网络设备密码应用技术要求 防火墙设备.pdf

网络设备密码应用技术要求防火墙设备

1范围

本文件规定了防火墙设备在软件/固件安全、身份鉴别、访问控制、网络通信安全、数据安全、计

算安全与性能等方面的密码应用技术的技术要求。

本文件适用于在我国境内销售或提供的防火墙设备（不包括纯软件型防火墙），也可为网络运营者

采购防火墙设备时提供依据，还适用于指导防火墙设备的研发、测试等工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20281—2020信息安全技术防火墙安全技术要求和测试评价方法

GB/T25069—2022信息安全技术术语

GB/T32915—2016信息安全技术二元序列随机性检测方法

GM/T0005—2021随机性检测规范

3术语和定义

GB/T25069—2022界定的以及下列术语和定义适用于本文件。

3.1

防火墙firewall

对经过的数据流进行解析，并实现访问控制及安全防护功能的网络安全产品。

注：根据安全目的、实现原理的不同，通常可分为网络型防火墙、WEB应用防火墙、数据库防火墙和主机型防火墙

等。

[来源：GB/T20281—2020，3.1]

3.2

加密encipherment/encryption

对数据进行密码变换以产生密文的过程。

3.3

解密decipherment/decryption

对密文进行密码变换以产生数据的过程。

3.4

1

密钥key

控制密码算法运算的关键信息或参数。

3.5

保密性confidentiality

保证信息不被泄露给非授权的个人、进程等实体的性质。

3.6

数据完整性dataintegrity

数据没有遭受以非授权方式所作的篡改或破坏的性质。

3.7

不可否认性non-repudiation

证明一个已经发生的操作行为无法否认的性质。

3.8

重要数据importantdata

主要指支持防火墙设备自身运行管理所涉及的重要信息，包括身份鉴别信息、访问控制信息、配置

信息、日志信息、升级数据、远程配置指令、告警信息、密钥等，具体参见附录A。

3.9

可信计算环境trustedcomputingenvironment

基于硬件级隔离及安全启动机制，为确保安全敏感应用相关数据和代码的机密性、完整性、真实性

和不可否认性目标构建的一种软件运行环境。

3.10

固件firmware

写入EPROM（可擦写可编程只读存储器）或EEPROM(电可擦可编程只读存储器)中的程序。

4缩略语

下列缩略语适用于本文件：

HTTPS：超文本传输安全协议（HypertextTransferProtocolSecure）

IPSec：互联网安全协议（InternetProtocolSecurity）

Netconf：网络配置协议（NetworkConfigurationProtocol）

SNMP：简单网络管理协议（SimpleNetworkManagementProtocol）

SSH：安全外壳协议（SecureShell）

SSL：安全套接层（SecureSocketLayer）

VPN：虚拟专用网络(VirtualPrivateNetwork)

2

5防火墙设备密码应用技术要求

5.1基本要求

防火墙设备基本要求如下：

a)应包含密钥产生、密钥存储、密钥使用、密钥更新等功能；

b)应按照密钥更新周期要求更新密钥；

c)应有安全措施防止密钥的泄露和替换；

d)首次使用公钥前，应对证书有效性进行验证；

e)涉及到使用随机数时，应符合GB/T32915—2016，显著性水平参考GM/T0005—2021；

f)设备使用的密码技术（指本文件规定范围内的密码应用