*角色選擇：	學生教師

當前位置：首頁 > 文章資訊 > 信息技術(shù) > 網(wǎng)絡安全培訓：防火墻安全技術(shù)要求

網(wǎng)絡安全培訓：防火墻安全技術(shù)要求

發(fā)表于：2020-11-24

閱讀：296

評論：0

防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件，與殺毒軟件不同的是，防火墻通過各種技術(shù)手段（如規(guī)則設定），來保護用戶的計算機安全，直接攔截和降低系統(tǒng)受到威脅傷害的幾率，這就是它存在的意義。

對中毒已深的計算機來說，防火墻不具備除毒作用，當有害程序試圖通過聯(lián)網(wǎng)將信息反饋給病毒制造者時，將會實行攔截。（如：盜號***）。反病毒技術(shù)的進步對于防火墻的發(fā)展促進是非常明顯的，有的防火墻融入了先進的“云計算”，有的防火墻中HIPS能力相當成熟，有的防火墻行為分析能力出色，也有的防火墻支持傳統(tǒng)路線，導致了普通用戶看不出實質(zhì)差別，弄的一頭霧水，今天就讓我們來分析這8款獨立網(wǎng)絡防火墻之間的較量。

防火墻是作用于不同安全域之間，具備訪問控制及安全防護功能的網(wǎng)絡安全產(chǎn)品，主要分為網(wǎng)絡型防火墻、WEB應用防火墻、數(shù)據(jù)庫防火墻、主機型防火墻或其組合。

防火墻的安全技術(shù)要求分為安全功能要求、自身安全要求、性能要求和安全保障要求四個大類。其中，安全功能要求對防火墻應具備的安全功能提出具體要求，包括組網(wǎng)與部署、網(wǎng)絡層控制、應用層控制、攻擊防護和安全審計與分析;自身安全要求針對防火墻的自身安全提出具體的要求，包括身份標識與鑒別、管理能力、管理審計、管理方式和安全支撐系統(tǒng);性能要求則是對防火墻應達到的性能指標作出規(guī)定，包括吞吐量、延遲、連接速率和并發(fā)連接數(shù);安全保障要求針對防火墻的生命周期過程提出具體要求，包括開發(fā)、指導性文檔、生命周期支持、測試和脆弱性評定。

1、安全功能要求

（1）組網(wǎng)與部署

1）部署模式

產(chǎn)品應支持以下部署模式：

a)透明傳輸模式;

b)路由轉(zhuǎn)發(fā)模式;

c)反向代理模式。

2）路由

① 靜態(tài)路由

產(chǎn)品應支持靜態(tài)路由功能，且能配置靜態(tài)路由。

② 策略路由

具有多個相同屬性網(wǎng)絡接口(多個外部網(wǎng)絡接口、多個內(nèi)部網(wǎng)絡接口或多個DMZ網(wǎng)絡接口)的產(chǎn)品，應支持策略路由功能，包括但不限于：

a)基于源、目的IP策略路由;

b)基于接口的策略路由;

c)基于協(xié)議和端口的策略路由;

d)基于應用類型的策略路由;

e)基于多鏈路負載情況自動選擇路由。

③ 動態(tài)路由

產(chǎn)品應支持動態(tài)路由功能，包括RIP、OSPF或BGP中一種或多種動態(tài)路由協(xié)議。

3）高可用性

① 冗余部署

產(chǎn)品應支持“主-備”、“主-主”或“集群”中的一種或多種冗余部署模式。

② 負載均衡

產(chǎn)品應支持負載均衡功能，能根據(jù)安全策略將網(wǎng)絡流量均衡到多臺服務器上。

4）設備虛擬化（可選）

① 虛擬系統(tǒng)

