GB/T 18018-2019 信息安全技術(shù) 路由器安全技術(shù)要求
- 發(fā)表時(shí)間:2023-03-22
- 來(lái)源:共立消防
- 人氣:
1 范圍
本標(biāo)準(zhǔn)分等級(jí)規(guī)定了路由器的安全功能要求和安全保障要求。
本標(biāo)準(zhǔn)適用于路由器產(chǎn)品安全性的設(shè)計(jì)和實(shí)現(xiàn),對(duì)路由器產(chǎn)品進(jìn)行的測(cè)試、評(píng)估和管理也可參照使用。
2 規(guī)范性引用文件
下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則
GB/T 18336.1~18336.3-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則
3 術(shù)語(yǔ)和定義、縮略語(yǔ)
3.1 術(shù)語(yǔ)和定義
GB 17859-1999和GB/T 18336.1~18336.3-2015界定的以及下列術(shù)語(yǔ)和定義適用于本文件。
3.1.1
路由器 router
主要的網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備,承載數(shù)據(jù)流量,通過(guò)路由選擇算法決定流經(jīng)數(shù)據(jù)的轉(zhuǎn)發(fā)處理,并可以通過(guò)集成防火墻等功能模塊提供訪問(wèn)控制和安全擴(kuò)展功能。
3.1.2
簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 simple network management protocol
一系列協(xié)議組和規(guī)范,提供了一種從網(wǎng)絡(luò)上的設(shè)備收集網(wǎng)絡(luò)管理信息的方法,也為設(shè)備向網(wǎng)絡(luò)管理工作站報(bào)告問(wèn)題和錯(cuò)誤提供了一種方法。
3.1.3
單播逆向路徑轉(zhuǎn)發(fā) unicast reverse path forwarding
為防止基于源地址欺騙的網(wǎng)絡(luò)攻擊,以源地址為目的地址,在轉(zhuǎn)發(fā)表中查找源地址對(duì)應(yīng)接口是否與入接口匹配的動(dòng)作。
3.2 縮略語(yǔ)
下列縮略語(yǔ)適用于本文件。
HTTPS 安全套接字層超文本傳輸協(xié)議(Hyper Text Transfer Protocol over Secure Socket Layer)
IKE Internet密鑰交換協(xié)議(Internet Key Exchange Protocol)
IPSec Internet 協(xié)議安全(Internet Protocol Security)
LDAP 輕量級(jí)目錄訪問(wèn)協(xié)議(Lightweight Directory Access Protocol)
MPLS 多協(xié)議標(biāo)記交換(Multi-Protocol Label Switching)
RADIUS 遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)(Remote Authentication Dial In User Service)
SFTP 安全文件傳輸協(xié)議(Secure File Transfer Protocol)
SNMP 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(Simple Network Management Protocol)
SNMPV3 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議版本3(Simple Network Management Protocol Version 3)
SSH 安全殼協(xié)議(Secure Shell)
SSL/TLS 安全套接字層/傳輸層安全協(xié)議(Secure Socket Layer/Transport Layer Security)
TACACS 終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)(Terminal Access Controller Access Control System)
