1 1 1 1 2 2 2 2 4 4 4 4 4 4 4 4 5 5 6 6 7 8 8 8 8 9 第:頁本指南提出了船舶網(wǎng)絡(luò)防火墻的通用性技術(shù)要求和測試驗證要求，適用于申請船舶網(wǎng)絡(luò)防火墻是指部署在船舶網(wǎng)絡(luò)邊界或船舶系統(tǒng)/區(qū)域間，阻隔不安全網(wǎng)絡(luò)因素，保護船舶網(wǎng)絡(luò)的一種設(shè)備，其應(yīng)用場景示例如圖1.1.1.更（包括但不限于軟件版本重大升級，功能、性能的改變，操作流程的改變，設(shè)備部件的相關(guān)文件中的條款通過本文件的引用將成為本文件的條款。凡是不注日期的引12345Cyberresilienceofon-boardsystemsande6Industrialcommunicationnetworks-n7SecurityforindustrialautomationandcontrolsystemrequirementsforIACScomponents84communicationsbetweennetworksusingse92SecurityfunctionalcomponentsMaritimenavigationandradiocommurequirements,methodsoftestingandrequiredteMaritimenavigationandradiocoBenchmarkingmethodologyforFirewallPerformBehaviorofandRequirementsforInternetFirewalls(1)DoS：拒絕服務(wù)（DenialofServices）(2)IP：網(wǎng)際協(xié)議（InternetProtoc(3)MAC：介質(zhì)訪問控制（MediaAccessContro(4)DMZ：非軍事化區(qū)/隔離區(qū)（DemilitarizedZon(8)FTP：文本傳輸協(xié)議（FileTrans（9）OPC：過程控制的對象鏈接與嵌入式接口協(xié)議（ObjectLinkin(11)IMAP：網(wǎng)絡(luò)消息訪問協(xié)議（InternetMessageAccessProtocol）(12)AES：高級加密標(biāo)準(zhǔn)（AdvancedEncryptionStandard）(14)UDP：用戶數(shù)據(jù)報協(xié)議（UserDatagramProtocol）(15)ICMP：網(wǎng)間控制報文協(xié)議（InternetControlMessagesProtocol）（16）SYSLOG：系統(tǒng)日志或一種進行第2章船舶網(wǎng)絡(luò)防火墻技術(shù)要求本章主要描述船舶網(wǎng)絡(luò)防火墻的技術(shù)要求，包括接口要求、功能要求、性能要船舶網(wǎng)絡(luò)防火墻至少應(yīng)滿足以下若干需求：（3）訪問控制（必選（4）數(shù)據(jù)加密傳輸（必選（6）流量限制和分析；2.2.1物理接口船舶網(wǎng)絡(luò)防火墻的物理接口類型和數(shù)量應(yīng)滿足設(shè)備運行和維護的需要。以太網(wǎng)管理、診斷和測試接口，及USB等可移動設(shè)備接口應(yīng)采用物理防護和/或技術(shù)防護，防止非授權(quán)接入，其中技術(shù)防護包括邏輯阻塞、加船舶網(wǎng)絡(luò)防火墻應(yīng)明確其接口支持的標(biāo)準(zhǔn)接口協(xié)議，當(dāng)適用專用接口協(xié)議時，船舶網(wǎng)絡(luò)防火墻應(yīng)支持通過接口輸出監(jiān)測與報警信息。2.3.1組網(wǎng)與部署船舶網(wǎng)絡(luò)防火墻應(yīng)支持透明傳輸、路由轉(zhuǎn)發(fā)和代理。