2019智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求

智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求II目 次范圍 1規(guī)性用件 1術(shù)和義 1安技要求 1備件系軟安全 1務(wù)能全 3管全 4用件全 6分安要求 6附錄A資性錄）智能關(guān)型用景意圖 11附錄B資性錄）典型能印識(shí) 1211智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求范圍GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)GB/T25069-2010中界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1智能網(wǎng)關(guān)設(shè)備Intelligentgatewaydevice/APP（22式，包括用戶不可管理的帳號(hào)、人機(jī)接口以及可遠(yuǎn)程訪問(wèn)的機(jī)機(jī)接口的硬編碼口令；Z。WLANZigbeeWANWANWEBAPPWLANWPA2/PSKAES-128SM4WPA3AES-192JTAGTelnetFTPSSHv1.x、tftpSNMPv2cDNSWANWANTR069WAN（90）（）TR069,30DHCPfloodDHCP應(yīng)答DNSfloodDNS33NTPfloodNTPSYNfloodSYNMACMACIPIPIPIPTCP/UDP/ICMP2TOS/DSCPDMZ（TR069、USB（ADB）（）（建）WANLANTR069電。44IPv4/v6，ICMP，TCP，UDPSSH/TelnetHTTP/HTTPSSNMP、FTP/SFTP）DHCP，ARP，IGMP）APPWANIGMPQuery（Z），INTERNET（如用VLAN隔離）。在此配置下，通過(guò)LAN側(cè)端口應(yīng)不能訪問(wèn)語(yǔ)音業(yè)務(wù)；WLANWEBAWEBASSH8、55MACMAC（LANWLAN）30WEB設(shè)備支持WEB管理方式時(shí)：WEBHTTPSWEBHTTPS.2WEBWEB192CookieCookieCookieWEBTelnet設(shè)備支持Telnet管理方式時(shí)：Telnet.2telnetSNMP支持SNMP管理方式時(shí)：SNMPv3；SNMPv3noauth_noprivCommunity4.3.1d）4.3.2/）MIBOID）ACL（）SNMPSNMPSNMPTR069設(shè)備支持TR069管理方式時(shí)：SSL/TLSWWW-AuthenticationTR069TR069WAN66增加（DNS、IP）；重啟（）；）；）；）；其他）；500ADB各安全能力等級(jí)對(duì)應(yīng)的安全要求詳見表1。一級(jí)：對(duì)應(yīng)智能網(wǎng)關(guān)設(shè)備第一級(jí)安全能力要求，共包含74項(xiàng)安全要求；二級(jí)：對(duì)應(yīng)智能網(wǎng)關(guān)設(shè)備第二級(jí)安全能力要求，共包含108項(xiàng)安全要求；三級(jí)：對(duì)應(yīng)智能網(wǎng)關(guān)設(shè)備第三級(jí)安全能力要求，共包含134項(xiàng)安全要求。77表1智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求與安全等級(jí)對(duì)應(yīng)關(guān)系表安全技術(shù)要求安全等級(jí)一級(jí)二級(jí)三級(jí)每級(jí)需支持的功能項(xiàng)數(shù)量741081344.1設(shè)備硬件和系統(tǒng)軟件安全4.1.1標(biāo)識(shí)安全4.1.1a）整機(jī)唯一性標(biāo)識(shí)√√√4.1.1b）版本唯一性標(biāo)識(shí)√√√4.1.1c）禁止明文顯示敏感信息√√4.1.1d）標(biāo)識(shí)物理接口√√√4.1.1e）不應(yīng)存在功能絲印標(biāo)識(shí)√4.1.2接口安全4.1.2a）隱藏后門安全√√√4.1.2b）接入認(rèn)證機(jī)制√√√4.1.2c）無(wú)線通信網(wǎng)絡(luò)開關(guān)功能√√√4.1.2d）遠(yuǎn)程管理開關(guān)功能√√4.1.2e）WLAN方式接入設(shè)備要求1）√√√2）√√3）√4.1.3硬件安全4.1.3a）默認(rèn)禁用調(diào)試端口√√√4.1.3b）測(cè)試芯片接口安全防護(hù)√4.1.4開放端口和服務(wù)安全4.1.4a）開放端口功能√√√4.1.4b）最小開放原則√√4.1.4c）禁止繞過(guò)認(rèn)證√√√4.1.4d）源端口號(hào)應(yīng)為變化值√4.1.4e）非明文數(shù)據(jù)傳輸協(xié)議√√√4.1.4f）TR069功能隔離√√√4.1.5漏洞安全4.1.5a）認(rèn)證前提示信息√√√4.1.5b）中高危漏洞√√√4.1.5c）安全風(fēng)險(xiǎn)告知√√√4.1.5d）不包含惡意程序√√√4.1.6常見攻擊防護(hù)安全4.1.6a）拒絕服務(wù)類攻擊√4.1.6b）防火墻功能√4.1.6c）支持DMZ√√4.1.6d）防范用戶憑證猜解攻擊1）√√√2）√√3）√4.1.6e）防端口掃描功能√√4.1.6f）插件資源權(quán)限限制功能√4.1.7系統(tǒng)4.