信息安全技术 防火墙安全技术要求和测试评价方法-编制说明

工作简况1、任务来源根据国家标准化管理委员会2017年下达的国家标准制修订计划，国家标准《信息安全技术防火墙安全技术要求和测试评价方法》由公安部第三研究所、北京网康科技有限公司负责主办。2、协作单位自接收编制任务后，主办单位随即与相关厂商、测评机构进行沟通，并得到了多家业内知名厂商和测评机构的积极参与和反馈。最终确定由北京神州绿盟科技有限公司、北京天融信网络安全技术有限公司、中国电子技术标准化研究院、中国信息安全测评中心、杭州美创科技有限公司、深信服网络科技（深圳）有限公司、启明星辰信息技术集团有限公司、沈阳东软系统集成工程有限公司、新华三技术有限公司、蓝盾信息安全技术股份有限公司、华为技术有限公司、上海上讯信息技术股份有限公司、杭州安恒信息技术有限公司、北京奇安信科技有限公司、北京中安星云软件技术有限公司等单位作为标准编制协作单位。3、主要工作过程标准制定的主要工作过程如下：1）2017年6月接到标准编制任务，组建标准编制组，编制组成员由经验丰富的防火墙的研发人员，以及具有资深产品测评经验的测试人员组成，人员包括俞优、顾健、陆臻、熊瑛、雷晓峰、宫智、沈武林等。其中，俞优和熊瑛全面负责标准编制工作，包括制定工作计划、确定编制内容和整体进度、人员的安排；雷晓峰、宫智负责标准的前期调研、现状分析、标准各版本的编制、意见汇总的讨论处理、编制说明的编写等工作；陆臻负责标准校对审核等工作；顾健主要负责标准编制过程中的各项技术支持和整体指导。2）2017年7月，编制组首先制定了编制工作计划，并确定了编制组人员例会安排以便及时沟通交流工作情况。按照项目进度要求，编制组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解，查阅有关资料，编写标准编制提纲，在完成对提纲进行交流和修改的基础上，开始具体的编制工作。2017年7月至8月，在前期调研和工作积累的基础上，编制组充分分析了各类防火墙的特点，完成了草案（第一稿）的编制，主要由“安全技术要求”（安全功能要求、自身安全功能要求、性能要求）和“测试评价方法”组成。3）2017年8月，编制组以意见征求会形式进行现场征求意见，参与单位包括新华三、绿盟科技、天融信、奇安信、网神、启明星辰、中科网威、杭州美创等主流厂商，编制组认真分析并及时采纳了建议，形成了草案（第二稿）。3）2017年9月，编制组在北京召开了标准修订项目启动会，与会专家对本标准给出了进一步的指导意见。编制组根据专家意见进行修改完善，并重点考虑本标准与相关强制标准的结合，形成草案（第三稿），主要由“安全技术要求”（安全功能要求、自身安全功能要求、性能要求、基本要求和管理要求）、“测试评价方法”组成。4）2017年10月，WG5工作组在厦门召开在研标准推进会，与会专家对标准草案（第三稿）进行了认真审议，提出了相关意见，并建议标准形成征求意见稿。编制组根据意见完善并形成征求意见稿（第一稿）。5）2018年2月，编制组在北京召开了标准内部研讨会，与会代表针对标准文本内容进行了逐条分析，并重点讨论了“下一代防火墙命名”等问题，随后形成了征求意见稿（第二稿）。6）2018年3月，编制组根据中国电子技术标准化研究院专家所提意见进行完善，形成了征求意见稿（第三稿）。标准编制原则和确定主要内容的论据及解决的主要问题1、编制原则本标准以自主编写的方式完成，编写格式和方法依照GB/T1.1-2009标准化工作导则第一部分：标准的结构和编写规则。在标准制定过程中，坚持以国内外相关产品发展的动向为研究基础，对各类防火墙的安全技术要求和测评方法提出规范化的要求，制定切实可行的测评标准。标准可用于防火墙的开发及检测，有利于规范化、统一化。该标准编制过程中，主要参考了：GB17859-1999计算机信息系统安全保护划分准则GB/T25069－2010信息安全技术术语GB/T20281-2015信息安全技术防火墙安全技术要求和测试评价方法GB/T31505~2015信息安全技术主机型防火墙安全技术要求和测试评价方法GA/T1140-2014信息安全技术web应用防火墙安全技术要求防火墙相关产品及其技术资料为了使本标准的内容从一开始就与现有国家标准保持一致，符合我国的实际情况，遵从我国有关法律、法规的规定。编制过程中遵循的具体原则与要求如下：1）实用性标准必须是可用的，才有实际意义。