标准规范下载简介
GBT 41266-2022 网络关键设备安全检测方法 交换机设备.pdfGB/T 41266—2022
网络关键设备安全检测方法
国家市场监督管理总局 发布 国家标准化管理委员会
青岛一建集团天福宜家工程施工组织设计范围 规范性引用文件 术语和定义 缩略语 测试环境 安全检测方法 6.1 设备标识安全 6.2 穴余、备份恢复与异常检测. 6.3 漏洞与缺陷管理安全 6.4 预装软件启动及更新安全 6.5 默认状态安全 6.6 抵御常见攻击能力 6.7 用户身份标识与鉴别 6.8 访问控制安全 6.9 日志审计安全 6.10 通信安全 6.11 数据安全 安全保障要求评估方法· 考文献
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 GB40050—2021《网络关键设备安全通用要求》与GB/T41267一2022《网络关键设备安全技术要 求交换机设备》、GB/T41266一2022《网络关键设备安全检测方法交换机设备》共同构成支撑网络 关键设备的交换机设备安全标准体系。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由中华人民共和国工业和信息化部提出, 本文件由全国通信标准化技术委员会(SAC/TC485)归口。 本文件起草单位:中国信息通信研究院、上海诺基亚贝尔股份有限公司、华为技术有限公司、中兴通 讯股份有限公司、新华三技术有限公司、北京通和实益电信科学技术研究所有限公司、启明星辰信息技 术集团股份有限公司、中国联合网络通信集团有限公司、北京奇虎科技有限公司、阿里云计算有限公司, 锋火通信科技股份有限公司、中国通信标准化协会。 本文件主要起草人:张治兵、周开波、沈蕾、程小平、赵建风、万晓兰、王卫东、孙薇、郭新海、张屹 薄菁、邱林海、叶郁柏、周继华、吴荣春、卜玉玲、刘欣东、袁玉东、许雯、马铮、张亚薇、姚一楠、杨广贺 柳扬、邓科、席永青。
GB/T41266—2022
网络关键设备安全检测方法
网络关键设备安全检测方法 交换机设备
网络关键设备安全检测方法 交换机设备
本文件规定了列入网络关键设备的交换机设备在标识安全、亢余、备份恢复与异常检测、漏洞与缺 陷管理、预装软件启动及更新安全、默认状态安全、抵御常见攻击能力、用户身份标识与鉴别安全、访问 控制安全、日志审计安全、通信安全、数据安全等方面的安全检测方法,并规定了上述设备的安全保障要 求评估方法。 本文件适用于列入网络关键设备目录的交换机设备,也可为网络运营者采购交换机设备时提供依 据,还适用于指导交换机设备的研发、测试等工作,
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T250691 信息安全技术术语 GB/T41268一2022网络关键设备安全检测方法路由器设备 3GPPTS33.117通用安全保障要求(Catalogueofgeneralsecurityassurancerequirements)
GB/T25069界定的以及下列术语和定义适用于本文件。 3.1 交换机switch 利用内部交换机制来提供联网设备之间连通性的设备 注:交换机中的交换机制通常在OSI参考模型的第2层或第3层实
下列缩略语适用于本文件。 ACL:访问控制列表(AccessControlList) API:应用程序接口(ApplicationProgrammingInterface) ARP:地址解析协议(AddressResolutionProtocol) BGP边界网关协议(BorderGatewayProtocol) BPDU:网桥协议数据单元(BridgeProtocolDataUnit) FTP:文件传输协议(FileTransferProtocol) HTTP:超文本传输协议(HyperTextTransferProtocol) HTTPS:安全套接字层超文本传输协议(HyperTextTransferProtocoloverSecureSocketLayer)
GB/T 412662022
