GA/T 682-2007
基本信息
标准号: GA/T 682-2007
中文名称:信息安全技术路由器安全技术要求
标准类别:公共安全行业标准(GA)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:530174
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GA/T 682-2007.Information security technology-Technical requirements for router security.
1范围
GA/T 682分等级规定了路由器的安全功能要求和安全保证要求。
GA/T 682适用于路由器产品安全性的设计和实现,对路由器产品进行的测试、评估和管理也可参照使用。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB17859--1999计算机信息系统安全保护等级划分准则
GB/T 18336. 1-2001信息技术安全技术 信息技术安全性评估准则 第1部分:简介和一般模型.
3术语、定义 和缩略语
3.1 术语和定义
GB 17859-1999和GB/T 18336. 1- 2001确立的以及下列术语和定义适用于本标准。
3.1.1路由器router
网络节点设备,工作在网络层,通过路由选撣算法决定流经数据的存储转发,并具备访向控制和安全扩展功能。
3.1.2简单网络管理协议simple network management protocol
简单网络管理协议(SNMP)是一系列协议组和规范,提供了一种从网络上的设备中收集网络管理信息的方法,也为设备向网络管理工作站报告问题和错误提供了一种方法。
3.1.3单播逆向路径转发unicast reverse path forwarding
单播逆向路径转发(URPF)通过获取包的源地址和人接口,以源地址为目的地址,在转发表中查找源地址对应的接口是否与人接口匹配,如果不匹配,则认为源地址是伪装的,丢弃该包。其功能是防止基于源地址欺骗的网络攻击行为.
1范围
GA/T 682分等级规定了路由器的安全功能要求和安全保证要求。
GA/T 682适用于路由器产品安全性的设计和实现,对路由器产品进行的测试、评估和管理也可参照使用。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB17859--1999计算机信息系统安全保护等级划分准则
GB/T 18336. 1-2001信息技术安全技术 信息技术安全性评估准则 第1部分:简介和一般模型.
3术语、定义 和缩略语
3.1 术语和定义
GB 17859-1999和GB/T 18336. 1- 2001确立的以及下列术语和定义适用于本标准。
3.1.1路由器router
网络节点设备,工作在网络层,通过路由选撣算法决定流经数据的存储转发,并具备访向控制和安全扩展功能。
3.1.2简单网络管理协议simple network management protocol
简单网络管理协议(SNMP)是一系列协议组和规范,提供了一种从网络上的设备中收集网络管理信息的方法,也为设备向网络管理工作站报告问题和错误提供了一种方法。
3.1.3单播逆向路径转发unicast reverse path forwarding
单播逆向路径转发(URPF)通过获取包的源地址和人接口,以源地址为目的地址,在转发表中查找源地址对应的接口是否与人接口匹配,如果不匹配,则认为源地址是伪装的,丢弃该包。其功能是防止基于源地址欺骗的网络攻击行为.
标准图片预览
标准内容
ICS 35.040
中华人民共和国公共安全行业标准GA/T 682—2007
信息安全技术
路由器安全技术要求
Information security technologyTechnical requirements for router security2007-03-20发布
中华人民共和国公安部
2007-05-01实施
规范性引用文件
3术语、定义和缩略语·
4第一级安全要求
4.1安全功能要求
自主访问控制
身份鉴别
安全管理
4.2安全保证要求
配置管理
4.2.2交付和运行
4.2.3开发
4.2.4指导性文档
生命周期支持
5第二级安全要求
5.1安全功能要求
5.1.1自主访问控制
5.1.2身份鉴别
安全管理
简单网络管理协议的保护
单播逆向路径转发功能
可靠性
5.1.8路由认证
5.2安全保证要求
配置管理
交付和运行
指导性文档
5.2.5生命周期支持
5.2.6测试
5.2.7脆弱性评定
6第三级安全要求
6.1安全功能要求
6.1.1自主访问控制
......
电电电国
-T KAON KAca-
.......
