網(wǎng)絡(luò)安全技術(shù) 統(tǒng)一威脅管理產(chǎn)品（UTM）技術(shù)規(guī)范 征求意見稿

5GB/T31499—XXXX網(wǎng)絡(luò)安全技術(shù)統(tǒng)一威脅管理產(chǎn)品（UTM）技術(shù)規(guī)范本文件規(guī)定了統(tǒng)一威脅管理產(chǎn)品（UTM）的安全功能要求、自身安全要求、環(huán)境適應性要求、性能要求、安全保障要求和等級劃分要求，并給出了相應的測試評價方法。本文件適用于統(tǒng)一威脅管理產(chǎn)品（UTM）的設(shè)計、研發(fā)、生產(chǎn)、服務、檢測和認證。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T18336（所有部分）網(wǎng)絡(luò)安全技術(shù)信息技術(shù)安全評估準則GB/T25069-2022信息安全技術(shù)術(shù)語GB42250-2022信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求GB/TXXXXX（所有部分）網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通3術(shù)語和定義GB/T18336、GB/T25069-2022和GB42250-2022中界定的以及下列術(shù)語和定義適用于本文件。3.1威脅threat可能對系統(tǒng)或組織造成危害的不期望事件的潛在因素。[來源:GB/T25069—2022,3.628]3.2統(tǒng)一威脅管理unifiedthreatmanagement通過統(tǒng)一部署的安全策略，融合多種安全功能，對網(wǎng)絡(luò)及應用系統(tǒng)的安全威脅進行綜合管理與防御。[來源:GB/T25069—2022,3.601,有修改]3.3告警alert產(chǎn)品依據(jù)設(shè)定的規(guī)則，對采集到的網(wǎng)絡(luò)安全信息自動進行規(guī)則匹配、歸并、分析等活動后產(chǎn)生的警示信息。4縮略語下列縮略語適用于本文件：ARP：地址解析協(xié)議（AddressResolutionProtocol）BGP：邊界網(wǎng)關(guān)協(xié)議（BorderGatewayProtocol）CC：挑戰(zhàn)黑洞（ChallengeCollapsar）6GB/T31499—XXXXCLI：命令行界面（CommandLineInterface）CSRF：跨站請求偽造（Cross-SiteRequestForgery）DMZ：隔離區(qū)（DemilitarizedZone）DNAT：目的網(wǎng)絡(luò)地址轉(zhuǎn)換（DestinationNetworkAddressTranslation）DNS：域名系統(tǒng)（DomainNameSystem）FTP：文件傳輸協(xié)議（FileTransferProtocol）HTML：超文本標記語言（HypertextMarkupLanguage）HTTP：超文本傳送協(xié)議（HypertextTransferProtocol）ICMP：互聯(lián)網(wǎng)控制報文協(xié)議（InternetControlMessageProtocol）IKE：因特網(wǎng)密鑰交換協(xié)議（InternetKeyExchange）IM：即時通訊（InstantMessaging）IMAP：互聯(lián)網(wǎng)消息訪問協(xié)議（InternetMessageAccessProtocol）IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）IPv4：互聯(lián)網(wǎng)協(xié)議第4版（InternetProtocolVersion4）IPv6：互聯(lián)網(wǎng)協(xié)議第6版（InternetProtocolVersion6）LDAP：輕量目錄訪問協(xié)議（LightweightDirectoryAccessProtocol）MAC：介質(zhì)訪問控制（MediaAccessControl）NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）NETBIOS：網(wǎng)絡(luò)基本輸入輸出系統(tǒng)（NetworkBasicInput-OutputSystem）NFS：網(wǎng)絡(luò)文件系統(tǒng)（NetworkFileSystem）OS：操作系統(tǒng)（OperatingSystem）OSPF：開放最短路徑優(yōu)先（OpenShortestPathFirst）P2P：點對點協(xié)議（Peer-to-peerProtocol）POP：郵局協(xié)議（PostOfficeProtocol）RIP：路由信息協(xié)議（RoutingInformationProtocol）RPC；遠程過程調(diào)用（RemoteProcedureCall）SMB：服務器消息塊協(xié)議（ServerMessageBlocks）SMTP：簡單郵件傳送協(xié)議（SimpleMailTransferProtocol）SNAT：源網(wǎng)絡(luò)地址轉(zhuǎn)換（SourceNetworkAddressTranslation）SNMP：簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol）SQL：結(jié)構(gòu)化查詢語言（StructuredQueryLanguage）SSH：安全外殼協(xié)議（SecureShell）TCP：傳輸控制協(xié)議（TransportControlProtocol）TELNET：遠程登錄協(xié)議（TelecommunicationsNetwork）TFTP：簡單文件傳送協(xié)議（TrivialFileTransferProtocol）UDP：用戶數(shù)據(jù)報協(xié)議（UserDatagramProtocol）URL：統(tǒng)一資源定位符（UniformResourceLocator）USB：通用串行總線（UniversalSerialBUS）UTM：統(tǒng)一威脅管理（UnifiedThreatManagement）VPN：虛擬專用網(wǎng)（VirtualPrivateNetwork）XSS：跨站腳本（CrossSiteScripting）5概述7GB/T31499—XXXX統(tǒng)一威脅管理產(chǎn)品（UTM）是通過統(tǒng)一部署的安全策略，融合多種安全功能，針對面向網(wǎng)絡(luò)及應用系統(tǒng)的安全威脅進行綜合防御的網(wǎng)關(guān)型設(shè)備或系統(tǒng)。產(chǎn)品通常以網(wǎng)關(guān)形式部署在網(wǎng)絡(luò)通路上，對流經(jīng)的流量進行檢測和分析，從而實現(xiàn)網(wǎng)絡(luò)的訪問控制，同時可實現(xiàn)對入侵攻擊、惡意程序、垃圾郵件等威脅的統(tǒng)一安全防護，以及對事件監(jiān)控、日志記錄、安全告警等信息的統(tǒng)一集中管理。該產(chǎn)品典型運行環(huán)境如下圖1所示。圖1產(chǎn)品典型運行環(huán)境本文件將統(tǒng)一威脅管理產(chǎn)品（UTM）的安全技術(shù)要求分為安全功能要求、自身安全要求、環(huán)境適應性要求、性能要求和安全保障要求。其中，安全功能要求為該類產(chǎn)品對外所提供的安全功能，包括訪問控制、入侵防范、惡意程序防范、安全組網(wǎng)、管理控制、安全審計和互聯(lián)互通；自身安全要求是對產(chǎn)品的自身安全保護提出要求，包括通用要求、標識與鑒別、自身訪問控制、自身安全審計、支撐系統(tǒng)安全、安全管理、抗?jié)B透和安全配置恢復；性能要求是對產(chǎn)品應達到的性能指標作出規(guī)定，包括網(wǎng)絡(luò)層吞吐量、混合應用層吞吐量、延遲、HTTP并發(fā)連接數(shù)、HTTP請求速率；環(huán)境適應性要求是對產(chǎn)品的適應能力提出要求，包括支持IPv6網(wǎng)絡(luò)環(huán)境、支持雙協(xié)議棧、高可用部署、虛擬化部署、云管理平臺對接；安全保障要求針對產(chǎn)品的開發(fā)和使用文檔的內(nèi)容提出具體的要求。本文件針對統(tǒng)一威脅管理產(chǎn)品（UTM）的安全技術(shù)要求提出對應的測試評價方法，為使用本文件的人員提供一個測試評價統(tǒng)一威脅管理產(chǎn)品（UTM）的技術(shù)準則。統(tǒng)一威脅管理產(chǎn)品（UTM）的安全功能要求、自身安全要求和安全保障要求分為基本級和增強級，安全功能與自身安全的強弱、以及安全保障要求的高低是等級劃分的具體依據(jù)，等級突出安全特性。與基本級內(nèi)容相比，增強級中要求有所增加或變更的內(nèi)容在正文中通過“宋體加粗”表示。安全技術(shù)要求的等級劃分和對應測試評價方法應符合附錄A的要求。6安全技術(shù)要求6.1安全功能要求6.1.1訪問控制帶寬管理8GB/T31499—XXXX產(chǎn)品應具備帶寬管理功能，要求如下：a)支持管理員基于源IP地址、目的IP地址、協(xié)議、應用類型或時間，將流量限制到規(guī)定值；b)支持帶寬保證，在擁塞發(fā)生時，對指定的源IP地址、目的IP地址、協(xié)議、應用類型或時間的流量，按照預先設(shè)置的策略優(yōu)先轉(zhuǎn)發(fā)數(shù)據(jù)。