GB∕T 21050-2019 信息安全技术 网络交换机安全技术要求.docx

《GB∕T 21050-2019 信息安全技术 网络交换机安全技术要求.docx》由会员分享，可在线阅读，更多相关《GB∕T 21050-2019 信息安全技术 网络交换机安全技术要求.docx（125页珍藏版）》请在三一办公上搜索。

1、ICS 35.040OB中华人民共和国国家标准GB/T210502019代替GB/T210502007信息安全技术网络交换机安全技术要求InformationsecuritytechnologySecurityrequirementsfornetworkswitch2019-08-30发布2020-03-01实施国家市场监督管理总局哈士中国国家标准化管理委员会发布目次前言III1范围12规范性引用文件13术语和定义、缩略语13.1术语和定义13.2缩略语24网络交换机描述25安全问题定义35.1资产31.2 威胁41.3 组织安全策略51.4 假设66 安全目的76 .1TOE安全目的77 .

2、2环境安全目的97 安全要求97.1 扩展组件定义97.2 安全功能要求107.3 安全保障要求198 基本原理308.1安全目的基本原理308.2安全要求基本原理428.3组件依赖关系49参考文献52本标准按照GB/T1.12009给出的规则起草。本标准代替GB/T21050-2007信息安全技术网络交换机安全技术要求（评估保证级3）。与GB/T210502007相比，除编辑性修改外主要技术变化如下： 对使用范围进行了修改，并增加了关于密码算法的约定（见第1章，2007年版的第1章）； 增加了对术语标准的引用（见第2章，2007年版第2章）； 增加了可信IT产品术语，删掉了网络交换机”术语（

3、见第3章，2007年版的第3章）；一一修改了网络交换机的描述（见第4章，2007年版的第4章）； 将安全环境修改为安全问题定义，且归并和修改了假设、威胁、组织安全策略（见第5章，2007年版的第5章）； 修改和删减了安全目的（见第6章，2007年版的第6章）；一一增加了扩展组件，根据GB/T18336-2015增删了安全要求（见第7章）；一增加了基本原理一章（见第8章）。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：中国信息安全测评中心、吉林信息安全测评中心、华为技术有限公司、

4、清华大学、锐捷网络股份有限公司、网神信息技术（北京）股份有限公司。本标准主要起草人：李凤娟、张宝峰、刘晖、张种斌、贾炜、张骁、庞博、刘昱函、唐喜庆、蒋显岚、刘批娉、钟建伟、刘海利、叶晓俊、李玲、徐涛。本标准所代替标准的历次版本发布情况为：GB/T210502007oIll信息安全技术网络交换机安全技术要求1范围本标准规定了网络交换机达到EAL2和EAL3的安全功能要求及安全保障要求，涵盖了安全问题定义、安全目的、安全要求等内容。本标准适用于网络交换机的测试、评估和采购，也可用于指导该类产品的研制和开发。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适

5、用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T18336.12015信息技术安全技术信息技术安全评估准则第1部分：简介和一般模型GB/T18336.22015信息技术安全技术信息技术安全评估准则第2部分：安全功能组件GB/T18336.3-2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件GB/T250692010信息安全技术术语3术语和定义、缩略语3.1 术语和定义GB/T250692010和GB/T18336.12015界定的以及下列术语和定义适用于本文件。3.1.1可信IT产品trustedITproduct有与TOE协调管理的安

6、全功能要求，但不属于TOE的其他IT产品，且假定可正确执行自身的安全功能要求。可值信道trustedchanneITSF和远程可信IT产品间在必要的信任基础上进行通信的一种通信手段。3.1.3可信路径trustedpath用户与TSF间在必要的信任基础上进行通信的一种通信手段。3.1.4可信源trustedsource能够被标识和鉴别的源或节点，从该源或节点发出信息的完整性能够被核实和确认。3.1.5客户client向另一方请求服务的一方。GBT114572006,定义2.2143.1.6网络审计管理员networkauditmanagementoperator仅具有查看权限，是负责收集、分析

