《信息安全技术 主机型防火墙安全技术要求和测试评价方法》编制说明

(一)工作简况

1.1任务来源

2011年，经国标委批准，全国信息安全标准化技术委员会

（SAC/TC260）主任办公会讨论通过，研究编制《信息安全技术主机

型防火墙技术要求和测试评价方法》国家标准（项目名称：《信息安

全技术防火墙技术要求和测试评价方法》补篇：web应用防火墙和

主机型防火墙安全技术要求与测试评价方法）。该项目由全国信息安

全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由

公安部计算机信息系统安全产品质量监督检验中心（公安部第三研究

所）负责主办。

1.2协作单位

本标准的协作单位有：中国电子技术标准化研究院、北京启明星

辰信息技术股份有限公司。

中国电子技术标准化研究院（工业和信息化部电子工业标准化研

究院，工业和信息化部电子第四研究院，简称“标准院”、“电子四

院），创建于1963年，是工业和信息化部直属事业单位，是国家从事

电子信息技术领域标准化的基础性、公益性、综合性研究机构。在

2011年底根据中央编办《关于工业和信息化部电子工业标准化研究

所更名的批复》，部人事教育司已正式批准CESI由“所”改“院”。

标准院以电子信息技术标准化工作为核心，通过开展标准科研、检测、

计量、认证、信息服务等业务，面向政府提供政策研究、行业管理和

战略决策的专业支撑，面向社会提供标准化技术服务。标准院建有政

府授权和权威机构认可的实验室、认证机构及工作站，承担54个IEC、

ISO/IEC/JTC1的TC/SC国内技术归口和14个全国标准化技术委员会

秘书处的工作，与多个国际标准化组织及国外著名机构建立了合作关

系，为标准的应用推广、产业推动和国际交流合作发挥了重要的促进

作用。

启明星辰公司成立于1996年，由留美博士严望佳女士创建，是

国内知名信息安全企业。2010年6月23日，启明星辰在深交所中小

板正式挂牌上市，成为国内唯一一家登陆资本市场的专业信息安全企

业。启明星辰拥有较完善的专业安全产品线，包括防火墙/UTM、入侵

检测管理、网络审计、终端管理、加密认证等技术领域，共有百余个

产品型号，并根据客户需求不断增加。

1.3主要工作过程

a）前期调研

a.1相关产品分析

每一台接入PC都可以看成是企业网络边际的扩展。一旦企业网

络的边际受到破坏，这些威胁就会迅速扩散到整个企业网络中，除非

用户采取了适当的防御措施。

解决这一问题的办法就是在接入PC上部署主机型防火墙。主机

型防火墙以软件形式安装在最终用户计算机上，阻止由外到内和由内

到外的威胁。主机型防火墙不仅可以监测和控制网络级数据流，而且

可以监测和控制应用级数据流，弥补网关防火墙和防病毒软件等传统

防御手段的不足。

同边际防火墙一样，主机型防火墙可以开放和关闭端口。例如，

Sasser蠕虫试图通过445TCP端口连接到终端PC上。主机型防火墙

能够关闭该端口，保护PC即使运行存在安全漏洞的操作系统，也不

会受到蠕虫的感染。主机型防火墙采用以应用程序为中心的方式控制

数据流，根据应用程序开放和关闭端口。此外，主机型防火墙能够以

隐形方式运行，让外部人员看不到PC。对于一个关闭的但没有隐形

的端口来说，主机型防火墙将向被拒绝的数据包的发出者发送“拒

绝”响应，使发起方计算机知道这次通信尝试是无效的，因为目标

PC拒绝连接。但是，攻击者通过研究被拒绝的数据包可以采集以下

信息：操作系统信息、安全配置信息以及目标IP地址上是否有一台

PC。在隐形模式下，PC不回答未经认可的数据包，因此黑客不知道

这个IP地址上存在一台PC。

即使端口开放并接受通信，主机型防火墙仍可以通过状态数据包

检查过滤掉恶意连接。通过检查每个输入的数据包，查看它是否对应

