標(biāo)準(zhǔn)編號:	GB/T 20281-2020
中文名稱:	信息安全技術(shù) 防火墻安全技術(shù)要求和測試評價方法
英文名稱:	Information security technology—Security technical requirements and testing assessment approaches for firewall
中標(biāo)分類:	L80    數(shù)據(jù)加密
行業(yè)分類:	GB    國家標(biāo)準(zhǔn)
ICS分類:	35.040 35.040    字符集和信息編碼 35.040
發(fā)布機(jī)構(gòu):	國家市場監(jiān)督管理總局 國家標(biāo)準(zhǔn)化管理委員會
發(fā)布日期:	2020-04-28
實施日期:	2020-11-1
標(biāo)準(zhǔn)狀態(tài):	valid
替代舊標(biāo)準(zhǔn):	GB/T 20010-2005 信息安全技術(shù) 包過濾防火墻評估準(zhǔn)則 GB/T 20281-2015 信息安全技術(shù) 防火墻安全技術(shù)要求和測試評價方法 GB/T 31505-2015 信息安全技術(shù) 主機(jī)型防火墻安全技術(shù)要求和測試評價方法 GB/T 32917-2016 信息安全技術(shù) WEB應(yīng)用防火墻安全技術(shù)要求與測試評價方法
翻譯語言:	英文
文件格式:	PDF
中文字符數(shù):	50000 字
翻譯價格(元):	1300.0
交付時間:	付款后 1 個工作日

Codeofchina.com is in charge of this English translation. In case of any doubt about the English translation, the Chinese original shall be considered authoritative. This standard is prepared in accordance with the rules given in GB/T 1.1-2009. This standard replaces GB/T 20010-2005 Information security technology—Packet filtering firewalls evaluation criteria, GB/T 20281-2015 Information security technology—Security technical requirements and testing and evaluation approaches for firewall, GB/T 31505-2015 Information security technology—Technique requirements and testing and evaluation approaches for host-based firewall and personal firewall, and GB/T 32917-2016 Information security technology—Security technique requirements and testing and evaluation approaches for WEB application firewall. This standard is developed by reference to GB/T 20281-2015 and integrates some contents of GB/T 20010-2005, GB/T 31505-2015 and GB/T 32917-2016. In addition to editorial changes, the following main technical changes have been made with respect to GB/T 20281-2015: ——The definitions of “network-based firewall”, “database firewall", "WEB application firewall" and “host-based firewall” are added (see Clause 3 hereof); ——The “General” is modified (see Clause 5 hereof; Clause 5 of Edition 2015); ——The requirements of "equipment virtualization” are added (see 6.1.1.4 hereof); ——The requirements of "application content control" are modified (see 6.1.3.3 hereof; 6.2.1.2 and 6.3.1.2 of Edition 2015); ——The requirements of "attack protection" are added (see 6.1.4 hereof); ——The requirements of "security audit and analysis" are added (see 6.1.5); ——The performance requirements of "hybrid application layer throughput", "HTTP throughput", "HTTP request rate", "SQL request rate", "number of concurrent HTTP connections" and "number of concurrent SQL connections" are added (see 6.3.1.2, 6.3.1.3, 6.3.3.2, 6.3.3.3, 6.3.4.2 and 6.3.4.3 hereof); ——Normative annexes are added (see Annexes A and B). Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. The issuing body of this standard shall not be held responsible for identifying any or all such patent rights. This standard was proposed by and is under the jurisdiction of SAC/TC 260 National Technical Committee on Information Security of Standardization Administration of China. The previous editions of this standard are as follows: ——GB/T 20010-2005; ——GB/T 20281-2006, GB/T 20281-2015; ——GB/T 31505-2015; ——GB/T 32917-2016. Information security technology— Security technical requirements and testing assessment approaches for firewall 1 Scope This standard specifies the classification, security technical requirements and testing assessment approaches of firewalls. This standard is applicable to the design, development and testing of firewall. 2 Normative references The following referenced documents are indispensable for the application of this standard. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies. GB/T 18336.3-2015 Information technology—Security techniques—Evaluation criteria for IT security—Part 3: Security assurance components GB/T 25069-2010 Information security technology—Glossary 3 Terms and definitions For the purposes of this document, the terms and definitions given in GB/T 25069-2010 and the following apply. 3.1 firewall network security product capable of analyzing the passed data flow and realizing access control and security protection functions Note: According to different security purposes and implementation principles, it may generally be classified into network firewall, WEB application firewall, database firewall and host firewall. 3.2 network-based firewall network security product deployed between different security domains which is capable of analyzing the passed data flow, and has the functions of access control and security protection of network layer and application layer ? 3.3 web application firewall network security product deployed in the front end of WEB server which is capable of analyzing the HTTP/HTTPS access and response data flowing through, and has the functions of access control and security protection of WEB applications 3.4 database firewall network security product deployed in the front end of the database server which is capable of analyzing the database access and response data flowing through, and has the functions of database access control and security protection 3.5 host-based firewall network security product deployed on computers (including personal computers and servers) that provides network layer access control, application access restrictions, and attack protection 3.6 reverse proxy deployment mode used as a server-side proxy to accept requests from clients instead of the server, then forward the requests to the internal server, and return the results from the server to the requesting client 3.7 drag attack malicious act of downloading database data or database data files in batches through unauthorized access to the database or the operating system where the database is located 3.8 account credential enumeration attack malicious act of attempting to collide with database data in batch Note: for example, generate the corresponding dictionary table by collecting the leaked and known user and password information, and attempt to log in to other application systems in batch ? 