测试电驴服务器

电驴服务器时间:2021-03-27 阅读:()

ICS35.
040L80中华人民共和国国家标准GB/TXXXXX—20XX统一威胁管理产品技术要求和测试评价方法TechnicalrequirementsandtestingandevaluationapproachesforUnifiedThreatManagementProducts点击此处添加与国际标准一致性程度的标识征求意见稿在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上XXXX-XX-XX发布XXXX-XX-XX实施目次前言II1范围12规范性引用文件13术语和定义14缩略语35综述55.
1UTM产品概念模型55.
2安全环境65.
3安全目标76UTM等级划分说明86.
1综述86.
2基本级86.
3増强级86.
4功能和自身安全要求等级划分97详细技术要求117.
1基本级117.
2増强级167.
3性能指标要求228UTM产品测评方法228.
1总体说明228.
2功能测试228.
3性能测试44参考文献46前言本标准按照GB/T1.
1-2009给出的规则起草.
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别这些专利的责任本标准起草单位:北京启明星辰信息安全技术有限公司,华北计算技术研究所,清华大学.
本标准主要起草人:袁智辉、张怡、覃闯、袁卫库、沈颖、邓轶、任平、潘磊、蒋磊、范成刚、刘健、李国俊、肖聪、陈硕、奚贝统一威胁管理产品技术要求和测试评价方法范围本标准规定了统一威胁管理产品的功能要求、性能指标、产品自身安全要求和产品保证要求、以及统一威胁管理产品的分级要求,并根据技术要求给出了测试评价方法.
本标准适用于统一威胁管理产品的设计、开发、测试和评价.
规范性引用文件下列文件对于本文件的应用是必不可少的.
凡是注日期的引用文件,仅注日期的版本适用于本文件.
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.
GB17859-1999计算机信息系统安全保护等级划分准则GB/T25069信息安全技术术语GB/T18336.
1-2008信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型(idtISO/IEC15408-1:2005)术语和定义GB17859-1999、GB/T25069和GB/T18336.
1-2008中界定的以及下列术语和定义适用于本文件3.
1统一威胁管理unifiedthreatmanagement通过统一部署的安全策略,融合多种安全功能,针对面向网络及应用系统的安全威胁进行综合防御的网关型设备或系统.
以下简称为UTM.
3.
2访问控制accesscontrol通过对访问网络资源用户身份进行鉴别,并依照其所属的预定义组来授权对其提出的资源访问请求加以控制的技术.
3.
3内部网络internalnetwork在组织范围内部与外部网络隔离的,受保护的可信网络区域.
3.
4外部网络externalnetwork在组织范围以外处理、传递公共资源的公开网络区域.
3.
5安全策略securitypolicy为保证业务系统安全而采用的具有特定安全防护要求的控制方法、手段和方针.
3.
6病毒virus在计算机程序中插入破坏计算机功能或者数据,影响计算机使用并且能自我复制的一组计算机指令或程序代码.
3.
7病毒特征viruscharacteristics从病毒程序中提取出的一系列二进制字符串,用以标识某个病毒,将其与其他病毒或者正常的计算机程序区分开来.
3.
8病毒库viruscharacteristicsset也叫病毒特征库,记录各种病毒特征的集合.
3.
9事件incident一种试图改变信息系统安全状态并可能造成损害的情况.
3.
10攻击特征attacksignature预先定义的能够发现一次攻击事件正在发生的特定信息.
3.
11入侵intrusion违反安全策略,避开安全措施,通过各种攻击手段来接入、控制或破坏信息系统的非法行为.
3.
123.
13入侵防御intrusionprotection通过分析网络流量发现具有入侵特征的网络行为,在其传入被保护网络前进行预先拦截的产品.
3.
14垃圾邮件spam收件人事先未提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等电子邮件,通常会隐藏或包含虚假的发件人身份、地址、标题等信息.
3.
15主机host计算机,用于放置主板及其他主要部件的容器(mainframe).
通常包括CPU、内存、硬盘、光驱、电源、以及其他输入输出控制器和接口.
3.
16用户user使用者在UTM安全策略的控制下,通过UTM访问某一个区域,该使用者不具有能影响UTM安全策略执行的权限.
3.
17授权管理员authorizedadministrator具有UTM管理权限的账户,负责对UTM的系统配置、安全策略、审计日志等进行管理.
3.
18告警alert当检测到攻击或威胁事件产生时,UTM向授权管理员发出的紧急通知.
3.
19响应responseUTM产品检测到攻击事件发生时,阻止攻击并向管理员发送告警的行为.
3.
20吞吐量throughput没有帧丢失的情况下,UTM产品能够接受的最大速率.
3.
213.
22延迟latency数据帧的最后一个位的末尾到达UTM产品内部网络输入端口至数据帧的第一个位的首部到达UTM产品外部网络输出端口之间的时间间隔.
3.
23最大并发连接数maximumconcurrentconnectioncapacityUTM产品能同时保持并处理的最大TCP并发连接数目.
3.
24最大新建连接速率maximumconnectionestablishmentrateUTM产品单位时间内所能建立的最大TCP连接速率.
3.
25链路link两台网络设备之间的物理连接.
缩略语下列缩略语适用于本文件:ARP地址解析协议(addressresolutionprotocol)AV防病毒(anti-virus)CLI命令行界面(commandlineinterface)CRL证书吊销列表(certificaterevocationlist)DNAT目的网络地址转换(destinationnat)DNS域名系统(domainnamesystem)FTP文件传输协议(filetransferprotocol)GRE通用路由封装(genericroutingencapsulation)HTML超文本标记语言(hypertextmarkuplanguage)HTTP超文本传送协议(hypertexttransferprotocol)ICMP互联网控制报文协议(internetcontrolmessageprotocol)IM即时通讯(instantmessaging)IMAP互联网消息访问协议(internetmessageaccessprotocol)IP互联网协议(internetprotocol)IPS入侵防御系统(intrusionprotectionsystemLDAP轻量目录访问协议(lightweightdirectoryaccessprotocol)L2TP二层隧道协议(layer2tunnelingprotocol)NAT网络地址转换(networkaddresstranslation)NFS网络文件系统(networkfilesystem)OSPF开放最短路径优先(openshortestpathfirst)P2P点对点协议(peer-to-peerprotocol)POP邮局协议(postofficeprotocol)RIP路由信息协议(routinginformationprotocol)RPC远程过程调用(remoteprocedurecall)SMTP简单邮件传送协议(simplemailtransferprotocol)SNAT源网络地址转换(sourceipnat)SNMP简单网络管理协议(simplenetworkmanagementprotocol)SQL结构化查询语言(structuredquerylanguage)SSH安全外壳协议(secureshell)TCP传输控制协议(transportcontrolprotocol)TFTP简单文件传送协议(trivialfiletransferprotocol)UDP用户数据报协议(userdatagramprotocol)URL统一资源定位符(uniformresourcelocator)VLAN虚拟局域网(virtuallocalareanetwork)综述UTM产品概念模型概念定义威胁是指违背安全的一种潜能,当存在可能损坏安全的情况、能力、措施或事件时,就一定存在这种可导致破坏的潜能.
UTM是指通过统一部署的安全策略,融合多种安全功能,针对面向网络及应用系统的安全威胁进行综合防御的网关型设备或系统.
UTM是由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台.
图1UTM的架构网络部署方式UTM通常部署在内部网络与外部网络的边界,对流出和进入内部网络的数据进行保护和控制.
UTM在实际网络中的部署方式通常包括:透明网桥、路由转发和NAT网关.
UTM功能组成UTM功能组成如下:网络接入功能具备路由模式,NAT模式,透明模式网络接入能力.
带宽管理功能.
具备监视,管理流量带宽的能力.
访问控制功能具备基本网络数据访问控制能力,根据定义的策略允许对应的IP数据包访问网络资源.
入侵防御功能采用相关的分析检测技术,对流入目标网络的数据进行提取并分析,并根据定义的策略对入侵行为进行拦截响应.
防病毒功能检测通过网络传输的文件,识别并阻断其中包含恶意代码的信息.
应用协议控制功能采用各种分析检测技术,识别并控制通过网络传输的各种网络应用协议.
管理配置功能负责UTM产品定制策略、审阅日志、产品状态管理,并以可视化形式提交授权管理员进行管理.
安全环境应用环境UTM适用于有安全网关要求的业务网系统,系统可以工作在三层路由/NAT模式下,也可以直接工作在透明模式下.
安全威胁综述符合本标准的UTM要求能够对抗5.
2.
2.
2至5.
2.
2.
12中陈述的威胁.
威胁代理可以是未授权的个人或未授权使用UTM的外部IT实体.
未授权访问未授权的个人可能试图通过旁路UTM安全机制的方法,访问和使用UTM提供的安全功能和/或非安全功能.
鉴别数据恶意猜测未授权的个人可能使用反复猜测鉴别数据的方法,并利用所获信息,对UTM实施攻击.
访问未被记录由于访问未被记录,因此访问者可能不需对其操作的行为负责,这样可能导致某些攻击者能够逃避检测.
配置数据被破坏未授权的个人可能读、修改或破坏了重要的UTM安全配置数据.
审计记录破坏/丢失未授权的个人可能通过耗尽审计数据存储空间的方法,导致审计记录的丢失或阻止未来审计记录的存储,从而掩盖攻击者的攻击行为.
无控制的内网访问内网部分主机可以被外网无限制访问;存在安全隐患.
无控制的外网访问外网主机对外网访问无控制;存在安全隐患.
无限制的网络资源占用未授权的访问滥用网络资源.
非恶意错误行为针对IT系统的错误行为.
恶意行为针对IT系统漏洞的恶意访问或攻击.
病毒威胁恶意的代理可能会尝试通过网络引入病毒,并攻击系统.
网络窃听针对网络传输数据的非法窃听,窃取机密信息.
安全目标UTM应达到如下安全目标:综述UTM应达到5.
3.
2至5.
3.
9中陈述的安全目标身份鉴别在允许用户访问UTM功能之前,UTM必须对用户身份进行唯一的标识和鉴别.
防口令猜测攻击对从网络上进行UTM鉴别的用户,UTM必须防止口令猜测攻击.
审计记录必须提供记录安全相关事件的、可读的审计迹的方法,审计记录必须具有精确的日期和时间;对审计迹,TOE必须提供基于属性的检索和分类的方法.
自我保护UTM必须做好自身防护,以对抗非授权用户对UTM安全功能的旁路、抑制或篡改的尝试.
访问控制对于经过UTM传输的数据,UTM必须做到允许或禁止的访问控制.
应用层安全分析UTM必须能探测发生在IT系统上的有关访问滥用,恶意行为的所有事件信息;并进行分析.
攻击响应UTM必须根据应用层分析结论,对攻击作出响应.
如阻断,告警等.
病毒防护UTM必须能检测通过网络传播的已知病毒,并对病毒作出处理UTM等级划分说明综述依据UTM的网络部署能力、安全能力、自身安全性、保证性要求进行等级划分,分为基本级和增强级两个级别.
本文件不依据性能为做等级划分依据.
基本级本级定义了UTM功能的最低轮廓和要求.
基本级UTM可部署于相对简单的网络边界,应具备:a)基本的安全能力:包括访问控制、入侵防御、防病毒等能力.
b)基本的自身安全性要求:提供管理员身份鉴别机制、安全审计能力;并能够抵御针对UTM自身的攻击.
c)基本的开发过程保证性要求増强级本级定义了UTM的增强性要求.
増强级UTM可对复杂多样的安全威胁实施一体化防御,适用于复杂网络环境,可针对复杂多样的网络应用协议,实施威胁分析与防御.
应具备:增强的安全能力,利用细粒度分析与标识手段保证访问控制、入侵防御、防病毒等安全能力不被躲避.
增强的自身安全性要求:提供多种管理员身份鉴别和校验机制,保证管理员身份的合法性;通过数据加密或校验保证审计数据的可用性和安全性.
增强的开发过程保证性要求.
功能和自身安全要求等级划分UTM产品的安全等级划分如表1、表2、表3所示.
对UTM产品的等级评定是依据下面两个表格,结合产品保证要求的综合评定得出的,符合基本级的UTM产品应满足表1、表2、表3中所标明的基本级产品应满足的所有项目,以及对基本级产品的相关保证要求;符合增强级的UTM产品应满足表1、表2、表3中所标明的増强级产品应满足的所有项目,以及对增强级产品的相关保证要求.

