網(wǎng)絡(luò)設(shè)備安全分級技術(shù)要求

Q/LB.□XXXXX-XXXXT/CSACXXXX—XXXX目次TOC\o"1-1"\h\t"標(biāo)準(zhǔn)文件_一級條標(biāo)題,2,標(biāo)準(zhǔn)文件_二級條標(biāo)題,3,標(biāo)準(zhǔn)文件_附錄一級條標(biāo)題,2,標(biāo)準(zhǔn)文件_附錄二級條標(biāo)題,3,"前言 III1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 15概述 26通用安全技術(shù)要求 26.1第一級安全技術(shù)要求 26.2第二級安全技術(shù)要求 26.2.1安全功能要求 26.2.2安全保障要求 46.3第三級安全技術(shù)要求 46.3.1安全功能要求 46.3.2安全保障要求 67防火墻產(chǎn)品安全技術(shù)要求 67.1第一級安全技術(shù)要求 67.2第二級安全技術(shù)要求 67.2.1拒絕服務(wù)攻擊防護(hù)能力 67.2.2入侵威脅檢測能力 67.2.3病毒威脅檢測能力 77.2.4攻擊防逃逸能力 77.3第三級安全技術(shù)要求 77.3.1拒絕服務(wù)攻擊防護(hù)能力 77.3.2入侵威脅檢測能力 77.3.3病毒威脅檢測能力 87.3.4攻擊防逃逸能力 88抗拒絕服務(wù)攻擊產(chǎn)品安全技術(shù)要求 88.1第一級安全技術(shù)要求 88.2第二級安全技術(shù)要求 88.2.1網(wǎng)絡(luò)層拒絕服務(wù)攻擊防護(hù)能力 88.2.2傳輸層拒絕服務(wù)攻擊防護(hù)能力 88.2.3會話層拒絕服務(wù)攻擊防護(hù) 98.2.4應(yīng)用層拒絕服務(wù)攻擊防護(hù) 98.3第三級安全技術(shù)要求 98.3.1網(wǎng)絡(luò)層拒絕服務(wù)攻擊防護(hù)能力 98.3.2傳輸層拒絕服務(wù)攻擊防護(hù)能力 108.3.3會話層拒絕服務(wù)攻擊防護(hù) 108.3.4應(yīng)用層拒絕服務(wù)攻擊防護(hù) 109交換機(jī)產(chǎn)品安全技術(shù)要求 119.1第一級安全技術(shù)要求 119.2第二級安全技術(shù)要求 119.3第三級安全技術(shù)要求 1110WLAN產(chǎn)品安全技術(shù)要求 1110.1第一級安全技術(shù)要求 1110.2第二級安全技術(shù)要求 1110.2.1AP接入安全 1110.2.2無線用戶接入安全 1110.2.3設(shè)備檢測能力 1110.2.4設(shè)備反制能力 1110.3第三級安全技術(shù)要求 1210.3.1AP接入安全 1210.3.2無線用戶接入安全 1210.3.3非法攻擊檢測能力 12附錄A（資料性）通用安全要求分級匯總 13參考文獻(xiàn) 16前言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文本的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中國網(wǎng)絡(luò)空間安全協(xié)會提出。本文件由中國網(wǎng)絡(luò)空間安全協(xié)會歸口。本文件起草單位：武漢網(wǎng)絡(luò)安全技術(shù)有限公司、武漢大學(xué)網(wǎng)絡(luò)安全學(xué)院、華為技術(shù)有限公司、湖北天融信網(wǎng)絡(luò)安全技術(shù)有限公司。本文件主要起草人：丁勇、高陽、胡俊理、趙波、安高峰、周寧、夏靚、王健、李詩洋、錢鋒、李翔、王勇、秦神祖。網(wǎng)絡(luò)設(shè)備安全分級技術(shù)要求范圍本文件提出了網(wǎng)絡(luò)設(shè)備的安全功能和脆弱性評估的分級要求。本文件適用于指導(dǎo)網(wǎng)絡(luò)設(shè)備生產(chǎn)企業(yè)進(jìn)行產(chǎn)品設(shè)計、開發(fā)和測試，設(shè)備用戶選型與第三方評測也可參照使用。本文件所指網(wǎng)絡(luò)設(shè)備包含路由器設(shè)備、數(shù)據(jù)中心交換機(jī)設(shè)備、園區(qū)交換機(jī)設(shè)備、無線接入WLAN設(shè)備、防火墻設(shè)備、入侵檢測設(shè)備、抗DDoS設(shè)備。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069信息安全技術(shù)術(shù)語術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。

