GB/T 31499-2015 信息安全技术 统一威胁管理产品技术要求和测试评价方法

ICS35.040

L80OB

中华人民共和国国彖标准

GB/T31499—2015

信息安全技术统一威胁管理产品

技术要求和测试评价方法

Informationsecuritytechnology—Technicalrequirementsantesting

anevaluationapproachesforunifiethreatmanagementproducts

2015-05-15发布2016-01-01实施

GB/T31499—2015

目次

前言m

i范围1

2规范性引用文件1

3术语和定义1

4缩略语3

5综述4

5.1UTM产品概念模型4

5.2安全环境5

5.3安全目标6

6UTM等级划分说明7

6.1综述7

6.2基本级7

6.3増强级7

6.4功能和自身安全要求等级划分7

7详细技术要求10

7.1基本级10

7.2増强级15

7.3性能指标要求20

8UTM产品测评方法21

8.1总体说明21

8.2功能测试21

8.3性能测试41

参考文献44

T

GB/T31499—2015

■ir■■i

刖吕

本标准按照GB/T1.1—2009给出的规则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本标准起草单位:北京启明星辰信息安全技术有限公司，华北计算技术研究所，清华大学，公安部计

算机信息系统安全产品质量监督检验中心，公安部第三研究所。

本标准主要起草人:袁智辉、张怡、覃闯、俞优、顾健、袁卫库、沈颖、邓轶、任平、潘磊、蒋磊、范成刚、

刘健、李国俊、肖聪、陈硕、奚贝、杨金恒.

m

GB/T31499—2015

信息安全技术统一威胁管理产品

技术要求和测试评价方法

1范围

本标准规定了统一威胁管理产品的功能要求、性能指标、产品自身安全要求和产品保证要求，以及

统一威胁管理产品的分级要求，并根据技术要求给出了测试评价方法。

本标准适用于统一威胁管理产品的设计、开发、测试和评价。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB17859—1999计算机信息系统安全保护等级划分准则

GB/T18336.1—2008信息技术安全技术信息技术安全性评估准则第1部分：简介和一般

模型(ISO/IEC15408-1：2OO5,IDT)

GB/T25069信息安全技术术语

3术语和定义

GB17859—1999.GB/T25069和GB/T18336.1—2008中界定的以及下列术语和定义适用于本

文件。

3.1

统一威胁管理unifiethreatmanagement；UTM

通过统一部署的安全策略，融合多种安全功能，针对面向网络及应用系统的安全威胁进行综合防御

的网关型设备或系统。

3.2

访问控制accesscontrol

通过对访问网络资源用户身份进行鉴別,并依照其所属的预定义组安全策略来授权对其提出的资

源访问请求加以控制的技术。

3.3

内部网络internalnetwork

在组织范围内部与外部网络隔离的，受保护的可信网络区域。

3.4

外部网络externalnetwork

在组织范围以外处理、传递公共资源的公开网络区域。

3.5

安全策略securitypolicy

为保护业务系统安全而采用的具有特定安全防护要求的控制方法、手段和方针。

1

GB/T31499—2015

3.6

病毒virus

在计算机程序中插入破坏计算机功能或者数据,影响计算机使用并且能自我复制的一组计算机指

令或程序代码。

3.7

病毒特征virussignature

从病毒程序中提取出的一系列二进制字符串，用以标识某个病毒，将其与其他病毒或者正常的计算

机程序区分开来。

3.8

病毒特征库virussignaturedatabase

记录各种病毒特征的集合。

3.9

事件incident

一种试图改变信息系统安全状态并可能造成损害的情况。

3.10

攻击特征attacksignature

预先定义的能够发现一次攻击事件正在发生的特定信息。

3.11

入侵intrusion

违反安全策略，避开安全措施，通过各种攻击手段来接入、控制或破坏信息系统的非法行为。

3.12

入侵防御intrusionprotection

通过分析网络流量发现具有入侵特征的网络行为，在其传入被保护网络前进行预先拦截的产品.

