ICS35.040GB/T21050—2019代替GB/T21050—2007信息安全技術網絡交換機安全技術要求國家市場監督管理總局中國國家標準化管理委員會GB/T21050—2019 1 13術語和定義、縮略語 1 13.2縮略語 24網絡交換機描述 2 3 3 45.3組織安全策略 5 6 76.1TOE安全目的 76.2環境安全目的 9 9 97.2安全功能要求 7.3安全保障要求 8基本原理 8.1安全目的基本原理 8.2安全要求基本原理 8.3組件依賴關系 IⅢGB/T21050—2019本標準代替GB/T21050—2007《信息安全技術網絡交換機安全技術要求(評估保證級3)》。與 對使用范圍進行了修改，并增加了關于密碼算法的約定(見第1章，2007年版的第1章)——增加了對術語標準的引用(見第2章，2007年版第2章);——修改了網絡交換機的描述(見第4章，2007年版的第4章);版的第5章);——修改和刪減了安全目的(見第6章，2007年版的第6章);——增加了擴展組件，根據GB/T18336—2015增刪了安全要求(見第7章);——增加了基本原理一章(見第8章)。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別這些專利的責任。本標準由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。本標準所代替標準的歷次版本發布情況為：——GB/T21050—2007。1GB/T21050—2019信息安全技術網絡交換機安全技術要求本標準規定了網絡交換機達到EAL2和EAL3的安全功能要求及安全保障要求，涵蓋了安全問題2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文GB/T18336.1—2015信息技術安全技術信息技術安全評估準則第1部分：簡介和一般模型GB/T18336.2—2015信息技術安全技術信息技術安全評估準則第2部分：安全功能組件GB/T18336.3—2015信息技術安全技術信息技術安全評估準則第3部分：安全保障組件GB/T25069—2010信息安全技術術語GB/T25069—2010和GB/T18336.1—2015界定的以及下列術語和定義適用于本文件。3.1.1可信IT產品trustedITproduct有與TOE協調管理的安全功能要求，但不屬于TOE的其他IT產品，且假定可正確執行自身的安全功能要求。3.1.2TSF和遠程可信IT產品間在必要的信任基礎上進行通信的一種通信手段。3.1.3可信路徑trustedpath用戶與TSF間在必要的信任基礎上進行通信的一種通信手段。3.1.43.1.5向另一方請求服務的一方。2GB/T21050—2019[GB/T11457—2006,定義2.214]3.1.6注：網絡審計管理員可查看網絡交換機配置、信息流策略等。3.1.7備網絡審計管理員的能力。注：網絡配置管理員可配置管理網絡系統，利用權限解決網絡故障等。3.1.8審計管理員的能力的管理角色。志等能力的網絡管理角色。3.1.9節點node計算機網絡系統中可以對信息進行存儲和(或)轉發的設備。BGP:邊界網關協議(BorderGatewayProtocol)EAL:評估保障級(EvaluationAssuranceLevel)HTTP:超文本傳輸協議(HyperTextTransferProtocol)IP:互聯網協議(InternetProtocol)IT:信息技術(InformationTechnology)LDP:標簽分發協議(LabelDistributionProtocol)MD5:報文摘要算法(MessageDigest5)OSI:開放系統互聯參考模型(OpenSystemInterconnect)OSPF:開放式最短路徑優先(OpenShortestPathFirst)RSVP:資源預留協議(ResourceReserVationProtocol)RMON:遠距離監控(RemoteMONitoring)SNMP:簡單網絡管理協議(SimpleNetworkManagementProtocol)ST:安全目標(SecurityTarget)TOE:評估對象(TargetOfEvaluation)TSF:TOE安全功能(TOESecurityFunction)息交換功能的設備。從技術角度看，網絡交換機運行在OSI模型的數據鏈路層、網絡層甚至傳輸層。雖然IP、光交換有各自不同的特性，但是它們的處理和控制方式是相似的。可信路徑建立在網絡交換3GB/T21050—2019機和管理系統之間，可信信道建立在網絡交換機與可信IT實體之間，通過可信路徑可進行管理信息的數據傳輸和存儲安全等。圖1為網絡交換機典型應用環境。InternetInternet子網一本標準中保護的資產包括以下方面：——審計數據(審計數據由網絡交換機執行安全審計功能時產生);——認證數據(用于用戶和外部實體訪問交互時的鑒別和認證);——密碼數據(用于交換機實施數字簽名或加解密的數據，如密鑰等);4GB/T21050—20195.2.1通信分析(T.Analysis)5.2.2審計機制失效(T.Audit_Compromise)惡意用戶或進程可能修改TOE審計策略，使TOE審計功能停用或失效、審計記錄丟失或被篡改，5.2.3未授權網絡訪問并獲取數據(T.Capture)被監控地傳送信息。5.2.6密碼分析(T.Cryptanalytic)攻擊者為了復原信息內容而去嘗試進行對已加密數據的密碼分析。5.2.7拒絕服務(T.Denial)5.2.8部件或電源失效(T.Fail)一個或多個系統部件或電源失效可能造成重要系統功能破壞和重要系統數據的丟失。5.2.10管理員網絡授權的濫用(T.HostileAdmin)網絡配置管理員或網絡安全管理員有意濫用授予的權限，進行不適當地存取或修改數據信息，例5.2.11管理錯誤(T.Mgmt_Error)5GB/T21050—2019攻擊者通過記錄通信會話，并重放它們偽裝成已驗證的客戶非法獲取網絡交換機的訪問權。管理信息也可能被記錄和重放，從而用于偽裝成已驗證的網絡配置管理員或網絡安全管理員來得到對網絡管理資源的訪問權。未授權節點可能使用有效的網絡地址來嘗試訪問網絡，即客戶通過獲得的網絡地址來偽裝成已授攻擊者或濫用特權的網絡配置管理員可能通過Telnet、RMON或其他方式訪問管理端口，從而重使用網絡交換機傳送信息的組織、擁有網絡配置管理員角色的人員和開發者應對他們的行為活動機也應支持對等節點的鑒別。應能保證網絡資源對許可客戶的任務需求和傳送信息需求能夠持續滿足。機應能夠支持加密裝置的加解密能力或接口支持能力。6GB/T21050—20195.3.7內容的完整性(P.Integrity)管理和控制信息在傳輸期間應保持其內容的完整性，同時，所有信息要保持其儲存狀態下的完5.3.8互操作性(P.Interoperability)網絡交換機應能與其他廠商的網絡交換機互連互通。在網絡交換機中要實現標準化的、非專有的網絡交換機中實現標準協議。