6.3 安全目的基本原理

6.3　安全目的基本原理

6.3.1　安全目的基本原理概述

TOE的安全目的能應對所有可能的威脅、假設和組織安全策略，即每一種威脅、假設和組織安全策略都至少有一個或一個以上安全目的與其對應，因此是完備的。每一個安全目的都有相應的威脅、假設和組織安全策略與之對應，這證明每個安全目的都是必要的；每一個威脅、假設和組織安全策略都有相應的一個或多個安全目的與之對應，因此說明了安全目的是充分的。

6.3.2　威脅對應安全目的

表1說明了網絡交換機的安全目的能應對所有可能的威脅

6.3.2.1　通信分析（T.Analysis）

攻擊者可能收集源和目標地址、大量數據和發送數據的日期、時間。
基本原理：
O.Ctrl_Channel：控制數據的可信通道
O.Ctrl_Channel減輕T.Analysis的威脅，是通過保持控制信息的保密性以及支持加密機制來實現。
O.Detect_Connection：檢測非授權連接
O.Detect_Connection抵抗T.Analysis的威脅，是通過網絡交換機所具備的檢測和警報未授權連接的能力來實現。
O.Mgmt_Path：管理數據的可信路徑
O.Mgmt_Path抵抗T.Analysis的威脅，是通過保證所有管理數據的完整性和保密性來實現。
O.Protect_Addresses：地址保護

6.3.2.2　審計機制失效（T.Audit_Compromise）

惡意用戶或進程可能修改TOE審計策略，使TOE審計功能停用或失效、審計記錄丟失或被篡改，也有可能通過審計數據存儲失效來阻止未來審計記錄被存儲，從而掩蓋用戶的操作。
基本原理：
O.Audit_Protection：審計數據保護

6.3.2.3　未授權網絡訪問并獲取數據（T.Capture）

攻擊者可能偷聽、接入傳輸線、或用其它方式獲取通信信道上傳輸的數據。
基本原理：
O.Ctrl_Channel：控制數據的可信通道
O.Ctrl_Channel抵抗T.Capture的威脅，是通過保證控制信息的保密性和完整的持續力來實現。
O.Detect_Connection：檢測非授權連接
O.Detect_Connection抵抗T.Capture的威脅，是通過具備對任何未授權連接的檢測能力來實現。
O.Mgmt_Path：管理數據的可信路徑

6.3.2.4　節點泄露（T.Compromised_Node）

修改網絡交換機配置文件或路由表使得節點變得不安全，導致網絡交換機運行異常、網絡交換機安全功能失效、或流量可能被重路由經過未授權的節點。
基本原理：
O.Audit_Review：審計記錄查閱
O.Audit_Review抵抗T.Compromised_Node的威脅，是通過審閱和分析流量的審計記錄，從而發現異常的網絡流量模式。
O.Priority_Of_Service：提供服務優先級
O.Priority_Of_Service抵抗T.Compromised_Node的威脅，是通過提供服務優先級的控制和執行，從而避免僅對一個指定的優先級的傳輸流量的節點進行操作的嘗試。
O.Protect_Addresses：地址保護
O.Protect_Addresse抵抗T.Compromised_Node的威脅，是通過保證地址的保密性和完整性。
O.Traf_Audit：帶標識的審計流量記錄
O.Traf_Audit與O.Audit_Review聯合抵抗T.Compromised_Node的威脅，是通過流量記錄的產生來獲取持續的異常行為的能力。
O.Trusted_Recovery：可信的恢復

6.3.2.5　隱通道（T.Covert）

隱通道通常在隱蔽區域中隱藏信息，其目的是用于傳送信息不被監控。
基本原理：
O.Unused_Fields ：未用區域

6.3.2.6　密碼分析（T.Cryptanalytic）

攻擊者為了復原信息內容而去嘗試進行已加密數據的密碼分析。
基本原理：
O.Ctrl_Channel：控制數據的可信通道
O.Ctrl_Channel抵抗T.Cryptanalytic的威脅，是通過加密機制的支持和控制信息完整性的持續力，從而保證控制信息的保密性。
O.Mgmt_Path：管理數據的可信路徑

