1、lCS 35040L 80 a雪中华人民共和国国家标准GBT 2 1 050-2007信息安全技术网络交换机安全技术要求2007-08-24发布(评估保证级3)Information security techniquesmSecurity requirements for network switch(EAL3)2008-0101实施宰瞀鳃紫瓣訾糌瞥星发布中国国家标准化管理委员会促19GBT 21050-2007目 次前言引言1范围2规范性引用文件3术语、定义、缩略语和约定-31术语和定义”32缩略语33约定-4网络交换机概述5安全环境-“51假设-”52威胁-53组织安全策略6安全目的61
2、网络交换机安全目的“62环境安全目的”7安全要求-“71安全功能要求72安全保证要求附录A(资料性附录)安全环境、安全目的及安全要求间的关系合理性说明“附录B(资料性附录)安全功能要求的应用注释”参考文献“I1111223445677899孔跎“前 言GBT 21050-2007本标准依据GBT 18336-2001信息技术安全技术 信息技术安全性评估准则的要求,规定了网络交换机的安全技术要求。附录A和附录B是资料性附录,附录A对本标准的内在合理性进行了阐述,附录B是安全功能要求的应用注释。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位:中国信息安全产品测评认证中心。本标准主要
3、起草人:李守鹏、徐长醒、付敏、王书毅、郭颖、刘楠、毕强、王迪、裘晓峰、同石、王眉林、刘威鹏、李云雪、张展、苏智睿、王伟雄、王怡、万晓兰。GBT 2 1 050-2007引 言本标准定义了网络交换机应在生产商安全目标文档中包括的安全要求的最小集合。系统集成商和信息系统安全工程师可以利用本标准确认现有交换机的应用领域,以提供更为全面的安全方案。本标准规定了交换机应满足的用于信息保护的安全要求。满足本标准的交换机,可以为组织提供自行处理的额外安全机制,以加强其对自身信息的保障。额外的安全机制包括但不根于以下几种:防火墙、网关、加密。另外本标准适用于以下三种可能出现的管理情形,概括总结如下:a)购买者
4、本人管理自己的设备。b)设备不是由购买者而是由网络供应商或商业组织管理。设备被安放在网络供应商或商业组织的场所。c) 仅仅从提供商那里购买服务。为正确执行交换机的管理功能,需要网络管理系统的支持。网络管理系统的连接参数是预先设置的,它是执行操作功能应有的一部分,但在本标准中不作为交换机的一部分。本标准定义的要求适用于保护F=I常的私有敏感信息,此信息是与管理和控制相关的信息,不包括对通过交换机的用户数据的保护。本标准列出了交换机所需处理的假设、威胁和组织安全策略,并定义了交换机及其环境的独立的安全目的。最后,本标准提供了安全环境、安全目的和安全要求的对应关系。附录A描述了这些对应关系。信息安全
5、技术网络交换机安全技术要求(评估保证级3)GBT 2 1 05020071范围本标准规定了网络交换机EAI。3级的安全技术要求,主要包括网络交换机的安伞假设、威胁和组织策略等安全环境,以及网络交换机EAI3级的安全目的、安全功能要求和安全保证要求。本标准适用于网络交换机的研制、开发、测试、评估和采购。本标准主要适用于信息系统安全工程师、产品生产商、安全产品评估者。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准然而。鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的
6、引用文件,其最新版本适用于本标准。GBF 1833612001信息技术安全技术信息技术安全性评估准则第1部分;简介和一般模型(idt ISOIEC 154081:1 999)GBT 1833622001 信息技术安全技术 信息技术安全性评估准则 第2部分:安全功能要求(idt ISOIEC 154082:1999)GBT 1833632001 信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求(idt ISOIEC 154083:1999)3术语、定义、缩略语和约定31术语和定义GBT 18336-2001确立的以及下列术语和定义适用于本标准。311客户端client发起或接受数据传
