TAF-WG4AS0001-V1.0.0網(wǎng)絡(luò)設(shè)備密碼應(yīng)用技術(shù)要求防火墻設(shè)備范圍本文件規(guī)定了防火墻設(shè)備在軟件/固件安全、身份鑒別、訪問控制、網(wǎng)絡(luò)通信安全、數(shù)據(jù)安全、計(jì)算安全與性能等方面的密碼應(yīng)用技術(shù)的技術(shù)要求。本文件適用于在我國(guó)境內(nèi)銷售或提供的防火墻設(shè)備（不包括純軟件型防火墻），也可為網(wǎng)絡(luò)運(yùn)營(yíng)者采購(gòu)防火墻設(shè)備時(shí)提供依據(jù)，還適用于指導(dǎo)防火墻設(shè)備的研發(fā)、測(cè)試等工作。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20281-2020信息安全技術(shù)防火墻安全技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T25069-2022信息安全技術(shù)術(shù)語GB/T32915-2016信息安全技術(shù)二元序列隨機(jī)性檢測(cè)方法GM/T0005-2021隨機(jī)性檢測(cè)規(guī)范術(shù)語和定義GB/T25069-2022界定的以及下列術(shù)語和定義適用于本文件。防火墻firewall對(duì)經(jīng)過的數(shù)據(jù)流進(jìn)行解析，并實(shí)現(xiàn)訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。注：根據(jù)安全目的、實(shí)現(xiàn)原理的不同，通常可分為網(wǎng)絡(luò)型防火墻、WEB應(yīng)用防火墻、數(shù)據(jù)庫(kù)防火墻和主機(jī)型防火墻等。[來源：GB/T20281-2020，3.1]加密encipherment/encryption對(duì)數(shù)據(jù)進(jìn)行密碼變換以產(chǎn)生密文的過程。解密decipherment/decryption對(duì)密文進(jìn)行密碼變換以產(chǎn)生數(shù)據(jù)的過程。密鑰key控制密碼算法運(yùn)算的關(guān)鍵信息或參數(shù)。保密性confidentiality保證信息不被泄露給非授權(quán)的個(gè)人、進(jìn)程等實(shí)體的性質(zhì)。數(shù)據(jù)完整性dataintegrity數(shù)據(jù)沒有遭受以非授權(quán)方式所作的篡改或破壞的性質(zhì)。不可否認(rèn)性non-repudiation證明一個(gè)已經(jīng)發(fā)生的操作行為無法否認(rèn)的性質(zhì)。重要數(shù)據(jù)importantdata主要指支持防火墻設(shè)備自身運(yùn)行管理所涉及的重要信息，包括身份鑒別信息、訪問控制信息、配置信息、日志信息、升級(jí)數(shù)據(jù)、遠(yuǎn)程配置指令、告警信息、密鑰等，具體參見附錄A。可信計(jì)算環(huán)境trustedcomputingenvironment基于硬件級(jí)隔離及安全啟動(dòng)機(jī)制，為確保安全敏感應(yīng)用相關(guān)數(shù)據(jù)和代碼的機(jī)密性、完整性、真實(shí)性和不可否認(rèn)性目標(biāo)構(gòu)建的一種軟件運(yùn)行環(huán)境。固件firmware寫入EPROM（可擦寫可編程只讀存儲(chǔ)器）或EEPROM(電可擦可編程只讀存儲(chǔ)器)中的程序。