【GA公共安全标准】 信息安全技术交换机安全技术要求和测试评价方法

ICS35.040
中华人民共和国公共安全行业标准GA/T1484—2018
代替GA/T684—2007和GA/T685—2007信息安全技术
交换机安全技术要求和
测试评价方法
Information security technology-Security technical requirements and testing andevaluation methods for switch2018-05-07发布
中华人民共和国公安部
2018-05-07实施
规范性引用文件
3术语和定义
缩略语
交换机描述
6安全技术要求
总体说明
安全技术要求分类
安全等级
6.2安全功能要求
访问控制
划分虚拟局域网
身份鉴别
安全审计
安全管理
安全保障要求
指导性文档
生命周期支持
脆弱性评定
测试评价方法
7.1安全功能测试
访问控制
划分虚拟局域网
身份鉴别
安全审计
安全管理
7.2安全保障测试
指导性文档
生命周期支持
脆弱性评定
安全等级划分要求·
GA/T1484—2018
GA/T1484—2018
8.2安全技术要求等级划分
..........
安全功能要求等级划分
安全保障要求等级划分
本标准按照GB/T1.1一2009给出的规则起草。GA/T1484—2018
本标准代替GA/T684—2007《信息安全技术交换机安全技术要求》和GA/T685—2007《信息安全技术交换机安全评估准则》，与GA/T684一2007和GA/T685一2007相比主要技术变化如下：修改了等级划分要求，将等级划分为基本级和增强级（见第8章，GA/T684一2007的第4章~第6章和A.1，GA/T685一2007的第4章～第6章）删除了\IDS”“IPSec\\MPLS\“VPN”等缩略语，增加了“TOS\缩略语（见第4章，GA/T684-2007的第3章）；
增加了“交换机描述”（见第5章）；增加了“总体说明”（见6.1）；修改了“自主访问控制”功能和测试评价方法（见6.2.1、7.1.1，GA/T684一2007的6.1.1，GA/T685—2007的6.1.1)；
修改了“划分虚拟局域网”功能和测试评价方法（见6.2.2、7.1.2.GA/T684一2007的6.1.5GA/T685—2007的6.1.5)；
修改了“身份鉴别”功能和测试评价方法（见6.2.3、7.1.3，GA/T684一2007的6.1.2.GA/T6852007的6.1.2)
修改了“安全审计”功能和测试评价方法（见6.2.4、7.1.4，GA/T684一2007的6.1.4.GA/T685-2007的6.1.4)；
修改了\安全管理”功能和测试评价方法（见6.2.5、7.1.5，GA/T684—2007的6.1.3，GA/T685-2007的6.1.3)；
修改了安全保障要求和测试评价方法（见6.3、7.2GA/T684—2007的4.2、5.2、6.2.GA/T685—2007的4.2、5.2、6.2)；
删除了附加安全功能和评估准则（见GA/T6842007的第7章、GA/T685—2007的第7章）。
本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、公安部第三研究所本标准主要起草人：杨元原、俞优、陈玉成、张笑笑、邹春明、顾玮。本标准的历次版本发布情况为：GA/T684—2007.GA/T685—2007。1范围
信息安全技术
交换机安全技术要求和
测试评价方法
本标准规定了交换机的安全技术要求、测试评价方法及安全等级划分本标准适用于交换机的设计、开发与测试。2规范性引用文件
GA/T1484—2018
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件GB/T25069—2010信息安全技术术语3术语和定义
GB/T18336.3—2015和GB/T25069—2010界定的以及下列术语和定义适用于本文件。3.1
交换机switch
工作于开放式系统互联模型第二层，可基于数据链路层信息转发数据包，并提供信息流控制、划分虚拟局域网，身份鉴别、安全审计等安全功能的网络设备4缩略语
下列缩略语适用于本文件。
ACL：访问控制列表（AccessControlList）MAC：介质访问控制（MediaAccessControl）VLAN：虚拟局域网（VirtualLocalAreaNetwork）TOS：服务类型（TypeofService）5交换机描述
交换机除具备联通多个小型网络或子网，提供数据交换平台的功能外，为抵御网络安全威胁，还具备访问控制、划分虚拟局域网、身份鉴别、安全审计和安全管理等能力。交换机通过对不同子网发送的数据包进行过滤转发来防止广播风暴和网络拥塞等安全威胁交换机保护的资产是其连接的不同的子网数据，此外，交换机本身及其内部的重要数据也是受保护的资产。