5.3.9故障通告(P.Notify)網絡交換機及其安全環境應具備(或在其他設備配合下具備)提醒和報警能力，例如，通過SNMP5.3.10對等節點(P.Peer)安全的節點應有接受來自信任和不信任節點流量的能力。為了保護信息，流量將會在信任和不信任的節點之間被過濾。5.3.11可靠傳輸(P.Reliable_Transport)網絡管理和控制應實現特定的可靠傳送和檢錯機制。網絡資源應能夠從惡意的破壞嘗試中恢復，同時應具有從傳輸錯誤中恢復的能力。網絡應能抵御應提供在初始化、軟硬固件升級時保持其完整性的功能和規程，確認已接收的網絡交換機信息文軟件升級和固件交換時確保其完整性。5.4.1物理保護(A.Physical)網絡交換機應放置于受控訪問的物理環境內，以避免被未經授權者物理訪問。該環境應提供不間除用于運行、管理和支持TOE所需的服務外，假定在TOE上無法獲得通用的計算能力(如編譯器7GB/T21050—2019或用戶應用)。6安全目的網絡交換機應實現訪問控制策略，訪問控制策略基于但不限于網絡交換機的任務(只處理可信任的6.1.3安全風險告警通知(0.Alarm)網絡交換機應有發現元件、軟件或固件失敗或錯誤的能力。網絡交換機應提供安全相關事件和失敗或錯誤提示的告警能力。授權管理員應管理控制策略，只賦予授權網絡配置管理員必需的權利。管理人員應在通過標識與6.1.8配置完整性(0.Cfg_Integrity)別與系統連接的鑒別。8GB/T21050—20196.1.12受控標識和鑒別(O.Ctrl_I&A)網絡交換機應能檢測并告警未經授權的連接。網絡交換機應能保存部件失效或停電事件時的系統安全狀態。6.1.15管理標識和鑒別(O.Mgmt_I&A)管理人員應在通過標識和鑒別后才能承擔其特權角色。6.1.16管理數據的可信路徑(0.Mgmt_Path)6.1.17安全修復和補丁(0.Patches)網絡交換機應安裝最新的補丁及時進行安全修復。6.1.18業務優先級(O.Priority_Of_Service)級別的服務。6.1.19地址保護(O.Protect_Addresses)網絡交換機應保護已授權組織內部地址的保密性和完整性。在網絡交換機收到數據后，應能正確地解析出經過授權的源地址和目的地址。6.1.20協議(0.Protocols)在網絡交換機中應實現能與其他廠商的網絡交換機互操作的標準協議，并在網絡交換機中實現可靠交付和錯誤檢測的協議。6.1.21避免重放攻擊(O.Replay_Prevent)網絡交換機應做好自身防護，以對抗非授權用戶對網絡交換機安全功能的旁路、抑制或篡改的9GB/T21050—2019證所有的審計記錄的完整性。6.1.25系統數據備份的完整性和保密性(應確保網絡交換機的網絡文件和配置參數有冗余備份。備份文件應以符合網絡安全策略的方式存網絡交換機應保證協議頭內所有未被使用域的數值都被恰當地設定。6.1.28更新驗證(0.Update_Validation)6.2環境安全目的6.2.1物理保護(OE.Physical)網絡交換機及其連接的外圍設備(如接入的控制臺和存儲卡等)應放置在于受控訪問的物理環境6.2.2可信人員(OE.Personnel)應雇傭和使用可信賴和有能力的員工。操作和管理人員應經過相應的技能培訓。7安全要求表1列出了本標準中基于GB/T18336.2—2015安全功能組件擴展要求的基本原理，擴展組件在GB/T21050—2019標識符組件名稱基本原理FPT_TDP_EXT.1TSF數據保護網絡交換機的管理員口令、加解密密鑰、其他敏感數據等TSF數據如果明文存放，可能被非授權用戶讀取、修改和刪除，應采用合適的安全機制保護存儲的TSF數據。FPT_TDP_EXT.1明確了這些敏感TSF數據在存儲時避免被非授權訪問要求FPT_TDP:用于網絡交換機TSF數據存儲的安全性。這個族提供網絡交換機對敏感TSF數據的存儲安全及避免非授權訪問的安全要求定義。TSF數據保護(FPT_TDP_EXT.1)FPT_TDP_EXT.1.1網絡交換機應采用非明文方式存儲【管理員口令、加解密密鑰，其他敏感定也適用于后續章條。表2列出了網絡交換機信息技術安全功能要求組件，這些要求由GB/T18336.2—2015中的安全GB/T21050—2019安全功能要求類序號安全功能要求組件組件名稱安全審計(FAU類)1FAU_GEN.1審計數據產生2FAU_GEN.2用戶身份關聯3FAU_SAR.1審計查閱4FAU_SEL.1選擇性審計5FAU_STG.1受保護的審計跡存儲6FAU_STG.4防止審計數據丟失密碼支持(FCS類)7FCS_COP.1密碼運算8FCS_CKM.1密鑰生成9FCS_CKM.4密鑰銷毀用戶數據保護(FDP類)FDP_ACC.1子集訪問控制FDP_ACF.1基于安全屬性的訪問控制FDP_ETC.2帶有安全屬性的用戶數據輸出FDP_IFC.1子集信息流控制FDP_IFF.1簡單安全屬性FDP_ITC.2帶有安全屬性的用戶數據輸入FDP_UIT.1數據交換完整性FDP_UIT.2原發端數據交換恢復標識和鑒別(FIA類)FIA_UAU.2任何行動前的用戶鑒別FIA_UID.2任何行動前的用戶標識FIAAFL.1鑒別失敗處理FIA_SOS.1秘密的驗證安全管理(FMT類)FMT_MOF.1安全功能行為的管理FMT_MSA.1安全屬性的管理FMT_MSA.3靜態屬性初始化FMT_MTD.1安全功能數據的管理FMT_SMF.1管理功能規范FMT_SMR.2安全角色限制TSF保護(FPT)FPT_FLS.1失效即保持安全狀態FPT_ITC.1傳送過程中TSF間的保密性FPT_ITI.1TSF間篡改的檢測FPT_RCV.3無過度損失的自動恢復FPT_RCV.4功能恢復FPT_RPL.1重放檢測FPT_STM.1可靠的時間戳GB/T21050—2019表2(續)安全功能要求類序號安全功能要求組件組件名稱TSF保護(FPT)FPT_TDC.1TSF間基本的TSF數據一致性FPT_TST.1TSF測試FPT_TDP_EXT.1TSF數據保護資源利用(FRU類)FRU_FLT.1降低容錯FRU_PRS.2全部服務優先級FRU_RSA.1最高配額網絡交換機訪問(FTA類)FTA_TSE.1會話建立FTA_SSL.3TSF原發會話終止可信路徑/信道(FTP類)FTP_ITC.1TSF間可信信道FTP_TRP.1可信路徑審計數據產生(FAU_GEN.1)FAU_GEN.1.1網絡交換機的安全功能應能為下列可審計事件產生審計記錄：a)審計功能的啟動和關閉；FAU_GEN.1.2網絡交換機的安全功能應在每個審計記錄中至少記錄如下信息：b)對每種審計事件類型是基于保護輪廓或安全目標文檔中安全功能要求組件FAU_GEN.2.1網絡交換機的安全功能應能將每個可審計事件與引起該事件的用戶身份相關聯。據將關注網絡交換機的標識。審計查閱(FAU_SAR.1)FAU_SAR.1.2網絡交換機的安全功能應以便于用戶理解的方式提供審計記錄。GB/T21050—2019FAU_SEL.1.1網絡交換機的安全功能根據以下屬性包括或排除審計事件集中的可審計事件：FAU_STG.1.1網絡交換機的安全功能應保護審計跡中存儲的審計記錄。以避免未授權的刪除。