标准规范下载简介
TAF-WG9-AS0038-V1.0.0:2019 网络关键设备安全技术要求 交换机设备.pdf简介:
,我无法直接提供PDF文件的简介,但我可以为你概括一下关于"2019 网络关键设备安全技术要求 交换机设备 - TAF-WG9-AS0038-V1.0.0"的信息。这通常是一份关于网络安全技术标准,具体针对交换机设备的规范。这份标准可能涵盖了交换机的基本安全功能,如数据加密、身份验证、访问控制、安全协议支持、防止网络攻击(如DDoS)的能力,以及对操作系统、固件和网络流量的安全管理要求。V1.0.0版本可能表示这是该标准的最初版本或者是一个主要的修订版本。它可能会被政府、行业组织或企业用来指导网络安全设备的设计、生产和维护,以确保网络关键设备的安全性。如果你需要更具体的信息,建议查阅该PDF文档的详细内容。
TAF-WG9-AS0038-V1.0.0:2019 网络关键设备安全技术要求 交换机设备.pdf部分内容预览:
H 合 言 网络关键设备安全技术要求交换机设备 范围 规范性引用文件 术语和定义: 3.1交换机switch 3.2恶意程序malwar 3.3预装软件presetsoftware 3.4故障隔离faultisolation 安全技术要求 4.1标识安全 4.2可用性 4.3漏洞与缺陷管理安全 ........................ ......... 4.4软件更新安全.. ............ ....... 4.5默认状态安全 4.6抵御常见攻击能力 4.7身份标识与鉴别 4.8访问控制安全 4.9日志审计安全 4.10通信安全 4.11数据安全 录A(规范性附录) 标准修订历史 录B(资料性附录) 用户信息说明 参考文献
言 网络关键设备安全技术要求交换机设备 范围. 规范性引用文件 术语和定义: 3.1交换机switch 3.2恶意程序malware 3.3预装软件presetsoftware 3.4故障隔离faultisolation 安全技术要求 4.1标识安全 4.2可用性 4.3漏洞与缺陷管理安全 ........................ ........ 4.4软件更新安全.. ......... .. 4.5默认状态安全 4.6抵御常见攻击能力 4.7身份标识与鉴别 4.8访问控制安全 4.9日志审计安全 4.10通信安全 4.11数据安全 录A(规范性附录) 标准修订历史 录B(资料性附录) 用户信息说明 考文献
关键设备安全技术要求交换机
本标准对列入网络关键设备的交换机设备在标识安全、身份标识与鉴别安全、访问控制安全、日志 审计安全、通信安全、数据安全等方面提出了安全技术要求。 本标准适用于在我国境内销售或提供的交换机设备,也可为网络运营者采购交换机设备时提供依 据DBJ61∕T 149-2018 陕西省城镇住区公共服务设施配置标准,还适用于指导交换机设备的研发、测试等工作。
3.1交换机 switch
在联网的设备之间,一种借助内部交换机制来提供连通性的设备。交换机不同于其他局域网互联设 备(例如集线器),交换机中使用的技术是以点对点为基础建立连接,这确保了网络通信量只有对有地 址的网络设备可见,并使几个连接能够并存。交换技术可在开放系统互联参考的第二层或第三层实 现。
3.2恶意程序malware
种企图通过执行非授权过程来破坏信息系统机密性、完整性和可用性的软件或固件。常见的恶意 程序包括病毒、蠕虫、木马或其它影响设备安全的程序代码。恶意程序也包括间谍软件和广告软件。
3.3预装软件presetsoftware
设备出厂时安装的软件和正常使用必须的配套软件,包括固件、系统软件、应用软件、配套的管理 软件等。
.4 故障隔离 fault i
