(高清版)GB∕T 21050-2019 信息安全技術(shù) 網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求

ICS35.040GB/T21050—2019代替GB/T21050—2007信息安全技術(shù)網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求國家市場監(jiān)督管理總局中國國家標(biāo)準(zhǔn)化管理委員會GB/T21050—2019 1 13術(shù)語和定義、縮略語 1 13.2縮略語 24網(wǎng)絡(luò)交換機(jī)描述 2 3 3 45.3組織安全策略 5 6 76.1TOE安全目的 76.2環(huán)境安全目的 9 9 97.2安全功能要求 7.3安全保障要求 8基本原理 8.1安全目的基本原理 8.2安全要求基本原理 8.3組件依賴關(guān)系 IⅢGB/T21050—2019本標(biāo)準(zhǔn)代替GB/T21050—2007《信息安全技術(shù)網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求(評估保證級3)》。與 對使用范圍進(jìn)行了修改，并增加了關(guān)于密碼算法的約定(見第1章，2007年版的第1章)——增加了對術(shù)語標(biāo)準(zhǔn)的引用(見第2章，2007年版第2章);——修改了網(wǎng)絡(luò)交換機(jī)的描述(見第4章，2007年版的第4章);版的第5章);——修改和刪減了安全目的(見第6章，2007年版的第6章);——增加了擴(kuò)展組件，根據(jù)GB/T18336—2015增刪了安全要求(見第7章);——增加了基本原理一章(見第8章)。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任。本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)提出并歸口。本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為：——GB/T21050—2007。1GB/T21050—2019信息安全技術(shù)網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)交換機(jī)達(dá)到EAL2和EAL3的安全功能要求及安全保障要求，涵蓋了安全問題2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文GB/T18336.1—2015信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第1部分：簡介和一般模型GB/T18336.2—2015信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第2部分：安全功能組件GB/T18336.3—2015信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第3部分：安全保障組件GB/T25069—2010信息安全技術(shù)術(shù)語GB/T25069—2010和GB/T18336.1—2015界定的以及下列術(shù)語和定義適用于本文件。3.1.1可信IT產(chǎn)品trustedITproduct有與TOE協(xié)調(diào)管理的安全功能要求，但不屬于TOE的其他IT產(chǎn)品，且假定可正確執(zhí)行自身的安全功能要求。3.1.2TSF和遠(yuǎn)程可信IT產(chǎn)品間在必要的信任基礎(chǔ)上進(jìn)行通信的一種通信手段。3.1.3可信路徑trustedpath用戶與TSF間在必要的信任基礎(chǔ)上進(jìn)行通信的一種通信手段。3.1.43.1.5向另一方請求服務(wù)的一方。2GB/T21050—2019[GB/T11457—2006,定義2.214]3.1.6注：網(wǎng)絡(luò)審計(jì)管理員可查看網(wǎng)絡(luò)交換機(jī)配置、信息流策略等。3.1.7備網(wǎng)絡(luò)審計(jì)管理員的能力。注：網(wǎng)絡(luò)配置管理員可配置管理網(wǎng)絡(luò)系統(tǒng)，利用權(quán)限解決網(wǎng)絡(luò)故障等。3.1.8審計(jì)管理員的能力的管理角色。志等能力的網(wǎng)絡(luò)管理角色。3.1.9節(jié)點(diǎn)node計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中可以對信息進(jìn)行存儲和(或)轉(zhuǎn)發(fā)的設(shè)備。BGP:邊界網(wǎng)關(guān)協(xié)議(BorderGatewayProtocol)EAL:評估保障級(EvaluationAssuranceLevel)HTTP:超文本傳輸協(xié)議(HyperTextTransferProtocol)IP:互聯(lián)網(wǎng)協(xié)議(InternetProtocol)IT:信息技術(shù)(InformationTechnology)LDP:標(biāo)簽分發(fā)協(xié)議(LabelDistributionProtocol)MD5:報(bào)文摘要算法(MessageDigest5)OSI:開放系統(tǒng)互聯(lián)參考模型(OpenSystemInterconnect)OSPF:開放式最短路徑優(yōu)先(OpenShortestPathFirst)RSVP:資源預(yù)留協(xié)議(ResourceReserVationProtocol)RMON:遠(yuǎn)距離監(jiān)控(RemoteMONitoring)SNMP:簡單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProtocol)ST:安全目標(biāo)(SecurityTarget)TOE:評估對象(TargetOfEvaluation)TSF:TOE安全功能(TOESecurityFunction)息交換功能的設(shè)備。從技術(shù)角度看，網(wǎng)絡(luò)交換機(jī)運(yùn)行在OSI模型的數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層甚至傳輸層。雖然IP、光交換有各自不同的特性，但是它們的處理和控制方式是相似的?？尚怕窂浇⒃诰W(wǎng)絡(luò)交換3GB/T21050—2019機(jī)和管理系統(tǒng)之間，可信信道建立在網(wǎng)絡(luò)交換機(jī)與可信IT實(shí)體之間，通過可信路徑可進(jìn)行管理信息的數(shù)據(jù)傳輸和存儲安全等。圖1為網(wǎng)絡(luò)交換機(jī)典型應(yīng)用環(huán)境。InternetInternet子網(wǎng)一本標(biāo)準(zhǔn)中保護(hù)的資產(chǎn)包括以下方面：——審計(jì)數(shù)據(jù)(審計(jì)數(shù)據(jù)由網(wǎng)絡(luò)交換機(jī)執(zhí)行安全審計(jì)功能時(shí)產(chǎn)生);——認(rèn)證數(shù)據(jù)(用于用戶和外部實(shí)體訪問交互時(shí)的鑒別和認(rèn)證);——密碼數(shù)據(jù)(用于交換機(jī)實(shí)施數(shù)字簽名或加解密的數(shù)據(jù)，如密鑰等);4GB/T21050—20195.2.1通信分析(T.Analysis)5.2.2審計(jì)機(jī)制失效(T.Audit_Compromise)惡意用戶或進(jìn)程可能修改TOE審計(jì)策略，使TOE審計(jì)功能停用或失效、審計(jì)記錄丟失或被篡改，5.2.3未授權(quán)網(wǎng)絡(luò)訪問并獲取數(shù)據(jù)(T.Capture)被監(jiān)控地傳送信息。5.2.6密碼分析(T.Cryptanalytic)攻擊者為了復(fù)原信息內(nèi)容而去嘗試進(jìn)行對已加密數(shù)據(jù)的密碼分析。5.2.7拒絕服務(wù)(T.Denial)5.2.8部件或電源失效(T.Fail)一個(gè)或多個(gè)系統(tǒng)部件或電源失效可能造成重要系統(tǒng)功能破壞和重要系統(tǒng)數(shù)據(jù)的丟失。5.2.10管理員網(wǎng)絡(luò)授權(quán)的濫用(T.HostileAdmin)網(wǎng)絡(luò)配置管理員或網(wǎng)絡(luò)安全管理員有意濫用授予的權(quán)限，進(jìn)行不適當(dāng)?shù)卮嫒』蛐薷臄?shù)據(jù)信息，例5.2.11管理錯(cuò)誤(T.Mgmt_Error)5GB/T21050—2019攻擊者通過記錄通信會話，并重放它們偽裝成已驗(yàn)證的客戶非法獲取網(wǎng)絡(luò)交換機(jī)的訪問權(quán)。管理信息也可能被記錄和重放，從而用于偽裝成已驗(yàn)證的網(wǎng)絡(luò)配置管理員或網(wǎng)絡(luò)安全管理員來得到對網(wǎng)絡(luò)管理資源的訪問權(quán)。未授權(quán)節(jié)點(diǎn)可能使用有效的網(wǎng)絡(luò)地址來嘗試訪問網(wǎng)絡(luò)，即客戶通過獲得的網(wǎng)絡(luò)地址來偽裝成已授攻擊者或?yàn)E用特權(quán)的網(wǎng)絡(luò)配置管理員可能通過Telnet、RMON或其他方式訪問管理端口，從而重使用網(wǎng)絡(luò)交換機(jī)傳送信息的組織、擁有網(wǎng)絡(luò)配置管理員角色的人員和開發(fā)者應(yīng)對他們的行為活動機(jī)也應(yīng)支持對等節(jié)點(diǎn)的鑒別。應(yīng)能保證網(wǎng)絡(luò)資源對許可客戶的任務(wù)需求和傳送信息需求能夠持續(xù)滿足。機(jī)應(yīng)能夠支持加密裝置的加解密能力或接口支持能力。6GB/T21050—20195.3.7內(nèi)容的完整性(P.Integrity)管理和控制信息在傳輸期間應(yīng)保持其內(nèi)容的完整性，同時(shí)，所有信息要保持其儲存狀態(tài)下的完5.3.8互操作性(P.Interoperability)網(wǎng)絡(luò)交換機(jī)應(yīng)能與其他廠商的網(wǎng)絡(luò)交換機(jī)互連互通。