6.3.2.7　拒絕服務（T.Denial）

攻擊者通過執行指令、發送超限額的高優先級流量數據、或執行其他操作，在網絡上造成不合理的負載，造成授權客戶得不到應有的系統資源，即導致拒絕服務。
基本原理：
O.Ctrl_Channel：控制數據的可信通道
O.Ctrl_Channel抵抗T.Denial的威脅，是通過保證控制信息的完整性，從而使其它客戶無法通過執行其他操作而獲得資源。
O.Priority_Of_Service：提供服務優先級
O.Priority_Of_Service抵抗T. Denial的威脅，是通過控制和加強服務預設的優先級，從而確保一個流量的優先級將不會過度干涉或延遲服務提供的不同優先級的流量。
O.Replay_Prevent：避免重放攻擊
O.Replay_Prevent抵抗T. Denial的威脅，是通過阻礙消耗網絡資源的重放信息。網絡交換機阻礙重放信息的能力，將有助于保證網絡資源對于授權客戶是有效的。

6.3.2.8　部件或電源失效（T.Fail）

一個或多個系統部件或電源失效可能造成重要系統功能破壞和重要系統數據的丟失。
基本原理：
O.Alarm：安全風險報警通知
O.Alarm減少T.Fail的威脅，是通過允許糾正錯誤或失敗行為產生迅速響應實現。
O.Fail_Secure：故障發生時安全狀態的保存
O.Fail_Secure有助于抵抗T.Fail的威脅，是通過保證網絡交換機和網絡交換機安全功能能夠恢復到安全狀態實現。
O.Trust_Backup：系統數據備份的完整性和保密性
O.Trust_Backup減少T.Fail的威脅，是通過確保產生網絡數據的復制版本，這樣能夠快速地使網絡交換機和網絡交換機的安全功能恢復到正確的操作。
O.Trusted_Recovery：可信的恢復
O.Trusted_Recovery減少T.Fail的威脅，是通過保證除了在危及網絡交換機安全的情況下，并且在操作被中斷之后，網絡交換機能夠恢復到一個安全狀態。O.Trusted_Recovery也保證在使系統重新一體化的時候，取代失敗的組件，這樣將恢復為不會引起錯誤或造成對網絡的其它部分的安全破壞。
O.Update_Validation：更新驗證

6.3.2.9　硬件、軟件或固件的缺陷（T.Flaw）

硬件、軟件或固件的缺陷導致網絡交換機及其安全功能的脆弱性。
基本原理：
O.Lifecycle：生命周期安全
O.Lifecycle減少T.Flaw的威脅，是通過保存貫穿網絡交換機整個可操作的生命周期中的網絡交換機安全功能的正確操作。
O.Patches：安全修復和補丁
O.Patches減少T.Flaw的威脅，是通過保證大多數最新的修復和補丁被安裝，從而確保能夠抵抗網絡交換機和網絡交換機安全功能的缺陷。
O.Self_Test：網絡交換機及其安全功能的測試
O.Self_Test減少T.Flaw的威脅，是通過發現那些隱藏操作或危及網絡交換機和網絡交換機安全功能脆弱性的缺陷。
O.Update_Validation：更新驗證

6.3.2.10　管理員網絡授權的濫用（T.Hostile_Admin）

網絡配置管理員或網絡安全管理員有意濫用授權，進行不適當地存取或修改數據信息，例如：配置數據、審計數據、口令文件、或誤處理其他的敏感數據文件。
基本原理：
O.Admin_Audit：帶標識的審計記錄
O.Admin_Audit抵抗T.Hostile_Admin的威脅，當知曉行為和身份會被監控和記錄，那么被濫用特權的威脅就會減少。
O.Audit_Review：審計記錄查閱
O.Audit_Review減少T.Hostile_Admin的威脅，通過行為被周期性地監控和審閱。
O.Mgmt_I&A：管理標識和鑒別
O.Mgmt_I&A減少T.Hostile_Admin的威脅，是通過在審計記錄中獲取對網絡管理人員的標識。
O.Trust_Backup：系統數據備份的完整性和保密性
O.Trust_Backup減少T.Hostile_Admin的威脅，是通過保證網絡文件的復制。如果主要系統失效，那么被復制的系統能夠迅速地進入操作中，從而保證操作的連續性。或者，如果網絡文件沒有儲存在次要的管理站，而是另一個存儲設備，那么網絡參數仍然被保存著。
O.Trusted_Recovery：可信的恢復

