GA/T 685-2007
基本信息
标准号: GA/T 685-2007
中文名称:信息安全技术交换机安全评估准则
标准类别:公共安全行业标准(GA)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:3509457
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GA/T 685-2007.Information security technology-Evaluation criteria for switch security.
1范围
GA/T 685仅分三个等级规定了交换机的安全评估准则。
GA/T 685适用于按照GB 17859- 1999 的安全等级所进行的交换机产品的安全评估,对交换机产品安全性的设计和实现也可:参照使用。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859-1999计算机信息系统 安 全保护等级划分准则
GB/T 18336.1- 2001信息技术安全技术信息技术安全性评估准则 第 1部分:简介和一般模型
3术语、定义和缩略语
3.1 术语和定义
GB 17859- :1999 和GB/T 18336. 1- 2001 中确立的以及下列术语和定义适用于本标准。
3.1.1交换机switch
一种基于硬件网卡地址,能完成封装转发数据包功能的网络设备。
3.2 缩略语
下列缩略语适用于本标准。
ACL Access Control List访问控 制列表
IDS Instrusion Detection System人 侵检测系统
IPSec Internet Protocol Security互联网 协议安全协议
MAC Media Access Control介 质访问控制
MPLS Multi Protocol Label Switching多 协议标记交换
VLAN Virtual Local Area Network虚 拟局域网
VPN Virtual Private Network虚 拟专用网
1范围
GA/T 685仅分三个等级规定了交换机的安全评估准则。
GA/T 685适用于按照GB 17859- 1999 的安全等级所进行的交换机产品的安全评估,对交换机产品安全性的设计和实现也可:参照使用。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859-1999计算机信息系统 安 全保护等级划分准则
GB/T 18336.1- 2001信息技术安全技术信息技术安全性评估准则 第 1部分:简介和一般模型
3术语、定义和缩略语
3.1 术语和定义
GB 17859- :1999 和GB/T 18336. 1- 2001 中确立的以及下列术语和定义适用于本标准。
3.1.1交换机switch
一种基于硬件网卡地址,能完成封装转发数据包功能的网络设备。
3.2 缩略语
下列缩略语适用于本标准。
ACL Access Control List访问控 制列表
IDS Instrusion Detection System人 侵检测系统
IPSec Internet Protocol Security互联网 协议安全协议
MAC Media Access Control介 质访问控制
MPLS Multi Protocol Label Switching多 协议标记交换
VLAN Virtual Local Area Network虚 拟局域网
VPN Virtual Private Network虚 拟专用网
标准图片预览
标准内容
ICS35.040
中华人民共和国公共安全行业标准GA/T685-—2007
信息安全技术
交换机安全评估准则
Information securitytechnologyEvaluation criteria for switch security2007-03-20发布
数码防伪
中华人民共和国公安部
2007-05-01实施
规范性引用文件
术语、定义和缩略语·
第一级安全评估准则
4.1、安全功能评估
自主访问控制
身份鉴别
安全管理
划分虚拟局域网
安全保证评估
配置管理
交付和运行
指导性文档
生命周期支持
第二级安全评估准则
安全功能评估
自主访问控制
身份鉴别
安全管理
划分虚拟局域网
5.2安全保证评估
配置管理
交付和运行
指导性文档
生命周期支持
脆弱性评定
第三级安全评估准则
安全功能评估
自主访问控制免费标准bzxz.net
身份鉴别
安全管理
TYKAONYKAca
GA/T685—2007