在網(wǎng)絡(luò)交換機(jī)中要實(shí)現(xiàn)標(biāo)準(zhǔn)化的、非專有的網(wǎng)絡(luò)交換機(jī)中實(shí)現(xiàn)標(biāo)準(zhǔn)協(xié)議。5.3.9故障通告(P.Notify)網(wǎng)絡(luò)交換機(jī)及其安全環(huán)境應(yīng)具備(或在其他設(shè)備配合下具備)提醒和報(bào)警能力，例如，通過SNMP5.3.10對等節(jié)點(diǎn)(P.Peer)安全的節(jié)點(diǎn)應(yīng)有接受來自信任和不信任節(jié)點(diǎn)流量的能力。為了保護(hù)信息，流量將會在信任和不信任的節(jié)點(diǎn)之間被過濾。5.3.11可靠傳輸(P.Reliable_Transport)網(wǎng)絡(luò)管理和控制應(yīng)實(shí)現(xiàn)特定的可靠傳送和檢錯(cuò)機(jī)制。網(wǎng)絡(luò)資源應(yīng)能夠從惡意的破壞嘗試中恢復(fù)，同時(shí)應(yīng)具有從傳輸錯(cuò)誤中恢復(fù)的能力。網(wǎng)絡(luò)應(yīng)能抵御應(yīng)提供在初始化、軟硬固件升級時(shí)保持其完整性的功能和規(guī)程，確認(rèn)已接收的網(wǎng)絡(luò)交換機(jī)信息文軟件升級和固件交換時(shí)確保其完整性。5.4.1物理保護(hù)(A.Physical)網(wǎng)絡(luò)交換機(jī)應(yīng)放置于受控訪問的物理環(huán)境內(nèi)，以避免被未經(jīng)授權(quán)者物理訪問。該環(huán)境應(yīng)提供不間除用于運(yùn)行、管理和支持TOE所需的服務(wù)外，假定在TOE上無法獲得通用的計(jì)算能力(如編譯器7GB/T21050—2019或用戶應(yīng)用)。6安全目的網(wǎng)絡(luò)交換機(jī)應(yīng)實(shí)現(xiàn)訪問控制策略，訪問控制策略基于但不限于網(wǎng)絡(luò)交換機(jī)的任務(wù)(只處理可信任的6.1.3安全風(fēng)險(xiǎn)告警通知(0.Alarm)網(wǎng)絡(luò)交換機(jī)應(yīng)有發(fā)現(xiàn)元件、軟件或固件失敗或錯(cuò)誤的能力。網(wǎng)絡(luò)交換機(jī)應(yīng)提供安全相關(guān)事件和失敗或錯(cuò)誤提示的告警能力。授權(quán)管理員應(yīng)管理控制策略，只賦予授權(quán)網(wǎng)絡(luò)配置管理員必需的權(quán)利。管理人員應(yīng)在通過標(biāo)識與6.1.8配置完整性(0.Cfg_Integrity)別與系統(tǒng)連接的鑒別。8GB/T21050—20196.1.12受控標(biāo)識和鑒別(O.Ctrl_I&A)網(wǎng)絡(luò)交換機(jī)應(yīng)能檢測并告警未經(jīng)授權(quán)的連接。網(wǎng)絡(luò)交換機(jī)應(yīng)能保存部件失效或停電事件時(shí)的系統(tǒng)安全狀態(tài)。6.1.15管理標(biāo)識和鑒別(O.Mgmt_I&A)管理人員應(yīng)在通過標(biāo)識和鑒別后才能承擔(dān)其特權(quán)角色。6.1.16管理數(shù)據(jù)的可信路徑(0.Mgmt_Path)6.1.17安全修復(fù)和補(bǔ)丁(0.Patches)網(wǎng)絡(luò)交換機(jī)應(yīng)安裝最新的補(bǔ)丁及時(shí)進(jìn)行安全修復(fù)。6.1.18業(yè)務(wù)優(yōu)先級(O.Priority_Of_Service)級別的服務(wù)。6.1.19地址保護(hù)(O.Protect_Addresses)網(wǎng)絡(luò)交換機(jī)應(yīng)保護(hù)已授權(quán)組織內(nèi)部地址的保密性和完整性。在網(wǎng)絡(luò)交換機(jī)收到數(shù)據(jù)后，應(yīng)能正確地解析出經(jīng)過授權(quán)的源地址和目的地址。6.1.20協(xié)議(0.Protocols)在網(wǎng)絡(luò)交換機(jī)中應(yīng)實(shí)現(xiàn)能與其他廠商的網(wǎng)絡(luò)交換機(jī)互操作的標(biāo)準(zhǔn)協(xié)議，并在網(wǎng)絡(luò)交換機(jī)中實(shí)現(xiàn)可靠交付和錯(cuò)誤檢測的協(xié)議。6.1.21避免重放攻擊(O.Replay_Prevent)網(wǎng)絡(luò)交換機(jī)應(yīng)做好自身防護(hù)，以對抗非授權(quán)用戶對網(wǎng)絡(luò)交換機(jī)安全功能的旁路、抑制或篡改的9GB/T21050—2019證所有的審計(jì)記錄的完整性。6.1.25系統(tǒng)數(shù)據(jù)備份的完整性和保密性(應(yīng)確保網(wǎng)絡(luò)交換機(jī)的網(wǎng)絡(luò)文件和配置參數(shù)有冗余備份。備份文件應(yīng)以符合網(wǎng)絡(luò)安全策略的方式存網(wǎng)絡(luò)交換機(jī)應(yīng)保證協(xié)議頭內(nèi)所有未被使用域的數(shù)值都被恰當(dāng)?shù)卦O(shè)定。6.1.28更新驗(yàn)證(0.Update_Validation)6.2環(huán)境安全目的6.2.1物理保護(hù)(OE.Physical)網(wǎng)絡(luò)交換機(jī)及其連接的外圍設(shè)備(如接入的控制臺和存儲卡等)應(yīng)放置在于受控訪問的物理環(huán)境6.2.2可信人員(OE.Personnel)應(yīng)雇傭和使用可信賴和有能力的員工。操作和管理人員應(yīng)經(jīng)過相應(yīng)的技能培訓(xùn)。7安全要求表1列出了本標(biāo)準(zhǔn)中基于GB/T18336.2—2015安全功能組件擴(kuò)展要求的基本原理，擴(kuò)展組件在GB/T21050—2019標(biāo)識符組件名稱基本原理FPT_TDP_EXT.1TSF數(shù)據(jù)保護(hù)網(wǎng)絡(luò)交換機(jī)的管理員口令、加解密密鑰、其他敏感數(shù)據(jù)等TSF數(shù)據(jù)如果明文存放，可能被非授權(quán)用戶讀取、修改和刪除，應(yīng)采用合適的安全機(jī)制保護(hù)存儲的TSF數(shù)據(jù)。FPT_TDP_EXT.1明確了這些敏感TSF數(shù)據(jù)在存儲時(shí)避免被非授權(quán)訪問要求FPT_TDP:用于網(wǎng)絡(luò)交換機(jī)TSF數(shù)據(jù)存儲的安全性。這個(gè)族提供網(wǎng)絡(luò)交換機(jī)對敏感TSF數(shù)據(jù)的存儲安全及避免非授權(quán)訪問的安全要求定義。TSF數(shù)據(jù)保護(hù)(FPT_TDP_EXT.1)FPT_TDP_EXT.1.1網(wǎng)絡(luò)交換機(jī)應(yīng)采用非明文方式存儲【管理員口令、加解密密鑰，其他敏感定也適用于后續(xù)章條。表2列出了網(wǎng)絡(luò)交換機(jī)信息技術(shù)安全功能要求組件，這些要求由GB/T18336.2—2015中的安全GB/T21050—2019安全功能要求類序號安全功能要求組件組件名稱安全審計(jì)(FAU類)1FAU_GEN.1審計(jì)數(shù)據(jù)產(chǎn)生2FAU_GEN.2用戶身份關(guān)聯(lián)3FAU_SAR.1審計(jì)查閱4FAU_SEL.1選擇性審計(jì)5FAU_STG.1受保護(hù)的審計(jì)跡存儲6FAU_STG.4防止審計(jì)數(shù)據(jù)丟失密碼支持(FCS類)7FCS_COP.1密碼運(yùn)算8FCS_CKM.1密鑰生成9FCS_CKM.4密鑰銷毀用戶數(shù)據(jù)保護(hù)(FDP類)FDP_ACC.1子集訪問控制FDP_ACF.1基于安全屬性的訪問控制FDP_ETC.2帶有安全屬性的用戶數(shù)據(jù)輸出FDP_IFC.1子集信息流控制FDP_IFF.1簡單安全屬性FDP_ITC.2帶有安全屬性的用戶數(shù)據(jù)輸入FDP_UIT.1數(shù)據(jù)交換完整性FDP_UIT.2原發(fā)端數(shù)據(jù)交換恢復(fù)標(biāo)識和鑒別(FIA類)FIA_UAU.2任何行動前的用戶鑒別FIA_UID.2任何行動前的用戶標(biāo)識FIAAFL.1鑒別失敗處理FIA_SOS.1秘密的驗(yàn)證安全管理(FMT類)FMT_MOF.1安全功能行為的管理FMT_MSA.1安全屬性的管理FMT_MSA.3靜態(tài)屬性初始化FMT_MTD.1安全功能數(shù)據(jù)的管理FMT_SMF.1管理功能規(guī)范FMT_SMR.2安全角色限制TSF保護(hù)(FPT)FPT_FLS.1失效即保持安全狀態(tài)FPT_ITC.1傳送過程中TSF間的保密性FPT_ITI.1TSF間篡改的檢測FPT_RCV.3無過度損失的自動恢復(fù)FPT_RCV.4功能恢復(fù)FPT_RPL.1重放檢測FPT_STM.1可靠的時(shí)間戳GB/T21050—2019表2(續(xù))安全功能要求類序號安全功能要求組件組件名稱TSF保護(hù)(FPT)FPT_TDC.1TSF間基本的TSF數(shù)據(jù)一致性FPT_TST.1TSF測試FPT_TDP_EXT.1TSF數(shù)據(jù)保護(hù)資源利用(FRU類)FRU_FLT.1降低容錯(cuò)FRU_PRS.2全部服務(wù)優(yōu)先級FRU_RSA.1最高配額網(wǎng)絡(luò)交換機(jī)訪問(FTA類)FTA_TSE.1會話建立FTA_SSL.3TSF原發(fā)會話終止可信路徑/信道(FTP類)FTP_ITC.1TSF間可信信道FTP_TRP.1可信路徑審計(jì)數(shù)據(jù)產(chǎn)生(FAU_GEN.1)FAU_GEN.1.1網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)能為下列可審計(jì)事件產(chǎn)生審計(jì)記錄：a)審計(jì)功能的啟動和關(guān)閉；FAU_GEN.1.2網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)在每個(gè)審計(jì)記錄中至少記錄如下信息：b)對每種審計(jì)事件類型是基于保護(hù)輪廓或安全目標(biāo)文檔中安全功能要求組件FAU_GEN.2.1網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)能將每個(gè)可審計(jì)事件與引起該事件的用戶身份相關(guān)聯(lián)。