【国家标准(GB)】 信息安全技术 路由器安全技术要求

1Cs35.040
中华人民共和国国家标准
CB/T180182007
代替GB7180.81999
信息安全技术
路由器安全技术要求
Inforntation security lechnologyIechnical reguirements for router securit2007-06-13发布
数码防伪
中华人民共和国国家质量监督检验检疫总局中国国家标淮化管理委员会
2007-12-01实施
1、范围
2规范性引用文件
术诸和定义，毓略筑
术语和定义
缩略语
4第一级安全要求
安全功能要求
自主访问控剖
身份鉴别
安全管理
安全保证要求
交付和运行
指导性文档
生命周则支持
第二级亥金要求
安全功能要求
自问择制
身份鉴别
安金管理
荷学网终管理协议的保护
单播逆向路径转发边能
可靠性
路县认证
安全保证要求
配置管理
交付和运行
指导性文档
生命庙期支持
脆弱性逐定
6第二级安金要求
GB/I18018—2007
CB/T 18018—2007
安全功能斐旅
自主访问控制
牙份鉴别
数据保护
安全管理
尚单网络管现协议的保护
单播逆向路径转发功能
远程管理安全
可靠些
路正误证
安全保证要求
配苴管理·
交付和运行
指与性文档
生命用期支持
跪弱性评定
附加安全动能
对安全功能
网络访问控制功能
虚拟专网功能
7.1.3防火膚防扩功能
7.1.4人偿检测S)功能
附录A（资料性附录）安金要求对照表参考文献
本标准代替GB/T18018
9路声器安全技术要求
本标准的附录 A 是资将性附录
本标准由全国信息安金标准化技术委员会提出并归。本标准起草单位：信息安全画家亚用实验室、中国电子技术标难化研究所。本标准主要起人：戴英侠，左晓栋，何申，罗锋盈B/T18018—2007
GB/F18018--2007
路由器是臣要的网络互连设爸，制亲路由端安个技术要求对士指导路由器产品安全性的设计和实现.保障网络安全具有重要的意义不标雅分个等缎规定了山器的安全技术要求。安全等毅已低到亮，安全要求逐级增强，本标雅与（13178591999计算机信息系统安全保护等级划分准则》的划对应关系是，第…级对应用凸自主爆护级：第级刘麻系统体计保扩级，第：级对成安全标证保护级，本标摊与（3/T200112005《信息安全技术璐露安全评估推则》均为与降出器有关的估息安会标准，两肾的黏本区别是，前者主装适用于指导璐由器产品安全性的设计和窦现：后品主要于路用器安全等级的评估。本标准适用于一搬的路器。本标准文本中，那粗字体衰示较低等级巾没有出现或增强的技术要求。1范围
信息安全技术
路由器安金技术要求
本标准分等级规定了路由器的安全坊能要求和安全保证要求。GB/T18018—2007
本标准适用十指导路器产品安全性的设计利实现，对路由器产品进行的测试，评和管郵也可参照使用。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为木标证的条款，凡是注1期的引用文件,其随后所有的修改单（不包括谢误的内容)或修订版均不适用于本标谁，然而，数扇根据本标雅达成协议的各方孤究是否可使用这些文件的最新版不。凡是不注百期的引用文件，其最新版本适月于标雅GB_7859—1999计算机信息系统安全保扩等级划分准则GB/T18336信息技术安全技术信息技术安全性评估准则（GB/T[83362001,2=ISO/11C15408.19997
3术语和定义、缩略语
3.1术语和定义
（H17891999和GB/于18336确立的术语和定义适用-本标准。3. 1.1
路由器rouler
路南器片主要的网络节点设备，工作在网络层，通过路由选择算法决定流经数据的存储转发，并具备访问控制和安金护展功能
简单网络管理协议simple ework mataageenl protcol简单网络管理办议(SNMP)是一系列协议组和规范，提供了一种从网络上的设各4I收集网络管理信息的方法，也为设备间两络管理工作站报片间题和误提供了-种方法：3.1.3
单播逆向路径转发unicasi reversepaahForwarding单播逆向路径转发通过获取仙的源地址和入接1以源地址为日的地址，在转发表中查找源地址刘应的接口是否与人接口旺配，如吴不匹配，则认为源地址是伪装的，丢弃该包。其功能是防止基于源地址联蝙的网效计行为。
