TTAF 040-2019 智能網關設備安全技術要求

ICS33.050

M30

團體標準

T/TAF040-2019

智能網關設備安全技術要求

Securitytechnicalrequirementsforintelligentgatewaydevices

2019-06-17發(fā)布2019-06-17實施

XXXX-XX-XX實施

電信終端產業(yè)協(xié)會發(fā)布

T/TAF040-2019

智能網關設備安全技術要求

1范圍

本標準規(guī)定了智能網關設備在硬件、系統(tǒng)軟件、業(yè)務功能、網管等方面的安全技術要求。本標準規(guī)

定了智能網關設備分級安全要求。

本標準可供智能網關設備的設計和生產廠商、系統(tǒng)集成商、設備使用方、安全檢測和安全認證機構

使用。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069-2010信息安全技術術語

3術語和定義

GB/T25069-2010中界定的以及下列術語和定義適用于本文件。

3.1

智能網關設備Intelligentgatewaydevice

智能網關設備是指具備連通外部廣域通信網絡和家庭/小型企業(yè)內部局域網絡功能，支持使用APP

通過云平臺等方式實現(xiàn)遠程配置、設備控制、流量監(jiān)測、終端管理等智能化管理功能，支持通過安裝插

件或應用實現(xiàn)擴展功能的設備。

4安全技術要求

4.1設備硬件和系統(tǒng)軟件安全

4.1.1標識安全

a)硬件整機應具備唯一性標識；

b)應對軟件/固件、補丁包/升級包的版本進行唯一性標識，并保持記錄；

c)禁止在操作界面、日志、調試信息和錯誤提示中明文顯示密鑰、口令、會話標識等敏感信息；

d)應標識每一個物理接口，并說明其功能，不應預留未標識的物理接口；

e)關鍵安全功能模塊不應存在功能絲印標識（詳見附錄B），防止攻擊者通過絲印標識了解器件

特性和單板原理，從而加大攻擊者識別硬件的難度。

4.1.2接口安全

a)不應存在可繞過正常認證機制直接進入到系統(tǒng)的隱秘通道；不應存在不可管理的認證/訪問方

1

式，包括用戶不可管理的帳號、人機接口以及可遠程訪問的機機接口的硬編碼口令；

注:智能網關設備的用戶是指設備的所有者。例如，在運營商網絡接入服務場景下，設備所有者通常是運營商，

設備用戶是指運營商，而在智能家居場景下，設備所有者是個人用戶，設備用戶是指最終個人用戶Z。

b)對于可對設備進行管理的外部通信接口，應提供接入認證機制；

c)支持控制無線通信網絡如WLAN、藍牙、蜂窩、Zigbee等接口進行數據連接的開關功能；

d)支持WAN口遠程管理方式的開關功能，例如WAN口的WEB、APP等管理方式應支持開啟和關閉；

e)通過WLAN方式接入設備，應支持使用加密方式進行認證：

1)設備支持安全的認證方式，例如WPA2/PSK等；

2)設備支持AES-128、SM4等至少一種安全強度較高的密碼算法；

3)設備支持WPA3，支持AES-192及以上強度的密碼算法。

4.1.3硬件安全

a)所有用于生產、調試和維修的接口要求默認禁用且用戶不可激活，禁用或去掉易被攻擊者利用

的調試功能或組件；

b)JTAG等測試芯片接口應具有相關安全防護機制。

4.1.4開放端口和服務安全

a)應提供所有開放端口相關的列表用于說明開放端口的功能，并通過交互頁面、用戶手冊等至少

一種方式體現(xiàn)；

b)基于最小開放原則，默認關閉不是系統(tǒng)業(yè)務所必需的端口，默認關閉Telnet、FTP、SSHv1.x、

tftp、SNMPv2c等不安全協(xié)議端口；

c)不應存在可繞過認證直接進入系統(tǒng)的通信端口；