網(wǎng)絡(luò)設(shè)備networkdevices網(wǎng)絡(luò)設(shè)備指具備連接網(wǎng)絡(luò)功能的實體（不包含消費(fèi)類終端產(chǎn)品）?？s略語下列縮略語適用于本文件。BGP：邊界網(wǎng)關(guān)協(xié)議（BorderGatewayProtocol）CSRF：跨站請求偽造（Cross-SiteRequestForgery）DES：數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard）DoS：拒絕服務(wù)（DenialofService）DTLS：數(shù)據(jù)包傳輸層安全（DatagramTransportLayerSecurity）HTTPS：超文本傳輸安全協(xié)議（HypertextTransferProtocolSecure）IGP：內(nèi)部網(wǎng)關(guān)協(xié)議（InteriorGatewayProtocol）IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）IPsec：互聯(lián)網(wǎng)協(xié)議安全（InternetProtocolSecurity）MACsec：媒體訪問控制安全（MediaAccessControl(MAC)Security）MD5：消息摘要算法版本5（MessageDigestAlgorithm5）ND：鄰居發(fā)現(xiàn)（NeighborDiscovery）NTP：網(wǎng)絡(luò)時間協(xié)議（NetworkTimeProtocol）SELinux：安全增強(qiáng)式Linux（Security-EnhanceLinux）SSH：安全外殼（SecureShell）SZTP：安全零接觸配置（SecureZeroTouchProvisioning）TEE：可信執(zhí)行環(huán)境（TrustedExecutionEnvironment）TLS：傳輸層安全（TransportLayerSecurity）UDP：用戶數(shù)據(jù)包協(xié)議（UserDatagramProtocol）URL：統(tǒng)一資源定位符（UniformResourceLocator）XSS：跨站點腳本（Cross-sitescripting）概述網(wǎng)絡(luò)設(shè)備在通信網(wǎng)絡(luò)容易遭受到來自網(wǎng)絡(luò)和其他方面的威脅，例如設(shè)備被劫持、大規(guī)模DoS/DDoS攻擊等，這些安全威脅利用設(shè)備的脆弱性對設(shè)備進(jìn)行攻擊，設(shè)備被攻擊后，網(wǎng)絡(luò)的性能和正常運(yùn)行會受到很大的影響，甚至造成拒絕正常用戶訪問服務(wù)。為有效應(yīng)對有組織的團(tuán)伙的針對性攻擊，保障重要網(wǎng)絡(luò)、關(guān)鍵信息基礎(chǔ)設(shè)施（以下簡稱“關(guān)基”）網(wǎng)絡(luò)的安全。本文件針對網(wǎng)絡(luò)設(shè)備提出了分級的安全要求，指導(dǎo)制造商更好落地安全要求，同時為網(wǎng)絡(luò)客戶采購高安全的網(wǎng)絡(luò)設(shè)備提供依據(jù)。安全分級整體思路與適用場景描述如下：第一級安全要求具備基本的防御能力，適用于一般用戶一般要求場景。第二級安全要求在第一級安全要求的基礎(chǔ)上增加默認(rèn)安全、漏洞防利用、密鑰管理等，具備一定的縱深防御能力，適用于一般用戶較高安全要求場景，如財務(wù)數(shù)據(jù)存儲區(qū)、研發(fā)數(shù)據(jù)存儲區(qū)、核心生產(chǎn)區(qū)等。第三級安全要求在第二級安全要求的基礎(chǔ)上增加安全配置核查、主機(jī)入侵檢測等，具備防范APT攻擊的能力，適用于關(guān)基用戶重要關(guān)基系統(tǒng)等需要重點防護(hù)區(qū)域。通用安全技術(shù)要求第一級安全技術(shù)要求獲得網(wǎng)絡(luò)關(guān)鍵設(shè)備或者安全專用產(chǎn)品認(rèn)證證書，或者自證明滿足GB40050或者GB42250標(biāo)準(zhǔn)。