7.2.3密碼支持(FCS類)密碼運算(FCS_COP.1)FCS_COP.1.1網絡交換機的安全功能應根據符合下列標準【賦值：標準列表密鑰生成(FCS_CKM.1)密鑰銷毀(FCS_CKM.4)FDP_ACC.1.1網絡交換機的安全功能應對FDP_ACF.1.1網絡交換機的安全功能應基于【標識、鑒別和連接通信會話中另一個成員的節點FDP_ACF.1.2網絡交換機的安全功能應執行以下規則，以決定受控主體與受控客體間的操作是GB/T21050—2019FDP_ACF.1.3網絡交換機的安全功能應基于以下附加規則決定主體對客體的訪問授權：【合法帶有安全屬性的用戶數據輸出(FDP_ETC.2)FDP_ETC.2.1網絡交換機的安全功能在安全功能策略的控制下輸出用戶數據到安全功能的控FDP_ETC.2.2網絡交換機的安全功能應輸出帶有相關安全屬性的用戶數據。FDP_ETC.2.3網絡交換機的安全功能在安全屬性輸出到安全功能的控制范圍之外時，應確保其FDP_ETC.2.4網絡交換機的安全功能在用戶數據從安全功能的控制范圍輸出時，【傳輸數據的FDP_IFF.1.1網絡交換機的安全功能應基于下列類型的主體和信息安全屬性：校驗的】,網絡交換機的安全功能應允許受控主體和受控信息之間存在經由受控操FDP_IFF.1.3網絡交換機的安全功能應執行【信息流控制策略：當發生網絡通信失敗的事件時，在需做出路由和重路由的決定時，來自可信源的控制信息的優先級要高于從不可FDP_IFF.1.4網絡交換機的安全功能應提供下列功能【1.從不可信源接收數據；2.審計接收到FDP_IFF.1.5網絡交換機的安全功能應根據下列規則：FDP_ITC.2.1網絡交換機的安全功能在安全功能策略的控制下從安全功能的控制范圍之外輸入GB/T21050—2019FDP_ITC.2.2網絡交換機的安全功能應使用與輸入的數據相關的安全屬性。FDP_ITC.2.3網絡交換機的安全功能應確保使用的協議在安全屬性和接收的用戶數據之間提供FDP_ITC.2.4網絡交換機的安全功能應確保對輸入的用戶數據安全屬性的解釋與用戶數據源的解釋是一致的。FDP_ITC.2.5網絡交換機的安全功能在安全功能策略的控制下從安全功能的控制范圍之外輸入數據交換完整性(FDP_UIT.1)FDP_UIT.1.2網絡交換機的安全功能應能根據收到的用戶數據，判斷是否出現了【篡改、刪除、原發端數據交換恢復(FDP_UIT.2)和完整復制所有網絡管理數據文件給某一分離的備份源】,以便能在原發端可信FIA_UAU.2.1在允許執行任何代表用戶的其他安全功能促成的行動執行前，網絡交換機的安全功能應要求該用戶已被成功鑒別。FIA_UID.2.1在允許執行任何代表用戶的其他安全功能促成的行動之前，網絡交換機的安全功能應要求用戶標識自己。功能應加以檢測。秘密的驗證(FIA_SOS.1)GB/T21050—2019FMT_MSA.1.1網絡交換機的安全功能應執行【訪問控制列表】,以僅限于【網絡安全管理員角網絡交換機的安全功能應執行【訪問控制列表】,以僅限于【FMT_MSA.3.1網絡交換機的安全功能應執行【訪問控制策略】,以便為用于執行安全功能策略FMT_MSA.3.2網絡交換機的安全功能應允許【負責建立和配置連接的網絡配置管理員或網絡安全管理員角色】為生成的客體或信息指定替換性的初始值以代替原來的默認值。安全功能數據的管理(FMT_MTD.1)管理功能規范(FMT_SMF.1)GB/T21050—2019安全角色限制(FMT_SMR.2)FMT_SMR.2.2網絡交換機的安全功能應能夠把管理員用戶和角色關聯起來。FMT_SMR.2.3網絡交換機的安全功能應確保條件【網絡審計管理員或網絡配置管理員不能假失效即保持安全狀態(FPT_FLS.1)安全狀態。傳送過程中TSF間的保密性(FPT_ITC.1)FPT_ITC.1.1在網絡交換機的安全功能數據從安全功能到遠程可信IT產品的傳送過程中，網絡交換機的安全功能應保護所有的安全功能數據不被未授權泄露。TSF間篡改的檢測(FPT_ITI.1)FPT_ITI.1.1網絡交換機的安全功能應提供在下列量度范圍內：【強度應等同于或超過由MD5提供的完整性保護算法的強度】,檢測網絡交換機安全功能與遠程可信IT產品間傳送的所有安全功能數據是否被修改的能力。FPT_ITI.1.2網絡交換機的安全功能應提供能力，以驗證安全功能與遠程可信IT產品間傳送的FPT_RCV.3.1當不能從失敗或服務中斷自動恢復時，網絡交換機的安全功能應進入維護方式，該方式提供將網絡交換機返回到一個安全狀態的能力。網絡交換機的安全功能應確保通過自動化過程使網絡交換機返回到一個安全狀態。FPT_RCV.3.3網絡交換機的安全功能提供的從失敗或服務中斷狀態恢復的功能，應確保安全功FPT_RCV.3.4網絡交換機的安全功能應提供決定客體能否被恢復的能力。功能恢復(FPT_RCV.4)下特性，即安全功能或者已成功完成，或者對指明的故障情況恢復到一致的安全狀態。GB/T21050—2019重放檢測(FPT_RPL.1)FPT_RPL.1.1網絡交換機的安全功能應檢測以下實體的重放【消息(如管理和控制)、安全協商FPT_STM.1.1網絡交換機的安全功能應能為自身的應用提供可靠的時間戳。TSF間基本的TSF數據一致性(FPT_TDC.1.1當網絡交換機的安全功能與其他可信IT產品共享其安全功能的數據時，網絡交換機的安全功能應提供對【網絡審計信息、控制信息和安全參數】一致性解釋的FPT_TDC.1.2當解釋來自其他可信IT產品的安全功能數據時，網絡交換機的安全功能應使用TSF測試(FPT_TST.1)FPT_TST.1.2網絡交換機的安全功能應為授權用戶提供對網絡交換機安全功能的數據完整性FPT_TST.1.3網絡交換機的安全功能應為授權用戶提供對存儲的網絡交換機安全功能的可執行代碼完整性的驗證能力。7.2.8資源利用(FRU類)降低容錯(FRU_FLT.1)FRU_FLT.1.1網絡交換機的安全功能應確保當以下故障量/優先級的保存、當持續發生帶有預攻擊控制信息的特定網絡操作時丟掉已被全部服務優先級(FRU_PRS.2)FRU_PRS.2.1網絡交換機的安全功能應給在安全功能中的每個主體分配一種優先級。FRU_PRS.2.2網絡交換機的安全功能應確保對所有可共享資源的每次訪問都應基于分配給主最高配額(FRU_RSA.1)GB/T21050—20197.2.9網絡交換機訪問(FTA類)會話建立(FTA_TSE.1)TSF原發會話終止(FTA_SSL.3)FTA_SSL.3.1網絡交換機的安全功能應在達到【賦值：安全管理員可配置的用戶不活動的時間TSF間可信信道(FT遠程可信IT產品之間提供一條通信信道，此信道在邏輯上與其他通信信道截然不同，并且能夠對其對端節點提供確定的標識，以及保護信道中數據免遭修改和泄露。FTP_ITC.1.2網絡交換機的安全功能應允許【安全功能，遠程的可信IT產品】經可信信道發起通信。FTP_ITC.1.3對于【控制信息的傳輸和安全屬性的改變】,網絡交換機的安全功能應經可信信道發起通信。可信路徑(FTP_TRP.1)用戶之間提供一條通信路徑，此路徑在邏輯上與其他通信路徑截然不同，并且能夠對其對端節點提供確定的標識，以及保護通信數據免遭修改或泄露。