网络安全技术 统一威胁管理产品（UTM）技术规范 征求意见稿

5GB/T31499—XXXX网络安全技术统一威胁管理产品（UTM）技术规范本文件规定了统一威胁管理产品（UTM）的安全功能要求、自身安全要求、环境适应性要求、性能要求、安全保障要求和等级划分要求，并给出了相应的测试评价方法。本文件适用于统一威胁管理产品（UTM）的设计、研发、生产、服务、检测和认证。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T18336（所有部分）网络安全技术信息技术安全评估准则GB/T25069-2022信息安全技术术语GB42250-2022信息安全技术网络安全专用产品安全技术要求GB/TXXXXX（所有部分）网络安全技术网络安全产品互联互通3术语和定义GB/T18336、GB/T25069-2022和GB42250-2022中界定的以及下列术语和定义适用于本文件。3.1威胁threat可能对系统或组织造成危害的不期望事件的潜在因素。[来源:GB/T25069—2022,3.628]3.2统一威胁管理unifiedthreatmanagement通过统一部署的安全策略，融合多种安全功能，对网络及应用系统的安全威胁进行综合管理与防御。[来源:GB/T25069—2022,3.601,有修改]3.3告警alert产品依据设定的规则，对采集到的网络安全信息自动进行规则匹配、归并、分析等活动后产生的警示信息。4缩略语下列缩略语适用于本文件：ARP：地址解析协议（AddressResolutionProtocol）BGP：边界网关协议（BorderGatewayProtocol）CC：挑战黑洞（ChallengeCollapsar）6GB/T31499—XXXXCLI：命令行界面（CommandLineInterface）CSRF：跨站请求伪造（Cross-SiteRequestForgery）DMZ：隔离区（DemilitarizedZone）DNAT：目的网络地址转换（DestinationNetworkAddressTranslation）DNS：域名系统（DomainNameSystem）FTP：文件传输协议（FileTransferProtocol）HTML：超文本标记语言（HypertextMarkupLanguage）HTTP：超文本传送协议（HypertextTransferProtocol）ICMP：互联网控制报文协议（InternetControlMessageProtocol）IKE：因特网密钥交换协议（InternetKeyExchange）IM：即时通讯（InstantMessaging）IMAP：互联网消息访问协议（InternetMessageAccessProtocol）IP：互联网协议（InternetProtocol）IPv4：互联网协议第4版（InternetProtocolVersion4）IPv6：互联网协议第6版（InternetProtocolVersion6）LDAP：轻量目录访问协议（LightweightDirectoryAccessProtocol）MAC：介质访问控制（MediaAccessControl）NAT：网络地址转换（NetworkAddressTranslation）NETBIOS：网络基本输入输出系统（NetworkBasicInput-OutputSystem）NFS：网络文件系统（NetworkFileSystem）OS：操作系统（OperatingSystem）OSPF：开放最短路径优先（OpenShortestPathFirst）P2P：点对点协议（Peer-to-peerProtocol）POP：邮局协议（PostOfficeProtocol）RIP：路由信息协议（RoutingInformationProtocol）RPC；远程过程调用（RemoteProcedureCall）SMB：服务器消息块协议（ServerMessageBlocks）SMTP：简单邮件传送协议（SimpleMailTransferProtocol）SNAT：源网络地址转换（SourceNetworkAddressTranslation）SNMP：简单网络管理协议（SimpleNetworkManagementProtocol）SQL：结构化查询语言（StructuredQueryLanguage）SSH：安全外壳协议（SecureShell）TCP：传输控制协议（TransportControlProtocol）TELNET：远程登录协议（TelecommunicationsNetwork）TFTP：简单文件传送协议（TrivialFileTransferProtocol）UDP：用户数据报协议（UserDatagramProtocol）URL：统一资源定位符（UniformResourceLocator）USB：通用串行总线（UniversalSerialBUS）UTM：统一威胁管理（UnifiedThreatManagement）VPN：虚拟专用网（VirtualPrivateNetwork）XSS：跨站脚本（CrossSiteScripting）5概述7GB/T31499—XXXX统一威胁管理产品（UTM）是通过统一部署的安全策略，融合多种安全功能，针对面向网络及应用系统的安全威胁进行综合防御的网关型设备或系统。产品通常以网关形式部署在网络通路上，对流经的流量进行检测和分析，从而实现网络的访问控制，同时可实现对入侵攻击、恶意程序、垃圾邮件等威胁的统一安全防护，以及对事件监控、日志记录、安全告警等信息的统一集中管理。该产品典型运行环境如下图1所示。图1产品典型运行环境本文件将统一威胁管理产品（UTM）的安全技术要求分为安全功能要求、自身安全要求、环境适应性要求、性能要求和安全保障要求。其中，安全功能要求为该类产品对外所提供的安全功能，包括访问控制、入侵防范、恶意程序防范、安全组网、管理控制、安全审计和互联互通；自身安全要求是对产品的自身安全保护提出要求，包括通用要求、标识与鉴别、自身访问控制、自身安全审计、支撑系统安全、安全管理、抗渗透和安全配置恢复；性能要求是对产品应达到的性能指标作出规定，包括网络层吞吐量、混合应用层吞吐量、延迟、HTTP并发连接数、HTTP请求速率；环境适应性要求是对产品的适应能力提出要求，包括支持IPv6网络环境、支持双协议栈、高可用部署、虚拟化部署、云管理平台对接；安全保障要求针对产品的开发和使用文档的内容提出具体的要求。本文件针对统一威胁管理产品（UTM）的安全技术要求提出对应的测试评价方法，为使用本文件的人员提供一个测试评价统一威胁管理产品（UTM）的技术准则。统一威胁管理产品（UTM）的安全功能要求、自身安全要求和安全保障要求分为基本级和增强级，安全功能与自身安全的强弱、以及安全保障要求的高低是等级划分的具体依据，等级突出安全特性。与基本级内容相比，增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。安全技术要求的等级划分和对应测试评价方法应符合附录A的要求。6安全技术要求6.1安全功能要求6.1.1访问控制带宽管理8GB/T31499—XXXX产品应具备带宽管理功能，要求如下：a)支持管理员基于源IP地址、目的IP地址、协议、应用类型或时间，将流量限制到规定值；b)支持带宽保证，在拥塞发生时，对指定的源IP地址、目的IP地址、协议、应用类型或时间的流量，按照预先设置的策略优先转发数据。