产品功能要求功能组件基本要求增强要求网络接入NAT功能静态路由策略路由动态路由IPv6接入带宽管理流量监测流量限制流量保证访问控制默认禁止原则数据拦截基于时间的策略控制数据拦截记录IPMAC绑定基于用户的策略控制IPv6访问控制应用协议控制基于URL的访问控制基于电子邮件信息头的访问控制基于HTTP关键字的访问控制IM类协议访问控制P2P类协议访问控制协议躲避识别应用协议特征更新入侵防御数据分析入侵发现事件阻断安全告警能力事件可视化定制特征事件分级报表生成定制报表攻击躲避识别IPv6环境下的入侵防御入侵特征库更新病毒防护病毒传输检测病毒阻断压缩文件病毒检测病毒特征库更新IPv6环境下的病毒传输检测及阻断反垃圾邮件用户自定义IP地址标记垃圾邮件邮件自学习邮件信息记录管理配置本地管理远程管理策略配置产品升级统一管理表1UTM功能要求等级划分安全功能要求功能组件基本要求增强要求标识与鉴别用户属性定义口令鉴别多重鉴别机制鉴别失败处理鉴别的时机与第三方认证系统配合安全审计审计数据的生成审计数据的查阅审计数据的可用性受限的审计数据查阅安全管理安全功能行为管理安全属性管理基于安全属性的访问控制系统属性管理安全角色抗渗透抗源IP地址欺骗抗拒绝服务攻击抗网络、端口扫描抗漏洞扫描可信恢复配置信息不丢失表2UTM产品自身安全要求等级划分详细技术要求基本级产品功能要求网络接入NAT功能UTM应支持双向NAT功能,包括SNAT和DNAT,具体技术要求如下:SNAT应实现"多对一"地址转换,使得内部网络主机正常访问外部网络时,其源IP地址被转换;DNAT应实现"一对一"地址转换,将服务器区的IP地址映射为外部网络合法IP地址,使外部网络主机通过访问映射的目的地址时,实现对服务器区服务器的访问.
静态路由UTM应支持手工配置静态路由功能,可以让处于不同网段的计算机通过路由转发的方式互相通信.
策略路由UTM应至少支持源地址、目的地址、协议、接口的组合控制数据包的转发路径.
带宽管理流量监测UTM应至少支持通过IP地址、时间和协议类型参数或它们的组合进行流量统计.
访问控制默认禁止原则UTM产品应具备在未配置任何访问控制策略时,禁止所有数据进入目标网络的功能.
数据拦截UTM产品应具备对违反策略定义的数据进行阻断的功能,防止未合规数据进入目标网络.
策略应至少支持对源IP、目的IP、服务、接口的组合配置.
基于时间的策略控制UTM应至少支持基于时间的包过滤访问控制.
数据拦截记录UTM应能对拦截行为及时生成审计记录,记录的信息应至少包括数据拦截发生日期时间、源IP地址、源端口、目的IP地址、目的端口.
应用协议控制基于URL的访问控制UTM应支持URL的访问控制功能,能够禁止指定的URL访问.
基于电子邮件信息头的访问控制UTM应至少支持对电子邮件中的Subject、To、From域进行的访问控制.
基于HTTP关键字的访问控制UTM应支持基于关键字过滤HTTP网页内容的功能,控制用户对非法内容的访问.
IM类协议访问控制UTM应具备IM类协议的访问控制功能,至少支持对MSN、QQ的登录进行控制.
P2P类协议访问控制UTM应具备P2P类协议的访问控制功能,至少支持对bt文件传输协议、ed2k文件传输协议的阻断.
入侵防御数据分析UTM产品应对收集的数据包进行分析,应至少支持以下协议类型:ARP、ICMP、IP、TCP、UDP、RPC、HTTP、FTP、TFTP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS、MSSQL、SMB、MSN.

