标准规范下载简介

GB／T 20281-2015 信息安全技术 防火墙安全技术要求和测试评价方法简介：

GB/T 20281-2015，全称为《信息安全技术 信息安全技术 防火墙安全技术要求和测试评价方法》，是中国信息安全技术标准的一项重要内容。该标准主要规定了防火墙产品在设计、开发、测试和使用过程中的基本安全要求和测试评价方法。防火墙作为网络安全设备，其作用是保护网络内部的信息不被未经授权的外部访问，同时阻止外部的威胁进入网络。

以下是该标准的一些关键要点：

1. 安全技术要求：标准规定了防火墙应具备的基本功能，如包过滤、应用代理、状态检测等，同时要求防火墙能够对网络流量进行有效管理，防止恶意攻击和数据泄露。还涉及安全策略管理、日志记录和审计、身份验证和授权等。

2. 测试评价方法：标准提供了防火墙功能测试、性能测试、安全性和可靠性的测试方法，如功能测试包括对防火墙的配置、策略管理、数据包处理等进行验证；性能测试包括吞吐量、延迟、带宽利用等；安全性测试包括对防火墙防护机制、漏洞检测和防护能力的评估。

3. 适用范围：该标准适用于防火墙产品的设计、研发、生产、销售和使用，以及相关服务的技术要求和测试评价。

GB/T 20281-2015是保障信息安全、提升网络安全防护能力的重要参考标准，对于防火墙产品的研发、采购和使用具有指导意义。

GB／T 20281-2015 信息安全技术 防火墙安全技术要求和测试评价方法部分内容预览：

6.3.1.3.4.2负裁均衡

6.3.2安全保证要求

6.3.2.1配置管理

建筑住宅小区项目钢筋工程施工方案6.3.2.1.1部分配置管理自动化

GB/T 20281—2015

配暨管理系统应提供一种自动方式来支持产品的生成，通过该方式确保只能对产品的实现表示进 行已授权的改变。 配置管理计划应描述在配置管理系统中所使用的自动工具，并描述在配置管理系统中如何使用自 动工具。

6.3.2.1.2配置管理能力

6.3.2.1.2.1版本号

开发者应为产品的不同版本提供唯一的标识。 6.3.2.1.2.2配置项 开发者应使用配置管理系统并提供配置管理文档。 配置管理文档应包括一个配置清单，配置清单应唯一标识组成产品的所有配置项并对配置项进行 描述，还应描述对配置项给出唯一标识的方法，并提供所有的配置项得到有效维护的证据。 6.3.2.1.2.3授权控制 开发者提供的配置管理文档应包括一个配置管理计划，配置管理计划应描述如何使用配置管理系 统。实施的配叠管理应与配叠管理计划相一致。 开发者应提供所有的配置项得到有效地维护的证据，并应保证只有经过授权才能修改配暨项。 6.3.2.1.2.4产生支持和接受程序 开发者提供的配置管理文档应包括一个接受计划，接受计划应描述用来接受修改过的或新建的作 为产品组成部分的配暨项的程序。 配管管理系统应支持产品的生成

6.3.2.1.2.3授权控制

6.3.2.1.2.4产生支持和接受程序

6.3.2.1.3配置管理范围

6.3.2.1.3.1配置管理覆盖

配暨管理范围至少应包括产品实现表示、设计文档、测试文档、指导性文档、配置管理文档，从 保它们的修改是在一个正确授权的可控方式下进行的。 配置管理文档至少应能跟院上述内容，并描述配骨管理系统是如何眼院这些配臀项的

6.3.2.1.3.2问题跟踪配置臂理翼盖

6.3.2.2交付与运行

6.3.2.2.1交付程序

开发者应使用一定的交付程序交付产品，并将交付过程文档化。 在给用户方交付产品的各版本时，交付文档应描述为维护安全所必需的所有程序，

6.3.2.2.2修改检测

交付文档应描述如何提供多 修改，或检测开发者的主搏页和用户方 所收到版本之间的任何差异。还应描述如何使用多种程序来发现试图伪装成开发者，甚至是在开发者 没有向用户方发送任何东西的 交付产品