d)DNS客戶端向服務端請求服務時，源端口號應為變化值，避免因此遭受欺騙攻擊；

e)WAN側應支持使用非明文數據傳輸協(xié)議對設備進行管理；

f)WAN側開放的TR069等服務應只在WAN側可訪問。

4.1.5漏洞管理安全

a)在用戶登錄通過認證前的提示信息應避免包含設備軟件版本、型號等敏感信息，如：可通過支

持關閉提示信息或者用戶自定義等安全措施；

b)不應存在已公布（90天之前）的高危和中危漏洞或具備有效措施防范漏洞安全風險；

c)智能網關設備提供者應提供接收外部報告安全問題的有效渠道，發(fā)現(xiàn)其設備存在漏洞等風險

時，應當立即采取補救措施，及時告知用戶風險及防范措施，并留存實施相關補救措施和告知

用戶的記錄；

d)預裝軟件、補丁包/升級包應不包含惡意程序。

4.1.6常見攻擊防護安全

a)應支持安全措施（例如采用限制用戶會話連接數量等），以防范資源消耗型拒絕服務類攻擊，

設備應在受到拒絕服務類攻擊時不死機，不重啟，遠程管理(如TR069,智能平臺)功能正常，

設備不能脫管，在停止攻擊后可恢復到正常狀態(tài)，自動恢復的延遲時間應低于30秒；

1)應能夠提供防DHCPflood攻擊和反射攻擊的能力，支持對在單位時間內處理的DHCP應答

報文的數量進行限制；

2)應能夠提供防DNSflood攻擊和反射攻擊的能力，支持對在單位時間內處理的DNS應答報

文的數量進行限制；

2

T/TAF040-2019

3)應能夠提供防NTPflood攻擊和反射攻擊的能力，支持對在單位時間內處理的NTP應答報

文的數量進行限制；

4)應能夠提供防SYNflood攻擊和反射攻擊的能力，支持對在單位時間內處理的SYN應答報

文的數量進行限制。

b)應支持防火墻功能，支持對防火墻規(guī)則的配置，并支持基于以下過濾規(guī)則：

1)應支持根據源MAC地址、目的MAC地址進行報文過濾；

2)應支持根據源IP地址及范圍段、目的IP地址及范圍段進行報文過濾；

3)應支持根據IP源端口及范圍段、目的端口及范圍段進行報文過濾；

4)應支持根據IP包的傳輸層協(xié)議類型進行報文過濾，并至少具有TCP/UDP/ICMP的選項；

5)應支持對匹配規(guī)則的報文進行處理模式的選擇，且對匹配規(guī)則的報文的處理模式提供允許

和禁止2種選項，且默認為禁止模式；

6)應支持對TOS/DSCP報文進行過濾的功能。

c)應支持DMZ功能；

d)應支持用戶身份鑒別失敗處理功能，防范用戶憑證猜解攻擊；

1)支持當連續(xù)非法登錄嘗試次數達到限制時鎖定用戶；

2)支持設置連續(xù)非法登錄嘗試次數限制，并當達到限制時鎖定用戶，支持設置鎖定用戶時長；

3)支持用戶登錄會話數量限制功能，支持設置用戶登錄會話數量；。

e)應提供防端口掃描功能，支持開啟和關閉防端口掃描功能；

f)智能網關應支持對插件資源權限限制功能，智能插件應運行在非特權容器模式。智能插件使用

資源應受控（如CPU，session，socket，RAM，flash），即系統(tǒng)需優(yōu)先保證遠程管理（如TR069、

智能平臺）所必須的資源，以便在智能插件進程被攻擊后，能夠通過管理平臺對異常插件進行

控制。

4.1.7系統(tǒng)升級安全

a)應支持本地或遠程升級；

b)應支持因斷網、使用錯誤的固件導致升級異常時可恢復到正常狀態(tài)；

c)應支持因升級過程中斷電導致升級異常時可恢復到正常狀態(tài)；

d)遠程升級應支持升級數據加密傳輸；

e)采取措施防止非授權用戶對設備進行系統(tǒng)和桌面的刷寫、修改或安裝。例如，使用安卓系統(tǒng)的

智能網關，可采取默認禁用USB調試（ADB）模式等措施；

f)產品對外發(fā)布的軟件（包含軟件包/補丁包），需具備完整性保護、來源真實性驗證機制（建

