7.2 安全功能要求

7.2　安全功能要求

表5列出了網絡交換機信息技術安全功能要求組件，這些要求由GB/T 18336.2中的安全功能要求組件和擴展組件組成，以下對各組件給出了詳細的說明。

7.2.1　安全審計（FAU類）

7.2.1.1　審計數據產生（FAU_GEN.1）

FAU_GEN.1.1 網絡交換機的安全功能應能為下列可審計事件產生審計記錄：
a）審計功能的啟動和關閉；
b）【基本級】審計的所有可審計事件；
c）【對網絡審計管理員、網絡配置管理員和網絡安全管理員的審計：訪問權限和能力的分配或撤消、任何由網絡管理人員所做出的更改、進程運行期間的時間和日期、和網絡管理人員執行活動的時間和日期。
對于終結于網絡交換機的流量的審計：能夠記錄異常流量的源和目的節點】。
FAU_GEN.1.2 網絡交換機的安全功能應在每個審計記錄中至少記錄如下信息：
a）事件的日期和時間、事件類型、主體身份、事件的結果（成功或失敗）；
b）對每種審計事件類型是基于保護輪廓或安全目標文檔中安全功能要求組件的可審計事件進行定義的，其它相關審計事件包括：【收到不可信源的流量、接受來自不可信源的流量、恢復安全性相關事件的響應行動、恢復一個與安全性相關事件花費的時間、被安全性相關事件影響的所有組件。】。

7.2.1.2　用戶身份關聯（FAU_GEN.2）

FAU_GEN.2.1 網絡交換機的安全功能應能將每個可審計事件與引起該事件的用戶身份相關聯。用戶的網絡管理審計數據將關注網絡管理角色涉及到的人員，而用戶的流量統計數據將關注網絡交換機的標識。
依賴關系：FAU_GEN.1審計數據產生；

7.2.1.3　審計查閱（FAU_SAR.1）

FAU_SAR.1.1 網絡交換機的安全功能應為【指定的網絡安全管理員】提供從審計記錄中讀取【所有審計數據】的能力。
FAU_SAR.1.2 網絡交換機的安全功能應以便于用戶理解的方式提供審計記錄。

7.2.1.4　選擇性審計（FAU_SEL.1）

FAU_SEL.1.1 網絡交換機的安全功能根據以下屬性包括或排除審計事件集中的可審計事件：【客體標識、用戶標識、主體標識、主機標識、事件類型】。
依賴關系：FAU_GEN.1審計數據產生；

7.2.1.5　受保護的審計跡存儲（FAU_STG.1）

FAU_STG.1.1 網絡交換機的安全功能應并保護審計跡中存儲的審計記錄。以避免未授權的刪除。
FAU_STG.1.2 網絡交換機的安全功能應能【防止】對審計跡中所存審計記錄的未授權修改。

7.2.1.6　防止審計數據丟失（FAU_STG.4）

FAU_STG.4.1 如果審計跡已滿，網絡交換機的安全功能應【覆蓋所存儲的最早的審計記錄】。

7.2.2　 密碼支持（FCS類）

7.2.2.1　密碼運算（FCS_COP.1）

FCS_COP.1.1 網絡交換機的安全功能應根據符合下列標準【賦值：標準列表（國家、行業或組織要求的密碼管理相關標準或規范）】的特定的密碼算法【賦值：密碼算法】和密鑰長度【賦值：密鑰長度】來行執【賦值：密碼運算列表】。
依賴關系：【FDP_ITC.1不帶安全屬性的用戶數據輸入，或
FDP_ITC.2帶有安全屬性的用戶數據輸入，或
FCS_CKM.1 密鑰生成】；
FCS_CKM.4 密鑰銷毀。

