《信息安全技術(shù) 防火墻安全技術(shù)要求和測(cè)試評(píng)價(jià)方法》編制說(shuō)明

1工作簡(jiǎn)況

1.1任務(wù)來(lái)源

國(guó)家發(fā)改委頒布了發(fā)改辦高技[2012]288號(hào)文《國(guó)家發(fā)展改革委

辦公廳關(guān)于組織實(shí)施2012年國(guó)家下一代互聯(lián)網(wǎng)信息安全專項(xiàng)有關(guān)試

點(diǎn)和標(biāo)準(zhǔn)工作事項(xiàng)的通知》，開(kāi)展實(shí)施一系列共81個(gè)下一代互聯(lián)網(wǎng)信

息安全標(biāo)準(zhǔn)的“下一代互聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)專項(xiàng)項(xiàng)目”。防火墻作為

發(fā)改委重點(diǎn)扶持發(fā)展的十類下一代信息安全產(chǎn)品之一，表明了防火墻

在下一代互聯(lián)網(wǎng)信息安全產(chǎn)品中的地位，其標(biāo)準(zhǔn)的建設(shè)工作至關(guān)重

要。因此本標(biāo)準(zhǔn)項(xiàng)目建設(shè)工作主要是為配合國(guó)家下一代互聯(lián)網(wǎng)產(chǎn)業(yè)中

信息安全產(chǎn)品層面的推廣和落地。

經(jīng)中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn)，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)

委員會(huì)（SAC/TC260）主任辦公會(huì)討論通過(guò)，研究制定防火墻技術(shù)要

求和測(cè)試評(píng)價(jià)方法的國(guó)家標(biāo)準(zhǔn)。該項(xiàng)目由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委

員會(huì)提出，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口，由公安部計(jì)算機(jī)信

息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心（公安部第三研究所）負(fù)責(zé)主辦。

1.2協(xié)作單位

在接到《信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法》標(biāo)準(zhǔn)

的任務(wù)后，公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心立即與

各生產(chǎn)防火墻的廠商進(jìn)行溝通，并得到了多家業(yè)內(nèi)知名廠商的積極參

1

與和反饋。經(jīng)過(guò)層層篩選之后，最后確定由啟明星辰信息技術(shù)有限公

司、北京網(wǎng)康科技有限公司和華為技術(shù)有限公司作為標(biāo)準(zhǔn)編制協(xié)作單

位。

1.3主要工作過(guò)程

1.3.1成立編制組

2012年12月接到標(biāo)準(zhǔn)編制任務(wù)，組建標(biāo)準(zhǔn)編制組，由本檢測(cè)中

心、啟明星辰、華為及北京網(wǎng)康聯(lián)合編制。檢測(cè)中心的編制組成員均

具有資深的防火墻產(chǎn)品檢測(cè)經(jīng)驗(yàn)、有足夠的標(biāo)準(zhǔn)編制經(jīng)驗(yàn)、熟悉CC；

其他廠商的編制成員均為防火墻的研發(fā)負(fù)責(zé)人及主要研發(fā)人員。檢

測(cè)中心人員包括俞優(yōu)、顧健、鄒春明、沈亮、陸臻等；廠商包括王光

宇、呂穎軒、王平等。

1.3.2制定工作計(jì)劃

編制組首先制定了編制工作計(jì)劃，并確定了編制組人員例會(huì)安排

以便及時(shí)溝通交流工作情況。

1.3.3參考資料

該標(biāo)準(zhǔn)編制過(guò)程中，主要參考了：

?GB/T5271.8-2001信息系統(tǒng)詞匯第8部分：安全

?GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)劃分準(zhǔn)則

?GB/T18336.3－2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)

估準(zhǔn)則第3部分：安全保證要求

2

?GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求

?GB/T20281-2006信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)

方法

?GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本

要求

?近幾年到本檢測(cè)中心所送檢的相關(guān)防火墻產(chǎn)品及其技術(shù)資料

1.3.4確定編制內(nèi)容

經(jīng)標(biāo)準(zhǔn)編制組研究決定，以原國(guó)標(biāo)內(nèi)容和發(fā)改委專項(xiàng)測(cè)試要求為

理論基礎(chǔ)，以現(xiàn)有防火墻的發(fā)展動(dòng)向?yàn)檠芯磕繕?biāo)，以GB17859-1999

《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》和GB/T18336-2008《信

息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》為主要參考依據(jù)，完成

《信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法》標(biāo)準(zhǔn)的編制工作。

1.3.5編制工作簡(jiǎn)要過(guò)程

按照項(xiàng)目進(jìn)度要求，編制組人員首先對(duì)所參閱的產(chǎn)品、文檔以及

標(biāo)準(zhǔn)進(jìn)行反復(fù)閱讀與理解，查閱有關(guān)資料，編寫(xiě)標(biāo)準(zhǔn)編制提綱，在完

成對(duì)提綱進(jìn)行交流和修改的基礎(chǔ)上，開(kāi)始具體的編制工作。

2013年1月，完成了對(duì)防火墻的相關(guān)技術(shù)文檔和有關(guān)標(biāo)準(zhǔn)的前期

基礎(chǔ)調(diào)研。在調(diào)研期間，主要對(duì)我檢測(cè)中心歷年檢測(cè)產(chǎn)品的記錄、報(bào)

