网络设备安全分级技术要求

1网络设备安全分级技术要求本文件提出了网络设备的安全功能和脆弱性评估的分级要求。本文件适用于指导网络设备生产企业进行产品设计、开发和测试，设备用户选型与第三方评测也可参照使用。注：本文件所指网络设备包含路由器设备、数据中心交换机设备、园区交2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069信息安全技术术语3术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。3.1网络设备networkdevices网络设备指具备连接网络功能的实体（不包含消费类终端产品）。4缩略语下列缩略语适用于本文件。BGP：边界网关协议（BorderGatewayProtocol）CSRF：跨站请求伪造（Cross-SiteRequestForgery）DES：数据加密标准（DataEncryptionStandard）DoS：拒绝服务（DenialofService）DTLS：数据包传输层安全（DatagramTransportLayerSecurity）HTTPS：超文本传输安全协议（HypertextTransferProtocolSecure）IGP：内部网关协议（InteriorGatewayProtocol）IP：互联网协议（InternetProtocol）IPsec：互联网协议安全（InternetProtocolSecurity）MACsec：媒体访问控制安全（MediaAccessControl(MAC)Security）MD5：消息摘要算法版本5（MessageDigestAlgorithm5）ND：邻居发现（NeighborDiscovery）NTP：网络时间协议（NetworkTimeProtocol）SELinux：安全增强式Linux（Security-EnhanceLinux）SSH：安全外壳（SecureShell）SZTP：安全零接触配置（SecureZeroTouchProvisioning）TEE：可信执行环境（TrustedExecutionEnvironment）TLS：传输层安全（TransportLayerSecurity）UDP：用户数据包协议（UserDatagramProtocol）URL：统一资源定位符（UniformResourceLocator）XSS：跨站点脚本（Cross-sitescripting）25概述网络设备在通信网络容易遭受到来自网络和其他方面的威胁，例如设备被劫持、大规模DoS/DDoS攻击等，这些安全威胁利用设备的脆弱性对设备进行攻击，设备被攻击后，网络的性能和正常运行会受到很大的影响，甚至造成拒绝正常用户访问服务。为有效应对有组织的团伙的针对性攻击，保障重要网络、关键信息基础设施（以下简称“关基”）网络的安全。本文件针对网络设备提出了分级的安全要求，指导制造商更好落地安全要求，同时为网络客户采购高安全的网络设备提供依据。安全分级整体思路与适用场景描述如下：第一级安全要求具备基本的防御能力，适用于一般用户一般要求场景。第二级安全要求在第一级安全要求的基础上增加默认安全、漏洞防利用、密钥管理等，具备一定的纵深防御能力，适用于一般用户较高安全要求场景，如财务数据存储区、研发数据存储区、核心生产区第三级安全要求在第二级安全要求的基础上增加安全配置核查、主机入侵检测等，具备防范APT攻击的能力，适用于关基用户重要关基系统等需要重点防护区域。6通用安全技术要求6.1第一级安全技术要求获得网络关键设备或者安全专用产品认证证书，或者自证明满足GB40050或者GB42250标准。6.2第二级安全技术要求6.2.1安全功能要求默认安全本项要求包括：a)不应预留任何的未公开帐号，所有帐号都应可被系统管理，如果存在默认帐号，应在产品资料中明示；b)不应存在绕过正常认证机制直接进入系统的隐秘通道，如：组合键、鼠标特殊敲击、连接特定接口，使用特定客户端、使用特殊URL等；c)不应默认使用不安全协议，如Telnet,SSHv1等。软件完整性本项要求包括：应支持启动时通过数字签名技术对启动软件的完整性和真实性进行校验。开局安全本项要求包括：零配置开局方案宜具备安全能力保证开局安全。