还剩39页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
ICS
35.040GB/TGBL80中华人民共和I家标准XXXXX—20XX信息安全技术主机型防火墙安全技术要求和测试评价方法Information securitytechnology-Technique requirementsand testingand evaluationapproachesfor host-based firewalland personalfirewall点击此处添加与国际标准一致性程度的标识在提交意见时,请将您知道的相关专利连同支持性文件一并附上(征求意见稿)(本稿完成日期)2013-7-11发布XXXX-XX-XX实施XXXX-XX-XX中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会抽样
5.
2.
2.
1.
12.2开发者应提供一组相当的资源,用于安全功能的抽样测试脆弱性评定
5.2,
2.6产品安全功能强度评估开发者应对指导性文档中所标识的每个具有安全功能强度声明的安全机制进行安全功能强度分析,并说明安全机制达到或超过定义的最低强度级别或特定功能强度度量开发者脆弱性分析开发者应执行脆弱性分析,并提供脆弱性分析文档开发者应从用户可能破坏安全策略的明显途径出发,对产品的各种功能进行分析并提供文档对被确定的脆弱性,开发者应明确记录采取的措施对每一条脆弱性,应有证据显示在使用产品的环境中,该脆弱性不能被利用强级要求
5.
3.安全功能要求
5.
4.1数据包过滤
5.
5.
1.1IP产品应具备包过滤功能,依据等协议中网络数据包的数据格式约定规则,每一条包过滤规则应由TCP/IP下列要素组成)数据包方向产品的包过滤规则应包含基于数据包方向的访问控制,即能够定义数据包的连接发起方和a接收方;)远程地址产品的包过滤规则应包含基于地址的访问控制,即能指定目的地址,并且该地b IP IP IP IP址应能是任何地址、指定地址或指定地址范围;IP IPIP)协议类型包括c)根据网络数据包中的类型和代码字段进行设定,当匹配到相同类型和代码字段时则按对应规1ICMP则中的数据包处理方式进行处理;)根据网络数据包中的本地端口(包括单一端口和〈或〉端口范围)和〈或〉远程端口(包括2UDP单一端口和〈或〉端口范围)进行规则匹配;)根据网络数据包中的本地端口(包括单一端口和〈或〉端口范围)和〈或〉远程端口(包括3TCP单一端口和〈或〉端口范围)、以及数据包的标志位进行规则匹配过滤;)过滤动作包括TCP d)拦截;1)通行;2)继续匹配下一规则3安全规则修订
5.
3.
1.2产品应提供默认的安全规则,安全规则应能被用户修订)用户能选择使用或弃用主机型防火墙提供的安全规则;a)用户能根据中的格式规定添加、删除、修改自定义安全规则b
531.1应用程序网络访问控制
5.
3.
1.3产品的安全功能应能控制主机上每个应用程序使用网络的权限,对应用程序访问网络的控制应包括以下三种方式)允许访问允许该应用程序使用网络;a)禁止访问禁止该应用程序使用网络;b)访问网络时询问当应用程序访问网络时,应能对其将进行的访问操作向用户提供详细的报告及询问,c并能根据询问结果对该应用程序访问网络的行为进行相应处理入侵防范产品应提供对网络攻击数据包进行监测和入侵防范的能力,包括)应能够检测到来自网络的攻击行为;ab)应能以一定方式向用户发出警告,以及提示用户采取哪些措施;c)应具备对于一些特定攻击的阻断能力;d)应具备建立可更新的攻击特征库的能力网络快速切断/恢复
5.3,
1.5产品应提供一种网络快速切断/恢复的能力,以应对某些特殊的威胁,包括a)若产品部署节点支持桌面管理,则应能以快捷的方式切断和恢复所有网络通讯;b)产品策略控制中心应能以快捷的方式切断和恢复任意节点的网络通讯统一策略
5.
3.
1.6产品应具有集中的策略控制中心,统一管理各个节点的安全策略统一响应
5.
3.
1.7当某个节点遭受攻击时,整个主机型防火墙系统应从全局分析攻击来源、攻击路径等信息,统一调整各个节点的安全策略身份鉴别
5.
3.
1.8基本鉴别
5.
3.
1.
8.1在执行任何与管理员相关功能之前,产品应鉴别用户的身份鉴别失败处理
5.
3.产品应提供一定的鉴别失败处理措施,防止暴力猜测密码超时锁定或注销
5.
4.产品应具有登录超时锁定或注销功能在设定的时间段内没有任何操作的情况下,终止会话,需要再次进行身份鉴别才能够重新操作最大超时时间仅由授权管理员设定安全管理
5.
3.
1.9标识唯一性
5.
3.
1.
9.1产品应为用户提供唯一标识,同时将用户的身份标识与该用户的所有可审计事件相关联管理员属性定义产品应能对策略中心的管理员角色进行区分)具有至少两种不同权限的管理员角色,例如安全员、审计员等;a)应根据不同的功能模块,自定义各种不同权限角色,并可对管理员分配角色b产品应采取保密措施保护策略中心所实施远程管理的信息可信管理主机若产品支持策略中心并且控制台提供远程管理功能,应能对可远程管理的主机地址进行限制安全审计产品应具备安全审计功能,具体技术要求如下)记录事件类型a)匹配包过滤规则的网络通讯信息;1)管理员的登录成功和失败;2)对安全策略进行更改的操作;3)对安全角色进行增加、删除和属性修改的操作;4)管理员的其他操作;5)日志内容b)匹配包过滤规则的网络通讯日志内容应至少包括如下信息:通讯日期和时间、过滤的动作、远程的1地址、本机的端口、远程的端口和备注;IP)其他日志应记录事件发生的日期、时间、用户标识、事件描述和结果;若采用远程登录方式对产品2进行管理还应记录管理主机的地址;)日志管理c)应提供能查阅日志的工具;1)审计事件应存储于掉电非易失性存储介质中,且在存储空间达到阈值时至少能够通知授权管理员2安全保证要求配置管理
5.
3.
2.1部分配置管理自动化
5.
3.
2.
1.1配置管理系统应提供一种自动方式来支持产品的生成,通过该方式确保只能对产品的实现表示进行已授权的改变配置管理计划应描述在配置管理系统中所使用的自动工具,并描述在配置管理系统中如何使用自动工具配置管理能力
5.
3.
2.
1.2版本号
5.
3.
2.
1.
2.1开发者应为产品的不同版本提供唯一的标识配置项
5.
3.
2.
1.
2.2开发者应使用配置管理系统并提供配置管理文档配置管理文档应包括一个配置清单,配置清单应唯一标识组成产品的所有配置项并对配置项进行描述,还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效维护的证据授权控制开发者提供的配置管理文档应包括一个配置管理计划,配置管理计划应描述如何使用配置管理系统实施的配置管理应与配置管理计划相一致开发者应提供所有的配置项得到有效地维护的证据,并应保证只有经过授权才能修改配置项产生支持和接受程序开发者提供的配置管理文档应包括一个接受计划,接受计划应描述用来接受修改过的或新建的作为产品组成部分的配置项的程序配置管理系统应支持产品的生成配置管理范围
5.
3.
2.
1.3配置管理覆盖
5.
3.
2.
1.
3.1配置管理范围至少应包括产品实现表示、设计文档、测试文档、指导性文档、配置管理文档,从而确保它们的修改是在一个正确授权的可控方式下进行的配置管理文档至少应能跟踪上述内容,并描述配置管理系统是如何跟踪这些配置项的问题跟踪配置管理覆盖
5.
3.
2.
1.
3.2配置管理范围应包括安全缺陷,确保安全缺陷置于配置管理系统之下交付与运行
5.
3.
2.2交付程序
5.
3.
2.
2.1开发者应使用一定的交付程序交付产品,并将交付过程文档化交付文档应描述在给用户方交付产品的各版本时,为维护安全所必需的所有程序修改检测
5.
3.
2.
2.2交付文档应描述如何提供多种程序和技术上的措施来检测修改,或检测开发者的主拷贝和用户方所收到版本之间的任何差异还应描述如何使用多种程序来发现试图伪装成开发者,甚至是在开发者没有向用户方发送任何东西的情况下,向用户方交付产品安装、生成和启动程序
5.
3.
2.
2.3开发者应提供文档说明产品的安装、生成和启动的过程开发
5.
3.
2.3功能规范
5.
3.
2.
