标准规范下载简介
TAF-WG9-AS0038-V1.0.0:2019 网络关键设备安全技术要求 交换机设备.pdf网络关键设备安全技术要求
H 合 言 网络关键设备安全技术要求交换机设备 范围 规范性引用文件 术语和定义: 3.1交换机switch 3.2恶意程序malwar 3.3预装软件presetsoftware 3.4故障隔离faultisolation 安全技术要求 4.1标识安全 4.2可用性 4.3漏洞与缺陷管理安全 ........................ ......... 4.4软件更新安全.. ............ ....... 4.5默认状态安全 4.6抵御常见攻击能力 4.7身份标识与鉴别 4.8访问控制安全 4.9日志审计安全 4.10通信安全 4.11数据安全 录A(规范性附录) 标准修订历史 录B(资料性附录) 用户信息说明 参考文献
GB/T 351-2019 金属材料 电阻率测量方法.pdf 言 网络关键设备安全技术要求交换机设备 范围. 规范性引用文件 术语和定义: 3.1交换机switch 3.2恶意程序malware 3.3预装软件presetsoftware 3.4故障隔离faultisolation 安全技术要求 4.1标识安全 4.2可用性 4.3漏洞与缺陷管理安全 ........................ ........ 4.4软件更新安全.. ......... .. 4.5默认状态安全 4.6抵御常见攻击能力 4.7身份标识与鉴别 4.8访问控制安全 4.9日志审计安全 4.10通信安全 4.11数据安全 录A(规范性附录) 标准修订历史 录B(资料性附录) 用户信息说明 考文献
关键设备安全技术要求交换机
本标准对列入网络关键设备的交换机设备在标识安全、身份标识与鉴别安全、访问控制安全、日志 审计安全、通信安全、数据安全等方面提出了安全技术要求。 本标准适用于在我国境内销售或提供的交换机设备,也可为网络运营者采购交换机设备时提供依 据,还适用于指导交换机设备的研发、测试等工作。
3.1交换机 switch
在联网的设备之间,一种借助内部交换机制来提供连通性的设备。交换机不同于其他局域网互联设 备(例如集线器),交换机中使用的技术是以点对点为基础建立连接,这确保了网络通信量只有对有地 址的网络设备可见,并使几个连接能够并存。交换技术可在开放系统互联参考模型的第二层或第三层实 现。
3.2恶意程序malware
种企图通过执行非授权过程来破坏信息系统机密性、完整性和可用性的软件或固件。常见的恶意 程序包括病毒、蠕虫、木马或其它影响设备安全的程序代码。恶意程序也包括间谍软件和广告软件。
3.3预装软件presetsoftware
设备出厂时安装的软件和正常使用必须的配套软件,包括固件、系统软件、应用软件、配套的管理 软件等。
.4 故障隔离 fault i
交换机设备: a)硬件整机和主控板卡、业务板卡等主要部件应具备唯一性标识; b) 应对软件/固件、补丁包/升级包的版本进行唯一性标识,并保持记录; c)应标识每一个物理接口,并说明其功能,不得预留未向用户声明的物理接口; d)在用户登录通过认证前的提示信息应避免包含设备软件版本、型号等敏感信息,例如可通过支 持关闭提示信息或者用户自定义等功能实现
交换机设备: a)部分关键部件,如主控板卡、交换网板、电源、风扇等应支持穴余功能,在设备运行状态异常 可能影响网络安全时,可通过启用备用部件防范安全风险; b)部分关键部件,如主控板卡、交换网板、业务板卡、电源、风扇等应支持热插拔功能: c)软件/固件、配置文件等应支持备份与恢复功能; d)支持故障的告警、定位等功能: e)支持部分关键部件,如主控板卡、交换网板、业务板卡、电源、风扇等故障隔离功能: f)应提供独立的管理接口,实现设备管理和数据转发的隔离。
4.3漏洞与缺陷管理安全
a)部分关键部件GB/T 36478.3-2019标准下载,如CPU、系统软件的存储部件等应不存在已知的高危和中危漏洞或具备有效措 施防范硬件漏洞安全风险 预装软件应不存在已公布的高危和中危漏洞或具备有效措施防范漏洞安全风险; 第三方组件或部件存在暂未修复的已知漏洞或安全缺陷时,应明确告知用户风险及防范措施; d)预装软件、补丁包/升级包应不包含恶意程序; 应不存在未向用户声明的功能和隐蔽通道
a)对于更新操作,应仅限于授权用户可实施,应不支持自动更新; b 对于存在导致设备重启等影响设备运行安全的实施更新操作应由用户确认后实施; C 应支持用户对软件版本降级使用; d 应支持软件更新包完整性校验; e) 应支持软件更新包签名机制,抗抵赖攻击,签名应使用安全性较高的算法,如SHA256,避负 使用MD5等安全性较差的算法; 更新失败时设备应能够恢复到升级前的正常工作状态; 对于采用远程更新的,应支持非明文通道传输更新数据; h 应具备稳定可用的渠道提供软件更新源。
4.6抵御常见攻击能力
QX/T 431-2018 雷电防护技术文档分类与编码4. 7 身份标识与鉴别
交换机设备: 应不存在未向用户公开的身份鉴别信息; 应对访问控制主体进行身份标识和鉴别; C 用户身份标识应具有唯一性; d 应支持登录用户空闲超时锁定或自动退出等安全策略,以防范会话空闲时间过长导致的安全风 险; e) 对身份鉴别信息,如用户登录口令、SNMP团体名等应使用安全强度较高的密码算法,如AES、 SM3/4、SHA2等,来保障身份鉴别信息存储的机密性,避免使用baSe64、DES、SHA1等安全强 度弱的密码算法; f 对于使用口令鉴别方式的设备,用户首次管理设备时,应提示并允许用户修改默认口令或设置 口令;
交换机设备: a)应不存在未向用户公开的身份鉴别信息; b)应对访问控制主体进行身份标识和鉴别; 用户身份标识应具有唯一性; d 应支持登录用户空闲超时锁定或自动退出等安全策略,以防范会话空闲时间过长导致的安全风 险; e 对身份鉴别信息,如用户登录口令、SNMP团体名等应使用安全强度较高的密码算法,如AES、 SM3/4、SHA2等,来保障身份鉴别信息存储的机密性,避免使用baSe64、DES、SHA1等安全强 度弱的密码算法; f) 对于使用口令鉴别方式的设备,用户首次管理设备时,应提示并允许用户修改默认口令或设置 口令;