GB/T 21050-2019 信息安全技術 網絡交換機安全技術要求
- 發表時間:2023-03-22
- 來源:共立消防
- 人氣:
1 范圍
本標準規定了網絡交換機達到EAL2和EAL3的安全功能要求及安全保障要求,涵蓋了安全問題定義、安全目的、安全要求等內容。
本標準適用于網絡交換機的測試、評估和采購,也可用于指導該類產品的研制和開發。
2 規范性引用文件
下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 18336.1-2015 信息技術 安全技術 信息技術安全評估準則 第1部分:簡介和一般模型
GB/T 18336.2-2015 信息技術 安全技術 信息技術安全評估準則 第2部分:安全功能組件
GB/T 18336.3-2015 信息技術 安全技術 信息技術安全評估準則 第3部分:安全保障組件
GB/T 25069-2010 信息安全技術 術語
3 術語和定義、縮略語
3.1 術語和定義
GB/T 25069-2010和GB/T 18336.1-2015界定的以及下列術語和定義適用于本文件。
3.1.1
可信IT產品 trusted IT product
有與TOE協調管理的安全功能要求,但不屬于TOE的其他IT產品,且假定可正確執行自身的安全功能要求。
3.1.2
可信信道 trusted channel
TSF和遠程可信IT產品間在必要的信任基礎上進行通信的一種通信手段。
3.1.3
可信路徑 trusted path
用戶與TSF間在必要的信任基礎上進行通信的一種通信手段。
3.1.4
可信源 trusted source
能夠被標識和鑒別的源或節點,從該源或節點發出信息的完整性能夠被核實和確認。
3.1.5
客戶 client
向另一方請求服務的一方。
[GB/T 11457-2006,定義2.214]
3.1.6
網絡審計管理員 network audit management operator
僅具有查看權限,是負責收集、分析和查看網絡行為數據的網絡管理角色。
注:網絡審計管理員可查看網絡交換機配置、信息流策略等。
3.1.7
網絡配置管理員 network management administrator
受到嚴格限制的具有部分網絡管理能力的管理角色,可以執行網絡交換機管理功能的子集,但不具備網絡審計管理員的能力。
注:網絡配置管理員可配置管理網絡系統,利用權限解決網絡故障等。
3.1.8
網絡安全管理員 network security administrator
具有所有管理級別的訪問權限,可以訪問網絡交換機的各個區域,同時具備網絡配置管理員和網絡審計管理員的能力的管理角色。
注:網絡安全管理員可創建、修改和存取訪問控制列表、加載密鑰、限制應用程序的執行,以及維護網絡管理審計日志等能力的網絡管理角色。
3.1.9
節點 node
計算機網絡系統中可以對信息進行存儲和(或)轉發的設備。
3.2 縮略語
下列縮略語適用于本文件。
BGP:邊界網關協議(Border Gateway Protocol)
EAL:評估保障級(Evaluation Assurance Level)
HTTP:超文本傳輸協議(Hyper Text Transfer Protocol)
IP:互聯網協議(Internet Protocol)
IT:信息技術(Information Technology)
LDP:標簽分發協議(Label Distribution Protocol)
MD5:報文摘要算法(Message Digest 5)
OSI:開放系統互聯參考模型(Open SystemInterconnect)
OSPF:開放式最短路徑優先(Open Shortest Path First)
RSVP:資源預留協議(Resource ReserVation Protocol)
RMON:遠距離監控(Remote MONitoring)
SNMP:簡單網絡管理協議(Simple Network Management Protocol)
ST:安全目標(Security Target)
TOE:評估對象(TargetOf Evaluation)
TSF:TOE安全功能(TOE Security Function)
4 網絡交換機描述
網絡交換機是一種連接網絡的設備,用于連接各個節點或其他網絡設備,能夠在通信系統中完成信息交換功能的設備。從技術角度看,網絡交換機運行在OSI模型的數據鏈路層、網絡層甚至傳輸層。雖然IP、光交換有各自不同的特性,但是它們的處理和控制方式是相似的??尚怕窂浇⒃诰W絡交換機和管理系統之間,可信信道建立在網絡交換機與可信IT實體之間,通過可信路徑可進行管理信息的交換,通過可信信道可進行網絡控制信息(如,許可動態連接建立和包路由選擇信息)的交換。網絡控制信息由特定的請求和指令組成,如目的地址、路由選擇控制和信令信息等。在IP環境下,控制信息可以包括OSPF、BGP、RSVP和LDP。
網絡交換機一般包括接口卡、端口、軟件,以及駐留在其上的數據等。與網絡交換機相關的所有電路都屬于網絡交換機的一部分,其中包括管理鏈路。雖然網絡管理系統是必需的部件,但是它不屬于本標準的規范范圍,而且連接到網絡交換機的其他網絡部件也不屬于本標準的規范范圍。例如,交叉連接的數字傳送系統、光傳送系統、加密裝置等。然而,網絡交換機可以支持加密或具有連接加密裝置的接口,用于加密用戶數據、管理和控制信息。網絡交換機具有保護網絡管理和進行網絡控制的功能,允許通過網絡可靠傳遞用戶信息,并具有可靠的質量和及時性。
網絡交換機的主要安全特性包括安全審計、安全管理、用戶數據保護、用戶鑒別和認證、加密支持、數據傳輸和存儲安全等。圖1為網絡交換機典型應用環境。
圖1 網絡交換機典型應用環境
5 安全問題定義
5.1 資產
本標準中保護的資產包括以下方面:
——審計數據(審計數據由網絡交換機執行安全審計功能時產生);
——認證數據(用于用戶和外部實體訪問交互時的鑒別和認證);
——配置數據(網絡交換機的配置信息、網絡連接信息、固件更新數據等);
——密碼數據(用于交換機實施數字簽名或加解密的數據,如密鑰等);
——表數據(用于網絡轉發和路由相關的列表,如網絡層路由表、鏈路層地址解析表、鏈路層MAC地址表、BGP/OSPF數據庫等數據)。
應用說明:ST編寫者應根據具體的應用情況細化對資產的描述。
以上為標準部分內容,如需看標準全文,請到相關授權網站購買標準正版。
- IG541混合氣體滅火系統
IG541混合氣體滅火系統:IG-541滅火系統采用的IG-541混合氣體滅火劑是由大氣層中的氮氣(N2)、氬氣(Ar)和二氧化碳(CO2)三種氣體分別以52%、40%、8%的比例混合而成的一種滅火劑
- 二氧化碳氣體滅火系統
二氧化碳氣體滅火系統:二氧化碳氣體滅火系統由瓶架、滅火劑瓶組、泄漏檢測裝置、容器閥、金屬軟管、單向閥(滅火劑管)、集流管、安全泄漏裝置、選擇閥、信號反饋裝置、滅火劑輸送管、噴嘴、驅動氣體瓶組、電磁驅動
- 七氟丙烷滅火系統
七氟丙烷(HFC—227ea)滅火系統是一種高效能的滅火設備,其滅火劑HFC—ea是一種無色、無味、低毒性、絕緣性好、無二次污染的氣體,對大氣臭氧層的耗損潛能值(ODP)為零,是鹵代烷1211、130
- 手提式干粉滅火器
手提式干粉滅火器適滅火時,可手提或肩扛滅火器快速奔赴火場,在距燃燒處5米左右,放下滅火器。如在室外,應選擇在上風方向噴射。使用的干粉滅火器若是外掛式儲壓式的,操作者應一手緊握噴槍、另一手提起儲氣瓶上的