3.1非形式化功能规格说明开发者应提供一个功能规格说明,功能规格说明应满足以下要求)使用非形式化风格来描述产品安全功能及其外部接口;a)是内在一致的;b)描述所有外部接口的用途与使用方法,适当时应提供效果、例外情况和出错消息的细节;c)完备地表示产品安全功能d充分定义的外部接口
5.
3.
2.
3.
1.2功能规格说明应包括安全功能是完备地表示的合理性高层设计
5.
3.
2.
3.2描述性高层设计
5.
3.
2.
3.
2.1开发者应提供产品安全功能的高层设计,高层设计应满足以下要求:)表示应是非形式化的;a)是内在一致的;b)按子系统描述安全功能的结构;c)描述每个安全功能子系统所提供的安全功能性;d)标识安全功能所要求的任何基础性的硬件、固件或软件,以及在这些硬件、固件或软件中实现的支持性e保护机制所提供功能的一个表示;标识安全功能子系统的所有接口;0)标识安全功能子系统的哪些接口是外部可见的g安全加强的高层设计
5.
3.
2.
3.
2.2开发者提供的安全加强的高层设计应满足以下要求)描述产品的功能子系统所有接口的用途与使用方法,适当时应提供效果、例外情况和错误消息的细节;a)把产品分成安全策略实施和其他子系统来描述b安全功能实现的子集
5.
3.
2.
3.3开发者应为选定的安全功能子集提供实现表示实现表示应当无歧义而且详细地定义安全功能,使得无须进一步设计就能生成安全功能实现表示应是内在一致的描述性低层设计
5.
3.
2.
3.4开发者应提供产品安全功能的低层设计,低层设计应满足以下要求)表示应是非形式化的;a)是内在一致的;b)按模块描述安全功能;c)描述每个模块的用途;d)根据所提供的安全功能性和对其他模块的依赖关系两方面来定义模块间的相互关系;e描述每个安全策略实施功能是如何被提供的;0)标识安全功能模块的所有接口;g)标识安全功能模块的哪些接口是外部可见的;h)描述安全功能模块所有接口的用途和用法,适当时应提供效果、例外情况和错误消息的细节;)把产品i j分为安全策略实施模块和其他模块来描述非形式化对应性证实
5.
3.
2.
3.5开发者应提供产品安全功能表示的所有相邻对之间的对应性分析对于产品安全功能所表示的每个相邻对,分析应阐明,较为抽象的安全功能表示的所有相关安全功能,应在较具体的安全功能表示中得到正确且完备地细化非形式化产品安全策略模型
5.
3.
2.
3.6开发者应提供安全策略模型,安全策略模型应满足以下要求)表示应是非形式化的;a)描述所有能被模型化的安全策略的规则与特征;b)应包含合理性,即论证该模型相对所有能被模型化的安全策略来说是一致的,而且是完备的;c)应阐明安全策略模型和功能规范之间的对应性,即论证所有功能规范中的安全功能对于安全策略模型来d说是一致的,而且是完备的指导性文档
5.
3.
2.4管理员指南
5.
3.
2.
4.1开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一致管理员指南应说明以下内容)管理员可使用的管理功能和接口;a)怎样安全地管理产品;b)在安全处理环境中应被控制的功能和权限;c)所有对与产品的安全操作有关的用户行为的假设;d)所有受管理员控制的安全参数,如果可能,应指明安全值;e每一种与管理功能有关的安全相关事件,包括对安全功能所控制实体的安全特性进行的改变;0)所有与管理员有关的环境安全要求g IT用户指南
5.
3.2,
4.2开发者应提供用户指南,用户指南应与为评估而提供的其他所有文档保持一致用户指南应说明以下内容)产品的非管理员用户可使用的安全功能和接口;a)产品提供给用户的安全功能和接口的使用方法;b)用户可获取但应受安全处理环境所控制的所有功能和权限;c)产品安全操作中用户所应承担的职责;d)与用户有关的环境的所有安全要求e IT生命周期支持
6.
3.
2.5安全措施标识
7.开发者应提供开发安全文档开发安全文档应描述在产品的开发环境中,为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施,并应提供在产品的开发和维护过程中执行安全措施的证据开发者定义的生命周期模型
8.开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制,并提供生命周期定义文档描述用于开发和维护产品的模型明确定义的开发工具
9.开发者应明确定义用于开发产品的工具,并提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义测试
10.
3.
2.6测试覆盖
11.
3.
2.
6.1覆盖证据
5.
3.
2.
6.
1.1开发者应提供测试覆盖的证据在测试覆盖证据中,应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能是对应的覆盖分析
5.
3.
2.
6.
1.2开发者应提供测试覆盖的分析结果测试覆盖的分析结果应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能之间的对应性是完备的测试高层设计
5.
3.
2.
6.2开发者应提供测试深度的分析深度分析应证实测试文档中所标识的测试足以证实该产品的功能是依照其高层设计运行的功能测试
5.
3.
2.
6.3开发者应测试安全功能,将结果文档化并提供测试文档测试文档应包括以下内容)测试计划,应标识要测试的安全功能,并描述测试的目标;a)测试过程,应标识要执行的测试,并描述每个安全功能的测试概况,这些概况应包括对于其他测试结果b的顺序依赖性;)预期的测试结果,应表明测试成功后的预期输出;c)实际测试结果,应表明每个被测试的安全功能能按照规定进行运作d独立测试
5.
3.
2.
6.4一致性
5.
3.
2.
6.
4.1开发者应提供适合测试的产品,提供的测试集合应与其自测产品功能时使用的测试集合相一致抽样
5.
3.
2.
6.
4.2开发者应提供一组相当的资源,用于安全功能的抽样测试脆弱性评定
5.3,
2.7误用
5.
3.
2.
7.1指南审查开发者应提供指导性文档,指导性文档应满足以下要求)标识所有可能的产品运行模式(包括失败或操作失误后的运行)、它们的后果以及对于保持安全运行的a意义;)是完备的、清晰的、一致的、合理的;b)列出关于预期使用环境的所有假设;c)列出对外部安全措施(包括外部程序的、物理的或人员的控制)的所有要求d分析确认开发者应提供分析文档论证指导性文档是完备的产品安全功能强度评估
5.
3.
2.
7.2开发者应对指导性文档中所标识的每个具有安全功能强度声明的安全机制进行安全功能强度分析,并说明安全机制达到或超过定义的最低强度级别或特定功能强度度量脆弱性分析
5.
3.
2.
7.3开发者脆弱性分析
5.
3.
2.
7.
3.1开发者应执行脆弱性分析,并提供脆弱性分析文档开发者应从用户可能破坏安全策略的明显途径出发,对产品的各种功能进行分析并提供文档对被确定的脆弱性,开发者应明确记录采取的措施对每一条脆弱性,应有证据显示在使用产品的环境中,该脆弱性不能被利用独立的脆弱性分析
5.
3.
2.
7.
3.2开发者应提供文档证明经过标识脆弱性的产品可以抵御明显的穿透性攻击中级抵抗力开发者应提供文档证明产品可以抵御中级强度的穿透性攻击,并提供证据说明对脆弱性的搜索是系统化的测试评价方法6测试环境
6.1互联网Router内网攻击服务器图主机型防火墙产品检测环境网络
6.1拓扑图基本级测试
6.2管理机(策略管理中主机1(主机型主机2(主机型心)防火墙)防火墙)安全功能测试
6.
3.1数据包过滤
6.
4.
1.1IP主机型防火墙产品的数据包过滤的测试评价方法和预期结果如下IP)测试评价方法a1)配置基于不同数据包方向的过滤规则,产生相应的网络会话;)配置基于不同远程地址的过滤规则,产生相应的网络会话;2IP)配置基于不同协议类型的过滤规则,产生相应的网络会话;3)配置不同过滤动作的过滤规则,产生相应的网络会话;4)配置用户自定义的过滤规则,过滤条件是以上过滤条件的部分或全部组合,产生相应的网络会5话;)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断6)预期结果b产品应能根据配置的安全规则实施正确的数据包过滤IP安全规则修订
6.
2.
1.2主机型防火墙产品的安全规则修订的测试评价方法和预期结果如下)测试评价方法a)依据产品所提供的默认保护策略进行网络连通性测试;1)变更默认策略,再次进行网络连通性测试,直至覆盖产品所提供的所有策略集;2)添加、删除、修改自定义安全规则,进行网络连通性测试;3)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断4)预期结果b产品应能根据修改后的安全规则实施新的安全策略应用程序网络访问控制
6.
