《信息安全技術(shù) 防火墻安全技術(shù)要求和測試評價方法》編制說明

1工作簡況

1.1任務(wù)來源

國家發(fā)改委頒布了發(fā)改辦高技[2012]288號文《國家發(fā)展改革委

辦公廳關(guān)于組織實施2012年國家下一代互聯(lián)網(wǎng)信息安全專項有關(guān)試

點和標(biāo)準(zhǔn)工作事項的通知》，開展實施一系列共81個下一代互聯(lián)網(wǎng)信

息安全標(biāo)準(zhǔn)的“下一代互聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)專項項目”。防火墻作為

發(fā)改委重點扶持發(fā)展的十類下一代信息安全產(chǎn)品之一，表明了防火墻

在下一代互聯(lián)網(wǎng)信息安全產(chǎn)品中的地位，其標(biāo)準(zhǔn)的建設(shè)工作至關(guān)重

要。因此本標(biāo)準(zhǔn)項目建設(shè)工作主要是為配合國家下一代互聯(lián)網(wǎng)產(chǎn)業(yè)中

信息安全產(chǎn)品層面的推廣和落地。

經(jīng)中國國家標(biāo)準(zhǔn)化管理委員會批準(zhǔn)，全國信息安全標(biāo)準(zhǔn)化技術(shù)

委員會（SAC/TC260）主任辦公會討論通過，研究制定防火墻技術(shù)要

求和測試評價方法的國家標(biāo)準(zhǔn)。該項目由全國信息安全標(biāo)準(zhǔn)化技術(shù)委

員會提出，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口，由公安部計算機信

息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心（公安部第三研究所）負(fù)責(zé)主辦。

1.2協(xié)作單位

在接到《信息安全技術(shù)防火墻技術(shù)要求和測試評價方法》標(biāo)準(zhǔn)