若產(chǎn)品支持在邏輯上劃分為多個虛擬子系統(tǒng)，虛擬子系統(tǒng)間應支持隔離和獨立管理，包括但不限于：

a)對虛擬子系統(tǒng)分別設置管理員，實現(xiàn)針對虛擬子系統(tǒng)的管理配置;

b)虛擬子系統(tǒng)能分別維護路由表、安全策略和日志系統(tǒng);

c)對虛擬子系統(tǒng)的資源使用配額進行限制。

② 虛擬化部署

若產(chǎn)品為虛擬化形態(tài)，應支持部署于虛擬化平臺，并接受平臺統(tǒng)一管理，包括但不限于：

a)支持部署于一種虛擬化平臺，如VMware ESXi、KVM、Citrix Xenserver和 Hyper-V等;

b)結(jié)合虛擬化平臺實現(xiàn)產(chǎn)品資源彈性伸縮，根據(jù)虛擬化產(chǎn)品的負載情況動態(tài)調(diào)整資源;

c)結(jié)合虛擬化平臺實現(xiàn)故障遷移，當虛擬化產(chǎn)品出現(xiàn)故障時能實現(xiàn)自動更新、替換。

5）IPv6支持（可選）

① 支持IPv6網(wǎng)絡環(huán)境

若產(chǎn)品支持IPv6，應支持在IPv6網(wǎng)絡環(huán)境下正常工作，能有效運行其安全功能和自身安全功能。

② 協(xié)議一致性

若產(chǎn)品支持IPv6，應滿足IPv6協(xié)議一致性的要求，至少包括IPv6核心協(xié)議、IPv6 DNP協(xié)議、IPv6 Autoconfig協(xié)議和ICMPv6協(xié)議。

③ 協(xié)議健壯性

若產(chǎn)品支持IPv6，應滿足IPv6協(xié)議健壯性的要求，抵御IPv6網(wǎng)絡環(huán)境下畸形協(xié)議報文攻擊。

④ 支持IPv6過渡網(wǎng)絡環(huán)境

若產(chǎn)品支持IPv6，應支持在以下一種或多種IPv6過渡網(wǎng)絡環(huán)境下工作：

a)協(xié)議轉(zhuǎn)換，將IPv4和IPv6兩種協(xié)議相互轉(zhuǎn)換;

b)隧道，將IPv6封裝在IPv4中穿越IPv4網(wǎng)絡，如IPv6 over IPv4、IPv6 to IPv4、ISATAP等。

（2）網(wǎng)絡層控制

1）訪問控制

① 包過濾

產(chǎn)品的包過濾功能要求如下：

a)安全策略應使用最小安全原則，即除非明確允許，否則就禁止;

b)安全策略應包含基于源IP地址、目的IP地址的訪問控制;

c)安全策略應包含基于源端口、目的端口的訪問控制;

d)安全策略應包含基于協(xié)議類型的訪問控制;

e)安全策略應包含基于MAC地址的訪問控制;

f)安全策略應包含基于時間的訪問控制;

g)應支持用戶自定義的安全策略，安全策略包括MAC地址、IP地址、端口、協(xié)議類型和時間的部分或全部組合。

② 網(wǎng)絡地址轉(zhuǎn)換

產(chǎn)品的網(wǎng)絡地址轉(zhuǎn)換功能要求如下：

a)支持SNAT和DNAT;

b)SNAT應實現(xiàn)“多對一”地址轉(zhuǎn)換，使得內(nèi)部網(wǎng)絡主機訪問外部網(wǎng)絡時，其源IP地址被轉(zhuǎn)換;

c)DNAT應實現(xiàn)“一對多”地址轉(zhuǎn)換，將DMZ的IP地址/端口映射為外部網(wǎng)絡合法IP地址/端口，使外部網(wǎng)絡主機通過訪問映射地址和端口實現(xiàn)對DMZ服務器的訪問;

D)支持動態(tài)SNAT技術(shù)，實現(xiàn)“多對多”的SNAT。

③ 狀態(tài)檢測

產(chǎn)品應支持基于狀態(tài)檢測技術(shù)的包過濾功能，具備狀態(tài)檢測能力。

④ 動態(tài)開放端口

產(chǎn)品應支持協(xié)議的動態(tài)端口開放，包括但不限于：

a)FTP協(xié)議;

b)H.323等音視頻協(xié)議。

⑤ IP/MAC地址綁定

產(chǎn)品應支持自動或手工綁定IP/MAC地址，當主機的IP地址、MAC地址與IP/MAC綁定表中不一致時，阻止其流量通過。

2）流量管理

① 帶寬管理

產(chǎn)品應支持帶寬管理功能，能根據(jù)策略調(diào)整客戶端占用的帶寬，包括但不限于：

a)根據(jù)源IP、目的IP、應用類型和時間段的流量速率或總額進行限制;

