GB/T31499-2015
信息安全技术统一威胁管理产品技术要求和测试评价方法
Informationsecuritytechnology—Technicalrequirementsandtestingandevaluationapproachesforunifiedthreatmanagementproducts
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2016-01-01
- 文件格式PDF
- 文本页数47页
- 文件大小737.02KB
以图片形式预览信息安全技术统一威胁管理产品技术要求和测试评价方法
信息安全技术统一威胁管理产品技术要求和测试评价方法
国家标准 GB/T3149g一2015 信息安全技术统一威胁管理产品 技术要求和测试评价方法 nformationseeuritytechnoogy一Iechniealrequirementsandtesting andevaluationapproachesforunifiedthreamanagementproduets 2015-05-15发布 2016-01-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/I31499g一2015 目 次 前言 范围 规范性引用文件 术语和定义 缩略语 综述 5.1 UTM产品概念模型 5.2安全环境 5.3安全目标 UTM等级划分说明 综述 6.1 基本级 6.2 6.3增强级 6.4功能和自身安全要求等级划分 详细技术要求 基本级 7.1 1 7.2增强级 7.3性能指标要求 20 UTM产品测评方法 8.1总体说明 21 8.2功能测试 21 8.3性能测试 参考文献
GB/T31499一2015 前 言 本标准按照GB/T1.1一2009给出的规则起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口
本标准起草单位:北京启明星辰信息安全技术有限公司,华北计算技术研究所,清华大学,公安部计 算机信息系统安全产品质量监督检验中心,公安部第三研究所
本标准主要起草人;袁智辉,张怡,草闯、俞优,顾健、袁卫库、沈颖、邓铁,任平,潘磊,蒋磊,范成刚、 刘健.,李国俊,肖聪,陈硕、奚贝,畅金恒 m
GB/T31499一2015 信息安全技术统一威胁管理产品 技术要求和测试评价方法 范围 本标准规定了统一威胁管理产品的功能要求、性能指标、产品自身安全要求和产品保证要求,以及 统一威胁管理产品的分级要求,并根据技术要求给出了测试评价方法
本标准适用于统一威胁管理产品的设计,开发,测试和评价
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB17859-1999计算机信息系统安全保护等级划分准则 GB/T18336.1一2008信息技术安全技术信息技术安全性评估准则第1部分;简介和一般 模型(1So/IEC15408-1;2005,IDT) GB/T25069信息安全技术术语 术语和定义 GB178591999,GB/T25069和GB/T18336.1一2008中界定的以及下列术语和定义适用于本 文件 3.1 统一威胁管理unifiedthreatmanagement;UTM 通过统一部署的安全策略,融合多种安全功能,针对面向网络及应用系统的安全威胁进行综合防御 的网关型设备或系统
3.2 accesscontrol 访问控制 通过对访问网络资源用户身份进行鉴别,并依照其所属的预定义组安全策略来授权对其提出的资 源访问请求加以控制的技术
3.3 内部网络internalnetwork 在组织范围内部与外部网络隔离的,受保护的可信网络区域
3.4 外部网络extermlnetwork 在组织范围以外处理、传递公共资源的公开网络区域
3.5 安全策略seeuritypoliey 为保护业务系统安全而采用的具有特定安全防护要求的控制方法、手段和方针
GB/T31499一2015 3.6 病毒 Virus 在计算机程序中插人破坏计算机功能或者数据,影响计算机使用并且能自我复制的一组计算机指 令或程序代码
病毒特征 virussignature 从病毒程序中提取出的一系列二进制字符串,用以标识某个病毒,将其与其他病毒或者正常的计算 机程序区分开来
3.8 病毒特征库virussignaturedatabase 记录各种病毒特征的集合
3.9 事件incident -种试图改变信息系统安全状态并可能造成损害的情况 3.10 攻击特征attacksignature 预先定义的能够发现一次攻击事件正在发生的特定信息
3.11 入侵intrusiom 违反安全策略,避开安全措施,通过各种攻击手段来接人,控制或破坏信息系统的非法行为
3.12 入侵防御intrusionproteetion 通过分析网络流量发现具有人侵特征的网络行为,在其传人被保护网络前进行预先拦截的产品
3.13 垃圾邮件spam 收件人事先未提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等电子邮件,通常会隐 藏或包含虚假的发件人身份、地址、标题等信息
3.14 主机host 计算机,用于放置主板及其他主要部件的容器
3.15 用户user 使用者在UTM安全策略的控制下,通过UTM访问某一个区域,该使用者不具有能影响UTM安 全策略执行的权限
3.16 授权管理员authorizedadministrator 具有UTM管理权限的账户,负责对UTM的系统配置,安全策略、审计日志等进行管理
3.17 告警alert 当检测到攻击或威胁事件产生时,UTM向授权管理员发出的紧急通知
3.18 响应response UTM产品检测到攻击事件发生时,阻止攻击并向管理员发送告警的行为
GB/T31499一2015 3.19 吞吐量throughput 没有帧丢失的情况下,UTM产品能够接受的最大速率
3.20 延迟lateney 数据帧的最后一个位的末尾到达UTM产品内部网络输人端口至数据帧的第一个位的首部到达 UTM产品外部网络输出端口之间的时间间隔
3.21 最大并发连接数 ceapaeity maXimummcOncurrentcOnnecti0n UTM产品能同时保持并处理的最大TCP并发连接数目 3.22 最大新建连接速率 maximumconnectionestablishmentrate UTM产品单位时间内所能建立的最大TCP连接速率
3.23 链路link 两台网络设备之间的物理连接