的任務(wù)后，公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心立即與

各生產(chǎn)防火墻的廠商進行溝通，并得到了多家業(yè)內(nèi)知名廠商的積極參

1

與和反饋。經(jīng)過層層篩選之后，最后確定由啟明星辰信息技術(shù)有限公

司、北京網(wǎng)康科技有限公司和華為技術(shù)有限公司作為標(biāo)準(zhǔn)編制協(xié)作單

位。

1.3主要工作過程

1.3.1成立編制組

2012年12月接到標(biāo)準(zhǔn)編制任務(wù)，組建標(biāo)準(zhǔn)編制組，由本檢測中

心、啟明星辰、華為及北京網(wǎng)康聯(lián)合編制。檢測中心的編制組成員均

具有資深的防火墻產(chǎn)品檢測經(jīng)驗、有足夠的標(biāo)準(zhǔn)編制經(jīng)驗、熟悉CC；

其他廠商的編制成員均為防火墻的研發(fā)負(fù)責(zé)人及主要研發(fā)人員。檢

測中心人員包括俞優(yōu)、顧健、鄒春明、沈亮、陸臻等；廠商包括王光

宇、呂穎軒、王平等。

1.3.2制定工作計劃

編制組首先制定了編制工作計劃，并確定了編制組人員例會安排

以便及時溝通交流工作情況。

1.3.3參考資料

該標(biāo)準(zhǔn)編制過程中，主要參考了：

?GB/T5271.8-2001信息系統(tǒng)詞匯第8部分：安全

?GB17859-1999計算機信息系統(tǒng)安全保護劃分準(zhǔn)則

?GB/T18336.3－2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評

估準(zhǔn)則第3部分：安全保證要求

2

?GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求

?GB/T20281-2006信息安全技術(shù)防火墻技術(shù)要求和測試評價

方法

?GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本

要求

?近幾年到本檢測中心所送檢的相關(guān)防火墻產(chǎn)品及其技術(shù)資料

1.3.4確定編制內(nèi)容

經(jīng)標(biāo)準(zhǔn)編制組研究決定，以原國標(biāo)內(nèi)容和發(fā)改委專項測試要求為

理論基礎(chǔ)，以現(xiàn)有防火墻的發(fā)展動向為研究目標(biāo)，以GB17859-1999

《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》和GB/T18336-2008《信

息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》為主要參考依據(jù)，完成

《信息安全技術(shù)防火墻技術(shù)要求和測試評價方法》標(biāo)準(zhǔn)的編制工作。

1.3.5編制工作簡要過程

按照項目進度要求，編制組人員首先對所參閱的產(chǎn)品、文檔以及

標(biāo)準(zhǔn)進行反復(fù)閱讀與理解，查閱有關(guān)資料，編寫標(biāo)準(zhǔn)編制提綱，在完

成對提綱進行交流和修改的基礎(chǔ)上，開始具體的編制工作。

2013年1月，完成了對防火墻的相關(guān)技術(shù)文檔和有關(guān)標(biāo)準(zhǔn)的前期

基礎(chǔ)調(diào)研。在調(diào)研期間，主要對我檢測中心歷年檢測產(chǎn)品的記錄、報

告以及各產(chǎn)品的技術(shù)文檔材料進行了篩選、匯總、分析，對國內(nèi)外相

關(guān)產(chǎn)品的發(fā)展動向進行了研究，對相關(guān)產(chǎn)品的技術(shù)文檔和標(biāo)準(zhǔn)進行了

分析理解。

3

2013年2月完成了標(biāo)準(zhǔn)草案的編制工作。以編制組人員收集的資

料為基礎(chǔ)，在不斷的討論和研究中，完善內(nèi)容，最終形成了本標(biāo)準(zhǔn)草

稿（第一稿）。

2013年3月，編制組在檢測中心內(nèi)部對標(biāo)準(zhǔn)草稿（第一稿）進行

了討論，修改完成后形成草稿（第二稿）。

2013年4月，編制組以意見征求會形式邀請深圳市深信服電子科

技有限公司、北京中科網(wǎng)威信息技術(shù)有限公司等廠商進行現(xiàn)場征求意

見，根據(jù)反饋意見，增加了透明傳輸部署模式、多重鑒別、雙機熱備

和帶寬管理等要求。

2013年6月，編制組以郵件方式征求了北京啟明星辰信息安全技

術(shù)有限公司、華為技術(shù)有限公司、北京網(wǎng)康科技有限公司等參與編制

廠商的意見，根據(jù)反饋意見，增加連接數(shù)控制、會話管理、用戶管控、

審計空間耗盡處理等主要要求。通過修改，形成了草稿（第三稿）。

2013年7月，WG5工作組在上海召開了標(biāo)準(zhǔn)評審專家會，與會專

家對本標(biāo)準(zhǔn)進行了認(rèn)真審議，并提出了相關(guān)意見和建議。經(jīng)過與會專

家的評審，評審組同意通過評審。編制組根據(jù)專家意見進行修改完善，

形成了征求意見稿（第一稿）。

2013年8月，WG5工作組組織成員單位對本標(biāo)準(zhǔn)進行投票，全部

為贊成票。根據(jù)成員單位反饋的意見，標(biāo)準(zhǔn)編制組對標(biāo)準(zhǔn)進行了修改

完善，形成了征求意見稿（第二稿）。

2013年9月，馮慧老師對本標(biāo)準(zhǔn)的格式、用語等方面提出了的修

改建議，標(biāo)準(zhǔn)編制組依據(jù)專家意見進行了修改，形成了征求意見稿（第

4

三稿）。

1.3.6起草人及其工作

標(biāo)準(zhǔn)編制組具體由俞優(yōu)、鄒春明、沈亮、陸臻、顧健等人組成。

俞優(yōu)全面負(fù)責(zé)標(biāo)準(zhǔn)編制工作，包括制定工作計劃、確定編制內(nèi)容和整

體進度、人員的安排；鄒春明和沈亮主要負(fù)責(zé)標(biāo)準(zhǔn)的前期調(diào)研、現(xiàn)狀

分析、標(biāo)準(zhǔn)各版本的編制、意見匯總的討論處理、編制說明的編寫等

工作；陸臻負(fù)責(zé)標(biāo)準(zhǔn)校對審核等工作；顧健主要負(fù)責(zé)標(biāo)準(zhǔn)編制過程中

的各項技術(shù)支持和整體指導(dǎo)。

2標(biāo)準(zhǔn)主要內(nèi)容

2.1編制原則

為了使防火墻標(biāo)準(zhǔn)的內(nèi)容從一開始就與國家標(biāo)準(zhǔn)保持一致，本標(biāo)

