典尚

  • 典尚
  • 百度
  • 360
首页   当前位置:全部素材 > 规范图集 > 图标图集
GBT31505-2015信息安全技术 主机型防火墙安全技术要求和测试评价方法PDF文本

ICS35.040L80中华人民共和国国家标准GB/T31505-2015信息安全技术主机型防火墙安全技术要求和测试评价方法sform盖ae惠y流e素达叹ehni好ert好ementy5 ndtetimard evaluation approaches for host-based firewall and personal firewall2015-05-15发布2016-01-01实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布興尚莲筑素村网Z.ZC
GB/T31505-2015前言1范围…2规范性引用文件3术语和定义…14主机型防火墙描述…15安全技术要求25.1总体说明…25.2基本级要求…25.3增强级要求6测试评价方法……146.1测试环境…146.2基本级测试……146.3增强级测试…..22理筑素荷网Z..ET
GB/T31505-2015本标准按照GB/T1.1一2009给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归。本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、中国电子技术标准化研究院、北京启明星辰技术股份有限公司、公安部第三研究所。本标准主要起草人:陆臻、顾健、韦湘、俞优、邓琦、罗锋盈、许玉娜、张笑笑、吴其聪。J.NEI理素村网Z..WET
GB/T31505-2015信息安全技术主机型防火墙安全技术要求和测试评价方法1范围本标准规定了主机型防火墙的安全技术要求、测评评价方法及安全等级划分。本标准适用于主机型防火墙的设计、开发与测试。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T18336.3一2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求GB/T25069信息安全技术术语3*语和定GE/T25069界定的以及下列术语和定义适用于本文件。3.1主机型防火墙host-based firewall and personal firewall又称基于主机的防火墙或个人防火墙,是一个运行于单机上的软件。它可以监测主机上进行的人站和出站网络连接,并能够通过预先定义的规则,执行基于网络地址和基于应用的访问控制,通常还具有反恶意软件,入侵检测和网络告警等其他安全功能。3.2安全策略security policy指有关管理保护安全域节点的规定和策略。4主机型防火墙描述主机型防火墙以软件形式安装在最终用户计算机(包括个人计算机和服务器)上,阻止由外到内和由内到外的威胁。主机型防火墙不仅可以监测和控制网络级数据流,而且可以监测和控制应用程序,弥补网关防火墙和防病毒软件等传统防御手段的不足。此外,一般运行于服务器上的主机型防火墙还可以对所有的节点进行统一控制,实施统一的安全策略与响应。主机型防火墙保护的资产是受安全策略保护的主机服务和文件等。此外,主机型防火墙软件本身及安全策略等重要数据也是受保护的资产。1莲罚素荷网Z.
GB/T31505-20155安全技术要求5.1总体说明5.1.1安全技术要求分类本标准将主机型防火墙安全技术要求分为安全功能要求和安全保证要求两个大类。其中,安全功能要求是对主机型防火墙应具备的安全功能提出具体要求,包括P数据包过滤规则、安全规则修订、人侵防范和安全审计功能等要求;安全保证要求针对主机型防火墙的开发和使用文档的内容提出具体的要求,例如配置管理、交付和运行、开发和指导性文件等。5.1.2安全等级本标准按照主机型防火墙安全功能的强度划分安全功能要求的级别,按照GB/T18336.3一2008划分安全保证要求的级别。安全等级分为基本级和增强级,安全功能强弱和安全保证要求高低是等级划分的具体依据。与基本级内容相比,增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。5.2基本级要求5.2.1安全功能要求52.11r数包滋筑J.NEI产品应具备包过滤功能,依据TCP/P等协议中网络数据包的数据格式约定规则,每一条包过滤规则应由下列要素组成:)数据包方向:产品的包过滤规则应包含基于数据包方向的访问控制,即能够定义数据包的连接发起方和接收方;b)远程P地址:产品的包过滤规则应包含基于P地址的访问控制,即能指定目的IP地址,并且该P地址应能是任何P地址、指定P地址或指定IP地址范围;c)协议类型包括:1)根据ICMP网络数据包中的类型和代码字段进行设定,当匹配到相同类型和代码字段时则按对应规则中的数据包处理方式进行处理;2)根据UDP网络数据包中的本地端(包括单一端和〈或)端范围)和〈或)远程端(包括单一端和(或)端范围)进行规则匹配;3)根据TCP网络数据包中的本地端(包括单一端和(或)端范围)和〈或》远程端(包括单一端和(或)端范围)、以及TCP数据包的标志位进行规则匹配过滤。d)过滤动作包括:1)拦截;2)通行;3)继续匹配下一规则。5.2.1.2安全策略修订产品应提供默认的安全策略,安全策略应能被用户修订:a)用户能选择使用或弃用主机型防火墙提供的安全策略b)用户能根据5.2.1.1中的格式规定添加、副除、修改自定义安全策略。2理筑素村网Z.ZC
