公安部计算机信息系统安全产品质量监督检验中心、中国电子技术标准化研究院、北京启明星辰技术股份有限公司、公安部第三研究所。本标准主要起草人z陆臻、顾健、韦湘、俞优、邓琦、罗锋盈、许玉娜、张笑笑、吴其聪。I 1 范围信息安全技术主机型防火墙安全技术要求和测试评价方法本标准规定了主机型防火墙的安全技术要求、测评评价方法及安全等级划分。本标准适用于主机型防火墙的设计、开发与测试。2
5、规范性引用文件GB/T 31505-2015 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分z安全保证要求GB/T 25069信息安全技术术语3 术语和定义GB/T 25069界定的以及下列术语和定义适用于本文件。3.1 主机型防火墙host唰basedfirewall and personal firewall 又称基于主机的防火墙或个人防火墙,是一个运行于单机上的软件。它可以监测主机上进行的入站和出站网
6、络连接,并能够通过预先定义的规则,执行基于网络地址和基于应用的访问控制,通常还具有反恶意软件,入侵检测和网络告警等其他安全功能。3.2 安全策略security policy 指有关管理、保护安全域节点的规定和策略。4 主机型防火墙描述主机型防火墙以软件形式安装在最终用户计算机包括个人计算机和服务器)上,阻止由外到内和由内到外的威胁。主机型防火墙不仅可以监测和控制网络级数据流,而且可以监测和控制应用程序,弥补网关防火墙和防病毒软件等传统防御手段的不足。此外,一般运行于服务器上的主机型防火墙还可以对所有的节点进行统一控制,实施统一的安全策略与响应。主机型防火墙保护的资产是受安全策略保护的主机服务
7、和文件等。此外,主机型防火墙软件本身及安全策略等重要数据也是受保护的资产。1 GB/T 31505-2015 5 安全技术要求5.1 总体说明5.1.1 安全技术要求分类本标准将主机型防火墙安全技术要求分为安全功能要求和安全保证要求两个大类。其中,安全功能要求是对主机型防火墙应具备的安全功能提出具体要求,包括IP数据包过滤规则、安全规则修订、入侵防范和安全审计功能等要求z安全保证要求针对主机型防火墙的开发和使用文档的内容提出具体的要求,例如配置管理、交付和运行、开发和指导性文件等。5. 1.2 安全等级本标准按照主机型防火墙安全功能的强度划分安全功能要求的级别,按照。8/T18336.3-20
8、08 划分安全保证要求的级别,安全等级分为基本级和增强级,安全功能强弱和安全保证要求高低是等级划分的具体依据。与基本级内容相比,增强级中要求有所增加或变更的内容在正文中通过宋体加粗表示。5.2 基本级要求5.2.1 安全功能要求5.2.1.1 IP数据包过滤产品应具备包过滤功能,依据TCP/IP等协议中网络数据包的数据格式约定规则,每一条包过滤规则应由下列要素组成za) 数据包方向z产品的包过滤规则应包含基于数据包方向的访问控制,即能够定义数据包的连接发起方和接收方;b) 远程lP地址z产品的包过滤规则应包含基于lP地址的访问控制,即能指定目的IP地址,并且该IP地址应能是任何IP地址、指定I
9、P地址或指定IP地址范围;c) 协议类型包括t1) 根据ICMP网络数据包中的类型和代码字段进行设定,当匹配到相同类型和代码字段时则按对应规则中的数据包处理方式进行处理s2) 根据UDP网络数据包中的本地端口包括单一端口和或端口范围和或远程端口(包括单一端口和或端口范围进行规则匹配F3) 根据TCP网络数据包中的本地端口(包括单一端口和或端口范围和或远程端口(包括单一端口和或端口范围、以及TCP数据包的标志位进行规则匹配过滤。d) 过撼动作包括z1) 拦截52) 通行z3) 继续匹配下一规则。5.2.1.2 安全策略修订产品应提供默认的安全策略,安全策略应能被用户修订za) 用户能选择使用或弃
