6.1 安全功能要求

6.1　安全功能要求

6.1.1 自主訪問控制

路由器應執行自主訪問控制策略，通過管理員屬性表，控制不同管理員對路由器的配置數據和其他數據的查看、修改，以及對路由器上程序的執行，阻止非授權人員進行上述活動。

6.1.2 身份鑒別

6.1.2.1 管理員鑒別

在管理員進入系統會話之前，路由器應鑒別管理員的身份。鑒別應支持數字證書等鑒別方法，并在每次登錄系統時進行。口令應是不可見的，并在存儲和傳輸時加密保護。

當進行鑒別時，路由器應僅將最少的反饋（如：打入的字符數，鑒別的成功或失敗）提供給被鑒別人員。同時，反饋信息應避免提示 “用戶名錯誤”、“口令錯誤”等信息，避免攻擊者進行用戶名或口令的暴力猜解。

6.1.2.2 設備登錄口令管理

設備應能夠提供身份鑒別管理策略，限制口令的最小長度、組成、復雜度、使用期等。口令組成應支持數字、大小寫字母和特殊符號；并能限制歷史密碼的使用。

設備登錄口令不能以明文形式顯示或存儲，應采用單向函數方式存儲，并保證單向函數的強度。

6.1.2.3 證書驗證

設備應支持使用證書進行身份驗證。例如，SSH、IKE、SSL/TLS等協議應支持證書認證，增強設備的安全性。頒發證書的CA應提供網絡設備可訪問的LDAP或其他證書黑名單訪問機制，以確保失效證書訪問拒絕。