FTP_TRP.1.2網絡交換機的安全功能應允許表3分別列出了網絡交換機EAL2和EAL3級安全保障要求組件，這些要求由GB/T18336.3—GB/T21050—2019保障類保障組件序號安全保障級EAL2EAL3ADV:開發ADV_ARC.1安全架構描述1√√ADV_FSP.2安全執行功能規范2√N/AADV_FSP.3帶完整摘要的功能規范3N/A√ADV_TDS.1基礎設計4√N/AADV_TDS.2結構化設計5N/A√AGD:指導性文檔AGD_OPE.1操作用戶指南6√√AGD_PRE.1準備程序7√√ALC:生命周期支持ALC_CMC.2CM系統的使用8√N/AALC_CMC.3授權控制9N/A√ALC_CMS.2部分TOECM覆蓋√N/AALC_CMS.3實現表示CM覆蓋N/A√ALC_DEL.1交付程序√√ALC_DVS.1安全措施標識N/A√ALC_LCD.1開發者定義的生命周期模型N/A√ASE:ST評估ASE_CCL.1符合性聲明√√ASE_ECD.1擴展組件定義√√ASE_INT.1ST引言√√ASE_OBJ.2安全目的√√ASE_REQ.1陳述性的安全要求√N/AASE_REQ.2推導出的安全要求N/A√ASE_SPD.1安全問題定義√√ASE_TSS.1TOE概要規范√√ATE:測試ATE_COV.1覆蓋證據√√ATE_COV.2覆蓋分析N/A√ATE_DPT.1測試：基本設計N/A√ATE_FUN.1功能測試√√ATE_IND.2獨立測試—抽樣√√AVA:脆弱性評定AVA_VAN.2脆弱性分析√√注：“√”代表在該保障級下，選擇該組件。“N/A”代表在該保障級下，該組件不適用。7.3.2開發(ADV類)安全架構描述(ADV_ARC.1)GB/T21050—2019ADV_ARC.1.1D開發者應設計并實現TOE,確保TSF的安全特性不可旁路。ADV_ARC.1.2D開發者應設計并實現TSF,以防止不可信任主體的破壞。ADV_ARC.1.3D開發者應提供TSF安全架構的描述。ADV_ARC.1.1C安全架構的描述應與在TOE設計文檔中對SFR-執行的抽象描述的級別一致。ADV_ARC.1.2C安全架構的描述應描述與安全功能要求一致的TSF安全域。ADV_ARC.1.3C安全架構的描述應描述TSF初始化過程為何是安全的。ADV_ARC.1.4C安全架構的描述應證實TSF可防止被破壞。ADV_ARC.1.5C安全架構的描述應證實TSF可防止SFR-執行的功能被旁路。ADV_ARC.1.1E評估者應確認提供的信息符合證據的內容和形式要求。安全執行功能規范(ADV_FSP.2)開發者行為元素：ADV_FSP.2.1D開發者應提供一個功能規范。ADV_FSP.2.2D開發者應提供功能規范到安全功能要求的追溯關系。ADV_FSP.2.1C功能規范應完整描述TSF。ADV_FSP.2.2C功能規范應描述所有的TSFI的目的和使用方法。ADV_FSP.2.3C功能規范應識別和描述每個TSFI相關的所有參數。ADV_FSP.2.4C對于每個SFR-執行TSFI,功能規范應描述TSFI相關的SFR-執行行為。ADV_FSP.2.5C對于SFR-執行TSFI,功能規范應描述由SFR-執行行為相關處理而引起的直接ADV_FSP.2.6C功能規范應證實安全功能要求到TSFI的追溯。ADV_FSP.2.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。ADV_FSP.2.2E評估者應決定功能規范是TOE安全功能要求的一個準確且完備的實例化。帶完整摘要的功能規范(ADV_FSP.3)開發者行為元素：ADV_FSP.3.1D開發者應提供一個功能規范。ADV_FSP.3.2D開發者應提供功能規范到安全功能要求的追溯。ADV_FSP.3.1C功能規范應完全描述TSF。ADV_FSP.3.2C功能規范應描述所有的TSFI的目的和使用方法。ADV_FSP.3.3C功能規范應識別和描述每個TSFI相關的所有參數。ADV_FSP.3.4C對于每個SFR-執行TSFI,功能規范應描述TSFI相關的SFR-執行行為。ADV_FSP.3.5C對于每個SFR-執行TSFI,功能規范應描述與TSFI的調用相關的安全實施行為ADV_FSP.3.6C功能規范需總結與每個TSFI相關的SFR-支撐和SFR-無關的行為。ADV_FSP.3.7C功能規范應證實安全功能要求到TSFI的追溯。ADV_FSP.3.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。GB/T21050—2019ADV_FSP.3.2E評估者應決定功能規范是TOE安全功能要求的一個準確且完備的實例化。基礎設計(ADV_TDS.1)開發者行為元素：ADV_TDS.1.1D開發者應提供TOE的設計。ADV_TDS.1.2D開發者應提供從功能規范的TSFI到TOE設計中獲取到的最低層分解的映射。內容和形式元素：ADV_TDS.1.1C設計應根據子系統描述TOE的結構。ADV_TDS.1.2C設計應標識TSF的所有子系統。ADV_TDS.1.3C設計應對每一個SFR-支撐或SFR-無關的子系統的行為進行足夠詳細的描述，以確定它不是SFR-執行。ADV_TDS.1.4C設計應概括SFR-執行子系統的SFR-執行行為。ADV_TDS.1.5C設計應描述TSF的SFR-執行子系統間的相互作用和TSF的SFR-執行子系統與其他TSF子系統間的相互作用。ADV_TDS.1.6C映射關系應證實TOE設計中描述的所有行為能夠映射到調用它的TSFI。評估者行為元素：ADV_TDS.1.1E評估者應確認提供的信息滿足證據的內容與形式的所有要求。ADV_TDS.1.2E評估者應確定設計是所有安全功能要求的正確且完備的實例。開發者行為元素：ADV_TDS.2.1D開發者應提供TOE的設計。ADV_TDS.2.2D開發者應提供從功能規范的TSFI到TOE設計中獲取到的最低層分解的映射。內容和形式元素：ADV_TDS.2.1C設計應根據子系統描述TOE的結構。ADV_TDS.2.2C設計應標識TSF的所有子系統。ADV_TDS.2.3C設計應對每一個TSF的SFR-無關子系統的行為進行足夠詳細的描述，以確定它是與SFR-無關。ADV_TDS.2.4C設計應描述SFR-執行子系統的SFR-執行行為。ADV_TDS.2.5C設計應概括SFR-執行子系統的SFR-支撐和SFR-無關行為。ADV_TDS.2.6C設計應概括SFR-支撐子系統的行為。ADV_TDS.2.7C設計應描述TSF所有子系統間的相互作用。ADV_TDS.2.8C映射關系應證明TOE設計中描述的所有行為能夠映射到調用它的TSFI。評估者行為元素：ADV_TDS.2.1E評估者應確認提供的信息滿足證據的內容與形式的所有要求。ADV_TDS.2.2E評估者應確定設計是所有安全功能要求的正確且完全的實例。開發者行為元素：AGD_OPE.1.1D開發者應提供操作用戶指南。