4 Abbreviations For the purposes of this document, the following abbreviations apply. BGP: Border Gateway Protocol CSRF: Cross-site request forgery DMZ: Demilitarized Zone DNAT: Destination NAT FTP: File Transfer Protocol HTTP: Hypertext Transfer Protocol HTTPS: Hypertext Transfer Protocol over Secure Socket Layer ICMP: Internet Control Messages Protocol IMAP: Internet Mail Access Protocol IP: Internet Protocol IPV6: Internet Protocol V6 ISATAP: Intra-Site Automatic Tunnel Addressing Protocol MAC: Media Access Control NAT: Network Address Translation NTP: Network Time Protocol OSPF: Open Shortest Path First P2P: Peer-to-peer RIP: Routing Information Protocol SNAT: Source NAT SNMP: Simple Network Management Protocol SQL: Structured Query Language SYSLOG: System Log URL: Uniform Resource Locator WEB: World Wide WEB XSS: Cross Site Scripting 5 General Firewall is a network security product which acts between different security domains and has the functions of access control and security protection. It is mainly classified into network-based firewall, WEB application firewall, database firewall, host-based firewall or their combination. The security technical requirements of firewall are divided into four categories: security function requirements, self security requirements, performance requirements and security assurance requirements. Where, the security function requirements put forward specific requirements for the security functions that firewalls shall have, including networking and deployment, network layer control, application layer control, attack protection and security audit and analysis; self-security requirements put forward specific requirements for the self security of firewall, including identification and authentication, management ability, management audit, management mode and security support system; the performance requirement is to specify the performance index that the firewall shall achieve, including throughput, delay, connection rate and concurrent connection number; and the security assurance requirements put forward specific requirements for the life cycle process of firewall, including development, guidance documents, life cycle support, testing and vulnerability assessment. The firewall is classified into basic level and enhanced level. The strength of security function and its self security and the level of security assurance requirements are the specific basis for the level division, and the level highlights the security characteristics. Among them, the security assurance requirements of basic-level products correspond to EAL2 level of GB/T 18336.3-2015, and the security assurance requirements of enhanced-level products correspond to EAL4+ level of GB/T 18336.3-2015. See Annex A for specific security technical requirements and classification of various firewalls (referred to as "products"), and Annex B for testing assessment approach and classification. ? 6 Security technical requirements 6.1 Security functional requirements 6.1.1 Networking and deployment 6.1.1.1 Deployment mode The products shall support the following deployment modes: a) Transparent transmission mode; b) Route forwarding mode; and c) Reverse proxy mode. 6.1.1.2 Routing 6.1.1.2.1 Static routing The products shall support static routing function and be capable of configuring static routing. 6.1.1.2.2 Policy routing Products with multiple network interfaces with the same attributes (multiple external network interfaces, multiple internal network interfaces, or multiple DMZ network interfaces) shall support policy routing capabilities, including but not limited to: a) Policy routing based on source and destination IP; b) Policy routing based on interface; c) Policy routing based on protocol and port; d) Policy routing based on application type; and e) Automatic routing based on multi-link load conditions. 6.1.1.2.3 Dynamic routing The products shall support dynamic routing capabilities, including one or more dynamic routing protocols in RIP, OSPF or BGP. 6.1.1.3 High availability 6.1.1.3.1 Redundant deployment The products shall support one or more redundant deployment modes in "master-standby", "master-master" or "cluster”. 6.1.1.3.2 Load balancing The products shall support load balancing, which can balance network traffic to multiple servers according to security policies. 6.1.1.4 Device virtualization (optional) 6.1.1.4.1 Virtual system If the product supports logical classification into multiple virtual subsystems, isolation and independent management shall be supported among virtual subsystems, including but not limited to: a) Set administrators for the virtual subsystem respectively to realize the management configuration for the virtual subsystem; b) The virtual subsystem is able to maintain routing table, security policy and log system respectively; c) Limit the resource usage quota of the virtual subsystem. 6.1.1.4.2 Virtualization deployment If the product is virtualized, it shall support deployment on the virtualization platform and accept the unified management of the platform, including but not limited to: a) Support for deployment on a virtualization platform such as VMware ESxi, KVM, Citrix xenserver, Hyper-V, etc. b) Realize elastic expansion of product resources in combination with virtualization platform, and dynamically adjust resources according to the load situation of virtualization products; c) Realize failover in combination with virtualization platform, and automatically update and replace virtualization products when they fail. ? 6.1.1.5 IPv6 support (optional) 6.1.1.5.1 Support of IPv6 network environment If the product supports IPv6, it shall support the normal operation under IPv6 network environment, which can effectively run its security functions and its self security functions. 6.1.1.5.2 Protocol conformance If the product supports IPv6, it shall meet the requirements of IPv6 protocol conformance, including at least IPv6 core protocol, IPv6 NDP protocol, IPv6 Autoconfig protocol and ICMPv6 protocol. 6.1.1.5.3 Protocol robustness If the product supports IPv6, it shall meet the requirements of IPv6 protocol robustness, which can resist the attack of abnormal protocol message under IPv6 network environment. 6.1.1.5.4 Support of IPv6 transition network environment If the product supports IPv6, it shall support operation in one or more of the following IPv6 transition network environments: a) Protocol conversion, which converts IPv4 and IPv6 protocols to each other; b) Tunnel, which encapsulates IPv6 in IPv4 and traverses IPv4 network, such as IPv6 over IPv4, IPv6 to IPv4, ISATAP, etc. 6.1.2 Network layer control 6.1.2.1 Access control 6.1.2.1.1 Packet filtering The packet filtering function requirements of the product are as follows: a) The security policy shall use the minimum security principle, that is, prohibited unless explicitly allowed; b) The security policy shall include access control based on source IP address and destination IP address; c) The security policy shall include access control based on source port and destination port; d) The security policy shall include access control based on protocol type; e) The security policy shall include access control based on MAC address; f) The security policy shall include time-based access control; g) The user-defined security policy shall be supported, including partial or full combination of MAC address, IP address, port, protocol type and time. 6.1.2.1.2 Network address translation The network address translation function requirements of the product are as follows: a) Support SNAT and DNAT; b) SNAT shall realize "many-to-one" address translation, so that when the internal network host accesses the external network, its source IP address is translated. c) DNAT shall realize "one-to-many" address translation, and map the IP address/port of DMZ to the legal IP address/port of external network, so that the external network host can access the DMZ server by accessing the mapped address and port; d) Support dynamic SNAT technology and realize "many-to-many" SNAT.

