GB/T 33565-2024
基本信息
标准号:
GB/T 33565-2024
中文名称:网络安全技术 无线局域网接入系统安全技术要求
标准类别:国家标准(GB)
英文名称:Cybersecurity technology—Security technology requirements for wireless local area network access system
标准状态:现行
发布日期:2024-04-25
实施日期:2024-11-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:18944209
相关标签:
网络安全
技术
无线
局域网
接入
系统安全
标准分类号
标准ICS号:35.030
中标分类号:电子元器件与信息技术>>信息处理技术>>L80数据加密
出版信息
出版社:中国标准出版社
页数:52页
标准价格:81.0
相关单位信息
起草人:吴润浦 李美聪 龙刚 郭涛 陈冬青 邵帅 樊玉明 刘琦 刘吉强 王伟 田寅 王剑 王俊勇 季晨荷 张变玲 朱振荣 张东举 寇增杰 安高峰 鲍旭华 叶润国 马红丽 韩秀德 赵华 赖国强 何建锋 范伟 弥宝鑫 朱大立 张亮 韩继登 高金萍 孙鹏科 侯梦云 杨珂 申永波 万晓兰 王海翔
起草单位:中国信息安全测评中心、中国科学院信息工程研究所、中车工业研究院有限公司、北京交通大学、华为技术有限公司、西安西电捷通无线网络通信股份有限公司、公安部第一研究所、中国电子技术标准化研究院、北京天融信网络安全技术有限公司、深信服科技股份有限公司等
归口单位:全国网络安全标准化技术委员会(SAC/TC 260)
提出单位:全国网络安全标准化技术委员会(SAC/TC 260)
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本文件规定了无线局域网接入系统的安全功能要求和安全保障要求,给出了无线局域网接入系统面临安全问题的说明。
本文件适用于无线局域网接入系统的测试、评估和采购,以及指导该类产品的研制和开发。
标准内容
ICS35.030
CCSL80
中华人民共和国国家标准
GB/T33565—2024
代替GB/T33565—2017
网络安全技术
无线局域网接入系统
安全技术要求
Cybersecurity technologySecurity technology requirements forwirelesslocalareanetworkaccesssystem2024-04-25发布
国家市场监督管理总局
国家标准化管理委员会
2024-11-01实施
规范性引用文件
术语和定义
缩略语
无线局域网接人系统
TOE边界
6安全问题
6.1威胁
未授权管理(T.UNAUTHORIZED_MANAGEMENT)未授权访问(T.UNAUTHORIZED_ACCESS)加密破解(T.CRYPTOGRAPHY_COMPROMISE)管理口令破解(T.ADMINISTRATOR_PASSWORD_CRACKING)弱终端认证(T.WEAKAUTHENTICATION_ENDPOINTS)安全凭证受损(T.SECURITY_CREDENTIAL_COMPROMISE)·更新受损(T.UPDATE_COMPROMISE)网络暴露(T.NETWORK_DISCLOSURE)安全功能失效(T.SECURITY_FUNCTIONALITY_FAILURE)不可信信道(T.UNTRUSTED_COMMUNICATION_CHANNELS)重放攻击(T.REPLAYATTACK):未知活动(T.UNDETECTED_ACTIVITY)残留信息利用(T.RESIDUAL_DATA_EXPLOIT)资源消耗(T.RESOURCE_EXHAUSTION)·网络劫持(T.HIJACK_ATTACK)
6.2组织安全策略
接人告知(P.ACCESS_BANNER)
密码管理(P.CRYPTOGRAPHY_MANAGEMENT)6.2.3认证应用(P.AUTHENTICATION_USAGE)6.3假设
物理保护(A.PHYSICAL_PROTECTION)有限功能(A.LIMITED_FUNCTIONALITY)连接(A.CONNECTION)
GB/T33565—2024
GB/T33565—2024
6.3.4可信管理员(A.TRUSTED_ADMINISTRATOR)6.3.5定期更新(A.REGULAR_UPDATES)6.3.6管理员凭证安全(A.ADMINISTRATOR_CREDENTIALS_SECURE)6.3.7组件正常运行(A.COMPONENTS_RUNNING)6.3.8无遗留信息(A.NO_REMAINING_INFORMATION)7安全目的
TOE安全目的…
7.1.1加密功能(O.CRYPTOGRAPHIC_FUNCTIONS)7.1.2
身份验证(O.AUTHENTICATION)自检(O.SELF_TEST)..