10、用主机型防火墙提供的安全策略pb) 用户能根据5.2.1.1中的格式规定添加、删除、修改自定义安全策略。2 GB/T 31505-2015 5.2.1.3 应用程序网络访问控制产品的安全功能应能控制主机上每个应用程序使用网络的权限,对应用程序访问网络的控制应包括以下三种方式za) 允许访问z允许该应用程序使用网络Eb) 禁止访问z禁止该应用程序使用网络pc) 访问网络时询问z当应用程序访问网络时,应能对其将进行的访问操作向用户提供详细的报告及询问,并能根据询问结果对该应用程序访问网络的行为进行相应处理。5.2.1.4 入侵防范产品应提供对网络攻击数据包进行监测的能力。5.2.1.5 身份鉴别5
11、.2.1.5.1 基本鉴别在执行任何与管理员相关功能之前,产品应鉴别用户的身份。5.2.1.5.2 鉴别失败处理产品应提供一定的鉴别失败处理措施,防止暴力猜测密码。5.2.1.5.3 超时锁定或注销产品应具有登录超时锁定或注销功能。在设定的时间段内没有任何操作的情况下,终止会话,需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。5.2.1.6 安全管理5.2.1.6.1 标识唯一性产品应为用户提供唯一标识,同时将用户的身份标识与该用户的所有可审计事件相关联。5.2.1.6.2 管理员属性定义若产品支持策略中心进行分布式部署和集中管理,策略中心应能对管理员角色进行区分zd 具有
12、至少两种不同权限的管理员角色,例如安全员、审计员等Eb) 应根据不同的功能模块,自定义各种不同权限角色,并可对管理员分配角色。5.2.1.6.3 远程管理加密若产品支持策略中心并对策略中心实施远程管理,应采取保密措施保护策略中心所实施远程管理的信息。5.2.1.6.4 可信管理主机若产品支持策略中心并且控制台提供远程管理功能,应能对可远程管理的主机地址进行限制。5.2. 1.7 安全审计产品应具备安全审计功能,具体技术要求如下za) 记录事件类型z3 GB/T 31505-2015 1) 匹配包过滤规则的网络通讯信息$2) 管理员的登录成功和失败z3) 对安全策略进行更改的操作E的对安全角色进
13、行增加、删除和属性修改的操作zD 管理员的其他操作。b) 日志内容21) 匹配包过滤规则的网络通讯日志内容应至少包括如下信息z通讯日期和时间、过滤的动作、远程的IP地址、本机的端口、远程的端口和备注F2) 其他日志应记录事件发生的日期、时间、用户际识、事件描述和结果F若采用远程登录方式对产品进行管理还应记录管理主机的地址。c) 日志管理20 应提供能查阅日志的工具s2) 审计事件应存储于掉电非易失性存储介质中,且在存储空间达到阔惶时至少能够通知授权管理员。5.2.2 安全保证要求5.2.2.1 配置管理5.2.2.1.1 版本号开发者应为产品的不同版本提供唯一的标识。5.2.2.1.2 配置项
14、开发者应使用配置管理系统并提供配置管理文挡。配置管理文挡应包括一个配置清单,配置清单应唯一标识组成产品的所有配置项并对配置项进行描述,还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效维护的证据。5.2.2.2 支付与运行5.2.2.2.1 支付程序 开发者应使用一定的交付程序交付产品,并将交付过程文挡化。在给用户方交付产品的各版本时,交付文档应描述为维护安全所必需的所有程序。5.2.2.2.2 安装、生成和启动程序开发者应提供文档说明产品的安装、生成和启动的过程。5.2.2.3 开发5.2.2.3.1 非形式化功能规格说明开发者应提供一个功能规格说明,功能规格说明应满足以下要求z
15、a) 使用非形式化风格来描述产品安全功能及其外部接口pb) 是内在一致的pc) 描述所有外部接口的用途与使用方法,适当时应提供效果、例外情况和出错消息的细节zd) 完备地表示产品安全功能。4 GB/T 31505-2015 5.2.2.3.2 描述性高层设计开发者应提供产品安全功能的高层设计,高层设计应满足以下要求za) 表示应是非形式化的sb) 是内在一致的zc) 按子系统描述安全功能的结构zd) 描述每个安全功能子系统所提供的安全功能性ze) 标识安全功能所要求的任何基础性的硬件、固件或软件,以及在这些硬件、固件或软件中实现的支持性保护机制所提供功能的一个表示zf) 标识安全功能子系统的所