访问控制本项要求包括：a)新建管理员账号默认应不授予任何权限或者只授予最小权限；b)不需要登录的帐号应禁用或禁止登录；c)所有能对系统进行管理的人机接口以及跨信任网络的机机接口应有安全的接入认证机制并缺省启用，关闭认证机制应有风险提示；d)应支持管理面、控制面和用户面间的安全隔离功能；e)应禁用硬件调试接口(如JTAG)的接入访问。3身份认证本项要求包括：a)应提供认证凭据修改的功能；b)应支持配置管理员口令过期时间功能；c)用户口令应支持长度至少为8个字符，包含数字，字母或特殊字符至少两种组合；d)使用数字证书实现身份认证时应验证对端证书的有效性（有效期、信任链、吊销状态等）；e)管理员修改自己口令时应验证旧口令并确认新口令。漏洞防利用本项要求包括：a)应支持堆栈保护功能，防止堆栈溢出类型攻击；b)应支持数据执行保护功能，防止注入类型攻击；c)应支持地址空间随机化功能，防止固定地址类型的攻击。数据保护本项要求包括：a)应禁止在URL、错误消息、安全日志、调试信息中暴露口令、密钥、会话标识符等敏感数据；b)应支持使用业界推荐的安全密码算法对敏感数据进行保护，密码算法安全强度应遵循业界最佳实践；c)对敏感数据(如口令、私钥、对称密钥)进行存储时，在不需要还原明文的场景，应使用不可逆算法加密，在需要还原的场景，应采用安全的可逆算法进行加密；d)应支持输入敏感数据(如口令、私钥、对称密钥)时非明文显示；e)宜支持安全通信协议(如IPsec、MACsec、TLS、DTLS)，保障承载数据的保密性,完整性。流量防攻击本项要求包括：a)应支持抵御大流量攻击的能力；b)应支持抵御重放类攻击的能力；c)应支持抵御畸形报文攻击的能力；d)应支持抵御非法报文(如ND非法报文)攻击的能力；e)应支持抵御地址欺骗报文(如IP地址欺骗)攻击的能力。协议安全本项要求包括：a)管理协议(SSH、HTTPS等)应支持安全的协议版本、安全密码算法；b)支持Web管理时应支遵循业界最佳实践，防范XSS、CSRF、DoS、命令注入、路径穿越、会话固定等攻击；c)控制协议(BGP、IGP等)实现应遵循业界最佳实践，如支持协议认证、安全密码算法。0安全管理0.1数字证书管理本项要求包括：a)使用时应支持检查数字证书的有效期；b)应支持数字证书的导入/更新/替换/删除功能、证书信息的查询功能；c)应支持数字证书的吊销功能。0.2密钥管理本项要求包括：a)密码算法中使用到的随机数应是密码学意义上的安全随机数；4Tb)密钥的用途应单一化，即一个密钥应只用于一种用途（如：加密、认证、散列等），如加密的密钥不能用于认证；c)应支持手动更新密钥的能力；d)应支持密钥全生命周期(生成、分发、使用、存储、销毁等)的安全管理。1日志审计本项要求包括：a)安全日志转发到日志服务器时应支持安全通道传输；b)宜支持与NTP服务器的安全通信，确保时间同步。2安全删除本项要求包括：应及时删除内存、存储介质上中不再使用的数据。6.2.2安全保障要求脆弱性评估本项要求包括：a)应对设备基础安全质量进行评估，对于开源软件漏洞、固件包安全、配置安全等风险进行识别和管理；b)应使用业界知名组件或具有同等安全测试能力的工具，如openvas、secvas、awvs、nmap等工具，在主机安全、网络安全、配置安全等领域开展扫描和结果评估；c)应扫描结果内的告警应完成分析与评估，对于不安全配置、高风险漏洞等问题，应有对应的解决方法和规避措施。6.3第三级安全技术要求6.3.1安全功能要求默认安全本项要求包括：a)不可默认使用不安全密码算法，如MD5,RC4,DES等；b)用于登录设备的账户或认证凭据(如：口令，公私钥，证书)不应硬编码；c)用户界面不可见或产品资料未描述的未公开的公网IP地址不应硬编码；d)用于数据加解密的密钥不应硬编码；e)配置不安全密码算法或者协议时可支持安全提示或者告警。软件完整性本项要求包括：a)应支持升级时通过数字签名技术对软件包或补丁进行完整性和真实性进行校验；b)设备在安装过程发生软件降级时可支持安全提示或者告警；c)可支持启动时由不可被篡改的硬件可信根作为数字签名校验的起点，逐级校验启动链上软件的完整性和真实性；d)可支持在设备运行时对内存代码段进行验证，确保运行的软件不被篡改；e)可支持内核模块(KO)加载时进行完整性校验。开局安全可支持安全零配置部署SZTP功能。