收藏
下载资源 加入VIP免费专享

GA-372-2001.pdf

上传人:椰子壳 文档编号:3756761 上传时间:2019-09-22 格式:PDF 页数:8 大小:276.16KB
返回 下载 相关 举报
GA-372-2001.pdf_第1页
第1页 / 共8页
GA-372-2001.pdf_第2页
第2页 / 共8页
GA-372-2001.pdf_第3页
第3页 / 共8页
GA-372-2001.pdf_第4页
第4页 / 共8页
GA-372-2001.pdf_第5页
第5页 / 共8页
亲,该文档总共8页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《GA-372-2001.pdf》由会员分享,可在线阅读,更多相关《GA-372-2001.pdf(8页珍藏版)》请在三一文库上搜索。

1、I C S L 0 4 3 5 . 0 2 0 日1 : 1 中华 人 民共 和 国公 共 安全 行 业 标 准 G A 3 7 2 一 2 0 0 1 防火墙产品的安全功能检测 T e s t f o r s e c u r i t y f u n c t i o n s o f f i r e w a l l 2 0 0 1 一 1 2 一 2 4发 布2 0 0 2 一 0 5 一 0 1实施 中华人 民共和国公安部发 布 GA 3 7 2 - 2 0 0 1 前言 本 标准的全部技术 内容 为强制性 本标准由公安部公共信息网络安全监察局提出。 本标准由公安部信息系统安全标准化技术委员会

2、归no 本标准起草单位: 公安部计算机信息系统安全产品质量监督检验中心 本标准主要起草人: 朱建平、 顾玮、 沈涛、 沈亮、 张岚 GA 3 7 2 -2 0 0 1 防火墙产品的安全功能检测 范 围 本标准规定了计算机信息系统防火墙产品的分级及安全功能检测 本标准适用于防 火墙 产品。 规范性 引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款 凡是注 日 期的引用文件 , 其随后所有的 修改单( 不包括勘误的内容) 或修订版均不适用于本标准, 然而, 鼓励根据本标准达成协议的各方研究是 否可使用这些文件的最新版本。凡是不注日期的引用文件, 其最新版本适用于本标准。 G B / T

3、 1 7 9 0 。 网络代理服务器的 安全技术要求 G B / T 1 8 0 1 9 信息技术 包过滤防 火墙安全技术 要求 G B / T 1 8 0 2 0 信息技术应用级防火墙安全技术要求 3术语和定义 下列术语和定义适用于本标准。 3 门 防火墙f i r e w a l l 设置在一个网络进出口或一个网段上的安全阻隔, 用于保证本地网络或本网段资源的安全。 3 . 2 数据包过滤d a t a p a c k e t f i l t e r i n g 有选择地控制来往于网络的数据包的行动 当数据包从一个网络传输到另一个网络时, 数据包过滤 器允许或者阻止数据包的传输。 3 .

4、3 安全审计s e c u r i t y a u d i t 对数据处理系统记录与活动的独立审查和检查 以测试系统控制的充分程度, 确保符合已建立的安 全策略和操作过程, 检测出安全违规, 并对在控制、 安全策略和过程中指示的变化提出建议 3 . 4 网 络代理服务器 p r o x y s e r v e r 控制两边的应用程序只能通过服务器间接通信的防火墙。 此防火墙接受来自一边的通信, 检查这一 通信是否授权通过。如果授权则启动通信目标的连接, 若未授权则切断通信目标的连接。 3 . 5 包过滤防火墙p a c k e t f i l t e r f i r e w a l l 采用包

5、过滤技术保护整个网络不受人侵的防火墙 它在网络层上简单检查所有进人网络的信息. 并 将不符合预先设定标准的数据丢掉 3 . 6 应用级防火墙a p p l i c a t i o n l e v e l f i r e w a l l GA 3 7 2 -2 0 0 1 在应用层上根据预先设定的标准判断是否允许对某些应用程序进行访问的防火墙。应用级防火墙 检查所有应用层的信息, 放行符合预先设定标准的数据包。 3 . 7 混合型防火墙 c o m b i n a t i o n f i r e w a l l 使用包过滤、 应用层控制技术和网络代理的防火墙。 4防火墙 的分级及 安全 功能检测

6、 4 门第一级 本级的防火墙产品应具有用户数据保护中的完整的客体访问控制能力, 访问授权与拒绝能力, 多种 安全属性之一的访问控制能力、 一定的安全审计功能和防火墙的安全保证要求中的配置管理、 交付和操 作、 指南文件以及测试 4 . 1 . 1 完整 的客体访 问控 制 防火墙的安令功能应能对控制范围中的任何主体和客体执行未鉴别和已鉴别( 只适用于应用级防 火墙和网络代理服务器) 的端到端策略。 4 . 1 . 2访 问与拒绝 防火墙的安全功能执行未鉴别和已鉴别( 只适用于应用级防火墙和网络代理服务器) 的端到端策 略, 根据主体和客体的安全属性值应提供明确的访问保障和拒绝访问能力。 4 .

