本規(guī)范由中華人民共和國公安部公共信息網絡安全監(jiān)察局提出.
本規(guī)范起草單位:公安部計算機信息系統(tǒng)安全產品質量監(jiān)督檢驗中心.
公安部計算機信息系統(tǒng)安全產品質量監(jiān)督檢驗中心負責對本規(guī)范的解釋,提升和更改.
信息技術個人防火墻產品安全檢驗規(guī)范
1 范圍
本規(guī)范規(guī)定了信息技術-個人防火墻產品的安全功能要求和保證要求.
本規(guī)范適用于信息技術-個人防火墻產品的生產及檢測.
2 術語和定義
2.1 個人防火墻
個人防火墻是一個位于單臺PC之上的軟件.它可以截取PC上進行的入站和出站 TCP/IP網絡連接嘗試,并使用預先定義的規(guī)則允許和禁止其連接.
信息技術-個人防火墻產品的安全功能
3.1 IP 數(shù)據(jù)包過濾
依據(jù)TCP/IP協(xié)議中的網絡數(shù)據(jù)包的數(shù)據(jù)格式約定,每一條匹配規(guī)則應由下列要素組成:
a) 數(shù)據(jù)包方向(連接發(fā)起方/接收方);
b) 遠程IP地址(任何IP地址/指定IP地址/指定IP地址范圍);
c) 協(xié)議的匹配
具體協(xié)議至少應包括:
1) ICMP數(shù)據(jù)包過濾
根據(jù) ICMP 網絡數(shù)據(jù)包中的類型和代碼字段進行設定,當匹配到相同類型和代碼字段時則按對應規(guī)則中的數(shù)據(jù)包處理方式進行處理;
2) UDP數(shù)據(jù)包過濾
根據(jù)UDP網絡數(shù)據(jù)包中的本地端口(包括單一端口和〈或〉端口范圍)和〈或〉遠程端口(包括單一端口和〈或〉端口范圍)進行規(guī)則匹配.
TCP數(shù)據(jù)包過濾
根據(jù)TCP網絡數(shù)據(jù)包中的本地端口(包括單一端口和〈或〉端口范圍)和〈或〉遠程端口(包括單一端口和〈或〉端口范圍),以及TCP數(shù)據(jù)包的標志位進行規(guī)則匹配過濾.
過濾動作
個人防火墻產品應具有對數(shù)據(jù)包進行下述過濾動作的能力:
a) 攔截;
b) 通行;
c) 繼續(xù)匹配下一規(guī)則.
3.3 安全規(guī)則的修訂:
a) 用戶能選擇使用或棄用單機保護防入侵產品提供的安全規(guī)則;
用戶能根據(jù)3.1中的格式規(guī)定添加,刪除,修改自定義安全規(guī)則.
3.4 對特定網絡攻擊數(shù)據(jù)包的攔截:
a) 個人防火墻產品應具備對于一些特定攻擊的抵擋及防御能力;
b) 配合抵御攻擊的能力,個人防火墻產品宜具備建立可更新的攻擊特征庫的能力.
3.5 應用程序網絡訪問控制
個人防火墻產品的安全功能應能控制每個應用程序使用Internet網絡權限,對應用程序網絡訪問控制包括以下三種方式:
允許訪問:允許該程序使用網絡;
禁止訪問:禁止該程序使用網絡;
網絡訪問時詢問:當應用程序訪問網絡時,個人防火墻產品應對其將進行的訪問操作向用戶提供詳細的報告及詢問,根據(jù)詢問結果對應用程序訪問網絡的行為進行處理.
3.6 網絡快速切斷/恢復
以快捷的方式切斷/恢復所有網絡通訊.
3.7 包過濾,網絡攻擊的日志記錄:
a) 應提供一個網絡通訊日志,便于用戶查閱網絡系統(tǒng)近況.日志數(shù)據(jù)項的內部數(shù)據(jù)結構定義可參考如下:
通訊日期 8字節(jié)
通訊時間 6字節(jié)
接受/發(fā)送/攔截情況 1字節(jié)(三種情況分別用0,1,2表示)
對方IP地址 12字節(jié)
本機端口 5字節(jié)
對方端口 5字節(jié)
備注 50字節(jié)(受攻擊種類或內部通訊程序)
b) 系統(tǒng)應提供日志的清空功能.
c) 日志信息應為人所能理解的.
d) 日志信息應存儲在永久性存儲介質中.
