文 | 北京天融信网络安全技术有限公司 王龑 寇增杰 姜威 雷晓锋

防火墙作为传统的网络安全产品,是网络边界安全的第一道防线,具备访问控制及安全防护功能,在实际的网络部署中发挥着极其重要的作用。根据国际数据公司(IDC)2022 年中国 IT 安全市场规模数据统计,中国网络安全硬件产品市场规模约为 36.5 亿美元,其中防火墙类产品占比为 64.43%,是 IT 安全硬件市场的最大单一子市场,为保障国家网络安全、推动网络安全产业快速发展发挥了非常重要的作用。

近年来,随着网络应用场景的不断丰富和安全威胁的不断演变,防火墙产品已发展成为综合安全防护平台,但各厂商防火墙产品差异较大,能力和质量良莠不齐,在安全性方面存在着较大的差异。无论是从厂商产品理念、功能以及安全等研制角度,还是在客户安全需求、合规运营的角度,都有必要对防火墙产品的能力和安全性进行测试评估。

国家标准 GB/T 18336 源于国际标准 ISO/IEC 15408,提供了一套通用的测评框架,全面阐述了涵盖信息技术产品整个生命周期的安全要求并配套有评估方法。在二十多年的应用实践中,该标准在建设我国信息技术产品测评体系、保障国家网络安全、促进国内产业发展等方面,发挥了重要作用。

一、标准在信息技术产品研发中的重要作用

在以 GB/T 18336 为基础开展的信息技术产品测评应用中,形成了面向产品开发者、评估者和消费者等不同用户的实施机制。作为标准的牵头单位和主要测试评估机构,中国信息安全测评中心(以下简称“测评中心”)多年以来一直致力于 GB/T 18336 标准的应用推广和实践工作,向作为产品开发者的广大安全厂商开展了标准的宣贯、培训等工作,帮助产品开发者初步了解 GB/T 18336 的基本内容、工作机制以及相关的测试评估方法和流程,理解依据标准进行产品的开发并通过测评能够为提升产品质量和促进市场销售所带来的益处。北京天融信网络安全技术有限公司(以下简称“天融信”)等网络安全产品开发者,从 GB/T 18336 中可以获取信息技术产品整个生命周期的安全要求,从而可以依据 GB/T 18336 标准理念指导产品的设计,规范产品的研发、生产过程,完善企业的管理流程,逐步提升产品的安全保障级别,通过基于 GB/T 18336 开展的信息技术产品安全性评估更进一步地提升产品的质量,增强企业的竞争力。而消费者方面,则可以将是否通过 GB/T 18336 相关的测评作为产品采购的重要参考指标,并以此判断产品具备的安全功能与实际安全需求的匹配度,购买到能够满足实际部署环境需求的产品,增强对整个信息系统运行安全性的信心。

(一) 标准对信息技术产品安全性的提升

近年来,随着网络应用场景的不断丰富和技术的快速发展,网络所面临的安全威胁也日益趋于复杂化和高隐蔽性。为应对各类新型威胁,防火墙产品也在逐步发展,除了具备传统的网络访问控制能力以外,通过融合各类安全模块和智能数据,不断提升其防护能力,以应对新威胁局势的变化。

国家标准 GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法》,以 GB/T 18336-2015 为依据,对防火墙产品应具备的安全技术要求进行了规范。从组网与部署、网络层控制、应用层控制、攻击防护、安全审计、告警与统计几方面提出安全功能要求;从身份标识与鉴别、管理能力和安全支撑系统等方面提出自身安全要求;从吞吐量、延迟、连接速率和并发连接数几个方面提出性能要求;在安全保障要求方面,按照 GB/T 18336.3 的要求,分别提出对应评估保障级 EAL2 和 EAL4+ 的基本级和增强级产品安全保障要求,从开发、指导性文档、生命周期支持、测试和脆弱性评定几个方面提出了具体要求,为防火墙产品的开发提供安全指导,使防火墙产品具备一定的安全保障能力。

与此同时,参考 GB/T 18336 第 1 部分一般模型中“资产与对策”提出的分析方法,结合防火墙所处的网络环境及面临的新威胁,天融信提出了防火墙应具备“用户认证、用户管理、系统管理、安全审计、数据过滤控制、抗网络攻击和地址转换”等安全功能,并且对功能的充分性和正确性进行了验证。参考 GB/T 18336 中资产价值与威胁等级分析内容,推出的新一代防火墙产品通过多维的访问控制和安全防护能力,对各安全域之间通信流量执行深度威胁检测,能够实时阻断病毒、蠕虫、木马等众多已知威胁,提供边界综合安全防护能力,阻止威胁蔓延;并且能够利用人工智能技术检测 DGA 域名、隐蔽通道、恶意加密流量等威胁,阻断高级威胁攻击;构建全域安全防护体系基础,提升整个内网环境的安全有效性。

