《信息安全技術(shù) 路由器安全技術(shù)要求》

ICS35.040

L80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T18018—201X

代替GB/T18018—2007

信息安全技術(shù)路由器安全技術(shù)要求

Informationsecuritytechnology—

Technicalrequirementforroutersecurity

點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí)

（征求意見(jiàn)稿）

（v1.0）

XXXX-XX-XX發(fā)布-XX-XX實(shí)施

GB/TXXXXX—XXXX

前??言

本標(biāo)準(zhǔn)按照GB/T1.1－2009給出的規(guī)則起草。

本標(biāo)準(zhǔn)代替GB/T18018－2007《信息安全技術(shù)路由器安全技術(shù)要求》。

本標(biāo)準(zhǔn)與GB/T18018－2007的主要差異如下：

——“2規(guī)范性引用文件”進(jìn)行了更新；

——“3.2縮略語(yǔ)”中補(bǔ)充了內(nèi)容；

——“4第一級(jí)安全要求”中修改了“管理員鑒別”；

——“4第一級(jí)安全要求”中增加了“管理協(xié)議設(shè)置”、“4.1.4設(shè)備安全防護(hù)”和“4.1.5

安全功能保護(hù)”；

——“5第二級(jí)安全要求”中修改了“管理員鑒別”和“權(quán)限管理”；

——“5第二級(jí)安全要求”中增加了“管理協(xié)議設(shè)置”、“5.1.4設(shè)備安全防護(hù)”、“5.1.5

網(wǎng)絡(luò)安全防護(hù)”和“5.1.6安全功能保護(hù)”；

——“6第三級(jí)安全要求”中修改了“管理員鑒別”和“權(quán)限管理”；

——“6第三級(jí)安全要求”中增加了“設(shè)備登錄口令管理”、“證書(shū)驗(yàn)證”、“

數(shù)據(jù)存儲(chǔ)”、“數(shù)據(jù)傳輸”、“敏感數(shù)據(jù)”、“管理協(xié)議設(shè)置”、“6.1.5設(shè)備

安全防護(hù)”、“6.1.6網(wǎng)絡(luò)安全防護(hù)”和“6.1.7安全功能保護(hù)”；

——?jiǎng)h除了GB/T18018—2007的“5.1.8路由認(rèn)證”和“6.1.10路由認(rèn)證”；分別調(diào)整到本標(biāo)準(zhǔn)的

相應(yīng)章節(jié)之中。

——“附錄A”的“A.1安全功能要求對(duì)照表”中增加“設(shè)備安全防護(hù)”行及相應(yīng)的3個(gè)子行；

——“附錄A”的“A.1安全功能要求對(duì)照表”中增加“網(wǎng)絡(luò)安全防護(hù)”行及相應(yīng)的3個(gè)子行；

——“附錄A”的“A.1安全功能要求對(duì)照表”中的“身份鑒別”行中增加2個(gè)子行；

——“附錄A”的“A.1安全功能要求對(duì)照表”中的“數(shù)據(jù)保護(hù)”行中增加3個(gè)子行；

——“附錄A”的“A.1安全功能要求對(duì)照表”中的“安全管理”行中增加2個(gè)子行；

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）提出并歸口。

本標(biāo)準(zhǔn)起草單位：中國(guó)科學(xué)院軟件研究所、華為技術(shù)有限公司、新華三技術(shù)有限公司、邁普通信技

術(shù)股份有限公司、中國(guó)科學(xué)院信息工程研究所信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室、北京大學(xué)軟件與微電子學(xué)院。

本標(biāo)準(zhǔn)主要起草人：

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況：

——GB/T18018—1999

——GB/T18018—2007

1

GB/TXXXXX—XXXX

信息安全技術(shù)路由器安全技術(shù)要求

1范圍

本標(biāo)準(zhǔn)分等級(jí)規(guī)定了路由器的安全功能要求和安全保障要求。

本標(biāo)準(zhǔn)適用于指導(dǎo)路由器產(chǎn)品安全性的設(shè)計(jì)和實(shí)現(xiàn)，對(duì)路由器產(chǎn)品進(jìn)行的測(cè)試、評(píng)估和管理也可參

照使用。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB17859—2008計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

GB/T18336信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則（GB/T18336-2015，ISO/IEC15408：

2009，IDT）

3術(shù)語(yǔ)和定義、縮略語(yǔ)

