搜索结果: GB/T 18018-2019, GB/T18018-2019, GBT 18018-2019, GBT18018-2019
| 标准编号 | GB/T 18018-2019 (GB/T18018-2019) | | 中文名称 | 信息安全技术 路由器安全技术要求 | | 英文名称 | Information security technology - Technical requirement for router security | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 18,191 | | 发布日期 | 2019-08-30 | | 实施日期 | 2020-03-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 18018-2019
Information security technology -- Technical requirement for router security
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 18018-2007
信息安全技术
路由器安全技术要求
2019-08-30发布
2020-03-01实施
国 家 市 场 监 督 管 理 总 局
中国国家标准化管理委员会 发 布
目次
前言 Ⅰ
1 范围 1
2 规范性引用文件 1
3 术语和定义、缩略语 1
3.1 术语和定义 1
3.2 缩略语 1
4 第一级安全技术要求 2
4.1 安全功能要求 2
4.2 安全保障要求 3
5 第二级安全技术要求 4
5.1 安全功能要求 4
5.2 安全保障要求 7
6 第三级安全技术要求 8
6.1 安全功能要求 8
6.2 安全保障要求 11
附录A(资料性附录) 安全要求对照表 14
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准代替GB/T 18018-2007《信息安全技术 路由器安全技术要求》。
本标准与GB/T 18018-2007相比,除编辑性修改外主要技术变化如下:
---修改了第2章规范性引用文件(见第2章,2007年版的第2章);
---修改了3.2缩略语(见3.2,2007年版的3.2);
---修改了4.1.2.1管理员鉴别(见4.1.2.1,2007年版的4.1.2.1);
---增加了4.1.3.2管理协议设置、4.1.4设备安全防护、4.1.5安全功能保护;
---修改了5.1.2.1管理员鉴别、5.1.3.1权限管理(见5.1.2.1、5.1.3.1,2007年版的5.1.2.1、5.1.3.1);
---增加了5.1.3.2管理协议设置、5.1.4设备安全防护、5.1.5网络安全防护、5.1.6安全功能保护;
---修改了6.1.2.1管理员鉴别、6.1.4.1权限管理(见6.1.2.1、6.1.4.1,2007年版的6.1.2.1、6.1.4.1);
---增加了6.1.2.2设备登录口令管理、6.1.2.3证书验证、6.1.3.2数据存储、6.1.3.3数据传输、
6.1.3.4敏感数据、6.1.4.2管理协议设置、6.1.5设备安全防护、6.1.6网络安全防护、6.1.7安全
功能保护;
---删除了5.1.8路由认证、6.1.10路由认证;分别调整到5.1.5.2和6.1.6.2中;
---删除了第7章附加安全功能。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国科学院软件研究所、华为技术有限公司、新华三技术有限公司、迈普通信技术
股份有限公司、中国科学院信息工程研究所、北京大学软件与微电子学院、中国电子技术标准化研究院。
本标准主要起草人:卿斯汉、陈驰、付天福、王博、杨银柱、李晶林、何斌、王利明、赵志宇、王惠莅、