GA/T 682—2007免费标准bzxz.net
GA/T 682—2007
身份鉴别
数据保护
安全管理
6.1.5审计
6.1.6简单网络管理协议的保护
6.1.7单播逆向路径转发功能
6.1.8远程管理安全
6.1.9可靠性
6.1.10路由认证·
6.2安全保证要求
配置管理
交付和运行
6.2.3开发
6.2.4指导性文档
6.2.5生命周期支持
6.2.6测试
脆弱性评定
7附加安全功能
7.1网络访问控制功能
7.2虚拟专网功能
防火墙防护功能
7.4人侵检测功能
附录A(资料性附录)
参考文献
安全要求对照表
电+电
电电光电电
GA/T682—2007
本标准与GB/T20011—2005《信息安全技术路由器安全评估准则》均为与路由器有关的信息安全标准,两者的基本区别是,前者主要适用于指导路由器产品安全性的设计和实现,后者主要适用于路由器安全等级的评估。
本标准的附录 A 为资料性附录。本标准由公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:中国科学院研究生院信息安全国家重点实验室。本标准主要起草人:戴英侠、左晓栋、何申。kAoNiKAca-
GA/T682-2007
路由器是重要的网络互连设备,制定路由器安全技术要求对于指导路由器产品安全性的设计和实现,保障网络安全具有重要的意义。本标准分三个等级规定了路由器的安全技术要求。安全等级由低到高,安全要求逐级增强。本标准与GB17859一1999《计算机信息系统安全保护等级划分准则》的对应关系是,第一级对应用户自主保护级,第二级对应系统审计保护级,第三级对应安全标记保护级。本标准文本中,加粗字体表示较低等级中没有出现或增强的技术要求。V
1范围
信息安全技术
路由器安全技术要求
本标准分等级规定了路由器的安全功能要求和安全保证要求。GA/T 682--2007
本标准适用于路由器产品安全性的设计和实现,对路由器产品进行的测试、评估和管理也可参照使用。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB17859-1999计算机信息系统安全保护等级划分准则GB/T18336.1一2001信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型
3术语、定义和缩略语
3.1术语和定义
GB17859—1999和GB/T18336.1—2001确立的以及下列术语和定义适用于本标准。3.1.1
路由器
router
网络节点设备,工作在网络层,通过路由选择算法决定流经数据的存储转发,并具备访问控制和安全扩展功能。
简单网络管理协议simple network management protocol简单网络管理协议(SNMP)是一系列协议组和规范,提供了一种从网络上的设备中收集网络管理信息的方法,也为设备向网络管理工作站报告问题和错误提供了一种方法。3.1.3
单播逆向路径转发unicast reverse path forwarding单播逆向路径转发(URPF)通过获取包的源地址和人接口,以源地址为目的地址,在转发表中查找源地址对应的接口是否与人接口匹配,如果不匹配,则认为源地址是伪装的,丢弃该包。其功能是防止基于源地址欺骗的网络攻击行为。3.2缩略语
下列缩略语适用于本标准。
Access Control List访问控制列表ApplicationLayerGateway应用网关Instrusion Detection System人侵检测系统Internet Protocol Security Internet 协议安全Multi-ProtocolLabelSwitching多协议标记交换1
KAONr KAca-
GA/T 682—2007
NAT/PAT
址转换
Network Address Translation/Port Address Translation 网络地址转换/端口地SimpleNetwork Management Protocol简单网络管理协议Unicast ReversePath Forwarding单播逆向路径转发VirtualRouterRedundancyProtocol虚拟路由穴余协议Virtual PrivateNetwork虚拟专用网4第一级安全要求
4.1安全功能要求
4.1.1自主访问控制
路由器应执行自主访问控制策略,通过管理员属性表,控制不同管理员对路由器的配置数据和其他数据的查看、修改,以及对路由器上程序的执行,阻止非授权人员进行上述活动。4.1.2身份鉴别
4.1.2.1管理员鉴别
在管理员进人系统会话之前,路由器应鉴别管理员身份。鉴别时采用口令机制,并在每次登录系统时进行。口令应是不可见的,并在存储和传输时加密保护。当进行鉴别时,路由器应仅将最少的反馈(如:打入的字符数,鉴别的成功或失败)提供给被鉴别人员。
4.1.2.2鉴别失败处理
在经过一定次数的鉴别失败以后,路由器应锁定该帐号。最多失败次数仅由授权管理员设定。4.1.3安全管理
4.1.3.1权限管理
路由器应能够设置多个角色,具备划分管理员级别和规定相关权限(如监视、维护配置等)的能力,能够限定每个管理员的管理范围和权限,防止非授权登录和非授权操作。4.1.3.2安全属性管理
路由器应为管理员提供对安全功能进行控制管理的功能,这些管理包括:a)与对应的路由器自主访问控制、鉴别和安全保证技术相关的功能的管理。b)与一般的安装和配置有关的功能的管理。路由器的安全配置参数要有初始值。路由器安装后,安全功能应能及时提醒管理员修改配置,并能周期性地提醒管理员维护配置。4.2安全保证要求