访问控制本项要求包括：5a)所有在外部可见的能对系统进行管理的物理接口（如串口、USB接口、管理网口等）应具备接入认证机制；b)对于跨信任网络且重要的业务机机接口应提供接入认证机制，标准协议没有认证机制的除外；c)对于来自系统外部的不可控输入，宜采用强度较高的安全隔离机制（如沙箱、非特权容器d)可支持采用强制访问控制机制(如SELinux)对包含重要数据的文件和目录进行保护；e)设备可支持基于硬件的安全执行环境(TEE)，用于隔离高安全业务或者数据。身份认证本项要求包括：a)应支持配置管理员账号过期时间功能；b)用户口令应支持配置长度至少为12个字符，包含数字、字母或特殊字符至少两种组合；c)应具备弱口令字典功能，避免用户使用弱口令字典中的任何口令；d)使用口令鉴别方式时，用户配置的新口令应支持与最后使用的若干个口令进行比较，如果相同则不允许配置；e)执行对系统或应用有重大影响的操作前可支持二次认证，重大影响的操作包括重启设备、清空所有配置等。漏洞防利用本项要求包括：a)宜支持地址无关可执行功能，防止固定地址类型的攻击；b)宜支持GOT表保护功能，防止GOT表被覆盖修改；c)可支持从程序文件中剥离调试符号；d)可支持控制流完整性CFI，防止ROP攻击。数据保护本项要求包括：a)应支持输入敏感数据(如口令、私钥、对称密钥)时防拷贝功能；b)可支持存储安全日志、配置文件时通过密码算法实现完整性保护。协议安全本项要求包括：管理协议(SSH、HTTPS等)可支持非全零监听。安全管理.1数字证书管理本项要求包括：a)应支持和网管配合实现对数字证书的集中化、可视化的全生命周期管理；b)在数字证书即将过期前可支持发送安全提示或者告警，提示运维人员更新证书；c)可支持对接证书管理系统，实现数字证书的自动申请和更新功能。.2密钥管理本项要求包括：a)应支持密钥在临近过期前自动更新或者提醒管理员手动更新；b)对密钥做加密的密码算法的安全强度应不小于被加密密钥本身所用于密码算法的安全强度；c)密钥管理可采用层次化的保护方式；d)基于业界最佳实践可支持对设备根密钥进行安全防护。.3安全配置管理本项要求包括：a)应支持对不安全协议或者算法进行查询，并提供修复建议；6b)应支持和网管配合对安全配置的集中核查能力，支持核查结果可视化呈现。0日志审计本项要求包括：安全日志应单独存储，管理员不应具备删除安全日志的权限。1主机入侵检测本项要求包括：设备可支持主机入侵检测，对非法用户登录、OS提权、关键文件篡改等攻击场景进行检测，并上报6.3.2安全保障要求脆弱性评估本项要求包括：a)应对设备内生安全能力进行评估，对于出厂安全、管理安全、协议安全、系统安全、编码安全等领域开展安全攻防测试，识别设备安全漏洞；b）应使用业界知名cvss评估方法对设备安全漏洞进行定级评估，确认漏洞攻击路径，按漏洞场景定级漏洞影响；c）应对已知的中危及以上等级的安全漏洞进行修复或提供规避方案，宜对已知的提示问题进行修7防火墙产品安全技术要求防火墙产品的安全技术要求包括产品对攻击和威胁的检测和防护能力，包括拒绝服务攻击防护能力、入侵威胁检测能力、病毒威胁检测能力、攻击防逃逸能力。攻击检测有效性指对攻击和威胁的检出率，即系统正确检测到攻击的次数与实际发生的所有攻击次数之比。攻击防护有效性指对攻击和威胁的阻断率，即系统有效阻断到攻击的次数与实际发生的所有攻击次数之比。7.1第一级安全技术要求略7.2第二级安全技术要求7.2.1拒绝服务攻击防护能力产品应具备拒绝服务攻击检测和防护能力，攻击防护有效性不低于85%，本项要求包括：a）SYNFlood；b）UDPFlood；c）ICMPFlood；d）HTTPFlood；e）HTTPSFlood；f）SIPFlood；g）DNSQueryFlood。7.2.2入侵威胁检测能力本项要求包括：产品应具备入侵威胁检测，攻击检测有效性不低于85%，包括a）WEB类攻击检测能力；b）系统漏洞类攻击检测能力；c）僵木蠕攻击检测能力；d）自定义攻击检测能力。7.2.3病毒威胁检测能力本项要求包括：产品应具备病毒威胁检测能力，攻击检测有效性不低于85%，包括a）PE类流行病毒检测能力；b）WEB类流行病毒检测能力；c）PDF类流行病毒检测能力；d）ELF类流行病毒检测能力。7.2.4攻击防逃逸能力本项要求包括：产品应具备攻击防逃逸检测能力，攻击检测有效性不低于85%，包括a）网络层攻击防逃逸检测能力；b）传输层攻击防逃逸检测能力；c）应用层攻击防逃逸检测能力；d）内容安全攻击防逃逸检测能力；e）组合攻击防逃逸检测能力。