2.3安装、生成和启动程

6.3.2.3.1功能规格说明

6.3.2.3.1.1非形式化功能规格说明

开发者应提供一个功能规格说明，功能规格说明应满足以下要求： 使用非形式化风格来描述产品安全功能及其外部接口； b) 是内在一致的； c) 描述所有外部接口的用途与使用方法，适当时应提供效果、例外情况和出错消息的细节； d）完备地表示产品安全功能

6.3.2.3.1.2充分定义的外部接口

功能规格说明应包括安全功能是完备地表示

格说明应包括安全功能是完备地表示的合理性。

6.3.2.3.2高层设计

6.3.2.3.2.1描述性高层设计

开发者应提供产品安全功能的高层设计，高层设计应满足以下要求： a) 表示应是非形式化的； b) 是内在一致的； c) 按子系统描述安全功能的结构； d) 描述每个安全功能子系统所提供的安全功能性； 标识安全功能所要求的任何基础性的硬件、固件或软件，以及在这些硬件、固件或软件中实现 的支持性保护机制所提供功能的一个表示； f) 标识安全功能子系统的所有接口； g）标识安全功能子系统的哪些接口是外部可见的。

6.3.2.3.2.2安全加强的高层设计

开发者提供的安全加强的高层设计应满足以下要求： a）描述产品的功能子系统所有接口的用途与使用方法，适当时应提供效果、例外情况和出错消

音提供的安全加强的高层设计应满足以下要求： 苗述产品的功能子系统所有接口的用途与使用方法，适当时应提供效果、例外情况和出错消息

b）把产品分成安全策略实施和其他子系统来描述

6.3.2.3.3安全功能实现的子集

开发者应为选定的安全功能子集提供实现表示。实现表示应当无歧义而且详细地定义安全功能， 使得无须进一步设计就能生成安全功能。实现表示应是内在一致的。

6.3.2.3.4描述性低层设计

开发者应提供产品安全功能的低层设计，低层设计应满足以下要求： a） 表示应是非形式化的； b) 是内在一致的； c) 按模块描述安全功能； d) 描述每个模块的用途； e) 根据所提供的安全功能性和对其他模块的依赖关系两方面来定义模块间的相互关系； 描述每个安全策略实施功能是如何被提供的； g 标识安全功能模块的所有接口； h) 标识安全功能模块的娜些接口是外部可见的； 1) 描述安全功能模块所有接口的用途和用法，适当时应提供效果、例外情况和出错消息的细节 ） 把产品分为安全策略实施模块和其他模块来描述。

6.3.2.3.5非形式化对应性证实

面的对应性分所 对于产品安全功能所表示的每个相邻对，分析应阐明，较为抽象的安全功能表示的所有相关安全功 能，应在较具体的安全功能表示中得到正确目完备地细化

6.3.2.3.6非形式化产品安全策略

开发者应提供安全策略，安全策略应满足以下要求： a）表示应是非形式化的； b）描述所有能被化的安全策略的规则与特征； c）应包含合理性，即论证该相对所有能被化的安全策略来说是一致的，而且是完备的； d 应阐明安全策略和功能规格说明之间的对应性，即论证所有功能规格说明中的安全功能 对于安全策略来说是一致的，而且是完备的

6.3.2.4指导性文档

6.3.2.4.1管理员指南

开发者应提供管理员指南，管理员指南应与为评估而提供的其他所有文档保持一致。 管理员指南应说明以下内容： a）管理员可使用的管理功能和接口； b）怎样安全地管理产品； c） 在安全处理环境中应被控制的功能和权限； d）房 所有对与产品的安全操作有关的用户行为的假设； e） 所有受管理员控制的安全参数，如果可能，应指明安全值