测试环境如图1图5所示
数据网络测试仪一般连接到设备的业务接口,用于模拟发送数据包。安全测试工具一般股连接到设 备的业务接口或管理接口,用于进行漏洞扫描、端口扫描等安全测试。管理终端一般连接到设备的管理 接口,用于对被测设备进行配置管理
6.1.1硬件标识安全
该检测项包括如下内容:
GB/T41266—2022
1)硬件整机应具备唯一性标识; 2)设备的主控板卡、业务板卡、交换网板、风扇模块、电源、存储系统软件的板卡、硬盘或闪存 卡等主要部件应具备唯一性标识; 3)应标识每一个物理接口,并说明其功能,不得预留未向用户声明的物理接口。 b) 预置条件: 厂商提供设备硬件接口配置说明材料。 检测方法: 1)检查硬件整机是否具备唯一性标识; 2) 检查主控板卡、业务板卡、交换网板、风扇模块、电源、存储系统软件的板卡或其他介质(硬 盘、闪存卡等)等主要部件是否具备唯一性标识; 3) 检查每一个物理接口及相关说明材料,检查设备是否存在未标识的外部物理接口。 d 预期结果: 1)石 硬件整机具备唯一性标识; 2 主控板卡、业务板卡、交换网板、风扇模块、电源、存储系统软件的板卡或其他介质(硬盘、 闪存卡等)等主要部件具备唯一性标识; 3) 每一个物理接口都有标识,并通过说明书或其他材料书面说明每一个物理接口的功能,设 备不存在未标识的外部物理接口。 判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2) 如被测设备不具备可插拨的主控板卡、业务板卡、交换网板等部件,对这些部件的测试不 适用
6.1.2软件标识安全
该检测项包括如下内容: a)安全要求: 应对预装软件、补丁包/升级包的不同版本进行唯一性标识。 b 预置条件: 厂商提供设备运行所需的预装软件/固件,以及可用的补丁包/升级包 C 检测方法: 1)检查预装软件/固件是否具备唯一性标识; 2)检查补丁包/升级包是否具备唯一性标识。 d 预期结果: 1)预装软件/固件具备唯一性标识; 2)补丁包/升级包具备唯一性标识。 判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2)软件唯一性标识可以是分配的唯一版本号、软件摘要值等
.1.3鉴别提示信息安全
该检测项包括如下内容: 组)安全要求: 用户登录通过鉴别前的提示信息应避免包含设备软件版本、型号等敏感信息,例如可通过
GB/T 412662022
关闭提示信息或者用户自定义提示信息等方式实现。 b 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供设备管理方式说明材料。 C) 检测方法: 1)根据设备管理方式说明材料,配置设备的管理方式及相应的管理账号,尝试登录设备; 2)通过不同的管理方式登录设备,检查用户登录通过鉴别前的提示信息是否包含设备软件 版本、型号等敏感信息。 d) 预期结果: 用户登录通过鉴别前的提示信息未包含设备软件版本、型号等敏感信息。 e) 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.2欠余、备份恢复与异常检测
6.2.1设备整机穴余和自动切换功能
该检测项包括如下内容: a)安全要求: 交换机设备应提供整机主备自动切换功能,在设备运行状态异常时,切换到穴余设备以降低 全风险。 b)预置条件: 1)按测试环境5搭建好测试环境; 2)两台设备分别配置为主用设备与备用设备或负载分担模式。 检测方法: 测试仪表两对端口之间发送背景流量; 2 下线被测设备1; 3) 查看数据流量是否自动切换到被测设备2; 重新上线被测设备1; 被测设备1恢复正常运行后,查看数据流量状态是否正常。 预期结果: 1) 在检测方法步骤3)中,被测设备2能自动启用,流量能切换到被测设备2上; 2)在检测方法步骤5)中,被测设备1能正常运行,且数据流量状态正常。 判定原则: 1 测试结果应与预期结果相符,否则不符合要求; 主备模式和负载分担模式支持一种即可; 3 如被测设备不具备可插拨的主控板卡、业务板卡、交换网板等部件,设备应支持整机元 和自动切换; 4) 设备整机穴余和关键部件穴余支持其中一项即可判定为符合要求