GB/T31505-20155.2.1.3应用程序网络访问控制产品的安全功能应能控制主机上每个应用程序使用网络的权限,对应用程序访问网络的控制应包括以下三种方式:a)允许访问:允许该应用程序使用网络;b)禁止访问:禁止该应用程序使用网络;?)访问网络时询问:当应用程序访问网络时,应能对其将进行的访问操作向用户提供详细的报告及询问,并能根据询问结果对该应用程序访问网络的行为进行相应处理。5.2.1.4入侵防范产品应提供对网络攻击数据包进行监测的能力。5.2.1.5身份鉴别5.2.1.5.1基本鉴别在执行任何与管理员相关功能之前,产品应鉴别用户的身份。5.2.1.5.2鉴别失败处理产品应提供一定的鉴别失败处理措施,防止暴力猜测密码。5.2.1.5.3超时锁密或连然筑乙Z产品应具有登录超时锁定或注销功能。在设定的时间段内没有任何操作的情况下,终止会话,需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。5.2.1.6安全管理5.2.1.6.1标识唯一性产品应为用户提供唯一标识,同时将用户的身份标识与该用户的所有可审计事件相关联。5.2.1.6.2管理员属性定义若产品支持策略中心进行分市式部署和集中管理,策略中心应能对管理员角色进行区分:)具有至少两种不同权限的管理员角色,例如安全员、审计员等;b)应根据不同的功能模块,自定义各种不同权限角色,并可对管理员分配角色。5.2.1.6.3远程管理加密若产品支持策略中心并对策略中心实施远程管理,应采取保密措施保护策略中心所实施远程管理的信息。5.2.1.6.4可信管理主机若产品支持策略中心并且控制台提供远程管理功能,应能对可远程管理的主机地址进行限制。5.2.1.7安全审计产品应具备安全审计功能,具体技术要求如下:a)记录事件类型:3理筑素村网Z.ZC
GB/T31505-20151)匹配包过滤规则的网络通讯信息;2)管理员的登录成功和失败;3)对安全策略进行更改的操作:4)对安全角色进行增加、删除和属性修改的操作;5)管理员的其他操作。b)日志内容:1)匹配包过滤规则的网络通讯日志内容应至少包括如下信息:通讯日期和时间、过滤的动作、远程的P地址、本机的端、远程的端和备注;2)其他日志应记录事件发生的日期、时间、用户标识、事件描述和结果;若采用远程登录方式对产品进行管理还应记录管理主机的地址。c)日志管理:1)应提供能查阅日志的工具;2).审计事件应存储于掉电非易失性存储介质中,且在存储空间达到阈值时至少能够通知授权管理员。5.2.2安全保证要求5.2.2.1配置管理5.2.2.1.1版本号开我者的健餐繁网5.2.2.1.2配置项开发者应使用配置管理系统并提供配置管理文档。配置管理文档应包括一个配置清单,配置清单应唯一标识组成产品的所有配置项并对配置项进行描述,还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效维护的证据。5.2.2.2交付与运行5.2.2.2.1交付程序开发者应使用一定的交付程序交付产品,并将交付过程文档化。在给用户方交付产品的各版本时,交付文档应描述为维护安全所必需的所有程序。5.2.2.2.2安装、生成和启动程序开发者应提供文档说明产品的安装、生成和启动的过程。5.2.2.3开发5.2.2.3.1非形式化功能规格说明开发者应提供一个功能规格说明,功能规格说明应满足以下要求:a)使用非形式化风格来描述产品安全功能及其外部接;b)是内在一致的;c)描述所有外部接的用途与使用方法,适当时应提供效果、例外情况和出错消息的细节;d)完备地表示产品安全功能。理筑素村网Z.ZC
GB/T31505-20155.2.2.3.2描述性高层设计开发者应提供产品安全功能的高层设计,高层设计应满足以下要求:a)表示应是非形式化的;b)是内在一致的;c)按子系统描述安全功能的结构;d)描述每个安全功能子系统所提供的安全功能性;e)标识安全功能所要求的任何基础性的硬件、固件或软件,以及在这些硬件、固件或软件中实现的支持性保护机制所提供功能的一个表示;标识安全功能子系统的所有接;g)标识安全功能子系统的哪些接是外部可见的。5.2.2.3.3非形式化对应性证实开发者应提供产品安全功能表示的所有相邻对之间的对应性分析。对于产品安全功能所表示的每个相邻对,分析应阐明,较为抽象的安全功能表示的所有相关安全功能,应在较具体的安全功能表示中得到正确且完备地细化,5.2.2.4指导性文档5.2.2.4.1管理员指有开发者应提联警碧指南,管理员指南应与为评传而提铁的其他所有文档保持十受。