标准规范下载简介
GBT 41269-2022 网络关键设备安全技术要求 路由器设备.pdfGB/T 41269—2022
网络关键设备安全技术要求
国家市场监督管理总局 发布 国家标准化管理委员会
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 GB40050—2021《网络关键设备安全通用要求》与GB/T41269一2022《网络关键设备安全技术要 求路由器设备》、GB/T41268一2022《网络关键设备安全检测方法路由器设备》共同构成支撑网络 关键设备的路由器设备安全标准体系。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中华人民共和国工业和信息化部提出, 本文件由全国通信标准化技术委员会(SAC/TC485)归口。 本文件起草单位:中国信息通信研究院、华为技术有限公司、杭州迪普科技股份有限公司、启明星辰 信息技术集团有限公司、新华三技术有限公司、中兴通讯股份有限公司、烽火通信科技股份有限公司海淀升危改小区市政热力外线工程施工组织设计, 联想(北京)有限公司、北京微智信业科技有限公司、中国通信标准化协会。 本文件主要起草人:张治兵、周开波、倪平、仇俊杰、周继华、张亚薇、孙微、童大予、陈鹏、许雯、邓科 张勇、王富涛、叶郁柏、侯世伟、沈树华、李汝鑫、吴荣春、陈乔、柳扬
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 GB40050—2021《网络关键设备安全通用要求》与GB/T41269一2022《网络关键设备安全技术要 求路由器设备》、GB/T41268一2022《网络关键设备安全检测方法路由器设备》共同构成支撑网络 关键设备的路由器设备安全标准体系。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中华人民共和国工业和信息化部提出, 本文件由全国通信标准化技术委员会(SAC/TC485)归口。 本文件起草单位:中国信息通信研究院、华为技术有限公司、杭州迪普科技股份有限公司、启明星辰 信息技术集团有限公司、新华三技术有限公司、中兴通讯股份有限公司、烽火通信科技股份有限公司、 联想(北京)有限公司、北京微智信业科技有限公司、中国通信标准化协会。 本文件主要起草人:张治兵、周开波、倪平、仇俊杰、周继华、张亚薇、孙薇、童大予、陈鹏、许雯、邓科、 张勇、王富涛、叶郁柏、侯世伟、沈树华、李汝鑫、吴荣春、陈乔、柳扬
GB/T41269—2022
网络关键设备安全技术要求
网络关键设备安全技术要求 路由器设备
全功能要求和安全保障要求。 本文件适用于列入网络关键设
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适 文件。 GB/T25069信息安全技术术语 GB40050一2021网络关键设备安全通用要求
本文件。 GB/T25069信息安全技术术语 GB40050一2021网络关键设备安全通用要求 术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件, 3.1 路由器 router 用来建立和控制不同网络间数据流的网络设备 注:路由器基于路由协议机制和算法来选择路径或路由以实现建立和控制网络间的数据流,网络自身可以基于不 同的网络协议 3.2 故障隔离faultisolation 设备内部相互独立的部件中任一部件出现故障,不影响其他部件正常工作的一种机制
GB/T41269—2022
ND:居发现协议(NeighborDiscoveryProtocol) NETCONF:网络配置协议(NetworkConfigurationProtocol) NTP:网络时间协议(NetworkTimeProtocol) OSPF:开放最短路径优先协议(OpenShortestPathFirst) SNMP:简单网络管理协议(SimpleNetworkManagementProtocol) SSH:安全壳协议(SecureShell) TCP:传输控制协议(TransmissionControlProtocol) TFTP:简单文件传输协议(TrivialFileTransferProtocol) UDP:用户数据报协议(UserDatagramProtocol)