7、和查看网络行为数据的网络管理角色。注：网络审计管理员可查看网络交换置、信息流策略等。3.1.7网络配置管理员networkmanagementadministrator受到严格限制的具有部分网络管理能力的管理角色，可以执行网络交换机管理功能的子集，但不具备网络审计管理员的能力。注：网络配置管理员可配置管理网络系统，利用权P解决网络故障等。3.1.8网络安全管理员networksecurityadninistrator具有所有管理级别的访问权限，可以访问网络交换机的各个区域，同时具备网络配置管理员和网络审计管理员的能力的管理角色。注：网络安全管理员可创建、修改和存取访问控制列表、加载密钥、限制应

8、用程序的执行，以及维护网络管理审计日志等能力的网络管理角色。3.1.9节点node计算机网络系统中可以对信息进行存储和(或)转发的设备。3.2 缩略语下列缩略语适用于本文件。BGP:边界网关协议(BOrderGatewayProtocol)EAL:评估保障级(EVaIUatiOnAssuranceLevel)HTTP:超文本传输协议(HyPerTextTransferProtocol)IP:互联网协议(InternetProtocol)IT：信息技术(InformatiOnTechnology)1.DP:标签分发协议(LabClDistributionProtocol)MD5:报文摘要算法(M

9、eSSageDigest5)OSI:开放系统互联参考模型(OPenSystemInterconnect)OSPF:开放式最短路径优先(OPenShortestPathFirst)RSVP:资源预留协议(ReSOUrCeReservationProtocol)RMON:远距离监控(RemoteMONitoring)SNMP:简单网络管理协议(SimPIeNetworkManagementProtocol)ST:安全目标(SeCUrityTarget)TOE:评估对象(TargetOfEvaluation)TSF:TOE安全功能(TOESecurityFunction)4网络交换机描述网络交换机是

10、种连接网络的设备，用于连接各个节点或其他网络设备，能够在通信系统中完成信息交换功能的设备。从技术角度看，网络交换机运行在OSl模型的数据链路层、网络层甚至传输层。虽然IP、光交换有各自不同的特性，但是它们的处理和控制方式是相似的。可信路径建立在网络交换机和管理系统之间，可信信道建立在网络交换机与可信IT实体之间，通过可信路径可进行管理信息的交换，通过可信信道可进行网络控制信息（如，许可动态连接建立和包路由选择信息）的交换。网络控制信息由特定的请求和指令组成，如目的地址、路由选择控制和信令信息等。在IP环境下，控制信息可以包括OSPF、BGP、RSVP和LDPo网络交换机一般包括接口卡、端口、软

11、件，以及驻留在其上的数据等。与网络交换机相关的所有电路都属于网络交换机的一部分，其中包括管理链路。虽然网络管理系统是必需的部件，但是它不属于本标准的规范范围，而且连接到网络交换机的其他网络部件也不属于本标准的规范范围。例如，交叉连接的数字传送系统、光传送系统、加密装置等。然而，网络交换机可以支持加密或具有连接加密装置的接口，用于加密用户数据、管理和控制信息。网络交换机具有保护网络管理和进行网络控制的功能，允许通过网络可靠传递用户信息，并具有可靠的质量和及时性。网络交换机的主要安全特性包括安全审计、安全管理、用户数据保护、用户鉴别和认证、加密支持、数据传输和存储安全等。图1为网络交换机典型应用环

12、境。图1网络交换机典型应用环境5安全问题定义1.1 资产本标准中保护的资产包括以下方面： 审计数据（审计数据由网络交换机执行安全审计功能时产生）；一一认证数据（用于用户和外部实体访问交互时的鉴别和认证）； 配置数据（网络交换机的配置信息、网络连接信息、固件更新数据等）； 密码数据（用于交换机实施数字签名或加解密的数据，如密钥等）；一表数据（用于网络转发和路由相关的列表，如网络层路由表、链路层地址解析表、链路层MAC地址表、BGP/OSPF数据库等数据）。应用说明：ST编写者应根据具体的应用情况细化对资产的描述。1.2 三5. 2.1通信分析(T.Analysis)攻击者可能通过收集大量数据以及

13、数据的源、目的地址和发送数据的日期、时间进行分析。6. 2.2审计机制失效(T.AuditJkxQromise)恶意用户或进程可能修改TOE审计策略，使TOE审计功能停用或失效、审计记录丢失或被篡改，也有可能通过审计数据存储失效来阻止未来审计记录被存储，从而掩盖用户的操作。7. 2.3未授权网络访问并获取数据(T.Capture)攻击者可能通过窃听、接入传输线或用其他方式获取通信信道上传输的数据。8. 2.4节点泄露(T.CompromisedNode)修改网络交换机配置文件或路由表使得节点变得不安全，导致网络交换机运行异常、网络交换机安全功能失效，或流量可能被重路由经过未授权的节点。5.2.