4.2.1配置管理
开发者应设计和实现路由器配置管理,为产品的不同版本提供唯一一的标识,且产品的每个版本应当使用其唯一标识作为标签。
4.2.2交付和运行
开发者应以文档形式对路由器安全交付以及安装和启动过程进行说明。文档中应包括:a)对安全地将路由器交付给用户的说明;b)对安全地安装和启动路由器的说明。4.2.3开发
开发者应提供路由器功能设计,要求按非形式化功能设计的要求进行功能设计,以非形式方法描述安全功能及其外部接口,并描述使用外部安全功能接口的目的与方法。4.2.4指导性文栏
开发者应编制路由器的指导性文档,要求如下:a)文档中应该提供关于路由器的安全功能与接口、路由器的管理和配置、路由器的启动和操作、2
安全属性、警告信息的描述;
GA/T 682—2007
b)文档中不应包含任何一旦泄漏将会危及系统安全的信息,文档可以为硬拷贝、电子文档或联机文档。如果是联机文档,应控制对文档的访问。4.2.5生命周期支持
开发者应建立开发和维护路由器的生命周期模型,包括用于开发和维护路由器的程序、工具和技术。开发者应按其定义的生命周期模型进行开发,并提供生命周期定义文档,在文档中描述用于开发和维护路由器安全功能的生命周期模型。4.2.6测试
开发者应对路由器进行测试,要求如下:a)应进行一般功能测试,保证路由器能够满足所有安全功能的要求;b)保留并提供测试文档,详细描述测试计划、测试过程以及预测结果和实际测试结果。5第二级安全要求
5.1安全功能要求
5.1.1自主访问控制
路由器应执行自主访问控制策略,通过管理员属性表,控制不同管理员对路由器的配置数据和其他数据的查看、修改,以及对路由器上程序的执行,阻止非授权人员进行上述活动。5.1.2身份鉴别
5.1.2.1管理员鉴别
在管理员进人系统会话之前,路由器应鉴别管理员身份。鉴别时采用口令机制,并在每次登录系统时进行。口令应是不可见的,并在存储和传输时加密保护。当进行鉴别时,路由器应仅将最少的反馈(如:打入的字符数,鉴别的成功或失败)提供给被鉴别人员。
5.1.2.2鉴别失败处理
在经过一定次数的鉴别失败以后,路由器应锁定该帐号。最多失败次数仅由授权管理员设定。5.1.2.3超时锁定
路由器应具有登录超时锁定功能。在设定的时间段内没有任何操作的情况下终止会话,需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。5.1.2.4会话锁定
路由器应为管理员提供锁定自已的交互会话的功能,锁定后需要再次进行身份鉴别才能够重新管理路由器。
5.1.2.5登录历史
路由器应具有登录历史功能,为登录人员提供系统登录活动的有关信息,使登录人员识别入侵的企图。成功通过鉴别并登录系统后,路由器应显示如下数据:日期、时间、来源和上次成功登录系统的情况;—上次成功登录系统以来身份鉴别失败的情况;一口令距失效日期的天数。
5.1.3安全管理
5.1.3.1权限管理
路由器应能够设置多个角色,具备划分管理员级别和规定相关权限(如监视、维护配置等)的能力,能够限定每个管理员的管理范围和权限,防止非授权登录和非授权操作。5.1.3.2安全属性管理
路由器应为管理员提供对安全功能进行控制管理的功能,这些管理包括:3
H KAoNi KAca-
GA/T 682—2007
a)与对应的路由器自主访问控制、鉴别和安全保证技术相关的功能的管理;b)与一般的安装和配置有关的功能的管理。路由器的安全配置参数要有初始值。路由器安装后,安全功能应能及时提醒管理员修改配置,并能周期性地提醒管理员维护配置。5.1.4审计
5.1.4.1审计数据生成
路由器应具有审计功能,至少能够审计以下行为:审计功能的启动和终止;
—账户管理;
—登录事件;
—系统事件;
-配置文件的修改。
路由器应为可审计行为生成审计记录,并在每一个审计记录中至少记录以下信息:-事件发生的日期和时间;
事件的类型;
一管理员身份,
事件的结果(成功或失败)。
5.1.4.2审计数据查阅
路由器应为授权管理员提供从审计记录中读取审计信息的能力,为管理员提供的审计记录具有唯一、明确的定义和方便阅读的格式。5.1.4.3审计数据保护
路由器应能保护已存储的审计记录,避免未经授权的删除,并能监测和防止对审计记录的修改。当审计存储耗尽、失败或受到攻击时,路由器应确保最近的审计记录在一定的时间内不会被破坏。5.1.5简单网络管理协议的保护
路由器应支持SNMPV3。
路由器可通过设置SNMPCommunity参数,采用ACL(访问控制列表)保护SNMP访问权限。5.1.6单播逆向路径转发功能
路由器应具备URPF功能,在网络边界阻断源IP地址欺骗的攻击。5.1.7可靠性
路由器应提供可靠性保证,具有部分穴余设计性能。支持插卡、接口、电源等部件的允余与热插拔能力。
5.1.8路由认证
路由器使用的路由协议应支持路由认证功能,以保证路由是由合法的路由器发出的,并且在发出的过程中没有被改变。
5.2安全保证要求
5.2.1配置管理
开发者应设计和实现路由器配置管理,要求如下:a)开发者应使用配置管理系统,并提供配置管理文档,为产品的不同版本提供唯一的标识,且产品的每个版本应当使用其唯一标识作为标签。b)配置管理范围至少应包括路由器的产品实现表示、设计文档、测试文档、用户文档、配置管理,从而确保它们的修改是在一个正确授权的可控方式下进行的。配置管理文档至少应能跟踪上述内容,并描述配置管理系统是如何跟踪这些配置项的。5.2.2交付和运行
开发者应以文档形式对路由器安全交付以及安装和启动过程进行说明。文档中应包括:4
