GB_T 33565-2024 网络安全技术 无线局域网接入系统安全技术要求.docx

ICS35.030CCS1.80,C¾l中华人民共和国国家标准GB/T335652024代替GB/T335652017网络安全技术无线局域网接入系统安全技术要求CybersecuritytechnologySecuritytechnologyrequirementsforwirelesslocalareanetworkaccesssystem2024-04-25发布2024-Il-OI实施国家市场监督管理总局国家标准化管理委员会目次前言V1范围12规范性引用文件13术语和定义14缩略语25无线局域网接入系统25.1 概述25.2 TOE边界36安全问题36.1 威胁36.1.1 未授权管理(rUNAUTHORIZED.MANAGEMENT)36.1.2 未授权访问(UNAUTHORIZED.ACCESS)36.1.3 力口密破解(CRYPTOGRAPHY.COMPROMISE)46.1.4 管理口令破解(T.ADMINISTRATOR.PASSWORD.CRACKING)46.1.5 弱终端认证(T.WEAK.AUTHENTICATION.ENDPOINTS)46.1.6 安全凭证受损(T.SECURITY.CREDENTIA1._COMPROMISE)46.1.7 更新受损(T.UPDATE.COMPROMISE)46.1.8 网络暴露(T.NETWORK.DISC1.OSURE)46.1.9 安全功能失效(T.SECURITY.FUNCTIONA1.ITY.FAI1.URE)46.1.10 不可信信道(T.UNTRUSTED.COMMUNICATION.CHANNE1.S)46.1.11 重放攻击(T.REP1.AY.ATTACK)46.1.12 未知活动(T.UNDETECTED.ACTIVITY)46.1.13 残留信息、利用(T.RESIDUA1._DATA.EXP1.OIT)56.1.14 资源消耗(T.RESOURCE.EXHAUSTION)56.1.15 网络劫持(T.HIJACK.ATTACK)56.2 组织安全策略56.2.1 接入告知(P.ACCESS.BANNER)56.2.2 密码管理(P.CRYPTOGRAPHY.MANAGEMENT)56.2.3 认证应用(P.AUTHENTICATION.USAGE)56.3 假设56.3.1 物理保护(A.PHYSICA1._PROTECTION)56.3.2 有限功能(A.1.IMITED.FUNCTIONA1.ITY)56.3.3 连接(A.CONNECTION)56.3.4 可信管理员(A.TRUSTED.ADMINISTRATOR)56.3.5 定期更新(A.REGU1.AR.UPDATES)56.3.6 管理员凭证安全(A.ADMINISTRATOR.CREDENTIA1.S.SECURE)66.3.7 组件正常运行(A.COMPONENTS.RUNNING)66.3.8 无遗留信息(A.NO_REMAINING.INFORMATION)67安全目的61.1 TOE安全目的61.1.1 力口密功能(O.CRYPTOGRAPHIC.FUNCTIONS)61.1.2 身份验证(O.AUTHENTICATION)61.1.3 自检(O.SE1.F_TEST)61.1.4 系统监测(O.SYSTEM.MONITORING)61.1.5 TOE管理员(O.TOE,ADMINISTRATOR)61.1.6 可信信道(O.TRUSTED_CHANNE1.)61.1.7 资源管理(O.RESOURCE.MANAGEMENT)61.1.8 残留信息清除(0E.RESIDUA1.INFORMATION.ERASE)71.1.9 可信更新(O.TRUSTED.UPDATE)71.1.10 分布式管理(O.DISTRIBUTED.MANAGEMENT)71.1.11 访问控制(O.ACCESS.CONTRO1.)71.2 环境安全目的71.2.1 物理(OE.PHYSICA1.)71.2.2 非通用功能(OE.NO.GENERA1.PURPOSE)71.2.3 管理员可信(OE.ADMINISTRATOR.TRUSTED)71.2.4 更新机制(OE.UPDATE.MECHANISM)71.2.5 管理员凭证安全(OE.ADMINISTRATOR.CREDENTIA1.S_SECURE)71.2.6 组件可用性(OE.COMPONENTS,SERVICEABI1.ITY)71.2.7 遗留信息清除(OE.REMAININGNFoRMATlON,ERASE)81.2.8 连接(OE.CONNECTIONS)81.2.9 可信时间(OE.T1ME)88 安全要求88.1 安全功能要求88.1.1 安全功能要求分级88.1.2 安全审计(FAU)118.1.3 密码支持(FCS)138.1.4 用户数据保护(FDP)158.1.5 标识和鉴别(FIA)168.1.6 安全管理(FMT)188.1.7 TSF保护(FPT)208.1.8 ToE访问（FTA）228.1.9 可信路径/信道（FTP）238.1.10 资源利用（FRU）和通信（FCO）258.2 安全保障要求259 基本原理259.1 安全目的基本原理259.2 安全要求基本原理269.3 