YDT 1629-2007具有路由功能的以太网交换机设备安全技术要求.pdf

ICS 33 040 40M 32YD中华人民共和国通信行业标准YD/T 1629-2007具有路由功能的以太网交换机设备安全技术要求Technical Requirements for Ethernet SwitchingDerices Security with Routing Capability2007-04-16 发布2007-10-01实施中华人民共和国信息产业部发布 YD/T 1629--2007目次前 言11范围·2规范性引用文件3 定义….4缩略语·5＇概述·6数据平面安全·6.1安全威胁·6.2安全功能·7控制平面安全·7.1　安全威胁7.2　安全功能··8　管理平面安全18.1　安全威胁….8.2安全功能··参考文献· YD/T 1629-2007前言本标准是“以太网交换机设备”系列标准之一。本系列标准预计的结构和名称如下：1．YD/T1099-2005以太网交换机技术要求（修订YD/T1099-2001千兆比以太网交换机设备技术规范）2．YD/T1141-2005以太网交换机测试方法（修订YD/T1141-2001千兆比以太网交换机测试方法）3．YD/T1255-2003具有路由功能的以太网交换机技术要求4．YD/T1287-2003　具有路由功能的以太网交换机测试方法5．YD/T1627-2007以太网交换机设备安全技术要求6．YD/T1628-2007以太网交换机设备安全测试方法7．YD/T1629-2007具有路由功能的以太网交换机设备安全技术要求8.．YD/T1630-2007具有路由功能的以太网交换机设备安全测试方法其中，YD/T1630-2007《具有路由功能的以太网交换机设备安全测试方法》是本标准的配套标准，本标准同时也是YD/T1255-2003《具有路由功能的以太网交换机技术要求》的配套标准。本标准由中国通信标准化协会提出并归口。本标准起草单位：中兴通讯股份有限公司华为技术有限公司武汉邮电科学研究院国家计算机网络应急技术处理协调中心信息产业部电信研究院本标准主要起草人：陈建业‧罗鉴‧梁‧冰周开波 YD/T 1629-2007具有路由功能的以太网交换机设备安全技术要求1 范围本标准规定了支持Pv4协议的具有路由功能的以太网交换机的安全技术要求。本标准主要从数据平面、控制平面和管理平面这三个平面对具有路由功能的以太网交换机应该具备的安全功能做了详细规定。本标准适用于支持 IPv4 协议的具有路由功能的以太网交换机。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是杏可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T 18336.2-2001信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求YD/T 1358-2005路由器设备安全技术要求一中低端路由器（基于IPv4）3 定义下列定义适用于本标准。·访问控制（Access control）防止未经授权使用资源。·授权（Authorization）授予权限，包括根据访问权进行访问的权限。·密钥管理（Key management）根据安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。·安全审计（Security audit）对系统的记录及活动独立的复查与检查，以便检测系统控制是否充分，确保系统控制与现行策略和·操作程序保持-一致、探测违背安全性的行为，并介绍控制、策略和程序中所显示的任何变化。·数字签名（Digital signature）附在数据单元后面的数据或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的来源和完整性，保护数据不被伪造，并保证数据的不可否认性。·否认（Repudiation）参与通信的实体否认参加了全部或部分的通信过程。·可用性（Availability）根据需要，信息允许有权实体访问和使用的特性。·保密性（Confidentiality）信息对非授权个人、实体或进程是不可知、不可用的特性。·数据完整性（Data integrity） YD/T 1629-2007数据免遭非法更改或破坏的特性。·安全服务（Security service）由通信的系统提供的，对系统或数据传递提供充分的安全保障的一种服务。··安全策略（Security policy）提供安全服务的一套规则。·安全机制（Security mechanism）实现安全服务的过程。·拒绝服务（Denial of service）阻止授权访问资源或延迟时间敏感操作。·防重放（Anti-replay）防止对数据的重放攻击。·信息泄露（Information disclo