告以及各產(chǎn)品的技術(shù)文檔材料進(jìn)行了篩選、匯總、分析，對(duì)國(guó)內(nèi)外相

關(guān)產(chǎn)品的發(fā)展動(dòng)向進(jìn)行了研究，對(duì)相關(guān)產(chǎn)品的技術(shù)文檔和標(biāo)準(zhǔn)進(jìn)行了

分析理解。

3

2013年2月完成了標(biāo)準(zhǔn)草案的編制工作。以編制組人員收集的資

料為基礎(chǔ)，在不斷的討論和研究中，完善內(nèi)容，最終形成了本標(biāo)準(zhǔn)草

稿（第一稿）。

2013年3月，編制組在檢測(cè)中心內(nèi)部對(duì)標(biāo)準(zhǔn)草稿（第一稿）進(jìn)行

了討論，修改完成后形成草稿（第二稿）。

2013年4月，編制組以意見(jiàn)征求會(huì)形式邀請(qǐng)深圳市深信服電子科

技有限公司、北京中科網(wǎng)威信息技術(shù)有限公司等廠商進(jìn)行現(xiàn)場(chǎng)征求意

見(jiàn)，根據(jù)反饋意見(jiàn)，增加了透明傳輸部署模式、多重鑒別、雙機(jī)熱備

和帶寬管理等要求。

2013年6月，編制組以郵件方式征求了北京啟明星辰信息安全技

術(shù)有限公司、華為技術(shù)有限公司、北京網(wǎng)康科技有限公司等參與編制

廠商的意見(jiàn)，根據(jù)反饋意見(jiàn)，增加連接數(shù)控制、會(huì)話管理、用戶管控、

審計(jì)空間耗盡處理等主要要求。通過(guò)修改，形成了草稿（第三稿）。

2013年7月，WG5工作組在上海召開(kāi)了標(biāo)準(zhǔn)評(píng)審專家會(huì)，與會(huì)專

家對(duì)本標(biāo)準(zhǔn)進(jìn)行了認(rèn)真審議，并提出了相關(guān)意見(jiàn)和建議。經(jīng)過(guò)與會(huì)專

家的評(píng)審，評(píng)審組同意通過(guò)評(píng)審。編制組根據(jù)專家意見(jiàn)進(jìn)行修改完善，

形成了征求意見(jiàn)稿（第一稿）。

2013年8月，WG5工作組組織成員單位對(duì)本標(biāo)準(zhǔn)進(jìn)行投票，全部

為贊成票。根據(jù)成員單位反饋的意見(jiàn)，標(biāo)準(zhǔn)編制組對(duì)標(biāo)準(zhǔn)進(jìn)行了修改

完善，形成了征求意見(jiàn)稿（第二稿）。

2013年9月，馮慧老師對(duì)本標(biāo)準(zhǔn)的格式、用語(yǔ)等方面提出了的修

改建議，標(biāo)準(zhǔn)編制組依據(jù)專家意見(jiàn)進(jìn)行了修改，形成了征求意見(jiàn)稿（第

4

三稿）。

1.3.6起草人及其工作

標(biāo)準(zhǔn)編制組具體由俞優(yōu)、鄒春明、沈亮、陸臻、顧健等人組成。

俞優(yōu)全面負(fù)責(zé)標(biāo)準(zhǔn)編制工作，包括制定工作計(jì)劃、確定編制內(nèi)容和整

體進(jìn)度、人員的安排；鄒春明和沈亮主要負(fù)責(zé)標(biāo)準(zhǔn)的前期調(diào)研、現(xiàn)狀

分析、標(biāo)準(zhǔn)各版本的編制、意見(jiàn)匯總的討論處理、編制說(shuō)明的編寫(xiě)等

工作；陸臻負(fù)責(zé)標(biāo)準(zhǔn)校對(duì)審核等工作；顧健主要負(fù)責(zé)標(biāo)準(zhǔn)編制過(guò)程中

的各項(xiàng)技術(shù)支持和整體指導(dǎo)。

2標(biāo)準(zhǔn)主要內(nèi)容

2.1編制原則

為了使防火墻標(biāo)準(zhǔn)的內(nèi)容從一開(kāi)始就與國(guó)家標(biāo)準(zhǔn)保持一致，本標(biāo)

準(zhǔn)的編寫(xiě)參考了其他國(guó)家有關(guān)標(biāo)準(zhǔn)，主要有GB/T17859-1999、GB/T

20271-2006、GB/T22239-2008和GB/T18336-2008。

本標(biāo)準(zhǔn)符合我國(guó)的實(shí)際情況，遵從我國(guó)有關(guān)法律、法規(guī)的規(guī)定。

具體原則與要求如下：

1）先進(jìn)性

標(biāo)準(zhǔn)是先進(jìn)經(jīng)驗(yàn)的總結(jié)，同時(shí)也是技術(shù)的發(fā)展趨勢(shì)。目前，我國(guó)

防火墻產(chǎn)品種類繁多，功能良莠不齊，要制定出先進(jìn)的產(chǎn)品國(guó)家標(biāo)準(zhǔn)，

必須參考國(guó)內(nèi)外先進(jìn)技術(shù)和標(biāo)準(zhǔn)，吸收其精華，才能制定出具有先進(jìn)

水平的標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)的編寫(xiě)始終遵循這一原則。

5

2）實(shí)用性

標(biāo)準(zhǔn)必須是可用的，才有實(shí)際意義，因此本標(biāo)準(zhǔn)的編寫(xiě)是在對(duì)國(guó)