6.3.2.11　管理錯誤（T.Mgmt_Error）

擁有網絡配置管理員角色的人員可能無意地不恰當存取或修改了數據信息，或誤用資源。
基本原理：
O.Admin_Audit：帶標識的審計記錄
O.Admin_Audit通過對錯誤的確認使得各種行為及其影響能夠得到糾正，從而降低了T.Mgmt_Error的威脅。
O.Cfg_Manage：管理配置數據
O.Cfg_Manage通過獲取和保持與網絡交換機及網絡信息的恢復有關的配置和連接信息，降低了T.Mgmt_Error的威脅。
O.Trust_Backup：系統數據備份的完整性和保密性
當有嚴重錯誤發生時，O.Trust_Backup能夠在首選系統恢復過程時通過第二系統繼續操作，從而降低T.Mgmt_Error的威脅。
O.Trusted_Recovery：可信的恢復

6.3.2.12　修改協議（T.Modify）

攻擊者未經授權的修改或巧妙地操縱協議（例如：路由選擇、信號等協議）。
基本原理：
O.Attr_Mgt：管理屬性
O.Attr_Mgt減輕了T.Modify的威脅。因為網絡操作管理者和網絡安全管理者有特權，那么惡意的網絡操作人員就有機會相對容易地進行惡意修改。然而，當網絡操作人員知曉其行為會被捕獲和審計后，此種威脅可以有效的降低。
O.Ctrl_Channel：控制數據的可信通道
O.Ctrl_Channel通過確保控制信息保持保密性和完整性從而減弱了T.Modify的威脅。
O.Trusted_Recovery：可信的恢復
當T.Modify威脅引起了操作中的不連續，O.Trusted_Recovery能確保網絡交換機和網絡能夠返回到安全狀態，從而減輕了T.Modify的威脅。
O.Update_Validation：更新驗證

6.3.2.13　網絡探測（T.NtwkMap）

攻擊者可能進行網絡探測來獲得節點地址、路由表信息和物理位置。
基本原理：
O.Ctrl_Channel：控制數據的可信通道
通過確保控制信息的保密性及完整性O.Ctrl_Channel減弱了T.Ntwk_Map的威脅。
O.Detect_Connection：檢測非授權連接
通過對未授權連接的檢測，O.Detect_Connection減弱了T.Ntwk_Map的威脅。
O.Protect_Addresses：地址保護
O.Protect_Addresses通過確保傳送和接收地址的保密性和完整性減弱了T.Ntwk_Map的威脅。
O.Mgmt_Path：管理數據的可信路徑

6.3.2.14　重放攻擊（T.Replay_Attack）

攻擊者通過記錄通信會話，并重放它們偽裝成已驗證的客戶，非法獲取網絡交換機的訪問權。管理信息也可能被記錄和重放，從而用于偽裝成已驗證的網絡配置管理員或網絡安全管理員來得到對網絡管理資源的訪問權。
基本原理：
O.Access_Control：訪問控制機制
通過強制執行訪問控制機制，讓攻擊者獲得網絡交換機和網絡的訪問權增加了難度，從而降低了T.Replay_Attack的威脅。
O.Ctrl_Channel：控制數據的可信通道
由于網絡交換機支持加密機制，因此它能確保控制信息的完整性和保密性，從而降低了T.Replay_Attack的威脅。
O.Ctrl_I&A：受控標識和鑒別
O.Ctrl_I&A通過要求標識和鑒別，增加了攻擊者獲得網絡交換機訪問權的難度，從而降低了T.Replay_Attack的威脅。
O.Detect_Connection：檢測非授權連接
O.Detect_Connection確保了對非授權連接的檢測，消除了通過記錄和重放信息以獲得網絡交換機和網絡資源訪問權的可能，從而降低了T.Replay_Attack的威脅。
O.Mgmt_I&A：管理標識和鑒別
O.Mgmt_I&A通過要求標識和鑒別，增加了攻擊者獲得網絡管理資源的難度，從而降低了T.Replay_Attack的威脅。
O.Replay_Prevent：避免重放攻擊
O.Replay_Prevent直接對抗了T.Replay_Attack的威脅。