第二級安全技術(shù)要求安全功能要求默認(rèn)安全本項要求包括：不應(yīng)預(yù)留任何的未公開帳號，所有帳號都應(yīng)可被系統(tǒng)管理，如果存在默認(rèn)帳號，應(yīng)在產(chǎn)品資料中明示；不應(yīng)存在繞過正常認(rèn)證機(jī)制直接進(jìn)入系統(tǒng)的隱秘通道，如：組合鍵、鼠標(biāo)特殊敲擊、連接特定接口，使用特定客戶端、使用特殊URL等；不應(yīng)默認(rèn)使用不安全協(xié)議，如Telnet,SSHv1等。軟件完整性本項要求包括：應(yīng)支持啟動時通過數(shù)字簽名技術(shù)對啟動軟件的完整性和真實性進(jìn)行校驗。開局安全本項要求包括：零配置開局方案宜具備安全能力保證開局安全。訪問控制本項要求包括：新建管理員賬號默認(rèn)應(yīng)不授予任何權(quán)限或者只授予最小權(quán)限；不需要登錄的帳號應(yīng)禁用或禁止登錄；所有能對系統(tǒng)進(jìn)行管理的人機(jī)接口以及跨信任網(wǎng)絡(luò)的機(jī)機(jī)接口應(yīng)有安全的接入認(rèn)證機(jī)制并缺省啟用，關(guān)閉認(rèn)證機(jī)制應(yīng)有風(fēng)險提示；應(yīng)支持管理面、控制面和用戶面間的安全隔離功能；應(yīng)禁用硬件調(diào)試接口(如JTAG)的接入訪問。身份認(rèn)證本項要求包括：應(yīng)提供認(rèn)證憑據(jù)修改的功能；應(yīng)支持配置管理員口令過期時間功能；用戶口令應(yīng)支持長度至少為8個字符，包含數(shù)字，字母或特殊字符至少兩種組合；使用數(shù)字證書實現(xiàn)身份認(rèn)證時應(yīng)驗證對端證書的有效性（有效期、信任鏈、吊銷狀態(tài)等）；管理員修改自己口令時應(yīng)驗證舊口令并確認(rèn)新口令。漏洞防利用本項要求包括：應(yīng)支持堆棧保護(hù)功能，防止堆棧溢出類型攻擊；應(yīng)支持?jǐn)?shù)據(jù)執(zhí)行保護(hù)功能，防止注入類型攻擊；應(yīng)支持地址空間隨機(jī)化功能，防止固定地址類型的攻擊。數(shù)據(jù)保護(hù)本項要求包括：應(yīng)禁止在URL、錯誤消息、安全日志、調(diào)試信息中暴露口令、密鑰、會話標(biāo)識符等敏感數(shù)據(jù)；應(yīng)支持使用業(yè)界推薦的安全密碼算法對敏感數(shù)據(jù)進(jìn)行保護(hù)，密碼算法安全強(qiáng)度應(yīng)遵循業(yè)界最佳實踐；對敏感數(shù)據(jù)(如口令、私鑰、對稱密鑰)進(jìn)行存儲時，在不需要還原明文的場景，應(yīng)使用不可逆算法加密，在需要還原的場景，應(yīng)采用安全的可逆算法進(jìn)行加密；應(yīng)支持輸入敏感數(shù)據(jù)(如口令、私鑰、對稱密鑰)時非明文顯示；宜支持安全通信協(xié)議(如IPsec、MACsec、TLS、DTLS)，保障承載數(shù)據(jù)的保密性,完整性。流量防攻擊本項要求包括：應(yīng)支持抵御大流量攻擊的能力；應(yīng)支持抵御重放類攻擊的能力；應(yīng)支持抵御畸形報文攻擊的能力；應(yīng)支持抵御非法報文(如ND非法報文)攻擊的能力；應(yīng)支持抵御地址欺騙報文(如IP地址欺騙)攻擊的能力。協(xié)議安全本項要求包括：管理協(xié)議(SSH、HTTPS等)應(yīng)支持安全的協(xié)議版本、安全密碼算法；支持Web管理時應(yīng)支遵循業(yè)界最佳實踐，防范XSS、CSRF、DoS、命令注入、路徑穿越、會話固定等攻擊；控制協(xié)議(BGP、IGP等)實現(xiàn)應(yīng)遵循業(yè)界最佳實踐，如支持協(xié)議認(rèn)證、安全密碼算法。安全管理數(shù)字證書管理本項要求包括：使用時應(yīng)支持檢查數(shù)字證書的有效期；應(yīng)支持?jǐn)?shù)字證書的導(dǎo)入/更新/替換/刪除功能、證書信息的查詢功能；應(yīng)支持?jǐn)?shù)字證書的吊銷功能。密鑰管理本項要求包括：密碼算法中使用到的隨機(jī)數(shù)應(yīng)是密碼學(xué)意義上的安全隨機(jī)數(shù)；密鑰的用途應(yīng)單一化，即一個密鑰應(yīng)只用于一種用途（如：加密、認(rèn)證、散列等），如加密的密鑰不能用于認(rèn)證；應(yīng)支持手動更新密鑰的能力；應(yīng)支持密鑰全生命周期(生成、分發(fā)、使用、存儲、銷毀等)的安全管理。