GA/T 684-2007
基本信息
标准号: GA/T 684-2007
中文名称:信息安全技术交换机安全技术要求
标准类别:公共安全行业标准(GA)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:2661786
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GA/T 684-2007.Information security technology-Technical requirements for switch security.
1范围
GA/T 684分等级规定了交换机的安全功能要求和安全保证要求。
GA/T 684适用于公共安全行业对交换机产品的研发、生产;同时也可适用于对交换机产品的采购和部署。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859- 1999 计算机信息系统安全保护等级划分准则
GB/T 18336.1- -2001信息技术 安全技术信息技术安全性评估准则 第 1部分:简介和一般模型
3术语、定义和缩略语
3.1术语和定义
GB 17859- - 1999 和GB/T 18336. 1- 2001确立的以及下列术语和定义适用于本标准。
3.1.1交换机switch
一种基于硬件网卡地址,能完成封装转发数据包功能的网络设备。
3.2缩略语
下列缩略语适用于本标准。
4第一级安全要求
4.1 安全功能要求
4.1.1 自主访问控制
交换机应执行自主访向控制策略,通过管理员属性表,控制不同管理员对交换机的配置数据和其他数据的查看修改,以及对交换机上程序的执行,阻止非投权人员进行上述活动。
4.1.2 身份鉴别
4.1.2.1 管理员鉴别
在管理员进人系统会话之前,安全功能应鉴别管理员身份。鉴别时采用口令机制,并在每次登录系统时进行。口令应是不可见的,并在存储和传输时加密保护。
1范围
GA/T 684分等级规定了交换机的安全功能要求和安全保证要求。
GA/T 684适用于公共安全行业对交换机产品的研发、生产;同时也可适用于对交换机产品的采购和部署。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859- 1999 计算机信息系统安全保护等级划分准则
GB/T 18336.1- -2001信息技术 安全技术信息技术安全性评估准则 第 1部分:简介和一般模型
3术语、定义和缩略语
3.1术语和定义
GB 17859- - 1999 和GB/T 18336. 1- 2001确立的以及下列术语和定义适用于本标准。
3.1.1交换机switch
一种基于硬件网卡地址,能完成封装转发数据包功能的网络设备。
3.2缩略语
下列缩略语适用于本标准。
4第一级安全要求
4.1 安全功能要求
4.1.1 自主访问控制
交换机应执行自主访向控制策略,通过管理员属性表,控制不同管理员对交换机的配置数据和其他数据的查看修改,以及对交换机上程序的执行,阻止非投权人员进行上述活动。
4.1.2 身份鉴别
4.1.2.1 管理员鉴别
在管理员进人系统会话之前,安全功能应鉴别管理员身份。鉴别时采用口令机制,并在每次登录系统时进行。口令应是不可见的,并在存储和传输时加密保护。
标准图片预览
标准内容
ICS35.040
中华人民共和国公共安全行业标准GA/T684—2007
信息安全技术
交换机安全技术要求
Information security technologyTechnical requirements for switch security2007-03-20发布
中华人民共和国公安部
2007-05-01实施
规范性引用文件
术语、定义和缩略语
第一级安全要求
4.1安全功能要求
自主访问控制
身份鉴别
安全管理
划分虚拟局域网
安全保证要求
配置管理
交付和运行
指导性文档
生命周期支持
第二级安全要求
安全功能要求
自主访问控制
身份鉴别
安全管理
划分虚拟局域网
安全保证要求
配置管理
交付和运行
指导性文档
生命周期支持
脆弱性评定
第三级安全要求
安全功能要求
自主访问控制
身份鉴别
安全管理
HTYKAONYKAca
GA/T684-2007
GA/T684—2007
6.1.4审计
6.1.5划分虚拟局域网
6.2安全保证要求
配置管理
交付和运行
指导性文档
生命周期支持
脆弱性评定
附加安全功能
网络访问控制功能
虚拟专网功能
防火墙防护功能
7.4入侵检测功能
附录A(资料性附录)
参考文献
安全要求对照表
GA/T684—2007
本标准是从信息技术方面详细规定了各安全保护级别的交换机所应具有的安全功能要求和安全保证要求。
本标准中的附录A是资料性附录。本标准由公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:中国科学院研究生院信息安全国家重点实验室。本标准主要起草人:戴英侠、左晓栋、何申。YKANYKAca
GA/T684—2007
交换机是重要的网络互连设备,制定交换机安全技术要求对于评估交换机产品安全等级,保障网络安全具有重要的意义