Foreword i 1 Scope 2 Normative references 3 Terms and definitions 4 Abbreviations 5 General 6 Security technical requirements 6.1 Security functional requirements 6.2 Self security requirements 6.3 Performance requirements 6.4 Security assurance requirements 7 Testing assessment approach 7.1 Testing assessment environment 7.2 Testing assessment of security function 7.3 Testing assessment of self security 7.4 Testing assessment of performance 7.5 Testing assessment of security assurance Annex A (Normative) Classification of firewalls and classification of security technical requirements A.1 General A.2 Network-based firewall A.3 Web application firewall A.4 Database firewall A.5 Host-based firewall Annex B (Normative) Classification of firewall and testing assessment approach B.1 General B.2 Network-based firewall B.3 Web application firewall B.4 Database firewall B.5 Host-based firewall

信息安全技術(shù) 防火墻安全 技術(shù)要求和測試評價方法 1 范圍 本標(biāo)準(zhǔn)規(guī)定了防火墻的等級劃分、安全技術(shù)要求及測評方法。 本標(biāo)準(zhǔn)適用于防火墻的設(shè)計、開發(fā)與測試。 2 規(guī)范性引用文件 下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。 GB/T 18336.3—201 5 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則 第3部分：安全保障組件 GB/T 25069—2010 信息安全技術(shù) 術(shù)語 3 術(shù)語和定義 GB/T 25069—2010界定的以及下列術(shù)語和定義適用于本文件。 3.1 防火墻 firewall 對經(jīng)過的數(shù)據(jù)流進(jìn)行解析，并實現(xiàn)訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。 注：根據(jù)安全目的、實現(xiàn)原理的不同，通?？煞譃榫W(wǎng)絡(luò)型防火墻、WEB應(yīng)用防火墻、數(shù)據(jù)庫防火墻和主機(jī)型防火墻等。 3.2 網(wǎng)絡(luò)型防火墻 network-based firewall 部署于不同安全域之間，對經(jīng)過的數(shù)據(jù)流進(jìn)行解析，具備網(wǎng)絡(luò)層、應(yīng)用層訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。 3.3 WEB應(yīng)用防火墻 web application firewall 部署于WEB服務(wù)器前端，對流經(jīng)的HTTP/HTTPS訪問和響應(yīng)數(shù)據(jù)進(jìn)行解析，具備WEB應(yīng)用的訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。 3.4 數(shù)據(jù)庫防火墻 database firewall 部署于數(shù)據(jù)庫服務(wù)器前端，對流經(jīng)的數(shù)據(jù)庫訪問和響應(yīng)數(shù)據(jù)進(jìn)行解析，具備數(shù)據(jù)庫的訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。 3.5 主機(jī)型防火墻 host-based firewall 部署于計算機(jī)(包括個人計算機(jī)和服務(wù)器)上，提供網(wǎng)絡(luò)層訪問控制、應(yīng)用程序訪問限制和攻擊防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。 3.6 反向代理 reverse proxy 作為服務(wù)器端的代理使用，代替服務(wù)器接受來自客戶端的請求，然后將請求轉(zhuǎn)發(fā)給內(nèi)部服務(wù)器，并將從服務(wù)器上得到的結(jié)果返回給請求客戶端的一種部署模式。 3.7 拖庫攻擊 drag attack 通過非授權(quán)獲得數(shù)據(jù)庫訪問或數(shù)據(jù)庫所在操作系統(tǒng)的權(quán)限，批量下載數(shù)據(jù)庫中數(shù)據(jù)或數(shù)據(jù)庫數(shù)據(jù)文件的惡意行為。 3.8 撞庫攻擊 account credential enumeration attack 批量嘗試碰撞數(shù)據(jù)庫數(shù)據(jù)的惡意行為。 注：如通過收集已泄露、已知的用戶和密碼信息，生成對應(yīng)的字典表，并以此批量嘗試登錄其他的應(yīng)用系統(tǒng)。 4 縮略語 下列縮略語適用于本文件。 BGP：邊界網(wǎng)關(guān)協(xié)議(Border Gateway Protocol) CSRF：跨站請求偽造(Cross-site request forgery) DMZ：非軍事化區(qū)(Demilitarized Zone) DNAT：目的網(wǎng)絡(luò)地址轉(zhuǎn)換(Destination NAT) FTP：文件傳輸協(xié)議(File Transfer Protocol) HTTP：超文本傳輸協(xié)議(Hypertext Transfer Protocol) HTTPS：安全超文本傳輸協(xié)議(Hypertext Transfer Protocol over Secure Socket Layer) ICMP：網(wǎng)間控制報文協(xié)議(Internet Control Messages Protocol) IMAP：互聯(lián)網(wǎng)郵件訪問協(xié)議(Internet Mail Access Protocol) IP：網(wǎng)際協(xié)議(Internet Protocol) IPV6：互聯(lián)網(wǎng)協(xié)議第六版(Internet Protocol V6) ISATAP：站內(nèi)自動隧道尋址協(xié)議(Intra-Site