管理员指南应说期以下内容:儿、a)管理员可使用的管理功能和接;b)怎样安全地管理产品;c)在安全处理环境中应被控制的功能和权限;d)所有对与产品的安全操作有关的用户行为的假设:e)所有受管理员控制的安全参数,如果可能,应指明安全值;)每一种与警理功能有关的安全相关事件,包括对安全功能所控制实体的安全特性进行的改变g)所有与管理员有关的T环境安全要求。5.2.2.4.2用户指南开发者应提供用户指南,用户指南应与为评估而提供的其他所有文档保持一致。用户指南应说明以下内容:a)产品的非管理员用户可使用的安全功能和接;b)产品提供给用户的安全功能和接的使用方法;c)用户可获取但应受安全处理环境所控制的所有功能和权限;d)产品安全操作中用户所应承担的职责;e)与用户有关的T环境的所有安全要求。5.2.2.5测试5.2.2.5.1覆盖证据开发者应提供测试覆盖的证据。在测试覆盖证据中,应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能是对理筑Z..ET
GB/T31505-2015应的。5.2.2.5.2功能测试开发者应测试安全功能,将结果文档化并提供测试文档。测试文档应包括以下内容:a)测试计划,应标识要测试的安全功能,并描述测试的目标;b)测试过程,应标识要执行的测试,并描述每个安全功能的测试概况,这些概况应包括对于其他测试结果的顺序依赖性;?)预期的测试结果,应表明测试成功后的预期输出;d)实际测试结果,应表明每个被测试的安全功能能按照规定进行运作。5.2.2.5.3独立测试5.2.2.5.3.1-致性开发者应提供适合测试的产品,提供的测试集合应与其自测产品功能时使用的测试集合相一致。5.2.2.5.3.2抽样开发者应提供一组相当的资源,用于安全功能的抽样测试。5.2.2.6脆弱性评定5.22.61产高安全功鳄童度评特开发者应对指导性文档中所标识的每个具有安全功能强度声明的安全机制进行安全功能强度分析,并说明安全机制达到或超过定义的最低强度级别或特定功能强度度量。5.2.2.6.2开发者脆弱性分析开发者应执行脆弱性分析,并提供脆弱性分析文档。开发者应从用户可能破坏安全策略的明显途径出发,对产品的各种功能进行分析并提供文档。对被确定的脆弱性,开发者应明确记录采取的措施。对每一条脆弱性,应有证据显示在使用产品的环境中,该脆弱性不能被利用。5.3增强级要求5.3.1安全功能要求5.3.1.1P数据包过滤产品应具备包过滤功能,依据TCP/IP等协议中网络数据包的数据格式约定规则,每一条包过滤规则应由下列要素组成:a)数据包方向:产品的包过滤规则应包含基于数据包方向的访问控制,即能够定义数据包的连接发起方和接收方。b)远程IP地址:产品的包过滤规则应包含基于P地址的访问控制,即能指定目的P地址,并且该IP地址应能是任何P地址、指定P地址或指定P地址范围。c)协议类型包括:1)根据ICMP网络数据包中的类型和代码字段进行设定,当匹配到相同类型和代码字段时则按对应规则中的数据包处理方式进行处理;6莲素村网Z.ZC.ET
G8/T31505-20152)根据UDP网络数据包中的本地端(包括单一端和(或)端范围)和〈或)远程端(包括单一端和〈或)端范围)进行规则匹配;3)根据TCP网络数据包中的本地端(包括单一端和〈或)端范围)和(或)远程端(包括单一端和〈或)端范围)、以及TCP数据包的标志位进行规则匹配过滤。d)过滤动作包括:1)拦截;2)通行:3)继续匹配下一规则。5.3.1.2安全规则修订产品应提供默认的安全规则,安全规则应能被用户修订:a)用户能选择使用或弃用主机型防火墙提供的安全规则;b)用户能根据5.3.1.1中的格式规定添加、删除、修改自定义安全规则。5.3.1.3应用程序网络访问控制产品的安全功能应能控制主机上每个应用程序使用网络的权限,对应用字访问网路的控制应包括以下三种方式:a)允许访问:允许该应用程序使用网终;b)禁止访问:禁止该应用程序使用网络:c)访问网络时询问:当应用程序访词网路时,应能对其将进行的污间类作向用宁是供学细的报告及询问,并能根据询问结果对该应用程序访问网络的行为进行相应处盟。5.3.1.4入曼防范产品应提供对网络攻击数据包进行监测和人侵防范的能力,包括:a)应能够检测到来自网络的攻击行为;飞)应能以一定方式向用户发出警告,以及提示用户采取哪些措施:c)应具备对于一些特定攻击的阻断能力;d)应具备立可更新的攻击特征库的能力。5.3.1.5网络快速切断/恢复产品应提供一种网络快速切断/恢复的能力,以应对某些特殊的威胁,包括:)若产品部署节点支持桌面管理,则应能以快捷的方式切断和恢复所有网路通吊;b)产品策略控制中心应能以快捷的方式切断和恢复任意节点的网络通讯,5.3.1.6统一策略产品应具有集中的策略控制中心,统一管理各个节点的安全策略。5.3.1.7统-响应当某个节点遭受攻击时,整个主机型防火墙系统应从全局分析攻击来源、攻击路径等信息,统一调整各个节点的安全策略。7理筑素村网Z.ZC
评星:

  • 0

  • 0

作品评论(0)

登录 后参与讨论
相关推荐:
本站所有资源由用户上传,仅供学习和交流之用;未经授权,禁止商用,否则产生的一切后果将由您自己承担!素材版权归原作者所有,如有侵权请立即与我们联系,我们将及时删除
收藏 免注册直接免费下载
下载地址二下载
下载出错?
浏览:148 次数:3
下载:免费下载 收藏:0
等级:
编号:201246 6
文件格式:pdf文本
文件大小:3.20MB
投稿:1001 进入
上传时间:2022/8/16 8:07:08
如有侵权请联系删除

您可能在找这些:

GBT31500-2015信息安全技术 存储介质数据恢复服务要求GBT31447-2015预镀锌公路护栏GBT31299-2014家用储热式室内加热器 性能测试方法GBT31265-2014混凝土模板用木工字梁GBT31004.3-2014声学 建筑和建筑构件隔声声强法测量 第3部分:低频段的实验室测量GBT31004.2-2014声学 建筑和建筑构件隔声声强法测量 第2部分:现场测量GBT30593-2014外墙内保温复合板系统GBT29487-2013中大功率瓦斯发电机组GBT28627-2012抹灰石膏GBT28590-2012城市地下空间设施分类与代码GBT26263-2010 通信用风能电源系统GBT26262-2010 通信产品节能分级导则GBT26261-2010 旧通信设备鉴定通用技术要求GBT26260-2010 接入网设备与远端模块电源系统的综合再利用GBT26259-2010 废弃通信产品再使用技术要求GBT26256-2010 2.4GHz频段无线电通信设备的相互干扰限制与共存要求及测试方法
技术措施 09版-规划·建筑·景观 纠错表 幕墙检测收费标准2015年执行 木质防火门---1999沪J613 闽3003J101塑钢门窗 闽2010-J-34 福建 酚醛保温板外墙保温隔热建筑构造 闽2010-J-34 酚醛保温板外墙保温隔热建筑构造 闽2010-J-31建筑硅质刚性防水构造(DBJT13-85)1 闽2007G119 先张法预应力高强混凝土管桩 闽2006J10福建省蒸压砂加气混凝土砌块建筑构造 闽2006J10 蒸压砂加气混凝土砌块建筑构造 闽2005J03 平屋面建筑构造 闽2005J02坡屋面建筑构造 闽2005J02 坡屋面建筑构造 闽2004J05楼梯栏杆(DBJT13-70) 闽2004J05 楼梯栏杆 闽2004J04-A 福建省村镇住宅A型通用图 闽2004J02 闽2004J02 顶棚 闽2004G108 闽2004G108 锚杆静压桩

网站首页 典尚平台 建筑素材 三维模型 室内装修 视频素材网 上传教程 帮助中心 热门搜索 版权申明 关于我们 联系典尚

Copyright © 2000-2020 www.jzsc.net.粤ICP备07047611号 All Rights Reserved.

客服QQ:609470690 客服电话:0755-83549300 深圳市典尚风设计有限公司

Copyright© 2016典尚平台 JZSC.NET

网站推荐使用腾讯、Chrome浏览器浏览,不推荐360,很卡

粤公网安备 44030302000908号

QQ咨询
推广分享
×
复制本页url网址

推广详情

如您已登录,分享网址将自动加载您的推广编号,您将获得2元/注册用户的奖励。

推广记录  积分记录

网站首页
回顶部