与GB17859一1999的对应关系是,第一级对应本标准仅对一到三级安全保护等级做了技术要求,用户自主保护级,第二级对应系统审计保护级,第三级对应安全标记保护级。本标准文本中,加粗字体表示较低等级中没有出现或增强的技术要求。CHIN
1范围
信息安全技术交换机安全技术要求本标准分等级规定了交换机的安全功能要求和安全保证要求GA/T684—2007bzxz.net
本标准适用于公共安全行业对交换机产品的研发,生产,同时也可适用于对交换机产品的采购和部署。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB17859—1999计算机信息系统安全保护等级划分准则GB/T18336.12001信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型
3术语定义和缩略语
3.1术语和定义
GB17859—1999和GB/T18336.1—2001确立的以及下列术语和定义适用于本标准。3.1.1
交换机switch
一种基于硬件网卡地址,能完成封装转发数据包功能的网络设备3.2缩略语
下列缩略语适用于本标准。
AccessControlList访问控制列表InstrusionDetectionSystem人侵检测系统InternetProtocolSecurity互联网协议安全协议MediaAccessControl介质访问控制Multi-ProtocolLabelSwitching多协议标记交换VirtualLocalAreaNetwork虚拟局域网VirtualPrivateNetwork虚拟专用网4第一级安全要求
4.1安全功能要求
4.1.1自主访问控制
交换机应执行自主访问控制策略,通过管理员属性表,控制不同管理员对交换机的配置数据和其他数据的查看、修改,以及对交换机上程序的执行,阻止非授权人员进行上述活动。4.1.2身份鉴别
4.1.2.1管理员鉴别
在管理员进人系统会话之前,安全功能应鉴别管理员身份。鉴别时采用口令机制,并在每次登录系统时进行。口令应是不可见的,并在存荐储和传输时加密保护。1
HTKAONTKACa
GA/T684—2007
当进行鉴别时,交换机安全功能应仅将最少的反馈(如:打人的字符数,鉴别的成功或失败)提供给用户。
4.1.2.2鉴别失败处理
在经过一定次数的鉴别失败以后,交换机应锁定该账号。最多失败次数仅由授权管理员设定。4.1.3安全管理
4.1.3.1用户管理
应能够设置多个角色,具备划分管理员级别和规定相关权限(如监视、维护配置等)的能力,能够限定每个用户的管理范围和权限,防止非法用广和非法操作。4.1.3.2安全属性管理
应允许交换机管理员对安全功能行为进行控制管理,这些管理包括:a)与对应的交换机自主访回控制、鉴别和安全保证技术相关的功能的管理。b)与一般的安装和配有关的功能的管理。交换机的安全配参数要有初始值。交换机安装后,安全功能应能及财提醒管理员修改配置,并能周期性地提醒管理员维护配置。4.1.4划分虚拟局域网
交换机应具备划醒拟局域网的功能,使得同一局域网内多台主机可以活聚成十个用户组,从逻辑上可认为是在同一扇域网内,而其他虚拟局域网与其在逻辑上分属在不同的局或网肉。交换机应在顿结构中有对虚拟局域网的标识。4.2安全保证要S
4.2.1配置管理S
种现交换机配置管理,为产品的不同版本提供唯一的标识,且产品的每个版本应当开发者应设计
使用其唯一标识作为标签。
4.2.2交付和运行
开发者应以文销形式对交换机安全交付以及安装和启动过程进行说明。文档中应包括:a)对安全地换机交付给用户的说明b)对安全地安装和启动交换机的说明4.2.3开发
开发者应提供交换机功能设计要求按非形式化助能设计的要求进行功能设升,以非形式方法描述安全功能及其外部接口,使用外部安全功能接口的目的与方法。4.2.4指导性文档
开发者应编制交换机的指导壁文档要求如下:文档中应该提供关于交换机的安全功能与接目、交换机的管理和配置、交换机的启动和操作、a)
安全属性、警告信息的描述。
b)文档中不应包含任何一且泄漏将会危及系统安全的信息,文档可以为硬拷贝、电子文档或联机文档。如果是联机文档,应控制对文档的访问。4.2.5生命周期支持
开发者应建立开发和维护交换机的生命周期模型,包括用于开发和维护交换机的程序、工具和技术。开发者应按其定义的生命周期模型进行开发,并提供生命周期定义文档,在文档中描述用于开发和维护交换机安全功能的生命周期模型。4.2.6测试
开发者应对交换机进行测试,要求如下:a)应进行一般功能测试,保证交换机能够满足所有安全功能的要求;b)保留并提供测试文档,详细描述测试计划、测试过程以及预测结果和实际测试结果。2
5第二级安全要求
5.1安全功能要求
5.1.1自主访问控制
GA/T684—2007
交换机应执行自主访问控制策略,通过管理员属性表,控制不同管理员对交换机的配置数据和其他数据的查看、修改,以及对交换机上程序的执行,阻止非授权人员进行上述活动。5.1.2身份鉴别
5.1.2.1管理员鉴别
在管理员进人系统会话之前,安全功能应鉴别管理员身份。鉴别时采用口令机制,并在每次登录系统时进行。口令应是不可见的,并在存储和传输时加密保护。当进行鉴别时,交换机安全功能应仅将最少的反馈(如:打入的字符数,鉴别的成功或失败)提供给用户。
5.1.2.2鉴别失败处理
