《信息安全技术路由器安全技术要求(GB-T 18018-2019).pdf》由会员分享,可在线阅读,更多相关《信息安全技术路由器安全技术要求(GB-T 18018-2019).pdf(17页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS 35.040L 80中 华 人 民 共 和 国 国 家 标 准GB/T 18018201X代替 GB/T 180182007信息安全技术 路由器安全技术要求Information security technology Technical requirement for router security点击此处添加与国际标准一致性程度的标识(报批稿)本稿完成日期:2018 年 5 月-XX-XX 实施GB/T XXXXXXXXX1目次前言.31 范围.42 规范性引用文件.43 术语和定义、缩略语.43.1 术语和定义.43.2 缩略语.44 第一级安全要求.54.1 安全功能要求.54
2、.1.1 自主访问控制.54.1.2 身份鉴别.54.1.3 安全管理.54.1.4 设备安全防护.64.1.5 安全功能保护.64.2 安全保障要求.64.2.1 配置管理.64.2.2 交付和运行.64.2.3 开发.64.2.4 指导性文档.64.2.5 生命周期支持.64.2.6 测试.65 第二级安全要求.75.1 安全功能要求.75.1.1 自主访问控制.75.1.2 身份鉴别.75.1.3 安全管理.75.1.4 设备安全防护.85.1.5 网络安全防护.85.1.6 安全功能保护.85.1.7 审计.85.1.8 可靠性.95.2 安全保障要求.95.2.1 配置管理.95.2
3、.2 交付和运行.95.2.3 开发.95.2.4 指导性文档.9GB/T XXXXXXXXX25.2.5 生命周期支持.105.2.6 测试.105.2.7 脆弱性评定.106 第三级安全要求.106.1 安全功能要求.106.1.1 自主访问控制.106.1.2 身份鉴别.106.1.3 数据保护.116.1.4 安全管理.116.1.5 设备安全防护.126.1.6 网络安全防护.126.1.7 安全功能保护.126.1.8 审计.126.1.9 可靠性.136.2 安全保障要求.136.2.1 配置管理.136.2.2 交付和运行.136.2.3 开发.146.2.4 指导性文档.14
4、6.2.5 生命周期支持.146.2.6 测试.156.2.7 脆弱性评定.15附录 A(资料性附录)安全要求对照表.16GB/T XXXXXXXXX3前言本标准按照GB/T 1.12009给出的规则起草。本标准代替GB/T 180182007信息安全技术 路由器安全技术要求。本标准与GB/T 180182007的主要差异如下:“2 规范性引用文件”进行了更新;“3.2 缩略语”中补充了内容;“4 第一级安全要求”中修改了“4.1.2.1 管理员鉴别”;“4 第一级安全要求”中增加了“4.1.3.2 管理协议设置”、“4.1.4 设备安全防护”和“4.1.5安全功能保护”;“5 第二级安全要求
5、”中修改了“5.1.2.1 管理员鉴别”和“5.1.3.1 权限管理”;“5 第二级安全要求”中增加了“5.1.3.2 管理协议设置”、“5.1.4 设备安全防护”、“5.1.5网络安全防护”和“5.1.6 安全功能保护”;“6 第三级安全要求”中修改了“6.1.2.1 管理员鉴别”和“6.1.4.1 权限管理”;“6 第三级安全要求”中增加了“6.1.2.2 设备登录口令管理”、“6.1.2.3 证书验证”、“6.1.3.2数据存储”、“6.1.3.3 数据传输”、“6.1.3.4 敏感数据”、“6.1.4.2 管理协议设置”、“6.1.5设备安全防护”、“6.1.6 网络安全防护”和“6.