Automatic Tunnel Addressing Protocol) MAC：介質(zhì)訪問控制(Media Access Control) NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation) NTP：網(wǎng)絡(luò)時間協(xié)議(Network Time Protocol) OSPF：開放式最短路徑優(yōu)先(Open Shortest Path First) P2P：對等網(wǎng)絡(luò)(Peer-to-peer) RIP：路由信息協(xié)議(Routing Information Protocol) SNAT：源網(wǎng)絡(luò)地址轉(zhuǎn)換(Source NAT) SNMP：簡單網(wǎng)絡(luò)管理協(xié)議(Simple Network Management Protocol) SQL：結(jié)構(gòu)化查詢語言(Structured Query Language) SYSLOG：系統(tǒng)日志(System Log) URL：統(tǒng)一資源定位器(Uniform Resource Locator) WEB：萬維網(wǎng)(World Wide WEB) XSS：跨站腳本(Cross Site Scripting) 5 概述 防火墻是作用于不同安全域之間，具備訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品，主要分為網(wǎng)絡(luò)型防火墻、WEB應(yīng)用防火墻、數(shù)據(jù)庫防火墻、主機(jī)型防火墻或其組合。 防火墻的安全技術(shù)要求分為安全功能要求、自身安全要求、性能要求和安全保障要求四個大類。其中，安全功能要求對防火墻應(yīng)具備的安全功能提出具體要求，包括組網(wǎng)與部署、網(wǎng)絡(luò)層控制、應(yīng)用層控制、攻擊防護(hù)和安全審計與分析；自身安全要求針對防火墻的自身安全提出具體的要求，包括身份標(biāo)識與鑒別、管理能力、管理審計、管理方式和安全支撐系統(tǒng)；性能要求則是對防火墻應(yīng)達(dá)到的性能指標(biāo)作出規(guī)定，包括吞吐量、延遲、連接速率和并發(fā)連接數(shù)；安全保障要求針對防火墻的生命周期過程提出具體要求，包括開發(fā)、指導(dǎo)性文檔、生命周期支持、測試和脆弱性評定。 防火墻的等級分為基本級和增強(qiáng)級，安全功能與自身安全的強(qiáng)弱以及安全保障要求的高低是等級劃分的具體依據(jù)，等級突出安全特性。其中，基本級產(chǎn)品的安全保障要求內(nèi)容對應(yīng)GB/T 18336.3—2015的EAL2級，增強(qiáng)級產(chǎn)品的安全保障要求內(nèi)容對應(yīng)GB/T 18336.3—2015的EAL4+級。各類防火墻(簡稱“產(chǎn)品”)的具體安全技術(shù)要求和等級劃分詳見附錄A，測評方法及等級劃分詳見附錄B。 6 安全技術(shù)要求 6.1 安全功能要求 6.1.1 組網(wǎng)與部署 6.1.1.1 部署模式 產(chǎn)品應(yīng)支持以下部署模式： a) 透明傳輸模式； b) 路由轉(zhuǎn)發(fā)模式； c) 反向代理模式。 6.1.1.2 路由 6.1.1.2.1 靜態(tài)路由 產(chǎn)品應(yīng)支持靜態(tài)路由功能，且能配置靜態(tài)路由。 6.1.1.2.2 策略路由 具有多個相同屬性網(wǎng)絡(luò)接口(多個外部網(wǎng)絡(luò)接口、多個內(nèi)部網(wǎng)絡(luò)接口或多個DMZ網(wǎng)絡(luò)接口)的產(chǎn)品，應(yīng)支持策略路由功能，包括但不限于： a) 基于源、目的IP策略路由； b) 基于接口的策略路由； c) 基于協(xié)議和端口的策略路由； d) 基于應(yīng)用類型的策略路由； e) 基于多鏈路負(fù)載情況自動選擇路由。 6.1.1.2.3 動態(tài)路由 產(chǎn)品應(yīng)支持動態(tài)路由功能，包括RIP、OSPF或BGP中一種或多種動態(tài)路由協(xié)議。 6.1.1.3 高可用性 6.1.1.3.1 冗余部署 產(chǎn)品應(yīng)支持“主-備”、“主-主”或“集群”中的一種或多種冗余部署模式。 6.1.1.3.2 負(fù)載均衡 產(chǎn)品應(yīng)支持負(fù)載均衡功能，能根據(jù)安全策略將網(wǎng)絡(luò)流量均衡到多臺服務(wù)器上。 6.1.1.4 設(shè)備虛擬化(可選) 6.1.1.4.1 虛擬系統(tǒng) 若產(chǎn)品支持在邏輯上劃分為多個虛擬子系統(tǒng)，虛擬子系統(tǒng)間應(yīng)支持隔離和獨立管理，包括但不限于： a) 對虛擬子系統(tǒng)分別設(shè)置管理員，實現(xiàn)針對虛擬子系統(tǒng)的管理配置； b) 虛擬子系統(tǒng)能分別維護(hù)路由表、安全策略和日志系統(tǒng)； c) 對虛擬子系統(tǒng)的資源使用配額進(jìn)行限制。 6.1.1.4.2 虛擬化部署 若產(chǎn)品為虛擬化形態(tài)，應(yīng)支持部署于虛擬化平臺，并接受平臺統(tǒng)一管理，包括但不限于： a) 支持部署于一種虛擬化平臺，如VMware ESxi、KVM、Citrix xenserver和Hyper-V等； b) 結(jié)合虛擬化平臺實現(xiàn)產(chǎn)品資源彈性伸縮，根據(jù)虛擬化產(chǎn)品的負(fù)載情況動態(tài)調(diào)整資源； c) 結(jié)合虛擬化平臺實現(xiàn)故障遷移，當(dāng)虛擬化產(chǎn)品出現(xiàn)故障時能實現(xiàn)自動更新、替換。 6.1.1.5 IPv6支持(可選) 6.1.1.5.1 支持IPv6網(wǎng)絡(luò)環(huán)境 若產(chǎn)品支持IPv6，應(yīng)支持在IPv6網(wǎng)絡(luò)環(huán)境下正常工作，能有效運行其安全功能和自身安全功能。 6.1.1.5.2 協(xié)議一致性 若產(chǎn)品支持IPv6，應(yīng)滿足IPv6協(xié)議一致性的要求，至少包括IPv6核心協(xié)議、IPv6 NDP協(xié)議、IPv6 Autoconfig協(xié)議和ICMPv6協(xié)議。 6.1.1.5.3 協(xié)議健壯性 若產(chǎn)品支持IPv6，應(yīng)滿足IPv6協(xié)議健壯性的要求，抵御IPv6網(wǎng)絡(luò)環(huán)境下畸形協(xié)議報文攻擊。 6.1.1.5.4 支持IPv6過渡網(wǎng)絡(luò)環(huán)境 若產(chǎn)品支持IPv6，應(yīng)支持在以下一種或多種IPv6過渡網(wǎng)絡(luò)環(huán)境下工作： a) 協(xié)議轉(zhuǎn)換，將IPv4和IPv6兩種協(xié)議相互轉(zhuǎn)換； b) 隧道，將IPv6封裝在IPv4中穿越IPv4網(wǎng)絡(luò)，如IPv6 over IPv4、IPv6 to IPv4、ISATAP等。 