2.
1.3主机型防火墙产品的应用程序网络访问控制的测试评价方法和预期结果如下)测试评价方法a)配置某应用程序允许访问网络,产生相应的程序访问操作;1)配置某应用程序禁止访问网络,产生相应的程序访问操作;2)配置某应用程序访问网络时询问,产生相应的程序访问操作;3)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断4)预期结果b产品应能根据访问控制规则对应用程序的网络访问行为进行控制入侵防范
6.
2.
1.4主机型防火墙产品的入侵防范的测试评价方法和预期结果如下)测试评价方法a配置入侵防范规则,用网络攻击工具进行模拟攻击,检查产品能否正确检测攻击记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断)预期结果b产品应能对入侵行为进行监测并记录身份鉴别
7.
2.
1.5基本鉴别
8.
2.
1.5,1主机型防火墙产品的基本鉴别的测试评价方法和预期结果如下)测试评价方法a)在用户未鉴别的情况下,检测主机型防火墙产品是否不允许其执行管理功能;1)若采用网络远程方式管理,检测主机型防火墙产品是否能够对用户所在主机地址进行识别,并验2证是否正确;)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断3)预期结果b产品能够保证在任何用户执行管理功能前都要对其进行身份鉴别;若采用网络远程方式管理,主机型防火墙产品应能够对用户所在主机地址进行识别鉴别失败处理
6.
2.主机型防火墙产品的鉴别失败处理的测试评价方法和预期结果如下)测试评价方法a)以错误的用户口令尝试登录主机型防火墙产品,连续失败达到最大失败次数;1)以正确的口令尝试登录,检测主机型防火墙产品是否锁定用户或采取其他方式阻止用户进一步2的鉴别请求;)检测主机型防火墙产品的最大失败次数是否仅由授权用户设定;3)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断4)预期结果b产品应提供鉴别失败处理功能,用户鉴别尝试连续失败达到设定的次数后,能够阻止用户进一步的鉴别请求;最大失败次数仅由授权用户设定超时锁定或注销主机型防火墙产品的超时锁定或注销的测试评价方法和预期结果如下)测试评价方法a)检查系统是否具有管理员登录超时重新鉴别功能;1)设定管理员登录超时重新鉴别的时间段,检查登录管理员在设定的时间段内没有任何操作的情2况下,系统是否锁定或终止了会话,管理员是否需要再次进行身份鉴别才能够重新管理和使用系统;)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断3)预期结果b1)系统应具有登录超时重新鉴别功能;)任何登录管理员在设定的时间段内没有任何操作的情况下,应被锁定或终止了会话,管理员需2要再次进行身份鉴别才能够重新管理和使用系统;)最大超时时间仅由授权管理员设定3安全管理
6.
2.
1.6标识唯一性
6.
2.
1.
6.1主机型防火墙产品的标识唯一性的测试评价方法和预期结果如下)测试评价方法检查系统的安全功能是否保证所定义的管理员标识全局唯一记录测试结果并对该a结果是否完全符合上述测试评价方法要求做出判断)预期结果b)系统应允许定义多个管理员;1)应保证每一个管理员标识是全局唯一的,不允许一个管理员标识用于多个管理员2管理员属性定义
6.
2.
1.6,2主机型防火墙产品的管理员属性定义的测试评价方法和预期结果如下)测试评价方法检查系统的安全功能是否允许定义多个角色的管理员记录测试结果并对该结果是a否完全符合上述测试评价方法要求做出判断)预期结果b1)系统应允许定义多个角色的管理员;)每个角色可以具有多个管理员,每个管理员只能属于••个角色;2)应保证每一个角色标识是全局唯一的,不允许一个角色标识用于多个角色3远程管理加密主机型防火墙产品的远程管理加密的测试评价方法和预期结果如下)测试评价方法检测主机型防火墙产品远程管理数据是否保密传输记录测试结果并对该结果是否a完全符合上述测试评价方法要求做出判断)预期结果产品能够保证远程管理数据保密传输b可信管理主机
6.
2.
1.
6.4主机型防火墙产品的可信管理主机的测试评价方法和预期结果如下)测试评价方法检测主机型防火墙产品是否能够对可远程管理的主机地址进行限制记录测试结果a并对该结果是否完全符合上述测试评价方法要求做出判断)预期结果产品能够对可远程管理的主机地址进行限制b安全审计
6.
3.
1.7主机型防火墙产品的安全审计的测试评价方法和预期结果如下)测试评价方法a1)模拟生成各类审计事件;)检查日志内容与格式;2)按照产品说明书进行日志查询、备份等操作;3)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断4)预期结果b)记录事件类型1——主机型防火墙产品应能够记录匹配过滤规则的网络通讯信息;——主机型防火墙产品应能记录身份鉴别以及因鉴别失败次数超过了阈值而采取的禁止进一步尝试的措施;——主机型防火墙产品应能记录安全策略的增加、删除、修改、部署;——主机型防火墙产品应能记录用户和角色的增加、删除、修改;——主机型防火墙产品应能够记录对日志进行备份和删除;——主机型防火墙产品应能记录管理员其他操作;)日志内容2——匹配过滤规则的网络通讯信息日志内容应包括如下信息通讯日期和时间、过滤的动作、远程的地址、本机的端口、远程的端口、备注;IP——其他日志应记录事件发生的日期、时间、用户标识、事件描述和结果;若采用远程登录方式对产品进行管理,日志内容应包含管理主机的地址;)日志管理3——主机型防火墙产品应能够按照通讯日期和时间、过滤的动作、远程的地址、本机的端IP口、远程的端口查询匹配过滤规则的网络通讯信息日志内容;——主机型防火墙产品应能够按照事件发生的日期时间、用户标识、事件描述、结果等条件对其他日志内容进行查询;——关机后重启主机,日志记录应不消失;——当剩余数据存储空间达到阈值时,主机型防火墙产品应能提供告警功能;——在数据存储空间耗尽前,主机型防火墙产品应能够采用自动转储等方式将数据备份到其他存储空间安全保证评价配置管理
6.
2.
2.1版本号
6.
2.
2.
1.1版本号的测试评价方法与预期结果如下)测试评价方法a)评价者应审查开发者提供的配置管理支持文件是否包含以下内容版本号,要求开发者所使用1的版本号与所应表示的产品样本应完全对应,没有歧义;)评价者应现场检查在配置管理活动中产品样本是否具备唯一版本号,该版本号是否与产品样本2以及配置管理支持文件的描述完全对应)预期结果b开发者提供的文档和现场活动证据内容应满足上述要求配置项
6.
2.
2.
1.2配置项的测试评价方法与预期结果如下)测试评价方法a1)评价者应审查开发者提供的配置管理文档,是否包括配置清单、配置管理计划配置清单是否描述了组成系统的全部配置项;)评价者应现场检查配置管理系统中的配置项是否与配置清单的描述一致,配置管理系统是否对2所有的配置项作出唯一的标识,配置管理系统是否对配置项进行了维护;)评价者应审查开发者提供的配置管理文档,是否描述了对配置项进行唯一标识的方法3)预期结果b开发者提供的文档和现场活动证据内容应满足上述要求交付与运行
6.
2.
2.2交付程序
7.
2.
2.
2.1交付程序的测试评价方法与预期结果如下)测试评价方法a1)评价者应现场检查开发者是否使用一定的交付程序交付产品;)评价者应审查开发者是否使用文档描述交付过程,文档中是否包含以下内容在给用户方交付2系统的各版本时,为维护安全所必需的所有程序)预期结果b开发者提供的文档和现场活动证据内容应满足上述要求安装、生成和启动程序
8.
2.
2.
2.2安装、生成和启动程序的测试评价方法与预期结果如下)测试评价方法a)评价者应审查开发者是否提供了文档说明系统的安装、生成、启动和使用的过程;1)评价者按照文档描述的方式确认是否能够正确安装、生成和启动程序2)预期结果b开发者提供的文档和现场活动证据内容应满足上述要求开发
9.
2.
2.3非形式化功能规范
10.
2.
2.
3.1非形式化功能规范的测试评价方法与预期结果如下)测试评价方法a评价者应审查非形式化功能规范的如下内容,并确认功能设计是否是安全功能要求的精确和完整的示例——使用非形式化风格来描述产品安全功能与其外部接口;——是内在一致的;——描述使用所有外部产品安全功能接口的目的与方法,适当的时候,要提供结果影响例外情况和出错信息的细节;——功能设计应当完整地表示产品安全功能)预期结果b开发者提供的文档内容应满足上述要求描述性高层设计
6.
