[PDF] GB/T 31505-2015 - 自动发货. 英文版
| 标准号码 | 美元 | 购买PDF | 工期 | 标准名称(英文版) |
| GB/T 31505-2015 | 510 | GB/T 31505-2015 | 9秒内发货PDF | 信息安全技术 主机型防火墙安全技术要求和测试评价方法 |
| 基本信息 | |
|---|---|
| 标准编号 | GB/T 31505-2015 (GB/T31505-2015) |
| 中文名称 | 信息安全技术 主机型防火墙安全技术要求和测试评价方法 |
| 英文名称 | [Replaced by GB/T 20281-2020] Information security technology -- Technique requirements and testing and evaluation approaches for host-based firewall and personal firewall |
| 行业 | 国家标准 (推荐) |
| 中标分类 | L80 |
| 国际标准分类 | 35.040 |
| 字数估计 | 39,371 |
| 发布日期 | 2015-05-15 |
| 实施日期 | 2016-01-01 |
| 引用标准 | GB/T 18336.3-2008; GB/T 25069 |
| 标准依据 | 国家标准公告2015年第15号 |
| 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 |
| 范围 | 本标准规定了主机型防火墙的安全技术要求、测评评价方法及安全等级划分。本标准适用于主机型防火墙的设计、开发与测试。 |
GB/T 31505-2015
Information security technology -- Technique requirements and testing and evaluation approaches for host-based firewall and personal firewall
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术 主机型防火墙
安全技术要求和测试评价方法
2015-05-15发布
2016-01-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅰ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 主机型防火墙描述 1
5 安全技术要求 2
5.1 总体说明 2
5.2 基本级要求 2
5.3 增强级要求 6
6 测试评价方法 14
6.1 测试环境 14
6.2 基本级测试 14
6.3 增强级测试 22
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、中国电子技术标准化研究
院、北京启明星辰技术股份有限公司、公安部第三研究所。
本标准主要起草人:陆臻、顾健、韦湘、俞优、邓琦、罗锋盈、许玉娜、张笑笑、吴其聪。
信息安全技术 主机型防火墙
安全技术要求和测试评价方法
1 范围
本标准规定了主机型防火墙的安全技术要求、测评评价方法及安全等级划分。
本标准适用于主机型防火墙的设计、开发与测试。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.3-2008 信息技术 安全技术 信息技术安全性评估准则 第3部分:安全保证
要求
GB/T 25069 信息安全技术 术语
3 术语和定义
GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1
主机型防火墙
又称基于主机的防火墙或个人防火墙,是一个运行于单机上的软件。它可以监测主机上进行的入
站和出站网络连接,并能够通过预先定义的规则,执行基于网络地址和基于应用的访问控制,通常还具
有反恶意软件,入侵检测和网络告警等其他安全功能。
3.2
安全策略
指有关管理、保护安全域节点的规定和策略。
4 主机型防火墙描述
主机型防火墙以软件形式安装在最终用户计算机(包括个人计算机和服务器)上,阻止由外到内和