b)根據(jù)源IP、目的IP、應用類型和時間段設置保障帶寬;

c)在網(wǎng)絡空閑時自動解除流量限制，并在總帶寬占用率超過閾值時自動啟用限制。

② 連接數(shù)控制

產(chǎn)品應支持限制單IP的最大并發(fā)會話數(shù)和新建連接速率，防止大量非法連接產(chǎn)生時影響網(wǎng)絡性能。

③ 會話管理

在會話處于非活躍狀態(tài)一定時間或會話結(jié)束后，產(chǎn)品應終止會話。

（3）應用層控制

1）用戶管控

產(chǎn)品應支持基于用戶認證的網(wǎng)絡訪問控制功能，包括但不限于：

a)本地用戶認證方式;

b)結(jié)合第三方認證系統(tǒng)，如基于Radius、LDAP服務器的認證方式。

2）應用類型控制

產(chǎn)品應支持根據(jù)應用特征識別并控制各種應用類型，包括：

a)HTTP協(xié)議;

b)數(shù)據(jù)庫協(xié)議;

c)FTP、TELNET、SMTP、POP3和IMAP等常見協(xié)議;

d)即時聊天類、P2P類、網(wǎng)絡流媒體類、網(wǎng)絡游戲、股票交易類等應用;

e)逃逸或隧道加密特點的應用，如加密代理類應用;

f)自定義應用。

3）應用內(nèi)容控制

① WEB應用

產(chǎn)品應支持基于以下內(nèi)容對WEB應用的訪問進行控制，包括但不限于：

a)URL網(wǎng)址，并具備分類網(wǎng)址庫;

b)HTTP傳輸內(nèi)容的關(guān)鍵字;

c)HTTP請求方式，包括GET、POST、PUT、HEAD等;

d)HTTP請求文件類型;

e)HTTP協(xié)議頭中各字段長度，包括general-header、request-header、response-header等;

f)HTTP上傳文件類型;

g)HTTP請求頻率;

h)HTTP返回的響應內(nèi)容，如服務器返回的出錯信息等;

i) 支持HTTPS流量解密。

② 數(shù)據(jù)庫應用

產(chǎn)品應支持基于以下內(nèi)容對數(shù)據(jù)庫的訪問進行控制，包括但不限于：

a)訪問數(shù)據(jù)庫的應用程序、運維工具;

b)數(shù)據(jù)庫用戶名、數(shù)據(jù)庫名、數(shù)據(jù)表名和數(shù)據(jù)字段名;

c)SQL語句關(guān)鍵字、數(shù)據(jù)庫返回內(nèi)容關(guān)鍵字;

d)影響行數(shù)、返回行數(shù)。

③ 其他應用

產(chǎn)品應支持基于以下內(nèi)容對FTP、TELNET、SMTP、POP3和IMAP等應用進行控制，包括但不限于：

a)傳輸文件類型;

b)傳輸內(nèi)容，如協(xié)議命令或關(guān)鍵字。

（4）攻擊防護

1）拒絕服務攻擊防護

產(chǎn)品具備特征庫，應支持拒絕服務攻擊防護功能，包括但不限于：

a)ICMP Flood攻擊防護;

b)UDP Flood攻擊防護;

c)SYN Flood攻擊防護;

d)TearDrop攻擊防護;

e)Land攻擊防護;

f)Ping of Death攻擊防護;

g)CC攻擊防護。

2）WEB攻擊防護

產(chǎn)品具備特征庫，應支持 WEB攻擊防護功能，包括但不限于：

a)SQL注入攻擊防護;

b)XSS攻擊防護;

c) 第三方組件漏洞攻擊防護;

d) 目錄遍歷攻擊防護;

e)Cookie注入攻擊防護;

f)CSRF攻擊防護;

g) 文件包含攻擊防護;

h) 盜鏈防護;

i)OS命令注入攻擊防護;

j)WEBshell識別和攔截;

k) 反序列化攻擊防護。

3）數(shù)據(jù)庫攻擊防護

產(chǎn)品具備特征庫，應支持數(shù)據(jù)庫攻擊防護功能，包括但不限于：

a) 數(shù)據(jù)庫漏洞攻擊防護;

b)異常SQL語句阻斷;

c) 數(shù)據(jù)庫拖庫攻擊防護;