在经过一定次数的鉴别失败以后,交换机应锁定该账号。最多失败次数仅由授权管理员设定。5.1.2.3超时锁定
应具有登录超时锁定功能。在设定的时间段内没有任何操作的情况下,终止会话,需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。5.1.2.4会话锁定
应允许管理员锁定自己的交互会话,锁定后需要再次进行身份鉴别才能够重新管理产品。5.1.2.5登录历史
应设计和实现交换机登录历史功能。为用户提供系统登录活动的有关信息,使用户识别人侵的企图。成功通过鉴别,登录系统后,交换机应向用户显示如下数据:一日期、时间、来源和上次成功登录系统的情况;一上次成功登录系统以来身份鉴别失败的情况一口令距失效日期的天数。
5.1.3安全管理
5.1.3.1用户管理
应设置多个角色,具备划分管理员级别和规定相关权限(如监视、维护配置等)的能力,能够限定每个用户的管理范围和权限,防止非法用户和非法操作。5.1.3.2安全属性管理
应允许交换机管理员对安全功能行为进行控制管理,这些管理包括:a)与对应的交换机自主访问控制、鉴别和安全保证技术相关的功能的管理。b)与一般的安装和配置有关的功能的管理。交换机的安全配置参数要有初始值。交换机安装后,安全功能应能及时提醒管理员修改配置,并能周期性地提醒管理员维护配置。5.1.4审计
5.1.4.1审计数据生成
交换机应具有审计功能,至少能够审计以下行为:审计功能的启动和终止;
账户管理;
—登录事件:
—系统事件;
配置文件的修改。
应能为交换机的可审计行为生成审计记录,并在每一个审计记录中至少记录以下信息:3
HTKAONTKAca
GA/T6842007
一事件发生的日期和时间:
一事件的类型,
一管理员身份
一事件的结果(成功或失败)。5.1.4.2审计数据查阅
应提供给已授权的管理员从审计记录中读取审计信息的能力,为管理员提供的审计记录具有唯一、明确的定义和方便阅读的格式。5.1.4.3审计数据保护
应能保护已存储的审计记录,避免未经授权的删除,并能监测和防止对审计记录的修改。当审计存储耗尽、失败或受到攻击时,应确保最近的审计记录在一定的时间内不会被破坏。5.1.5划分虚拟局域网
交换机应具备划分虚拟局域网的功能,使得同一局域网内多台主机可以汇聚成一个用户组,从逻辑上可认为是在同一局域网内,而其他虚拟局域网与其在逻辑上分属在不同的局域网内。交换机应在顿结构中有对虚拟局域网的标识。虚拟局域网可分为基于端口的划分,基于硬件MAC地址层,基于网络层(基于策略)5.2安全保证要求
5.2.1配置管理
开发者应设计和实现交换机配置管理,要求如下:a)开发者应使用配置管理系统,并提供配置管理文档,为产品的不同版本提供唯一的标识,且产品的每个版本应当使用其唯一标识作为标签。配置管理范围至少应包括交换机的产品实现表示、设计文档、测试文档、用户文档、配置管理,)
从而确保它们的修改是在一个正确授权的可控方式下进行的。配置管理文档至少应能跟踪上述内容,并描述配置管理系统是如何跟踪这些配置项的。5.2.2交付和运行
开发者应以文档形式对交换机安全交付以及安装和启动过程进行说明。文档中应包括:a)对安全地将交换机交付给用户的说明;b)对安全地安装和启动交换机的说明。5.2.3开发
开发者应提供交换机功能规范,要求如下:a)按非形式化功能设计的要求进行功能设计,以非形式方法描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法。提供交换机安全功能的高层设计。高层设计应按子系统描述安全功能及其结构,并标识安全b)
功能子系统的所有接口。高层设计还应标识实现安全功能所要求的基础性的硬件、固件和软件。
c)开发者应提供交换机安全功能的功能设计与高层设计之间的非形式化对应性分析,该分析应证明功能设计表示的所有相关安全功能都在高层设计中得到正确且完备的细化。5.2.4指导性文档
开发者应编制交换机的指导性文档,要求如下:a)文档中应该提供关于交换机的安全功能与接口、交换机的管理和配置、交换机的启动和操作、安全属性、警告信息、审计工具的描述。b)文档中不应包含任何一且泄漏将会危及系统安全的信息,文档可以为硬拷贝、电子文档或联机文档。如果是联机文档,应控制对文档的访问。4
5.2.5生命周期支持
GA/T684—2007
开发者应建立开发和维护交换机的生命周期模型,即用于开发和维护交换机的程序、工具和技术。要求如下:
a)开发者应按其定义的生命周期模型进行开发,并提供生命周期定义文档,在文档中描述用于开发和维护交换机安全功能的生命周期模型b)该模型对于交换机开发和维护应提供必要的控制,采用物理上,程序上,人员上以及其他方面的安全措施保护交换机开发环境的安全,包括场地的物理安全和对开发人员的选择,并采取适当的防护措施来消除或降低交换机开发所面临的安全威胁5.2.6测试
开发者应对交换机进行测试,要求如下:a)应进行一般功能测试,保证交换机能够满足所有安全功能的要求应提供测试深度的分析。在深度分析中,应论证测试文档中所标识的对安全功能的测试足以b
表明该安全功能的运行与高层设计是一致的。应进行相符性独立测试,由专业第三方独立实验室或消费者组织实施测试,确认交换机能够满c
足所有安全功能的要求