內(nèi)外標(biāo)準(zhǔn)的相關(guān)技術(shù)內(nèi)容消化、吸收的基礎(chǔ)上，結(jié)合我國(guó)的實(shí)際情況，

廣泛了解了市場(chǎng)上主流產(chǎn)品的功能，吸收其精華，制定出符合我國(guó)國(guó)

情的、可操作性強(qiáng)的標(biāo)準(zhǔn)。

3）兼容性

本標(biāo)準(zhǔn)既要與國(guó)際接軌，更要與我國(guó)現(xiàn)有的政策、法規(guī)、標(biāo)準(zhǔn)、

規(guī)范等相一致。編制組在對(duì)標(biāo)準(zhǔn)起草過(guò)程中始終遵循此原則，其內(nèi)容

符合我國(guó)已經(jīng)發(fā)布的有關(guān)政策、法律和法規(guī)。

2.2編制思路

目前，我國(guó)開(kāi)展信息安全管理的綱領(lǐng)性文件有兩個(gè)，一個(gè)

GB17859，另一個(gè)是GB/T18336。這兩個(gè)國(guó)家標(biāo)準(zhǔn)從提綱挈領(lǐng)的角度

規(guī)定了我國(guó)開(kāi)展信息安全管理和信息安全產(chǎn)品標(biāo)準(zhǔn)編制的基本原則。

具體理由闡述如下：

從20世紀(jì)80年代開(kāi)始，世界各國(guó)相繼制定了多個(gè)信息技術(shù)安全

評(píng)價(jià)標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)中美國(guó)國(guó)防部發(fā)布的可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則

（TCSEC）是這方面最早的標(biāo)準(zhǔn)。

在TCSEC發(fā)布后的十多年里，美國(guó)政府和機(jī)構(gòu)的信息系統(tǒng)安全性

有了較大程度的提高，特別是在操作系統(tǒng)和數(shù)據(jù)庫(kù)方面，開(kāi)創(chuàng)了安全

標(biāo)準(zhǔn)的先河。根據(jù)TCSEC而進(jìn)行的評(píng)估項(xiàng)目已經(jīng)向一百多種商業(yè)安

全產(chǎn)品頒發(fā)了證書(shū)，達(dá)到C2級(jí)的操作系統(tǒng)安全已得到世界上廣泛的

承認(rèn)。并隨后引發(fā)了加拿大和歐洲等國(guó)進(jìn)行相似標(biāo)準(zhǔn)的研發(fā)。

6

隨著信息安全的不斷向前推進(jìn)，人們發(fā)現(xiàn)TCSEC的一些要求太

嚴(yán)格，以致限制了其應(yīng)用范圍，需要新的評(píng)估準(zhǔn)則來(lái)完成TCSEC所

不能完成的使命。同時(shí)，信息安全產(chǎn)品的廠商迫切需要一種國(guó)際性的

評(píng)估準(zhǔn)則，而不是各國(guó)各自的不同準(zhǔn)則來(lái)評(píng)估其產(chǎn)品，這樣產(chǎn)品的國(guó)

際市場(chǎng)將大大拓寬。因此，1996年，CC作為時(shí)代發(fā)展的產(chǎn)物被推上

了歷史的舞臺(tái)。

為了更好的實(shí)現(xiàn)由TCSEC向CC的平穩(wěn)過(guò)渡，美國(guó)國(guó)防部下屬

機(jī)構(gòu)，“國(guó)家安全電信與信息系統(tǒng)安全委員會(huì)”（簡(jiǎn)稱NSTISSC,現(xiàn)已

更名為“國(guó)家系統(tǒng)安全委員會(huì)”簡(jiǎn)稱CNSS）于1999年3月發(fā)布了“關(guān)