7.3第三级安全技术要求7.3.1拒绝服务攻击防护能力本项要求包括：产品应具备拒绝服务攻击检测和防护能力，攻击防护有效性不低于95%，包括a）SYNFlood；b）UDPFlood；c）ICMPFlood；d）HTTPFlood；e）HTTPSFlood；f）SIPFlood；g）DNSQueryFlood。7.3.2入侵威胁检测能力本项要求包括：产品应具备入侵威胁检测，攻击检测有效性不低于95%，包括a）WEB类攻击检测能力；8b）系统漏洞类攻击检测能力；c）僵木蠕攻击检测能力；d）自定义攻击检测能力。7.3.3病毒威胁检测能力本项要求包括：产品应具备病毒威胁检测能力，攻击检测有效性不低于95%，包括a）PE类流行病毒检测能力；b）WEB类流行病毒检测能力；c）PDF类流行病毒检测能力；d）ELF类流行病毒检测能力。7.3.4攻击防逃逸能力本项要求包括：产品应具备攻击防逃逸检测能力，攻击检测有效性不低于95%，包括a）网络层攻击防逃逸检测能力；b）传输层攻击防逃逸检测能力；c）应用层攻击防逃逸检测能力；d）内容安全攻击防逃逸检测能力；e）组合攻击防逃逸检测能力。8抗拒绝服务攻击产品安全技术要求抗拒绝服务攻击产品的安全技术要求包括产品对攻击和威胁的防护能力，包括网络层、传输层、会话层、应用层拒绝服务攻击防护能力。攻击防护有效性指对攻击和威胁的阻断率，即系统有效阻断到攻击的次数与实际发生的所有攻击次数之比。8.1第一级安全技术要求略8.2第二级安全技术要求8.2.1网络层拒绝服务攻击防护能力本项要求包括：产品应具备拒绝服务攻击检测和防护能力，攻击防护有效性不低于85%，包括a）FragmentFlood；b）Land；c）Teardrop；d）Smurf；e）Pingofdeath;f）IPv6扩展头攻击；g）其它网络层拒绝服务攻击。8.2.2传输层拒绝服务攻击防护能力本项要求包括：产品应具备拒绝服务攻击检测和防护能力，攻击防护有效性不低于85%，包括a）SYNFlood；b）UDPFlood；c）ICMPFlood；d）TCP反射；e）UDP反射；f）DNS反射：g）NTP反射；h）SSDP反射；k）其他传输层拒绝服务攻击。8.2.3会话层拒绝服务攻击防护本项要求包括：产品应具备拒绝服务攻击检测和防护能力，攻击防护有效性不低于85%，包括a）TCP空连接；b）不完整TLS会话；c）SSL连接攻击；d）其它会话层拒绝服务攻击。8.2.4应用层拒绝服务攻击防护本项要求包括：产品应具备拒绝服务攻击检测和防护能力，攻击防护有效性不低于85%，包括a）DNSFlood；b）HTTPFlood；c）HTTPSFlood；d）HTTP慢速攻击；e）其它应用层拒绝服务攻击。8.3第三级安全技术要求8.3.1网络层拒绝服务攻击防护能力本项要求包括：产品应具备拒绝服务攻击检测和防护能力，攻击防护有效性不低于95%，包括a）FragmentFlood；b）Land；c）Teardrop；d）Smurf；e）Pingofdeath;f）IPv6扩展头攻击；g）其它网络层拒绝服务攻击。8.3.2传输层拒绝服务攻击防护能力本项要求包括：产品应具备拒绝服务攻击检测和防护能力，攻击防护有效性不低于95%，包括a）SYNFlood；b）UDPFlood；c）ICMPFlood；d）TCP反射；e）UDP反射；f）DNS反射：g）NTP反射；h）SSDP反射；k）其他传输层拒绝服务攻击。8.3.3会话层拒绝服务攻击防护本项要求包括：产品应具备拒绝服务攻击检测和防护能力，攻击防护有效性不低于95%，包括b）TCP空连接；b）不完整TLS会话；c）SSL连接攻击；d）其它会话层拒绝服务攻击。8.3.4应用层拒绝服务攻击防护本项要求包括：产品应具备拒绝服务攻击检测和防护能力，攻击防护有效性不低于95%，包括a）DNSFlood；b）HTTPFlood；c）HTTPSFlood；d）HTTP慢速攻击；e）其它应用层拒绝服务攻击。9交换机产品安全技术要求9.1第一级安全技术要求略9.2第二级安全技术要求9.2.1接入安全本项要求包括：a)园区交换机应支持802.1X、MAC、Portal等认证方式验证接入用户的合法性。9.3第三级安全技术要求9.3.1协议安全本项要求包括：a)数据中心交换机跨设备