入侵发现UTM产品应能发现数据中的入侵行为,应至少支持以下入侵行为的检测:木马后门类事件、拒绝服务类事件、缓冲区溢出类事件.
事件阻断UTM产品应对发现的入侵行为进行预先拦截,防止入侵行为进入目标网络.
安全告警能力UTM产品应支持在检测到入侵时自动采取相应动作,发出安全警告.
告警动作应包含且不限于电子邮件、告警日志.
事件可视化UTM产品应支持图形界面上查看拦截到的入侵事件.
入侵事件信息应至少包括:事件名称、事件发生日期时间、源IP地址、源端口、目的IP地址、目的端口、危害等级.
病毒防护病毒传输检测UTM应具备对通过网络进行传输的病毒的检测能力,可以检测激活的病毒、蠕虫、木马等恶意代码的传输行为并进行日志记录和报警.
检测日志的内容应至少包含事件名称、源地址、目的地址、事件发生的日期和时间、事件描述.

病毒阻断UTM应支持对病毒文件传输的阻断,能够拦截试图穿越产品的包含病毒代码的文件传输.
管理配置本地管理UTM应支持本地CLI或图形管理界面对UTM进行配置管理.
远程管理UTM应支持加密的远程管理,如基于SSH、HTTPS协议的远程管理.
策略配置UTM应支持对访问控制策略、入侵防御策略、病毒防护策略进行配置的功能,包括策略匹配条件和策略相应措施.
产品升级UTM产品应支持更新自身系统的能力,包括对软件系统的升级以及各种安全能力特征库的升级.
产品自身安全标识与鉴别用户属性定义UTM应维护属于单个用户的安全属性,安全属性应包含且不限于:用户标识(如用户名)、授权信息(或用户组信息).
口令鉴别UTM应支持通过口令鉴别的方式识别用户.
鉴别失败处理UTM产品应支持检测与鉴别事件相关的未成功鉴别尝试次数达到或超过系统默认或仅由授权管理员设定的未成功鉴别次数阈值.
当达到或超过所定义的鉴别失败尝试次数时,UTM产品应终止进行登录尝试动作.

鉴别的时机在用户被鉴别前,UTM产品安全功能应仅允许用户执行输入登录信息或查看帮助信息等与用户安全无关的操作.
在允许执行除输入登录信息和查看帮助信息等与用户安全无关的操作外的其它授权操作前,UTM产品安全功能应要求每个用户都已被成功鉴别.

安全审计审计数据的生成UTM应支持对自身的管理行为及发生的网络行为和事件进行日志记录:应至少支持以下日志:管理员操作行为、访问控制事件、入侵事件、病毒事件、邮件过滤事件、WEB过滤事件;日志的内容需要包含以下内容:时间、事件类型、主体身份、事件的结果.
审计数据的查阅UTM应支持只有授权的管理员可以获得和解释审计信息的能力,用户是人员用户时,审计数据必须以人类可理解的方式表示;用户是外部IT实体时,信息必须能够以电子方式无歧义表示.
安全管理安全功能行为管理UTM产品如果支持下述安全功能,则功能应仅限于已标识的授权角色能够执行:用户的维护(如删除、修改、添加、启用或禁用等);用户角色的维护;如果一个授权用户能够改变在鉴别前所允许的动作,那么能执行对动作列表的管理;远程管理主机的维护.
安全属性管理UTM产品安全功能应执行访问控制策略,以仅限于已标识的授权角色能够执行以下安全属性管理行为:对用户名进行管理操作(如查阅、修改或删除等);对远程管理主机IP地址进行管理操作(如查阅、修改或删除等);对用户权限进行管理操作(如授权、更改或取消等);UTM产品应保证经过升级后,安全属性数据的完整性.
基于安全属性的访问控制UTM产品安全功能应基于远程管理主机IP地址、用户名等属性对UTM产品的安全管理执行访问控制策略.
系统属性管理UTM产品安全功能应仅限于已标识的授权角色能够执行以下管理行为:对审计信息的管理,包含但不限于查阅、查询、清空或导出等行为;如果产品允许授权用户管理未成功鉴别尝试次数,则对未成功鉴别尝试次数的设置;对鉴别数据的管理(如改变用户口令默认值或修改用户口令等).
安全角色UTM产品安全功能应维护已标识的授权角色,UTM产品安全功能应能够把用户和角色关联起来.
抗渗透抗源IP地址欺骗UTM产品应支持抵御源IP地址欺骗攻击.
可信恢复配置信息不丢失UTM产品应支持手动保存配置信息或自动保存配置信息,使配置信息可恢复到关机前的状态;支持恢复出厂默认配置.
产品保证要求配置管理开发者应为系统的不同版本提供唯一的标识.
系统的每个版本应当使用它们的唯一标识作为标签.
交付与运行开发者应提供文档说明系统的安装、生成和启动.
安全功能开发功能设计开发者应提供系统的安全功能设计文档.
功能设计应以非形式方法来描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和出错信息的细节.
表示对应性开发者应在产品安全功能表示的所有相邻对之间提供对应性分析.
文档要求管理员指南开发者应提供授权管理员使用的管理员指南.
管理员指南应说明以下内容:系统可以使用的管理功能和接口;怎样安全地管理系统;在安全处理环境中应进行控制的功能和权限;所有对与系统的安全操作有关的用户行为的假设;所有受管理员控制的安全参数,如果可能,应指明安全值;每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变;所有与授权管理员有关的IT环境的安全要求.
管理员指南应与为评价而提供的其他所有文件保持一致.
用户指南开发者应提供用户指南.
用户指南应说明以下内容:系统的非管理用户可使用的安全功能和接口;系统提供给用户的安全功能和接口的用法;用户可获取但应受安全处理环境控制的所有功能和权限;系统安全操作中用户所应承担的职责;与用户有关的IT环境的所有安全要求.
用户指南应与为评价而提供的其他所有文件保持一致.
开发安全要求开发者应提供开发安全文件.
开发安全文件应描述在系统的开发环境中,为保护系统设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施.
开发安全文件还应提供在系统的开发和维护过程中执行安全措施的证据.

测试范围开发者应提供测试覆盖的分析结果.
测试覆盖的分析结果应表明测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应的.
功能测试开发者应测试安全功能,并提供相应的测试文档.
测试文档应包括测试计划、测试规程、预期的测试结果和实际测试结果.
测试计划应标识要测试的安全功能,并描述测试的目标.
测试规程应标识要执行的测试,并描述每个安全功能的测试概况,这些概况包括对其它测试结果的顺序依赖性.
期望的测试结果应表明测试成功后的预期输出.
实际测试结果应表明每个被测试的安全功能能按照规定进行运作.

増强级产品功能要求网络接入动态路由UTM应至少支持RIP、OSPF路由协议.
IPv6接入UTM应支持IPv4及IPv6双协议栈.
至少支持ICMPv6、RIPv6、OSPFv6协议,并至少支持一种IPv6隧道模式.
带宽管理流量限制UTM应支持管理员将指定源IP、目的IP、协议的流量限制到规定值.
流量保证UTM应支持拥塞发生时,对管理员指定的源IP、目的IP、协议的流量,按照预先设置的带宽优先转发数据.
访问控制IPMAC绑定UTM应支持手工或自动配置IP地址与MAC地址绑定,不符合绑定内容的数据包被丢弃.
基于用户的策略控制UTM应支持基于用户的包过滤访问控制,只有通过认证的用户才能访问特定的网络资源.
IPv6访问控制UTM应支持基于针对IPv6报文的目的/源地址、目的/源服务端口、协议号、扩展头属性等条件进行安全访问.
应用协议控制协议躲避识别UTM应支持对采用标准协议(如:TCP80、443端口等)端口上传输其他类型应用的检测和识别.
具体技术要求如下:支持采用HTTP方式登录的IM软件的禁止,至少支持MSN、QQ;支持采用HTTP、HTTPS方式传输的P2P软件的禁止,至少支持BitTorrent、eMule.
应用协议特征更新UTM应具备对网络应用协议(包含且不限于IM、P2P类)的协议特征升级能力.
入侵防御定制特征UTM产品应允许授权管理员自定义事件的特征,符合自定义特征的数据包可以被阻断.
事件分级UTM产品应支持按照事件的严重程度对事件进行分级.
报表生成报表内容应包含表格形式、柱状图、饼图等,并应能够生成日报、周报等汇总报表.
定制报表UTM产品应支持授权管理员按照自己的要求修改和定制报表内容,并输出成方便阅读的文件格式,文件格式应至少支持以下文件格式中的一种或多种:DOC,PDF,HTML,XLS.
攻击躲避识别UTM产品应能发现躲避或欺骗检测的行为,应至少支持:IP碎片重组、TCP流重组、协议端口重定位、URL字符串变形、shell代码变形.
IPv6环境下的入侵防御UTM产品应能发现IPv6网络数据中的入侵行为,应至少支持以下入侵行为的检测:木马后门类事件、拒绝服务类事件、缓冲区溢出类事件.
入侵特征库更新UTM产品应具备升级入侵特征事件库的能力.
病毒防护压缩文件病毒监测UTM产品应支持检测不同压缩格式的文件,应至少支持ZIP、RAR压缩格式.
病毒特征库更新UTM产品应具备升级病毒特征库的能力.
IPv6环境下的病毒传输检测及阻断UTM应具备对通过IPv6网络进行传输的病毒的检测能力,可以检测激活的病毒、蠕虫、木马等恶意代码的传输行为并进行阻断、日志记录和报警.
检测日志的内容应至少包含事件名称、源地址、目的地址、事件发生的日期和时间、事件描述.

