T∕TAF 039-2019 網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 路由器設(shè)備

1、ICS 33.050M 30團(tuán)體標(biāo)準(zhǔn)T/TAF 039-2019網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求路由器設(shè)備Security Techniques Requirement for Critical Network Devices: Router2019 - 07 - 24 發(fā)布2019 - 07 - 24 實(shí)施電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā) 布T/TAF 039-2019 PAGE * ROMAN III目 次 HYPERLINK l _bookmark0 前言II HYPERLINK l _bookmark1 引言III HYPERLINK l _bookmark2 網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 路由器設(shè)備1 HYP

2、ERLINK l _bookmark3 范圍1 HYPERLINK l _bookmark4 規(guī)范性引用文件1 HYPERLINK l _bookmark5 術(shù)語(yǔ)和定義1 HYPERLINK l _bookmark6 路由器 router1 HYPERLINK l _bookmark7 惡意程序 malware1 HYPERLINK l _bookmark8 預(yù)裝軟件 preset software1 HYPERLINK l _bookmark9 故障隔離 fault isolation1 HYPERLINK l _bookmark10 安全技術(shù)要求1 HYPERLINK l _bookmar

3、k11 標(biāo)識(shí)安全2 HYPERLINK l _bookmark12 可用性2 HYPERLINK l _bookmark13 漏洞與缺陷管理2 HYPERLINK l _bookmark14 軟件更新安全2 HYPERLINK l _bookmark15 默認(rèn)狀態(tài)安全3 HYPERLINK l _bookmark16 抵御常見(jiàn)攻擊能力3 HYPERLINK l _bookmark17 身份標(biāo)識(shí)與鑒別3 HYPERLINK l _bookmark18 訪問(wèn)控制安全4 HYPERLINK l _bookmark19 日志審計(jì)安全4 HYPERLINK l _bookmark20 通信安全4 HYP

4、ERLINK l _bookmark21 數(shù)據(jù)安全5 HYPERLINK l _bookmark22 附 錄 A （規(guī)范性附錄） 標(biāo)準(zhǔn)修訂歷史6 HYPERLINK l _bookmark23 附 錄 B （資料性附錄） 用戶信息說(shuō)明7 HYPERLINK l _bookmark24 參 考 文 獻(xiàn)8前言網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 路由器設(shè)備與網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 通用要求、網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 交換機(jī)設(shè)備等共同構(gòu)成支撐網(wǎng)絡(luò)關(guān)鍵設(shè)備安全檢測(cè)工作的系列團(tuán)體標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)對(duì)路由器設(shè)備提出安全技術(shù)要求。對(duì)列入網(wǎng)絡(luò)關(guān)鍵設(shè)備目錄的路由器，除滿足本標(biāo)準(zhǔn)要求， 還應(yīng)滿足網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 通用要求

5、。本標(biāo)準(zhǔn)/本部分由電信終端產(chǎn)業(yè)協(xié)會(huì)（TAF）提出并歸口。本標(biāo)準(zhǔn)起草單位：中國(guó)信息通信研究院、華為技術(shù)有限公司、新華三技術(shù)有限公司、北京啟明星辰信息安全技術(shù)有限公司、中興通訊股份有限公司、烽火通信科技股份有限公司、聯(lián)想（北京）有限公司、浪潮思科網(wǎng)絡(luò)科技有限公司。本標(biāo)準(zhǔn)主要起草人：倪平、張治兵、陳鵬、葉郁柏、童天予、張勇、孫薇、蘇燕謹(jǐn)、周繼華、鄧科、蔣鵬、陳勇、李汝鑫，葛強(qiáng)、張仲凱、劉文德。引言按照中華人民共和國(guó)網(wǎng)絡(luò)安全法（以下稱網(wǎng)絡(luò)安全法）有關(guān)要求，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同工業(yè)和信息化部、公安部、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)等部門(mén)制定了網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批），對(duì)列入目錄的設(shè)備