網(wǎng)絡(luò)層訪問控制產(chǎn)品應具備網(wǎng)絡(luò)層訪問控制功能，要求如下：a)安全策略使用最小安全原則，即除非明確允許，否則就禁止；b)安全策略包含基于源IP地址、目的IP地址、傳輸協(xié)議、源端口、目的端口的訪問控制；c)安全策略包含基于MAC地址的訪問控制；d)安全策略包含基于時間的訪問控制；e)支持用戶自定義的安全策略，安全策略包括MAC地址、IP地址、端口、傳輸協(xié)議和時間的部分或全部組合；f)具備對違反策略定義的數(shù)據(jù)進行阻斷的功能，防止未合規(guī)數(shù)據(jù)進入目標網(wǎng)絡(luò)；g)支持自動或手動綁定IP和MAC地址，當主機的IP地址、MAC地址與IP/MAC地址綁定表中不一致時，阻止其流量經(jīng)過。應用層訪問控制產(chǎn)品應具備應用層訪問控制功能，要求如下：a)支持基于用戶認證的網(wǎng)絡(luò)訪問控制功能，包括但不限于本地用戶認證方式和結(jié)合第三方認證系統(tǒng)，如Radius認證方式等；b)支持基于URL網(wǎng)址的訪問控制功能，并具備URL網(wǎng)址分類庫；c)支持基于FTP、HTTP、POP3、IMAP、SMTP等常規(guī)協(xié)議進行文件類型過濾檢測攔截，文件類型包括但不限于文本文件、圖片、音視頻文件等；d)支持基于應用類型的訪問控制功能，并具備應用特征分類庫，包括但不限于即時聊天類、P2P類、網(wǎng)絡(luò)流媒體類、網(wǎng)絡(luò)游戲類、股票交易類等應用類型；e)支持對FTP、HTTP、POP3、IMAP、SMTP等常規(guī)協(xié)議傳輸內(nèi)容關(guān)鍵字進行過濾檢測攔截。反垃圾郵件產(chǎn)品應具備反垃圾郵件功能，要求如下：a)支持設(shè)置反垃圾郵件策略，基于郵件發(fā)送方地址或內(nèi)容特征識別或標記垃圾郵件；b)支持通過對標記的郵件學習，具備對垃圾郵件的智能識別能力；c)提供可供選擇的垃圾郵件處理方式，如通知、投遞、標記投遞、隔離、拒絕或丟棄等。虛擬專用網(wǎng)產(chǎn)品應具備虛擬專用網(wǎng)功能，要求如下：a)虛擬專用網(wǎng)配置使用的密碼技術(shù)，要符合國家密碼管理部門的相關(guān)要求；b)支持IKE規(guī)則基本配置，如：IKE名稱、類型、地址、協(xié)議、認證方式等；c)支持隧道基本配置，如：隧道名稱、地址、VPN規(guī)則等；d)支持組建的VPN隧道狀態(tài)進行實時監(jiān)控和查詢，如：名稱、類型、本端信息、對端信息、流量狀態(tài)等。6.1.2入侵防范9GB/T31499—XXXX入侵發(fā)現(xiàn)產(chǎn)品應能發(fā)現(xiàn)網(wǎng)絡(luò)中的入侵行為，應至少支持對以下入侵行為的檢測：a)木馬后門類、拒絕服務類、緩沖區(qū)溢出等；b)SQL注入攻擊、XSS攻擊、第三方組件漏洞攻擊等。入侵阻斷產(chǎn)品應能對發(fā)現(xiàn)的入侵行為進行攔截，阻止入侵行為進入目標網(wǎng)絡(luò)。定制特征產(chǎn)品應允許授權(quán)管理員自定義事件的特征，符合自定義特征的數(shù)據(jù)包可以被阻斷。攻擊躲避識別產(chǎn)品應能發(fā)現(xiàn)躲避或欺騙檢測的行為，應至少支持：IP碎片重組、TCP流重組、協(xié)議端口重定位、URL字符串變形、SHELL代碼變形。6.1.3惡意程序防范傳輸檢測產(chǎn)品應具備對通過HTTP、FTP、SMTP、POP3、IMAP等協(xié)議傳輸?shù)膼阂獬绦虻臋z測能力。傳輸阻斷產(chǎn)品應具備對通過HTTP、FTP、SMTP、POP3、IMAP等協(xié)議傳輸?shù)膼阂獬绦虻淖钄嗄芰Α嚎s文件檢測產(chǎn)品應具備壓縮文件的惡意程序檢測能力，至少支持ZIP、RAR壓縮格式。6.1.4安全組網(wǎng)網(wǎng)絡(luò)地址轉(zhuǎn)換產(chǎn)品應具備SNAT和DNAT功能。路由.1靜態(tài)路由產(chǎn)品應具備靜態(tài)路由功能，且能配置靜態(tài)路由。.2動態(tài)路由產(chǎn)品應具備動態(tài)路由功能，包括RIP、OSPF、BGP中一種或多種動態(tài)路由協(xié)議。.3策略路由具有多個相同屬性網(wǎng)絡(luò)接口（多個外部、內(nèi)部或DMZ網(wǎng)絡(luò)接口）的產(chǎn)品，應支持策略路由功能，包括但不限于：a)基于源、目的IP地址的策略路由；b)基于接口的策略路由；GB/T31499—XXXXc)基于協(xié)議和端口的策略路由；d)基于應用類型的策略路由；e)基于多鏈路負載情況自動選擇路由。6.1.5管理控制安全策略配置產(chǎn)品應具備針對多種威脅統(tǒng)一進行安全策略配置的功能，要求如下：a)支持訪問控制、入侵防范、惡意程序防范、反垃圾郵件等安全策略配置的功能，實現(xiàn)針對多種威脅的安全防護能力進行統(tǒng)一策略配置和調(diào)用；b)提供統(tǒng)一安全策略的匹配條件、矛盾策略或冗余策略的檢測分析和有效執(zhí)行措施；c)提供統(tǒng)一安全策略的管理功能，包括查詢、創(chuàng)建、修改、刪除、啟停等。事件監(jiān)控產(chǎn)品應具備對各類安全事件進行統(tǒng)一監(jiān)控的功能，要求如下：a)支持通過源IP地址、目的IP地址、端口、時間和協(xié)議或它們的組合進行異常流量事件監(jiān)控；b)具備對入侵行為、惡意程序、垃圾郵件等安全事件監(jiān)控的能力。事件阻斷產(chǎn)品應具備對異常流量、未授權(quán)訪問、入侵、惡意程序、垃圾郵件等安全事件進行阻斷的能力。本地管理產(chǎn)品應支持以本地CLI或圖形管理界面的方式進行配置管理。遠程管理產(chǎn)品應支持安全的遠程管理，如基于SSH、HTTPS協(xié)議的遠程管理。產(chǎn)品升級產(chǎn)品應具備產(chǎn)品升級功能，要求如下：a)支持對系統(tǒng)版本以及各種安全能力特征庫進行在線或離線升級的能力；b)提供技術(shù)措施對升級包、補丁程序和特征庫的完整性進行校驗；c)支持對升級過程進行安全監(jiān)測，以保障升級的安全性。集中管理產(chǎn)品應具備集中管理能力，通過集中管理平臺實現(xiàn)運行狀態(tài)監(jiān)控、安全策略下發(fā)、系統(tǒng)版本和特征庫升級。6.1.6安全審計協(xié)議識別產(chǎn)品應對收集的數(shù)據(jù)包進行分析，至少支持識別以下協(xié)議類型：ARP、ICMP、IP、TCP、UDP、RPC、HTTP、FTP、TFTP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS、MSSQL。日志記錄GB/T31499—XXXX產(chǎn)品應支持日志記錄功能，要求如下：a)產(chǎn)品應具備對異常流量、異常訪問、入侵攻擊、惡意程序、垃圾郵件等安全事件生成日志記錄的功能；b)日志記錄包括日期時間、源IP地址、目的IP地址、源端口、目的端口、協(xié)議等信息。安全告警產(chǎn)品應具備安全告警功能，要求如下：a)在檢測到入侵攻擊、惡意程序、垃圾郵件等安全事件時進行安全告警；b)告警方式包括但不限于：日志告警、郵件告警、短信告警。事件可視化產(chǎn)品應具備事件可視化功能，要求如下：a)提供圖形界面對檢測或攔截到的安全事件進行展現(xiàn)；b)事件信息至少包括：事件發(fā)生日期時間、事件名稱或類型、源IP地址、源端口、目的IP地址、目的端口、危害等級等。報表生成產(chǎn)品應具備報表生成與導出的功能，要求如下：a)支持分析入侵攻擊、惡意程序、垃圾郵件等安全事件，并形成報表；b)報表支持表格、柱狀圖、餅圖等一種或多種形式；c)報表支持DOC，PDF，HTML，XLS等一種或多種文件格式；d)能夠按時間段等進行匯總或排序；e)支持按照特定的要求定制報表內(nèi)容。事件攔截記錄產(chǎn)品應具備對入侵攻擊、惡意程序、垃圾郵件等事件攔截行為生成審計記錄的能力，記錄的信息至少包括數(shù)據(jù)攔截發(fā)生日期、時間、源IP地址、目的IP地址、源端口、目的端口、協(xié)議。事件分級產(chǎn)品應支持根據(jù)事件的嚴重程度對事件進行分級。事件統(tǒng)計產(chǎn)品應具備安全事件統(tǒng)計功能，包括但不限于入侵攻擊事件、惡意程序事件、垃圾郵件事件。安全事件檢索產(chǎn)品應具備對異常流量、垃圾郵件、入侵行為、惡意程序等安全事件的實時及歷史數(shù)據(jù)檢索的能6.1.7互聯(lián)互通產(chǎn)品應支持網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通，提供的互聯(lián)互通功能和互聯(lián)互通信息應符合GB/TAAAAA-AAAA《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通》規(guī)定的互聯(lián)互通信息格式和互聯(lián)互通功能接口要求。