內容和形式元素：GB/T21050—2019AGD_OPE.1.1C操作用戶指南應對每一種用戶角色進行描述，在安全處理環境中應被控制的用AGD_OPE.1.2C操作用戶指南應對每一種用戶角色進行描述，怎樣以安全的方式使用TOE提供的可用接口。AGD_OPE.1.4C操作用戶指南應對每一種用戶角色明確說明，與需要執行的用戶可訪問功能有AGD_OPE.1.5C操作用戶指南應標識TOE運行的所有可能狀態(包括操作導致的失敗或者操作性錯誤),它們與維持安全運行之間的因果關系和聯系。AGD_OPE.1.6C操作用戶指南應對每一種用戶角色進行描述，為了充分實現ST中描述的運行環境安全目的所應執行的安全策略。AGD_OPE.1.7C操作用戶指南應是明確和合理的。評估行為元素：AGD_OPE.1.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。準備程序(AGD_PRE.1)開發者行為元素：AGD_PRE.1.1D開發者應提供TOE,包括它的準備程序。內容和形式元素：AGD_PRE.1.1C準備程序應描述與開發者交付程序相一致的安全接收所交付TOE必需的所有AGD_PRE.1.2C準備程序應描述安全安裝TOE以及安全準備與ST中描述的運行環境安全目的一致的運行環境必需的所有步驟。評估者行為元素：AGD_PRE.1.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。AGD_PRE.1.2E評估者應運用準備程序確認TOE運行能被安全的準備。7.3.4生命周期支持(ALC類)CM系統的使用(ALC_CMC.2)開發者行為元素：ALC_CMC.2.1D開發者應提供TOE及其參照號。ALC_CMC.2.2D開發者應提供CM文檔。ALC_CMC.2.3D開發者應提供CM系統。內容和形式元素：ALC_CMC.2.1C應給TOE標注唯一參照號。ALC_CMC.2.2CCM文檔應描述用于唯一標識配置項的方法。ALC_CMC.2.3CCM系統應唯一標識所有配置項。評估者行為元素：ALC_CMC.2.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。授權控制(ALC_CMC.3)GB/T21050—2019ALC_CMC.3.1D開發者應提供TOE及其參照號。ALC_CMC.3.2D開發者應提供CM文檔。ALC_CMC.3.3D開發者應使用CM系統。內容和形式元素：ALC_CMC.3.1C應給TOE標注唯一參照號。ALC_CMC.3.2CCM文檔應描述用于唯一標識配置項的方法。ALC_CMC.3.3CCM系統應唯一標識所有配置項。ALC_CMC.3.4CCM系統應提供措施使得只能對配置項進行授權變更。ALC_CMC.3.5CCM文檔應包括一個CM計劃。ALC_CMC.3.6CCM計劃應描述CM系統是如何應用于TOE的開發過程。ALC_CMC.3.7C證據應證實所有配置項都正在CM系統下進行維護。ALC_CMC.3.8C證據應證實CM系統的運行與CM計劃是一致的。評估者行為元素：ALC_CMC.3.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。部分TOECM覆蓋(ALC_CMS.2)開發者行為元素：ALC_CMS.2.1D開發者應提供TOE配置項列表。內容和形式元素：ALC_CMS.2.2C配置項列表應唯一標識配置項。ALC_CMS.2.3C對于每一個TSF相關的配置項，配置項列表應簡要說明該配置項的開發者。評估者行為元素：ALC_CMS.2.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。實現表示CM覆蓋(ALC_CMS.3)開發者行為元素：ALC_CMS.3.1D開發者應提供TOE配置項列表。內容和形式元素：實現表示。ALC_CMS.3.2C配置項列表應唯一標識配置項。ALC_CMS.3.3C對于每一個TSF相關的配置項，配置項列表應簡要說明該配置項的開發者。評估者行為元素：ALC_CMS.3.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。交付程序(ALC_DEL.1)開發者行為元素：ALC_DEL.1.1D開發者應將TOE或其部分交付給消費者的程序文檔化。ALC_DEL.1.2D開發者應使用交付程序。內容和形式元素：ALC_DEL.1.1C交付文檔應描述，在向消費者分發TOE版本時，用以維護安全性所必需的所有GB/T21050—2019ALC_DEL.1.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。ALC_DVS.1.1D開發者應提供開發安全文檔。ALC_DVS.1.1C開發安全文檔應描述在TOE的開發環境中，保護TOE設計和實現的保密性和ALC_DVS.1.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。ALC_DVS.1.2E評估者應確認安全措施正在被使用。開發者定義的生命周期模型(ALC_LCD.1)ALC_LCD.1.1D開發者應建立一個生命周期模型，用于TOE的開發和維護。ALC_LCD.1.2D開發者應提供生命周期定義文檔。ALC_LCD.1.1C生命周期定義文檔應描述用于開發和維護TOE的模型。ALC_LCD.1.2C生命周期模型應為TOE的開發和維護提供必要的控制。ALC_LCD.1.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。7.3.5ST評估(ASE類)ASE_CCL.1.1D開發者應提供符合性聲明。ASE_CCL.1.2D開發者應提供符合性聲明的基本原理。ASE_CCL.1.1CST應聲明其與GB/T18336符合性，標識出ST和TOE的符合性遵從的GB/T18336的版本。的符合性，無論是與GB/T18336.2—2015相符或還是對GB/T18336.2—2015的擴展。的符合性，無論是與GB/T18336.3—2015相符還是對GB/T18336.3—2015的擴展。ASE_CCL.1.4C符合性聲明應與擴展組件定義是相符的。ASE_CCL.1.5C符合性聲明應標識ST聲明遵從的所有PP和安全要求包。ASE_CCL.1.6C符合性聲明應描述ST和包的符合性，無論是與包相符或是與擴展包相符。ASE_CCL.1.7C符合性聲明的基本原理應證實TOE類型與符合性聲明所遵從的PP中的TOE類型是相符的。ASE_CCL.1.8C符合性聲明的基本原理應證實安全問題定義的陳述與符合性聲明所遵從的PP中的安全問題定義陳述是相符的。GB/T21050—2019ASE_CCL.1.9C符合性聲明的基本原理應證實安全目的陳述與符合性聲明所遵從的PP中的安全目的陳述是相符的。ASE_CCL.1.10C符合性聲明的基本原理應證實安全要求的陳述與符合性聲明所遵從的PP中的評估者行為元素：ASE_CCL.1.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。