據(jù)將關(guān)注網(wǎng)絡(luò)交換機(jī)的標(biāo)識。審計(jì)查閱(FAU_SAR.1)FAU_SAR.1.2網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)以便于用戶理解的方式提供審計(jì)記錄。GB/T21050—2019FAU_SEL.1.1網(wǎng)絡(luò)交換機(jī)的安全功能根據(jù)以下屬性包括或排除審計(jì)事件集中的可審計(jì)事件：FAU_STG.1.1網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)保護(hù)審計(jì)跡中存儲的審計(jì)記錄。以避免未授權(quán)的刪除。7.2.3密碼支持(FCS類)密碼運(yùn)算(FCS_COP.1)FCS_COP.1.1網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)根據(jù)符合下列標(biāo)準(zhǔn)【賦值：標(biāo)準(zhǔn)列表密鑰生成(FCS_CKM.1)密鑰銷毀(FCS_CKM.4)FDP_ACC.1.1網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)對FDP_ACF.1.1網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)基于【標(biāo)識、鑒別和連接通信會話中另一個(gè)成員的節(jié)點(diǎn)FDP_ACF.1.2網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)執(zhí)行以下規(guī)則，以決定受控主體與受控客體間的操作是GB/T21050—2019FDP_ACF.1.3網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)基于以下附加規(guī)則決定主體對客體的訪問授權(quán)：【合法帶有安全屬性的用戶數(shù)據(jù)輸出(FDP_ETC.2)FDP_ETC.2.1網(wǎng)絡(luò)交換機(jī)的安全功能在安全功能策略的控制下輸出用戶數(shù)據(jù)到安全功能的控FDP_ETC.2.2網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)輸出帶有相關(guān)安全屬性的用戶數(shù)據(jù)。FDP_ETC.2.3網(wǎng)絡(luò)交換機(jī)的安全功能在安全屬性輸出到安全功能的控制范圍之外時(shí)，應(yīng)確保其FDP_ETC.2.4網(wǎng)絡(luò)交換機(jī)的安全功能在用戶數(shù)據(jù)從安全功能的控制范圍輸出時(shí)，【傳輸數(shù)據(jù)的FDP_IFF.1.1網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)基于下列類型的主體和信息安全屬性：校驗(yàn)的】,網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)允許受控主體和受控信息之間存在經(jīng)由受控操FDP_IFF.1.3網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)執(zhí)行【信息流控制策略：當(dāng)發(fā)生網(wǎng)絡(luò)通信失敗的事件時(shí)，在需做出路由和重路由的決定時(shí)，來自可信源的控制信息的優(yōu)先級要高于從不可FDP_IFF.1.4網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)提供下列功能【1.從不可信源接收數(shù)據(jù)；2.審計(jì)接收到FDP_IFF.1.5網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)根據(jù)下列規(guī)則：FDP_ITC.2.1網(wǎng)絡(luò)交換機(jī)的安全功能在安全功能策略的控制下從安全功能的控制范圍之外輸入GB/T21050—2019FDP_ITC.2.2網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)使用與輸入的數(shù)據(jù)相關(guān)的安全屬性。FDP_ITC.2.3網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)確保使用的協(xié)議在安全屬性和接收的用戶數(shù)據(jù)之間提供FDP_ITC.2.4網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)確保對輸入的用戶數(shù)據(jù)安全屬性的解釋與用戶數(shù)據(jù)源的解釋是一致的。FDP_ITC.2.5網(wǎng)絡(luò)交換機(jī)的安全功能在安全功能策略的控制下從安全功能的控制范圍之外輸入數(shù)據(jù)交換完整性(FDP_UIT.1)FDP_UIT.1.2網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)能根據(jù)收到的用戶數(shù)據(jù)，判斷是否出現(xiàn)了【篡改、刪除、原發(fā)端數(shù)據(jù)交換恢復(fù)(FDP_UIT.2)和完整復(fù)制所有網(wǎng)絡(luò)管理數(shù)據(jù)文件給某一分離的備份源】,以便能在原發(fā)端可信FIA_UAU.2.1在允許執(zhí)行任何代表用戶的其他安全功能促成的行動執(zhí)行前，網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)要求該用戶已被成功鑒別。FIA_UID.2.1在允許執(zhí)行任何代表用戶的其他安全功能促成的行動之前，網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)要求用戶標(biāo)識自己。功能應(yīng)加以檢測。秘密的驗(yàn)證(FIA_SOS.1)GB/T21050—2019FMT_MSA.1.1網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)執(zhí)行【訪問控制列表】,以僅限于【網(wǎng)絡(luò)安全管理員角網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)執(zhí)行【訪問控制列表】,以僅限于【FMT_MSA.3.1網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)執(zhí)行【訪問控制策略】,以便為用于執(zhí)行安全功能策略FMT_MSA.3.2網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)允許【負(fù)責(zé)建立和配置連接的網(wǎng)絡(luò)配置管理員或網(wǎng)絡(luò)安全管理員角色】為生成的客體或信息指定替換性的初始值以代替原來的默認(rèn)值。安全功能數(shù)據(jù)的管理(FMT_MTD.1)管理功能規(guī)范(FMT_SMF.1)GB/T21050—2019安全角色限制(FMT_SMR.2)FMT_SMR.2.2網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)能夠把管理員用戶和角色關(guān)聯(lián)起來。FMT_SMR.2.3網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)確保條件【網(wǎng)絡(luò)審計(jì)管理員或網(wǎng)絡(luò)配置管理員不能假失效即保持安全狀態(tài)(FPT_FLS.1)安全狀態(tài)。傳送過程中TSF間的保密性(FPT_ITC.1)FPT_ITC.1.1在網(wǎng)絡(luò)交換機(jī)的安全功能數(shù)據(jù)從安全功能到遠(yuǎn)程可信IT產(chǎn)品的傳送過程中，網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)保護(hù)所有的安全功能數(shù)據(jù)不被未授權(quán)泄露。TSF間篡改的檢測(FPT_ITI.1)FPT_ITI.1.1網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)提供在下列量度范圍內(nèi)：【強(qiáng)度應(yīng)等同于或超過由MD5提供的完整性保護(hù)算法的強(qiáng)度】,檢測網(wǎng)絡(luò)交換機(jī)安全功能與遠(yuǎn)程可信IT產(chǎn)品間傳送的所有安全功能數(shù)據(jù)是否被修改的能力。FPT_ITI.1.2網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)提供能力，以驗(yàn)證安全功能與遠(yuǎn)程可信IT產(chǎn)品間傳送的FPT_RCV.3.1當(dāng)不能從失敗或服務(wù)中斷自動恢復(fù)時(shí)，網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)進(jìn)入維護(hù)方式，該方式提供將網(wǎng)絡(luò)交換機(jī)返回到一個(gè)安全狀態(tài)的能力。網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)確保通過自動化過程使網(wǎng)絡(luò)交換機(jī)返回到一個(gè)安全狀態(tài)。FPT_RCV.3.3網(wǎng)絡(luò)交換機(jī)的安全功能提供的從失敗或服務(wù)中斷狀態(tài)恢復(fù)的功能，應(yīng)確保安全功FPT_RCV.3.4網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)提供決定客體能否被恢復(fù)的能力。功能恢復(fù)(FPT_RCV.4)下特性，即安全功能或者已成功完成，或者對指明的故障情況恢復(fù)到一致的安全狀態(tài)。