3.2缩略语
Aceess Conre'Lisl访问控制列表AppiratiotLuyerGatewuy应用网关Jnsirusiom Teleion System人侵检测系统Internel Pro:cco. Security Internet 议安全Mul:-ProlocolLebe.Swilrhing多协议标记交换NAT/PAT
NelworkAddressTranslation/PortAclclressTranslation网络地划址转换/端［地址转换
Sirnpie Nctwork Managcmeni Protoaol单网络管理协议1
GB/ 18018--2007
Cnicuet ReversePath Forwercing单播逆向路转发Virtual Router Redundaicy Protoeal虚拟路击亢余办议Virtual Private Network鹿专用网4第一级安全要求
4.1安全功能要求
4. 1. 1自主访问控制
璐由器应执行自主谢间控制筑略，通过管理员性表，控剖不同管理员对路山器的配置数据和其他数据的查看，修改，以及对略由器上程序的执行，阻止非授权人员进行上述活动。4. 1. 2身份鉴别
4. 1. 2. 1 管理员鉴别
在管理员进人系统会话之前，路由器应鉴别管理员身份。鉴别时采用自令机制，并作每次登录系统时进行。日令成是不可见的，并在存储和传输时加密保护。当避行鉴别时，路由器应仅将最少的反馈（如：打人的字符数，鉴别的成功或失败）提供给被鉴别人员，
4.1.2.2鉴别失败处理
在经过定次数的监别失败以后，路由盟应锁定该账号。最多失敷次数仅由授权管理员设定。4. 1.3安全管理bzxZ.net
4. 1.3.1权限管理
路由器应能够设置多个角色，具备划分管理员级别和规定相关权限（如监视维护配置等）的能力，能够限定每个管理员的管理范国和权限，防止非授权登录和非授权操作。4.1.3.2安全属性管理
路出器应为管理员提供对安全功能进行控制管理的功能，这些管理包括：a）与对成的路由器自主访问控制，鉴别和安全保证技术相关的功能的管理b）与-股的安装和配置有关的功能的管理：）路由器的安全配置参数要有初始值。路由器安装后，安全功能应能及时提醒管理员修改配觉，并能周期性地提醒管理员维护配置。4.2安全保证要求
4.2.1配氰管理
开发者应设计和实现路由器配置管理，为产品的不同版本提供唯一的标识，且产品的每个版本应当使用其难一标识作为标签。
4.2.2交付和运行
开发者应以文档形式对路由器安全交付以及安装和启动过程进行说明。文档中应包括：a）对安全地将路出器交付给用户的说明：h）对安全地安装和启动路由器的说明，4.2.3开发
开发者应提供路由器功能设诈，要求接非形式化功能设计的要求进行功能设计，以非形武方法据述安企功能及其外部接口，并描述使用外部安全功能接的目的与方法，4.2.4指导性文档
开发者旗编制路由器的指导性文挡，要求如下）实档中应该提供关下略山器的安全功能与接、璐由器的管理和配置、璐出器的启动利操作、安全属性、警告信息的描述；
6）文档中不应包含任何一且漏将各危及系统安全的信息，文挡以为硬拷员、电子文档或联2
机文档。如架是联机文挡，应挖制刘文挡的访间4. 2. 5生命周期支持
GB/T8018—2007
开发者应建量开发和维护路出器的生命周勘模型，包括用于开发和维护路由器的程序、工其和技术。开发者虚按其定义的生命周期模型逊行开发和维护，并提供生命周期定义文，在文档中描述用于开发利维护路由器安全功能的生命周期模型：4.2.6测试
开发者应对路由器逊行测试，要求如下：a）应选行一般劫能测试，保证璐出器能够满足所有安全功能的要求：6）保留并提供测试义档，详细描述测试计划、测试过程以及预测结果和实际测试结果。5第二级安全要求
5.1安全功能要求
5. 1. 1 自主访问控制
路由器应热行自主间控制策略，通过管理员属性表，控制不筒管理员对路由器的配暨数据利其他数据的着、修改，以及对路由器上程序的执行阻止非授权人员进行上述活动。5.1.2身份监别
5.1.2、1管理员鉴别
在管理员进入系统会话之前路由器应鉴别管理员身份。鉴别时采用口令机制并在在次登录系统时述行。口令质是不可见的，并在存储和传输时加密保护。当进行鉴别时由器应仪净最少的反馈（如：打大的宇符数，鉴别的感功战失败）疑供给被鉴别人员.
