GB/T 20010-2005信息安全技術(shù)包過(guò)濾防火墻評(píng)估準(zhǔn)則

ICS35.020L09中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T20010—2005信息安全技術(shù)包過(guò)濾防火墻評(píng)估準(zhǔn)則InformationsecuritytechnologyPacketfilteringfirewalsevaluationcriteria2005-11-11發(fā)布2006-05-01實(shí)施中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T20010-2005前言引言范圍2規(guī)范性引用文件3術(shù)語(yǔ)和定義4安全環(huán)境4.1物理方面4.2人員方面4.3連通性方面5評(píng)估內(nèi)容5.1用戶自主保護(hù)級(jí)5.1.1防問(wèn)控制5.1.2身份鑒別5.1.3數(shù)據(jù)完整性5.1.4配置管理·5.1.5安全功能開(kāi)發(fā)過(guò)程5.1.6測(cè)試5.1.7指導(dǎo)性文檔5.1.8交付與運(yùn)行5.2系統(tǒng)審計(jì)保護(hù)級(jí)5.2.1仿問(wèn)控制5.2.2身份鑒別5.2.3客體重用5.2.4審計(jì)5.2.5數(shù)據(jù)完整性5.2.6生存周期支持5.2.7T配置管理…….5.2.8安全功能開(kāi)發(fā)過(guò)程5.2.9測(cè)試5.2.10指指導(dǎo)性文檔……….5.2.11脆弱性分析…5.2.12交付與運(yùn)行·5.3安全標(biāo)記保護(hù)級(jí)5.3.1防問(wèn)控制5.3.2標(biāo)記5.3.3身份鑒別··..．.·5.3.4客體重用……5.3.5審計(jì)?………·5.3.6數(shù)據(jù)完整性…5.3.7碼支持………

GB/T20010-20055.3.8生存周期支持·5.3.9配置管理………5.3.10安全功能開(kāi)發(fā)過(guò)程5.3.115.3.12指導(dǎo)性文檔5.3.13脆弱性分析5.3.14交付和運(yùn)行.4結(jié)構(gòu)化保護(hù)級(jí)·.5.4.1仿問(wèn)控制….5.4.2標(biāo)記…….5.4.3身份鑒別·…………·5.4.4客體重用…5.4.5審計(jì)……….5.4.6數(shù)據(jù)完整性…5.4.7可信路徑……175.4.8雷碼支持·5.4.9生生存周期支持;185.4.10配置管理185.4.11安全功能開(kāi)發(fā)過(guò)程185.4.12測(cè)試20指導(dǎo)性文檔5.4.135.4.14脆弱性分析5.4.15交付與運(yùn)行5.5訪問(wèn)驗(yàn)證保護(hù)級(jí).防問(wèn)控制…..5.5.1215.5.2標(biāo)記…..…..23身份鑒別·5.5.328客體重用…5.5.45.5.5數(shù)據(jù)完整性·5.5.6255.5.7可信路徑5.5.8可信恢復(fù)·富碼支持…5.5.95.5.10生存周期支持5.5.11配配置管理26安全功能開(kāi)發(fā)過(guò)程5.5.12265.5.135.5.14指導(dǎo)性文檔脆弱性分析5.5.1520交付與運(yùn)行5.5.1629附錄A（資料性附錄）防火墻面臨的威脅和對(duì)策參考文獻(xiàn)32

GB/T20010—2005前GB17859—1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》是我國(guó)計(jì)算機(jī)信息系統(tǒng)安全等級(jí)管理的重要標(biāo)準(zhǔn).已于1999年9月13日發(fā)布。為促進(jìn)安全等級(jí)管理工作的正常有序開(kāi)展，特制定一系列相關(guān)的標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)是系列標(biāo)準(zhǔn)之一。本標(biāo)準(zhǔn)文本中.黑體字表示較低等級(jí)中沒(méi)有出現(xiàn)或增強(qiáng)的評(píng)估內(nèi)容。本標(biāo)準(zhǔn)的附錄A中說(shuō)明防火墻面臨的主要威脅和對(duì)策。本標(biāo)準(zhǔn)的附錄A是資料性附錄。本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口本標(biāo)準(zhǔn)起草單位：北京大學(xué)軟件工程國(guó)家工程中心，公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局。本標(biāo)準(zhǔn)主要起草人：王立福、劉學(xué)洋、趙學(xué)志、張勁飛、張晰，

GB/T20010—2005防火墻是內(nèi)部、外部?jī)蓚€(gè)網(wǎng)絡(luò)之間的一個(gè)阻隔，通過(guò)允許和拒絕經(jīng)過(guò)防火墻的數(shù)據(jù)流，防止不希望的、未授權(quán)的通信.并實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和控制。防火墻對(duì)網(wǎng)絡(luò)用戶提供訪問(wèn)控制服務(wù)和通信安全服務(wù).對(duì)網(wǎng)絡(luò)用戶基本上是"透明”的.并且只有授權(quán)的管理員方可對(duì)防火墻進(jìn)行管理。防火墻一般要解決的安全問(wèn)題可分為被保護(hù)系統(tǒng)(即內(nèi)部網(wǎng))的安全問(wèn)題和自身的安全問(wèn)題防火墻產(chǎn)品主要分為兩類(lèi)：包過(guò)濾和應(yīng)用級(jí)防火墻。本標(biāo)準(zhǔn)規(guī)定了包過(guò)濾防火墻的各級(jí)安全要求包過(guò)濾防火墻根據(jù)安全功能策略建立包過(guò)濾規(guī)則。過(guò)濾規(guī)則的主要要素有源IP地址、目的IP地址、協(xié)議號(hào)、源端口、目的端口、連接標(biāo)志和另外一些IP選項(xiàng),以及包到達(dá)或發(fā)出的接口。

GB/T20010—2005信息安全技術(shù)包過(guò)濾防火墻評(píng)估準(zhǔn)則1范圍本標(biāo)準(zhǔn)從信息技術(shù)方面規(guī)定了按照GB17859—1999的五個(gè)安全保護(hù)等級(jí)對(duì)采用"傳輸控制協(xié)議)網(wǎng)間協(xié)議（TCP/IP)"的包過(guò)濾防火墻產(chǎn)品安全保護(hù)等級(jí)劃分所需要的評(píng)估內(nèi)容。本標(biāo)準(zhǔn)適用于包過(guò)濾防火墻安全保護(hù)等級(jí)的評(píng)估，對(duì)于包過(guò)濾防火墻的研制、開(kāi)發(fā)、測(cè)試和產(chǎn)品采購(gòu)也可參照使用。2規(guī)范性引用文件下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勒誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn).然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB17859—1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則術(shù)語(yǔ)和定義GB17859-—1999確立的以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。主機(jī)host一臺(tái)與防火墻相互作用的機(jī)器,它在防火墻安全功能策略控制下進(jìn)行通信。32用戶uSer一個(gè)在防火墻安全功能策略的控制下，通過(guò)防火墻訪問(wèn)外部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)的人·此人不具有能影響防火墻安全功能策略執(zhí)行的特權(quán)。3.3授權(quán)管理員：uthorizedadministrator能訪問(wèn)、實(shí)施、修改防火墻安全功能策略的個(gè)人,其職責(zé)僅限定于對(duì)防火墻的管理，不包括系統(tǒng)管理和網(wǎng)絡(luò)管理3.4可信主機(jī)trustedh