《信息安全技術(shù) 路由器安全技術(shù)要求》

ICS35.040

L80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T18018—201X

代替GB/T18018—2007

信息安全技術(shù)路由器安全技術(shù)要求

Informationsecuritytechnology—

Technicalrequirementforroutersecurity

點(diǎn)擊此處添加與國際標(biāo)準(zhǔn)一致性程度的標(biāo)識

（征求意見稿）

（v1.0）

XXXX-XX-XX發(fā)布-XX-XX實(shí)施

GB/TXXXXX—XXXX

前??言

本標(biāo)準(zhǔn)按照GB/T1.1－2009給出的規(guī)則起草。

本標(biāo)準(zhǔn)代替GB/T18018－2007《信息安全技術(shù)路由器安全技術(shù)要求》。

本標(biāo)準(zhǔn)與GB/T18018－2007的主要差異如下：

——“2規(guī)范性引用文件”進(jìn)行了更新；

——“3.2縮略語”中補(bǔ)充了內(nèi)容；

——“4第一級安全要求”中修改了“管理員鑒別”；

——“4第一級安全要求”中增加了“管理協(xié)議設(shè)置”、“4.1.4設(shè)備安全防護(hù)”和“4.1.5

安全功能保護(hù)”；

——“5第二級安全要求”中修改了“管理員鑒別”和“權(quán)限管理”；

——“5第二級安全要求”中增加了“管理協(xié)議設(shè)置”、“5.1.4設(shè)備安全防護(hù)”、“5.1.5

網(wǎng)絡(luò)安全防護(hù)”和“5.1.6安全功能保護(hù)”；

——“6第三級安全要求”中修改了“管理員鑒別”和“權(quán)限管理”；

——“6第三級安全要求”中增加了“設(shè)備登錄口令管理”、“證書驗(yàn)證”、“

數(shù)據(jù)存儲”、“數(shù)據(jù)傳輸”、“敏感數(shù)據(jù)”、“管理協(xié)議設(shè)置”、“6.1.5設(shè)備

安全防護(hù)”、“6.1.6網(wǎng)絡(luò)安全防護(hù)”和“6.1.7安全功能保護(hù)”；

——刪除了GB/T18018—2007的“5.1.8路由認(rèn)證”和“6.1.10路由認(rèn)證”；分別調(diào)整到本標(biāo)準(zhǔn)的

相應(yīng)章節(jié)之中。

——“附錄A”的“A.1安全功能要求對照表”中增加“設(shè)備安全防護(hù)”行及相應(yīng)的3個子行；

——“附錄A”的“A.1安全功能要求對照表”中增加“網(wǎng)絡(luò)安全防護(hù)”行及相應(yīng)的3個子行；

——“附錄A”的“A.1安全功能要求對照表”中的“身份鑒別”行中增加2個子行；

——“附錄A”的“A.1安全功能要求對照表”中的“數(shù)據(jù)保護(hù)”行中增加3個子行；

——“附錄A”的“A.1安全功能要求對照表”中的“安全管理”行中增加2個子行；

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）提出并歸口。

本標(biāo)準(zhǔn)起草單位：中國科學(xué)院軟件研究所、華為技術(shù)有限公司、新華三技術(shù)有限公司、邁普通信技

術(shù)股份有限公司、中國科學(xué)院信息工程研究所信息安全國家重點(diǎn)實(shí)驗(yàn)室、北京大學(xué)軟件與微電子學(xué)院。

本標(biāo)準(zhǔn)主要起草人：

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況：

——GB/T18018—1999

——GB/T18018—2007

1

GB/TXXXXX—XXXX

信息安全技術(shù)路由器安全技術(shù)要求

1范圍

本標(biāo)準(zhǔn)分等級規(guī)定了路由器的安全功能要求和安全保障要求。

本標(biāo)準(zhǔn)適用于指導(dǎo)路由器產(chǎn)品安全性的設(shè)計(jì)和實(shí)現(xiàn)，對路由器產(chǎn)品進(jìn)行的測試、評估和管理也可參

照使用。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB17859—2008計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則

GB/T18336信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則（GB/T18336-2015，ISO/IEC15408：

2009，IDT）

3術(shù)語和定義、縮略語

3.1術(shù)語和定義

GB17859—2008和GB/T18336—2015確立的術(shù)語和定義適用于本標(biāo)準(zhǔn)。

3.1.1

路由器router

路由器是主要的網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備，承載數(shù)據(jù)流量，通過路由選擇算法決定流經(jīng)數(shù)據(jù)的轉(zhuǎn)發(fā)處理，并可

以通過集成防火墻等功能模塊提供訪問控制和安全擴(kuò)展功能。

3.1.2

簡單網(wǎng)絡(luò)管理協(xié)議simplenetworkmanagementprotocol

簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）是一系列協(xié)議組和規(guī)范，提供了一種從網(wǎng)絡(luò)上的設(shè)備收集網(wǎng)絡(luò)管理信息

的方法，也為設(shè)備向網(wǎng)絡(luò)管理工作站報(bào)告問題和錯誤提供了一種方法。

3.1.3

單播逆向路徑轉(zhuǎn)發(fā)unicastreversepathforwarding

單播逆向路徑轉(zhuǎn)發(fā)通過獲取包的源地址和入接口，以源地址為目的地址，在轉(zhuǎn)發(fā)表中查找源地址對

應(yīng)的接口是否與入接口匹配，如果不匹配，則認(rèn)為源地址是偽裝的，丟棄該包。其功能是防止基于源地

址欺騙的網(wǎng)絡(luò)攻擊行為。

3.2縮略語

ACLAccessControlList訪問控制列表

ALGApplicationLayerGateway應(yīng)用層網(wǎng)關(guān)

HTTPSHyperTextTransferProtocoloverSecureSocketLayer安全套接字層超文本傳輸協(xié)議

IDSInstrusionDetectionSystem入侵檢測系統(tǒng)