日志審計本項要求包括：安全日志轉(zhuǎn)發(fā)到日志服務(wù)器時應(yīng)支持安全通道傳輸；宜支持與NTP服務(wù)器的安全通信，確保時間同步。安全刪除本項要求包括：應(yīng)及時刪除內(nèi)存、存儲介質(zhì)上中不再使用的數(shù)據(jù)。安全保障要求脆弱性評估本項要求包括：a)應(yīng)對設(shè)備基礎(chǔ)安全質(zhì)量進(jìn)行評估，對于開源軟件漏洞、固件包安全、配置安全等風(fēng)險進(jìn)行識別和管理；b)應(yīng)使用業(yè)界知名組件或具有同等安全測試能力的工具，如openvas、secvas、awvs、nmap等工具，在主機(jī)安全、網(wǎng)絡(luò)安全、配置安全等領(lǐng)域開展掃描和結(jié)果評估；c)應(yīng)掃描結(jié)果內(nèi)的告警應(yīng)完成分析與評估，對于不安全配置、高風(fēng)險漏洞等問題，應(yīng)有對應(yīng)的解決方法和規(guī)避措施。第三級安全技術(shù)要求安全功能要求默認(rèn)安全本項要求包括：不可默認(rèn)使用不安全密碼算法，如MD5,RC4,DES等；用于登錄設(shè)備的賬戶或認(rèn)證憑據(jù)(如：口令，公私鑰，證書)不應(yīng)硬編碼；用戶界面不可見或產(chǎn)品資料未描述的未公開的公網(wǎng)IP地址不應(yīng)硬編碼；用于數(shù)據(jù)加解密的密鑰不應(yīng)硬編碼；配置不安全密碼算法或者協(xié)議時可支持安全提示或者告警。軟件完整性本項要求包括：應(yīng)支持升級時通過數(shù)字簽名技術(shù)對軟件包或補(bǔ)丁進(jìn)行完整性和真實性進(jìn)行校驗；設(shè)備在安裝過程發(fā)生軟件降級時可支持安全提示或者告警；可支持啟動時由不可被篡改的硬件可信根作為數(shù)字簽名校驗的起點，逐級校驗啟動鏈上軟件的完整性和真實性；可支持在設(shè)備運(yùn)行時對內(nèi)存代碼段進(jìn)行驗證，確保運(yùn)行的軟件不被篡改；可支持內(nèi)核模塊(KO)加載時進(jìn)行完整性校驗。開局安全可支持安全零配置部署SZTP功能。訪問控制本項要求包括：所有在外部可見的能對系統(tǒng)進(jìn)行管理的物理接口（如串口、USB接口、管理網(wǎng)口等）應(yīng)具備接入認(rèn)證機(jī)制；對于跨信任網(wǎng)絡(luò)且重要的業(yè)務(wù)機(jī)機(jī)接口應(yīng)提供接入認(rèn)證機(jī)制，標(biāo)準(zhǔn)協(xié)議沒有認(rèn)證機(jī)制的除外；對于來自系統(tǒng)外部的不可控輸入，宜采用強(qiáng)度較高的安全隔離機(jī)制（如沙箱、非特權(quán)容器）；可支持采用強(qiáng)制訪問控制機(jī)制(如SELinux)對包含重要數(shù)據(jù)的文件和目錄進(jìn)行保護(hù)；設(shè)備可支持基于硬件的安全執(zhí)行環(huán)境(TEE)，用于隔離高安全業(yè)務(wù)或者數(shù)據(jù)。身份認(rèn)證本項要求包括：應(yīng)支持配置管理員賬號過期時間功能；用戶口令應(yīng)支持配置長度至少為12個字符，包含數(shù)字、字母或特殊字符至少兩種組合；應(yīng)具備弱口令字典功能，避免用戶使用弱口令字典中的任何口令；使用口令鑒別方式時，用戶配置的新口令應(yīng)支持與最后使用的若干個口令進(jìn)行比較，如果相同則不允許配置；執(zhí)行對系統(tǒng)或應(yīng)用有重大影響的操作前可支持二次認(rèn)證，重大影響的操作包括重啟設(shè)備、清空所有配置等。漏洞防利用本項要求包括：宜支持地址無關(guān)可執(zhí)行功能，防止固定地址類型的攻擊；宜支持GOT表保護(hù)功能，防止GOT表被覆蓋修改；可支持從程序文件中剝離調(diào)試符號；可支持控制流完整性CFI，防止ROP攻擊。數(shù)據(jù)保護(hù)本項要求包括：應(yīng)支持輸入敏感數(shù)據(jù)(如口令、私鑰、對稱密鑰)時防拷貝功能；可支持存儲安全日志、配置文件時通過密碼算法實現(xiàn)完整性保護(hù)。協(xié)議安全本項要求包括：管理協(xié)議(SSH、HTTPS等)可支持非全零監(jiān)聽。