6、1.7安全功能保护”;删除了GB/T 180182007的“5.1.8 路由认证”和“6.1.10 路由认证”;分别调整到本标准的相应章节之中。删除了GB/T 180182007的“7 附加安全功能”。“附录A”的“A.1 安全功能要求对照表”中增加“设备安全防护”行及相应的3个子行;“附录A”的“A.1 安全功能要求对照表”中增加“网络安全防护”行及相应的3个子行;“附录A”的“A.1 安全功能要求对照表”中增加“安全功能保护”行及相应的2个子行;“附录A”的“A.1 安全功能要求对照表”中的“身份鉴别”行中增加2个子行;“附录A”的“A.1 安全功能要求对照表”中的“数据保护”行中增加3个
7、子行;“附录A”的“A.1 安全功能要求对照表”中的“安全管理”行中增加1个子行;本标准中的加粗字体表示,该等级中新出现的增强要求。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国科学院软件研究所、华为技术有限公司、新华三技术有限公司、迈普通信技术股份有限公司、中国科学院信息工程研究所、北京大学软件与微电子学院、中国电子技术标准化研究院。本标准主要起草人:卿斯汉、陈驰、付天福、王博、杨银柱、李晶林、何斌、王利明、赵志宇、王惠莅、罗锋盈、周启明、沈晴霓、文伟平、马书南。本标准所代替标准的历次版本发布情况:GB/T 180181999GB/T 180182
8、007GB/T XXXXXXXXX4信息安全技术 路由器安全技术要求1范围本标准分等级规定了路由器的安全功能要求和安全保障要求。本标准适用于指导路由器产品安全性的设计和实现,对路由器产品进行的测试、评估和管理也可参照使用。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB 178591999 计算机信息系统安全保护等级划分准则GB/T 18336-2015 信 息 技 术安 全 技 术信 息 技 术 安 全 性 评 估 准 则(GB/T 18336-2015,ISO/
9、IEC15408:2009,IDT)3术语和定义、缩略语3.1术语和定义GB 178592008和GB/T 183362015确立的术语和定义适用于本标准。3.1.1路由器 router路由器是主要的网络节点设备,承载数据流量,通过路由选择算法决定流经数据的转发处理,并可以通过集成防火墙等功能模块提供访问控制和安全扩展功能。3.1.2简单网络管理协议 simple network management protocol简单网络管理协议SNMP是一系列协议组和规范,提供了一种从网络上的设备收集网络管理信息的方法,也为设备向网络管理工作站报告问题和错误提供了一种方法。3.1.3单播逆向路径转发 u
10、nicast reverse path forwarding单播逆向路径转发通过获取包的源地址和入接口,以源地址为目的地址,在转发表中查找源地址对应的接口是否与入接口匹配,如果不匹配,则认为源地址是伪装的,丢弃该包。其功能是防止基于源地址欺骗的网络攻击行为。3.2缩略语HTTPSHyper Text Transfer Protocol over Secure Socket Layer 安全套接字层超文本传输协议IKEInternet Key Exchange ProtocolInternet密钥交换协议IPSecInternet Protocol SecurityInternet协议安全LDA
11、PLightweight Directory Access Protocol轻量级目录访问协议GB/T XXXXXXXXX5MPLSMulti-Protocol Label Switching 多协议标记交换RADIUSRemote Authentication Dial In User Service远程用户拨号认证系统SFTPSecure File Transfer Protocol安全文件传输协议SNMPSimple Network Management Protocol 简单网络管理协议SNMPV3Simple Network Management Protocol Version 3
12、简单网络管理协议版本3SSHSecure Shell安全壳协议SSL/TLSSecure Socket Layer/Transport Layer Security安全套接字层/传输层安全协议TACACSTerminal Access Controller Access Control System终端访问控制器访问控制系统URPFUnicast Reverse Path Forwarding 单播逆向路径转发VRRPVirtual Router Redundancy Protocol 虚拟路由冗余协议VPNVirtual Private Network 虚拟专用网4第一级安全要求4.1安全功