6、和產(chǎn)品，應(yīng)當(dāng)按照相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后，方可銷售或者提供。本規(guī)范對(duì)路由器設(shè)備提出安全技術(shù)要求。對(duì)列入網(wǎng)絡(luò)關(guān)鍵設(shè)備目錄的路由器，除滿足本標(biāo)準(zhǔn)要求， 還應(yīng)滿足網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 通用要求。T/TAF 039-2019 PAGE 8網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 路由器設(shè)備范圍本標(biāo)準(zhǔn)對(duì)列入網(wǎng)絡(luò)關(guān)鍵設(shè)備的路由器設(shè)備在標(biāo)識(shí)安全、身份標(biāo)識(shí)與鑒別安全、訪問(wèn)控制安全、日志審計(jì)安全、通信安全、數(shù)據(jù)安全等方面提出了安全技術(shù)要求。本標(biāo)準(zhǔn)適用于在我國(guó)境內(nèi)銷售或提供的路由器設(shè)備，也可為網(wǎng)絡(luò)運(yùn)營(yíng)者采購(gòu)路由器設(shè)備時(shí)提供依據(jù)，還適用于指導(dǎo)路由器設(shè)備的研發(fā)、測(cè)試等工作。規(guī)范

7、性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 25069-2010 信息安全技術(shù) 術(shù)語(yǔ)T/TAF 028-2018 網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 通用要求術(shù)語(yǔ)和定義GB/T 25069-2010中界定的以及下列術(shù)語(yǔ)和定義適用于本文件。路由器 router用來(lái)建立和控制兩個(gè)不同網(wǎng)絡(luò)間數(shù)據(jù)流的網(wǎng)絡(luò)設(shè)備，它是通過(guò)基于路由協(xié)議機(jī)制和算法來(lái)選擇路線或路由來(lái)實(shí)現(xiàn)建立和控制的，它們自身可以基于不同的網(wǎng)絡(luò)協(xié)議。路由信息被存儲(chǔ)在路由表內(nèi)。惡意程序 malware一種企圖通過(guò)執(zhí)行非授權(quán)過(guò)

8、程來(lái)破壞信息系統(tǒng)機(jī)密性、完整性和可用性的軟件或固件。常見(jiàn)的惡意程序包括病毒、蠕蟲(chóng)、木馬或其它影響設(shè)備安全的程序代碼。惡意程序也包括間諜軟件和廣告軟件。預(yù)裝軟件 preset software設(shè)備出廠時(shí)安裝的軟件和正常使用必須的配套軟件，包括固件、系統(tǒng)軟件、應(yīng)用軟件、配套的管理軟件等。故障隔離 fault isolation相互獨(dú)立的硬件模塊或者部件之間，任一模塊或部件出現(xiàn)故障，不影響其他模塊或部件的正常工作。安全技術(shù)要求標(biāo)識(shí)安全路由器設(shè)備：硬件整機(jī)和主控板卡、業(yè)務(wù)板卡等主要部件應(yīng)具備唯一性標(biāo)識(shí)；應(yīng)對(duì)軟件/固件、補(bǔ)丁包/升級(jí)包的版本進(jìn)行唯一性標(biāo)識(shí)，并保持記錄；應(yīng)標(biāo)識(shí)每一個(gè)物理接口，并說(shuō)明其功能，

9、不得預(yù)留未向用戶聲明的物理接口；在用戶登錄通過(guò)認(rèn)證前的提示信息應(yīng)避免包含設(shè)備軟件版本、型號(hào)等敏感信息，例如可通過(guò)支持關(guān)閉提示信息或者用戶自定義等功能實(shí)現(xiàn)?？捎眯月酚善髟O(shè)備：部分關(guān)鍵部件，如主控板卡、交換網(wǎng)板、電源、風(fēng)扇等應(yīng)支持冗余功能，在設(shè)備運(yùn)行狀態(tài)異?？赡苡绊懢W(wǎng)絡(luò)安全時(shí)，可通過(guò)啟用備用部件防范安全風(fēng)險(xiǎn)；部分關(guān)鍵部件，如主控板卡、交換網(wǎng)板、業(yè)務(wù)板卡、電源、風(fēng)扇等應(yīng)支持熱插拔功能；軟件/固件、配置文件等應(yīng)支持備份與恢復(fù)功能；支持故障的告警、定位等功能；支持部分關(guān)鍵部件，如主控板卡、交換網(wǎng)板、業(yè)務(wù)板卡、電源、風(fēng)扇等故障隔離功能；應(yīng)提供獨(dú)立的管理接口，實(shí)現(xiàn)設(shè)備管理和數(shù)據(jù)轉(zhuǎn)發(fā)的隔離。漏洞與缺陷管理路由