目标PC早先发出的请求，主机型防火墙确定哪些数据包是合法通信，

哪些是探测数据包。

主机型防火墙通过监测应用程序向操作系统发出的通信请求，来

进行应用控制。主机型防火墙将每个应用程序与它发出的数据流建立

关系。然后，主机型防火墙根据最终用户定义的规则，允许或拒绝数

据流。这样可以防止未经许可的应用建立与本地网或Internet的输

出连接。主机型防火墙可以在间谍软件、特洛伊木马和病毒试图传播

时捕获它们。

恶意软件设计者通过哄骗或劫持获得批准的程序进行恶意通信，

来避免被发现。主机型防火墙通过应用程序认证来防止这些伎俩。主

机型防火墙不仅根据文件名来检查应用程序，同时还利用执行程序的

MD5函数、动态链接库和其他组件来检查应用程序。如果应用程序引

发报警，在未经用户批准时主机型防火墙不允许与外界联系。主机型

防火墙还可以提供额外的保护：在启动过程中，主机型防火墙防止直

接攻击；通过缺省设置提供直接的保护；通过执行相应的安全政策，

提供自动的网络检测；以及提供响应或纠正安全事件的知识库。

总之，主机型防火墙提供了一条抵御人工和自动攻击的有效防

线，能够阻止攻击在企业内部传播。

从主机型防火墙的必要性而言，可以从以下几点阐述：

1、很多PC不处于大部分网络安全产品所保护的内网中，如家庭、

小型企业用PC等。

2、即使是处于受保护的内网中，PC也存在不确定安全隐患。经

调查，80%的攻击来自于网络内部。

3、本地保护有着网络保护无法比拟的优越性。然而由于产品管

理（使用者素质）与资源（PC性能）的局限性，能安装在普通PC上

使用的安全产品并不多，主要就是主机型防火墙、病毒防范产品与远

程监控产品等。因此，如何在有限的PC环境条件下设计好上述安全

产品，显得尤为重要。

综上所述，主机型防火墙作为终端安全产品，与网络型防火墙、

IDS等网络安全产品有着对等的安全重要性，是安全域整个信息安全

体系中不可或缺的环节。

a.2相关标准分析

GA/T696-2007信息安全技术单机防入侵产品安全功能要求

英文名称：Informationsecuritytechnology—Security

functionalrequirementsforproductsforprotecting

stand-alonecomputerfromintrusion

中标分类：综合>>社会公共安全>>A90社会公共安全综合

ICS分类：信息技术、办公机械设备>>35.240信息技术应用

发布部门：中华人民共和国公安部

发布日期：2007-05-14

实施日期：2007-07-01

起草单位：公安部信息系统安全标准化技术委员会

页数：平装16开页数：6,字数：6千字

出版社：中国标准出版社

该标准规定了主机型防火墙的基本功能要求，但是该标准的主要

缺点是没有测试评价方法。

b）立项

2008年，公安部计算机信息系统安全产品质量监督检验中心与

全国信息安全标准化技术委员会秘书处签订了《国家信息安全战略研

究与标准制定工作专项项目任务书》，并确定该项任务为预研。由此

根据任务的要求展开了标准编制的预研工作。

2011年，经国标委批准，全国信息安全标准化技术委员会

（SAC/TC260）主任办公会讨论通过，研究编制《信息安全技术主机

型防火墙技术要求和测试评价方法》国家标准（项目名称：《信息安

全技术防火墙技术要求和测试评价方法》补篇：web应用防火墙和

主机型防火墙安全技术要求与测试评价方法）。

c）确定编制内容

根据《任务书》的要求，编制组的主要任务为对主机型防火墙的

国标编制进行预研，研究编制的背景、标准的主要结构和内容等。

d）编制预研工作简要过程

2011年12月，在前期调研和工作积累的基础上，公安部计算机

信息系统安全产品质量监督检验中心组织由陆臻、韦湘、张笑笑、顾