d)保留并提供测试文档,详细描述测试计划、测试过程以及预测结果和实际测试结果,5.2.7脆弱性评定
开发者应提供指导性文档和分析文档,在文档中确定对交换机的所有可能的操作方式(包括失败和操作失误后的操作)的后果以及对于保持安全操作的意义,并列出所有目标环境的假设和所有的外部安全措施(包括外部程序的、物理的或人员控制)要求。所述内容应是完备,清晰、一致和合理的。开发者应对具有安全功能强度声明的安全机制(例如口令机制)进行安全功能强度分析。安全功能强度分析应证明安全机制达到了所声明的强度。开发者应实施脆弱性分析,并提供脆弱性分布的文档。对所有已标识的脆弱性,文档应说明它们在所期望的交换机使用环境中不能被利用。文档还应说明如何确保用户能够得到最新的安全补丁。6第三级安全要求
6.1安全功能要求
6.1.1自主访问控制
交换机应执行自主访问控制策略,通过管理员属性表,控制不同管理员对交换机的配置数据和其他数据的查看、修改,以及对交换机上程序的执行,阻止非授权人员进行上述活动。6.1.2身份鉴别
6.1.2.1管理员鉴别
在管理员进人系统会话之前,安全功能应鉴别管理员身份。鉴别时除采用口令机制,还应有更加严格的身份鉴别,如采用智能IC卡指纹等机制,并在每次登录系统时进行。口令应是不可见的,并在存储和传输时加密保护。
当进行鉴别时,交换机安全功能应仅将最少的反馈(如:打人的字符数,鉴别的成功或失败)提供给用户。
6.1.2.2鉴别失败处理
在经过一定次数的鉴别失败以后,交换机应锁定该账号。最多失败次数仅由授权管理员设定。6.1.2.3超时锁定
应具有登录超时锁定功能。在设定的时间段内没有任何操作的情况下,终止会话,需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定5
HTKAONKAca=
GA/T684—2007
6.1.2.4会话锁定
应允许管理员锁定自已的交互会话,锁定后需要再次进行身份鉴别才能够重新管理产品。6.1.2.5登录历史
应设计和实现交换机登录历史功能。为用户提供系统登录活动的有关信息,使用户识别人侵的企图。成功通过鉴别,登录系统后,交换机应向用户显示如下数据:日期、时间、来源和上次成功登录系统的情况;一一上次成功登录系统以来身份鉴别失败的情况;一口令距失效日期的天数。
6.1.3安全管理
6.1.3.1用户管理
应设置多个角色,具备划分管理员级别和规定相关权限(如监视、维护配置等)的能力,能够限定每个用户的管理范围和权限,防止非法用户和非法操作。6.1.3.2安全属性管理
应允许交换机管理员对安全功能行为进行控制管理,这些管理包括a)与对应的交换机自主访问控制、鉴别、数据完整性和安全保证技术相关的功能的管理。b)与一般的安装和配置有关的功能的管理。交换机的安全配置参数要有初始值。交换机安装后,安全功能应能及时提醒管理员修改配置,并能周期性地提醒管理员维护配置。6.1.4审计
6.1.4.1审计数据生成
交换机应具有审计功能,至少能够审计以下行为:审计功能的启动和终止:
—账户管理:
登录事件;
一系统事件;
配置文件的修改。
应能为交换机的可审计行为生成审计记录,并在每一个审计记录中至少记录以下信息:事件发生的日期和时间;
事件的类型;
一管理员身份;
一事件的结果(成功或失败)。6.1.4.2审计数据查阅
应提供给已授权的管理员从审计记录中读取审计信息的能力,为管理员提供的审计记录具有唯一、明确的定义和方便阅读的格式
6.1.4.3审计数据保护
应能保护已存储的审计记录,避免未经授权的删除,并能监测和防止对审计记录的修改。当审计存储耗尽、失败或受到攻击时,应确保最近的审计记录在一定的时间内不会被破坏。当审计踪迹超过预定的限制值时,交换机安全功能应采取相应的行动,如:向授权管理员产生警告。6.1.4.4潜在侵害分析
交换机安全功能应能监控可审计行为,并指出潜在的侵害交换机安全功能在检测到可能有安全侵害发生时,应做出响应,如:通知管理员,向管理员提供一组遏制侵害的或采取矫正的行动。6
6.1.5划分虚拟局域网
GA/T684-—2007
交换机应具备划分虚拟局域网的功能,使得同一局域网内多台主机可以汇聚成一个用户组,从逻辑上可认为是在同一局域网内,而其他虚拟局域网与其在逻辑上分属在不同的局域网内。交换机应在顿结构中有对虚拟局域网的标识。虚拟局域网可分为基于端口的划分,基于硬件MAC地址层,基于网络层(基于策略)。虚拟局域网的应用应支持局域网内的局域网,支持共享访问(访间共同的接入点和服务器),支持虚拟局域网的交叠。
6.2安全保证要求
6.2.1配置管理
开发者应设计和实现交换机配置管理,要求下:a)开发者应使用配置管理系统,并提供配置管理文档,为产品的不同版本提供唯一的标识,且产品的每个版本应使用其唯一标识作为标签;b)配置管理范围应包括交换机的产品实现表示设计文档测试文档、用户文档、配置管理,从而确保主你修改是在一个正确授权的可控方式下进行的。配置售理文档至少应能跟踪上述内容,猫过配置管理系统是如何跟踪这些配管项的,部分的配理应实现自动化
6.2.2交付和运行
开发者应方挡形式提供对交换机委全地交付以及安装和启动的过程进行说电。文档中应包括:a)对如地将交换机交付给用户的说明:b)对如国全地安装和启动交换机的说明;c)对如何测交换机在分发过程中发生的未授权修改,如何检测攻击者伪装成开发者向用户交付交教开品的说明。