7.2.2.2　密鑰生成（FCS_CKM.1）

FCS_CKM.1.1 網絡交換機的安全功能應根據符合下列標準【賦值：標準列表（國家、行業或組織要求的密碼管理相關標準或規范）】的一個特定的密鑰生成算法【賦值：密鑰生成算法】和規定的密鑰長度【賦值：密鑰長度】來生成密鑰。
依賴關系：【FCS_CKM.2 密鑰分發，或
FCS_COP.1密碼運算】；
FCS_CKM.4 密鑰銷毀。

7.2.2.3　密鑰銷毀（FCS_CKM.4）

FCS_CKM.4.1 網絡交換機的安全功能應根據符合下列標準【賦值：標準列表】的一個特定的密鑰銷毀方法【賦值：密鑰銷毀方法】來銷毀密鑰。
依賴關系：【FDP_ITC.1不帶安全屬性的用戶數據輸入，或
FDP_ITC.2 帶有安全屬性的用戶數據輸入，或
FCS_CKM.1 密鑰生成】。

7.2.3　用戶數據保護（FDP類）

7.2.3.1　子集訪問控制（FDP_ACC.1）

FDP_ACC.1.1 網絡交換機的安全功能應對【通信請求】執行【訪問控制策略】。

7.2.3.2　基于安全性屬性的訪問控制（FDP_ACF.1）

FDP_ACF.1.1 網絡交換機的安全功能應基于【標識、鑒別和連接通信會話中另一個成員的節點的授權】對客體強制執行【訪問控制策略】。
FDP_ACF.1.2 網絡交換機的安全功能應執行以下規則，以決定受控主體與受控客體間的操作是否被允許：【源網絡交換機的地址必須在目的網絡交換機的訪問控制列表中標識出來，授權必須發生在接收消息之前】。
FDP_ACF.1.3 網絡交換機的安全功能應基于以下附加規則決定主體對客體的訪問授權：【合法鍵值的擁有者、網絡交換機的角色（處理僅從可信源來的流量，或配置成也可從不可信源接收流量）、時間、和流量特征（如控制信息）】。
FDP_ACF.1.4 網絡交換機的安全功能應基于【發送者的地址】明確拒絕主體對客體的訪問。
依賴關系：FDP_ACC.1子集訪問控制；

7.2.3.3　帶有安全屬性的用戶數據輸出（FDP_ETC.2）

FDP_ETC.2.1 網絡交換機的安全功能在安全功能策略的控制下輸出用戶數據到安全功能的控制范圍之外時，應執行【訪問控制策略】。
FDP_ETC.2.2 網絡交換機的安全功能應輸出帶有相關安全屬性的用戶數據。
FDP_ETC.2.3 網絡交換機的安全功能在安全屬性輸出到安全功能的控制范圍之外時，應確保其與輸出的數據確切關聯。
FDP_ETC.2.4 網絡交換機的安全功能在用戶數據從安全功能的控制范圍輸出時，【傳輸數據的網絡交換機必須保證具有完整性保護】。

7.2.3.4　子集信息流控制（FDP_IFC.1）

FDP_IFC.1.1 網絡交換機的安全功能應對【從不可信源接收到的控制信息（信令和路由信息）】執行【信息流控制策略】。

7.2.3.5　簡單安全屬性（FDP_IFF.1）

FDP_IFF.1.1 網絡交換機的安全功能應基于下列類型的主體和信息安全屬性：
【最小化的信息流控制策略，功能與訪問控制策略相關聯；可以識別控制信息的源，無論它是可信任的或不可信任的（可信源是可標識和可鑒別的，而且控制信息的完整性是可校驗的）；生成消息源的鑒別】，執行【信息流控制策略】。
FDP_IFF.1.2 如果有下面的規則【消息的源頭可以被接收方標識和鑒別，并且消息的完整性是可校驗的】，網絡交換機的安全功能應允許受控主體和受控信息之間存在經由受控操作的信息流，即網絡交換機的安全功能應允許在受控主體之間存在一個信息流。
FDP_IFF.1.3 網絡交換機的安全功能應執行【信息流控制策略：當發生網絡通訊失敗的事件時，在需做出路由和重新路由的決定時，來自可信源的控制信息的優先級要高于從不可信源接收的控制信息】。
FDP_IFF.1.4 網絡交換機的安全功能應提供下列功能【1、從不可信源接收數據；2、審計接收到的來自不可信源的數據；3、配置網絡交換機的安全功能以實現對來自不可信源數據接收的策略】。
FDP_IFF.1.5 網絡交換機的安全功能應根據下列規則：
【1.預先建立的可信任（靜態）路由；2.網絡管理端通過可信路徑的管理信息】，明確批準信息流。
FDP_IFF.1.6 網絡交換機的安全功能應基于下列規則：【配置安全策略以拒絕接收來自不可信源的數據】，明確拒絕信息流。
依賴關系：FDP_ACC.1子集訪問控制或FDP_IFC.1子集信息流控制；

