GB21050-2007 信息安全技术 网络交换机安全技术要求

本标准定义了网络交换机应在生产商安全目标文档中包括的安全要求的最小集合。系统集成商和信息系统安全工程师可以利用本标准确认现有交换机的应用领域，以提供更为全面的安全方案，本标准规定了交换机应满足的用于信息保护的安全要求。 满足本标准的交换机，可以为组织提供自行处理的额外安全机制，以加强其对自身信息的保障。额外的安全机制包括但不限于以下几种：防火墙、网关、加密。另外，本标准适用于以下三种可能出现的管理情形，概括总结如下： a）购买者本人管理自己的设备。 b）设备不是由购买者而是由网络供应商或商业组织管理。设备被安放在网络供应商或商业组织的场所。 e）仅仅从提供商那里购买服务。 为正确执行交换机的管理功能、需要网络管理系统的支持。网络管理系统的连接参数是预先设置的，它是执行操作功能应有的一部分，但在本标准中不作为交换机的一部分。 本标准定义的要求适用于保护日常的私有敏感信息，此信息是与管理和控制相关的信息，不包括对通过交换机的用户数据的保护。本标准列出了交换机所需处理的假设、威胁和组织安全策略，并定义了交换机及其环境的独立的安全目的。最后，本标准提供了安全环境、安全目的和安全要求的对应关系。 附录 A 描述了这些对应关系。 范围 本标准规定了网络交换机EAL3级的安全技术要求，主要包括网络交换机的安全假设、威胁和组织策略等安全环境，以及网络交换机 EAL.3 级的安全目的、安全功能要求和安全保证要求。 本标准适用于网络交换机的研制、开发、测试、评估和采购。 本标准主要适用于信息系统安全工程师、产品生产商、安全产品评估者。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准，GBT 18336.1-2001 信息技术 安全技术 信息技术安全性评估准则 第 1 部分：简介和一般模型（idt ISO/IEC 15408-1；1999） GB/T 18336.2--2001 信息技术 安全技术 信息技术安全性评估准则 第 2 部分：安全功能要求（idt ISO/IEC 15108-2：1999） GB，T 18336.3-2001 信息技术 安全技术 信息技术安全性评估准则 第3 部分：安全保证要求（idt ISO/IEC 15408-3：1999） 3 术语、定义、缩略语和约定 3.1 术语和定义 GB/T 18336-2001确立的以及下列术语和定义适用于本标准。 3.1.1客户端 client发起或接受数据传送的源。通过网络交换机的数据的源发者。 3.1.2网络审计管理员 network audit management operator仅具有查看权限，负责收集、分析和查看网络行为数据的网络管理角色。如：查看网络交换机配置和信息流策略等。 3.1.3网络配置管理员 network management administrator受到严格限制的具有部分网络管理能力的管理角色，可以执行网络交换机管理功能的子集，如：配置管理网络系统，利用权限解决网络故障等。该管理员同时具备网络审计管理员的能力。 3.1.5网络交换机 network switch网络中连接各个节点或其他网络设备的设备，提供了开放式系统互联模型二层的逻辑路径，基于数据链路层信息转发数据包，能够基于目的地址过滤。 3.1.6节点 node计算机网络系统中可以对信息进行存储或转发的设备。 3.1.7可信信道 trusted channel一种在网络交换机之间执行特定功能的连接，用来传输信息的控制信令、标识和鉴别数据等。 3.1.8可信路径 trusted path一条网络管理连接，允许通过该路径传输控制信息。可信路径的一端是网络管理端，另一端是被管理的网络交换机。 3.1.9可信源 trusted source能够被标识和鉴别的源或节点，从该源或节点发出的信息的完整性能够被核实和验证。 网络交换机是一种连接网络的设备。从技术角度看，网络交换机运行在 OSI 模型的数据链路层或网络层。虽然 ATM、IP、光交换有各自不同的特性，但是它们的处理和控制方式是相似的。可信路径建立在网络交换机和管理系统之间，可信信道建立在网络交换机之间，通过可信路径可进行管理信息的交换，通过可信信道可进行网络控制信息（如，许可动态连接建立和包路由选择信息）的交换，网络控制信息由特定的请求和指令组成，如目的地址、路由选择控制和信令信息等，在ATM环境下，控制信息可以包括ATM UNI，NNI信令和PNNI路由选择。在IP环境下，控制信息可以包括OSPF，BGP RSVP 和 LDP异步传输模式是一种面向连接的传输方法，它将传送的信息分成固定的 53 个字节长度的信元。建立连接的信元传输允许有受控延迟，流量控制可以使用固定优先级或尽力传输方式。IP路由选择是以无连接方式传输包含在变长包内的信息。在主机之间，数据传输通常使用尽力传输方式，但不保证一定传输到目的主机。由于在传输之前没有建立逻辑路径，因此每个IP包可能动态地通过多个不同的路径。网络交换机基于指定的路由选择协议和网络状态动态的决定最佳路径。光网络交换机可作为多种服务的聚集器，如提供多服务平台、多波段平台。 对于光流量，至少有两种分类传输方法。一种是将流量送入完全不同的通信信道，通过建立互不影响的信道，来提供光核心的高速管道带宽，如：一个信道分配给了高优先级流量，一个信道分配给了延迟敏感数据，另一个信道分配给了尽力传输数据，等等。另一种分类传输的方法是所有类型的流量共享一个通用的通信信道，这意味着，沿着流量路径，每一个在实现队列中的网络元素都必须快速地执行分类方法。比较典型的是设备接入层执行的流量分类过程·它使用一种标记指示服务传输层该如何处理该流量，使得处在网络边界位置的光交换机知道在碰撞发生时该如何排列和区分流量的优先级。使用这种方法、不需要定义每种类型分配多少带宽、带宽是共享的并且被动态地分配。 网络交换机一般包括接口卡、端口、软件，以及驻留在其上的数据等。与网络交换机相关的所有电路都属于网络交换机的一部分，其中包括管理链路。虽然网络管理系统是必需的部件，但是它不属于本标准的规范范围，而且连接到网络交换机的其他网络部件也不属于本标准的规范范围。例如，交叉连接的数字传送系统、光传送系统、加密装置等。然而，网络交换机可以支持加密或具有连接加密装置的接口，用于加密用户数据、管理和控制信息。网络交换机具有保护网络管理和进行网络控制的功能，允许通过网络可靠传递用户信息，并具有可靠的质量和及时性。因此，本标准规范的网络交换机涉及了网络控制和管理信息。 网络控制信息包括在网络交换机之间的路由选择和信令信息。控制信息沿着路由、路径和信道控制流量传输，流量控制依赖于服务质量和丢弃信元或包的优先次序。通常控制信息可能包含在ATM信元或IP包头内，也可能在IP包的尾部。