路由器设备应支持以下标识安全要求: a)硬件整机应具备唯一性标识; b)设备的主控板卡、业务板卡、交换网板、风扇模块、电源、存储系统软件的板卡、硬盘或闪存卡等 主要部件应具备唯一性标识; c)应对预装软件、补丁包/升级包的不同版本进行唯一性标识; 应标识每一个物理接口,并说明其功能,不得预留未向用户声明的物理接口; e 用户登录通过鉴别前的提示信息应避免包含设备软件版本、型号等敏感信息,例如可通过支持 关闭提示信息或者用户自定义提示信息等方式实现。
5.2元余、备份恢复与异常检测
路由器设备应支持以下元余、备份恢复安全要求和异常检测安全要求。 a)设备整机应支持主备切换功能或关键部件应支持元余功能,路由器设备支持元余功能的关键 部件通常包括主控板卡、交换网板、电源模块、风扇模块等。路由器设备应提供自动切换功能, 在设备或关键部件运行状态异常时,切换到穴余设备或余部件以降低安全风险。 D 部分关键部件,如主控板卡、交换网板、业务板卡、电源、风扇等应支持热插拨功能。 c)支持对预装软件、配置文件的备份与恢复功能,使用恢复功能时支持对预装软件、配置文件的 完整性检查。 d)应支持异常状态检测,产生相关错误提示信息,支持故障的告警、定位等功能。 e)支持主控板卡、交换网板、业务板卡、电源、风扇等部分关键部件故障隔离功能。 应提供独立的管理接口,实现设备管理和数据转发的隔离
5.3漏洞与缺陷管理安全
路由器设备应支持以下漏洞与缺陷管理安全要求 a)不应存在已公布的漏洞,或具备补救措施防范漏洞安全风险; )预装软件、补丁包/升级包不应存在恶意程序; C)不应存在未声明的功能和访问接口(含远程调试接口)
5.4预装软件启动及更新安全
下安全要水 a)应支持启动时完整性校验功能,确保系统软件不被改;
GB/T41269—2022
b)应支持设备预装软件更新功能; c)对于更新操作,应仅限于授权用户实施,不应支持自动更新; d)对于存在导致设备重启等影响设备运行安全的更新操作,应支持用户选择或确认是否进行 更新; e) 应支持软件更新包完整性校验; 更新失败时设备应能够恢复到更新前的正常工作状态; g 对于采用网络更新方式的,应支持非明文通道传输更新数据; 应有明确的信息告知用户软件更新过程的开始、结束以及更新的内容; 应具备稳定可用的渠道提供软件更新源
5.6抵御常见攻击能力
5.7用户身份标识与鉴别
路由器设备用户身份标识与鉴别功能应支持以下安全要求: a)应对用户进行身份标识和鉴别,用户身份标识应具有唯一性; b)应不存在未向用户公开的身份鉴别信息; c)使用口令鉴别方式时,应支持首次管理设备时强制修改默认口令或设置口令,或支持随机的 始口令,支持设置口令生存周期; d)使用口令鉴别方式时,支持口令复杂度检查功能,开启口令复杂度检查功能时,应支持检查
路由器设备用户身份标识与鉴别功能应支持以下安全要求: a)应对用户进行身份标识和鉴别,用户身份标识应具有唯一性; b)应不存在未向用户公开的身份鉴别信息; c)使用口令鉴别方式时,应支持首次管理设备时强制修改默认口令或设置口令,或支持随机的初 始口令,支持设置口令生存周期; d)使用口令鉴别方式时,支持口令复杂度检查功能,开启口令复杂度检查功能时,应支持检查口
GB/T41269—2022
令长度应不少于8位,且至少包含2种不同类型字符; e) 使用口令鉴别方式时,不应明文回显用户输入的口令信息; 应支持登录用户空闲超时锁定或自动退出等安全策略道路沥青砼施工组织设计方案 [路桥隧施工组织设计,以防范用户登录后会话空闲时间过长 导致的安全风险; 名 鉴别失败时,应返回最少且无差别信息; 应对用户身份鉴别信息进行安全保护,保障用户鉴别信息存储的保密性,以及传输过程中的保 密性和完整性
路由器设备应支持以下通信安全要求: a)应支持与管理系统(管理用户)建立安全的通信信道/路径,保障通信数据的保密性、完整性; b)在支持Web管理时,应支持HTTPS; c)在支持SSH管理时,应支持SSHv2; d)在支持SNMP管理时,应支持SNMPv3; e)应支持使用至少一种非明文数据传输协议对设备进行管理,如HTTPS、SSHv2、SNMPv3等
GB/T41269—2022
路由器设备应支持以下数据安全要求: a)应具备防止数据泄露、数据非授权读取和修改的安全功能,对存储在设备中的敏感数据进行 保护; b 应具备对用户产生且存储在设备中的数据(如日志、配置文件等)进行授权删除的功能,支持在 删除前对该操作进行确认
YBT4252-2011 耐热混凝土应用技术规程.pdf路由器设备密码要求应符合GB40050一2021中5.10的规定。
器设备安全保障要求应符合GB40050—2021中第