7、 1 . 3多种安全属性访 问控 制 防火墙未鉴别或已鉴别( 只适用于应用级防火墙和网络代理服务器) 的端到端策略控制范畴应包 括: 源地址、 目的地址两个要素。 4 门. 4安全审计 防火墙应具有安全审计功能。 4 门. 5配置管理保证 开发商应提供进行防火墙测试相关的物理环境( 包括所有的软硬件) 以及测试项目的参考文档; 应 提供配置管理系统以及相应的文档, 文档中应包括明确描述防火墙各个配置项 目的配置目录。 4 . 1 . 6交付和操作保证 开发商应提供最终的产品交付文档。交付文档应包含描述安装、 生成和启动防火墙所要求的步骤。 4 门. 7指南文件保证 开发商应提供与产品配套的管理

8、员指南和用户指南 4 . 1 . 8 测试保证 开发商应提供用于测试的防火墙。 4 . 2 第二级 本级的防火墙产品应包括第一级的所有功能。还应包括用户数据保护中的管理员属性的修改和查 询; 标识 与 鉴别的所有功能; 密码支持( 对远程管理) ; 可信安全功能保护的所有功能; 安全审计的基本功 能; 以及对安全保证要求中配置管理的增强 4 . 2 . 1多种安全属 性访问控制 应符合 4 . 1 . 3的规定以外, 防火墙未鉴别或已鉴别( 只适用于应用级防火墙和网络代理服务器) 的 端到端策略控制范畴还应包括: 基于用户 工 n( 只适用于应用级防火墙和网络代理服务器) 、 源地址、 目的

9、地址、 源端口号、 日的端日号、 传输层协议等所有要素。 4 . 2 . 2 管理员属性修改 防火墙执行未鉴别和已鉴别( 只适用于应用级防火墙和网络代理服务器) 的端到端策略, 应保证授 权管理员可以修改标识与角色的关联( 如: 授权的管理员) 、 标识的访问控制属性以及与安全管理相关的 管理数据 。 GA 3 7 2 -2 0 0 1 4 . 2 . 3 管理员属性查询 防火墙执行未鉴别和已鉴别( 只适用于应用级防火墙和网络代理服务器) 的端到端策略, 应保证授 权管理员具有查询标识的访问控制属性、 主机名、 用户名( 用于应用级防火墙和网络代理服务器) 的能 力 。 4 . 2 . 4 标

10、 识与鉴别 4 . 2 . 4 门授权管理员、 可信主机和用户( 只适用于应用级防火墙和网络代理服务器) 鉴别数据初始化 防火墙应提供有且只能有授权管理员初始化鉴别数据的功能。 4 . 2 . 4 . 2 授权管理员、 可信主机和用户( 只适用于应用级防火墙和网络代理服务器) 鉴别数据的基本 保护 防火墙应提供鉴别数据不允许被未授权查阅、 修改和破坏的功能 42 . 4 . 3 授权管理员、 可信主机、 主机( 只适用于包过滤防火墙) 和用户( 只适用于应用级防火墙和网络 代理服务器) 属性或鉴别数据初始化 防火墙应提供用默认值对授权管理员、 可信主机、 主机( 只适用于包过滤防火墙) 和用户

11、( 只适用于 应用级防火墙和网络代理服务器) 属性或鉴别数据的初始化能力。 4 . 2 - 4 . 4 授权管理员、 可信主机、 主机和用户( 只适用于应用级防火墙和网络代理服务器) 唯一属性 定 义 防火墙的安全功能应为每 一 个规定的授权管理员、 可信主机、 主机和用户( 只适用于应用级防火墙 和网络代理服务器) 提供一套唯一的, 为了执行安全策略所必需的安全属性。 4 . 2 . 4 . 5 授权管理员的基本鉴别 防火墙的安全功能应能鉴别任何通过防火墙控制口履行授权管理员功能的管理员的身份。 42 . 4 . 6单一使用的鉴别 机制 防火墙的安全功能应在执行任何与授权管理员、 可信主机、

