《基于公用电信网的宽带客户网络设备安全技术要求+宽带客户网关GBT+38799-2020》详细解读

《基于公用电信网的宽带客户网络设备安全技术要求宽带客户网关GB/T38799-2020》详细解读contents目录1范围2规范性引用文件3缩略语4用户平面安全要求4.1安全管理功能4.2访问控制列表4.3VPN功能4.4NAT功能contents目录4.5防火墙功能4.6防攻击功能4.7网络访问的安全性4.8WLAN安全性5控制平面安全要求5.1PPP用户认证5.2日志功能contents目录6管理平面安全要求6.1Telnet访问6.2Web管理6.3连接认证功能7可靠性要求8电气安全要求011范围宽带客户网关指连接公用电信网与宽带客户网络之间的网关设备，具备路由、交换、安全等功能。宽带客户终端设备包括宽带客户网关下挂的个人电脑、智能手机、智能电视等终端设备。涵盖的设备类型公众宽带接入针对公众用户通过宽带客户网关接入公用电信网的技术场景。企业宽带接入满足企业用户通过宽带客户网关实现更高带宽、更稳定网络连接的需求。适用的技术场景确保只有合法设备能够接入宽带客户网络，防止非法设备入侵。设备识别与访问控制保障宽带客户网络与公用电信网之间数据传输的机密性、完整性和可用性。数据传输安全提供远程管理和维护功能，便于运营商对宽带客户网关进行实时监控和故障排除。设备管理与维护涉及的安全技术内容010203022规范性引用文件引用文件概述本标准在制定过程中，引用了多个相关的国家及行业标准，以确保宽带客户网关设备安全技术的规范性和统一性。引用文件涉及领域广泛，包括但不仅限于通信技术、信息安全、电磁兼容等，共同构成宽带客户网关设备安全技术要求的支撑体系。关键引用文件GB/TXXXX-XXXX《通信网络安全防护要求》此标准明确了通信网络在安全防护方面的具体规定，对宽带客户网关设备在网络安全方面的技术实现具有指导意义。GB/TXXXX-XXXX《信息技术设备的安全》该标准规定了信息技术设备在安全方面的基本要求，为宽带客户网关设备的安全设计提供了重要参考。规范性引用文件为《基于公用电信网的宽带客户网络设备安全技术要求宽带客户网关GB/T38799-2020》提供了理论依据和技术支撑，确保其各项规定的科学性和可操作性。通过引用相关国家和行业标准，本标准能够与其他标准体系保持协调一致，共同推动宽带客户网关设备安全技术的发展与进步。引用文件的作用033缩略语DSL数字用户线路（DigitalSubscriberLine），是一种利用现有电话线提供高速数据传输的技术。PSTN公共交换电话网络（PublicSwitchedTelephoneNetwork），是一种基于电路交换的电信网络，用于提供语音通信服务。ISDN综合业务数字网（IntegratedServicesDigitalNetwork），是一种同时支持语音、数据、视频等多种业务的电信网络。3.1电信网相关缩略语BWG宽带无线网关（BroadbandWirelessGateway），是连接宽带网络与用户终端设备的关键节点，具备路由、交换、安全等功能。NAT网络地址转换（NetworkAddressTranslation），是一种将私有IP地址转换为公共IP地址的技术，广泛应用于家庭和企业网络。QoS服务质量（QualityofService），是评估网络性能的重要指标，用于保障数据传输的带宽、时延、抖动等参数满足预定要求。3.2宽带客户网关相关缩略语3.3安全性相关缩略语IDS/IPS入侵检测系统/入侵防御系统（IntrusionDetectionSystem/IntrusionPreventionSystem），用于实时监测网络传输，发现可疑传输并进行报警或采取主动反应措施。Firewall防火墙，是网络安全的第一道防线，用于隔离内外网络，控制网络访问权限。VPN虚拟专用网络（VirtualPrivateNetwork），是一种通过公共网络建立加密通道的技术，实现远程安全访问。030201044用户平面安全要求宽带客户网关应支持对用户数据进行加密传输，确保数据在传输过程中的机密性。加密传输应采取措施对用户数据进行完整性保护，防止数据在传输过程中被篡改。完整性保护宽带客户网关应支持使用安全协议进行数据传输，如IPSec、SSL等。