反垃圾邮件用户自定义IP地址标记垃圾邮件UTM应支持授权管理员设置基于IP地址的反垃圾邮件规则,应能够按照规则将指定IP地址发送的邮件标记为垃圾邮件.
邮件自学习UTM应支持通过对标记的邮件学习,具备对垃圾邮件的智能识别能力.
邮件信息记录UTM应支持对经过反垃圾邮件功能处理的邮件进行统计,包括正常邮件的数量和标记为垃圾邮件的数量.
管理配置统一管理UTM应支持通过一个管理中心对多台UTM进行集中管理,需要支持以下功能:统一升级软件版本;统一配置;统一监控.
产品自身安全标识与鉴别多重鉴别机制除支持口令鉴别方式外,UTM应支持通过文件证书或USBKey的方式对用户进行身份鉴别.
与第三方认证系统配合UTM应支持与第三方认证系统配合的功能,包括RADIUS或LDAP认证方式.
安全审计审计数据的可用性UTM审计的数据应至少支持:管理员的名称、访问时间、操作时间、登录方式、使用的地址.
审计数据的内容应具有可读性.
受限的审计数据查阅UTM审计的数据应只支持授权管理员查询,非授权用户应无法查询审计数据.
抗渗透抗拒绝服务攻击UTM产品应至少支持Synflood、UDPflood、PingofDeath的攻击防护.
抗网络、端口扫描UTM产品应支持抵御网络、端口的扫描.
抗漏洞扫描UTM产品应支持抵御漏洞扫描行为.
产品保证要求配置管理配置管理开发者应使用配置管理系统并提供配置管理文档,以及为系统的不同版本提供唯一的标识.
配置管理系统应对所有的配置项作出唯一的标识,并保证只有经过授权才能修改配置项,还应支持系统基本配置项的生成.
配置管理文档应包括配置清单、配置管理计划以及接受计划.
配置清单用来描述组成系统的配置项.
在配置管理计划中,应描述配置管理系统是如何使用的.
实施的配置管理应与配置管理计划相一致.
在接受计划中,应描述对修改过或新建的配置项进行接受的程序.

配置管理文档还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效地维护的证据.
配置管理范围开发者应提供配置管理文档.
配置管理文档应说明配置管理系统至少能跟踪:系统实现表示、设计文档、测试文档、用户文档、管理员文档、配置管理文档和安全缺陷,并描述配置管理系统是如何跟踪配置项的.
交付与运行交付开发者应使用一定的交付程序交付系统,并将交付过程文档化.
交付文档应包括以下内容:在给用户方交付系统的各版本时,为维护安全所必需的所有程序;开发者向用户提供的产品版本和用户收到的版本之间的差异以及如何监测对产品的修改;如何发现他人伪装成开发者修改用户的产品.
安装生成开发者应提供文档说明系统的安装、生成和启动.
安全功能开发功能设计开发者应提供系统的安全功能设计文档.
安全功能设计应以非形式方法来描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和出错信息的细节.
高层设计开发者应提供产品安全功能的高层设计.
高层设计应以非形式方法表述并且是内在一致的.
为说明安全功能的结构,高层设计应将安全功能分解为各个安全功能子系统进行描述,并阐明如何将有助于加强产品安全功能的子系统和其它子系统分开.
对于每一个安全功能子系统,高层设计应描述其提供的安全功能,标识其所有接口以及哪些接口是外部可见的,描述其所有接口的使用目的与方法,并提供安全功能子系统的作用、例外情况和出错信息的细节.
高层设计还应标识系统安全要求的所有基础性的硬件、固件和软件,并且支持由这些硬件、固件或软件所实现的保护机制.

安全功能的实现开发者应为选定的产品安全功能子集提供实现表示.
实现表示应无歧义而且详细地定义产品安全功能,使得不需要进一步的设计就能生成该安全功能的子集.
实现表示应是内在一致的.
低层设计开发者应提供产品安全功能的低层设计.
低层设计应是非形式化、内在一致的.
在描述产品安全功能时,低层设计应采用模块术语,描述每一个安全功能模块的目的,并标识安全功能模块的所有接口和安全功能模块可为外部所见的接口,以及安全功能模块所有接口的目的与方法,适当时,还应提供接口的作用、例外情况和出错信息的细节.

低层设计还应包括以下内容:以安全功能性术语及模块的依赖性术语,定义模块间的相互关系;说明如何提供每一个安全策略的强化功能;说明如何将系统加强安全策略的模块和其它模块分离开.
表示对应性开发者应在产品安全功能表示的所有相邻对之间提供对应性分析.
文档要求管理员指南开发者应提供授权管理员使用的管理员指南.
管理员指南应说明以下内容:产品管理员可以使用的管理功能和接口;怎样安全地管理系统;在安全处理环境中应进行控制的功能和权限;所有对与系统的安全操作有关的用户行为的假设;所有受管理员控制的安全参数,如果可能,应指明安全值;每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变;所有与授权管理员有关的IT环境的安全要求.
管理员指南应与为评价而提供的其他所有文件保持一致.
用户指南开发者应提供用户指南.
用户指南应说明以下内容:系统的非管理用户可使用的安全功能和接口;系统提供给用户的安全功能和接口的用法;用户可获取但应受安全处理环境控制的所有功能和权限;系统安全操作中用户所应承担的职责;与用户有关的IT环境的所有安全要求.
用户指南应与为评价而提供的其他所有文件保持一致.
开发安全要求开发者应提供开发安全文件.
开发安全文件应描述在系统的开发环境中,为保护系统设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施.
开发安全文件还应提供在系统的开发和维护过程中执行安全措施的证据.

测试范围开发者应提供测试覆盖的分析结果.
测试覆盖的分析结果应表明测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应的,且该对应是完整的.
测试深度开发者应提供测试深度的分析.
在深度分析中,应说明测试文档中所标识的对安全功能的测试,足以表明该安全功能和高层一致的.
功能测试开发者应测试安全功能,并提供相应的测试文档.
测试文档应包括测试计划、测试规程、预期的测试结果和实际测试结果.
测试计划应标识要测试的安全功能,并描述测试的目标.
测试规程应标识要执行的测试,并描述每个安全功能的测试概况,这些概况包括对其它测试结果的顺序依赖性.
期望的测试结果应表明测试成功后的预期输出.
实际测试结果应表明每个被测试的安全功能能按照规定进行运作.

独立性测试开发者应提供证据证明,开发者提供的系统经过独立的第三方测试并通过.
脆弱性评定指南检查开发者应提供文档.
在文档中,应确定对系统的所有可能的操作方式(包括失败和操作失误后的操作)、它们的后果以及对于保持安全操作的意义.
文档中还应列出所有目标环境的假设以及所有外部安全措施(包括外部程序的、物理的或人员的控制)的要求.
文档应是完整的、清晰的、一致的、合理的.
在分析文档中,应阐明文档是完整的.