由内到外的威胁。主机型防火墙不仅可以监测和控制网络级数据流,而且可以监测和控制应用程序,弥
补网关防火墙和防病毒软件等传统防御手段的不足。此外,一般运行于服务器上的主机型防火墙还可
以对所有的节点进行统一控制,实施统一的安全策略与响应。
主机型防火墙保护的资产是受安全策略保护的主机服务和文件等。此外,主机型防火墙软件本身
及安全策略等重要数据也是受保护的资产。
5 安全技术要求
5.1 总体说明
5.1.1 安全技术要求分类
本标准将主机型防火墙安全技术要求分为安全功能要求和安全保证要求两个大类。其中,安全功
能要求是对主机型防火墙应具备的安全功能提出具体要求,包括IP数据包过滤规则、安全规则修订、入
侵防范和安全审计功能等要求;安全保证要求针对主机型防火墙的开发和使用文档的内容提出具体的
要求,例如配置管理、交付和运行、开发和指导性文件等。
5.1.2 安全等级
本标准按照主机型防火墙安全功能的强度划分安全功能要求的级别,按照GB/T 18336.3-2008
划分安全保证要求的级别。安全等级分为基本级和增强级,安全功能强弱和安全保证要求高低是等级
划分的具体依据。与基本级内容相比,增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。
5.2 基本级要求
5.2.1 安全功能要求
5.2.1.1 IP数据包过滤
产品应具备包过滤功能,依据TCP/IP等协议中网络数据包的数据格式约定规则,每一条包过滤规
则应由下列要素组成:
a) 数据包方向:产品的包过滤规则应包含基于数据包方向的访问控制,即能够定义数据包的连接
发起方和接收方;
b) 远程IP地址:产品的包过滤规则应包含基于IP地址的访问控制,即能指定目的IP地址,并且
该IP地址应能是任何IP地址、指定IP地址或指定IP地址范围;
c) 协议类型包括:
1) 根据ICMP网络数据包中的类型和代码字段进行设定,当匹配到相同类型和代码字段时
则按对应规则中的数据包处理方式进行处理;
2) 根据UDP网络数据包中的本地端口(包括单一端口和< 或 >端口范围)和< 或 >远程端口(包
括单一端口和< 或 >端口范围)进行规则匹配;
3) 根据TCP网络数据包中的本地端口(包括单一端口和< 或 >端口范围)和< 或 >远程端口(包
括单一端口和< 或 >端口范围)、以及TCP数据包的标志位进行规则匹配过滤。
d) 过滤动作包括:
1) 拦截;
2) 通行;
3) 继续匹配下一规则。
5.2.1.2 安全策略修订
产品应提供默认的安全策略,安全策略应能被用户修订:
a) 用户能选择使用或弃用主机型防火墙提供的安全策略;
b) 用户能根据5.2.1.1中的格式规定添加、删除、修改自定义安全策略。
5.2.1.3 应用程序网络访问控制
产品的安全功能应能控制主机上每个应用程序使用网络的权限,对应用程序访问网络的控制应包
括以下三种方式:
a) 允许访问:允许该应用程序使用网络;
b) 禁止访问:禁止该应用程序使用网络;
c) 访问网络时询问:当应用程序访问网络时,应能对其将进行的访问操作向用户提供详细的报告
及询问,并能根据询问结果对该应用程序访问网络的行为进行相应处理。
5.2.1.4 入侵防范
产品应提供对网络攻击数据包进行监测的能力。
5.2.1.5 身份鉴别
5.2.1.5.1 基本鉴别
在执行任何与管理员相关功能之前,产品应鉴别用户的身份。
5.2.1.5.2 鉴别失败处理
产品应提供一定的鉴别失败处理措施,防止暴力猜测密码。
5.2.1.5.3 超时锁定或注销
产品应具有登录超时锁定或注销功能。在设定的时间段内没有任何操作的情况下,终止会话,需要
再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。
5.2.1.6 安全管理
5.2.1.6.1 标识唯一性
产品应为用户提供唯一标识,同时将用户的身份标识与该用户的所有可审计事件相关联。
5.2.1.6.2 管理员属性定义
若产品支持策略中心进行分布式部署和集中管理,策略中心应能对管理员角色进行区分:
a) 具有至少两种不同权限的管理员角色,例如安全员、审计员等;
b) 应根据不同的功能模块,自定义各种不同权限角色,并可对管理员分配角色。
