安全标准

行业新闻 消防知识 消防标准 安全标准 应急标准 常见问题

GB/T 21050-2019 信息安全技术 网络交换机安全技术要求

发布日期:2023-03-22 10:32 浏览次数:

1 范围

      本标准规定了网络交换机达到EAL2和EAL3的安全功能要求及安全保障要求,涵盖了安全问题定义、安全目的、安全要求等内容。

      本标准适用于网络交换机的测试、评估和采购,也可用于指导该类产品的研制和开发。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

      GB/T 18336.1-2015 信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般模型

      GB/T 18336.2-2015 信息技术 安全技术 信息技术安全评估准则 第2部分:安全功能组件

      GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件

      GB/T 25069-2010 信息安全技术 术语

3 术语和定义、缩略语

3.1 术语和定义

      GB/T 25069-2010和GB/T 18336.1-2015界定的以及下列术语和定义适用于本文件。

3.1.1

      可信IT产品 trusted IT product

      有与TOE协调管理的安全功能要求,但不属于TOE的其他IT产品,且假定可正确执行自身的安全功能要求。

3.1.2

      可信信道 trusted channel

      TSF和远程可信IT产品间在必要的信任基础上进行通信的一种通信手段。

3.1.3

      可信路径 trusted path

      用户与TSF间在必要的信任基础上进行通信的一种通信手段。

3.1.4

      可信源 trusted source

      能够被标识和鉴别的源或节点,从该源或节点发出信息的完整性能够被核实和确认。

3.1.5

      客户 client

      向另一方请求服务的一方。

      [GB/T 11457-2006,定义2.214]

3.1.6

      网络审计管理员 network audit management operator

      仅具有查看权限,是负责收集、分析和查看网络行为数据的网络管理角色。

      注:网络审计管理员可查看网络交换机配置、信息流策略等。

3.1.7

      网络配置管理员 network management administrator

      受到严格限制的具有部分网络管理能力的管理角色,可以执行网络交换机管理功能的子集,但不具备网络审计管理员的能力。

      注:网络配置管理员可配置管理网络系统,利用权限解决网络故障等。

3.1.8

      网络安全管理员 network security administrator

      具有所有管理级别的访问权限,可以访问网络交换机的各个区域,同时具备网络配置管理员和网络审计管理员的能力的管理角色。

      注:网络安全管理员可创建、修改和存取访问控制列表、加载密钥、限制应用程序的执行,以及维护网络管理审计日志等能力的网络管理角色。

3.1.9

      节点 node

      计算机网络系统中可以对信息进行存储和(或)转发的设备。

3.2 缩略语

      下列缩略语适用于本文件。

      BGP:边界网关协议(Border Gateway Protocol)

      EAL:评估保障级(Evaluation Assurance Level)

      HTTP:超文本传输协议(Hyper Text Transfer Protocol)

      IP:互联网协议(Internet Protocol)

      IT:信息技术(Information Technology)

      LDP:标签分发协议(Label Distribution Protocol)

      MD5:报文摘要算法(Message Digest 5)

      OSI:开放系统互联参考模型(Open SystemInterconnect)

      OSPF:开放式最短路径优先(Open Shortest Path First)

      RSVP:资源预留协议(Resource ReserVation Protocol)

      RMON:远距离监控(Remote MONitoring)

      SNMP:简单网络管理协议(Simple Network Management Protocol)

      ST:安全目标(Security Target)

      TOE:评估对象(TargetOf Evaluation)

      TSF:TOE安全功能(TOE Security Function)

4 网络交换机描述

      网络交换机是一种连接网络的设备,用于连接各个节点或其他网络设备,能够在通信系统中完成信息交换功能的设备。从技术角度看,网络交换机运行在OSI模型的数据链路层、网络层甚至传输层。虽然IP、光交换有各自不同的特性,但是它们的处理和控制方式是相似的。可信路径建立在网络交换机和管理系统之间,可信信道建立在网络交换机与可信IT实体之间,通过可信路径可进行管理信息的交换,通过可信信道可进行网络控制信息(如,许可动态连接建立和包路由选择信息)的交换。网络控制信息由特定的请求和指令组成,如目的地址、路由选择控制和信令信息等。在IP环境下,控制信息可以包括OSPF、BGP、RSVP和LDP。

      网络交换机一般包括接口卡、端口、软件,以及驻留在其上的数据等。与网络交换机相关的所有电路都属于网络交换机的一部分,其中包括管理链路。虽然网络管理系统是必需的部件,但是它不属于本标准的规范范围,而且连接到网络交换机的其他网络部件也不属于本标准的规范范围。例如,交叉连接的数字传送系统、光传送系统、加密装置等。然而,网络交换机可以支持加密或具有连接加密装置的接口,用于加密用户数据、管理和控制信息。网络交换机具有保护网络管理和进行网络控制的功能,允许通过网络可靠传递用户信息,并具有可靠的质量和及时性。

      网络交换机的主要安全特性包括安全审计、安全管理、用户数据保护、用户鉴别和认证、加密支持、数据传输和存储安全等。图1为网络交换机典型应用环境。

图1.jpg

图1 网络交换机典型应用环境

5 安全问题定义

5.1 资产

      本标准中保护的资产包括以下方面:

      ——审计数据(审计数据由网络交换机执行安全审计功能时产生);

      ——认证数据(用于用户和外部实体访问交互时的鉴别和认证);

      ——配置数据(网络交换机的配置信息、网络连接信息、固件更新数据等);

      ——密码数据(用于交换机实施数字签名或加解密的数据,如密钥等);

      ——表数据(用于网络转发和路由相关的列表,如网络层路由表、链路层地址解析表、链路层MAC地址表、BGP/OSPF数据库等数据)。

      应用说明:ST编写者应根据具体的应用情况细化对资产的描述。


以上为标准部分内容,如需看标准全文,请到相关授权网站购买标准正版。

X

截屏,微信识别二维码

微信号:gongliff001

(点击微信号复制,添加好友)

  打开微信

微信号已复制,请打开微信添加咨询详情!