船舶網(wǎng)絡(luò)防火墻應(yīng)支持包過濾，具體技術(shù)要求至少應(yīng)滿足如下：（1）安全策略應(yīng)使用最小權(quán)限原則，即除非明確允許，否則就禁止；（3）安全策略應(yīng)包含基于源端口、目的端口的訪問控制；（4）安全策略應(yīng)包含基于協(xié)議類型的訪問控制；（6）應(yīng)支持用戶自定義的安全策略，安全策略可以船舶網(wǎng)絡(luò)防火墻應(yīng)支持網(wǎng)絡(luò)地址轉(zhuǎn)換（（2）SNAT至少可實現(xiàn)“多對一”地址轉(zhuǎn)換，使得內(nèi)部網(wǎng)絡(luò)主機訪問外部網(wǎng)絡(luò)時，其為外部網(wǎng)絡(luò)合法IP地址/端口，使外部網(wǎng)絡(luò)主機通過訪問映射地址船舶網(wǎng)絡(luò)防火墻應(yīng)具備連接狀態(tài)檢測功能，支持基于狀態(tài)檢測技術(shù)的訪問控制。船舶網(wǎng)絡(luò)防火墻應(yīng)支持自動或管理員手動綁定IP/MAC地址，應(yīng)能夠檢測IP/MAC地址盜用，攔截盜用IP/MAC地址的主機經(jīng)過船舶網(wǎng)絡(luò)防火墻的各種訪問。（1）會話管理，船舶網(wǎng)絡(luò)防火墻應(yīng)支持手動或在會話處于非活躍一定時間后自動鎖定（3）帶寬監(jiān)測，部署在不同區(qū)域間的船舶網(wǎng)絡(luò)防火墻宜對客戶端占用帶寬進行監(jiān)測，2.3.3應(yīng)用層控制應(yīng)支持基于用戶認(rèn)證的網(wǎng)絡(luò)訪問控制功能，至少包括本地用戶認(rèn)證。船舶網(wǎng)絡(luò)防火墻應(yīng)能識別并控制通用應(yīng)用層協(xié)議及船舶系統(tǒng)專用協(xié)議，具體技（3）應(yīng)支持自定義協(xié)議，適用所在船舶網(wǎng)絡(luò)系統(tǒng)的專用協(xié)議。(4)HTTP協(xié)議頭中各字段長度，包括generalheader、requestheader、response（7）HTTP返回的響應(yīng)內(nèi)容，如應(yīng)支持基于以下內(nèi)容對數(shù)據(jù)庫的訪問進行控制，包括但不限于：（2）數(shù)據(jù)庫用戶名、數(shù)據(jù)庫名、數(shù)據(jù)表名和數(shù)據(jù)字段名；（4）影響行數(shù)、返回行數(shù)。（2）傳輸內(nèi)容，如協(xié)議命令或關(guān)鍵字。2.3.4攻擊防護當(dāng)應(yīng)用于船舶邊界網(wǎng)絡(luò)防護時，船舶網(wǎng)絡(luò)防火墻應(yīng)具備惡意代碼防護能力，包（2）檢測并攔截被http網(wǎng)頁和電子郵件等攜帶的惡意代碼。船舶網(wǎng)絡(luò)防火墻應(yīng)具有抗拒絕服務(wù)攻擊（抗DoS）的能力，至少抵抗以下攻擊當(dāng)通過門戶網(wǎng)站/web應(yīng)用程序與外部網(wǎng)絡(luò)建立連接時，船舶網(wǎng)絡(luò)防火墻應(yīng)具備船舶網(wǎng)絡(luò)防火墻應(yīng)能夠檢測和記錄掃描行為，包括對受保護網(wǎng)絡(luò)的掃描。應(yīng)支持對安全配置、日志等信息進行備份，且備份過程不應(yīng)影響設(shè)備或系統(tǒng)的（1）應(yīng)支持添加、激活、修改、禁用和刪除賬戶；（4）多次認(rèn)證失敗后應(yīng)支持設(shè)置鎖定，嘗試次數(shù)、鎖定時長可設(shè)置，且該機制應(yīng)能在（6）應(yīng)在所有授權(quán)用戶、主機和用戶請求執(zhí)行任何操作之前，對每個授權(quán)賬戶、主機和用戶進行唯一的身份標(biāo)識與鑒別，且驗證過程中應(yīng)能隱藏身份（7）應(yīng)對授權(quán)管理員和通過不可信網(wǎng)絡(luò)訪問的用戶采用多因素身份鑒別；（8）應(yīng)清除退役設(shè)備或軟件的相關(guān)信息；（9）應(yīng)支持本地管理；（11）宜支持通過網(wǎng)絡(luò)進行遠程管理，并能限定進行（12）遠程管理過程中，所有通信數(shù)據(jù)應(yīng)非明文傳輸；（13）更改配置前應(yīng)保存原有配置，并（14）應(yīng)能恢復(fù)至出廠設(shè)置；（15）應(yīng)支持在中斷或故障后恢復(fù)至已知安全配置狀態(tài)；（16）應(yīng)限制設(shè)備資源的使用，防止資源耗盡。