安全协议支持4.1数据传输安全宽带客户网关应对接入的用户进行身份认证，确保仅有合法用户可以接入网络。接入认证访问控制列表端口安全应提供访问控制列表功能，允许或限制特定用户或用户组对网络资源的访问。宽带客户网关应具备端口安全功能，防止未经授权的设备通过物理端口接入网络。4.2用户接入控制宽带客户网关应实现不同用户之间的数据隔离，确保用户数据的私密性。数据隔离应提供数据备份与恢复机制，以防用户数据丢失或损坏。数据备份与恢复宽带客户网关应支持对用户数据的操作进行审计，便于追踪和定位安全问题。安全审计4.3用户数据安全4.4防范网络攻击安全更新与补丁宽带客户网关应及时接收和安装安全更新与补丁，以防范已知的安全漏洞。入侵检测与防御应支持入侵检测与防御系统，实时监测和抵御针对网关的各类攻击行为。防火墙功能宽带客户网关应具备防火墙功能，有效过滤和阻挡来自外部网络的恶意攻击。054.1安全管理功能用户身份认证宽带客户网关应支持对用户进行身份认证，确保仅有合法用户可以访问和管理网关。用户权限管理用户行为审计4.1.1用户管理网关应能根据用户角色或用户组来分配不同的访问和管理权限，实现权限的精细化控制。记录用户的操作行为，包括登录、注销、配置修改等，以便后续进行审计和追溯。网关应支持定义灵活的访问控制策略，允许或拒绝特定来源或目的地的网络流量。访问控制策略对于远程访问和管理功能，网关应实施严格的访问控制，防止未经授权的访问和操作。远程控制限制4.1.2访问控制4.1.3安全更新与升级固件升级验证在进行固件升级时，网关应对升级包进行完整性验证和签名验证，防止恶意升级包的植入。软件更新机制宽带客户网关应具备安全的软件更新机制，确保及时修复已知的安全漏洞。日志记录网关应详细记录安全相关的事件，包括攻击尝试、配置更改、用户登录等，以便进行安全分析和审计。告警机制4.1.4日志与告警当检测到安全事件或异常行为时，网关应能触发告警，及时通知管理人员进行处置。0102064.2访问控制列表访问控制列表是一种安全机制，用于定义哪些用户或用户组可以访问特定的网络资源。通过访问控制列表，可以实现对网络资源的细粒度控制，防止未经授权的访问。访问控制列表的定义定义访问控制的具体策略，包括允许或拒绝特定用户或用户组的访问请求。规则指定规则生效的具体条件，如时间、来源地址、目标地址等。条件当规则条件满足时，执行相应的动作，如允许访问、拒绝访问等。动作访问控制列表的组成要素基于IP地址的访问控制列表根据源IP地址或目标IP地址来定义访问控制规则。访问控制列表的实现方式基于用户名的访问控制列表根据用户名或用户组来定义访问规则，可以实现更细粒度的控制。基于时间的访问控制列表在特定的时间段内实施访问控制，增加网络使用的灵活性。访问控制列表的应用场景企业内部网络保护企业敏感数据，防止内部泄露和非法访问。控制用户对公共资源的访问权限，确保服务的正常运行。公共服务网络在云平台上实施访问控制，确保不同租户之间的数据隔离和安全。云计算环境074.3VPN功能虚拟专用网络（VirtualPrivateNetwork，VPN）是通过公用网络建立专用的、安全的数据传输通道的技术。VPN定义包括远程访问VPN、站点到站点VPN等，根据实际需求选择不同的VPN类型。VPN类型VPN定义与类型VPN应保证数据传输的安全性，包括数据加密、身份认证、访问控制等安全措施。安全性VPN功能要求VPN应具有高可靠性，确保数据传输的稳定性和可用性。可靠性VPN的配置和使用应简便易用，降低用户的使用难度和学习成本。易用性VPN技术实现010203隧道技术通过隧道协议（如PPTP、L2TP、IPSec等）在公用网络上建立专用的数据传输通道。加密技术采用加密算法（如AES、DES等）对传输的数据进行加密，确保数据的机密性。身份认证技术通过身份认证机制（如用户名/密码、证书等）验证用户的身份，防止非法访问。VPN在宽带客户网关中的应用宽带客户网关通过配置VPN功能，允许用户通过VPN接入内部网络，实现远程办公和资源共享。接入方式通过VPN的加密和身份认证技术，确保宽带客户网关与内部网络之间数据传输的安全性。安全保障根据用户需求，可以灵活配置VPN的参数和功能，满足不同场景的应用需求。灵活配置084.4NAT功能NAT技术概述NAT定义网络地址转换（NetworkAddressTranslation）技术，用于将私有IP地址转换为公共IP地址。