12、 主机( 只适用于包过滤防火墙) 或用户 ( 只适用于应用级防火墙和网络代理服务器) 相关功能之前, 鉴别授权管理员、 可信主机、 主机( 只适用于 包过滤防火墙) 或用户( 只适用于应用级防火墙和网络代理服务器) 的身份; 防火墙应预防与远程管理、 远程可信主机和用户( 只适用于应用级防火墙和网络代理服务器) 要求服务操作( 如: 文件传送协议 “ F T P “ 、 超文本传输协议“ H 丁 TP “ 、 登录、 邮政协议“ P O P “ 、 远程登录、 简单网络管理协议“ S N MP “ ) 有关 的鉴别数据的重用 4 . 2 . 4 . 7 授权管理员、 可信主机、 主机和用户(

13、只适用于应用级防火墙和网络代理服务器) 唯一身份识 别 防火墙应确保在所有授权管理员, 可信主机、 主机( 适用于网络代理服务器) 和用户( 只适用于应用 级防火墙和网络代理服务器) 请求执行任何操作之前, 对每个授权管理员、 可信主机、 主机和用户( 只适 用于应用级防火墙和网络代理服务器) 进行唯一身份识别。 4 . 2 . 5 密码支持 提供远程管理的会话加密功能, 提供用于加未的接口。 4 . 2 . 6区分安全管理角 色 防火墙的安全功能应区分与安全相关的管7 11, 以 能和其他功能; 与安全相关的管理功能集应包括安 装、 配置和管理, 其中应至少包括增加和删除主体和客体; 查阅安

14、全属性; 分配、 修改和撤消安全属性、 查 阅和管理审计数据; 管理应分权限。 4 . 2 . 7 管理功能 防火墙的安全功能应使授权管理员具有设置和更新与防火墙安全相关的数据的能力; 应提供给授 权管理员安装、 初始配置、 启动和关闭、 备份和恢复防火墙的能力; 如果防火墙的安全功能支持外部或内 部接口, 那么在远程管理中应具有对两个接日或其中之一关闭远程管理的选择权; 能够限制进行远程管 理 的地址 ; 能够通 过加 密保护远程管理会话 。 GA 3 7 2 - 2 0 0 1 4 . 2 . 8 审计数据生成 分别对GB / T 1 8 0 1 9 -1 9 9 9的表 2 或GB /

15、T 1 8 0 2 0 -1 9 9 9 的表 2 或 G B 门、 1 7 9 0 0 -1 .9 9 9的表 2中 所列可审计事件中8 0 %的基本事件产生审计记录 4 . 2 . 9 审计跟踪管理 防火墙的安全功能应使授权管理员能够创建、 存档、 删除和清空审计记录。 4 . 2 . 1 0审计记录可 理解性 防火墙的安全功能应使存储于永久性审计记录中的所有审计数据可为人所理解 4 . 2 . 1 1限制审计跟踪 访问 防火墙的安全功能应保证只有授权管理员能访问审计记录 4 . 2 - 1 2 配置管理保证 应符合4 . 1 . 5的规定以外, 配置系统还应提供只有授权才能更改配置项目的

16、措施。 4 . 3 第三级 本级的防火墙产品应包括第二级的所有功能。还应包括: 代理服务中数据流控制( 仅用于网络代理 服务器) 、 鉴别失败的基本处理、 对遗留信息的充分保护、 安全功能区域分隔等功能, 同时加强了审计的 强度和安全保证要求, 以及增加了脆弱性分析。 4 . 3 . 1 对遗 留信息的充分保护 防火墙的安全功能应保证在为所有客体进行资源分配时, 不提供以前的任何信息内容 4 . 3 . 2 代理服务中数据流控制( 仅用于网络代理服务器) 防火墙若提供代理服务, 在代理服务过程中至少应支持基于关键词对信息流的拒绝和授权。 4 . 3 . 3 鉴别失败的基本处理 防火墙的安全功能

17、应保证在一定次数( 可设定) 的鉴别失败后, 终止可信主机或用户( 只适用于应用 级防火墙和网络代理服务器) 建立会话的过程。最大失败次数仅由授权管理员设定, 在可信主机会话建 立过程终止后, 防火墙的安全功能应关闭可信主机的帐号, 直至授权管理员重新开启。 4 . 3 . 4安全功能区域分隔 防火墙的安全功能应为其自身执行过程设定一个安全区域, 以保护其免遭不可信主体的干扰和篡 改。防火墙应能把控制范围内的各主体的安全区域分割开。( 包过滤防火墙可选) 4 . 3 . 5区分安全管理角色 应符合 4 . 2 . 6 的规定以外, 至少还应分有管理员、 审计员、 安全员三级权限 4 . 3 .