网络层访问控制产品应具备网络层访问控制功能，要求如下：a)安全策略使用最小安全原则，即除非明确允许，否则就禁止；b)安全策略包含基于源IP地址、目的IP地址、传输协议、源端口、目的端口的访问控制；c)安全策略包含基于MAC地址的访问控制；d)安全策略包含基于时间的访问控制；e)支持用户自定义的安全策略，安全策略包括MAC地址、IP地址、端口、传输协议和时间的部分或全部组合；f)具备对违反策略定义的数据进行阻断的功能，防止未合规数据进入目标网络；g)支持自动或手动绑定IP和MAC地址，当主机的IP地址、MAC地址与IP/MAC地址绑定表中不一致时，阻止其流量经过。应用层访问控制产品应具备应用层访问控制功能，要求如下：a)支持基于用户认证的网络访问控制功能，包括但不限于本地用户认证方式和结合第三方认证系统，如Radius认证方式等；b)支持基于URL网址的访问控制功能，并具备URL网址分类库；c)支持基于FTP、HTTP、POP3、IMAP、SMTP等常规协议进行文件类型过滤检测拦截，文件类型包括但不限于文本文件、图片、音视频文件等；d)支持基于应用类型的访问控制功能，并具备应用特征分类库，包括但不限于即时聊天类、P2P类、网络流媒体类、网络游戏类、股票交易类等应用类型；e)支持对FTP、HTTP、POP3、IMAP、SMTP等常规协议传输内容关键字进行过滤检测拦截。反垃圾邮件产品应具备反垃圾邮件功能，要求如下：a)支持设置反垃圾邮件策略，基于邮件发送方地址或内容特征识别或标记垃圾邮件；b)支持通过对标记的邮件学习，具备对垃圾邮件的智能识别能力；c)提供可供选择的垃圾邮件处理方式，如通知、投递、标记投递、隔离、拒绝或丢弃等。虚拟专用网产品应具备虚拟专用网功能，要求如下：a)虚拟专用网配置使用的密码技术，要符合国家密码管理部门的相关要求；b)支持IKE规则基本配置，如：IKE名称、类型、地址、协议、认证方式等；c)支持隧道基本配置，如：隧道名称、地址、VPN规则等；d)支持组建的VPN隧道状态进行实时监控和查询，如：名称、类型、本端信息、对端信息、流量状态等。6.1.2入侵防范9GB/T31499—XXXX入侵发现产品应能发现网络中的入侵行为，应至少支持对以下入侵行为的检测：a)木马后门类、拒绝服务类、缓冲区溢出等；b)SQL注入攻击、XSS攻击、第三方组件漏洞攻击等。入侵阻断产品应能对发现的入侵行为进行拦截，阻止入侵行为进入目标网络。定制特征产品应允许授权管理员自定义事件的特征，符合自定义特征的数据包可以被阻断。攻击躲避识别产品应能发现躲避或欺骗检测的行为，应至少支持：IP碎片重组、TCP流重组、协议端口重定位、URL字符串变形、SHELL代码变形。6.1.3恶意程序防范传输检测产品应具备对通过HTTP、FTP、SMTP、POP3、IMAP等协议传输的恶意程序的检测能力。传输阻断产品应具备对通过HTTP、FTP、SMTP、POP3、IMAP等协议传输的恶意程序的阻断能力。压缩文件检测产品应具备压缩文件的恶意程序检测能力，至少支持ZIP、RAR压缩格式。6.1.4安全组网网络地址转换产品应具备SNAT和DNAT功能。路由.1静态路由产品应具备静态路由功能，且能配置静态路由。.2动态路由产品应具备动态路由功能，包括RIP、OSPF、BGP中一种或多种动态路由协议。.3策略路由具有多个相同属性网络接口（多个外部、内部或DMZ网络接口）的产品，应支持策略路由功能，包括但不限于：a)基于源、目的IP地址的策略路由；b)基于接口的策略路由；GB/T31499—XXXXc)基于协议和端口的策略路由；d)基于应用类型的策略路由；e)基于多链路负载情况自动选择路由。6.1.5管理控制安全策略配置产品应具备针对多种威胁统一进行安全策略配置的功能，要求如下：a)支持访问控制、入侵防范、恶意程序防范、反垃圾邮件等安全策略配置的功能，实现针对多种威胁的安全防护能力进行统一策略配置和调用；b)提供统一安全策略的匹配条件、矛盾策略或冗余策略的检测分析和有效执行措施；c)提供统一安全策略的管理功能，包括查询、创建、修改、删除、启停等。事件监控产品应具备对各类安全事件进行统一监控的功能，要求如下：a)支持通过源IP地址、目的IP地址、端口、时间和协议或它们的组合进行异常流量事件监控；b)具备对入侵行为、恶意程序、垃圾邮件等安全事件监控的能力。事件阻断产品应具备对异常流量、未授权访问、入侵、恶意程序、垃圾邮件等安全事件进行阻断的能力。本地管理产品应支持以本地CLI或图形管理界面的方式进行配置管理。远程管理产品应支持安全的远程管理，如基于SSH、HTTPS协议的远程管理。产品升级产品应具备产品升级功能，要求如下：a)支持对系统版本以及各种安全能力特征库进行在线或离线升级的能力；b)提供技术措施对升级包、补丁程序和特征库的完整性进行校验；c)支持对升级过程进行安全监测，以保障升级的安全性。集中管理产品应具备集中管理能力，通过集中管理平台实现运行状态监控、安全策略下发、系统版本和特征库升级。6.1.6安全审计协议识别产品应对收集的数据包进行分析，至少支持识别以下协议类型：ARP、ICMP、IP、TCP、UDP、RPC、HTTP、FTP、TFTP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS、MSSQL。日志记录GB/T31499—XXXX产品应支持日志记录功能，要求如下：a)产品应具备对异常流量、异常访问、入侵攻击、恶意程序、垃圾邮件等安全事件生成日志记录的功能；b)日志记录包括日期时间、源IP地址、目的IP地址、源端口、目的端口、协议等信息。安全告警产品应具备安全告警功能，要求如下：a)在检测到入侵攻击、恶意程序、垃圾邮件等安全事件时进行安全告警；b)告警方式包括但不限于：日志告警、邮件告警、短信告警。事件可视化产品应具备事件可视化功能，要求如下：a)提供图形界面对检测或拦截到的安全事件进行展现；b)事件信息至少包括：事件发生日期时间、事件名称或类型、源IP地址、源端口、目的IP地址、目的端口、危害等级等。报表生成产品应具备报表生成与导出的功能，要求如下：a)支持分析入侵攻击、恶意程序、垃圾邮件等安全事件，并形成报表；b)报表支持表格、柱状图、饼图等一种或多种形式；c)报表支持DOC，PDF，HTML，XLS等一种或多种文件格式；d)能够按时间段等进行汇总或排序；e)支持按照特定的要求定制报表内容。事件拦截记录产品应具备对入侵攻击、恶意程序、垃圾邮件等事件拦截行为生成审计记录的能力，记录的信息至少包括数据拦截发生日期、时间、源IP地址、目的IP地址、源端口、目的端口、协议。事件分级产品应支持根据事件的严重程度对事件进行分级。事件统计产品应具备安全事件统计功能，包括但不限于入侵攻击事件、恶意程序事件、垃圾邮件事件。安全事件检索产品应具备对异常流量、垃圾邮件、入侵行为、恶意程序等安全事件的实时及历史数据检索的能6.1.7互联互通产品应支持网络安全产品互联互通，提供的互联互通功能和互联互通信息应符合GB/TAAAAA-AAAA《网络安全技术网络安全产品互联互通》规定的互联互通信息格式和互联互通功能接口要求。