準(zhǔn)的編寫參考了其他國家有關(guān)標(biāo)準(zhǔn)，主要有GB/T17859-1999、GB/T

20271-2006、GB/T22239-2008和GB/T18336-2008。

本標(biāo)準(zhǔn)符合我國的實際情況，遵從我國有關(guān)法律、法規(guī)的規(guī)定。

具體原則與要求如下：

1）先進性

標(biāo)準(zhǔn)是先進經(jīng)驗的總結(jié)，同時也是技術(shù)的發(fā)展趨勢。目前，我國

防火墻產(chǎn)品種類繁多，功能良莠不齊，要制定出先進的產(chǎn)品國家標(biāo)準(zhǔn)，

必須參考國內(nèi)外先進技術(shù)和標(biāo)準(zhǔn)，吸收其精華，才能制定出具有先進

水平的標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)的編寫始終遵循這一原則。

5

2）實用性

標(biāo)準(zhǔn)必須是可用的，才有實際意義，因此本標(biāo)準(zhǔn)的編寫是在對國

內(nèi)外標(biāo)準(zhǔn)的相關(guān)技術(shù)內(nèi)容消化、吸收的基礎(chǔ)上，結(jié)合我國的實際情況，

廣泛了解了市場上主流產(chǎn)品的功能，吸收其精華，制定出符合我國國

情的、可操作性強的標(biāo)準(zhǔn)。

3）兼容性

本標(biāo)準(zhǔn)既要與國際接軌，更要與我國現(xiàn)有的政策、法規(guī)、標(biāo)準(zhǔn)、

規(guī)范等相一致。編制組在對標(biāo)準(zhǔn)起草過程中始終遵循此原則，其內(nèi)容

符合我國已經(jīng)發(fā)布的有關(guān)政策、法律和法規(guī)。

2.2編制思路

目前，我國開展信息安全管理的綱領(lǐng)性文件有兩個，一個

GB17859，另一個是GB/T18336。這兩個國家標(biāo)準(zhǔn)從提綱挈領(lǐng)的角度

規(guī)定了我國開展信息安全管理和信息安全產(chǎn)品標(biāo)準(zhǔn)編制的基本原則。

具體理由闡述如下：

從20世紀(jì)80年代開始，世界各國相繼制定了多個信息技術(shù)安全

評價標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)中美國國防部發(fā)布的可信計算機系統(tǒng)評估準(zhǔn)則

（TCSEC）是這方面最早的標(biāo)準(zhǔn)。

在TCSEC發(fā)布后的十多年里，美國政府和機構(gòu)的信息系統(tǒng)安全性

有了較大程度的提高，特別是在操作系統(tǒng)和數(shù)據(jù)庫方面，開創(chuàng)了安全

標(biāo)準(zhǔn)的先河。根據(jù)TCSEC而進行的評估項目已經(jīng)向一百多種商業(yè)安

全產(chǎn)品頒發(fā)了證書，達到C2級的操作系統(tǒng)安全已得到世界上廣泛的

承認(rèn)。并隨后引發(fā)了加拿大和歐洲等國進行相似標(biāo)準(zhǔn)的研發(fā)。

6

隨著信息安全的不斷向前推進，人們發(fā)現(xiàn)TCSEC的一些要求太

嚴(yán)格，以致限制了其應(yīng)用范圍，需要新的評估準(zhǔn)則來完成TCSEC所

不能完成的使命。同時，信息安全產(chǎn)品的廠商迫切需要一種國際性的

評估準(zhǔn)則，而不是各國各自的不同準(zhǔn)則來評估其產(chǎn)品，這樣產(chǎn)品的國

際市場將大大拓寬。因此，1996年，CC作為時代發(fā)展的產(chǎn)物被推上

了歷史的舞臺。

為了更好的實現(xiàn)由TCSEC向CC的平穩(wěn)過渡，美國國防部下屬

機構(gòu)，“國家安全電信與信息系統(tǒng)安全委員會”（簡稱NSTISSC,現(xiàn)已

更名為“國家系統(tǒng)安全委員會”簡稱CNSS）于1999年3月發(fā)布了“關(guān)