脆弱性分析开发者应从用户可能破坏安全策略的明显途径出发,对系统的各种功能进行分析并形成文档.
对被确定的脆弱性,开发者应明确记录采取的措施.
对每一条脆弱性,应能够显示在使用系统的环境中该脆弱性不能被利用.
性能指标要求吞吐量配置UTM产品同时启动全部入侵检测功能和病毒防护功能,在不丢包的情况下,传输数据包的能力.
选择不同长度的数据包测试UTM产品的吞吐量.
延迟配置UTM产品同时启动全部入侵检测功能和病毒防护功能,验证数据包在经过UTM产品耗费的时间,选择不同长度的数据包测试UTM产品在不同负载下的延迟.
最大并发连接数UTM同时启动全部入侵检测功能和病毒防护功能,验证设备所能承受最多HTTP连接的数量.
最大新建连接速率UTM同时启动全部入侵检测功能和病毒防护功能,验证设备在不丢包的情况,处理HTTP新建连接的能力.
UTM产品测评方法总体说明测评方法与技术要求一一对应,它给出具体的测评方法来验证UTM产品是否达到技术要求中所提出的要求.
它由测试环境、测试工具、测试方法(含预期结果)三个部分构成.
功能测试测试环境测试设备包括测试所需的交换机、测试工具集、入侵流量仿真设备、流量仿真设备以及UTM产品控制台.
其中入侵流量仿真设备、流量仿真设备可以为多台模拟攻击源计算机、模拟被攻击计算机、服务器或专用测试设备等.

图2典型的UTM网络拓扑图测试工具可用的测试工具包括但不限于:专用的网络性能分析仪生;网络数据包获取软件;扫描工具和攻击工具包.
产品功能测试网络接入测试NAT功能测试方法:为内部网络用户访问外部网络主机配置源NAT,检查内部网络中多台主机能否通过UTM访问外部网络中的主机;为外部用户访问服务器分别设置目的NAT,检查外部网络的主机能否通过UTM访问服务器区域;在内部网络、外部网络和服务器区内设置协议分析仪,检验数据包在经过UTM的NAT功能前后的源IP地址、目的IP地址,来验证UTM地址转换功能的有效性.
预期结果:内部网络中多台主机可以通过源NAT访问外部网络主机,数据包的源地址正确转换.
外部网络主机可以通过目的NAT访问的服务器区,数据包的目的地址正确转换.
通过内部网络、外部网络和服务器区内的协议分析仪,抓取数据包,检验数据包经过UTM的SNAT后源地址转换有效,经过UTM的DNAT后目的地址转换正确.
静态路由测试方法:根据目的网络、下一跳等参数配置静态路由;产生相应的网络会话,检查静态路由的有效性.
预期结果:静态路由工作正常;查看设备路由表,对应接口的直连路由和静态路由正确.
不同网段的计算机通过UTM产品可以正常转发.
策略路由测试方法:根据源地址、目标地址、协议、接口配置策略路由;产生相应的网络会话,检查策略路由的有效性.
预期结果:支持根据源地址、目标地址、协议、接口的策略路由;策略路由工作正常.
网络会话可以依据策略路由配置进行路由转发.
动态路由(增强级)测试方法:根据网络环境配置动态路由协议RIP、OSPF,产生相应的网络流量,检查RIP、OSPF路由的有效性.
预期结果:RIP、OSPF路由工作正常,查看设备对应的邻居关系和RIP、OSPF路由学习正确.
IPv6接入(增强级)测试方法:在IPv6网络环境下,根据网络环境配置IPv6地址,并启用ICMPv6协议、RIPv6协议、OSPFv6协议,产生相应的网络流量,检查IPV6协议的有效性.
预期结果:RIPv6、OSPFv6路由工作正常,查看设备对应的邻居关系和RIP、OSPF路由学习正确.
ICMPv6协议可正常使用.
带宽管理测试流量监测测试方法配置流量监控策略;按IP地址、时间、协议类型参数或参数的组合进行流量统计;产生相应网络会话.
预期结果能够至少支持按IP地址、时间和协议类型参数或它们的组合进行流量统计、分析.
流量限制(增强级)测试方法:配置流量策略,同时配置针对指定源IP、目的IP、协议的特定流量的带宽限制功能;从内部向外部发送网络流量,源IP、目的IP和协议与指定的特定流量不符,流量超过带宽限制范围;从内部向外部发送网络流量,源IP、目的IP和协议与指定的特定流量相符,流量超过带宽限制范围.
预期结果:可配置且不限于指定源IP、目的IP、协议的流量限速策略不匹配限速策略的会话不受限速影响;UTM能够根据设定的带宽限制值,对匹配限速策略的会话进行限速.
流量保证(增强级)测试方法:配置流量策略,同时配置针对指定源IP、目的IP、协议的特定流量的带宽保证功能;从内部向外部发送网络流量,使得出接口拥塞;从内部向外部发送网络流量,源IP、目的IP和协议与指定的特定流量不符;从内部向外部发送网络流量,源IP、目的IP和协议与指定的特定流量相符;匹配特定的保证策略,流量超过带宽保证范围.
预期结果:可配置且不限于指定源IP、目的IP、协议的流量带宽保证策略;对于没有匹配带宽保证策略的会话,将不能保证其转发带宽;UTM能够根据设定的带宽保证值,对匹配策略的会话保证其最小带宽.
访问控制测试默认禁止原则测试方法:检查UTM产品的缺省策略;产生网络会话.
预期结果:UTM产品采用最小安全原则,即除非明确允许,否则全部禁止;数据拦截测试方法:在UTM产品上设置策略,允许指定源IP、目的IP、服务、接口的规则,产生网络会话通过设备;产生满足该特定条件的一个完整网络会话数据;产生不满足该特定条件的一个完整网络会话数据.
预期结果:UTM策略支持且不限于对源IP、目的IP、服务、接口的配置;匹配该特定条件的网络会话能通过设备;不匹配该特定条件的网络会话被拦截.
基于时间的策略控制测试方法:配置基于时间的包过滤访问控制策略,内部网络主机在对应的时间内访问外部网络产生相应的网络会话.
预期结果:可以根据时间进行相应的包过滤访问控制.
数据拦截记录测试方法:在UTM产品上设置策略,允许特定的网络会话通过设备;产生不满足该特定条件的一个完整网络会话;在显示界面上查看所记录的拦截网络数据包的详细信息.
预期结果:显示界面上显示的拦截网络数据包详细信息应至少包括数据拦截发生日期时间、源IP地址、源端口、目的IP地址、目的端口.
IPMAC绑定(增强级)测试方法在UTM上设置IP/MAC地址绑定策略;使用自动绑定或手工绑定功能将内部网络中主机的IP与MAC地址绑定;分别产生正确IP/MAC绑定的会话和盗用IP的会话,检查绑定的有效性.
预期结果IP/MAC地址能够自动或手工绑定;IP/MAC地址绑定后能够正确执行安全策略,发现IP盗用行为.
基于用户的策略控制(増强级)测试方法:配置基于用户的访问控制策略,内部网络用户A登录后访问外部网络.
预期结果:经过认证的用户可以按照规则访问指定资源.
IPv6访问控制(增强级)测试方法:IPv6网络环境下,在UTM产品上设置策略,允许指定目的/源地址、目的/源服务端口、协议号、扩展头属性的规则,产生网络会话通过设备;产生满足该特定条件的一个完整网络会话数据;产生不满足该特定条件的一个完整网络会话数据.
预期结果:UTM支持IPv6策略,且不限于对目的/源地址、目的/源服务端口、协议号、扩展头属性的配置;匹配该特定条件的网络会话能通过设备;不匹配该特定条件的网络会话被拦截.
应用协议控制测试基于URL的访问控制测试方法:配置对URL屏蔽策略;从内部网络向外部发送特定URL访问请求.
预期结果:透过UTM访问WWW服务端,匹配屏蔽URL策略的访问被拒绝;透过UTM访问WWW服务端,不匹配屏蔽URL策略的访问被放行.
基于电子邮件信息头的访问控制测试方法:配置基于电子邮件Subject、To、From域的内容过滤策略,产生相应网络会话.
预期结果:能够按照Subject、To、From域的内容过滤策略进行屏蔽.
基于HTTP关键字的访问控制测试方法:配置基于关键字的访问控制策略;通过浏览器搜索配置的关键字.
预期结果:符合配置的关键字的访问被拒绝.
IM类协议访问控制测试方法:配置IM软件控制策略;IM软件使用固定端口尝试登录.
预期结果:可控制IM软件的登录,配置阻断策略时,可以阻止MSN、QQ软件登录.
P2P类协议访问控制测试方法:配置对P2P软件阻止或限速的控制策略;配置P2P软件使用固定端口尝试登录和下载.
预期结果:配置阻止P2P软件进行数据传输时时,可以控制BitTorrent、eMule协议经过UTM进行下载.
协议躲避识别(增强级)测试方法:配置对IM软件的控制策略;采用随即端口(包括80、443)的方式尝试登录IM软件;配置对P2P软件阻止或限速的控制策略;配置P2P软件使用非固定端口尝试登录和下载.
预期结果:可控制IM软件的登录,配置阻断策略时,可以阻止MSN、QQ软件登录;配置阻止P2P软件时,可以控制BitTorrent、eMule协议下载.
应用协议特征更新(増强级)测试方法对UTM进行网络应用协议特征升级;查看UTM产品界面配置管理界面.
预期结果:UTM产品可以提供网络应用协议特征更新.
入侵防御测试数据分析测试方法:按照产品所声明的协议分析类型,抽样生成协议事件,组成攻击事件测试集;配置产品的入侵防御策略为最大策略集;发送攻击事件测试集中的所有事件,记录产品的检测结果.
预期结果:记录产品拦截入侵的相应攻击名称和类型;UTM产品应能够监视的协议事件应至少包含以下协议类型:ARP、ICMP、IP、TCP、UDP、RPC、HTTP、FTP、TFTP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS、MSSQL、SMB、MSN,抽样测试应未发现产品声明和测试结果矛盾之处.