组件依赖关系基本原理29附录A（规范性）分布式无线局域网接入系统组件安全功能要求分配关系33附录B（规范性）无线局域网接入系统安全功能要求对应的可审计事件36参考文献38III本文件按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件代替GB/T335652017信息安全技术无线局域网接入系统安全技术要求（评估保障级2级增强），与GB/T335652017相比，除结构调整和编辑性改动外，主要技术变化如下：a）更改了TOE范围（见第5章，2017年版的第6章）；b）更改了无线局域网接入系统面临的威肋,，包括15类威胁、3项组织安全策略和8个假设（见第6章,2017年版的第7章）；c）更改了UTOE安全目的”和“环境安全目的”，包括11项TOE的安全目的，9项环境安全目的（见第7章,2017年版的第8章）；d）更改了无线局域网接入系统安全功能要求，包括10类81项安全功能要求（见8.1,2017年版的第9章、第10章）;e）根据无线局域网接入系统技术发展，更改了最新安全保障要求（见8.2,2017年版的9.2）;0增加了“基本原理”，包括安全问题与安全目的、安全目的与安全要求间的对应关系和组件间的依赖关系（见第9章）。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国网络安全标准化技术委员会（SAC/TC260）提出并归口。本文件起草单位：中国信息安全测评中心，中国科学院信息工程研究所、中车工业研究院有限公司、北京交通大学、华为技术有限公司、西安西电捷通无线网络通信股份有限公司、公安部第一研究所、中国电子技术标准化研究院、北京天融信网络安全技术有限公司、深信服科技股份有限公司、郑州信大捷安信息技术股份有限公司、长扬科技（北京）股份有限公司、深圳市信锐网科技术有限公司、北京路云天网络安全技术研究院有限公司、西安交大捷普网络科技有限公司、中孚信息股份有限公司、国网区块链科技（北京）有限公司、中国网络安全审查技术与认证中心、新华三技术有限公司、中国电力科学研究院有限公司。本文件主要起草人：吴润浦、李美聪、龙刚、郭涛、陈冬青、邵帅、樊玉明、文愉、刘吉强、王伟、田寅、王剑、王俊勇、季晨荷、张媛、朱振荣、张东举、寇增杰、安高峰、鲍旭华、叶润国、马红丽、韩秀德、赵华、赖国强、何建锋、范伟、弥宝鑫、朱大立、张亮、韩继登、高金萍、孙鹏科、侯梦云、杨珂、申永波、万晓兰、王海翔。本文件及其所代替文件的历次版本发布情况为：2017年首次发布为GB/T335652017;一本次为第一次修订。网络安全技术无线局域网接入系统安全技术要求1范围本文件规定了无线局域网接入系统的安全功能要求和安全保障要求，给出了无线局域网接入系统面临安全问题的说明。本文件适用于无线局域网接入系统的测试、评估和采购，以及指导该类产品的研制和开发。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB15629.il信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分：无线局域网媒体访问控制和物理层规范GB/T18336.1-2024网络安全技术信息技术安全性评估准则第1部分：简介和一般模型GB/T18336.2-2024网络安全技术信息技术安全性评估准则第2部分：安全功能要求GB/T18336.3-2024网络安全技术信息技术安全性评估准则第3部分：安全保障要求GB/T250692022信息安全技术术语GB/T32213-2015信息安全技术公钥基础设施远程口令鉴别与密钥建立规范GB/T32915-2016信息安全技术二元序列随机性检测方法GB/T32918.3-2016信息安全技术SM2椭圆曲线公钥密码算法第3部分：密钥交换协议GB/T352762017信息安全技术SM2密码算法使用规范GB/T397862021信息安全技术信息系统密码应用基本要求3术语和定义GB/T250692022和GB/T18336.12024界定的以及下列术语和定义适用于本文件。3.1无线局域网接入系统wirelesslocalareanetworkaccesssystem;W1.ANaccesssystem能实现无线局域网客户端接入无线局域网络的，由软件和硬件构成的设备或者系统。3.2接入控制器accesscontroller实现无线局域网客户端接入无线局域网络的控制设备。3.3访问点accesspoint一种提供无线局域网客户端与有线网络之间的访问，在无线网络和有线网络之间转发帧的网络接口设备。4缩略语下列缩略语适用于本文件。AC:接入控制器(ACCeSSController)AP:访问点(ACCeSSPoint)EA1.:评估保障级(EVaIUatiOnAssurance1.evel)PP:保护轮廓(PrOIeCIionProfile)SFP:安全功能策略(SeCUriIyFunctionPolicy)SFR:安全功能要求(SeCUrityFunctionalRequirement)TOE:评估对象(TargetofEvaluation)TSF:评估对象安全功能(ToESecurityFunctions)TSP:评估对象安全策略(TOESecurityPolicy)WAPI:无线局域网鉴别与保密基础结构(W1.ANAuthenticationandPrivacyInfrastructure)WAS:无线局域网接入系统(W1.AN