罗锋盈、周启明、沈晴霓、文伟平、马书南。
本标准所代替标准的历次版本发布情况为:
---GB/T 18018-1999、GB/T 18018-2007。
信息安全技术
路由器安全技术要求
1 范围
本标准分等级规定了路由器的安全功能要求和安全保障要求。
本标准适用于路由器产品安全性的设计和实现,对路由器产品进行的测试、评估和管理也可参照
使用。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T 18336.1~18336.3-2015 信息技术 安全技术 信息技术安全性评估准则
3 术语和定义、缩略语
3.1 术语和定义
GB 17859-1999和GB/T 18336.1~18336.3-2015界定的以及下列术语和定义适用于本文件。
3.1.1
路由器 router
主要的网络节点设备,承载数据流量,通过路由选择算法决定流经数据的转发处理,并可以通过集
成防火墙等功能模块提供访问控制和安全扩展功能。
3.1.2
一系列协议组和规范,提供了一种从网络上的设备收集网络管理信息的方法,也为设备向网络管理
工作站报告问题和错误提供了一种方法。
3.1.3
为防止基于源地址欺骗的网络攻击,以源地址为目的地址,在转发表中查找源地址对应接口是否与
入接口匹配的动作。
3.2 缩略语
下列缩略语适用于本文件。
4 第一级安全技术要求
4.1 安全功能要求
4.1.1 自主访问控制
路由器应执行自主访问控制策略,通过管理员属性表,控制不同管理员对路由器的配置数据和其他
数据的查看、修改,以及对路由器上程序的执行,阻止非授权人员进行上述活动。
4.1.2 身份鉴别
4.1.2.1 管理员鉴别
在管理员进入系统会话之前,路由器应鉴别管理员的身份,鉴别时应采用口令机制,并在每次登录
系统时进行。口令应是不可见的,并在存储和传输时加密保护。
当进行鉴别时,路由器应仅将最少的反馈(如:打入的字符数,鉴别的成功或失败)提供给被鉴别人
员。同时,反馈信息应避免提示 “用户名错误”“口令错误”等信息,避免攻击者进行用户名或口令的暴
力猜解。
4.1.2.2 鉴别失败处理
在经过一定次数的鉴别失败以后,路由器应锁定该账号。最多失败次数仅由授权管理员设定。
4.1.3 安全管理
4.1.3.1 权限管理
路由器应能够设置多个角色,具备划分管理员级别和规定相关权限(如:监视、维护配置等)的能力,
能够限定每个管理员的管理范围和权限,防止非授权登录和非授权操作。
4.1.3.2 管理协议设置
路由器应能配置和使用安全的协议对系统进行管理控制。应使用SSH、SFTP、SNMPV3和 HT-
TPS。
4.1.3.3 安全属性管理
路由器应为管理员提供对安全功能进行控制管理的功能,这些管理包括:
a) 与对应的路由器自主访问控制、鉴别和安全保障技术相关的功能的管理。
b) 与一般的安装和配置有关的功能的管理。
c) 路由器的安全配置参数要有初始值。路由器安装后,安全功能应能及时提醒管理员修改配置,
并能周期性地提醒管理员维护配置。
4.1.4 设备安全防护
4.1.4.1 流量控制
路由器应能够对设备本身需进行解析处理的协议流量大小进行控制,例如,通过设置带宽等防护手
段,保证系统在经受协议泛洪攻击时原有转发业务正常,在泛洪攻击消除后系统可直接恢复。
4.1.4.2 优先级调度
无。
4.1.4.3 资源耗尽防护
无。
4.1.5 安全功能保护
4.1.5.1 自检
设备在上电启动时应执行安全功能的自检,如内存、数字签名、加密算法等,确保安全功能正确。只
有当所有自检功能通过时,才能正常启动设备。
4.1.5.2 保证软件更新的合法性
安全管理员应能查询当前执行的软件/固件版本号及最近一次安装的版本号。应能在安装更新前
用数字签名验证软件/固件更新的合法性。
4.2 安全保障要求
4.2.1 配置管理
开发者应设计和实现路由器配置管理,为产品的不同版本提供唯一的标识,且产品的每个版本应使
