网络设备密码应用技术要求 存储设备.pdfVIP

网络设备密码应用技术要求存储设备

1范围

本文件规定了网络存储设备在软件/固件安全、身份鉴别、访问控制、网络通信安全、数据安全、

计算安全与性能要求等方面的密码应用技术的要求。

本文件适用于在我国境内销售或提供的网络存储设备，也可为网络运营者采购网络存储设备时提供

依据，还适用于指导网络存储设备的研发、测试等工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069—2022信息安全技术术语

GB/T32915—2016信息安全技术二元序列随机性检测方法

GB/T37939—2019信息安全技术网络存储安全技术要求

GB/T39786—2021信息安全技术信息系统密码应用基本要求

3术语和定义

GB/T25069—2022、GB/T37939—2019中界定的以及下列术语和定义适用于本文件。

3.1

网络存储设备networkstoragedevice

通过网络基于不同协议连接到服务器的专用存储设备。本文件中简称存储设备。

［来源：GB/T37939—2019，3.1，有修改］

3.2

重要数据importantdata

主要指支持存储设备自身运行管理所涉及的重要信息，包括访问控制信息、身份鉴别信息、存储服

务配置信息、重要日志信息和密钥等，具体参见附录A。

4缩略语

下列缩略语适用于本文件。

HTTPS：超文本传输安全协议（HypertextTransferProtocolSecure）

1

RestAPI：表现层状态转化应用程序编程接口（RepresentationalStateTransferApplication

ProgrammingInterface）

SNMP：简单网络管理协议（SimpleNetworkManagementProtocol）

SSH：安全外壳协议（SecureShell）

5存储设备密码应用技术要求

5.1基本要求

存储设备基本要求如下：

a)设备使用的密码技术（指本文件规定范围内的密码应用技术）应支持使用安全强度较高的密码

算法，不宜使用安全强度弱的密码算法；

b)设备使用的密码技术（指本文件规定范围内的密码应用技术）应支持使用安全强度较高的密码

协议，不宜使用安全强度弱的密码协议。

5.2软件/固件安全

存储设备软件/固件安全要求如下：

a)远程升级时，应使用密码技术保证软件/固件升级包的完整性与来源真实性；

b)可使用密码技术保证软件/固件保密性；

c)可使用密码技术保证软件/固件完整性；

d)可使用密码技术保证软件/固件抵御常见的攻击，如反编译、重打包等。

5.3身份鉴别

存储设备中的存储管理软件及其提供的存储服务（如文件存储、块存储、对象存储）功能模块身份

鉴别要求如下：

a)应使用密码技术对访问控制实体进行身份鉴别，可使用密码技术进行双向身份鉴别；

b)应支持使用密码技术保证身份鉴别信息传输过程中的保密性；

c)可使用密码技术保证身份鉴别信息传输过程中的完整性；

d)应支持使用密码技术保证身份鉴别信息存储过程中的保密性；

e)可使用密码技术保证身份鉴别信息存储过程中的完整性；

f)对于不需要还原的身份鉴别信息，应使用密码散列加随机盐值等不可逆密码技术处理后存储；

g)可使用密码技术对口令认证中身份鉴别信息进行加密后再传输；

h)可使用密码技术来抵御常见的重放攻击。

5.4访问控制

存储设备中的存储管理软件及其提供的存储服务（如文件存储、块存储、对象存储）功能模块访问

控制要求如下：

a）可使用密码技术实现访问控制功能，如数字证书等；

b）可使用密码技术保证访问控制信息的完整性；

c）可使用密码技术保证访问控制信息的不可否认性；

d）可使用密