GA-372-2001.pdf
《GA-372-2001.pdf》由会员分享,可在线阅读,更多相关《GA-372-2001.pdf(8页珍藏版)》请在三一文库上搜索。
1、I C S L 0 4 3 5 . 0 2 0 日1 : 1 中华 人 民共 和 国公 共 安全 行 业 标 准 G A 3 7 2 一 2 0 0 1 防火墙产品的安全功能检测 T e s t f o r s e c u r i t y f u n c t i o n s o f f i r e w a l l 2 0 0 1 一 1 2 一 2 4发 布2 0 0 2 一 0 5 一 0 1实施 中华人 民共和国公安部发 布 GA 3 7 2 - 2 0 0 1 前言 本 标准的全部技术 内容 为强制性 本标准由公安部公共信息网络安全监察局提出。 本标准由公安部信息系统安全标准化技术委员会
2、归no 本标准起草单位: 公安部计算机信息系统安全产品质量监督检验中心 本标准主要起草人: 朱建平、 顾玮、 沈涛、 沈亮、 张岚 GA 3 7 2 -2 0 0 1 防火墙产品的安全功能检测 范 围 本标准规定了计算机信息系统防火墙产品的分级及安全功能检测 本标准适用于防 火墙 产品。 规范性 引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款 凡是注 日 期的引用文件 , 其随后所有的 修改单( 不包括勘误的内容) 或修订版均不适用于本标准, 然而, 鼓励根据本标准达成协议的各方研究是 否可使用这些文件的最新版本。凡是不注日期的引用文件, 其最新版本适用于本标准。 G B / T
3、 1 7 9 0 。 网络代理服务器的 安全技术要求 G B / T 1 8 0 1 9 信息技术 包过滤防 火墙安全技术 要求 G B / T 1 8 0 2 0 信息技术应用级防火墙安全技术要求 3术语和定义 下列术语和定义适用于本标准。 3 门 防火墙f i r e w a l l 设置在一个网络进出口或一个网段上的安全阻隔, 用于保证本地网络或本网段资源的安全。 3 . 2 数据包过滤d a t a p a c k e t f i l t e r i n g 有选择地控制来往于网络的数据包的行动 当数据包从一个网络传输到另一个网络时, 数据包过滤 器允许或者阻止数据包的传输。 3 .
4、3 安全审计s e c u r i t y a u d i t 对数据处理系统记录与活动的独立审查和检查 以测试系统控制的充分程度, 确保符合已建立的安 全策略和操作过程, 检测出安全违规, 并对在控制、 安全策略和过程中指示的变化提出建议 3 . 4 网 络代理服务器 p r o x y s e r v e r 控制两边的应用程序只能通过服务器间接通信的防火墙。 此防火墙接受来自一边的通信, 检查这一 通信是否授权通过。如果授权则启动通信目标的连接, 若未授权则切断通信目标的连接。 3 . 5 包过滤防火墙p a c k e t f i l t e r f i r e w a l l 采用包
5、过滤技术保护整个网络不受人侵的防火墙 它在网络层上简单检查所有进人网络的信息. 并 将不符合预先设定标准的数据丢掉 3 . 6 应用级防火墙a p p l i c a t i o n l e v e l f i r e w a l l GA 3 7 2 -2 0 0 1 在应用层上根据预先设定的标准判断是否允许对某些应用程序进行访问的防火墙。应用级防火墙 检查所有应用层的信息, 放行符合预先设定标准的数据包。 3 . 7 混合型防火墙 c o m b i n a t i o n f i r e w a l l 使用包过滤、 应用层控制技术和网络代理的防火墙。 4防火墙 的分级及 安全 功能检测
6、 4 门第一级 本级的防火墙产品应具有用户数据保护中的完整的客体访问控制能力, 访问授权与拒绝能力, 多种 安全属性之一的访问控制能力、 一定的安全审计功能和防火墙的安全保证要求中的配置管理、 交付和操 作、 指南文件以及测试 4 . 1 . 1 完整 的客体访 问控 制 防火墙的安令功能应能对控制范围中的任何主体和客体执行未鉴别和已鉴别( 只适用于应用级防 火墙和网络代理服务器) 的端到端策略。 4 . 1 . 2访 问与拒绝 防火墙的安全功能执行未鉴别和已鉴别( 只适用于应用级防火墙和网络代理服务器) 的端到端策 略, 根据主体和客体的安全属性值应提供明确的访问保障和拒绝访问能力。 4 .