開發者行為元素：ASE_ECD.1.1D開發者應提供安全要求的陳述。ASE_ECD.1.2D開發者應提供擴展組件的定義。內容和形式元素：ASE_ECD.1.1C安全要求陳述應標識所有擴展的安全要求。ASE_ECD.1.2C擴展組件定義應為每一個擴展的安全要求定義一個擴展的組件。ASE_ECD.1.5C擴展組件應由可測量的和客觀的元素組成，以便于證實這些元素之間的符合性評估者行為元素：ASE_ECD.1.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。ASE_ECD.1.2E評估者應確認擴展組件不能利用已經存在的組件明確的表達。ST引言(ASEINT開發者行為元素：ASE_INT.1.1D開發者應提供ST引言。內容和形式元素：ASE_INT.1.1CST引言應包含ST參照號、TOE參照號、TOE概述和TOE描述。ASE_INT.1.2CST參照號應唯一標識ST。ASE_INT.1.3CTOE參照號應標識TOE。ASE_INT.1.4CTOE概述應概括TOE的用法及其主要安全特性。ASE_INT.1.5CTOE概述應標識TOE類型。ASE_INT.1.6CTOE概述應標識任何TOE要求的非TOE范圍內的硬件/軟件/固件。ASE_INT.1.7CTOE描述應描述TOE的物理范圍。ASE_INT.1.8CTOE描述應描述TOE的邏輯范圍。評估者行為元素：ASE_INT.1.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。ASE_INT.1.2E評估者應確認TOE參考、TOE概述和TOE描述是相互一致的。安全目的(ASE_OBJ.2)開發者行為元素：ASE_OBJ.2.1D開發者應提供安全目的的陳述。ASE_OBJ.2.2D開發者應提供安全目的的基本原理。內容和形式元素：GB/T21050—2019ASE_OBJ.2.1C安全目的的陳述應描述TOE的安全目的和運行環境安全目的。ASE_OBJ.2.2C安全目的基本原理應追溯到TOE的每一個安全目的，以便于能追溯到安全目的所對抗的威脅及安全目的實施的組織安全策略。ASE_OBJ.2.3C安全目的基本原理應追溯到運行環境的每一個安全目的，以便于能追溯到安全ASE_OBJ.2.4C安全目的基本原理應證實安全目的能抵抗所有威脅。ASE_OBJ.2.5C安全目的基本原理應證實安全目的執行所有組織安全策略。ASE_OBJ.2.6C安全目的基本原理應證實運行環境安全目的支持所有的假設。評估者行為元素：ASE_OBJ.2.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。陳述性的安全要求(ASE_REQ.1)開發者行為元素：ASE_REQ.1.1D開發者應提供安全要求的陳述。ASE_REQ.1.2D開發者應提供安全要求的基本原理。內容和形式元素：ASE_REQ.1.1C安全要求的陳述應描述安全功能要求和安全保障要求。部實體及其他術語進行定義。ASE_REQ.1.3C安全要求的陳述應對安全要求的所有操作進行標識。ASE_REQ.1.4C所有操作應被正確地執行。ASE_REQ.1.5C應滿足安全要求間的依賴關系，或者安全要求基本原理應證明不需要滿足某個ASE_REQ.1.6C安全要求的陳述應是內在一致的。評估者行為元素：ASE_REQ.1.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。推導出的安全要求(ASE_REQ.2)開發者行為元素：ASE_REQ.2.1D開發者應提供安全要求的陳述。ASE_REQ.2.2D開發者應提供安全要求的基本原理。內容和形式元素：ASE_REQ.2.1C安全要求的陳述應描述安全功能要求和安全保障要求。部實體及其他術語進行定義。ASE_REQ.2.3C安全要求的陳述應對安全要求的所有操作進行標識。ASE_REQ.2.4C所有操作應被正確地執行。ASE_REQ.2.5C應滿足安全要求間的依賴關系，或者安全要求基本原理應證明不需要滿足某個ASE_REQ.2.6C安全要求基本原理應描述每一個安全功能要求可追溯至對應的TOE安全目的。ASE_REQ.2.7C安全要求基本原理應證實安全功能要求可滿足所有的TOE安全目的。ASE_REQ.2.8C安全要求基本原理應說明選擇安全保障要求的理由。ASE_REQ.2.9C安全要求的陳述應是內在一致的。GB/T21050—2019評估者行為元素：ASE_REQ.2.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。安全問題定義(ASE_SPD.1)開發者行為元素：ASE_SPD.1.1D開發者應提供安全問題定義。內容和形式元素：ASE_SPD.1.1C安全問題定義應描述威脅。ASE_SPD.1.3C安全問題定義應描述組織安全策略。ASE_SPD.1.4C安全問題定義應描述有關TOE操作環境的假設。評估者行為元素：評估者應確認所提供的信息滿足證據的內容和形式的所有要求。TOE概要規范(ASE_TSS.1)開發者行為元素：ASE_TSS.1.1D開發者應提供TOE概要規范。內容和形式元素ASE_TSS.1.1CTOE概要規范應描述TOE是如何滿足每一項安全功能要求的。評估者行為元素：ASE_TSS.1.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。ASE_TSS.1.2E評估者應確認TOE概要規范與TOE概述、TOE描述是一致的。7.3.6測試(ATE類)覆蓋證據(ATE_COV.1)開發者行為元素：ATE_COV.1.1D開發者應提供測試覆蓋的證據。內容和形式元素：ATE_COV.1.1C測試覆蓋的證據應表明測試文檔中的測試與功能規范中的TSF接口之間的對評估者行為元素：ATE_COV.1.1E評估者應確認提供的信息滿足證據的內容和形式的要求。覆蓋分析(ATECOV.2)開發者行為元素：ATE_COV.2.1D開發者應提供對測試覆蓋的分析。內容和形式元素：ATE_COV.2.1C測試覆蓋分析應論證測試文檔中的測試和功能規范中描述的網絡交換機安全功能間的對應性。ATE_COV.2.2C測試覆蓋分析應論證已經對功能規范中所有安全功能接口都進行了測試。評估者行為元素：ATE_COV.2.1E評估者應確認提供的信息滿足證據的內容和形式的要求。GB/T21050—2019開發者行為元素：ATE_DPT.1.1D開發者應提供測試深度分析。內容和形式元素：ATE_DPT.1.1C測試深度分析應證實測試文檔中的測試與TOE設計中TSF子系統之間的對ATE_DPT.1.2C測試深度分析應證實TOE設計中所有TSF子系統都已經進行過測試。評估者行為元素：ATE_DPT.1.1E評估者應當確認提供的信息滿足證據的內容和形式的要求。功能測試(ATE_FUN.1)開發者行為元素：ATE_FUN.1.1D開發者應測試TSF,并文檔化測試結果。ATE_FUN.1.2D開發者應提供測試文檔。內容和形式元素：ATE_FUN.1.1C測試文檔應包括測試計劃、預期的測試結果和實際的測試結果。