16、有接口;g) 标识安全功能子系统的哪些接口是外部可见的。5.2.2.3.3 非形式化对应性证实开发者应提供产品安全功能表示的所有相邻对之间的对应性分析。对于产品安全功能所表示的每个相邻对,分析应阐明,较为抽象的安全功能表示的所有相关安全功能,应在较具体的安全功能表示中得到正确且完备地细化。5.2.2.4 指导性文档5.2.2.4.1 管理员指南开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一致。管理员指南应说明以下内容za) 管理员可使用的管理功能和接口zb) 怎样安全地管理产品z。在安全处理环境中应被控制的功能和权限Fd) 所有对与产品的安全操作有关的用户行为的假设;e
17、) 所有受管理员控制的安全参数,如果可能,应指明安全值;f) 每一种与管理功能有关的安全相关事件,包括对安全功能所控制实体的安全特性进行的改变zu 所有与管理员有关的IT环境安全要求。5.2.2.4.2 用户指南开发者应提供用户指南,用户指南应与为评估而提供的其他所有文档保持一致。用户指南应说明以下内容za) 产品的非管理员用户可使用的安全功能和接口sM 产品提供给用户的安全功能和接口的使用方法;c) 用户可获取但应受安全处理环境所控制的所有功能和权限zd) 产品安全操作中用户所应承担的职责ze) 与用户有关的IT环境的所有安全要求。5.2.2.5 测试5.2.2.5.1 覆盖证据开发者应提供
18、测试覆盖的证据。在测试覆盖证据中,应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能是对GB/T 31505-2015 应的。5.2.2.5.2 功能测试开发者应测试安全功能,将结果文档化并提供测试文挡。测试文档应包括以下内容za) 测试计划,应标识要测试的安全功能,并描述测试的目标Eb) 测试过程,应标识要执行的测试,并描述每个安全功能的测试概况,这些概况应包括对于其他测试结果的顺序依赖性gc) 预期的测试结果,应表明测试成功后的预期输出zd) 实际测试结果,应表明每个被测试的安全功能能按照规定进行运作。5.2.2.5.3 独立测试5.2.2.5.3. 1 一致性开发者应提供适合
19、测试的产品,提供的测试集合应与其自测产品功能时使用的测试集合相一致。5.2.2.5.3.2 抽样开发者应提供一组相当的资源,用于安全功能的抽样测试。5.2.2.6 脆弱性评定5.2.2.6.1 产品安全功能强度评估开发者应对指导性文档中所标识的每个具有安全功能强度声明的安全机制进行安全功能强度分析,并说明安全机制达到或超过定义的最低强度级别或特定功能强度度量。5.2.2.6.2 开发者脆弱性分析开发者应执行脆弱性分析,并提供脆弱性分析文挡。开发者应从用户可能破坏安全策略的明显途径出发,对产品的各种功能进行分析并提供文档。对被确定的脆弱性,开发者应明确记录采取的措施。对每一条脆弱性,应有证据显示
20、在使用产品的环境中,该脆弱性不能被利用。5.3 增强级要求5.3.1 安全功能要求5.3.1.1 IP数据包过谴产品应具备包过滤功能,依据TCP/IP等协议中网络数据包的数据格式约定规则,每一条包过滤规则应由下列要素组成z6 a) 数据包方向z产品的包过滤规则应包含基于数据包方向的访问控制,即能够定义数据包的连接发起方和接收方。b) 远程IP地址z产品的包过滤规则应包含基于E地址的访问控制,即能指定目的IP地址,并且该IP地址应能是任何IP地址、指定IP地址或指定IP地址范围。c) 协议类型包括z1) 根据ICMP网络数据包中的类型和代码字段进行设定,当匹配到相同类型和代码字段时则按对应规则中
