书 书 书犐犆犛 ３５ ． ０４０ 犆犆犛犔 ８０ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G27 /G28 /G29 /G2A 犌犅 ／ 犜 ４１２６６ — ２０２２ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G28 /G29 /G2A /G2B /G2C /G2D /G2E /G2F /G25 /G26 犛犲犮狌狉犻狋狔狋犲狊狋犻狀犵犿犲狋犺狅犱狊犳狅狉犮狉犻狋犻犮犪犾狀犲狋狑狅狉犽犱犲狏犻犮犲狊 — 犛狑犻狋犮犺 ２０２２  ０３  ０９ /G30 /G31 ２０２２  １０  ０１ /G32 /G33 /G27 /G28 /G2B /G2C /G2D /G2E /G2F /G30 /G31 /G32 /G27 /G28 /G29 /G2A /G33 /G2F /G30 /G34 /G35 /G36 /G30 /G31书 书 书目 　　 次 前言 Ⅲ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 １ …………………………………………………………………………………………………… ５ 　 测试环境 ２ ………………………………………………………………………………………………… ６ 　 安全检测方法 ４ …………………………………………………………………………………………… 　 ６．１ 　 设备标识安全 ４ ……………………………………………………………………………………… 　 ６．２ 　 冗余 、 备份恢复与异常检测 ６ ………………………………………………………………………… 　 ６．３ 　 漏洞与缺陷管理安全 ９ ……………………………………………………………………………… 　 ６．４ 　 预装软件启动及更新安全 １０ ………………………………………………………………………… 　 ６．５ 　 默认状态安全 １４ ……………………………………………………………………………………… 　 ６．６ 　 抵御常见攻击能力 １５ ………………………………………………………………………………… 　 ６．７ 　 用户身份标识与鉴别 ２３ ……………………………………………………………………………… 　 ６．８ 　 访问控制安全 ２６ ……………………………………………………………………………………… 　 ６．９ 　 日志审计安全 ２８ ……………………………………………………………………………………… 　 ６．１０ 　 通信安全 ３０ ………………………………………………………………………………………… 　 ６．１１ 　 数据安全 ３５ ………………………………………………………………………………………… ７ 　 安全保障要求评估方法 ３６ ………………………………………………………………………………… 参考文献 ３７ …………………………………………………………………………………………………… Ⅰ 犌犅 ／ 犜 ４１２６６ — ２０２２ 前 　　 言 　　 本文件按照 ＧＢ ／ Ｔ１．１ — ２０２０ 《 标准化工作导则 　 第 １ 部分 ： 标准化文件的结构和起草规则 》 的规定起草 。 ＧＢ４００５０ — ２０２１ 《 网络关键设备安全通用要求 》 与 ＧＢ ／ Ｔ４１２６７ — ２０２２ 《 网络关键设备安全技术要求 　 交换机设备 》、 ＧＢ ／ Ｔ４１２６６ — ２０２２ 《 网络关键设备安全检测方法 　 交换机设备 》 共同构成支撑网络关键设备的交换机设备安全标准体系 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本文件由中华人民共和国工业和信息化部提出 。 本文件由全国通信标准化技术委员会 （ ＳＡＣ ／ ＴＣ４８５ ） 归口 。 本文件起草单位 ： 中国信息通信研究院 、 上海诺基亚贝尔股份有限公司 、 华为技术有限公司 、 中兴通讯股份有限公司 、 新华三技术有限公司 、 北京通和实益电信科学技术研究所有限公司 、 启明星辰信息技术集团股份有限公司 、 中国联合网络通信集团有限公司 、 北京奇虎科技有限公司 、 阿里云计算有限公司 、 烽火通信科技股份有限公司 、 中国通信标准化协会 。 本文件主要起草人 ： 张治兵 、 周开波 、 沈蕾 、 程小平 、 赵建风 、 万晓兰 、 王卫东 、 孙薇 、 郭新海 、 张屹 、 薄菁 、 邱林海 、 叶郁柏 、 周继华 、 吴荣春 、 卜玉玲 、 刘欣东 、 袁玉东 、 许雯 、 马铮 、 张亚薇 、 姚一楠 、 杨广贺 、 柳扬 、 邓科 、 席永青 。 