2

GB/TXXXXX—XXXX

IKEInternetKeyExchangeProtocolInternet密鑰交換協(xié)議

IPSECInternetProtocolSecurityInternet協(xié)議安全

MPLSMulti-ProtocolLabelSwitching多協(xié)議標(biāo)記交換

NAT/PATNetworkAddressTranslation/PortAddressTranslation網(wǎng)絡(luò)地址轉(zhuǎn)換/端口地址轉(zhuǎn)換

RadiusRemoteAuthenticationDialInUserService遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)

SftpSecureFileTransferProtocol安全文件傳輸協(xié)議

SNMPSimpleNetworkManagementProtocol簡單網(wǎng)絡(luò)管理協(xié)議

SNMPV3SimpleNetworkManagementProtocolVersion3簡單網(wǎng)絡(luò)管理協(xié)議版本3

SSHSecureShell安全殼協(xié)議

SSL/TLSSecureSocketLayer/TransportLayerSecurity安全套接字層/傳輸層安全協(xié)議

TacacsTerminalAccessControllerAccessControlSystem終端訪問控制器訪問控制系統(tǒng)

URPFUnicastReversePathForwarding單播逆向路徑轉(zhuǎn)發(fā)

VRRPVirtualRouterRedundancyProtocol虛擬路由冗余協(xié)議

VPNVirtualPrivateNetwork虛擬專用網(wǎng)

4第一級安全要求

4.1安全功能要求

4.1.1自主訪問控制

路由器應(yīng)執(zhí)行自主訪問控制策略，通過管理員屬性表，控制不同管理員對路由器的配置數(shù)據(jù)和其他

數(shù)據(jù)的查看、修改，以及對路由器上程序的執(zhí)行，阻止非授權(quán)人員進(jìn)行上述活動。

4.1.2身份鑒別

管理員鑒別

在管理員進(jìn)入系統(tǒng)會話之前，路由器應(yīng)鑒別管理員的身份，鑒別時采用口令機(jī)制，并在每次登錄系

統(tǒng)時進(jìn)行。口令應(yīng)是不可見的，并在存儲和傳輸時加密保護(hù)。

當(dāng)進(jìn)行鑒別時，路由器應(yīng)僅將最少的反饋（如：打入的字符數(shù)，鑒別的成功或失敗）提供給被鑒別

人員。同時，反饋信息應(yīng)避免提示“用戶名錯誤”、“口令錯誤”等信息，避免攻擊者進(jìn)行用戶名或

口令的暴力猜解。

鑒別失敗處理

在經(jīng)過一定次數(shù)的鑒別失敗以后，路由器應(yīng)鎖定該賬號。最多失敗次數(shù)僅由授權(quán)管理員設(shè)定。

4.1.3安全管理

權(quán)限管理

路由器應(yīng)能夠設(shè)置多個角色，具備劃分管理員級別和規(guī)定相關(guān)權(quán)限（如監(jiān)視、維護(hù)配置等）的能力，

能夠限定每個管理員的管理范圍和權(quán)限，防止非授權(quán)登錄和非授權(quán)操作。

管理協(xié)議設(shè)置

路由器應(yīng)能配置和使用安全的協(xié)議對系統(tǒng)進(jìn)行管理控制。應(yīng)使用SSH,Sftp,SNMPV3和HTTPS。

安全屬性管理

路由器應(yīng)為管理員提供對安全功能進(jìn)行控制管理的功能，這些管理包括：

a）與對應(yīng)的路由器自主訪問控制、鑒別和安全保障技術(shù)相關(guān)的功能的管理；

b）與一般的安裝和配置有關(guān)的功能的管理；

3

GB/TXXXXX—XXXX

c）路由器的安全配置參數(shù)要有初始值。路由器安裝后，安全功能應(yīng)能及時提醒管理員修改配置，

并能周期性地提醒管理員維護(hù)配置。

4.1.4設(shè)備安全防護(hù)

流量控制

路由器應(yīng)能夠?qū)υO(shè)備本身需進(jìn)行解析處理的協(xié)議流量大小進(jìn)行控制，例如，通過設(shè)置帶寬等防護(hù)手

段，保證系統(tǒng)在經(jīng)受協(xié)議泛洪攻擊時原有轉(zhuǎn)發(fā)業(yè)務(wù)正常，在泛洪攻擊消除后系統(tǒng)可直接恢復(fù)。

4.1.5安全功能保護(hù)

自檢

設(shè)備在上電啟動時應(yīng)執(zhí)行安全功能的自檢，如內(nèi)存、數(shù)字簽名、加密算法等，確保安全功能正確。

只有當(dāng)所有自檢功能通過時，才能正常啟動設(shè)備。

保證軟件更新的合法性

安全管理員應(yīng)能查詢當(dāng)前執(zhí)行的軟件/固件版本號及最近一次安裝的版本號。應(yīng)能在安裝更新前用

數(shù)字簽名驗(yàn)證軟件/固件更新的合法性。

4.2安全保障要求

4.2.1配置管理

開發(fā)者應(yīng)設(shè)計(jì)和實(shí)現(xiàn)路由器配置管理，為產(chǎn)品的不同版本提供唯一的標(biāo)識，且產(chǎn)品的每個版本應(yīng)當(dāng)

使用其唯一的標(biāo)識作為標(biāo)簽。

4.2.2交付和運(yùn)行

開發(fā)者應(yīng)以文檔形式對路由器安全交付以及安裝和啟動過程進(jìn)行說明。文檔中應(yīng)包括：

a)對安全地將路由器交付給用戶的說明；

b)對安全地安裝和啟動路由器的說明。

4.2.3開發(fā)

開發(fā)者應(yīng)提供路由器功能設(shè)計(jì)，要求按非形式化功能設(shè)計(jì)的要求進(jìn)行功能設(shè)計(jì)，以非形式化方法描