7、 1 . 3多种安全属性访 问控 制 防火墙未鉴别或已鉴别( 只适用于应用级防火墙和网络代理服务器) 的端到端策略控制范畴应包 括: 源地址、 目的地址两个要素。 4 门. 4安全审计 防火墙应具有安全审计功能。 4 门. 5配置管理保证 开发商应提供进行防火墙测试相关的物理环境( 包括所有的软硬件) 以及测试项目的参考文档; 应 提供配置管理系统以及相应的文档, 文档中应包括明确描述防火墙各个配置项 目的配置目录。 4 . 1 . 6交付和操作保证 开发商应提供最终的产品交付文档。交付文档应包含描述安装、 生成和启动防火墙所要求的步骤。 4 门. 7指南文件保证 开发商应提供与产品配套的管理
8、员指南和用户指南 4 . 1 . 8 测试保证 开发商应提供用于测试的防火墙。 4 . 2 第二级 本级的防火墙产品应包括第一级的所有功能。还应包括用户数据保护中的管理员属性的修改和查 询; 标识 与 鉴别的所有功能; 密码支持( 对远程管理) ; 可信安全功能保护的所有功能; 安全审计的基本功 能; 以及对安全保证要求中配置管理的增强 4 . 2 . 1多种安全属 性访问控制 应符合 4 . 1 . 3的规定以外, 防火墙未鉴别或已鉴别( 只适用于应用级防火墙和网络代理服务器) 的 端到端策略控制范畴还应包括: 基于用户 工 n( 只适用于应用级防火墙和网络代理服务器) 、 源地址、 目的
9、地址、 源端口号、 日的端日号、 传输层协议等所有要素。 4 . 2 . 2 管理员属性修改 防火墙执行未鉴别和已鉴别( 只适用于应用级防火墙和网络代理服务器) 的端到端策略, 应保证授 权管理员可以修改标识与角色的关联( 如: 授权的管理员) 、 标识的访问控制属性以及与安全管理相关的 管理数据 。 GA 3 7 2 -2 0 0 1 4 . 2 . 3 管理员属性查询 防火墙执行未鉴别和已鉴别( 只适用于应用级防火墙和网络代理服务器) 的端到端策略, 应保证授 权管理员具有查询标识的访问控制属性、 主机名、 用户名( 用于应用级防火墙和网络代理服务器) 的能 力 。 4 . 2 . 4 标
10、 识与鉴别 4 . 2 . 4 门授权管理员、 可信主机和用户( 只适用于应用级防火墙和网络代理服务器) 鉴别数据初始化 防火墙应提供有且只能有授权管理员初始化鉴别数据的功能。 4 . 2 . 4 . 2 授权管理员、 可信主机和用户( 只适用于应用级防火墙和网络代理服务器) 鉴别数据的基本 保护 防火墙应提供鉴别数据不允许被未授权查阅、 修改和破坏的功能 42 . 4 . 3 授权管理员、 可信主机、 主机( 只适用于包过滤防火墙) 和用户( 只适用于应用级防火墙和网络 代理服务器) 属性或鉴别数据初始化 防火墙应提供用默认值对授权管理员、 可信主机、 主机( 只适用于包过滤防火墙) 和用户
11、( 只适用于 应用级防火墙和网络代理服务器) 属性或鉴别数据的初始化能力。 4 . 2 - 4 . 4 授权管理员、 可信主机、 主机和用户( 只适用于应用级防火墙和网络代理服务器) 唯一属性 定 义 防火墙的安全功能应为每 一 个规定的授权管理员、 可信主机、 主机和用户( 只适用于应用级防火墙 和网络代理服务器) 提供一套唯一的, 为了执行安全策略所必需的安全属性。 4 . 2 . 4 . 5 授权管理员的基本鉴别 防火墙的安全功能应能鉴别任何通过防火墙控制口履行授权管理员功能的管理员的身份。 42 . 4 . 6单一使用的鉴别 机制 防火墙的安全功能应在执行任何与授权管理员、 可信主机、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GA 372 2001
链接地址:https://www.31doc.com/p-3756761.html