船舶網(wǎng)絡(luò)防火墻應(yīng)可審計，要求如下：（1）記錄事件類型④從內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)發(fā)起的試圖穿越或到達船舶網(wǎng)絡(luò)防火墻的違反安全策⑦應(yīng)根據(jù)日志內(nèi)容設(shè)置日志級別，包括但不限于調(diào)試、信息、警告、錯誤等多①記錄、日志、報告、設(shè)置和工具等審計信息應(yīng)受到保護，防止未經(jīng)授權(quán)的訪②應(yīng)提供能查閱日志的工具，具備對審計事件以時間、日期、主體標(biāo)識、客體③管理日志（顯示管理活動）和事件日志（顯示流量活動）應(yīng)支持寫入備用存⑤宜支持第三方日志管理系統(tǒng)對船舶網(wǎng)絡(luò)防火墻日志信息進行集中收集、存儲；2.4.1性能指標(biāo)應(yīng)說明船舶網(wǎng)絡(luò)防火墻的性能參數(shù)，至少包括吞吐量、延遲、最大并發(fā)數(shù)以及2.5.1軟件和支撐硬件船舶網(wǎng)絡(luò)防火墻的研制應(yīng)符境、電壓和頻率波動等工作條件下正常工作。當(dāng)防火墻作為船載系統(tǒng)的部件/組件時，還應(yīng)船舶網(wǎng)絡(luò)防火墻的硬件設(shè)計、制造與安裝應(yīng)符合CCS《鋼質(zhì)海船入級規(guī)范》第當(dāng)船舶網(wǎng)絡(luò)防火墻的硬件載體有規(guī)定的技術(shù)要求時，除滿足本文件要求外，還船舶網(wǎng)絡(luò)防火墻宜采用自然散熱，無風(fēng)扇方式設(shè)計。應(yīng)參考CCS《智能設(shè)備檢驗指南》表7.3確定防火墻運行環(huán)境類至C2按照表確定試驗項環(huán)境試驗項目環(huán)境類型○1ABCA1XXXXXXXXXXXXXXXXXXXX(Fc.1)X(Fc.1)X(Fc.1)X(Fc.1)X(B.1)X(B.1)X(B.2)X(B.2)X(A.1)X(A.1)X(A.1)X(A.1)X(Db.1)X(Db.1)X(Db.1)X(Db.1)X(Cab.1)XXXXXX(IP20)X(IP20)X(IP20)X(IP20)X(IP22)X(EMC2)船舶網(wǎng)絡(luò)防火墻應(yīng)具備所聲明的功能，并確保產(chǎn)品自身安全性，不應(yīng)存在惡意應(yīng)采用“最小特權(quán)”原則，默認(rèn)拒絕所有入站流量，只允許規(guī)則授權(quán)的流量通應(yīng)在啟動前驗證啟動過程所需的固件、軟件和可（3）使用該系統(tǒng)表示同意監(jiān)控和記錄。當(dāng)船舶網(wǎng)絡(luò)防火墻組件或系統(tǒng)需采用加密時，應(yīng)根據(jù)國際公認(rèn)或經(jīng)過證明的方式和建議實施加密機制，加密算法的密碼強度應(yīng)（2）非對稱加密算法密鑰長度至少為2048bits，密（3）對稱加密算法密鑰長度至少為256bits，密碼強度不低于船舶網(wǎng)絡(luò)防火墻應(yīng)能傳輸流量、帶寬、異常狀態(tài)等報警信息，并在報警狀態(tài)改船舶網(wǎng)絡(luò)防火墻在非正常條件下（比如掉電、強行關(guān)機）關(guān)機再重新啟動后，應(yīng)賬戶當(dāng)船舶網(wǎng)絡(luò)防火墻異常斷電時，應(yīng)根據(jù)應(yīng)用場景使船舶網(wǎng)絡(luò)防火墻內(nèi)部接口與（1）用于船舶網(wǎng)絡(luò)邊界防護的防火墻宜在設(shè)備失效后使內(nèi)外部接口保持?jǐn)嚅_；（2）用于船舶系統(tǒng)/區(qū)域間防護或系統(tǒng)層級間的防火墻宜在設(shè)備失效后使內(nèi)外部接口直船舶網(wǎng)絡(luò)防火墻的硬件或軟件等故障不應(yīng)影響受保護的重要系統(tǒng)的重要服務(wù)。