7、送的源。通过网络交换机的数据的源发者。312网络审计管理员network audit management operator仅具有查看权限,负责收集、分析和查看网络行为数据的网络管理角色。如:查看网络交换机配置和信息流策略等。313网络配置管理员network management administrator受到严格限制的具有部分网络管理能办的管理角色,可以执行网络交换机管理功能的子集,如:配置管理网络系统,利用权限解决网络故障等。该管理员同时具备网络审计管理员的能力。314网络安全管理员network security administrator具有所有管理级别的访问权限,可以访问网络交换机
8、的各个区域,同时具备网络配置管理员和网络审计管理员的能力,如:创建、修改和存取访问控制列表、加载密钥、限制廊用程序执行以及维护网络管1GBT 2 1 050-2007理审计日志等能力的网络管理角色。315网络交换机network switch网络中连接各个节点或其他网络设备的设备,提供了开放式系统互联模型二层的逻辑路径。基于数据链路层信息转发数据包,能够基于目的地址过滤。316节点node计算机网络系统中可以对信息进行存储或转发的设备。317可信信道trusted channel一种在网络交换机之间执行特定功能的连接,用来传输信息的控制信令、标识和鉴别数据等。318可信路径trusted pa
9、th一条网络管理连接,允许通过该路径传输控制信息。可信路径的一端是网络管理端另一端是被管理的网络交换机。319可倍源trusted source能够被标识和鉴别的源或节点,从该源或节点发出的信息的完整性能够被核实和验证。32缩略语ATM 异步传输模式 (Asynchronous Transfer Mode)BGP 边界网关协议 (Border Gateway Protoc01)CMIP 通用管理接口协议 (Common Management Interface Protoc01)EAI 评估保证级 (Evaluation Assurance I,evel)HTTP 超文本传输协议 (Hyper
10、 Text Transfer Protoc01)IP 互联网协议 (Internet Protoc01)1T 信息技术 (Information Technology)l。DP 标签分发协议 (I。at)el Distribution Protoc01)MD5 报文摘要算法 (Message Digest 5)NNI 网络到网络的接口 (Network to Network Interface)OSPF 开放式最短路径优先 ()pen Shortest Path First)PNNI 专用网络到网络的接口 (Private Network to Network Interface)PSTN 公
11、共电话交换网 (Public SwitchedYelephone Network)QoS 服务质量 (Quality of Service)Rlogin 远程登录 (Remote login)Rsh 远程shell协议 (Remote shell protoc01)RsVP 资源预留协议 (Resource Reservation Protoc01)RMON 远距离监控 (Remote Monitoring)SNMP 简单网络管理协议 (Simple Network Management Protoc01)UNI 用户与网络接口 (User to Network Interface)33约定本
