国家标准 GB/T21050一2019 代替GB/T210502007 信息安全技术网络交换机安全技术要求 Informationsecuritytechnology" Seeurityreguirementsfornetworkswitch 2019-08-30发布 2020-03-01实施国家市场监督管理总局发布币国国家标准化管理委员会国家标准
GB/T21050一2019 目次前言范围 2 规范性引用文件术语和定义、缩略语 3.1术语和定义 3.2缩略语网络交换机描述 5 安全问题定义 .1资产 5.2 威胁 5.3组织安全策略 5.假设安全目的 6.1TOE安全目的 6.2环境安全目的安全要求 .1扩展组件定义 7.2安全功能要求 10 7.3安全保障要求 19 基本原理 30 8.1安全目的基本原理 30 8.2安全要求基本原理 42 8.3组件依赖关系 49 参考文献 52
GB/T21050一2019 前言本标准按照GB/T1.1一2009给出的规则起草本标准代替GB/T210502007《信息安全技术网络交换机安全技术要求(评估保证级3)》与 GB/T210502007相比,除编辑性修改外主要技术变化如下 -对使用范围进行了修改,并增加了关于密码算法的约定(见第1章,2007年版的第1章); -增加了对术语标准的引用(见第2章,2007年版第2章); 增加了“可信IT产品”术语,删掉了“网络交换机”术语(见第3章,2007年版的第3章); 修改了网络交换机的描述(见第4章,2007年版的第4章); -将安全环境修改为安全问题定义,且归并和修改了假设、威胁、组织安全策略(见第5章,2007年版的第5章); 修改和删减了安全目的(见第6章,2007年版的第6章); -增加了扩展组件,根据GB/T18336一2015增删了安全要求(见第7章); 增加了基本原理一章(见第8章) 请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(sAc/TC260)提出并归口本标准起草单位信息安全测评中心吉林信息安全测评中心、华为技术有限公司.请华大学锐捷网络股份有限公司、网神信息技术(北京)股份有限公司本标准主要起草人李凤娟、张宝峰、刘晖、张珈斌、贾炜、张骁、庞博、刘昱函、唐喜庆、蒋显岚、刘毗妙、钟建伟、刘海利、叶晓俊、李玲、徐涛本标准所代替标准的历次版本发布情况为 GB/T21050-2007
GB/T21050一2019 信息安全技术网络交换机安全技术要求范围本标准规定了网络交换机达到EAL2和EAL3的安全功能要求及安全保障要求,涵盖了安全问题定义、安全目的、安全要求等内容本标准适用于网络交换机的测试、评估和采购,也可用于指导该类产品的研制和开发规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T18338.1一2015信息技术安全技术信息技术安全评估准则第1部分;简介和一般模型 GB/T18336.22015 信息技术安全技术信息技术安全评估准则第2部分:安全功能组件 GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件 GB/T25069-2010信息安全技术术语术语和定义、缩胳语 3.1术语和定义 GB/T250692010和GB/T18336.1一2015界定的以及下列术语和定义适用于本文件 3.1.1 可信I产品trustedIproduet 有与TOE协调管理的安全功能要求,但不属于TOE的其他IT产品,且假定可正确执行自身的安全功能要求 3.1.2 可信信道trustedchannel TSF和远程可信IT产品间在必要的信任基础上进行通信的一种通信手段 3.1.3 可信路径trustedpath 用户与TsF间在必要的信任基础上进行通信的一种通信手段 3.1.4 可信源trstedsouree 能够被标识和鉴别的源或节点,从该源或节点发出信息的完整性能够被核实和确认 3.1.5 客户elient 向另一方请求服务的一方
GB/T21050一2019 [GB/T11457一2006,定义2.214] 3.1.6 网络审计管理员 networkauditmanagementoperator 仅具有查看权限,是负责收集,分析和查看网络行为数据的网络管理角色注，网络审计管理员可查看网络交换机配置,信息流策略等 3.1.7 网络配置管理员networkmanagementadministrator 受到严格限制的具有部分网络管理能力的管理角色,可以执行网络交换机管理功能的子集,但不具备网络审计管理员的能力注:网络配置管理员可配置管理网络系统,利用权限解决网络故障等 3.1.8 网络安全管理员networkseeurityadministrator 具有所有管理级别的访问权限,可以访问网络交换机的各个区域,同时具备网络配置管理员和网络审计管理员的能力的管理角色注网络安全管理员可创建,修改和存取访问控制列表,加载密钥,限制应用程序的执行,以及维护网络管理审计日志等能力的网络管理角色 3.1.9 节点 node 计算机网络系统中可以对信息进行存储和(或)转发的设备 3.2缩略语下列缩略语适用于本文件 BGP边界网关协议(BorderGatewayProtocoD EAL;评估保障级(EvaluationAssuraneeleve HTTP;超文本传输协议(HyperTextTransferProtoeol rnetProtocol IP:互联网协议(Inte IT:信息技术(InformationTechnology LDP:标签分发协议(LabelDistributionProtoco MD5:报文摘要算法MessageDigest5) OSI:开放系统互联参考模型(OpenSystemInterconnect OSPF:开放式最短路径优先(OpenShortestPathFirst) RSVP;资源预留协议ResourceReserVationProtocol RMON:远距离监控(RemoteMONitoring impleNetworkManagementProtocol SNMP:简单网络管理协议(Sim sT;安全目标(SsecturityTargee) TOE:评估对象(TargetOEvaluation) Function TSFTOE安全功能(TOESecurity 网络交换机描述网络交换机是一种连接网络的设备,用于连接各个节点或其他网络设备,能够在通信系统中完成信息交换功能的设备从技术角度看,网络交换机运行在OSI模型的数据链路层、网络层甚至传输层虽然P,光交换有各自不同的特性,但是它们的处理和控制方式是相似的可信路径建立在网络交换
GB/T21050一2019 机和管理系统之间,可信信道建立在网络交换机与可信IT实体之间,通过可信路径可进行管理信息的交换,通过可信信道可进行网络控制信息(如,许可动态连接建立和包路由选择信息)的交换网络控制信息由特定的请求和指令组成,如目的地址、路由选择控制和信令信息等在IP环境下,控制信息可以包括OsPF,BG;P,RsVP和LDP 网络交换机一般包括接口卡,端口、软件,以及驻留在其上的数据等与网络交换机相关的所有电路都属于网络交换机的一部分,其中包括管理链路虽然网络管理系统是必需的部件,但是它不属于本标准的规范范围,而且连接到网络交换机的其他网络部件也不属于本标准的规范范围例如,交叉连接的数字传送系统,光传送系统、加密装置等然而,网络交换机可以支持加密或具有连接加密装置的接口,用于加密用户数据、管理和控制信息网络交换机具有保护网络管理和进行网络控制的功能,允许通过网络可靠传递用户信息,并具有可靠的质量和及时性网络交换机的主要安全特性包括安全审计、安全管理、用户数据保护、用户鉴别和认证、加密支持、数据传输和存储安全等图1为网络交换机典型应用环境 lnternet 子网子网图1网络交换机典型应用环境 5 安全问题定义 5.1资产本标准中保护的资产包括以下方面: 审计数据(审计数据由网络交换机执行安全审计功能时产生); 认证数据(用于用户和外部实体访问交互时的鉴别和认证); 配置数据(网络交换机的配置信息、网络连接信息、固件更新数据等); 密码数据(用于交换机实施数字签名或加解密的数据,如密钥等); 表数据(用于网络转发和路由相关的列表,如网络层路由表,链路层地址解析表,链路层MAC 地址表,BGP/OSPF数据库等数据》应用说明ST编写者应根据具体的应用情况细化对资产的描述
GB/T21050一2019 5.2威胁 5.2.1通信分析(T.Analysis) 攻击者可能通过收集大量数据以及数据的源、目的地址和发送数据的日期、时间进行分析 5.2.2审计机制失效(T.Audit_Copromise' 恶意用户或进程可能修改TOE审计策略,使TOE审计功能停用或失效、审计记录丢失或被篡改. 也有可能通过审计数据存储失效来阻止未来审计记录被存储,从而掩盖用户的操作 5.2.3未授权网络访问并获取数据(I.Capture) 攻击者可能通过窃听接人传输线或用其他方式获取通信信道上传输的数据 5.2.4节点泄露T.CompromisedLNode 修改网络交换机配置文件或路由表使得节点变得不安全,导致网络交换机运行异常、网络交换机安全功能失效,或流量可能被重路由经过未授权的节点 5.2.5隐通道T.Covert) 隐通道是隐藏在系统内部,允许以违背系统安全策略的形式传送信息的通信通道,其目的是用于不被监控地传送信息 5.2.6密码分析(T.Cryptanalytie) 攻击者为了复原信息内容而去尝试进行对已加密数据的密码分析 5.2.7拒绝服务(T.Denial 攻击者通过执行指令,发送超限额的高优先级流量数据,或执行其他操作,在网络上造成不合理的负载,造成授权客户得不到应有的系统资源,即导致拒绝服务 5.2.8部件或电源失效(T.Fal -个或多个系统部件或电源失效可能造成重要系统功能破坏和重要系统数据的丢失 5.2.9硬件、,软件或固件的缺陷(T.Frlaw) 硬件,软件或固件的缺陷导致网络交换机及其安全功能的脆弱性 5.2.10管理员网络授权的滥用(T.IHostile_Admin) 网络配置管理员或网络安全管理员有意滥用授予的权限,进行不适当地存取或修改数据信息,例如,配置数据、审计数据、口令文件,或误处理其他的敏感数据文件 5.2.11管理错误(T.Mgmt_Error) 拥有网络配置管理员角色的人员可能无意地不恰当存取、修改了数据信息,或误用资源 5.2.12修改协议(T.Modify) 攻击者未经授权的修改或控制协议例如,路由选择、信号等协议)
GB/T21050一2019 5.2.13网络探测(T.NtwkMap) 攻击者可能进行网络探测来获得节点地址、路由表信息和物理位置 5.2.14重放攻击(T.Replay_Attaek) 攻击者通过记录通信会话,并重放它们伪装成已验证的客户非法获取网络交换机的访问权管理信息也可能被记录和重放,从而用于伪装成已验证的网络配置管理员或网络安全管理员来得到对网络管理资源的访问权 5.2.15配置数据泄露(T.Se_Pro) 攻击者可能读、修改或破坏网络交换机的安全配置数据 5.2.16欺骗攻击T.Sp0of 未授权节点可能使用有效的网络地址来尝试访问网络,即客户通过获得的网络地址来伪装成已授权的用户,企图得到网络交换机资源 5.2.17对管理端口的非授权访问(T.Unath_Mgmt_Aceess) 攻击者或滥用特权的网络配置管理员可能通过Telnet、RMON或其他方式访问管理端口,从而重新配置网络、引起拒绝服务、监视流量、执行流量分析等 5.3组织安全策略 5.3.1可核查性(P.Ac cc0unt ntability 使用网络交换机传送信息的组织、拥有网络配置管理员角色的人员和开发者应对他们的行为活动负责 5.3.2审计管理行为(P.Audit_Admin) 网络管理系统应能产生和传送审计记录,审计记录应提供和包括充足的信息,用来确定在事件发生时的管理员、管理时间和管理行为;组织应周期性地审核审计记录 5.3.3操作员和节点的鉴别(P.Authentieation) 网络交换机应能支持对网络审计管理员、网络配置管理员和网络安全管理员的鉴别,并且网络交换机也应支持对等节点的鉴别 5.3.4网络可用性(P.Availability 应能保证网络资源对许可客户的任务需求和传送信息需求能够持续满足 5.3.5信息的保密性(P.Confidentiality 统计数据、配置信息和连接信息应保持实时和存储状态下的保密性为了保持其保密性,网络交换机应能够支持加密装置的加解密能力或接口支持能力 5.3.6默认配置(P.Default_Contfig 网络交换机的默认设置应能防止网络交换机安全性功能的削弱或失效鉴别机制、鉴别失败、超时
GB/T21050一2019 锁定、管理口的访问控制等安全功能应是默认生效的 5.3.7内容的完整性(P.Integrity 管理和控制信息在传输期间应保持其内容的完整性,同时,所有信息要保持其储存状态下的完整性 5.3.8互操作性(P.Interoperabilty) 网络交换机应能与其他厂商的网络交换机互连互通在网络交换机中要实现标准化的、非专有的协议(如路由选择、信令协议等) 厂商可以选择性地实现一些专有协议,但为了互通的目的厂商也应在网络交换机中实现标准协议 5.3.9故障通告(P.Notify 网络交换机及其安全环境应具备(或在其他设备配合下具备)提醒和报警能力,例如,通过SNMP 第3版的陷门(trap)机制发送部件、固件、硬件或软件的失效通知 5.3.10对等节点(P.Peer) 安全的节点应有接受来自信任和不信任节点流量的能力为了保护信息流量将会在信任和不信任的节点之间被过滤 5.3.11可靠传输(P.Reliable_Iransport 网络管理和控制应实现特定的可靠传送和检错机制 5.3.12网络可生存性与恢复(P.Surive 网络资源应能够从恶意的破坏尝试中恢复,同时应具有从传输错误中恢复的能力网络应能抵御硬件或软件失效,或具有在合理时间内复原的能力用于恢复的任何环境都应被记录下来 5.3.13硬件、软件和固件的完整性(P.SysAssur 应提供在初始化、软硬固件升级时保持其完整性的功能和规程,确认已接收的网络交换机信息文件、异常通知,补丁程序,升级文件等的完整性,上述文件或信息应有实时的分发基础应在初始安装和软件升级和固件交换时确保其完整性 5.4假设 5.4.1物理保护(A.Physieal 网络交换机应放置于受控访问的物理环境内,以避免被未经授权者物理访问该环境应提供不间断电源、温湿度控制等措施确保交换机能可靠运行 5.4.2可信人员(A.Noevil&Irain) 网络交换机授权管理员应是认真细心、负责任的,是可以信赖的,能够遵循所有管理员指南的规定但是不可避免工作中可能会出错管理员应受到合格的培训,具有正确使用,安装、,配置和维护网络交换机、网络交换机安全功能和网络组件的能力 5.4.3无通用性(A.Na_cGenernLPupse) 除用于运行、管理和支持TOE所需的服务外,假定在TOE上无法获得通用的计算能力(如编译器 S
GB/T21050一2019 或用户应用). 安全目的 6.1IoE安全目的 6.1.1网络访问控制(o.Access_Control 网络交换机应实现访问控制策略,访问控制策略基于但不限于网络交换机的任务(只处理可信任的或不可信任的,或者处理混合流量,网络交换机的标识(由一个机构、网络提供者所有,同时也可由许多机构或客户所有),源和目标地址、端口层次的过滤(如Telnet,SNMP)等 6.1.2带标识的审计记录(o.Admin_Audit 网络配置管理员和网络安全管理员的活动应被审计,审计记录的存储和维护应符合安全策略 6.1.3安全风险告警通知(o.Aarm 网络交换机应有发现元件、软件或固件失败或错误的能力网络交换机应提供安全相关事件和失败或错误提示的告警能力 6.1.4管理属性(o.AttrMgt) 授权管理员应管理控制策略,只赋予授权网络配置管理员必需的权利管理人员应在通过标识与鉴别后承担其特权角色 6.1.5审计数据保护(o.Audit_Proteetion) 网络交换机应安全存储审计数据,并具有对存储的审计事件进行保护能力 6.1.6审计记录查阅(o.AuditRReview) 所有的审计记录都应定期地被查阅,授权管理员应定期地查阅网络流量审计记录 6.1.7网络配置保密性(o.Cfg_Confidentiality) 网络交换机应保证统计数据、配置和连接信息在实时和存储状态下不会泄露 6.1.8配置完整性(o.CfgIntegrity 网络交换机应保证审计文件、配置、连接信息和属于网络交换机的其他信息的完整性 6.1.9管理配置数据(o.CfgManage) 应有获取和保存网络交换机的配置和连接信息的能力,应保证存储的完整性,能进行系统部件的鉴别与系统连接的鉴别 6.1.10加密机制支持(o.Cryptography) 为了支持保密性,网络交换机应支持加密机制,该加密机制要支持客户注册、密钥管理和信道隔离在内的服务,其使用的密码算法应符合国家,行业或组织要求的密码管理相关标准或规范注:如果TOE所使用的密码算法不是由TOE自身实现,则可将此安全目的移至ST的环境安全目的中
GB/T21050一2019 6.1.11控制数据的可信通道(o.CtrlL_Chamnel 提供对等网络交换机之间传输控制数据的完整性和保密性;提供独立的可信信道 6.1.12受控标识和鉴别o.Ctrl_I&A 只有在请求连接的目标地址、标识,鉴别和权限与控制策略一致时,才能连接到网络交换机 6.1.13检测非授权连接(o.Deteet_Comneetionm) 网络交换机应能检测并告警未经授权的连接 6.1.14故障发生时安全状态的保存(o.Fail_Secur re 网络交换机应能保存部件失效或停电事件时的系统安全状态 6.1.15管理标识和鉴别O.Mgmt_I&A 管理人员应在通过标识和鉴别后才能承担其特权角色 6.1.16管理数据的可信路径(O.MgmtPath 应保证网络交换机和网络管理站之间传输信息的完整性和保密性,应提供独立的可信信道 6.1.17安全修复和补丁(o,.Patehesy) 网络交换机应安装最新的补丁及时进行安全修复 6.1.18业务优先级(o.Priority_or_Service) 网络交换机应支持对所有的流量分配优先级,控制资源访问方式,以防止低级别服务干扰或延迟高级别的服务 6.1.19地址保护(o.Proteet_Addresses) 网络交换机应保护已授权组织内部地址的保密性和完整性在网络交换机收到数据后,应能正确地解析出经过授权的源地址和目的地址 6.1.20协议(o.Protocols) 在网络交换机中应实现能与其他厂商的网络交换机互操作的标准协议,并在网络交换机中实现可靠交付和错误检测的协议 6.1.21避免重放攻击(o.Replay_Prevent) 网络交换机应具有防止未经授权的代理伪装成经过授权的代理能力,保护其自身免受重放攻击 6.1.22网络交换机的自身防护(o.Se_Pre r0 网络交换机应做好自身防护,以对抗非授权用户对网络交换机安全功能的旁路、抑制或篡改的尝试 6.1.23 自检(o.Selr_Test 网络交换机应具备对自身的检测能力,以确保网络交换机的安全功能能够正确运行