于可信計算機評估準(zhǔn)則向國際信息技術(shù)安全評估通用準(zhǔn)則過渡的咨

詢備忘錄”（NSTISSAMCOMPUSEC/1-99）。

“目前采用TCSEC準(zhǔn)則進行評估的安全項目仍可進行，但自1999

年2月1日起，任何新的安全產(chǎn)品必須采用CC來評估。截止到2001

年12月31日，之前所有采用TCSEC進行評估的產(chǎn)品要么廢止，要

么將TCSEC級別相應(yīng)轉(zhuǎn)換為CC的保證級別，否則所有TCSEC級別

將被視為無效?！?/p>

目前，NSA根據(jù)CC已將TCSEC中的C2、B1、B2、B3級操作

系統(tǒng)形成了各自的PP，各類防火墻的PP已經(jīng)完成。

根據(jù)此備忘錄的精神，國家計算機安全處（NCSC）出版的包括

TCSEC在內(nèi)的彩虹系列在之后的時間里分別根據(jù)CC的需求進行相

應(yīng)的分類，要么不再采用，要么修改采用以滿足CC的需求。

CC根據(jù)“安全保證要求”不斷遞增而分為7個保證級，但實際上

7

除了這7個保證級外，“保護輪廓”（PP）根據(jù)數(shù)據(jù)的敏感性、信息所

面對的威脅級別等要求也分為三種強健性級別：基本、中等、高級。

因此，即使是同種產(chǎn)品，由于應(yīng)用于不同強健級別的環(huán)境中，對其安

全功能要求不同，故PP的級別不同。這一點在本質(zhì)上與TCSEC的

按安全功能要求分為5級是相似的，也是CC在理論上承繼TCSEC

的具體體現(xiàn)。

上述資料表明，TCSEC與CC兩者雖然在不同的歷史時期出現(xiàn)，

但在本質(zhì)上它們是一脈相承，互相融合的。由于信息技術(shù)及市場需求

的發(fā)展，TCSEC準(zhǔn)則在過渡到CC的時候，將自身有價值的方面融

入新出現(xiàn)的CC準(zhǔn)則中，讓其不斷發(fā)揚光大。

另一方面，TCSEC進入中國以后，也結(jié)合中國的特點進行了修

改與完善，并形成了強制性國家標(biāo)準(zhǔn)GB17859。

GB17859首先對計算機信息系統(tǒng)及其可信計算基（TCB）作了規(guī)

范性說明，指出：“計算機信息系統(tǒng)”是由計算機及其相關(guān)的配套設(shè)

備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)格對信息進行

采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)，而“可信計算基”

則是計算機系統(tǒng)內(nèi)保護裝置的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)

行安全策略的組合體。它建立了一個基本的保護環(huán)境，并提供一個可

信計算系統(tǒng)所要求的附加用戶服務(wù)。

GB17859在系統(tǒng)、科學(xué)地分析計算機信息系統(tǒng)安全問題的基礎(chǔ)

上，結(jié)合我國信息系統(tǒng)建設(shè)的實際情況，從技術(shù)角度將計算機信息系

統(tǒng)安全保護等級劃分為五個級別，即：用戶自主保護級、系統(tǒng)審計保

8

護級、安全標(biāo)記保護級、結(jié)構(gòu)化保護級和訪問驗證保護級。這五個級

別定義了不同強度的信息系統(tǒng)保護能力，包含有不同要素和不同強度

的安全控制。安全保護能力從第一級到第五級逐級增強。

從某種意義上說，GB17859代表了中國信息安全的實際需求，

GB/T18336則代表了與國際接軌的需求。

所以，基于TCSEC的GB17859與翻譯自ISO/IEC15408的

GB/T18336共同組成了我國信息安全標(biāo)準(zhǔn)體系的兩大基礎(chǔ)。

作為單一的信息安全產(chǎn)品標(biāo)準(zhǔn)，必須同時兼顧GB17859與

GB/T18336的要求，才能做到既有特色與又能兼容，滿足國家主管部

門、廠商與用戶對防火墻標(biāo)準(zhǔn)的實際需求。所以，本標(biāo)準(zhǔn)的編制將主

要基于GB17859和GB/T18336進行。

2.3標(biāo)準(zhǔn)內(nèi)容

2.3.1標(biāo)準(zhǔn)結(jié)構(gòu)

本標(biāo)準(zhǔn)的編寫格式和方法依照GB/T1.1-2009標(biāo)準(zhǔn)化工作導(dǎo)則

第一部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫規(guī)則。

本標(biāo)準(zhǔn)主要結(jié)構(gòu)包括如下內(nèi)容：

1.范圍2.規(guī)范性引用文件

3.術(shù)語和定義4.縮略語

5.防火墻描述6.技術(shù)要求

7.測試評價方法

2.3.2主要內(nèi)容

9

2.3.2.1范圍、規(guī)范性引用文件、術(shù)語和定義和縮略語

該部分定義了本標(biāo)準(zhǔn)適應(yīng)的范圍，所引用的其它標(biāo)準(zhǔn)情況，及以

何種方式引用，術(shù)語和定義部分明確了該標(biāo)準(zhǔn)所涉及的一些術(shù)語。

在術(shù)語中明確了“防火墻”、“深度包檢測”、“深度內(nèi)容檢測”、

“SQL注入”和“跨站腳本”等重要概念。

2.3.2.2防火墻描述

防火墻的目的是在不同的安全域之間建立安全控制點，根據(jù)預(yù)先

定義的訪問控制策略和安全防護策略，解析和過濾經(jīng)過防火墻的數(shù)據(jù)