10、器設(shè)備：部分關(guān)鍵部件，如 CPU、系統(tǒng)軟件的存儲(chǔ)部件等應(yīng)不存在已知的高危和中危漏洞或具備有效措施防范硬件漏洞安全風(fēng)險(xiǎn)；預(yù)裝軟件應(yīng)不存在已公布的高危和中危漏洞或具備有效措施防范漏洞安全風(fēng)險(xiǎn)；第三方組件或部件存在暫未修復(fù)的已知漏洞或安全缺陷時(shí)，應(yīng)明確告知用戶風(fēng)險(xiǎn)及防范措施；預(yù)裝軟件、補(bǔ)丁包/升級(jí)包應(yīng)不包含惡意程序；應(yīng)不存在未向用戶聲明的功能和隱蔽通道。軟件更新安全路由器設(shè)備：對(duì)于更新操作，應(yīng)僅限于授權(quán)用戶實(shí)施，應(yīng)不支持自動(dòng)更新；對(duì)于存在導(dǎo)致設(shè)備重啟等影響設(shè)備運(yùn)行安全的更新操作應(yīng)由用戶確認(rèn)后實(shí)施；應(yīng)支持用戶對(duì)軟件版本降級(jí)使用；應(yīng)支持軟件更新包完整性校驗(yàn)；應(yīng)支持軟件更新包簽名機(jī)制，抗抵賴攻擊，簽名應(yīng)使

11、用安全性較高的算法，如 SHA256，避免使用 MD5 等安全性較差的算法；更新失敗時(shí)設(shè)備應(yīng)能夠恢復(fù)到升級(jí)前的正常工作狀態(tài)；對(duì)于采用遠(yuǎn)程更新的，應(yīng)支持非明文通道傳輸更新數(shù)據(jù)；應(yīng)具備穩(wěn)定可用的渠道提供軟件更新源。默認(rèn)狀態(tài)安全路由器設(shè)備：出廠應(yīng)預(yù)裝滿足功能需求且安全風(fēng)險(xiǎn)較低的軟件版本；出廠默認(rèn)開(kāi)放的端口和服務(wù)應(yīng)明示用戶，滿足最小夠用原則；使用 Telnet、SNMPv1/v2c、HTTP 等明文傳輸協(xié)議的網(wǎng)絡(luò)管理功能應(yīng)默認(rèn)關(guān)閉；對(duì)于存在較多版本的遠(yuǎn)程管理協(xié)議，應(yīng)默認(rèn)關(guān)閉安全性較低的版本，例如設(shè)備支持 SSH 協(xié)議時(shí)， 應(yīng)默認(rèn)關(guān)閉 SSHv1。抵御常見(jiàn)攻擊能力路由器設(shè)備：應(yīng)具備抵御目的為路由器自身的

12、大流量攻擊的能力，例如目的為路由器管理接口或業(yè)務(wù)接口的ICMPv4/v6 Ping request Flood 攻擊、TCPv4/v6 SYN Flood 攻擊等；應(yīng)支持防范 ARP/ND 欺騙攻擊功能，如通過(guò) MAC 地址綁定等功能實(shí)現(xiàn)；應(yīng)支持連續(xù)的非法登錄嘗試次數(shù)限制或其他安全策略，以防范用戶憑證猜解攻擊；應(yīng)支持限制用戶會(huì)話連接的數(shù)量，以防范資源消耗類拒絕服務(wù)攻擊；在支持 WEB 管理功能時(shí)，應(yīng)具備抵御常見(jiàn)攻擊的能力，例如注入攻擊、重放攻擊、權(quán)限繞過(guò)攻擊、非法文件上傳等；在支持 SNMP 管理功能時(shí)，應(yīng)具備抵御常見(jiàn)攻擊的能力，例如權(quán)限繞過(guò)、信息泄露等；在支持 SSH 管理功能時(shí)，應(yīng)具備抵御