缩略语 下列缩略语适用于本文件 ARP;地址解析协议(AddressResolutionProtocol AV;防病毒(Antivirus CLl;命令行界面(CommandLineInterface CRL;证书吊销列表(CertificateRevocationList) DNAT;目的网络地址转换(DestinationNat DNs;域名系统(DomainNameSystem FTP;文件传输协议(FileTransferProtocol GRE;通用路由封装(GenericRoutingEncapsulation HTML;超文本标记语言(HypertextMarkupLanguage) HTTP;超文本传送协议(HypertextTransferProtocol CMP;互联网控制报文协议(InternetControlMessageProtoeol IN 即时通讯(nstantMessaging I IMAP;互联网消息访问协议(InternetMessageAccessProtocoD) P;互联网协议InternetProtocol IPS;人侵防御系统(IntrusionProteetionSystem AccessProtocolD LDAP.轻量目录访问协议(LightweightDirectory .2TP;二层隧道协议(Layer2TunnelingProtocolD) NetworkAddressTranslation NAT;网络地址转换(Net NetworkFile NFS;网络文件系统(N System DpenShortestPathFirst) OSPF;开放最短路径优先(Op P2P;点对点协议(PeertopeerProtocol) POP;邮局协议(PostOfficeProtocol RIP:路由信息协议RoutinglInformationProtocol
GB/T31499一2015 emoteProcedureCall RPC;远程过程调用(Re MailTransferProtocol SMTP;简单邮件传送协议(Simple SNAT;源网络地址转换(So ource IpNat Net ProtocolD SNMP简单网络管理协议(Simple tworkManagement" structuredQueryLanguage sQL;结构化查询语言(Str SSH:安全外壳协议(SecureShell TCP;传输控制协议(TransportControlProtocol) TFTP:简单文件传送协议TrivialFileTransferProtocol UDP;用户数据报协议(UserDatagamProtocol URL;:统 ResourceLocator 一资源定位符(Unform VLAN:虚拟局域网(VirtualL.ocalAreaNetwork 综述 5.1UTM产品概念模型 5.1.1概念定义 威胁是指违背安全的一种潜能,当存在可能损坏安全的情况,能力,措施或事件时,就一定存在这种 可导致破坏的潜能
UTM是由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能
同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台,进行抵御来自网络的各种 威胁
UTM框架见图1
包过沫 资源控制 应用过滤 入侵防御/俯病 地址转换 外联控制 TCP/IP 协议栈 理 防攻击/防扫描 Serice-ook 接口管理 Ethernet/PppOE几2TP/ARP 图1UTM的架构 5.1.2网络部署方式 UTM通常部署在内部网络与外部网络的边界,对流出和进人内部网络的数据进行保护和控制
UTMM在实际网络中的部署方式通常包括透明网桥,路由转发和NAT网关
GB/T31499一2015 5.1.3UIMI功能组成 UTM功能组成如下: 网络接人功能 具备路由模式.NAT模式,透明模式网络接人能力 带宽管理功能 具备监视、管理流量带宽的能力
访问控制功能 具备基本网络数据访问控制能力,根据定义的策略允许对应的IP数据包访问网络资源
人侵防御功能 采用相关的分析检测技术,对流人目标网络的数据进行提取并分析,并根据定义的策略对人侵 行为进行拦截响应
-防病毒功能 检测通过网络传输的文件,识别并阻断其中包含恶意代码的信息
应用协议控制功能 采用各种分析检测技术,识别并控制通过网络传输的各种网络应用协议
管理配置功能 负责UTM产品定制策略,审阅日志、产品状态管理,并以可视化形式提交授权管理员进行 管理
5.2安全环境 5.2.1 应用环境 UTM适用于有安全网关要求的业务网系统,系统可以工作在三层路由/NAT模式下,也可以直接 工作在透明模式下 5.2.2安全威胁 5.2.2.1综述 符合本标准的UTM要求能够对抗5.2.2.2一5.2.2.12中陈述的威胁
威胁代理可以是未授权的个 人或未授权使用UTM的外部IT实体
5.2.2.2未授权访问 未授权的个人可能试图通过旁路UTM安全机制的方法,访问和使用UTM提供的安全功能和/或 非安全功能
5.2.2.3鉴别数据恶意猜测 未授权的个人可能使用反复猜测鉴别数据的方法,并利用所获信息,对UTM实施攻击
5.2.2.4访问未被记录 由于访问未被记录,因此访问者可能不需对其操作的行为负责,这样可能导致某些攻击者能够逃避 检测
GB/T31499一2015 5.2.2.5配置数据被破坏 未授权的个人可能读、修改或破坏了重要的UTM安全配置数据
审计记录破坏/丢失 5.2.2.6 未授权的个人可能通过耗尽审计数据存储空间的方法,导致审计记录的丢失或阻止未来审计记录 的存储,从而掩盖攻击者的攻击行为
5.2.2.7无控制的内网访问 内网部分主机可以被外网无限制访问;存在安全隐患
5.2.2.8无控制的外网访问 外网主机对外网访问无控制;存在安全隐患
5.2.2.9无限制的网络资源占用 未授权的访问滥用网络资源
5.2.2.10非恶意错误行为 针对IT系统的错误行为
5.2.2.11恶意行为 针对IT系统漏洞的恶意访问或攻击
5.2.2.12病毒威胁 恶意的代理可能会尝试通过网络引人病毒,并攻击系统
5.2.2.13网络窃听 针对网络传输数据的非去窃听,窃取机密信息
5.3安全目标 UTM应达到如下安全目标: 5.3.1身份鉴别 在允许用户访问UTM功能之前,UTM必须对用户身份进行唯一的标识和鉴别
5.3.2防口令猜测攻击 对从网络上进行UTM鉴别的用户,UTM必须防止口令猜测攻击