URPF 單播逆向路徑轉(zhuǎn)發(fā)(Unicast Reverse Path Forwarding)
VPN 虛擬專用網(wǎng)(Virtual Private Network)
VRRP 虛擬路由冗余協(xié)議(Virtual Router Redundancy Protocol)
4 第一級(jí)安全技術(shù)要求
4.1 安全功能要求
4.1.1 自主訪問(wèn)控制
路由器應(yīng)執(zhí)行自主訪問(wèn)控制策略,通過(guò)管理員屬性表,控制不同管理員對(duì)路由器的配置數(shù)據(jù)和其他數(shù)據(jù)的查看、修改,以及對(duì)路由器上程序的執(zhí)行,阻止非授權(quán)人員進(jìn)行上述活動(dòng)。
4.1.2 身份鑒別
4.1.2.1 管理員鑒別
在管理員進(jìn)入系統(tǒng)會(huì)話之前,路由器應(yīng)鑒別管理員的身份,鑒別時(shí)應(yīng)采用口令機(jī)制,并在每次登錄系統(tǒng)時(shí)進(jìn)行??诹顟?yīng)是不可見的,并在存儲(chǔ)和傳輸時(shí)加密保護(hù)。
當(dāng)進(jìn)行鑒別時(shí),路由器應(yīng)僅將最少的反饋(如:打入的字符數(shù),鑒別的成功或失?。┨峁┙o被鑒別人員。同時(shí),反饋信息應(yīng)避免提示“用戶名錯(cuò)誤”“口令錯(cuò)誤”等信息,避免攻擊者進(jìn)行用戶名或口令的暴力猜解。
4.1.2.2 鑒別失敗處理
在經(jīng)過(guò)一定次數(shù)的鑒別失敗以后,路由器應(yīng)鎖定該賬號(hào)。最多失敗次數(shù)僅由授權(quán)管理員設(shè)定。
4.1.3 安全管理
4.1.3.1 權(quán)限管理
路由器應(yīng)能夠設(shè)置多個(gè)角色,具備劃分管理員級(jí)別和規(guī)定相關(guān)權(quán)限(如:監(jiān)視、維護(hù)配置等)的能力,能夠限定每個(gè)管理員的管理范圍和權(quán)限,防止非授權(quán)登錄和非授權(quán)操作。
4.1.3.2 管理協(xié)議設(shè)置
路由器應(yīng)能配置和使用安全的協(xié)議對(duì)系統(tǒng)進(jìn)行管理控制。應(yīng)使用SSH、SFTP、SNMPV3和HT-TPS。
4.1.3.3 安全屬性管理
路由器應(yīng)為管理員提供對(duì)安全功能進(jìn)行控制管理的功能,這些管理包括:
a)與對(duì)應(yīng)的路由器自主訪問(wèn)控制、鑒別和安全保障技術(shù)相關(guān)的功能的管理。
b)與一般的安裝和配置有關(guān)的功能的管理。
c)路由器的安全配置參數(shù)要有初始值。路由器安裝后,安全功能應(yīng)能及時(shí)提醒管理員修改配置,并能周期性地提醒管理員維護(hù)配置。
4.1.4 設(shè)備安全防護(hù)
4.1.4.1 流量控制
路由器應(yīng)能夠?qū)υO(shè)備本身需進(jìn)行解析處理的協(xié)議流量大小進(jìn)行控制,例如,通過(guò)設(shè)置帶寬等防護(hù)手段,保證系統(tǒng)在經(jīng)受協(xié)議泛洪攻擊時(shí)原有轉(zhuǎn)發(fā)業(yè)務(wù)正常,在泛洪攻擊消除后系統(tǒng)可直接恢復(fù)。
4.1.4.2 優(yōu)先級(jí)調(diào)度
無(wú)。
4.1.4.3 資源耗盡防護(hù)
無(wú)。
4.1.5 安全功能保護(hù)
4.1.5.1 自檢
設(shè)備在上電啟動(dòng)時(shí)應(yīng)執(zhí)行安全功能的自檢,如內(nèi)存、數(shù)字簽名、加密算法等,確保安全功能正確。只有當(dāng)所有自檢功能通過(guò)時(shí),才能正常啟動(dòng)設(shè)備。
4.1.5.2 保證軟件更新的合法性
安全管理員應(yīng)能查詢當(dāng)前執(zhí)行的軟件/固件版本號(hào)及最近一次安裝的版本號(hào)。應(yīng)能在安裝更新前用數(shù)字簽名驗(yàn)證軟件/固件更新的合法性。
4.2 安全保障要求
4.2.1 配置管理