述安全功能及其外部接口，并描述使用外部安全功能接口的目的和方法。

4.2.4指導(dǎo)性文檔

開發(fā)者應(yīng)編制路由器的指導(dǎo)性文檔，要求如下：

a)文檔中應(yīng)該提供關(guān)于路由器的安全功能與接口、路由器的管理和配置、路由器的啟動和操作、安

全屬性、警告信息的描述；

b)文檔中不應(yīng)包含任何一旦泄露將會危及系統(tǒng)安全的信息，文檔可以為硬拷貝、電子文檔或聯(lián)機(jī)文

檔。如果是聯(lián)機(jī)文檔，應(yīng)控制對文檔的訪問。

4.2.5生命周期支持

開發(fā)者應(yīng)建立開發(fā)和維護(hù)路由器的生命周期模型，包括用于開發(fā)和維護(hù)路由器的程序、工具和技術(shù)。

開發(fā)者應(yīng)按其定義的生命周期模型進(jìn)行開發(fā)和維護(hù)，并提供生命周期定義文檔，在文檔中描述用于開發(fā)

和維護(hù)路由器安全功能的生命周期模型。

4.2.6測試

4

GB/TXXXXX—XXXX

開發(fā)者應(yīng)對路由器進(jìn)行測試，要求如下：

a)應(yīng)進(jìn)行一般功能測試，保證路由器能夠滿足所有安全功能的要求；

b)保留并提供測試文檔，詳細(xì)描述測試計(jì)劃、測試過程以及預(yù)測結(jié)果和實(shí)際測試結(jié)果。

5第二級安全要求

5.1安全功能要求

5.1.1自主訪問控制

路由器應(yīng)執(zhí)行自主訪問控制策略，通過管理員屬性表，控制不同管理員對路由器的配置數(shù)據(jù)和其他

數(shù)據(jù)的查看、修改，以及對路由器上程序的執(zhí)行，阻止非授權(quán)人員進(jìn)行上述活動。

5.1.2身份鑒別

管理員鑒別

在管理員進(jìn)入系統(tǒng)會話之前，路由器應(yīng)鑒別管理員的身份，鑒別時采用口令機(jī)制，并在每次登錄系

統(tǒng)時進(jìn)行?？诹顟?yīng)是不可見的，并在存儲和傳輸時加密保護(hù)。

當(dāng)進(jìn)行鑒別時，路由器應(yīng)僅將最少的反饋（如：打入的字符數(shù)，鑒別的成功或失敗）提供給被鑒別

人員。同時，反饋信息應(yīng)避免提示“用戶名錯誤”、“口令錯誤”等信息，避免攻擊者進(jìn)行用戶名或

口令的暴力猜解。

鑒別失敗處理

在經(jīng)過一定次數(shù)的鑒別失敗以后，路由器應(yīng)鎖定該賬號。最多失敗次數(shù)僅由授權(quán)管理員設(shè)定。

超時鎖定

路由器應(yīng)具有登錄超時鎖定功能。在設(shè)定的時間段內(nèi)沒有任何操作的情況下終止會話，需要再次

進(jìn)行身份鑒別才能夠重新操作。最大超時時間僅由授權(quán)管理員設(shè)定。

會話鎖定

路由器應(yīng)為管理員提供鎖定自己的交互會話的功能，鎖定后需要再次進(jìn)行身份鑒別才能夠重新管

理路由器。

登錄歷史

路由器應(yīng)具有登錄歷史功能，為登錄人員提供系統(tǒng)登錄活動的有關(guān)信息，使登錄人員識別入侵的

企圖。成功通過鑒別并登錄系統(tǒng)后，路由器應(yīng)顯示如下數(shù)據(jù)：

——日期、時間、來源和上次成功登錄系統(tǒng)的情況；

——上次成功登錄系統(tǒng)以來身份鑒別失敗的情況；

——口令距失效日期的天數(shù)。

5.1.3安全管理

權(quán)限管理

路由器應(yīng)能夠設(shè)置多個角色，具備劃分管理員級別和規(guī)定相關(guān)權(quán)限（如監(jiān)視、維護(hù)配置等）的能力，

能夠限定每個管理員的管理范圍和權(quán)限，防止非授權(quán)登錄和非授權(quán)操作。

系統(tǒng)應(yīng)能支持Radius/Tacacs的集中認(rèn)證授權(quán)管理。

管理協(xié)議設(shè)置

路由器應(yīng)能配置和使用安全的協(xié)議對系統(tǒng)進(jìn)行管理控制。應(yīng)使用SSH,Sftp,SNMPV3和HTTPS。

安全屬性管理

路由器應(yīng)為管理員提供對安全功能進(jìn)行控制管理的功能，這些管理包括：

5

GB/TXXXXX—XXXX

a)與對應(yīng)的路由器自主訪問控制、鑒別和安全保障技術(shù)相關(guān)的功能的管理；

b)與一般的安裝和配置有關(guān)的功能的管理；

c)路由器的安全配置參數(shù)要有初始值。路由器安裝后，安全功能應(yīng)能及時提醒管理員修改配置，并

能周期性地提醒管理員維護(hù)配置。

5.1.4設(shè)備安全防護(hù)

流量控制

路由器應(yīng)能夠?qū)υO(shè)備本身需進(jìn)行解析處理的協(xié)議流量大小進(jìn)行控制，例如，通過設(shè)置帶寬等防護(hù)手

段，保證系統(tǒng)在經(jīng)受協(xié)議泛洪攻擊時原有轉(zhuǎn)發(fā)業(yè)務(wù)正常，在泛洪攻擊消除后系統(tǒng)可直接恢復(fù)。

優(yōu)先級調(diào)度

路由器應(yīng)能夠按照業(yè)務(wù)重要性對設(shè)備本身需進(jìn)行解析處理的協(xié)議流量進(jìn)行優(yōu)先級調(diào)度。對高優(yōu)先

的協(xié)議流量進(jìn)行優(yōu)先保證，當(dāng)發(fā)生業(yè)務(wù)量激增或網(wǎng)絡(luò)攻擊時使重要業(yè)務(wù)不中斷。

資源耗盡防護(hù)

路由器應(yīng)能夠?qū)χ匾到y(tǒng)資源進(jìn)行保護(hù)，通過限定資源分配的方式將攻擊影響限定到一定范圍內(nèi)。

路由器應(yīng)支持MAC地址學(xué)習(xí)限制功能，使系統(tǒng)其他接口用戶不受影響。

5.1.5網(wǎng)絡(luò)安全防護(hù)