6.1.2 網(wǎng)絡(luò)層控制 6.1.2.1 訪問控制 6.1.2.1.1 包過濾 產(chǎn)品的包過濾功能要求如下： a) 安全策略應(yīng)使用最小安全原則，即除非明確允許，否則就禁止； b) 安全策略應(yīng)包含基于源IP地址、目的IP地址的訪問控制； c) 安全策略應(yīng)包含基于源端口、目的端口的訪問控制； d) 安全策略應(yīng)包含基于協(xié)議類型的訪問控制； e) 安全策略應(yīng)包含基于MAC地址的訪問控制； f) 安全策略應(yīng)包含基于時間的訪問控制； g) 應(yīng)支持用戶自定義的安全策略，安全策略包括MAC地址、IP地址、端口、協(xié)議類型和時間的部分或全部組合。 6.1.2.1.2 網(wǎng)絡(luò)地址轉(zhuǎn)換 產(chǎn)品的網(wǎng)絡(luò)地址轉(zhuǎn)換功能要求如下： a) 支持SNAT和DNAT； b) SNAT應(yīng)實現(xiàn)“多對一”地址轉(zhuǎn)換，使得內(nèi)部網(wǎng)絡(luò)主機(jī)訪問外部網(wǎng)絡(luò)時，其源IP地址被轉(zhuǎn)換； c) DNAT應(yīng)實現(xiàn)“一對多”地址轉(zhuǎn)換，將DMZ的IP地址/端口映射為外部網(wǎng)絡(luò)合法IP地址/端口，使外部網(wǎng)絡(luò)主機(jī)通過訪問映射地址和端口實現(xiàn)對DMZ服務(wù)器的訪問； d) 支持動態(tài)SNAT技術(shù)，實現(xiàn)“多對多”的SNAT。 6.1.2.1.3 狀態(tài)檢測 產(chǎn)品應(yīng)支持基于狀態(tài)檢測技術(shù)的包過濾功能，具備狀態(tài)檢測能力。 6.1.2.1.4 動態(tài)開放端口 產(chǎn)品應(yīng)支持協(xié)議的動態(tài)端口開放，包括但不限于： a) FTP協(xié)議； b) H.323等音視頻協(xié)議。 6.1.2.1.5 IP/MAC地址綁定 產(chǎn)品應(yīng)支持自動或手工綁定IP/MAC地址，當(dāng)主機(jī)的IP地址、MAC地址與IP/MAC綁定表中不一致時，阻止其流量通過。 6.1.2.2 流量管理 6.1.2.2.1 帶寬管理 產(chǎn)品應(yīng)支持帶寬管理功能，能根據(jù)策略調(diào)整客戶端占用的帶寬，包括但不限于： a) 根據(jù)源IP、目的IP、應(yīng)用類型和時間段的流量速率或總額進(jìn)行限制； b) 根據(jù)源IP、目的IP、應(yīng)用類型和時間段設(shè)置保障帶寬； c) 在網(wǎng)絡(luò)空閑時自動解除流量限制，并在總帶寬占用率超過閾值時自動啟用限制。 6.1.2.2.2 連接數(shù)控制 產(chǎn)品應(yīng)支持限制單IP的最大并發(fā)會話數(shù)和新建連接速率，防止大量非法連接產(chǎn)生時影響網(wǎng)絡(luò)性能。 6.1.2.2.3 會話管理 在會話處于非活躍狀態(tài)一定時間或會話結(jié)束后，產(chǎn)品應(yīng)終止會話。 6.1.3 應(yīng)用層控制 6.1.3.1 用戶管控 產(chǎn)品應(yīng)支持基于用戶認(rèn)證的網(wǎng)絡(luò)訪問控制功能，包括但不限于： a) 本地用戶認(rèn)證方式； b) 結(jié)合第三方認(rèn)證系統(tǒng)，如基于Radius、LDAP服務(wù)器的認(rèn)證方式。 6.1.3.2 應(yīng)用類型控制 產(chǎn)品應(yīng)支持根據(jù)應(yīng)用特征識別并控制各種應(yīng)用類型，包括： a) HTTP協(xié)議； b) 數(shù)據(jù)庫協(xié)議； c) FTP、TELNET、SMTP、POP3和IMAP等常見協(xié)議； d) 即時聊天類、P2P類、網(wǎng)絡(luò)流媒體類、網(wǎng)絡(luò)游戲、股票交易類等應(yīng)用； e) 逃逸或隧道加密特點的應(yīng)用，如加密代理類應(yīng)用； f) 自定義應(yīng)用。 6.1.3.3 應(yīng)用內(nèi)容控制 6.1.3.3.1 WEB應(yīng)用 產(chǎn)品應(yīng)支持基于以下內(nèi)容對WEB應(yīng)用的訪問進(jìn)行控制，包括但不限于： a) URL網(wǎng)址，并具備分類網(wǎng)址庫； b) HTTP傳輸內(nèi)容的關(guān)鍵字； c) HTTP請求方式，包括GET、POST、PUT、HEAD等； d) HTTP請求文件類型； e) HTTP協(xié)議頭中各字段長度，包括general-header、request-header、response-header等； f) HTTP上傳文件類型； g) HTTP請求頻率； h) HTTP返回的響應(yīng)內(nèi)容，如服務(wù)器返回的出錯信息等； i) 支持HTTPS流量解密。 6.1.3.3.2 數(shù)據(jù)庫應(yīng)用 產(chǎn)品應(yīng)支持基于以下內(nèi)容對數(shù)據(jù)庫的訪問進(jìn)行控制，包括但不限于： a) 訪問數(shù)據(jù)庫的應(yīng)用程序、運維工具； b) 數(shù)據(jù)庫用戶名、數(shù)據(jù)庫名、數(shù)據(jù)表名和數(shù)據(jù)字段名； c) SQL語句關(guān)鍵字、數(shù)據(jù)庫返回內(nèi)容關(guān)鍵字； d) 影響行數(shù)、返回行數(shù)。 6.1.3.3.3 其他應(yīng)用 產(chǎn)品應(yīng)支持基于以下內(nèi)容對FTP、TELNET、SMTP、POP3和IMAP等應(yīng)用進(jìn)行控制，包括但不限于： a) 傳輸文件類型； b) 傳輸內(nèi)容，如協(xié)議命令或關(guān)鍵字。 6.1.4 攻擊防護(hù) 6.1.4.1 拒絕服務(wù)攻擊防護(hù) 產(chǎn)品具備特征庫，應(yīng)支持拒絕服務(wù)攻擊防護(hù)功能，包括但不限于： a) ICMP Flood攻擊防護(hù)； b) UDP Flood攻擊防護(hù)； c) SYN Flood攻擊防護(hù)； d) TearDrop攻擊防護(hù)； e) Land攻擊防護(hù)； f) Ping of Death攻擊防護(hù)； g) CC攻擊防護(hù)。 6.1.4.2 WEB攻擊防護(hù) 產(chǎn)品具備特征庫，應(yīng)支持WEB攻擊防護(hù)功能，包括但不限于： a) SQL注入攻擊防護(hù)； b) XSS攻擊防護(hù)； c) 第三方組件漏洞攻擊防護(hù)； d) 目錄遍歷攻擊防護(hù)； e) Cookie注入攻擊防護(hù)； f) CSRF攻擊防護(hù)； g) 文件包含攻擊防護(hù)； h) 盜鏈防護(hù)； i) OS命令注入攻擊防護(hù)； 1) WEBshell識別和攔截； k) 反序列化攻擊防護(hù)。 