5.3.3审计记录 必须提供记录安全相关事件的、可读的审计迹的方法,审计记录必须具有精确的日期和时间;对审 计迹,TOE必须提供基于属性的检索和分类的方法
5.3.4自我保护 UTM必须做好自身防护,以对抗非授权用户对UTM安全功能的旁路、抑制或篡改的尝试
GB/I31499g一2015 5.3.5访问控制 对于经过UTM传输的数据,UTM必须做到允许或禁止的访问控制
5.3.6应用层安全分析 UTM必须能探测发生在IT系统上的有关访问滥用,恶意行为的所有事件信息;并进行分析
攻击响应 5.3.7 UTM必须根据应用层分析结论,对攻击作出响应
如阻断,告警等
5.3.8病毒防护 UTM必须能检测通过网络传播的已知病毒,并对病毒作出处理
UM等级划分说明 综述 6.1 依据UTM的网络部署能力、安全能力、自身安全性、保证性要求进行等级划分,分为基本级和增强 级两个级别
本文件不依据性能为做等级划分依据
6.2基本级 本级定义了UTM功能的最低轮廓和要求
基本级UTM可部署于相对简单的网络边界,应具备: a)基本的安全能力;包括访问控制、人侵防御、防病毒等能力 b)基本的自身安全性要求;提供管理员身份鉴别机制,安全审计能力;并能够抵御针对UTM自 身的攻击 基本的开发过程保证性要求
6.3增强级 本级定义了UTM的增强性要求
增强级UTM可对复杂多样的安全威胁实施一体化防御,适用 于复杂网络环境,可针对复杂多样的网络应用协议,实施威胁分析与防御
应具备 增强的安全能力,利用细粒度分析与标识手段保证访问控制、人侵防御、防病毒等安全能力不 a 被躲避; 增强的自身安全性要求;提供多种管理员身份鉴别和校验机制,保证管理员身份的合法性;通 过数据加密或校验保证审计数据的可用性和安全性; 增强的开发过程保证性要求
功能和自身安全要求等级划分 6.4 UTMI产品的安全等级划分如表1,表”所示
对UTM产品的等级评定是依据下面两个表格,结 合产品保证要求的综合评定得出的,符合基本级的UTM产品应满足表1、表2中所标明的基本级产品 应满足的所有项目,以及对基本级产品的相关保证要求;符合增强级的UTM产品应满足表1、表2中 所标明的增强级产品应满足的所有项目,以及对增强级产品的相关保证要求
GB/T31499一2015 表1UIM功能要求等级划分 增强要求 产品功能要求 功能组件 基本要求 NAT功能 静态路由 网络接人 策略路由 动态路由 流量监测 带宽管理 流量限制 流量保证 默认禁止原则 数据拦截 基于时间的策略控制 访问控制 数据拦截记录 IPMAC绑定 基于用户的策略控制 基于URL.的访问控制 应用协议控制 基于电子邮件信息头的访问控制 基于HTTP关健字的访问控制 IM类协议访问控制 应用协议控制 P2P类协议访问控制 协议躲避识别 应用协议特征更新 数据分析 人侵发现 事件阻断 安全告警能力 事件可视化 人侵防御 定制特征 事件分级 报表生成 定制报表 攻击躲避识别 人侵特征库更新 病毒传输检测 病毒阻断 病毒防护 压缩文件病毒检测 病毒特征库更新
GB/T31499一2015 表1(续 增强要求 产品功能要求 功能组件 基本要求 用户自定义IP地址标记垃圾邮件 反垃圾邮件 邮件自学习 邮件信息记录 本地管理 远程管理 管理配置 策略配置 产品升级 统 -管理 注;“”指具有此功能
表2UIM产品自身安全要求等级划分 产品功能要求 功能组件 基本要求 增强要求 用户属性定义 口令鉴别 多重鉴别机制 标识与鉴别 鉴别失败处理 鉴别的时机 与第三方认证系统配合 审计数据的生成 审计数据的查阅 安全审计 审计数据的可用性 受限的审计数据查阅 安全功能行为管理 安全属性管理 安全管理 基于安全属性的访问控制 系统属性管理 安全角色 抗源IP地址欺骗 抗拒绝服务攻击 抗渗透 抗网络,端口扫描 抗漏洞扫描 可信恢复 配置信息不丢失 注“”指具有此功能
GB/T31499一2015 详细技术要求 7.1 基本级 7.1.1产品功能要求 7.1.1.1网络接入 7.1.1.1.1NAI功能 UTM应支持双向NAT功能,包括SNAT和DNAT,具体技术要求如下: a)sNAT应实现“多对一”地址转换,使得内部网络主机正常访问外部网络时,其源IP地址被 转换 o DNAT应实现“一对一”地址转换,将服务器区的IP地址映射为外部网络合法IP地址,使外部 网络主机通过访问映射的目的地址时,实现对服务器区服务器的访问
7.1.1.1.2静态路由 UrM应支持手工配置静态路由功能,可以让处于不同网段的计算机通过路由转发的方式互相 通信
7.1.1.1.3策略路由 UTM应至少支持源地址、目的地址、协议、接口的组合控制数据包的转发路径
7.1.1.2带宽管理 流量监测:UTM应至少支持通过IP地址、时间和协议类型参数或它们的组合进行流量统计
7.1.1.3访问控制 7.1.1.3.1默认禁止原则 UTM产品应具备在未配置任何访问控制策略时,禁止所有数据进人目标网络的功能
7.1.1.3.2数据拦截 UTM产品应具备对违反策略定义的数据进行阻断的功能防止未合规数据进人目标网络
策略 应至少支持对源P,目的IP,服务,接口的组合配置
7.1.1.3.3基于时间的策略控制 UTM应至少支持基于时间的包过滤访问控制
7.1.1.3.4数据拦截记录 UTM应能对拦截行为及时生成审计记录,记录的信息应至少包括数据拦截发生日期时间、,源P 地址、源端口、目的IP地址、目的端口
7.1.1.4应用协议控制 7.1.1.4.1基于URL的访问控制 UTM应支持URL的访问控制功能,能够禁止指定的URL访问
10o
GB/T31499一2015 7.1.1.4.2基于电子邮件信息头的访问控制 UTM应至少支持对电子邮件中的Subject,To,From域进行的访问控制
7.1.1.4.3基于HrTP关键字的访问控制 UTM应支持基于关键字过滤HTTP网页内容的功能,控制用户对非法内容的访问
7.1.1.4.4IM类协议访问控制 UTM应具备IM类协议的访问控制功能,至少支持对Ms.QQ的登录进行控制 7.1.1.4.5P2P类协议访问控制 UTM应具备P2P类协议的访问控制功能,至少支持对bt文件传输协议,ed2k文件传输协议的 阻断
7.1.1.5入侵防御 7.1.1.5.1数据分析 UTM产品应对收集的数据包进行分析,应至少支持以下协议类型:ARP,ICMP,IP,TCP,UDP RPc,HTTP、FTP、TFTP、sNMP、TEINET、DNs、sMTP、rPOP3、NETBos.NFs、MssQL sMB,MSN
7.1.1.5.2入侵发现 UTM产品应能发现数据中的人侵行为,应至少支持以下人侵行为的检测;木马后门类事件、拒绝 服务类事件、缓冲区溢出类事件
