<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 18018—2019 信息安全技術-路由器安全技術要求
    展開或關閉
    前言
    前言
    1. 范圍
    范圍
    2. 規范性引用文件
    規范性引用文件
    3. 術語和定義、縮略語
    術語和定義、縮略語
    4. 第一級安全要求
    4.1 安全功能要求 4.2 安全保障要求
    5. 第二級安全要求
    5.1 安全功能要求 5.2 安全保障要求
    6. 第三級安全要求
    6.1 安全功能要求 6.2 安全保障要求
    附錄
    附錄A (資料性附錄)安全要求對照表

    6.2 安全保障要求

    GB/T 18018—2019 信息安全技術-路由器安全技術要求 /

    6.2 安全保障要求

    6.2.1 配置管理

    開發者應設計和實現路由器配置管理,要求如下:

    a)開發者應使用配置管理系統,并提供配置管理文檔,為產品的不同版本提供唯一的標識,且產品的每個版本應當使用其唯一的標識作為標簽。

    b)配置管理范圍至少應包括路由器的產品實現表示、設計文檔、測試文檔、用戶文檔、配置管理,從而確保它們的修改是在一個正確授權的可控方式下進行的。配置管理文檔至少應能跟蹤上述內容,并描述配置管理系統如何跟蹤這些配置項。

    c)部分的配置管理應實現自動化

    6.2.2 交付和運行

    開發者應以文檔形式對路由器安全交付以及安裝和啟動的過程進行說明。文檔中應包括:

    a)對安全地將路由器交付給用戶的說明;

    b)對安全地安裝和啟動路由器的說明。

    c)對如何檢測路由器在分發過程中發生的未授權修改、如何檢測攻擊者偽裝成開發者向用戶交付路由器產品的說明

    以安全方式分發并交付產品后,仍應提供對路由器的長期維護和評估的支持,包括產品中的漏洞和現場問題的解決

    以安全方式分發并交付產品后,仍應不斷向用戶提供可能會影響到路由器安全的注意事項或警告信息

    6.2.3 開發

    開發者應提供路由器功能規范,要求如下:

    a)按非形式化功能設計的要求進行功能設計,以非形式化方法描述安全功能及其外部接口,并描述使用外部安全功能接口的目的和方法;

    b)提供路由器安全功能的高層設計。高層設計應按子系統描述安全功能及其結構,并標識安全功能子系統的所有接口。高層設計還應標識實現安全功能所要求的基礎性的硬件、固件和軟件。高層設計還應描述安全功能子系統所有接口及使用接口的目的和方法,并詳細描述接口的返回結果、例外情況和錯誤信息等,以及如何將路由器中有助于增強安全策略的子系統分離出來

    c)開發者應提供路由器安全功能的低層設計。低層設計應以模塊術語描述安全功能,并描述每一個模塊的目的、接口和相互間的關系。低層設計還應描述如何將路由器中有助于增強安全策略的模塊分離出來

    d)開發者應提供路由器安全功能的功能設計與高層設計之間的非形式化對應性分析,該分析應證明功能設計表示的所有相關安全功能都在高層設計中得到正確且完備的細化;

    e)開發者應提供安全策略模型,并闡明該模型和路由器功能設計之間的對應性,這一對應性是一致和完備的。安全策略模型是非形式化的。該模型應描述所有可以模型化的安全策略的規則和特征,并闡明該模型對于所有可模型化的安全策略來說,是與其一致且完備的

    6.2.4 指導性文檔

    開發者應編制路由器的指導性文檔,要求如下:

    a)文檔中應該提供關于路由器的安全功能與接口、路由器的管理和配置、路由器的啟動與操作、安全屬性、警告信息、審計工具的描述;

    b)文檔中不應包含任何一旦泄露將會危及系統安全的信息,文檔可以為硬拷貝、電子文檔或聯機文檔。如果是聯機文檔,應控制對文檔的訪問。

    6.2.5 生命周期支持

    開發者應建立開發和維護路由器的生命周期模型,即用于開發和維護路由器的程序、工具和技術。要求如下:

    a)開發者應按其定義的生命周期模型進行開發和維護,并提供生命周期定義文檔,在文檔中描述用于開發和維護路由器安全功能的生命周期模型;

    b)該模型對于路由器開發和維護應提供必要的控制,采用物理上、程序上、人員上以及其他方面的安全措施保護路由器開發環境的安全,包括場地的物理安全和對開發人員的選擇,并采取適當的防護措施來消除或降低路由器開發所面臨的安全威脅;

    c)開發者應描述用于開發路由器的工具和參照標準,并提供關于已選擇的開發工具選項的描述文檔。開發工具文檔應明確說明所有開發工具選項的含義

    6.2.6 測試

    開發者應對路由器進行測試,要求如下:

    a)應進行一般功能測試,保證路由器能夠滿足所有安全功能的要求;

    b)應提供測試深度的分析。在深度分析中,應論證測試文檔中所標識的對安全功能的測試足以表明該安全功能的運行與高層設計以及低層設計是一致的;

    c)應進行相符性獨立測試,由專業第三方獨立實驗室或消費者組織實施測試,確認路由器能夠滿足所有安全功能的要求;

    d)應由專業第三方獨立實驗室或消費者組織抽樣獨立性測試。開發者應提供能有效重現開發者測試的必需資料,包括可由機器閱讀的測試文檔、測試程序等

    e)保留并提供測試文檔,詳細描述測試計劃、測試過程以及預測結果和實際測試結果。

    6.2.7 脆弱性評定

    開發者應提供指導性文檔和分析文檔,在文檔中確定對路由器的所有可能的操作方式(包括失敗和操作失誤后的操作)的后果以及對于保持安全操作的意義,并列出所有目標環境的假設和所有的外部安全措施(包括外部程序的、物理的或人員控制)要求。所述內容應是完備、清晰、一致和合理的。

    開發者應對具有安全功能強度生命的安全機制(例如口令機制)進行安全功能強度分析。安全功能強度分析應證明安全機制達到了所聲明的強度。

    開發者應實施脆弱性分析,并提供脆弱性分布的文檔。對所有已標識的脆弱性,文檔應說明它們在所期望的路由器使用環境中不能被利用。文檔還應說明如何確保用戶能夠得到最新的安全補丁。

    脆弱性分析文檔中應包含對所使用協議的脆弱性分析。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    地球胖頭魚
    1.3k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类