具体包括：a)互联互通功能方面，应具备GB/TAAAAA-AAAA.1《网络安全技术网络安全产品互联互通第1部GB/T31499—XXXX分：框架》5.2.1功能类型中威胁识别、行为识别、身份管理与鉴别、网络访问控制、网络入侵防御、网络行为控制、网络流量控制、拒绝服务攻击防护、恶意代码防范、应用安全防护、网络行为监测、安全审计、攻击抑制、通报预警等功能，功能参数格式应符合GB/TAAAAA-AAAA.4《网络安全技术网络安全产品互联互通第4部分：功能接口》有关要求；b)互联互通信息方面，应具备GB/TAAAAA-AAAA.1《网络安全技术网络安全产品互联互通第1部分：框架》5.3.1信息类型中安全事件、攻击目标、网络行为信息、计算机病毒告警、网络蠕虫告警、特洛伊木马告警、僵尸网络告警、拒绝服务告警、访问异常告警、流量异常告警、事件类别、事件级别、事件时间等信息，信息格式应符合GB/TAAAAA-AAAA.3《网络安全技术网络安全产品互联互通第3部分：告警信息格式》、GB/TAAAAA-AAAA.5《网络安全技术网络安全产品互联互通第5部分：行为信息格式》和GB/TAAAAA-AAAA.6《网络安全技术网络安全产品互联互通第6部分：威胁信息格式》等互联互通信息格式标准的有关要求；c)功能和信息互联互通过程中，接口协议、请求方式和安全机制等方面等应符合GB/TAAAAA-AAAA.4《网络安全技术网络安全产品互联互通第4部分：功能接口》有关要求。6.2自身安全要求6.2.1通用要求产品应符合GB42250-2022中第5章规定的标识和鉴别、自身访问控制、自身安全审计、通信安全、支撑系统安全、产品升级、用户信息安全和密码等方面的要求。6.2.2标识与鉴别产品的标识与鉴别要求如下：a)应提供登录失败处理功能，采取限制连续登录失败的次数等措施；b)应提供登录超时处理功能，当登录连接超过设定时限时自动退出；c)除支持口令鉴别方式外，产品应支持通过密码技术或双因素鉴别的方式对用户进行身份鉴别；d)应支持与第三方认证系统配合的功能，包括RADIUS或LDAP认证方式。6.2.3自身访问控制产品的自身访问控制要求如下：a)应向授权管理员提供设置、查询、修改和删除访问控制策略的功能；b)应能基于远程管理主机IP地址、用户角色等安全属性的访问控制策略执行访问控制；c)应区分授权管理员角色，能够划分为系统管理员、安全操作员和安全审计员，三类角色权限能相互制约。6.2.4自身安全审计产品的自身安全审计要求如下：a)对用户登录/注销、系统启动、重要配置变更、增加/删除/修改用户、保存/删除审计日志等操作行为进行日志记录；b)审计日志应包括事件发生的日期和时间、事件类型、事件主体、事件客体和事件结果等信息；c)应对审计进程进行保护，防止未经授权的中断；d)审计数据应只支持授权管理员查询，非授权用户应无法查询审计数据；e)审计数据应具有完整性、可读性，能以电子方式无歧义表示；f)应提供根据条件对审计数据进行查询的功能，查询条件至少包括日期时间、主体身份标识、事件描述关键词等；GB/T31499—XXXXg)对产品及其模块的异常状态进行告警，并进行审计。如软件模块运行故障、硬件资源使用超过阈值等状况。6.2.5支撑系统安全产品的支撑系统主要是指为产品提供基础支撑服务的系统或组件，其要求如下：a)发生断电或重启时，确保配置的策略和日志信息不丢失；b)应支持关闭不必要的系统服务、端口。6.2.6安全管理安全功能行为管理产品支持下述安全功能，则功能应仅限于已标识的授权角色能够执行以下管理行为：a)用户的维护（如删除、修改、添加、启用或禁用等）；b)用户角色的维护；c)如果一个授权用户能够改变在鉴别前所允许的动作，那么能执行对动作列表的管理；d)远程管理主机的维护。安全属性管理产品安全功能应执行访问控制策略，以保证仅限于已标识的授权角色能够执行以下安全属性管理行a)对用户名进行管理操作（如查阅、修改或删除等）；b)对远程管理主机IP地址进行管理操作（如查阅、修改或删除等）；c)对用户权限进行管理操作（如授权、更改或取消等）；d)产品应保证经过升级后，安全属性数据的完整性。系统属性管理产品安全功能应仅限于已标识的授权角色能够执行以下管理行为：a)对审计信息的管理，包含但不限于查阅、查询、清空或导出等行为；b)如果产品允许授权用户管理未成功鉴别尝试次数，则应支持对未成功鉴别尝试次数的设置；c)对鉴别数据的管理（如改变用户口令默认值或修改用户口令等）。安全角色产品安全功能应维护已标识的授权角色，产品安全功能应能够把用户和角色关联起来。6.2.7抗渗透抗源IP地址欺骗产品应支持抵御源IP地址欺骗攻击。抗拒绝服务攻击产品应至少支持Synflood、UDPflood、PingofDeath、ICMPFlood、TearDrop、Land、Smurf、Fraggle、CC攻击防护。抗网络、端口扫描GB/T31499—XXXX产品应支持抵御网络、端口的扫描。抗漏洞扫描产品应支持抵御漏洞扫描行为。6.2.8安全配置恢复产品应支持手动保存配置信息或自动保存配置信息，使配置信息可恢复到关机前的状态；支持恢复出厂默认配置。6.3性能要求6.3.1网络层吞吐量硬件产品的网络层吞吐量视不同速率的产品有所不同，在主要安全防护功能有效运行的情况下，具体指标要求如下：a)一对相应速率的端口应达到的双向吞吐率指标：1)对于64字节短包，百兆产品不小于线速的15%，千兆和万兆产品不小于线速的25%；2)对于512字节中长包，百兆产品不小于线速的60%，千兆和万兆产品不小于线速的70%；3)对于1518字节长包，百兆产品不小于线速的80%，千兆和万兆产品不小于线速的85%；b)针对高性能的万兆产品，对于1518字节长包，吞吐量至少达到80Gbit/s。6.3.2混合应用层吞吐量硬件产品的应用层吞吐量视不同速率的产品有所不同，在恶意程序防范、入侵防范、反垃圾邮件等主要安全防护功能有效运行的情况下，具体指标要求如下：a)百兆产品一对口混合应用层吞吐量应不小于60Mbit/s；b)千兆产品一对口混合应用层吞吐量应不小于600Mbit/s；c)万兆产品一对口混合应用层吞吐量应不小于5Gbit/s；d)针对高性能的万兆产品，整机混合应用层吞吐量至少达到20Gbit/s。6.3.3延迟硬件产品的延迟视不同速率的产品有所不同，一对相应速率端口的延迟具体指标要求如下：a)对于64字节短包、512字节中长包、1518字节长包，百兆产品的平均延迟不应超过500μs；b)对于64字节短包、512字节中长包、1518字节长包，千兆和万兆产品的平均延迟不应超过90μs。6.3.4HTTP并发连接数硬件产品的HTTP并发连接数视不同速率的产品有所不同，具体指标要求如下：a)百兆产品的HTTP并发连接数应不小于50000个；b)千兆产品的HTTP并发连接数应不小于200000个；c)万兆产品的HTTP并发连接数应不小于2000000个。6.3.5HTTP请求速率硬件产品的HTTP请求速率视不同速率的产品有所不同，具体指标要求如下：a)百兆产品的HTTP请求速率应不小于800个/s；b)千兆产品的HTTP请求速率应不小于3000个/s；c)万兆产品的HTTP请求速率应不小于5000个/s。GB/T31499—XXXX6.4环境适应性要求6.4.1支持IPv6网络环境产品应支持IPv6网络环境，要求如下：a)产品应支持在IPv6网络环境下正常工作，能够有效运行其安全功能和自身安全功能；b)IPv6环境，产品应支持IPv4到IPv6或IPv6到IPv4或IPv6到IPv6的网络地址转换功能。6.4.2支持双协议栈产品应支持在IPv4/IPv6双栈网络环境下正常工作，能够有效运行其安全功能和自身安全功能。6.4.3高可用部署产品应支持双机、集群等高可用部署。6.4.4虚拟化部署若产品为虚拟化形态，应支持部署于虚拟化平台，并接受平台统一管理，包括但不限于：a)支持部署于一种虚拟化平台，如VMwareESXi、KVM、CitrixXenserver和MicrosoftHyper-Vb)结合虚拟化平台实现产品资源弹性伸缩，根据虚拟化产品的负载情况动态调整资源；c)结合虚拟化平台实现故障迁移，当虚拟化产品出现故障时能实现自动更新、替换。