专题·CC标准 | GB/T 18336 标准在防火墙产品研发过程中的应用

文 | 北京天融信网络安全技术有限公司 王龑 寇增杰 姜威 雷晓锋

防火墙作为传统的网络安全产品，是网络边界安全的第一道防线，具备访问控制及安全防护功能，在实际的网络部署中发挥着极其重要的作用。根据国际数据公司（IDC）2022 年中国 IT 安全市场规模数据统计，中国网络安全硬件产品市场规模约为 36.5 亿美元，其中防火墙类产品占比为 64.43%，是 IT 安全硬件市场的最大单一子市场，为保障国家网络安全、推动网络安全产业快速发展发挥了非常重要的作用。

近年来，随着网络应用场景的不断丰富和安全威胁的不断演变，防火墙产品已发展成为综合安全防护平台，但各厂商防火墙产品差异较大，能力和质量良莠不齐，在安全性方面存在着较大的差异。无论是从厂商产品理念、功能以及安全等研制角度，还是在客户安全需求、合规运营的角度，都有必要对防火墙产品的能力和安全性进行测试评估。

国家标准 GB/T 18336 源于国际标准 ISO/IEC 15408，提供了一套通用的测评框架，全面阐述了涵盖信息技术产品整个生命周期的安全要求并配套有评估方法。在二十多年的应用实践中，该标准在建设我国信息技术产品测评体系、保障国家网络安全、促进国内产业发展等方面，发挥了重要作用。

在以 GB/T 18336 为基础开展的信息技术产品测评应用中，形成了面向产品开发者、评估者和消费者等不同用户的实施机制。作为标准的牵头单位和主要测试评估机构，中国信息安全测评中心（以下简称“测评中心”）多年以来一直致力于 GB/T 18336 标准的应用推广和实践工作，向作为产品开发者的广大安全厂商开展了标准的宣贯、培训等工作，帮助产品开发者初步了解 GB/T 18336 的基本内容、工作机制以及相关的测试评估方法和流程，理解依据标准进行产品的开发并通过测评能够为提升产品质量和促进市场销售所带来的益处。北京天融信网络安全技术有限公司（以下简称“天融信”）等网络安全产品开发者，从 GB/T 18336 中可以获取信息技术产品整个生命周期的安全要求，从而可以依据 GB/T 18336 标准理念指导产品的设计，规范产品的研发、生产过程，完善企业的管理流程，逐步提升产品的安全保障级别，通过基于 GB/T 18336 开展的信息技术产品安全性评估更进一步地提升产品的质量，增强企业的竞争力。而消费者方面，则可以将是否通过 GB/T 18336 相关的测评作为产品采购的重要参考指标，并以此判断产品具备的安全功能与实际安全需求的匹配度，购买到能够满足实际部署环境需求的产品，增强对整个信息系统运行安全性的信心。

测评中心一直致力于 GB/T 18336 标准在我国的推广工作，与产品研发企业、行业用户充分沟通，听取意见反馈，在实际应用中不断完善标准，更加注重标准的本土化和易用性，与我国信息技术发展现状相适应，并注重产业趋势引领。经过 2001 年、2008 年和 2015 年的三次制修订后，测评中心又于 2021 年牵头开始了对 2015 版 GB/T 18336 标准的修订工作，以对应于最新版的国际标准 ISO/IEC 15408-2022，本次修订后的 GB/T 18336 标准结构上由原来的三部分调整为五部分。天融信参与了《信息安全技术 信息技术安全评估准则 第 3 部分：安全保障组件》的修订工作，负责对标准“10 ADV 类：开发”和与之相呼应的“附录 A 开发(ADV)”的翻译、校对工作和“13ATE 类：测试”“14AVA 类：脆弱性评估”“15 ACO 类：组合”以及与之对应的“附录 B 组合（ACO）”和“附录 C 保障组件依赖关系的交叉引用”等章节的校对和修改工作。

（本文刊登于《中国信息安全》杂志2023年第11期）