13、能要求4.1.1 自主访问控制路由器应执行自主访问控制策略,通过管理员属性表,控制不同管理员对路由器的配置数据和其他数据的查看、修改,以及对路由器上程序的执行,阻止非授权人员进行上述活动。4.1.2 身份鉴别4.1.2.1 管理员鉴别在管理员进入系统会话之前,路由器应鉴别管理员的身份,鉴别时应采用口令机制,并在每次登录系统时进行。口令应是不可见的,并在存储和传输时加密保护。当进行鉴别时,路由器应仅将最少的反馈(如:打入的字符数,鉴别的成功或失败)提供给被鉴别人员。同时,反馈信息应避免提示“用户名错误”、“口令错误”等信息,避免攻击者进行用户名或口令的暴力猜解。4.1.2.2 鉴别失败处理在经过
14、一定次数的鉴别失败以后,路由器应锁定该账号。最多失败次数仅由授权管理员设定。4.1.3 安全管理4.1.3.1 权限管理路由器应能够设置多个角色,具备划分管理员级别和规定相关权限(如监视、维护配置等)的能力,能够限定每个管理员的管理范围和权限,防止非授权登录和非授权操作。4.1.3.2 管理协议设置路由器应能配置和使用安全的协议对系统进行管理控制。应使用SSH,SFTP,SNMPV3和HTTPS。4.1.3.3 安全属性管理路由器应为管理员提供对安全功能进行控制管理的功能,这些管理包括:a)与对应的路由器自主访问控制、鉴别和安全保障技术相关的功能的管理;b)与一般的安装和配置有关的功能的管理;
15、c)路由器的安全配置参数要有初始值。路由器安装后,安全功能应能及时提醒管理员修改配置,并能周期性地提醒管理员维护配置。GB/T XXXXXXXXX64.1.4 设备安全防护4.1.4.1 流量控制路由器应能够对设备本身需进行解析处理的协议流量大小进行控制,例如,通过设置带宽等防护手段,保证系统在经受协议泛洪攻击时原有转发业务正常,在泛洪攻击消除后系统可直接恢复。4.1.5 安全功能保护4.1.5.1 自检设备在上电启动时应执行安全功能的自检,如内存、数字签名、加密算法等,确保安全功能正确。只有当所有自检功能通过时,才能正常启动设备。4.1.5.2 保证软件更新的合法性安全管理员应能查询当前执行
16、的软件/固件版本号及最近一次安装的版本号。应能在安装更新前用数字签名验证软件/固件更新的合法性。4.2安全保障要求4.2.1 配置管理开发者应设计和实现路由器配置管理,为产品的不同版本提供唯一的标识,且产品的每个版本应当使用其唯一的标识作为标签。4.2.2 交付和运行开发者应以文档形式对路由器安全交付以及安装和启动过程进行说明。文档中应包括:a)对安全地将路由器交付给用户的说明;b)对安全地安装和启动路由器的说明。4.2.3 开发开发者应提供路由器功能设计,要求按非形式化功能设计的要求进行功能设计,以非形式化方法描述安全功能及其外部接口,并描述使用外部安全功能接口的目的和方法。4.2.4 指导
17、性文档开发者应编制路由器的指导性文档,要求如下:a)文档中应该提供关于路由器的安全功能与接口、路由器的管理和配置、路由器的启动和操作、安全属性、警告信息的描述;b)文档中不应包含任何一旦泄露将会危及系统安全的信息,文档可以为硬拷贝、电子文档或联机文档。如果是联机文档,应控制对文档的访问。4.2.5 生命周期支持开发者应建立开发和维护路由器的生命周期模型,包括用于开发和维护路由器的程序、工具和技术。开发者应按其定义的生命周期模型进行开发和维护,并提供生命周期定义文档,在文档中描述用于开发和维护路由器安全功能的生命周期模型。4.2.6 测试开发者应对路由器进行测试,要求如下:a)应进行一般功能测试
18、,保证路由器能够满足所有安全功能的要求;GB/T XXXXXXXXX7b)保留并提供测试文档,详细描述测试计划、测试过程以及预测结果和实际测试结果。5第二级安全要求5.1 安全功能要求5.1.1 自主访问控制路由器应执行自主访问控制策略,通过管理员属性表,控制不同管理员对路由器的配置数据和其他数据的查看、修改,以及对路由器上程序的执行,阻止非授权人员进行上述活动。5.1.2 身份鉴别5.1.2.1 管理员鉴别在管理员进入系统会话之前,路由器应鉴别管理员的身份,鉴别时应采用口令机制,并在每次登录系统时进行。口令应是不可见的,并在存储和传输时加密保护。当进行鉴别时,路由器应仅将最少的反馈(如:打入