7.1.1.5.3事件阻断 UTM产品应对发现的人侵行为进行预先拦截,防止人侵行为进人目标网络
7.1.1.5.4安全告警能力 UTM产品应支持在检测到人侵时自动采取相应动作,发出安全警告
告警动作应包含且不限于 电子邮件,告警日志
7.1.1.5.5事件可视化 UTM产品应支持图形界面上查看拦截到的人侵事件
人侵事件信息应至少包括:事件名称、事件 发生日期时间,源IP地址、源端口、目的IP地址、目的端口,危害等级
7.1.1.6病毒防护 7.1.1.6.1病毒传输检测 UTM应具备对通过网络进行传输的病毒的检测能力,可以检测激活的病毒、蠕虫,木马等恶意代 码的传输行为并进行日志记录和报警
检测日志的内容应至少包含事件名称,源地址、目的地址、事件 发生的日期和时间、事件描述
7.1.1.6.2病毒阻断 UTM应支持对病毒文件传输的阻断,能够拦截试图穿越产品的包含病毒代码的文件传输
11
GB/T31499一2015 7.1.1.7管理配置 7.1.1.7.1本地管理 UTM应支持本地CLI或图形管理界面对UTM进行配置管理
7.1.1.7.2远程管理 UTM应支持加密的远程管理,如基于sSH、HTTPS协议的远程管理
7.1.1.7.3策略配置 UTM应支持对访问控制策略,人侵防御策略、病毒防护策略进行配置的功能,包括策略匹配条件、 矛盾策略检测和策略相应措施 7.1.1.7.4产品升级 UTM产品应支持更新自身系统的能力,包括对软件系统的升级以及各种安全能力特征库的升级
7.1.2产品自身安全 统一威胁管理产品在进行资源分配时,安全功能应保证其分配的资源中不提供以前所产生的任何 信息内容
7.1.2.1标识与鉴别 用户属性定义 7.1.2.1.1 UTM应维护属于单个用户的安全属性,安全属性应包含且不限于;用户标识如用户名、授权信 息(或用户组信息. 7.1.2.1.2口令鉴别 UTM应支持通过口令鉴别的方式识别用户
7.1.2.1.3鉴别失败处理 UTM产品应支持检测与鉴别事件相关的未成功鉴别尝试次数达到或超过系统默认或仅由授权管 理员设定的未成功鉴别次数阀值
当达到或超过所定义的鉴别失败尝试次数时,UTM产品应终止进 行登录尝试动作
7.1.2.1.4鉴别的时机 在用户被鉴别前,UTM产品安全功能应仅允许用户执行输人登录信息或查看帮助信息等与用户 安全无关的操作
在允许执行除输人登录信息和查看帮助信息等与用户安全无关的操作外的其他授权 操作前,UTM产品安全功能应要求每个用户都已被成功鉴别 7.1.2.2安全审计 7.1.2.2.1审计数据的生成 UTM应支持对自身的管理行为及发生的网络行为和事件进行日志记录 应至少支持以下日志;管理员操作行为,访问控制事件、人侵事件,病毒事件,邮件过滤事件 a wEB过滤事件 b日志的内容需要包含以下内容;时间、事件类型,主体身份、事件的结果
12
GB/T31499一2015 7.1.2.2.2 审计数据的查阅 UTM应支持只有授权的管理员可以获得和解释审计信息的能力,用户是人员用户时,审计数据必 须以人类可理解的方式表示;用户是外部IT实体时,信息必须能够以电子方式无歧义表示
7.1.2.3安全管理 7.1.2.3.1安全功能行为管理 UTM产品如果支持下述安全功能,则功能应仅限于已标识的授权角色能够执行 a 用户的维护(如删除、修改,添加、启用或禁用等); b用户角色的维护; c如果一个授权用户能够改变在鉴别前所允许的动作,那么能执行对动作列表的管理; 远程管理主机的维护 d 7.1.2.3.2安全属性管理 UTM产品安全功能应执行访问控制策略,以仅限于已标识的授权角色能够执行以下安全属性管 理行为: a)对用户名进行管理操作(如查阅、修改或删除等); b)对远程管理主机IP地址进行管理操作(如查阅、修改或删除等); c)对用户权限进行管理操作(如授权、更改或取消等); d)UTM产品应保证经过升级后,安全属性数据的完整性
7.1.2.3.3基于安全属性的访问控制 UTM产品安全功能应基于远程管理主机IP地址、用户名等属性对UTM产品的安全管理执行访 问控制策略
7.1.2.3.4系统属性管理 UTM产品安全功能应仅限于已标识的授权角色能够执行以下管理行为 a)对审计信息的管理,包含但不限于查阅、查询、清空或导出等行为, b) 如果产品允许授权用户管理未成功鉴别尝试次数,则对未成功鉴别尝试次数的设置; c 对鉴别数据的管理(如改变用户口令默认值或修改用户口令等). 7.1.2.3.5安全角色 UTM产品安全功能应维护已标识的授权角色,UTM产品安全功能应能够把用户和角色关联 起来 7.1.2.4抗渗透 抗源IP地址欺骗:UTM产品应支持抵御源IP地址欺骗攻击 7.1.2.5可信恢复 配置信息不丢失:UTM产品应支持手动保存配置信息或自动保存配置信息,使配置信息可恢复到 关机前的状态;支持恢复出厂默认配置
13
GB/T31499一2015 7.1.3产品保证要求 7.1.3.1配置管理 开发者应为系统的不同版本提供唯一的标识
系统的每个版本应当使用它们的唯一标识作为 标签
7.1.3.2交付与运行 开发者应提供文档说明系统的安装、生成和启动
7.1.3.3安全功能开发 7.1.3.3.1功能设计 开发者应提供系统的安全功能设计文档
功能设计应以非形式方法来描述安全功能与其外部接 口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和出错信息的细节
7.1.3.3.2表示对应性 开发者应在产品安全功能表示的所有相邻对之间提供对应性分析
7.1.3.4文档要求 7.1.3.4.1管理员指南 开发者应提供授权管理员使用的管理员指南
管理员指南应说明以下内容 a)系统可以使用的管理功能和接口; b)怎样安全地管理系统; 在安全处理环境中应进行控制的功能和权限; 所有对与系统的安全操作有关的用户行为的假设; dD 所有受管理员控制的安全参数,如果可能,应指明安全值; -种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的 每 改变; 所有与授权管理员有关的IT环境的安全要求
g 管理员指南应与为评价而提供的其他所有文件保持一致
7.1.3.4.2用户指南 开发者应提供用户指南
