2023船舶網(wǎng)絡(luò)防火墻檢驗(yàn)指南

船舶網(wǎng)絡(luò)防火墻檢驗(yàn)指南2023船舶網(wǎng)絡(luò)防火墻檢驗(yàn)指南船舶網(wǎng)絡(luò)防火墻檢驗(yàn)指南-1--1-目 錄第1章1第1節(jié)般定 1一要求 1持要求 1數(shù)提與密 2變管理 2規(guī)性用件 2術(shù)及略語(yǔ) 2第2章舶絡(luò)火術(shù)要求 4第1節(jié)般定 42.1.1一要求 4第2節(jié)口求 4物接口 4數(shù)接口 4第3節(jié)能求 4組與署 4網(wǎng)層制 5應(yīng)層制 5攻防護(hù) 6配管理 6審計(jì) 7第4節(jié)能求 82.4.1性指標(biāo) 8第5節(jié)全求 8軟和撐件 8安支撐 9第3章舶絡(luò)火驗(yàn)要求 11第1節(jié)料查 113.1.1文資料 11第2節(jié)試備 13一要求 13測(cè)環(huán)境 13第3節(jié)試求 14接測(cè)試 14功測(cè)試 14性測(cè)試 15安性試 15船舶網(wǎng)絡(luò)防火墻檢驗(yàn)指南船舶網(wǎng)絡(luò)防火墻檢驗(yàn)指南第第10頁(yè)第1章通則第1節(jié)一般規(guī)定（ChinaClassification,CCS）船舶網(wǎng)絡(luò)防火墻是指部署在船舶網(wǎng)絡(luò)邊界或船舶系統(tǒng)/CCSCCSCCS認(rèn)可CCS13CCSCCS1212CCS1篇第213.1.10對(duì)于通過(guò)CCS/時(shí)，申請(qǐng)方應(yīng)通知CCS，CCS相關(guān)文件中的條款通過(guò)本文件的引用將成為本文件的條款。凡是不注日期的引引用文件列表 表序號(hào)編號(hào)文件名1《鋼質(zhì)海船入級(jí)規(guī)范》2GD25-2019《船舶網(wǎng)絡(luò)系統(tǒng)要求及安全評(píng)估指南》3GD13-2017《船用軟件安全及可靠性評(píng)估指南》4GD22-2015《電氣電子產(chǎn)品型式認(rèn)可試驗(yàn)指南》5IACSURE27Cyberresilienceofon-boardsystemsandequipment6IEC62443-1-1Industrialcommunicationnetworks-networkandsystemsecurity-part1-1:terminology,conceptsandmodels7IEC62443-4-2Securityforindustrialautomationandcontrolsystems,Part4-2:TechnicalsecurityrequirementsforIACScomponents8ISO/IEC27033-4Informationtechnology—Securitytechniques—Networksecurity—Part4:Securingcommunicationsbetweennetworksusingsecuritygateways9ISO/IEC15408-2Informationtechnology—Securitytechniques—EvaluationcriteriaforITsecurity—Part2:Securityfunctionalcomponents10IEC63154Maritimenavigationandradiocommunicationequipmentandsystems-Cybersecurity-Generalrequirements,methodsoftestingandrequiredtestresults11IEC61162-460Maritimenavigationandradiocommunicationequipmentandsystems–Digitalinterfaces–Part460:Multipletalkersandmultiplelisteners–Ethernetinterconnection–Safetyandsecurity12RFC3511BenchmarkingmethodologyforFirewallPerformance13RFC2979BehaviorofandRequirementsforInternetFirewallsDoS（DenialofServices）IP（InternetProtocol）MAC（MediaAccessControl）DMZ/（DemilitarizedZone）（NetworkAddressTranslation）（Source（DestinationFTP（FileTransferProtocol）OPC（ObjectLinkingandEmbeddingforProcessControl）SMTP（SimpleMailTransferProtocol）IMAP（InternetMessageAccessProtocol）AES（AdvancedEncryptionStandard）SYN（SynchronizeSequenceNumbers）UDP（UserDatagramProtocol）ICMP（InternetControlMessagesProtocol）SYSLOG（SystemLog）第2章船舶網(wǎng)絡(luò)防火墻技術(shù)要求第1節(jié)一般規(guī)定本章主要描述船舶網(wǎng)絡(luò)防火墻的技術(shù)要求，包括接口要求、功能要求、性能要（；；；；抗oS（；CCS4.3.20CCS8第2節(jié)接口要求船舶網(wǎng)絡(luò)防火墻的物理接口類型和數(shù)量應(yīng)滿足設(shè)備運(yùn)行和維護(hù)的需要。以太網(wǎng)USB/船舶網(wǎng)絡(luò)防火墻應(yīng)明確其接口支持的標(biāo)準(zhǔn)接口協(xié)議，當(dāng)適用專用接口協(xié)議時(shí)，第3節(jié)功能要求IPIPMACMAC地址、IP至少可實(shí)現(xiàn)“多對(duì)一”地址轉(zhuǎn)換，使得內(nèi)部網(wǎng)絡(luò)主機(jī)訪問(wèn)外部網(wǎng)絡(luò)時(shí)，其IPDMZIP地址/IP地址船舶網(wǎng)絡(luò)防火墻應(yīng)具備連接狀態(tài)檢測(cè)功能，支持基于狀態(tài)檢測(cè)技術(shù)的訪問(wèn)控制。OPC、FTP船舶網(wǎng)絡(luò)防火墻應(yīng)支持自動(dòng)或管理員手動(dòng)綁定IP/MAC地址，應(yīng)能夠檢測(cè)IP/MAC地址盜用，攔截盜用IP/MAC地址的主機(jī)經(jīng)過(guò)船舶網(wǎng)絡(luò)防火墻的各種訪問(wèn)。IP會(huì)話管理，船舶網(wǎng)絡(luò)防火墻應(yīng)支持手動(dòng)或在會(huì)話處于非活躍一定時(shí)間后自動(dòng)鎖定①能夠通過(guò)IP地址、網(wǎng)絡(luò)服務(wù)、時(shí)間和協(xié)議類型等參數(shù)或它們的組合對(duì)流量進(jìn)行正確的統(tǒng)計(jì)；②能夠?qū)崟r(shí)或者以報(bào)表形式輸出流量統(tǒng)計(jì)結(jié)果；③能夠?qū)α髁砍^(guò)預(yù)警值的行為進(jìn)行告警。帶寬監(jiān)測(cè)，部署在不同區(qū)域間的船舶網(wǎng)絡(luò)防火墻宜對(duì)客戶端占用帶寬進(jìn)行監(jiān)測(cè)，船舶網(wǎng)絡(luò)防火墻應(yīng)能識(shí)別并控制通用應(yīng)用層協(xié)議及船舶系統(tǒng)專用協(xié)議，具體技HTTP、FTP應(yīng)支持船舶網(wǎng)絡(luò)系統(tǒng)涉及的常用工業(yè)控制協(xié)議，例如OPC、Modbus、Profinet等；(1)HTTP傳輸內(nèi)容的關(guān)鍵字；(2)HTTP請(qǐng)求方式，包括GET、POST、PUT、HEAD等；(3)HTTP請(qǐng)求文件類型；(4)HTTP協(xié)議頭中各字段長(zhǎng)度，包括generalheader、requestheader、responseheader等；(5)HTTP上傳文件類型；(6)HTTP請(qǐng)求頻率；(7)HTTP返回的響應(yīng)內(nèi)容，如服務(wù)器返回的出錯(cuò)信息等。SQL應(yīng)支持基于以下內(nèi)容對(duì)FTP、、SMTP、POP3和IMAP當(dāng)應(yīng)用于船舶邊界網(wǎng)絡(luò)防護(hù)時(shí)，船舶網(wǎng)絡(luò)防火墻應(yīng)具備惡意代碼防護(hù)能力，包http船舶網(wǎng)絡(luò)防火墻應(yīng)具有抗拒絕服務(wù)攻擊（抗DoS）（：ICMPFloodUDPFloodSYNFloodLandICMP當(dāng)通過(guò)門戶網(wǎng)站/webweb、數(shù)據(jù)庫(kù)、應(yīng)用、自動(dòng)化工具等攻擊防護(hù)能力。