0船舶網(wǎng)絡(luò)防火墻宜支持多種工作模式，保證船舶網(wǎng)絡(luò)防火墻在部署、維護和（2）不含任何導(dǎo)致產(chǎn)品權(quán)限丟失、拒絕服務(wù)等中高風(fēng)險的漏洞。2應(yīng)制定安裝、升級及運維等操作的指導(dǎo)性文件，遠程維護時還應(yīng)滿足CCS第::頁第3章船舶網(wǎng)絡(luò)防火墻檢驗要求供應(yīng)商1質(zhì)量計劃（質(zhì)量管理體系支撐材料、軟件開發(fā)生命?2?3說明在預(yù)期使用環(huán)境中是否存在明顯可利用的脆弱性，如有，需明確說明該脆弱性對于認(rèn)證產(chǎn)品不構(gòu)①4產(chǎn)品硬件和軟件版本、相關(guān)功能及性能描述，產(chǎn)品?5①6①7?8事件響應(yīng)及恢復(fù)計劃?9型式試驗報告（環(huán)?型式試驗大綱（性?型式試驗報告（性 ⑩?提交CCS批準(zhǔn)①提交CCS備查⑩需CCS驗（3）網(wǎng)絡(luò)訪問控制功能，相關(guān)要求參見2.3.（4）配置管理功能，相關(guān)要求參見2.3.CCS驗船師見證船舶網(wǎng)絡(luò)防火墻產(chǎn)品功能和性能測試前，供應(yīng)商應(yīng)至少提供涉（4）軟件維護和使用手冊；（5）支撐硬件設(shè)備的接口列表及描述；制造商應(yīng)根據(jù)第2章要求編制船舶網(wǎng)絡(luò)防火墻測試大綱，測試內(nèi)容涵蓋船絡(luò)防火墻的接口、功能、性能以及產(chǎn)品安全性測試，并描述測試文檔中標(biāo)識的測試項與船測試前應(yīng)明確測試數(shù)據(jù)包大小和測試持續(xù)時間。3.2.2測試環(huán)境船舶網(wǎng)絡(luò)防火墻的功能測試應(yīng)考慮如下兩種測試環(huán)境。服務(wù)器/客戶端服務(wù)器/服務(wù)器/客戶端船舶防火墻服務(wù)器/客戶端服務(wù)器/客戶端船舶防火墻服務(wù)器測試環(huán)境中可采用虛擬客戶端/服務(wù)器模擬多個用戶或主機的數(shù)據(jù)源，并在測試船舶網(wǎng)絡(luò)防火墻的性能測試可采用專用性能測試儀，測試儀接口直接連接防火考慮規(guī)則集大小對被測設(shè)備功能和性能的影響，測試中應(yīng)采用不同規(guī)模的規(guī)則集完成測試，且被測規(guī)則應(yīng)配置在規(guī)則集末尾而不是考慮當(dāng)請求通過緩存代理時，緩存代理會嘗試從其緩存提供響應(yīng)服務(wù)。船舶網(wǎng)考慮身份認(rèn)證產(chǎn)生的延遲時間，當(dāng)采用第三方設(shè)備進行身份認(rèn)證時，測試環(huán)境考慮到性能測試中可通過修改TCP堆報告中說明TCP堆棧參數(shù)。3.3.1接口測試參照產(chǎn)品說明文檔，觀察接口類參照給定的數(shù)據(jù)接口協(xié)議標(biāo)準(zhǔn)/描述文檔、接口功能說明，測試對應(yīng)接口的通信配置船舶網(wǎng)絡(luò)防火墻監(jiān)測與報警策略并產(chǎn)生報警信息，捕獲報警信息，驗證報驗證是否按預(yù)設(shè)功能模式實現(xiàn)透明傳根據(jù)聲明支持的冗余部署方式，配置防火墻，驗證是否按預(yù)期在一臺設(shè)備故障啟用基于狀態(tài)檢測的訪問控制規(guī)則后，測試防火墻是否能過濾通過數(shù)據(jù)包回放測試IP/MAC地址綁定后是否能測試船舶網(wǎng)絡(luò)防火墻是否能實現(xiàn)會話超時管理和流量會話管理。檢查船舶網(wǎng)絡(luò)防火墻是否能對受保護網(wǎng)絡(luò)的流量和帶寬進行監(jiān)測和報警。0分別配置基于本地用戶認(rèn)證和基于第三方用戶認(rèn)