NAT作用NAT类型解决IPv4地址短缺问题，隐藏内部网络结构，提高网络安全性。包括源NAT（SNAT）和目的NAT（DNAT）。转换效率支持大量并发连接，满足多用户同时访问需求。并发连接数安全性采取安全措施，防止地址欺骗、IP欺骗等安全威胁。NAT设备应具备高效的地址转换能力，确保网络传输性能。NAT功能技术要求NAT功能实现方式静态NAT手动配置IP地址映射关系，适用于固定IP地址场景。动态NAT自动分配公共IP地址，适用于动态IP地址场景。NAPT（网络地址端口转换）结合端口号进行地址转换，进一步提高IP地址利用率。验证NAT功能的正确性、稳定性和性能。NAT功能测试与验证功能测试检测NAT设备在面临各种安全威胁时的防护能力。安全性测试确保NAT设备与其他网络设备、系统的兼容性。兼容性测试094.5防火墙功能定义防火墙是网络安全的第一道防线，能够监测和控制进出网络的数据流，从而保护网络免受未经授权的访问和攻击。作用防火墙能够过滤掉不安全的服务和非法用户，防止重要数据被窃取或篡改，同时记录网络活动以供审计和追踪。防火墙的定义和作用宽带客户网关中的防火墙功能01宽带客户网关应具备访问控制功能，能够基于源地址、目的地址、端口号等参数，允许或拒绝特定的数据流通过。网关应支持用户自定义安全策略，包括允许或禁止某些应用程序、服务或协议的访问，以及设置特定时间段的访问权限等。防火墙应能够记录所有通过网关的数据流，包括时间戳、源地址、目的地址、端口号等信息，以便进行安全审计和追踪。0203访问控制安全策略日志记录01部署位置宽带客户网关中的防火墙应部署在内外网之间，确保所有进出网络的数据流都经过防火墙的过滤和检查。配置原则防火墙的配置应遵循“最小权限原则”，即只允许必要的服务和应用程序通过，同时严格限制对敏感数据的访问。更新和维护为确保防火墙的有效性，应定期更新防火墙的规则和策略，以适应新的安全威胁和漏洞。同时，还需对防火墙进行定期维护和检查，确保其正常运行。防火墙的部署和配置0203104.6防攻击功能防火墙配置深度包检测宽带客户网关应具备深度包检测功能，有效识别并过滤恶意攻击流量，如SQL注入、跨站脚本等。01访问控制列表支持设置访问控制列表，限制特定IP地址或IP段的访问权限，防止未授权访问。02流量监控与限制实时监测网络流量，并支持对异常流量进行限制或阻断，确保网络稳定。03入侵检测系统集成入侵检测系统，实时监测网络中的异常行为，及时发现并处置潜在威胁。威胁情报库定期更新威胁情报库，提高网关对新型攻击手段的防御能力。日志审计与分析记录并分析网络活动日志，追踪攻击来源，为后续安全策略调整提供依据。030201入侵检测与防御01固件安全更新定期推送安全更新，修复已知漏洞，提升系统整体安全性。安全加固措施02弱密码检测与防范强制要求用户设置复杂密码，降低被破解风险，同时支持定期更换密码。03设备访问权限控制严格控制设备访问权限，避免未授权用户对设备进行非法操作。114.7网络访问的安全性网络访问控制访问控制策略宽带客户网关应实施严格的网络访问控制策略，确保只有授权用户可以访问网络资源。访问权限管理网关应具备完善的访问权限管理功能，能够根据不同用户角色分配相应的网络访问权限。访问日志记录网关应记录所有网络访问行为，包括访问时间、访问源、访问目标等信息，以便进行安全审计和追溯。网关应具备入侵检测与防御能力，及时发现并处置网络入侵行为，保障网络安全。入侵检测与防御网关应及时修补已知的安全漏洞，降低被攻击的风险。安全漏洞修补宽带客户网关应集成防火墙功能，有效过滤和阻断非法网络访问和恶意攻击。防火墙功能安全防护措施VS宽带客户网关应支持数据加密传输功能，确保用户数据在传输过程中的机密性和完整性。数据隔离网关应实现不同用户之间的数据隔离，防止用户数据被其他用户非法访问。加密传输数据传输安全远程访问控制宽带客户网关的远程管理功能应实施严格的访问控制，确保只有授权的管理员可以进行远程管理操作。远程管理日志网关应记录所有远程管理操作日志，包括操作时间、操作内容、操作结果等信息，以便进行安全审计。远程管理安全124.8WLAN安全性包括未经授权的访问、数据泄露、恶意攻击等，需采取相应安全措施进行防范。WLAN安全威胁为确保WLAN的安全性，需遵循一系列国际和国内的安全技术标准。