21、的数据包处理方式进行处理FGB/T 31505-2015 2) 根据UDP网络数据包中的本地端口(包括单一端口和或端口范围)和或远程端口(包括单一端口和或端口范围进行规则匹配F3) 根据TCP网络数据包中的本地端口包括单一端口和或端口范围和或远程端口(包括单一端口和或端口范围、以及TCP数据包的标志位进行规则匹配过滤。d) 过滤动作包括E1) 拦截;2) 通行F3) 继续匹配下一规则。5.3.1.2 安全规则修订产品应提供默认的安全规则,安全规则应能被用户修订za) 用户能选择使用或弃用主机型防火墙提供的安全规则sb) 用户能根据5.3.1.1中的格式规定添加、删除、修改自定义安全规则。5.3
22、.1.3 应用程序网络访问控制产品的安全功能应能控制主机上每个应用程序使用网络的权限,对应用程序访问网络的控制应包括以下三种方式za) 允许访问E允许该应用程序使用网络pb) 禁止访问z禁止该应用程序使用网络;c) 访问网络时询问z当应用程序访问网络时,应能对其将进行的访问操作向用户提供详细的报告及询问,并能根据询问结果对该应用程序访问网络的行为进行相应处理。5.3.1 .4 入侵防范产品应提供对网络攻击数据包进行监测和入侵防范的能力,包括:a) 应能够检测到来自网络的攻击行为;b) 应能以一定方式向用户发出警告,以及提示用户采取哪些措施pc) 应具备对于一些特定攻击的阻断能力;d) 应具备建
23、立可更新的攻击特征库的能力。5.3.1.5 网络快速切断/恢复产品应提供一种网络快速切盼恢复的能力,以应对某些特殊的威胁,包括za) 若产晶部署节点支持桌面管理,则应能以快捷的方式切断和恢复所有网络通讯:b) 产晶策略控制中心应能以快捷的方式切断和恢复任意节点的网络通讯。5.3.1.6 统一策略产品应具有集中的策略控制中心,统一管理各个节点的安全策略。5.3. 1.7 统一晌应当某个节点遭受攻击时,整个主机型防火墙系统应从全局分析攻击来摞、攻击路径等信息,统一调整各个节点的安全策略。7 GB/T 31505-2015 5.3.1.8 身份鉴别5.3.1.8.1 基本鉴别在执行任何与管理员相关功
24、能之前,产品应鉴别用户的身份。5.3.1.8.2 鉴别失政处理产品应提供一定的鉴别失败处理措施,防止暴力猜测密码。5.3.1.8.3 超时镇定或注销产品应具有登录超时锁定或注销功能,在设定的时间段内没有任何操作的情况下,终止会话,需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。5.3.1.9 安全管理5.3.1.9.1 标识雄一性产品应为用户提供唯一标识,同时将用户的身份标识与该用户的所有可审计事件相关联。5.3.1.9.2 管理员属性定义产品应能对策略中心的管理员角色进行区分za) 具有至少两种不同权限的管理员角色,例如安全员、审计员等Eb) 应根据不同的功能模块,自定义
25、各种不同权限角色,并可对管理员分配角色。5.3.1.9.3 远程管理加密产品应采取保密措施保护策略中心所实施远程管理的信息。5.3.1.9.4 可信管理主辄若产品支持策略中心并且控制台提供远程管理功能,应能对可远程管理的主机地址进行限制。5.3.1.10 安全审计8 产品应具备安全审计功能,具体技术要求如下za) 记录事件类型z1) 匹配包过滤规则的网络通讯信息zD 管理员的登录成功和失败z3) 对安全策略进行更改的操作z的对安全角色进行增加、删除和属性修改的操作3日管理员的其他操作。b) 日志内容z1) 匹配包过滤规则的网络通讯日志内容应至少包括如下信息z通讯日期和时间、过捷的动作、远程的I
26、P地址、本机的端口、远程的端口和备注z2) 其他日志应记录事件发生的日期、时间、用户标识、事件描述和结果z若采用远程登录方式对产品进行管理还应记录管理主机的地址。日志管理zGB/T 31505-2015 1) 应提供能查阅日志的工具F2) 审计事件应存储于掉电非易失性存储介质中,且在存储空间达到阔值时至少能够通知授权管理员。5.3.2 安全保证要求5.3.2.1 配置管理5.3.2. 1. 1 部分配置管理自动化配置管理系统应提供一种自动方式来支持产晶的生戚,通过该方式确保只能对产晶的实现表示进行巳授权的改变。配置管理计划应描述在配置管理系统中所使用的自动工具,并描述在配置管理系统中如何使用自