GA/T685—2007
6.1.4审计
6.1.5划分虚拟局域网
6.2安全保证评估
6.2.1配置管理
6.2.2交付和运行
6.2.3开发
指导性文档·
6.2.5生命周期支持
测试·
脆弱性评定
7附加安全功能·
网络访问控制功能·
虚拟专网功能
防火墙防护功能·
入侵检测功能·
参考文献
本标准由公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:中国科学院研究生院信息安全国家重点实验室。本标准主要起草人:戴英侠、左晓栋、何申。HTYKAONYKAca
GA/T685—2007
GA/T685—2007
交换机是重要的网络互连设备,制定交换机安全评估准则对于评估交换机产品安全等级,保障网络安全具有重要的意义。
安全等级由低到高,安全要求逐级增强。本标准分三个等级规定了交换机的安全评估准则本标准与GB17859一1999的对应关系是,第一级对应用户自主保护级,第二级对应系统审计保护级,第三级对应安全标记保护级。CHINA
1范围
信息安全技术交换机安全评估准则本标准仅分三个等级规定了交换机的安全评估准则。GA/T685—2007
本标准适用于按照GB17859一1999的安全等级所进行的交换机产品的安全评估,对交换机产品安全性的设计和实现也可参照使用,2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件其随后所有的修改单(不包括助误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准,GB178591999计算机信息系统安全保护等级划分准则GB/T18336.1一2001信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型
3术语、定义和缩略语
3.1术语和定义
GB17859—1999和GB/T18336.1—2001中确立的以及下列术语和定义适用于本标准。3.1.1
交换机switeh
种基于硬件网卡地址,能完成封装转发数据包功能的网络设备。3.2缩略语
下列缩略语适用于本标准。
ACLAecessControlList访间控制列表IDSInstrusionDeteetionSystem侵检测系统IPSec InternetProtocol Security互联网协议安全协议MACMediaAcecessControl介质访问控制MPLSMulti-ProtocolLabelSwitching多协议标记交换VLANVirtualLocalAreaNetwork虚拟局域网VPNVirtualPrivateNetwork虚拟专用网4第一级安全评估准则
4.1安全功能评估
4.1.1自主访问控制
评估方法:
设置不同的交换机管理员账号,并检查是否能够分别以不同的管理员登录。预期结果:
能够设置不同的交换机管理员账号,并能够分别以不同的管理员登录。TKAONYKACa
GA/T685—2007
4.1.2身份鉴别
4.1.2.1管理员鉴别
评估方法:
登录交换机,检查是否在执行所有功能之前要求首先进行身份鉴别。预期结果:
a)在用户执行任何与安全功能相关的操作之前都应对用户进行鉴别:b)登录之前允许做的操作,应仅限于输入登录信息、查看登录帮助等操作;c)允许用户在登录后执行与其安全功能相关的各类操作时,不再重复鉴别。4.1.2.2鉴别失败处理
评估方法:
a)检查产品的安全功能是质可定文用户鉴别尝试的最大允许失败次数检查产品的安全历是可定义当用户鉴别尝试失败连续达到指定次数后,采取相应的措施b)
(如锁定该账号):
尝试多次失赚的用鉴别行
施,并生成
预期结果:
害计承件。
过检香到送
指定的鉴别失败次数后系统是否采取了相应的措a)产品应具备定义用户鉴别尝试的最大充许失败次数的功能b)产品应定
用户鉴别尝试失败连续达到指定次数后,采取相应的措施(如锁定该账号);c)当用户监彩券
试失败连续达到指定次数后,系统应锁定该账号,并将有关信息生成审计事件;最多失赚饮数仅由授权管理员设定d)
4.1.3安全管理
4.1.3.1用户管
评估方法:
管理范围和权限的能力;
检查交换机月提供了设定多个管理员并设定其a)
b)检查多个复理的权限是否有区分目符合最预期结果:
a)交换机能够设
这些多个管理宝
管理员并
特权原则。
限之何有区分,且符合最小特权原则公
4.1.3.2安全属性管理
评估方法:
管理、口今管理的功能
检查交换机是否具有账户
检查交换机是否具有默认令;
检查交换机是否能够提醒用户修改默认口令c)
预期结果:
检查交换机具有账户管理、口令管理的功能;a)