12、标准第7章“安全要求”中使用的操作约定如下:331反复反复操作以多个带有空行的段落表示。2332选择选择操作以下龙f线斜体宇表示。333赋值赋值操作以“【下划线斜体字】”表示。334细化细化操作在安全要求中有相应的声明。4网络交换机概述GBT 21050-2007网络交换机是一种连接网络的设备。从技术角度看,网络交换机运行在OSI模型的数据链路层或网络层。虽然ATM、IP、光交换有各自不同的特性,但是它们的处理和控制方式是相似的。可信路径建立在网络交换机和管理系统之间,可信信道建立在网络交换机之间通过可信路径可进行管理信息的交换,通过可信信道可进行网络控制信息(如,许可动态连接建立和包路由选择
13、信息)的交换,网络控制信息由特定的请求和指令组成,如目的地址、路由选择控制和信令信息等。在ATM环境下,控制信息可以包括ATM uNI、NNl信令和PNNI路由选择。在II环境下,控制信息可以包括OSPF、BGP、RSVP和I。DP。异步传输模式是一种面向连接的传输方法,它将传送的信息分成固定的53个字节长度的信元。建立连接的信元传输允许有受控延迟,流量控制可以使用固定优先级或尽力传输方式。1P路由选择是以无连接方式传输包含在变长包内的信息。在主机之间,数据传输通常使用尽力传输方式,但不保证一定传输到目的主机。由于在传输之前没有建立逻辑路径,因此每个IP包可能动态地通过多个不同的路径。网络交换
14、机基于指定的路由选择协议和网络状态动态的决定最佳路径。光网络交换机可作为多种服务的聚集器,如提供多服务平台、多波段平台。对于光流量,至少有两种分类传输方法。一种是将流量送人完全不同的通信信道,通过建立互不影响的信道,来提供光核心的高速管道带宽,如:一个信道分配给了高优先级流量一个信道分配给了延迟敏感数据。另一个信道分配给了尽力传输数据,等等。另一种分类传输的方法是所有类型的流量共享一个通用的通信信道,这意味着,沿着流量路径,每一个在实现队列中的网络元素都必须快速地执行分类方法。比较典型的是设备接人层执行的流量分类过程,它使用一种标记指示服务传输层该如何处理该流量,使得处在网络边界位置的光交换机
15、知道在碰撞发生时该如何排列和区分流量的优先级。使用这种方法,不需要定义每种类型分配多少带宽,带宽是共享的并且被动态地分配。网络交换机一般包括接I=I卡、端El、软件以及驻留在其上的数据等。与网络交换机相关的所有电路都属于网络交换机的一部分,其中包括管理链路。虽然网络管理系统是必需的部件,但是它不属于本标准的规范范围,而且连接到网络交换机的其他网络部件也不属于本标准的规范范围。例如,交叉连接的数字传送系统、光传送系统、加密装置等。然而,网络交换机可以支持加密或具有连接加密装置的接口,用于加密用户数据、管理和控制信息。网络交换机具有保护网络管理和进行网络控制的功能,允许通过网络可靠传递用户信息并具
16、有可靠的质量和及时性。因此本标准规范的网络交换机涉及了网络控制和管理信息。网络控制信息包括在网络交换机之间的路由选择和信令信息。控制信息沿着路由、路径和信道控制流量传输,流量控制依赖于服务质量和丢弃信元或包的优先次序。通常控制信息可能包含在ATM信元或IP包头内,也可能在IP包的尾部。ATM网络交换机使用的UNI(30、31、40)、NNI或Q2931等信令标准在网络交换机之间传递建立连接的呼叫控制信息。配置信息包含业务量描述和下游节点的定址信息,例如PNNI、OSPF、GBT 21050-2007BGP、RSVP和LDP等协议可用于在节点之间交换建立服务或保留资源的信息。对于可靠操作,网络鉴
17、别和控制信息的完整性是必需的,路由选择和信令信息可能造成网络拓扑和交通流量信息的泄漏,因此它们是敏感的,保持路由选择和信令信息的保密性是必要的。网络控制信息的重点主要集中在配置方面,而网络管理信息的重点主要集中在性能、故障、失效和审计方面。网络交换机通过用于管理的链路连接到负责管理的设备上,且该管理链路应该是一个可信路径。节点的保护可以通过对节点的访问保护实现,由于有多种节点访问方式,因此需要保护包括网络管理数据和网络控制信息在内的信息和资产。有多种不同的方法来管理节点,最常用的管理方法之一叫作“带内”管理,该管理方法使用与客户相同的通信链路,管理流量使用如同客户流量一样的端口。“带内”管理可