27、动工具。5.3.2.1.2 配置管理能力5.3.2.1.2.1 版本号开发者应为产品的不同版本提供唯一的标识。5.3.2.1.2.2 配置项开发者应使用配置管理系统并提供配置管理文挡。配置管理文档应包括一个配置清单,配置清单应唯一标识组成产品的所有配置项并对配置项进行描述,还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效维护的证据。5.3.2.1.2.3 授权控制开发者提供的配置管理文档应包括一个配置管理计划,配置管理计划应描述如何使用配置管理系统。实施的配置管理应与配置管理计划相一致。开发者应提供所有的配置项得到有效地维护的证据,并应保证只有经过授权才能修改配置项。5.3.2.
28、1.2.4 产生支持和接受程序开发者提供的配置管理丈档应包括一个接受计划,接受计划应描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。配置管理系统应支持产晶的生戚。5.3.2.1.3 配置管理范围5.3.2.1.3.1 配置管理覆盖配置管理范围至少应包括产品实现表示、设计丈档、测试文档、指导性丈档、配置管理文档,从而确保它们的修改是在一个正确授权的可控方式下进行的。配置管理丈档至少应能跟踪上述内容,并描述配置管理系统是如何跟踪这些配置项的。5.3.2.1.3.2 问题跟踪配置管理覆盖配置管理范围应包括安全缺陆,确保安全缺陷置于配置管理系统之下。9 G/T 31505-2015 5.3
29、.2.2 交付与运行5.3.2.2.1 吏付程序开发者应使用一定的交付程序交付产品,并将交付过程文挡化。在给用户方交付产品的各版本时,交付文档应描述为维护安全所必需的所有程序。5.3.2.2.2 修改检测交付丈档应描述如何提供多种程序和技术上的措施来检测修改,或检测开发者的主拷贝和用户方所收到版本之间的任何差异。还应描述如何使用多种程序来发现试图伪装成开发者,甚至是在开发者没有向用户方发送任何东西的情况下,向用户方交付产晶。5.3.2.2.3 安装、生成和启动程序开发者应提供文档说明产品的安装、生成和启动的过程。5.3.2.3 开发5.3.2.3.1 功能规范5.3.2.3.1.1 非形式化功
30、能规格说明开发者应提供一个功能规格说明,功能规格说明应满足以下要求EU 使用非形式化风格来描述产品安全功能及其外部接口;b) 是内在一歌的p、 c) 描述所有外部接口的用途与使用方法,适当时应提供效果、例外情况和出错消息的细节pd) 完备地表示产品安全功能。5.3.2.3.1.2 充分定义的外部接口功能规格说明应包括安全功能是完备地表示的合理性。5.3.2.3.2 高层设计5.3.2.3.2.1 描述性高层设计、开发者应提供产品安全功能的高层设计,高层设计应满足以下要求za) 表示应是非形式化的pb) 是内在一致的;c) 按子系统描述安全功能的结构pd) 描述每个安全功能子系统所提供的安全功能
31、性ze) 标识安全功能所要求的任何基础性的硬件、固件或软件,以及在这些硬件、固件或软件中实现的支持性保护机制所提供功能的一个表示zf) 标识安全功能子系统的所有接口zg) 标识安全功能子系统的哪些接口是外部可见的。5.3.2.3.2.2 安全加强的高层设计开发者提供的安全加强的高层设计应满足以下要求za) 描述产晶的功能子系统所有接口的用途与使用方法,适当时应提供效果、例外情况和错误消息GB/T 31505-2015 的细节zb) 把产晶分成安全策略实施和其他子系统来描述。5.3.2.3.3 安全功能实现的子集开发者应为选定的安全功能子集提供实现表示。实现表示应当无歧义而且详细地定义安全功能,
