1. Управление доступом.
Требования к пятому классу:
Межсетевой экран должен обеспечивать фильтрацию на сетевом уровне. Решение по фильтрации может приниматься для каждого сетевого пакета независимо на основе, по крайней мере, сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов.
Требования к четвертому классу:
Данные требования полностью включают аналогичные требования пятого класса. Дополнительно межсетевой экран должен обеспечивать:
· фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
· фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
· фильтрацию с учетом любых значимых полей сетевых пакетов.
Требования к третьему классу:
Данные требования полностью включают аналогичные требования четвертого класса.
Дополнительно межсетевой экран должен обеспечивать:
· фильтрацию на транспортном уровне запросов на установление виртуальных соединений. При этом, по крайней мере, учитываются транспортные адреса отправителя и получателя;
· фильтрацию на прикладном уровне запросов к прикладным сервисам. При этом, по крайней мере, учитываются прикладные адреса отправителя и получателя;
· фильтрацию с учетом даты/времени.
2. Идентификация и аутентификация
Нет требований к четвертому и пятому классу. Требования к третьему классу:
Межсетевой экран должен обеспечивать возможность аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети.
3. Регистрация
Нет требований к пятому классу. Требования к четвертому классу:
Межсетевой экран должен обеспечивать возможность регистрации и учета фильтруемых пакетов. В параметры регистрации включаются адрес, время и результат фильтрации.
Данные требования включают аналогичные требования четвертого класса.
· регистрацию и учет запросов на установление виртуальных соединений;
· локальную сигнализацию попыток нарушения правил фильтрации.
4. Администрирование: идентификация и аутентификация
Межсетевой экран должен обеспечивать идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ. Межсетевой экран должен предоставлять возможность для идентификации и аутентификации по идентификатору (коду) и паролю условно-постоянного действия.
Данные требования полностью совпадают с аналогичными требованиями пятого класса.
Данные требования включают аналогичные требования пятого класса. Дополнительно межсетевой экран должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась. При удаленных запросах администратора межсетевого экрана на доступ идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.
5. Администрирование: регистрация
Межсетевой экран должен обеспечивать регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузка и инициализация системы и ее программный останов. Регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана;
В параметрах регистрации указываются:
· дата, время и код регистрируемого события;
· результат попытки осуществления регистрируемого события - успешная или неуспешная;
· идентификатор администратора межсетевого экрана, предъявленный при попытке осуществления регистрируемого события.
Данные требования включают аналогичные требования пятого класса.
Дополнительно межсетевой экран должен обеспечивать регистрацию запуска программ и процессов (заданий, задач).
Дополнительно межсетевой экран должен обеспечивать регистрацию действия администратора межсетевого экрана по изменению правил фильтрации.
6. Администрирование: простота использования
Многокомпонентный межсетевой экран должен обеспечивать возможность дистанционного управления своими компонентами, в том числе, возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации.
7. Целостность
Межсетевой экран должен содержать средства контроля над целостностью своей программной и информационной части.
Данные требования полностью включают аналогичные требования пятого класса.
Дополнительно должен обеспечиваться контроль целостности программной и информационной части межсетевого экрана по контрольным суммам.
8. Восстановление
Межсетевой экран должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать восстановление свойств межсетевого экрана.
9. Тестирование
В межсетевом экране должна обеспечиваться возможность регламентного тестирования:
· реализации правил фильтрации;
· процесса идентификации и аутентификации администратора;
· процесса регистрации действий администратора межсетевого экрана;
· процесса контроля за целостностью программной и информационной части межсетевого экрана;
· процедуры восстановления.
· процесса регистрации;
· процесса идентификации и аутентификации администратора межсетевого экрана;
В межсетевом экранированием должна обеспечиваться возможность регламентного тестирования
· процесса идентификации и аутентификации запросов;
10. Руководство администратора защиты
Документ содержит:
· описание контролируемых функций межсетевого экрана;
· руководство по настройке и конфигурированию межсетевого экрана;
· описание старта межсетевого экрана и процедур проверки правильности старта;
· руководство по процедуре восстановления.
11. Тестовая документация
Должна содержать описание тестов и испытаний, которым подвергался межсетевой экран, и результаты тестирования.
12. Конструкторская документация
Должна содержать:
· общую схему межсетевого экрана;
· общее описание принципов работы межсетевого экрана;
· описание правил фильтрации;
· описание средств и процесса идентификации и аутентификации;
· описание средств и процесса регистрации;
· описание средств и процесса контроля над целостностью программной и информационной части межсетевого экрана;
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13