6.4.5云管理平台对接产品应支持与云管理平台对接。6.5安全保障要求6.5.1通用要求产品应符合GB42250-2022中第6章规定的供应链安全、设计与开发、生产和交付、运维服务保障和用户信息保护等方面的要求。6.5.2设计与开发安全设计产品提供者应提供产品安全功能和自身安全功能的设计文档，应满足以下要求：a)描述产品安全架构设计，并与产品的安全功能和自身安全功能一致；b)描述产品采取的自我保护、不可旁路的安全机制；c)完整地描述产品的安全功能和自身安全功能；d)描述所有安全功能和自身安全功能接口的目的、使用方法及相关参数；e)标识和描述产品安全功能和自身安全功能的所有子系统，并描述子系统间的相互作用；f)提供子系统和安全功能接口间的对应关系；g)通过实现模块描述安全功能，标识和描述实现模块的目的、相关接口及返回值等，并描述实现模块间的相互作用及调用的接口；h)提供实现模块和子系统间的对应关系。实现表示GB/T31499—XXXX产品提供者应为全部安全功能提供实现表示，应满足以下要求：a)实现表示应按详细级别定义产品安全功能，且详细程度达到无须进一步设计就能生成产品安全功能的程度；b)实现表示应以开发人员使用的形式提供；c)设计描述与实现表示示例之间的映射应能证明它们的一致性。配置管理产品提供者的配置管理能力应满足以下要求：a)使用配置管理系统对组成产品的所有配置项进行维护；b)建立维护配置项列表，包括产品评估证据和产品组成部分；c)配置管理系统提供一种自动方式来支持产品的生产，通过该方式确保只能对产品的实现表示进行已授权的改变；d)配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发产品；e)配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。指导性文档产品提供者应提供操作用户指南和准备程序，应满足以下要求：a)描述用户可访问的功能和特权，包含适当的警示信息；b)描述用户以安全方式使用产品提供的可用接口；c)描述产品安全功能及接口的用户操作方法，包括配置参数的安全值等；d)标识和描述产品运行的所有可能状态，包括操作导致的失败或者操作性错误；e)描述实现产品安全目的所需执行的安全策略；f)描述安全安装产品及其运行环境必需的所有步骤。安全测试产品提供者对产品进行安全测试，应满足以下要求：a)测试文档描述所有测试项与安全设计文档中所描述产品的安全功能和自身安全功能间的对应性；b)测试文档所标识的测试项与安全设计中产品安全功能接口间的对应性，并证实所有安全功能接口都进行了测试；c)测试文档描述所有测试项的测试计划和执行方案，方案包括如测试条件、测试步骤、预期结果和实际结果等内容；d)基于已标识潜在脆弱性，产品能够抵抗具备基本攻击潜力的攻击者的攻击；e)基于已标识潜在脆弱性，产品能够抵抗具备中等攻击潜力的攻击者的攻击。7测评方法7.1测试环境与工具本文件给出了统一威胁管理产品（UTM）的典型测试环境，见图2。测试工具包括但不限于：专用的网络性能分析仪、网络数据包获取软件、扫描工具和攻击工具包。GB/T31499—XXXX图2产品测试环境部署示意图7.2安全功能测评7.2.1访问控制带宽管理a)测试评价方法：1)配置流量策略，同时配置针对指定源IP地址、目的IP地址、协议、应用类型或时间的特定流量的带宽限制功能；2)从内部向外部发送网络流量，源IP地址、目的IP地址、协议、应用类型或时间与指定的特定流量不符，流量超过带宽限制范围；3)从内部向外部发送网络流量，源IP地址、目的IP地址、协议、应用类型或时间与指定的特定流量相符，流量超过带宽限制范围；4)配置流量策略，同时配置针对指定源IP地址、目的IP地址、协议、应用类型或时间的特定流量的带宽保证功能；5)从内部向外部发送网络流量，使得出接口拥塞；6)从内部向外部发送网络流量，源IP地址、目的IP地址、协议、应用类型或时间与指定的特定流量不符；7)从内部向外部发送网络流量，源IP地址、目的IP地址、协议、应用类型或时间与指定的特定流量相符；匹配特定的保证策略，流量超过带宽保证范围。b)预期结果：1)可配置且不限于指定源IP地址、目的IP地址、协议、应用类型或时间的流量限速策略；GB/T31499—XXXX2)不匹配限速策略的会话不受限速影响；3)产品能够根据设定的带宽限制值，对匹配限速策略的会话进行限速；4)可配置且不限于指定源IP地址、目的IP地址、协议、应用类型或时间的流量带宽保证策略；5)对于没有匹配带宽保证策略的会话，将不能保证其转发带宽；6)产品能够根据设定的带宽保证值，对匹配策略的会话保证其最小带宽。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。网络层访问控制a)测试评价方法：1)设置产品策略，允许指定源IP地址、目的IP地址、网络传输协议、源端口、目的端口、MAC地址、时间的规则，产生网络会话通过设备；2)产生满足该特定条件的一个完整网络会话数据；3)产生不满足该特定条件的一个完整网络会话数据；4)检测产品设置的访问控制策略是否生效；5)在产品上设置IP/MAC地址绑定策略；6)使用自动绑定或手工绑定功能将内部网络中主机的IP与MAC地址绑定；7)分别产生正确IP/MAC绑定的会话和盗用IP的会话，检查绑定的有效性。b)预期结果：1)产品默认缺省安全策略为禁止；2)产品策略支持且不限于对源/目的IP、网络传输协议、源/目的端口、MAC地址、时间的配置；3)匹配该特定条件的网络会话能通过设备；4)不匹配该特定条件的网络会话被拦截；5)IP/MAC地址能够自动或手工绑定；6)IP/MAC地址绑定后能够正确执行安全策略，发现IP盗用行为。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。应用层访问控制a)测试评价方法：1)配置基于用户的访问控制策略，内部网络用户登录后访问外部网络；2)配置对URL屏蔽策略，从内部网络向外部发送特定URL访问请求；3)配置基于文件类型的访问控制策略；4)发送不同类型的文件，进行有效性验证；5)验证产品是否支持FTP、HTTP、POP3、IMAP、SMTP常规协议的文件类型访问控制；6)配置对IM软件的屏蔽策略，其他应用不屏蔽；7)内部主机分别使用IM软件和在线视频播放器；8)检查产品是否能支持基于应用类型的访问控制功能，并具备应用特征分类库，包括但不限于P2P类、网络流媒体类、网络游戏类、股票交易类等应用类型；9)配置基于文件内容的访问控制策略；10)发送内容包含特定关键字的文件，进行有效性验证；GB/T31499—XXXX11)验证产品是否支持FTP、HTTP、POP3、IMAP、SMTP常规协议的文件内容访问控制。b)预期结果：1)经过认证的用户可以按照规则访问指定资源；2)透过产品访问WWW服务端，匹配屏蔽URL策略的访问被拒绝；3)透过产品访问WWW服务端，不匹配屏蔽URL策略的访问被放行；4)产品能够有效提供基于文件类型的访问控制；5)产品支持FTP、HTTP、POP3、IMAP、SMTP等常规协议的文件类型访问控制；6)能够对IM软件进行屏蔽，视频流媒体正常使用；7)产品能支持基于应用类型的访问控制功能，并具备应用特征分类库，包括但不限于P2P类、网络流媒体类、网络游戏类、股票交易类等应用类型；8)产品能够有效提供基于文件内容的访问控制；9)产品支持FTP、HTTP、POP3、IMAP、SMTP等常规协议的文件内容访问控制。