3.13

垃圾邮件spam

收件人事先未提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等电子邮件，通常会隐

藏或包含虚假的发件人身份、地址、标题等信息。

3.14

主机host

计算机，用于放置主板及其他主要部件的容器。

3.15

用户user

使用者在UTM安全策略的控制下，通过UTM访问某一个区域，该使用者不具有能影响UTM安

全策略执行的权限。

3.16

授权管理员authorizeadministrator

具有UTM管理权限的账户，负责对UTM的系统配置、安全策略、审计日志等进行管理。

3.17

告警alert

当检测到攻击或威胁事件产生时，UTM向授权管理员发出的紧急通知。

3.18

响应response

UTM产品检测到攻击事件发生时，阻止攻击并向管理员发送告警的行为。

2

GB/T31499—2015

3.19

吞吐量throughput

没有帧丢失的情况下,UTM产品能够接受的最大速率。

3.20

延迟latency

数据帧的最后一个位的末尾到达UTM产品内部网络输入端口至数据帧的第一个位的首部到达

UTM产品外部网络输出端口之间的时间间隔。

3.21

最大并发连接数maximumconcurrentconnectioncapacity

UTM产品能同时保持并处理的最大TCP并发连接数目。

3.22

最大新建连接速率maximumconnectionestablishmentrale

UTM产品单位时间内所能建立的最大TCP连接速率。

3.23

链路link

两台网络设备之间的物理连接。

4缩略语

下列缩略语适用于本文件。

ARP：地址解析协议(AddressResolutionProtocol)

AV：防病毒(Anti-virus)

CLI：命令行界面(CommandLineInterface)

CRL：证书吊销列表(CertificateRevocationList)

DNAT:目的网络地址转换(DestinationNat)

DNS：域名系统(DomainNameSystem)

FTP：文件传输协议(FileTransferProtocol)

GRE：通用路由圭寸装(GenericRoutingEncapsulation)

HTML：超文本标记语言(HypertextMarkupLanguage)

HTTP：超文本传送协议(HypertextTransferProtocol)

ICMP：互联网控制报文协议(InternetControlMessageProtocol)

IM：即时通讯(InstantMessaging)

IMAP：互联网消息访问协议(InternetMessageAccessProtocol)

IP：互联网协议(InternetProtocol)

IPS：入侵防御系统(IntrusionProtectionSystem)

LDAP：轻量目录访问协议(LightweightDirectoryAccessProtocol)

L2TP：二层隧道协议(Layer2TunnelingProtocol)

NAT:网络地址转换(NetworkAddressTranslation)

NFS：网络文件系统(NetworkFileSystem)

OSPF：开放最短路径优先(OpenShortestPathFirst)

P2P：点对点协议(Peer-to-peerProtocol)

POP：邮局协议(PostOfficeProtocol)

RIP：路由信息协议(RoutingInformationProtocol)

3

GB/T31499—2015

RPC：远程过程调用(RemoteProcedureCall)

SMTP:简单邮件传送协议(SimpleMailTransferProtocol)

SNAT：源网络地址转换(SourceIpNat)

SNMP：简单网络管理协议(SimpleNetworkManagementProtocol)

SQL：结构化查询语言(StructuredQueryLanguage)

SSH：安全外壳协议(SecureShell)

TCP:传输控制协议(TransportControlProtocol)

TFTP：简单文件传送协议(TrivialFileTransferProtocol)

UDP:用户数据报协议(UserDatagramProtocol)

URL：统一资源定位符(UniformResourceLocator)

VLAN：虚拟局域网(VirtualLocalAreaNetwork)