用户指南应说明以下内容: 系统的非管理用户可使用的安全功能和接口 a 系统提供给用户的安全功能和接口的用法; b 用户可获取但应受安全处理环境控制的所有功能和权限 C 系统安全操作中用户所应承担的职责; D 与用户有关的IT环境的所有安全要求 开发者应承诺不以任何欺骗,偷窃或其他非法手段收集用户相关信息;不利用技术优势干扰 控制用户产品的正常运行,中断或威胁中断技术支持与服务,不在未经用户同意的情况下收集 用户相关信息、将用户相关信息披露或转移给第三方 用户指南应与为评价而提供的其他所有文件保持一致 14
GB/T31499一2015 7.1.3.5开发安全要求 开发者应提供开发安全文件
开发安全文件应描述在系统的开发环境中,为保护系统设计和实现 的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施
开发安全文 件还应提供在系统的开发和维护过程中执行安全措施的证据
7.1.3.6测试 7.1.3.6.1范围 开发者应提供测试覆盖的分析结果
测试覆盖的分析结果应表明测试文档中所标识的测试与安全 功能设计中所描述的安全功能是对应的
7.1.3.6.2功能测试 开发者应测试安全功能,并提供相应的测试文档
测试文档应包括测试计划、测试规程、预期的测 试结果和实际测试结果
测试计划应标识要测试的安全功能,并描述测试的目标
测试规程应标识要 执行的测试,并措述每个安全功能的测试概况,这些概况包括对其他测试结果的顺序依赖性
期望的测 试结果应表明测试成功后的预期输出
实际测试结果应表明每个被测试的安全功能能按照规定进行 运作
7.2增强级 产品功能要求 7.2.1 7.2.1.1网络接入 动态路由:UTM应至少支持RIP,0SPF路由协议 7.2.1.2带宽管理 7.2.1.2.1流量限制 UTM应支持管理员将指定源IP,目的IP,协议的流量限制到规定值
7.2.1.2.2流量保证 UTM应支持拥塞发生时,对管理员指定的源IP、目的IP,协议的流量,按照预先设置的带宽优先 转发数据
7.2.1.3访问控制 7.2.1.3.1IPMAc绑定 UTM应支持手工或自动配置IP地址与MAC地址绑定,不符合绑定内容的数据包被丢弃
7.2.1.3.2基于用户的策略控制 UTM应支持基于用户的包过滤访问控制,只有通过认证的用户才能访问特定的网络资源
15
GB/T31499一2015 7.2.1.4应用协议控制 7.2.1.4.1协议躲避识别 UTM应支持对采用标准协议(如TCP80、443端口等)端口上传输其他类型应用的检测和识别
具体技术要求如下 支持采用HTTP方式登录的IM软件的禁止,至少支持MSN,QQ: b)支持采用HTTP,HTTPs方式传输的P2P软件的禁止,至少支持BitTorrent、eMule 7.2.1.4.2应用协议特征更新 UTM应具备对网络应用协议(包含且不限于IM、P2P类)的协议特征升级能力
7.2.1.5入侵防御 7.2.1.5.1定制特征 UTM产品应允许授权管理员自定义事件的特征,符合自定义特征的数据包可以被阻断
7.2.1.5.2事件分级 UTM产品应支持按照事件的严重程度对事件进行分级
7.2.1.5.3报表生成 报表内容应包含表格形式、柱状图、饼图等,并应能够生成日报、周报等汇总报表 7.2.1.5.4定制报表 UTM产品应支持授权管理员按照自己的要求修改和定制报表内容,并输出成方便阅读的文件格 式,文件格式应至少支持以下文件格式中的一种或多种;D0c,PDF,HTML,XLs. 7.2.1.5.5攻击躲避识别 UTM产品应能发现躲避或欺骗检测的行为,应至少支持;IP碎片重组、TCP流重组,协议端口重 定位,URL字符串变形、shel代码变形
7.2.1.5.6入侵特征库更新 UTM产品应具备升级人侵特征事件库的能力
7.2.1.6病毒防护 7.2.1.6.1压缩文件病毒监测 UTM产品应支持检测不同压缩格式的文件,应至少支持ZIP,RAR压缩格式
7.2.1.6.2病毒特征库更新 UTM产品应具备升级病毒特征库的能力
7.2.1.7反垃圾邮件 7.2.1.7.1用户自定义I地址标记垃圾邮件 UTM应支持授权管理员设置基于IP地址的反垃圾邮件规则,应能够按照规则将指定IP地址发 16
GB/T31499一2015 送的邮件标记为垃圾邮件
7.2.1.7.2邮件自学习 UTM应支持通过对标记的邮件学习,具备对垃圾邮件的智能识别能力
7.2.1.7.3邮件信息记录 UTM应支持对经过反垃圾邮件功能处理的邮件进行统计,包括正常邮件的数量和标记为垃圾邮 件的数量
7.2.1.8管理配置 7.2.1.8.1统一管理 UTM应支持通过一个管理中心对多台UTM进行集中管理,需要支持以下功能 a) 统一升级软件版本; b)统一配置 统一监控
c 7.2.2产品自身安全 7.2.2.1标识与鉴别 7.2.2.1.1多重鉴别机制 除支持口令鉴别方式外,UTM应支持通过文件证书或USBKey的方式对用户进行身份鉴别
7.2.2.1.2与第三方认证系统配合 UTM应支持与第三方认证系统配合的功能,包括RADIUS或LDAP认证方式
7.2.2.2安全审计 审计数据的可用性 7.2.2.2.1 UTM审计的数据应至少支持;管理员的名称,访问时间操作时间、登录方式、使用的地址
审计 数据的内容应具有可读性
7.2.2.2.2受限的审计数据查阅 UTM审计的数据应只支持授权管理员查询,非授权用户应无法查询审计数据
7.2.2.3抗渗透 7.2.2.3.1抗拒绝服务攻击 UTM产品应至少支持Synlood、UDPflood、PingofDeath的攻击防护 7.2.2.3.2抗网络、端口扫描 UTM产品应支持抵御网络,端口的扫描
7.2.2.3.3抗漏洞扫描 UTM产品应支持抵御漏洞扫描行为
17
GB/T31499一2015 7.2.3产品保证要求 7.2.3.1配置管理 7.2.3.1.1配置管理 开发者应使用配置管理系统并提供配置管理文档,以及为系统的不同版本提供唯一的标识
配置 管理系统应对所有的配置项作出唯一的标识,并保证只有经过授权才能修改配置项,还应支持系统基本 配置项的生成
配置管理文档应包括配置清单、配置管理计划以及接受计划
配置清单用来描述组成 系统的配置项
在配置管理计划中,应描述配置管理系统是如何使用的
实施的配置管理应与配置管 理计划相一致
在接受计划中,应描述对修改过或新建的配置项进行接受的程序
配置管理文档还应 描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效地维护的证据
7.2.3.1.2配置管理范围 开发者应提供配置管理文档
配置管理文档应说明配置管理系统至少能跟踪:系统实现表示、设计 文档,测试文档、用户文档、管理员文档、配置管理文档和安全缺陷,并描述配置管理系统是如何跟踪配 置项的