6.3.2.15　配置數據泄漏（T.Sel_Pro）

攻擊者可能讀、修改或破壞重要的網絡交換機的安全配置數據。
基本原理：

6.3.2.16　欺騙攻擊（T.Spoof）

未授權節點可能使用有效的網絡地址來嘗試訪問網絡，即客戶通過獲得的網絡地址來偽裝成已授權的用戶，企圖得到網絡交換機資源。
基本原理：
O.Ctrl_I&A：受控標識和鑒別
O.Ctrl_I&A通過強制執行標識和鑒別增加了攻擊者獲取網絡交換機訪問權的困難，從而相應增加了設法執行欺騙功能的困難，因此對抗了欺騙攻擊的威脅。
O.Detect_Connection：檢測非授權連接
O.Detect_Connection通過對未授權連接的檢測阻止了攻擊者企圖獲取網絡地址的可能，從而對抗了欺騙攻擊的威脅。
O.Mgmt_I&A：管理標識和鑒別
O.Mgmt_I&A通過強制執行標識和鑒別增加了攻擊者獲取網絡交換機訪問權的困難，從而相應增加了設法執行欺騙功能的困難，因此反擊了欺騙攻擊的威脅。
O.Protect_Addresses：地址保護

6.3.2.17　對管理端口的非授權訪問（T.Unauth_Mgmt_Access）

攻擊者或濫用特權的網絡配置管理員可能通過Telnet、RMON或其他方式訪問管理端口，從而重新配置網絡、引起拒絕服務、監視流量、執行流量分析等。
基本原理：
O.Access_Control：網絡訪問控制
O.Access_Control通過執行網絡訪問控制機制對特權進行了限制從而對抗了T.Unauth_Mgmt_Access的威脅。
O.Admin_Audit：帶標識的審計記錄
O.Admin_Audit通過對負有責任的網絡管理人員的行為的審計減弱了濫用特權的威脅，T.Unauth_Mgmt_Access。
O.Audit_Review：審計記錄查閱
O.Audit_Review通過使所有的行為都被定期的審計和查閱從而減弱了T.Unauth_Mgmt_Access的威脅。
O.Detect_Connection：檢測非授權連接
O.Detect_Connection確保對非授權連接的檢測，有助于發現對管理數據的非授權的訪問，從而減弱了T.Unauth_Mgmt_Access的威脅。
O.Mgmt_I&A：管理標識和鑒別
O.Mgmt_I&A通過要求對網絡管理人員進行標識和鑒別，這些人員被審計并且與他們的行為相聯系，減弱了T.Unauth_Mgmt_Access的威脅。
O.Trust_Backup：系統數據備份的完整性和保密性
O.Trust_Backup通過確保網絡交換機數據文件存儲的保密性和完整性，降低了T.Unauth_Mgmt_Access的威脅。當有對管理數據的未授權訪問發生或者網絡參數被偽造時，O.Trust_Backup要求能較快的恢復。
O.Trusted_Recovery：可信的恢復

