為了規范全國個人防火墻產品的開發與應用,保障公共信息網絡安全,根據公安部公共信息網絡安全監察局的要求,本規范對個人防火墻產品提出了安全功能要求和保證要求,作為對其進行檢測的依據.
本規范由中華人民共和國公安部公共信息網絡安全監察局提出.
本規范起草單位:公安部計算機信息系統安全產品質量監督檢驗中心.
公安部計算機信息系統安全產品質量監督檢驗中心負責對本規范的解釋,提升和更改.
信息技術個人防火墻產品安全檢驗規范
1 范圍
本規范規定了信息技術-個人防火墻產品的安全功能要求和保證要求.
本規范適用于信息技術-個人防火墻產品的生產及檢測.
2 術語和定義
2.1 個人防火墻
個人防火墻是一個位于單臺PC之上的軟件.它可以截取PC上進行的入站和出站 TCP/IP網絡連接嘗試,并使用預先定義的規則允許和禁止其連接.
信息技術-個人防火墻產品的安全功能
3.1 IP 數據包過濾
依據TCP/IP協議中的網絡數據包的數據格式約定,每一條匹配規則應由下列要素組成:
a) 數據包方向(連接發起方/接收方);
b) 遠程IP地址(任何IP地址/指定IP地址/指定IP地址范圍);
c) 協議的匹配
具體協議至少應包括:
1) ICMP數據包過濾
根據 ICMP 網絡數據包中的類型和代碼字段進行設定,當匹配到相同類型和代碼字段時則按對應規則中的數據包處理方式進行處理;
2) UDP數據包過濾
根據UDP網絡數據包中的本地端口(包括單一端口和〈或〉端口范圍)和〈或〉遠程端口(包括單一端口和〈或〉端口范圍)進行規則匹配.
TCP數據包過濾
根據TCP網絡數據包中的本地端口(包括單一端口和〈或〉端口范圍)和〈或〉遠程端口(包括單一端口和〈或〉端口范圍),以及TCP數據包的標志位進行規則匹配過濾.
過濾動作
個人防火墻產品應具有對數據包進行下述過濾動作的能力:
a) 攔截;
b) 通行;
c) 繼續匹配下一規則.
3.3 安全規則的修訂:
a) 用戶能選擇使用或棄用單機保護防入侵產品提供的安全規則;
用戶能根據3.1中的格式規定添加,刪除,修改自定義安全規則.
3.4 對特定網絡攻擊數據包的攔截:
a) 個人防火墻產品應具備對于一些特定攻擊的抵擋及防御能力;
b) 配合抵御攻擊的能力,個人防火墻產品宜具備建立可更新的攻擊特征庫的能力.
3.5 應用程序網絡訪問控制
個人防火墻產品的安全功能應能控制每個應用程序使用Internet網絡權限,對應用程序網絡訪問控制包括以下三種方式:
允許訪問:允許該程序使用網絡;
禁止訪問:禁止該程序使用網絡;
網絡訪問時詢問:當應用程序訪問網絡時,個人防火墻產品應對其將進行的訪問操作向用戶提供詳細的報告及詢問,根據詢問結果對應用程序訪問網絡的行為進行處理.
3.6 網絡快速切斷/恢復
以快捷的方式切斷/恢復所有網絡通訊.
3.7 包過濾,網絡攻擊的日志記錄:
a) 應提供一個網絡通訊日志,便于用戶查閱網絡系統近況.日志數據項的內部數據結構定義可參考如下:
通訊日期 8字節
通訊時間 6字節
接受/發送/攔截情況 1字節(三種情況分別用0,1,2表示)
對方IP地址 12字節
本機端口 5字節
對方端口 5字節
備注 50字節(受攻擊種類或內部通訊程序)
b) 系統應提供日志的清空功能.
c) 日志信息應為人所能理解的.
d) 日志信息應存儲在永久性存儲介質中.