ATE_FUN.1.2C測試計劃應標識要執行的測試并描述執行每個測試的方案，這些方案應包括對于其他測試結果的任何順序依賴性。ATE_FUN.1.3C預期的測試結果應指出測試成功執行后的預期輸出。ATE_FUN.1.4C實際的測試結果應和預期的測試結果一致。評估者行為元素：ATE_FUN.1.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。獨立測試一抽樣(ATE_IND.2)開發者行為元素：ATE_IND.2.1D開發者應提供用于測試的TOE。內容和形式元素：ATE_IND.2.1CTOE應適合測試。ATE_IND.2.2C開發者應提供一組與開發者TSF功能測試中同等的一系列資源。評估者行為元素：ATE_IND.2.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。ATE_IND.2.2E評估者應執行測試文檔里的測試樣本，以驗證開發者測試的結果。ATE_IND.2.3E評估者應測試TSF的一個子集以確認TSF按照規范運行。脆弱性分析(AVA_VAN.2)的安全保障要求如下：開發者行為元素：AVA_VAN.2.1D開發者應提供用于測試的TOE。內容和形式元素：AVA_VAN.2.1CTOE應適合測試。AVA_VAN.2.1E評估者應確認所提供的信息滿足證據的內容和形式的所有要求。GB/T21050—2019AVA_VAN.2.2E評估者應執行公共領域的調查以標識TOE的潛在脆弱性。AVA_VAN.2.3E評估者應執行獨立的TOE脆弱性分析去標識TOE潛在的脆弱性，在分析過AVA_VAN.2.4E評估者應基于已標識的潛在脆弱性實施穿透性測試，判定TOE能抵抗具有基本攻擊潛力的攻擊者的攻擊。8基本原理表4說明了網絡交換機的安全目的能應對所有可能的威脅。表4威脅與TOE安全目的的對應關系序號威脅安全目的1O.Ctrl_Channel,O.Detect_Connection,O.Mgmt_Path,O.Protect_Add230.Ctrl_Channel,O.Detect_Connection4O.Audit_Review,O.Priority_of_Service,O.Protect_Addresses,Audit,0.Trusted_Recove5670.Ctrl_Channel,O.Priority_of_Service,O.Replay_Prevent,O.8O.Alarm,O.Fail_Secure,O.Trust_Backup,O.Trusted_Recovery,O.U9O.Lifecycle,O.Patches,O.Update_Validation,O.S0.Admin_Audit,O.Audit_Review,0.Mgmt_I&.A,O.TrusO.Admin_Audit,O.Cfg_Manage,O.Trust_Backup,O.Trusted_R0.Attr_Mgt,O.Ctrl_Channel,O.Trusted_Recovery,O.Update_O.Ctrl_Channel,O.Detect_Connection,O.Protect_Addresses,O.MgmO.Access_Control,O.Ctrl_Channel,0.Ctrl_I&.A,O.Detect_ConnectMgmt_I&.A,O.Replay_Preve0.Ctrl_I&-A,O.Detect_Connection,O.Mgmt_I&.A,O.Protec0.Access_Control,O.Admin_Audit,O.Audit_ReviewConnection,O.Mgmt_I&.A,0.Trust_Backup,0.Trusted_ReGB/T21050—2019通信分析(T.Analysis)0.Ctrl_Channel:控制數據的可信通道0.Ctrl_Channel減輕T.Analysis的威脅，是通過保持控制信息的保密性以及支持加密機制來實現。O.Detect_Connection:檢測非授權連接0.Detect_Connection抵抗T.Analysis的威脅，是通過網絡交換機所具備的檢測和警報未授權連接O.Mgmt_Path:管理數據的可信路徑O.Mgmt_Path抵抗T.Analysis的威脅，是通過保證所有管理數據的完整性和保密性來實現。O.Protect_Addresses:地址保護O.Protect_Addresse抵抗T.Analysis的威脅，是通過保護資源和接受的授權地址的保密性和完整惡意用戶或進程可能修改TOE審計策略，使TOE審計功能停用或失效、審計記錄丟失0.Audit_Protection:審計數據保護0.Audit_Protection抵抗T.Audit_Compromise的威脅，是通過對審計數據的保護防止審計機制失效來實現。O.Ctrl_Channel:控制數據的可信通道0.Ctrl_Channel抵抗T.Capture的威脅，是通過保證控制信息的保密性和完整的持續力來實現。O.Detect_Connection:檢測非授權連接O.Detect_Connection抵抗T.Capture的威脅，是通過具備對任何未授權連接的檢測能力來實現。O.Mgmt_Path:管理數據的可信路徑O.Mgmt_Path抵抗T.Capture的威脅，是通過為管理數據通信提供一個可信路徑，以便阻礙攻擊者試圖獲得網絡管理數據。全功能失效或流量可能被重路由經過未授權的節點。O.Audit_Review:審計記錄查閱0.Audit_Review抵抗T.Compromised_Node的威脅，是通過審閱現異常的網絡流量模式。O.Priority_Of_Service:提供服務優先級O.Priority_Of_Service抵抗T.Compromised_Node的威脅，是通過提供服務優先級的控制和執行，從而避免僅對一個指定的優先級的傳輸流量的節點進行操作的嘗試。O.Protect_Addresse抵抗T.Compromised_Node的威脅，是通過保證地址的保密性和完整性。GB/T21050—2019O.Trusted_Recovery:可信的恢復O.Unused_Fields:未用區域O.Ctrl_Channel:控制數據0.Ctrl_Channel抵抗T.Cryptanalytic的威脅，是通過加密機制的支持和控制信息完整性的持續O.Mgmt_Path:管理數據的可信路徑拒絕服務(T.Denial)O.Ctrl_Channel:控制數據O.Priority_Of_ServiO.Replay_Prevent:避免重放攻擊O.Replay_Prevent抵抗T.Denial的威脅，是通過阻礙消耗網絡資源的重放信息。網絡交換機阻0.Alarm:安全風險報警通知O.Fail_Secure:故障發生時安全狀態GB/T21050—2019O.Fail_Secure有助于抵抗T.Fail的威脅，是通過保證網絡交換機和網絡交換機安全功能能夠恢復O.Trust_Backup:系統數據備份的完整性和保密性0.Trust_Backup減少T.Fail的威脅，是通過確保產生網絡數據的復制版本，這樣能夠快速地使網絡交換機和網絡交換機的安全功能恢復到正確的操作。