應(yīng)支持對(duì)安全配置、日志等信息進(jìn)行備份，且備份過(guò)程不應(yīng)影響設(shè)備或系統(tǒng)的多次認(rèn)證失敗后應(yīng)支持設(shè)置鎖定，嘗試次數(shù)、鎖定時(shí)長(zhǎng)可設(shè)置，且該機(jī)制應(yīng)能在應(yīng)在所有授權(quán)帳戶、主機(jī)和用戶請(qǐng)求執(zhí)行任何操作之前，對(duì)每個(gè)授權(quán)帳戶、主機(jī)審計(jì)①試圖登錄船舶網(wǎng)絡(luò)防火墻管理端口和管理身份鑒別請(qǐng)求；②對(duì)船舶網(wǎng)絡(luò)防火墻系統(tǒng)所有配置操作，包括但不限于IP地址設(shè)置，路由設(shè)置，管理用戶的增加、刪除、修改，安全策略的配置等；③日志信息的備份、刪除、查找等；④從內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)發(fā)起的試圖穿越或到達(dá)船舶網(wǎng)絡(luò)防火墻的違反安全策略的訪問(wèn)請(qǐng)求；⑤被訪問(wèn)控制策略允許、禁止的訪問(wèn)請(qǐng)求；⑥檢測(cè)到的攻擊行為；⑦其他應(yīng)該記錄的事件信息；①數(shù)據(jù)包的協(xié)議類型、源地址、目標(biāo)地址、源端口和目標(biāo)端口；②訪問(wèn)控制發(fā)生的時(shí)間，包括年、月、日、時(shí)、分、秒；③產(chǎn)生日志記錄的訪問(wèn)控制策略執(zhí)行結(jié)果；④攻擊事件其他需要描述的信息；⑤船舶網(wǎng)絡(luò)防火墻操作事件發(fā)生的時(shí)間，包括年、月、日、時(shí)、分、秒；⑥執(zhí)行操作的用戶、執(zhí)行操作的結(jié)果；⑦應(yīng)根據(jù)日志內(nèi)容設(shè)置日志級(jí)別，包括但不限于調(diào)試、信息、警告、錯(cuò)誤等多個(gè)級(jí)別；管理①記錄、日志、報(bào)告、設(shè)置和工具等審計(jì)信息應(yīng)受到保護(hù)，防止未經(jīng)授權(quán)的訪②應(yīng)提供能查閱日志的工具，具備對(duì)審計(jì)事件以時(shí)間、日期、主體標(biāo)識(shí)、客體標(biāo)識(shí)等條件檢索的能力；③管理日志（顯示管理活動(dòng)）和事件日志（顯示流量活動(dòng)）應(yīng)支持寫入備用存儲(chǔ)以備定期審查；④日志應(yīng)采用SYSLOG格式存儲(chǔ)或兼容格式進(jìn)行存儲(chǔ)；⑤宜支持第三方日志管理系統(tǒng)對(duì)船舶網(wǎng)絡(luò)防火墻日志信息進(jìn)行集中收集、存儲(chǔ)；⑥至少保存6個(gè)月的日志記錄，以備查。第4節(jié)性能要求應(yīng)說(shuō)明船舶網(wǎng)絡(luò)防火墻的性能參數(shù)，至少包括吞吐量、延遲、最大并發(fā)數(shù)以及第5節(jié)安全要求船舶網(wǎng)絡(luò)防火墻應(yīng)能在CCS412滿足CCS。CCS13當(dāng)船舶網(wǎng)絡(luò)防火墻的硬件載體有規(guī)定的技術(shù)要求時(shí)，除滿足本文件要求外，還CCS7.3（A1至C2.51.6CSCCS環(huán)境試驗(yàn)項(xiàng)目 表試驗(yàn)項(xiàng)目1ABCA1B1B2C1C2外觀檢查2XXXX絕緣電阻測(cè)量XXXXX能源波動(dòng)試驗(yàn)XXXXX能源故障試驗(yàn)XXXXX振動(dòng)試驗(yàn)X1)3X(Fc.1)X(Fc.1)X(Fc.1)X(Fc.1)高溫試驗(yàn)2X(B.1)X(B.1)X(B.2)X(B.2)低溫試驗(yàn)--X(A.1)X(A.1)X(A.1)X(A.1)交變濕熱試驗(yàn)--X(Db.1)X(Db.1)X(Db.1)X(Db.1)恒定濕熱試驗(yàn)X(Cab.1)耐電壓試驗(yàn)XXXXX外殼防護(hù)實(shí)驗(yàn)X(IP20)X(IP20)X(IP20)X(IP20)X(IP22)滯燃試驗(yàn)適用于有塑料部件的設(shè)備電磁兼容試驗(yàn)XEC4)1C7.32X3括號(hào)內(nèi)表示對(duì)應(yīng)試驗(yàn)項(xiàng)目的試驗(yàn)要求，F(xiàn)1A.B.1Cb.D.1為60062對(duì)4開(kāi)敞甲板和駕駛室用E，一般配電區(qū)域內(nèi)應(yīng)用。船舶網(wǎng)絡(luò)防火墻應(yīng)具備所聲明的功能，并確保產(chǎn)品自身安全性，不應(yīng)存在惡意應(yīng)采用“最小特權(quán)”原則，默認(rèn)拒絕所有入站流量，只允許規(guī)則授權(quán)的流量通過(guò)。。