信息安全技术网络交换机安全技术要求(GB-T 21050-2019).docx

《信息安全技术网络交换机安全技术要求(GB-T 21050-2019).docx》由会员分享，可在线阅读，更多相关《信息安全技术网络交换机安全技术要求(GB-T 21050-2019).docx（59页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS35.040L 80中华人民共和国国家标准GB/T 21050XXXX代替GB/T 21050-2007信息安全技术网络交换机安全技术要求 Information security techniquesSecurity requirements for network switch点击此处添加与国际标准一致性程度的标识（本稿完成日期：2017.11）XXXX - XX - XX发布XXXX - XX - XX实施GB/T XXXXXXXXX目次前言II1范围12规范性引用文件13术语、定义和缩略语13.1术语和定义13.2缩略语24网络交换机描述25安全问题定义35.1资产35.2威胁3

2、5.3组织安全策略55.4假设66安全目的66.1TOE安全目的66.2环境安全目的96.3安全目的基本原理97安全要求237.1扩展组件定义237.2安全功能要求237.3安全保障要求347.4安全要求基本原理45附录A（资料性附录）组件依赖关系53参考文献56前言本标准按照GB/T 1.1-2009标准化工作导则 第1部分：标准的结构和编写给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准代替GB/T 210502007信息安全技术 网络交换机安全技术要求（评估保障级3）。本标准与GB/T 210502007相比，主要变化如下：标准名称变更

3、为信息安全技术 网络交换机安全技术要求；本标准去掉了引言；第1章对使用范围进行了修改，并增加了关于密码算法的约定；第2章增加了对术语标准的引用；第3章增加了“可信IT产品”术语,删掉了“网络交换机”术语；第4章修改了网络交换机的描述；第5章将安全环境修改为安全问题定义，且归并和修改了假设、威胁、组织安全策略；第6章修改和删减了安全目的；第7增加了扩展组件，根据GB/T 183362015增删了安全要求；基本原理提到正文中。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：中国信息安全测评中心、吉林信息安全测评中心、华为技术有限公司、清华大学、福建星网锐捷网络

4、有限公司、网神信息技术（北京）股份有限公司。本标准主要起草人：李凤娟、张宝峰、刘晖、张翀斌、贾炜、张骁、庞博、刘昱函、唐喜庆、蒋显岚、刘聘婷、钟建伟、刘海利、叶晓俊、李伟、李玲、徐涛。本标准所代替标准的历次版本发布情况为：GB/T 210502007。IIGB/T XXXXXXXXX信息安全技术网络交换机安全技术要求1 范围本标准规定了网络交换机达到EAL2和EAL3所要求的安全功能要求及安全保障要求，涵盖了安全问题定义、安全目的、安全要求等内容。该标准适用于网络交换机的测试、评估和采购，也可用于指导该类产品的研制和开发。本标准凡涉及密码算法的相关内容，按国家有关法规实施；凡涉及到采用密码技术

5、解决保密性、完整性、真实性、不可否认性需求的须遵循密码相关国家标准和行业标准。 2 规范性引用文件下列文件对本文件的应用是必不可少的。凡注日期或版次的引用文件，其后的任何修改（不包括勘误的内容）或修订版本都不适用于本标准。凡不注日期或版次的引用文件，其最新版本适用于本标准。GB/T 18336（所有部分）信息技术 安全技术 信息技术安全评估准则GB/T 25069-2010 信息安全技术 术语3 术语、定义和缩略语3.1 术语和定义GB/T 25069-2010和GB/T 18336.1界定的以及下列术语和定义适用于本文件。3.1.1 可信IT产品trusted IT product不属于TO

6、E的其他IT 产品，它有与该TOE协调管理的安全功能要求，且假定其可正确执行自己的安全功能要求。3.1.2 可信信道 trusted channel一种通信手段，通过该手段，TSF同另一个可信IT产品能够在必要的信任基础上进行通信。3.1.3 可信路径 trusted path一种通信手段，通过该手段，用户和TSF能够在必要的信任基础上进行通信。3.1.4 可信源 trusted source能够被标识和鉴别的源或节点，从该源或节点发出信息的完整性能够被核实和确认。3.1.5 客户 client向另一方请求服务的一方GB/T 11457-2006，定义2.214。3.1.6 网络审计管理员 n