GB/T21050一2019 6.1.24带标识的审计流量记录(o.Iraf_Audit) 审计记录应包括日期,时间流量异常现象、节点标识符和负责传输数据的组织网络交换机应保证所有的审计记录的完整性 6.1.25系统数据备份的完整性和保密性(o.IrustBaekup 应确保网络交换机的网络文件和配置参数有冗余备份备份文件应以符合网络安全策略的方式存储,以便保证文件的完整性和保密性,另外,应能由备份文件充分地复现网络交换机的配置,以用于在出现失败事件或安全泄密的情况下恢复网络交换机的功能;网络文件可自动地复制备份到另外的管理站 6.1.26可信的恢复(o.Trustedkeeovery 应确保网络交换机在失效或错误后恢复到没有安全泄密的安全状态,应确保失效部件更替后,系统的状态恢复,并且保证不会引发错误或造成其他安全缺陷 6.1.27未用区域(o.Unused_Fieds) 网络交换机应保证协议头内所有未被使用域的数值都被恰当地设定 6.1.28更新验证(o.Update_Validation) 网络交换机应具备对更新数据的验证能力,以确保更新数据是可信任的 6.2环境安全目的 6.2.1物理保护(OE.Physieal 网络交换机及其连接的外围设备(如接人的控制台和存储卡等)应放置在于受控访问的物理环境内,以避免被未经授权者物理访问和破坏,同时运行环境提供稳定的电源防止掉电发生 6.2.2可信人员(oE.Pe rSOnnel 应雇佣和使用可信赖和有能力的员工操作和管理人员应经过相应的技能培训 6.2.3无通用性(oE.No._General_Purpose) 除用于运行、管理和支持TOE所需的必要服务外,确保在TOE上无法获得其他通用的计算能力安全要求 7.1扩展组件定义 7.1.1扩展组件原理表1列出了本标准中基于GB/T18336.2一2015安全功能组件扩展要求的基本原理,扩展组件在组件名称后加上“_ExT”表示
GB/T21050一2019 表1扩展要求的基本原理标识符组件名称基本原理网络交换机的管理员口令、加解密密仞、其他敏感数据等TSF数据如果明文存放,可能被非授权用户读取、修改和删除,应采用合适的安全 FPT_TDP_EXT.1 TSF数据保护机制保护存储的TSF数据 FPT_TDP_EXT.1明确了这些敏感TSF 数据在存储时避免被非授权访问要求 7.1.2扩展功能组件 7.1.2.1类别 FPT:TSF保护 7.1.2.2 FPT_TDP;用于网络交换机TSF数据存储的安全性 7.1.2.3族行为这个族提供网络交换机对敏感TSF数据的存储安全及避免非授权访问的安全要求定义 7.1.2.4管理无 7.1.2.5审计无 7.1.2.6定义 TSF数据保护(FPT_TDP_EXT.1 FPT_TDP_EXT.1.1网络交换机应采用非明文方式存储【管理员口令,加解密密钥,其他敏感数据】. FPT_TDP_EXT.1.2网络交换机的安全功能应能防止【明文存储数据】被非授权用户读取网络交换机的安全功能应能防止【管理员口令,加解密密钥,其他数据】被非 FPT_TDPEXT.1.3 授权用户【读取、修改、删除】依赖关系,FCS._coP1 密码运算应用说明,方括号【中的黑斜体字的内容表示还需在安全目标(ST)中确定的赋值及选择项,此约定也适用于后续章条 7.2安全功能要求 7.2.1概述表2列出了网络交换机信息技术安全功能要求组件,这些要求由GB/T18336.22015中的安全功能要求组件和扩展组件组成,以下对各组件给出了详细的说明 10
GB/T21050一2019 表2安全功能要求组件安全功能要求类安全功能要求组件序号组件名称 FAU_GEN.1 审计数据产生 FAU_GEN.2 用户身份关联审计查阅 FAU_SAR.1 安全审计(FAU类) FAU_SEl.1 选择性审计 FAU_STG.1 受保护的审计迹存储 FAU_STG.4 防止审计数据丢失 FCS_COP.1 密码运算密码支持(FcS类) FCs._CKM.1 密钥生成 F:CS.CKM.4 密钥销毁 10 FDPAcC,1 子集访问控制 FDP_ACF.1 基于安全属性的访问控制 12 FDPETC.2 带有安全属性的用户数据输出 13 FDP_IFC.1 子集信息流控制用户数据保护(FDP类》 14 简单安全属性 FDP_IFF.l 15 FDP_ITc.2 带有安全属性的用户数据输人 FDP_UIT.1 数据交换完整性 16 17 FDP_UIT.2 原发端数据交换恢复 18 FIA_UAU.2 任何行动前的用户鉴别 19 FIA_UID.2 任何行动前的用户标识标识和鉴别FIA类) 20 FIA_AFLl 鉴别失败处理 21 FA_SOS.1 秘密的验证 FMTMR. 安全功能行为的管理 22 FMT_MsA. 安全属性的管理 2 24 FMT_MSA.3 静态属性初始化安全管理(FMT类 25 FMT_MTD.1 安全功能数据的管理 26 FMT_SMF.1 管理功能规范 27 FMTSMR.2 安全角色限制失效即保持安全状态 28 FPT_FILS.l FPr_ITc.1 传送过程中TsF间的保密性 29 30 FP_IL1 TsF间算改的检测 FPTRCV.3 无过度损失的自动恢复 TsF保护(FPT 31 32 FPT_RCV.4 功能恢复 33 重放检测 FP'T_RPLl 34 FPT_STM.1 可靠的时间戳 1
GB/T21050一2019 表2(续安全功能要求类序号安全功能要求组件组件名称 35 FPT_TDC.l TSF间基本的TSF数据一致性 TsF保护(FPT) FPT_TST TsF测试 36 37 FPT_TDP_EXT.1 TsF数据保护 38 FRU_F1T.1 降低容错资源利用(FRU类 39 FRU_PRS,2 全部服务优先级 40 FRU_RSA.1 最高配额 41 FTA_TSE. 会话建立网络交换机访问(FTA类 FTAL TsF原发会话终止 42 FTPITc.1 TsF间可信信道 43 可信路径/信道(FTP类 FTPTRP.1 44 可信路径 7.2.2安全审计(FAU类 7.2.2.1 审计数据产生(FAU_GEN.1) FAU_GEN.1.1网络交换机的安全功能应能为下列可审计事件产生审计记录 a 审计功能的启动和关闭; 【基本级】审计的所有可审计事件 b e)【对网络审计管理员网络配置管理员和网络安全管理员的审计;访问权限和能力的分配或撤消,任何由网络管理人员所做出的更改,进程运行期间的时间和日期,和网络管理人员执行活动的时间和日期对于终结于网络交换机的流量的审计:能够记录异常流量的源和目的节点】 FAU_GEN.1.2网络交换机的安全功能应在每个审计记录中至少记录如下信息 a)事件的日期和时间、事件类型、主体身份、事件的结果(成功或失败). 对每种审计事件类型是基于保护轮廓或安全目标文档中安全功能要求组件 b) 的可审计事件进行定义的,其他相关审计事件包括【收到不可信源的流量、接受来自不可信源的流量、恢复安全性相关事件的响应行动、恢复一个与安全性相关事件花费的时间、被安全性相关事件影响的所有组件】. 7.2.2.2用户身份关联(FAU_GEN.2) FAU_GEN.2.1网络交换机的安全功能应能将每个可审计事件与引起该事件的用户身份相关联用户的网络管理审计数据将关注网络管理角色涉及的人员,而用户的流量统计数据将关注网络交换机的标识 7.2.2.3审计查阅(FAU_SAR.1) FAU_SAR.1.1网络交换机的安全功能应为【指定的网络安全管理员】提供从审计记录中读取【所有审计数据】的能力 FAU_SAR.1.2网络交换机的安全功能应以便于用户理解的方式提供审计记录 12
GB/T21050一2019 7.2.2.4选择性审计(FAUsEL..1 FAU_SEL1.1网络交换机的安全功能根据以下属性包括或排除审计事件集中的可审计事件【客体标识、用户标识,主体标识,主机标识,事件类型】 7.2.2.5受保护的审计迹存储(FAUSTG.1 FAU_STG.1.1网络交换机的安全功能应保护审计迹中存储的审计记录以避免未授权的删除 FAU_STG.1.2网络交换机的安全功能应能【防止】对审计迹中所存审计记录的未授权修改 7.2.2.6防止审计数据丢失(FA_STG.4) FAU_STG.4.1如果审计迹已满,网络交换机的安全功能应【覆盖所存储的最早的审计记录】 7.2.3密码支持(FCS类) 7.2.3.1密码运算(FCs_coP.1) FCS_cOP.1.1网络交换机的安全功能应根据符合下列标准【赋值;标准列表(国家行业或组织要求的密码管理相关标准或规范)】的特定的密码算法【赋值;密码算法】和密钥长度【赋值;密钥长度】来行执【赋值;密码运算列表】. 注;sT作者可根据密码算法的具体情况赋值国家,行业或组织主管部门认可的相关标准及参数 7.2.3.2密钥生成(Fcs_CKMI.1) FCS_CKM.1.1网络交换机的安全功能应根据符合下列标准【赋值:标准列表(国家、行业或组织要求的密码管理相关标准或规范)】的一个特定的密钥生成算法【赋值;密钥生成算法】和规定的密钥长度【赋值:密钥长度】来生成密钥注，该组件仅适用于密钥生成功能由ToE本身完成的情况,此时ST编写者可根据密码算法的具体情况,赋值国家主管部门认可的相关标准及参数;若密钥由外部环境生成,则可以不选择此组件 7.2.3.3密钥销毁(FCs.CKM1.4) FCsCKM.4.1网络交换机的安全功能应根据符合下列标准【赋值;标准列表】的一个特定的密钥销毁方法【赋值;密钥销毁方法】来销毁密钥注sT编写者可根据密码算法的具体情况赋值国家主管部门认可的相关标准及密钥销毁方法,若密钥由外部环境生成,则可以不选择此组件 7.2.4用户数据保护(FDP类 7.2.4.1子集访问控制(FDP_ACC.1 FDP_ACC.1.I网络交换机的安全功能应对【通信请求】执行【访问控制策略】. 依赖关系:FDP_ACF.1基于安全属性的访问控制 7.2.4.2基于安全性属性的访问控制(FDP_ACF.1 FDP_ACF.1.1网络交换机的安全功能应基于【标识,鉴别和连接通信会话中另一个成员的节点的授权】对客体强制执行【访问控制策胳】 FDP_ACF.1.2网络交换机的安全功能应执行以下规则,以决定受控主体与受控客体间的操作是否被允许【源网络交换机的地址应在目的网络交换机的访问控制列表中标识出 13
GB/T21050一2019 来,授权应发生在接收消息之前】 FDP_ACF.1.3网络交换机的安全功能应基于以下附加规则决定主体对客体的访问授权:【合法键值的拥有者、网络交换机的角色(处理仅从可信源来的流量,或配置成也可从不可信源接收流量,时间和流量特征(如控制信息)】 FDP_ACF.1.4网络交换机的安全功能应基于【发送者的地址】明确拒绝主体对客体的访问 7.2.4.3带有安全属性的用户数据输出(FDP_EIC.2 FDP_ETC.2.1网络交换机的安全功能在安全功能策略的控制下输出用户数据到安全功能的控制范围之外时,应执行【访问控制策略】. FDP_ETC.2.2网络交换机的安全功能应输出带有相关安全属性的用户数据 FDP_ETC.2.3网络交换机的安全功能在安全属性输出到安全功能的控制范围之外时,应确保其与输出的数据确切关联 FDP_ETC.2.4网络交换机的安全功能在用户数据从安全功能的控制范围输出时.【传输数据的网络交换机应保证具有完整性保护】. 7.2.4.4子集信息流控制FDP_IFC.1 FDP_IFC.1.1网络交换机的安全功能应对【从不可信源接收到的控制信息(信令和路由信息】执行【信息流控制策略】. 7.2.4.5简单安全属性(FDPIr.1) FDP_IFF1.1网络交换机的安全功能应基于下列类型的主体和信息安全属性【最小化的信息流控制策略,功能与访问控制策略相关联;可以识别控制信息的源，无论它是可信任的或不可信任的(可信源是可标识和可鉴别的,而且控制信息的完整性是可校验的;生成消息源的鉴别】,执行【信息流控制策略】 FDP_IFF.1.2如果有下面的规则【消息的源头可以被接收方标识和鉴别,并且消息的完整性是可校验的】,网络交换机的安全功能应允许受控主体和受控信息之间存在经由受控操作的信息流,即网络交换机的安全功能应允许在受控主体之间存在一个信息流 FDP_IFF.1.3网络交换机的安全功能应执行【信息流控制策略:当发生网络通信失败的事件时在需做出路由和重路由的决定时,来自可信源的控制信息的优先级要高于从不可信源接收的控制信息】 FDP_IFF.1.4网络交换机的安全功能应提供下列功能【1从不可信源接收数据;2审计接收到的来自不可信源的数据;3、配置网络交换机的安全功能以实现对来自不可信源数据接收的策略】 FDP_IFF.1.5网络交换机的安全功能应根据下列规则【1.预先建立的可信任(静态)路由;2.网络管理端通过可信路径的管理信息】,明确批准信息流 FDP_IFF.1.6网络交换机的安全功能应基于下列规则:【配置安全策略以拒绝接收来自不可信源的数据】,明确拒绝信息流 7.2.4.6带有安全属性的用户数据输入(FDP_Irc.2) FDP_ITC.2.1网络交换机的安全功能在安全功能策略的控制下从安全功能的控制范围之外输人用户数据时,应执行【基于访问控制列表的标识的使用、拥有合法密钥证据的校验完整性检查的校验,或源地址的识别】 14
GB/T21050一2019 FDP_ITC.2.2网络交换机的安全功能应使用与输人的数据相关的安全属性 FDP_ITC.2.3网络交换机的安全功能应确保使用的协议在安全属性和接收的用户数据之间提供了明确的联系 FDP_ITC.2.4网络交换机的安全功能应确保对输人的用户数据安全属性的解释与用户数据源的解释是一致的 FDP_ITC.2.5网络交换机的安全功能在安全功能策略的控制下从安全功能的控制范围之外输人用户数据时,应执行【赋值:】. 7.2.4.7数据交换完整性(FDP_UI.1) FDP_U1T.1.1网络交换机的安全功能应执行【信息控制策略】,使得能以某种方式【传送,接收】用户数据,保护数据避免出现【篡改、删除,插入,重用】错误 FDP_UIT.1.2网络交换机的安全功能应能根据收到的用户数据,判断是否出现了【篡改、删除、插入、重用】 7.2.4.8原发端数据交换恢复(FDP_UIT.2 网络交换机的安全功能应执行【赖序列检查,循环冗余码校验,流量整形,抗重放 FDPUIT.2.1 和完整复制所有网络替理数据文件给某一分离的备份源】以便能在原发溜可信 IT产品的帮助下,从【包的序列变化、重放包,不完整的数据传输,丢掉的包,网络拥塞和主要网络管理系统中的失败】中恢复 7.2.5标识和鉴别(FIA类 7.2.5.1任何行动前的用户鉴别(FIA_UAU.2 FIA_UAU.2.1在允许执行任何代表用户的其他安全功能促成的行动执行前,网络交换机的安全功能应要求该用户已被成功鉴别 7.2.5.2任何行动前的用户标识(FIA_UID.2) FA_UID.2.1在允许执行任何代表用户的其他安全功能促成的行动之前,网络交换机的安全功能应要求用户标识自己 7.2.5.3鉴别失败处理(FIA_AFL.1 FA_AFL.1.1当与【鉴别事件列表】相关的【数目】次不成功鉴别尝试出现时,网络交换机的安全功能应加以检测 FIA_AFL.1.2当达到或超过所定义的不成功鉴别尝试的次数时,网络交换机的安全功能应【行为列表】 7.2.5.4秘密的验证(FIA_oOS.1 FIA_SOS.1.1网络交换机的安全功能应提供一种机制以验证秘密满足密码的长度 2 密码的复杂度 3 密码的更改周期 15
GB/T21050一2019 7.2.6安全管理(FM类 7.2.6.1安全功能行为的管理(FM_MoF.1 FMT_MOF.1.1网络交换机的安全功能应仅限于【网络安全管理员角色】对【网络交换机在安装时和贯穿整个生命周期的安全修复/补丁,选择可审计事件,管理用户账户,管理审计日志,管理访问控制策略、管理信息流控制策略,到可信任时间源的网络交换机连接、包括网络交换机数据文件的备份和恢复的网络交换机资源的维护】功能具有【确定其行为,激活,终止,修改其行为】的能力网络交换机的安全功能应仅限于【网络配置管理员负责建立和配置连接】对【网络交换机的配置和网络交换机资源的维护】功能具有【确定其行为,禁止、允许、修改其行为】的能力 7.2.6.2安全属性的管理(FM_MSA.1) FMT_MSA.1.1网络交换机的安全功能应执行【访问控制列表】,以仅限于【网络安全管理员角色】能够对【选择可审计事件、管理审计日志、网络管理系统访问控制列表和账户,网络用户访问控制列表和账户】安全属性【改变默认值,查询,修改,删除】网络交换机的安全功能应执行【访问控制列表】以仅限于【网络配置管理员角色】能够对安全属性【网络用户访问控制列表和账户】进行【改变默认值,查询、修改,删除】. 网络交换机应执行【访问控制列表】以仅限于【网络审计管理员、网络配置管理员、网络安全管理员角色】,能够执行【监控和收集网络行为属性】以及【监控和分析流量行为】安全属性的能力 7.2.6.3静态属性初始化(FM_MISA.3) FMT_MSA.3.1网络交换机的安全功能应执行【访问控制策略】,以便为用于执行安全功能策略的安全属性提供【受限的】默认值 FMT_MSA.3.2网络交换机的安全功能应允许【负责建立和配置连接的网络配置管理员或网络安全管理员角色】为生成的客体或信息指定替换性的初始值以代替原来的默认值 7.2.6.4安全功能数据的管理(Fr_D.1) FM_MTD.1.1网络交换机的安全功能应仅限于【网络安全管理员】能够对【当前网络管理审计数据的指定区域,和网络流量数据】进行【改变默认值,查询】的操作网络交换机的安全功能应仅限于【网络安全管理员】能够对TsF(如共享密钥证书)数据】进行【添加、修改、删除、查询】的操作网络交换机的安全功能应仅限于【网络配置管理员】能够对【当前网络流量审计数据的指定区域】进行【改变默认值、查询】的操作网络交换机的安全功能应仅限于【网络审计管理员】能够对【当前网络流量审计数据的指定区域】进行【查询】的操作 7.2.6.5管理功能规范(FITSMF.1 FMT_SMF.1.1TSF应能够执行如下管理功能【IS提供的安全管理功能列表】 16