建新、顾健等组成的标准编制组，进行标准编制工作，并在公安部行

业标准GA/T696-2007《信息安全技术单机防入侵产品安全功能要

求》的基础上，于2012年3月底完成了标准草案的编制工作。

在依据行业标准进行检测的过程中我们发现，标准草案基本能够

满足国内主机型防火墙设计与测试的需求，但同时存在着一定问题。

经过对这些问题的调整以后，2012年3月至2012年6月，我们编制

了草案（第一稿），以满足最新的需求。

2012年6月至2012年12月，我们向北京瑞星信息技术有限公

司、赛门铁克软件(北京)有限公司等5家公司发送了草案（第一稿），

收到两家公司的回函和建议。在草案（第二稿）中我们删除了数据完

整性要求，增加了“安全需求”、“安全目的”等部分，并将级别统一

为基本级和增强级。

2013年1月至2013年6月，我们再次向迈克菲软件、赛门铁克

软件、瑞星软件等五家企业发送了草案（第二稿），收到了如下反馈

意见：建议增加“安全功能要求基本原理”部分，将“审计日志”、

“日志记录”合并为“安全审计”部分，建议在“日志管理”中增加

“存储空间达到阈值时至少能够通知授权管理员”的要求。在次基础

上，我们编制了草案（第三稿）。

对于现有版本（草案(第三稿)）而言，尚存在如下问题，计划在

标准正式编制过程中广泛征求专家的意见进行解决。

1）测试评价方法需要在精确性与兼容性之间找到一个更好的平

衡点；

2）等级的划分可能需要考虑到更为复杂的情况。

2013年6月，WG5对本标准召开了标准评审会，与会专家审查标

准文本并对有关问题进行了质询后提出了修改意见，编制组据此对标

准进行了修改，形成了《信息安全技术主机型防火墙技术要求和测

试评价方法》草案（第四稿）；改稿主要修改了以下内容：

——明确主机的定义；

——明确与个人防火墙的相同点与不同点。

2013年8月，WG5面向各成员单位对本标准进行了投票。投票单

位包括江南天安、华北计算技术研究所、中科网威、中国信息安全测

评中心等，对本标准提出了一些具体的修改意见。编制组根据意见进

行了修改，形成了《信息安全技术主机型防火墙技术要求和测试评

价方法》征求意见稿。

2013年9月，WG5邀请标准化专家冯惠老师对标准做了格式上审

查，提出了标准在格式上所存在的问题。编制组根据意见对存在的问

题进行了现场修改。

1.4国家标准主要起草人及其所做的工作

陆臻作为项目负责人总体负责标准编制，包括制定工作计划、确

定编制内容。沈亮、顾健主要负责标准的前期调研、对标准现状分析、

参考标准文献资料以及标准编制过程中的技术支持。韦湘主要负责标

准各个版本的编制、意见汇总的处理、编制说明的编写等工作。主要

负责向厂商征求意见与反馈、商务支持、会务支持、标准装订等工作。

标准项目负责人基本情况：

姓名：陆臻学历（或职称）硕士（副研究员）

电话1209传真子邮

件:flanker@

1）承担过的重要项目和发表的重要学术论文：

项目负责人（共5项）：

●公安部应用创新计划项目“互联网上网服务营业场所信息安全管理

系统测试平台”（2006YYCXGASS037）（已验收完成）

●“十一五”国家科技支撑计划项目“重点领域认证认可推进工程”

子任务“安全隔离与信息交换产品认证方法研究”（2008BAK42B06）

（已验收完成）

●公安理论及软科学研究计划项目“虚拟人、虚拟社区、虚拟社会行

为及管控措施研究”（2008LLYJGASS089）（已验收完成）

●主机型防火墙国标预研项目（已验收完成）

项目参与（共2项）：

●2005YYCXGASS054公安部应用创新计划“反垃圾邮件产品检测工

具研发”（已验收完成）

●2007YYCXGASS134公安部应用创新计划“信息过滤产品检测工具”