14、5 隐通道(TCovert)隐通道是隐藏在系统内部，允许以违背系统安全策略的形式传送信息的通信通道，其目的是用于不被监控地传送信息。5.2.6 密码分析(T.CryptanaIytic)攻击者为了复原信息内容而去尝试进行对已加密数据的密码分析。5.2.7拒绝IR务CLDenial)攻击者通过执行指令、发送超限额的高优先级流量数据，或执行其他操作，在网络上造成不合理的负载，造成授权客户得不到应有的系统资源，即导致拒绝服务。5.2.8 部件或电源失效(T.Fail)个或多个系统部件或电源失效可能造成重要系统功能破坏和重要系统数据的丢失。5.2.9 硬件、软件或固件的缺陷(T.Flaw)硬件、软件或

15、固件的缺陷导致网络交换机及其安全功能的脆弱性。5.2.10管理员网络授权的滥用(T.HostileAdmin)网络配置管理员或网络安全管理员有意滥用授予的权限，进行不适当地存取或修改数据信息，例如，配置数据、审计数据、口令文件，或误处理其他的敏感数据文件。5.2.11管理错误(T.MgmtError)拥有网络配置管理员角色的人员可能无意地不恰当存取、修改了数据信息，或误用资源。5.2.12修改协议(Modify)攻击者未经授权的修改或控制协议(例如，路由选择、信号等协议)。5.2.13网络探测(T.NtwkMap)攻击者可能进行网络探测来获得节点地址、路由表信息和物理位置。5.2.14 重放攻

16、击.Replay_Attack)攻击者通过记录通信会话，并重放它们伪装成已验证的客户非法获取网络交换机的访问权。管理信息也可能被记录和重放，从而用于伪装成已验证的网络配置管理员或网络安全管理员来得到对网络管理资源的访问权。5.2.15 配置数据泄露(T.Sel_Pr。)攻击者可能读、修改或破坏网络交换机的安全配置数据。5.2.16 欺骗攻击(T.Sp8f)未授权节点可能使用有效的网络地址来尝试访问网络，即客户通过获得的网络地址来伪装成已授权的用户，企图得到网络交换机资源。5.2.17 对管理端口的非授权访问(T.Unauth_Mgmt_Access)攻击者或滥用特权的网络配置管理员可能通过TC

17、lnet、RMON或其他方式访问管理端口，从而重新配置网络、引起拒绝服务、监视流量、执行流量分析等。5.3组织安全策略5.3.1 可核查性(P.AccountabiIity)使用网络交换机传送信息的组织、拥有网络配置管理员角色的人员和开发者应对他们的行为活动负责。5.3.2 3.2审计管理行为(P.Audit_Admin)网络管理系统应能产生和传送审计记录，审计记录应提供和包括充足的信息，用来确定在事件发生时的管理员、管理时间和管理行为；组织应周期性地审核审计记录。5.3.3 3.3操作员和节点的鉴别(P.Authentication)网络交换机应能支持对网络审计管理员、网络配置管理员和网络安

18、全管理员的鉴别，并且网络交换机也应支持对等节点的鉴别。5.3.4 网络可用性(P-AvaiIabiIity)应能保证网络资源对许可客户的任务需求和传送信息需求能够持续满足。5.3.5 信息的保密性(RConfidentiaIity)统计数据、配置信息和连接信息应保持实时和存储状态下的保密性。为了保持其保密性，网络交换机应能够支持加密装置的加解密能力或接口支持能力。5.3.6 默认配置(P.Default-Cfig)网络交换机的默认设置应能防止网络交换机安全性功能的削弱或失效。鉴别机制、鉴别失败、超时锁定、管理口的访问控制等安全功能应是默认生效的。5.3.7 内容的完整性(P.Integrity

