编号:CNCA-11C-075:2009信息安全产品强制性认证实施规则防火墙产品2009-04-27发布2009-05-01实施中国国家认证认可监督管理委员会发布目录1.适用范围..............................................................12.认证模式..............................................................13.认证的基本环节........................................................13.1认证申请及受理.....................................................13.2型式试验委托及实施.................................................13.3初始工厂检查.......................................................13.4认证结果评价与批准.................................................13.5获证后监督.........................................................14.认证实施..............................................................14.1认证程序...........................................................14.2认证申请及受理.....................................................24.3型式试验委托及实施.................................................34.4初始工厂检查.......................................................44.5认证结果评价与批准.................................................54.6获证后监督.........................................................55.认证证书..............................................................75.1认证证书的保持.....................................................75.2认证证书覆盖产品的扩展.............................................75.3认证证书的暂停、注销和撤销.........................................86.强制性产品认证标志的使用..............................................86.1准许使用的标志样式.................................................86.2变形认证标志的使用.................................................86.3加施方式...........................................................86.4标志位置...........................................................87.收费..................................................................9附件1:................................................................10附件2:................................................................11附件3:................................................................14附件4:................................................................16附件5:................................................................1711.适用范围本规则所指的防火墙产品是指一个或一组在不同安全策略的网络或安全域之间实施网络访问控制的系统。本规则适用的产品范围为:以防火墙功能为主体的软件或软硬件组合;不适用个人防火墙产品。拟用于涉密信息系统的上述产品,按照国家有关保密规定和标准执行,不适用本规则。2.认证模式型式试验+初始工厂检查+获证后监督3.认证的基本环节3.1认证申请及受理3.2型式试验委托及实施3.3初始工厂检查3.4认证结果评价与批准3.5获证后监督4.认证实施4.1认证程序申请方可选择集中受理或分段受理两种方式中任意一种进行认证证书申请,两种方式下获得的证书是等效的。4.1.1集中受理流程申请方向指定的认证机构申请认证,认证机构对申请产品进行单元划分并审查申请资料,确认合格后向实验室(由申请方自主从指定实验室名单中选取)安排检测任务。实验室依据相关产品强制性认证实施规则进行检测,并在完成检测后向认证机构提交完整的检测报告。认证机构对检测报告审查合格后,由认证机构进行初始工厂检查。认证机构对型式试验、初始工厂检查结果进行综合评价,评价合格后向申请方颁发认证证书。