流，實現(xiàn)向被保護的安全域提供訪問可控的服務(wù)請求。此外，適用于

下一代互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境的防火墻的協(xié)議棧除支持IPv4技術(shù)外，還應(yīng)

支持IPv6、IPv4/IPv6過渡技術(shù)。

防火墻保護的資產(chǎn)是受安全策略保護的網(wǎng)絡(luò)服務(wù)和資源等，此

外，防火墻本身及其內(nèi)部的重要數(shù)據(jù)也是受保護的資產(chǎn)。防火墻通常

以路由模式或透明模式運行，且一般將網(wǎng)絡(luò)劃分為若干個安全域，通

過安全策略實現(xiàn)對不同安全域間服務(wù)和訪問的審計和控制。

下圖1是防火墻的一個典型運行環(huán)境。它將網(wǎng)絡(luò)分為內(nèi)部網(wǎng)絡(luò)、

外部網(wǎng)絡(luò)和DMZ三個區(qū)域。內(nèi)部網(wǎng)絡(luò)是一個可信區(qū)域，外部網(wǎng)絡(luò)是一

個不可信區(qū)域，DMZ中的服務(wù)器可以向外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)用戶提供

應(yīng)用服務(wù)。

10

圖1防火墻典型運行環(huán)境

2.3.2.3技術(shù)要求

標(biāo)準(zhǔn)將防火墻技術(shù)要求分為安全功能、安全保證、環(huán)境適應(yīng)性和

性能要求四個大類。其中，安全功能要求是對防火墻應(yīng)具備的安全功

能提出具體要求，包括網(wǎng)絡(luò)層控制、應(yīng)用層控制和安全運維管理；安

全保證要求針對防火墻的開發(fā)和使用文檔的內(nèi)容提出具體的要求，例

如配置管理、交付和運行、開發(fā)和指南文件等；環(huán)境適應(yīng)性要求是對

防火墻的部署模式和應(yīng)用環(huán)境提出具體的要求；性能要求則是對防火

墻應(yīng)達到的性能指標(biāo)作出規(guī)定，包括吞吐量、延遲、最大并發(fā)連接數(shù)

和最大連接速率。

此外，按照防火墻安全功能要求強度，以及參照GB/T18336.3-

2008，對防火墻安全等級進行劃分。安全等級分為基本級和增強級，

11

安全功能強弱和安全保證要求高低是等級劃分的具體依據(jù)。安全等級

突出安全特性，環(huán)境適應(yīng)性要求和性能要求不作為等級劃分依據(jù)。

一、安全功能要求

產(chǎn)品安全功能要求主要對產(chǎn)品實現(xiàn)的功能進行了要求。主要包括

網(wǎng)絡(luò)層控制、應(yīng)用層控制和安全運維管理三部分。

其中網(wǎng)絡(luò)層控制包括：包過濾、NAT、狀態(tài)檢測、策略路

由、動態(tài)端口開放、IP/MAC綁定、流量會話管理、抗拒絕服務(wù)攻擊

和網(wǎng)絡(luò)掃描防護等；應(yīng)用層控制包括：用戶管控、應(yīng)用協(xié)議控制、

應(yīng)用內(nèi)容控制、惡意代碼防護和應(yīng)用攻擊防護；安全運維管理包括：

運維管理、安全審計、安全管理和高可用性。

表1安全功能要求分級說明

安全功能要求基本級增強級

包過濾**

NAT***

狀態(tài)檢測**

策略路由***

動態(tài)開放端口***

網(wǎng)絡(luò)層IP/MAC地址綁定**

控制流量統(tǒng)計**

流量會帶寬管理*

話管理連接數(shù)控制**

會話管理*

抗拒絕服務(wù)攻擊**

網(wǎng)絡(luò)掃描防護***

用戶管控*

應(yīng)用層

應(yīng)用協(xié)議控制**

控制

應(yīng)用內(nèi)容控制*

12

安全功能要求基本級增強級

惡意代碼防護*

應(yīng)用攻擊防護*

運維管理***

安全審計**

管理口獨立**

安全運安全管

安全支撐系統(tǒng)**

維管理理

異常處理機制**

高可用雙擊熱備*

性負(fù)載均衡*

注：“*”表示具有該要求，“**”表示要求有所增強。

二、安全保證要求

該部分對產(chǎn)品的開發(fā)和使用文檔的內(nèi)容進行了要求，包括配置管

理、交付與運行、開發(fā)、指導(dǎo)性文檔、生命周期支持、測試保證和脆

弱性分析保證。

13

表2安全保證要求分級說明

安全保證要求基本級增強級

部分配置管理自動化*

版本號**

配置項**

配置管

配置理能力授權(quán)控制*

管理產(chǎn)生支持和接受程

*

序

配置管理覆蓋*

配置管

問題跟蹤配置管理

理范圍*

覆蓋

交付交付程序**

與運修改檢測*

行安裝、生成和啟動程序**

非形式化功能規(guī)范**

功能規(guī)