19、的字符数,鉴别的成功或失败)提供给被鉴别人员。同时,反馈信息应避免提示“用户名错误”、“口令错误”等信息,避免攻击者进行用户名或口令的暴力猜解。5.1.2.2 鉴别失败处理在经过一定次数的鉴别失败以后,路由器应锁定该账号。最多失败次数仅由授权管理员设定。5.1.2.3 超时锁定路由器应具有登录超时锁定功能。在设定的时间段内没有任何操作的情况下终止会话,需要再次路由器应具有登录超时锁定功能。在设定的时间段内没有任何操作的情况下终止会话,需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。5.1.2.4 会话锁定路由器应为
20、管理员提供锁定自己的交互会话的功能,锁定后需要再次进行身份鉴别才能够重新管路由器应为管理员提供锁定自己的交互会话的功能,锁定后需要再次进行身份鉴别才能够重新管理路由器。理路由器。5.1.2.5 登录历史路由器应具有登录历史功能,为登录人员提供系统登录活动的有关信息,使登录人员识别入侵的路由器应具有登录历史功能,为登录人员提供系统登录活动的有关信息,使登录人员识别入侵的企图。成功通过鉴别并登录系统后,路由器应显示如下数据:企图。成功通过鉴别并登录系统后,路由器应显示如下数据:a)a)日期、时间、来源和上次成功登录系统的情况;日期、时间、来源和上次成功登录系统的情况;b)b)上次成功登录系统以来身
21、份鉴别失败的情况;上次成功登录系统以来身份鉴别失败的情况;c)c)口令距失效日期的天数。口令距失效日期的天数。5.1.3 安全管理5.1.3.1 权限管理路由器应能够设置多个角色,具备划分管理员级别和规定相关权限(如监视、维护配置等)的能力,能够限定每个管理员的管理范围和权限,防止非授权登录和非授权操作。系统应能支持系统应能支持 RADIUSRADIUS/TACACSTACACS 的集中认证授权管理。的集中认证授权管理。5.1.3.2 管理协议设置路由器应能配置和使用安全的协议对系统进行管理控制。应使用SSH,SFTP,SNMPV3和HTTPS。5.1.3.3 安全属性管理路由器应为管理员提供
22、对安全功能进行控制管理的功能,这些管理包括:a)与对应的路由器自主访问控制、鉴别和安全保障技术相关的功能的管理;b)与一般的安装和配置有关的功能的管理;GB/T XXXXXXXXX8c)路由器的安全配置参数要有初始值。路由器安装后,安全功能应能及时提醒管理员修改配置,并能周期性地提醒管理员维护配置。5.1.4 设备安全防护5.1.4.1 流量控制路由器应能够对设备本身需进行解析处理的协议流量大小进行控制,例如,通过设置带宽等防护手段,保证系统在经受协议泛洪攻击时原有转发业务正常,在泛洪攻击消除后系统可直接恢复。5.1.4.2 优先级调度路由器应能够按照业务重要性对设备本身需进行解析处理的协议流
23、量进行优先级调度。对高优先路由器应能够按照业务重要性对设备本身需进行解析处理的协议流量进行优先级调度。对高优先的协议流量进行优先保证,当发生业务量激增或网络攻击时使重要业务不中断。的协议流量进行优先保证,当发生业务量激增或网络攻击时使重要业务不中断。5.1.4.3 资源耗尽防护路由器应能够对重要系统资源进行保护路由器应能够对重要系统资源进行保护,通过限定资源分配的方式将攻击影响限定到一定范围内通过限定资源分配的方式将攻击影响限定到一定范围内。路由器应支持路由器应支持MACMAC地址学习限制功能,使系统其他接口用户不受影响。地址学习限制功能,使系统其他接口用户不受影响。5.1.5 网络安全防护5
24、.1.5.1 单播逆向路径转发功能路由器应具备路由器应具备URPFURPF功能,在网络边界阻断源功能,在网络边界阻断源IPIP地址欺骗攻击。地址欺骗攻击。5.1.5.2 路由协议认证路由器使用的路由协议应支持路由认证功能,保证路由是由合法的路由器发出的,并且在转发过路由器使用的路由协议应支持路由认证功能,保证路由是由合法的路由器发出的,并且在转发过程中没有被改变。程中没有被改变。5.1.5.3 MPLS VPN功能路由器应基于路由器应基于MPLSMPLS协议实现二层和三层协议实现二层和三层VPNVPN功能功能,采用独立的采用独立的VPNVPN管理网络管理网络,实现不同用户间的业务实现不同用户间