18、以使用如下协议:SNMP、RMON、CMIP、HTTP、Telnet和Rlogin等。管理节点的另一种方法称为“带外”管理,该方法使用客户端端口之外的端口。“带外”管理还可以细分为如下几种:一是通过局部端口管理节点,例如使用一台物理上毗连于节点的笔记本电脑或哑终端连接到节点的串行接口上,对其进行管理;其次,节点也可以通过连接公用电话交换网PSTN的远程笔记本电脑或终端进行远程访问管理;第三,通过连接网络交换机的独立以太网接口的管理站进行远程管理(可以使用Telnet、rsh、HTTP协议等)。通常存在许多不同的管理角色,所有的管理角色都被赋予一定的信任度,甚至他们的管理操作并未受到监控。管理场
19、所是授权的访问区域,只有网络管理职员才有访问权限。通常可以通过基于网络地址的方式限制对管理连接的访问,多数管理角色只被授予执行自己职权的操作权限。不同的角色权限可能重叠或仅具有部分特权,仅有极少数的角色具有管理节点的全局特权。如“网络审计管理员”只具有查看、收集和分析网络性能数据的权限“网络配置管理员”除拥有网络审计管理员权限外,还被赋予了访问执行配置管理、预防措施、故障查找和监测功能的权限;“网络安全管理员”具有执行加载密钥、创建和修改访问控制列表、以及限制应用程序执行的功能程序,因此,“网络安全管理员”拥有“网络配置管理员”的权限。另外,对于组织通过购买网络服务的形式组网的情形,他们可以自
20、己监测通过供应商网络的流量性能,以确定供应商的服务是否符合协议要求。网络供应商能够控制网络管理活动,并向客户提供网络管理报表,通过网络浏览方式以只读的权限访问管理报表,也可以直接提交给授权的个体或被认可的个体主动去获取报表。流量性能统计数据通常包括捕获量、捕获数据、日期、时间、网络使用统计与服务质量的水平、发送流量、接收流量等。5安全环境51假设511 审计信息的审查(AAudit Review)应周期性地审查和分析审计信息,以符合网络安全策略。512健壮的密码算法(ACryptanalytic)网络交换机环境使用的加密算法应能抵抗密码分析攻击,并具有足够的健壮性来保护敏感数据。513环境的保
21、护(AEnvironment)所有设备应该遵从环境标准,例如:对抗自然灾害的标准和电力安全的标准。网络交换机应有备份电源,以确保服务的可用性或防止数据的丢失。514威胁代理(AExpAgent)网络交换机应能对抗由了解网络交换机实现中使用的安全性原理的专业人员发起的攻击。515物理保护(APhysical)网络交换机应置于访问受控的设施内,以避免未授权者的物理访问。还应防止网络交换机被偶然接触(例如,偶然撞击缆线可能造成无意识的破坏)。4GBT 21050-2007516可靠的时间源(ATime_Source)网络资源应连接到可靠的时间源。该时间源用于同步传输、流量审计的可靠时间戳、性能审计、
22、管理员活动审计等。另外。还要有备份的时间源。517人员培训(ATrain)应该培训所有人员,使其能够正确地运用、安装、配置和维护网络交换机及其安全功能和网络组件,并且所有人员应该严格遵循文档化的程序和规程。52威胁521通信分析(TAnalysis)攻击者可能收集源和目标地址、大量数据以及发送数据的日期和时间。522未授权网络访问并获取数据(TCapture)攻击者可能偷听、接人传输线,或用其他方式获取通信信道上传输的数据。523节点泄漏(T,Compromisml_Node)修改网络交换机配置文件或路由表导致网络交换机运行异常、安全功能失效,或流量可能被重路由到未授权的节点。524 隐通道(
23、TCovert)隐通道通常在隐蔽区域隐藏信息其目的是传送信息而不受监控。525密码分析(TCryptanalytic)攻击者为了复原信息的内容,尝试对已加密的数据进行密码分析。526拒绝服务(TDenial)攻击者通过执行指令、发送超限额的高优先级流量数据,或执行其他操作,在网络上造成不合理的负载,造成授权客户端得不到应有的系统资源,即导致拒绝服务。527部件或电源失效(TFail)系统部件或电源的失效,可能造成重要系统功能的破坏和重要系统数据的丢失。528硬件、软件或固件的缺陷(TFlaw)硬件、软件或固件的缺陷导致网络交换机及其安全功能的脆弱性。529管理员网络授权的滥用(THostile