3.8 網絡攻擊的報警
根據(jù)匹配系統(tǒng)指定規(guī)則發(fā)現(xiàn)異常網絡數(shù)據(jù)包,個人防火墻產品應以一定方式警告用戶,以及提示用戶采取哪些措施.
3.9 產品自身安全
a) 個人防火墻產品應能抵御已知手段攻擊,保證其正常運行不受影響.
b) 若產品具有屏蔽外部站點的安全功能要求(如控制孩子上網),則其管理控制還需具備基本的身份鑒別功能.
4 個人防火墻產品的保證要求
4.1 交付和運行
4.1.1交付過程
4.1.1.1 開發(fā)者行為元素:
a) 開發(fā)者應將把個人防火墻產品及其部分交付給用戶的程序文檔化;
b) 開發(fā)者應使用交付程序.
4.1.1.2 證據(jù)元素的內容和表示
交付文檔應描述,在給用戶方分配個人防火墻產品的版本時,用以維護安全所必需的所有程序.
4.1.2 安裝,生成和啟動程序
4.1.2.1 開發(fā)者行為元素
開發(fā)者應將個人防火墻產品安全地安裝,生成和啟動所必需的程序文檔化.
4.1.2.2 證據(jù)元素的內容和表示
文檔應描述個人防火墻產品安全地安裝,生成和啟動所必要的步驟.
4.2 指導性文檔
4.2.1 管理員指南
4.2.1.1 開發(fā)者行為元素
開發(fā)者應當提供針對系統(tǒng)管理員的管理員指南.
4.2.1.2 證據(jù)的內容和形式元素:
a) 管理員指南應當描述個人防火墻產品管理員可使用的管理功能和接口;
b) 管理員指南應當描述如何以安全的方式管理個人防火墻產品;
c) 管理員指南應當包含在安全處理環(huán)境中必須進行控制的功能和權限的警告;
d) 管理員指南應當描述所有與個人防火墻產品的安全運行有關的用戶行為的假設;
e) 管理員指南應當描述所有受管理員控制的安全參數(shù),合適時,應指明安全值;
f) 管理員指南應當描述每一種與需要執(zhí)行的管理功能有關的安全相關事件,包括改變TSF所控制的實體的安全特性;
g) 管理員指南應當與為評估而提供的其他所有文檔保持一致;
h) 管理員指南應當描述與管理員有關的IT環(huán)境的所有安全要求.
4.2.2 用戶指南
4.2.2.1 開發(fā)者行為元素
開發(fā)者應當提供用戶指南.
4.2.2.2 證據(jù)的內容和形式元素:
a) 用戶指南應該描述個人防火墻產品的非管理用戶可用的功能和接口;
b) 用戶指南應該描述個人防火墻產品提供的用戶可訪問的安全功能的用法;
c) 用戶指南應該包含受安全處理環(huán)境中所控制的用戶可訪問的功能和權限的警告;
d) 用戶指南應該清晰地闡述個人防火墻產品安全運行中用戶所必須負的職責,包括有關在個人防火墻產品安全環(huán)境闡述中找得到的用戶行為的假設;
e) 用戶指南應該與為評估而提供的其它所有文檔保持一致;
f) 用戶指南應該描述與用戶有關的IT環(huán)境的所有安全要求.
5 個人防火墻產品安全技術要求的等級劃分
依據(jù)信息技術-個人防火墻產品的開發(fā),生產現(xiàn)狀及實際應用情況,我們對個人防火墻產品的安全功能要求劃分成二個等級.
個人防火墻產品安全技術要求等級劃分如表1所示.
表1 信息技術-個人防火墻產品安全等級劃分表
| 安全功能類 | 基本要求 | 增強要求 |
| 數(shù)據(jù)包過濾 |
√ |
√ |
| 安全規(guī)則的修訂(a) |
√ |
√ |
| 安全規(guī)則的修訂(b) |
√ | |
| 對特定網絡攻擊數(shù)據(jù)包的攔截(a) |
√ |
√ |
| 對特定網絡攻擊數(shù)據(jù)包的攔截(b) |
√ | |
| 應用程序網絡訪問控制 |
√ | |
| 網絡快速切斷/恢復 |
√ | |
| 包過濾、網絡攻擊的日志記錄 |
√ |
√ |
| 網絡攻擊的報警 |
√ |
√ |
| 產品自身安全 |
√ |
√ |
| 保證要求 |
√ |
√ |
a 基本要求:為個人防火墻產品的最底安全級別。
b 增強要求:為進一步提升產品安全功能的附加要求。
68476636-8007)