具體包括：a)互聯(lián)互通功能方面，應具備GB/TAAAAA-AAAA.1《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通第1部GB/T31499—XXXX分：框架》5.2.1功能類型中威脅識別、行為識別、身份管理與鑒別、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)入侵防御、網(wǎng)絡(luò)行為控制、網(wǎng)絡(luò)流量控制、拒絕服務攻擊防護、惡意代碼防范、應用安全防護、網(wǎng)絡(luò)行為監(jiān)測、安全審計、攻擊抑制、通報預警等功能，功能參數(shù)格式應符合GB/TAAAAA-AAAA.4《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通第4部分：功能接口》有關(guān)要求；b)互聯(lián)互通信息方面，應具備GB/TAAAAA-AAAA.1《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通第1部分：框架》5.3.1信息類型中安全事件、攻擊目標、網(wǎng)絡(luò)行為信息、計算機病毒告警、網(wǎng)絡(luò)蠕蟲告警、特洛伊木馬告警、僵尸網(wǎng)絡(luò)告警、拒絕服務告警、訪問異常告警、流量異常告警、事件類別、事件級別、事件時間等信息，信息格式應符合GB/TAAAAA-AAAA.3《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通第3部分：告警信息格式》、GB/TAAAAA-AAAA.5《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通第5部分：行為信息格式》和GB/TAAAAA-AAAA.6《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通第6部分：威脅信息格式》等互聯(lián)互通信息格式標準的有關(guān)要求；c)功能和信息互聯(lián)互通過程中，接口協(xié)議、請求方式和安全機制等方面等應符合GB/TAAAAA-AAAA.4《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通第4部分：功能接口》有關(guān)要求。6.2自身安全要求6.2.1通用要求產(chǎn)品應符合GB42250-2022中第5章規(guī)定的標識和鑒別、自身訪問控制、自身安全審計、通信安全、支撐系統(tǒng)安全、產(chǎn)品升級、用戶信息安全和密碼等方面的要求。6.2.2標識與鑒別產(chǎn)品的標識與鑒別要求如下：a)應提供登錄失敗處理功能，采取限制連續(xù)登錄失敗的次數(shù)等措施；b)應提供登錄超時處理功能，當?shù)卿涍B接超過設(shè)定時限時自動退出；c)除支持口令鑒別方式外，產(chǎn)品應支持通過密碼技術(shù)或雙因素鑒別的方式對用戶進行身份鑒別；d)應支持與第三方認證系統(tǒng)配合的功能，包括RADIUS或LDAP認證方式。6.2.3自身訪問控制產(chǎn)品的自身訪問控制要求如下：a)應向授權(quán)管理員提供設(shè)置、查詢、修改和刪除訪問控制策略的功能；b)應能基于遠程管理主機IP地址、用戶角色等安全屬性的訪問控制策略執(zhí)行訪問控制；c)應區(qū)分授權(quán)管理員角色，能夠劃分為系統(tǒng)管理員、安全操作員和安全審計員，三類角色權(quán)限能相互制約。6.2.4自身安全審計產(chǎn)品的自身安全審計要求如下：a)對用戶登錄/注銷、系統(tǒng)啟動、重要配置變更、增加/刪除/修改用戶、保存/刪除審計日志等操作行為進行日志記錄；b)審計日志應包括事件發(fā)生的日期和時間、事件類型、事件主體、事件客體和事件結(jié)果等信息；c)應對審計進程進行保護，防止未經(jīng)授權(quán)的中斷；d)審計數(shù)據(jù)應只支持授權(quán)管理員查詢，非授權(quán)用戶應無法查詢審計數(shù)據(jù)；e)審計數(shù)據(jù)應具有完整性、可讀性，能以電子方式無歧義表示；f)應提供根據(jù)條件對審計數(shù)據(jù)進行查詢的功能，查詢條件至少包括日期時間、主體身份標識、事件描述關(guān)鍵詞等；GB/T31499—XXXXg)對產(chǎn)品及其模塊的異常狀態(tài)進行告警，并進行審計。如軟件模塊運行故障、硬件資源使用超過閾值等狀況。6.2.5支撐系統(tǒng)安全產(chǎn)品的支撐系統(tǒng)主要是指為產(chǎn)品提供基礎(chǔ)支撐服務的系統(tǒng)或組件，其要求如下：a)發(fā)生斷電或重啟時，確保配置的策略和日志信息不丟失；b)應支持關(guān)閉不必要的系統(tǒng)服務、端口。6.2.6安全管理安全功能行為管理產(chǎn)品支持下述安全功能，則功能應僅限于已標識的授權(quán)角色能夠執(zhí)行以下管理行為：a)用戶的維護（如刪除、修改、添加、啟用或禁用等）；b)用戶角色的維護；c)如果一個授權(quán)用戶能夠改變在鑒別前所允許的動作，那么能執(zhí)行對動作列表的管理；d)遠程管理主機的維護。安全屬性管理產(chǎn)品安全功能應執(zhí)行訪問控制策略，以保證僅限于已標識的授權(quán)角色能夠執(zhí)行以下安全屬性管理行a)對用戶名進行管理操作（如查閱、修改或刪除等）；b)對遠程管理主機IP地址進行管理操作（如查閱、修改或刪除等）；c)對用戶權(quán)限進行管理操作（如授權(quán)、更改或取消等）；d)產(chǎn)品應保證經(jīng)過升級后，安全屬性數(shù)據(jù)的完整性。系統(tǒng)屬性管理產(chǎn)品安全功能應僅限于已標識的授權(quán)角色能夠執(zhí)行以下管理行為：a)對審計信息的管理，包含但不限于查閱、查詢、清空或?qū)С龅刃袨?；b)如果產(chǎn)品允許授權(quán)用戶管理未成功鑒別嘗試次數(shù)，則應支持對未成功鑒別嘗試次數(shù)的設(shè)置；c)對鑒別數(shù)據(jù)的管理（如改變用戶口令默認值或修改用戶口令等）。安全角色產(chǎn)品安全功能應維護已標識的授權(quán)角色，產(chǎn)品安全功能應能夠把用戶和角色關(guān)聯(lián)起來。6.2.7抗?jié)B透抗源IP地址欺騙產(chǎn)品應支持抵御源IP地址欺騙攻擊?？咕芙^服務攻擊產(chǎn)品應至少支持Synflood、UDPflood、PingofDeath、ICMPFlood、TearDrop、Land、Smurf、Fraggle、CC攻擊防護。抗網(wǎng)絡(luò)、端口掃描GB/T31499—XXXX產(chǎn)品應支持抵御網(wǎng)絡(luò)、端口的掃描。抗漏洞掃描產(chǎn)品應支持抵御漏洞掃描行為。6.2.8安全配置恢復產(chǎn)品應支持手動保存配置信息或自動保存配置信息，使配置信息可恢復到關(guān)機前的狀態(tài)；支持恢復出廠默認配置。6.3性能要求6.3.1網(wǎng)絡(luò)層吞吐量硬件產(chǎn)品的網(wǎng)絡(luò)層吞吐量視不同速率的產(chǎn)品有所不同，在主要安全防護功能有效運行的情況下，具體指標要求如下：a)一對相應速率的端口應達到的雙向吞吐率指標：1)對于64字節(jié)短包，百兆產(chǎn)品不小于線速的15%，千兆和萬兆產(chǎn)品不小于線速的25%；2)對于512字節(jié)中長包，百兆產(chǎn)品不小于線速的60%，千兆和萬兆產(chǎn)品不小于線速的70%；3)對于1518字節(jié)長包，百兆產(chǎn)品不小于線速的80%，千兆和萬兆產(chǎn)品不小于線速的85%；b)針對高性能的萬兆產(chǎn)品，對于1518字節(jié)長包，吞吐量至少達到80Gbit/s。6.3.2混合應用層吞吐量硬件產(chǎn)品的應用層吞吐量視不同速率的產(chǎn)品有所不同，在惡意程序防范、入侵防范、反垃圾郵件等主要安全防護功能有效運行的情況下，具體指標要求如下：a)百兆產(chǎn)品一對口混合應用層吞吐量應不小于60Mbit/s；b)千兆產(chǎn)品一對口混合應用層吞吐量應不小于600Mbit/s；c)萬兆產(chǎn)品一對口混合應用層吞吐量應不小于5Gbit/s；d)針對高性能的萬兆產(chǎn)品，整機混合應用層吞吐量至少達到20Gbit/s。6.3.3延遲硬件產(chǎn)品的延遲視不同速率的產(chǎn)品有所不同，一對相應速率端口的延遲具體指標要求如下：a)對于64字節(jié)短包、512字節(jié)中長包、1518字節(jié)長包，百兆產(chǎn)品的平均延遲不應超過500μs；b)對于64字節(jié)短包、512字節(jié)中長包、1518字節(jié)長包，千兆和萬兆產(chǎn)品的平均延遲不應超過90μs。6.3.4HTTP并發(fā)連接數(shù)硬件產(chǎn)品的HTTP并發(fā)連接數(shù)視不同速率的產(chǎn)品有所不同，具體指標要求如下：a)百兆產(chǎn)品的HTTP并發(fā)連接數(shù)應不小于50000個；b)千兆產(chǎn)品的HTTP并發(fā)連接數(shù)應不小于200000個；c)萬兆產(chǎn)品的HTTP并發(fā)連接數(shù)應不小于2000000個。6.3.5HTTP請求速率硬件產(chǎn)品的HTTP請求速率視不同速率的產(chǎn)品有所不同，具體指標要求如下：a)百兆產(chǎn)品的HTTP請求速率應不小于800個/s；b)千兆產(chǎn)品的HTTP請求速率應不小于3000個/s；c)萬兆產(chǎn)品的HTTP請求速率應不小于5000個/s。GB/T31499—XXXX6.4環(huán)境適應性要求6.4.1支持IPv6網(wǎng)絡(luò)環(huán)境產(chǎn)品應支持IPv6網(wǎng)絡(luò)環(huán)境，要求如下：a)產(chǎn)品應支持在IPv6網(wǎng)絡(luò)環(huán)境下正常工作，能夠有效運行其安全功能和自身安全功能；b)IPv6環(huán)境，產(chǎn)品應支持IPv4到IPv6或IPv6到IPv4或IPv6到IPv6的網(wǎng)絡(luò)地址轉(zhuǎn)換功能。6.4.2支持雙協(xié)議棧產(chǎn)品應支持在IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境下正常工作，能夠有效運行其安全功能和自身安全功能。6.4.3高可用部署產(chǎn)品應支持雙機、集群等高可用部署。6.4.4虛擬化部署若產(chǎn)品為虛擬化形態(tài)，應支持部署于虛擬化平臺，并接受平臺統(tǒng)一管理，包括但不限于：a)支持部署于一種虛擬化平臺，如VMwareESXi、KVM、CitrixXenserver和MicrosoftHyper-Vb)結(jié)合虛擬化平臺實現(xiàn)產(chǎn)品資源彈性伸縮，根據(jù)虛擬化產(chǎn)品的負載情況動態(tài)調(diào)整資源；c)結(jié)合虛擬化平臺實現(xiàn)故障遷移，當虛擬化產(chǎn)品出現(xiàn)故障時能實現(xiàn)自動更新、替換。