检查交换机具有默认口令;
检查交换机能够提醒用户修改默认口令c
4.1.4划分虚拟局域网
评估方法:
检查交换机是否能够划分虚拟局域网(VLAN);a)
b)检查交换机是否在顿结构中有对虚拟局域网的标识。预期结果:
a)检查交换机能够划分虚拟局域网(VLAN);2
b)检查交换机在顿结构中有对虚拟局域网的标识。4.2安全保证评估
4.2.1配置管理
评估方法:
评估者应审查开发者提供的配置管理支持文件是否包含以下内容:GA/T685-—2007
a)版本号,要求开发者所使用的版本号与所应表示的产品样本应完全对应,没有歧义;b)配置项,要求配置项应有唯一的标识,从而对产品的组成有更清楚的描述。预期结果:
审查记录以及最后结果(符合/不符合),开发者应提供唯一版本号和配置项4.2.2交付和运行
评估方法:
评估者应审查开发者是否提供了文档说明产品的安装、生成、启动和使用的过程。用户能够通过此文档了解安装、生成、启动和使用过程。预期结果:
审查记录以及最后结果(符合/不符合)应符合评估方法要求。4.2.3开发
评估方法:
评估者应审查开发者所提供的信息是否满足如下要求:功能设计应当使用非形式化风格来描述产品安全功能与其外部接口;a)
功能设计应当是内在一致的;
e)功能设计应当描述使用所有外部产品安全功能接口的目的与方法,适当的时候,要提供结果影响例外情况和错误信息的细节;d)功能设计应当完整地表示产品安全功能。评估者应确认功能设计是否是产品安全功能要求的精确和完整的示例。预期结果:
审查记录以及最后结果(符合/不符合),评估者审查内容至少包括评估方法中的四个方面。开发者提供的内容应精确和完整。
4.2.4指导性文档
评估方法:
评估者应审查开发者是否提供了供系统用户使用的用户指南,并且此用户指南是否包括如下内容:a)产品的非管理用户可使用的安全功能和接口;b)产品提供给用户的安全功能和接口的用法;用户可获取但应受安全处理环境控制的所有功能和权限;d)产品安全操作中用户所应承担的职责;e)与用户有关的IT环境的所有安全要求。预期结果:
审查记录以及最后结果(符合/不符合),评估者审查内容至少包括评估方法中的五个方面。开发者提供的用户指南应完整,并与为评估而提供的其他所有文件保持一致。4.2.5生命周期支持
评估方法:
评估者应审查开发者所提供的信息是否满足如下要求:a)开发人员的安全管理:开发人员的安全规章制度,开发人员的安全教育培训制度和记录;b):开发环境的安全管理:开发地点的出入口控制制度和记录,开发环境的温室度要求和记录,开3
FTYKAONKAca
GA/T685-2007
发环境的防火防盗措施和国家有关部门的许可文件,开发环境中所使用安全产品应采用符合国家有关规定的产品并提供相应证明材料开发设备的安全管理:开发设备的安全管理制度,包括开发主机使用管理和记录,设备的购置、c
修理、处置的制度和记录,上网管理,计算机病毒管理和记录等d)开发过程和成果的安全管理:对产品代码、文档、样机进行受控管理的制度和记录。预期结果:
审查记录以及最后结果(符合/不符合),评估者审查内容至少包括评估方法中的四个方面。开发者提供文档应完整。
4.2.6测试
评估方法:
评估者应审查开发者提供的测试覆盖分析结果,是否表明了测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应的预期结果:
审查记录以及最后结果(符合/不符合),开发者提供的测试文档中所标识的测试与安全功能设计中所描述的安全功能应对应。
5第二级安全评估准则
5.1安全功能评估
5.1.1自主访问控制
评估方法:
设置不同的交换机管理员账号,并检查是否能够分别以不同的管理员登录预期结果:
能够设置不同的交换机管理员账号,并能够分别以不同的管理员登录5.1.2身份鉴别
5.1.2.1管理员鉴别
评估方法:
登录交换机,检查是否在执行所有功能之前要求首先进行身份鉴别。预期结果:
a)在用户执行任何与安全功能相关的操作之前都应对用户进行鉴别;b)登录之前允许做的操作,应仅限于输入登录信息、查看登录帮助等操作;c)允许用户在登录后执行与其安全功能相关的各类操作时,不再重复鉴别。5.1.2.2鉴别失败处理
评估方法
检查产品的安全功能是否可定义用户鉴别尝试的最大允许失败次数;a)
检查产品的安全功能是否可定义当用户鉴别尝试失败连续达到指定次数后,采取相应的措施b)
(如锁定该账号);
C)尝试多次失败的用户鉴别行为,检查到达指定的鉴别失败次数后,系统是否采取了相应的措施,并生成了审计事件。
预期结果:
a)产品应具备定义用户鉴别尝试的最大允许失败次数的功能:b)产品应定义当用户鉴别尝试失败连续达到指定次数后,采取相应的措施(如锁定该账号);当用户鉴别尝试失败连续达到指定次数后,系统应锁定该账号,并将有关信息生成审计事件;c