WLAN安全技术标准WLAN安全概述包括基于预共享密钥（PSK）、基于802.1X认证等，确保只有合法用户能够接入WLAN网络。接入认证方式通过配置ACL，限制用户对特定网络资源的访问权限，防止未经授权的访问。访问控制列表（ACL）WLAN安全接入控制加密技术采用先进的加密技术，如WPA3等，对无线传输的数据进行加密，确保数据的机密性和完整性。数据隔离通过VLAN等技术实现不同用户或业务之间的数据隔离，防止数据泄露和非法访问。WLAN数据传输安全安全管理策略制定完善的安全管理策略，包括用户行为管理、设备安全配置等，确保WLAN网络的安全运行。01WLAN安全管理与监控安全监控与日志审计通过实时监控网络状态、收集并分析安全日志等措施，及时发现并处理安全隐患，保障WLAN网络的安全稳定。02135控制平面安全要求123应对所有管理接口实施访问控制，包括但不限于Web界面、命令行接口（CLI）、简单网络管理协议（SNMP）等。应支持基于角色的访问控制（RBAC），确保不同用户或用户组具有适当的访问权限。应记录所有访问尝试，包括成功和失败的登录，以及执行的关键操作。5.1访问控制应对所有管理用户进行身份鉴别，确保只有合法用户能够访问控制平面。5.2身份鉴别应支持多因素身份鉴别，如用户名/密码加动态令牌或生物识别等。应定期更换密码，并实施密码复杂度策略，防止弱密码被破解。010203应定期从受信任的源获取并安装安全更新和补丁，以修复已知的安全漏洞。应实施安全更新和补丁管理策略，确保所有相关组件都得到及时更新。应测试安全更新和补丁的兼容性和有效性，以确保其不会对系统造成不良影响。5.3安全更新与补丁管理5.4安全审计与日志记录应启用安全审计功能，记录所有关键操作和安全事件，以便进行事后分析和追责。01应确保审计日志的完整性和保密性，防止被篡改或非法获取。02应定期对审计日志进行审查和分析，以及时发现潜在的安全问题。03145.1PPP用户认证一种用于点对点通信的链路层协议，广泛应用于广域网连接。PPP（点对点协议）定义PPP协议概述包括链路控制、网络层协议复用、认证等。PPP主要功能在宽带客户网关中，PPP用于实现用户与网关之间的安全认证。PPP与宽带客户网关关系PAP（密码认证协议）一种简单的明文认证方式，用户名和密码以明文形式传输，安全性较低。CHAP（挑战握手认证协议）一种更安全的认证方式，通过加密挑战和响应进行认证，有效防止窃听和重放攻击。PPP用户认证方式需配置认证服务器以存储和管理用户认证信息。认证服务器配置客户端（用户设备）与服务器（宽带客户网关或运营商服务器）之间进行认证信息的交互。客户端与服务器交互根据认证结果，控制用户设备的接入权限和服务质量。认证结果处理PPP用户认证实施要点加密技术应用为确保认证信息的安全性，需采用加密技术对传输的认证信息进行加密处理。PPP用户认证安全性考虑定期更新密钥为防止密钥泄露和破解，需定期更新加密密钥，提高系统安全性。日志审计与追踪建立完善的日志审计和追踪机制，对认证过程进行记录和监控，便于及时发现并处理安全问题。155.2日志功能网关应支持日志的远程传输和存储，确保日志的安全性和完整性。日志记录要求宽带客户网关应能够记录系统和关键应用的操作日志，包括但不限于设备启动、关闭、配置更改、用户登录登出等关键事件。日志记录应包含事件发生的时间、事件类型、事件结果等关键信息，以便于后续审计和追溯。010203日志查询与分析宽带客户网关应提供日志查询功能，支持按照时间、事件类型等条件进行筛选和查询。网关还应支持对日志进行深度分析，以发现潜在的安全风险或异常行为，为及时采取应对措施提供有力支持。日志保护机制为防止日志被篡改或删除，宽带客户网关应采取相应的保护机制，如数字签名、加密存储等，确保日志的真实性和完整性。网关还应设置日志的备份和恢复功能，以防意外情况下日志的丢失。166管理平面安全要求应对管理平面的访问进行严格的控制，确保只有授权的管理员能够访问管理功能。应实施基于角色的访问控制策略，对不同管理员赋予不同的访问权限，实现权限的最小化原则。6.1访问控制应记录管理平面的访问日志，包括访问时间、访问来源、访问目标以及操作内容等信息，以便进行审计和追溯。应采用强密码策略，并定期更换密码，防止密码被破解或泄露。