2）标准编制情况

●GB/T20277－2006信息安全技术网络和终端设备主机型防火墙测

试评价方法

●GB/T20279－2006信息安全技术网络和终端设备主机型防火墙安

全技术要求

●GB/T25066－2010信息安全技术信息安全产品类别与代码

●GA370-2001端设备主机型防火墙安全技术要求

●GA557-2005互联网上网服务营业场所信息安全管理代码

●GA558-2005互联网上网服务营业场所信息安全管理系统数据交

换格式

●GA559-2005互联网上网服务营业场所信息安全管理系统营业场

所端功能要求

●GA560-2005互联网上网服务营业场所信息安全管理系统营业场

所端与营业场所经营管理系统接口技术要求

●GA561-2005互联网上网服务营业场所信息安全管理系统管理端

功能要求

●GA562-2005互联网上网服务营业场所信息安全管理系统管理端

接口技术要求

●GA658-2006互联网公共上网服务场所信息安全管理系统信息代

码

●GA659-2006互联网公共上网服务场所信息安全管理系统数据交

换格式

●GA660-2006互联网公共上网服务场所信息安全管理系统上网服

务场所端功能要求

●GA661-2006互联网公共上网服务场所信息安全管理系统远程通

讯端功能要求

●GA662-2006互联网公共上网服务场所信息安全管理系统上网服

务场所端接口技术要求

●GA663-2006互联网公共上网服务场所信息安全管理系统远程通

讯端接口技术要求

●GA/T696-2007信息安全技术单机防入侵产品安全功能要求

●信息安全技术内网管理系统要求系列标准（行标送审稿）

●GA/T695-2007信息安全技术网络通讯安全审计数据留存功能要

求

●GA/T697-2007信息安全技术静态网页恢复产品安全功能要求

●GA/T698-2007信息安全技术信息过滤产品安全功能要求

3）论文发表情况

●信息安全等级保护标准编制中等级划分的一点体会，第二十次全

国计算机安全学术交流会论文集2005.08，第一作者

●主机型防火墙类产品现状，信息网络安全，2007.04，第一作者

●从一个实例看常规软件测试与安全测试的关系，信息网络安全，

2008.02，第一作者

●正交试验方法在IDS测试中的应用，信息网络安全，2010.02，第

一作者

●TheapplicationofISO/IECTR15446:2004intheprocessof

compilationofChinesenationalstandard“GB/T20279-2006”，

11thInternationalCommonCriteriaConference，2010.09，第一

作者

●ASurveyofSecuritySeparationTechnologyandProducts

（发表于ICCSNT2011，2011年发表，EI检索号：20121914993955，

第一作者

●TheApplicationofISO/IECTR15446intheCompilationof

ChineseNationalStandardGB/T20279（发表于BMEI2012），第

一作者

●StudyontheFormulationofSeparationComponentStandards

ofChina（发表于ICEE2012），第一作者

（二）国家标准编制原则和确定国家标准主要内容

一）编制原则

本标准符合我国的实际情况，遵从我国有关法律、法规的规定。

具体原则与要求如下：

1.实用性原则

标准必须是可用的，才有实际意义，本标准在编制过程中严格按

照流程对产品的现状、技术等相关领域展开系统的、全面的调研工作，

注重与相关产品生产单位的交流，使得标准更贴近产品实际情况，保

证操作性。

2.先进性原则

标准是先进经验的总结，同时也是技术的发展趋势。要制定出先

进的国家标准，必须广泛了解市场上主流产品的功能，吸收其精华，

制定出具有先进水平的标准。

3.兼容性原则

本标准与我国现有的政策、法规、标准、规范等相一致。编制组

在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有

关政策、法律和法规。