安全管理數(shù)字證書管理本項要求包括：應(yīng)支持和網(wǎng)管配合實現(xiàn)對數(shù)字證書的集中化、可視化的全生命周期管理；在數(shù)字證書即將過期前可支持發(fā)送安全提示或者告警，提示運(yùn)維人員更新證書；可支持對接證書管理系統(tǒng)，實現(xiàn)數(shù)字證書的自動申請和更新功能。密鑰管理本項要求包括：應(yīng)支持密鑰在臨近過期前自動更新或者提醒管理員手動更新；對密鑰做加密的密碼算法的安全強(qiáng)度應(yīng)不小于被加密密鑰本身所用于密碼算法的安全強(qiáng)度；密鑰管理可采用層次化的保護(hù)方式；基于業(yè)界最佳實踐可支持對設(shè)備根密鑰進(jìn)行安全防護(hù)。安全配置管理本項要求包括：應(yīng)支持對不安全協(xié)議或者算法進(jìn)行查詢，并提供修復(fù)建議；應(yīng)支持和網(wǎng)管配合對安全配置的集中核查能力，支持核查結(jié)果可視化呈現(xiàn)。日志審計本項要求包括：安全日志應(yīng)單獨(dú)存儲，管理員不應(yīng)具備刪除安全日志的權(quán)限。主機(jī)入侵檢測本項要求包括：設(shè)備可支持主機(jī)入侵檢測，對非法用戶登錄、OS提權(quán)、關(guān)鍵文件篡改等攻擊場景進(jìn)行檢測，并上報日志。安全保障要求脆弱性評估本項要求包括：a)應(yīng)對設(shè)備內(nèi)生安全能力進(jìn)行評估，對于出廠安全、管理安全、協(xié)議安全、系統(tǒng)安全、編碼安全等領(lǐng)域開展安全攻防測試，識別設(shè)備安全漏洞；b）應(yīng)使用業(yè)界知名cvss評估方法對設(shè)備安全漏洞進(jìn)行定級評估，確認(rèn)漏洞攻擊路徑，按漏洞場景定級漏洞影響；c）應(yīng)對已知的中危及以上等級的安全漏洞進(jìn)行修復(fù)或提供規(guī)避方案，宜對已知的提示問題進(jìn)行修復(fù)。防火墻產(chǎn)品安全技術(shù)要求防火墻產(chǎn)品的安全技術(shù)要求包括產(chǎn)品對攻擊和威脅的檢測和防護(hù)能力，包括拒絕服務(wù)攻擊防護(hù)能力、入侵威脅檢測能力、病毒威脅檢測能力、攻擊防逃逸能力。攻擊檢測有效性指對攻擊和威脅的檢出率，即系統(tǒng)正確檢測到攻擊的次數(shù)與實際發(fā)生的所有攻擊次數(shù)之比。攻擊防護(hù)有效性指對攻擊和威脅的阻斷率，即系統(tǒng)有效阻斷到攻擊的次數(shù)與實際發(fā)生的所有攻擊次數(shù)之比。第一級安全技術(shù)要求略第二級安全技術(shù)要求拒絕服務(wù)攻擊防護(hù)能力產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測和防護(hù)能力，攻擊防護(hù)有效性不低于85%，本項要求包括：a）SYNFlood；b）UDPFlood；c）ICMPFlood；d）HTTPFlood；e）HTTPSFlood；f）SIPFlood；g）DNSQueryFlood。入侵威脅檢測能力本項要求包括：產(chǎn)品應(yīng)具備入侵威脅檢測，攻擊檢測有效性不低于85%，包括a） WEB類攻擊檢測能力；b） 系統(tǒng)漏洞類攻擊檢測能力；c） 僵木蠕攻擊檢測能力；d） 自定義攻擊檢測能力。病毒威脅檢測能力本項要求包括：產(chǎn)品應(yīng)具備病毒威脅檢測能力，攻擊檢測有效性不低于85%，包括a） PE類流行病毒檢測能力；b） WEB類流行病毒檢測能力；c） PDF類流行病毒檢測能力；d） ELF類流行病毒檢測能力。攻擊防逃逸能力本項要求包括：產(chǎn)品應(yīng)具備攻擊防逃逸檢測能力，攻擊檢測有效性不低于85%，包括a）網(wǎng)絡(luò)層攻擊防逃逸檢測能力；b）傳輸層攻擊防逃逸檢測能力；c）應(yīng)用層攻擊防逃逸檢測能力；d）內(nèi)容安全攻擊防逃逸檢測能力；e）組合攻擊防逃逸檢測能力。第三級安全技術(shù)要求拒絕服務(wù)攻擊防護(hù)能力本項要求包括：產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測和防護(hù)能力，攻擊防護(hù)有效性不低于95%，包括a）SYNFlood；b）UDPFlood；c）ICMPFlood；d）HTTPFlood；e）HTTPSFlood；f）SIPFlood；g）DNSQueryFlood。入侵威脅檢測能力本項要求包括：產(chǎn)品應(yīng)具備入侵威脅檢測，攻擊檢測有效性不低于95%，包括a）WEB類攻擊檢測能力；b）系統(tǒng)漏洞類攻擊檢測能力；c）僵木蠕攻擊檢測能力；d）自定義攻擊檢測能力。