13、常見(jiàn)攻擊的能力，例如權(quán)限繞過(guò)、拒絕服務(wù)攻擊等；在支持 Telnet 管理功能時(shí)，應(yīng)具備抵御常見(jiàn)攻擊的能力，例如權(quán)限繞過(guò)、拒絕服務(wù)攻擊等；在支持 NETCONF 管理功能時(shí)，應(yīng)具備抵御常見(jiàn)攻擊的能力，例如權(quán)限繞過(guò)、拒絕服務(wù)攻擊等；在支持 FTP 功能時(shí)，應(yīng)具備抵御常見(jiàn)攻擊的能力，例如目錄遍歷、權(quán)限繞過(guò)等。在支持 DHCP 功能時(shí)，應(yīng)具備防范 DHCP 拒絕服務(wù)攻擊等能力。身份標(biāo)識(shí)與鑒別路由器設(shè)備：應(yīng)不存在未向用戶公開(kāi)的身份鑒別信息；應(yīng)對(duì)訪問(wèn)控制主體進(jìn)行身份標(biāo)識(shí)和鑒別；用戶身份標(biāo)識(shí)應(yīng)具有唯一性；應(yīng)支持登錄用戶空閑超時(shí)鎖定或自動(dòng)退出等安全策略，以防范會(huì)話空閑時(shí)間過(guò)長(zhǎng)導(dǎo)致的安全風(fēng)險(xiǎn)；對(duì)身份鑒別信息，如

14、用戶登錄口令、SNMP 團(tuán)體名等應(yīng)使用安全強(qiáng)度較高的密碼算法,如 AES、SM3/4、SHA2 等，來(lái)保障身份鑒別信息存儲(chǔ)的機(jī)密性，避免使用 base64、DES、SHA1 等安全強(qiáng)度弱的密碼算法；對(duì)于使用口令鑒別方式的設(shè)備，用戶首次管理設(shè)備時(shí)，應(yīng)提示并允許用戶修改默認(rèn)口令或設(shè)置口令；應(yīng)支持設(shè)置口令修改周期；對(duì)于使用口令鑒別方式的設(shè)備，應(yīng)默認(rèn)開(kāi)啟口令復(fù)雜度檢查功能。開(kāi)啟口令復(fù)雜度檢查功能時(shí)， 口令長(zhǎng)度應(yīng)不少于 8 位，且至少包含 2 種不同類型字符；用戶輸入的用戶登錄口令、SNMP 團(tuán)體名等鑒別信息默認(rèn)應(yīng)是不可見(jiàn)的；鑒別失敗時(shí)，應(yīng)返回最少且無(wú)差別信息。訪問(wèn)控制安全路由器設(shè)備：應(yīng)在出廠時(shí)默認(rèn)設(shè)置

15、安全的訪問(wèn)控制策略，或支持用戶首次使用時(shí)設(shè)置訪問(wèn)控制策略；應(yīng)提供用戶分級(jí)分權(quán)控制機(jī)制；對(duì)涉及設(shè)備安全的重要功能如補(bǔ)丁管理、固件管理、日志審計(jì)、時(shí)間同步、端口鏡像、流采樣等，應(yīng)僅高等級(jí)權(quán)限用戶可使用；應(yīng)支持基于源 IPv4/v6 地址、目的 IPv4/v6 地址、源端口、目的端口、協(xié)議類型等的訪問(wèn)控制列表功能，支持基于源 MAC 地址的訪問(wèn)控制列表功能；應(yīng)支持對(duì)用戶管理會(huì)話進(jìn)行過(guò)濾，限制非授權(quán)用戶訪問(wèn)和配置設(shè)備，例如通過(guò)訪問(wèn)控制列表功能限制可對(duì)設(shè)備進(jìn)行管理（包括 Telnet、SSH、SNMP、WEB 等管理方式）的用戶 IPv4/v6 地址。日志審計(jì)安全路由器設(shè)備：應(yīng)提供日志記錄功能，對(duì)用戶關(guān)