6.4.5云管理平臺對接產(chǎn)品應支持與云管理平臺對接。6.5安全保障要求6.5.1通用要求產(chǎn)品應符合GB42250-2022中第6章規(guī)定的供應鏈安全、設(shè)計與開發(fā)、生產(chǎn)和交付、運維服務保障和用戶信息保護等方面的要求。6.5.2設(shè)計與開發(fā)安全設(shè)計產(chǎn)品提供者應提供產(chǎn)品安全功能和自身安全功能的設(shè)計文檔，應滿足以下要求：a)描述產(chǎn)品安全架構(gòu)設(shè)計，并與產(chǎn)品的安全功能和自身安全功能一致；b)描述產(chǎn)品采取的自我保護、不可旁路的安全機制；c)完整地描述產(chǎn)品的安全功能和自身安全功能；d)描述所有安全功能和自身安全功能接口的目的、使用方法及相關(guān)參數(shù)；e)標識和描述產(chǎn)品安全功能和自身安全功能的所有子系統(tǒng)，并描述子系統(tǒng)間的相互作用；f)提供子系統(tǒng)和安全功能接口間的對應關(guān)系；g)通過實現(xiàn)模塊描述安全功能，標識和描述實現(xiàn)模塊的目的、相關(guān)接口及返回值等，并描述實現(xiàn)模塊間的相互作用及調(diào)用的接口；h)提供實現(xiàn)模塊和子系統(tǒng)間的對應關(guān)系。實現(xiàn)表示GB/T31499—XXXX產(chǎn)品提供者應為全部安全功能提供實現(xiàn)表示，應滿足以下要求：a)實現(xiàn)表示應按詳細級別定義產(chǎn)品安全功能，且詳細程度達到無須進一步設(shè)計就能生成產(chǎn)品安全功能的程度；b)實現(xiàn)表示應以開發(fā)人員使用的形式提供；c)設(shè)計描述與實現(xiàn)表示示例之間的映射應能證明它們的一致性。配置管理產(chǎn)品提供者的配置管理能力應滿足以下要求：a)使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項進行維護；b)建立維護配置項列表，包括產(chǎn)品評估證據(jù)和產(chǎn)品組成部分；c)配置管理系統(tǒng)提供一種自動方式來支持產(chǎn)品的生產(chǎn)，通過該方式確保只能對產(chǎn)品的實現(xiàn)表示進行已授權(quán)的改變；d)配置管理文檔包括一個配置管理計劃，配置管理計劃描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品；e)配置管理計劃描述用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項的程序。指導性文檔產(chǎn)品提供者應提供操作用戶指南和準備程序，應滿足以下要求：a)描述用戶可訪問的功能和特權(quán)，包含適當?shù)木拘畔?；b)描述用戶以安全方式使用產(chǎn)品提供的可用接口；c)描述產(chǎn)品安全功能及接口的用戶操作方法，包括配置參數(shù)的安全值等；d)標識和描述產(chǎn)品運行的所有可能狀態(tài)，包括操作導致的失敗或者操作性錯誤；e)描述實現(xiàn)產(chǎn)品安全目的所需執(zhí)行的安全策略；f)描述安全安裝產(chǎn)品及其運行環(huán)境必需的所有步驟。安全測試產(chǎn)品提供者對產(chǎn)品進行安全測試，應滿足以下要求：a)測試文檔描述所有測試項與安全設(shè)計文檔中所描述產(chǎn)品的安全功能和自身安全功能間的對應性；b)測試文檔所標識的測試項與安全設(shè)計中產(chǎn)品安全功能接口間的對應性，并證實所有安全功能接口都進行了測試；c)測試文檔描述所有測試項的測試計劃和執(zhí)行方案，方案包括如測試條件、測試步驟、預期結(jié)果和實際結(jié)果等內(nèi)容；d)基于已標識潛在脆弱性，產(chǎn)品能夠抵抗具備基本攻擊潛力的攻擊者的攻擊；e)基于已標識潛在脆弱性，產(chǎn)品能夠抵抗具備中等攻擊潛力的攻擊者的攻擊。7測評方法7.1測試環(huán)境與工具本文件給出了統(tǒng)一威脅管理產(chǎn)品（UTM）的典型測試環(huán)境，見圖2。測試工具包括但不限于：專用的網(wǎng)絡(luò)性能分析儀、網(wǎng)絡(luò)數(shù)據(jù)包獲取軟件、掃描工具和攻擊工具包。GB/T31499—XXXX圖2產(chǎn)品測試環(huán)境部署示意圖7.2安全功能測評7.2.1訪問控制帶寬管理a)測試評價方法：1)配置流量策略，同時配置針對指定源IP地址、目的IP地址、協(xié)議、應用類型或時間的特定流量的帶寬限制功能；2)從內(nèi)部向外部發(fā)送網(wǎng)絡(luò)流量，源IP地址、目的IP地址、協(xié)議、應用類型或時間與指定的特定流量不符，流量超過帶寬限制范圍；3)從內(nèi)部向外部發(fā)送網(wǎng)絡(luò)流量，源IP地址、目的IP地址、協(xié)議、應用類型或時間與指定的特定流量相符，流量超過帶寬限制范圍；4)配置流量策略，同時配置針對指定源IP地址、目的IP地址、協(xié)議、應用類型或時間的特定流量的帶寬保證功能；5)從內(nèi)部向外部發(fā)送網(wǎng)絡(luò)流量，使得出接口擁塞；6)從內(nèi)部向外部發(fā)送網(wǎng)絡(luò)流量，源IP地址、目的IP地址、協(xié)議、應用類型或時間與指定的特定流量不符；7)從內(nèi)部向外部發(fā)送網(wǎng)絡(luò)流量，源IP地址、目的IP地址、協(xié)議、應用類型或時間與指定的特定流量相符；匹配特定的保證策略，流量超過帶寬保證范圍。b)預期結(jié)果：1)可配置且不限于指定源IP地址、目的IP地址、協(xié)議、應用類型或時間的流量限速策略；GB/T31499—XXXX2)不匹配限速策略的會話不受限速影響；3)產(chǎn)品能夠根據(jù)設(shè)定的帶寬限制值，對匹配限速策略的會話進行限速；4)可配置且不限于指定源IP地址、目的IP地址、協(xié)議、應用類型或時間的流量帶寬保證策略；5)對于沒有匹配帶寬保證策略的會話，將不能保證其轉(zhuǎn)發(fā)帶寬；6)產(chǎn)品能夠根據(jù)設(shè)定的帶寬保證值，對匹配策略的會話保證其最小帶寬。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。網(wǎng)絡(luò)層訪問控制a)測試評價方法：1)設(shè)置產(chǎn)品策略，允許指定源IP地址、目的IP地址、網(wǎng)絡(luò)傳輸協(xié)議、源端口、目的端口、MAC地址、時間的規(guī)則，產(chǎn)生網(wǎng)絡(luò)會話通過設(shè)備；2)產(chǎn)生滿足該特定條件的一個完整網(wǎng)絡(luò)會話數(shù)據(jù)；3)產(chǎn)生不滿足該特定條件的一個完整網(wǎng)絡(luò)會話數(shù)據(jù)；4)檢測產(chǎn)品設(shè)置的訪問控制策略是否生效；5)在產(chǎn)品上設(shè)置IP/MAC地址綁定策略；6)使用自動綁定或手工綁定功能將內(nèi)部網(wǎng)絡(luò)中主機的IP與MAC地址綁定；7)分別產(chǎn)生正確IP/MAC綁定的會話和盜用IP的會話，檢查綁定的有效性。b)預期結(jié)果：1)產(chǎn)品默認缺省安全策略為禁止；2)產(chǎn)品策略支持且不限于對源/目的IP、網(wǎng)絡(luò)傳輸協(xié)議、源/目的端口、MAC地址、時間的配置；3)匹配該特定條件的網(wǎng)絡(luò)會話能通過設(shè)備；4)不匹配該特定條件的網(wǎng)絡(luò)會話被攔截；5)IP/MAC地址能夠自動或手工綁定；6)IP/MAC地址綁定后能夠正確執(zhí)行安全策略，發(fā)現(xiàn)IP盜用行為。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。應用層訪問控制a)測試評價方法：1)配置基于用戶的訪問控制策略，內(nèi)部網(wǎng)絡(luò)用戶登錄后訪問外部網(wǎng)絡(luò)；2)配置對URL屏蔽策略，從內(nèi)部網(wǎng)絡(luò)向外部發(fā)送特定URL訪問請求；3)配置基于文件類型的訪問控制策略；4)發(fā)送不同類型的文件，進行有效性驗證；5)驗證產(chǎn)品是否支持FTP、HTTP、POP3、IMAP、SMTP常規(guī)協(xié)議的文件類型訪問控制；6)配置對IM軟件的屏蔽策略，其他應用不屏蔽；7)內(nèi)部主機分別使用IM軟件和在線視頻播放器；8)檢查產(chǎn)品是否能支持基于應用類型的訪問控制功能，并具備應用特征分類庫，包括但不限于P2P類、網(wǎng)絡(luò)流媒體類、網(wǎng)絡(luò)游戲類、股票交易類等應用類型；9)配置基于文件內(nèi)容的訪問控制策略；10)發(fā)送內(nèi)容包含特定關(guān)鍵字的文件，進行有效性驗證；GB/T31499—XXXX11)驗證產(chǎn)品是否支持FTP、HTTP、POP3、IMAP、SMTP常規(guī)協(xié)議的文件內(nèi)容訪問控制。b)預期結(jié)果：1)經(jīng)過認證的用戶可以按照規(guī)則訪問指定資源；2)透過產(chǎn)品訪問WWW服務端，匹配屏蔽URL策略的訪問被拒絕；3)透過產(chǎn)品訪問WWW服務端，不匹配屏蔽URL策略的訪問被放行；4)產(chǎn)品能夠有效提供基于文件類型的訪問控制；5)產(chǎn)品支持FTP、HTTP、POP3、IMAP、SMTP等常規(guī)協(xié)議的文件類型訪問控制；6)能夠?qū)M軟件進行屏蔽，視頻流媒體正常使用；7)產(chǎn)品能支持基于應用類型的訪問控制功能，并具備應用特征分類庫，包括但不限于P2P類、網(wǎng)絡(luò)流媒體類、網(wǎng)絡(luò)游戲類、股票交易類等應用類型；8)產(chǎn)品能夠有效提供基于文件內(nèi)容的訪問控制；9)產(chǎn)品支持FTP、HTTP、POP3、IMAP、SMTP等常規(guī)協(xié)議的文件內(nèi)容訪問控制。