議采用數字簽名，至少支持哈希值驗證），并且在安裝、升級過程中對軟件進行完整性驗證；

g)軟件鏡像支持主備分區(qū)，當主分區(qū)鏡像破壞時，設備應能從備份分區(qū)啟動；

h)升級操作僅授權用戶可實施；實施升級操作時，應有明確的信息告知操作者，并提供同意和取

消的選項，在操作者確認同意后才能實施升級。

注：授權用戶包括WAN側的用戶和LAN側的用戶，WAN側既包括運營商用戶通過TR069升級，也包括個人用戶通過

云平臺升級。

i)應支持向設備使用者提示正在進行遠程升級的功能，防止用戶因升級帶來的無法上網而異常斷

電。

4.2業(yè)務功能安全

4.2.1通信協(xié)議安全

3

a)應提供防非法報文攻擊能力，基礎通信協(xié)議和網絡管理協(xié)議應具備一定的健壯性；

1)基礎通信協(xié)議（如IPv4/v6，ICMP，TCP，UDP等）具備一定的健壯性；

2)網絡管理協(xié)議（如SSH/Telnet、HTTP/HTTPS、SNMP、FTP/SFTP等）具備一定的健壯性；

b)應能夠對特定協(xié)議的廣播風暴（例如DHCP，ARP，IGMP等）進行抑制；

c)支持家庭網絡組網協(xié)議時，應支持對新設備進行鑒權認證，如：通過手機APP等方式進行鑒權

確認；

d)支持家庭網絡組網協(xié)議時，應支持使用密鑰交換協(xié)議交換密鑰。

4.2.2應用業(yè)務安全

a)應支持防止用戶做源的組播，禁止用戶端口向WAN側發(fā)出IGMPQuery和組播數據報文；

b)語音業(yè)務應終結于智能網關（提供Z接口接模擬話機），語音業(yè)務宜與INTERNET接入業(yè)務隔離

（如用VLAN隔離）。在此配置下，通過LAN側端口應不能訪問語音業(yè)務；

c)WLAN功能應支持網絡隔離，例如支持訪客網絡和家庭網絡隔離，用于智能設備快連配網和家庭

網絡隔離等；

4.3網管安全

4.3.1身份鑒別與授權

a)對訪問控制主體進行唯一性身份標識和鑒別；

b)支持使用口令方式進行鑒別；

c)支持設置口令修改周期；

d)設備出廠時應預置不同的默認口令，或者在用戶首次管理設備時提示修改默認口令或設置口令；

e)設置新的用戶賬戶時，該賬戶可使用的登錄方式應默認限制為一種，支持用戶增加、關閉、修

改賬戶可使用的登錄方式，如：在WEB管理界面下新增一個用戶賬戶，該賬戶默認僅支持通過指

定的方式登錄，用戶可增加支持其他的方式登錄，也可配置關閉已開啟的登錄方式；

f)同一個用戶賬戶應僅能通過一種方式登錄或管理設備；例如：用戶A在使用WEB方式登錄設備后，

在WEB會話有效的同時，用戶A不可以通過SSH等其他方式登錄或管理設備；

g)支持口令復雜度檢查和提醒功能。開啟口令復雜度檢查功能時，口令長度應不少于8位，且至少

包含2種不同類型字符；

h)應對所有用戶口令的存儲、顯示進行非明文處理；

i)應對所有用戶鑒別信息的傳輸進行非明文處理；

j)應不存在預置的且不允許用戶更改的默認用戶身份鑒別信息，不存在未向設備用戶公開的身份

鑒別信息；

k)支持登錄用戶空閑超時鎖定或自動退出等措施，以防范會話空閑時間過長；

l)支持對用戶身份鑒別信息的抗重放功能；

m)設備進行用戶身份鑒別時提供最少的反饋，應避免提示“用戶名錯誤”、“口令錯誤”等可能

被用于降低口令猜解復雜度的信息；

n)提供登錄歷史功能，成功登錄后設備主動顯示該賬號最近的登錄信息，如登錄日期、時間、IP、

結果、方式等。

4.3.2訪問控制安全

a)在出廠時設置默認安全的訪問控制策略，或支持用戶首次使用時設置訪問控制策略；

b)提供用戶分級分權控制機制，支持權限等級設置和管理，控制不同等級用戶對設備的配置、數

據的查看和相關功能的執(zhí)行，阻止非授權用戶的操作；

4

T/TAF040-2019