7.2.3.6　帶有安全屬性的用戶數據輸入（FDP_ITC.2）

FDP_ITC.2.1 網絡交換機的安全功能在安全功能策略的控制下從安全功能的控制范圍之外輸入用戶數據時，應執行【基于訪問控制列表的標識的使用、擁有合法密鑰證據的校驗、完整性檢查的校驗、或源地址的識別】。
FDP_ITC.2.2 網絡交換機的安全功能應使用與輸入的數據相關的安全屬性。
FDP_ITC.2.3 網絡交換機的安全功能應確保使用的協議在安全屬性和接收的用戶數據之間提供了明確的聯系。
FDP_ITC.2.4 網絡交換機的安全功能應確保對輸入的用戶數據安全屬性的解釋與用戶數據源的解釋是一致的。
FDP_ITC.2.5 網絡交換機的安全功能在安全功能策略的控制下從安全功能的控制范圍之外輸入用戶數據時，應執行【賦值：】。
依賴關系：FDP_ACC.1子集訪問控制或FDP_IFC.1子集信息流控制；
FTP_ITC.1TSF間可信信道或FTP_TRP.1可信路徑；

7.2.3.7　數據交換完整性（FDP_UIT.1）

FDP_UIT.1.1 網絡交換機的安全功能應執行【信息控制策略】，使得能以某種方式傳送、接收用戶數據，保護數據避免出現篡改、刪除、插入、重用錯誤。
FDP_UIT.1.2 網絡交換機的安全功能應能根據收到的用戶數據，判斷是否出現了篡改、刪除、插入、重用。
依賴關系：FDP_ACC.1子集訪問控制或FDP_IFC.1子集信息流控制；
FTP_ITC.1TSF間可信信道或FTP_TRP.1可信路徑；

7.2.3.8　原發端數據交換恢復（FDP_UIT.2）

FDP_UIT.2.1 網絡交換機的安全功能應執行【幀序列檢查、循環冗余碼校驗、流量整形、抗重放、和完整復制所有網絡管理數據文件給某一分離的備份源】，以便能在原發端可信IT產品的幫助下，從【包的序列變化、重放包、不完整的數據傳輸、丟掉的包、網絡擁塞和主要網絡管理系統中的失敗】中恢復。
依賴關系：FDP_ACC.1子集訪問控制或FDP_IFC.1子集信息流控制；

7.2.4　標識和鑒別（FIA類）

7.2.4.1　任何行動前的用戶鑒別（FIA_UAU.2）

FIA_UAU.2.1在允許執行任何代表用戶的其它安全功能促成的行動執行前，網絡交換機的安全功能應要求該用戶已被成功鑒別。

7.2.4.2　任何行動前的用戶標識（FIA_UID.2）

FIA_UID.2.1 在允許執行任何代表用戶的其它安全功能促成的行動之前，網絡交換機的安全功能應要求用戶標識自己。

7.2.4.3　鑒別失敗處理（FIA_AFL.1）

FIA_AFL.1.1當與【鑒別事件列表】相關的【數目】次不成功鑒別嘗試出現時，網絡交換機的安全功能應加以檢測。
FIA_AFL.1.2 當達到或超過所定義的不成功鑒別嘗試的次數時，網絡交換機的安全功能應【行為列表】。