于可信計(jì)算機(jī)評(píng)估準(zhǔn)則向國(guó)際信息技術(shù)安全評(píng)估通用準(zhǔn)則過(guò)渡的咨

詢備忘錄”（NSTISSAMCOMPUSEC/1-99）。

“目前采用TCSEC準(zhǔn)則進(jìn)行評(píng)估的安全項(xiàng)目仍可進(jìn)行，但自1999

年2月1日起，任何新的安全產(chǎn)品必須采用CC來(lái)評(píng)估。截止到2001

年12月31日，之前所有采用TCSEC進(jìn)行評(píng)估的產(chǎn)品要么廢止，要

么將TCSEC級(jí)別相應(yīng)轉(zhuǎn)換為CC的保證級(jí)別，否則所有TCSEC級(jí)別

將被視為無(wú)效?！?/p>

目前，NSA根據(jù)CC已將TCSEC中的C2、B1、B2、B3級(jí)操作

系統(tǒng)形成了各自的PP，各類防火墻的PP已經(jīng)完成。

根據(jù)此備忘錄的精神，國(guó)家計(jì)算機(jī)安全處（NCSC）出版的包括

TCSEC在內(nèi)的彩虹系列在之后的時(shí)間里分別根據(jù)CC的需求進(jìn)行相

應(yīng)的分類，要么不再采用，要么修改采用以滿足CC的需求。

CC根據(jù)“安全保證要求”不斷遞增而分為7個(gè)保證級(jí)，但實(shí)際上

7

除了這7個(gè)保證級(jí)外，“保護(hù)輪廓”（PP）根據(jù)數(shù)據(jù)的敏感性、信息所

面對(duì)的威脅級(jí)別等要求也分為三種強(qiáng)健性級(jí)別：基本、中等、高級(jí)。

因此，即使是同種產(chǎn)品，由于應(yīng)用于不同強(qiáng)健級(jí)別的環(huán)境中，對(duì)其安

全功能要求不同，故PP的級(jí)別不同。這一點(diǎn)在本質(zhì)上與TCSEC的

按安全功能要求分為5級(jí)是相似的，也是CC在理論上承繼TCSEC

的具體體現(xiàn)。

上述資料表明，TCSEC與CC兩者雖然在不同的歷史時(shí)期出現(xiàn)，

但在本質(zhì)上它們是一脈相承，互相融合的。由于信息技術(shù)及市場(chǎng)需求

的發(fā)展，TCSEC準(zhǔn)則在過(guò)渡到CC的時(shí)候，將自身有價(jià)值的方面融

入新出現(xiàn)的CC準(zhǔn)則中，讓其不斷發(fā)揚(yáng)光大。

另一方面，TCSEC進(jìn)入中國(guó)以后，也結(jié)合中國(guó)的特點(diǎn)進(jìn)行了修

改與完善，并形成了強(qiáng)制性國(guó)家標(biāo)準(zhǔn)GB17859。

GB17859首先對(duì)計(jì)算機(jī)信息系統(tǒng)及其可信計(jì)算基（TCB）作了規(guī)

范性說(shuō)明，指出：“計(jì)算機(jī)信息系統(tǒng)”是由計(jì)算機(jī)及其相關(guān)的配套設(shè)

備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)格對(duì)信息進(jìn)行

采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)，而“可信計(jì)算基”

則是計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)

行安全策略的組合體。它建立了一個(gè)基本的保護(hù)環(huán)境，并提供一個(gè)可

信計(jì)算系統(tǒng)所要求的附加用戶服務(wù)。

GB17859在系統(tǒng)、科學(xué)地分析計(jì)算機(jī)信息系統(tǒng)安全問(wèn)題的基礎(chǔ)

上，結(jié)合我國(guó)信息系統(tǒng)建設(shè)的實(shí)際情況，從技術(shù)角度將計(jì)算機(jī)信息系

統(tǒng)安全保護(hù)等級(jí)劃分為五個(gè)級(jí)別，即：用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保

8

護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪問(wèn)驗(yàn)證保護(hù)級(jí)。這五個(gè)級(jí)

別定義了不同強(qiáng)度的信息系統(tǒng)保護(hù)能力，包含有不同要素和不同強(qiáng)度

的安全控制。安全保護(hù)能力從第一級(jí)到第五級(jí)逐級(jí)增強(qiáng)。

從某種意義上說(shuō)，GB17859代表了中國(guó)信息安全的實(shí)際需求，

GB/T18336則代表了與國(guó)際接軌的需求。

所以，基于TCSEC的GB17859與翻譯自ISO/IEC15408的

GB/T18336共同組成了我國(guó)信息安全標(biāo)準(zhǔn)體系的兩大基礎(chǔ)。

作為單一的信息安全產(chǎn)品標(biāo)準(zhǔn)，必須同時(shí)兼顧GB17859與

GB/T18336的要求，才能做到既有特色與又能兼容，滿足國(guó)家主管部

門、廠商與用戶對(duì)防火墻標(biāo)準(zhǔn)的實(shí)際需求。所以，本標(biāo)準(zhǔn)的編制將主

要基于GB17859和GB/T18336進(jìn)行。

2.3標(biāo)準(zhǔn)內(nèi)容

2.3.1標(biāo)準(zhǔn)結(jié)構(gòu)

本標(biāo)準(zhǔn)的編寫(xiě)格式和方法依照GB/T1.1-2009標(biāo)準(zhǔn)化工作導(dǎo)則

第一部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫(xiě)規(guī)則。

本標(biāo)準(zhǔn)主要結(jié)構(gòu)包括如下內(nèi)容：

1.范圍2.規(guī)范性引用文件

3.術(shù)語(yǔ)和定義4.縮略語(yǔ)

5.防火墻描述6.技術(shù)要求

7.測(cè)試評(píng)價(jià)方法

2.3.2主要內(nèi)容

9

2.3.2.1范圍、規(guī)范性引用文件、術(shù)語(yǔ)和定義和縮略語(yǔ)

該部分定義了本標(biāo)準(zhǔn)適應(yīng)的范圍，所引用的其它標(biāo)準(zhǔn)情況，及以

何種方式引用，術(shù)語(yǔ)和定義部分明確了該標(biāo)準(zhǔn)所涉及的一些術(shù)語(yǔ)。

在術(shù)語(yǔ)中明確了“防火墻”、“深度包檢測(cè)”、“深度內(nèi)容檢測(cè)”、

“SQL注入”和“跨站腳本”等重要概念。

2.3.2.2防火墻描述

防火墻的目的是在不同的安全域之間建立安全控制點(diǎn)，根據(jù)預(yù)先

定義的訪問(wèn)控制策略和安全防護(hù)策略，解析和過(guò)濾經(jīng)過(guò)防火墻的數(shù)據(jù)

流，實(shí)現(xiàn)向被保護(hù)的安全域提供訪問(wèn)可控的服務(wù)請(qǐng)求。此外，適用于

下一代互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境的防火墻的協(xié)議棧除支持IPv4技術(shù)外，還應(yīng)