當(dāng)船舶網(wǎng)絡(luò)防火墻組件或系統(tǒng)需采用加密時(shí)，應(yīng)根據(jù)國(guó)際公認(rèn)或經(jīng)過(guò)證明的方2048bitsRSA；256bits，密碼強(qiáng)度不低于AES。船舶網(wǎng)絡(luò)防火墻應(yīng)能傳輸流量、帶寬、異常狀態(tài)等報(bào)警信息，并在報(bào)警狀態(tài)改船舶網(wǎng)絡(luò)防火墻在非正常條件（比如掉電、強(qiáng)行關(guān)機(jī)）當(dāng)船舶網(wǎng)絡(luò)防火墻異常斷電時(shí)，應(yīng)根據(jù)應(yīng)用場(chǎng)景使船舶網(wǎng)絡(luò)防火墻內(nèi)部接口與用于船舶系統(tǒng)/船舶網(wǎng)絡(luò)防火墻宜支持多種工作模式，保證船舶網(wǎng)絡(luò)防火墻在部署、維護(hù)和工作過(guò)程中對(duì)被防護(hù)系統(tǒng)的最小影響。應(yīng)制定安裝、升級(jí)及運(yùn)維等操作的指導(dǎo)性文件，遠(yuǎn)程維護(hù)時(shí)還應(yīng)滿足《船舶網(wǎng)絡(luò)安全指南》第4.3.16條的要求。應(yīng)參照CCS.22第3章船舶網(wǎng)絡(luò)防火墻檢驗(yàn)要求第1節(jié)資料審查CCS提交資料 表序號(hào)需提交的文件說(shuō)明供應(yīng)商1軟件質(zhì)量計(jì)劃質(zhì)量計(jì)劃（質(zhì)量管理體系支撐材料、軟件開(kāi)發(fā)生命周期的質(zhì)量計(jì)劃）?2生命周期支持文檔應(yīng)建立用于開(kāi)發(fā)和維護(hù)防火墻的生命周期支持程序?3脆弱性分析文檔說(shuō)明在預(yù)期使用環(huán)境中是否存在明顯可利用的脆弱性，如有，需明確說(shuō)明該脆弱性對(duì)于認(rèn)證產(chǎn)品不構(gòu)成威脅或是不能利用的?4說(shuō)明書(shū)產(chǎn)品硬件和軟件版本、相關(guān)功能及性能描述，產(chǎn)品規(guī)格說(shuō)明，如接口、環(huán)境條件等?5配置文件產(chǎn)品各功能的推薦配置?6用戶手冊(cè)產(chǎn)品操作、安裝、維護(hù)和使用手冊(cè)?7維護(hù)計(jì)劃維護(hù)內(nèi)容、方式、記錄等?8事件響應(yīng)及恢復(fù)計(jì)劃制定響應(yīng)、備份、恢復(fù)等計(jì)劃方案?9型式試驗(yàn)報(bào)告（環(huán)境試驗(yàn)）完成震動(dòng)、高低溫等試驗(yàn)?10型式試驗(yàn)大綱（性能和功能試驗(yàn)）測(cè)試內(nèi)容、流程等?11型式試驗(yàn)報(bào)告（性能和功能試驗(yàn)）—?注：表中采用的符號(hào)及其含義如下:?提交CCS批準(zhǔn) ?提交CCS備查 ?需CCS船見(jiàn)證CCS13CCSCCSCCS2節(jié)3節(jié)33.2.2試等測(cè)試。CCS132；；；2.55.。CCS第2節(jié)測(cè)試準(zhǔn)備制造商應(yīng)根據(jù)第2（1）1（）①外網(wǎng)客戶端訪問(wèn)內(nèi)網(wǎng)服務(wù)器；內(nèi)網(wǎng)外網(wǎng)內(nèi)網(wǎng)外網(wǎng)船舶防火墻服務(wù)器/客戶端服務(wù)器/客戶端圖（1）測(cè)試環(huán)境（2）2（）域被保護(hù)區(qū)域的服務(wù)器劃分至DMZ①內(nèi)網(wǎng)客戶端訪問(wèn)外網(wǎng)服務(wù)器；DMZ內(nèi)網(wǎng)外網(wǎng)DMZ服務(wù)器船舶防火墻內(nèi)網(wǎng)外網(wǎng)DMZ服務(wù)器船舶防火墻服務(wù)器/客戶端客戶端圖（2）測(cè)試環(huán)境2測(cè)試環(huán)境中可采用虛擬客戶端服務(wù)器模擬多個(gè)用戶或主機(jī)的數(shù)據(jù)源/船舶網(wǎng)絡(luò)防火墻的性能測(cè)試可采用專用性能測(cè)試儀，測(cè)試儀接口直接連接防火考慮規(guī)則集大小對(duì)被測(cè)設(shè)備功能和性能的影響，測(cè)試中應(yīng)采用不同規(guī)模的規(guī)則集完成測(cè)試，且被測(cè)規(guī)則應(yīng)配置在規(guī)則集末尾而不是開(kāi)頭?？紤]當(dāng)請(qǐng)求通過(guò)緩存代理時(shí)，緩存代理會(huì)嘗試從其緩存提供響應(yīng)服務(wù)。船舶網(wǎng)考慮