GA/T 1726-2020 信息安全技术 负载均衡产品安全技术要求.pdf
- 文档部分内容预览:
7.4.4RAM高速缓存
应实现基于内存的反可代理Cache 米用内仔存缓仔 和包存储结构等方式,通过动态调整缓存 应速
Z.4.5 HTTP 压缩
应通过标准的HTTP压缩规范自动识别客户端对gzip或deflate压缩算法支持情况验货标准,并能够实现 过数据动态压缩。
7.4.6服务器上线及退出优化
服务器上线及退出优化包括上线及退出两类场景: 在服务器上线时,负载均衡器应逐步增加发往该服务器的请求,直至达到最大值,避免大量请 求导致新上线的服务器服务异常; 在服务器退出时,负载均衡器应不再将用户请求发往该服务器,并维持该服务器上的原有连 接,直至该服务器上没有用户后,再移除该服务器
7.4.7出入站链路繁忙保护
在某条链路的流量达到预设值时,
复正常后,再依据原有调度策略进行链路选择。
应可为指定的网络通信提供更好的服务,以解决网络延迟和阻塞等间题
GA/T 17262020
应支持多台负载均衡器以相同的服务IP发布相同的业务,通过与动态路由协议的联动来为用户 择最优路径,实现就近访问和站点穴余
7.4.10服务器浪涌保护
7.4.11不对称负载均衡
应支持服务器回包时数据不经过负载均衡器,通过第三方产品直接发送至客户端,以此来提高产 的吞吐性能。
7.4.12图片优化转码
负载均衡器可将服务器上的图片做优化转码处理,减少图片的文件大小,同时保证图片质量,提 传输速度。
应对服务器设备接入或接入请求进行访问控制。
集群部署,有效保证直身高可用的同时提高资源利
应确保断电恢复后,相关的均衡策略、系统日志和系统配置恢复到断电前状态
应支持通过双机热备的方式实现负载均衡产
7.8.1鉴别失败处理
录任何鉴别验证相关的剩余鉴别尝试的操作及次数!
当鉴别尝试次数还有2次时,产品应采取提示用户确认该鉴别操作(提示应遵循最小反馈原 则); b) 当鉴别数据验证或用户失败次数达到上限时(不超过10次),产品应采取有效措施防止用户进 一步尝试操作。
7.8.2单一鉴别、管理机制的使用
同一管理员账号同一时间不得同时进行产品管理操作,不同用户同一时间不得同时修改产品的同 一属性。
记录以下日志信息: a)应记录用户通过HTTP协议访问服务器时的基本信息(如URL等); )应通过Syslog协议将日志传输至远程日志服务器; )应内置日志管理系统,可跟踪管理员的操作信息,提高产品安全性
7.8.4安全功能数据的管理
具备以下管理功能: a)应仅限管理员能够对鉴别信息、失败次数进行重置操作; 6 应仅限管理员能够对要求存储的安全数据进行修改操作; c)应以安全方式存储敏感信息数据(用户鉴别信息、用户身份信息等)。
7.9.1网终层性能要求
7.9.1.1新建连接
验证产品在不丢包的情况下的标称网络层吞吐量性能值(包大小覆盖128B和16KB),测 300S。
验证产品在不丢包的情况下的标称网络层吞吐量性能值(包大小覆盖128B和16KB),测试时长 800S。
7.9.2应用层性能要求
Z.9.2.1新建请求
验证在不丢包的情况下的产品标称应用层吞吐量性能值(包大小覆盖128B和16KB),测试时长 00S。
7.9.3SSL性能要求
7.9.3.1SSL传输新建TPS(TransactionperSecond)
7.9.3.2加密吞吐量
验证产品在不丢包的情况下的标称加密吞吐量性能值(包大小覆盖128B和16KB,测试时 300S。
验证产品在不丢包的情况下的标称加密吞吐量性能值(包大小覆盖128B和16KB),测试时长 300S。
7.9.4.1网络层DDoS攻击防护
应能有效识别并防护网络层的DD
7.9.4.2应用层DDoS攻击防护
7.9.4.3自动化客户端程序识别(有则适用
7.10虚拟化环境中纯软件形态部署(有则适用)
7.11云管理平台对接(有则适用)
应支持与主流云管理平台(Openstack、VMware等)对接,方便用户统一管理,
开发者应提供产品安全功能的安全架构描述,安全架构描述应满足以下要求: a)与产品设计文档中对安全功能实施抽象描述的级别一致; b)描述与安全功能要求一致的产品安全功能的安全域: c)描述产品安全功能初始化过程为何是安全的; d)证实产品安全功能能够防止被破坏; e)证实产品安全功能能够防止安全特性被旁路
开发者应提供完备的功能规范说明。功能规范说明应满足以下要求: a)完全描述产品的安全功能; b)描述所有安全功能接口的目的与使用方法:
c)标识和描述每个安全功能接口相关的所有参数; d)描述安全功能接口相关的安全功能实施行为; e) 描述由安全功能实施行为处理而引起的直接错误消息; 证实安全功能要求到安全功能接口的追溯; g)描述安全功能实施过程中,与安全功能接口相关的所有行为; h)描述可能由安全功能接口的调用而引起的所有直接错误消息