2.
2.
3.2描述性高层设计的测试评价方法与预期结果如下)测试评价方法a评价者应审查描述性高层设计的如下内容—使用非形式化风格来表示;——是内在一致的;——按子系统描述安全功能的结构;——描述每个安全功能子系统所提供的安全功能性;——标识安全功能所耍求的任何基础性的硬件、固件或软件,以及在这些硬件、固件或软件中实—现的支持性保护机制所提供功能的一个表示;—标识安全功能子系统的所有接口;——标识安全功能子系统的哪些接口是外部可见的—)预期结果b开发者提供的文档内容应满足上述要求非形式化对应性证实—.
2.
2.
3.3非形式化对应性证实的测试评价方法与预期结果如下)测试评价方法a1)评价者应审查开发者是否在产品安全功能表示的所有相邻对之间提供对应性分析工)其中,系统各种安全功能表示(如系统功能设计、高层设计、低层设计、实现表示)之间的对2应性是所提供的抽象产品安全功能表示要求的精确而完整的示例)产品安全功能在功能设计中进行细化,并且较为抽象的产品安全功能表示的所有相关安全功能3部分,在较具体的产品安全功能表示中进行细化)预期结果b开发者提供的文档内容应满足上述要求指导性文档
6.
2.
2.4管理员指南
7.
2.
2.
4.1管理员指南的测试评价方法与预期结果如下)测试评价方法a评价者应审查开发者是否提供了供授权管理员使用的管理员指南,并且此管理员指南是否包括如下内容——产品可以使用的管理功能和接口;——产品提供给管理员的安全功能和接口的使用方法;——在安全处理环境中应进行控制的功能和权限;——所有对与产品的安全操作有关的用户行为的假设;——所有受管理员控制的安全参数,如果可能,应指明安全值;——每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变;——所有与授权管理员有关的环境的安全要求IT)预期结果b开发者提供的文档内容应满足上述要求用户指南
6.
2.
2.
4.2用户指南的测试评价方法与预期结果如下)测试评价方法a评价者应审查开发者是否提供了供用户使用的用户指南,并且此用户指南是否包括如下内容:——产品的非管理用户可使用的安全功能和接口;——产品提供给用户的安全功能和接口的使用方法;——用户可获取但应受安全处理环境控制的所有功能和权限;——产品安全操作中用户所应承担的职责;——与用户有关的环境的所有安全要求IT)预期结果b开发者提供的文档内容应满足上述要求测试
6.
2.
2.5覆盖证据
6.
2.
2.
5.1覆盖证据的测试评价方法与预期结果如下)测试评价方法a评价者应审查开发者提供的测试覆盖证据,在测试覆盖证据中,是否表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能是对应的)预期结果b开发者提供的文档内容应满足上述要求功能测试
6.
2.
2.
5.2功能测试的测试评价方法与预期结果如下)测试评价方法a1)评价者应审查开发者提供的测试文档,是否包括测试计划、测试规程、预期的测试结果和实际测试结果;)评价者应审查测试计划是否标识了要测试的安全功能,是否描述了测试的目标;2)评价者应审查测试规程是否标识了要执行的测试,是否描述了每个安全功能的测试概况(这些3概况包括对其它测试结果的顺序依赖性);)评价者应审查期望的测试结果是否表明测试成功后的预期输出;4)评价者应审查实际测试结果是否表明每个被测试的安全功能能按照规定进行运作5)预期结果b开发者提供的文档内容应满足上述要求独立测试
6.
2.
2.
5.3一致性
6.
2.
2.
5.
3.1一致性的测试评价方法与预期结果如下)测试评价方法a1)评价者应审查开发者提供的测试产品;)评价者应审查开发者提供的测试集合是否与其自测系统功能时使用的测试集合相一致2)预期结果b开发者提供的文档内容应满足上述要求抽样
6.
2.
2.
5.
3.2抽样的测试评价方法与预期结果如下)测试评价方法a评价者应审查开发者是否提供一组相当的资源,用于安全功能的抽样测试)预期结果b开发者提供的资源应满足上述要求脆弱性评定
6.
2.
2.6产品安全功能强度评估
6.
2.
2.
6.1产品安全功能强度评估的测试评价方法与预期结果如下)测试评价方法a评价者应审查开发者提供的指导性文档,是否对所标识的每个具有安全功能强度声明的安全机制进行了安全功能强度分析,是否说明了安全机制达到或超过定义的最低强度级别或特定功能强度度量)预期结果b开发者提供的文档应满足上述要求开发者脆弱性分析
6.
2.
2.
1.2开发者脆弱性分析的测试评价方法与预期结果如下)测试评价方法a)评价者应审查开发者提供的脆弱性分析文档,是否从用户可能破坏安全策略的明显途径出发,1对产品的各种功能进行了分析;)评价者应审查开发者是否对被确定的脆弱性明确记录了采取的措施;2)对每一条脆弱性,评价者应审查是否有足够证据证明在使用产品的环境中该脆弱性不能被利用3)预期结果b开发者提供的文档应满足上述要求增强级测试
6.3安全功能测试
6.
3.1数据包过滤
6.
3.
1.1IP主机型防火墙产品的数据包过滤的测试评价方法和预期结果如下IP)测试评价方法a)配置基于不同数据包方向的包过滤规则,产生相应的网络会话;1)配置基于不同远程地址的包过滤规则,产生相应的网络会话;2IP)配置基于不同协议类型的包过滤规则,产生相应的网络会话;3)配置不同过滤动作的包过滤规则,产生相应的网络会话;4)配置用户自定义的包过滤规则,过滤条件是))过滤条件的部分或全部组合,产生相应的网51〜5络会话;)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断6)预期结果b产品应能根据配置的安全规则实施正确的数据包过滤IP安全策略修订
1.
3.
1.2主机型防火墙产品的安全策略修订的测试评价方法和预期结果如下)测试评价方法a)依据产品所提供的默认保护策略进行网络连通性测试;1)变更默认策略,再次进行网络连通性测试,直至覆盖产品所提供的所有策略集;2)添加、删除、修改自定义安全策略,进行网络连通性测试;3)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断4)预期结果b产品应能根据修改后的安全规则实施新的安全策略应用程序网络访问控制
1.
4.
1.3主机型防火墙产品的应用程序网络访问控制的测试评价方法和预期结果如下)测试评价方法a)配置某应用程序允许访问网络,产生相应的程序访问操作;1)配置某应用程序禁止访问网络,产生相应的程序访问操作;2)配置某应用程序访问网络时询问,产生相应的程序访问操作;3)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断4)预期结果b产品应能根据访问控制规则对应用程序的网络访问行为进行控制网络快速切断/恢复
6.
3.
1.4主机型防火墙产品的网络快速切断/恢复的测试评价方法和预期结果如下a)测试评价方法1)桌面管理分别进行网络快速恢复/快速切断操作;2)策略中心随机选取部分节点,在产品策略中心对选取的节点分别进行网络快速恢复/快速切断操作;3)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断b)预期结果产品应能根据快速切断/恢复的操作执行相应的策略入侵防范
7.
3.
1.5主机型防火墙产品的入侵防范的测试评价方法和预期结果如下)测试评价方法a)配置入侵防范规则,用网络攻击工具进行模拟攻击,检查产品能否正确检测攻击;12)检查产品能否警告用户,以及提示用户采取哪些措施;3)检查能否阻断一些特定的攻击;4)更新攻击特征库后,测试对象有无升级效果;5)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断)预期结果b产品应能检测、报警、阻断入侵行为,并可更新特征库统一策略
6.
3.
1.6主机型防火墙产品的统一策略的测试评价方法和预期结果如下a)测试评价方法查看产品是否具有策略控制中心,检测产品策略控制中心是否能够有效的对各个节点的安全策略进行的统一管理记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断b)预期结果产品策略控制中心应能有效的对各个节点的安全策略进行统一管理统一响应
6.
3.
1.7主机型防火墙产品的统一响应的测试评价方法和预期结果如下a)测试评价方法通过网络攻击工具对某个节点进行攻击,检测产品是否能够从全局分析攻击来源、攻击路径等信息,并统一调节各个节点的安全策略记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断b)预期结果产品应能从全局分析攻击来源分析攻击路径等信息,统一调节各个节点的安全策略身份鉴别
6.