支持IPv6、IPv4/IPv6過(guò)渡技術(shù)。

防火墻保護(hù)的資產(chǎn)是受安全策略保護(hù)的網(wǎng)絡(luò)服務(wù)和資源等，此

外，防火墻本身及其內(nèi)部的重要數(shù)據(jù)也是受保護(hù)的資產(chǎn)。防火墻通常

以路由模式或透明模式運(yùn)行，且一般將網(wǎng)絡(luò)劃分為若干個(gè)安全域，通

過(guò)安全策略實(shí)現(xiàn)對(duì)不同安全域間服務(wù)和訪問(wèn)的審計(jì)和控制。

下圖1是防火墻的一個(gè)典型運(yùn)行環(huán)境。它將網(wǎng)絡(luò)分為內(nèi)部網(wǎng)絡(luò)、

外部網(wǎng)絡(luò)和DMZ三個(gè)區(qū)域。內(nèi)部網(wǎng)絡(luò)是一個(gè)可信區(qū)域，外部網(wǎng)絡(luò)是一

個(gè)不可信區(qū)域，DMZ中的服務(wù)器可以向外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)用戶提供

應(yīng)用服務(wù)。

10

圖1防火墻典型運(yùn)行環(huán)境

2.3.2.3技術(shù)要求

標(biāo)準(zhǔn)將防火墻技術(shù)要求分為安全功能、安全保證、環(huán)境適應(yīng)性和

性能要求四個(gè)大類。其中，安全功能要求是對(duì)防火墻應(yīng)具備的安全功

能提出具體要求，包括網(wǎng)絡(luò)層控制、應(yīng)用層控制和安全運(yùn)維管理；安

全保證要求針對(duì)防火墻的開(kāi)發(fā)和使用文檔的內(nèi)容提出具體的要求，例

如配置管理、交付和運(yùn)行、開(kāi)發(fā)和指南文件等；環(huán)境適應(yīng)性要求是對(duì)

防火墻的部署模式和應(yīng)用環(huán)境提出具體的要求；性能要求則是對(duì)防火

墻應(yīng)達(dá)到的性能指標(biāo)作出規(guī)定，包括吞吐量、延遲、最大并發(fā)連接數(shù)

和最大連接速率。

此外，按照防火墻安全功能要求強(qiáng)度，以及參照GB/T18336.3-

2008，對(duì)防火墻安全等級(jí)進(jìn)行劃分。安全等級(jí)分為基本級(jí)和增強(qiáng)級(jí)，

11

安全功能強(qiáng)弱和安全保證要求高低是等級(jí)劃分的具體依據(jù)。安全等級(jí)

突出安全特性，環(huán)境適應(yīng)性要求和性能要求不作為等級(jí)劃分依據(jù)。

一、安全功能要求

產(chǎn)品安全功能要求主要對(duì)產(chǎn)品實(shí)現(xiàn)的功能進(jìn)行了要求。主要包括

網(wǎng)絡(luò)層控制、應(yīng)用層控制和安全運(yùn)維管理三部分。

其中網(wǎng)絡(luò)層控制包括：包過(guò)濾、NAT、狀態(tài)檢測(cè)、策略路

由、動(dòng)態(tài)端口開(kāi)放、IP/MAC綁定、流量會(huì)話管理、抗拒絕服務(wù)攻擊

和網(wǎng)絡(luò)掃描防護(hù)等；應(yīng)用層控制包括：用戶管控、應(yīng)用協(xié)議控制、

應(yīng)用內(nèi)容控制、惡意代碼防護(hù)和應(yīng)用攻擊防護(hù)；安全運(yùn)維管理包括：

運(yùn)維管理、安全審計(jì)、安全管理和高可用性。

表1安全功能要求分級(jí)說(shuō)明

安全功能要求基本級(jí)增強(qiáng)級(jí)

包過(guò)濾**

NAT***

狀態(tài)檢測(cè)**

策略路由***

動(dòng)態(tài)開(kāi)放端口***

網(wǎng)絡(luò)層IP/MAC地址綁定**

控制流量統(tǒng)計(jì)**

流量會(huì)帶寬管理*

話管理連接數(shù)控制**

會(huì)話管理*

抗拒絕服務(wù)攻擊**

網(wǎng)絡(luò)掃描防護(hù)***

用戶管控*

應(yīng)用層

應(yīng)用協(xié)議控制**

控制

應(yīng)用內(nèi)容控制*

12

安全功能要求基本級(jí)增強(qiáng)級(jí)

惡意代碼防護(hù)*

應(yīng)用攻擊防護(hù)*

運(yùn)維管理***

安全審計(jì)**

管理口獨(dú)立**

安全運(yùn)安全管

安全支撐系統(tǒng)**

維管理理

異常處理機(jī)制**

高可用雙擊熱備*

性負(fù)載均衡*

注：“*”表示具有該要求，“**”表示要求有所增強(qiáng)。

二、安全保證要求

該部分對(duì)產(chǎn)品的開(kāi)發(fā)和使用文檔的內(nèi)容進(jìn)行了要求，包括配置管

理、交付與運(yùn)行、開(kāi)發(fā)、指導(dǎo)性文檔、生命周期支持、測(cè)試保證和脆

弱性分析保證。

13

表2安全保證要求分級(jí)說(shuō)明

安全保證要求基本級(jí)增強(qiáng)級(jí)