二）主要内容

本标准包括范围、规范性引用文件、术语和定义、主机型防火墙

描述、安全技术要求、测试评价方法和附录等7个部分。

关键内容阐述如下：

1、安全功能要求

主机型防火墙的安全功能要求等级划分如表1所示

表1主机型防火墙产品安全功能要求等级划分表

安全功能基本级增强级

数据包方向√√

IP数据包过远程IP地址√√

滤协议类型√√

过滤动作√√

安全规则编√√

安全规则编制

制

应用程序网应用程序网络访√√

络访问控制问控制

入侵防范——√

网络快速切断/恢复——√

统一策略——√

统一响应——√

基本鉴别√√

身份鉴别鉴别失败处理√√

超时锁定或注销√√

安全运维管标识唯一性√√

理管理员属性定义√√

远程管理加密√√

可信管理主机√√

安全审计安全审计√√

2、安全保证要求

网络和主机型防火墙的安全保证要求等级划分如表2所示。

表2网络和主机型防火墙安全保证要求等级划分表

安全保证要求基本级增强级

部分配置管理自动化——√

版本号√√

配置项√√

配置管

授权控制——√

配置管理能力

产生支持和接受程√

理——

序

配置管理覆盖——√

配置管

问题跟踪配置管理

理范围——√

覆盖

交付程序√√

交付与

修改检测——√

运行

安装、生成和启动程序√√

功能规非形式化功能规范√√

开发

范充分定义的外部接——√

口

描述性高层设计√√

高层设

安全加强的高层设√

计——

计

安全功能实现的子集——√

描述性低层设计——√

非形式化对应性证实√√

非形式化产品安全策略模型——√

指导性管理员指南√√

文档用户指南√√

安全措施标识——√

生命周

开发者定义的生命周期模型——√

期支持

明确定义的开发工具——√

测试覆盖证据√√

覆盖覆盖分析——√

测试：高层设计——√

测试

功能测试√√

独立一致性√√

测试抽样√√

指南审查——√

脆弱性误用

分析确认——√

评定

产品安全功能强度评估√√

脆弱开发者脆弱性分析√√

性分独立的脆弱性分析——√

析中级抵抗力——√

其中，达到基本级要求的产品安全保证要求内容对应GB/T

18336.3-2008的EAL2级，推荐使用在安全保护等级为第一、二级的

信息系统中；达到增强级要求的产品安全保证要求内容对应GB/T

18336.3-2008的EAL4+级，推荐使用在安全保护等级为第三、四级的

信息系统中。

（三）主要试验（或验证）的分析、综述报告，技术经济论证，预期

的经济效果

暂不涉及。

（四）采用国际标准和国外先进标准的程度，以及与国际、国外同类

标准水平的对比情况

本标准参考了ISO/IEC15408以及ISO/IEC15446的相关思想。

ISO/IEC15446描述PP与ST中的内容及其各部分内容之间的相

互关系的详细指南。

ISO/IEC15446给出PP与ST文档内容的概述，给出了样本目录

清单，给出了目标用户最关心的内容，陈述了PP与ST之间的关系，

以及PP与ST的开发编写过程。

ISO/IEC15446给出编写指南，用于指导PP与ST的描述部分的

编写，内容涵盖PP与ST的引言、针对用户和使用者的TOE描述以

及针对ST作者和TOE开发者的PP应用注释；用于指导TOE安全环

境的定义；用于指导编写安全目的，安全目的由TOE及其环境导出；

用于指导选择IT安全要求组件，描述了ISO/IEC15408中定义的功

能组件和保证组件的使用方法，以及非ISO/IEC15408定义的组件的

使用方法；用于指导ST中TOE概要规范的编制；用于指导基本原理

的编制；用于指导复合TOE的PP与ST的编制，复合TOE是由两个

或多个TOE组成；用于指导安全功能包和保证包的构成方法。

ISO/IECTR15446所涉及到的基本概念有：

评估目标TOE(TargetofEvaluation)

IT产品或系统+相关的管理指南和用户指南文档。

TOE是ISO/IEC15408评估的对象。

保护轮廓PP(ProtectProfile)

满足特定的消费者需求的，独立于实现的一组安全要求。

PP回答“需要什么？”，而不涉及“如何实现？”。

安全目标ST(SecurityTarget)