本标准在编写过程中严格按照流程对产品的现状、技术等相关领域展开系统的、全面的调研工作，注重与相关研发生产单位的交流，广泛了解了市场上主流防火墙的安全功能，进行提炼和扩展，使得标准更贴近产品实际情况，保证操作性。2）先进性标准是先进经验的总结，同时也是技术的发展趋势。目前，我国市场上防火墙种类繁多，要制定出先进的产品标准，必须充分考虑我国防火墙发展成熟过程中的技术，保持一定的前瞻性。3）兼容性本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一致。编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律、法规和标准。编制思路：为贴合各类防火墙产品的技术特点，编制组以访问控制、攻击防护为研究内容，深入分析防火墙的技术特点，通过标准编制研究、验证，明确了产品的定义，提出了科学的安全功能和性能要求，对于产品功能组件的描述尽可能做到清晰、明确。标准安全功能产生的流程详见下图：图1安全功能产生的流程图编制目的：1）首先，在统一的内容框架、统一的功能框架、统一的级别划分和强度要求指导下重新梳理多类防火墙产品的标准，有助于保持标准内容的先进性，并起到精简标准的作用；2）第二，通过项目的执行，重新理清各种产品的差异和功能边界，并且体现各种产品的关联性和衔接性，实现更好的知道厂商和用户的作用，确保标准的实用性；3）第三，对于下一代防火墙、数据库防火墙等新型产品，可以填补我们在对应领域的空白，起到促进产业发展的积极作用。2、确定主要内容的论据及解决的主要问题本标准在确定主要内容时主要基于如下方面：1）解决的问题当前，防火墙产品种类较多，具体包括网络层防火墙、下一代防火墙、Web应用防火墙、数据库防火墙、主机型防火墙等。但目前各类防火墙标准繁多，缺乏统一考虑、相互关联性差；其次，各类标准对不同类型防火墙安全功能的描述存在重复，功能边界划分不清；此外，标准与市场现状脱节，诸如下一代防火墙、数据库防火墙等产品暂无国标可依，制约产品的研发和测评。本标准明确各类防火墙产品的功能边界，制定适用于各类产品，且体现各类产品间关联性和技术要求衔接性的标准，并对已不适用于目前技术发展和不符合市场现状的内容进行甄别和修改。从而整合同类标准（包括GB/T20010-2005、GB/T31505-2015、GB/T32917-2016）、确保标准内容先进性、适用于防火墙的设计、开发与测评。2）防火墙主要模块防火墙是用于不同安全域之间，具备访问控制及过滤功能的安全产品，可以是软硬件或者纯软件的产品。根据防火墙的使用场景、产品形态以及功能范围，可以分为网络层防火墙、下一代防火墙、WEB应用防火墙、数据库防火墙、主机型防火墙等，它们在纵深防御体系中部署于不同的位置，并保护着不同的对象和资产。防火墙系统架构如图2所示：图2防火墙模块图组网与部署系统的基础模块，通过IP地址、路由、HA等功能参数的设置，实现在所保护网络中的部署，保证网络连通性和可用性。网络层控制基于源IP地址、目的IP地址、端口等对网络流量进行基础访问控制，并通过连接、流量管控实现网络资源分配。应用层控制基于网络流量中的用户、应用和内容信息执行精细化、细粒度的管控，提供基于应用层信息的访问控制能力。攻击防护基于预置特征库、规则库，对来自网络层和应用层的拒绝服务、扫描、漏洞等类型的攻击进行高效防护。事件分析与审计对网络行为产生的日志、数据进行统计分析和审计，满足安全管理的需要。3）核心技术指标本标准将防火墙安全技术要求分为安全功能要求、自身安全功能要求、性能要求、基本要求和管理要求四个大类。其中，安全功能要求是对防火墙应具备的安全功能提出具体要求，包括组网与部署、网络层控制、应用层控制、攻击防护和事件分析与审计；自身安全功能要求针对防火墙的自身安全功能提出具体的要求，例如身份标识和鉴别、管理能力、管理审计等；性能要求则是对防火墙应达到的性能指标作出规定，包括吞吐量、延迟、连接速率、最大并发连接数；基本要求和管理要求针对防火墙提供者提出具体的管理要求，例如恶意程序防范、安全维护、用户信息保护等。安全等级上，本标准按照防火墙安全技术要求的强度划分级别。安全等级分为基本级和增强级，安全功能和自身安全功能强弱是等级划分的具体依据。主要情况分析编制组在编制过程中，通过对各类防火墙（天融信的猎豹系列防火墙、360网神的天堤新一代智慧防火墙、绿盟科技的Web应用防火墙、杭州美创的数据库防火墙和奇安信的天擎主机防火墙等）的测试，对标准指标合理性进一步进行了验证，最终给出了各类防火墙的安全技术要求和测试评价方法。