用其唯一的标识作为标签。
4.2.2 交付和运行
开发者应以文档形式对路由器安全交付以及安装和启动过程进行说明。文档中应包括:
a) 对安全地将路由器交付给用户的说明;
b) 对安全地安装和启动路由器的说明。
4.2.3 开发
开发者应提供路由器功能设计,要求按非形式化功能设计的要求进行功能设计,以非形式化方法描
述安全功能及其外部接口,并描述使用外部安全功能接口的目的和方法。
4.2.4 指导性文档
开发者应编制路由器的指导性文档,要求如下:
a) 文档中应提供关于路由器的安全功能与接口、路由器的管理和配置、路由器的启动和操作、安
全属性、警告信息的描述;
b) 文档中不应包含任何一旦泄露将会危及系统安全的信息,文档可以为硬拷贝、电子文档或联
机文档。如果是联机文档,应控制对文档的访问。
4.2.5 生命周期支持
开发者应建立开发和维护路由器的生命周期模型,包括用于开发和维护路由器的程序、工具和技
术。开发者应按其定义的生命周期模型进行开发和维护,并提供生命周期定义文档,在文档中描述用于
开发和维护路由器安全功能的生命周期模型。
4.2.6 测试
开发者应对路由器进行测试,要求如下:
a) 应进行一般功能测试,保证路由器能够满足所有安全功能的要求;
b) 保留并提供测试文档,详细描述测试计划、测试过程以及预测结果和实际测试结果。
5 第二级安全技术要求
5.1 安全功能要求
5.1.1 自主访问控制
路由器应执行自主访问控制策略,通过管理员属性表,控制不同管理员对路由器的配置数据和其他
数据的查看、修改,以及对路由器上程序的执行,阻止非授权人员进行上述活动。
5.1.2 身份鉴别
5.1.2.1 管理员鉴别
在管理员进入系统会话之前,路由器应鉴别管理员的身份,鉴别时应采用口令机制,并在每次登录
系统时进行。口令应是不可见的,并在存储和传输时加密保护。
当进行鉴别时,路由器应仅将最少的反馈(如:打入的字符数,鉴别的成功或失败)提供给被鉴别人
员。同时,反馈信息应避免提示 “用户名错误”“口令错误”等信息,避免攻击者进行用户名或口令的暴
力猜解。
5.1.2.2 鉴别失败处理
在经过一定次数的鉴别失败以后,路由器应锁定该账号。最多失败次数仅由授权管理员设定。
5.1.2.3 超时锁定
路由器应具有登录超时锁定功能。在设定的时间段内没有任何操作的情况下终止会话,需要再次
进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。
注:本标准中的黑体字表示该等级中新出现的增强要求。
5.1.2.4 会话锁定
路由器应为管理员提供锁定自己的交互会话的功能,锁定后需要再次进行身份鉴别才能够重新管
理路由器。
5.1.2.5 登录历史
路由器应具有登录历史功能,为登录人员提供系统登录活动的有关信息,使登录人员识别入侵的企
图。成功通过鉴别并登录系统后,路由器应显示如下数据:
a) 日期、时间、来源和上次成功登录系统的情况;
b) 上次成功登录系统以来身份鉴别失败的情况;
c) 口令距失效日期的天数。
5.1.3 安全管理
5.1.3.1 权限管理
路由器应能够设置多个角色,具备划分管理员级别和规定相关权限(如:监视、维护配置等)的能力,
能够限定每个管理员的管理范围和权限,防止非授权登录和非授权操作。
系统应能支持RADIUS/T ACACS的集中认证授权管理。
5.1.3.2 管理协议设置
路由器应能配置和使用安全的协议对系统进行管理控制。应使用SSH、SFTP、SNMPV3和 HT-
TPS。
5.1.3.3 安全属性管理
路由器应为管理员提供对安全功能进行控制管理的功能,这些管理包括:
a) 与对应的路由器自主访问控制、鉴别和安全保障技术相关的功能的管理。
b) 与一般的安装和配置有关的功能的管理。
c) 路由器的安全配置参数要有初始值。路由器安装后,安全功能应能及时提醒管理员修改配置,