3.1術(shù)語(yǔ)和定義

GB17859—2008和GB/T18336—2015確立的術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。

3.1.1

路由器router

路由器是主要的網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備，承載數(shù)據(jù)流量，通過(guò)路由選擇算法決定流經(jīng)數(shù)據(jù)的轉(zhuǎn)發(fā)處理，并可

以通過(guò)集成防火墻等功能模塊提供訪問(wèn)控制和安全擴(kuò)展功能。

3.1.2

簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議simplenetworkmanagementprotocol

簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）是一系列協(xié)議組和規(guī)范，提供了一種從網(wǎng)絡(luò)上的設(shè)備收集網(wǎng)絡(luò)管理信息

的方法，也為設(shè)備向網(wǎng)絡(luò)管理工作站報(bào)告問(wèn)題和錯(cuò)誤提供了一種方法。

3.1.3

單播逆向路徑轉(zhuǎn)發(fā)unicastreversepathforwarding

單播逆向路徑轉(zhuǎn)發(fā)通過(guò)獲取包的源地址和入接口，以源地址為目的地址，在轉(zhuǎn)發(fā)表中查找源地址對(duì)

應(yīng)的接口是否與入接口匹配，如果不匹配，則認(rèn)為源地址是偽裝的，丟棄該包。其功能是防止基于源地

址欺騙的網(wǎng)絡(luò)攻擊行為。

3.2縮略語(yǔ)

ACLAccessControlList訪問(wèn)控制列表

ALGApplicationLayerGateway應(yīng)用層網(wǎng)關(guān)

HTTPSHyperTextTransferProtocoloverSecureSocketLayer安全套接字層超文本傳輸協(xié)議

IDSInstrusionDetectionSystem入侵檢測(cè)系統(tǒng)

2

GB/TXXXXX—XXXX

IKEInternetKeyExchangeProtocolInternet密鑰交換協(xié)議

IPSECInternetProtocolSecurityInternet協(xié)議安全

MPLSMulti-ProtocolLabelSwitching多協(xié)議標(biāo)記交換

NAT/PATNetworkAddressTranslation/PortAddressTranslation網(wǎng)絡(luò)地址轉(zhuǎn)換/端口地址轉(zhuǎn)換

RadiusRemoteAuthenticationDialInUserService遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)

SftpSecureFileTransferProtocol安全文件傳輸協(xié)議

SNMPSimpleNetworkManagementProtocol簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

SNMPV3SimpleNetworkManagementProtocolVersion3簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議版本3

SSHSecureShell安全殼協(xié)議

SSL/TLSSecureSocketLayer/TransportLayerSecurity安全套接字層/傳輸層安全協(xié)議

TacacsTerminalAccessControllerAccessControlSystem終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)

URPFUnicastReversePathForwarding單播逆向路徑轉(zhuǎn)發(fā)

VRRPVirtualRouterRedundancyProtocol虛擬路由冗余協(xié)議

VPNVirtualPrivateNetwork虛擬專(zhuān)用網(wǎng)

4第一級(jí)安全要求

4.1安全功能要求

4.1.1自主訪問(wèn)控制

路由器應(yīng)執(zhí)行自主訪問(wèn)控制策略，通過(guò)管理員屬性表，控制不同管理員對(duì)路由器的配置數(shù)據(jù)和其他

數(shù)據(jù)的查看、修改，以及對(duì)路由器上程序的執(zhí)行，阻止非授權(quán)人員進(jìn)行上述活動(dòng)。

4.1.2身份鑒別

管理員鑒別

在管理員進(jìn)入系統(tǒng)會(huì)話之前，路由器應(yīng)鑒別管理員的身份，鑒別時(shí)采用口令機(jī)制，并在每次登錄系

統(tǒng)時(shí)進(jìn)行。口令應(yīng)是不可見(jiàn)的，并在存儲(chǔ)和傳輸時(shí)加密保護(hù)。

當(dāng)進(jìn)行鑒別時(shí)，路由器應(yīng)僅將最少的反饋（如：打入的字符數(shù)，鑒別的成功或失?。┨峁┙o被鑒別

人員。同時(shí)，反饋信息應(yīng)避免提示“用戶名錯(cuò)誤”、“口令錯(cuò)誤”等信息，避免攻擊者進(jìn)行用戶名或

口令的暴力猜解。

鑒別失敗處理

在經(jīng)過(guò)一定次數(shù)的鑒別失敗以后，路由器應(yīng)鎖定該賬號(hào)。最多失敗次數(shù)僅由授權(quán)管理員設(shè)定。