6.3.3　組織安全策略對應安全目的

表2說明了網絡交換機的安全目的能應對所有可能的組織安全策略。

6.3.3.1　可核查性（P.Accountability）

使用網絡交換機傳送信息的組織、擁有網絡配置管理員角色的人員和開發者應該對他們的行為活動負責。
基本原理：
O.Admin_Audit：帶標識的審計記錄
O.Admin_Audit對P.Accountability的支持，是通過確認那些在網絡管理系統中對他們行為負責的網絡配置管理員角色。審計記錄將報告最小范圍內的網絡管理人員的身份，網絡管理人員在系統中執行的行為，行為產生的時間和日期。
O.Ctrl_I&A：受控標識和鑒別
O.Ctrl_I&A對P.Accountability的支持，是通過與訪問控制策略保持一致的標識和鑒別，來保證組織對他們的行為負責。
O.Lifecycle：生命周期安全
O.Lifecycle對P.Accountability的支持，是通過確保在硬件、軟件或固件版本升級時，開發者負責保持或增加安全特征。
O.Mgmt_I&A：管理標識和鑒別
O.Mgmt_I&A對P.Accountability的支持，是通過對管理人員的標識和鑒別，來保證他們能夠對他們的行為負責。
O.Traf_Audit：帶標識的審計流量記錄

6.3.3.2　審計管理行為（P.Audit_Admin）

網絡管理系統應該能產生和傳送審計記錄，審計記錄應提供和包括充足的信息，用來決定在會話發生時，可識別出網絡配置管理員或網絡安全管理員的人員、管理日期、管理時間和管理行動等信息，審計記錄應該被周期性的審閱。
基本原理：
O.Admin_Audit：帶標識的審計記錄
O.Admin_Audit對P.Audit_Admin的支持，是通過保證那些在網絡管理系統中對他們行為負責的網絡管理角色。審計記錄將最小范圍的報告網絡管理人員的標識，網絡管理人員在系統中的行為，行為產生的時間和日期。
O.Audit_Review：審計記錄查閱
O.Audit_Review對P.Audit_Admin的支持，是通過保證審計記錄的周期性審閱。
O.Mgmt_I&A：管理標識和鑒別

6.3.3.3　操作員和節點的鑒別（P.Authentication）

網絡交換機應能支持對網絡審計管理員、網絡配置管理員和網絡安全管理員的鑒別，并且網絡交換機也應支持對等節點的鑒別。
基本原理：
O.Access_Control：網絡訪問控制
O.Access_Control對P.Authentication的支持，在于鑒別動作必須在訪問控制策略有效的情況下進行。
O.Admin_Audit：帶標識的審計記錄
O.Admin_Audit對P. Authentication的支持，在于設定角色之前，為網絡配置管理員或者網絡管理安全管理員提供審計記錄。
O.Ctrl_I&A：受控標識和鑒別
O.Ctrl_I&A對P. Authentication的直接支持，是通過只有在標識和鑒別之后才允許連通性。
O.Mgmt_I&A：管理標識和鑒別

6.3.3.4　網絡可用性（P.Availability）

應能保證網絡資源對許可客戶的任務需求和傳送信息需求的有效性。
基本原理：
O.Access_Control：網絡訪問控制
O.Access_Control對P.Availability的支持，是通過只允許對網絡的授權使用。所有那些未授權的訪問被阻止從而預防對網絡交換機和網絡過度的負擔。
O.Alarm：安全風險報警通知
O.Alarm對P.Availability的支持，是通過檢測和報警失敗、錯誤或與安全相關的事件，來保證網絡對客戶是有效的。警告準許對糾正問題具有迅速的響應，并且讓網絡被正確地操作從而再次對客戶有效。
O.Fail_Secure：故障發生時安全狀態的保存
O.Fail_Secure對P.Availability的支持，是通過保存系統在停止期間的安全狀態，來保證網絡的有效性。
O.Priority_Of_Service：提供服務優先級
O.Priority_Of_Service對P.Availability的支持，是通過保證一個客戶不能消耗多于對他們處理時間和寬帶的分配，從而引起網絡資源對其他客戶的無效。
O.Replay_Prevent：避免重放攻擊

6.3.3.5　信息的保密性（P.Confidentiality）

應保持統計數據、配置信息和連接信息等在實時和存儲狀態下的保密性。為了保持其保密性，網絡交換機應能夠支持加密裝置加解密能力或接口支持能力。
基本原理：
O.Cfg_Confidentiality：網絡配置保密性
O.Cfg_Confidentiality對P.Confidentiality的支持，是通過保證配置和連接信息是機密的。
O.Ctrl_Channel：控制數據的可信通道
O.Ctrl_Channel對P.Confidentiality的直接支持，是通過保證對傳輸必需的控制信息的保密性。
O.Mgmt_Path：管理數據的可信路徑
O.Mgmt_Path對P.Confidentiality的直接支持，是通過保證網絡管理數據的保密性。
O.Trust_Backup：系統數據備份的完整性和保密性