19、)管理和控制信息在传输期间应保持其内容的完整性，同时，所有信息要保持其储存状态下的完整性。5.3.8 互操作性(P.InteroperabiIity)网络交换机应能与其他厂商的网络交换机互连互通。在网络交换机中要实现标准化的、非专有的协议(如路由选择、信令协议等)。厂商可以选择性地实现一些专有协议，但为了互通的目的厂商也应在网络交换机中实现标准协议。5.3.9 故障通告(P.Notify)网络交换机及其安全环境应具备(或在其他设备配合下具备)提醒和报警能力，例如，通过SNMP第3版的陷门(trap)机制发送部件、固件、硬件或软件的失效通知。5.3.10 对等节点(RPeer)安全的节点应有接受

20、来自信任和不信任节点流量的能力。为了保护信息，流量将会在信任和不信任的节点之间被过滤。5.3.11可靠传输(P.Reliable_Transport)网络管理和控制应实现特定的可靠传送和检错机制。5.3.12网络可生存性与恢复(P.Survive)网络资源应能够从恶意的破坏尝试中恢复，同时应具有从传输错误中恢复的能力。网络应能抵御硬件或软件失效，或具有在合理时间内复原的能力。用于恢复的任何环境都应被记录下来。5.3.13硬件、软件和固件的完整性(PSysAssur)应提供在初始化、软硬固件升级时保持其完整性的功能和规程，确认已接收的网络交换机信息文件、异常通知、补丁程序、升级文件等的完整性，上

21、述文件或信息应有实时的分发基础。应在初始安装和软件升级和固件交换时确保其完整性。5.4假设5.4.1物理保护(APhysical)网络交换机应放置于受控访问的物理环境内，以避免被未经授权者物理访问。该环境应提供不间断电源、温湿度控制等措施确保交换机能可靠运行。5.4.2可信人员(A.NoeviI&Train)网络交换机授权管理员应是认真细心、负责任的，是可以信赖的，能够遵循所有管理员指南的规定，但是不可避免工作中可能会出错。管理员应受到合格的培训，具有正确使用、安装、配置和维护网络交换机、网络交换机安全功能和网络组件的能力。5.4.3无通用性(A.NoGenera!Purpose)除用于运行、

22、管理和支持ToE所需的服务外，假定在TOE上无法获得通用的计算能力(如编译器或用户应用)。6安全目的6.1 TOE安全目的6.1.1 网络访问控制(0Access_CorrtroI)网络交换机应实现访问控制策略，访问控制策略基于但不限于网络交换机的任务(只处理可信任的或不可信任的，或者处理混合流量)、网络交换机的标识(由一个机构、网络提供者所有，同时也可由许多机构或客户所有)、源和目标地址、端口层次的过滤(如TeInet、SNMP)等。6.1.2 带标识的审计记录(0.Admin_Audit)网络配置管理员和网络安全管理员的活动应被审计，审计记录的存储和维护应符合安全策略。6.1.3 安全风险

23、告警通知(SAIarm)网络交换机应有发现元件、软件或固件失败或错误的能力。网络交换机应提供安全相关事件和失败或错误提示的告警能力。6.1.4 性(GAttjMgt)授权管理员应管理控制策略，只赋予授权网络配置管理员必需的权利。管理人员应在通过标识与鉴别后承担其特权角色。6.1.5 审计数据保护(0.Audit_Protection)网络交换机应安全存储审计数据，并具有对存储的审计事件进行保护能力。6.1. 6审计记录查阅(0.Audit_Review)所有的审计记录都应定期地被查阅，授权管理员应定期地查阅网络流量审计记录。6.1.7 网络配置保密性(0.Cfg_Confidentiality

24、)网络交换机应保证统计数据、配置和连接信息在实时和存储状态下不会泄露。网络交换机应保证审计文件、配置、连接信息和属于网络交换机的其他信息的完整性。6.1.9 管理配置数据(0.CfgManage)应有获取和保存网络交换机的配置和连接信息的能力，应保证存储的完整性，能进行系统部件的鉴别与系统连接的鉴别。6.1.10 加密机制支持(0.Cryptography)为了支持保密性，网络交换机应支持加密机制，该加密机制要支持客户注册、密钥管理和信道隔离在内的服务，其使用的密码算法应符合国家、行业或组织要求的密码管理相关标准或规范。注：如果ToE所使用的密码算法不是由IW自身实现，则可将此安全目的移至ST