并能周期性地提醒管理员维护配置。
5.1.4 设备安全防护
5.1.4.1 流量控制
路由器应能够对设备本身需进行解析处理的协议流量大小进行控制,例如,通过设置带宽等防护手
段,保证系统在经受协议泛洪攻击时原有转发业务正常,在泛洪攻击消除后系统可直接恢复。
5.1.4.2 优先级调度
路由器应能够按照业务重要性对设备本身需进行解析处理的协议流量进行优先级调度。对高优先
的协议流量进行优先保证,当发生业务量激增或网络攻击时使重要业务不中断。
5.1.4.3 资源耗尽防护
路由器应能够对重要系统资源进行保护,通过限定资源分配的方式将攻击影响限定到一定范围内。
路由器应支持 MAC地址学习限制功能,使系统其他接口用户不受影响。
5.1.5 网络安全防护
5.1.5.1 单播逆向路径转发功能
路由器应具备URPF功能,在网络边界阻断源IP地址欺骗攻击。
5.1.5.2 路由协议认证
路由器使用的路由协议应支持路由认证功能,保证路由是由合法的路由器发出的,并且在转发过程
中没有被改变。
5.1.5.3 MPLSVPN功能
路由器应基于MPLS协议实现二层和三层VPN功能,采用独立的VPN管理网络,实现不同用户间
的业务隔离。
5.1.6 安全功能保护
5.1.6.1 自检
设备在上电启动时应执行安全功能的自检,如:内存、数字签名、加密算法等,确保安全功能正确。
只有当所有自检功能通过时,才能正常启动设备。
5.1.6.2 安全的软件更新
安全管理员应能查询当前执行的软件/固件版本号及最近一次安装的版本号。应能在安装更新前
用数字签名验证软件/固件更新的合法性。
5.1.7 审计
5.1.7.1 审计数据生成
路由器应具有审计功能,至少能够审计以下行为:
a) 审计功能的启动和终止;
b) 账户管理;
c) 登录事件;
d) 系统事件;
e) 配置文件的修改。
路由器应为可审计行为生成审计记录,并在每一个审计记录中至少记录以下信息:
a) 事件发生的日期和时间;
b) 事件的类型;
c) 管理员身份;
d) 事件的结果(成功或失败)。
5.1.7.2 审计数据查阅
路由器应为授权管理员提供从审计记录中读取审计信息的能力,为管理员提供的审计记录具有唯
一、明确的定义和方便阅读的格式。
5.1.7.3 审计数据保护
路由器应能保护已存储的审计记录,避免未经授权的删除,并能监测和防止对审计记录的修改。当
审计存储耗尽、失败或受到攻击时,路由器应确保最近的审计记录在一定的时间内不会被破坏。
5.1.8 可靠性
路由器应提供可靠性保证,具有部分冗余设计性能。支持插卡、接口、电源等部件的冗余与热插拔
能力。
5.2 安全保障要求
5.2.1 配置管理
开发者应设计和实现路由器配置管理,要求如下:
a) 开发者应使用配置管理系统,并提供配置管理文档,为产品的不同版本提供唯一的标识,且产
品的每个版本应使用其唯一的标识作为标签。
b) 配置管理范围至少应包括路由器的产品实现表示、设计文档、测试文档、用户文档、配置管理,
从而确保它们的修改是在一个正确授权的可控方式下进行的。配置管理文档至少应能跟踪上
述内容,并描述配置管理系统如何跟踪这些配置项。
5.2.2 交付和运行
开发者应以文档形式对路由器安全交付以及安装和启动过程进行说明。文档中应包括:
a) 对安全地将路由器交付给用户的说明;
b) 对安全地安装和启动路由器的说明。
5.2.3 开发
开发者应提供路由器功能规范,要求如下:
a) 按非形式化功能设计的要求进行功能设计,以非形式化方法描述安全功能及其外部接口,并描
述使用外部安全功能接口的目的和方法。
b) 提供路由器安全功能的高层设计。高层设计应按子系统描述安全功能及其结构,并标识安全
功能子系统的所有接口。高层设计还应标识实现安全功能所要求的基础性的硬件、固件和
软件。
c) 开发者应提供路由器安全功能的功能设计与高层设计之间的非形式化对应性分析,该分析应
证明功能设计表示的所有相关安全功能都在高层设计中得到正确且完备的细化。