依赖于实现的一组安全要求和说明。ST与PP类似，是针对某一

特定安全产品而言，与TOE安全环境相关的安全要求与概要设计说

明书，可以引用某个(些)PP。

ST回答“提供什么？”、“如何实现？”。

通过ISO/IECTR15446所提供的编写指南，参照图1所示的PP

基本原理图，标准编制组通过参考制定若干个PP的过程，并将所采

用的ISO/IEC15408的安全功能组件进行了本地化处理，结合了中国

所实施的信息安全等级保护的一些内容，最终实现了主机型防火墙国

家标准的编制。

这些改变，主要包括了以下方面：

a)对安全功能要求与安全保证要求进行了分级；

b)对ISO/IEC15408的安全功能组件进行重新编排；

c)对个别内容根据中国的实际环境与要求进行补充。

安全需求

威胁组织安全策略假设

适于满足

支持

安全目的

TOE目的环境的目的

适于满足一致

IT安全要求SOF声明

图1PP基本原理要求

4.1主机型防火墙安全环境

主机型防火墙安全环境相关的假设如表3所示。

表3使用环境

使用环境名称使用环境描述

所有实施主机型防火墙安全策略相关的硬件和软

物理访问

件应受到保护，以免受非授权的物理更改

只用授权的管理员才能直接访问或远程访问主机

人员能力型防火墙；授权管理员是无恶意的，训练有素的，

并遵循管理员指南

当主机型防火墙的应用环境发生变化时，应立即

安全维护

反映在产品的安全策略中并保持其安全功能有效

主机型防火墙安全环境相关的威胁如表4所示。

表4安全风险

安全风险名称安全风险描述

非授权用户可能试图访问和使用主机型防火墙提

未授权访问供的安全功能；未授权用户是指除主机型防火墙授

权用户之外所有已经或可能企图访问的人

未授权信息流未授权的信息流的流入\流出，可能导致外网非法

入、流出信息的入侵或内网信息的泄露

攻击者可能对内部受保护的网络或主机进行攻击，

网络恶意攻击这类攻击可能已拒绝服务和穿透主机或网络节点

为目的

绕开鉴别机制攻攻击者可能绕过或欺骗身份鉴别机制，假冒授权管

击理员或侵入已建立的会话连接。例如，拦截鉴别信

息、重放有效地鉴别数据以及截取会话连接等攻击

非授权用户可能通过反复猜测鉴别数据的方法，进

持续鉴别攻击

一步获取管理员权限

审计记录丢失或攻击者可能采取耗尽审计存储空间的方法导致审

破坏计记录丢失或破坏

主机型防火墙安全环境相关的组织安全策略如表5所示。

表5组织安全策略

组织策略名称组织策略描述

为追踪与安全相关活动的责任，主机型防火墙应对

安全审计与安全相关的事件进行记录、保存和审查，并提供

一种可理解方式供管理员读取

主机型防火墙应为授权管理员提供管理手段，使其

安全管理

以安全的方式进行管理

表6定义了产品的安全目的。这些安全目的旨在对应已标识的威

胁或组织安全策略。

表6产品安全目的

产品安全目的名对应的安全风

产品安全目的描述

称险或组织策略

在允许用户访问产品功能之前，

身份认证未授权访问

产品必须对用户身份进行唯一的

标识和鉴别

主机型防火墙应控制流入\流出

主机型防火墙的信息流，除了一未授权信息流

IP数据包过滤

般的协议控制之外，还应包括对入、流出

信息的深度检测并控制

主机型防火墙应能检测并阻断常

抗攻击渗透网络恶意攻击

见网络攻击

主机型防火墙应具备安全机制防

鉴别失败处理持续鉴别攻击

止恶意用户反复猜测鉴别数据

审计记录应受到充分保护，主机

审计记录丢失

审计记录保护型防火墙应具备防止事件记录丢

或破坏

失的措施

主机型防火墙应保护授权管理员绕开鉴别机制

自身保护

的通信会话连接攻击

未授权信息流

产品应记录安全相关的事件，以入、流出