開發(fā)者應(yīng)設(shè)計(jì)和實(shí)現(xiàn)路由器配置管理,為產(chǎn)品的不同版本提供唯一的標(biāo)識(shí),且產(chǎn)品的每個(gè)版本應(yīng)使用其唯一的標(biāo)識(shí)作為標(biāo)簽。
4.2.2 交付和運(yùn)行
開發(fā)者應(yīng)以文檔形式對(duì)路由器安全交付以及安裝和啟動(dòng)過(guò)程進(jìn)行說(shuō)明。文檔中應(yīng)包括:
a)對(duì)安全地將路由器交付給用戶的說(shuō)明;
b)對(duì)安全地安裝和啟動(dòng)路由器的說(shuō)明。
4.2.3 開發(fā)
開發(fā)者應(yīng)提供路由器功能設(shè)計(jì),要求按非形式化功能設(shè)計(jì)的要求進(jìn)行功能設(shè)計(jì),以非形式化方法描述安全功能及其外部接口,并描述使用外部安全功能接口的目的和方法。
4.2.4 指導(dǎo)性文檔
開發(fā)者應(yīng)編制路由器的指導(dǎo)性文檔,要求如下:
以上為標(biāo)準(zhǔn)部分內(nèi)容,如需看標(biāo)準(zhǔn)全文,請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買標(biāo)準(zhǔn)正版。
- 2023-08-22消防維修保養(yǎng)記錄
- 2023-08-22消防設(shè)施維修維護(hù)
- 2023-08-19消防水池維修
- 2023-08-19消防水炮維修
- 2023-08-19消防線路維修
- 2023-08-19消防維保服務(wù)系統(tǒng)
- 2023-08-19消防主機(jī)維修維保大全
- 2023-08-19消防維保作用
- 2023-08-18消防維保工作聯(lián)系單
- 2023-08-18消防維保每年都要做嗎
- 2023-08-18 消防維保技術(shù)服務(wù)
- 2023-08-18消防主板維修
- 2023-08-18消防維保軟件
- 2023-08-18消防維保規(guī)章制度
- 2023-08-17消防檢測(cè)和維保
- 2023-08-17消防維保檢查
- IG541混合氣體滅火系統(tǒng)
IG541混合氣體滅火系統(tǒng):IG-541滅火系統(tǒng)采用的IG-541混合氣體滅火劑是由大氣層中的氮?dú)猓∟2)、氬氣(Ar)和二氧化碳(CO2)三種氣體分別以52%、40%、8%的比例混合而成的一種滅火劑
- 二氧化碳?xì)怏w滅火系統(tǒng)
二氧化碳?xì)怏w滅火系統(tǒng):二氧化碳?xì)怏w滅火系統(tǒng)由瓶架、滅火劑瓶組、泄漏檢測(cè)裝置、容器閥、金屬軟管、單向閥(滅火劑管)、集流管、安全泄漏裝置、選擇閥、信號(hào)反饋裝置、滅火劑輸送管、噴嘴、驅(qū)動(dòng)氣體瓶組、電磁驅(qū)動(dòng)
- 七氟丙烷滅火系統(tǒng)
七氟丙烷(HFC—227ea)滅火系統(tǒng)是一種高效能的滅火設(shè)備,其滅火劑HFC—ea是一種無(wú)色、無(wú)味、低毒性、絕緣性好、無(wú)二次污染的氣體,對(duì)大氣臭氧層的耗損潛能值(ODP)為零,是鹵代烷1211、130
- 手提式干粉滅火器
手提式干粉滅火器適滅火時(shí),可手提或肩扛滅火器快速奔赴火場(chǎng),在距燃燒處5米左右,放下滅火器。如在室外,應(yīng)選擇在上風(fēng)方向噴射。使用的干粉滅火器若是外掛式儲(chǔ)壓式的,操作者應(yīng)一手緊握噴槍、另一手提起儲(chǔ)氣瓶上的
- 0消防維保收費(fèi)每平方多少錢
- 1GB/T 7588.1-2020 電梯制造與安裝安全規(guī)范 第1部分:乘客電梯和載貨電梯
- 2消防安全評(píng)估報(bào)告多久做一次
- 3GB 50160-2018 石油化工企業(yè)設(shè)計(jì)防火規(guī)范
- 4GB 4351.1-2005 手提式滅火器 第1部分:性能和結(jié)構(gòu)要求
- 5消防安全評(píng)估收費(fèi)標(biāo)準(zhǔn)
- 6GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求
- 7消防維保多長(zhǎng)時(shí)間維保一次
- 8GB 50229-2019 火力發(fā)電廠與變電站設(shè)計(jì)防火標(biāo)準(zhǔn)
- 9消防維保是干什么的