| 标准编号 | GA/T 682-2007 (GA/T682-2007) | | 中文名称 | 信息安全技术 路由器安全技术要求 | | 英文名称 | Information security technology--Technical requirements for router security | | 行业 | 公安行业标准 (推荐) | | 中标分类 | A90 | | 国际标准分类 | 35.040 | | 字数估计 | 16,123 | | 发布日期 | 2007-03-20 | | 实施日期 | 2007-05-01 | | 引用标准 | GB 17859-1999; GB/T 18336.1-2001 | | 发布机构 | 公安部 | | 范围 | 本标准分等级规定了路由器的安全功能要求和安全保证要求。本标准适用于路由器产品安全性的设计和实现, 对路由器产品进行的测试、评估和管理也可参照使用。 | GA/T 682-2007
Information security technology--Technical requirements for router security
ICS 35.040
A90
中华人民共和国公共安全行业标准
GA/T682-2007
信息安全技术
路由器安全技术要求
2007-03-20发布
2007-05-01实施
中华人民共和国公安部 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语、定义和缩略语 1
4 第一级安全要求 2
4.1 安全功能要求 2
4.1.1 自主访问控制 2
4.1.2 身份鉴别 2
4.1.3 安全管理 2
4.2 安全保证要求 2
4.2.1 配置管理 2
4.2.2 交付和运行 2
4.2.3 开发 2
4.2.4 指导性文档 2
4.2.5 生命周期支持 3
4.2.6 测试 3
5 第二级安全要求 3
5.1 安全功能要求 3
5.1.1 自主访问控制 3
5.1.2 身份鉴别 3
5.1.3 安全管理 3
5.1.4 审计 4
5.1.5 简单网络管理协议的保护 4
5.1.6 单播逆向路径转发功能 4
5.1.7 可靠性 4
5.1.8 路由认证 4
5.2 安全保证要求 4
5.2.1 配置管理 4
5.2.2 交付和运行 4
5.2.3 开发 5
5.2.4 指导性文档 5
5.2.5 生命周期支持 5
5.2.6 测试 5
5.2.7 脆弱性评定 5
6 第三级安全要求 6
6.1 安全功能要求 6
6.1.1 自主访问控制 6
GA/T682-2007
6.1.2 身份鉴别 6
6.1.3 数据保护 6
6.1.4 安全管理 6
6.1.5 审计 6
6.1.6 简单网络管理协议的保护 7
6.1.7 单播逆向路径转发功能 7
6.1.8 远程管理安全 7
6.1.9 可靠性 7
6.1.10 路由认证 7
6.2 安全保证要求 7
6.2.1 配置管理 7
6.2.2 交付和运行 8
6.2.3 开发 8
6.2.4 指导性文档 8
6.2.5 生命周期支持 8
6.2.6 测试 9
6.2.7 脆弱性评定 9
7 附加安全功能 9
7.1 网络访问控制功能 9
7.2 虚拟专网功能 9
7.3 防火墙防护功能 9
7.4 入侵检测功能 9
附录A(资料性附录) 安全要求对照表 10
参考文献 11
GA/T682-2007
前言
本标准与GB/T 20011-2005《信息安全技术 路由器安全评估准则》均为与路由器有关的信息安
全标准,两者的基本区别是,前者主要适用于指导路由器产品安全性的设计和实现,后者主要适用于路
由器安全等级的评估。
本标准的附录A为资料性附录。
本标准由公安部公共信息网络安全监察局提出。
本标准由公安部信息系统安全标准化技术委员会归口。
本标准起草单位:中国科学院研究生院信息安全国家重点实验室。
本标准主要起草人:戴英侠、左晓栋、何申。
GA/T682-2007
引 言
路由器是重要的网络互连设备,制定路由器安全技术要求对于指导路由器产品安全性的设计和实
现,保障网络安全具有重要的意义。
本标准分三个等级规定了路由器的安全技术要求。安全等级由低到高,安全要求逐级增强。
本标准与GB 17859-1999《计算机信息系统 安全保护等级划分准则》的对应关系是,第一级对
应用户自主保护级,第二级对应系统审计保护级,第三级对应安全标记保护级。
本标准文本中,加粗字体表示较低等级中没有出现或增强的技术要求。
GA/T682-2007
信息安全技术
路由器安全技术要求
1 范围
本标准分等级规定了路由器的安全功能要求和安全保证要求。
本标准适用于路由器产品安全性的设计和实现,对路由器产品进行的测试、评估和管理也可参照
使用。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究
是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859-1999 计算机信息系统 安全保护等级划分准则
GB/T 18336.1-2001 信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般
模型
3 术语、定义和缩略语
3.1 术语和定义
GB 17859-1999和GB/T 18336.1-2001确立的以及下列术语和定义适用于本标准。
3.1.1
网络节点设备,工作在网络层,通过路由选择算法决定流经数据的存储转发,并具备访问控制和安
全扩展功能。
3.1.2
简单网络管理协议(SNMP)是一系列协议组和规范,提供了一种从网络上的设备中收集网络管理
信息的方法,也为设备向网络管理工作站报告问题和错误提供了一种方法。
3.1.3
单播逆向路径转发(URPF)通过获取包的源地址和入接口,以源地址为目的地址,在转发表中查找
源地址对应的接口是否与入接口匹配,如果不匹配,则认为源地址是伪装的,丢弃该包。其功能是防止
基于源地址欺骗的网络攻击行为。
3.2 缩略语
下列缩略语适用于本标准。
ACL AccessCon......
|