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。反垃圾郵件a)測試評價方法：1)配置反垃圾郵件的識別及過濾策略；2)設(shè)置垃圾郵件的處理方式；3)模擬垃圾郵件的收發(fā)；4)查驗產(chǎn)品是否能夠基于郵件發(fā)送方地址、內(nèi)容特征等識別并標記垃圾郵件；5)啟用自學習功能，向保護的郵件服務器發(fā)送郵件；6)查驗產(chǎn)品在發(fā)現(xiàn)垃圾郵件后的處理方式，是否正確、有效。b)預期結(jié)果：1)產(chǎn)品能夠基于郵件發(fā)送方地址、內(nèi)容特征等識別并標記垃圾郵件；2)產(chǎn)品具備垃圾郵件的智能識別能力；3)產(chǎn)品能夠根據(jù)設(shè)置的方式正確、有效的執(zhí)行垃圾郵件的處理。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。虛擬專用網(wǎng)a)測試評價方法：1)驗證虛擬專用網(wǎng)使用的密碼技術(shù)；2)嘗試配置、修改和刪除IKE規(guī)則、隧道等基本配置；3)驗證虛擬專用網(wǎng)相關(guān)配置是否生效；4)查驗產(chǎn)品是否能夠?qū)崟r監(jiān)控和查詢VPN隧道狀態(tài)。b)預期結(jié)果：1)虛擬專用網(wǎng)配置使用的密碼技術(shù)符合國家密碼管理部門的相關(guān)要求；2)支持配置、修改和刪除IKE規(guī)則、隧道等基本配置，且配置有效；3)可以在界面查看到隧道狀態(tài)監(jiān)控結(jié)果預覽；4)可以在界面按條件查詢隧道狀態(tài)監(jiān)控結(jié)果。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。GB/T31499—XXXX7.2.2入侵防范入侵發(fā)現(xiàn)a)測試評價方法：1)選擇具有不同特征的多個事件組成攻擊事件測試集，測試產(chǎn)品入侵防御功能的發(fā)現(xiàn)能力；2)選取木馬后門類事件、拒絕服務類事件、緩沖區(qū)溢出類事件，模擬入侵攻擊行為；3)選取SQL注入攻擊事件、XSS攻事件擊、第三方組件漏洞攻擊事件，模擬入侵攻擊行為。b)預期結(jié)果：1)產(chǎn)品支持發(fā)現(xiàn)木馬后門類、拒絕服務類、緩沖區(qū)溢出等入侵行為；2)產(chǎn)品支持發(fā)現(xiàn)SQL注入攻擊、XSS攻擊、第三方組件漏洞攻擊等入侵行為。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。事件阻斷a)測試評價方法：1)配置產(chǎn)品的入侵防御策略為最大策略集；2)從已有的事件庫中選擇具有不同特征的多個事件，組成攻擊事件測試集，模擬入侵攻擊行3)配置產(chǎn)品的入侵防御功能的入侵防御策略為最大策略集；4)發(fā)送攻擊事件測試集中的所有事件，記錄測試結(jié)果。b)預期結(jié)果：產(chǎn)品能夠?qū)Πl(fā)現(xiàn)的入侵行為進行阻斷，防止入侵行為進入目標網(wǎng)絡(luò)。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。定制特征a)測試評價方法：1)查看產(chǎn)品入侵防御功能設(shè)置，是否提供自定義事件界面，是否允許基于產(chǎn)品默認事件修改生成新的事件；2)自定義生成新的入侵特征；3)按照新生成的入侵特征發(fā)送相應的入侵事件，檢查產(chǎn)品能否攔截。b)預期結(jié)果：1)產(chǎn)品入侵防御功能允許用戶自定義事件，或者可基于產(chǎn)品默認事件修改生成新的入侵事2)產(chǎn)品入侵防御功能能夠檢測到新定義的事件并攔截。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。攻擊躲避識別a)測試評價方法：1)利用入侵檢測躲避工具產(chǎn)生IP碎片重組、TCP流重組進行攻擊，測試產(chǎn)品是否對入侵事件進行攔截；2)將入侵事件的協(xié)議端口進行重定位，檢查產(chǎn)品是否對入侵事件進行攔截；GB/T31499—XXXX3)將入侵事件特征，利用入侵檢測躲避工具產(chǎn)生URL字符串變形、SHELL代碼變形，測試產(chǎn)品是否對入侵事件進行攔截。b)預期結(jié)果：1)產(chǎn)品能夠攔截經(jīng)過分片、亂序之后的入侵事件；2)產(chǎn)品能夠正確地攔截經(jīng)過URL字符串變形、SHELL代碼變形等特殊處理的HTTP入侵事件；3)產(chǎn)品能夠?qū)χ囟ㄎ粎f(xié)議端口之后的入侵事件進行攔截。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。7.2.3惡意程序防范傳輸檢測a)測試評價方法：1)開啟惡意程序防護策略；2)客戶端通過使用多種方式（如：HTTP、FTP、SMTP、POP3、IMAP等協(xié)議），下載惡意程序樣本。b)預期結(jié)果：1)產(chǎn)品能檢測出惡意程序事件并記錄日志；2)產(chǎn)品的惡意程序日志的內(nèi)容包含事件名稱、源地址、目的地址、事件發(fā)生的日期和時間、事件描述。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。傳輸阻斷a)測試評價方法：1)開啟惡意程序防護策略；2)客戶端通過使用多種方式（如：HTTP、FTP、SMTP、POP3、IMAP等協(xié)議），下載惡意程序樣本。b)預期結(jié)果：1)產(chǎn)品具備惡意程序過濾的能力，能夠攔截試圖穿越產(chǎn)品的惡意程序文件。2)產(chǎn)品的惡意程序日志的內(nèi)容包含事件名稱、源地址、目的地址、事件發(fā)生的日期和時間、事件描述。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。壓縮文件檢測a)測試評價方法：1)開啟惡意程序防護策略；2)客戶端通過使用多種方式（如：HTTP、FTP、SMTP、POP3、IMAP等協(xié)議），下載包含惡意程序樣本的壓縮文件，壓縮文件至少支持格式為ZIP、RAR。b)預期結(jié)果：產(chǎn)品能檢測出包含在壓縮文件中的惡意程序樣本。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。GB/T31499—XXXX7.2.4安全組網(wǎng)網(wǎng)絡(luò)地址轉(zhuǎn)換a)測試評價方法：1)為內(nèi)部網(wǎng)絡(luò)用戶訪問外部網(wǎng)絡(luò)主機配置源NAT，檢查內(nèi)部網(wǎng)絡(luò)中多臺主機能否通過產(chǎn)品訪問外部網(wǎng)絡(luò)中的主機；2)為外部用戶訪問服務器分別設(shè)置目的NAT，檢查外部網(wǎng)絡(luò)的主機能否通過產(chǎn)品訪問服務器3)在內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和服務器區(qū)內(nèi)設(shè)置協(xié)議分析儀，檢驗數(shù)據(jù)包在經(jīng)過產(chǎn)品的NAT功能前后的源IP地址、目的IP地址，來驗證產(chǎn)品地址轉(zhuǎn)換功能的有效性。b)預期結(jié)果：1)內(nèi)部網(wǎng)絡(luò)中多臺主機可以通過源NAT訪問外部網(wǎng)絡(luò)主機，數(shù)據(jù)包的源地址正確轉(zhuǎn)換；2)外部網(wǎng)絡(luò)主機可以通過目的NAT訪問的服務器區(qū)，數(shù)據(jù)包的目的地址正確轉(zhuǎn)換；3)通過內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和服務器區(qū)內(nèi)的協(xié)議分析儀，抓取數(shù)據(jù)包，檢驗數(shù)據(jù)包經(jīng)過產(chǎn)品的SNAT后源地址轉(zhuǎn)換有效，經(jīng)過產(chǎn)品的DNAT后目的地址轉(zhuǎn)換正確。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。路由.1靜態(tài)路由a)測試評價方法：1)在產(chǎn)品設(shè)置一條靜態(tài)路由；2)向產(chǎn)品發(fā)送匹配上述路由策略的數(shù)據(jù)包。b)預期結(jié)果：1)產(chǎn)品支持設(shè)置靜態(tài)路由；2)產(chǎn)品將匹配策略的數(shù)據(jù)包按照路由策略轉(zhuǎn)發(fā)。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。.2動態(tài)路由a)測試評價方法：1)在產(chǎn)品嘗試開啟RIP動態(tài)路由功能；2)改變各鏈路狀態(tài)，驗證RIP動態(tài)路由是否生效；3)在產(chǎn)品嘗試開OSPF動態(tài)路由功能;4)改變各鏈路狀態(tài)，驗證OSPF動態(tài)路由是否生效；5)在產(chǎn)品嘗試開啟BGP動態(tài)路由功能；6)改變各鏈路狀態(tài)，驗證BGP動態(tài)路由是否生效。b)預期結(jié)果：1)產(chǎn)品支持設(shè)置RIP動態(tài)路由功能；2)產(chǎn)品支持設(shè)置OSPF動態(tài)路由功能；3)產(chǎn)品支持設(shè)置BGP動態(tài)路由功能。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。