7、etwork audit management operator网络审计管理员仅具有查看权限，是负责收集、分析和查看网络行为数据的网络管理角色。如：查看网络交换机配置和信息流策略等。3.1.7 网络配置管理员network management administrator网络配置管理员是受到严格限制的具有部分网络管理能力的管理角色，可以执行网络交换机管理功能的子集，如：配置管理网络系统，利用权限解决网络故障等。该管理员不应具备网络审计管理员的能力。3.1.8 网络安全管理员 network security administrator网络安全管理员具有所有管理级别的访问权限，可以访问网络交换机

8、的各个区域，同时具备网络配置管理员和网络审计管理员的能力，如：创建、修改和存取访问控制列表、加载密钥、限制应用程序执行、以及维护网络管理审计日志等能力的网络管理角色。3.1.9 节点 node计算机网络系统中可以对信息进行存储和（或）转发的设备。3.2 缩略语 下列缩略语适用于本文件。BGP：边界网关协议（Border Gateway Protocol）EAL：评估保障级（Evaluation Assurance Level）HTTP：超文本传输协议（Hyper Text Transfer Protocol）IP：互联网协议（Internet Protocol）IT：信息技术（Informat

9、ion Technology）LDP：标签分发协议（Label Distribution Protocol）MD5：报文摘要算法（Message Digest 5）OSI：开放系统互联参考模型（Open System Interconnect）OSPF：开放式最短路径优先（Open Shortest Path First）RSVP：资源预留协议（Resource Reservation Protocol）RMON：远距离监控（Remote Monitoring）SNMP：简单网络管理协议（Simple Network Management Protocol）ST：安全目标（Target of

10、Evaluation）TOE：评估对象（Target of Evaluation）TSF：TOE安全功能（TOE Security Function）4 网络交换机描述网络交换机是一种连接网络的设备，用于连接各个节点或其他网络设备，能够在通信系统中完成信息交换功能的设备。从技术角度看，网络交换机运行在OSI 模型的数据链路层、网络层甚至传输层。虽然IP、光交换有各自不同的特性，但是它们的处理和控制方式是相似的。可信路径建立在网络交换机和管理系统之间，可信信道建立在网络交换机与可信IT实体之间，通过可信路径可进行管理信息的交换，通过可信信道可进行网络控制信息（如，许可动态连接建立和包路由选择信息

11、）的交换。网络控制信息由特定的请求和指令组成，如目的地址、路由选择控制和信令信息等。在IP环境下，控制信息可以包括OSPF 、BGP、RSVP和LDP。网络交换机一般包括接口卡、端口、软件，以及驻留在其上的数据等。与网络交换机相关的所有电路都属于网络交换机的一部分，其中包括管理链路。虽然网络管理系统是必需的部件，但是它不属于本标准的规范范围，而且连接到网络交换机的其他网络部件也不属于本标准的规范范围。例如，交叉连接的数字传送系统、光传送系统、加密装置等。然而，网络交换机可以支持加密或具有连接加密装置的接口，用于加密用户数据、管理和控制信息。网络交换机具有保护网络管理和进行网络控制的功能，允许通

12、过网络可靠传递用户信息，并具有可靠的质量和及时性。网络交换机的主要安全特性包括安全审计、安全管理、用户数据保护、用户鉴别和认证、加密支持、数据传输和存储安全等。图1为网络交换机典型应用环境。图1网络交换机典型应用环境5 安全问题定义5.1 资产本标准中保护的资产包括以下方面：审计数据（审计数据由网络交换机执行安全审计功能时产生）；认证数据（用于用户和外部实体访问交互时的鉴别和认证）；配置数据（网络交换机的配置信息、网络连接信息、固件更新数据等）；密码数据（用于交换机实施数字签名或加解密的数据，如密钥等）；表数据（用于网络转发和路由相关的列表，如网络层路由表、链路层地址解析表、链路层MAC地址表