7.2.3.2交付与运行 7.2.3.2.1交付 开发者应使用一定的交付程序交付系统,并将交付过程文档化
交付文档应包括以下内容 a在给用户方交付系统的各版本时,为维护安全所必需的所有程序 b 开发者向用户提供的产品版本和用户收到的版本之间的差异以及如何监测对产品的修改; 如何发现他人伪装成开发者修改用户的产品
7.2.3.2.2安装生成 开发者应提供文档说明系统的安装、生成和启动
7.2.3.3安全功能开发 7.2.3.3.1功能设计 开发者应提供系统的安全功能设计文档
安全功能设计应以非形式方法来描述安全功能与其外部 接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和出错信息的 细节
7.2.3.3.2高层设计 开发者应提供产品安全功能的高层设计
高层设计应以非形式方法表述并且是内在一致的
为说 明安全功能的结构,高层设计应将安全功能分解为各个安全功能子系统进行描述,并阐明如何将有助于 加强产品安全功能的子系统和其他子系统分开
对于每一个安全功能子系统,高层设计应描述其提供 的安全功能,标识其所有接口以及哪些接口是外部可见的,描述其所有接口的使用目的与方法,并提供 安全功能子系统的作用、例外情况和出错信息的细节
高层设计还应标识系统安全要求的所有基础性 的硬件、固件和软件,并且支持由这些硬件、固件或软件所实现的保护机制
7.2.3.3.3安全功能的实现 开发者应为选定的产品安全功能子集提供实现表示
实现表示应无歧义而且详细地定义产品安全 18
GB/T31499一2015 功能,使得不需要进一步的设计就能生成该安全功能的子集
实现表示应是内在一致的
7.2.3.3.4低层设计 开发者应提供产品安全功能的低层设计
低层设计应是非形式化,内在一致的
在描述产品安全 功能时,低层设计应采用模块术语,描述每一个安全功能模块的目的,并标识安全功能模块的所有接口 和安全功能模块可为外部所见的接口,以及安全功能模块所有接口的目的与方法,适当时,还应提供接 口的作用,例外情况和出错信息的细节
低层设计还应包括以下内容 a)以安全功能性术语及模块的依赖性术语,定义模块间的相互关系; b 说明如何提供每一个安全策略的强化功能 说明如何将系统加强安全策略的模块和其他模块分离开
7.2.3.3.5表示对应性 开发者应在产品安全功能表示的所有相邻对之间提供对应性分析
7.2.3.4文档要求 7.2.3.4.1管理员指南 开发者应提供授权管理员使用的管理员指南
管理员指南应说明以下内容 a)产品管理员可以使用的管理功能和接口 b)怎样安全地管理系统; e在安全处理环境中应进行控制的功能和权限 d 所有对与系统的安全操作有关的用户行为的假设 e 所有受管理员控制的安全参数,如果可能,应指明安全值; 每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的 改变; 所有与授权管理员有关的IT环境的安全要求
g 管理员指南应与为评价而提供的其他所有文件保持一致
7.2.3.4.2用户指南 开发者应提供用户指南
用户指南应说明以下内容: a)系统的非管理用户可使用的安全功能和接口; 系统提供给用户的安全功能和接口的用法 b 用户可获取但应受安全处理环境控制的所有功能和权限; d)系统安全操作中用户所应承担的职责; 与用户有关的IT环境的所有安全要求
开发者应承诺不以任何欺骗,偷窃或其他非法手段收集用户相关信息;不利用技术优势干扰 f 控制用户产品的正常运行,中断或威胁中断技术支持与服务,不在未经用户同意的情况下收集 用户相关信息、将用户相关信息披露或转移给第三方
用户指南应与为评价而提供的其他所有文件保持一致
7.2.3.5开发安全要求 开发者应提供开发安全文件
开发安全文件应描述在系统的开发环境中,为保护系统设计和实现 的机密性和完整性,而在物理上,程序上,人员上以及其他方面所采取的必要的安全措施
开发安全文 件还应提供在系统的开发和维护过程中执行安全措施的证据
19
GB/T31499一2015 7.2.3.6测试 7.2.3.6.1范围 开发者应提供测试覆盖的分析结果
测试覆盖的分析结果应表明测试文档中所标识的测试与安全 功能设计中所描述的安全功能是对应的,且该对应是完整的 7.2.3.6.2测试深度 开发者应提供测试深度的分析
在深度分析中,应说明测试文档中所标识的对安全功能的测试,足 以表明该安全功能和高层一致的 7.2.3.6.3功能测试 开发者应测试安全功能,并提供相应的测试文档
测试文档应包括测试计划,测试规程,预期的谢 试结果和实际测试结果
测试计划应标识要谢试的安全功能,井描述测试的目标
测试规程应标识爱 执行的测试,并描述每个安全功能的测试概况,这些概况包括对其他测试结果的顺序依赖性
期望的测 试结果应表明测试成功后的预期输出
实际测试结果应表明每个被测试的安全功能能按照规定进行 运作
7.2.3.6.4独立性测试 开发者应提供证据证明,开发者提供的系统经过独立的第三方测试并通过
7.2.3.7脆弱性评定 7.2.3.7.1指南检查 开发者应提供文档
在文档中,应确定对系统的所有可能的操作方式(包括失败和操作失误后的操 作)、它们的后果以及对于保持安全操作的意义
文档中还应列出所有目标环境的假设以及所有外部安 全措施包括外部程序的、物理的或人员的控制)的要求
文档应是完整的、清晰的、一致的,合理的
在 分析文档中,应阐明文档是完整的
7.2.3.7.2脆弱性分析 开发者应从用户可能破坏安全策略的明显途径出发,对系统的各种功能进行分析并形成文档
对 被确定的脆弱性,开发者应明确记录采取的措施
对每一条脆弱性,应能够显示在使用系统的环境中该 脆弱性不能被利用
7.3性能指标要求 7.3.1吞吐量 配置UTM产品同时启动全部人侵检测功能和病毒防护功能,在不丢包的情况下,传输数据包的能 力
选择不同长度的数据包测试UTM产品的吞吐量
7.3.2延迟 配置UTM产品同时启动全部人侵检测功能和病毒防护功能,验证数据包在经过UTM产品耗费 的时间,选择不同长度的数据包测试UTM产品在不同负载下的延迟
心
GB/T31499一2015 7.3.3最大并发连接数 UTM同时启动全部人侵检测功能和病毒防护功能,验证设备所能承受最多HTTP连接的数量
7.3.4最大新建连接速率 UTM同时启动全部人侵检测功能和病毒防护功能,验证设备在不丢包的情况,处理HTTP新建 连接的能力
UTMI产品测评方法 8.1 总体说明 测评方法与技术要求一一对应,它给出具体的测评方法来验证UTM产品是否达到技术要求中所 提出的要求
它由测试环境、测试工具、测试方法(含预期结果)三个部分构成