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。反垃圾邮件a)测试评价方法：1)配置反垃圾邮件的识别及过滤策略；2)设置垃圾邮件的处理方式；3)模拟垃圾邮件的收发；4)查验产品是否能够基于邮件发送方地址、内容特征等识别并标记垃圾邮件；5)启用自学习功能，向保护的邮件服务器发送邮件；6)查验产品在发现垃圾邮件后的处理方式，是否正确、有效。b)预期结果：1)产品能够基于邮件发送方地址、内容特征等识别并标记垃圾邮件；2)产品具备垃圾邮件的智能识别能力；3)产品能够根据设置的方式正确、有效的执行垃圾邮件的处理。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。虚拟专用网a)测试评价方法：1)验证虚拟专用网使用的密码技术；2)尝试配置、修改和删除IKE规则、隧道等基本配置；3)验证虚拟专用网相关配置是否生效；4)查验产品是否能够实时监控和查询VPN隧道状态。b)预期结果：1)虚拟专用网配置使用的密码技术符合国家密码管理部门的相关要求；2)支持配置、修改和删除IKE规则、隧道等基本配置，且配置有效；3)可以在界面查看到隧道状态监控结果预览；4)可以在界面按条件查询隧道状态监控结果。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。GB/T31499—XXXX7.2.2入侵防范入侵发现a)测试评价方法：1)选择具有不同特征的多个事件组成攻击事件测试集，测试产品入侵防御功能的发现能力；2)选取木马后门类事件、拒绝服务类事件、缓冲区溢出类事件，模拟入侵攻击行为；3)选取SQL注入攻击事件、XSS攻事件击、第三方组件漏洞攻击事件，模拟入侵攻击行为。b)预期结果：1)产品支持发现木马后门类、拒绝服务类、缓冲区溢出等入侵行为；2)产品支持发现SQL注入攻击、XSS攻击、第三方组件漏洞攻击等入侵行为。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。事件阻断a)测试评价方法：1)配置产品的入侵防御策略为最大策略集；2)从已有的事件库中选择具有不同特征的多个事件，组成攻击事件测试集，模拟入侵攻击行3)配置产品的入侵防御功能的入侵防御策略为最大策略集；4)发送攻击事件测试集中的所有事件，记录测试结果。b)预期结果：产品能够对发现的入侵行为进行阻断，防止入侵行为进入目标网络。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。定制特征a)测试评价方法：1)查看产品入侵防御功能设置，是否提供自定义事件界面，是否允许基于产品默认事件修改生成新的事件；2)自定义生成新的入侵特征；3)按照新生成的入侵特征发送相应的入侵事件，检查产品能否拦截。b)预期结果：1)产品入侵防御功能允许用户自定义事件，或者可基于产品默认事件修改生成新的入侵事2)产品入侵防御功能能够检测到新定义的事件并拦截。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。攻击躲避识别a)测试评价方法：1)利用入侵检测躲避工具产生IP碎片重组、TCP流重组进行攻击，测试产品是否对入侵事件进行拦截；2)将入侵事件的协议端口进行重定位，检查产品是否对入侵事件进行拦截；GB/T31499—XXXX3)将入侵事件特征，利用入侵检测躲避工具产生URL字符串变形、SHELL代码变形，测试产品是否对入侵事件进行拦截。b)预期结果：1)产品能够拦截经过分片、乱序之后的入侵事件；2)产品能够正确地拦截经过URL字符串变形、SHELL代码变形等特殊处理的HTTP入侵事件；3)产品能够对重定位协议端口之后的入侵事件进行拦截。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。7.2.3恶意程序防范传输检测a)测试评价方法：1)开启恶意程序防护策略；2)客户端通过使用多种方式（如：HTTP、FTP、SMTP、POP3、IMAP等协议），下载恶意程序样本。b)预期结果：1)产品能检测出恶意程序事件并记录日志；2)产品的恶意程序日志的内容包含事件名称、源地址、目的地址、事件发生的日期和时间、事件描述。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。传输阻断a)测试评价方法：1)开启恶意程序防护策略；2)客户端通过使用多种方式（如：HTTP、FTP、SMTP、POP3、IMAP等协议），下载恶意程序样本。b)预期结果：1)产品具备恶意程序过滤的能力，能够拦截试图穿越产品的恶意程序文件。2)产品的恶意程序日志的内容包含事件名称、源地址、目的地址、事件发生的日期和时间、事件描述。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。压缩文件检测a)测试评价方法：1)开启恶意程序防护策略；2)客户端通过使用多种方式（如：HTTP、FTP、SMTP、POP3、IMAP等协议），下载包含恶意程序样本的压缩文件，压缩文件至少支持格式为ZIP、RAR。b)预期结果：产品能检测出包含在压缩文件中的恶意程序样本。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。GB/T31499—XXXX7.2.4安全组网网络地址转换a)测试评价方法：1)为内部网络用户访问外部网络主机配置源NAT，检查内部网络中多台主机能否通过产品访问外部网络中的主机；2)为外部用户访问服务器分别设置目的NAT，检查外部网络的主机能否通过产品访问服务器3)在内部网络、外部网络和服务器区内设置协议分析仪，检验数据包在经过产品的NAT功能前后的源IP地址、目的IP地址，来验证产品地址转换功能的有效性。b)预期结果：1)内部网络中多台主机可以通过源NAT访问外部网络主机，数据包的源地址正确转换；2)外部网络主机可以通过目的NAT访问的服务器区，数据包的目的地址正确转换；3)通过内部网络、外部网络和服务器区内的协议分析仪，抓取数据包，检验数据包经过产品的SNAT后源地址转换有效，经过产品的DNAT后目的地址转换正确。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。路由.1静态路由a)测试评价方法：1)在产品设置一条静态路由；2)向产品发送匹配上述路由策略的数据包。b)预期结果：1)产品支持设置静态路由；2)产品将匹配策略的数据包按照路由策略转发。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。.2动态路由a)测试评价方法：1)在产品尝试开启RIP动态路由功能；2)改变各链路状态，验证RIP动态路由是否生效；3)在产品尝试开OSPF动态路由功能;4)改变各链路状态，验证OSPF动态路由是否生效；5)在产品尝试开启BGP动态路由功能；6)改变各链路状态，验证BGP动态路由是否生效。b)预期结果：1)产品支持设置RIP动态路由功能；2)产品支持设置OSPF动态路由功能；3)产品支持设置BGP动态路由功能。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。