病毒威脅檢測能力本項要求包括：產(chǎn)品應(yīng)具備病毒威脅檢測能力，攻擊檢測有效性不低于95%，包括a）PE類流行病毒檢測能力；b）WEB類流行病毒檢測能力；c）PDF類流行病毒檢測能力；d）ELF類流行病毒檢測能力。攻擊防逃逸能力本項要求包括：產(chǎn)品應(yīng)具備攻擊防逃逸檢測能力，攻擊檢測有效性不低于95%，包括a）網(wǎng)絡(luò)層攻擊防逃逸檢測能力；b）傳輸層攻擊防逃逸檢測能力；c）應(yīng)用層攻擊防逃逸檢測能力；d）內(nèi)容安全攻擊防逃逸檢測能力；e）組合攻擊防逃逸檢測能力?？咕芙^服務(wù)攻擊產(chǎn)品安全技術(shù)要求抗拒絕服務(wù)攻擊產(chǎn)品的安全技術(shù)要求包括產(chǎn)品對攻擊和威脅的防護(hù)能力，包括網(wǎng)絡(luò)層、傳輸層、會話層、應(yīng)用層拒絕服務(wù)攻擊防護(hù)能力。攻擊防護(hù)有效性指對攻擊和威脅的阻斷率，即系統(tǒng)有效阻斷到攻擊的次數(shù)與實際發(fā)生的所有攻擊次數(shù)之比。第一級安全技術(shù)要求略第二級安全技術(shù)要求網(wǎng)絡(luò)層拒絕服務(wù)攻擊防護(hù)能力本項要求包括：產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測和防護(hù)能力，攻擊防護(hù)有效性不低于85%，包括a）FragmentFlood；b）Land；c）Teardrop；d）Smurf；e）Pingofdeath;f）IPv6擴(kuò)展頭攻擊；g）其它網(wǎng)絡(luò)層拒絕服務(wù)攻擊。傳輸層拒絕服務(wù)攻擊防護(hù)能力本項要求包括：產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測和防護(hù)能力，攻擊防護(hù)有效性不低于85%，包括a）SYNFlood；b）UDPFlood；c）ICMPFlood；d）TCP反射；e）UDP反射；f）DNS反射：g）NTP反射；h）SSDP反射；i）ACKFlood；j）RSTFlood；k）其他傳輸層拒絕服務(wù)攻擊。會話層拒絕服務(wù)攻擊防護(hù)本項要求包括：產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測和防護(hù)能力，攻擊防護(hù)有效性不低于85%，包括TCP空連接；b）不完整TLS會話；c）SSL連接攻擊；d）其它會話層拒絕服務(wù)攻擊。應(yīng)用層拒絕服務(wù)攻擊防護(hù)本項要求包括：產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測和防護(hù)能力，攻擊防護(hù)有效性不低于85%，包括a）DNSFlood；b）HTTPFlood；c）HTTPSFlood；d）HTTP慢速攻擊；e）其它應(yīng)用層拒絕服務(wù)攻擊。第三級安全技術(shù)要求網(wǎng)絡(luò)層拒絕服務(wù)攻擊防護(hù)能力本項要求包括：產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測和防護(hù)能力，攻擊防護(hù)有效性不低于95%，包括a）FragmentFlood；b）Land；c）Teardrop；d）Smurf；e）Pingofdeath;f）IPv6擴(kuò)展頭攻擊；g）其它網(wǎng)絡(luò)層拒絕服務(wù)攻擊。傳輸層拒絕服務(wù)攻擊防護(hù)能力本項要求包括：產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測和防護(hù)能力，攻擊防護(hù)有效性不低于95%，包括a）SYNFlood；b）UDPFlood；c）ICMPFlood；d）TCP反射；e）UDP反射；f）DNS反射：g）NTP反射；h）SSDP反射；i）ACKFlood；j）RSTFlood；k）其他傳輸層拒絕服務(wù)攻擊。會話層拒絕服務(wù)攻擊防護(hù)本項要求包括：產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測和防護(hù)能力，攻擊防護(hù)有效性不低于95%，包括TCP空連接；b）不完整TLS會話；c）SSL連接攻擊；d）其它會話層拒絕服務(wù)攻擊。