3.
1.8基本鉴别
6.
3.
1.
8.1主机型防火墙产品的基本鉴别的测试评价方法和预期结果如下)测试评价方法a)在用户未鉴别的情况下,检测主机型防火墙产品是否不允许其执行管理功能;1)若采用网络远程方式管理,检测主机型防火墙产品是否能够对用户所在主机地址进行识别,并验2证是否正确;)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断3)预期结果b产品能够保证在任何用户执行管理功能前都要对其进行身份鉴别;若采用网络远程方式管理,产品能够对用户所在主机地址进行识别鉴别失败处理
1.主机型防火墙产品的鉴别失败处理的测试评价方法和预期结果如下)测试评价方法a)以错误的用户口令尝试登录主机型防火墙产品,连续失败达到最大失败次数;1)以正确的口令尝试登录,检测主机型防火墙产品是否锁定用户或采取其他方式阻止用户进一步2的鉴别请求;)检测主机型防火墙产品的最大失败次数是否仅由授权用户设定;3)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断4)预期结果b)主机型防火墙产品提供鉴别失败处理功能,用户鉴别尝试连续失败达到设定的次数后,能够阻1止用户进一步的鉴别请求;)最大失败次数仅由授权用户设定2超时锁定或注销主机型防火墙产品的超时锁定或注销的测试评价方法和预期结果如下)测试评价方法a1)检查系统是否具有管理员登录超时重新鉴别功能;)设定管理员登录超时重新鉴别的时间段,检查登录管理员在设定的时间段内没有任何操作的情2况下,系统是否锁定或终止了会话,管理员是否需要再次进行身份鉴别才能够重新管理和使用系统;)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断3)预期结果b)系统应具有登录超时重新鉴别功能;1)任何登录管理员在设定的时间段内没有任何操作的情况下,应被锁定或终止了会话,管理员需2要再次进行身份鉴别才能够重新管理和使用系统;)最大超时时间仅由授权管理员设定3安全管理
6.
3.
1.9标识唯一性
7.
3.
1.
9.1主机型防火墙产品的标识唯一性的测试评价方法和预期结果如下)测试评价方法a检查系统的安全功能是否保证所定义的管理员标识全局唯一记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断)预期结果b1)系统应允许定义多个管理员;)应保证每一个管理员标识是全局唯一的,不允许一个管理员标识用于多个管理员;2管理员属性定义
6.
3.主机型防火墙产品的管理员属性定义的测试评价方法和预期结果如下)测试评价方法a定义分属于不同角色的多个管理员,检查输入的管理员信息是否都能被保存记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断)预期结果b系统应为每一个管理员保存其安全属性,包括管理员标识、鉴别数据(如密码)、授权信息或管理员组信息、其它安全属性等输入的管理员信息无丢失现象发生远程管理加密
6.
4.主机型防火墙产品的远程管理加密的测试评价方法和预期结果如下)测试评价方法a检测主机型防火墙产品远程管理数据是否保密传输记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断)预期结果b产品能够保证远程管理数据保密传输管理员角色
6.
5.主机型防火墙产品的管理员角色的测试评价方法和预期结果如下)测试评价方法a检查系统的安全功能是否允许定义多个角色的管理员记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断)预期结果b1)系统应允许定义多个角色的管理员;)每个角色可以具有多个管理员,每个管理员只能属于一个角色;2)应保证每一个角色标识是全局唯一的,不允许一个角色标识用于多个角色3可信管理主机主机型防火墙产品的可信管理主机的测试评价方法和预期结果如下)测试评价方法a检测主机型防火墙产品是否能够对可远程管理的主机地址进行限制记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断)预期结果b产品应能够对可远程管理的主机地址进行限制安全审计
6.
3.
1.10主机型防火墙产品的安全审计的测试评价方法和预期结果如下)测试评价方法a1)模拟生成各类审计事件;)检查日志内容与格式;2)按照产品说明书进行日志查询、备份等操作;3)记录测试结果并对该结果是否完全符合上述测试评价方法要求做出判断4)预期结果b)记录事件类型1——主机型防火墙产品应能够记录匹配过滤规则的网络通讯信息;——主机型防火墙产品应能记录身份鉴别以及因鉴别失败次数超过了阈值而采取的禁止进一步尝试的措施;——主机型防火墙产品应能记录安全策略的增加、删除、修改、部署;——主机型防火墙产品应能记录用户和角色的增加、删除、修改;——主机型防火墙产品应能够记录对日志进行备份和删除;——主机型防火墙产品应能记录管理员其他操作;)日志内容2——匹配过滤规则的网络通讯信息日志内容应包括如下信息通讯日期和时间、过滤的动作、远程的地址、本机的端口、远程的端口、备注;IP——其他日志应记录事件发生的日期、时间、用户标识、事件描述和结果;若采用远程登录方式对产品进行管理,日志内容应包含管理主机的地址;)日志管理3——主机型防火墙产品应能够按照通讯日期和时间、过滤的动作、远程的地址、本机的端IP口、远程的端口查询匹配过滤规则的网络通讯信息日志内容;——主机型防火墙产品应能够按照事件发生的日期时间、用户标识、事件描述、结果等条件对其他日志内容进行查询;——关机后重启主机,日志记录应不消失;——当剩余数据存储空间达到阈值时,主机型防火墙产品应能提供告警功能;——在数据存储空间耗尽前,主机型防火墙产品应能够采用自动转储等方式将数据备份到其他存储空间安全保证测试
6.
3.2配置管理
6.
3.
2.1部分配置管理自动化
6.
3.
2.
1.1部分配置管理自动化的测试评价方法与预期结果如下)测试评价方法a1)评价者应审查配置管理系统是否提供一种自动方式来支持产品的生成,通过该方式是否能够确保只能对产品的实现表示进行已授权的改变2)评价者应审查配置管理计划是否描述配置管理系统中所使用的自动工具以及该工具的使用方法)预期结果b开发者提供的现场活动证据内容应满足上述要求配置管理能力
6.
3.
2.
1.2版本号
6.
3.
2.
1.
2.1版本号的测试评价方法与预期结果如下)测试评价方法a1)评价者应审查开发者提供的配置管理支持文件是否包含以下内容版本号,要求开发者所使用的版本号与所应表示的产品样本应完全对应,没有歧义;)评价者应现场检查在配置管理活动中产品样本是否具备唯一版本号,该版本号是否与产品样本2以及配置管理支持文件的描述完全对应)预期结果b开发者提供的文档和现场活动证据内容应满足上述要求配置项
6.
3.
2.
1.
2.2配置项的测试评价方法与预期结果如下)测试评价方法a1)评价者应审查开发者提供的配置管理文档,是否包括配置清单、配置管理计划配置清单是否描述了组成系统的全部配置项;)评价者应现场检查配置管理系统中的配置项是否与配置清单的描述一致,配置管理系统是否对2所有的配置项作出唯一的标识,配置管理系统是否对配置项进行了维护;)评价者应审查开发者提供的配置管理文档,是否描述了对配置项进行唯一标识的方法3)预期结果b开发者提供的文档和现场活动证据内容应满足上述要求授权控制授权控制的测试评价方法与预期结果如下)测试评价方法a1)评价者应审查开发者提供的配置管理计划文档,该文档是否描述配置管理系统的使用方法)评价者应现场检查实施的配置管理活动是否与配置管理计划文档的描述相一致;23)评价者应审查开发者提供的证据,这些证据应表明配置项得到了有效地维护评价者应现场检查是否只有经过授权才能修改配置项)预期结果b开发者提供的文档和现场活动证据内容应满足上述要求产生支持和接受程序产生支持和接受程序的测试评价方法与预期结果如下)测试评价方法a1)评价者应审查开发者提供的配置管理文档是否包括一个接受计划,接受计划是否描述用来接受修改过的或新建的作为产品组成部分的配置项的程序2)评价者应审查配置管理系统是否支持产品的生成)预期结果b开发者提供的文档和现场活动证据内容应满足上述要求GB/T XXXXX—20XX-J-Z--1—刖百本标准按照『的规则起草GB/T L2009本标准由全国信息安全标准化技术委员会提出并归口SAC/TC260本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、中国电子技术标准化研究院、北京启明星辰技术股份有限公司、公安部第三研究所本标准主要起草人陆臻、顾健、韦湘、俞优、邓琦、罗锋盈、许玉娜、张笑笑、吴其聪配置管理覆盖
6.
