路径: 主页 > GB/T > 第193页 > GB/T 38798-2020 | 标准编号 | GB/T 38798-2020 (GB/T38798-2020) | | 中文名称 | 综合宽带接入网安全技术要求 | | 英文名称 | Technical requirements for security of integrated broadband access network | | 行业 | 国家标准 (推荐) | | 中标分类 | M42 | | 国际标准分类 | 33.040.50 | | 字数估计 | 10,128 | | 发布日期 | 2020-04-28 | | 实施日期 | 2020-11-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 38798-2020
ICS 33.040.50
M42
中华人民共和国国家标准
综合宽带接入网安全技术要求
2020-04-28发布
2020-11-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅰ
引言 Ⅱ
1 范围 1
2 规范性引用文件 1
3 缩略语 1
4 用户平面安全要求 2
4.1 帧过滤 2
4.2 组播/广播/DLF报文风暴抑制 2
4.3 协议报文限速 2
4.4 MAC地址控制功能 2
5 控制平面安全要求 2
5.1 设备认证 2
5.2 可控组播 2
5.3 过滤功能 3
5.4 防DOS攻击 3
5.5 ARP代理功能 3
5.6 心跳机制 3
5.7 SIP协议的注册认证功能 3
6 管理平面安全要求 3
6.1 管理员口令 3
6.2 设备访问方式 3
6.3 网管系统安全要求 4
7 设备可靠性要求 6
7.1 主控板主备倒换 6
7.2 电源主备倒换 6
7.3 环境监控 6
8 设备电气安全要求 6
8.1 绝缘电阻 6
8.2 接地电阻 6
8.3 过压、过流保护 6
8.4 电磁兼容 7
前言
本标准按照GB/T 1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由中华人民共和国工业和信息化部提出。
本标准由全国通信标准化技术委员会(SAC/TC485)归口。
本标准起草单位:中国信息通信研究院。
本标准主要起草人:卓安生、刘谦、程强、陈洁。
引 言
为避免非法窃取网络资源、非法使用网络业务、恶意攻击,提高下一代网络设备的安全性可靠性,
ITU-T于2003年制定了ITU-TX.805《端到端通信系统安全框架》,定义了一个完整的端到端通信系
统的安全框架,规定了应用层、业务层和基础设施层三个网络层次,并为每个网络层次定义了用户、控制
和管理三个平面。每个层次的每个平面分别从访问控制、鉴别、不可抵赖、数据保密性、通信安全、完整
性、可用性和隐私八个方面考虑其安全性。
近几年,随着互联网业务的发展和宽带接入网络向宽带化、综合化和软件化的发展,综合宽带接入
网面临比过去单一业务单一网络更为复杂的安全环境,同时技术的升级换代也产生了更多的安全威胁
和防御手段。因此制定宽带接入网安全标准势在必行。
参考ITU-TX.805的相关准则,并结合综合宽带接入网设备特点,本标准从用户、控制、管理等三
个平面进行规定,每个平面分别从访问控制、鉴别、通信安全和可用性等几个方面定义其安全性。
综合宽带接入网安全技术要求
1 范围
本标准规定了综合宽带接入网设备的用户平面安全要求、控制平面安全要求、管理平面安全要求、
设备可靠性和电气安全要求。
本标准适用于公众电信网的综合宽带接入网设备,专用电信网中的综合宽带接入网设备也可参考
使用。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 9254 信息技术设备的无线电骚扰限值和测量方法
GB/T 17618 信息技术设备 抗扰度 限值和测量方法