16、鍵操作，如增/刪賬戶、修改鑒別信息、修改關(guān)鍵配置、開(kāi)啟/ 關(guān)閉日志記錄、用戶登錄/注銷、用戶權(quán)限修改、重啟/關(guān)閉設(shè)備、更新等行為進(jìn)行記錄；應(yīng)提供日志信息本地存儲(chǔ)功能，當(dāng)日志記錄存儲(chǔ)達(dá)到極限時(shí)，應(yīng)采取覆蓋舊的記錄，保留最新的記錄等措施；應(yīng)支持日志信息輸出功能；應(yīng)提供安全功能，保證設(shè)備異常斷電恢復(fù)后，已記錄的日志不丟失；日志審計(jì)記錄中應(yīng)記錄必要的日志要素，至少包括事件發(fā)生日期和時(shí)間、主體、事件描述（如類型、操作結(jié)果等）、IP 地址（采用遠(yuǎn)程管理方式時(shí)）等，為查閱和分析提供足夠的信息；應(yīng)提供日志分析功能或?yàn)槿罩痉治龉δ芴峁┙涌?；日志記錄?yīng)受到保護(hù)，防止日志內(nèi)容被修改，防止未經(jīng)授權(quán)的操作；不應(yīng)在日志中

17、明文記錄敏感信息，如用戶口令、SNMP 團(tuán)體名、WEB 會(huì)話 ID 以及私鑰等。通信安全路由器設(shè)備：管理系統(tǒng)（管理用戶）與設(shè)備之間的通信信道/路徑應(yīng)保證數(shù)據(jù)的機(jī)密性和完整性；在支持 WEB 管理時(shí)，應(yīng)支持 HTTPS；在支持 SSH 管理時(shí)，應(yīng)支持 SSHv2；在支持 SNMP 管理時(shí)，應(yīng)支持 SNMPv3應(yīng)支持使用至少一種非明文數(shù)據(jù)傳輸協(xié)議對(duì)設(shè)備進(jìn)行管理，如 HTTPS、SSHv2、SNMPv3 等；應(yīng)支持關(guān)閉 Telnet、SSH、SNMP、WEB 等網(wǎng)絡(luò)管理功能；IPv4/v6、TCP、UDP、ICMPv4/v6 等基礎(chǔ)通信協(xié)議應(yīng)滿足一定的通信協(xié)議健壯性要求，防范異常報(bào)文攻擊；SNMPv

18、1/v2c/v3、SSHv1/v2、HTTP/HTTPS、FTP、TFTP、NTP、netconf、Openflow 等應(yīng)用層協(xié)議應(yīng)滿足一定的通信協(xié)議健壯性要求，防范異常報(bào)文攻擊；OSPFv2/v3、BGP4/4+等路由控制協(xié)議應(yīng)滿足一定的通信協(xié)議健壯性要求，防范異常報(bào)文攻擊；應(yīng)支持使用 NTP 等實(shí)現(xiàn)時(shí)間同步功能，并具備安全功能或措施防范針對(duì)時(shí)間同步功能的攻擊， 如提供 NTP 認(rèn)證等功能；路由通信協(xié)議應(yīng)支持非明文路由認(rèn)證功能，例如基于 MD5 的路由認(rèn)證。數(shù)據(jù)安全路由器設(shè)備：應(yīng)對(duì)存儲(chǔ)在設(shè)備上的數(shù)據(jù)進(jìn)行分類管理，如對(duì)用戶口令等敏感數(shù)據(jù)具備安全防護(hù)措施；設(shè)備提供者通過(guò)設(shè)備收集用戶信息的，應(yīng)當(dāng)向用戶明示并取得同意。附 錄 A（規(guī)范性附錄） 標(biāo)準(zhǔn)修訂歷史修訂時(shí)間修訂后版本號(hào)修訂內(nèi)容2018-10-18V1.0.0標(biāo)準(zhǔn)征求意見(jiàn)稿初稿2018-11-7V1.0.1根據(jù)各廠商意見(jiàn)，修訂標(biāo)準(zhǔn)，形成征求意見(jiàn)稿2019-1-10V1.1.0根據(jù)各廠商意見(jiàn)，修訂標(biāo)準(zhǔn)，形成送審稿2019-4-10V1.2.0根據(jù)各廠商意見(jiàn)，修訂標(biāo)準(zhǔn)，形成報(bào)批稿附 錄 B（資料性附錄） 用戶信息說(shuō)明對(duì)于網(wǎng)絡(luò)關(guān)鍵設(shè)備而言，用戶可能是運(yùn)營(yíng)商、大中型企業(yè)等組織。其所涉及的用戶信息，可能