GB/T21050—2019重放檢測(FPT_RPL.1)FPT_RPL.1.1網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)檢測以下實(shí)體的重放【消息(如管理和控制)、安全協(xié)商FPT_STM.1.1網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)能為自身的應(yīng)用提供可靠的時(shí)間戳。TSF間基本的TSF數(shù)據(jù)一致性(FPT_TDC.1.1當(dāng)網(wǎng)絡(luò)交換機(jī)的安全功能與其他可信IT產(chǎn)品共享其安全功能的數(shù)據(jù)時(shí)，網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)提供對【網(wǎng)絡(luò)審計(jì)信息、控制信息和安全參數(shù)】一致性解釋的FPT_TDC.1.2當(dāng)解釋來自其他可信IT產(chǎn)品的安全功能數(shù)據(jù)時(shí)，網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)使用TSF測試(FPT_TST.1)FPT_TST.1.2網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)為授權(quán)用戶提供對網(wǎng)絡(luò)交換機(jī)安全功能的數(shù)據(jù)完整性FPT_TST.1.3網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)為授權(quán)用戶提供對存儲的網(wǎng)絡(luò)交換機(jī)安全功能的可執(zhí)行代碼完整性的驗(yàn)證能力。7.2.8資源利用(FRU類)降低容錯(cuò)(FRU_FLT.1)FRU_FLT.1.1網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)確保當(dāng)以下故障量/優(yōu)先級的保存、當(dāng)持續(xù)發(fā)生帶有預(yù)攻擊控制信息的特定網(wǎng)絡(luò)操作時(shí)丟掉已被全部服務(wù)優(yōu)先級(FRU_PRS.2)FRU_PRS.2.1網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)給在安全功能中的每個(gè)主體分配一種優(yōu)先級。FRU_PRS.2.2網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)確保對所有可共享資源的每次訪問都應(yīng)基于分配給主最高配額(FRU_RSA.1)GB/T21050—20197.2.9網(wǎng)絡(luò)交換機(jī)訪問(FTA類)會話建立(FTA_TSE.1)TSF原發(fā)會話終止(FTA_SSL.3)FTA_SSL.3.1網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)在達(dá)到【賦值：安全管理員可配置的用戶不活動的時(shí)間TSF間可信信道(FT遠(yuǎn)程可信IT產(chǎn)品之間提供一條通信信道，此信道在邏輯上與其他通信信道截然不同，并且能夠?qū)ζ鋵Χ斯?jié)點(diǎn)提供確定的標(biāo)識，以及保護(hù)信道中數(shù)據(jù)免遭修改和泄露。FTP_ITC.1.2網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)允許【安全功能，遠(yuǎn)程的可信IT產(chǎn)品】經(jīng)可信信道發(fā)起通信。FTP_ITC.1.3對于【控制信息的傳輸和安全屬性的改變】,網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)經(jīng)可信信道發(fā)起通信?？尚怕窂?FTP_TRP.1)用戶之間提供一條通信路徑，此路徑在邏輯上與其他通信路徑截然不同，并且能夠?qū)ζ鋵Χ斯?jié)點(diǎn)提供確定的標(biāo)識，以及保護(hù)通信數(shù)據(jù)免遭修改或泄露。FTP_TRP.1.2網(wǎng)絡(luò)交換機(jī)的安全功能應(yīng)允許表3分別列出了網(wǎng)絡(luò)交換機(jī)EAL2和EAL3級安全保障要求組件，這些要求由GB/T18336.3—GB/T21050—2019保障類保障組件序號安全保障級EAL2EAL3ADV:開發(fā)ADV_ARC.1安全架構(gòu)描述1√√ADV_FSP.2安全執(zhí)行功能規(guī)范2√N(yùn)/AADV_FSP.3帶完整摘要的功能規(guī)范3N/A√ADV_TDS.1基礎(chǔ)設(shè)計(jì)4√N(yùn)/AADV_TDS.2結(jié)構(gòu)化設(shè)計(jì)5N/A√AGD:指導(dǎo)性文檔AGD_OPE.1操作用戶指南6√√AGD_PRE.1準(zhǔn)備程序7√√ALC:生命周期支持ALC_CMC.2CM系統(tǒng)的使用8√N(yùn)/AALC_CMC.3授權(quán)控制9N/A√ALC_CMS.2部分TOECM覆蓋√N(yùn)/AALC_CMS.3實(shí)現(xiàn)表示CM覆蓋N/A√ALC_DEL.1交付程序√√ALC_DVS.1安全措施標(biāo)識N/A√ALC_LCD.1開發(fā)者定義的生命周期模型N/A√ASE:ST評估ASE_CCL.1符合性聲明√√ASE_ECD.1擴(kuò)展組件定義√√ASE_INT.1ST引言√√ASE_OBJ.2安全目的√√ASE_REQ.1陳述性的安全要求√N(yùn)/AASE_REQ.2推導(dǎo)出的安全要求N/A√ASE_SPD.1安全問題定義√√ASE_TSS.1TOE概要規(guī)范√√ATE:測試ATE_COV.1覆蓋證據(jù)√√ATE_COV.2覆蓋分析N/A√ATE_DPT.1測試：基本設(shè)計(jì)N/A√ATE_FUN.1功能測試√√ATE_IND.2獨(dú)立測試—抽樣√√AVA:脆弱性評定AVA_VAN.2脆弱性分析√√注：“√”代表在該保障級下，選擇該組件?！癗/A”代表在該保障級下，該組件不適用。7.3.2開發(fā)(ADV類)安全架構(gòu)描述(ADV_ARC.1)GB/T21050—2019ADV_ARC.1.1D開發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TOE,確保TSF的安全特性不可旁路。ADV_ARC.1.2D開發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TSF,以防止不可信任主體的破壞。ADV_ARC.1.3D開發(fā)者應(yīng)提供TSF安全架構(gòu)的描述。ADV_ARC.1.1C安全架構(gòu)的描述應(yīng)與在TOE設(shè)計(jì)文檔中對SFR-執(zhí)行的抽象描述的級別一致。ADV_ARC.1.2C安全架構(gòu)的描述應(yīng)描述與安全功能要求一致的TSF安全域。ADV_ARC.1.3C安全架構(gòu)的描述應(yīng)描述TSF初始化過程為何是安全的。ADV_ARC.1.4C安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止被破壞。ADV_ARC.1.5C安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止SFR-執(zhí)行的功能被旁路。ADV_ARC.1.1E評估者應(yīng)確認(rèn)提供的信息符合證據(jù)的內(nèi)容和形式要求。安全執(zhí)行功能規(guī)范(ADV_FSP.2)開發(fā)者行為元素：ADV_FSP.2.1D開發(fā)者應(yīng)提供一個(gè)功能規(guī)范。ADV_FSP.2.2D開發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯關(guān)系。ADV_FSP.2.1C功能規(guī)范應(yīng)完整描述TSF。ADV_FSP.2.2C功能規(guī)范應(yīng)描述所有的TSFI的目的和使用方法。ADV_FSP.2.3C功能規(guī)范應(yīng)識別和描述每個(gè)TSFI相關(guān)的所有參數(shù)。ADV_FSP.2.4C對于每個(gè)SFR-執(zhí)行TSFI,功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR-執(zhí)行行為。ADV_FSP.2.5C對于SFR-執(zhí)行TSFI,功能規(guī)范應(yīng)描述由SFR-執(zhí)行行為相關(guān)處理而引起的直接ADV_FSP.2.6C功能規(guī)范應(yīng)證實(shí)安全功能要求到TSFI的追溯。ADV_FSP.2.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ADV_FSP.2.2E評估者應(yīng)決定功能規(guī)范是TOE安全功能要求的一個(gè)準(zhǔn)確且完備的實(shí)例化。帶完整摘要的功能規(guī)范(ADV_FSP.3)開發(fā)者行為元素：ADV_FSP.3.1D開發(fā)者應(yīng)提供一個(gè)功能規(guī)范。ADV_FSP.3.2D開發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯。ADV_FSP.3.1C功能規(guī)范應(yīng)完全描述TSF。ADV_FSP.3.2C功能規(guī)范應(yīng)描述所有的TSFI的目的和使用方法。ADV_FSP.3.3C功能規(guī)范應(yīng)識別和描述每個(gè)TSFI相關(guān)的所有參數(shù)。ADV_FSP.3.4C對于每個(gè)SFR-執(zhí)行TSFI,功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR-執(zhí)行行為。ADV_FSP.3.5C對于每個(gè)SFR-執(zhí)行TSFI,功能規(guī)范應(yīng)描述與TSFI的調(diào)用相關(guān)的安全實(shí)施行為ADV_FSP.3.6C功能規(guī)范需總結(jié)與每個(gè)TSFI相關(guān)的SFR-支撐和SFR-無關(guān)的行為。