單播逆向路徑轉(zhuǎn)發(fā)功能

路由器應(yīng)具備URPF功能，在網(wǎng)絡(luò)邊界阻斷源IP地址欺騙攻擊。

路由協(xié)議認(rèn)證

路由器使用的路由協(xié)議應(yīng)支持路由認(rèn)證功能，保證路由是由合法的路由器發(fā)出的，并且在轉(zhuǎn)發(fā)過

程中沒有被改變。

MPLSVPN功能

路由器應(yīng)基于MPLS協(xié)議實(shí)現(xiàn)二層和三層VPN功能，采用獨(dú)立的VPN管理網(wǎng)絡(luò),實(shí)現(xiàn)不同用戶間的業(yè)務(wù)

隔離。

5.1.6安全功能保護(hù)

自檢

設(shè)備在上電啟動時應(yīng)執(zhí)行安全功能的自檢，如內(nèi)存、數(shù)字簽名、加密算法等，確保安全功能正確。

只有當(dāng)所有自檢功能通過時，才能正常啟動設(shè)備。

保證軟件更新的合法性

安全管理員應(yīng)能查詢當(dāng)前執(zhí)行的軟件/固件版本號及最近一次安裝的版本號。應(yīng)能在安裝更新前用

數(shù)字簽名驗(yàn)證軟件/固件更新的合法性。

5.1.7審計(jì)

審計(jì)數(shù)據(jù)生成

路由器應(yīng)具有審計(jì)功能，至少能夠?qū)徲?jì)以下行為：

——審計(jì)功能的啟動和終止；

——賬戶管理；

——登錄事件；

——系統(tǒng)事件；

——配置文件的修改。

路由器應(yīng)為可審計(jì)行為生成審計(jì)記錄，并在每一個審計(jì)記錄中至少記錄以下信息：

6

GB/TXXXXX—XXXX

——事件發(fā)生的日期和時間；

——事件的類型；

——管理員身份；

——事件的結(jié)果（成功或失敗）。

審計(jì)數(shù)據(jù)查閱

路由器應(yīng)為授權(quán)管理員提供從審計(jì)記錄中讀取審計(jì)信息的能力，為管理員提供的審計(jì)記錄具有唯

一、明確的定義和方便閱讀的格式。

審計(jì)數(shù)據(jù)保護(hù)

路由器應(yīng)能保護(hù)已存儲的審計(jì)記錄，避免未經(jīng)授權(quán)的刪除，并能監(jiān)測和防止對審計(jì)記錄的修改。

當(dāng)審計(jì)存儲耗盡、失敗或受到攻擊時，路由器應(yīng)確保最近的審計(jì)記錄在一定的時間內(nèi)不會被破壞。

5.1.8可靠性

路由器應(yīng)提供可靠性保證，具有部分冗余設(shè)計(jì)性能。支持插卡、接口、電源等部件的冗余與熱插

拔能力。

5.2安全保障要求

5.2.1配置管理

開發(fā)者應(yīng)設(shè)計(jì)和實(shí)現(xiàn)路由器配置管理，要求如下：

a）開發(fā)者應(yīng)使用配置管理系統(tǒng)，并提供配置管理文檔，為產(chǎn)品的不同版本提供唯一的標(biāo)識，且產(chǎn)

品的每個版本應(yīng)當(dāng)使用其唯一的標(biāo)識作為標(biāo)簽。

b）配置管理范圍至少應(yīng)包括路由器的產(chǎn)品實(shí)現(xiàn)表示、設(shè)計(jì)文檔、測試文檔、用戶文檔、配置管理，

從而確保它們的修改是在一個正確授權(quán)的可控方式下進(jìn)行的。配置管理文檔至少應(yīng)能跟蹤上述內(nèi)容，

并描述配置管理系統(tǒng)是如何跟蹤這些配置項(xiàng)的。

5.2.2交付和運(yùn)行

開發(fā)者應(yīng)以文檔形式對路由器安全交付以及安裝和啟動過程進(jìn)行說明。文檔中應(yīng)包括：

a）對安全地將路由器交付給用戶的說明；

b）對安全地安裝和啟動路由器的說明。

5.2.3開發(fā)

開發(fā)者應(yīng)提供路由器功能規(guī)范，要求如下：

a）按非形式化功能設(shè)計(jì)的要求進(jìn)行功能設(shè)計(jì)，以非形式化方法描述安全功能及其外部接口，并描

述使用外部安全功能接口的目的和方法；

b）提供路由器安全功能的高層設(shè)計(jì)。高層設(shè)計(jì)應(yīng)按子系統(tǒng)描述安全功能及其結(jié)構(gòu)，并標(biāo)識安全功

能子系統(tǒng)的所有接口。高層設(shè)計(jì)還應(yīng)標(biāo)識實(shí)現(xiàn)安全功能所要求的基礎(chǔ)性的硬件、固件和軟件；

c）開發(fā)者應(yīng)提供路由器安全功能的功能設(shè)計(jì)與高層設(shè)計(jì)之間的非形式化對應(yīng)性分析，該分析應(yīng)證

明功能設(shè)計(jì)表示的所有相關(guān)安全功能都在高層設(shè)計(jì)中得到正確且完備的細(xì)化。

5.2.4指導(dǎo)性文檔

開發(fā)者應(yīng)編制路由器的指導(dǎo)性文檔，要求如下：

a）文檔中應(yīng)該提供關(guān)于路由器的安全功能與接口、路由器的管理和配置、路由器的啟動與操作、

安全屬性、警告信息、審計(jì)工具的描述；

7

GB/TXXXXX—XXXX

b）文檔中不應(yīng)包含任何一旦泄漏將會危及系統(tǒng)安全的信息，文檔可以為硬拷貝、電子文檔或聯(lián)機(jī)

