内容简介
ICS 35.040 CCS L 80中华人民共和国国家标准
GB/T 41269——2022
网络关键设备安全技术要求路由器设备
Security technical requirements for critical network devices—Router
2022-10-01实施
2022-03-09发布
国家市场监督管理总局发布
国家标准化管理委员会
GB/T 41269—2022
网络关键设备安全技术要求路由器设备
1 范围
本文件规定了列入网络关键设备目录的路由器设备的安全功能要求和安全保障要求。本文件适用于列入网络关键设备目录的路由器设备。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069 信息安全技术术语
GB 40050—2021 网络关键设备安全通用要求
3 术语和定义
GB/T 25069界定的以及下列术语和定义适用于本文件。3.1
路由器 router
用来建立和控制不同网络间数据流的网络设备。
注:路由器基于路由协议机制和算法来选择路径或路由以实现建立和控制网络间的数据流,网络自身可以基于不
同的网络协议。3.2
故障隔离 fault isolation
设备内部相互独立的部件中任一部件出现故障,不影响其他部件正常工作的一种机制。
4 缩略语
下列缩略语适用于本文件。
ARP:地址解析协议(Address Resolution Protocol)BGP:边界网关协议(Border Gateway Protocol)
DHCP:动态主机配置协议(Dynamic Host Configuration Protocol)FTP:文件传输协议(File Transfer Protocol)HTTP:超文本传输协议(Hyper Text Transfer Protocol)
HTTPS:安全套接字层超文本传输协议(Hyper Text Transfer Protocol over Secure Socket Layer)ICMP:互联网控制报文协议(Internet Control Message Protocol)IP:互联网协议(Internet Protocol)MAC:媒体访问控制(Media Access Control)
GB/T 41269——2022
ND:邻居发现协议(Neighbor Discovery Protocol)
NETCONF:网络配置协议(Network Configuration Protocol)NTP:网络时间协议(Network Time Protocol)
OSPF:开放最短路径优先协议(Open Shortest Path First)SNMP:简单网络管理协议(Simple Network Management Protocol)SSH:安全壳协议(Secure Shell)
TCP:传输控制协议(Transmission Control Protocol)TFTP:简单文件传输协议(Trivial File Transfer Protocol)UDP:用户数据报协议(User Datagram Protocol)
5 安全功能要求
5.1 设备标识安全
路由器设备应支持以下标识安全要求:a) 硬件整机应具备唯一性标识;
b) 设备的主控板卡、业务板卡、交换网板、风扇模块、电源、存储系统软件的板卡、硬盘或闪存卡等
主要部件应具备唯一性标识;
c) 应对预装软件、补丁包/升级包的不同版本进行唯一性标识;
d) 应标识每一个物理接口,并说明其功能,不得预留未向用户声明的物理接口;
e) 用户登录通过鉴别前的提示信息应避免包含设备软件版本、型号等敏感信息,例如可通过支持
关闭提示信息或者用户自定义提示信息等方式实现。5.2 冗余、备份恢复与异常检测
路由器设备应支持以下冗余、备份恢复安全要求和异常检测安全要求。
a) 设备整机应支持主备切换功能或关键部件应支持冗余功能,路由器设备支持冗余功能的关键
部件通常包括主控板卡、交换网板、电源模块、风扇模块等。路由器设备应提供自动切换功能,在设备或关键部件运行状态异常时,切换到冗余设备或冗余部件以降低安全风险。b) 部分关键部件,如主控板卡、交换网板、业务板卡、电源、风扇等应支持热插拔功能。
c) 支持对预装软件、配置文件的备份与恢复功能,使用恢复功能时支持对顶装软件、配置文件的
完整性检查。
d)应支持异常状态检测,产生相关错误提示信息,支持故障的告警、定位等功能。e) 支持主控板卡、交换网板、业务板卡、电源、风扇等部分关键部件故障隔离功能。f) 应提供独立的管理接口,实现设备管理和数据转发的隔离。5.3 漏洞与缺陷管理安全
路由器设备应支持以下漏洞与缺陷管理安全要求:
a) 不应存在已公布的漏洞,或具备补救措施防范漏洞安全风险;b) 预装软件、补丁包/升级包不应存在恶意程序;c) 不应存在未声明的功能和访问接口(含远程调试接口)。5.4 预装软件启动及更新安全
路由器设备的预装软件启动及更新功能应支持以下安全要求:a)应支持启动时完整性校验功能,确保系统软件不被篡改;
GB/T 41269—2022
b) 应支持设备预装软件更新功能;
c) 对于更新操作,应仅限于授权用户实施,不应支持自动更新;
d) 对于存在导致设备重启等影响设备运行安全的更新操作,应支持用户选择或确认是否进行更新;
e) 应支持软件更新包完整性校验;
f) 更新失败时设备应能够恢复到更新前的正常工作状态;g) 对于采用网络更新方式的,应支持非明文通道传输更新数据;h) 应有明确的信息告知用户软件更新过程的开始、结束以及更新的内容;i) 应具备稳定可用的渠道提供软件更新源。5.5 默认状态安全
路由器设备在默认状态下应支持以下安全要求:
a) 默认状态下应仅开启必要的服务和对应的端口,应明示所有默认开启的服务、对应的端口及用
途,应支持用户关闭默认开启的服务和对应的端口;
b) 非默认开放的端口和服务,应在用户知晓且同意后才可启用;
c) 使用Telnet、SNMPv1/SNMPv2c、HTTP等明文传输协议的网络管理功能应默认关闭;d) 对于存在较多版本的远程管理协议,应默认关闭安全性较低的版本,例如设备支持SSH协议
时,应默认关闭SSHv1。5.6 抵御常见攻击能力
路由器设备应支持以下低于常见攻击能力:
a)应具备抵御目的为路由器自身的大流量攻击的能力,例如目的为路由器管理接口或业务接口
的ICMPv4/ICMPv6 Ping request Flood 攻击、TCPv4/TCPv6 SYN Flood攻击等;b)应支持防范ARP/ND欺骗攻击功能,如通过MAC地址绑定等功能实现:c) 应支持连续的非法登录尝试次数限制或其他安全策略,以防范用户凭证猜解攻击;d) 应支持限制用户会话连接的数量,以防范资源消耗类拒绝服务攻击:
e) 在支持Web管理功能时,应具备抵御常见Web攻击的能力,例如注入攻击、重放攻击、权限绕过攻击、非法文件上传等;
f) 在支持SNMP管理功能时,应具备抵御常见攻击的能力,例如权限绕过、信息泄露等;g)在支持SSH管理功能时,应具备抵御常见攻击的能力,例如权限绕过、拒绝服务攻击等;h) 在支持Telnet管理功能时,应具备抵御常见攻击的能力,例如权限绕过、拒绝服务攻击等;i) 在支持NETCONF管理功能时,应具备抵御常见攻击的能力,例如权限绕过、拒绝服务攻击等;
j) 在支持FTP功能时,应具备抵御常见攻击的能力,例如目录遍历、权限绕过等。k) 在支持DHCP功能时,应具备防范DHCP拒绝服务攻击等能力。5.7 用户身份标识与鉴别
路由器设备用户身份标识与鉴别功能应支持以下安全要求:a)应对用户进行身份标识和鉴别,用户身份标识应具有唯一性;b)应不存在未向用户公开的身份鉴别信息;
c) 使用口令鉴别方式时,应支持首次管理设备时强制修改默认口令或设置口令,或支持随机的初始口令,支持设置口令生存周期;
d) 使用口令鉴别方式时,支持口令复杂度检查功能,开启口令复杂度检查功能时,应支持检查口