1.7a）本地或遠(yuǎn)程升級(jí)√√√88安全技術(shù)要求安全等級(jí)一級(jí)二級(jí)三級(jí)升級(jí)安全4.1.7b）斷網(wǎng)和軟件錯(cuò)誤可恢復(fù)√√4.1.7c）斷電恢復(fù)√4.1.7d）數(shù)據(jù)加密傳輸√√√4.1.7e）禁止非授權(quán)用戶修改系統(tǒng)√√√4.1.7f）完整性保護(hù)機(jī)制√√√4.1.7g）軟件鏡像主備分區(qū)√4.1.7h）升級(jí)保護(hù)機(jī)制√√√4.1.7i）升級(jí)提示功能√√√4.2業(yè)務(wù)功能安全4.2.1通信協(xié)議安全4.2.1a）防非法報(bào)文攻擊能力1）√√2）√4.2.1b）抑制廣播風(fēng)暴√√√4.2.1c）鑒權(quán)認(rèn)證√√√4.2.1d）密鑰交換協(xié)議√√4.2.2應(yīng)用業(yè)務(wù)安全4.2.2a）防止用戶做源的組播√√√4.2.2b）語(yǔ)音業(yè)務(wù)√√√4.2.2c）WLAN功能支持網(wǎng)絡(luò)隔離√4.3.1鑒別與授權(quán)4.3.1a）唯一性身份標(biāo)識(shí)和鑒別√√√4.3.1b）口令方式鑒別√√√4.3.1c）設(shè)置口令修改周期√4.3.1d）默認(rèn)口令√√√4.3.1e）登錄方式√√4.3.1f）一個(gè)用戶唯一登錄方式√√4.3.1g）口令復(fù)雜度檢查和提醒√√√4.3.1h）鑒別信息存儲(chǔ)顯示非明文處理√√√4.3.1i）鑒別信息傳輸非明文處理√√4.3.1j）鑒別信息后門安全√√√4.3.1k）空閑超時(shí)鎖定自動(dòng)退出√√√4.3.1l）鑒別信息安全保護(hù)√√4.3.1m）身份鑒別最少反饋√√√4.3.1n）登錄歷史功能√4.3.2訪問(wèn)控制安全4.3.2a）訪問(wèn)控制策略√√√4.3.2b）分級(jí)分權(quán)控制機(jī)制√4.3.2c）黑白名單配置√√4.3.2d）MAC地址的接入控制√√4.3.2e）重要功能訪問(wèn)控制√√√4.3.3WEBOpt4.3.3a）外部網(wǎng)絡(luò)支持HTTPS方式√√√4.3.3b）支持關(guān)閉啟用管理方式√√√4.3.3c）本地管理支持HTTPS方式√99安全技術(shù)要求安全等級(jí)一級(jí)二級(jí)三級(jí)4.3網(wǎng)管安全4.3.3d）身份鑒別與授權(quán)要求4.3.1a）√√√4.3.1b）√√√4.3.1c）√4.3.1d）√√√4.3.1e）√√4.3.1f）√√4.3.1g）√√√4.3.1h）√√√4.3.1i）√√4.3.1j）√√√4.3.1k）√√√4.3.1l）√√4.3.1m）√√√4.3.1n）√4.3.3e）訪問(wèn)控制安全要求4.3.2a）√√√4.3.2b）√4.3.2c）√√4.3.2d）√√4.3.2e）√√√4.3.3f）WEB應(yīng)用會(huì)話標(biāo)識(shí)√√4.3.3g）WEB訪問(wèn)日志√√√4.3.4Telnet管理安全Opt4.3.4a）默認(rèn)關(guān)閉狀態(tài)√√√4.3.4b）身份鑒別與授權(quán)要求4.3.1a）√√√4.3.1b）√√√4.3.1c）√4.3.1d）√√√4.3.1e）√√4.3.1f）√√4.3.1g）√√√4.3.1h）√√√4.3.1i）√√4.3.1j）√√√4.3.1k）√√√4.3.1l）√√4.3.1m）√√√4.3.1n）√4.3.4c）訪問(wèn)控制4.3.2a）√√√1010安全技術(shù)要求安全等級(jí)一級(jí)二級(jí)三級(jí)安全要求4.3.2b）√4.3.2c）√√4.3.2d）√√4.3.2e）√√√4.3.4d）記錄telnet訪問(wèn)日志√√√4.3.5SNMP管理安全Opt4.3.5a）SNMP管理方式√√√4.3.5b）Community復(fù)雜度√√√4.3.5c）訪問(wèn)控制要求√√√4.3.5d）SNMP訪問(wèn)日志√√√4.3.5e）認(rèn)證失敗信息√√4.3.5f）防拒絕服務(wù)攻擊√√4.3.6TR069遠(yuǎn)程管理安全Opt4.3.6a）接口安全√4.3.6b）記錄訪問(wèn)日志√4.3.6c）管理功能終結(jié)√4.3.6d）證書認(rèn)證功能√4.3.7日志審計(jì)安全4.3.7a）日志記錄功能1）~5）√√√6）~10）Opt√√4.3.7b）日志本地存儲(chǔ)√√√4.3.7c）日志存儲(chǔ)能力√4.3.7d）日志要素√√√4.3.7e）操作日志保護(hù)√√√4.3.7f）日志信息上傳√√4.3.7g）日志斷電不丟失√√√4.4應(yīng)用軟件安全4.4.1應(yīng)用安裝安全4.4.1a）防范安裝未經(jīng)認(rèn)證的應(yīng)用√√√4.4.1b）安卓系統(tǒng)應(yīng)用安全√√√4.4.2應(yīng)用數(shù)據(jù)安全4.4.2a）操作配置信息√√√4.4.2b）配置信息文件權(quán)限√√4.4.2c）收集用戶信息數(shù)據(jù)√√√注:表格中標(biāo)注Opt的表示該項(xiàng)目可能存在不適用情況。在標(biāo)注Opt的項(xiàng)目中，如設(shè)備未提供項(xiàng)目所述功能，則屬于不適用的情形。例如某設(shè)備未提供Telnet登錄功能，則“4.3.4Telnet管理安全”整項(xiàng)要求不適用于該設(shè)備。1111附錄A（資料性附錄）智能網(wǎng)關(guān)典型應(yīng)用場(chǎng)景示意圖A.1A.1LinuxWLAN