3.8 網絡攻擊的報警
根據匹配系統指定規則發現異常網絡數據包,個人防火墻產品應以一定方式警告用戶,以及提示用戶采取哪些措施.
3.9 產品自身安全
a) 個人防火墻產品應能抵御已知手段攻擊,保證其正常運行不受影響.
b) 若產品具有屏蔽外部站點的安全功能要求(如控制孩子上網),則其管理控制還需具備基本的身份鑒別功能.
4 個人防火墻產品的保證要求
4.1 交付和運行
4.1.1交付過程
4.1.1.1 開發者行為元素:
a) 開發者應將把個人防火墻產品及其部分交付給用戶的程序文檔化;
b) 開發者應使用交付程序.
4.1.1.2 證據元素的內容和表示
交付文檔應描述,在給用戶方分配個人防火墻產品的版本時,用以維護安全所必需的所有程序.
4.1.2 安裝,生成和啟動程序
4.1.2.1 開發者行為元素
開發者應將個人防火墻產品安全地安裝,生成和啟動所必需的程序文檔化.
4.1.2.2 證據元素的內容和表示
文檔應描述個人防火墻產品安全地安裝,生成和啟動所必要的步驟.
4.2 指導性文檔
4.2.1 管理員指南
4.2.1.1 開發者行為元素
開發者應當提供針對系統管理員的管理員指南.
4.2.1.2 證據的內容和形式元素:
a) 管理員指南應當描述個人防火墻產品管理員可使用的管理功能和接口;
b) 管理員指南應當描述如何以安全的方式管理個人防火墻產品;
c) 管理員指南應當包含在安全處理環境中必須進行控制的功能和權限的警告;
d) 管理員指南應當描述所有與個人防火墻產品的安全運行有關的用戶行為的假設;
e) 管理員指南應當描述所有受管理員控制的安全參數,合適時,應指明安全值;
f) 管理員指南應當描述每一種與需要執行的管理功能有關的安全相關事件,包括改變TSF所控制的實體的安全特性;
g) 管理員指南應當與為評估而提供的其他所有文檔保持一致;
h) 管理員指南應當描述與管理員有關的IT環境的所有安全要求.
4.2.2 用戶指南
4.2.2.1 開發者行為元素
開發者應當提供用戶指南.
4.2.2.2 證據的內容和形式元素:
a) 用戶指南應該描述個人防火墻產品的非管理用戶可用的功能和接口;
b) 用戶指南應該描述個人防火墻產品提供的用戶可訪問的安全功能的用法;
c) 用戶指南應該包含受安全處理環境中所控制的用戶可訪問的功能和權限的警告;
d) 用戶指南應該清晰地闡述個人防火墻產品安全運行中用戶所必須負的職責,包括有關在個人防火墻產品安全環境闡述中找得到的用戶行為的假設;
e) 用戶指南應該與為評估而提供的其它所有文檔保持一致;
f) 用戶指南應該描述與用戶有關的IT環境的所有安全要求.
5 個人防火墻產品安全技術要求的等級劃分
依據信息技術-個人防火墻產品的開發,生產現狀及實際應用情況,我們對個人防火墻產品的安全功能要求劃分成二個等級.
個人防火墻產品安全技術要求等級劃分如表1所示.
表1 信息技術-個人防火墻產品安全等級劃分表

安全功能類	基本要求	增強要求
數據包過濾	√	√
安全規則的修訂（a）	√	√
安全規則的修訂（b）		√
對特定網絡攻擊數據包的攔截（a）	√	√
對特定網絡攻擊數據包的攔截（b）		√
應用程序網絡訪問控制		√
網絡快速切斷/恢復		√
包過濾、網絡攻擊的日志記錄	√	√
網絡攻擊的報警	√	√
產品自身安全	√	√
保證要求	√	√

a  基本要求：為個人防火墻產品的最底安全級別。
b  增強要求：為進一步提升產品安全功能的附加要求。
68476636-8007）