GB/T21050一2019 7.2.6.6安全角色限制(FMT_SMMR.2) FMT_SMR.2.1网络交换机的安全功能应维护【网络安全管理员】角色 FMT_SMR.2.2网络交换机的安全功能应能够把管理员用户和角色关联起来 FMT_SMR.2.3网络交换机的安全功能应确保条件【网络审计管理员或网络配置管理员不能假定为网络安全管理员角色】得到满足 7.2.7ISF保护(FPT类 7.2.7.1失效即保持安全状态(FPT_FLS.1 FPT_FLS.1.1网络交换机的安全功能在【硬件组件失败,短期电源中断】失败发生时应保存安全状态 7.2.7.2传送过程中Isr间的保密性(rr_rc.1) FP_ITc.1.1在网络交换机的安全功能数据从安全功能到远程可信IT产品的传送过程中,网络交换机的安全功能应保护所有的安全功能数据不被未授权泄露 7.2.7.3TsF间篡改的检测FPI_ITI.1) FPT_ITL.1.1网络交换机的安全功能应提供在下列量度范围内.【强度应等同于或超过由M5 提供的完整性保护算法的强度】.检测网络交换机安全功能与远程可信IT产品间传送的所有安全功能数据是否被修改的能力 FPT_ITI.1.2网络交换机的安全功能应提供能力,以验证安全功能与远程可信IT产品间传送的所有安全功能数据的完整性,以及如果检测到修改应执行【数据的再次传输和产生审计记录】 7.2.7.4无过度损失的自动恢复(FPr_RCV.3) FPT_RCV.3.1当不能从失败或服务中断自动恢复时,网络交换机的安全功能应进人维护方式该方式提供将网络交换机返回到一个安全状态的能力 FPT_RCV.3.2对【备份电源供应,冗余处理器,网络管理系统错误或失败,组件(卡,端口)失败】网络交换机的安全功能应确保通过自动化过程使网络交换机返回到一个安全状态 FPT_RCV.3.3网络交换机的安全功能提供的从失败或服务中断状态恢复的功能,应确保安全功能控制范围内的安全功能数据或客体的损失在不超过【赋值.】的情况下恢复到初始状态 FPTRCv.3.4网络交换机的安全功能应提供决定客体能否被恢复的能力 7.2.7.5功能恢复(FPTRCV.4 FPT_RCV.4.1网络交换机的安全功能应确保【包括但不限于如下安全功能和故障情况:自动保护切换,冗余处理器的切换,备份电源供应的切换、信息传输连接的保存,循环冗余校验,帧序列检查,抗重放等安全功能、和如硬件组件故障、停电、软件错误/故障,系统处理器故障、网络管理系统故障电路失效或组件故障等故障情况】有如下特性,即安全功能或者已成功完成,或者对指明的故障情况恢复到一致的安全状态 17
GB/T21050一2019 7.2.7.6重放检测(FPIRPL.1) FPT_RPL.1.1网络交换机的安全功能应检测以下实体的重放【消息(如管理和控制,安全协商消息,被封装为信元或包传输的特定的特征(时间戳、,哈希值、密钥等)】. FPT_RPL1.2检测到重放时,网络交换机的安全功能应执行【审计,确认对于重放中来自合法的源的请求,阻挡来自源头的通信,发送陷阱以测试线路和扫描非授权的连接】 7.2.7.7可靠的时间戳(FP_SIM.1 FPT_STM.1.1网络交换机的安全功能应能为自身的应用提供可靠的时间戳 7.2.7.8TSF间基本的ISF数据一致性(FPT_TDcC.1 FPT_TDC.1.1当网络交换机的安全功能与其他可信IT产品共享其安全功能的数据时,网络交换机的安全功能应提供对【网络审计信息,控制信息和安全参数】一致性解释的能力 FPT_TDc.1.2当解释来自其他可信IT产品的安全功能数据时,网络交换机的安全功能应使用【开发者(在安全目标文档中)指定的已鉴别的协议】 7.2.7.9IS测试(FPT_IST.1) FPT_TsT.1.1网络交换机的安全功能应在【初始化启动期间】和【网络安全管理员或网络配置管理员提出请求时】运行一组自检,以表明网络交换机安全功能操作的正确性 FPT_TST.1.2网络交换机的安全功能应为授权用户提供对网络交换机安全功能的数据完整性的验证能力 FPT_Ts.1.3网络交换机的安全功能应为授权用户提供对存储的网络交换机安全功能的可执行代码完整性的验证能力 7.2.8资源利用(FRU类 7.2.8.1降低容错(FRU_FLr.1) FRU_FLT.1.1网络交换机的安全功能应确保当以下故障【硬件故障,软件错误、线路故障,路由控制和管理信息的恶意修改、缓冲区溢出极端的网络拥塞、短暂的电源中断】发生时,能够执行【自动切换到备份组件或电源供应,安全信息传送、信息传送连接的保存,流量的正确路由,正确的信元/包的内部处理,流量整形、签署的服务质量/优先级的保存,当持续发生带有预攻击控制信息的特定网络操作时丢掉已被破坏的数据并对事件进行审计】操作 7.2.8.2全部服务优先级(FRU_PRs.2 FRU_PRs,2.1网络交换机的安全功能应给在安全功能中的每个主体分配一种优先级 FRU_PRs,2.2网络交换机的安全功能应确保对所有可共享资源的每次访问都应基于分配给主体的优先级进行协调分配 7.2.8.3最高配额FRURSA.1 FRU_RSA.1.1TSF应对以下资源:【单个端口或VLAN允许学习的MAC地址数目】分配最高配 18
GB/T21050一2019 额,以便【其他端口或VL.AN】能【同时,在规定的时间间隔内】使用 7.2.9网络交换机访问(FTA类 7.2.9.1会话建立(F'TA_ISE.1 FTA_TSE.1.1网络交换机的安全功能应能拒绝基于【节点标识、接收到的鉴别数据,标识为不可信的数据源,角色,地址,时间(维护窗口,或当适当的监控程序没有就位时),或基于安全状态】的会话建立 7.2.9.2ISF原发会话终止(FTA_sSL.3 FTA_SSL.3.1网络交换机的安全功能应在达到【赋值:安全管理员可配置的用户不活动的时间间隔】之后终止一个交互式会话 7.2.10可信路径/信道(FT类 7.2.10.1ISF间可信信道(FTP_Irc.1 FTP_ITC.1.1网络交换机的安全功能应使用【选择，IPsee,SSH,sSLTL.s/HITPS】在其自身和远程可信IT产品之间提供一条通信信道,此信道在逻辑上与其他通信信道截然不同,并且能够对其对端节点提供确定的标识,以及保护信道中数据免遭修改和泄露 FTP_ITc.1.2网络交换机的安全功能应允许【安全功能,远程的可信Ir产品】经可信信道发起通信 FTP_ITc.1.3对于【控制信息的传输和安全属性的改变】,网络交换机的安全功能应经可信信道发起通信 7.2.10.2可信路径(FIPTRP.1) FTP_TRP.1.1网络交换机的安全功能应使用【选择:Isee,sSSH、Is,TI.s/HrPS中至少一种在它自身和远程,本地】用户之间提供一条通信路径,此路径在逻辑上与其他通信路径截然不同,并且能够对其对端节点提供确定的标识,以及保护通信数据免遭修改或泄露 FTP_TRP1.2网络交换机的安全功能应允许【远程、本地】用户经可信路径发起通信 FTPTRP.1.3对于【启动用户鉴别】和【网络管理信息的传输】,网络交换机的安全功能应要求使用可信路径 7.3安全保障要求 7.3.1安全保障级别表3分别列出了网络交换机EAL2和EAL3级安全保障要求组件,这些要求由GB/T18336.3 2015的安全保障要求组件组成,以下对各组件给出了详细的说明 19
GB/T21050一2019 表3安全保障要求组件安全保障级保障类保障组件序号 EAL3 EAI2 ADv_ARC.1安全架构描述 N/A ADv_FsP.2安全执行功能规范 ADV;开发 ADV_FSP.3带完整摘要的功能规范 N/A ADV_TDS.1基础设计 N/A ADV_TDS.2结构化设计 N/A AGD.oPE.1操作用户指南 AGD:指导性文档 AGDPRE.1准备程序 AIc_cMc.2cM系统的使用 ALcCMC.3授权控制 N/A 1o AICCMS.2部分TOECM覆盖 N/A 1m AIC;生命周期支持 AICCMS.3实现表示CM覆盖 N/A AI.C_DELl交付程序 12 AlC_DVS.1安全措施标识 13 N/A AICICD. 开发者定义的生命周期模型 N/A 14 15 AsE_cCL.I！符合性声明 16 AsE_ECcD.1扩展组件定义 ASE_INT.1sT引言 17 ASE_OB.2安全目的 18 AsE,sST评估 ASE_REQ.1陈述性的安全要求 19 N/A ASE_REQ.2推导出的安全要求 20 N/A AsE_SsPD1安全问题定义 21 AsE_Tss.1ToE概要规范 2 23 ATE_cov.1覆盖证据 ATE_COV.2覆盖分析 24 N/A ATE;测试 ATEDPT.1测试:基本设计 25 N/A ATE_FUN,1功能测试 26 21 ATE_IND.2独立测试一抽样 28 AVA;脆弱性评定 AVA_VAN.2脆弱性分析注“、/"代表在该保障级下,选择该组件 “N/A"代表在该保障级下,该组件不适用 7.3.2开发(ADV类 7.3.2.1安全架构描述(AV_ARC.1 开发者行为元素: 20
GB/T21050一2019 ADV_ARC.1.1D开发者应设计并实现TOE,确保TSF的安全特性不可旁路 ADV_ARC.1.2D开发者应设计并实现TSF,以防止不可信任主体的破坏 ADV-_ARC.1.3D开发者应提供TSF安全架构的描述内容和形式元素: ADV_ARC.1.1C安全架构的描述应与在TOE设计文档中对SFR-执行的抽象描述的级别一致 ADV_ARC.1.2C安全架构的描述应描述与安全功能要求一致的TsF安全域 ADV_ARC.1.3C安全架构的描述应描述TSF初始化过程为何是安全的 ADV_ARC.1.4C安全架构的描述应证实TSF可防止被破坏 ADV_ARC.1.5C安全架构的描述应证实TSF可防止SFR-执行的功能被旁路评估者行为元素: ADV_ARC.1.lE评估者应确认提供的信息符合证据的内容和形式要求 7.3.2.2安全执行功能规范(ADv_FSP.2 开发者行为元素: ADv_FsP.2.ID开发者应提供一个功能规范 ADv_FSP.2.2D开发者应提供功能规范到安全功能要求的追溯关系内容和形式元素功能规范应完整描述TsF ADV_FSP.2.1C 功能规范应描述所有的TSFI的目的和使用方法 ADV_FSP.2.2C 功能规范应识别和描述每个TsFI相关的所有参数 AV_FSP,2.3C ADv_FSP2.4Cc对于每个SFR执行TsFI,功能规范应描述TsFI相关的SFR执行行为 ADv_FsP.2.5c对于sFR-执行TsFI,功能规范应描述由sFR-执行行为相关处理而引起的直接错误消息 ADv_FsP.2.6c功能规范应证实安全功能要求到TsFI的追溯评估者行为元素 ADV_FsP.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ADv_FSP.2.2E评估者应决定功能规范是TOE安全功能要求的一个准确且完备的实例化 7.3.2.3带完整摘要的功能规范(ADw_FsP.3 开发者行为元素: ADV_FSP.3.1D开发者应提供一个功能规范 ADV_FSP.3.2D开发者应提供功能规范到安全功能要求的追溯内容和形式元素 ADV_FSP3.1C功能规范应完全描述TSF ADV_FSP.3.2C功能规范应描述所有的TSFI的目的和使用方法 ADV_FSP.3.3C功能规范应识别和描述每个TSFI相关的所有参数 ADV_FSP.3.4C对于每个SFR-执行TsFI,功能规范应描述TSF相关的SFR-执行行为 ADV_FSP.3.5C对于每个SFR执行TsSFI,功能规范应描述与TsFI的调用相关的安全实施行为和异常而引起的直接错误消息 ADV_FSP.3.6C功能规范需总结与每个TSF相关的SFR-支撑和SFR-无关的行为 ADV_FSP.3.7C功能规范应证实安全功能要求到TSFI的追溯评估者行为元素: ADV_FSP.3.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 21
GB/T21050一2019 ADV_FSP.3.2E评估者应决定功能规范是TOE安全功能要求的一个准确且完备的实例化 7.3.2.4基础设计(ADv_TDs.1 开发者行为元素: ADV_TDS.1.1D开发者应提供TOE的设计 ADV_TDs.1.2D开发者应提供从功能规范的TSFI到TOE设计中获取到的最低层分解的映射内容和形式元素: ADV_TDs.1.1c设计应根据子系统描述TOE的结构 ADv_TDs.1.2C设计应标识TSF的所有子系统 ADV_TDS.1.3C设计应对每一个SFR-支撑或sFR-无关的子系统的行为进行足够详细的描述以确定它不是SFR-执行 ADV_TDS.1.4C设计应概括sFR执行子系统的SFR-执行行为，设计应描述TsF的sFR执行子系统间的相互作用和TsF的sFR执行子系统 ADV_TDS.1.5C 与其他TsF子系统间的相互作用 ADV_TDS.1.6C映射关系应证实TOE设计中描述的所有行为能够映射到调用它的TSF 评估者行为元素: ADV_TDs.1.1E评估者应确认提供的信息满足证据的内容与形式的所有要求 ADV_TDS.1.2E评估者应确定设计是所有安全功能要求的正确且完备的实例 7.3.2.5结构化设计(AV_TDSs.2 开发者行为元素: ADV_TDS.2.1D开发者应提供TOE的设计 ADV_TDs,2.2D开发者应提供从功能规范的TSF1到TOE设计中获取到的最低层分解的映射内容和形式元素: ADV_TDS.2.1C设计应根据子系统描述TOE的结构 ADV_TDS.2.2C设计应标识TSF的所有子系统 ADv_TDS.2.3C设计应对每一个TSF的sFR-无关子系统的行为进行足够详细的描述,以确定它是与SFR无关 ADV_TDs.2.4C设计应描述sFR-执行子系统的SFR执行行为 ADV_TDs.2.5C设计应概括sFR执行子系统的sFR支撑和SFR-无关行为 ADv_TDs.2.6C设计应概括sFR-支撑子系统的行为 AD_TDS.2.7c设计应描述TSF所有子系统间的相互作用 ADv_TDs.2.8C映射关系应证明TOE设计中描述的所有行为能够映射到调用它的TsF 评估者行为元索评估者应确认提供的信息满是证据的内容与形式的所有要求 AV_TDS.2.1E ADV_TDS.2.2E评估者应确定设计是所有安全功能要求的正确且完全的实例 7.3.3指导性文件(AGD类 7.3.3.1操作用户指南(AGD_oPE.1) 开发者行为元素: AGD_OPE.1.1lD开发者应提供操作用户指南内容和形式元素: 22
GB/T21050一2019 AGD_OPE.1.1C操作用户指南应对每一种用户角色进行描述,在安全处理环境中应被控制的用户可访问的功能和特权,包含适当的警示信息 AGD_OPE.1.2C操作用户指南应对每一种用户角色进行描述,怎样以安全的方式使用TOE提供的可用接口 AGD_oPE.1.3Cc操作用户指南应对每一种用户角色进行描述,可用功能和接口,尤其是受用户控制的所有安全参数,适当时应指明安全值 AGD_OPE.1.4C操作用户指南应对每一种用户角色明确说明,与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变TSF所控制实体的安全特性 AGD_OPE.1.5C操作用户指南应标识TOE运行的所有可能状态(包括操作导致的失败或者操作性错误),它们与维持安全运行之间的因果关系和联系 AGD_OPE.1.6C操作用户指南应对每一种用户角色进行描述,为了充分实现ST中描述的运行环境安全目的所应执行的安全策略 AGD_OPE.1.7C操作用户指南应是明确和合理的评估行为元素 AGD_OPE.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.3.2准备程序(AGD_PRE.1) 开发者行为元素 AGD_PRE.1.1D开发者应提供TOE,包括它的准备程序内容和形式元素: AGD_PRE.1.1C准备程序应描述与开发者交付程序相一致的安全接收所交付ToE必需的所有步骤 AGD_PRE.1.2C准备程序应描述安全安装TOE以及安全准备与ST中描述的运行环境安全目的一致的运行环境必需的所有步骤评估者行为元索: AGD_PRE,1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 AGD_PRE.1.2E评估者应运用准备程序确认ToE运行能被安全的准备 7.3.4生命周期支持(ALcC类) 7.3.4.1cM系统的使用ALc_Cc.2) 开发者行为元素: ALC_CMC.2.1D开发者应提供TOE及其参照号 ALC_CMC.2.2D开发者应提供CM文档 ALC_CMC.2.3D开发者应提供CM系统内容和形式元素: 应给ToE标注唯一参照号 AIC_CMC.2.1C ALc_CMC.2.2cCCM4文档应描述用于唯一标识配置项的方法 ALc_CMC.2.3CcM系统应唯一标识所有配置项评估者行为元素: ALC_CMC.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.4.2授权控制AI.c_CMC.3) 开发者行为元素: 23
GB/T21050一2019 ALC_CMC.3.1D开发者应提供TOE及其参照号 AL.C_CMC.3.2D开发者应提供CM文档 ALC_CMC.3.3D开发者应使用CM系统内容和形式元素: AI.C_CMC.3.1C应给TOE标注唯一参照号 AL.C_CMC.3.2CCM文档应描述用于唯一标识配置项的方法 .CMC.3.3CCM系统应唯一标识所有配置项 .CMC.3.4CCM系统应提供措施使得只能对配置项进行授权变更 AlC_CMC.3.5CCM文档应包括一个CM计划 ALC_CMC.3.6CCM计划应描述CM系统是如何应用于TOE的开发过程 AIC_CNMC.3.7C证据应证实所有配置项都正在CM系统下进行维护 AIC_CMC.3.8C证据应证实CM系统的运行与CM计划是一致的评估者行为元素: AIC_CMC.3.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.4.3部分TOECM覆盖(ALCCMS.2 开发者行为元素 ALc_CMs.2.1D开发者应提供ToE配置项列表内容和形式元素 ALc_CMs.2.1c配置项列表应包括:ToE本身、安全保障要求的评估证据、ToE的组成部分 ALc_CMs.2.2C配置项列表应唯一标识配置项 ALc_CMs.2.3C对于每一个TSF相关的配置项,配置项列表应简要说明该配置项的开发者评估者行为元素 ALc_CMs,2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.4.4实现表示CM覆盖(ALc_CMIs.3) 开发者行为元素: AIc_CMS.3.1D开发者应提供TOE配置项列表内容和形式元素: ALc_CMS.3.1C配置项列表应包括:TOE本身、安全保障要求的评估证据、TOE的组成部分和实现表示 ALC_CMS.3.2C配置项列表应唯一标识配置项 ALc_CMS.3.3C对于每一个TS相关的配置项,配置项列表应简要说明该配置项的开发者评估者行为元素: ALC_CMS.3.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.4.5交付程序(ALc_DEL.1 开发者行为元素 ALC_DEL.1.ID开发者应将ToE或其部分交付给消费者的程序文档化. ALC_DEL.1.2D开发者应使用交付程序内容和形式元素: AIC_DELl.1C交付文档应描述,在向消费者分发TOE版本时,用以维护安全性所必需的所有程序 24
