DB32T 2766.2-2015 重要信息系统安全防护技术规范 第2部分：交换机　.docx

ICS25.040L70

备案号：46300-2015

江苏

省

地

DB32

方标准DB32/T2766.2-2015

重要信息系统安全防护技术规范第2部分：交换机

Specificationforsecuritytechnologyprotectionofimportantinformationsystems—Part2：Switch

2015-06-15发布2015-08-15实施

江苏省质量技术监督局发布

DB32/T2766.2-2015

I

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4符号和缩略语 1

5安全技术防护 1

5.1结构安全与网段划分 1

5.2网络访问控制 1

5.3网络安全审计 2

5.4网络设备防护 2

附录A（资料性附录）交换机基本要求防护方法实施示例 4

DB32/T2766.2-2015

II

前言

本规范依据GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写》编写。

本标准附录A是资料性附录。

本规范由江苏省经济和信息化委员会提出并归口。

本规范起草单位：江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）。本规范起草人：吴兰、黄申、张腾标、赵川、施麟、朱瑞、曹云、冉宏伟。

DB32/T2766.2-2015

III

引言

DB32/T1927-2011《政府信息系统安全防护基本要求》中对交换机的安全防护仅提出了基本要求，对如何具体实施未做详细规定。

本规范是对DB32/T1927-2011《政府信息系统安全防护基本要求》的细化，规定了重要信息系统中交换机设备的安全防护要求，以帮助信息系统运维单位对信息系统网络中的交换机设备进行安全运维，提高实际建设、整改、运维的操作能力。

DB32/T2766.2-2015

1

重要信息系统安全防护技术规范第2部分：交换机

1范围

本标准规定了重要信息系统中交换机设备的安全防护要求，以帮助信息系统运维单位对信息系统网络中的交换机设备进行安全运维，提高实际建设、整改、运维的操作能力。

本标准适用于重要信息系统中核心交换机产品的安全运维与防护。

2规范性引用文件

下列文件对于本文件的应用是必不可少的，凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T21050信息安全技术网络交换机安全技术要求

GB/T22239信息安全技术信息系统安全等级保护基本要求

GB/T25068.3信息技术安全技术IT网络第3部分：使用安全网关的网间通信安全保护DB32/T1927政府信息系统安全防护基本要求

3术语和定义

DB32/T1927中界定的术语和定义适用于本文件。

4符号和缩略语

ACL访问控制列表（AccessControlList）

HTTP超文本传输协议（HyperTextTransferProtocol）

VTY虚拟终端（VirtualTeletypeTerminal）

SNMP简单网络管理协议（SimpleNetworkManagementProtocol）

RMON远距离监控（RemoteMonitoring）

ARP地址解析协议（AddressResolutionProtocol）

VLAN虚拟局域网（VirtualLocalAreaNetwork）

5安全技术防护

5.1结构安全与网段划分

5.1.1基本要求

DB32/T1927-2011中适用于本标准的该项基本要求。

5.1.2防护方法

应能根据组织实际情况、业务应用重要性和安全区域防护要求，设置VLAN。

5.2网络访问控制

DB32/T2766.2-2015

2

5.2.1基本要求

DB32/T1927-2011中、和适用于本标准的该项基本要求。

5.2.2防护方法

a)应执行自主访问控制策略，通过管理员属性表，控制不同管理员对交换机的配置数据和其他数据的查看、修改，以及对交换机上程序的执行，阻止非授权人员进行上述活动。

b)应根据业务应用需求，配置访问控制策略，限制指定端口