最多失败次数仅由授权管理员设定。d)
5.1.2.3超时锁定
评估方法:
GA/T685-—2007
a)在设定的时间段内没有任何操作,检查能否终止会话,且需要再次进行身份鉴别才能够重新操作;
b)检查最大超时时间是否仅能由授权管理员设定。预期结果:
a)设定的时间段内没有任何操作,交换机能够终止会话,且需要再次进行身份鉴别才能够重新操作;
b)最大超时时间仅能由授权管理员设定。5.1.2.4会话锁定
评估方法:
登录产品,检查是否允许用户锁定自己的交互会话。锁定后是否需要再次进行身份鉴别才能够重新管理产品。
预期结果:
a)产品应充许用户锁定自己的交互会话;b)锁定后,用户需要再次进行身份鉴别才能够重新管理产品。5.1.2.5登录历史
评估方法:
a)成功登录交换机,然后正常退出。再次成功登录后,检查产品是否向用户显示了用户上次登录的日期、时间和成功登录产品的情况,并检查产品是否显示了口令距失效日期的天数以错误的口令登录交换机2次,然后成功登录,检查产品是否向用户显示了用户上次登录以来b)
身份鉴别失败的情况。
预期结果:
a)产品向用户显示用户上次成功登录的日期、时间和成功登录产品的情况,并显示口令距失效日期的天数;
b)产品向用户显示用户上饮登录以米共有2次身份鉴别失败5.1.3安全管理
5.1.3.1用户管理
评估方法:
a)检查交换机是否提供了设定多个管理员并设定其管理范围和权限的能力:b)检查多个管理员的权限是否有区分,且符合最小特权原则。预期结果:
a)交换机能够设定多个管理员并设定其管理范围和权限;b)这些多个管理员的权限之间有区分,且符合最小特权原则。5.1.3.2安全属性管理
评估方法:
a)检查交换机是否具有账户管理、口令管理的功能;b)检查交换机是否具有认口令:检查交换机是否能够提醒用户修改默认口令。预期结果:
a)交换机具有账户管理,口令管理的功能;检查交换机具有默认口令;
检查交换机能够提醒用户修改默认口令。c)
HTYKAONYKAca
GA/T685-—2007
5.1.4审计
5.1.4.1审计数据生成
评估方法:
结合开发者文档,使用不同角色用户模拟对产品不同模块进行访问、运行、修改,关闭以及重复失败尝试等相关操作,检查产品提供了对哪些事件的审计。审查审计记录的正确性预期结果:
a)产品应至少为下述可审计事件产生审计记录:审计功能的启动和终止:
—账户管理;
一登录事件:
系统事件:
配置文件的修改。
b)应在每个审计记录中至少记录如下信息:事件发生的日期和时间:
事件的类型
管理员身份;
事件的结果(成功或失败)。
5.1.4.2审计数据查阅
评估方法:
审查产品安全功能是否为授权管理员提供从审计记录中读取全部审计信息的功能预期结果:
产品应为授权管理员提供从审计记录中读取全部审计信息的功能5.1.4.3审计数据保护
评估方法:
模拟授权与非授权管理员访问审计记录,产品安全功能是否仅允许授权管理员访问审计记录;a
模拟授权管理员修改审计记录;b)
通过实施登录、退出、修改配置等一系列可审计事件,产生大量审计记录,直到审计存储耗尽,查看最近的审计记录是否得到了保留。预期结果:
a)产品应限制审计记录的访问。除了具有明确的读访问权限的授权管理员之外,产品应禁止所有其他用户对审计记录的读访问;b)授权管理员不能修改审计记录;c)最近的审计记录得到了保留,没有丢失。5.1.5划分虚拟局域网
评估方法:
a)检查交换机是否能够划分虚拟局域网(VLAN);检查交换机是否在顿结构中有对虚拟局域网的标识;b)
检查交换机是否能够基于端口划分,基于硬件MAC地址层划分、基于网络层(基于策略)划分虚拟局域网。
预期结果:
a)检查交换机能够划分虚拟局域网(VLAN):检查交换机在顿结构中有对虚拟局域网的标识;b)
在基于端口划分、基于硬件MAC地址层划分,基于网络层(基于策略)划分虚拟局域网三种功能中的一种或多种。
5.2安全保证评估
5.2.1配置管理
评估方法:
评估者应审查开发者所提供的信息是否满足如下要求:GA/T6852007
a)开发者应使用配置管理系统并提供配置管理文档,以及为产品的不同版本提供唯一的标识。b)配置管理系统应对所有的配置项作出唯一的标识,并保证只有经过授权才能修改配置项。配置管理文档应包括配置清单、配置管理计划。配置清单用来描述组成产品的配置项。在配c
置管理计划中,应描述配置管理系统是如何使用的。实施的配置管理应与配置管理计划相一致。
d配置管理文档还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效地维护的证据。