GB/T21050一2019 评估者行为元素 ALC_DEL.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.4.6安全措施标识(AL.C_Vs.1) 开发者行为元素 ALc_DVs.1.l开发者应提供开发安全文档内容和形式元素 ALc_DVvs.1.1c开发安全文档应描述在ToE的开发环境中,保护ToE设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的及其他方面的安全措施评估者行为元素 ALc_Dvs.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ALc_DVs.1.2E评估者应确认安全槽施正在被使用 7.3.4.7开发者定义的生命周期模型(ALC_LCD.1 开发者行为元素 ALC_LCD.1.1D开发者应建立一个生命周期模型,用于TOE的开发和维护 ALC_LCD.1.2D开发者应提供生命周期定义文档内容和形式元素: ALC_I.CD.1.1C生命周期定义文档应描述用于开发和维护TOE的模型 ALC_LCD.1.2C生命周期模型应为TOE的开发和维护提供必要的控制评估者行为元素: ALC_LCD.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.5S评估(ASE类) 7.3.5.1符合性声明(ASE_cCL.1 开发者行为元素 ASE_cCL.1.lD开发者应提供符合性声明 ASE_CCL.1.2D开发者应提供符合性声明的基本原理内容和形式元素 ASE_cCL.1.1cT应声明其与GB/18336符合性,标识出ST和TOE的符合性遵从的 GB/T18336的版本 AsE_CCL.1.2C符合性声明应描述sT与GB/T18336.2一2015 的符合性，无论是与 GB/T18336.2一2015相符或还是对GB/T18336.2一2015的扩展 ASE_cCLl.3c符合性声明应描述sT与GB/T18336.3一2015的符合性，无论是与 GB/T18336.3-2015相符还是对GB/T18336.3-2015的扩展符合性声明应与扩展组件定义是相符的 ASE_CCL.1.4C AsE_CCI.l.5C符合性声明应标识ST声明遵从的所有PP和安全要求包 AsE_CCL1.6C符合性声明应描述sT和包的符合性,无论是与包相符或是与扩展包相符 ASE_CCL.1.7C符合性声明的基本原理应证实TOE类型与符合性声明所遵从的PP中的TOE 类型是相符的 ASE_CCLl.8C符合性声明的基本原理应证实安全问题定义的陈述与符合性声明所遵从的PP 中的安全问题定义陈述是相符的 25
GB/T21050一2019 ASE_CCL1.9C符合性声明的基本原理应证实安全目的陈述与符合性声明所遵从的PP中的安全目的陈述是相符的 ASE_CCL.1.10C符合性声明的基本原理应证实安全要求的陈述与符合性声明所遵从的PP中的安全要求的陈述是相符的评估者行为元素 ASE_CCL.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.5.2扩展组件定义(ASEECD.1 开发者行为元素: ASE_ECD.1.1D开发者应提供安全要求的陈述 ASE_ECD.1.2D开发者应提供扩展组件的定义内容和形式元素 ASE_ECD.1.1C安全要求陈述应标识所有扩展的安全要求 AsE_ECD.1.2C扩展组件定义应为每一个扩展的安全要求定义一个扩展的组件扩展组件定义应描述每个扩展的组件与已有组件、族和类的关联性 ASE_ECD,1.3C AsE_ECD.1.4c扩展组件定义应使用已有的组件、族,类和方法学作为陈述的模型 ASE_CD.1.5C扩展组件应由可测量的和客观的元素组成,以便于证实这些元素之间的符合性或不符合性评估者行为元素 AsE_ECD.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ASE_ECD.1.2E评估者应确认扩展组件不能利用已经存在的组件明确的表达 7.3.5.3ST引言(ASE_INT.1 开发者行为元素 AsE_INT.1.1D开发者应提供sT引言内容和形式元素 ASEINT.1.1cS引言应包含sT参照号、TOE参照号、TOE概述和ToE描述 ASE_INT.1.2CsT参照号应唯一标识sT ASEINT.1.3CTOE参照号应标识ToE ASE_INT.1.4CTOE概述应概括TOE的用法及其主要安全特性 ASEINT.1.5CTOE概述应标识TOE类型 ASE_INT.1.6CTOE概述应标识任何TOE要求的非TOE范围内的硬件/软件/固件 ASE_INT.1.7CTOE描述应描述TOE的物理范围 ASE_INT.1.8CToE描述应描述TOE的逻辑范围评估者行为元素 ASE_INT.1.lE评估者应确认所提供的信息满足证据的内容和形式的所有要求 ASE_INT.1.2E评估者应确认TOE参考、TOE概述和TOE描述是相互一致的 7.3.5.4安全目的(ASE_oB.2 开发者行为元素 ASE_OB.2.1D开发者应提供安全目的的陈述 ASE_OB.2.,2D开发者应提供安全目的的基本原理内容和形式元素: 26
GB/T21050一2019 ASE_OB.2.1C安全目的的陈述应描述TOE的安全目的和运行环境安全目的 ASE_OB].2.2C安全目的基本原理应追溯到TOE的每一个安全目的,以便于能追溯到安全目的所对抗的威胁及安全目的实施的组织安全策略 ASE_OB].2.3C安全目的基本原理应追溯到运行环境的每一个安全目的,以便于能追溯到安全目的所对抗的威胁、安全目的实施的组织安全策略和安全目的支持的假设 ASE_OB].2.4C安全目的基本原理应证实安全目的能抵抗所有威胁 ASE_OB.2.5C安全目的基本原理应证实安全目的执行所有组织安全策略 ASE_OB].2.6C安全目的基本原理应证实运行环境安全目的支持所有的假设评估者行为元素: ASE_OB.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.5.5陈述性的安全要求(ASE_REQ.1 开发者行为元素: ASE_REQ.1.lD开发者应提供安全要求的陈述 ASE_REQ.1.2D开发者应提供安全要求的基本原理内容和形式元素 AsE_REQ.1.1c安全要求的陈述应描述安全功能要求和安全保障要求 AsE_REQ.1.2C应对安全功能要求和安全保障要求中使用的所有主体、客体,操作,安全属性、外部实体及其他术语进行定义 AsE_REQ.1.3c安全要求的陈述应对安全要求的所有操作进行标识 AsEREQ.1.4C所有操作应被正确地执行 AsE_REQ.1.5C应满足安全要求间的依赖关系,或者安全要求基本原理应证明不需要满足某个依赖关系 AsE_REQ.1.6c安全要求的陈述应是内在一致的评估者行为元素 ASE_REQ.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.5.6推导出的安全要求(ASE_RsQ.2) 开发者行为元素 ASE_REQ.2.1D开发者应提供安全要求的陈述 ASE_REQ.2.2D开发者应提供安全要求的基本原理内容和形式元素: ASE_REQ.2.1C安全要求的陈述应描述安全功能要求和安全保障要求 ASE_REQ.2.2C应对安全功能要求和安全保障要求中使用的所有主体、客体、操作,安全属性、外部实体及其他术语进行定义 ASE_REQ.2.3C安全要求的陈述应对安全要求的所有操作进行标识 ASE_REQ.2.4C所有操作应被正确地执行 ASE_REQ.2.5C应满足安全要求间的依赖关系,或者安全要求基本原理应证明不需要满足某个依赖关系 ASE_REQ.2.6C安全要求基本原理应描述每一个安全功能要求可追溯至对应的TOE安全目的 ASE_REQ.2.7C安全要求基本原理应证实安全功能要求可满足所有的ToE安全目的 ASE_REQ,2.8C安全要求基本原理应说明选择安全保障要求的理由 ASE_REQ.2.9C安全要求的陈述应是内在一致的 27
GB/T21050一2019 评估者行为元素 ASE_REQ.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.5.7安全问题定义(ASE_sPD.1) 开发者行为元素 ASE_SPD.1.1D开发者应提供安全问题定义内容和形式元素: ASE_SPD,.1.1c安全问题定义应描述威胁 AsE_SPD.1.2c所有威胁应按照威胁主体、资产及攻击行为进行描述安全问题定义应描述组织安全策略 ASE_SPD.l.3C ASE_SPD,.1.4C安全问题定义应描述有关ToE操作环境的假设评估者行为元素评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.5.8IoE概要规范(ASE_Tss.1 开发者行为元素 ASE_TSS.1.1D开发者应提供TOE概要规范内容和形式元素 AsE_TsS.1.1CTOE概要规范应描述TOE是如何满足每一项安全功能要求的评估者行为元素 ASE_TsS.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ASE_Tss.1.2E评估者应确认TOE概要规范与ToE概述、TOE描述是一致的 7.3.6测试(ATE类 7.3.6.1覆盖证据(ATE_cov.1) 开发者行为元素 ATE_cOV.1.1D开发者应提供测试覆盖的证据内容和形式元素: ATE_cOV.1.1c测试覆盖的证据应表明测试文档中的测试与功能规范中的TSF接口之间的对应性评估者行为元素 ATE_cov.1.1E评估者应确认提供的信息满足证据的内容和形式的要求 7.3.6.2覆盖分析(ATE_COV.2 开发者行为元素 ATE_COV.2.ID开发者应提供对测试覆盖的分析内容和形式元素: ATECOV.2.1C测试覆盖分析应论证测试文档中的测试和功能规范中描述的网络交换机安全功能间的对应性 ATECOV.2.2C测试覆盖分析应论证已经对功能规范中所有安全功能接口都进行了测试评估者行为元素 ATE_COV.2.1E评估者应确认提供的信息满足证据的内容和形式的要求 28
GB/T21050一2019 7.3.6.3测试;基本设计(ATE_DPT.1 开发者行为元素: ATE_DPT.1.ID开发者应提供测试深度分析内容和形式元素: ATE_DPT.1.1C测试深度分析应证实测试文档中的测试与TOE设计中TSF子系统之间的对应性 ATE_DPT.1.2C测试深度分析应证实TOE设计中所有TSF子系统都已经进行过测试，评估者行为元素: ATE_DPT.1.1E评估者应当确认提供的信息满足证据的内容和形式的要求 7.3.6.4功能测试ATE_FUIN.1) 开发者行为元素 ATE_FUN.1.ID开发者应测试TSF,并文档化测试结果 ATE_FUN.1.2D开发者应提供测试文档内容和形式元素 ATE_FUN.1.1c测试文档应包括测试计划、预期的测试结果和实际的测试结果 ATE_FUN.1.2c测试计划应标识要执行的测试并描述执行每个测试的方案,这些方案应包括对于其他测试结果的任何顺序依赖性 ATE_FUN.1.3C预期的测试结果应指出测试成功执行后的预期输出 ATE_FUN.1.4Cc实际的测试结果应和预期的测试结果一致评估者行为元素 ATE_FUN.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.6.5独立测试一抽样ATE_IND.2) 开发者行为元素 ATE_IND.2.1D开发者应提供用于测试的TOE 内容和形式元素 ATE_IND,2.1CTOE应适合测试 ATE_IND.2.2C开发者应提供一组与开发者TSF功能测试中同等的一系列资源评估者行为元素: ATE_IND.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ATE_IND.2.2E评估者应执行测试文档里的测试样本,以验证开发者测试的结果 ATE_IND.2.3E评估者应测试TSF的一个子集以确认TSF按照规范运行 7.3.7脆弱性评定(AVA类》脆弱性分析(AVA_VAN.2的安全保障要求如下: 开发者行为元素 AVA_VAN.2.1D开发者应提供用于测试的TOE 内容和形式元素: AVA_VAN.2.1CTOE应适合测试评估者行为元素: AVA_VAN.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 29
GB/T21050一2019 AVAVAN.2.2E评估者应执行公共领域的调查以标识ToE的潜在脆弱性 AVA_VAN.2.3E评估者应执行独立的TOE脆弱性分析去标识TOE潜在的脆弱性,在分析过程中使用指导性文档,功能规范、TOE设计和安全结构描述 AVA_VAN.2.4E评估者应基于已标识的潜在脆弱性实施穿透性测试,判定TOE能抵抗具有基本攻击潜力的攻击者的攻击 8 基本原理 8.1安全目的基本原理 8.1.1威胁对应安全目的 8.1.1.1 概述表4说明了网络交换机的安全目的能应对所有可能的威胁表4威胁与ToE安全目的的对应关系威胁序号安全目的 T.Analysis O.Ctrl_Channel,O.Deteet_Conneetion,O.Mgmt_Path,O.Protect_Addresses T.Audit_Compromise O.Audit_Protection T.Capture O.CtrlLChannel.O.Deteet_Conneetion,O.Mgmt_Path .P'ioriy-of_Servite,o.Potet_Addlreses,O. ..Tmf O.AuditReview,(O. T.ComprotmisedNode Audit,O.TrustedRecovery T.Covert O.LUnusedFields o.CtrLChannel,o.M Path T.Cryptanalytie lgm_ T.Denial O.CtrLChannel,O.Priority_o_Service,o.Replay_Prevent,0,.Traf_Audit O.Alarm,O.Fail_Secure,O.Trust_Backup,O.Trusted_Recovery,O.Update T.Fat Validation T.Flaw 0.Lifecycle,O.Patches,O.Update_Validation,O.Self_Test 1&.A.O.TrustBackup,o. (O.AdmminAudit，(O.AuditReview,O. .Memt-" 9 T.Hostile_Admin TrustedRecovery 11 T.Mgmt_Eror O.AdminAudit， .o.c鼠_Mhnmge.o.TstLBaekp.o.TrustedReoversy 12 T.Modify 0.AttrMgt,O.CtrlChannel,O.TrustedRecovery,O.UpdateValidationm 13 T.NtwkMap O.CtrlChannel,O.Deteet_Conneetion,O.Protect_Addresses,O.Mgmt_Path O.Access_Control,O.Ctrl_Channel.O.Ctrl_I8.A,O.Detect_Conneetion,O 14 T.Replay Attack Mgmt_I&.A,O.Replay_Prevent 15 T.SelL_Pro 0.SelL_Pro 16 o.ctrLI&.A,o.Deteet_Connetion,O.Mgmt_I&.A.o.Protet_Addresses T.Spoof Control，OAdmin_Audit，O.AuditReview，O.Detect O.Access 17 T.Unauth_Mgmt_Access Connretion.o.MgmLI&.A.o.TrusLBackup.o.TrustedReovery 30
GB/T21050一2019 8.1.1.2通信分析(T.Analysis 攻击者可能收集源和目标地址、大量数据和发送数据的日期、时间 O.CtrL_Channel;控制数据的可信通道 o.CrLChanel减轻T.Analysi、的威胁，是通过保持控制信息的保密性以及支持加密机制来实现 o.Detect_connection;检测非授权连按 O.DetectConnection 抵抗T.Analysis的威胁,是通过网络交换机所具备的检测和警报未授权连接的能力来实现 O.Mgmt_Path管理数据的可信路径 O.Mgmt_Path抵抗T.Analysis的威胁,是通过保证所有管理数据的完整性和保密性来实现 0.Proteet_Addresses;地址保护 O.Proteet_Addresse抵抗T.Analysis的威胁,是通过保护资源和接受的授权地址的保密性和完整性,从而防止攻击者发现真实地址来实现 8.1.1.3审计机制失效(T.Audit_Compromise 恶意用户或进程可能修改ToE审计策略,使ToE审计功能停用或失效、审计记录丢失或被篡改也有可能通过审计数据存储失效来阻止未来审计记录被存储,从而掩盖用户的操作 0.Audit_Protection;审计数据保护 o.Audit_Protection抵抗T.Audit_Compromise的威胁,是通过对审计数据的保护防止审计机制失效来实现 8.1.1.4未授权网络访问并获取数据(T.Capturey 攻击者可能偷听、接人传输线或用其他方式获取通信信道上传输的数据 o.CtrlL_Channel;控制数据的可信通道 O.CtrlL_Channel抵抗T.Capture的威胁,是通过保证控制信息的保密性和完整的持续力来实现 O,.Deteet_Connection;检测非授权连接 0.Detect_Connection抵抗T.Capture的威胁,是通过具备对任何未授权连接的检测能力来实现 O.Mgmt_Path管理数据的可信路径 O.Mgmt_Path抵抗T.Capture的威胁,是通过为管理数据通信提供一个可信路径,以便阻碍攻击者试图获得网络管理数据 8.1.1.5节点泄露(T.CompromisedNode) 修改网络交换机配置文件或路由表使得节点变得不安全,导致网络交换机运行异常、网络交换机安全功能失效或流量可能被重路由经过未授权的节点 O.Adi_Review;审计记录查阅 O.Adit_Review抵抗T.CompromisedNode的威胁,是通过审阅和分析流量的审计记录,从而发现异常的网络流量模式 O.Priority_Of_Serviee;提供服务优先级 o.Priority_oE_Serviee抵抗T.Compromised_Node的威胁,是通过提供服务优先级的控制和执行从而避免仅对一个指定的优先级的传输流量的节点进行操作的尝试 O.Prot Addres sses;地址保护 tect o.ProteetLAddrese抵抗T.(CompromisedL_Node的威胁,是通过保证地址的保密性和完整性 31