18、 6 状态检测功能 单纯包过滤防火墙的安全功能应具有对于数据包内容的状态检测能力。 4 . 3 . 7限制审计 查阅 防火墙的安全功能应提供只有授权管理员可使用的查阅审计记录的工具 4 . 3 . 8可选择查 阅审计 防火墙的安全功能应提供以主体 I D、 客体 1 D、 日期、 时间等关键词进行排序的审计查阅工具 4 . 3 . 9防止审计数据丢 失 防火墙的安全功能应把生成的审计记录, 储存于一个永久性的审计记录中。 防火墙的安全功能应限 制由于故障和攻击造成的审计事件丢失的数量 一旦审计存储耗尽, 防火墙的安全功能应保证在授权管 理员所采取的审计行为以外, 防止其他可审计行为的出现。 4

19、 . 3 门0 测试保证 应符合 4 . 1 . 8 的规定以外, 同时还应提供测试防火墙安全功能的测试文件 测试文件应包括测试计 划、 测试过程描述和测试结果 4 . 11 1 开发保证 开发商应提供防火墙的功能规范和安全策略 功能规范应以非形式方法描述安全策略, 同时应包括 GA 3 7 2 -2 0 0 1 以非形式方法表述的所有外部安全功能接口的语法和语义 4 . 31 2 脆 弱性分析 开发商应提供对防火墙做适合安全功能强度分析的文档( 包括对隐蔽通道的分析) , 应提供防火墙 可能存在的脆弱性和记录对每一条脆弱性的处置的文档, 并提供证据证明所找到的脆弱性在使用防火 墙的环境中不能

20、被利用。 4 . 4第R级 本级的防火墙产品包括以上三级的所有要求, 还扩充 r 鉴别机制、 审计要求以及安全保证要求中的 测试和开发的内容, 增加了防火墙可靠性分析、 安全保证要求。 4 . 4 . 1 授权管理员、 可信主机和用户鉴别机制 鉴别机制应采用多重方式, 禁止仅使用口令/ 用户名方式的鉴别机制 4 A. 2审计数据 生成 应符合4 . 2 . 8的规定以外, 还应具有对审计功能的审计能力; 审计数据应与防火墙主机分开; 审计 数据应使用密码技术加密, 保证其安全性和完整性 4 . 4 . 3 防火墙的可靠性 防火 墙 的 可靠 性应 对 GB / T 1 8 0 1 9 -1 9

21、 9 9中 的 5 . 2或 G B / T 1 8 0 2 0 -1 9 9 9中 的 5 . 2或 GB / T 1 7 9 0 0 - 1 9 9 9 中的 4 . 2 所提到的安全威胁以及 D O S或 D D O S等类似攻击提供预防措施 ; 防火墙 的安全功能应采用冗余机制, 在主防火墙发生故障时提供应急措施。 4 . 4 . 4测试保证 应符合 4 . 3 . 1 0的规定以外, 开发商还应提供测试深度的分析, 用以证明防火墙通过测试文件中确 定的测试, 以表明防火墙的运行符合安全功能规范。 4 . 4 . 5 开发保证 应符合 4 . 3 . 1 1 的规定以外, 还应提供防火

22、墙安全功能高层设计的非形式方法表述文档, 通过子系 统来描述安全功能的结构, 使之准确、 一致并且完整地反映安全目标中的功能要求。 4 . 4 . 6 操作 平台安全保证 应提供证明 保证操作系统的安全性。 4 . 4 . 7 硬件保 护 应具备防止非授权 的开箱 和替换 硬件部件的措施 *草庐一苇草庐一苇*提供优质文档, 如果 你下载的文档有缺页、 模糊等现象或 者遇到找不到的稀缺文件, 请发站内 信和我联系!我一定帮你解决! 提供优质文档, 如果 你下载的文档有缺页、 模糊等现象或 者遇到找不到的稀缺文件, 请发站内 信和我联系!我一定帮你解决! 本人有各种国内外标准 20 余万个, 包括全系 列 GB 国标国标及国内行业行业及部门标准部门标准,全系列 BSI EN DIN JIS NF AS NZS GOST ASTM ISO ASME SSPC ANSI IEC IEEE ANSI UL AASHTO ABS ACI AREMA AWS ML NACE GM FAA TBR RCC 各国船级 社 船级 社 等大量其他国际标准。豆丁下载网址:豆丁下载网址: http:/

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1