a)对安全地将路由器交付给用户的说明;b)对安全地安装和启动路由器的说明。5.2.3开发
开发者应提供路由器功能规范,要求如下:GA/T 682—2007
a)按非形式化功能设计的要求进行功能设计,以非形式方法描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法。提供路由器安全功能的高层设计。高层设计应按子系统描述安全功能及其结构,并标识安全b)
功能子系统的所有接口。高层设计还应标识实现安全功能所要求的基础性的硬件、固件和软件。
开发者应提供路由器安全功能的功能设计与高层设计之间的非形式化对应性分析,该分析应证明功能设计表示的所有相关安全功能都在高层设计中得到正确且完备的细化。5.2.4指导性文档
开发者应编制路由器的指导性文档,要求如下:文档中应该提供关于路由器的安全功能与接口、路由器的管理和配置、路由器的启动和操作、a)
安全属性、警告信息、审计工具的描述。b)文档中不应包含任何一旦泄漏将会危及系统安全的信息,文档可以为硬拷贝、电子文档或联机文档。如果是联机文档,应控制对文档的访问。5.2.5生命周期支持
开发者应建立开发和维护路由器的生命周期模型,即用于开发和维护路由器的程序、工具和技术。要求如下:
a)开发者应按其定义的生命周期模型进行开发,并提供生命周期定义文档,在文档中描述用于开发和维护路由器安全功能的生命周期模型;该模型对于路由器开发和维护应提供必要的控制,采用物理上、程序上、人员上以及其他方面b)i
的安全措施保护路由器开发环境的安全,包括场地的物理安全和对开发人员的选择,并采取适当的防护措施来消除或降低路由器开发所面临的安全威胁。5.2.6测试
开发者应对路由器进行测试,要求如下:a)应进行一般功能测试,保证路由器能够满足所有安全功能的要求。b)应提供测试深度的分析。在深度分析中,应论证测试文档中所标识的对安全功能的测试足以表明该安全功能的运行与高层设计是一致的。应进行相符性独立测试,由专业第三方独立实验室或消费者组织实施测试,确认路由器能够满c)A
足所有安全功能的要求。
d)保留并提供测试文档,详细描述测试计划、测试过程以及预测结果和实际测试结果。5.2.7脆弱性评定
开发者应提供指导性文档和分析文档,在文档中确定对路由器的所有可能的操作方式(包括失败和操作失误后的操作)的后果以及对于保持安全操作的意义,并列出所有目标环境的假设和所有的外部安全措施(包括外部程序的、物理的或人员控制)要求。所述内容应是完备、清晰、一致和合理的。开发者应对具有安全功能强度声明的安全机制(例如口令机制)进行安全功能强度分析。安全功能强度分析应证明安全机制达到了所声明的强度。开发者应实施脆弱性分析,并提供脆弱性分布的文档。对所有已标识的脆弱性,文档应说明它们在所期望的路由器使用环境中不能被利用。文档还应说明如何确保用户能够得到最新的安全补丁。脆弱性分析文档中应包含对所使用协议的脆弱性分析。5
HKAoNKAca
GA/T 682--2007
6第三级安全要求
6.1安全功能要求
6.1.1自主访问控制
路由器应执行自主访问控制策略,通过管理员属性表,控制不同管理员对路由器的配置数据和其他数据的查看、修改,以及对路由器上程序的执行,阻止非授权人员进行上述活动。6.1.2身份鉴别
6.1.2.1管理员鉴别
在管理员进入系统会话之前,路由器应鉴别管理员身份。鉴别时除采用口令机制,还应有更加严格的身份鉴别,如采用智能IC卡、指纹等机制,并在每次登录系统时进行。口令应是不可见的,并在存储和传输时加密保护。
当进行鉴别时,路由器应仅将最少的反馈(如:打入的字符数,鉴别的成功或失败)提供给被鉴别人员。
6.1.2.2鉴别失败处理
在经过一定次数的鉴别失败以后,路由器应锁定该帐号。最多失败次数仅由授权管理员设定。6.1.2.3超时锁定
路由器应具有登录超时锁定功能。在设定的时间段内没有任何操作的情况下终止会话,需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。6.1.2.4会话锁定
路由器应为管理员提供锁定自已的交互会话的功能,锁定后需要再次进行身份鉴别才能够重新管理路由器。
6.1.2.5登录历史
路由器应具有登录历史功能,为登录人员提供系统登录活动的有关信息,使登录人员识别人侵的企图。成功通过鉴别并登录系统后,路由器应显示如下数据:—一日期、时间、来源和上次成功登录系统的情况;一上次成功登录系统以来身份鉴别失败的情况,一口令距失效日期的天数。
6.1.3数据保护
路由器应具有数据完整性功能,对系统中的信息采取有效措施,防止其遭受非授权人员的修改、破坏和删除。
6.1.4安全管理
6.1.4.1权限管理
路由器应能够设置多个角色,具备划分管理员级别和规定相关权限(如监视、维护配置等)的能力,能够限定每个管理员的管理范围和权限,防止非授权登录和非授权操作。6.1.4.2安全属性管理
路由器应为管理员提供对安全功能进行控制管理的功能,这些管理包括:a)与对应的路由器自主访问控制、鉴别、数据完整性和安全保证技术相关的功能的管理。b)与一般的安装和配置有关的功能的管理。路由器的安全配置参数要有初始值。路由器安装后,安全功能应能及时提醒管理员修改配置,并能周期性地提醒管理员维护配置。6.1.5审计
6.1.5.1审计数据生成
路由器应具有审计功能,至少能够审计以下行为:审计功能的启动和终止;
账户管理;
一登录事件;
一系统事件;
一配置文件的修改。
GA/T 682—2007
路由器应为可审计行为生成审计记录,并在每一个审计记录中至少记录以下信息:-事件发生的日期和时间;
一事件的类型;
管理员身份;