6.1.4.3 數(shù)據(jù)庫攻擊防護(hù) 產(chǎn)品具備特征庫，應(yīng)支持?jǐn)?shù)據(jù)庫攻擊防護(hù)功能，包括但不限于： a) 數(shù)據(jù)庫漏洞攻擊防護(hù)； b) 異常SQL語句阻斷； c) 數(shù)據(jù)庫拖庫攻擊防護(hù)； d) 數(shù)據(jù)庫撞庫攻擊防護(hù)。 6.1.4.4 惡意代碼防護(hù) 產(chǎn)品具備特征庫，應(yīng)支持惡意代碼防護(hù)功能，包括但不限于： a) 能攔截典型的木馬攻擊行為； b) 檢測并攔截被HTTP網(wǎng)頁和電子郵件等攜帶的惡意代碼。 6.1.4.5 其他應(yīng)用攻擊防護(hù) 產(chǎn)品具備特征庫，應(yīng)支持防護(hù)來自應(yīng)用層的其他攻擊，包括但不限于： a) 操作系統(tǒng)類漏洞攻擊防護(hù)； b) 中間件類漏洞攻擊防護(hù)； c) 控件類漏洞攻擊防護(hù)。 6.1.4.6 自動化工具威脅防護(hù) 產(chǎn)品具備特征庫，應(yīng)支持防護(hù)自動化工具發(fā)起的攻擊，包括但不限于： a) 網(wǎng)絡(luò)掃描行為防護(hù)； b) 應(yīng)用掃描行為防護(hù)； c) 漏洞利用T具防護(hù)。 6.1.4.7 攻擊逃逸防護(hù) 產(chǎn)品應(yīng)支持檢測并阻斷經(jīng)逃逸技術(shù)處理過的攻擊行為。 6.1.4.8 外部系統(tǒng)協(xié)同防護(hù) 產(chǎn)品應(yīng)提供聯(lián)動接口，能通過接口與其他網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行聯(lián)動，如執(zhí)行其他網(wǎng)絡(luò)安全產(chǎn)品下發(fā)的安全策略等。 6.1.5 安全審計、告警與統(tǒng)計 6.1.5.1 安全審計 產(chǎn)品應(yīng)支持安全審計功能，包括但不限于： a) 記錄事件類型： 1) 被產(chǎn)品安全策略匹配的訪問請求； 2) 檢測到的攻擊行為。 b) 日志內(nèi)容： 1) 事件發(fā)生的日期和時間； 2) 事件發(fā)生的主體、客體和描述，其中數(shù)據(jù)包日志包括協(xié)議類型、源地址、目標(biāo)地址、源端口和目標(biāo)端口等； 3) 攻擊事件的描述。 c) 日志管理： 1) 僅允許授權(quán)管理員訪問日志，并提供日志查閱、導(dǎo)出等功能； 2) 能對審計事件按日期、時間、主體、客體等條件查詢； 3) 日志存儲于掉電非易失性存儲介質(zhì)中； 4) 日志存儲周期設(shè)定不小于六個月； 5) 存儲空間達(dá)到閾值時，能通知授權(quán)管理員，并確保審計功能的正常運行； 6) 日志支持自動化備份至其他存儲設(shè)備。 6.1.5.2 安全告警 產(chǎn)品應(yīng)支持對6.1.4中的攻擊行為進(jìn)行告警，并能對高頻發(fā)生的相同告警事件進(jìn)行合并告警，避免出現(xiàn)告警風(fēng)暴。告警信息至少包括以下內(nèi)容： a) 事件主體； b) 事件客體； c) 事件描述； d) 危害級別； e) 事件發(fā)生的日期和時間。 6.1.5.3 統(tǒng)計 6.1.5.3.1 網(wǎng)絡(luò)流量統(tǒng)計 產(chǎn)品應(yīng)支持以圖形化界面展示網(wǎng)絡(luò)流量情況，包括但不限于： a) 按照IP、時間段和協(xié)議類型等條件或以上條件組合對網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計； b) 實時或以報表形式輸出統(tǒng)計結(jié)果。 6.1.5.3.2 應(yīng)用流量統(tǒng)計 產(chǎn)品應(yīng)支持以圖形化界面展示應(yīng)用流量情況，包括但不限于： a) 按照IP、時間段和應(yīng)用類型等條件或以上條件組合對應(yīng)用流量進(jìn)行統(tǒng)計； b) 以報表形式輸出統(tǒng)計結(jié)果； c) 對不同時間段的統(tǒng)計結(jié)果進(jìn)行比對。 6.1.5.3.3 攻擊事件統(tǒng)計 產(chǎn)品應(yīng)支持以圖形化界面展示攻擊事件情況，包括但不限于： a) 按照攻擊事件類型、IP和時間段等條件或以上條件組合對攻擊事件進(jìn)行統(tǒng)計； b) 以報表形式輸出統(tǒng)計結(jié)果。 6.2 自身安全要求 6.2.1 身份標(biāo)識與鑒別 產(chǎn)品的身份標(biāo)識與鑒別安全要求包括但不限于： a) 對用戶身份進(jìn)行標(biāo)識和鑒別，身份標(biāo)識具有唯一性； b) 對用戶身份鑒別信息進(jìn)行安全保護(hù)，保障用戶鑒別信息存儲和傳輸過程中的保密性； c) 具有登錄失敗處理功能，如限制連續(xù)的非法登錄嘗試次數(shù)等相關(guān)措施； d) 具有登錄超時處理功能，當(dāng)?shù)卿涍B接超時自動退出； e) 在采用基于口令的身份鑒別時，要求對用戶設(shè)置的口令進(jìn)行復(fù)雜度檢查，確保用戶口令滿足一定的復(fù)雜度要求； f) 當(dāng)產(chǎn)品中存在默認(rèn)口令時，提示用戶對默認(rèn)口令進(jìn)行修改，以減少用戶身份被冒用的風(fēng)險； g) 應(yīng)對授權(quán)管理員選擇兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別。 6.2.2 管理能力 產(chǎn)品的管理能力安全要求包括但不限于： a) 向授權(quán)管理員提供設(shè)置和修改安全管理相關(guān)的數(shù)據(jù)參數(shù)的功能； b) 向授權(quán)管理員提供設(shè)置、查詢和修改各種安全策略的功能； c) 向授權(quán)管理員提供管理審計日志的功能； d) 支持更新自身系統(tǒng)的能力，包括對軟件系統(tǒng)的升級以及各種特征庫的升級； e) 能從NTP服務(wù)器同步系統(tǒng)時間； f) 支持通過SYSLOG協(xié)議向日志服務(wù)器同步日志、告警等信息； g) 應(yīng)區(qū)分管理員角色，能劃分為系統(tǒng)管理員、安全操作員和安全審計員，三類管理員角色權(quán)限能相互制約； h) 提供安全策略有效性檢查功能，如安全策略匹配情況檢測等。 6.2.3 管理審計 產(chǎn)品的管理審計安全要求包括但不限于： a) 對用戶賬戶的登錄和注銷、系統(tǒng)啟動、重要配置變更、增加/刪除/修改管理員、保存/刪除審計日志等操作行為進(jìn)行日志記錄； b) 對產(chǎn)品及其模塊的異常狀態(tài)進(jìn)行告警，并記錄日志； c) 日志記錄中包括如下內(nèi)容：事件發(fā)生的日期和時間，事件的類型，事件主體，事件操作結(jié)果； d) 僅允許授權(quán)管理員訪問日志。 6.2.4 管理方式 產(chǎn)品的管理方式安全要求包括但不限于： a) 支持通過console端口進(jìn)行本地管理； b) 支持通過網(wǎng)絡(luò)接口進(jìn)行遠(yuǎn)程管理，并能限定進(jìn)行遠(yuǎn)程管理的IP、MAC地址； c) 遠(yuǎn)程管理過程中，管理端與產(chǎn)品之間的所有通信數(shù)據(jù)應(yīng)非明文傳輸； d) 支持SNMP網(wǎng)管協(xié)議方式的監(jiān)控和管理； e) 支持管理接口與業(yè)務(wù)接口分離； f) 支持集中管理，通過集中管理平臺實現(xiàn)監(jiān)控運行狀態(tài)、下發(fā)安全策略、升級系統(tǒng)版本、升級特征庫版本。 