文檔。如果是聯(lián)機(jī)文檔，應(yīng)控制對文檔的訪問。

5.2.5生命周期支持

開發(fā)者應(yīng)建立開發(fā)和維護(hù)路由器的生命周期模型，即用于開發(fā)和維護(hù)路由器的程序、工具和技術(shù)。

要求如下：

a）開發(fā)者應(yīng)按其定義的生命周期模型進(jìn)行開發(fā)和維護(hù)，并提供生命周期定義文檔，在文檔中描述

用于開發(fā)和維護(hù)路由器安全功能的生命周期模型；

b）該模型對于路由器開發(fā)和維護(hù)應(yīng)提供必要的控制，采用物理上、程序上、人員上以及其他方面

的安全措施保護(hù)路由器開發(fā)環(huán)境的安全，包括場地的物理安全和對開發(fā)人員的選擇，并采取適當(dāng)?shù)姆?/p>

護(hù)措施來消除或降低路由器開發(fā)所面臨的安全威脅。

5.2.6測試

開發(fā)者應(yīng)對路由器進(jìn)行測試，要求如下：

a）應(yīng)進(jìn)行一般功能測試，保證路由器能夠滿足所有安全功能的要求；

b）應(yīng)提供測試深度的分析。在深度分析中，應(yīng)論證測試文檔中所標(biāo)識的對安全功能的測試足以表

明該安全功能的運(yùn)行與高層設(shè)計(jì)是一致的；

c）應(yīng)進(jìn)行相符性獨(dú)立測試，由專業(yè)的第三方獨(dú)立實(shí)驗(yàn)室或消費(fèi)者組織實(shí)施測試，確認(rèn)路由器能夠

滿足所有安全功能的要求；

d）保留并提供測試文檔，詳細(xì)描述測試計(jì)劃、測試過程以及預(yù)測結(jié)果和實(shí)際測試結(jié)果。

5.2.7脆弱性評定

開發(fā)者應(yīng)提供指導(dǎo)性文檔和分析文檔，在文檔中確定對路由器的所有可能的操作方式（包括失敗

和操作失誤后的操作）的后果以及對于保持安全操作的意義，并列出所有目標(biāo)環(huán)境的假設(shè)和所有的外

部安全措施（包括外部程序的、物理的或人員控制）要求。所述內(nèi)容應(yīng)是完備、清晰、一致和合理的。

開發(fā)者應(yīng)對具有安全功能強(qiáng)度生命的安全機(jī)制（例如口令機(jī)制）進(jìn)行安全功能強(qiáng)度分析。安全功

能強(qiáng)度分析應(yīng)證明安全機(jī)制達(dá)到了所聲明的強(qiáng)度。

開發(fā)者應(yīng)實(shí)施脆弱性分析，并提供脆弱性分布的文檔。對所有已標(biāo)識的脆弱性，文檔應(yīng)說明它們

在所期望的路由器使用環(huán)境中不能被利用。文檔還應(yīng)說明如何確保用戶能夠得到最新的安全補(bǔ)丁。

脆弱性分析文檔中應(yīng)包含對所使用協(xié)議的脆弱性分析。

6第三級安全要求

6.1安全功能要求

6.1.1自主訪問控制

路由器應(yīng)執(zhí)行自主訪問控制策略，通過管理員屬性表，控制不同管理員對路由器的配置數(shù)據(jù)和其他

數(shù)據(jù)的查看、修改，以及對路由器上程序的執(zhí)行，阻止非授權(quán)人員進(jìn)行上述活動。

6.1.2身份鑒別

管理員鑒別

在管理員進(jìn)入系統(tǒng)會話之前，路由器應(yīng)鑒別管理員的身份。鑒別應(yīng)支持口令和數(shù)字證書，并在每

次登錄系統(tǒng)時進(jìn)行?？诹顟?yīng)是不可見的，并在存儲和傳輸時加密保護(hù)。

8

GB/TXXXXX—XXXX

當(dāng)進(jìn)行鑒別時，路由器應(yīng)僅將最少的反饋（如：打入的字符數(shù)，鑒別的成功或失?。┨峁┙o被鑒別

人員。同時，反饋信息應(yīng)避免提示“用戶名錯誤”、“口令錯誤”等信息，避免攻擊者進(jìn)行用戶名或

口令的暴力猜解。

設(shè)備登錄口令管理

設(shè)備應(yīng)能夠提供身份鑒別管理策略，限制口令的最小長度、組成、復(fù)雜度、使用期等?？诹罱M成

應(yīng)支持?jǐn)?shù)字、大小寫字母和特殊符號；并能限制歷史密碼的使用。

設(shè)備登錄口令不能以明文形式顯示或存儲，應(yīng)采用單向函數(shù)方式存儲，并保證單向函數(shù)的強(qiáng)度。

證書驗(yàn)證

設(shè)備應(yīng)支持使用證書進(jìn)行身份驗(yàn)證。例如，SSH、IKE、SSL/TLS等協(xié)議應(yīng)支持證書認(rèn)證，增強(qiáng)設(shè)備

的安全性。

鑒別失敗處理

在經(jīng)過一定次數(shù)的鑒別失敗以后，路由器應(yīng)鎖定該賬號。最多失敗次數(shù)僅由授權(quán)管理員設(shè)定。

超時鎖定

路由器應(yīng)具有登錄超時鎖定功能。在設(shè)定的時間段內(nèi)沒有任何操作的情況下終止會話，需要再次進(jìn)

行身份鑒別才能夠重新操作。最大超時時間僅由授權(quán)管理員設(shè)定。

會話鎖定

路由器應(yīng)為管理員提供鎖定自己的交互會話的功能，鎖定后需要再次進(jìn)行身份鑒別才能夠重新管理

路由器。

登錄歷史

路由器應(yīng)具有登錄歷史功能，為登錄人員提供系統(tǒng)登錄活動的有關(guān)信息，是登錄人員識別入侵的企

圖。成功通過鑒別并登錄系統(tǒng)后，路由器應(yīng)顯示如下數(shù)據(jù)：

——日期、時間、來源和上次成功登錄系統(tǒng)的情況；

——上次成功登錄系統(tǒng)以來身份鑒別失敗的情況；

——口令距失效日期的天數(shù)。

6.1.3數(shù)據(jù)保護(hù)