13、、BGP/OSPF数据库等数据）。应用说明：ST编写者应根据具体的应用情况细化对资产的描述。5.2 威胁5.2.1 通信分析（T.Analysis）攻击者可能通过收集大量数据以及数据的源、目的地址和发送数据的日期、时间进行分析。5.2.2 审计机制失效（T.Audit_Compromise）恶意用户或进程可能修改TOE审计策略，使TOE审计功能停用或失效、审计记录丢失或被篡改，也有可能通过审计数据存储失效来阻止未来审计记录被存储，从而掩盖用户的操作。5.2.3 未授权网络访问并获取数据（T.Capture）攻击者可能通过窃听、接入传输线或用其它方式获取通信信道上传输的数据。5.2.4 节点泄漏

14、（T.Compromised_Node）修改网络交换机配置文件或路由表使得节点变得不安全，导致网络交换机运行异常、网络交换机安全功能失效、或流量可能被重路由经过未授权的节点。5.2.5 隐通道（T.Covert）隐通道隐藏在系统内部，允许以违背系统安全策略的形式传送信息的通信通道，其目的是用于不被监控地传送信息。5.2.6 密码分析（T.Cryptanalytic）攻击者为了复原信息内容而去尝试进行对已加密数据的密码分析。5.2.7 拒绝服务（T.Denial） 攻击者通过执行指令、发送超限额的高优先级流量数据、或执行其他操作，在网络上造成不合理的负载，造成授权客户得不到应有的系统资源，即导致

15、拒绝服务。 5.2.8 部件或电源失效（T.Fail） 一个或多个系统部件或电源失效可能造成重要系统功能破坏和重要系统数据的丢失。5.2.9 硬件、软件或固件的缺陷（T.Flaw）硬件、软件或固件的缺陷导致网络交换机及其安全功能的脆弱性。5.2.10 管理员网络授权的滥用（T.Hostile_Admin） 网络配置管理员或网络安全管理员有意滥用授予的权限，进行不适当地存取或修改数据信息，例如：配置数据、审计数据、口令文件、或误处理其他的敏感数据文件。5.2.11 管理错误（T.Mgmt_Error） 拥有网络配置管理员角色的人员可能无意地不恰当存取、修改了数据信息，或误用资源。 5.2.12

16、修改协议（T.Modify） 攻击者未经授权的修改或控制协议（例如：路由选择、信号等协议）。5.2.13 网络探测（T.NtwkMap） 攻击者可能进行网络探测来获得节点地址、路由表信息和物理位置。 5.2.14 重放攻击（T.Replay_Attack） 攻击者通过记录通信会话，并重放它们伪装成已验证的客户非法获取网络交换机的访问权。管理信息也可能被记录和重放，从而用于伪装成已验证的网络配置管理员或网络安全管理员来得到对网络管理资源的访问权。5.2.15 配置数据泄漏（T.Sel_Pro）攻击者可能读、修改或破坏网络交换机的安全配置数据。5.2.16 欺骗攻击（T.Spoof） 未授权节点可

17、能使用有效的网络地址来尝试访问网络，即客户通过获得的网络地址来伪装成已授权的用户，企图得到网络交换机资源。5.2.17 对管理端口的非授权访问（T.Unauth_Mgmt_Access） 攻击者或滥用特权的网络配置管理员可能通过Telnet、RMON或其他方式访问管理端口，从而重新配置网络、引起拒绝服务、监视流量、执行流量分析等。 5.3 组织安全策略5.3.1 可核查性（P.Accountability）使用网络交换机传送信息的组织、拥有网络配置管理员角色的人员和开发者应该对他们的行为活动负责。5.3.2 审计管理行为（P.Audit_Admin）网络管理系统应该能产生和传送审计记录，审计记