6.2.2关键部件穴余和自动切换功能
该检测项包括如下内容: a)安全要求: 交换机设备应提供关键部件自动切换功能,在关键部件运行状态异常时,切换到余部件以
低安全风险。 预置条件: 1)按测试环境1搭建好测试环境; 2) 被测设备关键部件配置允余; 3)厂商提供支持余和自动切换的部件清单。 厂 检测方法: 1)数据网络测试仪发出背景流量; 2)按照厂商提供的清单,分别拔掉或关闭处于运行状态的关键部件(比如主控板卡、交换网 板、电源模块和风扇模块等),等待一段时间并观察被测设备的工作状态; 3)查看数据流量是否有丢包,并记录丢包数量。 预期结果: 1)被测设备可以自动启用备用关键部件(比如备用主控板卡、备用交换网板、备用电源模块 备用风扇等),工作正常。 厂 判定原则: 测试结果应与预期结果相符,否则不符合要求; 2) 如被测设备具备相应的部件,支持元余和自动切换的部件应至少包括主控板卡、交换网 板、电源模块和风扇模块; 3) 如被测设备不具备可插拔的主控板卡、业务板卡、交换网板等部件,对这些部件的测试不 适用; 设备整机穴余和关键部件穴余支持其中一项即可判定为符合要求,
该检测项包括如下内容: a)安全要求: 部分关键部件,如主控板卡、交换网板、业务板卡、电源、风扇等应支持热插拔功能。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)被测设备关键部件正常运行。 c) 检测方法: 1)酉 配置被测设备正常工作,数据网络测试仪发出背景流量; 2 拔掉处于运行状态的关键部件,如主控板卡、交换网板(无背景流量)、业务板卡(无背景流 量)、电源、风扇,观察被测设备的工作状态; 3) 重新插上拔掉的关键部件,观察被测设备的工作状态 d)预期结果: 检测方法步骤2)和步骤3)中,流量不中断,设备支持热插拔,重新插人的关键部件在一段时间 后恢复正常运行。 e) 判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2) 如被测设备不具备可插拔的主控板卡、业务板卡、交换网板等部件,对这些部件的测试不 适用。
6.2.4备份与恢复功能
该检测项包括如下内容:
a)安全要求: 支持对预装软件、配置文件的备份与恢复功能,使用恢复功能时支持对预装软件、配置文件的 完整性检查。 b) 预置条件: 按测试环境1搭建好测试环境 ? 检测方法: 1)配置被测设备正常工作; 2) 分别备份预装软件、配置文件到被测设备之外的存储介质上; 清空或重置设备配置,保存并重启; 4) 从存储介质上恢复预装软件到被测设备并重启,查看设备是否能够以预装软件启动,并恢 复到正常工作状态; 5 从存储介质上恢复配置文件到被测设备,查看设备配置是否恢复到备份前工作状态; 修改存储介质上备份的预装软件和配置文件,并重复检测方法步骤3)~步骤5)。 d)预期结果: 检测方法步骤2)中,软件和配置文件备份成功; 2) 检测方法步骤4)中,恢复的软件工作正常; 3)检测方法步骤5)中,设备配置与备份前一致 4) 检测方法步骤6)中,设备能够检测到软件和配置已被修改,且不能成功恢复到备份前工 作状态。 e)判定原则: 测试结果应与预期结果相符,否则不符合要求。
6.2.5故障隔离与告警功能
该检测项包括如下内容 a)安全要求: 1)支持主控板卡、交换网板、业务板卡、电源、风扇等部分关键部件故障隔离功能; 2)应支持异常状态检测,产生相关错误提示信息,支持故障的告警、定位等功能。 b) 预置条件: 按测试环境1搭建好测试环境 检测方法: 1)数据网络测试仪发出背景流量; 2)分别拔掉或关闭处于运行状态的关键部件(比如主控板卡、交换网板、电源模块和风扇模 块等),等待一段时间并观察被测设备的工作状态以及是否有故障告警、定位的信息 d 预期结果: 1 被测试设备支持部分关键部件故障隔离功能,相互独立的模块或者部件之间任一模块或 部件出现故障,不影响其他模块或部件的正常工作; 2) 被测设备支持识别异常状态,产生相关错误提示信息,提供故障的告警、定位等功能。 e 判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2)如被测设备不具备可插拔的主控板卡、业务板卡、交换网板等部件,对这些部件的测试不 适用