6.2.5 安全支撐系統(tǒng) 產(chǎn)品的支撐系統(tǒng)安全要求包括但不限于： a) 進(jìn)行必要的裁剪，不提供多余的組件或網(wǎng)絡(luò)服務(wù)； b) 重啟過程中，安全策略和日志信息不丟失； c) 不含已知中、高風(fēng)險安全漏洞。 6.3 性能要求 6.3.1 吞吐量 6.3.1.1 網(wǎng)絡(luò)層吞吐量 硬件產(chǎn)品的網(wǎng)絡(luò)層吞吐量視不同速率的產(chǎn)品有所不同，具體指標(biāo)要求如下： a) 一對相應(yīng)速率的端口應(yīng)達(dá)到的雙向吞吐率指標(biāo)： 1) 對于64字節(jié)短包，百兆產(chǎn)品不小于線速的20％，千兆和萬兆產(chǎn)品不小于線速的35％； 2) 對于512字節(jié)中長包，百兆產(chǎn)品不小于線速的70％，千兆和萬兆產(chǎn)品不小于線速的80％； 3) 對于1 518字節(jié)長包，百兆產(chǎn)品不小于線速的90％，千兆和萬兆產(chǎn)品不小于線速的95％； b) 針對高性能的萬兆產(chǎn)品，對于1 518字節(jié)長包，吞吐量至少達(dá)到80 Gbit/s。 6.3.1.2 混合應(yīng)用層吞吐量 硬件產(chǎn)品的應(yīng)用層吞吐量視不同速率的產(chǎn)品有所不同，開啟應(yīng)用攻擊防護(hù)功能的情況下，具體指標(biāo)要求如下： a) 百兆產(chǎn)品混合應(yīng)用層吞吐量應(yīng)不小于60 Mbit/s； b) 千兆產(chǎn)品混合應(yīng)用層吞吐量應(yīng)不小于600 Mbit/s； c) 萬兆產(chǎn)品混合應(yīng)用層吞吐量應(yīng)不小于5 Gbit/s；針對高性能的萬兆產(chǎn)品，整機(jī)混合應(yīng)用層吞吐量至少達(dá)到20 Gbit/s。 6.3.1.3 HTTP吞吐量 硬件產(chǎn)品的HTTP吞吐量視不同速率的產(chǎn)品有所不同，開啟WEB攻擊防護(hù)功能的情況下，具體指標(biāo)要求如下： a) 百兆產(chǎn)品應(yīng)用層吞吐量應(yīng)不小于80 Mbit/s； b) 千兆產(chǎn)品應(yīng)用層吞吐量應(yīng)不小于800 Mbit/s； c) 萬兆產(chǎn)品應(yīng)用層吞吐量應(yīng)不小于6 Gbit/s。 6.3.2 延遲 硬件產(chǎn)品的延遲視不同速率的產(chǎn)品有所不同，一對相應(yīng)速率端口的延遲具體指標(biāo)要求如下： a) 對于64字節(jié)短包、512字節(jié)中長包、1 518字節(jié)長包，百兆產(chǎn)品的平均延遲不應(yīng)超過500 μs； b) 對于64字節(jié)短包、512字節(jié)中長包、1 518字節(jié)長包，千兆、萬兆產(chǎn)品的平均延遲不應(yīng)超過90 μs。 6.3.3 連接速率 6.3.3.1 TCP新建連接速率 硬件產(chǎn)品的TCP新建連接速率視不同速率的產(chǎn)品有所不同，具體指標(biāo)要求如下： a) 百兆產(chǎn)品的TCP新建連接速率應(yīng)不小于1 500個/s； b) 千兆產(chǎn)品的TCP新建連接速率應(yīng)不小于5 000個/s； c) 萬兆產(chǎn)品的新建連接數(shù)速率應(yīng)不小于50 000個/s；針對高性能的萬兆產(chǎn)品，整機(jī)新建連接數(shù)速率應(yīng)不小于250 000個/s。 6.3.3.2 HTTP請求速率 硬件產(chǎn)品的HTTP請求速率視不同速率的產(chǎn)品有所不同，具體指標(biāo)要求如下： a) 百兆產(chǎn)品的HTTP請求速率應(yīng)不小于800個/s； b) 千兆產(chǎn)品的HTTP請求速率應(yīng)不小于3 000個/s； c) 萬兆產(chǎn)品的HTTP請求速率應(yīng)不小于5 000個/s。 6.3.3.3 SQL請求速率 硬件產(chǎn)品的SQL請求速率視不同速率的產(chǎn)品有所不同，具體指標(biāo)要求如下： a) 百兆產(chǎn)品的SQL請求速率應(yīng)不小于2 000個/s； b) 千兆產(chǎn)品的SQL請求速率應(yīng)不小于10 000個/s； c) 萬兆產(chǎn)品的SQL請求速率應(yīng)不小于50 000個/s。 6.3.4 并發(fā)連接數(shù) 6.3.4.1 TCP并發(fā)連接數(shù) 硬件產(chǎn)品的TCP并發(fā)連接數(shù)視不同速率的產(chǎn)品有所不同，具體指標(biāo)要求如下： a) 百兆產(chǎn)品的并發(fā)連接數(shù)應(yīng)不小于50 000個； b) 千兆產(chǎn)品的并發(fā)連接數(shù)應(yīng)不小于200 000個； c) 萬兆產(chǎn)品的并發(fā)連接數(shù)應(yīng)不小于2 000 000個；針對高性能的萬兆產(chǎn)品，整機(jī)并發(fā)連接數(shù)至少達(dá)到3 000 000個。 6.3.4.2 HTTP并發(fā)連接數(shù) 硬件產(chǎn)品的HTTP并發(fā)連接數(shù)視不同速率的產(chǎn)品有所不同，具體指標(biāo)要求如下： a) 百兆產(chǎn)品的HTTP并發(fā)連接數(shù)應(yīng)不小于50 000個； b) 千兆產(chǎn)品的HTTP并發(fā)連接數(shù)應(yīng)不小于200 000個； c) 萬兆產(chǎn)品的HTTP并發(fā)連接數(shù)應(yīng)不小于2 000 000個。 6.3.4.3 SQL并發(fā)連接數(shù) 硬件產(chǎn)品的SQL并發(fā)連接數(shù)視不同速率的產(chǎn)品有所不同，具體指標(biāo)要求如下： a) 百兆產(chǎn)品的SQL并發(fā)連接數(shù)應(yīng)不小于800個； b) 千兆產(chǎn)品的SQL并發(fā)連接數(shù)應(yīng)不小于2 000個； c) 萬兆產(chǎn)品的SQL并發(fā)連接數(shù)應(yīng)不小于4 000個。 6.4 安全保障要求 6.4.1 開發(fā) 6.4.1.1 安全架構(gòu) 開發(fā)者應(yīng)提供產(chǎn)品安全功能的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求： a) 與產(chǎn)品設(shè)計文檔中對安全功能的描述范圍相一致； b) 充分描述產(chǎn)品采取的自我保護(hù)、不可旁路的安全機(jī)制。 