7.2.4.4　秘密的驗證（FIA_SOS.1）

FIA_SOS.1.1 網絡交換機的安全功能應提供一種機制以驗證秘密滿足【
1） 密碼的長度
2） 密碼的復雜度
3） 密碼的更改周期

7.2.5　安全管理（FMT類）

7.2.5.1　安全功能行為的管理（FMT_MOF.1）

FMT_MOF.1.1 網絡交換機的安全功能應僅限于【網絡安全管理員角色】對【網絡交換機在安裝時和貫穿整個生命周期的安全修復/補丁、選擇可審計事件、管理用戶賬戶、管理審計日志、管理訪問控制策略、管理信息流控制策略、到可信任時間源的網絡交換機連接、包括網絡交換機數據文件的備份和恢復的網絡交換機資源的維護】功能具有【確定其行為、激活、終止、修改其行為】的能力。
網絡交換機的安全功能應僅限于【網絡配置管理員負責建立和配置連接】對【網絡交換機的配置和網絡交換機資源的維護】功能具有【確定其行為、禁止、允許、修改其行為】的能力。

7.2.5.2　安全屬性的管理（FMT_MSA.1）

FMT_MSA.1.1 網絡交換機的安全功能應執行【訪問控制列表】，以僅限于【網絡安全管理員角色】能夠對【選擇可審計事件，管理審計日志，網絡管理系統訪問控制列表和賬戶，網絡用戶訪問控制列表和賬戶】安全屬性改變默認值、查詢、修改、刪除。
網絡交換機的安全功能應執行【訪問控制列表】，以僅限于【網絡配置管理員角色】能夠對安全屬性【網絡用戶訪問控制列表和賬戶】進行改變默認值、查詢、修改、刪除。
網絡交換機應執行【訪問控制列表】，以僅限于【網絡審計管理員、網絡配置管理員、網絡安全管理員角色】，能夠執行【監控和收集網絡行為屬性】以及【監控和分析流量行為】安全屬性的能力。
依賴關系：FDP_ACC.1子集訪問控制或FDP_IFC.1子集信息流控制；

7.2.5.3　靜態屬性初始化（FMT_MSA.3）

FMT_MSA.3.1 網絡交換機的安全功能應執行【訪問控制策略】，以便為用于執行安全功能策略的安全屬性提供受限的默認值。
FMT_MSA.3.2 網絡交換機的安全功能應允許【負責建立和配置連接的網絡配置管理員或網絡安全管理員角色】為生成的客體或信息指定替換性的初始值以代替原來的默認值。
依賴關系：FMT_MSA.1安全屬性的管理；

7.2.5.4　安全功能數據的管理（FMT_MTD.1）

FMT_MTD.1.1 網絡交換機的安全功能應僅限于【網絡安全管理員】能夠對【當前網絡管理審計數據的指定區域，和網絡流量數據】進行改變默認值、查詢的操作。
網絡交換機的安全功能應僅限于【網絡安全管理員】能夠對【TSF（如共享密鑰，證書）數據】進行【添加、修改、刪除、查詢】的操作。
網絡交換機的安全功能應僅限于【網絡配置管理員】能夠對【當前網絡流量審計數據的指定區域】進行【改變默認值、查詢】的操作。
網絡交換機的安全功能應僅限于【網絡審計管理員】能夠對【當前網絡流量審計數據的指定區域】進行【查詢】的操作。

7.2.5.5　管理功能規范（FMT_SMF.1）

FMT_SMF.1.1 TSF應能夠執行如下管理功能【TSF提供的安全管理功能列表】。

7.2.5.6　安全角色限制（FMT_SMR.2）

FMT_SMR.2.1 網絡交換機的安全功能應維護【網絡安全管理員】角色。
FMT_SMR.2.2 網絡交換機的安全功能應能夠把管理員用戶和角色關聯起來。
FMT_SMR.2.3 網絡交換機的安全功能應確保條件【網絡審計管理員或網絡配置管理員不能假定為網絡安全管理員角色】得到滿足。