YD/T 1082 接入网设备过电压过电流防护及基本环境适应性技术要求和试验方法
3 缩略语
4 用户平面安全要求
4.1 帧过滤
基于不同设备类型,应支持根据物理端口、以太网封装协议、源/目的 MAC地址、源/目的IP地址、
以太网优先级标记和TCP/UDP端口号对上、下行以太网数据帧进行过滤。
4.2 组播/广播/DLF报文风暴抑制
应支持对二层组播/广播/DLF报文的速率进行抑制,在上行方向应默认开启此功能。
应支持基于全局的抑制方式,建议支持基于VLAN和端口的抑制方式。
4.3 协议报文限速
应支持对特定协议报文(例如,DHCP、IGMP、ICMP等)进行限速处理。
4.4 MAC地址控制功能
应支持限制基于端口学习到的 MAC地址的数量,且限制的数量应可以灵活配置。
当达到 MAC地址表深度时,设备应支持忽略新 MAC地址直到旧 MAC地址老化。
5 控制平面安全要求
5.1 设备认证
应支持设备的合法性认证的能力,应拒绝未通过认证的设备接入网络获得服务。
5.2 可控组播
应支持组播权限控制功能,阻止非法用户获取组播业务。
5.3 过滤功能
应支持过滤来自用户端口的IGMP查询帧和DHCPOFFER/ACK/NAK帧。
应支持对网络侧合法组播源的配置和对非法组播源进行过滤的配置。
5.4 防DOS攻击
应支持防止攻击目标为本设备的DOS攻击抵御能力,例如PingofDeath、SYNFlood、LAND等
攻击。
5.5 ARP代理功能
为了防止形成广播风暴,宜支持ARP协议代理功能。对支持三层功能的设备,应支持ARP代理
功能。
5.6 心跳机制
提供VoIP业务的设备应支持定期向软交换/IMS发送心跳消息,并应能正确响应软交换/IMS发
送的心跳消息。
5.7 SIP协议的注册认证功能
对于采用SIP协议提供VoIP业务的设备,在向软交换/IMS注册时,支持认证功能。
6 管理平面安全要求
6.1 管理员口令
不论在何种管理方式下,对设备的管理用户都需要鉴别和认证,鉴别和认证是系统访问的基础。与
管理员权限相关的安全数据应得到妥善的保护。
无论在设备还是网管系统中,口令不应使用明文保存。
6.2 设备访问方式
6.2.1 SNMP访问
支持SNMP访问的设备应支持SNMPvl或SNMPv2c,宜支持SNMPv3。
当采用SNMPvl和SNMPv2c时,应可以和访问控制列表相结合,控制非法网管接入设备,同时不
使用public/private作为缺省团体名,缺省只读团体名和读写团体名称不能够相同,并且具有提示管理
员修改团体名的功能。
支持SNMPv3时,支持USM等安全机制。
宜实现对网管站的访问控制,限定用户通过某些IP地址使用SNMP对设备进行访问。
6.2.2 本地CONSOLE访问
支持本地CONSOLE访问的设备应支持通过其所带的CONSOLE接口进行带外方式的操作维
护,在维护终端与设备进行交互的过程中应提供与Telnet访问方式相同的安全保护能力。
6.2.3 Telnet访问
支持Telnet访问的设备应支持以下安全要求:
a) 用户应提供用户名/口令才能进行后续的操作,用户地址和操作应记入日志;
b) Telnet访问时应提供对用户账号的分级管理机制,提供对Telnet用户权限的控制功能;
c) 应限制同时访问的用户数目;
d) 在设定的时间内不进行交互,用户应自动被注销,提供终端超时锁定功能;
e) 可限定用户通过哪些IP地址使用Telnet服务对设备进行访问;
f) 能够针对Telnet的密码试探攻击进行防范,可对同一个IP地址使用延时响应机制,也可利用
限定来自同一个IP地址的登录尝试次数;
g) 应支持关闭Telnet服务。
6.2.4 Web访问
支持 Web方式访问的设备应支持以下安全要求:
a) 用户应提供用户名/口令才能进行后续的操作,用户地址和操作应记入日志;
b) 可限定用户通过哪些IP地址使用HTTP对设备进行访问;
c) 应支持关闭HTTP服务;