概述

路由器應(yīng)具有數(shù)據(jù)完整性功能，對系統(tǒng)中的數(shù)據(jù)采取有效措施，防止其遭受非授權(quán)人員的修改、

破壞和刪除。

數(shù)據(jù)存儲

只有管理員才能管理（包括但不限于：創(chuàng)建、初始化、查看、添加、修改、刪除等操作）設(shè)備的

配置、身份和審計(jì)數(shù)據(jù)。

數(shù)據(jù)傳輸

管理員應(yīng)能選擇安全協(xié)議（例如SSH、IPSEC、TLS等）對傳輸?shù)臄?shù)據(jù)進(jìn)行保護(hù)。保護(hù)功能包括:身

份認(rèn)證、機(jī)密性和完整性。

敏感數(shù)據(jù)

對于敏感數(shù)據(jù)，例如用戶口令、私鑰、對稱密鑰、預(yù)共享密鑰等，不能以明文的形式顯示或存儲。

6.1.4安全管理

權(quán)限管理

路由器應(yīng)能夠設(shè)置多個角色，具備劃分管理員級別和規(guī)定相關(guān)權(quán)限（如監(jiān)視、維護(hù)配置等）的能力，

能夠限定每個管理員的管理范圍和權(quán)限，防止非授權(quán)登錄和非授權(quán)操作。

系統(tǒng)應(yīng)能支持Radius/Tacacs的集中認(rèn)證授權(quán)管理。

9

GB/TXXXXX—XXXX

管理協(xié)議設(shè)置

路由器應(yīng)能配置和使用安全的協(xié)議對系統(tǒng)進(jìn)行管理控制。應(yīng)使用SSH,Sftp,SNMPV3和HTTPS。

安全屬性管理

路由器應(yīng)為管理員提供對安全功能進(jìn)行控制管理的功能，這些管理包括：

a)與對應(yīng)的路由器自主訪問控制、鑒別和安全保障技術(shù)相關(guān)的功能的管理；

b)與一般的安裝和配置有關(guān)的功能的管理；

c)路由器的安全配置參數(shù)要有初始值。路由器安裝后，安全功能應(yīng)能及時提醒管理員修改配置，并

能周期性地提醒管理員維護(hù)配置。

6.1.5設(shè)備安全防護(hù)

流量控制

路由器應(yīng)能夠?qū)υO(shè)備本身需進(jìn)行解析處理的協(xié)議流量大小進(jìn)行控制，例如，通過設(shè)置帶寬等防護(hù)手

段，保證系統(tǒng)在經(jīng)受協(xié)議泛洪攻擊時原有轉(zhuǎn)發(fā)業(yè)務(wù)正常，在泛洪攻擊消除后系統(tǒng)可直接恢復(fù)。

優(yōu)先級調(diào)度

路由器應(yīng)能夠按照業(yè)務(wù)重要性對設(shè)備本身需進(jìn)行解析處理的協(xié)議流量進(jìn)行優(yōu)先級調(diào)度。對高優(yōu)先的

協(xié)議流量進(jìn)行優(yōu)先保證，當(dāng)發(fā)生業(yè)務(wù)量激增或網(wǎng)絡(luò)攻擊時使重要業(yè)務(wù)不中斷。

資源耗盡防護(hù)

路由器應(yīng)能夠?qū)χ匾到y(tǒng)資源進(jìn)行保護(hù)，通過限定資源分配的方式將攻擊影響限定到一定范圍內(nèi)。

路由器應(yīng)支持MAC地址學(xué)習(xí)限制功能，使系統(tǒng)其他接口用戶不受影響。

6.1.6網(wǎng)絡(luò)安全防護(hù)

單播逆向路徑轉(zhuǎn)發(fā)功能

路由器應(yīng)具備URPF功能，在網(wǎng)絡(luò)邊界阻斷源IP地址欺騙攻擊。

路由協(xié)議認(rèn)證

路由器使用的路由協(xié)議應(yīng)支持路由認(rèn)證功能，保證路由是由合法的路由器發(fā)出的，并且在轉(zhuǎn)發(fā)過程

中沒有被改變。

MPLSVPN功能

路由器應(yīng)基于MPLS協(xié)議實(shí)現(xiàn)二層和三層VPN功能，采用獨(dú)立的VPN管理網(wǎng)絡(luò),實(shí)現(xiàn)不同用戶間的業(yè)務(wù)

隔離。

6.1.7安全功能保護(hù)

自檢

設(shè)備在上電啟動時應(yīng)執(zhí)行安全功能的自檢，如內(nèi)存、數(shù)字簽名、加密算法等，確保安全功能正確。

只有當(dāng)所有自檢功能通過時，才能正常啟動設(shè)備。

保證軟件更新的合法性

安全管理員應(yīng)能查詢當(dāng)前執(zhí)行的軟件/固件版本號及最近一次安裝的版本號。應(yīng)能在安裝更新前用

數(shù)字簽名驗(yàn)證軟件/固件更新的合法性。

6.1.8審計(jì)

審計(jì)數(shù)據(jù)生成

路由器應(yīng)具有審計(jì)功能，至少能夠?qū)徲?jì)以下行為：

——審計(jì)功能的啟動和終止；

——賬戶管理；

10

GB/TXXXXX—XXXX

——登錄事件；

——系統(tǒng)事件；

——配置文件的修改。

路由器應(yīng)為可審計(jì)行為生成審計(jì)記錄，并在每一個審計(jì)記錄中至少記錄以下信息：

——事件發(fā)生的日期和時間；

——事件的類型；

——管理員身份；

——事件的結(jié)果（成功或失?。?。

審計(jì)數(shù)據(jù)查閱

路由器應(yīng)為授權(quán)管理員提供從審計(jì)記錄中讀取審計(jì)信息的能力，為管理員提供的審計(jì)記錄具有唯

一、明確的定義和方便閱讀的格式。

審計(jì)數(shù)據(jù)保護(hù)

路由器應(yīng)能保護(hù)已存儲的審計(jì)記錄，避免未經(jīng)授權(quán)的刪除，并能監(jiān)測和防止對審計(jì)記錄的修改。當(dāng)