GB/T31499—XXXX.3策略路由a)測試評價方法：1)在產(chǎn)品設(shè)置一條基于源、目的IP的策略路由，向產(chǎn)品發(fā)送匹配上述路由策略的數(shù)據(jù)包；2)在產(chǎn)品設(shè)置一條基于接口的策略路由，向產(chǎn)品發(fā)送匹配上述路由策略的數(shù)據(jù)包；3)在產(chǎn)品設(shè)置一條基于協(xié)議和端口的策略路由，向產(chǎn)品發(fā)送匹配上述路由策略的數(shù)據(jù)包；4)在產(chǎn)品設(shè)置一條基于應用類型的策略路由，向產(chǎn)品發(fā)送匹配上述路由策略的數(shù)據(jù)包；5)針對某一目標地址在產(chǎn)品部署多條路由，設(shè)置一條根據(jù)多鏈路負載情況自動選路的策略路由，改變各鏈路的負載情況。b)預期結(jié)果：1)產(chǎn)品支持設(shè)置基于源、目的IP的策略路由，匹配策略數(shù)據(jù)包的路由與策略設(shè)置一致；2)產(chǎn)品支持設(shè)置基于接口的策略路由，匹配策略數(shù)據(jù)包的下一跳接口與策略設(shè)置一致；3)產(chǎn)品支持設(shè)置基于協(xié)議和端口的策略路由，匹配策略數(shù)據(jù)包的路由與策略設(shè)置一致；4)產(chǎn)品支持設(shè)置基于應用類型的策略路由，匹配策略數(shù)據(jù)包的路由與策略設(shè)置一致；5)產(chǎn)品支持設(shè)置基于多鏈路負載情況自動選路的策略路由，匹配策略數(shù)據(jù)包的路由與策略設(shè)置一致。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。7.2.5管理控制安全策略配置a)測試評價方法：1)查驗產(chǎn)品是否提供統(tǒng)一安全策略配置能力；2)查驗產(chǎn)品是否提供統(tǒng)一安全策略的匹配條件、矛盾策略或冗余策略的檢測分析和有效執(zhí)行措施；3)嘗試產(chǎn)生多種網(wǎng)絡(luò)威脅（如入侵攻擊、惡意程序、垃圾郵件、異常流量等），查驗產(chǎn)品是否根據(jù)策略設(shè)置實施防護；4)查驗產(chǎn)品是否提供創(chuàng)建、修改、刪除統(tǒng)一安全策略的功能。b)預期結(jié)果：1)產(chǎn)品能提供統(tǒng)一安全策略配置能力；2)產(chǎn)品能提供統(tǒng)一安全策略的匹配條件、矛盾策略或冗余策略的檢測分析和有效執(zhí)行措施；3)產(chǎn)品能提供創(chuàng)建、修改、刪除統(tǒng)一安全策略的功能。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。事件監(jiān)控a)測試評價方法：1)配置流量監(jiān)控策略，按IP地址、時間、協(xié)議類型參數(shù)或參數(shù)的組合進行流量統(tǒng)計，產(chǎn)生相應網(wǎng)絡(luò)會話；2)開啟產(chǎn)品的相應防御策略，如入侵防范、惡意程序防范、反垃圾郵件等；3)從已有的事件庫中選擇具有不同特征的多類事件，組成攻擊事件測試集，模擬入侵、惡意程序、垃圾郵件等行為；4)查看產(chǎn)品是否具備監(jiān)控各類安全事件狀態(tài)的能力。GB/T31499—XXXXb)預期結(jié)果：1)能夠至少支持源IP地址、目的IP地址、端口、時間和協(xié)議或它們的組合進行流量監(jiān)控。2)能監(jiān)控入侵攻擊、惡意程序、垃圾郵件等安全事件。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。事件阻斷a)測試評價方法1)開啟產(chǎn)品的相應防御策略，如流量限制、訪問控制、入侵防范、惡意程序防范、反垃圾郵件等；2)從已有的事件庫中選擇具有不同特征的多類事件，組成攻擊事件測試集，模擬入侵、惡意程序、垃圾郵件等行為；3)查看產(chǎn)品是否支持對異常流量、未授權(quán)訪問、入侵攻擊、惡意程序、垃圾郵件等安全事件進行阻斷的能力。b)預期結(jié)果產(chǎn)品支持對異常流量、未授權(quán)訪問、入侵攻擊、惡意程序、垃圾郵件等安全事件進行阻斷的能c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。本地管理a)測試評價方法：1)登錄本地CLI或者圖形管理界面；2)查看用戶界面的功能。b)預期結(jié)果：1)具備本地CLI或者圖形管理界面；2)具有配置和管理產(chǎn)品所有功能的管理界面。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。遠程管理a)測試評價方法：1)配置產(chǎn)品打開SSH、HTTPS等加密端口；2)通過加密協(xié)議遠程登錄產(chǎn)品，查看或增刪配置。b)預期結(jié)果：1)可以開放本地SSH、HTTPS等加密端口；2)支持加密的遠程登錄管理，可以查看或者增刪配置。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。產(chǎn)品升級a)測試評價方法：1)可以在線或離線對產(chǎn)品進行版本升級，升級方式為手工、自動方式；GB/T31499—XXXX2)檢測產(chǎn)品是否提供技術(shù)措施對升級包、補丁程序、特征庫的正確性和完整性進行校驗；3)嘗試破壞升級包、補丁程序、特征庫的完整性，檢查經(jīng)過篡改后的升級包、補丁程序、特征庫是否可以正常升級；4)檢查產(chǎn)品是否能夠?qū)ι夁^程進行安全監(jiān)測。b)預期結(jié)果：1)產(chǎn)品能夠利用其提供的方法正常升級主程序、特征庫、策略庫等；2)經(jīng)篡改的完整性破壞后的升級包和補丁程序無法正常升級成功；3)產(chǎn)品支持升級過程的安全監(jiān)測。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。集中管理a)測試評價方法：驗證產(chǎn)品是否支持集中管理，是否能通過集中管理管理平臺實現(xiàn)運行狀態(tài)監(jiān)控、安全策略下發(fā)、系統(tǒng)版本和特征庫升級。b)預期結(jié)果：產(chǎn)品支持集中管理，能通過集中管理管理平臺實現(xiàn)運行狀態(tài)監(jiān)控、安全策略下發(fā)、系統(tǒng)版本和特征庫升級。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。7.2.6安全審計協(xié)議識別a)測試評價方法：1)按照產(chǎn)品所聲明的協(xié)議分析類型，抽樣生成協(xié)議事件，組成攻擊事件測試集；2)配置產(chǎn)品的入侵防御策略為最大策略集；3)發(fā)送攻擊事件測試集中的所有事件，記錄產(chǎn)品的檢測結(jié)果。b)預期結(jié)果：1)記錄產(chǎn)品攔截入侵的相應攻擊名稱和類型；2)產(chǎn)品應能夠監(jiān)視的協(xié)議事件應至少包含以下協(xié)議類型：ARP、ICMP、IP、TCP、UDP、RPC、HTTP、FTP、TFTP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS、MSSQL，測試結(jié)果應與產(chǎn)品聲明相一致。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。日志記錄a)測試評價方法：1)開啟產(chǎn)品的相應防御策略，如入侵防范、惡意程序防范、反垃圾郵件等；2)從已有的事件庫中選擇具有不同特征的多類事件，組成攻擊事件測試集，模擬入侵攻擊、惡意程序、垃圾郵件等安全事件；3)查看是否及時生成日志記錄，日志記錄是否包含日期時間、源IP地址、目的IP地址、源端口、目的端口、協(xié)議等信息。b)預期結(jié)果：GB/T31499—XXXX1)能查看各類安全事件的日志記錄，包括入侵攻擊、惡意程序、垃圾郵件等安全事件的日志信息；2)日志記錄是否包含日期時間、源IP地址、目的IP地址、源端口、目的端口、協(xié)議等信息。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。安全告警a)測試評價方法：1)開啟產(chǎn)品的相應防御策略，如入侵防范、惡意程序防范、反垃圾郵件等；2)從已有的事件庫中選擇具有不同特征的多類事件，組成攻擊事件測試集，模擬入侵、惡意程序、垃圾郵件等行為；3)查驗產(chǎn)品是否觸發(fā)相應告警動作；4)查驗告警方式是否有效、正確。b)預期結(jié)果：1)產(chǎn)品能夠在檢測到入侵、惡意程序、垃圾郵件事件時進行安全告警；2)產(chǎn)品提供的告警方式有效、正確。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。事件可視化a)測試評價方法：1)查驗產(chǎn)品是否提供圖形界面對檢測或攔截到的安全事件進行展現(xiàn)；2)查驗事件信息的內(nèi)容，是否包括：事件發(fā)生日期時間、事件名稱或類型、源IP地址、源端口、目的IP地址、目的端口、危害等級等。b)預期結(jié)果：1)具有查看安全事件的圖形化界面；2)事件信息能夠包括：事件發(fā)生日期時間、事件名稱或類型、源IP地址、源端口、目的IP地址、目的端口、危害等級等。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。報表生成a)測試評價方法：1)查看產(chǎn)品是否支持入侵、惡意程序、垃圾郵件等安全事件分析形成并提供報表功能；2)查看報表是否支持表格、柱狀圖、餅圖等一種或多種形式；3)查看報表是否支持DOC，PDF，HTML，XLS等一種或多種文件格式；4)查看是否能夠按時間段等進行匯總或排序。5)檢查產(chǎn)品是否支持按照特定的要求定制報表內(nèi)容。