入侵发现测试方法:选择具有不同特征的多个事件组成攻击事件测试集,测试UTM产品入侵防御功能的发现能力.
选取的事件应包含且不限于:木马后门类事件、拒绝服务类事件、缓冲区溢出类事件,模拟入侵攻击行为;配置UTM产品入侵防御功能的入侵防御策略为最大策略集.
预期结果:UTM产品入侵防御功至少支持以下入侵行为的检测:木马后门类事件、拒绝服务类事件、缓冲区溢出类事件.
事件阻断测试方法:从已有的事件库中选择具有不同特征的多个事件,组成攻击事件测试集,模拟入侵攻击行为;配置UTM产品的入侵防御功能的入侵防御策略为最大策略集;发送攻击事件测试集中的所有事件,记录测试结果.
预期结果:能够对监测到的入侵行为成功进行阻断.
安全告警能力测试方法:从已有的事件库中选择具有不同特征的多个事件,组成攻击事件测试集,模拟入侵攻击行为;触发UTM产品的入侵防御策略中特定的安全事件,看是否能够按照策略采取电子邮件、告警日志等告警动作;查看告警事件的详细记录.
测试结果:可以产生告警日志或以电子邮件方式发送告警信息.
事件可视化测试方法:登录控制台界面;在显示界面上查看所记录的拦截事件的详细信息.
预期结果:具有查看入侵事件的图形化界面;显示界面上显示的拦截事件详细信息应至少包括:事件名称、事件发生日期时间、源IP地址、源端口、目的IP地址、目的端口、危害等级.
定制特征(増强级)测试方法:查看UTM产品入侵防御功能设置,是否提供自定义事件界面,是否允许基于产品默认事件修改生成新的事件;自定义生成新的入侵特征;按照新生成的入侵特征发送相应的入侵事件,检查产品能否拦截.
预期结果:UTM产品入侵防御功能允许用户自定义事件,或者可基于产品默认事件修改生成新的入侵事件;UTM产品入侵防御功能能够检测到新定义的事件并拦截.
事件分级(増强级)测试方法:检查入侵事件库中是否对每个事件都有按照事件的严重程度分级信息.
预期结果:事件库的所有事件都具有分级信息.
报表生成(増强级)测试方法:查看UTM产品入侵防御事件报表生成功能,查看报表的生成方式;查看生成报表的内容.
预期结果:具有生成报表的功能;宜提供默认的模板以供快速生成报表;生成的报表宜包含表格形式、柱状图、饼图等,并宜生成日报、周报等汇总报表.
定制报表(増强级)测试方法:检查管理员是否能够按照自己的要求修改和定制报表内容;检查UTM产品支持的报表输出格式.
预期结果:UTM产品应支持管理员按照自己的要求修改和定制报表内容;报表应可输出成方便用户阅读的格式,支持一种或多种文档格式,可选的文档格式包括:DOC、PDF、HTML、XLS文件格式.
攻击躲避识别(増强级)测试方法:利用入侵检测躲避工具产生IP碎片重组、TCP流重组进行攻击,测试UTM产品是否对入侵事件进行拦截;将入侵事件的协议端口进行重定位,检查UTM产品是否对入侵事件进行拦截;将入侵事件特征,利用入侵检测躲避工具产生URL字符串变形、SHELL代码变形,测试UTM产品是否对入侵事件进行拦截.
预期结果:UTM产品能够拦截经过分片、乱序之后的入侵事件;UTM产品能够正确地拦截经过URL字符串变形、SHELL代码变形等特殊处理的HTTP入侵事件;UTM产品能够对重定位协议端口之后的入侵事件进行拦截.
IPv6环境下的入侵防御(增强级)测试方法:在IPv6网络环境下,选择具有不同特征的多个事件组成攻击事件测试集,测试UTM产品入侵防御功能的发现能力,选取的事件应包含且不限于:木马后门类事件、拒绝服务类事件、缓冲区溢出类事件,模拟入侵攻击行为;配置UTM产品入侵防御功能的入侵防御策略为最大策略集.
预期结果:UTM产品入侵防御功至少支持以下入侵行为的检测:木马后门类事件、拒绝服务类事件、缓冲区溢出类事件;能够对监测到的入侵行为成功进行阻断.
入侵特征库更新(増强级)测试方法:检查UTM入侵防御特征库的升级方式.
测预期结果:UTM入侵特征库可以进行手动或自动的在线升级.
病毒防护测试病毒传输检测测试方法:开启病毒防护策略;配置模拟客户端通过使用多种方式(如:HTTP、FTP、SMTP、POP3、IMAP等协议),下载病毒样本.
预期结果:UTM能检测出病毒事件并记录日志;UTM产品的病毒检测日志的内容包含事件名称、源地址、目的地址、事件发生的日期和时间、事件描述.
病毒阻断测试方法:开启病毒防护策略;配置模拟客户端通过使用多种方式(如:HTTP、FTP、SMTP、POP3、IMAP等协议),下载病毒样本.
预期结果:UTM产品具备病毒过滤的能力,能够拦截试图穿越产品的病毒文件.
压缩文件病毒检测(増强级)测试方法:开启病毒防护策略;配置模拟客户端通过使用多种方式(如:HTTP、FTP、SMTP、POP3、IMAP等协议),下载包含病毒样本的压缩文件,压缩文件至少支持格式为ZIP、RAR.
预期结果:UTM能检测出包含在压缩文件中的病毒样本.
病毒特征库更新(増强级)测试方法:升级病毒特征库.
预期结果:病毒特征库可以进行手动升级或自动在线升级.
IPv6环境下的病毒传输检测及阻断(增强级)测试方法:在IPv6环境下开启病毒防护策略;配置模拟客户端通过使用多种方式(如:HTTP、FTP、SMTP、POP3、IMAP等协议),下载病毒样本.
预期结果:UTM产品具备病毒过滤的能力,能够拦截试图穿越产品的病毒文件;UTM能检测出病毒事件并记录日志;UTM产品的病毒检测日志的内容包含事件名称、源地址、目的地址、事件发生的日期和时间、事件描述.
反垃圾邮件测试(増强级)用户自定义IP地址标记垃圾邮件(増强级)测试方法:配置基于IP地址的反垃圾邮件规则;向保护的邮件服务器发送邮件.
预期结果:符合名单内的邮件被标记为垃圾邮件.
邮件自学习(増强级)测试方法:启用自学习功能;向保护的邮件服务器发送邮件.
预期结果:能够判断出垃圾邮件.
邮件信息记录(増强级)测试方法:配置反垃圾邮件功能;向保护的邮件服务器发送邮件.
预期结果:能查看记录邮件的统计信息,包括正常邮件的数量和标记为垃圾邮件的数量.
管理配置测试本地管理测试方法:登录本地CLI或者图形管理界面;查看用户界面的功能.
预期结果:具备本地CLI或者图形管理界面;具有配置和管理产品所有功能的管理界面.
远程管理测试方法:配置UTM产品打开SSH、HTTPS等加密端口;通过加密协议远程登录UTM产品,查看或增删配置.
预期结果:可以开放本地SSH、HTTPS等加密端口;支持加密的远程登录管理,可以查看或者增删配置.
策略配置测试方法:查看是否允许编辑或修改生成新的策略;查看是否可以编辑或修改各策略的响应措施.
预期结果:应允许用户编辑策略;应允许用户编辑策略的不同响应措施;可配置的策略种类包含且不限于访问控制策略、入侵防御策略、病毒防护策略.
产品升级测试方法:在线对UTM进行版本升级,可以为手工、自动方式.
预期结果:UTM版本可以升级成功.
统一管理(増强级)测试方法:通过统一管理软件对多台UTM产品进行管理;在线对多台UTM产品进行版本升级,可以为手工、自动方式;在线对多台UTM产品升级病毒特征库、入侵防御特征库;在线对多台UTM产品集中配置安全策略;查看多台UTM产品的系统信息.
预期结果:UTM版本可以升级成功.
可以升级多台UTM产品的病毒特征库、入侵防御特征库;可以配置多台UTM产品的安全策略;可以查看多台UTM产品的系统信息.
产品自身安全测试标识与鉴别用户属性定义测试方法:检查UTM产品的授权管理员是否包含用户标识(如用户名)、授权信息(或用户组信息)等安全属性;检查UTM产品是否能够通过增加用户、修改用户或删除用户等功能来维护用户的安全属性.
预期结果:UTM产品的管理用户包含用户标识(如用户名)、授权信息(或用户组信息)等安全属性;UTM产品能够维护用户的安全属性.
口令鉴别测试方法:检查UTM产品是否可以通过口令鉴别的方式识别用户.
预期结果:UTM产品的可以通过口令鉴别的方式识别用户.
多重鉴别机制(増强级)测试方法:检查UTM产品的管理用户是否可以使用文件证书或USBKey其中一种方式进行身份认证;预期结果:UTM产品可以通过文件证书或USBKey鉴别用户;鉴别失败的处理测试方法:以授权管理员身份登录系统,尝试设置未成功鉴别尝试次数;以错误的用户名、口令(或者是正确的用户名、错误的口令)尝试登录UTM管理界面,在达到或超过未成功鉴别尝试次数后,检查UTM产品是否采取了终止进行登录尝试主机建立会话的动作(例如:关闭身份鉴别的对话界面、锁定帐户或管理主机IP一定时间、锁定帐户或管理主机IP直到指定的授权用户对其进行解锁等);如果授权用户能够设置未成功鉴别尝试次数,则尝试以非授权用户身份设置未成功鉴别尝试次数,验证是否只有授权用户才能设置未成功鉴别尝试次数.
预期结果:当不成功鉴别尝试达到或超过UTM产品的未成功鉴别尝试次数时,UTM产品能够采取终止进行登录尝试的动作;未成功鉴别尝试次数仅能够由授权用户设置或UTM产品在出厂时设置.
鉴别的时机测试方法:检查不进行用户鉴别前UTM产品是否允许用户执行输入登录信息或查看帮助信息等操作,检查是否不允许执行策略配置、修改口令等与用户安全有关的操作;检查使用正确的用户名和错误的口令(或者空口令)是否不能进入系统的管理界面,是否不能执行策略配置、修改口令等与用户安全有关的操作;检查使用正确的用户名和口令是否能够进入系统的管理界面,是否能够执行策略配置、修改口令等与用户安全有关的操作.