ADV_FSP.3.7C功能規(guī)范應(yīng)證實(shí)安全功能要求到TSFI的追溯。ADV_FSP.3.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。GB/T21050—2019ADV_FSP.3.2E評估者應(yīng)決定功能規(guī)范是TOE安全功能要求的一個(gè)準(zhǔn)確且完備的實(shí)例化?；A(chǔ)設(shè)計(jì)(ADV_TDS.1)開發(fā)者行為元素：ADV_TDS.1.1D開發(fā)者應(yīng)提供TOE的設(shè)計(jì)。ADV_TDS.1.2D開發(fā)者應(yīng)提供從功能規(guī)范的TSFI到TOE設(shè)計(jì)中獲取到的最低層分解的映射。內(nèi)容和形式元素：ADV_TDS.1.1C設(shè)計(jì)應(yīng)根據(jù)子系統(tǒng)描述TOE的結(jié)構(gòu)。ADV_TDS.1.2C設(shè)計(jì)應(yīng)標(biāo)識TSF的所有子系統(tǒng)。ADV_TDS.1.3C設(shè)計(jì)應(yīng)對每一個(gè)SFR-支撐或SFR-無關(guān)的子系統(tǒng)的行為進(jìn)行足夠詳細(xì)的描述，以確定它不是SFR-執(zhí)行。ADV_TDS.1.4C設(shè)計(jì)應(yīng)概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為。ADV_TDS.1.5C設(shè)計(jì)應(yīng)描述TSF的SFR-執(zhí)行子系統(tǒng)間的相互作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用。ADV_TDS.1.6C映射關(guān)系應(yīng)證實(shí)TOE設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的TSFI。評估者行為元素：ADV_TDS.1.1E評估者應(yīng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容與形式的所有要求。ADV_TDS.1.2E評估者應(yīng)確定設(shè)計(jì)是所有安全功能要求的正確且完備的實(shí)例。開發(fā)者行為元素：ADV_TDS.2.1D開發(fā)者應(yīng)提供TOE的設(shè)計(jì)。ADV_TDS.2.2D開發(fā)者應(yīng)提供從功能規(guī)范的TSFI到TOE設(shè)計(jì)中獲取到的最低層分解的映射。內(nèi)容和形式元素：ADV_TDS.2.1C設(shè)計(jì)應(yīng)根據(jù)子系統(tǒng)描述TOE的結(jié)構(gòu)。ADV_TDS.2.2C設(shè)計(jì)應(yīng)標(biāo)識TSF的所有子系統(tǒng)。ADV_TDS.2.3C設(shè)計(jì)應(yīng)對每一個(gè)TSF的SFR-無關(guān)子系統(tǒng)的行為進(jìn)行足夠詳細(xì)的描述，以確定它是與SFR-無關(guān)。ADV_TDS.2.4C設(shè)計(jì)應(yīng)描述SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為。ADV_TDS.2.5C設(shè)計(jì)應(yīng)概括SFR-執(zhí)行子系統(tǒng)的SFR-支撐和SFR-無關(guān)行為。ADV_TDS.2.6C設(shè)計(jì)應(yīng)概括SFR-支撐子系統(tǒng)的行為。ADV_TDS.2.7C設(shè)計(jì)應(yīng)描述TSF所有子系統(tǒng)間的相互作用。ADV_TDS.2.8C映射關(guān)系應(yīng)證明TOE設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的TSFI。評估者行為元素：ADV_TDS.2.1E評估者應(yīng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容與形式的所有要求。ADV_TDS.2.2E評估者應(yīng)確定設(shè)計(jì)是所有安全功能要求的正確且完全的實(shí)例。開發(fā)者行為元素：AGD_OPE.1.1D開發(fā)者應(yīng)提供操作用戶指南。內(nèi)容和形式元素：GB/T21050—2019AGD_OPE.1.1C操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述，在安全處理環(huán)境中應(yīng)被控制的用AGD_OPE.1.2C操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述，怎樣以安全的方式使用TOE提供的可用接口。AGD_OPE.1.4C操作用戶指南應(yīng)對每一種用戶角色明確說明，與需要執(zhí)行的用戶可訪問功能有AGD_OPE.1.5C操作用戶指南應(yīng)標(biāo)識TOE運(yùn)行的所有可能狀態(tài)(包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤),它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系。AGD_OPE.1.6C操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述，為了充分實(shí)現(xiàn)ST中描述的運(yùn)行環(huán)境安全目的所應(yīng)執(zhí)行的安全策略。AGD_OPE.1.7C操作用戶指南應(yīng)是明確和合理的。評估行為元素：AGD_OPE.1.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。準(zhǔn)備程序(AGD_PRE.1)開發(fā)者行為元素：AGD_PRE.1.1D開發(fā)者應(yīng)提供TOE,包括它的準(zhǔn)備程序。內(nèi)容和形式元素：AGD_PRE.1.1C準(zhǔn)備程序應(yīng)描述與開發(fā)者交付程序相一致的安全接收所交付TOE必需的所有AGD_PRE.1.2C準(zhǔn)備程序應(yīng)描述安全安裝TOE以及安全準(zhǔn)備與ST中描述的運(yùn)行環(huán)境安全目的一致的運(yùn)行環(huán)境必需的所有步驟。評估者行為元素：AGD_PRE.1.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。AGD_PRE.1.2E評估者應(yīng)運(yùn)用準(zhǔn)備程序確認(rèn)TOE運(yùn)行能被安全的準(zhǔn)備。7.3.4生命周期支持(ALC類)CM系統(tǒng)的使用(ALC_CMC.2)開發(fā)者行為元素：ALC_CMC.2.1D開發(fā)者應(yīng)提供TOE及其參照號。ALC_CMC.2.2D開發(fā)者應(yīng)提供CM文檔。ALC_CMC.2.3D開發(fā)者應(yīng)提供CM系統(tǒng)。內(nèi)容和形式元素：ALC_CMC.2.1C應(yīng)給TOE標(biāo)注唯一參照號。ALC_CMC.2.2CCM文檔應(yīng)描述用于唯一標(biāo)識配置項(xiàng)的方法。ALC_CMC.2.3CCM系統(tǒng)應(yīng)唯一標(biāo)識所有配置項(xiàng)。評估者行為元素：ALC_CMC.2.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。授權(quán)控制(ALC_CMC.3)GB/T21050—2019ALC_CMC.3.1D開發(fā)者應(yīng)提供TOE及其參照號。ALC_CMC.3.2D開發(fā)者應(yīng)提供CM文檔。ALC_CMC.3.3D開發(fā)者應(yīng)使用CM系統(tǒng)。內(nèi)容和形式元素：ALC_CMC.3.1C應(yīng)給TOE標(biāo)注唯一參照號。ALC_CMC.3.2CCM文檔應(yīng)描述用于唯一標(biāo)識配置項(xiàng)的方法。ALC_CMC.3.3CCM系統(tǒng)應(yīng)唯一標(biāo)識所有配置項(xiàng)。ALC_CMC.3.4CCM系統(tǒng)應(yīng)提供措施使得只能對配置項(xiàng)進(jìn)行授權(quán)變更。ALC_CMC.3.5CCM文檔應(yīng)包括一個(gè)CM計(jì)劃。ALC_CMC.3.6CCM計(jì)劃應(yīng)描述CM系統(tǒng)是如何應(yīng)用于TOE的開發(fā)過程。ALC_CMC.3.7C證據(jù)應(yīng)證實(shí)所有配置項(xiàng)都正在CM系統(tǒng)下進(jìn)行維護(hù)。ALC_CMC.3.8C證據(jù)應(yīng)證實(shí)CM系統(tǒng)的運(yùn)行與CM計(jì)劃是一致的。評估者行為元素：ALC_CMC.3.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。部分TOECM覆蓋(ALC_CMS.2)開發(fā)者行為元素：ALC_CMS.2.1D開發(fā)者應(yīng)提供TOE配置項(xiàng)列表。內(nèi)容和形式元素：ALC_CMS.2.2C配置項(xiàng)列表應(yīng)唯一標(biāo)識配置項(xiàng)。ALC_CMS.2.3C對于每一個(gè)TSF相關(guān)的配置項(xiàng)，配置項(xiàng)列表應(yīng)簡要說明該配置項(xiàng)的開發(fā)者。評估者行為元素：ALC_CMS.2.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。實(shí)現(xiàn)表示CM覆蓋(ALC_CMS.3)開發(fā)者行為元素：ALC_CMS.3.1D開發(fā)者應(yīng)提供TOE配置項(xiàng)列表。內(nèi)容和形式元素：實(shí)現(xiàn)表示。ALC_CMS.3.2C配置項(xiàng)列表應(yīng)唯一標(biāo)識配置項(xiàng)。ALC_CMS.3.3C對于每一個(gè)TSF相關(guān)的配置項(xiàng)，配置項(xiàng)列表應(yīng)簡要說明該配置項(xiàng)的開發(fā)者。評估者行為元素：ALC_CMS.3.