24、_Admin)管理员有意滥用其权限,不适当地访问或修改数据信息,例如t配置数据、审计数据、口令文件或误处理其他的敏感数据文件。5210管理错误(TMgmt_Error)网络配置管理员可能无意地不恰当地访问、修改了数据信息,或误用资源。521 1修改协议(TModify)攻击者未经授权而修改或操纵协议(例如:路由选择、信号等协议)。5212网络探测(TNtwkMap)攻击者可能进行网络探测来获得节点地址、路由表信息和物理位置,5213重放攻击(TReplay Attack)攻击者通过记录和重放通信会话,伪装成已验证的客户来非法获得网络交换机的访问权。管理信息也可能被记录和重放,从而用于伪装成已验
25、证的管理员来得到对网络管理资源的访问权。5214配置数据泄漏TSelPro)攻击者可能读取、修改或破坏网络交换机的安全配置数据。5215欺骗攻击(TSpoof)客户端通过获得的网络地址来伪装成已授权的用户,未授权节点可能使用有效的网络地址来尝试访问网络。5GBT 21050-20075216对管理端口的非授权访问(TUnauth_Mgmt_Access)攻击者或滥用特权的网络配置管理员可能通过Telnet、RMON或其他方式访问管理端口,从而重新配置网络、引起拒绝服务、监视流量、执行流量分析等。53组织安全策略531 可核查性(PAccntabty)使用网络交换机传送信息的组织、拥有网络配置管
26、理员角色的人员和开发者应该对其行为负责。532审计管理人员的数据(PAuditAdmin)网络管理系统应该能产生和传送审计记录,审计记录应提供充足的信息,用来判断产生会话的管理人员、管理日期、管理时间和管理行为应周期性的审阅审计记录。533操作员和节点的鉴别(PAuthentication)网络交换机应能支持对网络审计管理员、网络配置管理员和网络安全管理员的鉴别,并且网络交换机也应支持对等节点的鉴别。534网络可用性(PAvailability)对于授权客户端的任务需求和传送信息需求应能保证网络资源的有效性。535信息的保密性(PconfidentiaIity)在实时和存储状态下,应保持统计数
27、据、配置信息和连接信息的保密性。为了保持其保密性网络交换机要能够支持健壮的加密基础设施。对于加密装置网络交换机要具备加解密能力或接口支持能力。536默认配置(PDefuult_Config)网络交换机的默认设置应能防止其安全功能的削弱或失效。所有有助于网络交换机安全性的功能应是默认生效的。537安装和使用指南(PGuidance)指南文件应能提供网络交换机的安装、配置和维护的指导。538网络交换机信息更新(PInformationUpdate)验证接收到的网络交换机信息文件、异常通知、补丁程序、升级文件等信息的完整性,上述文件或信息必须有实时的分发机制。539内容的完整性(PIntegrity
28、)管理和控制信息在传输期间应保持其内容的完整性。同时所有信息在存储状态下要保持其完整性。5310互操作性(PInteroperabillty)网络交换机应能与其他厂商的网络交换机互连互通。在网络交换机中要实现标准化的、非专有的协议(如路由选择、信令协议等)。厂商可以选择实现一些专有协议,但为了达到互通的目的,厂商也应在网络交换机中实现标准协议。531 1 故障通告(PNotify)网络交换机及其安全环境应具备(或在其他设备的配合下)提醒和报警能力,例如:通过SNMP第3版的陷门机制发送固件、硬件或软件的失效通知。5312对等节点(PPeer)安全的节点应有接受来自信任节点和不信任节点的流量的能
29、力。为了保护信息将在信任和不信任的节点之间过滤流量。5313信息管理规程(PProcedures)网络交换机安全环境的规程应限制无意地泄露、修改敏感信息以及不恰当地使用资源。例如:敏感信息可能包括但不局限于:文档化的操作规程材料、设备安装规程、审计文件、配置文件、网络图表、物理连接和网络测试结果的信息。6GBT 21050-20075814可靠传输(PReliable_Transport)应实现可靠的传送和检错机制协议,以用于网络管理和控制。5315 网络可生存性与恢复(PSurvive)网络资源应能够从故意的破坏尝试中恢复,同时应具有从传输错误中恢复的能力。网络必须能抵御硬件或软件失效,或具