充分定義的外部接

范*

口

描述性高層設(shè)計**

高層設(shè)

安全加強的高層設(shè)

計*

開發(fā)計

安全功能實現(xiàn)的子集*

描述性低層設(shè)計*

非形式化對應(yīng)性證實**

非形式化產(chǎn)品安全策略模型*

指導(dǎo)管理員指南**

性文

用戶指南**

檔

生命安全措施標(biāo)識*

周期開發(fā)者定義的生命周期模型*

支持明確定義的開發(fā)工具*

測試覆覆蓋證據(jù)**

蓋覆蓋分析*

測試：高層設(shè)計*

測試

功能測試**

獨立測一致性**

試抽樣**

14

指南審查*

誤用

分析確認(rèn)*

脆弱

產(chǎn)品安全功能強度評估**

性評

開發(fā)者脆弱性分析**

定脆弱性

獨立的脆弱性分析*

分析

中級抵抗力*

三、環(huán)境適應(yīng)性要求

該部分對防火墻產(chǎn)品的部署模式、以及對下一代互聯(lián)網(wǎng)環(huán)境的適

應(yīng)性支持。

四、性能要求

該部分對防火墻的吞吐量、延遲、最大并發(fā)連接數(shù)、最大連接速

率和最大事務(wù)數(shù)等性能指標(biāo)進行了要求。

2.3.2.4安全功能基本原理

本部分資料用以說明防火墻安全功能要求產(chǎn)生的過程。下述內(nèi)容

詳細描述了與防火墻安全需求相關(guān)的使用環(huán)境、安全風(fēng)險和組織策

略，定義了防火墻及其支撐環(huán)境的安全目的，并通過對應(yīng)關(guān)系論證了

安全功能要求能夠追溯并覆蓋產(chǎn)品安全目的，安全目的能夠追溯并覆

蓋安全需求相關(guān)的使用環(huán)境、安全風(fēng)險和組織策略。

一、安全需求

1、使用環(huán)境

防火墻安全需求相關(guān)的使用環(huán)境如表3所示。

表3使用環(huán)境

使用環(huán)境名稱使用環(huán)境描述

所有實施防火墻安全策略相關(guān)的硬件和軟件應(yīng)受到保

物理訪問

護，以免受非授權(quán)的物理更改

15

使用環(huán)境名稱使用環(huán)境描述

只用授權(quán)的管理員才能直接訪問或遠程訪問防火墻；

人員能力授權(quán)管理員是無惡意的，訓(xùn)練有素的，并遵循管理員

指南

連接性防火墻是被分隔的安全域網(wǎng)絡(luò)之間的唯一連接點

當(dāng)防火墻的應(yīng)用環(huán)境發(fā)生變化時，應(yīng)立即反映在產(chǎn)品

安全維護

的安全策略中并保持其安全功能有效

2、安全風(fēng)險

防火墻安全需求相關(guān)的安全風(fēng)險如表4所示。

表4安全風(fēng)險

安全風(fēng)險名稱安全風(fēng)險描述

非授權(quán)用戶可能試圖訪問和使用防火墻提供的安全功

未授權(quán)訪問能；未授權(quán)用戶是指除防火墻授權(quán)用戶之外所有已經(jīng)