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。交付程序(ALC_DEL.1)開發(fā)者行為元素：ALC_DEL.1.1D開發(fā)者應(yīng)將TOE或其部分交付給消費(fèi)者的程序文檔化。ALC_DEL.1.2D開發(fā)者應(yīng)使用交付程序。內(nèi)容和形式元素：ALC_DEL.1.1C交付文檔應(yīng)描述，在向消費(fèi)者分發(fā)TOE版本時(shí)，用以維護(hù)安全性所必需的所有GB/T21050—2019ALC_DEL.1.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ALC_DVS.1.1D開發(fā)者應(yīng)提供開發(fā)安全文檔。ALC_DVS.1.1C開發(fā)安全文檔應(yīng)描述在TOE的開發(fā)環(huán)境中，保護(hù)TOE設(shè)計(jì)和實(shí)現(xiàn)的保密性和ALC_DVS.1.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ALC_DVS.1.2E評估者應(yīng)確認(rèn)安全措施正在被使用。開發(fā)者定義的生命周期模型(ALC_LCD.1)ALC_LCD.1.1D開發(fā)者應(yīng)建立一個(gè)生命周期模型，用于TOE的開發(fā)和維護(hù)。ALC_LCD.1.2D開發(fā)者應(yīng)提供生命周期定義文檔。ALC_LCD.1.1C生命周期定義文檔應(yīng)描述用于開發(fā)和維護(hù)TOE的模型。ALC_LCD.1.2C生命周期模型應(yīng)為TOE的開發(fā)和維護(hù)提供必要的控制。ALC_LCD.1.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。7.3.5ST評估(ASE類)ASE_CCL.1.1D開發(fā)者應(yīng)提供符合性聲明。ASE_CCL.1.2D開發(fā)者應(yīng)提供符合性聲明的基本原理。ASE_CCL.1.1CST應(yīng)聲明其與GB/T18336符合性，標(biāo)識出ST和TOE的符合性遵從的GB/T18336的版本。的符合性，無論是與GB/T18336.2—2015相符或還是對GB/T18336.2—2015的擴(kuò)展。的符合性，無論是與GB/T18336.3—2015相符還是對GB/T18336.3—2015的擴(kuò)展。ASE_CCL.1.4C符合性聲明應(yīng)與擴(kuò)展組件定義是相符的。ASE_CCL.1.5C符合性聲明應(yīng)標(biāo)識ST聲明遵從的所有PP和安全要求包。ASE_CCL.1.6C符合性聲明應(yīng)描述ST和包的符合性，無論是與包相符或是與擴(kuò)展包相符。ASE_CCL.1.7C符合性聲明的基本原理應(yīng)證實(shí)TOE類型與符合性聲明所遵從的PP中的TOE類型是相符的。ASE_CCL.1.8C符合性聲明的基本原理應(yīng)證實(shí)安全問題定義的陳述與符合性聲明所遵從的PP中的安全問題定義陳述是相符的。GB/T21050—2019ASE_CCL.1.9C符合性聲明的基本原理應(yīng)證實(shí)安全目的陳述與符合性聲明所遵從的PP中的安全目的陳述是相符的。ASE_CCL.1.10C符合性聲明的基本原理應(yīng)證實(shí)安全要求的陳述與符合性聲明所遵從的PP中的評估者行為元素：ASE_CCL.1.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。開發(fā)者行為元素：ASE_ECD.1.1D開發(fā)者應(yīng)提供安全要求的陳述。ASE_ECD.1.2D開發(fā)者應(yīng)提供擴(kuò)展組件的定義。內(nèi)容和形式元素：ASE_ECD.1.1C安全要求陳述應(yīng)標(biāo)識所有擴(kuò)展的安全要求。ASE_ECD.1.2C擴(kuò)展組件定義應(yīng)為每一個(gè)擴(kuò)展的安全要求定義一個(gè)擴(kuò)展的組件。ASE_ECD.1.5C擴(kuò)展組件應(yīng)由可測量的和客觀的元素組成，以便于證實(shí)這些元素之間的符合性評估者行為元素：ASE_ECD.1.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ASE_ECD.1.2E評估者應(yīng)確認(rèn)擴(kuò)展組件不能利用已經(jīng)存在的組件明確的表達(dá)。ST引言(ASEINT開發(fā)者行為元素：ASE_INT.1.1D開發(fā)者應(yīng)提供ST引言。內(nèi)容和形式元素：ASE_INT.1.1CST引言應(yīng)包含ST參照號、TOE參照號、TOE概述和TOE描述。ASE_INT.1.2CST參照號應(yīng)唯一標(biāo)識ST。ASE_INT.1.3CTOE參照號應(yīng)標(biāo)識TOE。ASE_INT.1.4CTOE概述應(yīng)概括TOE的用法及其主要安全特性。ASE_INT.1.5CTOE概述應(yīng)標(biāo)識TOE類型。ASE_INT.1.6CTOE概述應(yīng)標(biāo)識任何TOE要求的非TOE范圍內(nèi)的硬件/軟件/固件。ASE_INT.1.7CTOE描述應(yīng)描述TOE的物理范圍。ASE_INT.1.8CTOE描述應(yīng)描述TOE的邏輯范圍。評估者行為元素：ASE_INT.1.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ASE_INT.1.2E評估者應(yīng)確認(rèn)TOE參考、TOE概述和TOE描述是相互一致的。安全目的(ASE_OBJ.2)開發(fā)者行為元素：ASE_OBJ.2.1D開發(fā)者應(yīng)提供安全目的的陳述。ASE_OBJ.2.2D開發(fā)者應(yīng)提供安全目的的基本原理。內(nèi)容和形式元素：GB/T21050—2019ASE_OBJ.2.1C安全目的的陳述應(yīng)描述TOE的安全目的和運(yùn)行環(huán)境安全目的。ASE_OBJ.2.2C安全目的基本原理應(yīng)追溯到TOE的每一個(gè)安全目的，以便于能追溯到安全目的所對抗的威脅及安全目的實(shí)施的組織安全策略。ASE_OBJ.2.3C安全目的基本原理應(yīng)追溯到運(yùn)行環(huán)境的每一個(gè)安全目的，以便于能追溯到安全ASE_OBJ.2.4C安全目的基本原理應(yīng)證實(shí)安全目的能抵抗所有威脅。ASE_OBJ.2.5C安全目的基本原理應(yīng)證實(shí)安全目的執(zhí)行所有組織安全策略。ASE_OBJ.2.6C安全目的基本原理應(yīng)證實(shí)運(yùn)行環(huán)境安全目的支持所有的假設(shè)。評估者行為元素：ASE_OBJ.2.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。陳述性的安全要求(ASE_REQ.1)開發(fā)者行為元素：ASE_REQ.1.1D開發(fā)者應(yīng)提供安全要求的陳述。ASE_REQ.1.2D開發(fā)者應(yīng)提供安全要求的基本原理。內(nèi)容和形式元素：ASE_REQ.1.1C安全要求的陳述應(yīng)描述安全功能要求和安全保障要求。部實(shí)體及其他術(shù)語進(jìn)行定義。ASE_REQ.1.3C安全要求的陳述應(yīng)對安全要求的所有操作進(jìn)行標(biāo)識。ASE_REQ.1.4C所有操作應(yīng)被正確地執(zhí)行。ASE_REQ.1.5C應(yīng)滿足安全要求間的依賴關(guān)系，或者安全要求基本原理應(yīng)證明不需要滿足某個(gè)ASE_REQ.1.6C安全要求的陳述應(yīng)是內(nèi)在一致的。評估者行為元素：ASE_REQ.1.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。推導(dǎo)出的安全要求(ASE_REQ.2)開發(fā)者行為元素：ASE_REQ.2.1D開發(fā)者應(yīng)提供安全要求的陳述。ASE_REQ.2.2D開發(fā)者應(yīng)提供安全要求的基本原理。內(nèi)容和形式元素：ASE_REQ.2.1C安全要求的陳述應(yīng)描述安全功能要求和安全保障要求。部實(shí)體及其他術(shù)語進(jìn)行定義。ASE_REQ.2.3C安全要求的陳述應(yīng)對安全要求的所有操作進(jìn)行標(biāo)識。ASE_REQ.2.4C所有操作應(yīng)被正確地執(zhí)行。ASE_REQ.2.5C應(yīng)滿足安全要求間的依賴關(guān)系，或者安全要求基本原理應(yīng)證明不需要滿足某個(gè)ASE_REQ.2.6C安全要求基本原理應(yīng)描述每一個(gè)安全功能要求可追溯至對應(yīng)的TOE安全目的。ASE_REQ.2.7C安全要求基本原理應(yīng)證實(shí)安全功能要求可滿足所有的TOE安全目的。ASE_REQ.2.8C安全要求基本原理應(yīng)說明選擇安全保障要求的理由。ASE_REQ.2.9C安全要求的陳述應(yīng)是內(nèi)在一致的。GB/T21050—2019評估者行為元素：ASE_REQ.2.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。安全問題定義(ASE_SPD.1)開發(fā)者行為元素：ASE_SPD.1.1D開發(fā)者應(yīng)提供安全問題定義。內(nèi)容和形式元素：ASE_SPD.1.1C安全問題定義應(yīng)描述威脅。ASE_SPD.1.3C安全問題定義應(yīng)描述組織安全策略。ASE_SPD.1.4C安全問題定義應(yīng)描述有關(guān)TOE操作環(huán)境的假設(shè)。評估者行為元素：評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。TOE概要規(guī)范(ASE_TSS.1)開發(fā)者行為元素：ASE_TSS.1.1D開發(fā)者應(yīng)提供TOE概要規(guī)范。內(nèi)容和形式元素ASE_TSS.1.1CTOE概要規(guī)范應(yīng)描述TOE是如何滿足每一項(xiàng)安全功能要求的。評估者行為元素：ASE_TSS.1.