6.4.1.2 功能規(guī)范 開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求： a) 根據(jù)產(chǎn)品類型清晰描述6.1、6.2中定義的安全功能； b) 標(biāo)識和描述產(chǎn)品所有安全功能接口的目的、使用方法及相關(guān)參數(shù)； c) 描述安全功能實施過程中，與安全功能接口相關(guān)的所有行為； d) 描述可能由安全功能接口的調(diào)用而引起的所有直接錯誤消息。 6.4.1.3 產(chǎn)品設(shè)計 開發(fā)者應(yīng)提供產(chǎn)品設(shè)計文檔，產(chǎn)品設(shè)計文檔應(yīng)滿足以下要求： a) 通過子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)，標(biāo)識和描述產(chǎn)品安全功能的所有子系統(tǒng)，并描述子系統(tǒng)問的相互作用； b) 提供子系統(tǒng)和安全功能接口間的對應(yīng)關(guān)系； c) 通過實現(xiàn)模塊描述安全功能，標(biāo)識和描述實現(xiàn)模塊的目的、相關(guān)接口及返回值等，并描述實現(xiàn)模塊間的相互作用及調(diào)用的接口； d) 提供實現(xiàn)模塊和子系統(tǒng)間的對應(yīng)關(guān)系。 6.4.1.4 實現(xiàn)表示 開發(fā)者應(yīng)提供產(chǎn)品安全功能的實現(xiàn)表示，實現(xiàn)表示應(yīng)滿足以下要求： a) 詳細(xì)定義產(chǎn)品安全功能，包括軟件代碼、設(shè)計數(shù)據(jù)等實例； b) 提供實現(xiàn)表示與產(chǎn)品設(shè)計描述間的對應(yīng)關(guān)系。 6.4.2 指導(dǎo)性文檔 6.4.2.1 操作用戶指南 開發(fā)者應(yīng)提供明確和合理的操作用戶指南，對每一種用戶角色的描述應(yīng)滿足以下要求： a) 描述用戶能訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ? b) 描述產(chǎn)品安全功能及接口的用戶操作方法，包括配置參數(shù)的安全值等； c) 標(biāo)識和描述產(chǎn)品運行的所有可能狀態(tài)，包括操作導(dǎo)致的失敗或者操作性錯誤； d) 描述實現(xiàn)產(chǎn)品安全目的必需執(zhí)行的安全策略。 6.4.2.2 準(zhǔn)備程序 開發(fā)者應(yīng)提供產(chǎn)品及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)滿足以下要求： a) 描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟； b) 描述安全安裝產(chǎn)品及其運行環(huán)境必需的所有步驟。 6.4.3 生命周期支持 6.4.3.1 配置管理能力 開發(fā)者的配置管理能力應(yīng)滿足以下要求： a) 為產(chǎn)品的不同版本提供唯一的標(biāo)識； b) 使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項進(jìn)行維護(hù)，并進(jìn)行唯一標(biāo)識； c) 提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識配置項的方法； d) 配置管理系統(tǒng)提供自動方式來支持產(chǎn)品的生成，通過自動化措施確保配置項僅接受授權(quán)變更； e) 配置管理文檔包括一個配置管理計劃，描述用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項的程序。配置管理計劃描述應(yīng)描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品，開發(fā)者實施的配置管理應(yīng)與配置管理計劃相一致。 6.4.3.2 配置管理范圍 開發(fā)者應(yīng)提供產(chǎn)品配置項列表，并說明配置項的開發(fā)者。配置項列表應(yīng)包含以下內(nèi)容： a) 產(chǎn)品及其組成部分、安全保障要求的評估證據(jù)； b) 實現(xiàn)表示、安全缺陷報告及其解決狀態(tài)。 6.4.3.3 交付程序 開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時，交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。 6.4.3.4 開發(fā)安全 開發(fā)者應(yīng)提供開發(fā)安全文檔。開發(fā)安全文檔應(yīng)描述在產(chǎn)品的開發(fā)環(huán)境中，為保護(hù)產(chǎn)品設(shè)計和實現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。 6.4.3.5 生命周期定義 開發(fā)者應(yīng)建立一個生命周期模型對產(chǎn)品的開發(fā)和維護(hù)進(jìn)行的必要控制，并提供生命周期定義文檔描述用于開發(fā)和維護(hù)產(chǎn)品的模型。 6.4.3.6 工具和技術(shù) 開發(fā)者應(yīng)明確定義用于開發(fā)產(chǎn)品的工具，并提供開發(fā)工具文檔無歧義地定義實現(xiàn)中每個語句的含義和所有依賴于實現(xiàn)的選項的含義。 6.4.4 測試 6.4.4.1 測試覆蓋 開發(fā)者應(yīng)提供測試覆蓋文檔，測試覆蓋描述應(yīng)滿足以下要求： a) 表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能間的對應(yīng)性； b) 表明上述對應(yīng)性是完備的，并證實功能規(guī)范中的所有安全功能接口都進(jìn)行了測試。 6.4.4.2 測試深度 開發(fā)者應(yīng)提供測試深度的分析。測試深度分析描述應(yīng)滿足以下要求： a) 證實測試文檔中的測試與產(chǎn)品設(shè)計中的安全功能子系統(tǒng)和實現(xiàn)模塊之間的一致性； b) 證實產(chǎn)品設(shè)計中的所有安全功能子系統(tǒng)、實現(xiàn)模塊都已經(jīng)進(jìn)行過測試。 6.4.4.3 功能測試 開發(fā)者應(yīng)測試產(chǎn)品安全功能，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括以下內(nèi)容： a) 測試計劃，標(biāo)識要執(zhí)行的測試，并描述執(zhí)行每個測試的方案，這些方案包括對于其他測試結(jié)果的任何順序依賴性； b) 預(yù)期的測試結(jié)果，表明測試成功后的預(yù)期輸出； c) 實際測試結(jié)果和預(yù)期的測試結(jié)果的對比。 6.4.4.4 獨立測試 開發(fā)者應(yīng)提供一組與其白測安全功能時使用的同等資源，以用于安全功能的抽樣測試。 6.4.5 脆弱性評定 基于已標(biāo)識的潛在脆弱性，產(chǎn)品能抵抗以下強(qiáng)度的攻擊： a) 具有基本攻擊潛力的攻擊者的攻擊； b) 具有中等攻擊潛力的攻擊者的攻擊。