5.1.2.2鉴别失败处理
在经过--定次效的鉴别失败以后，路由器应锁定该帐号。最多失收次数仅由授权管理员设定。5.1.2.3超时锁定
路山器应具有登录超时锁定功能。在设定的时间段内没有任何操作的情况下终止会话，需要再次逊行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。5.1.2.4会话锁定
路由器应为管理员提供锁定自己的交互会话的功能，锁定后需要再次进行身份鉴别才能够重新管理路虫器。
5. 1.2.5登录历史
路由器应具有登录历史功能，为登录人员提供系统登录活动的有关信息，使登录人员识别入的介图。成功通过鉴别并登录系统后路由器应显示如下数据：日期、时间、来源和上次成功登录系统的情况，上次成功登录系统以来身份鉴别失败的情况；口令距失效日期的天数。
5.1.3安全管理
5. 1. 3. 1 权限管理
路击器虚能够设置多个角色、具备划分管理员级别甜规定椎关权限(如监视、维护配置等)的能力，能够限炭短个管理员的管理范围和权限，防士非接权登录和非搅权操性5.1.3.2安全属性管理
踏正器应为管埋员提供对安会能选行控制管埋的能，这此管埋包据：a）与对应的路由器自主访问控息，鉴别和安企保证技术相关功能的管理；b）与：-般的安装和配置有关的功能的管理；GB/T18018—2007
c）璐山器的安全臣置参数要有初始值，路由器安装后，安全功能应能及时提醒管理员修配，并能周期性地提管理员维护配宜。5.1.4审计
5.1.4.1审计数据生成
路由器应具有审计功能，垒少能锣计以下行为：“\-审计均能的启动和止；
………账户管理，
登录事件·
—系统事件；
配置文件的修改。
路齿器应为可审计行为生审计记录，并在每个审计记录中牟少记录以下信息：一：事件发生的日期和时间；
-事件的类型；
：：管理员身份：
一…事件的结果（成功或失败）。5.1.4.2审计数据查阅
路由器应为授权管理员提供从审计记景中读取审计信息的能力，为管理员提供的审计记录具有唯一,明确的定义和力使阅读的格式。5.1.4.3审计数据保护
路由器应能保护已存储的中计记录，避免未经授权的删除，并能监测和防止对审计记录的修改，当审计存储耗尽，失败或受到攻击时，路再器做确娠最近的年计记录在定的时间内不会被憾坏5.1.5简单网络管理协议的保护
路由器应持SNMPV3，
路由器可通过设置SVMPCeInInunity参数，采用访问控制列表(ACL)保护SNMP访问权限，5.1.6单播逆向路径转发功能
路由器应具备LiRPF功能，在网络边界阻断源IP地址欺端攻击。5.1.7可靠性
路出器应提供可靠性保证，具有部分代余设计性能。支持插卡、接口、电源等部件的穴余与热插拨能力。
5.1.8路由认证
路山器使用的由协议应支持路出认证功能，以保证路由是用合法的路曲器发出的，并且在发出的过程中没有被改变。
5.2安全保证要求
5.2. 1配暨管理
元发考成设罚利实职路由器配置管理，要求划下印）开发者应用配置管即系统。并提供配留營理文档。为产品的不司版本提供唯的标识，且产品的每个版本应当使用其唯一标识作为标签：配置管理范围至少应包据路山器的产品实现表示，设计文档、测试义档.用户文档、配置管理，b
从而确保它们的修改是在一个止确授权的可挖方式下进行的。配置管现文档至少应能跟踪：述内容.并描述配置管理系统是如何跟踪这些配置项的，5.2.2交付和运行
开发者应以文档形式对路十器安全安付以及安囊利启动过程进行说明。文裆中应包括：a）对安全地将路由器交付给用户的说明；4
b）对安全地安装启动路由器的说明.5.2.3开发
并发指应提共路山器功能规范，要求如下：GB/T 18018—2007