d) 數(shù)據(jù)庫撞庫攻擊防護。

4）惡意代碼防護

產(chǎn)品具備特征庫，應支持惡意代碼防護功能，包括但不限于：

a)能攔截典型的木馬攻擊行為;

b) 檢測并攔截被HTTP網(wǎng)頁和電子郵件等攜帶的惡意代碼。

5）其他應用攻擊防護

產(chǎn)品具備特征庫，應支持防護來自應用層的其他攻擊，包括但不限于：

a)操作系統(tǒng)類漏洞攻擊防護;

b)中間件類漏洞攻擊防護;

c)控件類漏洞攻擊防護。

6）自動化工具威脅防護

產(chǎn)品具備特征庫，應支持防護自動化工具發(fā)起的攻擊，包括但不限于：

a)網(wǎng)絡掃描行為防護;

b)應用掃描行為防護;

c)漏洞利用工具防護。

7）攻擊逃逸防護

產(chǎn)品應支持檢測并阻斷經(jīng)逃逸技術(shù)處理過的攻擊行為。

8）外部系統(tǒng)協(xié)同防護

產(chǎn)品應提供聯(lián)動接口，能通過接口與其他網(wǎng)絡安全產(chǎn)品進行聯(lián)動，如執(zhí)行其他網(wǎng)絡安全產(chǎn)品下發(fā)的安全策略等。

（5）安全審計、告警與統(tǒng)計

1）安全審計

產(chǎn)品應支持安全審計功能，包括但不限于：

a)記錄事件類型：

① 被產(chǎn)品安全策略匹配的訪問請求;

② 檢測到的攻擊行為。

b)日志內(nèi)容：

① 事件發(fā)生的日期和時間;

② 事件發(fā)生的主體、客體和描述，其中數(shù)據(jù)包日志包括協(xié)議類型、源地址、目標地址、源端口和目標端口等;

③ 攻擊事件的描述。

c)日志管理：

① 僅允許授權(quán)管理員訪問日志，并提供日志查閱、導出等功能;

② 能對審計事件按日期、時間、主體、客體等條件查詢;

③ 日志存儲于掉電非易失性存儲介質(zhì)中;

④ 日志存儲周期設定不小于六個月;

⑤ 存儲空間達到閾值時，能通知授權(quán)管理員，并確保審計功能的正常運行;

⑥ 日志支持自動化備份至其他存儲設備。

2）安全告警

產(chǎn)品應支持對上述攻擊行為進行告警，并能對高頻發(fā)生的相同告警事件進行合并告警，避免出現(xiàn)告警風暴。告警信息至少包括以下內(nèi)容：

a)事件主體;

b)事件客體;

c)事件描述;

d)危害級別;

e)事件發(fā)生的日期和時間。

3）統(tǒng)計

① 網(wǎng)絡流量統(tǒng)計

產(chǎn)品應支持以圖形化界面展示網(wǎng)絡流量情況，包括但不限于：

a)按照IP、時間段和協(xié)議類型等條件或以上條件組合對網(wǎng)絡流量進行統(tǒng)計;

b)實時或以報表形式輸出統(tǒng)計結(jié)果。

② 應用流量統(tǒng)計

產(chǎn)品應支持以圖形化界面展示應用流量情況，包括但不限于：

a) 按照IP、時間段和應用類型等條件或以上條件組合對應用流量進行統(tǒng)計;

b)以報表形式輸出統(tǒng)計結(jié)果;

c)對不同時間段的統(tǒng)計結(jié)果進行比對。

③ 攻擊事件統(tǒng)計

產(chǎn)品應支持以圖形化界面展示攻擊事件情況，包括但不限于：

a)按照攻擊事件類型、IP和時間段等條件或以上條件組合對攻擊事件進行統(tǒng)計;

b)以報表形式輸出統(tǒng)計結(jié)果。

2、自身安全要求

（1）身份標識與鑒別

產(chǎn)品的身份標識與鑒別安全要求包括但不限于：

a)對用戶身份進行標識和鑒別，身份標識具有唯一性;

b)對用戶身份鑒別信息進行安全保護，保障用戶鑒別信息存儲和傳輸過程中的保密性;

c)具有登錄失敗處理功能，如限制連續(xù)的非法登錄嘗試次數(shù)等相關(guān)措施;