部分配置管理自動(dòng)化*

版本號(hào)**

配置項(xiàng)**

配置管

配置理能力授權(quán)控制*

管理產(chǎn)生支持和接受程

*

序

配置管理覆蓋*

配置管

問(wèn)題跟蹤配置管理

理范圍*

覆蓋

交付交付程序**

與運(yùn)修改檢測(cè)*

行安裝、生成和啟動(dòng)程序**

非形式化功能規(guī)范**

功能規(guī)

充分定義的外部接

范*

口

描述性高層設(shè)計(jì)**

高層設(shè)

安全加強(qiáng)的高層設(shè)

計(jì)*

開(kāi)發(fā)計(jì)

安全功能實(shí)現(xiàn)的子集*

描述性低層設(shè)計(jì)*

非形式化對(duì)應(yīng)性證實(shí)**

非形式化產(chǎn)品安全策略模型*

指導(dǎo)管理員指南**

性文

用戶指南**

檔

生命安全措施標(biāo)識(shí)*

周期開(kāi)發(fā)者定義的生命周期模型*

支持明確定義的開(kāi)發(fā)工具*

測(cè)試覆覆蓋證據(jù)**

蓋覆蓋分析*

測(cè)試：高層設(shè)計(jì)*

測(cè)試

功能測(cè)試**

獨(dú)立測(cè)一致性**

試抽樣**

14

指南審查*

誤用

分析確認(rèn)*

脆弱

產(chǎn)品安全功能強(qiáng)度評(píng)估**

性評(píng)

開(kāi)發(fā)者脆弱性分析**

定脆弱性

獨(dú)立的脆弱性分析*

分析

中級(jí)抵抗力*

三、環(huán)境適應(yīng)性要求

該部分對(duì)防火墻產(chǎn)品的部署模式、以及對(duì)下一代互聯(lián)網(wǎng)環(huán)境的適

應(yīng)性支持。

四、性能要求

該部分對(duì)防火墻的吞吐量、延遲、最大并發(fā)連接數(shù)、最大連接速

率和最大事務(wù)數(shù)等性能指標(biāo)進(jìn)行了要求。

2.3.2.4安全功能基本原理

本部分資料用以說(shuō)明防火墻安全功能要求產(chǎn)生的過(guò)程。下述內(nèi)容

詳細(xì)描述了與防火墻安全需求相關(guān)的使用環(huán)境、安全風(fēng)險(xiǎn)和組織策

略，定義了防火墻及其支撐環(huán)境的安全目的，并通過(guò)對(duì)應(yīng)關(guān)系論證了

安全功能要求能夠追溯并覆蓋產(chǎn)品安全目的，安全目的能夠追溯并覆

蓋安全需求相關(guān)的使用環(huán)境、安全風(fēng)險(xiǎn)和組織策略。

一、安全需求

1、使用環(huán)境

防火墻安全需求相關(guān)的使用環(huán)境如表3所示。

表3使用環(huán)境

使用環(huán)境名稱使用環(huán)境描述

所有實(shí)施防火墻安全策略相關(guān)的硬件和軟件應(yīng)受到保

物理訪問(wèn)

護(hù)，以免受非授權(quán)的物理更改

15

使用環(huán)境名稱使用環(huán)境描述

只用授權(quán)的管理員才能直接訪問(wèn)或遠(yuǎn)程訪問(wèn)防火墻；

人員能力授權(quán)管理員是無(wú)惡意的，訓(xùn)練有素的，并遵循管理員

指南

連接性防火墻是被分隔的安全域網(wǎng)絡(luò)之間的唯一連接點(diǎn)

當(dāng)防火墻的應(yīng)用環(huán)境發(fā)生變化時(shí)，應(yīng)立即反映在產(chǎn)品

安全維護(hù)

的安全策略中并保持其安全功能有效

2、安全風(fēng)險(xiǎn)

防火墻安全需求相關(guān)的安全風(fēng)險(xiǎn)如表4所示。

表4安全風(fēng)險(xiǎn)

安全風(fēng)險(xiǎn)名稱安全風(fēng)險(xiǎn)描述

非授權(quán)用戶可能試圖訪問(wèn)和使用防火墻提供的安全功

未授權(quán)訪問(wèn)能；未授權(quán)用戶是指除防火墻授權(quán)用戶之外所有已經(jīng)