事件的结果(成功或失败)。
6.1.5.2审计数据查阅
路由器应为授权管理员提供从审计记录中读取审计信息的能力,为管理员提供的审计记录具有唯、明确的定义和方便阅读的格式。6.1.5.3审计数据保护
路由器应能保护已存储的审计记录,避免未经授权的删除,并能监测和防止对审计记录的修改。当审计存储耗尽、失败或受到攻击时,路由器应确保最近的审计记录在一定的时间内不会被破坏。6.1.5.4潜在侵害分析
路由器应能监控可审计行为,并指出潜在的侵害。路由器应在检测到可能有安全侵害发生时做出响应,如:通知管理员,向管理员提供一组遏制侵害的或采取矫正的行动。
6.1.6简单网络管理协议的保护
路由器应支持SNMPV3。
路由器可通过设置SNMPCommunity参数,采用ACL(访问控制列表)保护SNMP访问权限。路由器应支持对 SNMP访问的认证功能,能够监测并阻断对管理信息模块(MIB)的非授权访问能够防范对于SNMP的拒绝服务攻击。SNMP认证失败时,路由器应向陷消息接收工作站发送认证失败消息。
6.1.7单播逆向路径转发功能
路由器具备URPF功能,在网络边界来阻断伪造源地址IP的攻击。6.1.8远程管理安全
路由器应提供对远程会话保密性的保护功能,并提供关闭远程管理功能和管理员认为不必要服务的能力,且缺省是关闭的。
6.1.9可靠性
路由器应具有全余设计,应确保无中断在线升级,支持插卡、接口、电源等部件的穴余与热插拔等功能,能够安装双引擎和双电源模块,具有故障定位与隔离及远程重启等功能。路由器可以通过虚拟路由元余协议(VRRP)组成路由器机群。6.1.10路由认证
路由器使用的路由协议应支持路由认证功能,以保证路由是由合法的路由器发出的,并且在发出的过程中没有被改变。
6.2安全保证要求
6.2.1配置管理
开发者应设计和实现路由器配置管理,要求如下:a)开发者应使用配置管理系统,并提供配置管理文档,为产品的不同版本提供唯一的标识,且产品的每个版本应当使用其唯一标识作为标签。b)配置管理范围至少应包括路由器的产品实现表示、设计文档、测试文档、用户文档、配置管理,HiKAoNiKAca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国公共安全行业标准GA/T 682—2007
信息安全技术
路由器安全技术要求
Information security technologyTechnical requirements for router security2007-03-20发布
中华人民共和国公安部
2007-05-01实施
规范性引用文件
3术语、定义和缩略语·
4第一级安全要求
4.1安全功能要求
自主访问控制
身份鉴别
安全管理
4.2安全保证要求
配置管理
4.2.2交付和运行
4.2.3开发
4.2.4指导性文档
生命周期支持
5第二级安全要求
5.1安全功能要求
5.1.1自主访问控制
5.1.2身份鉴别
安全管理
简单网络管理协议的保护
单播逆向路径转发功能
可靠性
5.1.8路由认证
5.2安全保证要求
配置管理
交付和运行
指导性文档
5.2.5生命周期支持
5.2.6测试
5.2.7脆弱性评定
6第三级安全要求
6.1安全功能要求
6.1.1自主访问控制
......
电电电国
-T KAON KAca-
.......
GA/T 682—2007免费标准bzxz.net
GA/T 682—2007
身份鉴别
数据保护
安全管理
6.1.5审计
6.1.6简单网络管理协议的保护
6.1.7单播逆向路径转发功能
6.1.8远程管理安全
6.1.9可靠性
6.1.10路由认证·
6.2安全保证要求
配置管理
交付和运行
6.2.3开发
6.2.4指导性文档
6.2.5生命周期支持
6.2.6测试
脆弱性评定
7附加安全功能
7.1网络访问控制功能
7.2虚拟专网功能
防火墙防护功能
7.4人侵检测功能
附录A(资料性附录)
参考文献
安全要求对照表
电+电
电电光电电
GA/T682—2007
本标准与GB/T20011—2005《信息安全技术路由器安全评估准则》均为与路由器有关的信息安全标准,两者的基本区别是,前者主要适用于指导路由器产品安全性的设计和实现,后者主要适用于路由器安全等级的评估。
本标准的附录 A 为资料性附录。本标准由公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:中国科学院研究生院信息安全国家重点实验室。本标准主要起草人:戴英侠、左晓栋、何申。kAoNiKAca-
GA/T682-2007
路由器是重要的网络互连设备,制定路由器安全技术要求对于指导路由器产品安全性的设计和实现,保障网络安全具有重要的意义。本标准分三个等级规定了路由器的安全技术要求。安全等级由低到高,安全要求逐级增强。本标准与GB17859一1999《计算机信息系统安全保护等级划分准则》的对应关系是,第一级对应用户自主保护级,第二级对应系统审计保护级,第三级对应安全标记保护级。本标准文本中,加粗字体表示较低等级中没有出现或增强的技术要求。V
1范围
信息安全技术
路由器安全技术要求
本标准分等级规定了路由器的安全功能要求和安全保证要求。GA/T 682--2007
本标准适用于路由器产品安全性的设计和实现,对路由器产品进行的测试、评估和管理也可参照使用。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB17859-1999计算机信息系统安全保护等级划分准则GB/T18336.1一2001信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型