5.2.1.6.3 远程管理加密
若产品支持策略中心并对策略中心实施远程管理,应采取保密措施保护策略中心所实施远程管理的信息。
5.2.1.6.4 可信管理主机
若产品支持策略中心并且控制台提供远程管理功能,应能对可远程管理的主机地址进行限制。
5.2.1.7 安全审计
产品应具备安全审计功能,具体技术要求如下:
a) 记录事件类型:
1) 匹配包过滤规则的网络通讯信息;
2) 管理员的登录成功和失败;
3) 对安全策略进行更改的操作;
4) 对安全角色进行增加、删除和属性修改的操作;
5) 管理员的其他操作。
b) 日志内容:
1) 匹配包过滤规则的网络通讯日志内容应至少包括如下信息:通讯日期和时间、过滤的动
作、远程的IP地址、本机的端口、远程的端口和备注;
2) 其他日志应记录事件发生的日期、时间、用户标识、事件描述和结果;若采用远程登录方式
对产品进行管理还应记录管理主机的地址。
c) 日志管理:
1) 应提供能查阅日志的工具;
2) 审计事件应存储于掉电非易失性存储介质中,且在存储空间达到阈值时至少能够通知授权管理员。
5.2.2 安全保证要求
5.2.2.1 配置管理
5.2.2.1.1 版本号
开发者应为产品的不同版本提供唯一的标识。
5.2.2.1.2 配置项
开发者应使用配置管理系统并提供配置管理文档。
配置管理文档应包括一个配置清单,配置清单应唯一标识组成产品的所有配置项并对配置项进行
描述,还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效维护的证据。
5.2.2.2 交付与运行
5.2.2.2.1 交付程序
开发者应使用一定的交付程序交付产品,并将交付过程文档化。
在给用户方交付产品的各版本时,交付文档应描述为维护安全所必需的所有程序。
5.2.2.2.2 安装、生成和启动程序
开发者应提供文档说明产品的安装、生成和启动的过程。
5.2.2.3 开发
5.2.2.3.1 非形式化功能规格说明
开发者应提供一个功能规格说明,功能规格说明应满足以下要求:
a) 使用非形式化风格来描述产品安全功能及其外部接口;
b) 是内在一致的;
c) 描述所有外部接口的用途与使用方法,适当时应提供效果、例外情况和出错消息的细节;
d) 完备地表示产品安全功能。
5.2.2.3.2 描述性高层设计
开发者应提供产品安全功能的高层设计,高层设计应满足以下要求:
a) 表示应是非形式化的;
b) 是内在一致的;
c) 按子系统描述安全功能的结构;
d) 描述每个安全功能子系统所提供的安全功能性;
e) 标识安全功能所要求的任何基础性的硬件、固件或软件,以及在这些硬件、固件或软件中实现
的支持性保护机制所提供功能的一个表示;
f) 标识安全功能子系统的所有接口;
g) 标识安全功能子系统的哪些接口是外部可见的。
5.2.2.3.3 非形式化对应性证实
开发者应提供产品安全功能表示的所有相邻对之间的对应性分析。
对于产品安全功能所表示的每个相邻对,分析应阐明,较为抽象的安全功能表示的所有相关安全功
能,应在较具体的安全功能表示中得到正确且完备地细化。
5.2.2.4 指导性文档
5.2.2.4.1 管理员指南
开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一致。
管理员指南应说明以下内容:
a) 管理员可使用的管理功能和接口;
b) 怎样安全地管理产品;
c) 在安全处理环境中应被控制的功能和权限;
d) 所有对与产品的安全操作有关的用户行为的假设;
e) 所有受管理员控制的安全参数,如果可能,应指明安全值;
f) 每一种与管理功能有关的安全相关事件,包括对安全功能所控制实体的安全特性进行的改变;
g) 所有与管理员有关的IT环境安全要求。
5.2.2.4.2 用户指南
开发者应提供用户指南,用户指南应与为评估而提供的其他所有文档保持一致。
用户指南应说明以下内容:
a) 产品的非管理员用户可使用的安全功能和接口;
b) 产品提供给用户的安全功能和接口的使用方法;
c) 用户可获取但应受安全处理环境所控制的所有功能和权限;
d) 产品安全操作中用户所应承担的职责;
e) 与用户有关的IT环境的所有安全要求。
5.2.2.5 测试
5.2.2.5.1 覆盖证据