3.
2.
1.
3.1配置管理覆盖的测试评价方法与预期结果如下)测试评价方法a1)评价者应审查开发者提供的配置管理支持文档是否说明了产品配置管理范围,配置管理范围至少包括产品实现表示、设计文档、测试文档、指导性文档、配置管理文档等配置项,从而确保这些配置项的修改是在一个正确授权的可控方式下进行的2)评价者应现场检查开发者所使用的配置管理系统至少能跟踪上述配置管理之下的内容;3)评价者应审查开发者提供的配置管理支持文档是否说明了配置管理系统跟踪配置项的方法)预期结果b开发者提供的文档和现场活动证据内容应满足上述要求问题跟踪配置管理覆盖
7.问题跟踪配置管理覆盖的测试评价方法与预期结果如下)测试评价方法a评价者应审查开发者是否将安全缺陷纳入配置管理范围,是否对安全缺陷进行跟踪)预期结果b开发者提供的文档和现场活动证据内容应满足上述要求交付与运行
8.
3.
2.2交付程序
9.
3.
2.
2.1交付程序的测试评价方法与预期结果如下)测试评价方法a1)评价者应现场检查开发者是否使用一定的交付程序交付产品;)评价者应审查开发者是否使用文档描述交付过程,文档中是否包含以下内容在给用户方交付2系统的各版本时,为维护安全所必需的所有程序)预期结果b开发者提供的文档和现场活动证据内容应满足上述要求修改检测
6.
3.
2.
2.2修改检测的测试评价方法与预期结果如下)测试评价方法a1)评价者应审查开发者提供的文档是否描述了程序或技术措施,这些程序或技术措施可实现以下目的——检测修改;——检测开发者的主拷贝和用户方所收到版本之间的任何差异;一一发现试图伪装成开发者,甚至是在开发者没有向用户方发送任何东西的情况下,向用户方交付产品2)评价者应现场检查开发者使用的程序是否与文档描述一致)预期结果b开发者提供的文档和现场活动证据内容应满足上述要求安装、生成和启动程序
6.
3.
2.
2.3安装、生成和启动程序的测试评价方法与预期结果如下)测试评价方法a1)评价者应审查开发者是否提供了文档说明系统的安装、生成、启动和使用的过程;)评价者按照文档描述的方式确认是否能够正确安装、生成和启动程序2)预期结果b开发者提供的文档和现场活动证据内容应满足上述要求开发
6.
3.
2.3功能规范
7.
3.
2.
3.1非形式化功能规范
8.
3.
2.
3.
1.1非形式化功能规范的测试评价方法与预期结果如下)测试评价方法a评价者应审查非形式化功能规范的如下内容,并确认功能设计是否是安全功能要求的精确和完整的示例——使用非形式化风格来描述产品安全功能与其外部接口;——是内在一致的;——描述使用所有外部产品安全功能接口的目的与方法,适当的时候,要提供结果影响例外情况和出错信息的细节;——功能设计应当完整地表示产品安全功能)预期结果b开发者提供的文档内容应满足上述要求充分定义的外部接口
6.
3.
2.
3.
1.2充分定义的外部接口的测试评价方法与预期结果如下)测试评价方法a评价者应审查开发者所提供的功能规范和安全功能的对应性能够完备合理的表示安全功能)预期结果b开发者提供的文档内容应满足上述要求高层设计
7.
3.
2.
3.2描述性高层设计
8.
3.
2.
3.
2.1描述性高层设计的测试评价方法与预期结果如下)测试评价方法a评价者应审查描述性高层设计的如下内容——使用非形式化风格来表示;——是内在一致的;——按子系统描述安全功能的结构;——描述每个安全功能子系统所提供的安全功能性;——标识安全功能所要求的任何基础性的硬件、固件或软件,以及在这些硬件、固件或软件中实现的支持性保护机制所提供功能的••个表示;——标识安全功能子系统的所有接口;——标识安全功能子系统的哪些接口是外部可见的)预期结果b开发者提供的文档内容应满足上述要求安全加强的高层设计的测试评价方法与预期结果如下a)测试评价方法1)评价者应审查高层设计是否描述系统的功能子系统所有接口的用途与使用方法,是否适当描述效果、例外情况和错误消息的细节;2)评价者应审查高层设计是否把系统分成安全策略实施和其它子系统来描述b)预期结果开发者提供的文档内容应满足上述要求安全功能实现的子集
6.
3.
2.
3.3安全功能实现的子集的测试评价方法与预期结果如下)测试评价方法a评价者应审查开发者提供的实现表示是否无歧义而且详细地定义安全功能,使得无须进一步设计就能生成安全功能实现表示应是内在一致的)预期结果b开发者提供的文档内容应满足上述要求描述性低层设计
6.
3.
2.
3.4描述性低层设计的测试评价方法与预期结果如下)测试评价方法a评价者应审查描述性低层设计的如下内容—使用非形式化风格来表示;——是内在一致的;——按模块描述安全功能;——描述每个模块的用途;—一一根据所提供的安全功能性和对其他模块的依赖关系两方面来定义模块间的相互关系;—描述每个安全策略实施功能是如何被提供的;——标识安全功能模块的所有接口;—一—标识安全功能模块的哪些接口是外部可见的;—描述安全功能模块所有接口的用途和用法,适当时应提供效果、例外情况和错误消息的细—节;—把产品分为安全策略实施模块和其他模块来描述—)预期结果b开发者提供的文档内容应满足上述要求非形式化对应性证实—.
3.
2.
3.5非形式化对应性证实的测试评价方法与预期结果如下)测试评价方法a)评价者应审查开发者是否在产品安全功能表示的所有相邻对之间提供对应性分析1)其中,系统各种安全功能表示(如系统功能设计、高层设计、低层设计、实现表示)之间的对2应性是所提供的抽象产品安全功能表示要求的精确而完整的示例)产品安全功能在功能设计中进行细化,并且较为抽象的产品安全功能表示的所有相关安全功能3部分,在较具体的产品安全功能表示中进行细化)预期结果b开发者提供的文档内容应满足上述要求非形式化产品安全策略模型—.
3.
2.
3.6对非形式化产品安全策略模型的测试评价方法与预期结果如下)测试评价方法a评价者应审查安全策略模型的如下内容一一使用非形式化风格来表示;——描述所有能被模型化的安全策略的规则与特征;——应包含合理性,即论证该模型相对所有能被模型化的安全策略来说是一致的,而且是完备的;——阐明安全策略模型和功能规范之间的对应性,即论证所有功能规范中的安全功能对于安全策略模型来说是一致的,而且是完备的)预期结果b开发者提供的文档内容应满足上述要求指导性文档
6.
3.
2.4管理员指南
7.
3.
2.
4.1管理员指南的测试评价方法与预期结果如下)测试评价方法a评价者应审查开发者是否提供了供授权管理员使用的管理员指南,并且此管理员指南是否包括如下内容——产品可以使用的管理功能和接口;——产品提供给管理员的安全功能和接口的使用方法;——在安全处理环境中应进行控制的功能和权限;——所有对与产品的安全操作有关的用户行为的假设;——所有受管理员控制的安全参数,如果可能,应指明安全值;——每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变;——所有与授权管理员有关的环境的安全要求IT)预期结果b开发者提供的文档内容应满足上述要求用户指南
6.
3.
2.
4.2用户指南的测试评价方法与预期结果如下)测试评价方法a评价者应审查开发者是否提供了供用户使用的用户指南,并且此用户指南是否包括如下内容:——产品的非管理用户可使用的安全功能和接口;——产品提供给用户的安全功能和接口的使用方法;——用户可获取但应受安全处理环境控制的所有功能和权限;——产品安全操作中用户所应承担的职责;——与用户有关的环境的所有安全要求IT)预期结果b开发者提供的文档内容应满足上述要求生命周期支持安全措施标识
6.
3.
2.
56.
3.
2.
5.1安全措施标识的测试评价方法与预期结果如下:)测试评价方法a)评价者应审查开发者提供的开发安全文档,该文档是否描述了在系统的开发环境中,为保护系1统设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其它方面的安全措施;)评价或则应现场检查产品的开发环境,开发者是否使用了物理的、程序的、人员的和其它方面2的安全措施保证产品设计和实现的保密性和完整性,这些安全措施是否得到了有效的执行)预期结果b开发者提供的文档内容应满足上述要求开发者定义的生命周期模型
6.
