<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T21050-2019網絡交換機安全技術要求
    展開或關閉
    前言
    前言
    1. 范圍
    范圍
    2. 規范性引用文件
    規范性引用文件
    3. 術語、定義縮略語
    3.1 術語和定義 3.2 縮略語
    4. 網絡交換機描述
    網絡交換機描述
    5. 安全問題定義
    5.1 資產 5.2 威脅 5.3 組織安全策略 5.4 假設
    6. 安全目的
    6.1 TOE安全目的 6.2 環境安全目的 6.3 安全目的基本原理
    7. 安全要求
    7.1 擴展組件定義 7.2 安全功能要求 7.3 安全保障要求 7.4 安全要求基本原理
    附錄A(資料性附錄)組件依賴關系
    附錄
    參考文獻
    參考文獻

    6.1 TOE安全目的

    GB/T21050-2019網絡交換機安全技術要求 /

    6.1 TOE安全目的

    6.1.1 網絡訪問控制(O.Access_Control)

    網絡交換機應實現訪問控制策略,訪問控制策略基于但不限于網絡交換機的任務(只處理可信任的或不可信任的,或者處理混合流量)、網絡交換機的標識(由一個機構、網絡提供者所有,同時也可由許多機構或客戶所有)、源和目標地址、端口層次的過濾(如Telnet、SNMP)等。

    6.1.2 帶標識的審計記錄(O.Admin_Audit)

    網絡配置管理員和網絡安全管理員的活動應被審計,審計記錄的存儲和維護應符合安全策略。

    6.1.3 安全風險報警通知(O.Alarm)

    網絡交換機應有發現元件、軟件或固件失敗或錯誤的能力。網絡交換機應提供安全相關事件和失敗或錯誤提示的告警能力。

    6.1.4 管理屬性(O.Attr_Mgt)

    授權管理員應管理控制策略,只賦予授權網絡配置管理員必需的權利。管理人員應在通過標識與鑒別后承擔其特權角色。

    6.1.5 審計數據保護(O.Audit_Protection)

    網絡交換機必須安全存儲審計數據,并具有對存儲的審計事件進行保護能力。

    6.1.6 審計記錄查閱(O.Audit_Review)

    所有的審計記錄都應定期地被查閱,授權管理員應定期地查閱網絡流量審計記錄。

    6.1.7 網絡配置保密性(O.Cfg_Confidentiality)

    網絡交換機應保證統計數據、配置和連接信息在實時和存儲狀態下不會泄露。

    6.1.8 配置完整性(O.Cfg_Integrity)

    網絡交換機應保證審計文件、配置、連接信息和屬于網絡交換機的其他信息的完整性。

    6.1.9 管理配置數據(O.Cfg_Manage)

    應有獲取和保存網絡交換機的配置和連接信息的能力,必須保證存儲的完整性,能進行系統部件的鑒別與系統連接的鑒別。

    6.1.10 加密機制支持(O.Cryptography)

    為了支持保密性,網絡交換機必須支持加密機制,該加密機制要支持客戶注冊、密鑰管理和信道隔離在內的服務,其使用的密碼算法必須符合國家、行業或組織要求的密碼管理相關標準或規范。

    6.1.11 控制數據的可信通道(O.Ctrl_Channel)

    提供對等網絡交換機之間傳輸控制數據的完整性和保密性;提供獨立的可信信道。

    6.1.12 受控標識和鑒別(O.Ctrl_I&A)

    只有在請求連接的目標地址、標識、鑒別和權限與控制策略一致時,才能連接到網絡交換機。

    6.1.13 檢測非授權連接(O.Detect_Connection)

    網絡交換機應能檢測并告警未經授權的連接。

    6.1.14 故障發生時安全狀態的保存(O.Fail_Secure)

    網絡交換機應能保存部件失效或停電事件時的系統安全狀態。

    6.1.15 管理標識和鑒別(O.Mgmt_I&A)

    管理人員應在通過標識和鑒別后才能承擔其特權角色

    6.1.16 管理數據的可信路徑(O.Mgmt_Path)

    應保證網絡交換機和網絡管理站之間傳輸信息的完整性和保密性,應提供獨立的可信信道。

    6.1.17 安全修復和補丁(O.Patches)

    網絡交換機應安裝最新的補丁及時進行安全修復。

    6.1.18 業務優先級(O.Priority_Of_Service)

    網絡交換機應支持對所有的流量分配優先級,控制資源訪問方式,以防止低級別服務干擾或延遲高級別的服務。

    6.1.19 地址保護(O.Protect_Addresses)

    網絡交換機應保護已授權組織內部地址的保密性和完整性。在網絡交換機收到數據后,應能正確地解析出經過授權的源地址和目的地址。

    6.1.20 協議(O.Protocols)

    在網絡交換機中應實現能與其他廠商的網絡交換機互操作的標準協議,并在網絡交換機中實現可靠交付和錯誤檢測的協議。

    6.1.21 避免重放攻擊(O.Replay_Prevent)

    網絡交換機應具有防止未經授權的代理偽裝成經過授權的代理能力,保護其自身免受重放攻擊。

    6.1.22 網絡交換機的自身防護(O.Sel_Pro)

    網絡交換機必須做好自身防護,以對抗非授權用戶對網絡交換機安全功能的旁路、抑制或篡改的嘗試。

    6.1.23 自檢(O.Self_Test)

    網絡交換機應具備對自身的檢測能力,以確保網絡交換機的安全功能能夠正確運行。

    6.1.24 帶標識的審計流量記錄(O.Traf_Audit)

    審計記錄應包括日期、時間、流量異常現象、節點標識符和負責傳輸數據的組織。網絡交換機應保證所有的審計記錄的完整性。

    6.1.25 系統數據備份的完整性和保密性(O.Trust_Backup)

    應確保網絡交換機的網絡文件和配置參數有冗余備份。備份文件應以符合網絡安全策略的方式存儲,以便保證文件的完整性和保密性,另外,應能由備份文件充分地復現網絡交換機的配置,以用于在出現失敗事件或安全泄密的情況下恢復網絡交換機的功能;網絡文件可自動地復制備份到另外的管理站。

    6.1.26 可信的恢復(O.Trusted_Recovery)

    應確保網絡交換機在失效或錯誤后恢復到沒有安全泄密的安全狀態,應確保失效部件更替后,系統的狀態恢復,并且保證不會引發錯誤或造成其它安全缺陷。

    6.1.27 未用區域(O.Unused_Fields)

    網絡交換機應保證協議頭內所有未被使用域的數值都被恰當地設定。

    6.1.28 更新驗證(O.Update_Validation)

    網絡交換機應具備對更新數據的驗證能力,以確保更新數據是可信任的。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    地球胖頭魚
    1.3k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类