18、录应提供和包括充足的信息，用来确定在事件发生时的管理员、管理时间和管理行为；组织应周期性地审核审计记录。5.3.3 操作员和节点的鉴别（P.Authentication）网络交换机应能支持对网络审计管理员、网络配置管理员和网络安全管理员的鉴别，并且网络交换机也应支持对等节点的鉴别。5.3.4 网络可用性（P.Availability）应能保证网络资源对许可客户的任务需求和传送信息需求能够持续满足。5.3.5 信息的保密性（P.Confidentiality）统计数据、配置信息和连接信息应保持实时和存储状态下的保密性。为了保持其保密性，网络交换机应能够支持加密装置的加解密能力或接口支持能力。5.

19、3.6 默认配置（P.Default_Config）网络交换机的默认设置应能防止网络交换机安全性功能的削弱或失效。鉴别机制、鉴别失败、超时锁定、管理口的访问控制等安全功能应是默认生效的。 5.3.7 内容的完整性（P.Integrity） 管理和控制信息在传输期间应保持其内容的完整性，同时，所有信息要保持其储存状态下的完整性。 5.3.8 互操作性（P.Interoperability）网络交换机应能与其他厂商的网络交换机互连互通。在网络交换机中要实现标准化的，非专有的协议（如路由选择、信令协议等）。厂商可以选择性地实现一些专有协议，但为了互通的目的厂商也应在网络交换机中实现标准协议。 5.3

20、.9 故障通告（P.Notify）网络交换机及其安全环境应具备（或在其他设备配合下具备）提醒和报警能力，例如：通过SNMP第3版的陷门（trap）机制发送部件、固件、硬件或软件的失效通知。 5.3.10 对等节点（P.Peer） 安全的节点应有接受来自信任和不信任节点流量的能力。为了保护信息，流量将会在信任和不信任的节点之间被过滤。 5.3.11 可靠传输（P.Reliable_Transport） 网络管理和控制应实现特定的可靠传送和检错机制。 5.3.12 网络可生存性与恢复（P.Survive） 网络资源应能够从恶意的破坏尝试中恢复，同时必须具有从传输错误中恢复的能力。网络必须能抵御硬件

21、或软件失效，或具有在合理时间内复原的能力。用于恢复的任何环境都应被记录下来。 5.3.13 硬件、软件和固件的完整性（P.SysAssur） 应提供在初始化、软硬固件升级时保持其完整性的功能和规程，确认已接收的网络交换机信息文件、异常通知、补丁程序、升级文件等的完整性，上述文件或信息必须有实时的分发基础。应在初始安装和软件升级和固件交换时确保其完整性。 5.4 假设5.4.1 物理保护（A.Physical）网络交换机应放置于受控访问的物理环境内，以避免被未经授权者物理访问。该环境应提供不间断电源、温湿度控制等措施确保交换机能可靠运行。 5.4.2 可信人员（A.Noevil & Train）

22、网络交换机授权管理员应是认真细心、负责任的，是可以信赖的，能够遵循所有管理员指南的规定，但是不可避免工作中可能会出错。管理员应该受到合格的培训，具有正确使用、安装、配置和维护网络交换机、网络交换机安全功能和网络组件的能力。5.4.3 无通用性（A.No_General_Purpose）除用于运行、管理和支持TOE所需的服务外，假定在TOE上无法获得通用的计算能力（如编译器或用户应用）。6 安全目的6.1 TOE安全目的 6.1.1 网络访问控制（O.Access_Control）网络交换机应实现访问控制策略，访问控制策略基于但不限于网络交换机的任务（只处理可信任的或不可信任的，或者处理混合流量

23、）、网络交换机的标识（由一个机构、网络提供者所有，同时也可由许多机构或客户所有）、源和目标地址、端口层次的过滤（如Telnet、SNMP）等。6.1.2 带标识的审计记录（O.Admin_Audit）网络配置管理员和网络安全管理员的活动应被审计，审计记录的存储和维护应符合安全策略。6.1.3 安全风险报警通知（O.Alarm）网络交换机应有发现元件、软件或固件失败或错误的能力。网络交换机应提供安全相关事件和失败或错误提示的告警能力。6.1.4 管理属性（O.Attr_Mgt）授权管理员应管理控制策略，只赋予授权网络配置管理员必需的权利。管理人员应在通过标识与鉴别后承担其特权角色。 6.1.5