α）按非形式化功能没计的要求避行功能设让，以非形式方法尴述安全均能与其外部接口，并捕述使用外部安全功能接口的目的与方法：1）提供路出器安全功能的搞层设计。高层设计应按严系统描述安全功能及其结构，并标识安全功能了系统的所有接口，高层设计还应标识实现安全功能所要求的基础性的硬件、固件和软件；
c）开发者应提供路由器安金功能的功能设计与高层设计之间的非形式化对应性分析，该分析应证明功能设计表示的所有相关安全功能都准高层设计中得到正确以完备的细化。5.2. 4指导性文档
亚发者应编制路由器的指导性文挡：要求如下；）文档内成该提供关于路由举的安牟功能与接口路由器的管理和配骨，路由器的启动和操作、安全属性、警告信息、市计工具的描述h）文档中不应包含任-旦泄凝将会危及系统安企的信息，文档可以为癫拷贝、电子文裆或联机文挡：如果是联机文档应控制对文档的访问，5.2.5生命周期支持
开发者建点开发和维护路玉器的生命周期模型，即用于开发利维护路由器的程序、工真和技术，婴求：
a）开发者成按其定义的生命周斯模型进行开发和维护，并提供生命周期定义文档,在文档中描述用下开发和维护璐片器安全功能的生命周期模型：该模型对于路由器元发和维护应提识必要的控制，采用物理、程序上人员上以及其他方面的安全措施保护路由器开发环境的安全，包括场地的物理安全和对开发人员的选择，并采取适当的防扩措施来消除或降低路由器开发所面临的安全威胁，5.2.6测试
升发备施对路由器进行测试，碧求如下：a）做进行瑕动能测谢，保证路由器能够满足所有案全功能的要求：b）应搬供测试深度的分析。在深度分析中，应论证测试文挡中所标识的对安全功能的测试足以裁明该安全助能的送行与商磨设计是··致的；应进行相符性独立测试，由专业第三力独立实验室消费者组织实施测试，确认路由器能够满足所有安全功能的要求；
）保留并提供测试文橙，详组描述测试计划、测试过程以及预测结果和实际测试结果，5.2.7脆弱性评定
升发者应提供指导性文裆和分析文挡，在文档中确定对路由器的所有可能的操作方式(包括失败和操作失误后的操作的后果以及对于保持安全操作的意义，并列出所有日标环境的假设和所有的外部安全措施（包括外部程序的，物理的或人员控制)要求。所述内穿应蔻完备、晰、一致和合理的，开发者应对具有安全功能强度卢明的安全机制（例如口令机制）进行安全功能强度分析。安全功能强度分析感证明安金机制达到了所声明的斯度。开发者应实施脆弱骗分析，并提供脆弱性分布的义档，对所有包标识的脆弱相，文挡应说明它们在所期塑的路用器使用环境中不能被利用。文档还应说明划何确保用能够得到最新的妥全补丁。瞻弱性分析文档中应包含对所使用缺议的脆弱似分析，5
B/T18018----2007
6第三绒安全要求
6.1安全功能要求
6.1.1自主访问控制
出器应执行自主访间控制策路，通过管埋员属性表.控制不同管理员对璐山器的置数据和其他数据的查着、修改，以及对路器上程序的执待，阻止非授权人员进行上述措动。6.1.2身份鉴别
6.1.2.1管理贸鉴别
存衡理员进人系统会话之前，路由器应鉴别管理员身份。鉴别时除采用口会机制，还应有更加严格的身份鉴别，如采用智能IC卡、指纹等机制，并在每次登录系统时进行。口令成是不可见的，并在存储传输时加密保护，
当进和鉴别时，路由器应汉将最少的反馈（如：打人的字符数，鉴别的成功或失败）提给被鉴些别人员。
6. 1,2.2鉴别失败处理
在经过一定次数的鉴别失败以后，路由器应锁定该帐号，最多失败次数仅由授权管理员设定。6.1.2.3超时锁定
路出器应只有登录超时锁定动能，在设定的时问段内设有任何操作的情说下终止会诺，需要再次进行身份鉴别小能够重新操作。最大超时时间仅由授权管理员设定。6.1.2.4会话锁定