系统监测(O.SYSTEM_MONITORING)7.1.5
TOE管理员(O.TOE_ADMINISTRATOR)可信信道(O.TRUSTED_CHANNEL)·资源管理(O.RESOURCE_MANAGEMENT)残留信息清除(OE.RESIDUAL_INFORMATION_ERASE)可信更新(O.TRUSTED_UPDATE)7.1.10
分布式管理(O.DISTRIBUTED_MANAGEMENT)7.1.11访问控制(O.ACCESS_CONTROL)7.2环境安全目的
物理(OE.PHYSICAL)
7.2.2非通用功能(OE.NO_GENERAL_PURPOSE)7.2.3
管理员可信(OE.ADMINISTRATORTRUSTED)7.2.4
更新机制(OE.UPDATE_MECHANISM)管理员凭证安全(OE.ADMINISTRATORCREDENTIALSSECURE),7.2.5
组件可用性(OE.COMPONENTS_SERVICEABILITY)遗留信息清除(OE.REMAINING_INFORMATION_ERASE)连接(OE.CONNECTIONS)
可信时间(OE.TIME)
8安全要求
8.1安全功能要求
安全功能要求分级
安全审计(FAU)
8.1.3密码支持(FCS)
用户数据保护(FDP)
标识和鉴别(FIA)
安全管理(FMT)
TSF保护(FPT)
TOE访问(FTA)
8.1.9可信路径/信道(FTP)
资源利用(FRU)和通信(FCO)
8.2安全保障要求
9基本原理
安全目的基本原理….
9.2安全要求基本原理·
9.3组件依赖关系基本原理·:
附录A(规范性)
附录B(规范性)
参考文献
分布式无线局域网接人系统组件安全功能要求分配关系无线局域网接人系统安全功能要求对应的可审计事件GB/T33565—2024
GB/T33565—2024
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
本文件代替GB/T33565一2017《信息安全技术无线局域网接人系统安全技术要求(评估保障级2级增强)》,与GB/T33565一2017相比,除结构调整和编辑性改动外,主要技术变化如下:更改了TOE范围(见第5章,2017年版的第6章);a)
更改了无线局域网接人系统面临的威胁,包括15类威胁、3项组织安全策略和8个假设(见第6章,2017年版的第7章);
更改了“TOE安全目的”和“环境安全目的”,包括11项TOE的安全目的,9项环境安全目的c)
(见第7章,2017年版的第8章);更改了无线局域网接入系统安全功能要求,包括10类81项安全功能要求(见8.1,2017年版d)
的第9章、第10章);
根据无线局域网接人系统技术发展,更改了最新安全保障要求(见8.2,2017年版的9.2):f)
增加了“基本原理”,包括安全问题与安全目的、安全目的与安全要求间的对应关系和组件间的依赖关系(见第9章)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:中国信息安全测评中心,中国科学院信息工程研究所、中车工业研究院有限公司、北京交通大学、华为技术有限公司、西安西电捷通无线网络通信股份有限公司、公安部第一研究所、中国电子技术标准化研究院、北京天融信网络安全技术有限公司、深信服科技股份有限公司、郑州信天捷安信息技术股份有限公司、长扬科技(北京)股份有限公司、深圳市信锐网科技术有限公司、北京路云天网络安全技术研究院有限公司、西安交大捷普网络科技有限公司、中孚信息股份有限公司、国网区块链科技(北京)有限公司、中国网络安全审查技术与认证中心、新华三技术有限公司、中国电力科学研究院有限公司。
本文件主要起草人:吴润浦、李美聪、龙刚、郭涛、陈冬青、邵帅、樊玉明、刘琦、刘吉强、王伟、田寅、王剑、王俊勇、季晨荷、张变玲、朱振荣、张东举、蔻增杰、安高峰、鲍旭华、叶润国、马红丽、韩秀德、赵华、颗国强、何建锋、范伟、弥宝鑫、朱大立、张亮、韩继登、高金萍、孙鹏科、侯梦云、杨珂、申永波、方晓兰、王海翔。
本文件及其所代替文件的历次版本发布情况为:2017年首次发布为GB/T33565—2017;—本次为第一次修订。
1范围
网络安全技术无线局域网接入系统安全技术要求
GB/T33565—2024
本文件规定了无线局域网接人系统的安全功能要求和安全保障要求,给出了无线局域网接入系统面临安全问题的说明。
本文件适用于无线局域网接人系统的测试、评估和采购,以及指导该类产品的研制和开发。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB15629.11信息技术系统间远程通信和信息交换局域网和城域网分:无线局域网媒体访问控制和物理层规范特定要求第11部