或可能企圖訪問(wèn)的人

未授權(quán)信息流未授權(quán)的信息流的流入\流出，可能導(dǎo)致外網(wǎng)非法信息

入、流出的入侵或內(nèi)網(wǎng)信息的泄露

網(wǎng)絡(luò)地址欺騙外部網(wǎng)絡(luò)的用戶可能嘗試偽裝利用內(nèi)網(wǎng)網(wǎng)絡(luò)地址，訪

攻擊問(wèn)內(nèi)部資源

攻擊者可能對(duì)內(nèi)部受保護(hù)的網(wǎng)絡(luò)或主機(jī)進(jìn)行攻擊，這

網(wǎng)絡(luò)惡意攻擊

類攻擊可能已拒絕服務(wù)和穿透主機(jī)或網(wǎng)絡(luò)節(jié)點(diǎn)為目的

攻擊者可能對(duì)內(nèi)部受保護(hù)的服務(wù)資源進(jìn)行攻擊，這類

應(yīng)用惡意攻擊攻擊可能以惡意代碼的形式進(jìn)入網(wǎng)絡(luò)，導(dǎo)致服務(wù)資源

的信息泄露或崩潰

攻擊者可能繞過(guò)或欺騙身份鑒別機(jī)制，假冒授權(quán)管理

繞開(kāi)鑒別機(jī)制

員或侵入已建立的會(huì)話連接。例如，攔截鑒別信息、

攻擊

重放有效地鑒別數(shù)據(jù)以及截取會(huì)話連接等攻擊

非授權(quán)用戶可能通過(guò)反復(fù)猜測(cè)鑒別數(shù)據(jù)的方法，進(jìn)一

持續(xù)鑒別攻擊

步獲取管理員權(quán)限

審計(jì)記錄丟失攻擊者可能采取耗盡審計(jì)存儲(chǔ)空間的方法導(dǎo)致審計(jì)記

或破壞錄丟失或破壞

設(shè)備脆弱性攻攻擊者可能通過(guò)防火墻的自身缺陷進(jìn)行攻擊，導(dǎo)致產(chǎn)

擊品權(quán)限丟失或功能故障

防火墻可能出現(xiàn)超負(fù)載、斷電故障等異常情況，導(dǎo)致

設(shè)備狀態(tài)異常

防火墻無(wú)法提供正常服務(wù)

3、組織策略

防火墻安全需求相關(guān)的組織策略如表5所示。

16

表5組織策略

組織策略名稱組織策略描述

為追蹤與安全相關(guān)活動(dòng)的責(zé)任，防火墻應(yīng)對(duì)與安全相

安全審計(jì)關(guān)的事件進(jìn)行記錄、保存和審查，并提供一種可理解

方式供管理員讀取

防火墻應(yīng)為授權(quán)管理員提供管理手段，使其以安全的

安全管理

方式進(jìn)行管理

二、安全目的基本原理

1、產(chǎn)品安全目的

表6定義了防火墻的安全目的。這些安全目的旨在對(duì)應(yīng)已標(biāo)

識(shí)的安全風(fēng)險(xiǎn)或組織策略。

表6產(chǎn)品安全目的

產(chǎn)品安全目的對(duì)應(yīng)的安全風(fēng)險(xiǎn)

產(chǎn)品安全目的描述

名稱或組織策略

在允許用戶訪問(wèn)產(chǎn)品功能之前，產(chǎn)

身份認(rèn)證品必須對(duì)用戶身份進(jìn)行唯一的標(biāo)識(shí)未授權(quán)訪問(wèn)

和鑒別

防火墻應(yīng)控制流入\流出防火墻的

未授權(quán)信息流

信息流控制信息流，除了一般的協(xié)議控制之外，

入、流出

還應(yīng)包括對(duì)信息的深度檢測(cè)并控制

網(wǎng)絡(luò)地址欺騙攻

防火墻應(yīng)能抵抗地址欺騙、拒絕服

擊

抗攻擊滲透務(wù)、網(wǎng)絡(luò)掃描、惡意代碼、應(yīng)用漏

網(wǎng)絡(luò)惡意攻擊

洞等常見(jiàn)攻擊

應(yīng)用惡意攻擊

防火墻應(yīng)具備安全機(jī)制防止惡意用

鑒別失敗處理持續(xù)鑒別攻擊

戶反復(fù)猜測(cè)鑒別數(shù)據(jù)

審計(jì)記錄應(yīng)受到充分保護(hù)，防火墻審計(jì)記錄丟失或

審計(jì)記錄保護(hù)

應(yīng)具備防止事件記錄丟失的措施破壞

為更好地防范防火墻自身的漏洞，

繞開(kāi)鑒別機(jī)制攻

應(yīng)確保底層支撐系統(tǒng)的可靠性和穩(wěn)

自身保護(hù)擊

定性；此外防火墻還應(yīng)保護(hù)授權(quán)管

設(shè)備脆弱性攻擊

理員的通信會(huì)話連接

防火墻應(yīng)具備負(fù)載均衡、雙擊熱備

失效處理設(shè)備狀態(tài)異常

等高可用性保證措施

未授權(quán)信息流

產(chǎn)品應(yīng)記錄安全相關(guān)的事件，以便

入、流出

安全審計(jì)追蹤安全相關(guān)行為的責(zé)任，并應(yīng)提

網(wǎng)絡(luò)惡意攻擊

供方法審查所記錄的數(shù)據(jù)

審計(jì)記錄丟失或

17

破壞

審計(jì)

產(chǎn)品應(yīng)向授權(quán)管理員提供以安全方

安全管理管理

式進(jìn)行管理的有效手段

2、環(huán)境安全目的

表7定義了非技術(shù)或程序方法進(jìn)行處理的安全目的。該部分確定

的使用環(huán)境被包含在環(huán)境安全目的中。

表7環(huán)境安全目的

環(huán)境安全目的

環(huán)境安全目的描述對(duì)應(yīng)的使用環(huán)境

名稱

所有實(shí)施防火墻安全策略相關(guān)的

物理訪問(wèn)硬件和軟件應(yīng)受到保護(hù)，以免受物理訪問(wèn)

非授權(quán)的物理更改

只用授權(quán)的管理員才能直接訪問(wèn)