Ⅲ 犌犅 ／ 犜 ４１２６６ — ２０２２ 网络关键设备安全检测方法交换机设备 １ 　 范围 本文件规定了列入网络关键设备的交换机设备在标识安全 、 冗余 、 备份恢复与异常检测 、 漏洞与缺陷管理 、 预装软件启动及更新安全 、 默认状态安全 、 抵御常见攻击能力 、 用户身份标识与鉴别安全 、 访问控制安全 、 日志审计安全 、 通信安全 、 数据安全等方面的安全检测方法 ， 并规定了上述设备的安全保障要求评估方法 。 本文件适用于列入网络关键设备目录的交换机设备 ， 也可为网络运营者采购交换机设备时提供依据 ， 还适用于指导交换机设备的研发 、 测试等工作 。 ２ 　 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。 其中 ， 注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ； 不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ２５０６９ 　 信息安全技术 　 术语 ＧＢ ／ Ｔ４１２６８ — ２０２２ 　 网络关键设备安全检测方法 　 路由器设备 ３ＧＰＰＴＳ３３．１１７ 　 通用安全保障要求 （ Ｃａｔａｌｏｇｕｅｏｆｇｅｎｅｒａｌｓｅｃｕｒｉｔｙａｓｓｕｒａｎｃｅｒｅｑｕｉｒｅｍｅｎｔｓ ） ３ 　 术语和定义 ＧＢ ／ Ｔ２５０６９ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 交换机 　 狊狑犻狋犮犺 利用内部交换机制来提供联网设备之间连通性的设备 。 注 ： 交换机中的交换机制通常在 ＯＳＩ 参考模型的第 ２ 层或第 ３ 层实现 。 ４ 　 缩略语 下列缩略语适用于本文件 。 ＡＣＬ ： 访问控制列表 （ ＡｃｃｅｓｓＣｏｎｔｒｏｌＬｉｓｔ ） ＡＰＩ ： 应用程序接口 （ ＡｐｐｌｉｃａｔｉｏｎＰｒｏｇｒａｍｍｉｎｇＩｎｔｅｒｆａｃｅ ） ＡＲＰ ： 地址解析协议 （ ＡｄｄｒｅｓｓＲｅｓｏｌｕｔｉｏｎＰｒｏｔｏｃｏｌ ） ＢＧＰ ： 边界网关协议 （ ＢｏｒｄｅｒＧａｔｅｗａｙＰｒｏｔｏｃｏｌ ） ＢＰＤＵ ： 网桥协议数据单元 （ ＢｒｉｄｇｅＰｒｏｔｏｃｏｌＤａｔａＵｎｉｔ ） ＦＴＰ ： 文件传输协议 （ ＦｉｌｅＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ ） ＨＴＴＰ ： 超文本传输协议 （ ＨｙｐｅｒＴｅｘｔＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ ） ＨＴＴＰＳ ： 安全套接字层超文本传输协议 （ ＨｙｐｅｒＴｅｘｔＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌｏｖｅｒＳｅｃｕｒｅＳｏｃｋｅｔＬａｙｅｒ ） １ 犌犅 ／ 犜 ４１２６６ — ２０２２ ＩＣＭＰ ： 互联网控制报文协议 （ ＩｎｔｅｒｎｅｔＣｏｎｔｒｏｌＭｅｓｓａｇｅＰｒｏｔｏｃｏｌ ） ＩＰ ： 互联网协议 （ ＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌ ） ＭＡＣ ： 媒体访问控制 （ ＭｅｄｉａＡｃｃｅｓｓＣｏｎｔｒｏｌ ） ＮＤ ： 邻居发现协议 （ ＮｅｉｇｈｂｏｒＤｉｓｃｏｖｅｒｙＰｒｏｔｏｃｏｌ ） ＮＥＴＣＯＮＦ ： 网络配置协议 （ ＮｅｔｗｏｒｋＣｏｎｆｉｇｕｒａｔｉｏｎＰｒｏｔｏｃｏｌ ） ＮＴＰ ： 网络时间协议 （ ＮｅｔｗｏｒｋＴｉｍｅＰｒｏｔｏｃｏｌ ） Ｏａｕｔｈ ： 开放授权 （ ＯｐｅｎＡｕｔｈｏｒｉｚａｔｉｏｎ ） ＯＳＰＦ ： 开放最短路径优先协议 （ ＯｐｅｎＳｈｏｒｔｅｓｔＰａｔｈＦｉｒｓｔ ） ＲｅｓｔＡＰＩ ： 表现层状态转移应用程序接口 （ ＲｅｐｒｅｓｅｎｔａｔｉｏｎａｌＳｔａｔｅＴｒａｎｓｆｅｒＡｐｐｌｉｃａｔｉｏｎＰｒｏｇｒａｍｍｉｎｇＩｎｔｅｒｆａｃｅ ） ＳＮＭＰ ： 简单网络管理协议 （ ＳｉｍｐｌｅＮｅｔｗｏｒｋＭａｎａｇｅｍｅｎｔＰｒｏｔｏｃｏｌ ） ＳＳＨ ： 安全壳协议 （ ＳｅｃｕｒｅＳｈｅｌｌ ） ＴＣＰ ： 传输控制协议 （ ＴｒａｎｓｍｉｓｓｉｏｎＣｏｎｔｒｏｌＰｒｏｔｏｃｏｌ ） ＴＦＴＰ ： 简单文件传输协议 （ ＴｒｉｖｉａｌＦｉｌｅＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ ） ＴＲＩＬＬ ： 多链接透明互联 （ ＴｒａｎｓｐａｒｅｎｔＩｎｔｅｒｃｏｎｎｅｃｔｉｏｎｏｆＬｏｔｓｏｆＬｉｎｋｓ ） ＵＤＰ ： 用户数据报协议 （ ＵｓｅｒＤａｔａｇｒａｍＰｒｏｔｏｃｏｌ ） ＷＥＢ ： 全球广域网 （ ＷｏｒｌｄＷｉｄｅＷｅｂ ） ５ 　 测试环境 测试环境如图 １ ～ 图 ５ 所示 。 图 １ 　 测试环境 １ ２ 犌犅 ／ 犜 ４１２６６ — ２０２２ 图 ２ 　 测试