GA/T1484—2018
6安全技术要求
6.1总体说明
6.1.1安全技术要求分类
本标准将交换机安全技术要求分为安全功能要求和安全保障要求两大类。其中，安全功能要求是对交换机应具备的安全功能提出具体要求，包括访问控制、划分虚拟局域网、身份鉴别、安全审计和安全管理；安全保障要求针对交换机的开发和使用文档的内容提出具体要求，例如开发、指导性文档、生命周期支持和测试等。
6.1.2安全等级
本标准按照交换机安全功能的强度划分安全功能要求的级别，参照GB/T18336.3一2015划分安全保障要求的级别。安全等级突出安全特性，分为基本级和增强级，安全功能要求强弱和安全保障要求高低是等级划分的具体依据。
6.2安全功能要求
6.2.1访问控制
6.2.1.1信息流控制
产品安全策略应维护一个ACL列表，并能够依据以下规则进行信息流控制：安全策略应包含基于源IP地址、目的IP地址的访问控制；a）
安全策略应包含基于源MAC地址、目的MAC地址的访问控制；b）
安全策略应包含基于VLAN的访问控制；安全策略应包含基于源端口、目的端口的访问控制；d）
安全策略应包含基手传输层协议类型（如TCP/UDP）的访问控制；f
安全策略可包含基于TOS优先级字段的访问控制；安全策略可包含基于802.1P优先级的访问控制：g）
安全策略可包含基于时间的访问控制；应支持用户自定义的安全策略，安全策略可以是IP地址，MAC地址，VLAN，端口，传输层协议、优先级和时间的部分或全部组合。自主访问控制
产品应执行自主访问控制策略，通过管理员属性表，控制不同管理员对产品的配置数据和其他数据的查看、修改，以及对产品程序的执行，应阻止非授权人员进行上述活动。6.2.1.3残余信息保护
产品应确保访问控制范围之内的客体敏感资源被释放或再分配给其他用户前得到完全清除6.2.2划分虚拟局域网
6.2.2.1虚拟局域网标识
产品应具备划分虚拟局域网的能力，应在顿结构中对虚拟局域网进行标识。2
虚拟局域网划分机制
产品应支持基于以下条件的虚拟局域网划分方式：物理端口；
硬件MAC地址；
网络层协议
6.2.3身份鉴别
管理员鉴别
GA/T1484—2018
产品应在管理员执行任何与安全功能相关的操作前对管理员进行鉴别，应支持以下身份鉴别机制：基于静态口令的身份鉴别机制；a)
采用两种或两种以上组合鉴别技术的身份鉴别机制。6.2.3.2
鉴别失败处理
当管理员鉴别尝试连续失败达到指定次数后，产品应锁定该账号。最多失败次数仅由授权管理员设定。
受保护的鉴别信息反馈
当进行鉴别时，产品应仅将最少的反馈提供给用户。6.2.3.4鉴别数据保护
鉴别数据应是不可见的，并在存储和传输时进行保护。6.2.3.5
超时退出
产品应在设定的时间段内没有任何操作的情况下终止会话，需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定6.2.4安全审计
审计数据生成bZxz.net
产品应具备安全审计功能，具体技术要求如下：a）记录事件类型：
1）审计功能的启动和终止；
账户管理；
登录事件；
系统事件；
配置文件的修改。
b）审计记录内容：
1）事件发生的日期和时间，日期包括年、月、日，时间包括时、分、秒；事件的详细描述；
对于用户行为产生的审计事件，应包括用户的身份：3）
事件的结果；
根据事件类型所需的其他信息。3
GA/T1484—2018
审计数据查阅
产品应具备审计数据查阅功能，具体技术要求如下：a）应只允许授权管理员访问审计记录；审计记录的内容应容易理解；
应提供能查阅审计记录的工具，具备对审计事件以时间、日期、用户ID等为条件检索的能力，并且只充许授权管理员使用查阅工具。审计数据保护
产品应具备审计数据保护功能，具体技术要求如下：a）应能保护已存储的审计记录，并能监测和防止对审计记录的修改；审计事件应存储于掉电非易失性存储介质中，且在存储空间达到阈值时至少能够通知授权管b）
理员。
6.2.4.4审计跟踪管理
授权管理员应能够对审计记录进行存档和清空6.2.4.5潜在侵害分析
产品应能监控可审计行为，并指出潜在侵害。在检测到可能有安全侵害发生时，应作出响应，如通知管理员，向管理员提供一组遇制侵害的或采取矫正的行动。6.2.5安全管理
6.2.5.1用户管理
产品应能够设定多个角色，具备划分管理员级别和权限（如监视、维护配置等）的能力，能够限定每个用户的管理范围和权限，防止非法用户和非法操作。6.2.5.2
安全功能管理
产品应具备以下安全管理功能：a）审计功能的启动和终止；
b）信息流控制规则管理：
路由表/MAC表管理；
其他安全功能的管理。
安全属性管理