开发者应提供测试覆盖的证据。
在测试覆盖证据中,应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能是对应的。
5.2.2.5.2 功能测试
开发者应测试安全功能,将结果文档化并提供测试文档。
测试文档应包括以下内容:
a) 测试计划,应标识要测试的安全功能,并描述测试的目标;
b) 测试过程,应标识要执行的测试,并描述每个安全功能的测试概况,这些概况应包括对于其他
测试结果的顺序依赖性;
c) 预期的测试结果,应表明测试成功后的预期输出;
d) 实际测试结果,应表明每个被测试的安全功能能按照规定进行运作。
5.2.2.5.3 独立测试
5.2.2.5.3.1 一致性
开发者应提供适合测试的产品,提供的测试集合应与其自测产品功能时使用的测试集合相一致。
5.2.2.5.3.2 抽样
开发者应提供一组相当的资源,用于安全功能的抽样测试。
5.2.2.6 脆弱性评定
5.2.2.6.1 产品安全功能强度评估
开发者应对指导性文档中所标识的每个具有安全功能强度声明的安全机制进行安全功能强度分析,
并说明安全机制达到或超过定义的最低强度级别或特定功能强度度量。
5.2.2.6.2 开发者脆弱性分析
开发者应执行脆弱性分析,并提供脆弱性分析文档。
开发者应从用户可能破坏安全策略的明显途径出发,对产品的各种功能进行分析并提供文档。对
被确定的脆弱性,开发者应明确记录采取的措施。
对每一条脆弱性,应有证据显示在使用产品的环境中,该脆弱性不能被利用。
5.3 增强级要求
5.3.1 安全功能要求
5.3.1.1 IP数据包过滤
产品应具备包过滤功能,依据TCP/IP等协议中网络数据包的数据格式约定规则,每一条包过滤规
则应由下列要素组成:
a) 数据包方向:产品的包过滤规则应包含基于数据包方向的访问控制,即能够定义数据包的连接
发起方和接收方。
b) 远程IP地址:产品的包过滤规则应包含基于IP地址的访问控制,即能指定目的IP地址,并且
该IP地址应能是任何IP地址、指定IP地址或指定IP地址范围。
c) 协议类型包括:
1) 根据ICMP网络数据包中的类型和代码字段进行设定,当匹配到相同类型和代码字段时
则按对应规则中的数据包处理方式进行处理;
2) 根据UDP网络数据包中的本地端口(包括单一端口和< 或 >端口范围)和< 或 >远程端口(包
括单一端口和< 或 >端口范围)进行规则匹配;
3) 根据TCP网络数据包中的本地端口(包括单一端口和< 或 >端口范围)和< 或 >远程端口(包
括单一端口和< 或 >端口范围)、以及TCP数据包的标志位进行规则匹配过滤。
d) 过滤动作包括:
1) 拦截;
2) 通行;
3) 继续匹配下一规则。
5.3.1.2 安全规则修订
产品应提供默认的安全规则,安全规则应能被用户修订:
a) 用户能选择使用或弃用主机型防火墙提供的安全规则;
b) 用户能根据5.3.1.1中的格式规定添加、删除、修改自定义安全规则。
5.3.1.3 应用程序网络访问控制
产品的安全功能应能控制主机上每个应用程序使用网络的权限,对应用程序访问网络的控制应包
括以下三种方式:
a) 允许访问:允许该应用程序使用网络;
b) 禁止访问:禁止该应用程序使用网络;
c) 访问网络时询问:当应用程序访问网络时,应能对其将进行的访问操作向用户提供详细的报告
及询问,并能根据询问结果对该应用程序访问网络的行为进行相应处理。
5.3.1.4 入侵防范
产品应提供对网络攻击数据包进行监测和入侵防范的能力,包括:
a) 应能够检测到来自网络的攻击行为;
b) 应能以一定方式向用户发出警告,以及提示用户采取哪些措施;
c) 应具备对于一些特定攻击的阻断能力;
d) 应具备建立可更新的攻击特征库的能力。
5.3.1.5 网络快速切断/恢复
产品应提供一种网络快速切断/恢复的能力,以应对某些特殊的威胁,包括:
a) 若产品部署节点支持桌面管理,则应能以快捷的方式切断和恢复所有网络通讯;
b) 产品策略控制中心应能以快捷的方式切断和恢复任意节点的网络通讯。
5.3.1.6 统一策略
产品应具有集中的策略控制中心,统一管理各个节点的安全策略。
5.3.1.7 统一响应
当某个节点遭受攻击时,整个主机型防火墙系统应从全局分析攻击来源、攻击路径等信息,统一调
