网上银行系统安全保障评价准则.docx

信息安全技术无线局域网客户端安全技术要求（评估保证级2级增强）

（征求意见稿）

编制说明

中国信息安全测评中心

二o—四年七月七日

目录

TOC\o1-5\h\z\oCurrentDocument第1章工作简况 1

\oCurrentDocument1.1任务来源 1

\oCurrentDocument1.2协作单位 1

\oCurrentDocument1.3主要工作过程 1

\oCurrentDocument1.4标准主要起草人 2

\oCurrentDocument第2章标准编制原则 3

\oCurrentDocument2.1编制目标 1

\oCurrentDocument2.2编制原则 3

\oCurrentDocument2.3主要内容 4

\oCurrentDocument第3章试验分析 7

\oCurrentDocument3.1WLAN安全机制对比分析 7

3.1.1无线局域网鉴别与保密基础设施 7

3.1.2WEP、WPA与WPA2协议的比较 10

3.1.3研究结论 11

第4章采用国际标准情况 .2

第5章与我国现行标准的关系 16

1.6.5.1本标准与GB/T18336-2008之间的关系

1.6.

5.2本标准与WAPI之间的关系 .6

5.2.1WAPI技术简介 16 5.2.2WLAN安全机制.LZ5.2.3本标准与WAPI

5.2.1WAPI技术简介

16

5.2.2WLAN安全机制.

LZ

5.2.3本标准与WAPI关系 21

第6章重大分歧意见的处理经过和依据 23

第7章其他 24

7.1规范性引用

2.4.

7.2参考文献

.2.5

第1章工作简况

1.1任务来源

为了建立和完善国家信息安全标准体系，贯彻和落实《关于加强信息安全保障工作的意见》（中办发[2003]27号）的文件精神，根据我国信息化建设的实际需要，中国信息安全测评中心遵照国际通用的测评准则“通用准则CC（即：ISO/IEC15408）”，等同采用国家标准GB/T18336研究制定了一系列信息产品保护轮廓标准，为实现信息技术和信息产品的分级安全测评，以及国家的等级保护提供理论支撑和技术支持。本标准是关于无线局域网客户端的安全技术要求。

本标准是全国信息安全标准化委员会2007-2008年度下达的并由中国信息安全测评中心牵头，由中国科学院研究生院信息安全国家重点实验室共同参与承担的国家标准制定项目。

1.2协作单位

本项目由中国信息安全测评中心牵头编写，其他主要参与单位包括：北京邮电大学、中国科学院研究生院信息安全国家重点实验室、西安西电捷通无线网络通信有限公司。

1.3主要工作过程

2007年8月至2007年12月：项目的立项、启动和技术准备阶段。

2008年1月至2008年9月：制定标准草案，并组织内部和外部专家进行讨论与审议。

2008年10月至2009年3月：采取小型研讨会等方式，广泛听取业界和技术专家的意见，进一步完善标准草案。

2008年11月16日，安标委组织召开专家评审会。

2009年3月26日，安标委组织召开专家评审会。

2009年4月15日，根据安标委专家意见，对标准草案进行修订并提交新版草案和修订意见。

2009年5月15日，中心组织结题预审。

2010年4月29日，中心组织中期检查。

2011年5月18日，中心组织内部预验收。

2012年2月15日，中心组织阶段性检查。

2013年6月19日，安标委WG5组标准专家评审会议，根据专家意见，对标准草案进行修订并提交新版草案和修订意见。

2014年6月2-15日，安标委组织专家对标准进行投票，投票结果为：赞成但需修改。项目组已针对专家意见逐条进行应答、解释或改正。

1.4标准主要起草人

本标准主要起草人：郭涛、朱龙华、崔宝江、刘威鹏、张翀斌、张普含、时志伟、郝永乐、王眉林、胡亚楠。

第2章标准编制原则

2.1编制目标

本标准使用GB/T18336-2008定义的安全描述的组件与语法实例化该类产品或系统的信息保护轮廓，包括安全功能要求与安全保证要求。本标准针对具体的安全环境（用“假设”、“威胁”和“组织安全策略”描述），以此为基础分层、逻辑、合理地展开安全目的久“安全功能要求”、“安全保证要求”，并验证与说明技术的正确性、覆盖的完备性、对应关系的一致性等。

本标准为无线局域网客户端类产品定义了一组与具体实现无关的、完整的、紧密关联的最小安全要求集合；全面描述了无线局域网客户端使用的环境和面临的威胁；陈述了相应保证级别的无线局域网客户端应