6.1.2.4 鑒別失敗處理

在經過一定次數的鑒別失敗以后，路由器應鎖定該賬號。最多失敗次數僅由授權管理員設定。

6.1.2.5 超時鎖定

路由器應具有登錄超時鎖定功能。在設定的時間段內沒有任何操作的情況下終止會話，需要再次進行身份鑒別才能夠重新操作。最大超時時間僅由授權管理員設定。

6.1.2.6 會話鎖定

路由器應為管理員提供鎖定自己的交互會話的功能，鎖定后需要再次進行身份鑒別才能夠重新管理路由器。

6.1.2.7 登錄歷史

路由器應具有登錄歷史功能，為登錄人員提供系統登錄活動的有關信息，是登錄人員識別入侵的企圖。成功通過鑒別并登錄系統后，路由器應顯示如下數據：

a)日期、時間、來源和上次成功登錄系統的情況；

b)上次成功登錄系統以來身份鑒別失敗的情況；

c)口令距失效日期的天數；

d)證書距過期日期的天數。

6.1.3 數據保護

6.1.3.1 概述

路由器應具有數據完整性功能，對系統中的數據采取有效措施，防止其遭受非授權人員的修改、破壞和刪除。

6.1.3.2 數據存儲

只有管理員才能管理（包括但不限于：創建、初始化、查看、添加、修改、刪除等操作）設備的配置、身份和審計數據。

6.1.3.3 數據傳輸

管理員應能選擇安全協議（例如SSH、IPSec、TLS等）對傳輸的數據進行保護。保護功能包括:身份認證、機密性和完整性。

6.1.3.4 敏感數據

對于敏感數據，例如用戶口令、私鑰、對稱密鑰、預共享密鑰等，應以密文的形式顯示或存儲。

6.1.4 安全管理

6.1.4.1 權限管理

路由器應能夠設置多個角色，具備劃分管理員級別和規定相關權限（如監視、維護配置等）的能力，能夠限定每個管理員的管理范圍和權限，防止非授權登錄和非授權操作。

系統應能支持RADIUS/TACACS的集中認證授權管理。

6.1.4.2 管理協議設置

路由器應能配置和使用安全的協議對系統進行管理控制。應使用SSH,SFTP,SNMPV3和HTTPS。

6.1.4.3 安全屬性管理

路由器應為管理員提供對安全功能進行控制管理的功能，這些管理包括：

a)與對應的路由器自主訪問控制、鑒別和安全保障技術相關的功能的管理；

b)與一般的安裝和配置有關的功能的管理；

c)路由器的安全配置參數要有初始值。路由器安裝后，安全功能應能及時提醒管理員修改配置，并能周期性地提醒管理員維護配置。

6.1.5 設備安全防護

6.1.5.1 流量控制

路由器應能夠對設備本身需進行解析處理的協議流量大小進行控制，例如，通過設置帶寬等防護手段，保證系統在經受協議泛洪攻擊時原有轉發業務正常，在泛洪攻擊消除后系統可直接恢復。

6.1.5.2 優先級調度

路由器應能夠按照業務重要性對設備本身需進行解析處理的協議流量進行優先級調度。對高優先的協議流量進行優先保證，當發生業務量激增或網絡攻擊時使重要業務不中斷。

6.1.5.3 資源耗盡防護

路由器應能夠對重要系統資源進行保護，通過限定資源分配的方式將攻擊影響限定到一定范圍內。攻擊結束后應能釋放攻擊時路由器分配的資源。

路由器應支持MAC地址學習限制功能，使系統其他接口用戶不受影響。

6.1.6 網絡安全防護

6.1.6.1 單播逆向路徑轉發功能

路由器應具備URPF功能，在網絡邊界阻斷源IP地址欺騙攻擊。

6.1.6.2 路由協議認證

路由器使用的路由協議應支持路由認證功能，保證路由是由合法的路由器發出的，并且在轉發過程中沒有被改變。

6.1.6.3 MPLS VPN功能

路由器應基于MPLS協議實現二層和三層VPN功能，采用獨立的VPN管理網絡,實現不同用戶間的業務隔離。

6.1.7 安全功能保護

6.1.7.1 自檢

設備在上電啟動時應執行安全功能的自檢，如內存、數字簽名、加密算法等，確保安全功能正確。只有當所有自檢功能通過時，才能正常啟動設備。

6.1.7.2 保證軟件更新的合法性

安全管理員應能查詢當前執行的軟件/固件版本號及最近一次安裝的版本號。應能在安裝更新前用數字簽名驗證軟件/固件更新的合法性。

6.1.8 審計

6.1.8.1 審計數據生成

路由器應具有審計功能，至少能夠審計以下行為：

a)審計功能的啟動和終止；

b)賬戶管理；

c)登錄事件；

d)系統事件；

e)配置文件的修改。

路由器應為可審計行為生成審計記錄，并在每一個審計記錄中至少記錄以下信息：

a)事件發生的日期和時間；

b)事件的類型；

c)管理員身份；

d)事件的結果（成功或失敗）。

6.1.8.2 審計數據查閱

路由器應為授權管理員提供從審計記錄中讀取審計信息的能力，為管理員提供的審計記錄具有唯一、明確的定義和方便閱讀的格式。

6.1.8.3 審計數據保護

路由器應能保護已存儲的審計記錄，避免未經授權的刪除，并能監測和防止對審計記錄的修改。當審計存儲耗盡、失敗或受到攻擊時，路由器應確保最近的審計記錄在一定的時間內不會被破壞。

6.1.8.4 潛在侵害分析

路由器應能監控可審計行為，并指出潛在的侵害。

路由器應在檢測到可能有安全侵害發生時做出響應，如：通知管理員，向管理員提供一組遏制侵害的或采取矯正的行動。

6.1.9 可靠性

框式路由器應具有全冗余設計，應確保無中斷在線升級，支持插卡、接口、電源等部件的冗余與熱插拔等功能，能夠安裝雙引擎和雙電源模塊，具有故障定位與隔離及遠程重啟等功能。盒式路由器至少應提供無中斷在線升級的方式，如可使用補丁包方式無中斷升級。

路由器可以通過虛擬路由冗余協議VRRP組成路由器機群。