c)支持訪問用戶的黑白名單配置。支持MAC地址綁定等安全策略管理用戶訪問受控資源的權限；

d)基于MAC地址的接入控制（包括LAN和WLAN）條目容量應不少于30條；

e)對軟件升級、配置修改、日志審計、設備重啟等涉及設備安全的重要功能，僅授權用戶可使用。

4.3.3WEB管理安全

設備支持WEB管理方式時：

a)支持采用WEB方式在外部網絡對設備進行遠程管理時，應支持使用HTTPS方式；

b)采用WEB方式在內部網絡對設備進行本地管理可支持HTTPS方式；

c)支持4.3.1節(jié)身份鑒別與授權要求；

d)支持4.3.2節(jié)訪問控制安全要求。根據用戶的分級權限，向不同級別用戶展示不同的WEB管理

頁面，如參數配置、數據查看和相關功能執(zhí)行等；

e)WEB應用會話標識應具備隨機性、唯一性，會話標識有效長度不少于192比特，用戶名和口令

認證通過后應更換會話標識；

f)具備安全措施防范Cookie敏感信息被竊取、Cookie信息明文傳輸、Cookie有效期過長等導致

的安全問題；

g)支持記錄WEB訪問日志。

4.3.4Telnet管理安全

設備支持Telnet管理方式時：

a)Telnet功能默認處于關閉狀態(tài)；

b)支持4.3.1節(jié)身份鑒別與授權要求；

c)支持4.3.2節(jié)訪問控制安全要求；同一個賬號應只允許一個賬號登錄會話，拒絕第二個用戶登

錄會話；

d)支持記錄telnet訪問日志。

4.3.5SNMP管理安全

支持SNMP管理方式時：

a)應支持SNMPv3協(xié)議；SNMPv3協(xié)議的服務端應默認禁用noauth_nopriv(不認證也不加密)、

auth_nopriv(認證不加密)這兩種不安全的接入方式；

b)Community復雜度符合4.3.1節(jié)d）的口令安全要求；

c)支持4.3.2節(jié)的訪問控制要求；支持配置用戶不同權限（只讀/讀寫），支持配置用戶可訪問

的MIB庫資源（用OID前綴標識），支持采用ACL（訪問控制列表）保護SNMP訪問權限；

d)應支持SNMP訪問日志的記錄；

e)認證失敗時，支持發(fā)送認證失敗信息；

f)支持防范針對SNMP的拒絕服務攻擊。

4.3.6TR069遠程管理安全

設備支持TR069管理方式時：

a)應組合使用SSL/TLS加密、WWW-Authentication等方式保證設備與遠程管理平臺接口安全；

b)支持記錄TR069訪問日志；

c)TR069遠程管理功能應終結于WAN側；

d)支持證書認證的方式。

5

4.3.7日志審計安全

a)應提供日志記錄功能，對關鍵操作行為進行記錄，關鍵操作行為應包括：

1)增加/刪除賬戶；

2)修改鑒別信息；

3)修改配置（DNS、IP地址等）；

4)用戶登錄/注銷；

5)重啟/關閉設備；

6)文件上傳/下載（支持時）；

7)用戶權限修改（支持時）；

8)關閉日志審計功能（支持時）；

9)開啟日志審計功能（支持時）；

10)其他（支持時）；

b)應提供日志信息本地存儲功能；當審計存儲達到極限或失敗時，可采取覆蓋舊的日志，保留新

的日志等措施，確保最新的日志記錄在一定時間內不被破壞；

c)日志信息本地存儲能力應不低于500條；

d)日志記錄功能應記錄必要的日志要素，主要包括事件發(fā)生的日期和時間、主體、類型、結果等；

e)應采取措施保護用戶操作日志，防止日志內容被修改，防止未經授權的操作；

f)支持日志信息上傳到遠程管理平臺，日志傳輸應支持加密方式；

g)應支持本地日志信息斷電不丟失。

4.4應用軟件安全

4.4.1應用安裝安全

a)智能網關僅允許用戶通過預置的指定渠道獲取應用，采取措施防范用戶安裝未經認證的應用；

b)如智能網關設備使用安卓系統(tǒng)，應采取措施防止用戶通過ADB方式安裝未經認證的應用。