整各个节点的安全策略。
5.3.1.8 身份鉴别
5.3.1.8.1 基本鉴别
在执行任何与管理员相关功能之前,产品应鉴别用户的身份。
5.3.1.8.2 鉴别失败处理
产品应提供一定的鉴别失败处理措施,防止暴力猜测密码。
5.3.1.8.3 超时锁定或注销
产品应具有登录超时锁定或注销功能。在设定的时间段内没有任何操作的情况下,终止会话,需要
再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。
5.3.1.9 安全管理
5.3.1.9.1 标识唯一性
产品应为用户提供唯一标识,同时将用户的身份标识与该用户的所有可审计事件相关联。
5.3.1.9.2 管理员属性定义
产品应能对策略中心的管理员角色进行区分:
a) 具有至少两种不同权限的管理员角色,例如安全员、审计员等;
b) 应根据不同的功能模块,自定义各种不同权限角色,并可对管理员分配角色。
5.3.1.9.3 远程管理加密
产品应采取保密措施保护策略中心所实施远程管理的信息。
5.3.1.9.4 可信管理主机
若产品支持策略中心并且控制台提供远程管理功能,应能对可远程管理的主机地址进行限制。
5.3.1.10 安全审计
产品应具备安全审计功能,具体技术要求如下:
a) 记录事件类型:
1) 匹配包过滤规则的网络通讯信息;
2) 管理员的登录成功和失败;
3) 对安全策略进行更改的操作;
4) 对安全角色进行增加、删除和属性修改的操作;
5) 管理员的其他操作。
b) 日志内容:
1) 匹配包过滤规则的网络通讯日志内容应至少包括如下信息:通讯日期和时间、过滤的动
作、远程的IP地址、本机的端口、远程的端口和备注;
2) 其他日志应记录事件发生的日期、时间、用户标识、事件描述和结果;若采用远程登录方式
对产品进行管理还应记录管理主机的地址。
c) 日志管理:
1) 应提供能查阅日志的工具;
2) 审计事件应存储于掉电非易失性存储介质中,且在存储空间达到阈值时至少能够通知授权管理员。
5.3.2 安全保证要求
5.3.2.1 配置管理
5.3.2.1.1 部分配置管理自动化
配置管理系统应提供一种自动方式来支持产品的生成,通过该方式确保只能对产品的实现表示进
行已授权的改变。
配置管理计划应描述在配置管理系统中所使用的自动工具,并描述在配置管理系统中如何使用自动工具。
5.3.2.1.2 配置管理能力
5.3.2.1.2.1 版本号
开发者应为产品的不同版本提供唯一的标识。
5.3.2.1.2.2 配置项
开发者应使用配置管理系统并提供配置管理文档。
配置管理文档应包括一个配置清单,配置清单应唯一标识组成产品的所有配置项并对配置项进行
描述,还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效维护的证据。
5.3.2.1.2.3 授权控制
开发者提供的配置管理文档应包括一个配置管理计划,配置管理计划应描述如何使用配置管理系
统。实施的配置管理应与配置管理计划相一致。
开发者应提供所有的配置项得到有效地维护的证据,并应保证只有经过授权才能修改配置项。
5.3.2.1.2.4 产生支持和接受程序
开发者提供的配置管理文档应包括一个接受计划,接受计划应描述用来接受修改过的或新建的作
为产品组成部分的配置项的程序。
配置管理系统应支持产品的生成。
5.3.2.1.3 配置管理范围
5.3.2.1.3.1 配置管理覆盖
配置管理范围至少应包括产品实现表示、设计文档、测试文档、指导性文档、配置管理文档,从而确
保它们的修改是在一个正确授权的可控方式下进行的。
配置管理文档至少应能跟踪上述内容,并描述配置管理系统是如何跟踪这些配置项的。
5.3.2.1.3.2 问题跟踪配置管理覆盖
配置管理范围应包括安全缺陷,确保安全缺陷置于配置管理系统之下。
5.3.2.2 交付与运行
5.3.2.2.1 交付程序
开发者应使用一定的交付程序交付产品,并将交付过程文档化。
在给用户方交付产品的各版本时,交付文档应描述为维护安全......
英文网页English: GB/T 31505-2015
相关标准: GB/T 31509|GB/T 31500|GB/T 31497|GB/T 31496|GB/T 31505-2015|GB/T 31505|