以安全方式分发并交付产品后,仍应提供对交换机的长期维护和评估的支持,急括产品中的漏洞和现场问题的解决S
以安全方式发并交付产品后,仍应不断向用户提供可能会影响到交换机安全的注意事项或警告R
信息。
6.2.3开发
开发者应提供交换能规范,要求如下:a)按非形式化功能的要求进行功能设计,以非形式方法撑述安全功能与其外部接口,并描述使用外部安全功能的目的与方法。提供交换机安全功能的高层设计。高层设计应按了系统描过安全功能及其结构,并标识安全b)
功能子系统的所有接口高层设计还应标识实现安全功能所要求的基础性的硬件、固件和软件。高层设计还应描述安全功能子系统所有接口及使用接口的目的和方法,并详细描述接口的返回结果、例外情况和错误信息等,以及如何将交换机中有助于增强安全策略的子系统分离出来。
c)开发者应提供交换机安全功能的低层设计。低层设计应以模块术语描述安全功能,并描述每一个模块的目的、接口和相互间的关系。低层设计还应描述如何将交换机中有助于增强安全策略的模块分离出来。
d)开发者应提供交换机安全功能的功能设计与高层设计之间的非形式化对应性分析,该分析应证明功能设计表示的所有相关安全功能都在高层设计中得到正确且完备的细化。开发者应提供安全策略模型,并阐明该模型和交换机功能设计之间的对应性,这一对应性是一e)
致和完备的。安全策略模型是非形式化的。该模型应描述所有可以模型化的安全策略的规则和特征,并阐明该模型对于所有可模型化的安全策略来说,是与其一致且完备的。7
HTIKAONYKACa
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国公共安全行业标准GA/T684—2007
信息安全技术
交换机安全技术要求
Information security technologyTechnical requirements for switch security2007-03-20发布
中华人民共和国公安部
2007-05-01实施
规范性引用文件
术语、定义和缩略语
第一级安全要求
4.1安全功能要求
自主访问控制
身份鉴别
安全管理
划分虚拟局域网
安全保证要求
配置管理
交付和运行
指导性文档
生命周期支持
第二级安全要求
安全功能要求
自主访问控制
身份鉴别
安全管理
划分虚拟局域网
安全保证要求
配置管理
交付和运行
指导性文档
生命周期支持
脆弱性评定
第三级安全要求
安全功能要求
自主访问控制
身份鉴别
安全管理
HTYKAONYKAca
GA/T684-2007
GA/T684—2007
6.1.4审计
6.1.5划分虚拟局域网
6.2安全保证要求
配置管理
交付和运行
指导性文档
生命周期支持
脆弱性评定
附加安全功能
网络访问控制功能
虚拟专网功能
防火墙防护功能
7.4入侵检测功能
附录A(资料性附录)
参考文献
安全要求对照表
GA/T684—2007
本标准是从信息技术方面详细规定了各安全保护级别的交换机所应具有的安全功能要求和安全保证要求。
本标准中的附录A是资料性附录。本标准由公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:中国科学院研究生院信息安全国家重点实验室。本标准主要起草人:戴英侠、左晓栋、何申。YKANYKAca
GA/T684—2007
交换机是重要的网络互连设备,制定交换机安全技术要求对于评估交换机产品安全等级,保障网络安全具有重要的意义
与GB17859一1999的对应关系是,第一级对应本标准仅对一到三级安全保护等级做了技术要求,用户自主保护级,第二级对应系统审计保护级,第三级对应安全标记保护级。本标准文本中,加粗字体表示较低等级中没有出现或增强的技术要求。CHIN
1范围
信息安全技术交换机安全技术要求本标准分等级规定了交换机的安全功能要求和安全保证要求GA/T684—2007bzxz.net
本标准适用于公共安全行业对交换机产品的研发,生产,同时也可适用于对交换机产品的采购和部署。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB17859—1999计算机信息系统安全保护等级划分准则GB/T18336.12001信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型
3术语定义和缩略语
3.1术语和定义
GB17859—1999和GB/T18336.1—2001确立的以及下列术语和定义适用于本标准。3.1.1
交换机switch
一种基于硬件网卡地址,能完成封装转发数据包功能的网络设备3.2缩略语
下列缩略语适用于本标准。
AccessControlList访问控制列表InstrusionDetectionSystem人侵检测系统InternetProtocolSecurity互联网协议安全协议MediaAccessControl介质访问控制Multi-ProtocolLabelSwitching多协议标记交换VirtualLocalAreaNetwork虚拟局域网VirtualPrivateNetwork虚拟专用网4第一级安全要求
4.1安全功能要求
4.1.1自主访问控制