GB/T31499—XXXX.3策略路由a)测试评价方法：1)在产品设置一条基于源、目的IP的策略路由，向产品发送匹配上述路由策略的数据包；2)在产品设置一条基于接口的策略路由，向产品发送匹配上述路由策略的数据包；3)在产品设置一条基于协议和端口的策略路由，向产品发送匹配上述路由策略的数据包；4)在产品设置一条基于应用类型的策略路由，向产品发送匹配上述路由策略的数据包；5)针对某一目标地址在产品部署多条路由，设置一条根据多链路负载情况自动选路的策略路由，改变各链路的负载情况。b)预期结果：1)产品支持设置基于源、目的IP的策略路由，匹配策略数据包的路由与策略设置一致；2)产品支持设置基于接口的策略路由，匹配策略数据包的下一跳接口与策略设置一致；3)产品支持设置基于协议和端口的策略路由，匹配策略数据包的路由与策略设置一致；4)产品支持设置基于应用类型的策略路由，匹配策略数据包的路由与策略设置一致；5)产品支持设置基于多链路负载情况自动选路的策略路由，匹配策略数据包的路由与策略设置一致。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。7.2.5管理控制安全策略配置a)测试评价方法：1)查验产品是否提供统一安全策略配置能力；2)查验产品是否提供统一安全策略的匹配条件、矛盾策略或冗余策略的检测分析和有效执行措施；3)尝试产生多种网络威胁（如入侵攻击、恶意程序、垃圾邮件、异常流量等），查验产品是否根据策略设置实施防护；4)查验产品是否提供创建、修改、删除统一安全策略的功能。b)预期结果：1)产品能提供统一安全策略配置能力；2)产品能提供统一安全策略的匹配条件、矛盾策略或冗余策略的检测分析和有效执行措施；3)产品能提供创建、修改、删除统一安全策略的功能。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。事件监控a)测试评价方法：1)配置流量监控策略，按IP地址、时间、协议类型参数或参数的组合进行流量统计，产生相应网络会话；2)开启产品的相应防御策略，如入侵防范、恶意程序防范、反垃圾邮件等；3)从已有的事件库中选择具有不同特征的多类事件，组成攻击事件测试集，模拟入侵、恶意程序、垃圾邮件等行为；4)查看产品是否具备监控各类安全事件状态的能力。GB/T31499—XXXXb)预期结果：1)能够至少支持源IP地址、目的IP地址、端口、时间和协议或它们的组合进行流量监控。2)能监控入侵攻击、恶意程序、垃圾邮件等安全事件。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。事件阻断a)测试评价方法1)开启产品的相应防御策略，如流量限制、访问控制、入侵防范、恶意程序防范、反垃圾邮件等；2)从已有的事件库中选择具有不同特征的多类事件，组成攻击事件测试集，模拟入侵、恶意程序、垃圾邮件等行为；3)查看产品是否支持对异常流量、未授权访问、入侵攻击、恶意程序、垃圾邮件等安全事件进行阻断的能力。b)预期结果产品支持对异常流量、未授权访问、入侵攻击、恶意程序、垃圾邮件等安全事件进行阻断的能c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。本地管理a)测试评价方法：1)登录本地CLI或者图形管理界面；2)查看用户界面的功能。b)预期结果：1)具备本地CLI或者图形管理界面；2)具有配置和管理产品所有功能的管理界面。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。远程管理a)测试评价方法：1)配置产品打开SSH、HTTPS等加密端口；2)通过加密协议远程登录产品，查看或增删配置。b)预期结果：1)可以开放本地SSH、HTTPS等加密端口；2)支持加密的远程登录管理，可以查看或者增删配置。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。产品升级a)测试评价方法：1)可以在线或离线对产品进行版本升级，升级方式为手工、自动方式；GB/T31499—XXXX2)检测产品是否提供技术措施对升级包、补丁程序、特征库的正确性和完整性进行校验；3)尝试破坏升级包、补丁程序、特征库的完整性，检查经过篡改后的升级包、补丁程序、特征库是否可以正常升级；4)检查产品是否能够对升级过程进行安全监测。b)预期结果：1)产品能够利用其提供的方法正常升级主程序、特征库、策略库等；2)经篡改的完整性破坏后的升级包和补丁程序无法正常升级成功；3)产品支持升级过程的安全监测。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。集中管理a)测试评价方法：验证产品是否支持集中管理，是否能通过集中管理管理平台实现运行状态监控、安全策略下发、系统版本和特征库升级。b)预期结果：产品支持集中管理，能通过集中管理管理平台实现运行状态监控、安全策略下发、系统版本和特征库升级。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。7.2.6安全审计协议识别a)测试评价方法：1)按照产品所声明的协议分析类型，抽样生成协议事件，组成攻击事件测试集；2)配置产品的入侵防御策略为最大策略集；3)发送攻击事件测试集中的所有事件，记录产品的检测结果。b)预期结果：1)记录产品拦截入侵的相应攻击名称和类型；2)产品应能够监视的协议事件应至少包含以下协议类型：ARP、ICMP、IP、TCP、UDP、RPC、HTTP、FTP、TFTP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS、MSSQL，测试结果应与产品声明相一致。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。日志记录a)测试评价方法：1)开启产品的相应防御策略，如入侵防范、恶意程序防范、反垃圾邮件等；2)从已有的事件库中选择具有不同特征的多类事件，组成攻击事件测试集，模拟入侵攻击、恶意程序、垃圾邮件等安全事件；3)查看是否及时生成日志记录，日志记录是否包含日期时间、源IP地址、目的IP地址、源端口、目的端口、协议等信息。b)预期结果：GB/T31499—XXXX1)能查看各类安全事件的日志记录，包括入侵攻击、恶意程序、垃圾邮件等安全事件的日志信息；2)日志记录是否包含日期时间、源IP地址、目的IP地址、源端口、目的端口、协议等信息。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。安全告警a)测试评价方法：1)开启产品的相应防御策略，如入侵防范、恶意程序防范、反垃圾邮件等；2)从已有的事件库中选择具有不同特征的多类事件，组成攻击事件测试集，模拟入侵、恶意程序、垃圾邮件等行为；3)查验产品是否触发相应告警动作；4)查验告警方式是否有效、正确。b)预期结果：1)产品能够在检测到入侵、恶意程序、垃圾邮件事件时进行安全告警；2)产品提供的告警方式有效、正确。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。事件可视化a)测试评价方法：1)查验产品是否提供图形界面对检测或拦截到的安全事件进行展现；2)查验事件信息的内容，是否包括：事件发生日期时间、事件名称或类型、源IP地址、源端口、目的IP地址、目的端口、危害等级等。b)预期结果：1)具有查看安全事件的图形化界面；2)事件信息能够包括：事件发生日期时间、事件名称或类型、源IP地址、源端口、目的IP地址、目的端口、危害等级等。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。