预期结果:
审查记录以及最后结果(符合/不符合),评估者审查内容至少包括评估方法中的四个方面。开发者提供的配置管理内容应完整。
5.2.2交付和运行
评估方法:
评估者应审查开发者是否使用一定的交付程序交付产品,并使用文档描述交付过程,并且评估者应审查开发者交付的文档是否包含下面内容在给用户方交付产品的各版本时,为维护安全所必需的所有程序。预期结果:
测试记录以及最后结果(符合/不符合)应符合评估方法要求,开发者应提供完整的文档描述所有交付的过程(文档和程序交付)。5.2.3开发
评估方法:
评估者应审查开发者所提供的信息是否满足如下要求:a)高层设计应采用非形式化的表示;b)
高层设计应当是内在一致的;
产品高层设计应当描述每一个安全功能子系统所提供的安全功能,提供了适当的体系结构来e
实现产品安全功能要求,
d)产品的高层设计应当以子系统的观点来描述产品安全功能的结构,定义所有子系统之间的相互关系,并把这些相互关系适当地作为数据流、控制流等的外部接口来表示;高层设计应当标识产品安全功能要求的任何基础性的硬件、固件和/或软件,并且通过支持这e)
些硬件、固件或软件所实现的保护机制,来提供产品安全功能表示。预期结果:
审查记录以及最后结果(符合/不符合),评估者审查内容至少包括评估方法中的五个方面。开发者提供的高层设计内容应精确和完整。5.2.4指导性文档
评估方法:
评估者应审查开发者是否提供了供系统管理员使用的管理员指南,并且此管理员指南是否包括如下内容:
a)产品可以使用的管理功能和接口;b)怎样安全地管理产品;
在安全处理环境中应进行控制的功能和权限;c)
所有对与产品的安全操作有关的用户行为的假设;d)
TYKAONYKACa
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国公共安全行业标准GA/T685-—2007
信息安全技术
交换机安全评估准则
Information securitytechnologyEvaluation criteria for switch security2007-03-20发布
数码防伪
中华人民共和国公安部
2007-05-01实施
规范性引用文件
术语、定义和缩略语·
第一级安全评估准则
4.1、安全功能评估
自主访问控制
身份鉴别
安全管理
划分虚拟局域网
安全保证评估
配置管理
交付和运行
指导性文档
生命周期支持
第二级安全评估准则
安全功能评估
自主访问控制
身份鉴别
安全管理
划分虚拟局域网
5.2安全保证评估
配置管理
交付和运行
指导性文档
生命周期支持
脆弱性评定
第三级安全评估准则
安全功能评估
自主访问控制免费标准bzxz.net
身份鉴别
安全管理
TYKAONYKAca
GA/T685—2007
GA/T685—2007
6.1.4审计
6.1.5划分虚拟局域网
6.2安全保证评估
6.2.1配置管理
6.2.2交付和运行
6.2.3开发
指导性文档·
6.2.5生命周期支持
测试·
脆弱性评定
7附加安全功能·
网络访问控制功能·
虚拟专网功能
防火墙防护功能·
入侵检测功能·
参考文献
本标准由公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:中国科学院研究生院信息安全国家重点实验室。本标准主要起草人:戴英侠、左晓栋、何申。HTYKAONYKAca
GA/T685—2007
GA/T685—2007
交换机是重要的网络互连设备,制定交换机安全评估准则对于评估交换机产品安全等级,保障网络安全具有重要的意义。
安全等级由低到高,安全要求逐级增强。本标准分三个等级规定了交换机的安全评估准则本标准与GB17859一1999的对应关系是,第一级对应用户自主保护级,第二级对应系统审计保护级,第三级对应安全标记保护级。CHINA
1范围
信息安全技术交换机安全评估准则本标准仅分三个等级规定了交换机的安全评估准则。GA/T685—2007
本标准适用于按照GB17859一1999的安全等级所进行的交换机产品的安全评估,对交换机产品安全性的设计和实现也可参照使用,2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件其随后所有的修改单(不包括助误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准,GB178591999计算机信息系统安全保护等级划分准则GB/T18336.1一2001信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型