4.4.2應用數據安全

a)智能網關允許用戶通過指定的應用和方式對系統(tǒng)配置信息進行備份和恢復，防范用戶通過非指

定方式操作配置信息；

b)設定配置信息文件權限，防范未經授權的下載、篡改、刪除等操作；

c)對設備提供者通過設備收集用戶信息數據的，應當向用戶明示并取得用戶同意。

5分級安全要求

在不同應用場景和不同的客戶需求場景下，不同的智能網關設備支持的安全能力存在差異。分級安

全要求根據智能網關設備所支持的安全能力的程度，將設備安全能力自低到高劃分為一級、二級、三級，

共三個等級。

各安全能力等級對應的安全要求詳見表1。

一級：對應智能網關設備第一級安全能力要求，共包含74項安全要求；

二級：對應智能網關設備第二級安全能力要求，共包含108項安全要求；

三級：對應智能網關設備第三級安全能力要求，共包含134項安全要求。

每一等級定義了智能網關設備在相應等級對應的安全能力的最小集合，設備支持該等級標識的所有

安全能力才能標識為該級別，對于該級別中標識可能存在不適用情形的項目除外。

6

T/TAF040-2019

表1智能網關設備安全技術要求與安全等級對應關系表

安全等級

安全技術要求

一級二級三級

每級需支持的功能項數量74108134

4.1.1a）整機唯一性標識√√√

4.1.1b）版本唯一性標識√√√

4.1.1標識

4.1.1c）禁止明文顯示敏感信息√√

安全

4.1.1d）標識物理接口√√√

4.1.1e）不應存在功能絲印標識√

4.1.2a）隱藏后門安全√√√

4.1.2b）接入認證機制√√√

4.1.2c）無線通信網絡開關功能√√√

4.1.2接口

4.1.2d）遠程管理開關功能√√

安全

1）√√√

4.1.2e）WLAN方式

2）√√

接入設備要求

3）√

4.1.3硬件4.1.3a）默認禁用調試端口√√√

安全4.1.3b）測試芯片接口安全防護√

4.1.4a）開放端口功能√√√

4.1.4b）最小開放原則√√

4.1.4開放

4.1.4c）禁止繞過認證√√√

端口和服

4.1.4d）源端口號應為變化值√

務安全

4.1.4e）非明文數據傳輸協(xié)議√√√

4.1.4f）TR069功能隔離√√√

4.1設備硬4.1.5a）認證前提示信息√√√

件和系統(tǒng)4.1.5漏洞4.1.5b）中高危漏洞√√√

軟件安全安全4.1.5c）安全風險告知√√√

4.1.5d）不包含惡意程序√√√

4.1.6a）拒絕服務類攻擊√

4.1.6b）防火墻功能√

4.1.6c）支持DMZ√√

4.1.6常見

1）√√√

攻擊防護4.1.6d）防范用戶

2）√√

安全憑證猜解攻擊

3）√

4.1.6e）防端口掃描功能√√

4.1.6f）插件資源權限限制功能√

4.1.7系統(tǒng)4.1.7a）本地或遠程升級√√√

7

安全等級

安全技術要求

一級二級三級

升級安全4.1.7b）斷網和軟件錯誤可恢復√√

4.1.7c）斷電恢復√

4.1.7d）數據加密傳輸√√√

4.1.7e）禁止非授權用戶修改系統(tǒng)√√√

4.1.7f）完整性保護機制√√√

4.1.7g）軟件鏡像主備分區(qū)√

4.1.7h）升級保護機制√√√

4.1.7i）升級提示功能√√√

4.2.1a）防非法報1）√√

文攻擊能力2）√

4.2.1通信

4.2.1b）抑制廣播風暴√√√

協(xié)議安全

4.2業(yè)務功4.2.1c）鑒權認證√√√

能安全4.2.1d）密鑰交換協(xié)議√√

4.2.2a）防止用戶做源的組播√√√

4.2.2應用

4.2.2b）語音業(yè)務√√√

業(yè)務安全

4.2.2c）WLAN功能支持網絡隔離√

4.3.1a）唯一性身份標識和鑒別√√√