25、的环境安全目的中。6.1.11 控制数据的可信通道(0.CtrLChanneI)提供对等网络交换机之间传输控制数据的完整性和保密性；提供独立的可信信道。6.1.12 受控标识和鉴别(O.Ctrl_l&A)只有在请求连接的目标地址、标识、鉴别和权限与控制策略一致时，才能连接到网络交换机。6.1.13 检测非授权连接(0.DetectConnection)网络交换机应能检测并告警未经授权的连接。6.1.14 故障发生时安全状态的保存(0.FaiLSecure)网络交换机应能保存部件失效或停电事件时的系统安全状态。6.1.15 管理标识和鉴别(0.MgnTtJ&A)管理人员应在通过标识和鉴别后才能承

26、担其特权角色。6.1.16 管理数据的可信路径(0.Mgmt_Path)应保证网络交换机和网络管理站之间传输信息的完整性和保密性，应提供独立的可信信道。6.1.17 安全修复和补丁(0.Patches)网络交换机应安装最新的补丁及时进行安全修复。6.1.18 业务优先级(0.Priority_0f_Service)网络交换机应支持对所有的流量分配优先级，控制资源访问方式，以防止低级别服务干扰或延迟高级别的服务。6.1.19 地址保护(0.PrOtectAddresses)网络交换机应保护已授权组织内部地址的保密性和完整性。在网络交换机收到数据后，应能正确地解析出经过授权的源地址和目的地址。在网

27、络交换机中应实现能与其他厂商的网络交换机互操作的标准协议，并在网络交换机中实现可靠交付和错误检测的协议。6.1.21 避免重放攻击(O.RepIay_Prevent)网络交换机应具有防止未经授权的代理伪装成经过授权的代理能力，保护其自身免受重放攻击。6.1.22 网络交换机的自身防护(O.Sel_Pr。)网络交换机应做好自身防护，以对抗非授权用户对网络交换机安全功能的旁路、抑制或篡改的尝试。6.1.23 自检(O.SeIfJest)网络交换机应具备对自身的检测能力，以确保网络交换机的安全功能能够正确运行。6.1.24 带标识的审计流量记录(0.Traf_Audit)审计记录应包括日期、时间、流

28、量异常现象、节点标识符和负责传输数据的组织。网络交换机应保证所有的审计记录的完整性。6.1.25 系统数据备份的完整性和保密性(0.Trust_Backup)应确保网络交换机的网络文件和配置参数有冗余备份。备份文件应以符合网络安全策略的方式存储，以便保证文件的完整性和保密性，另外，应能由备份文件充分地复现网络交换机的配置，以用于在出现失败事件或安全泄密的情况下恢复网络交换机的功能；网络文件可自动地复制备份到另外的管理站。1.1 .26可信的恢复(0.TrustedRecovery)应确保网络交换机在失效或错误后恢复到没有安全泄密的安全状态，应确保失效部件更替后，系统的状态恢复，并且保证不会引发

29、错误或造成其他安全缺陷。6.1.27未用区域(0.Unused_Fields)网络交换机应保证协议头内所有未被使用域的数值都被恰当地设定。6.1. 28更新验证(0.Update_VaIidation)网络交换机应具备对更新数据的验证能力，以确保更新数据是可信任的。1.2 环境安全目的6. 2.1物理保护(OEIhysicaI)网络交换机及其连接的外围设备(如接入的控制台和存储卡等)应放置在于受控访问的物理环境内，以避免被未经授权者物理访问和破坏，同时运行环境提供稳定的电源防止掉电发生。7. 2.2可信人员(0E.Personnel)应雇佣和使用可信赖和有能力的员工。操作和管理人员应经过相应的