6.2.6独立管理接口功能
该检测项包括如下内容:
a)安全要求: 应提供独立的管理接口,实现设备管理和数据转发的隔离。 b) 预置条件: 按测试环境1搭建好测试环境 检测方法: 1)检查被测设备是否有独立的管理接口,并确认管理接口是否能够正常使用; 2)从管理接口向业务接口发送测试数据; 3)从业务接口向管理接口发送测试数据。 d)预期结果: 1)检测方法步骤1)中,被测设备具备独立的管理接口且可以正常使用; 2)检测方法步骤2)与步骤3)中,管理和业务接口相互隔离,测试数据转发不成功 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.3漏洞与缺陷管理安全
a 安全要求: 不应存在已公布的漏洞,或具备补救措施防范漏洞安全风险。 b)子 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供具有管理员权限的账号,用于登录设备操作系统; 3)按照产品说明书进行初始配置,并启用相关的协议和服务; 4)扫描所使用的工具及其知识库需使用最新版本
预置条件: 1) 按测试环境1搭建好测试环境; 2)厂商提供具有管理员权限的账号,用于登录设备操作系统; 3)按照产品说明书进行初始配置,并启用相关的协议和服务; 4)扫描所使用的工具及其知识库需使用最新版本。 检测方法 典型的漏洞扫描方式包括系统漏洞扫描、WEB应用漏洞扫描等,扫描应覆盖具有网络通信功 能的各类接口。 1) 系统漏洞扫描: 利用系统漏洞扫描工具通过具有网络通信功能的各类接口分别对被测设备系统进行扫描 (包含登录扫描和非登录扫描两种方式,优先使用登录扫描方式),查看扫描结果; 2 WEB应用漏洞扫描(设备不支持WEB功能时不适用): 利用WEB应用漏洞扫描工具对支持WEB应用的网络接口进行扫描(包含登录扫描和非 登录扫描两种方式,优先使用登录扫描方式),查看扫描结果。 3)对于以上扫描发现的安全漏洞,检查是否具备补救措施。 预期结果: 分析扫描结果,没有发现安全漏洞;或者根据扫描结果中,发现了安全漏洞,针对发现的漏洞具 备相应的补救措施。 判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2)常见的补救措施包括修复、规避等措施,如直接修复(打补丁等)、用第三方工具(如防火 墙)阻断、通过相关配置来规避风险(如关团租关功能或者协议等)
6.3.2恶意程序扫描
该检测项包括如下内容:
a) 安全要求: 预装软件、补丁包/升级包不应存在恶意程序。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供具有管理员权限的账号,用于登录设备操作系统; 3)厂商提供测试所需预装软件、补丁包/升级包; 4)按照产品说明书进行初始配置,并启用相关的协议和服务,准备开始扫描; 5)扫描所使用的工具需使用最新版本。 c)检测方法: 使用至少两种恶意程序扫描工具对被测设备预装软件、补丁包/升级包进行扫描,查看是否存 在恶意程序。 d)预期结果: 设备预装软件、补丁包/升级包不存在恶意程序。 e)判定原则: 测试结果应与预期结果相符,否则不符合要求。
6.3.3设备功能和访问接口声明
该检测项包括如下内容: a) 安全要求: 不应存在未声明的功能和访问接口(含远程调试接口)。 b 预置条件: 1)厂商提供设备所支持的功能和访问接口清单; 2)厂商提供管理员权限账号; 3)厂商说明不存在未声明的功能和访问接口。 C)检测方法: 1 使用管理员权限账号登录设备,检查设备所支持的功能是否与文档一致; 2)查看系统访问接口(含远程调试接口)是否与文档一致。 预期结果: 1)设备支持的功能和访问接口(含远程调试接口)与文档一致; 2)不存在未声明的功能和访问接口(含远程调试接口)。 e 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.4预装软件启动及更新安全