3.
2.
5.2开发者定义的生命周期模型的测试评价方法与预期结果如下)测试评价方法a1)开发者应提供证据证明使用了生命周期模型对产品的开发和维护进行的必要控制,评价者应对证据的内容进行审查;)评价者应审查开发者提供生命周期定义文档是否描述了用于开发和维护产品的模型2)预期结果b开发者提供的文档内容应满足上述要求明确定义的开发工具
6.
3.
2.
5.3明确定义的开发工具的测试评价方法与预期结果如下)测试评价方法a评价者应审查开发者所提供的开发安全文档是否明确定义了用于开发产品的工具,并提供了开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义)预期结果b开发者提供的文档内容应满足上述要求测试
6.
3.
2.6测试覆盖
6.
3.
2.
6.1覆盖证据
6.
3.
2.
6.
1.1覆盖证据的测试评价方法与预期结果如下)测试评价方法a评价者应审查开发者提供的测试覆盖证据、在测试覆盖证据中,是否表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能是对应的)预期结果b开发者提供的文档内容应满足上述要求覆盖分析
6.
3.
2.
6.
1.2覆盖分析的测试评价方法与预期结果如下a)测试评价方法1)评价者应审查开发者提供的测试覆盖分析结果,是否表明了测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应的;2)评价测试文档中所标识的测试,是否完整b)预期结果开发者提供的文档内容应满足上述要求测试高层设计
6.
3.
2.
6.2XXX测试深度的测试评价方法与预期结果如下a)测试评价方法评价者应审查开发者提供的测试深度分析,是否说明了测试文档中所标识的对安全功能的测试,足以表明该安全功能和高层设计是一致的b)预期结果开发者提供的文档内容应满足上述要求功能测试
6.
3.
2.
6.3功能测试的测试评价方法与预期结果如下)测试评价方法a1)开发者提供的测试文档是否包括测试计划、测试规程、预期的测试结果和实际测试结果;)开发者提供的测试计划是否标识了被测试的安全功能,是否描述了测试的目标;2)开发者提供的测试规程是否标识了要执行的测试,是否描述了每个安全功能的测试概况(这些3概况包括对其它测试结果的顺序依赖性);)开发者提供的测试文档中期望的测试结果是否表明测试成功后的预期输出;4)开发者提供的测试文档中实际测试结果是否表明每个被测试的安全功能能按照规定进行运作5)预期结果b开发者提供的文档内容应满足上述要求独立测试
6.
3.
2.
6.4一致性
6.
3.
2.
6.
4.1一致性的测试评价方法与预期结果如下)测试评价方法a1)评价者应审查开发者提供的测试产品;)评价者应审查开发者提供的测试集合是否与其自测系统功能时使用的测试集合相一致2)预期结果b开发者提供的文档内容应满足上述要求抽样
6.
3.
2.
6.
4.2抽样的测试评价方法与预期结果如下)测试评价方法a评价者应审查开发者是否提供一组相当的资源,用于安全功能的抽样测试)预期结果b开发者提供的资源应满足上述要求脆弱性评定
6.3,
2.7误用
6.
3.
2.
7.1指南审查
6.
3.
2.
7.
1.1指南审查的测试评价方法与预期结果如下a)测试评价方法1)评价者应审查开发者提供的指导性文档和分析文档,是否对产品的所有可能的操作方式(包括失败和操作失误后的操作)进行了说明,是否确定了它们的后果,以及是否确定了对于保持安全操作的意义;2)评价者应审查开发者提供的指导性文档和分析文档,是否列出了所有目标环境的假设以及所有外部安全措施(包括外部程序的、物理的或人员的控制)的要求;3)评价者应审查开发者提供的文档是否完整、清晰、一致、合理;4)评价开发者提供的分析文档,是否阐明文档是完整的b)预期结果开发者提供的文档应满足上述要求分析确认
6.
3.
2.
7.
1.2分析确认的测试评价方法与预期结果如下)测试评价方法a评价开发者提供的分析文档论证指导性文档是否是完备的)预期结果b开发者提供的文档应满足上述要求产品安全功能强度评估
6.
3.
2.
7.2产品安全功能强度评估的测试评价方法与预期结果如下)测试评价方法a评价者应审查开发者提供的指导性文档,是否对所标识的每个具有安全功能强度声明的安全机制进行了安全功能强度分析,是否说明了安全机制达到或超过定义的最低强度级别或特定功能强度度量)预期结果b开发者提供的文档应满足上述要求脆弱性分析
6.
3.2,
7.3开发者脆弱性分析
6.
3.
2.
7.
3.1开发者脆弱性分析的测试评价方法与预期结果如下)测试评价方法a)评价者应审查开发者提供的脆弱性分析文档,是否从用户可能破坏安全策略的明显途径出发,1对产品的各种功能进行了分析;)评价者应审查开发者是否对被确定的脆弱性明确记录了采取的措施;2)对每一条脆弱性,评价者应审查是否有足够证据证明在使用产品的环境中该脆弱性不能被利用3)预期结果b开发者提供的文档应满足上述要求独立的脆弱性分析
6.
3.
2.7,
3.2独立的脆弱性分析的测试评价方法与预期结果如下a)测试评价方法评价者应在开发者提供的脆弱性分析说明文档的基础上,执行穿透性测试,检验已标识的产品脆弱性是否能够抵御明显的穿透性攻击b)预期结果开发者提供的产品资源应满足上述要求中级抵抗力
6.
3.
2.
7.
3.3中级抵抗力的测试评价方法与预期结果如下)测试评价方法a评价者应根据开发者提供的脆弱性分析说明文档和独立穿透性测试的结果分析产品是否能够抵御中级强度的穿透性攻击,是否说明对脆弱性的搜索是系统化的)预期结果b分析记录以及最后结果(符合/不符合),开发者应提供完备的脆弱性分析说明文档刖舌I范围1I规范性引用文件2I术语和定义3I主机型防火墙描述4I安全技术要求5I总体说明
5.1II基本级要求
5.2II增强级要求
5.3VI测试评价方法6XIII测试环境与工具
6.1XIII基本级测试
6.2XIII增强级测试
6.3XXGB/T XXXXX—20XX目次、_•■、P■・-y刖舌I范围1I规范性引用文件2I术语和定义3I主机型防火墙描述4I安全技术要求5I总体说明
5.1II基本级要求
5.2II增强级要求
5.3VI测试评价方法6XIII测试环境与工具
6.1XIII基本级测试
6.2XIII增强级测试
6.3XX信息安全技术主机型防火墙安全技术要求和测试评价方法范围1本标准规定了主机型防火墙的安全技术要求、测评评价方法及安全等级划分本标准适用于主机型防火墙的设计、开发与测试规范性引用文件2下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件计算机信息系统安全保护划分准则GB17859-1999信息技术安全技术信息技术安全性评估准则第部分安全保证要求GB/T
18336.3-20083信息安全技术防火墙技术要求和测试评价方法GB/T20281-XXXX信息安全技术术语GB/T25069术语和定义3界定的以及下列术语和定义适用于本文件GB/T
250693.1主机型防火墙host-based fi rewaI Iand personaI fi rewaI I主机型防火墙(包括基于主机的防火墙和个人防火墙)产品是一个运行于主机上的软件它可以监测主机上进行的入站和出站网络连接,并能够通过预先定义的规则,执行基于网络地址和基于应用的访问控制;此外,主机型防火墙产品通常还具有反恶意软件,入侵检测和网络告警等其他安全功能
3.2安全策略secur itypoI icy安全策略是指有关管理、保护安全域节点的规定和策略主机型防火墙描述4主机型防火墙以软件形式安装在最终用户计算机(包括个人计算机和服务器)上,阻止由外到内和由内到外的威胁主机型防火墙不仅可以监测和控制网络级数据流,而且可以监测和控制应用程序,弥补网关防火墙和防病毒软件等传统防御手段的不足止匕外,一般运行于服务器上的主机型防火墙还可以对所有的节点进行统一控制,实施统一的安全策略与响应主机型防火墙保护的资产是受安全策略保护的主机服务和文件等止匕外,主机型防火墙软件本身及安全策略等重要数据也是受保护的资产总体说明
5.1安全技术要求分类
5.