GB/T21050一2019 O.Traf_Audit;带标识的审计流量记录 o.Traf_Audit与O.Audit_Review联合抵抗T.Compromised_Node的威胁,是通过流量记录的产生来获取持续的异常行为的能力 O,Trusted_Reeovery;可信的恢复 O.TrustedReco overy减轻T.CompromisedLNode的威胁,是通过保证在除了危及到网络交换机安全的情况下,并且在破坏或中断操作之后,网络交换机能够恢复到一个安全状态 8.1.1.6隐通道(T.Coert) 隐通道通常在隐蔽区域中隐藏信息,其目的是用于传送信息不被监控 O.Unused_Fields:未用区域 O.,UnusedL_Fields对T.Covert威胁的直接抵抗,在于任何未用区域被阻塞或适当地调整,以便它们不能被用于隐藏和传输信息 8.1.1.7 密码分析(T.Cryptanalytie) 攻击者为了复原信息内容而去尝试进行已加密数据的密码分析 o.CrlL_Channel控制数据的可信通道 o.CirlLChanel抵抗T.Cyptanalytic的威胁,是通过加密机制的支持和控制信息完整性的持绒力,从而保证控制信息的保密性 O.Mgmt_Path管理数据的可信路径 o.Mgmt_Path抵抗T.Cryptanalytic的威胁,是通过加密机制的支持和管理数据完整性的持续力从而保证管理数据的保密性 8.1.1.8拒绝服务(T.Denial) 攻击者通过执行指令、发送超限额的高优先级流量数据或执行其他操作,在网络上造成不合理的负载,造成授权客户得不到应有的系统资源,即导致拒绝服务 O.Ctrl_Channel:控制数据的可信通道 O,CtrlL_Channel抵抗T.Denial的威胁,是通过保证控制信息的完整性,从而使其他客户无法通过执行其他操作而获得资源 O.Priority_O_Service;提供服务优先级 O.Priority_Of_Service抵抗T.Denial的威胁,是通过控制和加强服务预设的优先级,从而确保一个流量的优先级将不会过度干涉或延迟服务提供的不同优先级的流量 O.Replay_Prevent;避免重放攻击 0.Replay_Prevent抵抗.Denial的威胁,是通过阻碍消耗网络资源的重放信息网络交换机阻碍重放信息的能力,将有助于保证网络资源对于授权客户是有效的 0.Traf_Audit:带标识的审计流量记录 O,Traf_Audit减少T.Denial的威胁,是通过获取流量统计表,来帮助识别独占网络资源的网络交换机 8.1.1.9部件或电源失效(T.Fail) -个或多个系统部件或电源失效可能造成重要系统功能破坏和重要系统数据的丢失 O.Alarm;安全风险报警通知 O.Alarm减少T.Fail的威胁,是通过允许纠正错误或失败行为产生迅速响应实现 O.FailSecure:故障发生时安全状态的保存 32
GB/T21050一2019 O.FailLSecure有助于抵抗T.Fail的威胁,是通过保证网络交换机和网络交换机安全功能能够恢复到安全状态实现 O.Trust_Backup:系统数据备份的完整性和保密性 O.TrustL_IBaekup减少T.Fail的威胁,是通过确保产生网络数据的复制版本,这样能够快速地使网络交换机和网络交换机的安全功能恢复到正确的操作 O.Trusted_Recovery;可信的恢复 O.TrustedRecovery 减少T.Fail的威胁,是通过保证除了在危及网络交换机安全的情况下,并且在操作被中断之后,网络交换机能够恢复到一个安全状态 o.Trusted_Recovery也保证在使系统重新 -体化的时候,取代失败的组件,这样将恢复为不会引起错误或造成对网络的其他部分的安全破坏 O.Update_Validation:更新验证 O.Update_Validation抵抗T.Fail的威胁,是通过对更新数据验证以确保更新数据是可信任的 8.1.1.10硬件、软件或固件的缺陷(T.Flaw) 硬件、软件或固件的缺陷导致网络交换机及其安全功能的脆弱性 O.Lifecycle:生命周期安全 o.Lifeyele减少T.Flaw的威胁,是通过保存贯穿网络交换机整个可操作的生命周期中的网络交换机安全功能的正确操作 o.Patehes;安全修复和补丁 o.Patches减少T.Flaw的威胁,是通过保证大多数最新的修复和补丁被安装,从而确保能够抵抗网络交换机和网络交换机安全功能的缺陷 0.selTest网络交换机及其安全功能的测试 o.self_Test减少T.Flaw的威胁,是通过发现那些隐藏操作或危及网络交换机和网络交换机安全功能脆弱性的缺陷 o.Update_Validation;更新验证 0.Update_Validation减少T.Flaw的威胁,是通过对更新数据验证确认完整性、正确的安装和所有软硬固件的作用,从而有助于识别出那些可以引起网络交换和网络交换机安全功能脆弱性的缺陷 8.1.1.11管理员网络授权的滥用(r.Hostile_Admin) 网络配置管理员或网络安全管理员有意滥用授权,进行不适当地存取或修改数据信息,例如,配置数据、审计数据、口令文件或误处理其他的敏感数据文件 O,.Admin_Audit;带标识的审计记录 O.Admin_Audit抵抗T.Hostile_Admin的威胁,当知晓行为和身份会被监控和记录,那么被滥用特权的威胁就会减少 O .AuditReview;审计记录查阅 O.AuditReview碱少T.Hostile_Admin的威胁,通过行为被周期性地监控和审阅 O.Mgmt_I&.A;管理标识和鉴别 O.Mgmt_I&.A减少T.Hostile-_Admin的威胁,是通过在审计记录中获取对网络管理人员的标识 O.TraLBackup;系统数据备份的完整性和保密性 0.Trust_Backup减少T.Hostile-_Admin的威胁,是通过保证网络文件的复制如果主要系统失效,那么被复制的系统能够迅速地进人操作中,从而保证操作的连续性或者,如果网络文件没有储存在次要的管理站,而是另一个存储设备,那么网络参数仍然被保存着 0.Trusted_Recovery;可信的恢复 O.Trusted_Recovery减少T.Hostile_Admin的威胁,是通过保证除了在危及网络交换机安全的情 33
GB/T21050一2019 况下,并且在操作被中断之后,网络能够恢复到一个安全状态 tError 8.1.1.12管理错误(T.Mgmt 拥有网络配置管理员角色的人员可能无意地不恰当存取或修改了数据信息,或误用资源 o.Admin_Audit;带标识的审计记录 O.Admin_Audit通过对错误的确认使得各种行为及其影响能够得到纠正,从而降低了T.Mgmt Eror的威胁 O.Cfg_Manage;管理配置数据 o.CIg_Manage通过获取和保持与网络交换机及网络信息的恢复有关的配置和连接信息,降低了 T.MEmt _Error的威胁 O.Trust_Backup;系统数据备份的完整性和保密性当有严重错误发生时.,0.Trust_Backup能够在首选系统恢复过程时通过第二系统继续操作,从而降低T,Mgmt_Error的威胁可信的恢复 O.TrustedRecovery:" O.Trusted_Recovery通过确保在一系列中断操作发生时,在没有安全泄露的情况下恢复到安全状态,从而降低了T.Mgmt_Eror的威胁 8.1.1.13修改协议T,Modify) 攻击者未经授权的修改或巧妙地操纵协议(例如,路由选择、信号等协议) O.Attr_Mgt:管理属性 o.Attr_Mgt碱轻了T.Modif的威胁因为网络操作管理者和网络安全管理者有特权,那么恶意的网络操作人员就有机会相对容易地进行恶意修改然而,当网络操作人员知晓其行为会被捕获和审计后,此种威胁可以有效的降低 o.CtrlLChannel;控制数据的可信通道 0.CtrlLChannel通过确保控制信息保持保密性和完整性从而减弱了T.Modify的威胁 0.TrustedRecovery;可信的恢复当T.Modify威胁引起了操作中的不连续,O,Trusted_Recovery能确保网络交换机和网络能够返回到安全状态,从而减轻了T.Modify的威胁 O.Update_Validation;更新验证 O.Update_Validation通过在运行中的网络交换机和网络中使用各种软件、硬件、固件之前对他们进行升级验证,确保了他们的完整性和操作的正确,从而减弱了T.Modify的威胁 8.1.1.14网络探测(I.NtwkMap 攻击者可能进行网络探测来获得节点地址、路由表信息和物理位置 O.Ctrl_Channel:控制数据的可信通道通过确保控制信息的保密性及完整性O.CtrLChannel减弱了T.NtwkMap的威胁 O.Detect_Connection;检测非授权连接通过对未授权连接的检测,O.De tect_Conneetion减弱了T.NtwkMap的威胁 O.Protect_Addresses;地址保护 O.PrG AddrG resses通过确保传送和接收地址的保密性和完整性减弱了TNtwkMap的威胁 rotect_ O.Mgmt_Path;管理数据的可信路径通过为所有管理数据确保可信路径,O.Mgmt_Path减弱了T.NtwkMap的威胁这种可信路径保护了数据,同时让攻击者为分析和发现网络信息,获得管理数据增加了困难 34
GB/T21050一2019 8.1.1.15重放攻击(T.Replay_Attacek 攻击者通过记录通信会话,并重放它们伪装成已验证的客户,非法获取网络交换机的访问权管理信息也可能被记录和重放,从而用于伪装成已验证的网络配置管理员或网络安全管理员来得到对网络管理资源的访问权 O.Aecess_Control访问控制机制通过强制执行访问控制机制,让攻击者获得网络交换机和网络的访问权增加了难度,从而降低了 T.Replay_Attack的威胁 O.Ctrl_Channel;控制数据的可信通道由于网络交换机支持加密机制,因此它能确保控制信息的完整性和保密性,从而降低了T.Replay Attack的威胁 o.cnL1&.A;受控标识和整则 O.Ctr_I&.A通过要求标识和鉴别,增加了攻击者获得网络交换机访问权的难度,从而降低了 T.Replay_Attack的威胁 ;检测非授权连接 O.Detect_Connection: o.Detet_Conmeetion确保了对非授权连接的检测,消除了通过记录和重放信息以获得网络交换机和网络资源访问权的可能,从而降低了T.Replay_Attack的威胁 o.Mgmt_I8.A;管理标识和鉴别 o.Mgmt_I&.A通过要求标识和鉴别,增加了攻击者获得网络管理资源的难度,从而降低了 T.Replay_Attaek的威胁 o.Replay_Prevent;避免重放攻击 o.Replay_Prevent直接对抗了T.Replay_Attack的威胁 0.Replay_Prevent确保了网络交换机能够拒绝旧的和复制的信息包,以保证其自身免受重放攻击的威胁 8.1.1.16配置数据泄露(T.Se_Pro) 攻击者可能读、修改或破坏重要的网络交换机的安全配置数据 0.SePro:自身安全配置泄露直接对抗了T.SelLPro. 8.1.1.17欺骗攻击(I.Spuof) 未授权节点可能使用有效的网络地址来尝试访问网络,即客户通过获得的网络地址来伪装成已授权的用户,企图得到网络交换机资源 0.Ctr_I8.A;受控标识和鉴别 O.CtrlLI&.A通过强制执行标识和鉴别增加了攻击者获取网络交换机访问权的困难,从而相应增加了设法执行欺骗功能的困难,因此对抗了欺骗攻击的威胁 O.Detect_Conneection;检测非授权连接 O.De Detect_Conneetion通过对未授权连接的检测阻止了攻击者企图获取网络地址的可能,从而对抗了欺骗攻击的威胁 O.Mgmt_I&.A:管理标识和鉴别 O.Mgmt_I&.A通过强制执行标识和鉴别增加了攻击者获取网络交换机访问权的困难,从而相应增加了设法执行欺骗功能的困难,因此反击了欺骗攻击的威胁 O.ProtectAddre esses;地址保护 O.Proteet_Addresses通过确保传输和接收地址的保密性和完整性,阻止了攻击者企图获得合法的 35
GB/T21050一2019 网络地址的可能,从而对抗了欺骗攻击的威胁 8.1.1.18对管理端口的非授权访问(T.Unauth_Mgmt AcceSs 攻击者或滥用特权的网络配置管理员可能通过Telnet,RMON或其他方式访问管理端口,从而重新配置网络、引起拒绝服务、监视流量、执行流量分析等 O.Access_Control:网络访问控制 O.Access_Control通过执行网络访问控制机制对特权进行了限制从而对抗了T.Uauth_Mgmtg Access的威胁 O.Admin_Audit;带标识的审计记录 O.AdminAudit通过对负有责任的网络管理人员的行为的审计减弱了T.Unauth_Mgmt_Access 滥用特权的威胁 O.Audi_Review;审计记录查阅 O.Audi_Review通过使所有的行为都被定期的审计和查阅从而减弱了T.Unauth_Mgmt_Access 的威胁 o.Detect_Connection:检测非授权连接 O,.Detect_Conneetion确保对非授权连接的检测,有助于发现对管理数据的非授权的访问,从而减弱了T.Unauth_Mgmt_Access的威胁 o.Mgmt_I&.A管理标识和鉴别 O.Mgmt_1I8.A通过要求对网络管理人员进行标识和鉴别,这些人员被审计并且与他们的行为相联系,减弱了T.Unauth_Mgmt_Access的威胁 0.Trust_Backup;系统数据备份的完整性和保密性 O.Trust_Backup通过确保网络交换机数据文件存储的保密性和完整性,降低了T.Unauth_Mgmt Aecess的威胁当有对管理数据的未授权访问发生或者网络参数被伪造时.0.Trust_Backup要求能较快的恢复 O.Trusted_Recovery:可信的恢复 0.Trusted_Recovery确保当出现中断操作时网络交换机能够返回安全状态从而减弱了T.Unauth _Access的威胁 -Mgm 8.1.2组织安全策略对应安全目的 8.1.2.1概述表5说明了网络交换机的安全目的能应对所有可能的组织安全策略表5组织安全策胳与安全目的的对应关系序号组织安全策略安全目的 o.AdminLAdi.o.CHL&A P.Accountability O.Lifecycle,O.Mgmt_I&.A,O.Traf_Audit O,Admin_Audit,O,Mgmt_I8.A， P.Adit_Admin O.Audit_Review O.AdminAudit,O.Access_Control. P.Authenticationm O.CtrL_18.A,O.Mgmt_I8.A O.Access_Control,O.Alarm,(O.Fail_Secure， 2Awailbiy 心 O,.Priority_ofService, ,o.Relay" revent 36
GB/T21050一2019 表5(续序号组织安全策略安全目的 O.CfgConfidentiality,(O.CtrChannel， P.Confidentiality O.Mgmt_Path,0.Trust_Backup P.,Default_Config 0.Truste_Reeovery O.Cfg_lntegrity,O,Cfg_Manage, P.Integrity .Ctrl_Channel,O.Mgmt_Path P.lnteroperability 0.Protocols O.Alarm P.Notify 0.Access_Control.O.Ctr_Channel 1c P,Pee .Ctrl_I8.A,(O,Protect_Addresses O,Ctrl_Channel,O,.Mgmt_Path 11 P.Reliable_Transport O.Priority_Of_Service,0.Protocols O.ReplayPrevent.O.TrafAudit O.Alarm,.Cfg ,O.FailSecure， Manage, 0.Trust_Backup,O.TrustedRecovery 12 P.Survie O.Sel_Test,O.UpdateValidation. O.Lifecycle O.Update_Validation,(O.Sel_Test， 13 P.SysAssur o.Lifecycle 8.1.2.2可核查性P.Accountability 使用网络交换机传送信息的组织、拥有网络配置管理员角色的人员和开发者应对他们的行为活动负责 O,.Admin_Audit;带标识的审计记录 O.Admin_Audit对P.Accountability的支持,是通过确认那些在网络管理系统中对他们行为负责的网络配置管理员角色审计记录将报告最小范围内的网络管理人员的身份,网络管理人员在系统中执行的行为,行为产生的时间和日期 O.CtrlLI&.A;受控标识和鉴别 O.CtrLI&.A对P.Accountability的支持,是通过与访问控制策略保持一致的标识和鉴别,来保证组织对他们的行为负责 O.Lifecycle:生命周期安全 O.Lifecycle对P.Accountability的支持,是通过确保在硬件、软件或固件版本升级时,开发者负责保持或增加安全特征 o.Mgmt_I8.A;管理标识和鉴别 O.Mgmt_I8.A对P.Accountability的支持,是通过对管理人员的标识和鉴别,来保证他们能够对他们的行为负责 0.Traf_Audit;带标识的审计流量记录 0.Traf_Audit对P.Aceountability的支持,是依据流量记录的产生和分析,保证客户能够对他们的行为负责流量记录将最小范围的标识节点,这些节点与数据传输、传输的流量大小,传输的时间和日期有关例如,当发送大于允许值更多的流量因而超过带宽,从而导致拒绝对其他客户服务的时候,审计流量记录便能体现这种组织责任 37
GB/T21050一2019 8.1.2.3审计管理行为(P.Audit_Admin) 网络管理系统应能产生和传送审计记录,审计记录应提供和包括充足的信息,用来决定在会话发生时,可识别出网络配置管理员或网络安全管理员的人员、管理日期、管理时间和管理行动等信息,审计记录应被周期性的审阅 O.Admin_Audit:带标识的审计记录 O.Admin_Audit对P.Audit_Admin的支持,是通过保证那些在网络管理系统中对他们行为负责的网络管理角色审计记录将最小范围的报告网络管理人员的标识,网络管理人员在系统中的行为,行为产生的时间和日期 O.Audi_Review;审计记录查阅 o.Audit_Review对P.Audit_Admin的支持,是通过保证审计记录的周期性审阅 O.Mgmt_I&.A:管理标识和鉴别 O.Mgmt_I&.A对P.Audit_Adnmin的支持,是通过保证在进人系统预先被建立之前,那些网络管理人员的角色被标识和鉴别 8.1.2.4操作员和节点的鉴别(P.Authemtieatiom) 网络交换机应能支持对网络审计管理员、网络配置管理员和网络安全管理员的鉴别,并且网络交换机也应支持对等节点的鉴别 O.Access_Control网络访问控制 O.Access_Control对P.A 的支持,在于鉴别动作应在访问控制策略有效的情况下 uthentication 进行 O.Admin_Audit;带标识的审计记录 o.Admin_Adit对P.Ahenticeation的支持,在于设定角色之前,为网络配置管理员或者网络管理安全管理员提供审计记录 O.CtrL_I&.A;受控标识和鉴别 O.CtrL_I8.A对P.Authentication的直接支持,是通过只有在标识和鉴别之后才允许连通性 O.Mgmt_I&.A管理标识和鉴别 O.Mgmt_1&.A对P.Authentieation的支持,在于设定一个角色之前就应进行鉴别 8.1.2.5网络可用性P.Availability 应能保证网络资源对许可客户的任务需求和传送信息需求的有效性 O.Access_Control网络访问控制 O.Access_Control对P.Availability的支持,是通过只允许对网络的授权使用所有那些未授权的访问被阻止从而预防对网络交换机和网络过度的负担 O.Alarm;安全风险报警通知 O.Alarm对P.Availability的支持,是通过检测和报警失败、错误或与安全相关的事件,来保证网络对客户是有效的警告准许对纠正问题具有迅速的响应,并且让网络被正确地操作从而再次对客户有效 O,Fail_Secure;故障发生时安全状态的保存 O.FalL_Seure对P.Availabiitry的支持,是通过保存系统在停止期间的安全状态,来保证网络的有效性 38