应根据用户的角色和权限，对其可以执行的管理操作进行明确的授权，防止越权操作。应对管理平面的用户进行身份认证，确保用户身份的真实性和合法性。6.2认证与授权应采用安全的远程管理协议，如SSHv2、HTTPS等，确保远程管理过程中的数据传输安全。6.3远程管理安全应对远程管理会话进行加密和完整性保护，防止会话数据被窃听或篡改。应限制远程管理功能的开放范围和使用时间，减少被攻击的风险。010203应确保软件更新和升级的来源可靠，防止恶意软件的植入。应对软件更新和升级进行严格的测试，确保其兼容性和安全性。应在软件更新和升级前进行备份，以便在出现问题时能够及时恢复。6.4软件更新与升级安全176.1Telnet访问Telnet访问概述010203Telnet是一种网络协议，用于在互联网或局域网上进行双向交互式文本通信。在宽带客户网关中，Telnet访问提供了一种远程管理和配置设备的方式。通过Telnet访问，管理员可以登录到网关设备，执行命令行操作，以实现对设备的配置、监控和故障排除。Telnet访问安全要求宽带客户网关应支持对Telnet访问进行安全控制，包括访问权限的验证和授权。01网关设备应限制Telnet访问的源地址，仅允许特定IP地址或IP地址段进行访问。02Telnet会话应进行加密处理，以防止敏感信息在传输过程中被窃取或篡改。03Telnet访问实现方式一旦连接建立成功，管理员就可以在命令行界面执行各种操作，以管理和配置网关设备。管理员可以使用专门的Telnet客户端软件，通过输入网关设备的IP地址、端口号和登录凭证来建立Telnet连接。在宽带客户网关中，通常通过启用Telnet服务并配置相应的访问参数来实现Telnet访问。010203由于Telnet协议本身存在一定的安全风险，因此在使用时需要特别注意安全问题。建议仅在受信任的网络环境中使用Telnet访问，并采取必要的安全措施来保护敏感信息和设备安全。Telnet访问注意事项对于不再需要的Telnet访问权限，应及时进行撤销或限制，以减少潜在的安全风险。186.2Web管理Web管理通过图形化界面，为用户提供直观、便捷的管理操作体验。提供直观的管理界面用户可通过Web管理界面对宽带客户网关设备进行配置、监控和维护等操作。配置和管理网关设备Web管理采取多种安全措施，确保用户信息的安全性和隐私性。安全性保障Web管理功能概述010203Web管理界面应简洁明了，符合用户使用习惯，提供友好的交互体验。界面设计要求Web管理应具备快速的响应能力，确保用户操作的流畅性。响应速度要求Web管理应支持多用户同时在线管理，满足不同用户的需求。多用户并发支持Web管理技术要求基于Web的远程管理通过浏览器访问网关设备的Web管理页面，实现远程配置和管理功能。命令行接口（CLI）辅助管理针对高级用户或专业管理人员，提供命令行接口，满足更复杂的配置和管理需求。Web管理实现方式用户身份认证采用用户名和密码等认证方式，确保只有授权用户才能访问Web管理界面。访问控制策略设置不同用户的访问权限，实现对网关设备不同功能模块的访问控制。数据加密传输采用SSL/TLS等加密技术，确保Web管理过程中数据的机密性和完整性。Web管理安全性措施196.3连接认证功能基于动态令牌的认证使用动态生成的令牌作为认证凭据，每次认证时都会生成新的令牌，提高安全性。基于用户名/密码的认证最常见的认证方式，通过输入正确的用户名和密码来验证用户身份，确保只有合法用户能够访问网络资源。基于证书的认证采用数字证书来进行身份验证，证书包含用户的身份信息、公钥以及其他可能的信息，由可信任的证书颁发机构签发。认证方式PPPoE（Point-to-PointProtocoloverEthernet）通过以太网建立点对点连接，用户在连接时需进行认证，广泛应用于宽带接入领域。802.1X基于端口的访问控制协议，通过对连接到局域网的设备进行认证和控制，实现对接入设备的访问控制。认证协议在认证过程中，采用加密技术对用户输入的信息进行加密处理，防止信息在传输过程中被窃取或篡改。加密传输通过采用时间戳、随机数等技术手段，防止攻击者截获并重复发送之前的认证信息，从而通过认证。防止重放攻击结合多种认证方式，如用户名/密码加动态令牌等，提高认证的安全性。多因素认证认证过程的安全性保障207可靠性要求平均无故障工作时间（MT