6.3.3.6　默認配置（P.Default_Config）

網絡交換機的默認設置應能防止網絡交換機安全性功能的削弱或失效。所有有助于網絡交換機安全性的功能應是默認生效的。
基本原理：
O.Trusted_Recovery：可信的恢復
O.Trusted_Recovery對P.Default_Config的支持，是通過保證失敗時對安全狀態的恢復。如果恢復為默認的設置，那么網絡的安全性將被保存。
內容的完整性（P.Integrity）
管理和控制信息在傳輸期間應保持其內容的完整性，同時，所有信息要保持其儲存狀態下的完整性。
基本原理：
O.Cfg_Integrity：配置完整性
O.Cfg_Integrity對P.Integrity的支持，是通過保證與網絡交換機保持內容完整性，儲存狀態下的信息也同樣保持完整性。
O.Cfg_Manage：管理配置數據
O.Cfg_Manage對P.Integrity的支持，是通過保證在儲存狀態下的網絡管理信息的完整性。
O.Ctrl_Channel：控制數據的可信通道
O.Ctrl_Channel對P.Integrity的支持，是通過保證那些控制信息保持它的完整性，以便保證它對等網絡交換機之間的傳遞。
O.Mgmt_Path：管理數據的可信路徑

6.3.3.7　互操作性（P.Interoperability）

網絡交換機應能與其他廠商的網絡交換機互連互通。在網絡交換機中要實現標準化的，非專有的協議（如路由選擇、信令協議等）。廠商可以選擇性地實現一些專有協議，但為了互通的目的廠商也應在網絡交換機中實現標準協議。
基本原理：
O.Protocols：協議

6.3.3.8　故障通告（P.Notify）

網絡交換機及其安全環境應具備（或在其他設備配合下具備）提醒和報警能力，例如：通過SNMP第3版的陷門機制發送部件、固件、硬件或軟件的失效通知。
基本原理：
O.Alarm：安全風險報警通知

6.3.3.9　對等節點（P.Peer）

安全的節點應有接受來自信任和不信任節點流量的能力。為了保護信息，流量將會在信任和不信任的節點之間被過濾。
基本原理：
O.Access_Control：網絡訪問控制
O.Access_Control對P.Peer的支持，是通過保證那些僅被授權的人員能夠獲取對安全節點的訪問。
O.Ctrl_Channel：控制數據的可信通道
O.Ctrl_Channel對P.Peer的支持，是通過保證在對等網絡交換機之間傳遞的所有控制數據的完整性和保密性。
O.Ctrl_I&A：受控標識和鑒別
O.Ctrl_I&A與O.Access_Control聯合支持P.Peer。O.Ctrl_I&A保證只有對于被授權的實體才提供連通性，并且與訪問控制策略保持一致，要求實體已經被正確地標識和授權。
O.Protect_Addresses：地址保護

6.3.3.10　可靠傳輸（P.Reliable_Transport）

網絡管理和控制應實現特定的可靠傳送和檢錯機制協議。
基本原理：
O.Ctrl_Channel：控制數據的可信通道
O.Ctrl_Channel對P.Reliable_Transport的支持，是通過保證有能力對收到的信息進行校驗的控制數據的完整性。
O.Mgmt_Path：管理數據的可信路徑
O.Mgmt_Path對P.Reliable_Transport的支持，提供獨立的可信信道，以保證網絡交換機和網絡管理站之間傳輸信息的完整性和保密性。
O.Priority_Of_Service：提供服務優先級
O.Priority_Of_Service對P.Reliable_Transport的支持，是通過按照設備提供服務優先級的規定，保證信息的可信靠傳輸。
O.Protocols：協議
O.Protocols對P. Reliable_Transport的支持，是通過保證在網絡交換機中標準協議被正確執行，以便保證流量的可靠傳輸。
O.Replay_Prevent：避免重放攻擊
O.Replay_Prevent對P. Reliable_Transport的支持，是通過保證以前的和復制的信息包能夠被檢測和拒絕，因而這些信息包不能夠干涉到其它的通信。
O.Traf_Audit：帶標識的審計流量記錄