d)具有登錄超時處理功能，當?shù)卿涍B接超時自動退出;

e) 在采用基于口令的身份鑒別時，要求對用戶設置的口令進行復雜度檢查，確保用戶口令滿足一定的復雜度要求;

f)當產(chǎn)品中存在默認口令時，提示用戶對默認口令進行修改，以減少用戶身份被冒用的風險;

g)應對授權(quán)管理員選擇兩種或兩種以上組合的鑒別技術(shù)進行身份鑒別。

（2）管理能力

產(chǎn)品的管理能力安全要求包括但不限于：

a)向授權(quán)管理員提供設置和修改安全管理相關(guān)的數(shù)據(jù)參數(shù)的功能;

b)向授權(quán)管理員提供設置、查詢和修改各種安全策略的功能;

c)向授權(quán)管理員提供管理審計日志的功能;

d)支持更新自身系統(tǒng)的能力，包括對軟件系統(tǒng)的升級以及各種特征庫的升級;

e)能從NTP服務器同步系統(tǒng)時間;

f)支持通過SYSLOG協(xié)議向日志服務器同步日志、告警等信息;

g)應區(qū)分管理員角色，能劃分為系統(tǒng)管理員、安全操作員和安全審計員，三類管理員角色權(quán)限能相互制約;

h)提供安全策略有效性檢查功能，如安全策略匹配情況檢測等。

（3）管理審計

產(chǎn)品的管理審計安全要求包括但不限于：

a)對用戶賬戶的登錄和注銷、系統(tǒng)啟動、重要配置變更、增加/刪除/修改管理員、保存/刪除審計日志等操作行為進行日志記錄;

b)對產(chǎn)品及其模塊的異常狀態(tài)進行告警，并記錄日志;

c)日志記錄中包括如下內(nèi)容：事件發(fā)生的日期和時間，事件的類型，事件主體，事件操作結(jié)果;

d)僅允許授權(quán)管理員訪問日志。

（4）管理方式

產(chǎn)品的管理方式安全要求包括但不限于：

a)支持通過console端口進行本地管理;

b)支持通過網(wǎng)絡接口進行遠程管理，并能限定進行遠程管理的IP、MAC地址;

c) 遠程管理過程中，管理端與產(chǎn)品之間的所有通信數(shù)據(jù)應非明文傳輸;

d) 支持SNMP網(wǎng)管協(xié)議方式的監(jiān)控和管理;

e)支持管理接口與業(yè)務接口分離;

f) 支持集中管理，通過集中管理平臺實現(xiàn)監(jiān)控運行狀態(tài)、下發(fā)安全策略、升級系統(tǒng)版本、升級特征庫版本。

（5）安全支撐系統(tǒng)

產(chǎn)品的支撐系統(tǒng)安全要求包括但不限于：

a)進行必要的裁剪，不提供多余的組件或網(wǎng)絡服務;

b)重啟過程中，安全策略和日志信息不丟失;

c)不含已知中、高風險安全漏洞。

3、性能要求

（1）吞吐量

1）網(wǎng)絡層吞吐量

硬件產(chǎn)品的網(wǎng)絡層吞吐量視不同速率的產(chǎn)品有所不同，具體指標要求如下：

a)一對相應速率的端口應達到的雙向吞吐率指標：

① 對于ⅦⅤ字節(jié)短包，百兆產(chǎn)品不小于線速的20%，千兆和萬兆產(chǎn)品不小于線速的35%;

② 對于512字節(jié)中長包，百兆產(chǎn)品不小于線速的70%，千兆和萬兆產(chǎn)品不小于線速的80%;

③ 對于1518字節(jié)長包，百兆產(chǎn)品不小于線速的90%，千兆和萬兆產(chǎn)品不小于線速的95%;

b) 針對高性能的萬兆產(chǎn)品，對于1518字節(jié)長包，吞吐量至少達到80Gbit/s。

2）混合應用層吞吐量

硬件產(chǎn)品的應用層吞吐量視不同速率的產(chǎn)品有所不同，開啟應用攻擊防護功能的情況下，具體指標要求如下：

a)百兆產(chǎn)品混合應用層吞吐量應不小于60Mbit/s;

b)千兆產(chǎn)品混合應用層吞吐量應不小于600Mbit/s;