b)預期結(jié)果：1)產(chǎn)品應支持入侵、惡意程序、垃圾郵件等安全事件分析形成并提供報表功能；2)報表應支持表格、柱狀圖、餅圖等一種或多種形式；3)報表應支持DOC，PDF，HTML，XLS等一種或多種文件格式；4)應能夠按時間段等進行匯總或排序；GB/T31499—XXXX5)產(chǎn)品應支持按照特定的要求定制報表內(nèi)容具有生成報表的功能。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。事件攔截記錄a)測試評價方法1)開啟產(chǎn)品的相應防御策略，如入侵防范、惡意程序防范、反垃圾郵件等；2)從已有的事件庫中選擇具有不同特征的多類事件，組成攻擊事件測試集，模擬入侵、惡意程序、垃圾郵件等行為；3)查看是否及時生成攔截事件記錄。b)預期結(jié)果產(chǎn)品能對攻擊攔截事件進行記錄，且記錄的信息包括數(shù)據(jù)攔截發(fā)生日期、時間、源IP地址、目的IP地址、源端口、目的端口、協(xié)議。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。事件分級a)測試方法：檢查事件庫中是否對每個事件都有按照事件的嚴重程度提供分級信息。b)預期結(jié)果：事件庫的所有事件都具有分級信息。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。事件統(tǒng)計a)測試方法：1)開啟產(chǎn)品的相應防御策略，如入侵防范、惡意程序防范、反垃圾郵件等；2)從已有的事件庫中選擇具有不同特征的多類事件，組成攻擊事件測試集，模擬入侵、惡意程序、垃圾郵件等行為；3)查看是否生成各類安全事件的統(tǒng)計信息。b)預期結(jié)果：能查看各類安全事件的統(tǒng)計信息，包括關(guān)于入侵防范、惡意程序防范、反垃圾郵件相關(guān)事件信息，包括安全事件成功和失敗的數(shù)量。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。安全事件檢索a)測試方法：1)檢查產(chǎn)品是否支持查詢安全事件審計信息，如告警信息、日志信息、報表信息；2)檢查產(chǎn)品是否支持查詢異常流量的實時或歷史數(shù)據(jù)。b)預期結(jié)果：支持查詢安全事件審計信息及異常流量監(jiān)控數(shù)據(jù)。c)結(jié)果判定：GB/T31499—XXXX實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。7.2.7互聯(lián)互通a)測試評價方法：1)檢查產(chǎn)品是否提供的威脅識別、行為識別、身份管理與鑒別、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)入侵防御、網(wǎng)絡(luò)行為控制、網(wǎng)絡(luò)流量控制、拒絕服務攻擊防護、惡意代碼防范、應用安全防護、網(wǎng)絡(luò)行為監(jiān)測、安全審計、攻擊抑制、通報預警等功能互聯(lián)互通，是否符合GB/TAAAAA-AAAA.1《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通第1部分：框架》中規(guī)定的要求，且功能參數(shù)格式是否符合GB/TAAAAA-AAAA.4《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通第4部分：功能接口》有關(guān)要求；2)檢查產(chǎn)品互聯(lián)互通信息是否具備GB/TAAAAA-AAAA.1《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通第1部分：框架》5.3.1信息類型中安全事件、攻擊目標、網(wǎng)絡(luò)行為信息、計算機病毒告警、網(wǎng)絡(luò)蠕蟲告警、特洛伊木馬告警、僵尸網(wǎng)絡(luò)告警、拒絕服務告警、訪問異常告警、流量異常告警、事件類別、事件級別、事件時間等信息，信息格式是否符合GB/TAAAAA-AAAA.3《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通第3部分：告警信息格式》和GB/TAAAAA-AAAA.5《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通第5部分：行為信息格式》有關(guān)要求；3)檢查產(chǎn)品在功能和信息互聯(lián)互通過程中，接口協(xié)議、請求方式和安全機制等方面是否符合GB/TAAAAA-AAAA.4《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通第4部分：功能接口》有關(guān)要求。b)預期結(jié)果：1)互聯(lián)互通功能方面，應具備GB/TAAAAA-AAAA.1《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通第1部分：框架》5.2.1功能類型中威脅識別、行為識別、身份管理與鑒別、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)入侵防御、網(wǎng)絡(luò)行為控制、網(wǎng)絡(luò)流量控制、拒絕服務攻擊防護、惡意代碼防范、應用安全防護、網(wǎng)絡(luò)行為監(jiān)測、安全審計、攻擊抑制、通報預警等功能，功能參數(shù)格式應符合GB/TAAAAA-AAAA.4《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通第4部分：功能接口》有關(guān)要求；2)互聯(lián)互通信息方面，應具備GB/TAAAAA-AAAA.1《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通第1部分：框架》5.3.1信息類型中安全事件、攻擊目標、網(wǎng)絡(luò)行為信息、計算機病毒告警、網(wǎng)絡(luò)蠕蟲告警、特洛伊木馬告警、僵尸網(wǎng)絡(luò)告警、拒絕服務告警、訪問異常告警、流量異常告警、事件類別、事件級別、事件時間等信息，信息格式應符合GB/TAAAAA-AAAA.3《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通第3部分：告警信息格式》和GB/TAAAAA-AAAA.5《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通第5部分：行為信息格式》有關(guān)要求；3)功能和信息互聯(lián)互通過程中，接口協(xié)議、請求方式和安全機制等方面等應符合GB/TAAAAA-AAAA.4《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通第4部分：功能接口》有關(guān)要求。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。7.3自身安全測評7.3.1通用要求a)測試評價方法：1)嘗試登錄待測產(chǎn)品進行管理，是否提示需進行身份鑒別；2)輸入正確的用戶名和對應的口令，進行登錄嘗試；3)輸入正確的用戶名和錯誤的口令，進行登錄嘗試；GB/T31499—XXXX4)輸入錯誤的用戶名，進行登錄嘗試；5)嘗試創(chuàng)建一個和已有管理員同名的管理員用戶；6)開發(fā)商提供文檔說明如何對鑒別數(shù)據(jù)傳輸進行保護；以授權(quán)管理員登錄產(chǎn)品，使用網(wǎng)絡(luò)抓包工具截獲傳輸鑒別信息的報文，查看是否采取傳輸保密性和完整性保護措施；7)開發(fā)商提供文檔說明如何對鑒別數(shù)據(jù)存儲進行保護，并說明鑒別數(shù)據(jù)存儲的文件名或數(shù)據(jù)庫表名、字段名；嘗試以授權(quán)管理員身份打開鑒別數(shù)據(jù)存儲的文件或數(shù)據(jù)庫表，查看是否采取存儲保密性和完整性保護措施；8)使用已授權(quán)管理員登錄產(chǎn)品，嘗試設(shè)置管理員口令復雜度、定期更換策略；9)嘗試設(shè)置不滿足復雜度要求的口令；10)達到口令更換時間時，查看是否提示或強制修改；11)管理員首次登錄產(chǎn)品，查看是否強制修改默認口令或設(shè)置口令；12)以授權(quán)管理員身份登錄待測產(chǎn)品，嘗試創(chuàng)建權(quán)限相互制約的不同管理員角色用戶；13)以新建的管理員用戶登錄，檢測權(quán)限是否與角色相匹配；14)嘗試以非授權(quán)管理員設(shè)置管理員用戶及用戶的訪問權(quán)限；15)在產(chǎn)品產(chǎn)生各種運行狀態(tài)，嘗試以授權(quán)或非授權(quán)管理員進行各種重要操作，檢查產(chǎn)品是否能夠監(jiān)測、記錄產(chǎn)品自身運行狀態(tài)和重要操作；16)嘗試以非授權(quán)管理員身份登錄待測產(chǎn)品訪問審計日志；17)嘗試刪除、修改、覆蓋審計日志；18)檢驗員強制斷電重啟待測產(chǎn)品，檢查審計日志；19)檢查產(chǎn)品日志存儲周期是否能夠設(shè)置小于6個月；20)以授權(quán)管理員遠程管理產(chǎn)品，使用網(wǎng)絡(luò)抓包工具截獲遠程管理傳輸數(shù)據(jù)的報文，查看是否采取傳輸保密性和完整性保護措施；21)使用掃描器對產(chǎn)品進行安全性測試，檢查是否存在已公開的中、高風險漏洞；22)以授權(quán)管理員登錄，嘗試對產(chǎn)品的主程序、特征庫、策略庫等進行升級；23)查看產(chǎn)品文檔中升級安全相關(guān)內(nèi)容，檢測產(chǎn)品是否提供技術(shù)措施對升級包和補丁程序的正確性和完整性進行校驗；24)嘗試破壞升級包和補丁程序的完整性，檢查經(jīng)過篡改后的升級包和補丁程序是否可以正常升級；25)查看產(chǎn)品文檔中用戶信息收集相關(guān)內(nèi)容，檢測收集的用戶信息是否是實現(xiàn)產(chǎn)品功能所必需的，檢測產(chǎn)品實際收集的用戶信息與文檔描述是否一致；26)檢測產(chǎn)品是否提供相關(guān)授權(quán)功能，分別在用戶授權(quán)前、后嘗試處理個人信息；分別在未獲得、用戶撤回個人信息收集授權(quán)的情況下，嘗試進行與個人信息無關(guān)的安全功能；27)查看產(chǎn)品文檔中個人信息傳輸相關(guān)內(nèi)容，通過網(wǎng)絡(luò)抓包等方式截獲傳輸個人信息的報文，檢測是否采取傳輸保密性和完整性保護措施；28)查看產(chǎn)品文檔中個人信息存儲相關(guān)內(nèi)容，查看存儲個人信息的文件或數(shù)據(jù)庫，檢測是否采取存儲保密性和完整性保護措施；29)查看產(chǎn)品文檔中個人信息超出保存期限處理方式相關(guān)內(nèi)容，檢測實際處理方式是否與文檔一致，是否采取刪除或匿名化處理措施；30)對于涉及密碼使用和管理的相關(guān)內(nèi)容，檢測產(chǎn)品是否符合有關(guān)標準的規(guī)定。