其中，网络层防火墙基于其运用需求选择适用的安全技术要求，安全技术要求划分表具体如表1所示。表1网络层防火墙安全功能安全技术要求基本级增强级安全功能要求组网与部署部署模式a)~b)a)~b)路由静态路由..1策略路由.2a).2a)~c）动态路由——.3冗余部署——设备虚拟化虚拟系统.1有则适用.1有则适用虚拟化部署.2有则适用.2有则适用IPv6支持支持纯IPv6网络环境.1有则适用.1有则适用协议一致性.2有则适用.2有则适用协议健壮性.3有则适用.3有则适用支持IPv6过渡网络环境.4有则适用.4有则适用网络层控制访问控制包过滤.1a)~d).1NAT.2a)~c).2状态检测..3动态开放端口.4a).4IP/MAC地址绑定——.5流量管理带宽管理.1a).1a)~b)连接数控制..2会话管理..3应用层控制用户管控——应用类型控制——a)、c)攻击防护拒绝服务攻击防护a)~f)a)~f)外部系统协同防护——安全审计与分析安全审计安全告警——统计分析网络流量统计..1攻击事件统计.3a).3自身安全功能要求身份识别与鉴别6.2.1a)~e)6.2.1管理能力6.2.2a)~d)6.2.2管理审计.3管理方式6.2.4a)~c)6.2.4异常处理机制.5性能要求吞吐量网络层吞吐量延迟.2连接速率TCP新建连接速率最大并发连接数TCP并发连接数安全保障要求开发安全架构功能规范产品设计a)~b)实现表示——指导性文档操作用户指南准备程序生命周期支持配置管理能力a)~c)配置管理范围a)交付程序开发安全——生命周期定义——工具和技术——测试测试覆盖a)测试深度——功能测试独立测试脆弱性评定.5注：“——”表示不适用。下一代防火墙基于其运用需求选择适用的安全技术要求，安全技术要求划分表具体如表2所示。表2下一代防火墙安全功能安全技术要求基本级增强级安全功能要求组网与部署部署模式a)~b)a)~b)路由静态路由..1策略路由.2a)~d).2动态路由——.3冗余部署——设备虚拟化虚拟系统.1有则适用.1有则适用虚拟化部署.2有则适用.2有则适用IPv6支持支持纯IPv6网络环境.1有则适用.1有则适用协议一致性.2有则适用.2有则适用协议健壮性.3有则适用.3有则适用支持IPv6过渡网络环境.4有则适用.4有则适用网络层控制访问控制包过滤.1a~d).1NAT.2a~c).2状态检测..3动态开放端口..4IP/MAC地址绑定——.5流量管理带宽管理.1a).1连接数控制..2会话管理..3应用层控制用户管控应用类型控制a)~d)应用内容控制WEB应用.1a)~c).1a)~d)、g)其他应用——.3攻击防护拒绝服务攻击防护a)~f)a)~f)WEB攻击防护a)~c)a~c)数据库攻击防护a)~b)a)~b)恶意代码防护其他应用攻击防护a)~c)自动化工具威胁防护a)~b)攻击逃逸防护——外部系统协同防护——安全审计与分析安全审计安全告警统计分析网络流量统计..1应用流量统计.2a).2攻击事件统计.3a).3自身安全功能要求身份识别与鉴别6.2.1a)~e)6.2.1管理能力6.2.2a)~d)6.2.2管理审计.3管理方式6.2.4a)~c)6.2.4异常处理机制.5性能要求吞吐量网络层吞吐量混合应用层吞吐量延迟.2连接速率TCP新建连接速率最大并发连接数TCP并发连接数安全保障要求开发安全架构功能规范产品设计a)~b)实现表示——指导性文档操作用户指南准备程序生命周期支持配置管理能力a)~c)配置管理范围a)交付程序开发安全——生命周期定义——工具和技术——测试测试覆盖a)测试深度——功能测试独立测试脆弱性评定.5注：“——”表示不适用。WEB应用防火墙基于其运用需求选择适用的安全技术要求，安全技术要求划分表具体如表3所示。