GB/T18336.1—2024网络安全技术信息技术安全性评估准则第1部分:简介和一般模型
GB/T18336.2一2024网络安全技术信息技术安全性评估准则第2部分:安全功能要求GB/T18336.3一2024网络安全技术信息技术安全性评估准则第3部分:安全保障要求GB/T25069—2022信息安全技术术语GB/T32213—2015
信息安全技术公钥基础设施远程口令鉴别与密钥建立规范GB/T32915—2016
信息安全技术二元序列随机性检测方法GB/T32918.3一2016信息安全技术SM2椭圆曲线公钥密码算法第3部分:密钥交换协议GB/T35276—2017信息安全技术SM2密码算法使用规范GB/T39786一2021信息安全技术信息系统密码应用基本要求3术语和定义
GB/T25069一2022和GB/T18336.1—2024界定的以及下列术语和定义适用于本文件。3.1
无线局域网接入系统wirelesslocalareanetworkaccesssystem;WLANaccesssystem能实现无线局域网客户端接人无线局域网络的,由软件和硬件构成的设备或者系统。3.2
access controller
接入控制器免费标准bzxz.net
实现无线局域网客户端接人无线局域网络的控制设备。3.3
访问点accesspoint
一种提供无线局域网客户端与有线网络之间的访问,在无线网络和有线网络之间转发顿的网络接1
GB/T33565—2024
口设备。
缩略语
下列缩略语适用于本文件。
AC:接人控制器(AccessController)AP:访问点(AccessPoint)
EAL:评估保障级(EvaluationAssuranceLevel)PP:保护轮廓(ProtectionProfile)SFP:安全功能策略(SecurityFunctionPolicy)SFR:安全功能要求(SecurityFunctionalRequirement)TOE:评估对象(TargetofEvaluation)TSF:评估对象安全功能(TOESecurityFunctions)TSP:评估对象安全策略(TOESecurityPolicy)WAPI:无线局域网鉴别与保密基础结构(WLANAuthenticationandPrivacyInfrastructure)WAS:无线局域网接人系统(WLANAccessSystem)WLAN:无线局域网(WirelessLocalAreaNetwork)无线局域网接入系统
无线局域网接入系统是一种基于IEEE802.11和GB15629.11系列标准中协议族构建的由软件和硬件构成的设备或者系统,通常由一个接入控制器AC和一个或多个访问点AP构成,位于被接入网络边缘,服务于无线局域网客户端与被接入网络间的安全通信。无线局域网接入系统支持管理、认证、加密以及保护和处理通信数据等安全功能,在无线局域网客户端和被接入网络之间提供安全通信,保护“空中”传输数据的完整性和机密性一个典型的无线局域网接人系统的运行环境如图1所示。2
无线局域网客户端
无线局域网接入系统
典型无线局域网接入系统运行环境图1
WAS安全技术要求分为3个等级
GB/T33565—2024
被接入网络
EAL2十:同时符合EAL2十级安全功能要求和EAL2级安全保障要求,主要应用于家庭、个人用户和有限商业。
EAL3:同时符合EAL3级安全功能要求和EAL3级安全保障要求,主要应用于组织、个人用户和一般商业。
EAL4:同时符合EAL4级安全功能要求和EAL4级安全保障要求,主要应用于专有的高安全等级领域。
5.2TOE边界
本文件适用于遵循IEEE802.11系列标准中协议的一个或多个AP、AC及其中运行的管理应用程序。在物理组件层面它们或分布存在,或集成为单一设备。本文件的TOE仅含远程管理路径保护,本地和远程登录认证,安全相关事件审计,加密验证更新来源以及防护常见的网络攻击等基础安全功能。其他安全功能不在本文件的评估范围内。6安全问题
6.1威胁
6.1.1未授权管理(T.UNAUTHORIZEDMANAGEMENT)威胁主体通过假冒管理员、重放管理会话或中间人攻击等手段获取管理权限,或者通过提供错误的管理信息,实现对管理会话或不同设备之间会话的访问干预。威胁主体在获取管理员权限后会危害设备及所在网络的安全功能,例如损害TOE安全特性更新、修改设备安全配置、修改权限信息等。6.1.2未授权访问(T.UNAUTHORIZED_ACCESS)威胁主体试图访问位于受保护网络上的服务,这些服务仅能从受保护网络内部访问,或者只能通过受保护网络认证过的途径访问。3
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。