天融信通过对 GB/T 18336 安全理念的落地实施,规范了公司的研发管理流程,提升了公司的研发能力,增强了公司生产的各种类网络安全产品的技术水平和安全性。目前,已有三款防火墙产品的安全性达到 EAL4+ 级;另外还有应用安全网关、安全隔离与信息交换系统、Web 应用防护、入侵检测、入侵防御、数据防泄漏、网络审计、安全管理、漏洞扫描等 20 余款网络安全产品的安全性也达到 EAL4+ 或 EAL3+ 级。公司整体产品安全性得到大幅提升,获得 EAL 测评认证的安全产品得到了客户的信任,带动了产品的销售,为公司带来了良好的经济效益。自 2021 年 9 月以来,天融信在全国销售通过 EAL 测评的防火墙产品约 5000 台,防火墙年均销售预计约 2 万台,在线运行约 15 万台。天融信防火墙以 23.3% 的市场份额排名国内第一,销售额约 17.8 亿。天融信防火墙产品已在我国公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科工等国家重要行业和关键信息基础设施领域得到了广泛的部署应用,具有 EAL 测评资质更加安全的高质量防火墙,为保护国家安全、社会秩序和公共利益、公民法人以及相关组织的合法权益等方面发挥了重要作用。

(二) 标准对信息技术产品研发全生命周期安全性的提升

在防火墙产品研发的全生命周期各阶段中,天融信按照 GB/T 18336 第三部分中相关安全保障的要求,规范研发管理流程,不断提升产品安全性。

立项需求分析阶段。依据 GB/T 18336 中安全问题定义(ASE_SPD)、安全目的(ASE_OBJ)等要求,评估项目所要解决的问题和项目目标的可行性,并分析防火墙实际部署环境及自身所面临的安全威胁、所保护资产的价值,确定产品应满足的 EAL 级别和安全功能要求。

设计和实现阶段。一方面,按照 GB/T 18336 中安全架构(ADV_ARC)、TOE 设 计(ADV_TDS)、功能规范(ADV_FSP)、实现表示(ADV_IMP)和 TSF 内部(ADV_INT)等开发类相关要求,进行防火墙产品的架构设计、模块设计和编码实现,以最大程度的满足产品功能和安全需求,提升代码编写的合规、质量和安全性。另一方面,按照 GB/T18336 中生命周期支持类(ALC)要求中,开发者环境安全(ALC_DVS)、交付安全(ALC_DEL)、配置管理能力(ALC_CMC)等要求,规范设计和实现的安全过程控制,并按照缺陷纠正(ALC_FLR)的要求,制定产品缺陷跟踪、纠正程序,进一步增强产品在全生命周期中的安全性。

测试阶段。按照 GB/T18336 中测试类(ATE)相关要求,规范防火墙产品在公司内部的测试流程,保证产品安全测试的广度、深度和有效性,并关注产品脆弱性分析,增强防火墙产品质量,降低防火墙产品的安全风险,并在测试的整个过程中对测试用例、测试结果和缺陷等进行规范审计记录和版本管理,保证测试过程的可追溯性。

在上述规范的设计研发、实现、自测等全流程控制下,公司各类网络安全产品较顺利地通过了测评中心等测评机构的安全测评,多个产品安全保障级由 EAL3+ 级向 EAL4+ 逐步提高,产品的平均测评周期由 6 个月左右逐渐缩短到 3 个月左右,产品初次测评发现的安全问题平均数量也由十余项逐渐减少到仅有三、四项。

二、新版标准对未来产品研发的引领与促进

测评中心一直致力于 GB/T 18336 标准在我国的推广工作,与产品研发企业、行业用户充分沟通,听取意见反馈,在实际应用中不断完善标准,更加注重标准的本土化和易用性,与我国信息技术发展现状相适应,并注重产业趋势引领。经过 2001 年、2008 年和 2015 年的三次制修订后,测评中心又于 2021 年牵头开始了对 2015 版 GB/T 18336 标准的修订工作,以对应于最新版的国际标准 ISO/IEC 15408-2022,本次修订后的 GB/T 18336 标准结构上由原来的三部分调整为五部分。天融信参与了《信息安全技术 信息技术安全评估准则 第 3 部分:安全保障组件》的修订工作,负责对标准“10 ADV 类:开发”和与之相呼应的“附录 A 开发(ADV)”的翻译、校对工作和“13ATE 类:测试”“14AVA 类:脆弱性评估”“15 ACO 类:组合”以及与之对应的“附录 B 组合(ACO)”和“附录 C 保障组件依赖关系的交叉引用”等章节的校对和修改工作。

天融信通过参与 GB/T 18336 标准的修订,自身的标准化工作能力得到了进一步地提升,并且加深了对新版 GB/T 18336 标准体系的理解。在公司未来产品的研发中将进一步发挥该标准的应用价值;另外,产品线根据标准修订过程中获知的内容变化,同步对产品的开发和测试工作流程及配套文档等进行调整,在更好地提升产品质量的同时,也有利于后续产品能够顺利地通过测评中心等检测机构基于最新版 GB/T 18336 系列标准开展的测评。此外,公司也将积极参与新版 GB/T 18336 系列标准的应用推广工作,通过践行 GB/T 18336 标准体系的安全方法与理念,进一步提升产品和企业研发流程的安全可控程度,为保障我国的网络空间安全贡献力量。

(本文刊登于《中国信息安全》杂志2023年第11期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。