25、的业务隔离。隔离。5.1.6 安全功能保护5.1.6.1 自检设备在上电启动时应执行安全功能的自检,如内存、数字签名、加密算法等,确保安全功能正确。只有当所有自检功能通过时,才能正常启动设备。5.1.6.2 安全的软件更新安全管理员应能查询当前执行的软件/固件版本号及最近一次安装的版本号。应能在安装更新前用数字签名验证软件/固件更新的合法性。5.1.7 审计5.1.7.1 审计数据生成路由器应具有审计功能,至少能够审计以下行为:路由器应具有审计功能,至少能够审计以下行为:a)a)审计功能的启动和终止;审计功能的启动和终止;b)b)账户管理;账户管理;c)c)登录事件;登录事件;d)d)系统事件
26、;系统事件;e)e)配置文件的修改。配置文件的修改。路由器应为可审计行为生成审计记录,并在每一个审计记录中至少记录以下信息:路由器应为可审计行为生成审计记录,并在每一个审计记录中至少记录以下信息:a)a)事件发生的日期和时间;事件发生的日期和时间;b)b)事件的类型;事件的类型;GB/T XXXXXXXXX9c)c)管理员身份;管理员身份;d)d)事件的结果(成功或失败)。事件的结果(成功或失败)。5.1.7.2 审计数据查阅路由器应为授权管理员提供从审计记录中读取审计信息的能力,为管理员提供的审计记录具有唯路由器应为授权管理员提供从审计记录中读取审计信息的能力,为管理员提供的审计记录具有唯一
27、、明确的定义和方便阅读的格式。一、明确的定义和方便阅读的格式。5.1.7.3 审计数据保护路由器应能保护已存储的审计记录,避免未经授权的删除,并能监测和防止对审计记录的修改。路由器应能保护已存储的审计记录,避免未经授权的删除,并能监测和防止对审计记录的修改。当审计存储耗尽、失败或受到攻击时,路由器应确保最近的审计记录在一定的时间内不会被破坏。当审计存储耗尽、失败或受到攻击时,路由器应确保最近的审计记录在一定的时间内不会被破坏。5.1.8 可靠性路由器应提供可靠性保证,具有部分冗余设计性能。支持插卡、接口、电源等部件的冗余与热插路由器应提供可靠性保证,具有部分冗余设计性能。支持插卡、接口、电源等
28、部件的冗余与热插拔能力。拔能力。5.2 安全保障要求5.2.1 配置管理开发者应设计和实现路由器配置管理,要求如下:a)开发者应使用配置管理系统,并提供配置管理文档并提供配置管理文档,为产品的不同版本提供唯一的标识,且产品的每个版本应当使用其唯一的标识作为标签。b)配置管理范围至少应包括路由器的产品实现表示配置管理范围至少应包括路由器的产品实现表示、设计文档设计文档、测试文档测试文档、用户文档用户文档、配置管理配置管理,从而确保它们的修改是在一个正确授权的可控方式下进行的。配置管理文档至少应能跟踪上述内容,从而确保它们的修改是在一个正确授权的可控方式下进行的。配置管理文档至少应能跟踪上述内容,
29、并描述配置管理系统如何跟踪这些配置项。并描述配置管理系统如何跟踪这些配置项。5.2.2 交付和运行开发者应以文档形式对路由器安全交付以及安装和启动过程进行说明。文档中应包括:a)对安全地将路由器交付给用户的说明;b)对安全地安装和启动路由器的说明。5.2.3 开发开发者应提供路由器功能规范,要求如下:a)按非形式化功能设计的要求进行功能设计,以非形式化方法描述安全功能及其外部接口,并描述使用外部安全功能接口的目的和方法;b)提供路由器安全功能的高层设计提供路由器安全功能的高层设计。高层设计应按子系统描述安全功能及其结构高层设计应按子系统描述安全功能及其结构,并标识安全功并标识安全功能子系统的所
30、有接口。高层设计还应标识实现安全功能所要求的基础性的硬件、固件和软件能子系统的所有接口。高层设计还应标识实现安全功能所要求的基础性的硬件、固件和软件;c)开发者应提供路由器安全功能的功能设计与高层设计之间的非形式化对应性分析开发者应提供路由器安全功能的功能设计与高层设计之间的非形式化对应性分析,该分析应证该分析应证明功能设计表示的所有相关安全功能都在高层设计中得到正确且完备的细化明功能设计表示的所有相关安全功能都在高层设计中得到正确且完备的细化。5.2.4 指导性文档开发者应编制路由器的指导性文档,要求如下:a)文档中应该提供关于路由器的安全功能与接口、路由器的管理和配置、路由器的启动与操作、
31、安全属性、警告信息、审计工具审计工具的描述;b)文档中不应包含任何一旦泄漏将会危及系统安全的信息,文档可以为硬拷贝、电子文档或联机文档。如果是联机文档,应控制对文档的访问。GB/T XXXXXXXXX105.2.5 生命周期支持开发者应建立开发和维护路由器的生命周期模型,即用于开发和维护路由器的程序、工具和技术。要求如下:a)开发者应按其定义的生命周期模型进行开发和维护,并提供生命周期定义文档,在文档中描述用于开发和维护路由器安全功能的生命周期模型;b)该模型对于路由器开发和维护应提供必要的控制该模型对于路由器开发和维护应提供必要的控制,采用物理上采用物理上、程序上程序上、人员上以及其他方面人