6.3.2.4.2用户指南

开发者应提供用户指南，用户指南应与为评估而提 用户指南应说明以下内容： a）产品的非管理员用户可使用的安全功能和接口； b） 产品提供给用户的安全功能和接口的使用方法； c） 用户可获取但应受安全处理环境所控制的所有功能和权限； d 产品安全操作中用户所应承担的职责； e 与用户有关的IT环境的所有安全要求。

6.3.2.5生命周期支持

6.3.2.5.1安全措施标识

开发者应提供开发安全文档。 开发安全文档应描述在产品的开发环境中，为保护产品设计和实现的保密性和完整性所必的所 有物理的、程序的、人员的和其他方面的安全措施，并应提供在产品的开发和维护过程中执行安全措施 的证据。

5.2开发者定义的生命

开发者应建立一个生命周期对产品的开发和维护进行的必要控制，并提供生命周期定义文档 描述用于开发和维护产品的。

6.3.2.5.3明确定义的开发工具

开发者应明确定义用于开发产品的工具，并提供开发工具文档无歧义地定义实现中每个语句的含 义和所有依赖于实现的选项的含义。

6.3.2.6.1测试覆盖

6.3.2.6. 1.1覆盖证据

开发者应提供测试覆盖的证据。 在测试覆盖证据中，应表明测试文档中所标识的测试与功能规格说明中所描述的产品的安全功 过应的，

6.3.2.6.1.2覆盖分析

开发者应提供测试覆盏的分析结果。 测试覆盏的分析结果应表明测试文档中所标识的测试与功能规格说明中所描述的产品的安全功能 之间的对应性是完备的。

6.3.2.6.2测试高层设

开发者应提供测试深康的分析

深度分析应证实测试文档中所标识的测试足以证实该产品的功能是依照其高设计运行的。

深度分析应证实测试文档中所标识的测试足以证实该产品的功能是依照其高层设计运行的

6.3.2.6.3功能测试

开发者应测试安全功能，将结果文档化并提供测试文档。 测试文档应包括以下内容： a）测试计划，应标识要测试的安全功能，并描述测试的目标； b）测试过程，应标识要执行的测试，并描述每个安全功能的测试概况，这些概况应包括对于其他 测试结果的顺序依赖性； c） 预期的测试结果，应表明测试成功后的预期输出 d） 实际测试结果，应表明每个被测试的安全功能能按照规定进行运作。

开发者应测试安全功能，将结果文档化并提供测试文档。 测试文档应包括以下内容： a） 测试计划，应标识要测试的安全功能，并描述测试的目标； b) 测试过程，应标识要执行的测试，并描述每个安全功能的测试概况，这些概况应包括对于其他 测试结果的顺序依赖性 c） 预期的测试结果，应表明测试成功后的预期输出 d) 实际测试结果，应表明每个被测试的安全功能能按照规定进行运作

6.3.2.6.4独立测试

JC∕T 1051-2007 铝箔面硬质酚醛泡沫夹芯板6.3.2.6.4.1一致性

6.3.2.6.4.2抽样

6.3.2.7脆弱性评定

6.3.2.7.1误用

6.3.2.7.1.1指南审查

开发者应提供指导性文档，指导性文档应满足以下要求： a）标识所有可能的产品运行模式（包括失败或操作失误后的运行）、它们的后果以及对于保持安 全运行的意义； b) 是完备的、清晰的、一致的、合理的； ） 列出关于预期便用环境的所有假设； d) 列出对外部安全措施（包括外部程序的、物理的或人员的控制）的所有要求。

开发者应提供指导性文档，指导性文档应满足以下要求： a）标识所有可能的产品运行模式（包括失败或操作失误后的运行）、它们的后果以及对于保 全运行的意义； b 是完备的、清晰的、一致的、合理的； C 列出关于预期便用环境的所有假设； d）列出对外部安全措施（包括外部程序的、物理的或人员的控制）的所有要求

JC∕T 2323-2015 蒸压加气混凝土设备 浇注搅拌机6.3.2.7.1.2分析确认