32、使得无须进一步设计就能生成安全功能。实现表示应是内在一致的。5.3.2.3.4 描述性低层设计开发者应提供产晶安全功能的低层设计,低层设计应满足以下要求zd 表示应是非形式化的zb) 是内在一致的sc) 按模块描述安全功能zd) 描述每个模块的用途ze) 根据所提供的安全功能性和对其他模块的依赖关系两方面来定义模块阔的相互关系50 描述每个安全策略实施功能是如何被提供的;g) 标识安全功能模块的所有接口;h) 标识安全功能模块的哪些接口是外部可见的si) 描述安全功能模块所有接口的用途和用法,适当时应提供效果、例外情况和错误消息的细节zj) 把产品分为安全策略实施模块和其他模块来描述。5.3.
33、2.3.5 非形式化对应性证实开发者应提供产品安全功能表示的所有相邻对之间的对应性分析。对于产品安全功能所表示的每个相邻对,分析应阐明,较为抽象的安全功能表示的所有相关安全功能,应在较具体的安全功能表示中得到正确且完备地细化。5.3.2.3.6 非形式化产晶安全策略模型开发者应提供安全策略模型,安全策略模型应满足以下要求za) 表示应是非形式化的zb) 描述所有能被模型化的安全策略的规则与特征zc) 应包含合理性,即论证该模型相对所有能被模型化的安全策略来说是一致的,而且是完备的zd) 应阐明安全策略模型和功能规范之间的对应性,即论证所有功能规范中的安全功能对于安全策略模型来说是一致的,而且是
34、完备的。5.3.2.4 指导性文档5.3.2.4.1 管理员指南开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一致。管理员指南应说明以下内容za) 管理员可使用的管理功能和接口zb) 怎样安全地管理产品zc) 在安全处理环境中应被控制的功能和权限sd) 所有对与产品的安全操作有关的用户行为的假设ze) 所有受管理员控制的安全参数,如果可能,应指明安全值z11 GB/T 31505-2015 f) 每一种与管理功能有关的安全相关事件,包括对安全功能所控制实体的安全特性进行的改变FU 所有与管理员有关的IT环境安全要求。5.3.2.4.2 用户指南开发者应提供用户指南,用户指
35、南应与为评估而提供的其他所有文档保持一致。用户指南应说明以下内容za) 产品的非管理员用户可使用的安全功能和接口sb) 产品提供给用户的安全功能和接口的使用方法zc) 用户可获取但应受安全处理环境所控制的所有功能和权限sd) 产品安全操作中用户所应承担的职责z的与用户有关的IT环境的所有安全要求。5.3.2.5 生命周期支持5.3.2.5.1 安全措施标识开发者应提供开发安全文档。开发安全文挡应描述在产品的开发环境中,为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施,并应提供在产品的开发和维护过程中执行安全措施的证据。5.3.2.5.2 开发者定义的生
36、命周期模型开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制,并提供生命周期定义文挡描述用于开发相维护产品的模型。5.3.2.5.3 明确定义的开发工具开发者应明确定义用于开发产品的工具,并提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义。5.3.2.6 测试5.3.2.6.1 测试覆盖5.3.2.6.1.1 覆盖证据开发者应提供测试覆盖的证据。在测试覆盖证据中,应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能是对应的。5.3.2.6.1.2 覆盖分析开发者应提供测试覆盖的分析结果。测试覆盖的分析结果应表明测试丈档中所标识的测试与功能规范中所