3术语、定义和缩略语
3.1术语和定义
GB17859—1999和GB/T18336.1—2001确立的以及下列术语和定义适用于本标准。3.1.1
路由器
router
网络节点设备,工作在网络层,通过路由选择算法决定流经数据的存储转发,并具备访问控制和安全扩展功能。
简单网络管理协议simple network management protocol简单网络管理协议(SNMP)是一系列协议组和规范,提供了一种从网络上的设备中收集网络管理信息的方法,也为设备向网络管理工作站报告问题和错误提供了一种方法。3.1.3
单播逆向路径转发unicast reverse path forwarding单播逆向路径转发(URPF)通过获取包的源地址和人接口,以源地址为目的地址,在转发表中查找源地址对应的接口是否与人接口匹配,如果不匹配,则认为源地址是伪装的,丢弃该包。其功能是防止基于源地址欺骗的网络攻击行为。3.2缩略语
下列缩略语适用于本标准。
Access Control List访问控制列表ApplicationLayerGateway应用网关Instrusion Detection System人侵检测系统Internet Protocol Security Internet 协议安全Multi-ProtocolLabelSwitching多协议标记交换1
KAONr KAca-
GA/T 682—2007
NAT/PAT
址转换
Network Address Translation/Port Address Translation 网络地址转换/端口地SimpleNetwork Management Protocol简单网络管理协议Unicast ReversePath Forwarding单播逆向路径转发VirtualRouterRedundancyProtocol虚拟路由穴余协议Virtual PrivateNetwork虚拟专用网4第一级安全要求
4.1安全功能要求
4.1.1自主访问控制
路由器应执行自主访问控制策略,通过管理员属性表,控制不同管理员对路由器的配置数据和其他数据的查看、修改,以及对路由器上程序的执行,阻止非授权人员进行上述活动。4.1.2身份鉴别
4.1.2.1管理员鉴别
在管理员进人系统会话之前,路由器应鉴别管理员身份。鉴别时采用口令机制,并在每次登录系统时进行。口令应是不可见的,并在存储和传输时加密保护。当进行鉴别时,路由器应仅将最少的反馈(如:打入的字符数,鉴别的成功或失败)提供给被鉴别人员。
4.1.2.2鉴别失败处理
在经过一定次数的鉴别失败以后,路由器应锁定该帐号。最多失败次数仅由授权管理员设定。4.1.3安全管理
4.1.3.1权限管理
路由器应能够设置多个角色,具备划分管理员级别和规定相关权限(如监视、维护配置等)的能力,能够限定每个管理员的管理范围和权限,防止非授权登录和非授权操作。4.1.3.2安全属性管理
路由器应为管理员提供对安全功能进行控制管理的功能,这些管理包括:a)与对应的路由器自主访问控制、鉴别和安全保证技术相关的功能的管理。b)与一般的安装和配置有关的功能的管理。路由器的安全配置参数要有初始值。路由器安装后,安全功能应能及时提醒管理员修改配置,并能周期性地提醒管理员维护配置。4.2安全保证要求
4.2.1配置管理
开发者应设计和实现路由器配置管理,为产品的不同版本提供唯一一的标识,且产品的每个版本应当使用其唯一标识作为标签。
4.2.2交付和运行
开发者应以文档形式对路由器安全交付以及安装和启动过程进行说明。文档中应包括:a)对安全地将路由器交付给用户的说明;b)对安全地安装和启动路由器的说明。4.2.3开发
开发者应提供路由器功能设计,要求按非形式化功能设计的要求进行功能设计,以非形式方法描述安全功能及其外部接口,并描述使用外部安全功能接口的目的与方法。4.2.4指导性文栏
开发者应编制路由器的指导性文档,要求如下:a)文档中应该提供关于路由器的安全功能与接口、路由器的管理和配置、路由器的启动和操作、2
安全属性、警告信息的描述;
GA/T 682—2007
b)文档中不应包含任何一旦泄漏将会危及系统安全的信息,文档可以为硬拷贝、电子文档或联机文档。如果是联机文档,应控制对文档的访问。4.2.5生命周期支持
开发者应建立开发和维护路由器的生命周期模型,包括用于开发和维护路由器的程序、工具和技术。开发者应按其定义的生命周期模型进行开发,并提供生命周期定义文档,在文档中描述用于开发和维护路由器安全功能的生命周期模型。4.2.6测试
开发者应对路由器进行测试,要求如下:a)应进行一般功能测试,保证路由器能够满足所有安全功能的要求;b)保留并提供测试文档,详细描述测试计划、测试过程以及预测结果和实际测试结果。5第二级安全要求
5.1安全功能要求
5.1.1自主访问控制
路由器应执行自主访问控制策略,通过管理员属性表,控制不同管理员对路由器的配置数据和其他数据的查看、修改,以及对路由器上程序的执行,阻止非授权人员进行上述活动。5.1.2身份鉴别
5.1.2.1管理员鉴别
在管理员进人系统会话之前,路由器应鉴别管理员身份。鉴别时采用口令机制,并在每次登录系统时进行。口令应是不可见的,并在存储和传输时加密保护。当进行鉴别时,路由器应仅将最少的反馈(如:打入的字符数,鉴别的成功或失败)提供给被鉴别人员。
5.1.2.2鉴别失败处理
在经过一定次数的鉴别失败以后,路由器应锁定该帐号。最多失败次数仅由授权管理员设定。5.1.2.3超时锁定