报表生成a)测试评价方法：1)查看产品是否支持入侵、恶意程序、垃圾邮件等安全事件分析形成并提供报表功能；2)查看报表是否支持表格、柱状图、饼图等一种或多种形式；3)查看报表是否支持DOC，PDF，HTML，XLS等一种或多种文件格式；4)查看是否能够按时间段等进行汇总或排序。5)检查产品是否支持按照特定的要求定制报表内容。b)预期结果：1)产品应支持入侵、恶意程序、垃圾邮件等安全事件分析形成并提供报表功能；2)报表应支持表格、柱状图、饼图等一种或多种形式；3)报表应支持DOC，PDF，HTML，XLS等一种或多种文件格式；4)应能够按时间段等进行汇总或排序；GB/T31499—XXXX5)产品应支持按照特定的要求定制报表内容具有生成报表的功能。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。事件拦截记录a)测试评价方法1)开启产品的相应防御策略，如入侵防范、恶意程序防范、反垃圾邮件等；2)从已有的事件库中选择具有不同特征的多类事件，组成攻击事件测试集，模拟入侵、恶意程序、垃圾邮件等行为；3)查看是否及时生成拦截事件记录。b)预期结果产品能对攻击拦截事件进行记录，且记录的信息包括数据拦截发生日期、时间、源IP地址、目的IP地址、源端口、目的端口、协议。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。事件分级a)测试方法：检查事件库中是否对每个事件都有按照事件的严重程度提供分级信息。b)预期结果：事件库的所有事件都具有分级信息。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。事件统计a)测试方法：1)开启产品的相应防御策略，如入侵防范、恶意程序防范、反垃圾邮件等；2)从已有的事件库中选择具有不同特征的多类事件，组成攻击事件测试集，模拟入侵、恶意程序、垃圾邮件等行为；3)查看是否生成各类安全事件的统计信息。b)预期结果：能查看各类安全事件的统计信息，包括关于入侵防范、恶意程序防范、反垃圾邮件相关事件信息，包括安全事件成功和失败的数量。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。安全事件检索a)测试方法：1)检查产品是否支持查询安全事件审计信息，如告警信息、日志信息、报表信息；2)检查产品是否支持查询异常流量的实时或历史数据。b)预期结果：支持查询安全事件审计信息及异常流量监控数据。c)结果判定：GB/T31499—XXXX实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。7.2.7互联互通a)测试评价方法：1)检查产品是否提供的威胁识别、行为识别、身份管理与鉴别、网络访问控制、网络入侵防御、网络行为控制、网络流量控制、拒绝服务攻击防护、恶意代码防范、应用安全防护、网络行为监测、安全审计、攻击抑制、通报预警等功能互联互通，是否符合GB/TAAAAA-AAAA.1《网络安全技术网络安全产品互联互通第1部分：框架》中规定的要求，且功能参数格式是否符合GB/TAAAAA-AAAA.4《网络安全技术网络安全产品互联互通第4部分：功能接口》有关要求；2)检查产品互联互通信息是否具备GB/TAAAAA-AAAA.1《网络安全技术网络安全产品互联互通第1部分：框架》5.3.1信息类型中安全事件、攻击目标、网络行为信息、计算机病毒告警、网络蠕虫告警、特洛伊木马告警、僵尸网络告警、拒绝服务告警、访问异常告警、流量异常告警、事件类别、事件级别、事件时间等信息，信息格式是否符合GB/TAAAAA-AAAA.3《网络安全技术网络安全产品互联互通第3部分：告警信息格式》和GB/TAAAAA-AAAA.5《网络安全技术网络安全产品互联互通第5部分：行为信息格式》有关要求；3)检查产品在功能和信息互联互通过程中，接口协议、请求方式和安全机制等方面是否符合GB/TAAAAA-AAAA.4《网络安全技术网络安全产品互联互通第4部分：功能接口》有关要求。b)预期结果：1)互联互通功能方面，应具备GB/TAAAAA-AAAA.1《网络安全技术网络安全产品互联互通第1部分：框架》5.2.1功能类型中威胁识别、行为识别、身份管理与鉴别、网络访问控制、网络入侵防御、网络行为控制、网络流量控制、拒绝服务攻击防护、恶意代码防范、应用安全防护、网络行为监测、安全审计、攻击抑制、通报预警等功能，功能参数格式应符合GB/TAAAAA-AAAA.4《网络安全技术网络安全产品互联互通第4部分：功能接口》有关要求；2)互联互通信息方面，应具备GB/TAAAAA-AAAA.1《网络安全技术网络安全产品互联互通第1部分：框架》5.3.1信息类型中安全事件、攻击目标、网络行为信息、计算机病毒告警、网络蠕虫告警、特洛伊木马告警、僵尸网络告警、拒绝服务告警、访问异常告警、流量异常告警、事件类别、事件级别、事件时间等信息，信息格式应符合GB/TAAAAA-AAAA.3《网络安全技术网络安全产品互联互通第3部分：告警信息格式》和GB/TAAAAA-AAAA.5《网络安全技术网络安全产品互联互通第5部分：行为信息格式》有关要求；3)功能和信息互联互通过程中，接口协议、请求方式和安全机制等方面等应符合GB/TAAAAA-AAAA.4《网络安全技术网络安全产品互联互通第4部分：功能接口》有关要求。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。7.3自身安全测评7.3.1通用要求a)测试评价方法：1)尝试登录待测产品进行管理，是否提示需进行身份鉴别；2)输入正确的用户名和对应的口令，进行登录尝试；3)输入正确的用户名和错误的口令，进行登录尝试；GB/T31499—XXXX4)输入错误的用户名，进行登录尝试；5)尝试创建一个和已有管理员同名的管理员用户；6)开发商提供文档说明如何对鉴别数据传输进行保护；以授权管理员登录产品，使用网络抓包工具截获传输鉴别信息的报文，查看是否采取传输保密性和完整性保护措施；7)开发商提供文档说明如何对鉴别数据存储进行保护，并说明鉴别数据存储的文件名或数据库表名、字段名；尝试以授权管理员身份打开鉴别数据存储的文件或数据库表，查看是否采取存储保密性和完整性保护措施；8)使用已授权管理员登录产品，尝试设置管理员口令复杂度、定期更换策略；9)尝试设置不满足复杂度要求的口令；10)达到口令更换时间时，查看是否提示或强制修改；11)管理员首次登录产品，查看是否强制修改默认口令或设置口令；12)以授权管理员身份登录待测产品，尝试创建权限相互制约的不同管理员角色用户；13)以新建的管理员用户登录，检测权限是否与角色相匹配；14)尝试以非授权管理员设置管理员用户及用户的访问权限；15)在产品产生各种运行状态，尝试以授权或非授权管理员进行各种重要操作，检查产品是否能够监测、记录产品自身运行状态和重要操作；16)尝试以非授权管理员身份登录待测产品访问审计日志；17)尝试删除、修改、覆盖审计日志；18)检验员强制断电重启待测产品，检查审计日志；19)检查产品日志存储周期是否能够设置小于6个月；20)以授权管理员远程管理产品，使用网络抓包工具截获远程管理传输数据的报文，查看是否采取传输保密性和完整性保护措施；21)使用扫描器对产品进行安全性测试，检查是否存在已公开的中、高风险漏洞；22)以授权管理员登录，尝试对产品的主程序、特征库、策略库等进行升级；23)查看产品文档中升级安全相关内容，检测产品是否提供技术措施对升级包和补丁程序的正确性和完整性进行校验；24)尝试破坏升级包和补丁程序的完整性，检查经过篡改后的升级包和补丁程序是否可以正常升级；25)查看产品文档中用户信息收集相关内容，检测收集的用户信息是否是实现产品功能所必需的，检测产品实际收集的用户信息与文档描述是否一致；26)检测产品是否提供相关授权功能，分别在用户授权前、后尝试处理个人信息；分别在未获得、用户撤回个人信息收集授权的情况下，尝试进行与个人信息无关的安全功能；27)查看产品文档中个人信息传输相关内容，通过网络抓包等方式截获传输个人信息的报文，检测是否采取传输保密性和完整性保护措施；28)查看产品文档中个人信息存储相关内容，查看存储个人信息的文件或数据库，检测是否采取存储保密性和完整性保护措施；29)查看产品文档中个人信息超出保存期限处理方式相关内容，检测实际处理方式是否与文档一致，是否采取删除或匿名化处理措施；30)对于涉及密码使用和管理的相关内容，检测产品是否符合有关标准的规定。