32、员上以及其他方面的安全措施保护路由器开发环境的安全,包括场地的物理安全和对开发人员的选择,并采取适当的防的安全措施保护路由器开发环境的安全,包括场地的物理安全和对开发人员的选择,并采取适当的防护措施来消除或降低路由器开发所面临的安全威胁护措施来消除或降低路由器开发所面临的安全威胁。5.2.6 测试开发者应对路由器进行测试,要求如下:a)应进行一般功能测试,保证路由器能够满足所有安全功能的要求;b)应提供测试深度的分析应提供测试深度的分析。在深度分析中在深度分析中,应论证测试文档中所标识的对安全功能的测试足以表应论证测试文档中所标识的对安全功能的测试足以表明该安全功能的运行与高层设计是一致的明该
33、安全功能的运行与高层设计是一致的;c)应进行相符性独立测试应进行相符性独立测试,由专业的第三方独立实验室实施测试由专业的第三方独立实验室实施测试,确认路由器能够满足所有安全确认路由器能够满足所有安全功能的要求功能的要求;d)保留并提供测试文档,详细描述测试计划、测试过程以及预测结果和实际测试结果。5.2.7 脆弱性评定脆弱性评定包含下述内容:脆弱性评定包含下述内容:a)a)开发者应提供指导性文档和分析文档开发者应提供指导性文档和分析文档,在文档中确定对路由器的所有可能的操作方式在文档中确定对路由器的所有可能的操作方式(包括失包括失败和操作失误后的操作)的后果以及对于保持安全操作的意义,并列出所
34、有目标环境的假设和所有的败和操作失误后的操作)的后果以及对于保持安全操作的意义,并列出所有目标环境的假设和所有的外部安全措施(包括外部程序的、物理的或人员控制)要求。所述内容应是完备、清晰、一致和合理外部安全措施(包括外部程序的、物理的或人员控制)要求。所述内容应是完备、清晰、一致和合理的。的。b)b)开发者应对具有安全功能强度生命的安全机制开发者应对具有安全功能强度生命的安全机制(例如口令机制例如口令机制)进行安全功能强度分析进行安全功能强度分析。安全安全功能强度分析应证明安全机制达到了所声明的强度。功能强度分析应证明安全机制达到了所声明的强度。c)c)开发者应实施脆弱性分析开发者应实施脆弱
35、性分析,并提供脆弱性分布的文档并提供脆弱性分布的文档。对所有已标识的脆弱性对所有已标识的脆弱性,文档应说明它文档应说明它们在所期望的路由器使用环境中不能被利用。文档还应说明如何确保用户能够得到最新的安全补丁。们在所期望的路由器使用环境中不能被利用。文档还应说明如何确保用户能够得到最新的安全补丁。d)d)脆弱性分析文档中应包含对所使用协议的脆弱性分析脆弱性分析文档中应包含对所使用协议的脆弱性分析。6第三级安全要求6.1安全功能要求6.1.1 自主访问控制路由器应执行自主访问控制策略,通过管理员属性表,控制不同管理员对路由器的配置数据和其他数据的查看、修改,以及对路由器上程序的执行,阻止非授权人员
36、进行上述活动。6.1.2 身份鉴别6.1.2.1 管理员鉴别在管理员进入系统会话之前,路由器应鉴别管理员的身份。鉴别应支持数字证书等鉴别方法鉴别应支持数字证书等鉴别方法,并在每次登录系统时进行。口令应是不可见的,并在存储和传输时加密保护。GB/T XXXXXXXXX11当进行鉴别时,路由器应仅将最少的反馈(如:打入的字符数,鉴别的成功或失败)提供给被鉴别人员。同时,反馈信息应避免提示“用户名错误”、“口令错误”等信息,避免攻击者进行用户名或口令的暴力猜解。6.1.2.2 设备登录口令管理设备应能够提供身份鉴别管理策略,限制口令的最小长度、组成、复杂度、使用期等。口令组成设备应能够提供身份鉴别管
37、理策略,限制口令的最小长度、组成、复杂度、使用期等。口令组成应支持数字、大小写字母和特殊符号;并能限制历史密码的使用。应支持数字、大小写字母和特殊符号;并能限制历史密码的使用。设备登录口令不能以明文形式显示或存储,应采用单向函数方式存储,并保证单向函数的强度。设备登录口令不能以明文形式显示或存储,应采用单向函数方式存储,并保证单向函数的强度。6.1.2.3 证书验证设备应支持使用证书进行身份验证设备应支持使用证书进行身份验证。例如例如,SSHSSH、IKEIKE、SSL/TLSSSL/TLS等协议应支持证书认证等协议应支持证书认证,增强设备增强设备的安全性。颁发证书的的安全性。颁发证书的CAC