路由器应具有登录超时锁定功能。在设定的时间段内没有任何操作的情况下终止会话,需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。5.1.2.4会话锁定
路由器应为管理员提供锁定自已的交互会话的功能,锁定后需要再次进行身份鉴别才能够重新管理路由器。
5.1.2.5登录历史
路由器应具有登录历史功能,为登录人员提供系统登录活动的有关信息,使登录人员识别入侵的企图。成功通过鉴别并登录系统后,路由器应显示如下数据:日期、时间、来源和上次成功登录系统的情况;—上次成功登录系统以来身份鉴别失败的情况;一口令距失效日期的天数。
5.1.3安全管理
5.1.3.1权限管理
路由器应能够设置多个角色,具备划分管理员级别和规定相关权限(如监视、维护配置等)的能力,能够限定每个管理员的管理范围和权限,防止非授权登录和非授权操作。5.1.3.2安全属性管理
路由器应为管理员提供对安全功能进行控制管理的功能,这些管理包括:3
H KAoNi KAca-
GA/T 682—2007
a)与对应的路由器自主访问控制、鉴别和安全保证技术相关的功能的管理;b)与一般的安装和配置有关的功能的管理。路由器的安全配置参数要有初始值。路由器安装后,安全功能应能及时提醒管理员修改配置,并能周期性地提醒管理员维护配置。5.1.4审计
5.1.4.1审计数据生成
路由器应具有审计功能,至少能够审计以下行为:审计功能的启动和终止;
—账户管理;
—登录事件;
—系统事件;
-配置文件的修改。
路由器应为可审计行为生成审计记录,并在每一个审计记录中至少记录以下信息:-事件发生的日期和时间;
事件的类型;
一管理员身份,
事件的结果(成功或失败)。
5.1.4.2审计数据查阅
路由器应为授权管理员提供从审计记录中读取审计信息的能力,为管理员提供的审计记录具有唯一、明确的定义和方便阅读的格式。5.1.4.3审计数据保护
路由器应能保护已存储的审计记录,避免未经授权的删除,并能监测和防止对审计记录的修改。当审计存储耗尽、失败或受到攻击时,路由器应确保最近的审计记录在一定的时间内不会被破坏。5.1.5简单网络管理协议的保护
路由器应支持SNMPV3。
路由器可通过设置SNMPCommunity参数,采用ACL(访问控制列表)保护SNMP访问权限。5.1.6单播逆向路径转发功能
路由器应具备URPF功能,在网络边界阻断源IP地址欺骗的攻击。5.1.7可靠性
路由器应提供可靠性保证,具有部分穴余设计性能。支持插卡、接口、电源等部件的允余与热插拔能力。
5.1.8路由认证
路由器使用的路由协议应支持路由认证功能,以保证路由是由合法的路由器发出的,并且在发出的过程中没有被改变。
5.2安全保证要求
5.2.1配置管理
开发者应设计和实现路由器配置管理,要求如下:a)开发者应使用配置管理系统,并提供配置管理文档,为产品的不同版本提供唯一的标识,且产品的每个版本应当使用其唯一标识作为标签。b)配置管理范围至少应包括路由器的产品实现表示、设计文档、测试文档、用户文档、配置管理,从而确保它们的修改是在一个正确授权的可控方式下进行的。配置管理文档至少应能跟踪上述内容,并描述配置管理系统是如何跟踪这些配置项的。5.2.2交付和运行
开发者应以文档形式对路由器安全交付以及安装和启动过程进行说明。文档中应包括:4
a)对安全地将路由器交付给用户的说明;b)对安全地安装和启动路由器的说明。5.2.3开发
开发者应提供路由器功能规范,要求如下:GA/T 682—2007
a)按非形式化功能设计的要求进行功能设计,以非形式方法描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法。提供路由器安全功能的高层设计。高层设计应按子系统描述安全功能及其结构,并标识安全b)
功能子系统的所有接口。高层设计还应标识实现安全功能所要求的基础性的硬件、固件和软件。
开发者应提供路由器安全功能的功能设计与高层设计之间的非形式化对应性分析,该分析应证明功能设计表示的所有相关安全功能都在高层设计中得到正确且完备的细化。5.2.4指导性文档
开发者应编制路由器的指导性文档,要求如下:文档中应该提供关于路由器的安全功能与接口、路由器的管理和配置、路由器的启动和操作、a)
安全属性、警告信息、审计工具的描述。b)文档中不应包含任何一旦泄漏将会危及系统安全的信息,文档可以为硬拷贝、电子文档或联机文档。如果是联机文档,应控制对文档的访问。5.2.5生命周期支持
开发者应建立开发和维护路由器的生命周期模型,即用于开发和维护路由器的程序、工具和技术。要求如下:
a)开发者应按其定义的生命周期模型进行开发,并提供生命周期定义文档,在文档中描述用于开发和维护路由器安全功能的生命周期模型;该模型对于路由器开发和维护应提供必要的控制,采用物理上、程序上、人员上以及其他方面b)i
的安全措施保护路由器开发环境的安全,包括场地的物理安全和对开发人员的选择,并采取适当的防护措施来消除或降低路由器开发所面临的安全威胁。5.2.6测试
开发者应对路由器进行测试,要求如下:a)应进行一般功能测试,保证路由器能够满足所有安全功能的要求。b)应提供测试深度的分析。在深度分析中,应论证测试文档中所标识的对安全功能的测试足以表明该安全功能的运行与高层设计是一致的。应进行相符性独立测试,由专业第三方独立实验室或消费者组织实施测试,确认路由器能够满c)A
足所有安全功能的要求。
d)保留并提供测试文档,详细描述测试计划、测试过程以及预测结果和实际测试结果。5.2.7脆弱性评定