6.3.3.11　網絡可生存性與恢復（P.Survive）

網絡資源應能夠從惡意的破壞嘗試中恢復，同時必須具有從傳輸錯誤中恢復的能力。網絡必須能抵御硬件或軟件失效，或具有在合理時間內復原的能力。用于恢復的任何環境都應被記錄下來。
基本原理：
O.Alarm：安全風險報警通知
O.Alarm對P.Survive的支持，是通過網絡交換機對安全相關事件如失敗或錯誤提供的報警能力，并且要求對糾正問題、恢復網絡交換機以及將網絡交換機的安全功能恢復到操作的正常狀態，從而保證網絡交換機和網絡交換機安全功能的可生存性。
O.Cfg_Manage：管理配置數據
O.Cfg_Manage對P.Survive的支持，是通過保證配置和連接信息的持續性和信息的存儲完整性。在這種方式下，任何必需的網絡配置都能夠被迅速地重建，來幫助提高其可生存性。
O.Fail_Secure：故障發生時安全狀態的保存
O.Fail_Secure對P.Survive的支持，是通過在組件或行動失敗的事件中保持系統的安全狀態，來提供彈性和可生存性。
O.Lifecycle：生命周期安全
O.Lifecycle對P.Survive的支持，是通過保證貫穿網絡交換機整個生命周期的安全功能被保護，以便資源能夠保持從抵抗錯誤或阻礙安全的嘗試進行恢復的能力。
O.Self_Test：網絡交換機及其安全功能的測試
O.Self_Test對P.Survive的支持，是通過保證網絡將有能力生存或從失敗中恢復。
O.Trust_Backup：系統數據備份的完整性和保密性
O.Trust_Backup對P.Survive的支持，是通過所有網絡交換機和網絡文件的復制，包括配置參數的復制，將確保從帶有惡意嘗試的事件中或者與網絡交換機、主要管理系統相關的失敗操作得到迅速恢復。
O.Trusted_Recovery：可信的恢復
O.Trusted_Recovery對P.Survive的支持，是通過保證網絡交換機有能力從失敗狀態中恢復。
O.Update_Validation：更新驗證

6.3.3.12　硬件、軟件和固件的完整性（P.SysAssur）

應提供使完整性生效、初始化、軟硬固件升級的功能和規程。應在初始安裝和軟件升級和固件交換時確保其完整性。
基本原理：
O.Lifecycle：生命周期安全
O.Lifecycle對P.SysAssur的支持，是通過保證特征和程序的完整性，以及維護網絡交換機和網絡交換機的安全功能被正確執行。
O.Self_Test：網絡交換機及其安全功能的測試
O.Self_Test對P.SysAssur的支持，是通過保證網絡交換機和網絡交換機的安全功能被正確地使用和執行。
O.Update_Validation：更新驗證

6.3.4　假設對應安全目的

表3說明了網絡交換機的安全目的能夠應對的假設。

6.3.4.1　物理保護（A.Physical）

網絡交換機應放置在于受控訪問的物理環境內，以避免被未經授權者物理訪問。該環境應提供不間斷電源、溫濕度控制等措施確保交換機能可靠運行。

6.3.4.2　可信人員（A.Noevil & Train）

網絡交換機授權管理員不應是粗心大意、不負責任或者是懷有敵意的，能夠遵循所有管理員指南的規定。但是允許其有出錯的可能。管理員應該受到了正確的運用、安裝、配置和維護網絡交換機、網絡交換機安全功能和網絡組件的合格培訓。

6.3.4.3　無通用性（A.No_General_Purpose）

除用于運行、管理和支持TOE所需的服務外，假定在TOE上無法獲得通用的計算能力（如編譯器或用戶應用）