表3WEB应用防火墙安全功能安全技术要求基本级增强级安全功能要求组网与部署部署模式a)、c)a)、c)冗余部署——设备虚拟化虚拟化部署.2有则适用.2有则适用IPv6支持支持纯IPv6网络环境.1有则适用.1有则适用协议一致性.2有则适用.2有则适用协议健壮性.3有则适用.3有则适用支持IPv6过渡网络环境.4有则适用.4有则适用网络层控制访问控制包过滤——.1b)~c)应用层控制应用类型控制a)a)应用内容控制WEB应用.1b)~f）.1b)~g)负载均衡——a)攻击防护拒绝服务攻击防护g)g)WEB攻击防护a)~g）恶意代码防护——a）自动化工具威胁防护——b）~c）攻击逃逸防护——外部系统协同防护——安全审计与分析安全审计安全告警统计分析应用流量统计.2a).2攻击事件统计.3a).3自身安全功能要求身份识别与鉴别6.2.1a)~e)6.2.1管理能力6.2.2a)~d)6.2.2管理审计.3管理方式6.2.4a)~c)6.2.4异常处理机制.5性能要求吞吐量HTTP吞吐量连接速率HTTP请求速率最大并发连接数HTTP并发连接数安全保障要求开发安全架构功能规范产品设计a)~b)实现表示——指导性文档操作用户指南准备程序生命周期支持配置管理能力a)~c)配置管理范围a)交付程序开发安全——生命周期定义——工具和技术——测试测试覆盖a)测试深度——功能测试独立测试脆弱性评定.5注：“——”表示不适用。数据库防火墙基于其运用需求选择适用的安全技术要求，安全技术要求划分表具体如表4所示。表4数据库防火墙安全功能安全技术要求基本级增强级安全功能要求组网与部署部署模式a)、c)a)、c)冗余部署——设备虚拟化虚拟化部署.2有则适用.2有则适用IPv6支持支持纯IPv6网络环境.1有则适用.1有则适用协议一致性.2有则适用.2有则适用协议健壮性.3有则适用.3有则适用支持IPv6过渡网络环境.4有则适用.4有则适用网络层控制访问控制包过滤——.1b)~c)动态开放端口.4c).4c)应用层控制应用类型控制b)b)应用内容控制数据库应用.2a)~c).2负载均衡——b)攻击防护数据库攻击防护a)~b)、d)~e)攻击逃逸防护——外部系统协同防护——安全审计与分析安全审计安全告警统计分析应用流量统计.2a）.2攻击事件统计.3a）.3自身安全功能要求身份识别与鉴别6.2.1a)~e)6.2.1管理能力6.2.2a)~d)6.2.2管理审计.3管理方式6.2.4a)~c)6.2.4异常处理机制.5性能要求吞吐量SQL吞吐量连接速率SQL请求速率最大并发连接数SQL并发连接数安全保障要求开发安全架构功能规范产品设计a)~b)实现表示——指导性文档操作用户指南准备程序生命周期支持配置管理能力a)~c)配置管理范围a)交付程序开发安全——生命周期定义——工具和技术——测试测试覆盖a)测试深度——功能测试独立测试脆弱性评定.5注：“——”表示不适用。主机型防火墙基于其运用需求选择适用的安全技术要求，安全技术要求划分表具体如表5所示。表5主机型防火墙安全功能安全技术要求基本级增强级安全功能要求组网与部署设备虚拟化虚拟化部署.2有则适用.2有则适用IPv6支持支持纯IPv6网络环境.1有则适用.1有则适用网络层控制访问控制包过滤.1b)~d).1b)~g)IP/MAC地址绑定——.5流量管理带宽管理.1a).1a)~b）连接数控制——.2会话管理——.3应用层控制应用类型控制a)~d)攻击防护拒绝服务攻击防护a)~c)a)~c)恶意代码防护其他应用攻击防护a)~c)自动化工具威胁防护a)a)~b)攻击逃逸防护——外部系统协同防护——安全审计与分析安全审计安全告警统计分析网络流量统计..1应用流量统计——.2a)攻击事件统计.3a).3自身安全功能要求身份识别与鉴别6.2.1a)~e)6.2.1管理能力6.2.2a)~d)6.2.2管理审计.3管理方式6.2.4c)6.2.4c)异常处理机制.5安全保障要求开发安全架构功能规范产品设计a)~b)实现表示——指导性文档操作用户指南准备程序生命周期支持配置管理能力a)~c)配置管理范围a)交付程序开发安全——生命周期定义——工具和技术——测试测试覆盖a)测试深度——功能测试独立测试脆弱性评定.5注：“——”表示不适用。知识产权情况说明本标准不涉及专利。采用国际标准和国外先进标准情况未发现相关国际标准。与现行相关法律、法规、规章及相关标准的协调性与相关法律法规及国家有关规定的关系建议本标准推荐性实施。本标准不触犯国家现行法律法规，不与其他强制性国标相冲突。与国家标准的关系GB/T20281-2015《信息安全技术防火墙安全技术要求和测试评价方法》本标准基于GB/T20281-2015内容进行修订，将防火墙细分为网络层防火墙、下一代防火墙、Web应用防火墙、数据库防火墙、主机型防火墙，并基于各类产品应用特点，提出有针对性的安全技术要求和测试评价方法。GB/T31505-2015《信息安全技术主机型防火墙安全技术要求和测试评价方法》本标准整合GB/T31505-2015