产品应允许授权管理员对产品的安全属性进行管理，包括：a）与产品访问控制、身份鉴别相关的安全属性管理；b）与一般的安装和配置有关的安全属性的管理。6.2.5.4远程管理
产品应具备远程管理功能，具体技术要求如下：a）应支持通过网络接口进行远程管理，并可限定可进行远程管理的网络接口；b）远程管理过程中，管理端与产品之间的所有通信数据应非明文传输4
异常处理机制
GA/T1484—2018
产品在非正常条件（如掉电、强行关机）下关机再重新启动后，应满足以下技术要求：安全策略恢复到关机前的状态；a
审计记录不会丢失；
管理员重新鉴别。
双机热备
产品应具备双机热备的能力，当主交换机自身出现断电或其他故障时，备交换机应及时发现并代替主交换机进行工作。
自测程序
在重新启动过程中，产品应运行一组自测程序，以检验产品是否正确启动和运行。6.2.5.8
资源利用
产品应根据预定义的优先级分配带宽资源，并能够设定可用资源的最大值6.3
安全保障要求
6.3.1开发
安全架构
开发者应提供产品安全功能的安全架构描述。安全架构描述应满足以下要求：与产品设计文档中对安全功能实施抽象描述的级别一致；a)
描述与安全功能要求一致的产品安全功能的安全域；b）
描述产品安全功能初始化过程为何是安全的；证实产品安全功能能够防止被破坏；d）
证实产品安全功能能够防止安全特性被旁路功能规范
开发者应提供完备的功能规范说明。功能规范说明应满足以下要求：a
完全描述产品的安全功能：
描述所有安全功能接口的自的与使用方法；c
标识和描述每个安全功能接口相关的所有参数；d）
描述安全功能接口相关的安全功能实施行为描述由安全功能实施行为处理而引起的直接错误消息：证实安全功能要求到安全功能接口的追溯；描述安全功能实施过程中，与安全功能接口相关的所有行为；描述可能由安全功能接口的调用而引起的所有直接错误消息。h）
实现表示
开发者应提供全部安全功能的实现表示。实现表示应满足以下要求：提供产品设计描述与实现表示实例间的映射，并证明其一致性；a
b）按详细级别定义产品安全功能，详细程度达到无须进一步设计就能生成安全功能的水平；5
GA/T1484—2018
以开发人员使用的形式提供。
产品设计
开发者应提供产品设计文档，产品设计文档应满足以下要求：a）根据子系统描述产品结构；
b）标识和描述产品安全功能的所有子系统；c）
描述安全功能所有子系统间的相互作用；提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口；d）
根据模块描述安全功能；
提供安全功能子系统到模块间的映射关系；描述所有安全功能实现模块，包括其目的及与其他模块间的相互作用；g）
描述所有实现模块的安全功能要求相关接口、其他接口的返回值，与其他模块间的相互作用及h）
调用的接口；
i）描述所有安全功能的支撑或相关模块，包括其目的及与其他模块间的相互作用6.3.2指导性文档
6.3.2.1操作用户指南
开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一致。对每一种用户角色的描述应满足以下要求：a）描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；b)
描述如何以安全的方式使用产品提供的可用接口：c)
描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值；d
明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控制实体的安全特性；
e）标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全运行之间的因果关系和联系；
充分实现安全目的所执行的安全策略f）
准备程序
开发者应提供产品及其准备程序，准备程序描述应满足以下要求：a)
描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；b）描述安全安装产品及其运行环境必需的所有步骤。6.3.3生命周期支持
配置管理能力
开发者的配置管理能力应满足以下要求：a）为产品的不同版本提供唯一的标识。使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项b)）
提供配置管理文档，配置管理文档描述用手唯一标识配置项的方法配置管理系统提供一种自动方式来支持产品的生成，通过该方式确保只能对产品的实现表示d）
进行已授权的改变。
配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发产品。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。