开发者应提供指导性文档和分析文档,在文档中确定对路由器的所有可能的操作方式(包括失败和操作失误后的操作)的后果以及对于保持安全操作的意义,并列出所有目标环境的假设和所有的外部安全措施(包括外部程序的、物理的或人员控制)要求。所述内容应是完备、清晰、一致和合理的。开发者应对具有安全功能强度声明的安全机制(例如口令机制)进行安全功能强度分析。安全功能强度分析应证明安全机制达到了所声明的强度。开发者应实施脆弱性分析,并提供脆弱性分布的文档。对所有已标识的脆弱性,文档应说明它们在所期望的路由器使用环境中不能被利用。文档还应说明如何确保用户能够得到最新的安全补丁。脆弱性分析文档中应包含对所使用协议的脆弱性分析。5
HKAoNKAca
GA/T 682--2007
6第三级安全要求
6.1安全功能要求
6.1.1自主访问控制
路由器应执行自主访问控制策略,通过管理员属性表,控制不同管理员对路由器的配置数据和其他数据的查看、修改,以及对路由器上程序的执行,阻止非授权人员进行上述活动。6.1.2身份鉴别
6.1.2.1管理员鉴别
在管理员进入系统会话之前,路由器应鉴别管理员身份。鉴别时除采用口令机制,还应有更加严格的身份鉴别,如采用智能IC卡、指纹等机制,并在每次登录系统时进行。口令应是不可见的,并在存储和传输时加密保护。
当进行鉴别时,路由器应仅将最少的反馈(如:打入的字符数,鉴别的成功或失败)提供给被鉴别人员。
6.1.2.2鉴别失败处理
在经过一定次数的鉴别失败以后,路由器应锁定该帐号。最多失败次数仅由授权管理员设定。6.1.2.3超时锁定
路由器应具有登录超时锁定功能。在设定的时间段内没有任何操作的情况下终止会话,需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。6.1.2.4会话锁定
路由器应为管理员提供锁定自已的交互会话的功能,锁定后需要再次进行身份鉴别才能够重新管理路由器。
6.1.2.5登录历史
路由器应具有登录历史功能,为登录人员提供系统登录活动的有关信息,使登录人员识别人侵的企图。成功通过鉴别并登录系统后,路由器应显示如下数据:—一日期、时间、来源和上次成功登录系统的情况;一上次成功登录系统以来身份鉴别失败的情况,一口令距失效日期的天数。
6.1.3数据保护
路由器应具有数据完整性功能,对系统中的信息采取有效措施,防止其遭受非授权人员的修改、破坏和删除。
6.1.4安全管理
6.1.4.1权限管理
路由器应能够设置多个角色,具备划分管理员级别和规定相关权限(如监视、维护配置等)的能力,能够限定每个管理员的管理范围和权限,防止非授权登录和非授权操作。6.1.4.2安全属性管理
路由器应为管理员提供对安全功能进行控制管理的功能,这些管理包括:a)与对应的路由器自主访问控制、鉴别、数据完整性和安全保证技术相关的功能的管理。b)与一般的安装和配置有关的功能的管理。路由器的安全配置参数要有初始值。路由器安装后,安全功能应能及时提醒管理员修改配置,并能周期性地提醒管理员维护配置。6.1.5审计
6.1.5.1审计数据生成
路由器应具有审计功能,至少能够审计以下行为:审计功能的启动和终止;
账户管理;
一登录事件;
一系统事件;
一配置文件的修改。
GA/T 682—2007
路由器应为可审计行为生成审计记录,并在每一个审计记录中至少记录以下信息:-事件发生的日期和时间;
一事件的类型;
管理员身份;
事件的结果(成功或失败)。
6.1.5.2审计数据查阅
路由器应为授权管理员提供从审计记录中读取审计信息的能力,为管理员提供的审计记录具有唯、明确的定义和方便阅读的格式。6.1.5.3审计数据保护
路由器应能保护已存储的审计记录,避免未经授权的删除,并能监测和防止对审计记录的修改。当审计存储耗尽、失败或受到攻击时,路由器应确保最近的审计记录在一定的时间内不会被破坏。6.1.5.4潜在侵害分析
路由器应能监控可审计行为,并指出潜在的侵害。路由器应在检测到可能有安全侵害发生时做出响应,如:通知管理员,向管理员提供一组遏制侵害的或采取矫正的行动。
6.1.6简单网络管理协议的保护
路由器应支持SNMPV3。
路由器可通过设置SNMPCommunity参数,采用ACL(访问控制列表)保护SNMP访问权限。路由器应支持对 SNMP访问的认证功能,能够监测并阻断对管理信息模块(MIB)的非授权访问能够防范对于SNMP的拒绝服务攻击。SNMP认证失败时,路由器应向陷消息接收工作站发送认证失败消息。
6.1.7单播逆向路径转发功能
路由器具备URPF功能,在网络边界来阻断伪造源地址IP的攻击。6.1.8远程管理安全
路由器应提供对远程会话保密性的保护功能,并提供关闭远程管理功能和管理员认为不必要服务的能力,且缺省是关闭的。
6.1.9可靠性
路由器应具有全余设计,应确保无中断在线升级,支持插卡、接口、电源等部件的穴余与热插拔等功能,能够安装双引擎和双电源模块,具有故障定位与隔离及远程重启等功能。路由器可以通过虚拟路由元余协议(VRRP)组成路由器机群。6.1.10路由认证
路由器使用的路由协议应支持路由认证功能,以保证路由是由合法的路由器发出的,并且在发出的过程中没有被改变。
6.2安全保证要求
6.2.1配置管理
开发者应设计和实现路由器配置管理,要求如下:a)开发者应使用配置管理系统,并提供配置管理文档,为产品的不同版本提供唯一的标识,且产品的每个版本应当使用其唯一标识作为标签。b)配置管理范围至少应包括路由器的产品实现表示、设计文档、测试文档、用户文档、配置管理,HiKAoNiKAca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。