或遠(yuǎn)程訪問(wèn)防火墻；授權(quán)管理員

人員能力人員能力

是無(wú)惡意的，訓(xùn)練有素的，并遵

循管理員指南

防火墻是被分隔的安全域網(wǎng)絡(luò)之

連接性連接性

間的唯一連接點(diǎn)

當(dāng)防火墻的應(yīng)用環(huán)境發(fā)生變化

安全維護(hù)時(shí)，應(yīng)立即反映在產(chǎn)品的安全策安全維護(hù)

略中并保持其安全功能有效

三、安全功能要求基本原理

表8說(shuō)明了安全功能要求的充分必要性的基本原理，即每個(gè)產(chǎn)品

安全目的都至少有一個(gè)安全功能要求與其對(duì)應(yīng)，每個(gè)安全功能要求都

至少解決了一個(gè)產(chǎn)品安全目的，因此安全功能要求是充分和必要的。

表8中的“”即表明對(duì)應(yīng)關(guān)系。

表8安全功能要求基本原理

產(chǎn)品安

信息抗攻鑒別審計(jì)

全目的身份自身失效安全安全

流控?fù)魸B失敗記錄

認(rèn)證保護(hù)處理審計(jì)管理

制透處理保護(hù)

產(chǎn)品功能要求

網(wǎng)絡(luò)包過(guò)濾

層控NAT

18

產(chǎn)品安

信息抗攻鑒別審計(jì)

全目的身份自身失效安全安全

流控?fù)魸B失敗記錄

認(rèn)證保護(hù)處理審計(jì)管理

制透處理保護(hù)

產(chǎn)品功能要求

制狀態(tài)檢測(cè)

策略路由

動(dòng)態(tài)開(kāi)放端口

IP/MAC地址綁

定

流量會(huì)話管理

抗拒絕服務(wù)攻

擊

網(wǎng)絡(luò)掃描防護(hù)

用戶管控

應(yīng)用應(yīng)用協(xié)議控制

層控應(yīng)用內(nèi)容控制

制惡意代碼防護(hù)

應(yīng)用攻擊防護(hù)

運(yùn)維管理

安全

安全審計(jì)

運(yùn)維

安全管理

管理

高可用性

2.3.2.5新舊國(guó)家標(biāo)準(zhǔn)對(duì)比

本標(biāo)準(zhǔn)與GB/T20281-2006的主要差異如下：

——增加了高性能防火墻的描述；

——增加了防火墻的功能分類；

——加強(qiáng)了防火墻的應(yīng)用層控制能力；

——增加了下一代互聯(lián)網(wǎng)協(xié)議支持能力的要求；

——級(jí)別統(tǒng)一劃分為基本級(jí)和增強(qiáng)級(jí)。

2.4編制的背景和意義

2011年12月23日溫家寶總理在國(guó)務(wù)院常務(wù)會(huì)議上，明確提出

了研究部署加快發(fā)展我國(guó)下一代互聯(lián)網(wǎng)產(chǎn)業(yè)的目標(biāo)。表明了在我國(guó)將

19

全面啟動(dòng)IPv6，并在2015年開(kāi)展大規(guī)模商用。IPv6作為發(fā)展下一代

互聯(lián)網(wǎng)技術(shù)和物聯(lián)網(wǎng)技術(shù)的關(guān)鍵環(huán)節(jié)。隨著IPv6的推廣與普及，原

有的信息安全產(chǎn)品必然面臨著全新的設(shè)計(jì)與實(shí)現(xiàn)。一方面，現(xiàn)有的信

息安全產(chǎn)品必須適應(yīng)IPv6的網(wǎng)絡(luò)環(huán)境；另一方面，隨著IPv6使用時(shí)

間的延伸，新的安全問(wèn)題必將逐漸暴露，新的安全防護(hù)技術(shù)也必將逐

漸產(chǎn)生。這必將對(duì)防火墻等邊界安全類產(chǎn)品造成嚴(yán)重影響。然而我國(guó)

目前的IPv6規(guī)范大部分還未完成，廣泛部署條件也尚未成熟。IPv6

的應(yīng)用前景已經(jīng)逼迫我國(guó)信息安全行業(yè)越來(lái)越關(guān)注我國(guó)IPv6技術(shù)標(biāo)

準(zhǔn)的制定和開(kāi)發(fā)工作。因此，在這種需求背景下，發(fā)改委開(kāi)展實(shí)施一

系列共81個(gè)“下一代互聯(lián)網(wǎng)信息安全專項(xiàng)標(biāo)準(zhǔn)”，具體工作由公安部

網(wǎng)絡(luò)安全保衛(wèi)局具體實(shí)施。

“下一代互聯(lián)網(wǎng)關(guān)鍵信息安全產(chǎn)品相關(guān)標(biāo)準(zhǔn)項(xiàng)目”就是建設(shè)這

81個(gè)下一代互聯(lián)網(wǎng)IPv6系列標(biāo)準(zhǔn)中，發(fā)改委產(chǎn)業(yè)化扶持的三類/十

個(gè)下一代互聯(lián)網(wǎng)關(guān)鍵信息安全產(chǎn)品。這三類分別是：邊界安全類產(chǎn)

品、網(wǎng)絡(luò)通信安全類產(chǎn)品、安全管理與支持類產(chǎn)品。如表9所示。

表9下一代互聯(lián)網(wǎng)關(guān)鍵信息安全產(chǎn)品

產(chǎn)品類型具體產(chǎn)品