c)萬兆產(chǎn)品混合應用層吞吐量應不小于5Gbit/s;針對高性能的萬兆產(chǎn)品，整機混合應用層吞吐量至少達到20Gbit/s。

3）HTTP吞吐量

硬件產(chǎn)品的HTTP吞吐量視不同速率的產(chǎn)品有所不同，開啟WEB攻擊防護功能的情況下，具體指標要求如下：

a)百兆產(chǎn)品應用層吞吐量應不小于80Mbit/s;

b)千兆產(chǎn)品應用層吞吐量應不小于800Mbit/s;

c)萬兆產(chǎn)品應用層吞吐量應不小于6Gbit/s。

（2）延遲

硬件產(chǎn)品的延遲視不同速率的產(chǎn)品有所不同，一對相應速率端口的延遲具體指標要求如下：

a)對于64字節(jié)短包、512字節(jié)中長包、1518字節(jié)長包，百兆產(chǎn)品的平均延遲不應超過500μs;

b)對于64字節(jié)短包、512字節(jié)中長包、1518字節(jié)長包，千兆、萬兆產(chǎn)品的平均延遲不應超過90μs。

（3）連接速率

1）TCP新建連接速率

硬件產(chǎn)品的TCP新建連接速率視不同速率的產(chǎn)品有所不同，具體指標要求如下：

a)百兆產(chǎn)品的TCP新建連接速率應不小于1500個/s;

b)千兆產(chǎn)品的TCP新建連接速率應不小于5000個/s;

c)萬兆產(chǎn)品的新建連接數(shù)速率應不小于50000個/s;針對高性能的萬兆產(chǎn)品，整機新建連接數(shù) 速率應不小于250000個/s。

2）HTTP請求速率

硬件產(chǎn)品的HTTP請求速率視不同速率的產(chǎn)品有所不同，具體指標要求如下：

a)百兆產(chǎn)品的HTTP請求速率應不小于800個/s;

b)千兆產(chǎn)品的HTTP請求速率應不小于3000個/s;

c)萬兆產(chǎn)品的HTTP請求速率應不小于5000個/s。

3）SQL請求速率

硬件產(chǎn)品的SQL請求速率視不同速率的產(chǎn)品有所不同，具體指標要求如下：

a)百兆產(chǎn)品的SQL請求速率應不小于2000個/s;

b)千兆產(chǎn)品的SQL請求速率應不小于10000個/s;

c)萬兆產(chǎn)品的SQL請求速率應不小于50000個/s。

（4）并發(fā)連接數(shù)

1）TCP并發(fā)連接數(shù)

硬件產(chǎn)品的TCP并發(fā)連接數(shù)視不同速率的產(chǎn)品有所不同，具體指標要求如下：

a)百兆產(chǎn)品的并發(fā)連接數(shù)應不小于50000個;

b)千兆產(chǎn)品的并發(fā)連接數(shù)應不小于200000個;

c)萬兆產(chǎn)品的并發(fā)連接數(shù)應不小于2000000個;針對高性能的萬兆產(chǎn)品，整機并發(fā)連接數(shù)至少達到3000000個。

2）HTTP并發(fā)連接數(shù)

硬件產(chǎn)品的HTTP并發(fā)連接數(shù)視不同速率的產(chǎn)品有所不同，具體指標要求如下：

a)百兆產(chǎn)品的HTTP并發(fā)連接數(shù)應不小于50000個;

b)千兆產(chǎn)品的HTTP并發(fā)連接數(shù)應不小于200000個;

c)萬兆產(chǎn)品的HTTP并發(fā)連接數(shù)應不小于2000000個。

3）SQL并發(fā)連接數(shù)

硬件產(chǎn)品的SQL并發(fā)連接數(shù)視不同速率的產(chǎn)品有所不同，具體指標要求如下：

a)百兆產(chǎn)品的SQL并發(fā)連接數(shù)應不小于800個;

b)千兆產(chǎn)品的SQL并發(fā)連接數(shù)應不小于2000個;

c)萬兆產(chǎn)品的SQL并發(fā)連接數(shù)應不小于4000個。

4、安全保障要求

（1）開發(fā)

1）安全架構(gòu)