24、审计数据保护（O.Audit_Protection）网络交换机必须安全存储审计数据，并具有对存储的审计事件进行保护能力。6.1.6 审计记录查阅（O.Audit_Review）所有的审计记录都应定期地被查阅，授权管理员应定期地查阅网络流量审计记录。 6.1.7 网络配置保密性（O.Cfg_Confidentiality）网络交换机应保证统计数据、配置和连接信息在实时和存储状态下不会泄露。6.1.8 配置完整性（O.Cfg_Integrity）网络交换机应保证审计文件、配置、连接信息和属于网络交换机的其他信息的完整性。6.1.9 管理配置数据（O.Cfg_Manage）应有获取和保存网络交换机的

25、配置和连接信息的能力，必须保证存储的完整性，能进行系统部件的鉴别与系统连接的鉴别。 6.1.10 加密机制支持（O.Cryptography）为了支持保密性，网络交换机必须支持加密机制，该加密机制要支持客户注册、密钥管理和信道隔离在内的服务，其使用的密码算法必须符合国家、行业或组织要求的密码管理相关标准或规范。注： 如果TOE所使用的密码算法不是由TOE自身实现，则应将此安全目的移至ST的环境安全目的中。6.1.11 控制数据的可信通道（O.Ctrl_Channel）提供对等网络交换机之间传输控制数据的完整性和保密性；提供独立的可信信道。6.1.12 受控标识和鉴别（O.Ctrl_I&A）只有

26、在请求连接的目标地址、标识、鉴别和权限与控制策略一致时，才能连接到网络交换机。 6.1.13 检测非授权连接（O.Detect_Connection）网络交换机应能检测并告警未经授权的连接。6.1.14 故障发生时安全状态的保存（O.Fail_Secure）网络交换机应能保存部件失效或停电事件时的系统安全状态。 6.1.15 管理标识和鉴别（O.Mgmt_I&A）管理人员应在通过标识和鉴别后才能承担其特权角色6.1.16 管理数据的可信路径（O.Mgmt_Path）应保证网络交换机和网络管理站之间传输信息的完整性和保密性，应提供独立的可信信道。6.1.17 安全修复和补丁（O.Patches）

27、网络交换机应安装最新的补丁及时进行安全修复。 6.1.18 业务优先级（O.Priority_Of_Service）网络交换机应支持对所有的流量分配优先级，控制资源访问方式，以防止低级别服务干扰或延迟高级别的服务。 6.1.19 地址保护（O.Protect_Addresses）网络交换机应保护已授权组织内部地址的保密性和完整性。在网络交换机收到数据后，应能正确地解析出经过授权的源地址和目的地址。 6.1.20 协议（O.Protocols）在网络交换机中应实现能与其他厂商的网络交换机互操作的标准协议，并在网络交换机中实现可靠交付和错误检测的协议。 6.1.21 避免重放攻击（O.Replay

28、_Prevent）网络交换机应具有防止未经授权的代理伪装成经过授权的代理能力，保护其自身免受重放攻击。6.1.22 网络交换机的自身防护（O.Sel_Pro）网络交换机必须做好自身防护，以对抗非授权用户对网络交换机安全功能的旁路、抑制或篡改的尝试。6.1.23 自检（O.Self_Test）网络交换机应具备对自身的检测能力，以确保网络交换机的安全功能能够正确运行。6.1.24 带标识的审计流量记录（O.Traf_Audit）审计记录应包括日期、时间、流量异常现象、节点标识符和负责传输数据的组织。网络交换机应保证所有的审计记录的完整性。 6.1.25 系统数据备份的完整性和保密性（O.Trust