審計(jì)存儲耗盡、失敗或受到攻擊時，路由器應(yīng)確保最近的審計(jì)記錄在一定的時間內(nèi)不會被破壞。

潛在侵害分析

路由器應(yīng)能監(jiān)控可審計(jì)行為，并指出潛在的侵害。

路由器應(yīng)在檢測到可能有安全侵害發(fā)生時做出響應(yīng)，如：通知管理員，向管理員提供一組遏制侵害

的或采取矯正的行動。

6.1.9可靠性

路由器應(yīng)具有全冗余設(shè)計(jì)，應(yīng)確保無中斷在線升級，支持插卡、接口、電源等部件的冗余與熱插

拔等功能，能夠安裝雙引擎和雙電源模塊，具有故障定位與隔離及遠(yuǎn)程重啟等功能。

路由器可以通過虛擬路由冗余協(xié)議（VRRP）組成路由器機(jī)群。

6.2安全保障要求

6.2.1配置管理

開發(fā)者應(yīng)設(shè)計(jì)和實(shí)現(xiàn)路由器配置管理，要求如下：

a）開發(fā)者應(yīng)使用配置管理系統(tǒng)，并提供配置管理文檔，為產(chǎn)品的不同版本提供唯一的標(biāo)識，且產(chǎn)

品的每個版本應(yīng)當(dāng)使用其唯一的標(biāo)識作為標(biāo)簽。

b）配置管理范圍至少應(yīng)包括路由器的產(chǎn)品實(shí)現(xiàn)表示、設(shè)計(jì)文檔、測試文檔、用戶文檔、配置管理，

從而確保它們的修改是在一個正確授權(quán)的可控方式下進(jìn)行的。配置管理文檔至少應(yīng)能跟蹤上述內(nèi)容，并

描述配置管理系統(tǒng)是如何跟蹤這些配置項(xiàng)的。

c）部分的配置管理應(yīng)實(shí)現(xiàn)自動化。

6.2.2交付和運(yùn)行

開發(fā)者應(yīng)以文檔形式對路由器安全交付以及安裝和啟動的過程進(jìn)行說明。文檔中應(yīng)包括：

a）對安全地將路由器交付給用戶的說明；

b）對安全地安裝和啟動路由器的說明。

c）對如何檢測路由器在分發(fā)過程中發(fā)生的未授權(quán)修改、如何檢測攻擊者偽裝成開發(fā)者向用戶交付

路由器產(chǎn)品的說明。

以安全方式分發(fā)并交付產(chǎn)品后，仍應(yīng)提供對路由器的長期維護(hù)和評估的支持，包括產(chǎn)品中的漏洞

和現(xiàn)場問題的解決。

11

GB/TXXXXX—XXXX

以安全方式分發(fā)并交付產(chǎn)品后，仍應(yīng)不斷向用戶提供可能會影響到路由器安全的注意事項(xiàng)或警告

信息。

6.2.3開發(fā)

開發(fā)者應(yīng)提供路由器功能規(guī)范，要求如下：

a）按非形式化功能設(shè)計(jì)的要求進(jìn)行功能設(shè)計(jì)，以非形式化方法描述安全功能及其外部接口，并描

述使用外部安全功能接口的目的和方法；

b）提供路由器安全功能的高層設(shè)計(jì)。高層設(shè)計(jì)應(yīng)按子系統(tǒng)描述安全功能及其結(jié)構(gòu)，并標(biāo)識安全功

能子系統(tǒng)的所有接口。高層設(shè)計(jì)還應(yīng)標(biāo)識實(shí)現(xiàn)安全功能所要求的基礎(chǔ)性的硬件、固件和軟件。高層設(shè)計(jì)

還應(yīng)描述安全功能子系統(tǒng)所有接口及使用接口的目的和方法，并詳細(xì)描述接口的返回結(jié)果、例外情況

和錯誤信息等，以及如何將路由器中有助于增強(qiáng)安全策略的子系統(tǒng)分離出來；

c）開發(fā)者應(yīng)提供路由器安全功能的低層設(shè)計(jì)。低層設(shè)計(jì)應(yīng)以模塊術(shù)語描述安全功能，并描述每一

個模塊的目的、接口和相互間的關(guān)系。低層設(shè)計(jì)還應(yīng)描述如何將路由器中有助于增強(qiáng)安全策略的模塊

分離出來；

d）開發(fā)者應(yīng)提供路由器安全功能的功能設(shè)計(jì)與高層設(shè)計(jì)之間的非形式化對應(yīng)性分析，該分析應(yīng)證

明功能設(shè)計(jì)表示的所有相關(guān)安全功能都在高層設(shè)計(jì)中得到正確且完備的細(xì)化；

e）開發(fā)者應(yīng)提供安全策略模型，并闡明該模型和路由器功能設(shè)計(jì)之間的對應(yīng)性，這一對應(yīng)性是一

致和完備的。安全策略模型是非形式化的。該模型應(yīng)描述所有可以模型化的安全策略的規(guī)則和特征，

并闡明該模型對于所有可模型化的安全策略來說，是與其一致且完備的。

6.2.4指導(dǎo)性文檔

開發(fā)者應(yīng)編制路由器的指導(dǎo)性文檔，要求如下：

a）文檔中應(yīng)該提供關(guān)于路由器的安全功能與接口、路由器的管理和配置、路由器的啟動與操作、

安全屬性、警告信息、審計(jì)工具的描述；

b）文檔中不應(yīng)包含任何一旦泄露將會危及系統(tǒng)安全的信息，文檔可以為硬拷貝、電子文檔或聯(lián)機(jī)

文檔。如果是聯(lián)機(jī)文檔，應(yīng)控制對文檔的訪問。

6.2.5生命周期支持

開發(fā)者應(yīng)建立開發(fā)和維護(hù)路由器的生命周期模型，即用于開發(fā)和維護(hù)路由器的程序、工具和技術(shù)。

要求如下：

a）開發(fā)者應(yīng)按其定義的生命周期模型進(jìn)行開發(fā)和維護(hù)，并提供生命周期定義文檔，在文檔中描述

用于開發(fā)和維護(hù)路由器安全功能的生命周期模型；

b）該模型對于路由器開發(fā)和維護(hù)應(yīng)提供必要的控制，采用物理上、程序上、人員上以及其他方面

的安全措施保護(hù)路由器開發(fā)環(huán)境的安全，包括場地的物理安全和對開發(fā)人員的選擇，并采取適當(dāng)?shù)姆雷o(hù)