3术语、定义和缩略语
3.1术语和定义
GB17859—1999和GB/T18336.1—2001中确立的以及下列术语和定义适用于本标准。3.1.1
交换机switeh
种基于硬件网卡地址,能完成封装转发数据包功能的网络设备。3.2缩略语
下列缩略语适用于本标准。
ACLAecessControlList访间控制列表IDSInstrusionDeteetionSystem侵检测系统IPSec InternetProtocol Security互联网协议安全协议MACMediaAcecessControl介质访问控制MPLSMulti-ProtocolLabelSwitching多协议标记交换VLANVirtualLocalAreaNetwork虚拟局域网VPNVirtualPrivateNetwork虚拟专用网4第一级安全评估准则
4.1安全功能评估
4.1.1自主访问控制
评估方法:
设置不同的交换机管理员账号,并检查是否能够分别以不同的管理员登录。预期结果:
能够设置不同的交换机管理员账号,并能够分别以不同的管理员登录。TKAONYKACa
GA/T685—2007
4.1.2身份鉴别
4.1.2.1管理员鉴别
评估方法:
登录交换机,检查是否在执行所有功能之前要求首先进行身份鉴别。预期结果:
a)在用户执行任何与安全功能相关的操作之前都应对用户进行鉴别:b)登录之前允许做的操作,应仅限于输入登录信息、查看登录帮助等操作;c)允许用户在登录后执行与其安全功能相关的各类操作时,不再重复鉴别。4.1.2.2鉴别失败处理
评估方法:
a)检查产品的安全功能是质可定文用户鉴别尝试的最大允许失败次数检查产品的安全历是可定义当用户鉴别尝试失败连续达到指定次数后,采取相应的措施b)
(如锁定该账号):
尝试多次失赚的用鉴别行
施,并生成
预期结果:
害计承件。
过检香到送
指定的鉴别失败次数后系统是否采取了相应的措a)产品应具备定义用户鉴别尝试的最大充许失败次数的功能b)产品应定
用户鉴别尝试失败连续达到指定次数后,采取相应的措施(如锁定该账号);c)当用户监彩券
试失败连续达到指定次数后,系统应锁定该账号,并将有关信息生成审计事件;最多失赚饮数仅由授权管理员设定d)
4.1.3安全管理
4.1.3.1用户管
评估方法:
管理范围和权限的能力;
检查交换机月提供了设定多个管理员并设定其a)
b)检查多个复理的权限是否有区分目符合最预期结果:
a)交换机能够设
这些多个管理宝
管理员并
特权原则。
限之何有区分,且符合最小特权原则公
4.1.3.2安全属性管理
评估方法:
管理、口今管理的功能
检查交换机是否具有账户
检查交换机是否具有默认令;
检查交换机是否能够提醒用户修改默认口令c)
预期结果:
检查交换机具有账户管理、口令管理的功能;a)
检查交换机具有默认口令;
检查交换机能够提醒用户修改默认口令c
4.1.4划分虚拟局域网
评估方法:
检查交换机是否能够划分虚拟局域网(VLAN);a)
b)检查交换机是否在顿结构中有对虚拟局域网的标识。预期结果:
a)检查交换机能够划分虚拟局域网(VLAN);2
b)检查交换机在顿结构中有对虚拟局域网的标识。4.2安全保证评估
4.2.1配置管理
评估方法:
评估者应审查开发者提供的配置管理支持文件是否包含以下内容:GA/T685-—2007
a)版本号,要求开发者所使用的版本号与所应表示的产品样本应完全对应,没有歧义;b)配置项,要求配置项应有唯一的标识,从而对产品的组成有更清楚的描述。预期结果:
审查记录以及最后结果(符合/不符合),开发者应提供唯一版本号和配置项4.2.2交付和运行
评估方法:
评估者应审查开发者是否提供了文档说明产品的安装、生成、启动和使用的过程。用户能够通过此文档了解安装、生成、启动和使用过程。预期结果:
审查记录以及最后结果(符合/不符合)应符合评估方法要求。4.2.3开发
评估方法:
评估者应审查开发者所提供的信息是否满足如下要求:功能设计应当使用非形式化风格来描述产品安全功能与其外部接口;a)
功能设计应当是内在一致的;
e)功能设计应当描述使用所有外部产品安全功能接口的目的与方法,适当的时候,要提供结果影响例外情况和错误信息的细节;d)功能设计应当完整地表示产品安全功能。评估者应确认功能设计是否是产品安全功能要求的精确和完整的示例。预期结果:
审查记录以及最后结果(符合/不符合),评估者审查内容至少包括评估方法中的四个方面。开发者提供的内容应精确和完整。
4.2.4指导性文档
评估方法:
评估者应审查开发者是否提供了供系统用户使用的用户指南,并且此用户指南是否包括如下内容:a)产品的非管理用户可使用的安全功能和接口;b)产品提供给用户的安全功能和接口的用法;用户可获取但应受安全处理环境控制的所有功能和权限;d)产品安全操作中用户所应承担的职责;e)与用户有关的IT环境的所有安全要求。预期结果:
审查记录以及最后结果(符合/不符合),评估者审查内容至少包括评估方法中的五个方面。开发者提供的用户指南应完整,并与为评估而提供的其他所有文件保持一致。4.2.5生命周期支持
评估方法:
评估者应审查开发者所提供的信息是否满足如下要求:a)开发人员的安全管理:开发人员的安全规章制度,开发人员的安全教育培训制度和记录;b):开发环境的安全管理:开发地点的出入口控制制度和记录,开发环境的温室度要求和记录,开3
FTYKAONKAca
GA/T685-2007
发环境的防火防盗措施和国家有关部门的许可文件,开发环境中所使用安全产品应采用符合国家有关规定的产品并提供相应证明材料开发设备的安全管理:开发设备的安全管理制度,包括开发主机使用管理和记录,设备的购置、c
修理、处置的制度和记录,上网管理,计算机病毒管理和记录等d)开发过程和成果的安全管理:对产品代码、文档、样机进行受控管理的制度和记录。预期结果:
审查记录以及最后结果(符合/不符合),评估者审查内容至少包括评估方法中的四个方面。开发者提供文档应完整。
4.2.6测试
评估方法:
评估者应审查开发者提供的测试覆盖分析结果,是否表明了测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应的预期结果:
审查记录以及最后结果(符合/不符合),开发者提供的测试文档中所标识的测试与安全功能设计中所描述的安全功能应对应。
5第二级安全评估准则
5.1安全功能评估
5.1.1自主访问控制
评估方法:
设置不同的交换机管理员账号,并检查是否能够分别以不同的管理员登录预期结果:
能够设置不同的交换机管理员账号,并能够分别以不同的管理员登录5.1.2身份鉴别
5.1.2.1管理员鉴别
评估方法:
登录交换机,检查是否在执行所有功能之前要求首先进行身份鉴别。预期结果:
a)在用户执行任何与安全功能相关的操作之前都应对用户进行鉴别;b)登录之前允许做的操作,应仅限于输入登录信息、查看登录帮助等操作;c)允许用户在登录后执行与其安全功能相关的各类操作时,不再重复鉴别。5.1.2.2鉴别失败处理
评估方法
检查产品的安全功能是否可定义用户鉴别尝试的最大允许失败次数;a)
检查产品的安全功能是否可定义当用户鉴别尝试失败连续达到指定次数后,采取相应的措施b)
(如锁定该账号);
C)尝试多次失败的用户鉴别行为,检查到达指定的鉴别失败次数后,系统是否采取了相应的措施,并生成了审计事件。
预期结果:
a)产品应具备定义用户鉴别尝试的最大允许失败次数的功能:b)产品应定义当用户鉴别尝试失败连续达到指定次数后,采取相应的措施(如锁定该账号);当用户鉴别尝试失败连续达到指定次数后,系统应锁定该账号,并将有关信息生成审计事件;c
最多失败次数仅由授权管理员设定。d)
5.1.2.3超时锁定
评估方法:
GA/T685-—2007
a)在设定的时间段内没有任何操作,检查能否终止会话,且需要再次进行身份鉴别才能够重新操作;
b)检查最大超时时间是否仅能由授权管理员设定。预期结果:
a)设定的时间段内没有任何操作,交换机能够终止会话,且需要再次进行身份鉴别才能够重新操作;
b)最大超时时间仅能由授权管理员设定。5.1.2.4会话锁定
评估方法:
登录产品,检查是否允许用户锁定自己的交互会话。锁定后是否需要再次进行身份鉴别才能够重新管理产品。
预期结果:
a)产品应充许用户锁定自己的交互会话;b)锁定后,用户需要再次进行身份鉴别才能够重新管理产品。5.1.2.5登录历史
评估方法:
a)成功登录交换机,然后正常退出。再次成功登录后,检查产品是否向用户显示了用户上次登录的日期、时间和成功登录产品的情况,并检查产品是否显示了口令距失效日期的天数以错误的口令登录交换机2次,然后成功登录,检查产品是否向用户显示了用户上次登录以来b)
身份鉴别失败的情况。
预期结果:
a)产品向用户显示用户上次成功登录的日期、时间和成功登录产品的情况,并显示口令距失效日期的天数;
b)产品向用户显示用户上饮登录以米共有2次身份鉴别失败5.1.3安全管理
5.1.3.1用户管理
评估方法:
a)检查交换机是否提供了设定多个管理员并设定其管理范围和权限的能力:b)检查多个管理员的权限是否有区分,且符合最小特权原则。预期结果:
a)交换机能够设定多个管理员并设定其管理范围和权限;b)这些多个管理员的权限之间有区分,且符合最小特权原则。5.1.3.2安全属性管理
评估方法:
a)检查交换机是否具有账户管理、口令管理的功能;b)检查交换机是否具有认口令:检查交换机是否能够提醒用户修改默认口令。预期结果:
a)交换机具有账户管理,口令管理的功能;检查交换机具有默认口令;
检查交换机能够提醒用户修改默认口令。c)
HTYKAONYKAca
GA/T685-—2007
5.1.4审计
5.1.4.1审计数据生成
评估方法:
结合开发者文档,使用不同角色用户模拟对产品不同模块进行访问、运行、修改,关闭以及重复失败尝试等相关操作,检查产品提供了对哪些事件的审计。审查审计记录的正确性预期结果:
a)产品应至少为下述可审计事件产生审计记录:审计功能的启动和终止:
—账户管理;
一登录事件:
系统事件:
配置文件的修改。
b)应在每个审计记录中至少记录如下信息:事件发生的日期和时间:
事件的类型
管理员身份;
事件的结果(成功或失败)。
5.1.4.2审计数据查阅
评估方法:
审查产品安全功能是否为授权管理员提供从审计记录中读取全部审计信息的功能预期结果:
产品应为授权管理员提供从审计记录中读取全部审计信息的功能5.1.4.3审计数据保护
评估方法:
模拟授权与非授权管理员访问审计记录,产品安全功能是否仅允许授权管理员访问审计记录;a
模拟授权管理员修改审计记录;b)
通过实施登录、退出、修改配置等一系列可审计事件,产生大量审计记录,直到审计存储耗尽,查看最近的审计记录是否得到了保留。预期结果:
a)产品应限制审计记录的访问。除了具有明确的读访问权限的授权管理员之外,产品应禁止所有其他用户对审计记录的读访问;b)授权管理员不能修改审计记录;c)最近的审计记录得到了保留,没有丢失。5.1.5划分虚拟局域网
评估方法:
a)检查交换机是否能够划分虚拟局域网(VLAN);检查交换机是否在顿结构中有对虚拟局域网的标识;b)
检查交换机是否能够基于端口划分,基于硬件MAC地址层划分、基于网络层(基于策略)划分虚拟局域网。
预期结果:
a)检查交换机能够划分虚拟局域网(VLAN):检查交换机在顿结构中有对虚拟局域网的标识;b)
在基于端口划分、基于硬件MAC地址层划分,基于网络层(基于策略)划分虚拟局域网三种功能中的一种或多种。
5.2安全保证评估
5.2.1配置管理
评估方法:
评估者应审查开发者所提供的信息是否满足如下要求:GA/T6852007
a)开发者应使用配置管理系统并提供配置管理文档,以及为产品的不同版本提供唯一的标识。b)配置管理系统应对所有的配置项作出唯一的标识,并保证只有经过授权才能修改配置项。配置管理文档应包括配置清单、配置管理计划。配置清单用来描述组成产品的配置项。在配c
置管理计划中,应描述配置管理系统是如何使用的。实施的配置管理应与配置管理计划相一致。
d配置管理文档还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效地维护的证据。
预期结果:
审查记录以及最后结果(符合/不符合),评估者审查内容至少包括评估方法中的四个方面。开发者提供的配置管理内容应完整。
5.2.2交付和运行
评估方法:
评估者应审查开发者是否使用一定的交付程序交付产品,并使用文档描述交付过程,并且评估者应审查开发者交付的文档是否包含下面内容在给用户方交付产品的各版本时,为维护安全所必需的所有程序。预期结果:
测试记录以及最后结果(符合/不符合)应符合评估方法要求,开发者应提供完整的文档描述所有交付的过程(文档和程序交付)。5.2.3开发
评估方法:
评估者应审查开发者所提供的信息是否满足如下要求:a)高层设计应采用非形式化的表示;b)
高层设计应当是内在一致的;
产品高层设计应当描述每一个安全功能子系统所提供的安全功能,提供了适当的体系结构来e
实现产品安全功能要求,
d)产品的高层设计应当以子系统的观点来描述产品安全功能的结构,定义所有子系统之间的相互关系,并把这些相互关系适当地作为数据流、控制流等的外部接口来表示;高层设计应当标识产品安全功能要求的任何基础性的硬件、固件和/或软件,并且通过支持这e)
些硬件、固件或软件所实现的保护机制,来提供产品安全功能表示。预期结果:
审查记录以及最后结果(符合/不符合),评估者审查内容至少包括评估方法中的五个方面。开发者提供的高层设计内容应精确和完整。5.2.4指导性文档
评估方法:
评估者应审查开发者是否提供了供系统管理员使用的管理员指南,并且此管理员指南是否包括如下内容:
a)产品可以使用的管理功能和接口;b)怎样安全地管理产品;
在安全处理环境中应进行控制的功能和权限;c)
所有对与产品的安全操作有关的用户行为的假设;d)
TYKAONYKACa
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。