GB/T21050一2019 o.Priority._oL_serviee;提供服务优先级 O.Priority_OfService对P.Availability的支持,是通过保证一个客户不能消耗多于对他们处理时间和宽带的分配,从而引起网络资源对其他客户的无效 O.Replay_Prevent;避免重放攻击 O.Replay_Prevent对P.Availability的支持,是通过保证那些以前的或者被复制的信息包可以被拒绝,以便网络资源不会被过度地利用 8.1.2.6信息的保密性(P.Confidentiality 应保持统计数据、配置信息和连接信息等在实时和存储状态下的保密性为了保持其保密性,网络交换机应能够支持加密装置加解密能力或接口支持能力 O.Cfg_Confidentiality:网络配置保密性 O.Cfg_Confidentiality对P.Confidentiality的支持,是通过保证配置和连接信息是机密的 O.CtrLChannel控制数据的可信通道 0.CtrlLChannel对P.Confidentiality的直接支持,是通过保证对传输必需的控制信息的保密性 o.MemL_Pah,管理数据的可信路径 O.Mgmt_Path对P.Confidentiality的直接支持,是通过保证网络管理数据的保密性 0.Trust_Backup:系统数据备份的完整性和保密性 0.Trust_Backup对P.Confidentiality的直接支持,是通过保证被存储的网络文件和配置参数的保密性 8.1.2.7默认配置(P.Default_config 网络交换机的默认设置应能防止网络交换机安全性功能的削弱或失效所有有助于网络交换机安全性的功能应是默认生效的 0.Trusted_Recovery;可信的恢复 0.Trusted_Recovery对P.Default_Config的支持,是通过保证失败时对安全状态的恢复如果恢复为默认的设置,那么网络的安全性将被保存 8.1.2.8内容的完整性(P.Integrity) 管理和控制信息在传输期间应保持其内容的完整性，同时,所有信息要保持其储存状态下的完整性 O.Cfg_Integrity;配置完整性 O.Cfg_Integrity对P.Integrity的支持,是通过保证与网络交换机保持内容完整性,储存状态下的信息也同样保持完整性 O.Cfg_Manage:管理配置数据 O.Cfg_Manage对P.lntegrity的支持,是通过保证在储存状态下的网络管理信息的完整性 o.CtrlL_Channel;控制数据的可信通道 o.CtrlLChannel对P.Intcgrity的支持,是通过保证那些控制信息保持它的完整性,以便保证它对等网络交换机之间的传递 O.Mgmt_Path管理数据的可信路径 O.Mgm_Path对P.Integrity的支持,是通过保证网络管理信息保持其完整性,以便保证它在网络交换机和网络管理站之间传递 S
GB/T21050一2019 nbit 8.1.2.9互操作性(P.Interoperan ity 网络交换机应能与其他厂商的网络交换机互连互通在网络交换机中要实现标准化的,非专有的协议(如路由选择、信令协议等) 厂商可以选择性地实现一些专有协议,但为了互通的目的厂商也应在网络交换机中实现标准协议 O.Protocols;协议 O.Protocols对P.Inm rabiity的支持,是通过保证在网络交换机中协议被执行以达到互操作 nteropera 性的目的 8.1.2.10故障通告(P.Notify 网络交换机及其安全环境应具备(或在其他设备配合下具备)提醒和报警能力,例如,通过SNMP 第3版的陷门机制发送部件,固件,硬件或软件的失败通知 O.Alarm;安全风险报警通知 0.Alarm对P.Notify的支持,是通过保证对于任何组件的失败或错误,都具备检测和报警的能力 8.1.2.11对等节点(P.Peer) 安全的节点应有接受来自信任和不信任节点流量的能力为了保护信息,流量将会在信任和不信任的节点之间被过滤 O.Access_Control.网络访问控制 O.Access_Control对P.Peer的支持,是通过保证那些仅被授权的人员能够获取对安全节点的访问 o.CtrlLChannel:控制数据的可信通道 O.CtrlL_Channel对P.Peer的支持,是通过保证在对等网络交换机之间传递的所有控制数据的完整性和保密性 O.CtrL_I&.A;受控标识和鉴别 0.CtrLI&.A与O.Access_Control联合支持P.Peer O.CtrlL_I&.A保证只有对于被授权的实体才提供连通性,并且与访问控制策略保持一致,要求实体已经被正确地标识和授权 O.Protect_Addresses;地址保护假定传送和接受经授权的实体地址具备其保密性和完整性,O,Protect_Addresses保证流量将会在信任和不信任的网络交换机之间传递 8.1.2.12可靠传输(P.Reliable_IransporD) 网络管理和控制应实现特定的可靠传送和检错机制协议 O.CtrlLChannel控制数据的可信通道 0.CtrL_Channel对P.Reliable_Transport的支持,是通过保证有能力对收到的信息进行校验的控制数据的完整性 O.Mgmt_Path管理数据的可信路径 O.MgmtL_Path对P.Reliable_Transport的支持,提供独立的可信信道,以保证网络交换机和网络管理站之间传输信息的完整性和保密性 O.Priority_OfService;提供服务优先级 O.Priority_Of_Serviee对P.Reliable-Transport的支持,是通过按照设备提供服务优先级的规定，保证信息的可信靠传输 O.Protocols;协议 40
GB/T21050一2019 O.Protocol对P.Reliable_Transport的支持,是通过保证在网络交换机中标准协议被正确执行以便保证流量的可靠传输 O.Replay_Prevent;避免重放攻击 O.Replay_Prevent对P Reliable_Transport的支持,是通过保证以前的和复制的信息包能够被检测和拒绝,因而这些信息包不能够干涉到其他的通信 O.Traf_Audit;带标识的审计流量记录 O.Traf_Audit对P.Reliable_Transport的支持,是通过记录和分析网络流量的统计表,来保证流量通信的可靠性 8.1.2.13网络可生存性与恢复(P.Surive 网络资源应能够从恶意的破坏尝试中恢复,同时应具有从传输错误中恢复的能力网络应能抵御硬件或软件失效,或具有在合理时间内复原的能力用于恢复的任何环境都应被记录下来 O.Alarm;安全风险报警通知 O.Alarm对P.Surive的支持,是通过网络交换机对安全相关事件如失败或错误提供的报警能力并且要求对纠正问题、恢复网络交换机以及将网络交换机的安全功能恢复到操作的正常状态,从而保证网络交换机和网络交换机安全功能的可生存性 O).(Cfg_Manage;管理配置数据 o.ci_Manage对卫.survive的支持,是通过保证配置和连接信息的持续性和信息的存储完整性在这种方式下,任何必需的网络配置都能够被迅速地重建,来帮助提高其可生存性 o.FailL_Secure;故障发生时安全状态的保存 o.FaiSecure对PSurvive的支持,是通过在组件或行动失败的事件中保持系统的安全状态,来提供弹性和可生存性 O.Lifeeycle:生命周期安全 o.Lifeeycle对P.Survive的支持,是通过保证贯穿网络交换机整个生命周期的安全功能被保护,以便资源能够保持从抵抗错误或阻碍安全的尝试进行恢复的能力 0.Sel_Test;网络交换机及其安全功能的测试 O.Self_Test对P.Survive的支持,是通过保证网络将有能力生存或从失败中恢复 0.Trust_Backup:系统数据备份的完整性和保密性 O,.Trus_Baekup对P.Survive的支持,是通过所有网络交换机和网络文件的复制,包括配置参数的复制.将确保从带有恶意尝试的事件中或者与网络交换机、主要管理系统相关的失败操作得到迅速恢复 0.Trusted_Recovery;可信的恢复 0.TrustedRecovery对P.Survive的支持,是通过保证网络交换机有能力从失败状态中恢复 O.Update_Validation;更新验证 0.Update_Validation对P.Survive的支持,是通过保证更新后所有的硬件、软件和固件被正确地安装和适当地使用,从而确保网络将有能力抵抗、恢复或幸免于失败、错误或危及安全的尝试 8.1.2.14硬件、软件和固件的完整性(P.SysAssur) 应提供使完整性生效,初始化、软硬固件升级的功能和规程应在初始安装和软件升级和固件交换时确保其完整性 O.Lifeeycle;生命周期安全 O.Lifeeycle对P.SysAssur的支持,是通过保证特征和程序的完整性,以及维护网络交换机和网络交换机的安全功能被正确执行 1
GB/T21050一2019 O.SelI_Test:网络交换机及其安全功能的测试 O,Sel_Test对P.SysAssur的支持,是通过保证网络交换机和网络交换机的安全功能被正确地使用和执行 O.Update_Validation;更新验证 O.Update_Validation对P.SysAssur的支持,是通过保证升级后全部的特征和程序被正确的执行从而保证所有硬件、软件和固件的完整性 8.1.3假设对应安全目的 8.1.3.1概述表6说明了网络交换机的安全目的能够应对的假设表6假设与安全目的的对应关系序号假设安全目的 A.Plhysical O)E.Plhysical A.Noevil&.Train OE.Personnel A.No_GeneraPurpose OENo_GeneraLLPurpose 8.1.3.2物理保护(A.Physical 网络交换机应放置在于受控访问的物理环境内,以避免被未经授权者物理访问该环境应提供不间断电源、温湿度控制等措施确保交换机能可靠运行 OE.Physical对A.Physical支持,通过网络交换机运行时的物理环境，确保网络交换机的物理安全 8.1.3.3可信人员(A.Noeyil&Irain 网络交换机授权管理员不应是粗心大意,不负责任或者是怀有敌意的,能够遵循所有管理员指南的规定但是允许其有出错的可能管理员应受到了正确的运用安装、配置和维护网络交换机、网络交换机安全功能和网络组件的合格培训 OE.Personnel对A.Noevil&.Train支持,通过对人员进行足够的技术培训使其技能满足工作职责要求,并通过制定相应的管理制度对授权管理员的行为进行约束 8.1.3.4无通用性(A.No_GeneraL_Purpose 除用于运行、管理和支持TOE所需的服务外,假定在TOE上无法获得通用的计算能力(如编译器或用户应用 OE.No_GeneralPurpose对A.No_GeneraL_Purpose支持,除了提供网络交换机运行、管理和支持的必要服务外,不存在与TOE运行无关的计算功能 8.2安全要求基本原理 8.2.1概述表7说明了安全功能要求与安全目的的对应关系 42
GB/T21050一2019 表7安全功能要求与安全目的对应关系序号安全功能要求安全目的 FAU_GEN. O.Admin_Audit,O.Tra_Audit O.AdminAudit,O.Tr" FAU_GEN.2 raf_Audit ,o.Traf_Audit,O.Audit_Review FAU_SAR.1 MEe" O.AdminAudit,(O.Attr FAU_SEl.1 O.Admin_Audit,O.Traf_Audit FAUSTG.1 O.Audit_Protection FAU_STG.4 O.Audit_Proteetion FCS_COP,1 O,Cryptography Fcs_cKM.1 O.Cryptography FCs.CKM.4 O.Cryptography 10 FDPACC.1 O.AccessControl,O,Ctr1&.A 11 FDP_ACF1 O.Access_Control.O.CtrL1&.A O.Mgmt_Path,O.Protect_Addresses， 12 FDP_ETc.2 O.Protocols., .,O.Replay_Prevenm 13 O.Aecess_Control,O.Ctr_I8.A FDP_IFC.l O.Access_Control.O.CtrL1&.A. FDPIFF.1 o.CtrlChanne..M 14 Mgmt_Path O.Priority_O_Service,(O.Traf_Audit 0.Mgmt_Path,O.Protect_Addresses FDP_Irc.2 15 O.Protocols, Prevent .0.Rply-！ 16 FDPUT.1 O.CtrlL_Channel,O.Mgm_Path,O,Protocols 17 FDP_UIT.2 O.Replay_Prevent,O.Trust_Backup o.Acces_Control,O.MgmI8.A.o.CtrL1&.AN 18 FIA_UAU.2 19 FIA_UD2" _I&.A.o.crlLI&.N O.Access_Control,0.Mgmt 20 FIA_AFL.l O.Se_Pro 21 FIA_S0S.1 O.Access_Control 22 FMT_MO)F.1 O.Patches,O.Attr_Mgt 23 FMT_MSA.l1 O.Admin_Audit,O.Attr_Mgt, 24 FMT_MSA.3 O,Admin_Audit FMT_MID. 25 O.Admin_Audit,O.Attr_Mgt FMTSME.1 26 0.Attr_Mgt 27 FMTSMR.2 O.AttrMgt 28 FPT_FIS.l O.FailLSecure,O.Protocols,0.TrustedRecovery 29 O.Ctrl_Channel,O.Cryptography,O.Protect_Addresses FPT_ITC.1 43
GB/T21050一2019 表7(续序号安全功能要求安全目的 O.ProteetAddresses,O.Cfg_Integrity,O,.CtrL_Channel. FPTIT Path,o.Protocols,O.Replay_Prevent 30 O.DetectConnection. .o.MemL" O,.UnusedFieds 31 FPT_RCV.3 0.FailLSecure,0.TrustedRecovery 32 FPT_RCV.4 O.FailSecure,(O.TrustedRecovery 33 FPT_RPLl O.Detect_Conneetion,O,.Replay_Prevent 34 FPT_STM.1 O,Admin_Audit,O.Traf_Audit O.AdminAudit,O.AuditReview,O.Lifecycle， 35 FPT_TDC.1 O.Traf_Audit O.Alarm,O.Cfg_lntegrity,O.Lifeeyele.,O.SelE_Test. 36 FPT_TST.1 (O.UpdateValidation 37 FPT_TDPEXT.1 O.CIg_Confidentiality 38 FRU_FLT.l O.Fail_Secure,O.Priority_Of_Serviee O.Priority_O_Serviee 39 FRU_PRS.2 40 FRU RSA. O,Priority_O_Service FTATSE.1 cHL8A O.AccessControl.(O.Ct 42 FTASSL3 O.AccessControl O,Cg_Confidentiality,O.Cfg_lntegrity,O.Ctrl_Channel， FTP_ITc.1 43 0.Cryptography,O.Proteet_Addresses O.Cryptography,O.Protect_Addresses FTPTRP.1 44 .CIg_Confidentiality,O.Cfg_Integrity,O.CIg_Manage,O.Mgmt_Path 8.2.2网络访问控制(o.Access_Control) 网络交换机应实现访问控制策略,访问控制策略基于但不限于网络交换机的任务(只处理可信任的或不可信任的,或者处理混合流量)、网络交换机的标识(由一个机构、网络提供者所有,同时也支持许多机构或客户所有)、源和目标地址、端口层次的过滤(如Telnet,SNMP)等的实现是依靠FDP_ACC.1:子集访问控制;FDP_ACF.l;基于 O.Access_Ccontrol在网络交换机中安全属性的访问控制,对期望通信的网络交换机强制执行访问控制机制;FIA_UAU.2;任何行动前的用户鉴别;FIA_UID.2:任何行动前的用户标识,要求与访问控制机制相关联的标识和鉴别;FIA_SOS.1: 秘密的验证,确保可以验证由用户生成的秘密满足某个质量度量秘密强度) 此外,O.Access_Control 也是以下4个安全功能要求组件所实现 F:TA_TSE.1;会话建立,此功能可拒绝与网络交换机的会话建立;F:TA_SSL.3:TSF原发会话终止,该功能要求当TSF在用户一段时间不活动后终止一个交互式用户会话;FDP_IFF.1:简单安全属性;FDP_IFC.1:子集信息流控制,该功能要求针对接收到的信息执行与访问控制机制相关的信息流控制机制 44