5综述

5.1UTM产品概念模型

5.1.1概念定义

威胁是指违背安全的一种潜能，当存在可能损坏安全的情况、能力、措施或事件时，就一定存在这种

可导致破坏的潜能。

UTM是由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，

同时将多种安全特性集成于一个硬件设备里，形成标准的统一威胁管理平台，进行抵御来自网络的各种

威胁。

UTM框架见图10

Mil*

*1

*

协144

由/W齐nt

SenioHex,

EltKfiWfTPC^lIJJPAXF

图1UTM的架构

5.1.2网络部署方式

UTM通常部署在内部网络与外部网络的边界,对流岀和进入内部网络的数据进行保护和控制。

UTM在实际网络中的部署方式通常包括：透明网桥、路由转发和NAT网关。

4

GB/T31499—2015

5.1.3UTM功能组成

UTM功能组成如下：

网络接入功能：

具备路由模式、NAT模式、透明模式网络接入能力。

——带宽管理功能：

具备监视、管理流量带宽的能力。

访问控制功能：

具备基本网络数据访问控制能力，根据定义的策略允许对应的IP数据包访问网络资源。

人侵防御功能：

采用相关的分析检测技术，对流入目标网络的数据进行提取并分析，并根据定义的策略对入侵

行为进行拦截响应。

防病毒功能：

检测通过网络传输的文件，识别并阻断其中包含恶意代码的信息。

——应用协议控制功能：

采用各种分析检测技术,识别并控制通过网络传输的各种网络应用协议。

——管理配置功能：

负责UTM产品定制策略、审阅日志、产品状态管理，并以可视化形式提交授权管理员进行

管理。

5.2安全环境

5.2.1应用环境

UTM适用于有安全网关要求的业务网系统，系统可以工作在三层路由/NAT模式下，也可以直接

工作在透明模式下。

5.2.2安全威胁

综述

符合本标准的UTM要求能够对抗5.2,2.2-2中陈述的威胁。威胁代理可以是未授权的个

人或未授权使用UTM的外部IT实体。

未授权访问

未授权的个人可能试图通过旁路UTM安全机制的方法，访问和使用UTM提供的安全功能和/或

非安全功能。

鉴别数据恶意猜测

未授权的个人可能使用反复猜测鉴别数据的方法，并利用所获信息，对UTM实施攻击。

访问未被记录

由于访问未被记录，因此访问者可能不需对其操作的行为负责，这样可能导致某些攻击者能够逃避

检测。

5

GB/T31499—2015

配置数据被破坏

未授权的个人可能读、修改或破坏了重要的UTM安全配置数据。

审计记录破坏/丢失

未授权的个人可能通过耗尽审计数据存储空间的方法，导致审计记录的丢失或阻止未来审计记录

的存储，从而掩盖攻击者的攻击行为。

无控制的内网访问

内网部分主机可以被外网无限制访问；存在安全隐患。

无控制的外网访问

外网主机对外网访问无控制；存在安全隐患。

无限制的网络资源占用

未授权的访问滥用网络资源。

0非恶意错误行为

针对IT系统的错误行为。

1恶意行为

针对IT系统漏洞的恶意访问或攻击。

2病毒威胁

恶意的代理可能会尝试通过网络引入病毒，并攻击系统。

3网络窃听

针对网络传输数据的非法窃听，窃取机密信息。

5.3安全目标

UTM应达到如下安全目标：

5.3.1身份鉴别

在允许用户访问UTM功能之前,UTM必须对用户身份进行唯一的标识和鉴别。

5.3.2防口令猜测攻击

对从网络上进行UTM鉴別的用户，UTM必须防止口令猜测攻击。

5.3.3审计记录

必须提供记录安全相关事件的、可读的审计迹的方法，审计记录必须具有精确的日期和时间；对审

计迹,TOE必须提供基于属性的检索和分类的方法。

5.3.4自我保护

UTM必须做好自身防护，以对抗非授权用户对UTM安全功能的旁路、抑制或篡改的尝试。

6

GB/T31499—2015

5.3.5访问控制

对于经过UTM传输的数据，UTM必须做到允许或禁止的访问控制。

5.3.6应用层安全分析

UTM必须能探测发生在IT系统上的有关访问滥用，恶意行为的所有事件信息;并进行分析。

5.3.7攻击响应

UTM必须根据应用层分析结论，对攻击作出响应。如阻断、告警等。

5.3.8病毒防护

UTM必须能检测通过网络传播的已知病毒,并对病毒作出处理。

6UTM等级划分说明

6.1综述

依据UTM的网络部署能力、安全能力、自身安全性、保证性要求进行等级划分，分为基本级和增强

级两个级別。本文件不依据性能为做等级划分依据。

6.2基本级

本级定义了UTM功能的最低轮廓和要求。基本级UTM可部署于相对简单的网络边界，应具备：

a）基本的安全能力：包括访问控制、入侵防御、防病毒等能力；

b）基本的自身安全性要求：提供管理员身份鉴别机制、安全审计能力；并能够抵御针对UTM自

身的攻击；

c）基本的开发过程保证性要求。

6.3増强级

本级定义了UTM的增强性要求。増强级UTM可对复杂多样的安全威胁实施一体化防御，适用

于复杂网络环境，可针对复杂多样的网络应用协议，实施威胁分析与防御。应具备：