7.2.6　安全功能保護（FPT類）

7.2.6.1　失效即保持安全狀態（FPT_FLS.1）

FPT_FLS.1.1 網絡交換機的安全功能在【硬件組件失敗、短期電源中斷】失敗發生時應保存一個安全狀態。

7.2.6.2　傳送過程中TSF間的保密性（FPT_ITC.1）

FPT_ITC.1.1 在網絡交換機的安全功能數據從安全功能到遠程可信IT產品的傳送過程中，網絡交換機的安全功能應保護所有的安全功能數據不被未授權泄漏。

7.2.6.3　TSF間篡改的檢測（FPT_ITI.1）

FPT_ITI.1.1 網絡交換機的安全功能應提供在下列量度范圍內：【強度必須等同于或超過由MD5提供的完整性保護算法的強度】，檢測網絡交換機安全功能與遠程可信IT產品間傳送的所有安全功能數據是否被修改的能力。
FPT_ITI.1.2 網絡交換機的安全功能應提供能力，以驗證安全功能與遠程可信IT產品間傳送的所有安全功能數據的完整性，以及如果檢測到修改應執行【數據的再次傳輸和產生審計記錄】。

7.2.6.4　無過度損失的自動恢復（FPT_RCV.3）

FPT_RCV.3.1 當不能從失敗或服務中斷自動恢復時，網絡交換機的安全功能應進入維護方式，該方式提供將網絡交換機返回到一個安全狀態的能力。
FPT_RCV.3.2 對【備份電源供應、冗余處理器、網絡管理系統錯誤或失敗、組件（卡，端口）失敗】，網絡交換機的安全功能應確保通過自動化過程使網絡交換機返回到一個安全狀態。
FPT_RCV.3.3 網絡交換機的安全功能提供的從失敗或服務中斷狀態恢復的功能，應確保安全功能控制范圍內的安全功能數據或客體的損失在不超過【賦值：】的情況下恢復到初始狀態。
FPT_RCV.3.4 網絡交換機的安全功能應提供決定客體能否被恢復的能力。

7.2.6.5　功能恢復（FPT_RCV.4）

FPT_RCV.4.1 網絡交換機的安全功能應確保【包括但不限于如下安全功能和故障情況：自動保護切換、冗余處理器的切換、備份電源供應的切換、信息傳輸連接的的保存、循環冗余校驗、幀序列檢查、抗重放等安全功能、和如硬件組件故障、停電、軟件錯誤/故障、系統處理器故障、網絡管理系統故障、電路失效或組件故障等故障情況】有如下特性，即安全功能或者已成功完成，或者對指明的故障情況恢復到一致的安全狀態。

7.2.6.6　重放檢測（FPT_RPL.1）

FPT_RPL.1.1 網絡交換機的安全功能應檢測以下實體的重放【消息（如管理和控制）、安全協商消息、被封裝為信元或包傳輸的特定的特征（時間戳、哈希值、密鑰等）】。
FPT_RPL.1.2 檢測到重放時，網絡交換機的安全功能應執行【審計、確認對于重放中來自合法的源的請求、阻擋來自源頭的通信、發送陷阱以測試線路和掃描非授權的連接】。

7.2.6.7　可靠的時間戳（FPT_STM.1）

FPT_STM.1.1 網絡交換機的安全功能應能為自身的應用提供可靠的時間戳。

7.2.6.8　TSF間基本的TSF數據一致性（FPT_TDC.1）

FPT_TDC.1.1 當網絡交換機的安全功能與其他可信IT產品共享其安全功能的數據時，網絡交換機的安全功能應提供對【網絡審計信息、控制信息和安全參數】一致性解釋的能力。
FPT_TDC.1.2 當解釋來自其他可信IT產品的安全功能數據時，網絡交換機的安全功能應使用【開發者（在安全目標文檔中）指定的已鑒別的協議】。