29、_Backup）应确保网络交换机的网络文件和配置参数有冗余备份。备份文件应以符合网络安全策略的方式存储，以便保证文件的完整性和保密性，另外，应能由备份文件充分地复现网络交换机的配置，以用于在出现失败事件或安全泄密的情况下恢复网络交换机的功能；网络文件可自动地复制备份到另外的管理站。 6.1.26 可信的恢复（O.Trusted_Recovery）应确保网络交换机在失效或错误后恢复到没有安全泄密的安全状态，应确保失效部件更替后，系统的状态恢复，并且保证不会引发错误或造成其它安全缺陷。6.1.27 未用区域（O.Unused_Fields）网络交换机应保证协议头内所有未被使用域的数值都被恰当地设定

30、。 6.1.28 更新验证（O.Update_Validation）网络交换机应具备对更新数据的验证能力，以确保更新数据是可信任的。6.2 环境安全目的6.2.1 物理保护（OE.Physical）网络交换机及其连接的外围设备（如接入的控制台和存储卡等）应放置在于受控访问的物理环境内，以避免被未经授权者物理访问和破坏，同时运行环境提供稳定的电源防止掉电发生。 6.2.2 可信人员（OE.Personnel）应雇佣和使用可信赖和有能力的员工。操作和管理人员应经过相应的技能培训。6.2.3 无通用性（OE.No_General_Purpose）除用于运行、管理和支持TOE所需的必要服务外，确保在T

31、OE上无法获得其他通用的计算能力。6.3 安全目的基本原理6.3.1 安全目的基本原理概述TOE的安全目的能应对所有可能的威胁、假设和组织安全策略，即每一种威胁、假设和组织安全策略都至少有一个或一个以上安全目的与其对应，因此是完备的。每一个安全目的都有相应的威胁、假设和组织安全策略与之对应，这证明每个安全目的都是必要的；每一个威胁、假设和组织安全策略都有相应的一个或多个安全目的与之对应，因此说明了安全目的是充分的。6.3.2 威胁对应安全目的表1说明了网络交换机的安全目的能应对所有可能的威胁表1 威胁与TOE安全目的的对应关系序号威胁安全目的1T.AnalysisO.Ctrl_Channel，

32、O.Detect_Connection，O.Mgmt_Path，O.Protect_Addresses，2T.Audit_CompromiseO.Audit_Protection3T.CaptureO.Ctrl_Channel，O.Detect_Connection，O.Mgmt_Path表1（续）序号威胁安全目的4T.Compromised_NodeO.Audit_Review，O.Priority_of_Service，O.Protect_Addresses，O.Traf_Audit，O.Trusted_Recovery5T.CovertO.Unused_Fields6T.Cryptana

33、lyticO.Ctrl_Channel，O.Mgmt_Path7T.DenialO.Ctrl_Channel，O.Priority_of_Service，O.Replay_Prevent，O.Traf_Audit8T.FailO.Alarm，O.Fail_Secure，O.Trust_Backup，O.Trusted_Recovery，O.Update_Validation9T.FlawO.Lifecycle，O.Patches，O.Update_Validation，O.Self_Test10T.Hostile_AdminO.Admin_Audit，O.Audit_Review，O.Mgmt

34、_I&A，O.Trust_Backup，O.Trusted_Recovery11T.Mgmt_ErrorO.Admin_Audit，O.Cfg_Manage，O.Trust_Backup，O.Trusted_Recovery12T.ModifyO.Attr_Mgt，O.Ctrl_Channel，O.Trusted_Recovery，O.Update_Validation13T.NtwkMapO.Ctrl_Channel，O.Detect_Connection，O.Protect_Addresses，O.Mgmt_Path14T.Replay_AttackO.Access_Control，O.C