應(yīng)用層拒絕服務(wù)攻擊防護(hù)本項要求包括：產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測和防護(hù)能力，攻擊防護(hù)有效性不低于95%，包括a）DNSFlood；b）HTTPFlood；c）HTTPSFlood；d）HTTP慢速攻擊；e）其它應(yīng)用層拒絕服務(wù)攻擊。交換機(jī)產(chǎn)品安全技術(shù)要求第一級安全技術(shù)要求略第二級安全技術(shù)要求接入安全本項要求包括：園區(qū)交換機(jī)應(yīng)支持802.1X、MAC、Portal等認(rèn)證方式驗證接入用戶的合法性。第三級安全技術(shù)要求協(xié)議安全本項要求包括：數(shù)據(jù)中心交換機(jī)跨設(shè)備鏈路聚合應(yīng)支持安全的認(rèn)證和完整性保護(hù)措施；數(shù)據(jù)中心交換機(jī)智能無損存儲網(wǎng)絡(luò)應(yīng)支持安全的認(rèn)證和完整性保護(hù)措施。WLAN產(chǎn)品安全技術(shù)要求第一級安全技術(shù)要求略第二級安全技術(shù)要求AP接入安全本項要求包括：應(yīng)支持AP首次以證書認(rèn)證方式接入，且支持一機(jī)一證；應(yīng)支持AP和AC間的控制隧道加密功能。無線用戶接入安全本項要求包括：應(yīng)支持WPA、WPA2、WPA3安全策略機(jī)制；應(yīng)支持WAPI認(rèn)證，且WAPI證書公私鑰由AC/AP自己產(chǎn)生；應(yīng)支持管理幀加密保護(hù)。設(shè)備檢測能力本項要求包括：支持合法/非法AP檢測；支持合法/非法網(wǎng)橋檢測；支持合法/非法STA檢測；支持合法/非法Ad-hoc檢測。設(shè)備反制能力本項要求包括：支持對非法AP或干擾AP進(jìn)行反制；支持對非法STA或干擾STA進(jìn)行反制；支持對Ad-hoc設(shè)備進(jìn)行反制。第三級安全技術(shù)要求AP接入安全本項要求包括：應(yīng)支持AP和AC雙向認(rèn)證；應(yīng)支持AP和AC間的數(shù)據(jù)隧道加密功能，且開啟后整機(jī)轉(zhuǎn)發(fā)性能不低于未開啟的50%。無線用戶接入安全本項要求包括：可支持通過物理層防護(hù)進(jìn)行空口防偵聽。非法攻擊檢測能力本項要求包括：支持防暴力破解攻擊檢測；支持泛洪攻擊檢測，包括支持對認(rèn)證請求幀、去認(rèn)證幀、關(guān)聯(lián)請求幀、去關(guān)聯(lián)幀、重關(guān)聯(lián)請求幀、探測幀、Action幀、Eapolstart和Eapollogoff等報文進(jìn)行泛洪攻擊檢測；支持欺騙攻擊檢測。

（資料性）

通用安全要求分級匯總第二級、第三級通用安全功能要求匯總列表分類第二級第三級默認(rèn)安全不應(yīng)預(yù)留任何的未公開帳號，所有帳號都應(yīng)可被系統(tǒng)管理，如果存在默認(rèn)帳號，應(yīng)在產(chǎn)品資料中明示不可默認(rèn)使用不安全密碼算法，如MD5,RC4,DES等不應(yīng)存在繞過正常認(rèn)證機(jī)制直接進(jìn)入系統(tǒng)的隱秘通道，如：組合鍵、鼠標(biāo)特殊敲擊、連接特定接口，使用特定客戶端、使用特殊URL等用于登錄設(shè)備的賬戶或認(rèn)證憑據(jù)(如：口令，公私鑰，證書)不應(yīng)硬編碼不應(yīng)默認(rèn)使用不安全協(xié)議，如Telnet,SSHv1等用戶界面不可見或產(chǎn)品資料未描述的未公開的公網(wǎng)IP地址不應(yīng)硬編碼NA用于數(shù)據(jù)加解密的密鑰不應(yīng)硬編碼NA配置不安全密碼算法或者協(xié)議時可支持安全提示或者告警軟件完整性應(yīng)支持啟動時通過數(shù)字簽名技術(shù)對啟動軟件的完整性和真實性進(jìn)行校驗應(yīng)支持升級時通過數(shù)字簽名技術(shù)對軟件包或補(bǔ)丁進(jìn)行完整性和真實性進(jìn)行校驗NA設(shè)備在安裝過程發(fā)生軟件降級時可支持安全提示或者告警NA可支持啟動時由不可被篡改的硬件可信根作為數(shù)字簽名校驗的起點，逐級校驗啟動鏈上軟件的完整性和真實性NA可支持在設(shè)備運(yùn)行時對內(nèi)存代碼段進(jìn)行驗證，確保運(yùn)行的軟件不被篡改NA可支持內(nèi)核模塊(KO)加載時進(jìn)行完整性校驗開局安全零配置開局方案宜具備安全能力保證開局安全可支持