30、有在合理时间内复原的能力。应记录用于恢复的任何环境。5316硬件、软件和固件的完整性(PSysAssur)应提供使完整性生效、初始化、软硬固件升级的功能和规程。应在初始安装和软件升级和固件交换时确保其完整性。6安全目的61 网络交换机安全目的611 网络访问控制(OAccess_Contr01)网络交换机应实现访问控制策略,访问控制策略基于但不限于网络交换机的任务、网络交换机标识、源和目标地址、端口层次的过滤(如Telnet、SNMP)等。612安全风险报警通知(0Alarm)网络交换机应有发现硬件、软件、固件的失败或错误的能力。网络交换机应提供安全相关事件、失败或错误提示的告警能力。613网
31、络配置保密性(oCfg_Confidentiality)网络交换机应保证配置和连接信息不会泄露。614配置完整性(oCfg_Integrity)网络交换机应保证审计文件、配置、连接信息和其他信息的完整性。网络交换机不需负责存储这些信息。615管理配置数据(oCfg_Manage)应有获取和保存网络交换机的配置和连接信息的能力,必须保证存储的完整性,能进行系统部件的鉴别与系统连接的鉴别。616控制数据的可信通道(OCtrl_Channel)提供对等网络交换机之问传输控制数据的完整性和保密性;提供独立的可信信道。为了支持保密性网络交换机必须支持加密基础设施。该加密基础设施要支持包括客户端注册、密钥
32、管理和信道隔离在内的服务。617受控标识和鉴别(oCtrl_IA)只有在请求连接的目标地址、标识、鉴别和权限与控制策略一致时,才能连接到网络交换机。618检测非授权连接(ODetect_Conneetion)网络交换机应能检测并告警未经授权的连接。619故障发生时安全状态的保存(oFaiLSecure)网络交换机应能保存部件失效或停电事件时的系统安全状态。6110生命周期安全(OLifeeycle)对网络交换机实行管理和维护,保证在其生命周期内正确地实现和保护其安全功能。对硬件、软件或固件的升级,应保证不会影响其他的安全功能。611 1 管理数据的可倍路径(OMgmtPath)对于网络交换机和
33、网络管理站之间传输的信息,应保证其完整性和保密性,应提供独立的可信信道。为了支持保密性,网络交换机必须支持加密基础设施。该加密基础设施要支持包括客户端注册、密钥管理和信道隔离在内的服务。7GBT 21050-20076112安全修复和补丁(0Patches)网络交换机应安装最新的补丁和安全修复。6113业务优先级(OPriority_of_Service)即使使用尽力传输方式,网络交换机也应对所有的流量分配优先级。控制资源访问方式,防止低级别服务干扰或延迟高级别的服务。6114地址保护(OProtectAddresses)网络交换机应保护已授权组织的内部地址的保密性和完整性。在网络交换机收到数
34、据后,应能正确地解析出经过授权的源地址和目的地址。6115协议(oProtocols)在网络交换机中应实现能与其他厂商的网络交换机互操作的标准协义,并在网络交换机中实现可靠交付和错误检测的协议。6116避免重放攻击(OReplayPrevent)网络交换机应具有防止非授权用户伪装成已授权用户的能力,保护其自身免受重放攻击。6117网络交换机的自身防护(oSelPro)网络交换机必须做好自身防护,以对抗非授权用户对其安全功能的旁路、抑制或篡改。6118 网络交换机及其安全功能的测试(oTest)网络交换机及其安全功能的测试应严格遵照文档化的测试计划和规程。脆弱性测试应致力于寻找可能违反网络交换机