開發(fā)者應提供產(chǎn)品安全功能的安全架構(gòu)描述，安全架構(gòu)描述應滿足以下要求：

a)與產(chǎn)品設計文檔中對安全功能的描述范圍相一致;

b)充分描述產(chǎn)品采取的自我保護、不可旁路的安全機制。

2）功能規(guī)范

開發(fā)者應提供完備的功能規(guī)范說明，功能規(guī)范說明應滿足以下要求：

a)根據(jù)產(chǎn)品類型清晰描述1、2中定義的安全功能;

b)標識和描述產(chǎn)品所有安全功能接口的目的、使用方法及相關(guān)參數(shù);

c)描述安全功能實施過程中，與安全功能接口相關(guān)的所有行為;

d)描述可能由安全功能接口的調(diào)用而引起的所有直接錯誤消息。

3）產(chǎn)品設計

開發(fā)者應提供產(chǎn)品設計文檔，產(chǎn)品設計文檔應滿足以下要求：

a)通過子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)，標識和描述產(chǎn)品安全功能的所有子系統(tǒng)，并描述子系統(tǒng)間的相互作用;

b)提供子系統(tǒng)和安全功能接口間的對應關(guān)系;

c)通過實現(xiàn)模塊描述安全功能，標識和描述實現(xiàn)模塊的目的、相關(guān)接口及返回值等，并描述實現(xiàn)模塊間的相互作用及調(diào)用的接口;

d)提供實現(xiàn)模塊和子系統(tǒng)間的對應關(guān)系。

4）實現(xiàn)表示

開發(fā)者應提供產(chǎn)品安全功能的實現(xiàn)表示，實現(xiàn)表示應滿足以下要求：

a)詳細定義產(chǎn)品安全功能，包括軟件代碼、設計數(shù)據(jù)等實例;

b)提供實現(xiàn)表示與產(chǎn)品設計描述間的對應關(guān)系。

（2）指導性文檔

1）操作用戶指南

開發(fā)者應提供明確和合理的操作用戶指南，對每一種用戶角色的描述應滿足以下要求：

a)描述用戶能訪問的功能和特權(quán)，包含適當?shù)木拘畔?

b)描述產(chǎn)品安全功能及接口的用戶操作方法，包括配置參數(shù)的安全值等;

c)標識和描述產(chǎn)品運行的所有可能狀態(tài)，包括操作導致的失敗或者操作性錯誤;

d)描述實現(xiàn)產(chǎn)品安全目的必需執(zhí)行的安全策略。

2）準備程序

開發(fā)者應提供產(chǎn)品及其準備程序，準備程序描述應滿足以下要求：

a)描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟;

b)描述安全安裝產(chǎn)品及其運行環(huán)境必需的所有步驟。

（3）生命周期支持

1）配置管理能力

開發(fā)者的配置管理能力應滿足以下要求：

a)為產(chǎn)品的不同版本提供唯一的標識;

b)使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項進行維護，并進行唯一標識;

c)提供配置管理文檔，配置管理文檔描述用于唯一標識配置項的方法;

d)配置管理系統(tǒng)提供自動方式來支持產(chǎn)品的生成，通過自動化措施確保配置項僅接受授權(quán)變更;

e)配置管理文檔包括一個配置管理計劃，描述用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項的程序。配置管理計劃描述應描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品，開發(fā)者實施的配置管理應與配置管理計劃相一致。

2）配置管理范圍

開發(fā)者應提供產(chǎn)品配置項列表，并說明配置項的開發(fā)者。配置項列表應包含以下內(nèi)容：

a)產(chǎn)品及其組成部分、安全保障要求的評估證據(jù);

b)實現(xiàn)表示、安全缺陷報告及其解決狀態(tài)。

3）交付程序

開發(fā)者應使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時，交付文檔應描述為維護安全所必需的所有程序。

4）開發(fā)安全

開發(fā)者應提供開發(fā)安全文檔。開發(fā)安全文檔應描述在產(chǎn)品的開發(fā)環(huán)境中，為保護產(chǎn)品設計和實現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。

5）生命周期定義

開發(fā)者應建立一個生命周期模型對產(chǎn)品的開發(fā)和維護進行的必要控制，并提供生命周期定義文檔描述用于開發(fā)和維護產(chǎn)品的模型。

6）工具和技術(shù)