预期结果:在用户鉴别前UTM产品只允许用户执行输入登录信息或查看帮助信息等操作,不允许执行策略配置、修改口令等与用户安全有关的操作;在用户鉴别成功前UTM产品不允许用户进入系统管理界面,不能执行策略配置、修改口令等与用户安全有关的操作;在用户成功鉴别后UTM产品允许执行策略配置、修改口令等与用户安全有关的操作.
与第三方认证系统配合(增强级)测试方法:配置UTM产品的管理用户通过RADIUS服务器,或者LDAP服务器进行身份认证;预期结果:UTM产品的管理用户可以通过RADIUS服务器,或者LDAP服务器进行身份认证;安全审计审计数据的生成测试方法:以配置管理员的身份登录UTM设备,对产品功能模块进行操作;模拟用户对UTM产品不同模块进行访问、运行、修改、关闭以及重复失败尝试等相关操作,检查UTM产品提供了对哪些事件的审计.
审查审计记录的正确性;配置策略并模拟网络流量通过UTM触发访问控制、入侵防御、病毒、邮件过滤、WEB过滤等策略;以授权管理员身份查看审计记录.
预期结果:UTM产品记录管理员对设备的管理行为,包括且不限于管理员的登录/退出操作,修改/编辑配置操作;UTM产品应至少为下述可审计事件产生审计记录:访问控制、入侵防御、病毒、邮件过滤、WEB过滤等;应在每个审计记录中至少记录如下信息:事件的日期和时间,事件类型,主体身份,事件的结果(成功或失败)等.
审计数据的查阅测试方法:审查产品安全功能是否为授权管理员提供从审计记录中读取全部审计信息的功能,审计信息应完整、可阅读、无歧义;审查读取的审计信息是否可以以电子方式无歧义的表示给外部IP实体.
预期结果:UTM产品应为授权管理员提供从审计记录中读取全部审计信息的功能,审计信息完整、可阅读、无歧义;用户是外部IT实体时,审计信息能够以电子方式无歧义表示.
审计数据的可用性(增强级)测试方法:审查产品安全功能,为授权管理员提供的审计数据是否可以清晰的表示自身的管理行为;审查产品安全功能,为授权管理员提供的审计数据是否可以清晰的表示发生的网络行为和事件.
预期结果:UTM产品为授权管理员提供的有关自身管理行为的审计数据应包含且不限于:管理员的名称、访问时间、操作时间、登录方式、使用的地址;UTM产品为授权管理员提供的有关网络行为和事件的审计数据应包含且不限于:时间、事件类型、主体身份以及事件的结果.
受限的审计数据查阅(增强级)测试方法:以授权审计的管理员身份登录UTM产品,查阅审计数据;以未授权审计的管理员身份登录UTM产品,查阅审计数据.
预期结果:以授权审计的管理员身份登录UTM产品,可以查阅完整的审计数据;以未授权审计的管理员身份登录UTM产品,不能查阅审计数据.
安全管理安全功能行为管理测试方法:检查UTM产品是否支持为管理员访问UTM产品设置访问策略,访问策略中是否包含不同的用户名、用户角色、远程管理主机IP地址等安全属性的定义;为用户访问UTM产品设置不同的访问策略,通过用户对UTM产品的访问,验证访问权限策略是否与访问策略一致.
预期结果:UTM产品支持基于远程管理主机IP地址、用户名、用户角色等安全属性的访问控制策略设置,且功能应仅限于已标识的授权角色能够执行;UTM产品能够对UTM产品的安全管理执行访问控制策略,且访问控制策略有效,功能同样应仅限于已标识的授权角色能够执行.
安全属性管理测试方法:以授权管理员身份登录UTM产品的管理界面,检测产品是否允许授权用户对用户名、远程管理主机IP以及用户权限进行管理;检查UTM产品是否能保证升级数据的完整性.
预期结果:只有授权用户登录UTM产品,才能对用户名、远程管理主机IP以及用户权限进行管理,未授权用户无权执行相关操作;升级后用户名、管理主机IP地址、用户权限等应维持不变.
基于安全属性的访问控制测试方法:以授权管理员身份登录UTM产品,修改远程管理主机的IP地址、用户名等属性;尝试以新的远程管理主机IP和用户名登录;预期结果:支持远程主机对UTM产品进行安全管理的访问控制,控制条件包含且不限于远程管理主机IP地址和用户名;远程主机对UTM产品进行安全管理的访问控制可以生效.
系统属性管理测试方法:以授权审计用户身份登录UTM产品的管理界面,检测产品是否允许授权用户执行审计功能;设置授权用户管理未成功鉴别尝试次数N,尝试N次未成功登录,第N+1次使用正确的用户名、口令登录,检查次数鉴别是否有效;修改授权管理员的登录口令,尝试重新登录UTM产品;预期结果:只有授权了审计权限的用户登录UTM产品,才能执行审计管理功能,包含且不限于查阅、查询、清空、导出操作;未授权审计的用户登录UTM产品,无权执行审计管理功能;超过设置的鉴别次数后,使用正确的用户名、口令登录UTM产品也将被拒绝;修改管理员登录口令后,只有新口令才能登录成功.
安全角色测试方法:检查UTM产品是否提供了维护授权用户角色的机制(如允许建立属于不同角色的用户,或者允许用户建立或删除拥有不同权限的用户组等);设置属于不同角色的用户,并验证授权用户的权限是否与其角色相符.
预期结果:UTM产品提供了维护授权用户角色的机制;UTM产品能够把用户和角色关联起来.
抗渗透抗源IP地址欺骗测试方法:配置UTM产品开启抗源IP地址欺骗功能;采用渗透测试工具或专用性能测试设备向UTM产品发送源IP地址欺骗的攻击数据.
预期结果:UTM产品可以配置抗源IP地址欺骗功能;UTM产品能够抵御源IP地址欺骗.
抗拒绝服务攻击(增强级)测试方法:配置UTM产品开启抗拒绝服务攻击功能;采用渗透测试工具或专用性能测试设备向UTM产品发送拒绝服务攻击,至少包含Synflood、UDPflood、PingofDeath的攻击;预期结果:UTM产品可以配置抗拒绝服务攻击功能;UTM产品能够抵御拒绝服务攻击,至少包含Synflood、UDPflood、PingofDeath的攻击.
抗网络、端口扫描(增强级)测试方法:配置UTM产品开启抗网络、端口扫描功能;采用渗透测试工具或专用性能测试设备向UTM产品发起网络、端口扫描.
预期结果:UTM产品可以配置抗网络、端口扫描功能;UTM产品能够抵御网络、端口扫描.
抗漏洞扫描(增强级)测试方法:配置UTM产品开启抗漏洞扫描功能;采用渗透测试工具或专用性能测试设备向UTM产品发起漏洞扫描.
预期结果:UTM产品可以配置抗漏洞扫描功能;UTM产品能够抵御漏洞扫描.
可信恢复配置信息不丢失测试方法:使用授权管理员登录,并配置相关策略,重启UTM产品;使用授权管理员登录,并配置相关策略,恢复出厂设置.
预期结果:UTM产品支持手工或自动保存配置信息,重启后设备配置应保持不变;UTM产品支持恢复出厂设置,重启后应能恢复出厂设置.
产品保证测试配置管理配置管理测试评价方法:评价者应审查开发者所提供的信息是否满足如下要求:开发者应使用配置管理系统并提供配置管理文档,以及为产品的不同版本提供唯一的标识;配置管理系统应对所有的配置项作出唯一的标识,并保证只有经过授权才能修改配置项,还应支持产品基本配置项的生成;配置管理文档应包括配置清单、配置管理计划以及接受计划.
配置清单用来描述组成产品的配置项.
在配置管理计划中,应描述配置管理系统是如何使用的.
实施的配置管理应与配置管理计划相一致.
在接受计划中,应描述对修改过或新建的配置项进行接受的程序;配置管理文档还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效地维护的证据.
测试评价结果:审查记录以及最后结果(符合/不符合),评价者审查内容至少包括测试评价方法中的四方面(内容还涉及到基本配置项生成以及接受计划控制能力).
开发者提供的配置管理内容应完整.
配置管理范围测试评价方法:评价者应审查开发者提供的配置管理支持文件是否包含以下内容:产品配置管理范围,要求将产品的实现表示、设计文档、测试文档、用户文档、管理员文档、配置管理文档等置于配置管理之下,从而确保它们的修改是在一个正确授权的可控方式下进行的.
为此要求:开发者所提供的配置管理文档应展示配置管理系统至少能跟踪上述配置管理之下的内容;文档应描述配置管理系统是如何跟踪这些配置项的;文档还应提供足够的信息表明达到所有要求.
问题跟踪配置管理范围,除产品配置管理范围描述的内容外,要求特别强调对安全缺陷的跟踪.
测试评价结果:审查记录以及最后结果(符合/不符合)符合测试评价方法要求,评价者应审查产品受控于配置管理.
交付与运行交付测试评价方法:评价者应审查开发者是否使用一定的交付程序交付产品,并使用文档描述交付过程,并且评价者应审查开发者交付的文档是否包含以下内容:在给用户方交付产品的各版本时,为维护安全所必需的所有程序;产品版本变更控制的版本和版次说明、实际产品版本变更控制的版本和版次说明、监测产品程序版本修改说明;检测试图伪装成开发者向用户发送产品的方法描述.
测试评价结果:测试记录以及最后结果(符合/不符合)应符合测试评价方法要求,开发者应提供完整的文档描述所有交付的过程(文档和程序交付),并包括产品详细版本、版次说明,以及发现非授权修改产品的方法,评测员进行审查确认.