縮略語下列縮略語適用于本文件：HTTPS：超文本傳輸安全協(xié)議（HypertextTransferProtocolSecure）IPSec：互聯(lián)網(wǎng)安全協(xié)議（InternetProtocolSecurity）Netconf：網(wǎng)絡(luò)配置協(xié)議（NetworkConfigurationProtocol）SNMP：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol）SSH：安全外殼協(xié)議（SecureShell）SSL：安全套接層（SecureSocketLayer）VPN：虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork)防火墻設(shè)備密碼應(yīng)用技術(shù)要求基本要求防火墻設(shè)備基本要求如下：應(yīng)包含密鑰產(chǎn)生、密鑰存儲(chǔ)、密鑰使用、密鑰更新等功能；應(yīng)按照密鑰更新周期要求更新密鑰；應(yīng)有安全措施防止密鑰的泄露和替換；首次使用公鑰前，應(yīng)對(duì)證書有效性進(jìn)行驗(yàn)證；涉及到使用隨機(jī)數(shù)時(shí)，應(yīng)符合GB/T32915-2016，顯著性水平參考GM/T0005-2021；設(shè)備使用的密碼技術(shù)（指本文件規(guī)定范圍內(nèi)的密碼應(yīng)用技術(shù)）應(yīng)支持使用安全強(qiáng)度較高的密碼算法，不宜使用安全強(qiáng)度弱的密碼算法。軟件/固件安全防火墻設(shè)備軟件/固件安全要求如下：升級(jí)時(shí)，應(yīng)使用密碼技術(shù)保證軟件/固件升級(jí)包的完整性與來源真實(shí)性；可使用密碼技術(shù)保證軟件/固件保密性；可使用密碼技術(shù)來保證軟件/固件完整性；可使用密碼技術(shù)保證軟件/固件抵御常見的攻擊，如反編譯、重打包等；啟動(dòng)時(shí)，可使用密碼技術(shù)保證軟件/固件的完整性。身份鑒別防火墻設(shè)備身份鑒別要求如下：應(yīng)使用密碼技術(shù)對(duì)訪問防火墻設(shè)備的終端、軟件或用戶進(jìn)行身份鑒別，必要時(shí)使用密碼技術(shù)進(jìn)行雙向身份鑒別；應(yīng)支持使用密碼技術(shù)保證身份鑒別信息傳輸過程中的保密性；應(yīng)支持使用密碼技術(shù)保證身份鑒別信息存儲(chǔ)過程中的保密性；可使用密碼技術(shù)保證身份鑒別信息傳輸過程中的完整性；可使用密碼技術(shù)保證身份鑒別信息存儲(chǔ)過程中的完整性；可使用密碼技術(shù)來抵御常見的重放攻擊，如偽隨機(jī)數(shù)等。訪問控制防火墻設(shè)備訪問控制要求如下：可使用密碼技術(shù)實(shí)現(xiàn)訪問控制功能，如數(shù)字證書等；可使用密碼技術(shù)保證訪問控制信息的完整性。網(wǎng)絡(luò)通信安全防火墻設(shè)備網(wǎng)絡(luò)通信安全要求如下：遠(yuǎn)程管理時(shí)，應(yīng)支持使用密碼技術(shù)建立可信信道/可信路徑；在支持web管理時(shí)，應(yīng)支持HTTPS，并避免使用安全強(qiáng)度弱的密碼算法與加密模式；在支持SSH管理時(shí)，應(yīng)支持SSHv2，并避免使用安全強(qiáng)度弱的密碼算法與加密模式；在支持SNMP管理時(shí)，應(yīng)支持SNMPv3，應(yīng)使用authPriv（SNMPv3的一種安全級(jí)別，既認(rèn)證又加密）模式；在支持Netconf管理時(shí)，安全傳輸層應(yīng)避免使用安全強(qiáng)度弱的密碼算法與加密模式。在使用IPSecVPN或SSLVPN時(shí)，應(yīng)避免使用安全強(qiáng)度弱的密碼算法與加密模式；應(yīng)使用密碼技術(shù)保證路由協(xié)議認(rèn)證功能的安全；可使用通信數(shù)據(jù)加密再傳輸?shù)姆绞奖ＷC信息不被泄露。數(shù)據(jù)安全防火墻設(shè)備數(shù)據(jù)安全要求如下：應(yīng)使用密碼技術(shù)保證遠(yuǎn)程配置指令在傳輸過程中的保密性與完整性，如接受集中管理平臺(tái)管理或與其他安全設(shè)備聯(lián)動(dòng)時(shí)下發(fā)的安全策略等；應(yīng)使用密碼技術(shù)保證告警信息在傳輸過程中的完整性，如向集中管理平臺(tái)上報(bào)的安全事件、故障告警等；可使用密碼技術(shù)保證配置信息、日志信息等重要數(shù)據(jù)在傳輸過程中的保密性和完整性；可使用密碼技術(shù)保證配置信息、日志信息等重要數(shù)據(jù)在存儲(chǔ)過程中的保密性和完整性；可使用密碼技術(shù)保證設(shè)備抵御常見的攻擊，防止密鑰等重要數(shù)據(jù)泄露，如計(jì)時(shí)攻擊等。