8.2功能测试 8.2.1测试环境 测试设备包括测试所需的交换机、测试工具集、人侵流量仿真设备、流量仿真设备以及UTM产品 控制台
其中人侵流量仿真设备,流量仿真设备可以为多台模拟攻击源计算机、模拟被攻击计算机、服 务器或专用测试设备等
UTM产品典型网络拓扑图见图2 客户机 攻击机 外网服务器 外网172.16.1.x UTMA UTMB 管理机 服务器区192.I68.2.x 内网12.18.1.x 服务器1 服务器2 服务器3 客户机1模拟被攻击机客户机2 客户机3 图2典型的UTM网络拓扑图 21
GB/T31499一2015 8.2.2测试工具 可用的测试工具包括但不限于:专用的网络性能分析仪生;网络数据包获取软件;扫描工具和攻击 工具包
8.2.3产品功能测试 网络接入测试 8.2.3.1 8.2.3.1.1NAT功能 测试方法: a 为内部网络用户访问外部网络主机配置源NAT,检查内部网络中多台主机能否通过 UTM访问外部网络中的主机 为外部用户访问服务器分别设置目的NAT,检查外部网络的主机能否通过UTM访问服 2 务器区域; 在内部网络、外部网络和服务器区内设置协议分析仪,检验数据包在经过UTM的NAT 功能前后的源IP地址、目的IP地址,来验证UTM地址转换功能的有效性
b预期结果 内部网络中多台主机可以通过源NAT访问外部网络主机,数据包的源地址正确转换 2)外部网络主机可以通过目的NAT访问的服务器区,数据包的目的地址正确转换, 通过内部网络、外部网络和服务器区内的协议分析仪,抓取数据包,检验数据包经过 3 UTM的SNAT后源地址转换有效,经过UTM的DNAT后目的地址转换正确
8.2.3.1.2静态路由 测试方法 a 1根据目的网络、下一跳等参数配置静态路由; 2)产生相应的网络会话,检查静态路由的有效性
b)预期结果 1) 静态路由工作正常; 查看设备路由表,对应接口的直连路由和静态路由正确; 2) 3)不同网段的计算机通过UTM产品可以正常转发
8.2.3.1.3策胳路由 测试方法 a 根据源地址、目标地址、协议、接口配置策略路由; 1 2)产生相应的网络会话,检查策略路由的有效性
b)预期结果 支持根据源地址、目标地址、协议、接口的策略路由 1 2)策略路由工作正常; 3)网络会话可以依据策略路由配置进行路由转发
8.2.3.1.4动态路由(增强级 测试方法: a 22
GB/T31499一2015 根据网络环境配置动态路由协议RIP,OSPF,产生相应的网络流量,检查RIP,OSPF路由的 有效性 b预期结果: RIP,OSPF路由工作正常,查看设备对应的邻居关系和RIP,OSPF路由学习正确
8.2.3.2带宽管理测试 8.2.3.2.1流量监测 测试方法 a 1)配置流量监控策略; 2)按IP地址、时间、协议类型参数或参数的组合进行流量统计 3)产生相应网络会话
b)预期结果 能够至少支持按IP地址、时间和协议类型参数或它们的组合进行流量统计,分析
8.2.3.2.2流量限制增强级 测试方法 a 1)配置流量策略,同时配置针对指定源IP、目的IP,协议的特定流量的带宽限制功能; 2)从内部向外部发送网络流量,源IP,目的IP和协议与指定的特定流量不符,流量超过带 宽限制范围 3)从内部向外部发送网络流量,源IP,目的IP和协议与指定的特定流量相符,流量超过带 宽限制范围
b)预期结果 可配置且不限于指定源IP,目的IP,协议的流量限速策略; 1 不匹配限速策略的会话不受限速影响; 2 3)UTM能够根据设定的带宽限制值,对匹配限速策略的会话进行限速
8.2.3.2.3流量保证(增强级》) a)测试方法 1) 配置流量策略,同时配置针对指定源IP,目的IP,协议的特定流量的带宽保证功能 从内部向外部发送网络流量,使得出接口拥塞 2) 3) 从内部向外部发送网络流量,源IP,目的IP和协议与指定的特定流量不符; 从内部向外部发送网络流量,源IP,目的IP和协议与指定的特定流量相符;匹配特定的 4 保证策略,流量超过带宽保证范围
预期结果 b 1可配置且不限于指定源IP、目的IP,协议的流量带宽保证策略; 2) 对于没有匹配带宽保证策略的会话,将不能保证其转发带宽; 3UTM能够根据设定的带宽保证值,对匹配策略的会话保证其最小带宽
8.2.3.3访问控制测试 8.2.3.3.1默认禁止原则 测试方法: 1检查UTM产品的缺省策略; 23
GB/T31499一2015 2 产生网络会话
b)预期结果 UTM产品采用最小安全原则,即除非明确允许,否则全部禁止
8.2.3.3.2数据拦截 测试方法: a 1 在UTM产品上设置策略,允许指定源IP、目的P,服务接口的规则,产生网络会话通过 设备; 2)产生满足该特定条件的一个完整网络会话数据; 3)产生不满足该特定条件的一个完整网络会话数据
b)预期结果 UTM策略支持且不限于对源P目的P.服务,接口的配置; 匹配该特定条件的网络会话能通过设备; 2 3)不匹配该特定条件的网络会话被拦截
8.2.3.3.3基于时间的策略控制 测试方法 a 配置基于时间的包过滤访问控制策略,内部网络主机在对应的时间内访问外部网络产生相应 的网络会话
b)预期结果 可以根据时间进行相应的包过滤访问控制
8.2.3.3.4数据拦截记录 测试方法 1) 在UTM产品上设置策略,允许特定的网络会话通过设备; 2) 产生不满足该特定条件的一个完整网络会话 3) 在显示界面上查看所记录的拦截网络数据包的详细信息
预期结果 b 显示界面上显示的拦截网络数据包详细信息应至少包括数据拦截发生日期时间、源IP地址、 源端口、目的IP地址、目的端口 8.2.3.3.5IPMAc绑定(增强级》 a)测试方法: 1 在UTM上设置IP/MAC地址绑定策略; 使用自动绑定或手工绑定功能将内部网络中主机的IP与MAC地址绑定 2 3分别产生正确IP/MAC绑定的会话和盗用IP的会话,检查绑定的有效性
预期结果 IP/MAC地址能够自动或手工绑定; 2)IP/MAC地址绑定后能够正确执行安全策略,发现IP盗用行为
8.2.3.3.6基于用户的策略控制(增强级) 测试方法: 配置基于用户的访问控制策略,内部网络用户A登录后访问外部网络
2
GB/T31499一2015 b预期结果 经过认证的用户可以按照规则访问指定资源
8.2.3.4应用协议控制测试 8.2.3.4.1基于URL的访问控制 测试方法: a 1配置对URL屏蔽策略 2)从内部网络向外部发送特定URL访问请求
b预期结果 透过UTM访问www服务端,匹配屏蔽URL策略的访问被拒绝; 透过UTM访问www服务端,不匹配屏蔽URL策略的访问被放行