措施來消除或降低路由器開發(fā)所面臨的安全威脅；

c）開發(fā)者應(yīng)描述用于開發(fā)路由器的工具和參照標(biāo)準(zhǔn)，并提供關(guān)于已選擇的開發(fā)工具選項(xiàng)的描述文

檔。開發(fā)工具文檔應(yīng)明確說明所有開發(fā)工具選項(xiàng)的含義。

6.2.6測試

開發(fā)者應(yīng)對路由器進(jìn)行測試，要求如下：

a）應(yīng)進(jìn)行一般功能測試，保證路由器能夠滿足所有安全功能的要求；

b）應(yīng)提供測試深度的分析。在深度分析中，應(yīng)論證測試文檔中所標(biāo)識的對安全功能的測試足以表

明該安全功能的運(yùn)行與高層設(shè)計(jì)以及低層設(shè)計(jì)是一致的；

12

GB/TXXXXX—XXXX

c）應(yīng)進(jìn)行相符性獨(dú)立測試，由專業(yè)第三方獨(dú)立實(shí)驗(yàn)室或消費(fèi)者組織實(shí)施測試，確認(rèn)路由器能夠滿

足所有安全功能的要求；

d）應(yīng)由專業(yè)第三方獨(dú)立實(shí)驗(yàn)室或消費(fèi)者組織抽樣獨(dú)立性測試。開發(fā)者應(yīng)提供能有效重現(xiàn)開發(fā)者測

試的必需資料，包括可由機(jī)器閱讀的測試文檔、測試程序等；

e）保留并提供測試文檔，詳細(xì)描述測試計(jì)劃、測試過程以及預(yù)測結(jié)果和實(shí)際測試結(jié)果。

6.2.7脆弱性評定

開發(fā)者應(yīng)提供指導(dǎo)性文檔和分析文檔，在文檔中確定對路由器的所有可能的操作方式（包括失敗和

操作失誤后的操作）的后果以及對于保持安全操作的意義，并列出所有目標(biāo)環(huán)境的假設(shè)和所有的外部安

全措施（包括外部程序的、物理的或人員控制）要求。所述內(nèi)容應(yīng)是完備、清晰、一致和合理的。

開發(fā)者應(yīng)對具有安全功能強(qiáng)度生命的安全機(jī)制（例如口令機(jī)制）進(jìn)行安全功能強(qiáng)度分析。安全功能

強(qiáng)度分析應(yīng)證明安全機(jī)制達(dá)到了所聲明的強(qiáng)度。

開發(fā)者應(yīng)實(shí)施脆弱性分析，并提供脆弱性分布的文檔。對所有已標(biāo)識的脆弱性，文檔應(yīng)說明它們在

所期望的路由器使用環(huán)境中不能被利用。文檔還應(yīng)說明如何確保用戶能夠得到最新的安全補(bǔ)丁。

脆弱性分析文檔中應(yīng)包含對所使用協(xié)議的脆弱性分析。

7附加安全功能

7.1附加安全功能

7.1.1網(wǎng)絡(luò)訪問控制功能

路由器上可采用多種用戶接入的控制手段，如Web登錄認(rèn)證、訪問控制列表（ACL）、802.1x協(xié)議等，

保護(hù)接入用戶不受網(wǎng)絡(luò)攻擊，同時能夠阻止接入用戶攻擊其他用戶和網(wǎng)絡(luò)。

7.1.2虛擬專網(wǎng)功能

路由器可實(shí)現(xiàn)IPSEC和多協(xié)議標(biāo)記交換協(xié)議（MPLS）兩種虛擬專用網(wǎng)架構(gòu)。

IPSECVPN支持隧道和傳輸模式，確保數(shù)據(jù)通信的保密性和完整性。

MPLSVPN使用標(biāo)簽交換，提供QoS機(jī)制和流量工程能力。MPLS支持全網(wǎng)狀VPN的建立，不同的VPN具

有地址空間和路由獨(dú)立性。

路由器可支持MPLS和IPSEC的結(jié)合，在進(jìn)行數(shù)據(jù)加密和認(rèn)證的同時能夠提供良好的可管理性。

路由器使用的加密算法應(yīng)通過國家密碼管理部門的審批。

7.1.3防火墻防護(hù)功能

路由器可加入防火墻功能模塊，實(shí)現(xiàn)報(bào)文過濾功能，對所有接收和轉(zhuǎn)發(fā)的報(bào)文進(jìn)行過濾和檢查。路

由器還可提供基于報(bào)文內(nèi)容的防護(hù)，當(dāng)報(bào)文通過路由器時，防火墻功能模塊可以對報(bào)文與制定的訪問規(guī)

則進(jìn)行比較，決定是否直接丟棄報(bào)文。

路由器還可利用NAT/PAT（網(wǎng)絡(luò)地址轉(zhuǎn)換/端口地址轉(zhuǎn)換）功能隱藏內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)，進(jìn)一步實(shí)現(xiàn)復(fù)雜

的應(yīng)用網(wǎng)關(guān)（ALG）功能。

7.1.4入侵檢測（IDS）功能

路由器可內(nèi)置IDS功能模塊，具備完善的端口鏡像和報(bào)文統(tǒng)計(jì)功能，能夠檢測并阻斷攻擊。

13

GB/TXXXXX—XXXX

附錄A（資料性附錄）安全要求對照表

表A.1和表A.2分別給出了條款中安全功能要求和安全保障要求的對照表。

A.1安全功能要求對照表

第一級第二級第三級

自主訪問控制+++

身份鑒別設(shè)備登錄口令管理

證書驗(yàn)證

管理員鑒別++++

鑒別失敗處理+++

超時鎖定++

會話鎖定++

登錄歷史++

數(shù)據(jù)保護(hù)數(shù)據(jù)存儲+

數(shù)據(jù)傳輸

敏感數(shù)據(jù)

安全管理權(quán)限管理+++

管理協(xié)議設(shè)置+++

服務(wù)最小化+

安全屬性管理+++

設(shè)備安全防護(hù)