GB/T21050一2019 8.2.3带标识的审计记录(o.Admin_Audit) 网络配置管理员和网络安全管理员的活动应被审计,审计记录的存储和维护应符合安全策略 o.Admin_Audit的实现通过以下几个安全功能要求组件在网络交换机的环境方面是FPT TDC.1:TSF间基本的TSF数据一致性,它确保审计记录能够被解释;FMT_MTD.1:安全功能数据的管理;FAU_SEL.l;选择性审计;FMT_MSA.1;安全属性的管理;FMT_MSA.3;静态属性初始化,该功能赋予网络安全管理员配置审计日志的特权;FAU_GEN.1:审计数据产生;FAU_GEN.2:用户身份关联,通过生成审计日志和与引起该事件的网络管理角色相关联的审计数据可直接实现此安全目标生成审计日志的一个重要的方面是获取行为的时间,因此FPT_STM.1;可靠的时间截,它是用来支持 Audit的一个适当的要求 O.Admin. 8.2.4安全风险报警通知(O.Alarm) 网络交换机应有发现元件、硬件、软件或固件失败或错误的能力网络交换机应提供安全相关事件和失败或错误提示的告警能力 O.Alarm在网络安全机中的实现通过FPT_TsT.l:TSF测试,它要求对安全功能侦错的测试 8.2.5管理属性(O.Attr_MgtD) 网络安全管理员应管理控制策略,只赋予经授权的网络管理人员所必需的权利管理人员应在通过标识与鉴别后承担其特权角色 o.Attr_Mgt的实现通过FAU_sAR.1;审计查阅,它使得网络安全管理员有权查阅所有的审计记录;FMT_MsA.1;安全属性的管理;FMT_MTD.1:TSF数据的管理;FMT_sMR.2;安全角色限制. FMT_MOF,1;安全功能行为的管理;FMT_SMF.1;管理功能规范,它通过不同的角色限制网络管理系统的某些特权来实现o.Attr_Mgt 审计记录查阅(o.Audit_Review) 8.2.6 所有的审计记录都应定期地被查阅,网络审计管理员应定期地查阅网络流量审计记录 O.Audit_Review的实现通过FPT_TDC.1;TsF间基本的TSF数据一致性,它确保了审计记录能够被解释;FAU_SAR.1:审计查阅.它通过要求对审计记录的回顾实现了O.Audit_Review 8.2.7审计数据保护(o.AuditProteetion) 审计数据应安全存储,采取措施对存储的审计事件进行保护 O.Audit_Protection的实现通过FAU_STG.1;受保护的审计迹存储;FAU_STG.4:防止审计数据丢失,确保审计记录的存储方式有效且所存储的审计记录避免未授权的删除或修改 8.2.8网络配置保密性(o.Cfg_Comfidentiality) 网络交换机应保证配置和连接信息在传输和存储状态下不会泄露 O.CIg-_Confidentiality的实现通过FPT_ITC.1;传送过程中TSF间的保密性;FTP_TRP.1:可信路径,它要求一条可以保护控制信息免遭泄露的可信信道和针对管理信息的可信路径;FPT_TDP_EXT. 1:TSF数据保护,要求TSF数据在存储状态下非明文存放,防止泄露 8.2.9配置完整性(o.CgIntegrity 网络交换机应保证审计文件、配置连接信息和属于网络交换机的其他信息的完整性 O.C'Ig_Integrity在网络交换机中的实现是通过FPT_ITI.1;TSF间篡改的检测;FPT_TST.1;TSF 45
GB/T21050一2019 测试;F:TP_TRP.1;可信路径;FTP_ITC.1;TSF间可信信道,它要求安全功能数据在传输中受到保护免遭修改,对修改行为进行检测和对安全功能数据完整性的验证 8.2.10管理配置数据(o.Cfg_Manage 应有获取和保存每个网络交换机的配置和连接信息的计划,该计划应保证存储的完整性,能进行系统部件的鉴别与系统连接的鉴别 O.Cfg_Manage的实现依靠FTP_TRP.1;可信路径,为网络交换机的配置和连接信息提供可靠的传输路径 8.2.11加密机制支持(o.Cryptography 为了支持保密性,网络交换机应支持加密机制该加密机制要支持包括客户注册、密钥管理和信道隔离在内的服务 o.Cryptography的实现依靠FCs_coPl;密码算法,FCs_CKM.l密钥生成.FCs_CKML4;密钥销毁实现加密支持;而FTP_ITC.1.TsF间可信信道和FTP_TRP.1;可信路径,它考虑了保护数据免遭泄露的选项 8.2.12控制数据的可信通道(O.Ctr_Channel 提供对等网络交换机之间传输控制数据的完整性和保密性;提供独立的可信信道为了支持保密性,网络交换机应支持加密基础设施该加密基础设施要支持包括客户注册、密钥管理和信道隔离在内的服务 0.Ctrl_Channel是通过可信信道的实现来实现的,FTP_ITc.1:TSF间可信信道;FDP_UIT.1数据交换完整性;FPT_ITc.1;传送过程中TsF间的保密性;FPT_IT.1;TSF间篡改的检测,以保护信息免受泄露和修改 O.Ctrl_Channel的实现也依靠FDP_IFF.1;简单安全属性,它要求为信息流提供个可信信道 8.2.13受控标识和鉴别(o.Ctr_I&A) 只有在请求连接的目标地址、标识,鉴别和权限与控制策略一致时,才能连接到网络交换机 0.Ctrl_I8.A在网络交换机中的实现依靠FDP_ACC.1:子集访问控制;FDP_IFF.1;简单安全属性; F:DP_ACF.1;基于安全性属性的访问控制,用于强制执行访问控制机制、认证和鉴权 o.CtrlL_I&.A的实现也依靠于FTA_TSE.1:会话建立;FDP_IFC.1:子集信息流控制;FA_UAU.2;任何行动前的用户鉴别;FIA_UID,2;任何行动前的用户标识该安全功能要求组件用于通信会话的确立和确认信息是否来自可信源 8.2.14检测非授权连接(o.Detet.Cmetion 网络交换机应能检测并告警未经授权的连接 O.Detect_Connection在网络交换机中的实现依靠FPT_ITI.1;TSF间篡改的检测;FPT_RPLl: 重放检测这些要求扫描端口,旨在发现未经授权的连接 8.2.15故障发生时安全状态的保存(o.FailSeeure 网络交换机应能保存部件失效或停电事件时的系统安全状态 O.Fail_Seeure在网络交换机中的实现依靠FPT_FIs.1;失效即保持安全状态;FPT_RCV.3;无过度损失的自动恢复;FPT_RCV.4:功能恢复;FRU_FLT.1;降低容错这些保证了网络交换机能够返回安全状态 46
GB/T21050一2019 8.2.16生命周期安全(o.Lifeeyele) 对网络交换机实行管理和维护,保证其安全功能在其生命周期中被正确的实现和受到保护对硬件、软件或固件的升级应保证其不影响任何其他的安全功能 O.Lifecycle在网络交换机中的实现是依靠FPT_TST.1:TSF测试,它要求自测以确保对安全功能的正确操作 O.Lifeeycle的实现也依靠FPT_TDC.1:TSF间基本的TSF数据一致性,它要求解释安全功能数据一致性的能力 8.2.17管理数据的可信路径(O.Mgmt_Path 应保证网络交换机和网络管理站之间传输信息的完整性和保密性,应提供独立的可信信道网络交换机应支持加密机制该加密机制要支持包括客户注册、密钥管理和信道隔离在内的服务 O.Mgmt_Path在网络交换机中的实现是依靠FTP_TRP.1可信路径;FPT_ITI.1:TSF间篡改的检测;FDP_ITC.2:带有安全属性的用户数据输人;FDP_UIT.l:数据交换完整性;FDP_ETC.2:带有安全属性的用户数据输出,它为管理数据在传输过程中提供了完整性和保密性 O.MgmtPath的实现也依靠FDPIFF.l简单安全属性,它为管理信息提供一条可信路餐 8.2.18安全修复和补丁(o.Patches) 网络交换机应安装最新的补丁和安全修复 o.Patches在网络交换机中的实现是依靠FMT_MoF.1;安全功能行为的管理,它要求网络安全管理员对网络交换机安装补丁和安全修复负责 8.2.19提供服务优先级(o.Priority_ofservice) 网络交换机应对所有的流量分配优先级控制资源访问方式,防止低级别服务干扰或延迟高级别的服务 0.Priority_of_Service在网络交换机中的实现依靠FRU_PRs.2;全部服务优先级,它要求对优先级进行分配;FRU_FLT.1:降低容错,它确保在错误发生时保存服务的优先级;FRU_RSA.1:最高配额对可共享资源的配额机制提出了要求 O.Priority_Of_Serviee的实现也依靠FDP_IFF.1;简单安全属性,它要求优先级只能分配给接收到的来自可信任服务的信息 8.2.20地址保护(o.Proteet_Addresses) 网络交换机应保护已授权组织内部地址的保密性和完整性在网络交换机收到数据后,应能正确地解析出经过授权的源地址和目的地址 O.Protect_Addresses在网络交换机中的实现依靠FTP_TRP.1;可信路径;FTP_ITC.1;TSF间可信信道;FPT_ITI.1:TSF间篡改的检测;FDP_ITC.2;带有安全属性的用户数据输人;FDP_ETC.2;带有安全属性的用户数据输出;FPT_ITC.1:传送过程中TSF间的保密性,它强制执行网络交换机安全功能,通过防止数据的泄露、修改,重新获得和丢失来保护地址 8.2.21协议(o.Protoeols) 在网络交换机中应实现能与其他厂商的网络交换机互操作的标准协议,并在网络交换机中实现可靠交付和错误检测的协议 O.Protocols在网络交换机中的实现依靠FDP_ETC.2;带有安全属性的用户数据输出,它要求网络交换机确保完整性;FDPITC.2;带有安全属性的用户数据输人,用于确保数据的完整性和协议能够清晰的把数据与安全属性联系在一起 O.Protocols的实现也依靠FDP_UIT.1:数据交换完整性;FPT 47
GB/T21050一2019 FILS.1失效即保持安全状态;FPT_ITI.1:TSF间篡改的检测,用于检测在数据传输过程中的错误和修改 8.2.22避免重放攻击(o.Replay_Prevent) 网络交换机应具有防止未经授权的代理伪装成经过授权的代理能力,保护其自身免受重放攻击 o.Replsy_Pevwmt在网络交换机中的实现依靠FDP_ITc.2,带有安全属性的用户数据输人，FDP ETC.2;带有安全属性的用户数据输出;FPT_IT.1;TSF间篡改的检测;FDP_UIT.2;原发端数据交换恢复;FPT_RPL.l:重放检测,它要求对重放的信息进行检测同时强制执行反重放 8.2.23网络交换机的自身防护(o.Sel_Pro) 网络交换机应做好自身防护,以对抗非授权用户对网络交换机安全功能的旁路、抑制或篡改的尝试 O.sePro的实现依靠FIA_AFL.1:鉴别失败处理,它要求设置在一定次数失败尝试后锁定登录机制,以抵抗旁路或篡改的尝试 8.2.24带标识的审计流量记录(o.IrafLAudit) 审计记录应包括日期时间、发送速度,接受速度、节点标识符和负责传输数据的组织网络交换机应保证所有的审计记录的完整性 O.Traf_Audit的实现依靠FAU_GEN.1;审计数据产生;FPT_TDc.1:TSF间基本的TSF数据致性;FAUSAR.1;审计查阅;FAU_SEL.1l;选择性审计,它要求生成的数据有容易解析的格式和可自定义可审计事件的能力 o.Traf_Audit的实现也依靠FAU_GEN.2;用户身份关联,它要求把审计事件与引起该事件的人员相联系的能力和洞察力;FPT_STM.1;可靠的时间戳,它要求捕捉到与审计事件相关联的准确时间;FDP_IFF.l:简单安全属性,它要求对来自于不可信源的接收进行审计的能力 8.2.25系统数据备份的完整性和保密性(o.Irust_Backup 应确保网络交换机的网络文件和配置参数有冗余备份备份文件应以符合网络安全策略的方式存储,以便保证文件的完整性和保密性,另外,应能由备份文件充分地再生网络交换机的配置,以用于在出现失败事件或安全泄密的情况下恢复网络交换机的功能;网络文件可自动地复制备份到另外的管理站 O,Trust_Backup的实现依靠FDP_UIT.2;原发端数据交换恢复它要求备份管理数据以确保对网络交换机的连续操作 8.2.26可信的恢复(0.TrustedRecovery 应确保网络交换机在失效或错误后恢复到没有安全泄密的安全状态,应确保失效部件更替后,系纷的状态恢复,并且保证不会引发错误或造成其他安全缺陷 O.TrustedRecovery在网络交换机中的实现依靠FPT_RCV.3;无过度损失的自动恢复;FPT RCV.4;功能恢复,它要求在中断操作之后能够恢复到安全状态;FPT_FLS.1;失效即保持安全状态此外,该安全目标也可通过在错误发生时对安全状态的保存以达到恢复到安全状态的目的 8.2.27未用区域(o.Unused_Fields) 网络交换机应保证协议头内所有未被使用域的数值都被恰当地设定 O.Unused_Fields在网络交换机中的实现依靠FPT_IT.1;TsF间篡改的检测,要求安全功能可以检测到传输过程中安全功能数据的任何修改在协议头中的数据应被作为安全功能数据的一部分 48
GB/T21050一2019 8.2.28管理标识和鉴别(o.Mgmt_I&A) 管理人员应在通过标识与鉴别后才能承担其特权角色 O.Mgmt_I&.A的实现依靠FFIA_UAU.2:任何行动前的用户鉴别;FIA_UD.2;任何行动前的用户标识,它要求任何网络交换机安全功能执行前用户应首先标识自己的身份并提供正确的鉴别数据 8.2.29更新验证(o.Update_Validatiom) 网络交换机应具备对更新数据的验证能力,以确保更新数据是可信任的 O.Update_Validation的实现依靠FPT_TST.1:TSF测试,通过测试有助于验证网络交换机及其各个部分在更新后能正确操作和实现功能 8.2.30 自检o.Sef_Iest) 网络交换机应具备对自身的检测能力,以确保网络交换机的安全功能能够正确运行 O.sdlE_Tet的实现依靠FPT_TsT.1.:TsF测试,通过测试有助于验证网络交换机及其各个部分的正确操作和功能 8.3组件依赖关系在选取安全功能要求组件和安全保障要求组件时,应满足所选组件之间的相互依赖关系,表8列出了所选安全功能要求组件的依赖关系,表9列出了所选安全保障要求组件的依赖关系表8安全功能要求组件依赖关系序号安全功能要求依赖关系 FAU_GEN.1 FPT_STM.1 FAU_GEN.2 FAU_GEN.1,FIA_UID.1 FAU_SAR.1 FAU_GEN.1 FAU_SEL.l FAU_GEN.1,FMT_MTD.l FAUSTG.1 FAU_GEN.1 FAU_STG,4 FAU_STG,1 F:CS_CKM.1 FCS_cOP.1,F:csCKM.4 FCS_CKM.4 FCS_CKM.1I FCS_cOP.1 FCS_CKM.l,FCS_CKM.4 10 FDP_ACC.1 FDP_ACF.1 FDP_ACF,1 FDP_ACC.1,FMT_MSA.3 12 FDP_EIc.2 FDP_Acc.1或FDPIFc. 13 FDPIFC.1 FDPIFF.1 14 FDPIFF.1 FDPIFC.1,FMTMSA.3 15 FDP_ITC.2 FDP_ACC.1或FDPIFC,1,FTP_ITC,1或FTP_TRP,1,FP'T_TC,1 FDP_Acc.1或FDP_IFC.1. 16 FDP_UT. FTP_ITc.1或FTP_TRP.1 49
GB/T21050一2019 表8(续序号依赖关系安全功能要求 17 FDP_U1T.2 FDP_ACC.1或FDP_IFC.1,FDP_UIT.1或FTP_ITC.1 18 F1A_UAU.2 FIAUID.l 19 F1A_UID.2 无 F:IA_AFL.1 FFIA_UAU,1 20 无 FIA_SOS,1 FMT_SMR.1,FMTSMF.1 FMT_MOF.1 2 FDPAcc.1或FDP_IFc.1. 23 FMT_MSA.1 FMT_SMR.1,FMT_SMF. 24FMT_MSA.3 FMT_MSA.l,FMTSMR.1 25 FMT_MTD.l FMT_SMR.1,FMT_SMF.1 26 FMT_SMR.2 FIA_UD.l 21 FMT_SMF.l 无 28 FPT_FLS.1 无无 29 FPT_ITC.1 无 30 FPT_ITI.1 31 FPT_RCV.3 AGD_OPE.1 32 FPT_RCV.4 无 33 FPT_RPLl 无 34 FPT_STM.1 无无 35 FPT_TDC.1 FPT_TDP_EXT. 36 FCS_COP.1 37 无 FPT_TST.1 38 FRU_FLT.1 FPT_FLS.1 39 FRU_PRS.2 无 40 FRU_RSA.l 无 4 FTA_TSE.1 无 42 FTA_SSL3 无 43 FTPITC.1 无 44FTP_TRP.1 无 50
GB/T21050一2019 表9安全保障要求组件依赖关系序号安全功能要求依赖关系 ADv_ARc.1 ADV_FSP.l,ADV_TDS.l ADv_FSP2 ADv_TTSl ADv_FSP.3 ADv_TS.,l ADV_TS.1 ADV_FSP.2 ADV_TDS.2 ADV_FSP.3 AG;D_OPE.1 ADV_FSP.1 无 AGD_PRE.l ALc_cMc.,2 ALc_cMs.1 ALc_cMC.3 AL.c_cMs.l,AL.c_DVs.1,AL.c_L.cD ALCCMS.2 10 ALC_CMS.3 n 无 12 AlC_DEL.1 无 13 ALC_DVS.1 无 ALC_lLCD. 14 5 AsE_cCL. AsE_INT.1,AsE_cD.1,.AsE_REQ.1 AsE_ECD.1 16 无 ASE_INT.1 17 ASEOB.2 ASE_SPD.l 18 19 ASE_REQ. ASEECD.1 20 ASEREQ.2 ASE_OB.2,ASEECD.1 21 无 ASE_SPD.1 ASE_TSS.l ASE_INT.l,ASE_REQ.l,ADV_FSP.1 22 ATEcoy. 23 ADv_FsP.2,.ATE_FUN. ATE_cov.2 ADV_FSP.2,ATEFUN.1 214 ATE_DPT.1 ADV_ARC.1,ADV_TDS.2,ATE_FUN.1 25 26 ATEFUN.1 ATE_COV.1 ADV_FSP.2,AGD_OPE.l,AGD_PRE.l 2r ATE_IND.2 ATE_cOV.1,ATE_FUN.1 ADv_ARc.1,.ADv_FsP.2,ADV_TDs.1 28 AVA_VAN.2 AGD_OPE.1,AGD_PRE.l1 51
GB/T21050一2019 参考文献 [1]GB/T18018一2007信息安全技术路由器安全技术要求 [2 GB/Z20283一2006信息安全技术保护轮廓和安全目标的产生指南 [3 ProtetionProfleforSwitehesandRouters,DraftVersion2.1,February22,2001. [打 TelecommunicationsSwitchProtectionProfile,DraftVersion,NIST [5]AGoalVPNProtetionProfileForProteeting" ensitiveInformation 1,10July,2000. [们 ProtectionProfileforNetworkDevices,08June,2012. [7]U.s.GovernmentProtetionProfileforTraficFilterFirewalllnBasicRobustnessEnvironr ts,July25,2007 ment 52