35、安全策略的方法。所有的测试方法和结果都应有文档记录。6119带标识的审计流量记录(OTraf_Audit)审计记录应包括日期、时间、发送速度、接受速度、节点标识符和负责传输数据的组织。网络交换机应验证审计记录的完整性,但网络交换机无需负责存储审计记录。6120 系统数据备份的完整性和保密性(oTrust_Backup)应确保网络交换机的系统文件和配置参数有冗余备份。备份文件的存储方式应符合网络安全策略,保证文件的完整性和保密性。另外,应能使用备份文件再生网络交换机的配置,在出现失效或泄密的情况下恢复网络交换机的功能网络文件可自动的复制到其他的管理站。612 1 可信的恢复(oTrusted_R
36、ecovery)应确保网络交换机在出现失效或错误后能够恢复到安全状态,应确保在更换失效的部件后,能够恢复系统状态,并且保证不会引发错误或造成其他的安全隐患。6122未用区域(oUnused_Fields)网络交换机应保证恰当的设定了协议头内所有未使用域的数值。6123软硬固件验证(OValidation)应通过合适的功能和规程,确保所有硬件、软件和固件的完整性,并保证所有硬件、软件和固件都可正确地安装和操作。62环境安全目的621 带标识的审计记录(OEAdmin_Audit)网络配置管理员和网络安全管理员的活动应被审计审计记录的存储和维护应符合安全策略。622管理属性(OEAttr_Mgt)
37、网络安全管理员应管理控制策略,只赋予授权的网络管理人员必需的权利。管理人员应在通过标识与鉴别后承担其特权角色。623审计记录查阅(OEAudit_Review)应定期的查阅所有审计记录,网络审计管理员应定期的查阅网络流量审计记录。624加密机制支持(OECryptography)为了支持保密性,网络交换机必须支持加密基础设施。该加密基础设施要支持包括客户端注册、密8GBT 21050-2007钥管理和信道隔离在内的服务。625环境保护(OEEnvironment)应提供对物理环境的保护,例如对抗火灾、地震、掉电等。626指导性文档(OEGuide_Docs)应提供安装、配置、操作和程序性指导文
38、档,防止安装、配置和操作上的错误。指导文件也要用于网络交换机及其安全功能的维护。627管理标识和鉴别(OEMgmt_lA)管理人员应在通过标识与鉴别后才能承担其特权角色。628可信人员(OEPersonnel)应使用可信赖的和有能力的员工。人员应经过基本培训,并进行经常性培训。629 物理保护(OEPhysical)应有物理保护措施,以避免恶意攻击、未经授权的修改、破坏和盗窃事件的发生。6210网络同步(OESynchronization)网络交换机应连接到可靠的时间源,以保证正确的网络资源同步。7安全要求71安全功能要求表1列出了网络交换机信息技术安全功能要求组件,并对各组件给出了详细的说明
39、。裹1安全功能要求组件安全功能要求类 安全功能要求组件 组件名称FAUGEN1 审计数据产生FAUGEN2 用户身份关联安全审计(FAU类)FAUSAR1 审计查阅FAUSEL1 选择性审计FDPACC1 子集访问控制FDP_ACFi 基于安全属性的访问控制FDPETC2 有安全属性的用户数据输出FDP_IFC1 子集信息流控制用户数据保护(FDP类)FDPIFF 1 简单安全属性FDP-lTC2 有安全属性的用户数据输人FDPUIT 1 数据交换完整性FDP-UIT2 原发端数据交换恢复FIAUAU2 任何行动前的用户鉴别标识和鉴别(FIA类) FIAJUlD2 任何行动前的用户标识FIAA
40、FL 1 鉴别失败处理FMI、一MOF1 安全功能行为的管理FMT二MSA1 安全属性的管理安全管理(FMT类) FMT MSA 3 静态属性初始化FMTMTD1 安全功能数据的管理FMTSMR2 安全角色限制9GBT 21050-2007表1(续)安全功能要求类 安全功能要求组件 组件名称FPT AMT1 抽象机测试FPTFLS1 带保存安全状态的失败FPT 1TC1 传送过程中安全功能间的保密性FP,IYII1 安全功能问修改的检测FPT-PHP1 物理攻击的被动检测安全功能保护(FPT类) FPIRCV3 无过度损失的自动恢复FPT RCV4 功能恢复FPTRII1 重放检测FPTSTM