开发者应提供全部安全功能的实现表示。实现表示应满足以下要求: a)提供产品设计描述与实现表示实例之间的映射,并证明其一致性; 按详细级别定义产品安全功能,详细程度达到无须进一步设计就能生成安全功能的程度; 以开发人员使用的形式提供
开发者应提供产品设计文档。产品设计文档应满足以下要求: 根据子系统描述产品结构; b) 标识和描述产品安全功能所有子系统; 描述产品安全功能所有子系统间的相互作用; d) 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口; 根据模块描述安全功能; 提供安全功能子系统到模块间的映射关系; g 描述所有安全功能实现模块,包括其目的及与其他模块间的相互作用; h) 描述所有实现模块的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及 调用的接口; 描述所有安全功能的支撑或相关模块,包括其目的及与其他模块间的相互作用,
8.2.1操作用户指南
,对每一种用户角色的描述应满足以下要求: a) 描述在安全处理环境中被控制的用户可访问的功能和特权,包含适当的警示信息; b) 描述如何以安全的方式使用产品提供的可用接口; 描述可用功能和接口,尤其是受用户控制的所有安全参数,适当时指明安全值; d 明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能所控 制实体的安全特性; e 标识产品运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持安全 运行之间的因果关系和联系; f)充分实现安全目的所必须执行的安全策略。
开发者应提供产品及其准备程序,准备程序描述应满足以下要求
开发者应提供产品及其准备程序,准备程序描述应满足以下要求
述与开发者交付程序相
8.3.1配置管理能力
开发者的配置管理能力应满足以下要求: a)为产品的不同版本提供唯一的标识。 b) 使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识配置项。 ) 提供配置管理文档,描述用于唯一标识配置项的方法。 d 配置管理系统提供一种自动方式来支持产品的生成,通过该方式确保只能对产品的实现表示 进行已授权的改变。 e) 配置管理文档包括一个配置管理计划,描述如何使用配置管理系统开发产品。实施的配置管 理与配置管理计划相一致。 配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序
8.3.2配置管理范围
开发者应提供产品配置项列表,并说明配置项的开发者。配置项列表应包含以下内容: )产品、安全保障要求的评估证据和产品的组成部分; )实现表示、安全缺陷报告及其解决状态
开发者应提供开发安全文档 发环境中,为保护产品设计和实: 保密性和完整性所必需的所有物
8.3.5生命周期定义
开发者应建立一个生命周期模型对产品的开发和维护进行必要控制,并提供生命周期定义文档, 述用于开发和维护产品的模型
开发者应明确定义用于开发产品的工具,并提供开发工具文档,无歧义地定义实现中每个语句的 义和所有依赖于实现的选项的含义,
GA/T 17262020
A/T 17262020
术对应性是完备的电力弱电技术、方案,并证实功能规范中的所有安全功
开发者应提供测试深度的分析 测试深度分析描述应满足以下要求: )证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性 b)证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。
开发者应测试产品安全功能,将结果文档化并提供测试文档。测试文档应包括以下内容: a)测试计划,标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果 的任何顺序依赖性; b) 预期的测试结果,表明测试成功后的预期输出; c)实际测试结果和预期的测试结果一致。
开发者应提供一组与其自测安全功能时使用的同等 等资源,以用于安全功能的抽样测试,
不同安全等级的负载均衡产品的安全功能要求如表1所示。
表1不同安全等级的负载均衡产品的安全功能要求
镀锌电焊网标准GA/T 17262020
不同安全等级的负载均衡产品的安全保障要求如表2所示。
表2不同安全等级的负载均衡产品的安全保障要
....- 相关专题: 信息安全