4.3.1b）口令方式鑒別√√√

4.3.1c）設置口令修改周期√

4.3.1d）默認口令√√√

4.3.1e）登錄方式√√

4.3.1f）一個用戶唯一登錄方式√√

4.3.1身份

4.3.1g）口令復雜度檢查和提醒√√√

鑒別與授

4.3.1h）鑒別信息存儲顯示非明文處理√√√

權

4.3.1i）鑒別信息傳輸非明文處理√√

4.3.1j）鑒別信息后門安全√√√

4.3.1k）空閑超時鎖定自動退出√√√

4.3.1l）鑒別信息安全保護√√

4.3.1m）身份鑒別最少反饋√√√

4.3.1n）登錄歷史功能√

4.3.2a）訪問控制策略√√√

4.3.2b）分級分權控制機制√

4.3.2訪問

4.3.2c）黑白名單配置√√

控制安全

4.3.2d）MAC地址的接入控制√√

4.3.2e）重要功能訪問控制√√√

4.3.3WEB4.3.3a）外部網絡支持HTTPS方式√√√

管理安全4.3.3b）支持關閉啟用管理方式√√√

Opt4.3.3c）本地管理支持HTTPS方式√

8

T/TAF040-2019

安全等級

安全技術要求

一級二級三級

4.3.1a）√√√

4.3.1b）√√√

4.3.1c）√

4.3.1d）√√√

4.3.1e）√√

4.3.1f）√√

4.3.3d）身份鑒別4.3.1g）√√√

與授權要求4.3.1h）√√√

4.3.1i）√√

4.3.1j）√√√

4.3.1k）√√√

4.3.1l）√√

4.3.1m）√√√

4.3.1n）√

4.3.2a）√√√

4.3.2b）√

4.3.3e）訪問控制

4.3.2c）√√

安全要求

4.3.2d）√√

4.3網管安

4.3.2e）√√√

全

4.3.3f）WEB應用會話標識√√

4.3.3g）WEB訪問日志√√√

4.3.4a）默認關閉狀態(tài)√√√

4.3.1a）√√√

4.3.1b）√√√

4.3.1c）√

4.3.1d）√√√

4.3.1e）√√

4.3.1f）√√

4.3.4Teln4.3.1g）√√√

et管理安4.3.1h）√√√

全Opt4.3.1i）√√

4.3.4b）身份鑒別

4.3.1j）√√√

與授權要求

4.3.1k）√√√

4.3.1l）√√

4.3.1m）√√√

4.3.1n）√

4.3.4c）訪問控制4.3.2a）√√√

9

安全等級

安全技術要求

一級二級三級

安全要求4.3.2b）√

4.3.2c）√√

4.3.2d）√√

4.3.2e）√√√

4.3.4d）記錄telnet訪問日志√√√

4.3.5a）SNMP管理方式√√√

4.3.5b）Community復雜度√√√

4.3.5c）訪問控制要求√√√

4.3.5SNMP

4.3.5d）SNMP訪問日志√√√

管理安全

4.3.5e）認證失敗信息√√

Opt

4.3.5f）防拒絕服務攻擊√√

4.3.6a）接口安全√

4.3.6TR06

4.3.6b）記錄訪問日志√

9遠程管理

4.3.6c）管理功能終結√

安全Opt

4.3.6d）證書認證功能√

4.3.7a）日志記錄1）~5）√√√

功能6）~10）Opt√√

4.3.7b）日志本地存儲√√√

4.3.7日志4.3.7c）日志存儲能力√

審計安全4.3.7d）日志要素√√√

4.3.7e）操作日志保護√√√

4.3.7f）日志信息上傳√√

4.3.7g）日志斷電不丟失√√√

4.4.1應用4.4.1a）防范安裝未經認證的應用√√√

安裝安全4.4.1b）安卓系統(tǒng)應用安全√√√

4.4應用軟

4.4.2a）操作配置信息√√√

件安全4.4.2應用

4.4.2b）配置信息文件權限√√

數據安全

4.4.2c）收集用戶信息數據√√