交换机应执行自主访问控制策略,通过管理员属性表,控制不同管理员对交换机的配置数据和其他数据的查看、修改,以及对交换机上程序的执行,阻止非授权人员进行上述活动。4.1.2身份鉴别
4.1.2.1管理员鉴别
在管理员进人系统会话之前,安全功能应鉴别管理员身份。鉴别时采用口令机制,并在每次登录系统时进行。口令应是不可见的,并在存荐储和传输时加密保护。1
HTKAONTKACa
GA/T684—2007
当进行鉴别时,交换机安全功能应仅将最少的反馈(如:打人的字符数,鉴别的成功或失败)提供给用户。
4.1.2.2鉴别失败处理
在经过一定次数的鉴别失败以后,交换机应锁定该账号。最多失败次数仅由授权管理员设定。4.1.3安全管理
4.1.3.1用户管理
应能够设置多个角色,具备划分管理员级别和规定相关权限(如监视、维护配置等)的能力,能够限定每个用户的管理范围和权限,防止非法用广和非法操作。4.1.3.2安全属性管理
应允许交换机管理员对安全功能行为进行控制管理,这些管理包括:a)与对应的交换机自主访回控制、鉴别和安全保证技术相关的功能的管理。b)与一般的安装和配有关的功能的管理。交换机的安全配参数要有初始值。交换机安装后,安全功能应能及财提醒管理员修改配置,并能周期性地提醒管理员维护配置。4.1.4划分虚拟局域网
交换机应具备划醒拟局域网的功能,使得同一局域网内多台主机可以活聚成十个用户组,从逻辑上可认为是在同一扇域网内,而其他虚拟局域网与其在逻辑上分属在不同的局或网肉。交换机应在顿结构中有对虚拟局域网的标识。4.2安全保证要S
4.2.1配置管理S
种现交换机配置管理,为产品的不同版本提供唯一的标识,且产品的每个版本应当开发者应设计
使用其唯一标识作为标签。
4.2.2交付和运行
开发者应以文销形式对交换机安全交付以及安装和启动过程进行说明。文档中应包括:a)对安全地换机交付给用户的说明b)对安全地安装和启动交换机的说明4.2.3开发
开发者应提供交换机功能设计要求按非形式化助能设计的要求进行功能设升,以非形式方法描述安全功能及其外部接口,使用外部安全功能接口的目的与方法。4.2.4指导性文档
开发者应编制交换机的指导壁文档要求如下:文档中应该提供关于交换机的安全功能与接目、交换机的管理和配置、交换机的启动和操作、a)
安全属性、警告信息的描述。
b)文档中不应包含任何一且泄漏将会危及系统安全的信息,文档可以为硬拷贝、电子文档或联机文档。如果是联机文档,应控制对文档的访问。4.2.5生命周期支持
开发者应建立开发和维护交换机的生命周期模型,包括用于开发和维护交换机的程序、工具和技术。开发者应按其定义的生命周期模型进行开发,并提供生命周期定义文档,在文档中描述用于开发和维护交换机安全功能的生命周期模型。4.2.6测试
开发者应对交换机进行测试,要求如下:a)应进行一般功能测试,保证交换机能够满足所有安全功能的要求;b)保留并提供测试文档,详细描述测试计划、测试过程以及预测结果和实际测试结果。2
5第二级安全要求
5.1安全功能要求
5.1.1自主访问控制
GA/T684—2007
交换机应执行自主访问控制策略,通过管理员属性表,控制不同管理员对交换机的配置数据和其他数据的查看、修改,以及对交换机上程序的执行,阻止非授权人员进行上述活动。5.1.2身份鉴别
5.1.2.1管理员鉴别
在管理员进人系统会话之前,安全功能应鉴别管理员身份。鉴别时采用口令机制,并在每次登录系统时进行。口令应是不可见的,并在存储和传输时加密保护。当进行鉴别时,交换机安全功能应仅将最少的反馈(如:打入的字符数,鉴别的成功或失败)提供给用户。
5.1.2.2鉴别失败处理
在经过一定次数的鉴别失败以后,交换机应锁定该账号。最多失败次数仅由授权管理员设定。5.1.2.3超时锁定
应具有登录超时锁定功能。在设定的时间段内没有任何操作的情况下,终止会话,需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。5.1.2.4会话锁定
应允许管理员锁定自己的交互会话,锁定后需要再次进行身份鉴别才能够重新管理产品。5.1.2.5登录历史
应设计和实现交换机登录历史功能。为用户提供系统登录活动的有关信息,使用户识别人侵的企图。成功通过鉴别,登录系统后,交换机应向用户显示如下数据:一日期、时间、来源和上次成功登录系统的情况;一上次成功登录系统以来身份鉴别失败的情况一口令距失效日期的天数。
5.1.3安全管理
5.1.3.1用户管理
应设置多个角色,具备划分管理员级别和规定相关权限(如监视、维护配置等)的能力,能够限定每个用户的管理范围和权限,防止非法用户和非法操作。5.1.3.2安全属性管理
应允许交换机管理员对安全功能行为进行控制管理,这些管理包括:a)与对应的交换机自主访问控制、鉴别和安全保证技术相关的功能的管理。b)与一般的安装和配置有关的功能的管理。交换机的安全配置参数要有初始值。交换机安装后,安全功能应能及时提醒管理员修改配置,并能周期性地提醒管理员维护配置。5.1.4审计
5.1.4.1审计数据生成
交换机应具有审计功能,至少能够审计以下行为:审计功能的启动和终止;
账户管理;
—登录事件:
—系统事件;
配置文件的修改。
应能为交换机的可审计行为生成审计记录,并在每一个审计记录中至少记录以下信息:3
HTKAONTKAca
GA/T6842007