O.Trusted_Recovery:可信的恢復0.Trusted_Recovery減少T.Fail的威脅，是通過保證除了在危及網絡交換機安全的情況下，并且在操作被中斷之后，網絡交換機能夠恢復到一個安全狀態。O.Trusted_Recovery也保證在使系統重新O.Update_Validation:更新驗證O.Update_Validation抵抗T.Fail的威脅，是通過對更新數據驗證以確保更新數據是可信任的。O.Lifecycle:生命周期安全O.Lifecycle減少T.Flaw的威脅，是通過保存貫穿網絡交換機整個可操作的生命周期中的網絡交換機安全功能的正確操作。O.Patches:安全修復和補丁O.Patches減少T.Flaw的威脅，是通過保證大多數最新的修復和補丁被安裝，從而確保能夠抵抗網絡交換機和網絡交換機安全功能的缺陷。0.Self_Test:網絡交換機及其安全功能的測試0.Self_Test減少T.Flaw的威脅，是通過發現那些隱藏操作或危及網絡交換機和網絡交換機安全功能脆弱性的缺陷。O.Update_Validation:更新驗證1管理員網絡授權的濫用(T.Hostile_Admin)O.Admin_Audit:帶標識的審計記錄0.Admin_Audit抵抗T.Hostile_Admin的威脅，當知曉行為和身份會被監控和記錄，那么被濫用特權的威脅就會減少。O.Audit_Review:審計記錄查閱O.Audit_Review減少T.Hostile_Admin的威脅，通過行為被周期性地監控和審閱。O.Mgmt_I&.A:管理標識和鑒別0.Mgmt_I&-A減少T.Hostile_Admin的威脅，是通過在審計記錄中獲取對網絡管理人員的標識。O.Trust_Backup:系統數據備份的完整性和保密性O.Trust_Backup減少T.Hostile_Admin的威脅，是通過保證網絡文件的復制。如果主要系統失O.Trusted_Recovery:可信的恢復O.Trusted_Recovery減少T.Hostile_Admin的威脅，是通過保證除了在危及網絡交換機安全的情GB/T21050—20192管理錯誤(T.Mgmt_Error)O.Admin_Audit:帶標識的審計記錄0.Admin_Audit通過對錯誤的確認使得各種行為及其影響能夠得到糾正，從而降低了T.Mgmt0.Cfg_Manage:管理配置數據0.Cfg_Manage通過獲取和保持與網絡交換機及網絡信息的恢復有關的配置和連接信息，降低了0.Trust_Backup:系統數據備份的完整性和保密性當有嚴重錯誤發生時，0.Trust_Backup能夠在首選系統恢復過程時通過第二系統繼續操作，從而降低T.Mgmt_Error的威脅。0.Trusted_Recovery:可信的恢復0.Trusted_Recovery通過確保在一系列中斷操作發生時，在沒有安全泄露的情況下恢復到安全狀3修改協議(T.Modify)0.Attr_Mgt減輕了T.Modify的威脅。因為網絡操作管理者和網絡安全管理者有特權，那么惡意的網絡操作人員就有機會相對容易地進行惡意修改。然而，當網絡操作人員知曉其行為會被捕獲和審0.Ctrl_Channel:控制數據的可信通道O.Ctrl_Channel通過確保控制信息保持保密性和完整性從而減弱了T.Modify的威脅。O.Trusted_Recovery:可信的恢復當T.Modify威脅引起了操作中的不連續，O.Trusted_Recovery能確保網絡交換機和網絡能夠返O.Update_Validation:更新驗證O.Update_Validation通過在運行中的網絡交換機和網絡中使用各種軟件、硬件、固件之前對他們4網絡探測(T.NtwkMap)O.Ctrl_Channel:控制數據的可信通道通過確保控制信息的保密性及完整性O.Ctrl_Channel減弱了T.NtwkMap的威脅。O.Detect_Connection:檢測非授權連接通過對未授權連接的檢測，0.Detect_Connection減弱了T.NtwkMap的威脅。O.Protect_Addresses:地址保護O.Protect_Addresses通過確保傳送和接收地址的保密性和完整性減弱了T.NtwkMap的威脅。O.Mgmt_Path:管理數據的可信路徑通過為所有管理數據確保可信路徑，0.Mgmt_Path減弱了T.NtwkMap的威脅。這種可信路徑保GB/T21050—20195重放攻擊(T.Replay_Attack)信息也可能被記錄和重放，從而用于偽裝成已驗證的網絡配置管理員或網絡安全管理員來得到對網絡O.Access_Control:訪問控制機制通過強制執行訪問控制機制，讓攻擊者獲得網絡交換機和網絡的訪問權增加了難度，從而降低了0.Ctrl_Channel:控制數據的可信通道Attack的威脅。0.Ctrl_I&.A:受控標識和鑒別0.Ctrl_I&A通過要求標識和鑒別，增加了攻擊者獲得網絡交換機訪問權的難度，從而降低了T.Replay_Attack的威脅。O.Detect_Connection:檢測非授權連接0.Detect_Connection確保了對非授權連接的檢測，消除了通過記錄和重放信息以獲得網絡交換機和網絡資源訪問權的可能，從而降低了T.Replay_Attack的威脅。O.Mgmt_I&.A:管理標識和鑒別O.Mgmt_I&A通過要求標識和鑒別，增加了攻擊者獲得網絡管理資源的難度，從而降低了T.Replay_Attack的威脅。O.Replay_Prevent:避免重放攻擊O.Replay_Prevent直接對抗了T.Replay_Attack的威脅。O.Replay_Prevent確保了網絡交換機能夠拒絕舊的和復制的信息包，以保證其自身免受重放攻擊6配置數據泄露(T.Sel_Pro)O.Sel_Pro:自身安全配置泄露直接對抗了T.Sel_Pro。7欺騙攻擊(T.Spoof)未授權節點可能使用有效的網絡地址來嘗試訪問網絡，即客戶通過獲得的網絡地址來偽裝成已授O.Ctrl_I&.A:受控標識和鑒別0.Ctrl_I&A通過強制執行標識和鑒別增加了攻擊者獲取網絡交換機訪問權的困難，從而相應增O.Detect_Connection:檢測非授權連接0.Detect_Connection通過對未授權連接的檢測阻止了攻擊者企圖獲取網絡地址的可能，從而對抗O.Mgmt_I&.A:管理標識和鑒別0.Mgmt_I&A通過強制執行標識和鑒別增加了攻擊者獲取網絡交換機訪問權的困難，從而相應O.Protect_Addresses通過確保傳輸和接收地址的保密性和完整性，阻止了攻擊者企圖獲得合法的GB/T21050—20198對管理端口的非授權訪問(T.Unauth_Mgmt_Access)攻擊者或濫用特權的網絡配置管理員可能通過Telnet、RMON或其他方式訪問管理端口，從而重O.Access_Control:網絡訪問控制0.Access_Control通過執行網絡訪問控制機制對特權進行了限制從而對抗了T.Unauth_Mgmt_Ac