或可能企圖訪問的人

未授權(quán)信息流未授權(quán)的信息流的流入\流出，可能導(dǎo)致外網(wǎng)非法信息

入、流出的入侵或內(nèi)網(wǎng)信息的泄露

網(wǎng)絡(luò)地址欺騙外部網(wǎng)絡(luò)的用戶可能嘗試偽裝利用內(nèi)網(wǎng)網(wǎng)絡(luò)地址，訪

攻擊問內(nèi)部資源

攻擊者可能對內(nèi)部受保護的網(wǎng)絡(luò)或主機進行攻擊，這

網(wǎng)絡(luò)惡意攻擊

類攻擊可能已拒絕服務(wù)和穿透主機或網(wǎng)絡(luò)節(jié)點為目的

攻擊者可能對內(nèi)部受保護的服務(wù)資源進行攻擊，這類

應(yīng)用惡意攻擊攻擊可能以惡意代碼的形式進入網(wǎng)絡(luò)，導(dǎo)致服務(wù)資源

的信息泄露或崩潰

攻擊者可能繞過或欺騙身份鑒別機制，假冒授權(quán)管理

繞開鑒別機制

員或侵入已建立的會話連接。例如，攔截鑒別信息、

攻擊

重放有效地鑒別數(shù)據(jù)以及截取會話連接等攻擊

非授權(quán)用戶可能通過反復(fù)猜測鑒別數(shù)據(jù)的方法，進一

持續(xù)鑒別攻擊

步獲取管理員權(quán)限

審計記錄丟失攻擊者可能采取耗盡審計存儲空間的方法導(dǎo)致審計記

或破壞錄丟失或破壞

設(shè)備脆弱性攻攻擊者可能通過防火墻的自身缺陷進行攻擊，導(dǎo)致產(chǎn)

擊品權(quán)限丟失或功能故障

防火墻可能出現(xiàn)超負(fù)載、斷電故障等異常情況，導(dǎo)致

設(shè)備狀態(tài)異常

防火墻無法提供正常服務(wù)

3、組織策略

防火墻安全需求相關(guān)的組織策略如表5所示。

16

表5組織策略

組織策略名稱組織策略描述

為追蹤與安全相關(guān)活動的責(zé)任，防火墻應(yīng)對與安全相

安全審計關(guān)的事件進行記錄、保存和審查，并提供一種可理解

方式供管理員讀取

防火墻應(yīng)為授權(quán)管理員提供管理手段，使其以安全的

安全管理

方式進行管理

二、安全目的基本原理

1、產(chǎn)品安全目的

表6定義了防火墻的安全目的。這些安全目的旨在對應(yīng)已標(biāo)

識的安全風(fēng)險或組織策略。

表6產(chǎn)品安全目的

產(chǎn)品安全目的對應(yīng)的安全風(fēng)險

產(chǎn)品安全目的描述

名稱或組織策略

在允許用戶訪問產(chǎn)品功能之前，產(chǎn)

身份認(rèn)證品必須對用戶身份進行唯一的標(biāo)識未授權(quán)訪問

和鑒別

防火墻應(yīng)控制流入\流出防火墻的

未授權(quán)信息流

信息流控制信息流，除了一般的協(xié)議控制之外，

入、流出

還應(yīng)包括對信息的深度檢測并控制

網(wǎng)絡(luò)地址欺騙攻

防火墻應(yīng)能抵抗地址欺騙、拒絕服

擊

抗攻擊滲透務(wù)、網(wǎng)絡(luò)掃描、惡意代碼、應(yīng)用漏

網(wǎng)絡(luò)惡意攻擊

洞等常見攻擊

應(yīng)用惡意攻擊

防火墻應(yīng)具備安全機制防止惡意用

鑒別失敗處理持續(xù)鑒別攻擊

戶反復(fù)猜測鑒別數(shù)據(jù)

審計記錄應(yīng)受到充分保護，防火墻審計記錄丟失或

審計記錄保護

應(yīng)具備防止事件記錄丟失的措施破壞

為更好地防范防火墻自身的漏洞，

繞開鑒別機制攻

應(yīng)確保底層支撐系統(tǒng)的可靠性和穩(wěn)

自身保護擊

定性；此外防火墻還應(yīng)保護授權(quán)管

設(shè)備脆弱性攻擊

理員的通信會話連接

防火墻應(yīng)具備負(fù)載均衡、雙擊熱備

失效處理設(shè)備狀態(tài)異常

等高可用性保證措施

未授權(quán)信息流

產(chǎn)品應(yīng)記錄安全相關(guān)的事件，以便

入、流出

安全審計追蹤安全相關(guān)行為的責(zé)任，并應(yīng)提

網(wǎng)絡(luò)惡意攻擊

供方法審查所記錄的數(shù)據(jù)