5.2.4 指导性文档
开发者应编制路由器的指导性文档,要求如下:
a) 文档中应提供关于路由器的安全功能与接口、路由器的管理和配置、路由器的启动与操作、安
全属性、警告信息、审计工具的描述。
b) 文档中不应包含任何一旦泄漏将会危及系统安全的信息,文档可以为硬拷贝、电子文档或联
机文档。如果是联机文档,应控制对文档的访问。
5.2.5 生命周期支持
开发者应建立开发和维护路由器的生命周期模型,即用于开发和维护路由器的程序、工具和技术。
要求如下:
a) 开发者应按其定义的生命周期模型进行开发和维护,并提供生命周期定义文档,在文档中描述
用于开发和维护路由器安全功能的生命周期模型。
b) 该模型对于路由器开发和维护应提供必要的控制,采用物理上、程序上、人员上以及其他方面
的安全措施保护路由器开发环境的安全,包括场地的物理安全和对开发人员的选择,并采取适
当的防护措施来消除或降低路由器开发所面临的安全威胁。
5.2.6 测试
开发者应对路由器进行测试,要求如下:
a) 应进行一般功能测试,保证路由器能够满足所有安全功能的要求。
b) 应提供测试深度的分析。在深度分析中,应论证测试文档中所标识的对安全功能的测试足以
表明该安全功能的运行与高层设计是一致的。
c) 应进行相符性独立测试,由专业的第三方独立实验室实施测试,确认路由器能够满足所有安全
功能的要求。
d) 保留并提供测试文档,详细描述测试计划、测试过程以及预测结果和实际测试结果。
5.2.7 脆弱性评定
脆弱性评定包含下述内容:
a) 开发者应提供指导性文档和分析文档,在文档中确定对路由器的所有可能的操作方式(包括失
败和操作失误后的操作)的后果以及对于保持安全操作的意义,并列出所有目标环境的假设和
所有的外部安全措施(包括外部程序的、物理的或人员控制)要求。所述内容应是完备、清晰、
一致和合理的。
b) 开发者应对具有安全功能强度生命的安全机制(例如,口令机制)进行安全功能强度分析。安
全功能强度分析应证明安全机制达到了所声明的强度。
c) 开发者应实施脆弱性分析,并提供脆弱性分布的文档。对所有已标识的脆弱性,文档应说明它
们在所期望的路由器使用环境中不能被利用。文档还应说明如何确保用户能够得到最新的安
全补丁。
d) 脆弱性分析文档中应包含对所使用协议的脆弱性分析。
6 第三级安全技术要求
6.1 安全功能要求
6.1.1 自主访问控制
路由器应执行自主访问控制策略,通过管理员属性表,控制不同管理员对路由器的配置数据和其他
数据的查看、修改,以及对路由器上程序的执行,阻止非授权人员进行上述活动。
6.1.2 身份鉴别
6.1.2.1 管理员鉴别
在管理员进入系统会话之前,路由器应鉴别管理员的身份。鉴别应支持数字证书等鉴别方法,并在
每次登录系统时进行。口令应是不可见的,并在存储和传输时加密保护。
当进行鉴别时,路由器应仅将最少的反馈(如:打入的字符数,鉴别的成功或失败)提供给被鉴别人
员。同时,反馈信息应避免提示 “用户名错误”“口令错误”等信息,避免攻击者进行用户名或口令的暴
力猜解。
6.1.2.2 设备登录口令管理
设备应能够提供身份鉴别管理策略,限制口令的最小长度、组成、复杂度、使用期等。口令组成应支
持数字、大小写字母和特殊符号;并能限制历史密码的使用。
设备登录口令不能以明文形式显示或存储,应采用单向函数方式存储,并保证单向函数的强度。
6.1.2.3 证书验证
设备应支持使用证书进行身份验证。例如,SSH、IKE、SSL/T LS等协议应支持证书认证,增强设备
的安全性。颁发证书的CA应提供网络设备可访问的LDAP或其他证书黑名单访问机制,以确保失效
证书访问拒绝。
6.1.2.4 鉴别失败处理
在经过一定次数的鉴别失败以后,路由器应锁定该账号。最多失败次数仅由授权管理员设定。
6.1.2.5 超时锁定
路由器应具有登录超时锁定功能。在设定的时间段内没有任何操作的情况下终止会话,......
|