ICS35.040 L80 中华人民共和国国家标准 GB/T31499—2015 信息安全技术 统一威胁管理产品 技术要求和测试评价方法 Informationsecuritytechnology—Technicalrequirementsandtesting andevaluationapproachesforunifiedthreatmanagementproducts 2015-05-15发布 2016-01-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 3 …………………………………………………………………………………………………… 5 综述 4 ……………………………………………………………………………………………………… 5.1 UTM产品概念模型 4 ………………………………………………………………………………… 5.2 安全环境 5 …………………………………………………………………………………………… 5.3 安全目标 6 …………………………………………………………………………………………… 6 UTM等级划分说明 7 …………………………………………………………………………………… 6.1 综述 7 ………………………………………………………………………………………………… 6.2 基本级 7 ……………………………………………………………………………………………… 6.3 増强级 7 ……………………………………………………………………………………………… 6.4 功能和自身安全要求等级划分 7 …………………………………………………………………… 7 详细技术要求 10 …………………………………………………………………………………………… 7.1 基本级 10 ……………………………………………………………………………………………… 7.2 増强级 15 ……………………………………………………………………………………………… 7.3 性能指标要求 20 ……………………………………………………………………………………… 8 UTM产品测评方法 21 …………………………………………………………………………………… 8.1 总体说明 21 …………………………………………………………………………………………… 8.2 功能测试 21 …………………………………………………………………………………………… 8.3 性能测试 41 …………………………………………………………………………………………… 参考文献 44 …………………………………………………………………………………………………… ⅠGB/T31499—2015 前 言 本标准按照GB/T1.1—2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:北京启明星辰信息安全技术有限公司,华北计算技术研究所,清华大学,公安部计 算机信息系统安全产品质量监督检验中心,公安部第三研究所。 本标准主要起草人:袁智辉、张怡、覃闯、俞优、顾健、袁卫库、沈颖、邓轶、任平、潘磊、蒋磊、范成刚、 刘健、李国俊、肖聪、陈硕、奚贝、杨金恒。 ⅢGB/T31499—2015 信息安全技术 统一威胁管理产品 技术要求和测试评价方法 1 范围 本标准规定了统一威胁管理产品的功能要求、性能指标、产品自身安全要求和产品保证要求,以及 统一威胁管理产品的分级要求,并根据技术要求给出了测试评价方法。 本标准适用于统一威胁管理产品的设计、开发、测试和评价。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB17859—1999 计算机信息系统安全保护等级划分准则 GB/T18336.1—2008 信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般 模型(ISO/IEC15408-1:2005,IDT) GB/T25069 信息安全技术 术语 3 术语和定义 GB17859—1999、GB/T25069和GB/T18336.1—2008中界定的以及下列术语和定义适用于本 文件。 3.1 统一威胁管理 unifiedthreatmanagement;UTM 通过统一部署的安全策略,融合多种安全功能,针对面向网络及应用系统的安全威胁进行综合防御 的网关型设备或系统。 3.2 访问控制 accesscontrol 通过对访问网络资源用户身份进行鉴别,并依照其所属的预定义组安全策略来授权对其提出的资 源访问请求加以控制的技术。 3.3 内部网络 internalnetwork 在组织范围内部与外部网络隔离的,受保护的可信网络区域。 3.4 外部网络 externalnetwork 在组织范围以外处理、传递公共资源的公开网络区域。 3.5 安全策略 securitypolicy 为保护业务系统安全而采用的具有特定安全防护要求的控制方法、手段和方针。 1GB/T31499—2015 3.6 病毒 virus 在计算机程序中插入破坏计算机功能或者数据,影响计算机使用并且能自我复制的一组计算机指 令或程序代码。 3.7 病毒特征 virussignature 从病毒程序中提取出的一系列二进制字符串,用以标识某个病毒,将其与其他病毒或者正常的计算 机程序区分开来。 3.8 病毒特征库 virussignaturedatabase 记录各种病毒特征的集合。 3.9 事件 incident 一种试图改变信息系统安全状态并可能造成损害的情况。 3.10 攻击特征 attacksignature 预先定义的能够发现一次攻击事件正在发生的特定信息。 3.11 入侵 intrusion 违反安全策略,避开安全措施,通过各种攻击手段来接入、控制或破坏信息系统的非法行为。 3.12 入侵防御 intrusionprotection 通过分析网络流量发现具有入侵特征的网络行为,在其传入被保护网络前进行预先拦截的产品。 3.13 垃圾邮件 spam 收件人事先未提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等电子邮件,通常会隐 藏或包含虚假的发件人身份、地址、标题等信息。 3.14 主机 host 计算机,用于放置主板及其他主要部件的容器。 3.15 用户 user 使用者在UTM安全策略的控制下,通过UTM访问某一个区域,该使用者不具有能影响UTM安 全策略执行的权限。 3.16 授权管理员 authorizedadministrator 具有UTM管理权限的账户,负责对UTM的系统配置、安全策略、审计日志等进行管理。 3.17 告警 alert 当检测到攻击或威胁事件产生时,UTM向授权管理员发出的紧急通知。 3.18 响应 response UTM产品检测到攻击事件发生时,阻止攻击并向管理员发送告警的行为。 2GB/T31499—2015 3.19 吞吐量 throughput 没有帧丢失的情况下,UTM产品能够接受的最大速率。 3.20 延迟 latency 数据帧的最后一个位的末尾到达UTM产品内部网络输入端口至数据帧的第一个位的首部到达 UTM产品外部网络输出端口之间的时间间隔。 3.21 最大并发连接数 maximumconcurrentconnectioncapacity UTM产品能同时保持并处理的最大TCP并发连接数目。 3.22 最大新建连接速率 maximumconnectionestablishmentrate UTM产品单位时间内所能建立的最大TCP连接速率。 3.23 链路 link 两台网络设备之间的物理连接。 4 缩略语 下列缩略语适用于本文件。 ARP:地址解析协议(AddressResolutionProtocol) AV:防病毒(Anti-virus) CLI:命令行界面(CommandLineInterface) CRL:证书吊销列表(CertificateRevocationList) DNAT:目的网络地址转换(DestinationNat) DNS:域名系统(DomainNameSystem) FTP:文件传输协议(FileTransferProtocol) GRE:通用路由封装(GenericRoutingEncapsulation) HTML:超文本标记语言(HypertextMarkupLanguage) HTTP:超文本传送协议(HypertextTransferProtocol) ICMP:互联网控制报文协议(InternetControlMessageProtocol) IM:即时通讯(InstantMessaging) IMAP:互联网消息访问协议(InternetMessageAccessProtocol) IP:互联网协议(Intern