41、1 I丁靠的时间戳FlrI-TI)C1 安全功能间基本安全功能数据的一致性FPTTST1 安全功能检测FRUFI。T】 低容错资源利用(FRU类)FRUPRS2 全部服务优先级网络交换机访问(FTA类) FTATSE1 网络交换机会话建立FTPITC1 安全功能间可信信道可信路径信道(FTP类)FTPTRP1 可信路径711安全审计(FAU类)7111 审计数据产生(FAU_GEN1)FAuGEN11 网络交换机的安全功能应能为下列可审计事件产生审计记录:a)审计功能的启动和关闭。b)基本级审计的所有可审计事件。c)【对网络审计管理员、网络配置管理员和冈络安全管理舅的审计:访问权限和能力的分配
42、或撤销、任伺由网络管理人员所做出的更改进程运行期间的时间和B期网络管理人员执行活动的时间和8期。对于网络流量的审计:能够记录主干网内的源和目的节点传输和接收流i的大小8期和时闻。1FAUGEN12 网络交换机的安全功能应在每个审计记录中至少记录如下信息:a)事件的日期和时间、事件类型、主体身份、事件的结果(成功或失败);b)对每种审计事件类型是基于保护轮廓或安全目标文档中安全功能要求组件的可审计事件进行定义的,其他相关审计事件包括【收到不可信源的流量、接受来自不可信源的流量、恢复安全性相关事件的响应行动、恢复一个与安全性相关事件花费的时间被安全性相关事件影响的所有组件,1,依赖关系:FPT_S
43、TM可靠的时间戳。7112用户身份关联(FAuGEN2)FAUGEN21网络交换机的安全功能应能将每个可审计事件与引起该事件的用户身份相关联。用户的网络管理审计数据将关注网络管理角色涉及到的人员,而用户的流量统计数据将关注网络交换机的标识。依赖关系:FAUGEN】审计数据产生10GBT 21050-2007FIAUID1适时标识。7113审计查阅(FAU-sAR1)FAUSAR11 网络交换机的安全功能应为【措定的网络安全管理员】提供从审计记录中读取【所有事蝴E据】的能力。FAUSAR12 网络交换机的安全功能应以便于用户理解的方式提供审计记录。依赖关系:FAUGEN1审计数据产生。7114选
44、择性审计(FAU_SEL1)FAUSEI1 1 网络交换机的安全功能根据以下属性包括或排除审计事件集中的可审计事件:客雄标识、用户标识、主体标识、主祝标识、事件类型。依赖关系:FAUGEN1审计数据产生;FMTMTD1安全功能数据的管理。712用户数据保护(FDP类)7121子集访问控制(FDPACC1)FDPACC11 网络交换机的安全功能应对【适笸煎塞】执行【遮塑墼型筮墅】。依赖关系:FDPACF1基于安全属性的访问控制。7122基于安全性属性的访问控制(FDP_ACF1)FDP_ACF11 网络交换机的安全功能应基于【龌堡!鳖型塑蕉董望笪金适史曼=尘丛堡盟蔓簋FDPACF12FDP AC
45、F13艘堡壑】对客体强制执行【垃塑蕉型堕堕】。网络交换机的安全功能应执行以下规则,以决定受控主体与受控客体间的操作是否被允许【遂旦鳖壅夔塑盟丝墼些盈垄旦照旦鳖塞夔塑丝煎塑墼型型蕉生堑识出来,授权必须发生在接收消息之前】。网络交换机的安全功能应基于以下附加规则决定主体对客体的访问授权【合法鳇笪盟塑壹壹!鲤鳖塞堡塑盟虚鱼(丝望堡丛受笸塑苤盟煎量!煎里星廛些亘丛不可信源接收瀛i)、时间和流t特征(如控制信息)1,FDPACF14 网络交换机的安全功能应基于【发送者的地址】明确拒绝主体对客体的访问。依赖关系:FDPACC1子集访问控制FMTMSA3静态属性初始化。7123有安全属性的用户数据输出(FDPETC2)FDPETC21 网络交换机的安全功能在安全功能策略的控制下输出用户数据到安全功能的控制范围之外时,应执行【安全属性的应用程序】。FDPETC22 网络交换机的安全功能应输出带有相关安全属性的用户数据。FDP_ETC23 网络交换机的安全功能在安全属性输出到安全功能的控制范围之外时,应确保其与输出的数据确切关联。FDPETC24 网络交换机的安全功能在用户数据从安全功能的控制范围输出时,【篮簦墼塑盟网络交换机必掰保证具有完整性保护】。依赖关系:FDPACC1子集访问控制或FDPIFC1子集信息流控制。7124子集信息流控制(FDP_IFC”FDPIFC