b)预期结果：1)待测产品提示需进行身份鉴别；2)输入正确的用户名和对应的口令能够登录待测产品；3)输入正确的用户名和错误的口令不能登录产品；GB/T31499—XXXX4)输入错误的用户名不能登录产品；5)不允许创建同名管理员用户；6)采取技术措施保障身份鉴别信息在传输过程中的保密性和完整性；7)采取技术措施保障身份鉴别信息在存储过程中的保密性和完整性；8)授权管理员能够设置口令复杂度、定期更换策略；9)无法设置不满足复杂度要求的口令；10)达到口令更换时间时，提示或强制修改口令；11)管理员首次登录产品时强制修改默认口令或设置口令；12)授权管理员能够成功创建权限相互制约的不同管理员角色用户；13)新建管理员用户权限与角色相匹配；14)非授权管理员无法设置管理员用户及用户访问权限；15)产品能够监测、记录产品自身运行状态和重要操作；16)非授权管理员不能访问审计日志；17)审计日志不能被非授权删除、修改或覆盖；18)审计日志存储在掉电非易失性存储介质中，重启待测产品后，审计日志未丢失；19)产品日志存储周期无法设置小于6个月；20)采取技术措施保障远程管理数据在传输过程中的保密性和完整性；21)产品不包含已公开的中、高风险漏洞；22)产品文档中提供了为保障升级安全所采取措施的详细描述；23)产品能够利用其提供的方法正常升级主程序、特征库、策略库等；24)经篡改的完整性破坏后的升级包和补丁程序无法正常升级成功；25)产品仅收集实现产品功能所必需的用户信息；26)产品在涉及个人信息处理时提供相关授权功能，仅在获得授权后方能处理个人信息；27)产品在未获得或撤回个人信息收集授权的情况下，能够提供与个人信息无关的安全功能；28)产品在涉及个人信息传输和存储的过程中采取技术措施保障个人信息的保密性和完整性；29)产品在涉及个人信息存储时提供对超出保存期限个人信息的处理功能，如删除或匿名化处理等措施；30)涉及密码使用和管理的相关内容，符合有关标准的规定。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。7.3.2标识与鉴别标识与鉴别的测试方法与预期结果如下：a)测试评价方法：1)尝试连续多次失败登录产品，触发产品的登录失败处理功能，检查产品采用何种机制防止用户进一步进行尝试；2)登录后，在超时时间内无任何操作，查看产品是否自动退出；3)检查产品是否支持密码技术或双因素鉴别的方式对用户进行身份鉴别；4)配置产品的管理用户通过RADIUS服务器或者LDAP服务器进行身份认证。b)预期结果：1)输入错误口令达到设定的最大失败次数后，产品终止可信主机或用户建立会话的过程，并对该失败用户做禁止访问处理；2)产品登录后，在超时时间内无任何操作，产品自动退出；GB/T31499—XXXX3)产品支持密码技术或双因素鉴别的方式鉴别用户身份；4)产品的管理用户可以通过RADIUS服务器或者LDAP服务器进行身份认证。c)结果判定：实际测试结果与相关预期结果一致则判定为符合，其他情况判定为不符合。7.3.3自身访问控制自身访问控制的测试方法与预期结果如下：a)测试评价方法：1)以授权管理员身份登录产品的管理界面，检测产品是否允许授权管理员对基于用户名、远程管理主机IP地址以及用户权限等安全属性的访问控制策略进行管理；2)检查产品是否支持为用户访问产品设置访问控制策略，基于远程管理主机IP地址、用户角色等属性执行访问控制，并设置对应的策略执行访问控制；3)测试产品是否区分授权管理员角色，是否能划分为系统管理员、安全操作员和安全审计员，且三类角色权限相互制约。b)预期结果：1)产品能够向授权管理员提供设置、查询、修改和删除访问控制策略的功能；2)产品能够基于远程管理主机IP地址、用户角色等安全属性执行访问控制；3)产品能够区分授权管理员角色，能划分为系统管理员、安全操作员和安全审计员，且三类角色权限相互制约。c)结果判定：实际测试结果与预期结果一致则判定为符合，其他情况判定为不符合。7.3.4自身安全审计自身安全审计的测试方法与预期结果如下：a)测试评价方法：1)针对产品尝试进行用户登录和注销、系统启动、重要配置变更、增加/删除/修改用户、保存/删除审计日志等操作行为，测试产品是否针对上述操作生成审计日志；2)检查产品的审计日志是否包括事件发生的日期和时间、事件类型、事件主体、事件客体和事件结果等内容；3)测试产品是否仅允许授权管理员访问审计日志，测试是否能够非授权中断审计进程；4)分别以授权管理员和非授权管理员身份登录，查看是否仅为授权管理员提供查阅审计数据的功能；5)审查审计数据是否完整且以便于用户理解的方式无歧义的表示；6)以授权用户身份登录产品，是否能够以日期时间、主体身份标识、事件描述关键词等条件对审计数据进行查询操作，检查查询结果是否正确；7)模拟产生产品及其模块的异常状态（如软件模块运行故障、硬件资源使用超过阈值等测试产品是否针对异常情况进行告警并记录日志。b)预期结果：1)产品能够对用户登录和注销、系统启动、重要配置变更、增加/删除/修改用户、保存/删除审计日志等操作行为生成审计日志；2)产品的审计日志中包括事件发生的日期和时间、事件类型、事件主体、事件客体和事件结果等内容；3)产品仅允许授权管理员访问审计日志，且防止审计进程非授权中断。GB/T31499—XXXX4)审计数据应只支持授权管理员查询，非授权用户应无法查询审计数据；5)审计数据应具有完整性、可读性，能以电子方式无歧义表示；6)根据条件对审计数据进行查询的结果正确；7)产品能够对产品及其模块的异常状态进行告警，并进行审计。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。7.3.5支撑系统安全支撑系统安全的测试方法与预期结果如下：a)测试评价方法：1)断电或重启产品，测试产品的安全策略和日志信息是否丢失；2)查看产品文档，并对产品进行端口扫描，检测是否提供多余的组件或网络服务。b)预期结果：1)产品断电或重启，安全策略和日志信息不丢失；2)产品未启用不必要的系统服务、端口。c)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。7.3.6安全管理安全功能行为管理a)测试评价方法：1)检查产品是否支持为管理员访问产品设置访问策略，访问策略中是否包含不同的用户名、用户角色、远程管理主机IP地址等安全属性的定义；2)为用户访问产品设置不同的访问策略，通过用户对产品的访问，验证访问权限策略是否与访问策略一致。b)预期结果：1)产品支持基于远程管