b)預期結(jié)果：1)待測產(chǎn)品提示需進行身份鑒別；2)輸入正確的用戶名和對應的口令能夠登錄待測產(chǎn)品；3)輸入正確的用戶名和錯誤的口令不能登錄產(chǎn)品；GB/T31499—XXXX4)輸入錯誤的用戶名不能登錄產(chǎn)品；5)不允許創(chuàng)建同名管理員用戶；6)采取技術(shù)措施保障身份鑒別信息在傳輸過程中的保密性和完整性；7)采取技術(shù)措施保障身份鑒別信息在存儲過程中的保密性和完整性；8)授權(quán)管理員能夠設(shè)置口令復雜度、定期更換策略；9)無法設(shè)置不滿足復雜度要求的口令；10)達到口令更換時間時，提示或強制修改口令；11)管理員首次登錄產(chǎn)品時強制修改默認口令或設(shè)置口令；12)授權(quán)管理員能夠成功創(chuàng)建權(quán)限相互制約的不同管理員角色用戶；13)新建管理員用戶權(quán)限與角色相匹配；14)非授權(quán)管理員無法設(shè)置管理員用戶及用戶訪問權(quán)限；15)產(chǎn)品能夠監(jiān)測、記錄產(chǎn)品自身運行狀態(tài)和重要操作；16)非授權(quán)管理員不能訪問審計日志；17)審計日志不能被非授權(quán)刪除、修改或覆蓋；18)審計日志存儲在掉電非易失性存儲介質(zhì)中，重啟待測產(chǎn)品后，審計日志未丟失；19)產(chǎn)品日志存儲周期無法設(shè)置小于6個月；20)采取技術(shù)措施保障遠程管理數(shù)據(jù)在傳輸過程中的保密性和完整性；21)產(chǎn)品不包含已公開的中、高風險漏洞；22)產(chǎn)品文檔中提供了為保障升級安全所采取措施的詳細描述；23)產(chǎn)品能夠利用其提供的方法正常升級主程序、特征庫、策略庫等；24)經(jīng)篡改的完整性破壞后的升級包和補丁程序無法正常升級成功；25)產(chǎn)品僅收集實現(xiàn)產(chǎn)品功能所必需的用戶信息；26)產(chǎn)品在涉及個人信息處理時提供相關(guān)授權(quán)功能，僅在獲得授權(quán)后方能處理個人信息；27)產(chǎn)品在未獲得或撤回個人信息收集授權(quán)的情況下，能夠提供與個人信息無關(guān)的安全功能；28)產(chǎn)品在涉及個人信息傳輸和存儲的過程中采取技術(shù)措施保障個人信息的保密性和完整性；29)產(chǎn)品在涉及個人信息存儲時提供對超出保存期限個人信息的處理功能，如刪除或匿名化處理等措施；30)涉及密碼使用和管理的相關(guān)內(nèi)容，符合有關(guān)標準的規(guī)定。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。7.3.2標識與鑒別標識與鑒別的測試方法與預期結(jié)果如下：a)測試評價方法：1)嘗試連續(xù)多次失敗登錄產(chǎn)品，觸發(fā)產(chǎn)品的登錄失敗處理功能，檢查產(chǎn)品采用何種機制防止用戶進一步進行嘗試；2)登錄后，在超時時間內(nèi)無任何操作，查看產(chǎn)品是否自動退出；3)檢查產(chǎn)品是否支持密碼技術(shù)或雙因素鑒別的方式對用戶進行身份鑒別；4)配置產(chǎn)品的管理用戶通過RADIUS服務器或者LDAP服務器進行身份認證。b)預期結(jié)果：1)輸入錯誤口令達到設(shè)定的最大失敗次數(shù)后，產(chǎn)品終止可信主機或用戶建立會話的過程，并對該失敗用戶做禁止訪問處理；2)產(chǎn)品登錄后，在超時時間內(nèi)無任何操作，產(chǎn)品自動退出；GB/T31499—XXXX3)產(chǎn)品支持密碼技術(shù)或雙因素鑒別的方式鑒別用戶身份；4)產(chǎn)品的管理用戶可以通過RADIUS服務器或者LDAP服務器進行身份認證。c)結(jié)果判定：實際測試結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。7.3.3自身訪問控制自身訪問控制的測試方法與預期結(jié)果如下：a)測試評價方法：1)以授權(quán)管理員身份登錄產(chǎn)品的管理界面，檢測產(chǎn)品是否允許授權(quán)管理員對基于用戶名、遠程管理主機IP地址以及用戶權(quán)限等安全屬性的訪問控制策略進行管理；2)檢查產(chǎn)品是否支持為用戶訪問產(chǎn)品設(shè)置訪問控制策略，基于遠程管理主機IP地址、用戶角色等屬性執(zhí)行訪問控制，并設(shè)置對應的策略執(zhí)行訪問控制；3)測試產(chǎn)品是否區(qū)分授權(quán)管理員角色，是否能劃分為系統(tǒng)管理員、安全操作員和安全審計員，且三類角色權(quán)限相互制約。b)預期結(jié)果：1)產(chǎn)品能夠向授權(quán)管理員提供設(shè)置、查詢、修改和刪除訪問控制策略的功能；2)產(chǎn)品能夠基于遠程管理主機IP地址、用戶角色等安全屬性執(zhí)行訪問控制；3)產(chǎn)品能夠區(qū)分授權(quán)管理員角色，能劃分為系統(tǒng)管理員、安全操作員和安全審計員，且三類角色權(quán)限相互制約。c)結(jié)果判定：實際測試結(jié)果與預期結(jié)果一致則判定為符合，其他情況判定為不符合。7.3.4自身安全審計自身安全審計的測試方法與預期結(jié)果如下：a)測試評價方法：1)針對產(chǎn)品嘗試進行用戶登錄和注銷、系統(tǒng)啟動、重要配置變更、增加/刪除/修改用戶、保存/刪除審計日志等操作行為，測試產(chǎn)品是否針對上述操作生成審計日志；2)檢查產(chǎn)品的審計日志是否包括事件發(fā)生的日期和時間、事件類型、事件主體、事件客體和事件結(jié)果等內(nèi)容；3)測試產(chǎn)品是否僅允許授權(quán)管理員訪問審計日志，測試是否能夠非授權(quán)中斷審計進程；4)分別以授權(quán)管理員和非授權(quán)管理員身份登錄，查看是否僅為授權(quán)管理員提供查閱審計數(shù)據(jù)的功能；5)審查審計數(shù)據(jù)是否完整且以便于用戶理解的方式無歧義的表示；6)以授權(quán)用戶身份登錄產(chǎn)品，是否能夠以日期時間、主體身份標識、事件描述關(guān)鍵詞等條件對審計數(shù)據(jù)進行查詢操作，檢查查詢結(jié)果是否正確；7)模擬產(chǎn)生產(chǎn)品及其模塊的異常狀態(tài)（如軟件模塊運行故障、硬件資源使用超過閾值等測試產(chǎn)品是否針對異常情況進行告警并記錄日志。b)預期結(jié)果：1)產(chǎn)品能夠?qū)τ脩舻卿浐妥N、系統(tǒng)啟動、重要配置變更、增加/刪除/修改用戶、保存/刪除審計日志等操作行為生成審計日志；2)產(chǎn)品的審計日志中包括事件發(fā)生的日期和時間、事件類型、事件主體、事件客體和事件結(jié)果等內(nèi)容；3)產(chǎn)品僅允許授權(quán)管理員訪問審計日志，且防止審計進程非授權(quán)中斷。GB/T31499—XXXX4)審計數(shù)據(jù)應只支持授權(quán)管理員查詢，非授權(quán)用戶應無法查詢審計數(shù)據(jù)；5)審計數(shù)據(jù)應具有完整性、可讀性，能以電子方式無歧義表示；6)根據(jù)條件對審計數(shù)據(jù)進行查詢的結(jié)果正確；7)產(chǎn)品能夠?qū)Ξa(chǎn)品及其模塊的異常狀態(tài)進行告警，并進行審計。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。7.3.5支撐系統(tǒng)安全支撐系統(tǒng)安全的測試方法與預期結(jié)果如下：a)測試評價方法：1)斷電或重啟產(chǎn)品，測試產(chǎn)品的安全策略和日志信息是否丟失；2)查看產(chǎn)品文檔，并對產(chǎn)品進行端口掃描，檢測是否提供多余的組件或網(wǎng)絡(luò)服務。b)預期結(jié)果：1)產(chǎn)品斷電或重啟，安全策略和日志信息不丟失；2)產(chǎn)品未啟用不必要的系統(tǒng)服務、端口。c)結(jié)果判定：實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。7.3.6安全管理安全功能行為管理a)測試評價方法：1)檢查產(chǎn)品是否支持為管理員訪問產(chǎn)品設(shè)置訪問策略，訪問策略中是否包含不同的用戶名、用戶角色、遠程管理主機IP地址等安全屬性的定義；2)為用戶訪問產(chǎn)品設(shè)置不同的訪問策略，通過用戶對產(chǎn)品的訪問，驗證訪問權(quán)限策略是否與訪問策略一致。b)預期結(jié)果：1)產(chǎn)品支持基于遠程管