35、trl_Channel，O.Ctrl_I&A，O.Detect_Connection，O.Mgmt_I&A，O.Replay_Prevent15T.Sel_ProO.Sel_Pro16T.SpoofO.Ctrl_I&A，O.Detect_Connection，O.Mgmt_I&A，O.Protect_Addresses17T.Unauth_Mgmt_AccessO.Access_Control，O.Admin_Audit，O.Audit_Review，O.Detect_Connection，O.Mgmt_I&A，O.Trust_Backup，O.Trusted_Recovery6.3.2.1

36、通信分析（T.Analysis）攻击者可能收集源和目标地址、大量数据和发送数据的日期、时间。基本原理： O.Ctrl_Channel：控制数据的可信通道O.Ctrl_Channel减轻T.Analysis的威胁，是通过保持控制信息的保密性以及支持加密机制来实现。O.Detect_Connection：检测非授权连接O.Detect_Connection抵抗T.Analysis的威胁，是通过网络交换机所具备的检测和警报未授权连接的能力来实现。O.Mgmt_Path：管理数据的可信路径O.Mgmt_Path抵抗T.Analysis的威胁，是通过保证所有管理数据的完整性和保密性来实现。O.Prote

37、ct_Addresses：地址保护O.Protect_Addresse抵抗T.Analysis的威胁，是通过保护资源和接受的授权地址的保密性和完整性，从而防止攻击者发现真实地址来实现。6.3.2.2 审计机制失效（T.Audit_Compromise）恶意用户或进程可能修改TOE审计策略，使TOE审计功能停用或失效、审计记录丢失或被篡改，也有可能通过审计数据存储失效来阻止未来审计记录被存储，从而掩盖用户的操作。基本原理：O.Audit_Protection：审计数据保护O.Audit_Protection抵抗T.Audit_Compromise的威胁，是通过对审计数据的保护防止审计机制失效来实

38、现。6.3.2.3 未授权网络访问并获取数据（T.Capture）攻击者可能偷听、接入传输线、或用其它方式获取通信信道上传输的数据。基本原理：O.Ctrl_Channel：控制数据的可信通道O.Ctrl_Channel抵抗T.Capture的威胁，是通过保证控制信息的保密性和完整的持续力来实现。O.Detect_Connection：检测非授权连接O.Detect_Connection抵抗T.Capture的威胁，是通过具备对任何未授权连接的检测能力来实现。O.Mgmt_Path：管理数据的可信路径O.Mgmt_Path抵抗T.Analysis的威胁，是通过为管理数据通讯提供一个可信路径，以便

39、阻碍攻击者试图获得网络管理数据。6.3.2.4 节点泄露（T.Compromised_Node）修改网络交换机配置文件或路由表使得节点变得不安全，导致网络交换机运行异常、网络交换机安全功能失效、或流量可能被重路由经过未授权的节点。基本原理：O.Audit_Review：审计记录查阅O.Audit_Review抵抗T.Compromised_Node的威胁，是通过审阅和分析流量的审计记录，从而发现异常的网络流量模式。O.Priority_Of_Service：提供服务优先级O.Priority_Of_Service抵抗T.Compromised_Node的威胁，是通过提供服务优先级的控制和执行，

40、从而避免仅对一个指定的优先级的传输流量的节点进行操作的尝试。O.Protect_Addresses：地址保护O.Protect_Addresse抵抗T.Compromised_Node的威胁，是通过保证地址的保密性和完整性。O.Traf_Audit：带标识的审计流量记录O.Traf_Audit与O.Audit_Review联合抵抗T.Compromised_Node的威胁，是通过流量记录的产生来获取持续的异常行为的能力。O.Trusted_Recovery：可信的恢复O.Trusted_Recovery减轻T.Compromised_Node的威胁，是通过保证在除了危及到网络交换机安全的情况下

41、，并且在破坏或中断操作之后，网络交换机能够恢复到一个安全状态。6.3.2.5 隐通道（T.Covert）隐通道通常在隐蔽区域中隐藏信息，其目的是用于传送信息不被监控。基本原理：O.Unused_Fields ：未用区域O.Unused_Fields 对T.Covert威胁的直接抵抗，在于任何未用区域被阻塞或适当地调整，以便它们不能被用于隐藏和传输信息。6.3.2.6 密码分析（T.Cryptanalytic）攻击者为了复原信息内容而去尝试进行已加密数据的密码分析。基本原理：O.Ctrl_Channel：控制数据的可信通道O.Ctrl_Channel抵抗T.Cryptanalytic的威胁，是通

