GA_T 1484-2018信息安全技术 交换机安全技术要求和测试评价方法.pdf

ICS 35.040A 90GA中华人民共和国公共安全行业标准GA/T 1484—2018代替 GA/T 684—2007 和 GA/T 685—2007信息安全技术交换机安全技术要求和测试评价方法Information security technology—Security technical requirements and testing andevaluation methods for switch2018-05-07发布2018-05-07实施中华人民共和国公安部发布 GA/T 1484—2018目次前言1范围2规范性引用文件3术语和定义缩略语5交换机描述6安全技术要求6.1总体说明6.1.1安全技术要求分类6.1.2安全等级6.2安全功能要求6.2.1访间控制6.2.2划分虚拟局域网6.2.3身份鉴别6.2.4安全审计6.2.5安全管理6.3安全保障要求6.3.1开发6.3.2指导性文档6,3.3生命周期支持6.3.4测试6.3,5脆弱性评定测试评价方法7.1安全功能测试7.1.1访间控制7.1.2划分虚拟局城网7.1.3身份鉴别7.1.4安全审计7.1.5安全管理7.2安全保障测试7.2.1开发7.2.2指导性文档7.2.3生命周期支持7.2.4测试7,2.5脆弱性评定：安全等级划分要求 GA/T 1484—2018实施的配置管理与配置管理计划相一致。f)配置管理计划措述用来接受修改过的或新建的作为产晶组成部分的配置项的程序。配宜管理范围开发者应提供产品配置项列表，并说明配置项的开发者。配置项列表应包含以下内容：a）产品、安全保障要求的评估证据和产品的组成部分；b）实现表示、安全缺陷报告及其解决状态，交付程序开发者应按照一定的交付程序交付产品，并将交付程序文档化。在给用户方交付产品的各版本时，交付文指应措述为维护安全所必需的所有程序，开发安全开发者应提供开发安全文档。开发安全文档应措述在产品的开发环境中，为保护产品设计和实现的必威体育官网网址性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。生命周期定义开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制，并提供生命周期定义文档，描述用于开发和维护产品的模型。工具和技术开发者应明确定义用于开发产品的工具，并提供开发工具文档，无歧义地定义实现中每个语旬的含义和所有依赖于实现的选项的含义。6.3.4测试测试覆盖开发者应提供测试覆盖文档。测试覆盖描述应满足以下要求：a):表明测试文档中所标识的测试与功能规范中所捕述的产品的安全功能间的对应性；b)表明上述对应性是完备的，并证实功能规范中的所有安全功能接口都进行了测试。测试深度开发者应提供测试深度分析，测试深度分析描述应满足以下要求：a)证实测试文档中的测试与产品设计中的安全功能子系统和实现模块间的一致性；b)证实产品设计中的所有安全功能子系挑、实现模块都已经进行过测试，功能测试开发者应测试产品安全功能，将结果文档化并提供测试文档，测试文档应包括以下内容a)测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其他测试结果的任何序依赖性；b)预期的测试结果，表明测试成功后的预期输出；c)实际测试结果和预期的一致性。7 GA/T 1484—20独立测试开发者应提供一组与其自测安全功能时使用的同等资源，以用于安全功能的抽样测试，6.3.5脆弱性评定基于已标识的潜在脆弱性，产品能够抵抗以下攻击行为：a)具有基本攻击潜力的攻击者的攻击；b)具有增强型基本攻击潜力的攻击者的攻击。7测试评价方法7.1安全功能测试7.1.1访间控制7.1,1,1信息流控制信息流控制的测试方法与预期结果如下：测试方法：1)配置基于源IP地址、目的IP地址的安全策略，产生相应的网络会话；2)配置基于源MAC地址、目的MAC地址的安全策略，产生相应的网络会话；3)配置基于VLAN的安全策略，产生相应的网络会话；4) 配置基于源端口、目的端口的安全策路，产生相应的网络会话；5)配置基于TCP/UDP协议的安全策略，产生相应的网络会话；6)若产品支持，则配置基于TOS优先级字段的安全策略，产生相应的网络会话；7)若产品支持，则配置基于802.1P优先级的安全策略，产生相应的网络会话；8)若产品支持，则配置基于时间的安全策略，产生相应的网络会话；9)会话。b)预期结果；1)产品能够根据源IP地址、目的IP地址进行信息流控制；2)产品能够根据源MAC地址、目的MAC地址进行信息流控制；3)产品能够根据VLAN标签进行信息流控制；4)产品能够根据源端口、目的端口进行信息流控制；5)产品能够根据TCP/UDP协议进行信息流控制；6)产品可根据TOS优先级字段进行信息流控制：7)产品可根据802.1P优先级进行信息流控制；(8产品可根