安装生成测试评价方法:评价者应审查开发者是否提供了文档说明产品的安装、生成、启动和使用的过程.
用户能够通过此文档了解安装、生成、启动和使用过程.
测试评价结果:审查记录以及最后结果(符合/不符合)应符合测试评价方法要求.
安全功能开发功能设计测试评价方法:评价者应审查开发者所提供的信息是否满足如下要求:功能设计应当使用非形式化风格来描述产品安全功能与其外部接口;功能设计应当是内在一致的;功能设计应当描述使用所有外部产品安全功能接口的目的与方法,适当的时候,要提供结果影响例外情况和出错信息的细节;功能设计应当完整地表示产品安全功能.
测试评价结果:审查记录以及最后结果(符合/不符合),评价者审查内容至少包括测试评价方法中的四个方面.
开发者提供的内容应精确和完整.
高层设计测试评价方法:评价者应审查开发者所提供的信息是否满足如下要求:高层设计应采用非形式化的表示;高层设计应当是内在一致的;产品高层设计应当描述每一个产品安全功能子系统所提供的安全功能,提供了适当的体系结构来实现产品安全要求;产品的高层设计应当以子系统的观点来描述产品安全功能的结构,定义所有子系统之间的相互关系,并把这些相互关系将适当地作为数据流、控制流等的外部接口来表示;高层设计应当标识产品安全要求的任何基础性的硬件、固件和/或软件,并且通过支持这些硬件、固件或软件所实现的保护机制,来提供产品安全功能表示.
测试评价结果:审查记录以及最后结果(符合/不符合),评价者审查内容至少包括测试评价方法中的五个方面.
开发者提供的高层设计内容应精确和完整.
安全功能的实现测试评价方法:评价者应审查开发者所提供的信息是否满足如下要求:开发者应当为选定的产品安全功能子集提供实现表示;开发者应当为整个产品安全功能提供实现表示;实现表示应当无歧义地定义一个详细级别的产品安全功能,该产品安全功能的子集无须选择进一步的设计就能生成;实现表示应当是内在一致的.
测试评价结果:审查记录以及最后结果(符合/不符合),评价者审查内容至少包括测试评价方法中的四个方面.
开发者提供的安全功能实现内容应精确和完整.
低层设计测试评价方法:评价者应审查开发者所提供的产品安全功能的低层设计是否满足如下要求:低层设计的表示应当是非形式化的;低层设计应当是内在一致的;低层设计应当以模块术语描述产品安全功能;低层设计应当描述每一个模块的目的;低层设计应当以所提供的安全功能性和对其它模块的依赖性术语定义模块间的相互关系;低层设计应当描述如何提供每一个产品安全策略强化功能;低层设计应当标识产品安全功能模块的所有接口;低层设计应当标识产品安全功能模块的哪些接口是外部可见的;低层设计应当描述产品安全功能模块所有接口的目的与方法,适当时,应提供影响、例外情况和出错信息的细节;低层设计应当描述如何将产品分离成产品安全策略加强模块和其它模块.
测试评价结果:审查记录以及最后结果(符合/不符合),评价者审查内容至少包括测试评价方法中的十个方面.
开发者提供的低层设计内容应精确和完整.
表示对应性测试评价方法:评价者应审查开发者是否在产品安全功能表示的所有相邻对之间提供对应性分析.
其中,各种产品安全功能表示(如产品功能设计、高层设计、低层设计、实现表示)之间的对应性是所提供的抽象产品安全功能表示要求的精确而完整的示例.
本元素仅仅要求产品安全功能在功能设计中进行细化,并且要求较为抽象的产品安全功能表示的所有相关安全功能部分,在较具体的产品安全功能表示中进行细化.