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ASE_TSS.1.2E評估者應(yīng)確認(rèn)TOE概要規(guī)范與TOE概述、TOE描述是一致的。7.3.6測試(ATE類)覆蓋證據(jù)(ATE_COV.1)開發(fā)者行為元素：ATE_COV.1.1D開發(fā)者應(yīng)提供測試覆蓋的證據(jù)。內(nèi)容和形式元素：ATE_COV.1.1C測試覆蓋的證據(jù)應(yīng)表明測試文檔中的測試與功能規(guī)范中的TSF接口之間的對評估者行為元素：ATE_COV.1.1E評估者應(yīng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容和形式的要求。覆蓋分析(ATECOV.2)開發(fā)者行為元素：ATE_COV.2.1D開發(fā)者應(yīng)提供對測試覆蓋的分析。內(nèi)容和形式元素：ATE_COV.2.1C測試覆蓋分析應(yīng)論證測試文檔中的測試和功能規(guī)范中描述的網(wǎng)絡(luò)交換機(jī)安全功能間的對應(yīng)性。ATE_COV.2.2C測試覆蓋分析應(yīng)論證已經(jīng)對功能規(guī)范中所有安全功能接口都進(jìn)行了測試。評估者行為元素：ATE_COV.2.1E評估者應(yīng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容和形式的要求。GB/T21050—2019開發(fā)者行為元素：ATE_DPT.1.1D開發(fā)者應(yīng)提供測試深度分析。內(nèi)容和形式元素：ATE_DPT.1.1C測試深度分析應(yīng)證實(shí)測試文檔中的測試與TOE設(shè)計(jì)中TSF子系統(tǒng)之間的對ATE_DPT.1.2C測試深度分析應(yīng)證實(shí)TOE設(shè)計(jì)中所有TSF子系統(tǒng)都已經(jīng)進(jìn)行過測試。評估者行為元素：ATE_DPT.1.1E評估者應(yīng)當(dāng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容和形式的要求。功能測試(ATE_FUN.1)開發(fā)者行為元素：ATE_FUN.1.1D開發(fā)者應(yīng)測試TSF,并文檔化測試結(jié)果。ATE_FUN.1.2D開發(fā)者應(yīng)提供測試文檔。內(nèi)容和形式元素：ATE_FUN.1.1C測試文檔應(yīng)包括測試計(jì)劃、預(yù)期的測試結(jié)果和實(shí)際的測試結(jié)果。ATE_FUN.1.2C測試計(jì)劃應(yīng)標(biāo)識要執(zhí)行的測試并描述執(zhí)行每個(gè)測試的方案，這些方案應(yīng)包括對于其他測試結(jié)果的任何順序依賴性。ATE_FUN.1.3C預(yù)期的測試結(jié)果應(yīng)指出測試成功執(zhí)行后的預(yù)期輸出。ATE_FUN.1.4C實(shí)際的測試結(jié)果應(yīng)和預(yù)期的測試結(jié)果一致。評估者行為元素：ATE_FUN.1.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。獨(dú)立測試一抽樣(ATE_IND.2)開發(fā)者行為元素：ATE_IND.2.1D開發(fā)者應(yīng)提供用于測試的TOE。內(nèi)容和形式元素：ATE_IND.2.1CTOE應(yīng)適合測試。ATE_IND.2.2C開發(fā)者應(yīng)提供一組與開發(fā)者TSF功能測試中同等的一系列資源。評估者行為元素：ATE_IND.2.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ATE_IND.2.2E評估者應(yīng)執(zhí)行測試文檔里的測試樣本，以驗(yàn)證開發(fā)者測試的結(jié)果。ATE_IND.2.3E評估者應(yīng)測試TSF的一個(gè)子集以確認(rèn)TSF按照規(guī)范運(yùn)行。脆弱性分析(AVA_VAN.2)的安全保障要求如下：開發(fā)者行為元素：AVA_VAN.2.1D開發(fā)者應(yīng)提供用于測試的TOE。內(nèi)容和形式元素：AVA_VAN.2.1CTOE應(yīng)適合測試。AVA_VAN.2.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。GB/T21050—2019AVA_VAN.2.2E評估者應(yīng)執(zhí)行公共領(lǐng)域的調(diào)查以標(biāo)識TOE的潛在脆弱性。AVA_VAN.2.3E評估者應(yīng)執(zhí)行獨(dú)立的TOE脆弱性分析去標(biāo)識TOE潛在的脆弱性，在分析過AVA_VAN.2.4E評估者應(yīng)基于已標(biāo)識的潛在脆弱性實(shí)施穿透性測試，判定TOE能抵抗具有基本攻擊潛力的攻擊者的攻擊。8基本原理表4說明了網(wǎng)絡(luò)交換機(jī)的安全目的能應(yīng)對所有可能的威脅。表4威脅與TOE安全目的的對應(yīng)關(guān)系序號威脅安全目的1O.Ctrl_Channel,O.Detect_Connection,O.Mgmt_Path,O.Protect_Add230.Ctrl_Channel,O.Detect_Connection4O.Audit_Review,O.Priority_of_Service,O.Protect_Addresses,Audit,0.Trusted_Recove5670.Ctrl_Channel,O.Priority_of_Service,O.Replay_Prevent,O.8O.Alarm,O.Fail_Secure,O.Trust_Backup,O.Trusted_Recovery,O.U9O.Lifecycle,O.Patches,O.Update_Validation,O.S0.Admin_Audit,O.Audit_Review,0.Mgmt_I&.A,O.TrusO.Admin_Audit,O.Cfg_Manage,O.Trust_Backup,O.Trusted_R0.Attr_Mgt,O.Ctrl_Channel,O.Trusted_Recovery,O.Update_O.Ctrl_Channel,O.Detect_Connection,O.Protect_Addresses,O.MgmO.Access_Control,O.Ctrl_Channel,0.Ctrl_I&.A,O.Detect_ConnectMgmt_I&.A,O.Replay_Preve0.Ctrl_I&-A,O.Detect_Connection,O.Mgmt_I&.A,O.Protec0.Access_Control,O.Admin_Audit,O.Audit_ReviewConnection,O.Mgmt_I&.A,0.Trust_Backup,0.Trusted_ReGB/T21050—2019通信分析(T.Analysis)0.Ctrl_Channel:控制數(shù)據(jù)的可信通道0.Ctrl_Channel減輕T.Analysis的威脅，是通過保持控制信息的保密性以及支持加密機(jī)制來實(shí)現(xiàn)。O.Detect_Connection:檢測非授權(quán)連接0.Detect_Connection抵抗T.Analysis的威脅，是通過網(wǎng)絡(luò)交換機(jī)所具備的檢測和警報(bào)未授權(quán)連接O.Mgmt_Path:管理數(shù)據(jù)的可信路徑O.Mgmt_Path抵抗T.Analysis的威脅，是通過保證所有管理數(shù)據(jù)的完整性和保密性來實(shí)現(xiàn)。O.Protect_Addresses:地址保護(hù)O.Protect_Addresse抵抗T.Analysis的威脅，是通過保護(hù)資源和接受的授權(quán)地址的保密性和完整惡意用戶或進(jìn)程可能修改TOE審計(jì)策略，使TOE審計(jì)功能停用或失效、審計(jì)記錄丟失0.Audit_Protection:審計(jì)數(shù)據(jù)保護(hù)0.Audit_Protection抵抗T.Audit_Compromise的威脅，是通過對審計(jì)數(shù)據(jù)的保護(hù)防止審計(jì)機(jī)制失效來實(shí)現(xiàn)。O.Ctrl_Channel:控制數(shù)據(jù)的可信通道0.Ctrl_Channel抵抗T.Capture的威脅，是通過保證控制信息的保密性和完整的持續(xù)力來實(shí)現(xiàn)。O.Detect_Connection:檢測非授權(quán)連接O.Detect_Connection抵抗T.Capture的威脅，是通過具備對任何未授權(quán)連接的檢測能力來實(shí)現(xiàn)。O.Mgmt_Path:管理數(shù)據(jù)的可信路徑O.Mgmt_Path抵抗T.Capture的威脅，是通過為管理數(shù)據(jù)通信提供一個(gè)可信路徑，以便阻礙攻擊者試圖獲得網(wǎng)絡(luò)管理數(shù)據(jù)。全功能失效或流量可能被重路由經(jīng)過未授權(quán)的節(jié)點(diǎn)。O.Audit_Review:審計(jì)記錄查閱0.Audit_Review抵抗T.Compromised_Node的威脅，是通過審閱現(xiàn)異常的網(wǎng)絡(luò)流量模式。O.Priority_Of_Service:提供服務(wù)優(yōu)先級O.Priority_Of_Service抵抗T.Compromised_Node的威脅，是通過提供服務(wù)優(yōu)先級的控制和執(zhí)行，從而避免僅對一個(gè)指定的優(yōu)先級的傳輸流量的節(jié)點(diǎn)進(jìn)行操作的嘗試。O.Protect_Addresse抵抗T.Compromised_Node的威脅，是通過保證地址的保密性和完整性。GB/T21050—2019O.Trusted_Recovery:可信的恢復(fù)O.Unused_Fields:未用區(qū)域O.Ctrl_Channel:控制數(shù)據(jù)0.Ctrl_Channel抵抗T.Cryptanalytic的威脅，是通過加密機(jī)制的支持和控制信息完整性的持續(xù)O.Mgmt_Path:管理數(shù)據(jù)的可信路徑拒絕服務(wù)(T.Denial)O.Ctrl_Channel:控制數(shù)據(jù)O.Priority_Of_ServiO.Replay_Prevent:避免重放攻擊O.Replay_Prevent抵抗T.Denial的威脅，是通過阻礙消耗網(wǎng)絡(luò)資源的重放信息。