信息安全技术网络交换机安全技术要求GB/T21050-2019

随着网络技术的不断发展，信息安全问题也日益突出。其中，网络交换机作为重要的通信设备之一，其安全性尤为关键。为此，国家标准化管理委员会发布了《信息安全技术网络交换机安全技术要求》（GB/T21050-2019）标准，以规范和加强网络交换机的安全性。

该标准主要针对网络交换机在设计、生产、使用、维护和管理过程中的安全性问题进行规定。其要求涵盖了硬件和软件两个方面，确保网络交换机能够提供高效、稳定、可靠和安全的服务。

GB/T21050-2019标准的主要内容

GB/T21050-2019标准共分为8个章节，包括了网络交换机的物理特性、接口特性、协议支持、安全配置、保护机制、管理和控制、事件管理和审计等方面。下面我们分别进行介绍。

网络交换机的物理特性

该章节主要规定了网络交换机的尺寸、颜色、重量、电源和接线方法等方面的要求。其中，对于电源的要求尤为严格，要求网络交换机必须支持双路冗余电源，并具备过压、欠压、过流、短路等多种保护机制，以确保其稳定运行。

网络交换机的接口特性

该章节规定了网络交换机各种接口的类型、数量、速率和连接方式等方面的要求。同时，还要求网络交换机应该支持802.1X认证、端口安全和MAC地址过滤等技术，以防止未经授权的用户接入网络。

网络交换机的协议支持

该章节规定了网络交换机应该支持哪些协议和标准，如IEEE802.1Q、IEEE802.1d、IEEE802.1w、SNMP等。同时，还要求网络交换机应该能够兼容不同厂家的设备，以确保网络的互通性。

网络交换机的安全配置

该章节规定了网络交换机的安全配置要求，如口令强度、登录认证方式、访问控制等。此外，还对密码管理、账户管理、日志管理等方面进行了详细规定。

网络交换机的保护机制

该章节主要规定了网络交换机应该具备哪些保护机制，如ARP防护、DOS攻击防护、流量控制等。这些保护机制能够有效地提升网络交换机的安全性。

网络交换机的管理和控制

该章节规定了网络交换机的管理和控制要求，如远程管理、SNMP管理、CLI管理等。同时，还要求网络交换机应该支持多种管理协议，以提高网络管理员的工作效率。

网络交换机的事件管理和审计

该章节主要规定了网络交换机应该具备哪些事件管理和审计能力，如日志记录、报警通知、恢复功能等。这些功能可以帮助网络管理员及时发现和处理网络安全问题。

总结

GB/T21050-2019标准的发布，为网络交换机的安全性提供了强有力的保障。在购买和使用网络交换机时，用户应该选择符合此标准的产品，并按照标准的要求进行配置和管理，以确保网络的安全性和稳定性。