安全零配置部署SZTP功能訪問控制新建管理員賬號默認(rèn)應(yīng)不授予任何權(quán)限或者只授予最小權(quán)限所有在外部可見的能對系統(tǒng)進(jìn)行管理的物理接口（如串口、USB接口、管理網(wǎng)口等）應(yīng)具備接入認(rèn)證機(jī)制不需要登錄的帳號應(yīng)禁用或禁止登錄對于跨信任網(wǎng)絡(luò)且重要的業(yè)務(wù)機(jī)機(jī)接口應(yīng)提供接入認(rèn)證機(jī)制，標(biāo)準(zhǔn)協(xié)議沒有認(rèn)證機(jī)制的除外所有能對系統(tǒng)進(jìn)行管理的人機(jī)接口以及跨信任網(wǎng)絡(luò)的機(jī)機(jī)接口應(yīng)有安全的接入認(rèn)證機(jī)制并缺省啟用，關(guān)閉認(rèn)證機(jī)制應(yīng)有風(fēng)險提示對于來自系統(tǒng)外部的不可控輸入，宜采用強(qiáng)度較高的安全隔離機(jī)制（如沙箱、非特權(quán)容器）應(yīng)支持管理面、控制面和用戶面間的安全隔離功能可支持采用強(qiáng)制訪問控制機(jī)制(如SELinux)對包含重要數(shù)據(jù)的文件和目錄進(jìn)行保護(hù)應(yīng)禁用硬件調(diào)試接口(如JTAG)的接入訪問設(shè)備可支持基于硬件的安全執(zhí)行環(huán)境(TEE)，用于隔離高安全業(yè)務(wù)或者數(shù)據(jù)身份認(rèn)證應(yīng)提供認(rèn)證憑據(jù)修改的功能應(yīng)支持配置管理員賬號過期時間功能應(yīng)支持配置管理員口令過期時間功能用戶口令應(yīng)支持配置長度至少為12個字符，包含數(shù)字、字母或特殊字符至少兩種組合用戶口令應(yīng)支持長度至少為8個字符，包含數(shù)字，字母或特殊字符至少兩種組合應(yīng)具備弱口令字典功能，避免用戶使用弱口令字典中的任何口令使用數(shù)字證書實現(xiàn)身份認(rèn)證時應(yīng)驗證對端證書的有效性（有效期、信任鏈、吊銷狀態(tài)等）使用口令鑒別方式時，用戶配置的新口令應(yīng)支持與最后使用的若干個口令進(jìn)行比較，如果相同則不允許配置管理員修改自己口令時應(yīng)驗證舊口令并確認(rèn)新口令執(zhí)行對系統(tǒng)或應(yīng)用有重大影響的操作前可支持二次認(rèn)證，重大影響的操作包括重啟設(shè)備、清空所有配置等漏洞防利用應(yīng)支持堆棧保護(hù)功能，防止堆棧溢出類型攻擊宜支持地址無關(guān)可執(zhí)行功能，防止固定地址類型的攻擊應(yīng)支持?jǐn)?shù)據(jù)執(zhí)行保護(hù)功能，防止注入類型攻擊宜支持GOT表保護(hù)功能，防止GOT表被覆蓋修改應(yīng)支持地址空間隨機(jī)化功能，防止固定地址類型的攻擊可支持從程序文件中剝離調(diào)試符號NA可支持控制流完整性CFI，防止ROP攻擊數(shù)據(jù)保護(hù)應(yīng)禁止在URL、錯誤消息、安全日志、調(diào)試信息中暴露口令、密鑰、會話標(biāo)識符等敏感數(shù)據(jù)應(yīng)支持輸入敏感數(shù)據(jù)(如口令、私鑰、對稱密鑰)時防拷貝功能應(yīng)支持使用業(yè)界推薦的安全密碼算法對敏感數(shù)據(jù)進(jìn)行保護(hù)，密碼算法安全強(qiáng)度應(yīng)遵循業(yè)界最佳實踐可支持存儲安全日志、配置文件時通過密碼算法實現(xiàn)完整性保護(hù)對敏感數(shù)據(jù)(如口令、私鑰、對稱密鑰)進(jìn)行存儲時，在不需要還原明文的場景，應(yīng)使用不可逆算法加密，在需要還原的場景，應(yīng)采用安全的可逆算法進(jìn)行加密NA應(yīng)支持輸入敏感數(shù)據(jù)(如口令、私鑰、對稱密鑰)時非明文顯示NA宜支持安全通信協(xié)議(如IPsec、MACsec、TLS、DTLS)，保障承載數(shù)據(jù)的保密性,完整性NA流量防攻擊應(yīng)支持抵御大流量攻擊的能力NA應(yīng)支持抵御重放類攻擊的能力NA應(yīng)支持抵御畸形報文攻擊的能力NA應(yīng)支持抵御非法報文(如ND非法報文)攻擊的能力NA應(yīng)支持抵御地址欺騙報文(如IP地址欺騙)攻擊的能力NA協(xié)議安全管理協(xié)議(SSH、HTTPS等)應(yīng)支持安全的協(xié)議版本、安全密碼算法管理協(xié)