认2证机构组织对获证后的产品进行定期的监督。4.1.2分段受理流程申请方自主从指定实验室名单中选取实验室,并向实验室提交相关申请材料。实验室对申请产品进行单元划分,审查并确认所需资料合格后,依据认证实施规则进行检测,检测通过后向认证机构提交检测报告。检测报告经认证机构确认合格后,申请方向认证机构提交认证所需资料。认证机构审查并确认所需资料合格后,由认证机构进行初始工厂检查。认证机构对型式试验、初始工厂检查结果进行综合评价,评价合格后向申请方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。4.2认证申请及受理4.2.1认证的单元划分按产品型号/版本申请认证,若产品的信息安全关键件实现方式相同的可作为一个单元申请认证,但具有不同带宽网络接口的产品,应分开申请认证。以多于一个型号/版本的产品为同一认证单元申请认证时,申请方应提交同一认证单元中型号/版本间的差异说明及相关自测报告。4.2.2申请时需提交的文件资料申请方在申请产品认证时,提交的文件资料应至少包含以下内容:1.申请方情况:1)基本情况介绍;2)相关资质证明材料(复印件);3)质量体系方面有关的文件;4)申请方声明。2.产品相关说明:1)中文产品功能说明书和/或使用手册;2)认证标准的适用性说明;33)产品研制主要技术人员情况表;4)产品测试技术人员情况表;5)产品测试使用的主要设备表(如适用);6)中文铭牌和警告标记(如适用);7)同一认证单元中型号/版本间的差异说明及相关自测报告(如适用);8)产品密码检测证书(仅适用于第三级认证)。3.与申请认证级别相对应的安全保证要求的说明,包括以下方面:1)配置管理;2)交付和运行;3)开发;4)指导性文档;5)生命周期支持;6)测试;7)脆弱性评定。4.3型式试验委托及实施4.3.1型式试验的送样4.3.1.1型式试验送样的原则认证单元中只有一个型号/版本的,送该型号/版本的样品。以多于一个型号/版本的产品作为同一认证单元申请认证时,应从中选取典型的型号/版本作为送样产品。申请第三级的产品在送样时,应同时提供该产品的联动设备及相关说明性文档。4.3.1.2送样要求和数量型式试验的样品由申请方负责按上述要求选送,并对选送样品负责。一般每种产品送样2套。44.3.1.3型式试验样品及相关资料的处置认证结束后,申请方可向实验室申请取回型式试验样品,相关申请资料由认证机构、实验室妥善处置。4.3.2测评标准和项目测评依据的标准为:GB/T20281《信息安全技术防火墙技术要求和测试评价方法》(基于GB/T18336《信息技术安全技术信息安全技术评估准则》的通用要求)。测评项目见附件2、附件3。4.3.3型式试验报告的提交型式试验完成后,实验室出具型式试验报告并提交给认证机构。4.4初始工厂检查4.4.1检查内容初始工厂检查的内容为信息安全保证能力、质量保证能力和产品一致性检查。4.4.1.1信息安全保证能力检查由认证机构派检查员对工厂按照《防火墙产品强制性认证安全保证评估项目》(见附件3)进行信息安全保证能力检查。4.4.1.2质量保证能力检查由认证机构派检查员对工厂按照《质量保证能力基本要求》(附件5)及认证机构制定的补充检查要求(适用时)进行检查。4.4.1.3产品一致性检查初始工厂检查时,应在生产现场对申请认证的产品进行一致性检查。重点核实以下内容:1)认证产品的铭牌、包装上所标明的及运行时所显示的产品名称、型号/版本号与型式试验报告上所标明的内容是否一致;2)非认证的产品是否违规标贴了认证标识。54.4.2初始工厂检查时间一般情况下,认证机构对4.2.2中的资料进行审查并在型式试验完成后,再进行初始工厂检查。特殊情况时,型式试验和初始工厂检查也可以同时进行。初始工厂检查时间根据所申请认证产品的单元数量确定,并适当考虑生产厂的规模及产品的安全级别,一般每个生产厂为2至4个人日。4.5认证结果评价与批准4.5.1认证结果评价与批准认证机构负责对型式试验、初始工厂检查结果进行综合评价,评价合格的,由认证机构对申请方颁发认证证书(每一个认证单元颁发一个认证证书)。如认证决定过程中发现不符合认证要求项,允许限期(不超过3个月)整改,如期完成整改后,认证机构采取适当方式对整改结果进行确认,重新执行认证决定过程。4.5.2认证时限认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的工作日,其中包括型式试验时间、初始工厂检查及提交报告时间、认证结论评定和批准时间以及证书制作时间。型式试验时间一般不超过30个工作日(因检测项目不合格,进行整改和复试的时间不计算在内,整改时间一般不超过3个月)。一般在型式试验报告提交后30个工作日内安排初始工厂检查。初始工厂检查时间根据所认证产品的单元数量确定,并适当考虑生产厂的生产规模及产品的安全级别,一般为2至4个人日。初始工厂检查后提交报告时间一般为5个工作日,以检查员完成现场检查,收到并确认工厂递交的不合格纠正措施报告之日起计算。认证结论评定、批准时间以及证书制作时间共计不超过5个工作日。4.6获证后监督64.6.1监督的频次4.6.1.1从获证后第12个月起进行第一次获证后监督,此后每12个月进行一次获证后监督。必要情况下,认证机构可采取事先不通知的方式对生产厂实施监督。4.6.1.2若发生下述情况之一可增加监督频次:1)获证产品出现严重质量问题时,或者用户提出投诉并经查实为证书持有者责任时;2)认证机构有足够理由对获证产品与本规则中规定的标准要求的符合性提出质疑时;3)有足够信息表明工厂因组织机构、生产条件、质量管理体系等发生变更,从而可能影响产品质量时。4.6.2监督的内容获证后监督的方式采用信息安全保证能力与质量保证能力的复查和认证产品一致性检查。必要时可以抽取样品送实验室检测,需要进行抽样检测时,抽样检测的样品应在工厂生产的产品中(包括生产线、仓库、市场)随机抽取。产品抽样检测的数量为2套。本认证实施