2 8.2.3.4.2基于电子邮件信息头的访问控制 测试方法 配置基于电子邮件subject、To,From域的内容过滤策略,产生相应网络会话 b)预期结果 能够按照subiect、To_From域的内容过滤策略进行屏蔽 8.2.3.43基于HTP关键字的访问控制 测试方法 a 1配置基于关键字的访问控制策略 2)通过浏览器搜索配置的关键字 b预期结果 符合配置的关键字的访问被拒绝 8.2.3.4.4IM类协议访问控制 测试方法: a 1)配置IM软件控制策略; 2)IM软件使用固定端口尝试登录
b预期结果 可控制IM软件的登录,配置阻断策略时,可以阻止MSN,QQ软件登录
8.2.3.4.5P2类协议访问控制 a)测试方法 1配置对P2P软件阻止或限速的控制策略; 2)配置P2P软件使用固定端口尝试登录和下载 b)预期结果 配置阻止P2P软件进行数据传输时时,可以控制BitTort ,eMule协议经过UTM进行 ent、 下载
8.2.3.4.6协议躲避识别(增强级 测试方法: a 25
GB/T31499一2015 配置对IM软件的控制策略; 1) 2 采用随即端口(包括80、443)的方式尝试登录IM软件; 3) 配置对P2P软件阻止或限速的控制策略; 4 配置P2P软件使用非固定端口尝试登录和下载 b 预期结果 可控制IM软件的登录,配置阻断策略时,可以阻止MSN,QQ软件登录; 配置阻止P2P软件时,可以控制BitTorent,eMule协议下载
8.2.3.4.7应用协议特征更新(增强级 测试方法 1)对UTM进行网络应用协议特征升级; 2)查看UTM产品界面配置管理界面
b)预期结果
UTM产品可以提供网络应用协议特征更新
8.2.3.5入侵防御测试 8.2.3.5.1数据分析 测试方法 a 按照产品所声明的协议分析类型,抽样生成协议事件,组成攻击事件测试集 2)配置产品的人侵防御策略为最大策略集 3)发送攻击事件测试集中的所有事件,记录产品的检测结果
b)预期结果 记录产品拦截人侵的相应攻击名称和类型; 2)UTM产品应能够监视的协议事件应至少包含以下协议类型:ARP,ICMP,IP、TCP UDP,RPC、HTTP、FTP、TFTP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOs NFS,MSSQLSMB,MSN,抽样测试应未发现产品声明和测试结果矛盾之处
8.2.3.5.2入侵发现 测试方法 选择具有不同特征的多个事件组成攻击事件测试集,测试UTM产品人侵防御功能的发 1 现能力
选取的事件应包含且不限于;木马后门类事件、拒绝服务类事件、缓冲区溢出类 事件,模拟人侵攻击行为 配置UTM产品人侵防御功能的人侵防御策略为最大策略集
预期结果 b UTM产品人侵防御功至少支持以下人侵行为的检测;木马后门类事件,拒绝服务类事件、缓 冲区溢出类事件
8.2.3.5.3事件阻断 测试方法 a 从已有的事件库中选择具有不同特征的多个事件,组成攻击事件测试集,模拟人侵攻击 1 行为; 配置UTM产品的人侵防御功能的人侵防御策略为最大策略集; 26
GB/I31499g一2015 3发送攻击事件测试集中的所有事件,记录测试结果
预期结果 能够对监测到的人侵行为成功进行阻断
8.2.3.5.4安全告警能力 测试方法: a 1 从已有的事件库中选择具有不同特征的多个事件,组成攻击事件测试集,模拟人侵攻击 行为 触发UTM产品的人侵防御策略中特定的安全事件,看是否能够按照策略采取电子邮件、 告警日志等告警动作 3)查看告警事件的详细记录
b)测试结果: 可以产生告警日志或以电子邮件方式发送告警信息
8.2.3.5.5事件可视化 测试方法 a 登录控制台界面; 1 在显示界面上查看所记录的拦截事件的详细信息 2 b)预期结果 具有查看人侵事件的图形化界面 1 显示界面上显示的拦截事件详细信息应至少包括:事件名称、事件发生日期时间、源IP地 2 址、源端口,目的IP地址、目的端口、危害等级
8.2.3.5.6定制特征(增强级》) 测试方法 查看UTM产品人侵防御功能设置,是否提供自定义事件界面,是否允许基于产品默认事 件修改生成新的事件; 2)自定义生成新的人侵特征 3) 按照新生成的人侵特征发送相应的人侵事件,检查产品能否拦截
预期结果: UTM产品人侵防御功能允许用户自定义事件,或者可基于产品默认事件修改生成新的 人侵事件; UTM产品人侵防御功能能够检测到新定义的事件并拦截
8.2.3.5.7事件分级(增强级 测试方法: a 检查人侵事件库中是否对每个事件都有按照事件的严重程度分级信息
b预期结果 事件库的所有事件都具有分级信息
8.2.3.5.8报表生成(增强级 测试方法: 1查看UTM产品人侵防御事件报表生成功能,查看报表的生成方式; 27
信息安全技术统一威胁管理产品技术要求和测试评价方法
引言
随着网络技术的迅速发展,网络威胁也日益增多,如何有效地进行统一的威胁管理成为信息安全领域中的重要问题。GB/T31499-2015是我国制定的信息安全技术统一威胁管理产品技术要求和测试评价方法标准,其对于提高威胁管理能力具有重要意义。
相关标准
GB/T31499-2015标准是我国信息安全技术领域的重要标准之一,主要包括以下内容:
- 统一威胁管理系统的基本概念和术语
- 统一威胁管理系统的功能模块和架构
- 统一威胁管理系统的性能和安全要求
- 统一威胁管理系统测试评价方法
测试指导
对于统一威胁管理产品的测试评价,标准中给出了详细的测试指导方案:
- 功能测试:包括基础功能、高级功能、日志管理等各个方面的测试。
- 性能测试:对统一威胁管理系统的性能参数进行测试评估,如吞吐量、响应时间等。
- 兼容性测试:测试统一威胁管理系统与不同操作系统、不同浏览器等的兼容性。
- 安全测试:验证统一威胁管理系统在安全防护、安全管理等方面的有效性。
- 易用性测试:对统一威胁管理系统的界面设计、操作流程等进行测试评估。
测试评价方法
在测试评价过程中,需要采用相关的测试评价方法:
- 测试规范:确定测试环境、测试工具和测试数据等规范化要求。
- 测试用例:根据需求编写测试用例,保证测试的全面性和准确性。
- 测试执行:按照测试用例进行测试,并记录测试结果。
- 测试报告:根据测试结果生成测试报告,评价统一威胁管理系统各项指标的合格程度。
总结
统一威胁管理是信息安全领域中的重要问题,GB/T31499-2015标准为统一威胁管理产品提供了技术要求和测试评价方法。在实践中,需要遵循相关标准和测试指导方案,并采用科学有效的测试评价方法,以提高统一威胁管理系统的能力和效果。
