<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 18018—2019 信息安全技術-路由器安全技術要求
    展開或關閉
    前言
    前言
    1. 范圍
    范圍
    2. 規范性引用文件
    規范性引用文件
    3. 術語和定義、縮略語
    術語和定義、縮略語
    4. 第一級安全要求
    4.1 安全功能要求 4.2 安全保障要求
    5. 第二級安全要求
    5.1 安全功能要求 5.2 安全保障要求
    6. 第三級安全要求
    6.1 安全功能要求 6.2 安全保障要求
    附錄
    附錄A (資料性附錄)安全要求對照表

    5.1 安全功能要求

    GB/T 18018—2019 信息安全技術-路由器安全技術要求 /

    5.1 安全功能要求

    5.1.1 自主訪問控制

    路由器應執行自主訪問控制策略,通過管理員屬性表,控制不同管理員對路由器的配置數據和其他數據的查看、修改,以及對路由器上程序的執行,阻止非授權人員進行上述活動。

    5.1.2 身份鑒別

    5.1.2.1 管理員鑒別

    在管理員進入系統會話之前,路由器應鑒別管理員的身份,鑒別時應采用口令機制,并在每次登錄系統時進行。口令應是不可見的,并在存儲和傳輸時加密保護。

    當進行鑒別時,路由器應僅將最少的反饋(如:打入的字符數,鑒別的成功或失敗)提供給被鑒別人員。同時,反饋信息應避免提示 “用戶名錯誤”、“口令錯誤”等信息,避免攻擊者進行用戶名或口令的暴力猜解。

    5.1.2.2 鑒別失敗處理

    在經過一定次數的鑒別失敗以后,路由器應鎖定該賬號。最多失敗次數僅由授權管理員設定。

    5.1.2.3 超時鎖定

    路由器應具有登錄超時鎖定功能。在設定的時間段內沒有任何操作的情況下終止會話,需要再次進行身份鑒別才能夠重新操作。最大超時時間僅由授權管理員設定。

    5.1.2.4 會話鎖定

    路由器應為管理員提供鎖定自己的交互會話的功能,鎖定后需要再次進行身份鑒別才能夠重新管理路由器。

    5.1.2.5 登錄歷史

    路由器應具有登錄歷史功能,為登錄人員提供系統登錄活動的有關信息,使登錄人員識別入侵的企圖。成功通過鑒別并登錄系統后,路由器應顯示如下數據:

    a)日期、時間、來源和上次成功登錄系統的情況;

    b)上次成功登錄系統以來身份鑒別失敗的情況;

    c)口令距失效日期的天數。

    5.1.3 安全管理

    5.1.3.1 權限管理

    路由器應能夠設置多個角色,具備劃分管理員級別和規定相關權限(如監視、維護配置等)的能力,能夠限定每個管理員的管理范圍和權限,防止非授權登錄和非授權操作。

    系統應能支持 RADIUS/TACACS 的集中認證授權管理。

    5.1.3.2 管理協議設置

    路由器應能配置和使用安全的協議對系統進行管理控制。應使用SSH,SFTP,SNMPV3和HTTPS。

    5.1.3.3 安全屬性管理

    路由器應為管理員提供對安全功能進行控制管理的功能,這些管理包括:

    a)與對應的路由器自主訪問控制、鑒別和安全保障技術相關的功能的管理;

    b)與一般的安裝和配置有關的功能的管理;

    c)路由器的安全配置參數要有初始值。路由器安裝后,安全功能應能及時提醒管理員修改配置,并能周期性地提醒管理員維護配置。

    5.1.4 設備安全防護

    5.1.4.1 流量控制

    路由器應能夠對設備本身需進行解析處理的協議流量大小進行控制,例如,通過設置帶寬等防護手段,保證系統在經受協議泛洪攻擊時原有轉發業務正常,在泛洪攻擊消除后系統可直接恢復。

    5.1.4.2 優先級調度

    路由器應能夠按照業務重要性對設備本身需進行解析處理的協議流量進行優先級調度。對高優先的協議流量進行優先保證,當發生業務量激增或網絡攻擊時使重要業務不中斷。

    5.1.4.3 資源耗盡防護

    路由器應能夠對重要系統資源進行保護,通過限定資源分配的方式將攻擊影響限定到一定范圍內。

    路由器應支持MAC地址學習限制功能,使系統其他接口用戶不受影響。

    5.1.5 網絡安全防護

    5.1.5.1 單播逆向路徑轉發功能

    路由器應具備URPF功能,在網絡邊界阻斷源IP地址欺騙攻擊。

    5.1.5.2 路由協議認證

    路由器使用的路由協議應支持路由認證功能,保證路由是由合法的路由器發出的,并且在轉發過程中沒有被改變。

    5.1.5.3 MPLS VPN功能

    路由器應基于MPLS協議實現二層和三層VPN功能,采用獨立的VPN管理網絡,實現不同用戶間的業務隔離。

    5.1.6 安全功能保護

    5.1.6.1 自檢

    設備在上電啟動時應執行安全功能的自檢,如內存、數字簽名、加密算法等,確保安全功能正確。只有當所有自檢功能通過時,才能正常啟動設備。

    5.1.6.2 安全的軟件更新

    安全管理員應能查詢當前執行的軟件/固件版本號及最近一次安裝的版本號。應能在安裝更新前用數字簽名驗證軟件/固件更新的合法性。

    5.1.7 審計

    5.1.7.1 審計數據生成

    路由器應具有審計功能,至少能夠審計以下行為:

    a)審計功能的啟動和終止;

    b)賬戶管理;

    c)登錄事件;

    d)系統事件;

    e)配置文件的修改。

    路由器應為可審計行為生成審計記錄,并在每一個審計記錄中至少記錄以下信息:

    a)事件發生的日期和時間;

    b)事件的類型;

    c)管理員身份;

    d)事件的結果(成功或失敗)。

    5.1.7.2 審計數據查閱

    路由器應為授權管理員提供從審計記錄中讀取審計信息的能力,為管理員提供的審計記錄具有唯一、明確的定義和方便閱讀的格式。

    5.1.7.3 審計數據保護

    路由器應能保護已存儲的審計記錄,避免未經授權的刪除,并能監測和防止對審計記錄的修改。當審計存儲耗盡、失敗或受到攻擊時,路由器應確保最近的審計記錄在一定的時間內不會被破壞。

    5.1.8 可靠性

    路由器應提供可靠性保證,具有部分冗余設計性能。支持插卡、接口、電源等部件的冗余與熱插拔能力。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    地球胖頭魚
    1.3k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类