42、过加密机制的支持和控制信息完整性的持续力，从而保证控制信息的保密性。O.Mgmt_Path：管理数据的可信路径O.Mgmt_Path抵抗T.Cryptanalytic的威胁，是通过加密机制的支持和管理数据完整性的持续力，从而保证管理数据的保密性。6.3.2.7 拒绝服务（T.Denial） 攻击者通过执行指令、发送超限额的高优先级流量数据、或执行其他操作，在网络上造成不合理的负载，造成授权客户得不到应有的系统资源，即导致拒绝服务。基本原理：O.Ctrl_Channel：控制数据的可信通道O.Ctrl_Channel抵抗T.Denial的威胁，是通过保证控制信息的完整性，从而使其它客户无法通过执

43、行其他操作而获得资源。O.Priority_Of_Service：提供服务优先级O.Priority_Of_Service抵抗T. Denial的威胁，是通过控制和加强服务预设的优先级，从而确保一个流量的优先级将不会过度干涉或延迟服务提供的不同优先级的流量。O.Replay_Prevent：避免重放攻击O.Replay_Prevent抵抗T. Denial的威胁，是通过阻碍消耗网络资源的重放信息。网络交换机阻碍重放信息的能力，将有助于保证网络资源对于授权客户是有效的。O.Traf_Audit减少T.Denial的威胁，是通过获取流量统计表，来帮助识别独占网络资源的网络交换机。（格式不一致）6.

44、3.2.8 部件或电源失效（T.Fail）一个或多个系统部件或电源失效可能造成重要系统功能破坏和重要系统数据的丢失。基本原理：O.Alarm：安全风险报警通知O.Alarm减少T.Fail的威胁，是通过允许纠正错误或失败行为产生迅速响应实现。O.Fail_Secure：故障发生时安全状态的保存O.Fail_Secure有助于抵抗T.Fail的威胁，是通过保证网络交换机和网络交换机安全功能能够恢复到安全状态实现。O.Trust_Backup：系统数据备份的完整性和保密性O.Trust_Backup减少T.Fail的威胁，是通过确保产生网络数据的复制版本，这样能够快速地使网络交换机和网络交换机的安

45、全功能恢复到正确的操作。O.Trusted_Recovery：可信的恢复O.Trusted_Recovery减少T.Fail的威胁，是通过保证除了在危及网络交换机安全的情况下，并且在操作被中断之后，网络交换机能够恢复到一个安全状态。O.Trusted_Recovery也保证在使系统重新一体化的时候，取代失败的组件，这样将恢复为不会引起错误或造成对网络的其它部分的安全破坏。O.Update_Validation：更新验证O.Update_Validation抵抗T. Fail的威胁，是通过对更新数据验证以确保更新数据是可信任的。6.3.2.9 硬件、软件或固件的缺陷（T.Flaw）硬件、软件或固

46、件的缺陷导致网络交换机及其安全功能的脆弱性。基本原理：O.Lifecycle：生命周期安全O.Lifecycle减少T.Flaw的威胁，是通过保存贯穿网络交换机整个可操作的生命周期中的网络交换机安全功能的正确操作。O.Patches：安全修复和补丁O.Patches减少T.Flaw的威胁，是通过保证大多数最新的修复和补丁被安装，从而确保能够抵抗网络交换机和网络交换机安全功能的缺陷。O.Self_Test：网络交换机及其安全功能的测试O.Self_Test减少T.Flaw的威胁，是通过发现那些隐藏操作或危及网络交换机和网络交换机安全功能脆弱性的缺陷。O.Update_Validation：更新验证O.Update_Validation减少T.Flaw的威胁，是通过对更新数据验证确认完整性、正确的安装和所有软