37、描述的产品的安全功能之间的对应性是完备的。5.3.2.6.2 测试z高层设计开发者应提供测试探度的分析。12 GB/T 31505-2015 深度分析应证实测试文档中所标识的测试足以证实该产品的功能是依照其高层设计运行的。5.3.2.6.3 功能测试开发者应测试安全功能,将结果文档化并提供测试文挡。测试文档应包括以下内容=a) 测试计划,应标识要测试的安全功能,并描述测试的目标Eb) 测试过程,应标识要执行的测试,并描述每个安全功能的测试概况,这些概况应包括对于其他测试结果的顺序依赖性;c) 预期的测试结果,应表明测试成功后的预期输出;d) 实际测试结果,应表明每个被测试的安全功能能按照规定进
38、行运作。5.3.2.6.4 虫立测试5.3.2.6.4.1 一致性开发者应提供适合测试的产品,提供的测试集合应与其自测产品功能时使用的测试集合相一致。5.3.2.6.4.2 抽样开发者应提供一组相当的资源,用于安全功能的抽样测试。5.3.2.7 脆弱性评定5.3.2.7.1 误用5.3.2.7.1.1 指南审查开发者应提供指导性文档,指导性文档应满足以下要求za) 标识所有可能的产品运行模式(包括失败或操作失误后的运行)、它们的后果以及对于保持安全运行的意义zb) 是完备的、清晰的、一致的、合理的pd 列出关于预期使用环境的所有假设;d) 列出对外部安全措施(包括外部程序的、物理的或人员的控制
39、)的所有要求。5.3.2.7.1.2 分析确认开发者应提供分析文档论证指导性文档是完备的。5.3.2.7.2 产晶安全功能强度评估开发者应对指导性文档中所标识的每个具有安全功能强度声明的安全机制进行安全功能强度分析,并说明安全机制达到或超过定义的最低强度级别或特定功能强度度量,5.3.2.7.3 脆弱性分析5.3.2.7.3.1 开发者脆弱性分析开发者应执行脆弱性分析,并提供脆弱性分析文挡。开发者应从用户可能破坏安全策略的明显途径出发,对产品的各种功能进行分析并提供文档。对被确定的脆弱性,开发者应明确记录采取的措施。对每一条脆弱性,应有证据显示在使用产品的环境中,该脆弱性不能被利用。13 GB
40、/T 31505-2015 5.3.2.7.3.2 独立的脆弱性分桥开发者应提供文档证明经过标识脆弱性的产品可以抵御明显的穿透性攻击。5.3.2.7.3.3 中级抵抗力开发者应提供文挡证明产晶可以抵御中级强度的穿透性攻击,并提供证据说明对脆弱性的搜索是系统化的。6 测试评价方法6.1 测试环填测试环境见图1: 管理机(策略管理中心主机1(主机型主机2(主机型攻击服务器防火墙)防火墙)圄1主机型防火墙产晶检测环境罔络拓扑圄6.2 基本组测试6.2.1 安全功能测试6.2. 1. 1 IP数据包过遮主机型防火墙产品的IP数据包过滤的测试评价方法和预期结果如下za) 测试评价方法z1) 配置基于不同
41、数据包方向的过滤规则,产生相应的网络会话z14 2) 配置基于不同远程IP地址的过撞规则,产生相应的网络会话FD 配置基于不同协议类型的过滤规则,产生相应的网络会话FO 配置不同过滤动作的过滤规则,产生相应的网络会话F5) 配置用户自定义的过滤规则,过滤条件是以上过滤条件的部分或全部组合,产生相应的网络会话z6) 记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。G/T 31505-2015 b) 预期结果2产品应能根据配置的安全规则实施正确的IP数据包过滤。6.2.1.2 安全规则修订主机型防火墙产品的安全规则修订的测试评价方法和预期结果如下zd 测试评价方法z1) 依据产品所
42、提供的默认保护策略进行网络连通性测试E2) 变更默认策略,再次进行网络连通性测试,直至覆盖产品所提供的所有策略集ED 添加、删除、修改自定义安全规则,进行网络连通性测试;的记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b) 预期结果z产品应能根据修改后的安全规则实施新的安全策略。6.2.1.3 应用程序罔络访问控制主机型防火墙产品的应用程序网络访问控制的测试评价方法和预期结果如下zu 测试评价方法=1) 配置某应用程序允许访问网络,产生相应的程序访问操作$2) 配置某应用程序禁止访问网络,产生相应的程序访问操作z3) 配置某应用程序访问网络时询问,产生相应的程序访问操作;的记