38、A应提供网络设备可访问的应提供网络设备可访问的LDAPLDAP或其他证书黑名单访问机制,以确保失效证书或其他证书黑名单访问机制,以确保失效证书访问拒绝。访问拒绝。6.1.2.4 鉴别失败处理在经过一定次数的鉴别失败以后,路由器应锁定该账号。最多失败次数仅由授权管理员设定。6.1.2.5 超时锁定路由器应具有登录超时锁定功能。在设定的时间段内没有任何操作的情况下终止会话,需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。6.1.2.6 会话锁定路由器应为管理员提供锁定自己的交互会话的功能,锁定后需要再次进行身份鉴别才能够重新管理路由器。6.1.2.7 登录历史路由器应具有登录历
39、史功能,为登录人员提供系统登录活动的有关信息,是登录人员识别入侵的企图。成功通过鉴别并登录系统后,路由器应显示如下数据:a)日期、时间、来源和上次成功登录系统的情况;b)上次成功登录系统以来身份鉴别失败的情况;c)口令距失效日期的天数;d)证书距过期日期的天数证书距过期日期的天数。6.1.3 数据保护6.1.3.1 概述路由器应具有数据完整性功能,对系统中的数据采取有效措施,防止其遭受非授权人员的修改、路由器应具有数据完整性功能,对系统中的数据采取有效措施,防止其遭受非授权人员的修改、破坏和删除。破坏和删除。6.1.3.2 数据存储只有管理员才能管理(包括但不限于:创建、初始化、查看、添加、修
40、改、删除等操作)设备的只有管理员才能管理(包括但不限于:创建、初始化、查看、添加、修改、删除等操作)设备的配置、身份和审计数据。配置、身份和审计数据。6.1.3.3 数据传输管理员应能选择安全协议(例如管理员应能选择安全协议(例如SSHSSH、IPSecIPSec、TLSTLS等)对传输的数据进行保护。保护功能包括等)对传输的数据进行保护。保护功能包括:身身份认证、机密性和完整性。份认证、机密性和完整性。6.1.3.4 敏感数据对于敏感数据,例如用户口令、私钥、对称密钥、预共享密钥等,应以密文的形式显示或存储。对于敏感数据,例如用户口令、私钥、对称密钥、预共享密钥等,应以密文的形式显示或存储。
41、6.1.4 安全管理6.1.4.1 权限管理GB/T XXXXXXXXX12路由器应能够设置多个角色,具备划分管理员级别和规定相关权限(如监视、维护配置等)的能力,能够限定每个管理员的管理范围和权限,防止非授权登录和非授权操作。系统应能支持RADIUS/TACACS的集中认证授权管理。6.1.4.2 管理协议设置路由器应能配置和使用安全的协议对系统进行管理控制。应使用SSH,SFTP,SNMPV3和HTTPS。6.1.4.3 安全属性管理路由器应为管理员提供对安全功能进行控制管理的功能,这些管理包括:a)与对应的路由器自主访问控制、鉴别和安全保障技术相关的功能的管理;b)与一般的安装和配置有关
42、的功能的管理;c)路由器的安全配置参数要有初始值。路由器安装后,安全功能应能及时提醒管理员修改配置,并能周期性地提醒管理员维护配置。6.1.5 设备安全防护6.1.5.1 流量控制路由器应能够对设备本身需进行解析处理的协议流量大小进行控制,例如,通过设置带宽等防护手段,保证系统在经受协议泛洪攻击时原有转发业务正常,在泛洪攻击消除后系统可直接恢复。6.1.5.2 优先级调度路由器应能够按照业务重要性对设备本身需进行解析处理的协议流量进行优先级调度。对高优先的协议流量进行优先保证,当发生业务量激增或网络攻击时使重要业务不中断。6.1.5.3 资源耗尽防护路由器应能够对重要系统资源进行保护,通过限定
43、资源分配的方式将攻击影响限定到一定范围内。攻击结束后应能释放攻击时路由器分配的资源。路由器应支持MAC地址学习限制功能,使系统其他接口用户不受影响。6.1.6 网络安全防护6.1.6.1 单播逆向路径转发功能路由器应具备URPF功能,在网络边界阻断源IP地址欺骗攻击。6.1.6.2 路由协议认证路由器使用的路由协议应支持路由认证功能,保证路由是由合法的路由器发出的,并且在转发过程中没有被改变。6.1.6.3 MPLS VPN功能路由器应基于MPLS协议实现二层和三层VPN功能,采用独立的VPN管理网络,实现不同用户间的业务隔离。6.1.7 安全功能保护6.1.7.1 自检设备在上电启动时应执行
44、安全功能的自检,如内存、数字签名、加密算法等,确保安全功能正确。只有当所有自检功能通过时,才能正常启动设备。6.1.7.2 保证软件更新的合法性安全管理员应能查询当前执行的软件/固件版本号及最近一次安装的版本号。应能在安装更新前用数字签名验证软件/固件更新的合法性。6.1.8 审计GB/T XXXXXXXXX136.1.8.1 审计数据生成路由器应具有审计功能,至少能够审计以下行为:a)审计功能的启动和终止;b)账户管理;c)登录事件;d)系统事件;e)配置文件的修改。路由器应为可审计行为生成审计记录,并在每一个审计记录中至少记录以下信息:a)事件发生的日期和时间;b)事件的类型;c)管理员身