d) 应支持SSL/T LS安全协议或提供其他安全措施,实现对管理用户数据的完整性保护。
6.2.5 TR-069访问
支持TR-069方式访问的设备应支持以下安全要求:
a) 终端设备与RMS接口应采用SSL/T LS加密和 WWW-Authentication认证组合使用方式实
现接口的安全;
b) 在SSL/T LS安全通道建立过程中,RMS不需要通过证书对终端设备的合法性进行认证。终
端设备应支持基于证书和不基于证书的密钥交换认证方式对RMS进行合法性认证。
6.3 网管系统安全要求
6.3.1 安全策略管理
网管系统应能提供统一的安全策略控制,包括以下几项:
a) 登录策略管理:提供设置非法登录系统的次数及锁定时间,设置管理用户账号有效期,设置登
录超时退出时间、账号登录时间段、限制同一账号最大连接数等功能;
b) 提供管理用户的功能;
c) 管理用户密码设置策略:限制管理用户设置的密码长度、密码组成,提供密码重置功能,设置用
户密码有效天数等;
d) 支持管理用户登录的IP管理策略,将登录的管理用户与IP地址绑定。
6.3.2 角色管理
角色表示一类特定的权限的集合,包括管理用户可以登录的客户端IP地址范围,管理用户可以进
行的操作,管理用户可以管理的资源等。
通过安全管理可以动态地创建、删除和修改角色,形成新的权限集合,以便分配给管理用户,达到控
制管理用户权限的目的。
角色管理功能应包含以下几项:
a) 增加、删除、修改角色;
b) 给角色分配管理资源(可管理的对象范围)和操作权限;
c) 从操作权限来说,网管系统应可以提供三类缺省的角色:
---系统管理员:可以执行网管系统提供的所有功能项,包括权限分配功能;
---配置管理员:可以执行网管系统提供的对设备和系统自身有数据修改权限的功能(不包括
权限分配功能),如资源维护、设备配置、版本升级、系统维护等;
---监控管理员:可以执行网管系统提供的对设备的监控和网管系统自身的查询和审计等功
能,如资源查询、告警监控、性能统计、日志查询等。
网管系统应提供灵活的角色创建功能,如可以根据管理用户的需要再单独创建版本管理员、统计管
理员等角色。
从管理资源来说,这些操作权限都应可以指定管理的范围。
6.3.3 账号管理
对使用网管系统的管理用户账号进行管理维护,包括:
a) 增加账号;
b) 删除账号;
c) 修改账号信息;
d) 查询账号信息。
管理用户的账号信息包括:
a) 用户账号;
b) 用户密码;
c) 密码有效期;
d) 用户所属角色;
e) 附加说明。
支持同一个管理员账号属于多个角色组。
6.3.4 用户登录管理
网管系统应能提供完善的用户登录管理功能,包括:
a) 只有在服务器中已经注册的用户才能登录到网管系统,如果启动了访问控制列表功能,则客户
端应同时满足存在于网管系统ACL表中的用户才能登录到网管系统;
b) 登录的用户只具有已经被授权的指定操作;
c) 登录失败告警,使用同一管理账号连续多次登录失败时,网管系统应产生非法登录告警,并对
该管理账号进行锁定;
d) 手工注销登录的用户;
e) 手工或超时自动锁定客户端或退出。
6.3.5 在线用户管理
网管系统应能对在线用户进行监视,能够实时监视在线用户的登录情况,包括:
a) 登录用户;
b) 登录时间;
c) 操作终端信息。
网管系统应能对在线用户进行管理,超级用户能够查看一般用户所做的操作,并强制其退出。
6.3.6 日志管理
管理用户可以根据给定条件对日志进行查询,并可对查询到的日志进行排序。
查询的条件为:
a) 给定时间或时间段进行查询;
b) 给定用户进行查询;
c) 给定的日志类型。
可以查询到的信息包括:
a) 日志类型,包括操作日志、系统日志、安全日志;
b) 操作时间;
c) 操作人;
d) 操作名称;
e) 操作对象;
f) 操作内容;
g) 操作终端;
h) 操作结果(例如,成功或失败)。
7 设备可靠性要求
7.1 主控板主备倒换
应支持主控板的热备份功能......
|