一事件发生的日期和时间:
一事件的类型,
一管理员身份
一事件的结果(成功或失败)。5.1.4.2审计数据查阅
应提供给已授权的管理员从审计记录中读取审计信息的能力,为管理员提供的审计记录具有唯一、明确的定义和方便阅读的格式。5.1.4.3审计数据保护
应能保护已存储的审计记录,避免未经授权的删除,并能监测和防止对审计记录的修改。当审计存储耗尽、失败或受到攻击时,应确保最近的审计记录在一定的时间内不会被破坏。5.1.5划分虚拟局域网
交换机应具备划分虚拟局域网的功能,使得同一局域网内多台主机可以汇聚成一个用户组,从逻辑上可认为是在同一局域网内,而其他虚拟局域网与其在逻辑上分属在不同的局域网内。交换机应在顿结构中有对虚拟局域网的标识。虚拟局域网可分为基于端口的划分,基于硬件MAC地址层,基于网络层(基于策略)5.2安全保证要求
5.2.1配置管理
开发者应设计和实现交换机配置管理,要求如下:a)开发者应使用配置管理系统,并提供配置管理文档,为产品的不同版本提供唯一的标识,且产品的每个版本应当使用其唯一标识作为标签。配置管理范围至少应包括交换机的产品实现表示、设计文档、测试文档、用户文档、配置管理,)
从而确保它们的修改是在一个正确授权的可控方式下进行的。配置管理文档至少应能跟踪上述内容,并描述配置管理系统是如何跟踪这些配置项的。5.2.2交付和运行
开发者应以文档形式对交换机安全交付以及安装和启动过程进行说明。文档中应包括:a)对安全地将交换机交付给用户的说明;b)对安全地安装和启动交换机的说明。5.2.3开发
开发者应提供交换机功能规范,要求如下:a)按非形式化功能设计的要求进行功能设计,以非形式方法描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法。提供交换机安全功能的高层设计。高层设计应按子系统描述安全功能及其结构,并标识安全b)
功能子系统的所有接口。高层设计还应标识实现安全功能所要求的基础性的硬件、固件和软件。
c)开发者应提供交换机安全功能的功能设计与高层设计之间的非形式化对应性分析,该分析应证明功能设计表示的所有相关安全功能都在高层设计中得到正确且完备的细化。5.2.4指导性文档
开发者应编制交换机的指导性文档,要求如下:a)文档中应该提供关于交换机的安全功能与接口、交换机的管理和配置、交换机的启动和操作、安全属性、警告信息、审计工具的描述。b)文档中不应包含任何一且泄漏将会危及系统安全的信息,文档可以为硬拷贝、电子文档或联机文档。如果是联机文档,应控制对文档的访问。4
5.2.5生命周期支持
GA/T684—2007
开发者应建立开发和维护交换机的生命周期模型,即用于开发和维护交换机的程序、工具和技术。要求如下:
a)开发者应按其定义的生命周期模型进行开发,并提供生命周期定义文档,在文档中描述用于开发和维护交换机安全功能的生命周期模型b)该模型对于交换机开发和维护应提供必要的控制,采用物理上,程序上,人员上以及其他方面的安全措施保护交换机开发环境的安全,包括场地的物理安全和对开发人员的选择,并采取适当的防护措施来消除或降低交换机开发所面临的安全威胁5.2.6测试
开发者应对交换机进行测试,要求如下:a)应进行一般功能测试,保证交换机能够满足所有安全功能的要求应提供测试深度的分析。在深度分析中,应论证测试文档中所标识的对安全功能的测试足以b
表明该安全功能的运行与高层设计是一致的。应进行相符性独立测试,由专业第三方独立实验室或消费者组织实施测试,确认交换机能够满c
足所有安全功能的要求
d)保留并提供测试文档,详细描述测试计划、测试过程以及预测结果和实际测试结果,5.2.7脆弱性评定
开发者应提供指导性文档和分析文档,在文档中确定对交换机的所有可能的操作方式(包括失败和操作失误后的操作)的后果以及对于保持安全操作的意义,并列出所有目标环境的假设和所有的外部安全措施(包括外部程序的、物理的或人员控制)要求。所述内容应是完备,清晰、一致和合理的。开发者应对具有安全功能强度声明的安全机制(例如口令机制)进行安全功能强度分析。安全功能强度分析应证明安全机制达到了所声明的强度。开发者应实施脆弱性分析,并提供脆弱性分布的文档。对所有已标识的脆弱性,文档应说明它们在所期望的交换机使用环境中不能被利用。文档还应说明如何确保用户能够得到最新的安全补丁。6第三级安全要求
6.1安全功能要求
6.1.1自主访问控制
交换机应执行自主访问控制策略,通过管理员属性表,控制不同管理员对交换机的配置数据和其他数据的查看、修改,以及对交换机上程序的执行,阻止非授权人员进行上述活动。6.1.2身份鉴别
6.1.2.1管理员鉴别
在管理员进人系统会话之前,安全功能应鉴别管理员身份。鉴别时除采用口令机制,还应有更加严格的身份鉴别,如采用智能IC卡指纹等机制,并在每次登录系统时进行。口令应是不可见的,并在存储和传输时加密保护。
当进行鉴别时,交换机安全功能应仅将最少的反馈(如:打人的字符数,鉴别的成功或失败)提供给用户。
6.1.2.2鉴别失败处理
在经过一定次数的鉴别失败以后,交换机应锁定该账号。最多失败次数仅由授权管理员设定。6.1.2.3超时锁定
应具有登录超时锁定功能。在设定的时间段内没有任何操作的情况下,终止会话,需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定5