1.1本标准将主机型防火墙安全技术要求分为安全功能要求和安全保证要求两个大类其中,安全功能要求是对主机型防火墙应具备的安全功能提出具体要求,包括数据包过滤规则、安全规则修订、入侵防范IP和安全审计功能等要求;安全保证要求针对主机型防火墙的开发和使用文档的内容提出具体的要求,例如配置管理、交付和运行、开发和指导性文件等安全等级
5.
1.2本标准按照主机型防火墙安全功能的强度划分安全功能要求的级别,按照划分安全GB/T
18336.3-2008保证要求的级别安全等级分为基本级和增强级,安全功能强弱和安全保证要求高低是等级划分的具体依据与基本级内容相比,增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示基本级要求
5.2安全功能要求
1.
1.1数据包过滤
1.
2.
1.1IP产品应具备包过滤功能,依据等协议中网络数据包的数据格式约定规则,每一条包过滤规则应TCP/IP由下列要素组成)数据包方向产品的包过滤规则应包含基于数据包方向的访问控制,即能够定义数据包的连接发起a方和接收方;)远程地址产品的包过滤规则应包含基于地址的访问控制,即能指定目的地址,并且该b IPIPIPIP地址应能是任何地址、指定地址或指定地址范围;IPIPIP)协议类型包括c)根据网络数据包中的类型和代码字段进行设定,当匹配到相同类型和代码字段时则按对1ICMP应规则中的数据包处理方式进行处理;)根据网络数据包中的本地端口(包括单一端口和〈或〉端口范围)和〈或〉远程端口(包2UDP括单一端口和〈或〉端口范围)进行规则匹配;)根据网络数据包中的本地端口(包括单一端口和〈或〉端口范围)和〈或〉远程端口(包3TCP括单一端口和〈或〉端口范围)、以及数据包的标志位进行规则匹配过滤;)过滤动作包括TCP d)拦截;1)通行;2)继续匹配下一规则3安全策略修订
1.
3.
1.2产品应提供默认的安全策略,安全策略应能被用户修订)用户能选择使用或弃用主机型防火墙提供的安全策略;a)用户能根据中的格式规定添加、删除、修改自定义安全策略b
521.1应用程序网络访问控制
1.
4.
1.3产品的安全功能应能控制主机上每个应用程序使用网络的权限,对应用程序访问网络的控制应包括以下三种方式)允许访问允许该应用程序使用网络;a)禁止访问禁止该应用程序使用网络;b)访问网络时询问当应用程序访问网络时,应能对其将进行的访问操作向用户提供详细的报告及询c问,并能根据询问结果对该应用程序访问网络的行为进行相应处理入侵防范
5.
2.
1.4产品应提供对网络攻击数据包进行监测的能力身份鉴别
5.
2.
1.5基本鉴别
5.
3.
1.
5.1在执行任何与管理员相关功能之前,产品应鉴别用户的身份鉴别失败处理
5.
4.
1.
5.2产品应提供一定的鉴别失败处理措施,防止暴力猜测密码超时锁定或注销
5.
5.
1.
5.3产品应具有登录超时锁定或注销功能在设定的时间段内没有任何操作的情况下,终止会话,需要再次进行身份鉴别才能够重新操作最大超时时间仅由授权管理员设定安全管理
5.
6.
1.6标识唯一性
5.
7.
1.
6.1产品应为用户提供唯一标识,同时将用户的身份标识与该用户的所有可审计事件相关联管理员属性定义
5.
8.
1.
6.2若产品支持策略中心进行分布式部署和集中管理,策略中心应能对管理员角色进行区分)具有至少两种不同权限的管理员角色,例如安全员、审计员等;1)应根据不同的功能模块,自定义各种不同权限角色,并可对管理员分配角色2远程管理加密
5.
2.
1.
6.3若产品支持策略中心并对策略中心实施远程管理,应采取保密措施保护策略中心所实施远程管理的信息可信管理主机
5.
3.
1.
6.4若产品支持策略中心并且控制台提供远程管理功能,应能对可远程管理的主机地址进行限制安全审计
5.
4.
1.7产品应具备安全审计功能,具体技术要求如下)记录事件类型a)匹配包过滤规则的网络通讯信息;1)管理员的登录成功和失败;2)对安全策略进行更改的操作;3)对安全角色进行增加、删除和属性修改的操作;4)管理员的其他操作;5)日志内容b)匹配包过滤规则的网络通讯日志内容应至少包括如下信息、:通讯日期和时间、过滤的动作、远1程的地址、本机的端口、远程的端口和备注;IP)其他日志应记录事件发生的日期、时间、用户标识、事件描述和结果;若采用远程登录方式对2产品进行管理还应记录管理主机的地址;)日志管理c)应提供能查阅日志的工具;1)审计事件应存储于掉电非易失性存储介质中,且在存储空间达到阈值时至少能够通知授权管理2员安全保证要求
5.
2.2配置管理
5.
2.
2.1版本号
5.
2.
2.
1.1开发者应为产品的不同版本提供唯一的标识配置项
5.
2.
2.
1.2开发者应使用配置管理系统并提供配置管理文档配置管理文档应包括一个配置清单,配置清单应唯一标识组成产品的所有配置项并对配置项进行描述,还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效维护的证据交付与运行
5.
2.
2.2交付程序
5.
2.
2.
1.3开发者应使用一定的交付程序交付产品,并将交付过程文档化交付文档应描述在给用户方交付产品的各版本时,为维护安全所必需的所有程序安装、生成和启动程序
5.
2.
2.
1.4开发者应提供文档说明产品的安装、生成和启动的过程开发
5.
2.
2.3非形式化功能规格说明
5.
2.
2.
1.5开发者应提供一个功能规格说明,功能规格说明应满足以下要求)使用非形式化风格来描述产品安全功能及其外部接口;a)是内在一致的;b)描述所有外部接口的用途与使用方法,适当时应提供效果、例外情况和出错消息的细节;c)完备地表示产品安全功能d描述性高层设计
5.
2.
2.
1.6开发者应提供产品安全功能的高层设计,高层设计应满足以下要求)表示应是非形式化的;a)是内在一致的;b)按子系统描述安全功能的结构;c)描述每个安全功能子系统所提供的安全功能性;d)标识安全功能所要求的任何基础性的硬件、固件或软件,以及在这些硬件、固件或软件中实现的支e持性保护机制所提供功能的一个表示;)标识安全功能子系统的所有接口;f)标识安全功能子系统的哪些接口是外部可见的g非形式化对应性证实
5.
2.
2.
1.7开发者应提供产品安全功能表示的所有相邻对之间的对应性分析对于产品安全功能所表示的每个相邻对,分析应阐明,较为抽象的安全功能表示的所有相关安全功能,应在较具体的安全功能表示中得到正确且完备地细化指导性文档
5.
2.
2.4管理员指南
5.
2.
2.
1.8开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一致管理员指南应说明以下内容)管理员可使用的管理功能和接口;a)怎样安全地管理产品;b)在安全处理环境中应被控制的功能和权限;c)所有对与产品的安全操作有关的用户行为的假设;d)所有受管理员控制的安全参数,如果可能,应指明安全值;e)每一种与管理功能有关的安全相关事件,包括对安全功能所控制实体的安全特性进行的改变;f)所有与管理员有关的环境安全要求g IT用户指南
5.
2.
2.
1.9开发者应提供用户指南,用户指南应与为评估而提供的其他所有文档保持一致用户指南应说明以下内容)产品的非管理员用户可使用的安全功能和接口;a)产品提供给用户的安全功能和接口的使用方法;b)用户可获取但应受安全处理环境所控制的所有功能和权限;c)产品安全操作中用户所应承担的职责;d)与用户有关的环境的所有安全要求e IT测试
5.
2.
2.5覆盖证据
5.
2.
2.
1.10开发者应提供测试覆盖的证据在测试覆盖证据中,应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能是对应的功能测试
5.
2.
2.
1.11开发者应测试安全功能,将结果文档化并提供测试文档测试文档应包括以下内容)测试计划,应标识要测试的安全功能,并描述测试的目标;a)测试过程,应标识要执行的测试,并描述每个安全功能的测试概况,这些概况应包括对于其他测试b结果的顺序依赖性;)预期的测试结果,应表明测试成功后的预期输出;c)实际测试结果,应表明每个被测试的安全功能能按照规定进行运作d独立测试一致性
5.
2.
2.
1.
12.1开发者应提供适合测试的产品,提供的测试集合应与其自测产品功能时使用的测试集合相一致。
个人认证
优秀文档
获得点赞 0