43、录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b) 预期结果z产品应能根据访问控制规则对应用程序的网络访问行为进行控制。6.2.1 .4 入侵防范主机型防火墙产品的人侵防范的测试评价方法和预期结果如下za) 测试评价方法z配置入侵防范规则,用网络攻击工具进行模拟攻击,检查产品能否正确检测攻击。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b) 预期结果z产品应能对人侵行为进行监测并记录。6.2.1.5 身份鉴别6.2.1.5.1 基本鉴别主机型防火墙产品的基本鉴别的测试评价方法和预期结果如下zd 测试评价方法z1) 在用户未鉴别的情况下,检测主机型防火墙产品是
44、否不允许其执行管理功能;2) 若采用网络远程方式管理,检测主机型防火墙产品是否能够对用户所在主机地址进行识别,并验证是否正确p3) 记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b) 预期结果z产品能够保证在任何用户执行管理功能前都要对其进行身份鉴别;若采用网络远程方式管理,主机型防火墙产品应能够对用户所在主机地址进行识别。15 GB/T 31505-2015 6.2.1.5.2 鉴别失败处理主机型防火墙产品的鉴别失败处理的测试评价方法和预期结果如下zd 测试评价方法z1) 以错误的用户口令尝试登录主机型防火墙产品,连续失败达到最大失败次数z2) 以正确的口令尝试登录,检测主
45、机型防火墙产品是否锁定用户或采取其他方式阻止用户进一步的鉴别请求p3) 检测主机型防火墙产品的最大失败次数是否仅由授权用户设定z的记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b) 预期结果z产品应提供鉴别失败处理功能,用户鉴别尝试连续失败达到设定的次数后,能够阻止用户进一步的鉴别请求F最大失败次数仅由授权用户设定。6.2. 1.5.3 超时镇定或注销主机型防火墙产品的超时锁定或注销的测试评价方法和预期结果如下za) 测试评价方法z1) 检查系统是否具有管理员登录超时重新鉴别功能F2) 设定管理员登录超时重新鉴别的时间段,检查登录管理员在设定的时间段内没有任何操作的情况下,系
46、统是否锁定或终止了会话,管理员是否需要再次进行身份鉴别才能够重新管理和使用系统;3) 记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b) 预期结果z1) 系统应具有登录超时重新鉴别功能;2) 任何登录管理员在设定的时间段内没有任何操作的情况下,应被锁定或终止了会话,管理员需要再次进行身份鉴别才能够重新管理和使用系统zD 最大超时时间仅由授权管理员设定。6.2. 1.6 安全管理6.2. 1.6.1 标识雕一性主机型防火墙产品的标识唯一性的测试评价方法和预期结果如下za) 测试评价方法z检查系统的安全功能是否保证所定义的管理员标识全局唯一。记录测试结果并对该结果是否完全符合上述
47、测试评价方法要求做出判断。b) 预期结果z1) 系统应允许定义多个管理员z2) 应保证每一个管理员标识是全局唯一的,不允许一个管理员标识用于多个管理员。6.2.1.6.2 管理员属性定义主机型防火墙产品的管理员属性定义的测试评价方法和预期结果如下za) 测试评价方法z检查系统的安全功能是否允许定义多个角色的管理员。记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断。b) 预期结果z1) 系统应允许定义多个角色的管理员p16 GB/T 31505-2015 2) 每个角色可以具有多个管理员,每个管理员只能属于一个角色z3) 应保证每一个角色标识是全局唯一的,不允许一个角色标识用于多个角色。6.