計(jì)算安全防火墻設(shè)備計(jì)算安全要求如下：可使用可信計(jì)算技術(shù)建立可信計(jì)算環(huán)境；可使用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù)，并對(duì)其來源進(jìn)行真實(shí)性驗(yàn)證。性能要求防火墻設(shè)備性能要求如下：應(yīng)具有在運(yùn)行高強(qiáng)度加密、解密算法時(shí)不會(huì)出現(xiàn)因負(fù)載過高而造成不能正常提供服務(wù)的情況；應(yīng)在運(yùn)行高強(qiáng)度密碼算法時(shí)，可正常進(jìn)行路由轉(zhuǎn)發(fā)；雙機(jī)部署時(shí)，如運(yùn)行高強(qiáng)度密碼算法，應(yīng)保證主備可正常切換；密碼算法的使用應(yīng)不受部署模式影響；在運(yùn)行高強(qiáng)度密碼算法時(shí)，應(yīng)保證網(wǎng)絡(luò)層控制能力、應(yīng)用層控制能力的可用性；在運(yùn)行高強(qiáng)度密碼算法時(shí)，應(yīng)保證安全防護(hù)能力的可用性。可具有硬件密碼計(jì)算功能，能夠滿足高強(qiáng)度加解密算法的相關(guān)性能。運(yùn)行安全強(qiáng)度較高密碼算法時(shí)，VPN吞吐量應(yīng)滿足：百兆防火墻：對(duì)于64字節(jié)、1400字節(jié)的UDP報(bào)文，吞吐量應(yīng)分別不小于8Mbps和35Mbps；千兆防火墻：對(duì)于64字節(jié)、1400字節(jié)的UDP報(bào)文，吞吐量應(yīng)分別不小于25Mbps和400Mbps；萬兆防火墻：對(duì)于64字節(jié)、1400字節(jié)的UDP報(bào)文，吞吐量應(yīng)分別不小于220Mbps和5Gbps。運(yùn)行安全強(qiáng)度較高密碼算法，延遲應(yīng)滿足以下指標(biāo)要求：百兆防火墻：對(duì)于64字節(jié)、1400字節(jié)的UDP報(bào)文，平均時(shí)延應(yīng)均不超過4ms；千兆、萬兆防火墻：對(duì)于64字節(jié)、1400字節(jié)的UDP報(bào)文，平均時(shí)延應(yīng)均不超過1.5ms。附錄A（資料性）重要數(shù)據(jù)說明表1中列舉了防火墻涉及的重要數(shù)據(jù)。重要數(shù)據(jù)包括但不限身份鑒別信息、訪問控制信息、配置信息、遠(yuǎn)程配置指令、升級(jí)數(shù)據(jù)、告警信息、日志信息、密鑰等。表A.1防火墻涉及的重要數(shù)據(jù)示例序號(hào)重要數(shù)據(jù)類型備注1訪問控制信息系統(tǒng)訪問控制策略、網(wǎng)絡(luò)訪問控制信息、重要信息敏感資源標(biāo)記等2身份鑒別信息如用戶口令、生物特征等3配置信息系統(tǒng)啟動(dòng)時(shí)對(duì)程序進(jìn)行配置的信息，如服務(wù)端口、數(shù)據(jù)庫(kù)連接信息、線程池信息等4遠(yuǎn)程配置指令遠(yuǎn)程配置安全策略等5升級(jí)數(shù)據(jù)特征庫(kù)、規(guī)則文件、系統(tǒng)/軟件升級(jí)包等6告警信息設(shè)備故障信息、安全事件告警信息等7日志信息系統(tǒng)操作審計(jì)日志、訪問日志、系統(tǒng)安全日志等8密鑰私鑰、對(duì)稱密鑰等參?考?文?獻(xiàn)[1]GB/T39786—2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求[2]GB/T37092—2018信息安全技術(shù)密碼模塊安全要求[3]GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[4]GB/T20281—2020信息安全技術(shù)防火墻安全技術(shù)要求和測(cè)試評(píng)價(jià)方法[