30、技能培训。8. 2.3无通用性(0E.NoGenera!Purpose)除用于运行、管理和支持TOE所需的必要服务外，确保在ToE上无法获得其他通用的计算能力。7安全要求7.1 扩展组件定义7.1.1 扩展组件原理表1列出了本标准中基于GB/T18336.22015安全功能组件扩展要求的基本原理，扩展组件在组件名称后加上EXT表示。表1扩展要求的基本原理标识符组件名称基本原理FPT_TDP_EXT.1TSF数据保护网络交换机的管理员口令、加解密密钥、其他敏感数据等TSF数据如果明文存放，可能被非授权用户读取、修改和删除，应采用合适的安全机制保护存储的TSF数据。FPT_TDP_EXT.1明确了

31、这些敏感TSF数据在存储时避免被非授权访问要求7.1.2 扩展功能组件7.1.2.1 类别FPTiTSF保护。7.1.2.2 族FPTjrDP:用于网络交换机TSF数据存储的安全性。7.1.2.3 族行为这个族提供网络交换机对敏感TSF数据的存储安全及避免非授权访问的安全要求定义。1.1.1.1 WS无。7.1.2.5 审计无。7.1.2.6 定义TSF数据保护(FPTjrDP_EXT.1)FPTTDPEXT.1.1网络交换机应采用非明文方式存储【管理员口令、加解密密钥，其他敏感FPTTDPEXT.1.2网络交换机的安全功能应能防止【明文存储数据】被非授权用户读取。FPTTDPEXT.1.3网

32、络交换机的安全功能应能防止【管理员口令、加解密密钥，其他数据】被非授权用户【读取、修改、删除】依赖关系：FCS_COP.1密码运算。应用说明：方括号中的黑斜体字的内容表示还需在安全目标(ST)中确定的赋值及选择项，此约定也适用于后续章条。7.2安全功能要求7.2.1 侬表2列出了网络交换机信息技术安全功能要求组件，这些要求由GB/T18336.22015中的安全功能要求组件和扩展组件组成，以下对各组件给出了详细的说明。表2安全功能要求组件安全功能要求类序号安全功能要求组件组件名称1FALGEN.1审计数据产生2FAU_GEN.2用户身份关联3FALSAR.1审计查阅4FAU_SEL.1选择性审

33、计安全审计（FAU类）5FAU_STG.1受保护的审计迹存储6FAU_STG.4防止审计数据丢失7FCS.C0P.1密码运算密码支持（FCS类）8FCS-CKM.1密钥生成9FCS_CKM.4密钥销毁10FDP_ACC.1子集访问控制11FDP,ACF.1基于安全属性的访问控制用户数据保护（FDP类）12FDP_ETC.2带有安全属性的用户数据输出13FDP_IFC.1子集信息流控制14FDP.IFF.1简单安全属性15FDP,ITC.2带有安全属性的用户数据输入16FDP_UIT.1数据交换完整性17FDP_UIT.2原发端数据交换恢复18FIA_UAU.2任何行动前的用户鉴别19FIA_U

34、ID.2任何行动前的用户标识标识和鉴别（FlA类）20FIA_AFL.1鉴别失败处理21FI-SOS.1秘密的验证22FMLMOF.1安全功能行为的管理23FMT_MSA.1安全属性的管理24FMT_MSA.3静态属性初始化25FMTJITD.1安全功能数据的管理安全管理（FMT类）26FMT_SMF.1管理功能规范27FMT_SMR.2安全角色限制TSF保护（FPT）28FPT_FLS.1失效即保持安全状态29FPT_ITC.1传送过程中TSF间的保密性30FPT_ITI.1TSF间篡改的检测31FPT_RCV.3无过度损失的自动恢复32FPT_RCV.4功能恢复33FPT_RPL.1重放检

35、测34FPLSTM.1可靠的时间戳表2（续）安全功能要求类序号安全功能要求组件组件名称TSF保护（FPT）35FPTjDC.1TSF间基本的TSF数据一致性36FPT_TST.1TSF测试37FPT_TDP_EXT.1TSF数据保护资源利用（FRU类）38FRU_FLT.1降低容错39FRLPRS.2全部服务优先级40FRU_RSA.1最高配额网络交换机访问（FTA类）41FTA_TSE.1会话建立42FTA_SSL.3TSF原发会话终止可信路径/信道（FTP类）43FTPTCJTSF间可信信道44FTPjrRPl可信路径7.2.2安全审计（FAU类）7.2.2.1审计数据产生（FAU_GEN