a）增强的安全能力，利用细粒度分析与标识手段保证访问控制、入侵防御、防病毒等安全能力不

被躲避；

b）增强的自身安全性要求：提供多种管理员身份鉴别和校验机制，保证管理员身份的合法性；通

过数据加密或校验保证审计数据的可用性和安全性；

c）增强的开发过程保证性要求。

6.4功能和自身安全要求等级划分

UTM产品的安全等级划分如表1、表2所示。对UTM产品的等级评定是依据下面两个表格，结

合产品保证要求的综合评定得出的，符合基本级的UTM产品应满足表1、表2中所标明的基本级产品

应满足的所有项目，以及对基本级产品的相关保证要求；符合增强级的UTM产品应满足表1、表2中

所标明的増强级产品应满足的所有项目，以及对增强级产品的相关保证要求。

7

GB/T31499—2015

表1UTM功能要求等级划分

产品功能要求功能组件基本要求增强要求

NAT功能★★

静态路由★★

网络接入

策略路由★★

动态路由★

流量监测★★

带宽管理流量限制★

流量保证★

默认禁止原则★★

数据拦截★★

基于时间的策略控制★★

访冋控制

数据拦截记录★★

IPMAC绑定★

基于用户的策略控制★

基于URL的访问控制★★

应用协议控制

基于电子邮件信息头的访问控制★★

基于HTTP关键字的访问控制★★

IM类协议访问控制★★

应用协议控制P2P类协议访问控制★★

协议躲避识别★

应用协议特征更新★

数据分析★★

入侵发现★★

事件阻断★★

安全告警能力★★

事件可视化★★

入侵防御定制特征★

事件分级★

报表生成★

定制报表★

攻击躲避识别★

入侵特征库更新★

病毒传输检测★★

病毒阻断★★

病毒防护

压缩文件病毒检测★

病毒特征库更新★

8

GB/T31499—2015

表1（续）

产品功能要求功能组件基本要求增强要求

用户自定义IP地址标记垃圾邮件★

反垃圾邮件邮件自学习★

邮件信息记录★

本地管理★★

远程管理★★

管理配置策略配置★★

产品升级★★

统一管理★

注：“★”指具有此功能。

表2UTM产品自身安全要求等级划分

产品功能要求功能组件基本要求增强要求

用户属性定义★★

口令鉴别★★

多重鉴别机制★

标识与鉴别

鉴别失败处理★★

鉴别的时机★★

与第三方认证系统配合★

审计数据的生成★★

审计数据的査阅★★

安全审计

审计数据的可用性★

受限的审计数据查阅★

安全功能行为管理★★

安全属性管理★★

安全管理基于安全属性的访问控制★★

系统属性管理★★

安全角色★★

抗源IP地址欺骗★★

抗拒绝服务攻击★

抗渗透

抗网络、端口扫描★

抗漏洞扫描★

可信恢复配置信息不丢失★★

注：“★”指具有此功能。

9

GB/T31499—2015

7详细技术要求

7.1基本级

7.1.1产品功能要求

网络接入

.1NAT功能

UTM应支持双向NAT功能，包括SNAT和DNAT,具体技术要求如下：

a)SNAT应实现“多对一”地址转换，使得内部网络主机正常访问外部网络时，其源IP地址被

转换；

b)DNAT应实现“一对一”地址转换，将服务器区的IP地址映射为外部网络合法IP地址,使外部

网络主机通过访问映射的目的地址时，实现对服务器区服务器的访问。

.2静态路由

UTM应支持手工配置静态路由功能，可以让处于不同网段的计算机通过路由转发的方式互相

通信。

.3策略路由

UTM应至少支持源地址、目的地址、协议、接口的组合控制数据包的转发路径。

带宽管理

流量监测：UTM应至少支持通过IP地址、时间和协议类型参数或它们的组合进行流量统计。

访问控制

.1默认禁止原则

UTM产品应具备在未配置任何访问控制策略时，禁止所有数据进入目标网络的功能。

.2数据拦截

UTM产品应具备对违反策略定义的数据进行阻断的功能，防止未合规数据进入目标网络。策略

应至少支持对源IP、目的IP、服务、接口的组合配置。

.3基于时间的策略控制

UTM应至少支持基于时间的包过滤访问控制。

.4数据拦截记录

UTM应能对拦截行为及时生成审计记录，记录的信息应至少包括数据拦截发生日期时间、源IP

地址、源端口、目的IP地址、目的端口。

应用协议控制

.1基于URL的访问控制

UTM应支持URL的访问控制功能，能够禁止指定的URL访问。

10

GB/T31499—2015

.2基于电子邮件信息头的访问控制

UTM应至少支持对电子邮件中的Subject,To,From域进行的访问控制。

.3基于HTTP关键字的访问控制

UTM应支持基于关键字过滤HTTP网页内容的功能，控制用户对非法内容的访问。

.4IM类协议访问控制

UTM应具备IM类协议的访问控制功能，至少支持对MSN.QQ的登录进行控制。

.5P2P类协议访问控制

UTM应具备P2P类协议的访问控制功能，至少支持对bt文件传输协议、ed2k文件传输协议的

阻断。

入侵防御

.1数据分析

UTM产品应对收集的数据包进行分析，应至少支持以下协议类型：ARP、ICMP、IP、TCP、UDP、

RPC、HTTP、FTP、TFTP、SNMP、TELNET.DNS,SMTP