路主器应为管理员提供锁定自已的交互会话的功能，锁定后需要再次进行身份鉴别才能够重新管理路医器：
6. 1. 2. 5登录历史
露由器应具有意求历史功能，为登录人员提供系统登录活动的有关信息，使登录人员识别人侵的企图，成功通过鉴别并登录系统后，路由器应显示如下数据：间期、时间、来源和上次说功登录系统的情况；上次成功登录系统以来身份鉴别失败的情况；口令距失效口期的天效。
6.1.3数据保护
路由器应具有数据完整性功能，对系统中的信息采取有效措施，防止其遵受非授权人员的修改、破坏渐除。
6.1.4安全管理
6.1.4.1权限管理
路史需应能够设置多个角色，具备划分管理员级别和规定相关权限（如监视、维护配置等）的能力：能够限定每个管到员的管理范国和权限，防止非授权登录和非授权操作。6.1.4.2.学全属性管理
璐山器应为管理员提供对安全动能进行控制管理的功能，这些管理包括：a）与对应的略山器自主访控我、鉴别缴据完整性和安会保证技术相关的功能的管理；）与·瑕的装装和有是的功能的管：）路出帮的安余瓦置参数要有初始有，路由群安装后，安金动能成能及时提醒管理员修改配置，并能,期些地提醒管弹异维护斯置，6. 1.5审计
6.1.5.1审计数据生成
路由器应吴有审计功能，率少能够审计以下行为：审计功能的启动和终止：
账产管理；
登录事件；
系统事件：
配置文件的修改
GB/T18018—2007
崎器应为可计行为生成审记录,并在每一个市计谨录中率少记录以下信息：事件发生的月期和射间；
事件的类型；
管理员房份：
事件的结果（成功或失败）
6. 1. 5. 2 审计数据查阅
路出器应为授权管理员提供从审计记录中读取审计信息的能办，为管理员提供的审计记录具有唯一，胡确的定义和方便阅读的格式。6.1.5.3审计数据保护
路启器应能保护邑存储的审计记录，避免未经授权的删除，并能监测和防止对审让记录的修改。当计存储耗尽，失败或受到攻击时路由器应确保最近的审计记录在一定的时间内不会被被环，6. 1. 5. 4 潜在侵害分析
路庙器应能监控可审计行为，并指出潜在的侵害。路山器应在检测到可能有安全侵害发生时做出响应，如：通知管理员，向管理员提供·组退制侵害的或采取矫正的行动
6.1.6简单网络餐理协议的保护
路出器M支#SNMPV3.
路由器可通迅设置SNMPCommunity参数，采用访间控制列表（Ac.）保护SNMP访问权限，路由端应支持对SNMP访问的认证功能，能够监测并阻断对管理信息模块（MIBD的非授权访间能够防范对于SNMP的拒绝服务攻击。SNMP认证失败时，路由器应问陷阱消息接收工作站发送认证先嗽消息。
6.1.7单播逆向路径转发功能
路由器具备URPF功能，在网络边界阻渐源IP地址欺骗攻击6.1.8远程管理安全
路由器应提供对远程会适保密性的保护功能，并提供关闭远程管理功能和管理员认为不必要服务的能力，月缺省是关闭的
6. 1.9 可靠性
路由器应具有全穴余设计，应确保无中断在线升级，支持插卡、接门、电源等部件的允余与热插拨等功能，能够安装双引擎和双电源模块，具有故障定位与隔离及远程重启等功能。路由器以通过虚拟路出亢余协议(VRRP)组成路由器机群。6. 1. 10 路由认证
路出器使用的路由协议应受持路市认证功能，以保证路由是出台法的踏出磊发出的，并山在发凹的过程中没有被改变，
6.2安全保证要求
6.2.1配置管理
并发者应设计和实现路山露配置管理，要求如下：）开发者应使周配管理系统：并提供配置管理文档，为产品的不同版本提供唯一约标识，且产甜的每个版本施驾使局其理一标试作为标签：7
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。