标准规范下载简介
TAF-WG9-AS0040-V1.0.0:2019 智能网关设备安全技术要求.pdf前 言·. 引 言 智能网关设备安全技术要求 范围, 2规范性引用文件 3术语和定义 3.1智能网关设备Intelligentgatewaydevice 1安全技术要求 4.1设备硬件和系统软件安全 4.2业务功能安全 4.3网管安全 4.4应用软件安全 5分级安全要求 附录 (规范性附录) 府 录B(资料性附录) 参考文献
引 言 智能网关设备安全技术要求 范围, 2规范性引用文件 3术语和定义 3.1智能网关设备Intelligentgatewaydevice 4安全技术要求 4.1设备硬件和系统软件安全 4.2业务功能安全 4.3网管安全 4.4应用软件安全 5分级安全要求 附录 (规范性附录) 附录B(资料性附录) 参考文献
DB43/ 738-2012标准下载本标准提出智能网关硬件、系统软件、业务功能、网管等方面的安全技术要求
本标准/本部分由电信终端产业协会(TAF)提出并归口。 本标准/本部分起草单位:中国信息通信研究院、启明星辰信息技术集团股份有限公司、华为技术 有限公司、新华三技术有限公司、烽火通信科技股份有限公司、联想(北京)有限公司、中兴通讯股份 有限公司、上海诺基亚贝尔股份有限公司、北京辰信领创信息技术有限公司、北京奇虎科技有限公司、 深圳市友华通信技术有限公司。 本标准/本部分主要起草人:张治兵、陈鹏、童天予、吴国燕、孙薇、彭宏明、叶郁柏、主英晨、 许雯、刘鑫、李汝鑫、张亚薇、蒋皓、万晓兰、夏敏、付凯、倪平、雷慧桃、姚一楠、曹夏飞。
智能网关设备安全技术要求
本标准规定了智能网关设备在硬件、系统软件、业务功能、网管等方面的安全技术要求。本标 了智能网关设备分级安全要求。 本标准可供智能网关设备的设计和生产厂商、系统集成商、设备使用方、安全检测和安全认证 用。
3.1智能网关设备Intelligentgatewaydev
智能网关设备是指具备连通外部广域通信网络和家庭/小型企业内部局域网络功能,支持使用APP 通过云平台等方式实现远程配置、设备控制、流量监测、终端管理等智能化管理功能,支持通过安装插 件或应用实现扩展功能的设备。
4.1设备硬件和系统软件安全
a)硬件整机应具备唯一性标识; 应对软件/固件、补丁包/升级包的版本进行唯一性标识,并保持记录; C 禁止在操作界面、日志、调试信息和错误提示中明文显示密钥、口令、会话标识等敏感信息 d)应标识每一个物理接口,并说明其功能,不应预留未标识的物理接口; e)关键安全功能模块不应存在功能丝印标识(详见附录C),防止攻击者通过丝印标识了解器件 特性和单板原理,从而加大攻击者识别硬件的难度。
a)在用户登录通过认证前的提示信息应避免包含设备软件版本、型号等敏感信息,如:可通过支 持关闭提示信息或者用户自定义等安全措施; b)不应存在已公布(90天之前)的高危和中危漏洞或具备有效措施防范漏洞安全风险: c)智能网关设备提供者应提供接收外部报告安全问题的有效渠道,发现其设备存在漏洞等风险 时,应当立即采取补救措施,及时告知用户风险及防范措施,并留存实施相关补救措施和告知用户 的记录; d)预装软件、补工包/升级包应不包含恶意程序
4.1.6常见攻击防护安全
a)应支持安全措施(例如采用限制用户会话连接数量等),以防范资源消耗型拒绝服务类攻击, 设备应在受到拒绝服务类攻击时不死机,不重启,远程管理(如TR069,智能平台)功能正常,设备 不能脱管,在停止攻击后可恢复到正常状态,自动恢复的延迟时间应低于30秒; 1)应能够提供防DHCPf1ood攻击和反射攻击的能力,支持对在单位时间内处理的DHCP应 答报文的数量进行限制: 2)应能够提供防DNSf1ood攻击和反射攻击的能力,支持对在单位时间内处理的DNS应答报 文的数量进行限制; 3) 应能够提供防NTPf1ood攻击和反射攻击的能力,支持对在单位时间内处理的NTP应答报 文的数量进行限制; 4)应能够提供防SYNf1ood攻击和反射攻击的能力,支持对在单位时间内处理的SYN应答报 文的数量进行限制。 应支持防火墙功能,支持对防火墙规则的配置,并支持基于以下过滤规则: 1) 应支持根据源MAC地址、目的MAC地址进行报文过滤; 2) 应支持根据源IP地址及范围段、目的IP地址及范围段进行报文过滤; 3) 应支持根据IP源端口及范围段、目的端口及范围段进行报文过滤; 4) 应支持根据IP包的传输层协议类型进行报文过滤,并至少具有TCP/UDP/ICMP的选项; 5 应支持对匹配规则的报文进行处理模式的选择,且对匹配规则的报文的处理模式提供允许 和禁止2种选项,且默认为禁止模式; 6)应支持对TOS/DSCP报文进行过滤的功能。 应支持DMZ功能; 应支持用户身份鉴别失败处理功能,防范用户凭证猜解攻击:
应支持安全猎施(例如采用限制用户会话连接数量等),以防范资源消耗型拒绝服务类攻击CJJ12-2013标准下载, 设备应在受到拒绝服务类攻击时不死机,不重启,远程管理(如TR069,智能平台)功能正常,设备 不能脱管,在停止攻击后可恢复到正常状态,自动恢复的延迟时间应低于30秒; 1)应能够提供防DHCPf1ood攻击和反射攻击的能力,支持对在单位时间内处理的DHCP应 答报文的数量进行限制; 2)应能够提供防DNSf1ood攻击和反射攻击的能力,支持对在单位时间内处理的DNS应答报 文的数量进行限制; 3) 应能够提供防NTPf1ood攻击和反射攻击的能力,支持对在单位时间内处理的NTP应答报 文的数量进行限制; 4)应能够提供防SYNf1ood攻击和反射攻击的能力,支持对在单位时间内处理的SYN应答报 文的数量进行限制。 应支持防火墙功能,支持对防火墙规则的配置,并支持基于以下过滤规则: 1 应支持根据源MAC地址、目的MAC地址进行报文过滤; 2) 应支持根据源IP地址及范围段、目的IP地址及范围段进行报文过滤; 3) 应支持根据IP源端口及范围段、目的端口及范围段进行报文过滤; 4) 应支持根据IP包的传输层协议类型进行报文过滤,并至少具有TCP/UDP/ICMP的选项; 5) 应支持对匹配规则的报文进行处理模式的选择,且对匹配规则的报文的处理模式提供允许 和禁止2种选项,且默认为禁止模式; 6 应支持对TOS/DSCP报文进行过滤的功能。 应支持DMZ功能; 应支持用户身份鉴别失败处理功能,防范用户凭证猜解攻击:
b)应能够对特定协议的广播风暴(例如DHCP,ARP,IGMP等)进行抑制; c)支持家庭网络组网协议时,应支持对新设备进行鉴权认证,如:通过手机APP等方式进行鉴权 确认; d)支持家庭网络组网协议时,应支持使用密钥交换协议交换密钥
4. 2. 2应用业务安全
应支持防止用户做源的组播,禁止用户端口向WAN侧发出IGMPQuery和组播数据报文 b 语音业务应终结于智能网关(提供Z接口接模拟话机),语音业务宜与INTERNET接入业务隔离 (如用VLAN隔离)。在此配置下,通过LAN侧端口应不能访问语音业务; C WLAN功能应支持网络隔离,例如支持访客网络和家庭网络隔离,用于智能设备快连配网和家庭 网络隔离等:
4.3.1身份鉴别与授权
a)对访问控制主体进行唯一性身份标识和鉴别; b)支持使用口令方式进行鉴别: c)支持设置口令修改周期; d)设备出厂时应预置不同的默认口令,或者在用户首次管理设备时提示修改默认口令或设置口令 e)设置新的用户账户时,该账户可使用的登录方式应默认限制为一种,支持用户增加、关闭、修 改账户可使用的登录方式,如:在WEB管理界面下新增一个用户账户,该账户默认仅支持通过指定的方 式登录,用户可增加支持其他的方式登录,也可配置关闭已开启的登录方式: f)同一个用户账户应仅能通过一种方式登录或管理设备;例如:用户A在使用WEB方式登录设备后, 在WEB会话有效的同时,用户A不可以通过SSH等其他方式登录或管理设备; g)支持口令复杂度检查和提醒功能。开启口令复杂度检查功能时,口令长度应不少于8位,且至少 包含2种不同类型字符; h)应对所有用户口令的存储、显示进行非明文处理; i)应对所有用户鉴别信息的传输进行非明文处理; j)应不存在预置的且不允许用户更改的默认用户身份鉴别信息,不存在未向设备用户公开的身份 鉴别信息; k)支持登录用户空闲超时锁定或自动退出等措施,以防范会话空闲时间过长:
1)支持对用户身份鉴别信息的抗重放功能; m)设备进行用户身份鉴别时提供最少的反馈,应避免提示“用户名错误”、“口令错误”等可能 皮用于降低口令猜解复杂度的信息; n)提供登录历史功能,成功登录后设备主动显示该账号最近的登录信息SH/T 3087-2017 石油化工管式炉耐热钢铸件工程技术条件,如登录日期、时间、IP、 结果、方式等
4.3.2访问控制安全
a)在出厂时设置默认安全的访问控制策略,或支持用户首次使用时设置访问控制策略; b)提供用户分级分权控制机制,支持权限等级设置和管理,控制不同等级用户对设备的配置、数 据的查看和相关功能的执行,阻止非授权用户的操作; c)支持访问用户的黑白名单配置。支持MAC地址绑定等安全策略管理用户访问受控资源的权限 d)基于MAC地址的接入控制(包括LAN和WLAN)条目容量应不少于30条; e)对软件升级、配置修改、日志审计、设备重启等涉及设备安全的重要功能,仅授权用户可使用。