HTKAONKAca=
GA/T684—2007
6.1.2.4会话锁定
应允许管理员锁定自已的交互会话,锁定后需要再次进行身份鉴别才能够重新管理产品。6.1.2.5登录历史
应设计和实现交换机登录历史功能。为用户提供系统登录活动的有关信息,使用户识别人侵的企图。成功通过鉴别,登录系统后,交换机应向用户显示如下数据:日期、时间、来源和上次成功登录系统的情况;一一上次成功登录系统以来身份鉴别失败的情况;一口令距失效日期的天数。
6.1.3安全管理
6.1.3.1用户管理
应设置多个角色,具备划分管理员级别和规定相关权限(如监视、维护配置等)的能力,能够限定每个用户的管理范围和权限,防止非法用户和非法操作。6.1.3.2安全属性管理
应允许交换机管理员对安全功能行为进行控制管理,这些管理包括a)与对应的交换机自主访问控制、鉴别、数据完整性和安全保证技术相关的功能的管理。b)与一般的安装和配置有关的功能的管理。交换机的安全配置参数要有初始值。交换机安装后,安全功能应能及时提醒管理员修改配置,并能周期性地提醒管理员维护配置。6.1.4审计
6.1.4.1审计数据生成
交换机应具有审计功能,至少能够审计以下行为:审计功能的启动和终止:
—账户管理:
登录事件;
一系统事件;
配置文件的修改。
应能为交换机的可审计行为生成审计记录,并在每一个审计记录中至少记录以下信息:事件发生的日期和时间;
事件的类型;
一管理员身份;
一事件的结果(成功或失败)。6.1.4.2审计数据查阅
应提供给已授权的管理员从审计记录中读取审计信息的能力,为管理员提供的审计记录具有唯一、明确的定义和方便阅读的格式
6.1.4.3审计数据保护
应能保护已存储的审计记录,避免未经授权的删除,并能监测和防止对审计记录的修改。当审计存储耗尽、失败或受到攻击时,应确保最近的审计记录在一定的时间内不会被破坏。当审计踪迹超过预定的限制值时,交换机安全功能应采取相应的行动,如:向授权管理员产生警告。6.1.4.4潜在侵害分析
交换机安全功能应能监控可审计行为,并指出潜在的侵害交换机安全功能在检测到可能有安全侵害发生时,应做出响应,如:通知管理员,向管理员提供一组遏制侵害的或采取矫正的行动。6
6.1.5划分虚拟局域网
GA/T684-—2007
交换机应具备划分虚拟局域网的功能,使得同一局域网内多台主机可以汇聚成一个用户组,从逻辑上可认为是在同一局域网内,而其他虚拟局域网与其在逻辑上分属在不同的局域网内。交换机应在顿结构中有对虚拟局域网的标识。虚拟局域网可分为基于端口的划分,基于硬件MAC地址层,基于网络层(基于策略)。虚拟局域网的应用应支持局域网内的局域网,支持共享访问(访间共同的接入点和服务器),支持虚拟局域网的交叠。
6.2安全保证要求
6.2.1配置管理
开发者应设计和实现交换机配置管理,要求下:a)开发者应使用配置管理系统,并提供配置管理文档,为产品的不同版本提供唯一的标识,且产品的每个版本应使用其唯一标识作为标签;b)配置管理范围应包括交换机的产品实现表示设计文档测试文档、用户文档、配置管理,从而确保主你修改是在一个正确授权的可控方式下进行的。配置售理文档至少应能跟踪上述内容,猫过配置管理系统是如何跟踪这些配管项的,部分的配理应实现自动化
6.2.2交付和运行
开发者应方挡形式提供对交换机委全地交付以及安装和启动的过程进行说电。文档中应包括:a)对如地将交换机交付给用户的说明:b)对如国全地安装和启动交换机的说明;c)对如何测交换机在分发过程中发生的未授权修改,如何检测攻击者伪装成开发者向用户交付交教开品的说明。
以安全方式分发并交付产品后,仍应提供对交换机的长期维护和评估的支持,急括产品中的漏洞和现场问题的解决S
以安全方式发并交付产品后,仍应不断向用户提供可能会影响到交换机安全的注意事项或警告R
信息。
6.2.3开发
开发者应提供交换能规范,要求如下:a)按非形式化功能的要求进行功能设计,以非形式方法撑述安全功能与其外部接口,并描述使用外部安全功能的目的与方法。提供交换机安全功能的高层设计。高层设计应按了系统描过安全功能及其结构,并标识安全b)
功能子系统的所有接口高层设计还应标识实现安全功能所要求的基础性的硬件、固件和软件。高层设计还应描述安全功能子系统所有接口及使用接口的目的和方法,并详细描述接口的返回结果、例外情况和错误信息等,以及如何将交换机中有助于增强安全策略的子系统分离出来。
c)开发者应提供交换机安全功能的低层设计。低层设计应以模块术语描述安全功能,并描述每一个模块的目的、接口和相互间的关系。低层设计还应描述如何将交换机中有助于增强安全策略的模块分离出来。
d)开发者应提供交换机安全功能的功能设计与高层设计之间的非形式化对应性分析,该分析应证明功能设计表示的所有相关安全功能都在高层设计中得到正确且完备的细化。开发者应提供安全策略模型,并阐明该模型和交换机功能设计之间的对应性,这一对应性是一e)
致和完备的。安全策略模型是非形式化的。该模型应描述所有可以模型化的安全策略的规则和特征,并阐明该模型对于所有可模型化的安全策略来说,是与其一致且完备的。7
HTIKAONYKACa
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。