45、份;d)事件的结果(成功或失败)。6.1.8.2 审计数据查阅路由器应为授权管理员提供从审计记录中读取审计信息的能力,为管理员提供的审计记录具有唯一、明确的定义和方便阅读的格式。6.1.8.3 审计数据保护路由器应能保护已存储的审计记录,避免未经授权的删除,并能监测和防止对审计记录的修改。当审计存储耗尽、失败或受到攻击时,路由器应确保最近的审计记录在一定的时间内不会被破坏。6.1.8.4 潜在侵害分析路由器应能监控可审计行为,并指出潜在的侵害。路由器应能监控可审计行为,并指出潜在的侵害。路由器应在检测到可能有安全侵害发生时做出响应,如:通知管理员,向管理员提供一组遏制侵路由器应在检测到可能有安
46、全侵害发生时做出响应,如:通知管理员,向管理员提供一组遏制侵害的或采取矫正的行动。害的或采取矫正的行动。6.1.9 可靠性框式路由器应具有全冗余设计,应确保无中断在线升级,支持插卡、接口、电源等部件的冗余与框式路由器应具有全冗余设计,应确保无中断在线升级,支持插卡、接口、电源等部件的冗余与热插拔等功能,能够安装双引擎和双电源模块,具有故障定位与隔离及远程重启等功能。盒式路由器热插拔等功能,能够安装双引擎和双电源模块,具有故障定位与隔离及远程重启等功能。盒式路由器至少应提供无中断在线升级的方式,如可使用补丁包方式无中断升级。至少应提供无中断在线升级的方式,如可使用补丁包方式无中断升级。路由器可以
47、通过虚拟路由冗余协议路由器可以通过虚拟路由冗余协议VRRPVRRP组成路由器机群。组成路由器机群。6.2安全保障要求6.2.1 配置管理开发者应设计和实现路由器配置管理,要求如下:a)开发者应使用配置管理系统,并提供配置管理文档,为产品的不同版本提供唯一的标识,且产品的每个版本应当使用其唯一的标识作为标签。b)配置管理范围至少应包括路由器的产品实现表示、设计文档、测试文档、用户文档、配置管理,从而确保它们的修改是在一个正确授权的可控方式下进行的。配置管理文档至少应能跟踪上述内容,并描述配置管理系统如何跟踪这些配置项。c)部分的配置管理应实现自动化部分的配置管理应实现自动化。6.2.2 交付和运
48、行开发者应以文档形式对路由器安全交付以及安装和启动的过程进行说明。文档中应包括:a)对安全地将路由器交付给用户的说明;GB/T XXXXXXXXX14b)对安全地安装和启动路由器的说明。c)对如何检测路由器在分发过程中发生的未授权修改对如何检测路由器在分发过程中发生的未授权修改、如何检测攻击者伪装成开发者向用户交付如何检测攻击者伪装成开发者向用户交付路由器产品的说明路由器产品的说明。以安全方式分发并交付产品后,仍应提供对路由器的长期维护和评估的支持,包括产品中的漏洞以安全方式分发并交付产品后,仍应提供对路由器的长期维护和评估的支持,包括产品中的漏洞和现场问题的解决和现场问题的解决。以安全方式分
49、发并交付产品后,仍应不断向用户提供可能会影响到路由器安全的注意事项或警告以安全方式分发并交付产品后,仍应不断向用户提供可能会影响到路由器安全的注意事项或警告信息信息。6.2.3 开发开发者应提供路由器功能规范,要求如下:a)按非形式化功能设计的要求进行功能设计,以非形式化方法描述安全功能及其外部接口,并描述使用外部安全功能接口的目的和方法;b)提供路由器安全功能的高层设计。高层设计应按子系统描述安全功能及其结构,并标识安全功能子系统的所有接口。高层设计还应标识实现安全功能所要求的基础性的硬件、固件和软件。高层设计高层设计还应描述安全功能子系统所有接口及使用接口的目的和方法,并详细描述接口的返回
50、结果、例外情况还应描述安全功能子系统所有接口及使用接口的目的和方法,并详细描述接口的返回结果、例外情况和错误信息等,以及如何将路由器中有助于增强安全策略的子系统分离出来和错误信息等,以及如何将路由器中有助于增强安全策略的子系统分离出来;c)开发者应提供路由器安全功能的低层设计开发者应提供路由器安全功能的低层设计。低层设计应以模块术语描述安全功能低层设计应以模块术语描述安全功能,并描述每一并描述每一个模块的目的、接口和相互间的关系。低层设计还应描述如何将路由器中有助于增强安全策略的模块个模块的目的、接口和相互间的关系。低层设计还应描述如何将路由器中有助于增强安全策略的模块分离出来分离出来;d)开