7.2.6.9　TSF測試（FPT_TST.1）

FPT_TST.1.1 網絡交換機的安全功能應在【初始化啟動期間】和【網絡安全管理員或網絡配置管理員提出請求時】運行一組自檢，以表明網絡交換機安全功能操作的正確性。
FPT_TST.1.2 網絡交換機的安全功能應為授權用戶提供對網絡交換機安全功能的數據完整性的驗證能力。
FPT_TST.1.3 網絡交換機的安全功能應為授權用戶提供對存儲的網絡交換機安全功能的可執行代碼完整性的驗證能力。

7.2.7　資源利用（FRU類）

7.2.7.1　降低容錯（FRU_FLT.1）

FRU_FLT.1.1 網絡交換機的安全功能應確保當以下故障【硬件故障、軟件錯誤、線路故障、路由控制和管理信息的惡意修改、緩沖區溢出、極端的網絡擁塞、短暫的電源中斷】發生時，能夠執行【自動切換到備份組件或電源供應、安全信息傳送、信息傳送連接的保存、流量的正確路由、正確的信元/包的內部處理、流量整形、簽署的服務質量/優先級的保存、當持續發生帶有預攻擊控制信息的特定網絡操作時丟掉已被破壞的數據并對事件進行審計】操作。

7.2.7.2　全部服務優先級（FRU_PRS.2）

FRU_PRS.2.1 網絡交換機的安全功能應給在安全功能中的每個主體分配一種優先級。
FRU_PRS.2.2 網絡交換機的安全功能應確保對所有可共享資源的每次訪問都應基于分配給主體的優先級進行協調分配。

7.2.7.3　最高配額（FRU_RSA.1）

FRU_RSA.1.1 TSF應對以下資源：【單個端口或VLAN允許學習的MAC地址數目】分配最高配額，以便【其他端口或VLAN】能【同時】使用。

7.2.8　網絡交換機訪問（FTA類）

7.2.8.1　會話建立（FTA_TSE.1）

FTA_TSE.1.1 網絡交換機的安全功能應能拒絕基于【節點標識、接收到的鑒別數據、標識為不可信的數據源、角色、地址、時間（維護窗口，或當適當的監控程序沒有就位時）、或基于安全狀態】的會話建立。

7.2.8.2　TSF原發會話終止（FTA_SSL.3）

FTA_SSL.3.1 網絡交換機的安全功能應在達到【賦值：安全管理員可配置的用戶不活動的時間間隔 】之后終止一個交互式會話。

7.2.9　可信路徑/信道（FTP類）

7.2.9.1　TSF間可信信道（FTP_ITC.1）

FTP_ITC.1.1 網絡交換機的安全功能應使用【選擇： IPsec， SSH， SSL， TLS/HTTPS】在其自身和遠程可信IT產品之間提供一條通信信道，此信道在邏輯上與其他通信信道截然不同，并且能夠對其對端節點提供確定的標識，以及保護信道中數據免遭修改和泄露。
FTP_ITC.1.2 網絡交換機的安全功能應允許【安全功能，遠程的可信IT產品】經可信信道發起通信。
FTP_ITC.1.3 對于【控制信息的傳輸和安全屬性的改變】，網絡交換機的安全功能應經可信信道發起通信。

7.2.9.2　可信路徑（FTP_TRP.1）

FTP_TRP.1.1 網絡交換機的安全功能應使用【選擇： IPsec， SSH， TLS， TLS/HTTPS中至少一種】在它自身和【遠程、本地】用戶之間提供一條通信路徑，此路徑在邏輯上與其他通信路徑截然不同，并且能夠對其對端節點提供確定的標識，以及保護通信數據免遭修改或泄露。
FTP_TRP.1.2 網絡交換機的安全功能應允許【遠程、本地】用戶經可信路徑發起通信。
FTP_TRP.1.3 對于【啟動用戶鑒別】和【網絡管理信息的傳輸】，網絡交換機的安全功能應要求使用可信路徑。