网络设备安全分级技术要求.docx

1

网络设备安全分级技术要求

1范围

本文件提出了网络设备的安全功能和脆弱性评估的分级要求。

本文件适用于指导网络设备生产企业进行产品设计、开发和测试，设备用户选型与第三方评测也可参照使用。

注：本文件所指网络设备包含路由器设备、数据中心交换机设备、园区交换机设备、无线接入WLAN设备、防火墙设备、入侵检测设备、抗DDoS设备。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069信息安全技术术语

3术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。3.1

网络设备networkdevices

网络设备指具备连接网络功能的实体（不包含消费类终端产品）。

4缩略语

下列缩略语适用于本文件。

BGP：边界网关协议（BorderGatewayProtocol）

CSRF：跨站请求伪造（Cross-SiteRequestForgery）DES：数据加密标准（DataEncryptionStandard）

DoS：拒绝服务（DenialofService）

DTLS：数据包传输层安全（DatagramTransportLayerSecurity）

HTTPS：超文本传输安全协议（HypertextTransferProtocolSecure）IGP：内部网关协议（InteriorGatewayProtocol）

IP：互联网协议（InternetProtocol）

IPsec：互联网协议安全（InternetProtocolSecurity）

MACsec：媒体访问控制安全（MediaAccessControl(MAC)Security）MD5：消息摘要算法版本5（MessageDigestAlgorithm5）

ND：邻居发现（NeighborDiscovery）

NTP：网络时间协议（NetworkTimeProtocol）

SELinux：安全增强式Linux（Security-EnhanceLinux）SSH：安全外壳（SecureShell）

SZTP：安全零接触配置（SecureZeroTouchProvisioning）TEE：可信执行环境（TrustedExecutionEnvironment）

TLS：传输层安全（TransportLayerSecurity）

UDP：用户数据包协议（UserDatagramProtocol）

URL：统一资源定位符（UniformResourceLocator）XSS：跨站点脚本（Cross-sitescripting）

2

5概述

网络设备在通信网络容易遭受到来自网络和其他方面的威胁，例如设备被劫持、大规模DoS/DDoS攻击等，这些安全威胁利用设备的脆弱性对设备进行攻击，设备被攻击后，网络的性能和正常运行会受到很大的影响，甚至造成拒绝正常用户访问服务。

为有效应对有组织的团伙的针对性攻击，保障重要网络、关键信息基础设施（以下简称“关基”）网络的安全。本文件针对网络设备提出了分级的安全要求，指导制造商更好落地安全要求，同时为网络客户采购高安全的网络设备提供依据。

安全分级整体思路与适用场景描述如下：

第一级安全要求具备基本的防御能力，适用于一般用户一般要求场景。

第二级安全要求在第一级安全要求的基础上增加默认安全、漏洞防利用、密钥管理等，具备一定的纵深防御能力，适用于一般用户较高安全要求场景，如财务数据存储区、研发数据存储区、核心生产区等。

第三级安全要求在第二级安全要求的基础上增加安全配置核查、主机入侵检测等，具备防范APT攻击的能力，适用于关基用户重要关基系统等需要重点防护区域。

6通用安全技术要求

6.1第一级安全技术要求

获得网络关键设备或者安全专用产品认证证书，或者自证明满足GB40050或者GB42250标准。

6.2第二级安全技术要求

6.2.1安全功能要求

默认安全

本项要求包括：

a)不应预留任何的未公开帐号，所有帐号都应可被系统管理，如果存在默认帐号，应在产品资料中明示；

b)不应存在绕过正常认证机制直接进入系统的隐秘通道，如：组合键、鼠标特殊敲击、连接特定接口，使用特定客户端、使用特殊URL等；

c)不应默认使用不安全协议，如Telnet,SSHv1等。

软件完整性

本项要求包括：

应支持启动时通过数字签名技术对启动软件的完整性和真实性进行校验。

开局安