審計記錄丟失或

17

破壞

審計

產(chǎn)品應(yīng)向授權(quán)管理員提供以安全方

安全管理管理

式進行管理的有效手段

2、環(huán)境安全目的

表7定義了非技術(shù)或程序方法進行處理的安全目的。該部分確定

的使用環(huán)境被包含在環(huán)境安全目的中。

表7環(huán)境安全目的

環(huán)境安全目的

環(huán)境安全目的描述對應(yīng)的使用環(huán)境

名稱

所有實施防火墻安全策略相關(guān)的

物理訪問硬件和軟件應(yīng)受到保護，以免受物理訪問

非授權(quán)的物理更改

只用授權(quán)的管理員才能直接訪問

或遠程訪問防火墻；授權(quán)管理員

人員能力人員能力

是無惡意的，訓(xùn)練有素的，并遵

循管理員指南

防火墻是被分隔的安全域網(wǎng)絡(luò)之

連接性連接性

間的唯一連接點

當(dāng)防火墻的應(yīng)用環(huán)境發(fā)生變化

安全維護時，應(yīng)立即反映在產(chǎn)品的安全策安全維護

略中并保持其安全功能有效

三、安全功能要求基本原理

表8說明了安全功能要求的充分必要性的基本原理，即每個產(chǎn)品

安全目的都至少有一個安全功能要求與其對應(yīng)，每個安全功能要求都

至少解決了一個產(chǎn)品安全目的，因此安全功能要求是充分和必要的。

表8中的“”即表明對應(yīng)關(guān)系。

表8安全功能要求基本原理

產(chǎn)品安

信息抗攻鑒別審計

全目的身份自身失效安全安全

流控?fù)魸B失敗記錄

認(rèn)證保護處理審計管理

制透處理保護

產(chǎn)品功能要求

網(wǎng)絡(luò)包過濾

層控NAT

18

產(chǎn)品安

信息抗攻鑒別審計

全目的身份自身失效安全安全

流控?fù)魸B失敗記錄

認(rèn)證保護處理審計管理

制透處理保護

產(chǎn)品功能要求

制狀態(tài)檢測

策略路由

動態(tài)開放端口

IP/MAC地址綁

定

流量會話管理

抗拒絕服務(wù)攻

擊

網(wǎng)絡(luò)掃描防護

用戶管控

應(yīng)用應(yīng)用協(xié)議控制

層控應(yīng)用內(nèi)容控制

制惡意代碼防護

應(yīng)用攻擊防護

運維管理

安全

安全審計

運維

安全管理

管理

高可用性

2.3.2.5新舊國家標(biāo)準(zhǔn)對比

本標(biāo)準(zhǔn)與GB/T20281-2006的主要差異如下：

——增加了高性能防火墻的描述；

——增加了防火墻的功能分類；

——加強了防火墻的應(yīng)用層控制能力；

——增加了下一代互聯(lián)網(wǎng)協(xié)議支持能力的要求；

——級別統(tǒng)一劃分為基本級和增強級。

2.4編制的背景和意義

2011年12月23日溫家寶總理在國務(wù)院常務(wù)會議上，明確提出

了研究部署加快發(fā)展我國下一代互聯(lián)網(wǎng)產(chǎn)業(yè)的目標(biāo)。表明了在我國將

19

全面啟動IPv6，并在2015年開展大規(guī)模商用。IPv6作為發(fā)展下一代

互聯(lián)網(wǎng)技術(shù)和物聯(lián)網(wǎng)技術(shù)的關(guān)鍵環(huán)節(jié)。隨著IPv6的推廣與普及，原

有的信息安全產(chǎn)品必然面臨著全新的設(shè)計與實現(xiàn)。一方面，現(xiàn)有的信

息安全產(chǎn)品必須適應(yīng)IPv6的網(wǎng)絡(luò)環(huán)境；另一方面，隨著IPv6使用時

間的延伸，新的安全問題必將逐漸暴露，新的安全防護技術(shù)也必將逐

漸產(chǎn)生。這必將對防火墻等邊界安全類產(chǎn)品造成嚴(yán)重影響。然而我國

目前的IPv6規(guī)范大部分還未完成，廣泛部署條件也尚未成熟。IPv6

的應(yīng)用前景已經(jīng)逼迫我國信息安全行業(yè)越來越關(guān)注我國IPv6技術(shù)標(biāo)

準(zhǔn)的制定和開發(fā)工作。因此，在這種需求背景下，發(fā)改委開展實施一

系列共81個“下一代互聯(lián)網(wǎng)信息安全專項標(biāo)準(zhǔn)”，具體工作由公安部

網(wǎng)絡(luò)安全保衛(wèi)局具體實施。

“下一代互聯(lián)網(wǎng)關(guān)鍵信息安全產(chǎn)品相關(guān)標(biāo)準(zhǔn)項目”就是建設(shè)這

81個下一代互聯(lián)網(wǎng)IPv6系列標(biāo)準(zhǔn)中，發(fā)改委產(chǎn)業(yè)化扶持的三類/十

個下一代互聯(lián)網(wǎng)關(guān)鍵信息安全產(chǎn)品。這三類分別是：邊界安全類產(chǎn)

品、網(wǎng)絡(luò)通信安全類產(chǎn)品、安全管理與支持類產(chǎn)品。如表9所示。

表9下一代互聯(lián)網(wǎng)關(guān)鍵信息安全產(chǎn)品

產(chǎn)品類型具體產(chǎn)品