網(wǎng)絡(luò)交換機(jī)阻0.Alarm:安全風(fēng)險(xiǎn)報(bào)警通知O.Fail_Secure:故障發(fā)生時(shí)安全狀態(tài)GB/T21050—2019O.Fail_Secure有助于抵抗T.Fail的威脅，是通過保證網(wǎng)絡(luò)交換機(jī)和網(wǎng)絡(luò)交換機(jī)安全功能能夠恢復(fù)O.Trust_Backup:系統(tǒng)數(shù)據(jù)備份的完整性和保密性0.Trust_Backup減少T.Fail的威脅，是通過確保產(chǎn)生網(wǎng)絡(luò)數(shù)據(jù)的復(fù)制版本，這樣能夠快速地使網(wǎng)絡(luò)交換機(jī)和網(wǎng)絡(luò)交換機(jī)的安全功能恢復(fù)到正確的操作。O.Trusted_Recovery:可信的恢復(fù)0.Trusted_Recovery減少T.Fail的威脅，是通過保證除了在危及網(wǎng)絡(luò)交換機(jī)安全的情況下，并且在操作被中斷之后，網(wǎng)絡(luò)交換機(jī)能夠恢復(fù)到一個(gè)安全狀態(tài)。O.Trusted_Recovery也保證在使系統(tǒng)重新O.Update_Validation:更新驗(yàn)證O.Update_Validation抵抗T.Fail的威脅，是通過對更新數(shù)據(jù)驗(yàn)證以確保更新數(shù)據(jù)是可信任的。O.Lifecycle:生命周期安全O.Lifecycle減少T.Flaw的威脅，是通過保存貫穿網(wǎng)絡(luò)交換機(jī)整個(gè)可操作的生命周期中的網(wǎng)絡(luò)交換機(jī)安全功能的正確操作。O.Patches:安全修復(fù)和補(bǔ)丁O.Patches減少T.Flaw的威脅，是通過保證大多數(shù)最新的修復(fù)和補(bǔ)丁被安裝，從而確保能夠抵抗網(wǎng)絡(luò)交換機(jī)和網(wǎng)絡(luò)交換機(jī)安全功能的缺陷。0.Self_Test:網(wǎng)絡(luò)交換機(jī)及其安全功能的測試0.Self_Test減少T.Flaw的威脅，是通過發(fā)現(xiàn)那些隱藏操作或危及網(wǎng)絡(luò)交換機(jī)和網(wǎng)絡(luò)交換機(jī)安全功能脆弱性的缺陷。O.Update_Validation:更新驗(yàn)證1管理員網(wǎng)絡(luò)授權(quán)的濫用(T.Hostile_Admin)O.Admin_Audit:帶標(biāo)識的審計(jì)記錄0.Admin_Audit抵抗T.Hostile_Admin的威脅，當(dāng)知曉行為和身份會被監(jiān)控和記錄，那么被濫用特權(quán)的威脅就會減少。O.Audit_Review:審計(jì)記錄查閱O.Audit_Review減少T.Hostile_Admin的威脅，通過行為被周期性地監(jiān)控和審閱。O.Mgmt_I&.A:管理標(biāo)識和鑒別0.Mgmt_I&-A減少T.Hostile_Admin的威脅，是通過在審計(jì)記錄中獲取對網(wǎng)絡(luò)管理人員的標(biāo)識。O.Trust_Backup:系統(tǒng)數(shù)據(jù)備份的完整性和保密性O(shè).Trust_Backup減少T.Hostile_Admin的威脅，是通過保證網(wǎng)絡(luò)文件的復(fù)制。如果主要系統(tǒng)失O.Trusted_Recovery:可信的恢復(fù)O.Trusted_Recovery減少T.Hostile_Admin的威脅，是通過保證除了在危及網(wǎng)絡(luò)交換機(jī)安全的情GB/T21050—20192管理錯(cuò)誤(T.Mgmt_Error)O.Admin_Audit:帶標(biāo)識的審計(jì)記錄0.Admin_Audit通過對錯(cuò)誤的確認(rèn)使得各種行為及其影響能夠得到糾正，從而降低了T.Mgmt0.Cfg_Manage:管理配置數(shù)據(jù)0.Cfg_Manage通過獲取和保持與網(wǎng)絡(luò)交換機(jī)及網(wǎng)絡(luò)信息的恢復(fù)有關(guān)的配置和連接信息，降低了0.Trust_Backup:系統(tǒng)數(shù)據(jù)備份的完整性和保密性當(dāng)有嚴(yán)重錯(cuò)誤發(fā)生時(shí)，0.Trust_Backup能夠在首選系統(tǒng)恢復(fù)過程時(shí)通過第二系統(tǒng)繼續(xù)操作，從而降低T.Mgmt_Error的威脅。0.Trusted_Recovery:可信的恢復(fù)0.Trusted_Recovery通過確保在一系列中斷操作發(fā)生時(shí)，在沒有安全泄露的情況下恢復(fù)到安全狀3修改協(xié)議(T.Modify)0.Attr_Mgt減輕了T.Modify的威脅。因?yàn)榫W(wǎng)絡(luò)操作管理者和網(wǎng)絡(luò)安全管理者有特權(quán)，那么惡意的網(wǎng)絡(luò)操作人員就有機(jī)會相對容易地進(jìn)行惡意修改。然而，當(dāng)網(wǎng)絡(luò)操作人員知曉其行為會被捕獲和審0.Ctrl_Channel:控制數(shù)據(jù)的可信通道O.Ctrl_Channel通過確?？刂菩畔⒈３直Ｃ苄院屯暾詮亩鴾p弱了T.Modify的威脅。O.Trusted_Recovery:可信的恢復(fù)當(dāng)T.Modify威脅引起了操作中的不連續(xù)，O.Trusted_Recovery能確保網(wǎng)絡(luò)交換機(jī)和網(wǎng)絡(luò)能夠返O.Update_Validation:更新驗(yàn)證O.Update_Validation通過在運(yùn)行中的網(wǎng)絡(luò)交換機(jī)和網(wǎng)絡(luò)中使用各種軟件、硬件、固件之前對他們4網(wǎng)絡(luò)探測(T.NtwkMap)O.Ctrl_Channel:控制數(shù)據(jù)的可信通道通過確?？刂菩畔⒌谋Ｃ苄约巴暾設(shè).Ctrl_Channel減弱了T.NtwkMap的威脅。O.Detect_Connection:檢測非授權(quán)連接通過對未授權(quán)連接的檢測，0.Detect_Connection減弱了T.NtwkMap的威脅。O.Protect_Addresses:地址保護(hù)O.Protect_Addresses通過確保傳送和接收地址的保密性和完整性減弱了T.NtwkMap的威脅。O.Mgmt_Path:管理數(shù)據(jù)的可信路徑通過為所有管理數(shù)據(jù)確?？尚怕窂?，0.Mgmt_Path減弱了T.NtwkMap的威脅。這種可信路徑保GB/T21050—20195重放攻擊(T.Replay_Attack)信息也可能被記錄和重放，從而用于偽裝成已驗(yàn)證的網(wǎng)絡(luò)配置管理員或網(wǎng)絡(luò)安全管理員來得到對網(wǎng)絡(luò)O.Access_Control:訪問控制機(jī)制通過強(qiáng)制執(zhí)行訪問控制機(jī)制，讓攻擊者獲得網(wǎng)絡(luò)交換機(jī)和網(wǎng)絡(luò)的訪問權(quán)增加了難度，從而降低了0.Ctrl_Channel:控制數(shù)據(jù)的可信通道Attack的威脅。0.Ctrl_I&.A:受控標(biāo)識和鑒別0.Ctrl_I&A通過要求標(biāo)識和鑒別，增加了攻擊者獲得網(wǎng)絡(luò)交換機(jī)訪問權(quán)的難度，從而降低了T.Replay_Attack的威脅。O.Detect_Connection:檢測非授權(quán)連接0.Detect_Connection確保了對非授權(quán)連接的檢測，消除了通過記錄和重放信息以獲得網(wǎng)絡(luò)交換機(jī)和網(wǎng)絡(luò)資源訪問權(quán)的可能，從而降低了T.Replay_Attack的威脅。O.Mgmt_I&.A:管理標(biāo)識和鑒別O.Mgmt_I&A通過要求標(biāo)識和鑒別，增加了攻擊者獲得網(wǎng)絡(luò)管理資源的難度，從而降低了T.Replay_Attack的威脅。O.Replay_Prevent:避免重放攻擊O.Replay_Prevent直接對抗了T.Replay_Attack的威脅。O.Replay_Prevent確保了網(wǎng)絡(luò)交換機(jī)能夠拒絕舊的和復(fù)制的信息包，以保證其自身免受重放攻擊6配置數(shù)據(jù)泄露(T.Sel_Pro)O.Sel_Pro:自身安全配置泄露直接對抗了T.Sel_Pro。7欺騙攻擊(T.Spoof)未授權(quán)節(jié)點(diǎn)可能使用有效的網(wǎng)絡(luò)地址來嘗試訪問網(wǎng)絡(luò)，即客戶通過獲得的網(wǎng)絡(luò)地址來偽裝成已授O.Ctrl_I&.A:受控標(biāo)識和鑒別0.Ctrl_I&A通過強(qiáng)制執(zhí)行標(biāo)識和鑒別增加了攻擊者獲取網(wǎng)絡(luò)交換機(jī)訪問權(quán)的困難，從而相應(yīng)增O.Detect_Connection:檢測非授權(quán)連接0.Detect_Connection通過對未授權(quán)連接的檢測阻止了攻擊者企圖獲取網(wǎng)絡(luò)地址的可能，從而對抗O.Mgmt_I&.A:管理標(biāo)識和鑒別0.Mgmt_I&A通過強(qiáng)制執(zhí)行標(biāo)識和鑒別增加了攻擊者獲取網(wǎng)絡(luò)交換機(jī)訪問權(quán)的困難，從而相應(yīng)O.Protect_Addresses通過確保傳輸和接收地址的保密性和完整性，阻止了攻擊者企圖獲得合法的GB/T21050—20198對管理端口的非授權(quán)訪問(T.Unauth_Mgmt_Access)攻擊者或?yàn)E用特權(quán)的網(wǎng)絡(luò)配置管理員可能通過Telnet、RMON或其他方式訪問管理端口，從而重O.Access_Control:網(wǎng)絡(luò)訪問控制0.Access_Control通過執(zhí)行網(wǎng)絡(luò)訪問控制機(jī)制對特權(quán)進(jìn)行了限制從而對抗了T.Unauth_Mgmt_Ac