36、.1）FAU.GEN.1.1网络交换机的安全功能应能为下列可审计事件产生审计记录：a）审计功能的启动和关闭；b）【基本级】审计的所有可审计事件；c）【对网络审计管理员、网络配置管理员和网络安全管理员的审计：访问权限和能力的分配或撤消、任何由网络管理人员所做出的更改、进程运行期间的时间和日期、和网络管理人员执行活动的时间和日期。对于终结于网络交换机的流的审计：能够记录异常流的源和目的节点】FALGEN.1.2网络交换机的安全功能应在每个审计记录中至少记录如下信息：a）事件的日期和时间、事件类型、主体身份、事件的结果（成功或失败）；b）对每种审计事件类型是基于保护轮廓或安全目标文档中安全功能要求组

37、件的可审计事件进行定义的，其他相关审计事件包括：【收到不可信源的流量、接受来自不可信源的流恢复安全性相关事件的响应行动、恢复一个与安全性相关事件花费的时间、被安全性相关事件影响的所有组件】。FALGEN.2.1网络交换机的安全功能应能将每个可审计事件与引起该事件的用户身份相关联。用户的网络管理审计数据将关注网络管理角色涉及的人员，而用户的流量统计数据将关注网络交换机的标识。7.2.2.3审计查阅(FAU_SAR.1)AUSAR.L1网络交换机的安全功能应为【指定的网络安全管理员】提供从审计记录中读取【所有审计数据】的能力。FAU SAR. 1.2网络交换机的安全功能应以便于用户理解的方式提供审

38、计记录。7.2.2.4选择性审计(FAU,SEL.1)FAU_SEL.1.1网络交换机的安全功能根据以下属性包括或排除审计事件集中的可审计事件：【客体标识、用户标识、主体标识、主机标识、事件类型】。7.2.2.5受保护的审计迹存储(FAU_STG.1)FALSTG.1.1网络交换机的安全功能应保护审计迹中存储的审计记录。以避免未授权的删除。FAUSTG.1.2网络交换机的安全功能应能【防止】对审计迹中所存审计记录的未授权修改。7. 2.2.6防止审计数据丢失(FAU_STG.4)FAUSTG.4.1如果审计迹已满，网络交换机的安全功能应【覆盖所存储的最早的审计记录】O8. 2.3密码支持(FC

39、S类)9. 2.3.1密码运算(FCS_C0P.1)FCSCOP.1.1网络交换机的安全功能应根据符合下列标准【赋值：标准列表(国家、行业或组织要求的密码管理相关标准或规范)】的特定的密码算法【赋值：密码算法】和密钥长度【赋值：密钥长度】来行执【赋值：密码运算列表】。注：ST作者可根据密码算法的具体情况赋值国家、行业或组织主管部门认可的相关标准及参数。10. 2.3.2密钥生成(FCS_CKM.1)FCSCKM.Ll网络交换机的安全功能应根据符合下列标准【赋值：标准列表(国家、行业或组织要求的密码管理相关标准或规范)】的一个特定的密钥生成算法【赋值：密钥生成算法】和规定的密钥长度【赋值：密钥长

40、度】来生成密钥。注：该组件仅适用于密钥生成功能由TOE本身完成的情况，此时ST编写者可根据密码算法的具体情况，赋值国家主管部门认可的相关标准及参数；若密钥由外部环境生成，则可以不选择此组件。11. 2.3.3密钥销毁(FCS_CKM.4)FCSCKM.4.1网络交换机的安全功能应根据符合下列标准【赋值：标准列表】的一个特定的密钥销毁方法【赋值：密钥销毁方法】来销毁密钥。注：ST编写者可根据密码算法的具体情况赋值国家主管部门认可的相关标准及密钥销毁方法，若密钥由外部环境生成，则可以不选择此组件。12. .4用户数据保护(FDP类)13. 2.4.1子集访问控制(FDPACC.1)FDP,ACC.