開發(fā)者應明確定義用于開發(fā)產(chǎn)品的工具，并提供開發(fā)工具文檔無歧義地定義實現(xiàn)中每個語句的含義和所有依賴于實現(xiàn)的選項的含義。

（4）測試

1）測試覆蓋

開發(fā)者應提供測試覆蓋文檔，測試覆蓋描述應滿足以下要求：

a)表明測試文檔中所標識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能間的對應性;

b)表明上述對應性是完備的，并證實功能規(guī)范中的所有安全功能接口都進行了測試。

2）測試深度

開發(fā)者應提供測試深度的分析。測試深度分析描述應滿足以下要求：

a)證實測試文檔中的測試與產(chǎn)品設計中的安全功能子系統(tǒng)和實現(xiàn)模塊之間的一致性;

b)證實產(chǎn)品設計中的所有安全功能子系統(tǒng)、實現(xiàn)模塊都已經(jīng)進行過測試。

3）功能測試

開發(fā)者應測試產(chǎn)品安全功能，將結(jié)果文檔化并提供測試文檔。測試文檔應包括以下內(nèi)容：

a)測試計劃，標識要執(zhí)行的測試，并描述執(zhí)行每個測試的方案，這些方案包括對于其他測試結(jié)果的任何順序依賴性;

b)預期的測試結(jié)果，表明測試成功后的預期輸出;

c)實際測試結(jié)果和預期的測試結(jié)果的對比。

4）獨立測試

開發(fā)者應提供一組與其自測安全功能時使用的同等資源，以用于安全功能的抽樣測試。

（5）脆弱性評定

基于已標識的潛在脆弱性，產(chǎn)品能抵抗以下強度的攻擊：

a)具有基本攻擊潛力的攻擊者的攻擊;

b)具有中等攻擊潛力的攻擊者的攻擊。

文章來源微信公眾號：計算機與網(wǎng)絡安全

ID：Computer-network

以上就是100唯爾(100vr.com)小編為您介紹的關(guān)于防火墻的知識技巧了，學習以上的網(wǎng)絡安全培訓：防火墻安全技術(shù)要求知識，對于防火墻的幫助都是非常大的，這也是新手學習信息技術(shù)所需要注意的地方。如果使用100唯爾還有什么問題可以點擊右側(cè)人工服務，我們會有專業(yè)的人士來為您解答。

本站在轉(zhuǎn)載文章時均注明來源出處，轉(zhuǎn)載目的在于傳遞更多信息，未用于商業(yè)用途。如因本站的文章、圖片等在內(nèi)容、版權(quán)或其它方面存在問題或異議，請與本站聯(lián)系(電話：0592-5551325，郵箱：help@onesoft.com.cn)，本站將作妥善處理。

向客服提問

文章標簽：防火墻安全技術(shù)要求網(wǎng)絡安全培訓

上一篇：混合現(xiàn)實技術(shù)（MR）為人們帶來什么？混合現(xiàn)實技術(shù)(MR)帶來的醫(yī)學革命

下一篇：計算機二級面臨改革？

贊一個

踩一下

換一批

防火墻課程推薦

網(wǎng)絡安全技術(shù)

計算機網(wǎng)絡技術(shù)

143513人學過

￥500/月

數(shù)據(jù)庫基礎

軟件與信息服務

88767人學過

￥500/月

綜合布線技術(shù)

計算機網(wǎng)絡技術(shù)

145876人學過

￥500/月

計算機組裝與維修

計算機與數(shù)碼產(chǎn)品維修

89417人學過

￥500/月

計算機網(wǎng)絡基礎

計算機網(wǎng)絡技術(shù)

139493人學過

￥500/月

PLC

數(shù)控

發(fā)動機

焊接

電梯

信息技術(shù)

模具專業(yè)

汽修專業(yè)

交通土建

數(shù)控專業(yè)

機械制造

公共事業(yè)

市場營銷

信息技術(shù)技術(shù)文檔

信息技術(shù)客服中心

王老師

立即交談

林老師

立即交談

更多>>

100VR精品課程推薦

評價

共0條

發(fā)表評論

0/500字

*發(fā)票類型：	全電普票全電專票
*類別：	個人單位
*個人姓名：
*納稅人識別號：
*單位地址：
*電話：
*開戶銀行：
*銀行賬號：

官方客服