交换机设备: a)硬件整机和主控板卡、业务板卡等主要部件应具备唯一性标识; b) 应对软件/固件、补丁包/升级包的版本进行唯一性标识,并保持记录; c)应标识每一个物理接口,并说明其功能,不得预留未向用户声明的物理接口; d)在用户登录通过认证前的提示信息应避免包含设备软件版本、型号等敏感信息,例如可通过支 持关闭提示信息或者用户自定义等功能实现
交换机设备: a)部分关键部件,如主控板卡、交换网板、电源、风扇等应支持穴余功能,在设备运行状态异常 可能影响网络安全时,可通过启用备用部件防范安全风险; b)部分关键部件,如主控板卡、交换网板、业务板卡、电源、风扇等应支持热插拔功能: c)软件/固件、配置文件等应支持备份与恢复功能; d)支持故障的告警、定位等功能: e)支持部分关键部件,如主控板卡、交换网板、业务板卡、电源、风扇等故障隔离功能: f)应提供独立的管理接口,实现设备管理和数据转发的隔离。
4.3漏洞与缺陷管理安全
a)部分关键部件,如CPU、系统软件的存储部件等应不存在已知的高危和中危漏洞或具备有效措 施防范硬件漏洞安全风险 预装软件应不存在已公布的高危和中危漏洞或具备有效措施防范漏洞安全风险; 第三方组件或部件存在暂未修复的已知漏洞或安全缺陷时,应明确告知用户风险及防范措施; d)预装软件、补丁包/升级包应不包含恶意程序; 应不存在未向用户声明的功能和隐蔽通道
a)对于更新操作,应仅限于授权用户可实施,应不支持自动更新; b 对于存在导致设备重启等影响设备运行安全的实施更新操作应由用户确认后实施; C 应支持用户对软件版本降级使用; d 应支持软件更新包完整性校验; e) 应支持软件更新包签名机制,抗抵赖攻击,签名应使用安全性较高的算法,如SHA256,避负 使用MD5等安全性较差的算法; 更新失败时设备应能够恢复到升级前的正常工作状态; 对于采用远程更新的,应支持非明文通道传输更新数据; h 应具备稳定可用的渠道提供软件更新源。
4.6抵御常见攻击能力
4. 7 身份标识与鉴别
交换机设备: 应不存在未向用户公开的身份鉴别信息; 应对访问控制主体进行身份标识和鉴别; C 用户身份标识应具有唯一性; d 应支持登录用户空闲超时锁定或自动退出等安全策略,以防范会话空闲时间过长导致的安全风 险; e) 对身份鉴别信息,如用户登录口令、SNMP团体名等应使用安全强度较高的密码算法,如AES、 SM3/4、SHA2等,来保障身份鉴别信息存储的机密性,避免使用baSe64、DES、SHA1等安全强 度弱的密码算法; f 对于使用口令鉴别方式的设备,用户首次管理设备时,应提示并允许用户修改默认口令或设置 口令;
交换机设备: a)应不存在未向用户公开的身份鉴别信息; b)应对访问控制主体进行身份标识和鉴别; 用户身份标识应具有唯一性; d 应支持登录用户空闲超时锁定或自动退出等安全策略,以防范会话空闲时间过长导致的安全风 险; e 对身份鉴别信息,如用户登录口令、SNMP团体名等应使用安全强度较高的密码算法西南18J201 平屋面,如AES、 SM3/4、SHA2等,来保障身份鉴别信息存储的机密性,避免使用baSe64、DES、SHA1等安全强 度弱的密码算法; f) 对于使用口令鉴别方式的设备,用户首次管理设备时,应提示并允许用户修改默认口令或设置 口令;
g)应支持设置口令修改周期; h)对于使用口令鉴别方式的设备,应默认开启口令复杂度检查功能。开启口令复杂度检查功能时, 口令长度应不少于8位,且至少包含2种不同类型字符; i)用户输入的用户登录口令、SNMP团体名等鉴别信息默认应是不可见的 i)鉴别失败时,设备应返回最少且无差别信息
4. 8 访问控制安全
交换机设备: a)应对存储在设备上的数据进行分类管理,如对用户口令等敏感数据具备安全防护措施; b)设备提供者通过设备收集用户信息功能的,应当向用户明示并取得同意。
附录A (规范性附录) 标准修订历史
TB/T 3285-2019标准下载附录B (资料性附录) 用户信息说明
对于网络关键设备而言,用户可能是运营商、大中型企业等组织。其所涉及的用户信息,可能 由表、设备及软件配置信息、设备运行日志等信息,