41、1.1网络交换机的安全功能应对【通信请求】执行【访问控制策略】。依赖关系：FDP_ACF.1基于安全属性的访问控制。14. 2.4.2基于安全性属性的访问控制(FDP_ACF.1)FDPACF11-网络交换机的安全功能应基于【标识、鉴别和连接通信会话中另一个成员的节点的授权】对客体强制执行【访问控制策略】。网络交换机的安全功能应执行以下规则，以决定受控主体与受控客体间的操作是FDPCF.1.2否被允许：【源网络交换机的地址应在目的网络交换机的访问控制列表中标识出来，授权应发生在接收消息之前】。FDPACF.1.3网络交换机的安全功能应基于以下附加规则决定主体对客体的访问授权：【合法键值的拥有者

42、、网络交换机的角色(处理仅从可信源来的流,或配置成也可从不可信源接收流)、时间和流特征(如控制信息)】.FDPACE1.4网络交换机的安全功能应基于【发送者的地址】明确拒绝主体对客体的访问。7.2.4.3带有安全属性的用户数据输出(FDP_ETC.2)FDPETC.2.I网络交换机的安全功能在安全功能策略的控制下输出用户数据到安全功能的控制范围之外时，应执行访问控制策略】。FDPETC,2.2网络交换机的安全功能应输出带有相关安全属性的用户数据。网络交换机的安全功能在安全属性输出到安全功能的控制范围之外时，应确保其FDPETC.2.3与输出的数据确切关联。网络交换机的安全功能在用户数据从安全功

43、能的控制范围输出时，【传输数据的FDPETC.2.4网络交换机应保证具有完整性保护】.7.2.4.4子集信息流控制(FDP_IFC.1)FDPIFC.1.1网络交换机的安全功能应对【从不可信源接收到的控制信息(信令和路由信息)】执行【信息流控制策略】。7.2.4.5简单安全属性(FDP_IFF.1)FDPIFF.1.1FDPIFF.1.4FDPIFF.1.2FDPIFF.1.5FDPIFF.13网络交换机的安全功能应基于下列类型的主体和信息安全属性：FDPJFE1.61最小化的信息流控制策略，功能与访问控制策略相关联；可以识别控制信息的源，无论它是可信任的或不可信任的（可信源是可标识和可鉴别的

44、，而且控制信息的完整性是可校验的）；生成消息源的鉴别】，执行【信息流控制策略】。如果有下面的规则【消息的源头可以被接收方标识和鉴别，并且消息的完整性是可校验的】，网络交换机的安全功能应允许受控主体和受控信息之间存在经由受控操作的信息流，即网络交换机的安全功能应允许在受控主体之间存在一个信息流。网络交换机的安全功能应执行【信息流控制策略：当发生网络通信失败的事件时，在需做出路由和重路由的决定时，来自可信源的控制信息的优先级要高于从不可信源接收的控制信息】。网络交换机的安全功能应提供下列功能【1.从不可信源接收数据；2.审计接收到的来自不可信源的数据;3.配置网络交换机的安全功能以实现对来自不可信

45、源数据接收的策略】。网络交换机的安全功能应根据下列规则：11.预先建立的可信任（静态）路由；2.网络管理端通过可信路径的管理信息】，明确批准信息流。网络交换机的安全功能应基于下列规则：【配置安全策略以拒绝接收来自不可信源的数据】，明确拒绝信息流。7. 2.4.6带有安全属性的用户数据输入（FDP_ITC.2）FDP_ITC.2.1网络交换机的安全功能在安全功能策略的控制下从安全功能的控制范围之外输入用户数据时，应执行【基于访问控制列表的标识的使用、拥有合法密钥证据的校验,完整性检查的校验、或源地址的识别】。FDP ITC. 2. 2IDP-1TC. 2. 3网络交换机的安全功能应使用与输入的数据相关的安全属性。网络交换机的安全功能应确保使用的协议在安全属性和接收的用户数据之间提供了明确的联系。FDP_ITC.2.4网络交换机的安全功能应确保对输入的用户数据安全属性的解释与用户数据源的解释是一致的。FDP1TC,2.5网络交换机的安全功能在安全功能策略的控制下从安全功能的控制范围之外输入用户数据时，应执行【赋值：】。7. 2.4.7数据交换完整性(FDP_UIT.1)-网络交换机的安全功能应执行【信息控制策略】，使得能以某种方式【传送、接收】用户数据，保护数据避免出现【篡改、