6.4.1预装软件启动完整性校验功能
该检测项包括如下内容: a) 安全要求: 软件启动时可通过数字签名技术验证预装软件包的完整性。 b) 预置条件: 1)测试环境1搭建好测试环境; 2)厂商在设备中预先安装软件包和数字签名。 c)检测方法:
GB/T41266—2022
1)修改预装软件的数字签名,重启设备; 2)破坏预装软件的完整性,重启设备。 口 预期结果: 检测方法步骤1)和检测方法步骤2)中,设备无法使用修改后的预装软件正常启动。 e 判定原则: 测试结果应与预期结果相符,否则不符合要求
该检测项包括如下内容: a)安全要求: 应支持设备预装软件更新功能,不应支持自动更新。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供被测设备预装软件; 3)厂商提供用于更新的软件包。 c 检测方法: 1) 检查预装软件是否可进行更新; 2) 检查预装软件是否可进行更新源(本地或远程)设置; 3) 检查预装的软件更新是否在人工操作下进行更新; 查阅设备功能说明材料,检查是否存在支持自动更新功能的说明。 预期结果: 1)预装软件可更新; 2) 可配置更新源(本地或远程); 3)设备仅可在人工操作下进行更新静压锚杆桩施工工艺流程,设备功能说明材料中不存在支持自动更新的说明 e 判定原则: 测试结果应与预期结果相符,否则不符合要求
6.4.3更新授权功能
该检测项包括如下内容: a)安全要求: 对于更新操作,应仅限于授权用户可实施。 b) 预置条件: 1)按测试环境1搭建好测试环境; 2)厂商提供被测设备分级的用户账号策略; 3)厂商提供用户手册。 ) 检测方法: 1) 检查用户手册中是否记录了对不同级别账号配置及权限的描述; 2) 尝试配置不同级别的账号,至少配置一个无更新权限的账号和一个具备更新权限的账号; 3) 尝试使用无更新权限的账号执行设备更新操作,查看结果; 4) 尝试使用具备更新权限的账号执行设备更新操作,查看结果。 d)预期结果: 1) 用户手册中记录了描述不同级别账号配置及权限说明; 2)不同权限的账号配置成功:
3)无更新权限账号不能执行设备更新操作: 4)具备更新权限的账号可以成功执行设备更新操作 判定原则: 测试结果应与预期结果相符,否则不符合要求,
6.4.4更新操作确认功解
该检测项包括如下内容: a)安全要求: 对于存在导致设备重启等影响设备运行安全的实施更新操作,应支持用户选择或确认是否进 行更新。 b)预置条件: 1)按测试环境1搭建好测试环境 2)厂商提供被测设备预装软件的待更新软件包,对该软件包的更新操作会导致设备重启等 影响设备运行安全的问题 )检测方法: 执行更新操作,检查更新过程中是否要求用户进行选择或确认。 d 预期结果: 执行更新操作时会要求用户进行选择或确认。 e) 判定原则: 1)测试结果应与预期结果相符,否则不符合要求; 2 用户选择或确认的方式包括:选择更新或不更新;通过二次鉴别的方式进行确认;对授权 用户提示更新操作在特定时间段或特定操作之后才能生效,生效之前可撤销
6.4.5软件更新包完整性校验功能
该检测项包括如下内容: a)安全要求: 应支持软件更新包完整性校验。 b)预置条件: 1)按测试环境1搭建好测试环境 2)厂商提供预装软件的更新包、说明材料及数字签名; 3)厂商提供签名验证的工具或指令。 C 检测方法: 1 检查厂商发布更新软件包时是否同时发布更新软件包和数字签名; 2) 使用工具或指令验证厂商提供的更新包,检查是否通过签名验证; 修改商提供的预装软件更新包,使用工具或指令验证修改过的更新包,检查是否可以通 过签名验证。 d)预期结果: 1) 更新包与数字签名一同发布; 2) 使用厂商提供的签名验证工具或指令对更新包进行签名验证,若更新包与签名不匹配太原城建学院办公楼工程施工组织设计,则 验证不通过,输出错误信息,若匹配,则输出验证通过信息。 e)判定原则: 测试结果应与预期结果相符,否则不符合要求
6.4.6更新失败恢复功能