4.1.3安全管理

權(quán)限管理

路由器應(yīng)能夠設(shè)置多個(gè)角色，具備劃分管理員級(jí)別和規(guī)定相關(guān)權(quán)限（如監(jiān)視、維護(hù)配置等）的能力，

能夠限定每個(gè)管理員的管理范圍和權(quán)限，防止非授權(quán)登錄和非授權(quán)操作。

管理協(xié)議設(shè)置

路由器應(yīng)能配置和使用安全的協(xié)議對(duì)系統(tǒng)進(jìn)行管理控制。應(yīng)使用SSH,Sftp,SNMPV3和HTTPS。

安全屬性管理

路由器應(yīng)為管理員提供對(duì)安全功能進(jìn)行控制管理的功能，這些管理包括：

a）與對(duì)應(yīng)的路由器自主訪問(wèn)控制、鑒別和安全保障技術(shù)相關(guān)的功能的管理；

b）與一般的安裝和配置有關(guān)的功能的管理；

3

GB/TXXXXX—XXXX

c）路由器的安全配置參數(shù)要有初始值。路由器安裝后，安全功能應(yīng)能及時(shí)提醒管理員修改配置，

并能周期性地提醒管理員維護(hù)配置。

4.1.4設(shè)備安全防護(hù)

流量控制

路由器應(yīng)能夠?qū)υO(shè)備本身需進(jìn)行解析處理的協(xié)議流量大小進(jìn)行控制，例如，通過(guò)設(shè)置帶寬等防護(hù)手

段，保證系統(tǒng)在經(jīng)受協(xié)議泛洪攻擊時(shí)原有轉(zhuǎn)發(fā)業(yè)務(wù)正常，在泛洪攻擊消除后系統(tǒng)可直接恢復(fù)。

4.1.5安全功能保護(hù)

自檢

設(shè)備在上電啟動(dòng)時(shí)應(yīng)執(zhí)行安全功能的自檢，如內(nèi)存、數(shù)字簽名、加密算法等，確保安全功能正確。

只有當(dāng)所有自檢功能通過(guò)時(shí)，才能正常啟動(dòng)設(shè)備。

保證軟件更新的合法性

安全管理員應(yīng)能查詢當(dāng)前執(zhí)行的軟件/固件版本號(hào)及最近一次安裝的版本號(hào)。應(yīng)能在安裝更新前用

數(shù)字簽名驗(yàn)證軟件/固件更新的合法性。

4.2安全保障要求

4.2.1配置管理

開(kāi)發(fā)者應(yīng)設(shè)計(jì)和實(shí)現(xiàn)路由器配置管理，為產(chǎn)品的不同版本提供唯一的標(biāo)識(shí)，且產(chǎn)品的每個(gè)版本應(yīng)當(dāng)

使用其唯一的標(biāo)識(shí)作為標(biāo)簽。

4.2.2交付和運(yùn)行

開(kāi)發(fā)者應(yīng)以文檔形式對(duì)路由器安全交付以及安裝和啟動(dòng)過(guò)程進(jìn)行說(shuō)明。文檔中應(yīng)包括：

a)對(duì)安全地將路由器交付給用戶的說(shuō)明；

b)對(duì)安全地安裝和啟動(dòng)路由器的說(shuō)明。

4.2.3開(kāi)發(fā)

開(kāi)發(fā)者應(yīng)提供路由器功能設(shè)計(jì)，要求按非形式化功能設(shè)計(jì)的要求進(jìn)行功能設(shè)計(jì)，以非形式化方法描

述安全功能及其外部接口，并描述使用外部安全功能接口的目的和方法。

4.2.4指導(dǎo)性文檔

開(kāi)發(fā)者應(yīng)編制路由器的指導(dǎo)性文檔，要求如下：

a)文檔中應(yīng)該提供關(guān)于路由器的安全功能與接口、路由器的管理和配置、路由器的啟動(dòng)和操作、安

全屬性、警告信息的描述；

b)文檔中不應(yīng)包含任何一旦泄露將會(huì)危及系統(tǒng)安全的信息，文檔可以為硬拷貝、電子文檔或聯(lián)機(jī)文

檔。如果是聯(lián)機(jī)文檔，應(yīng)控制對(duì)文檔的訪問(wèn)。

4.2.5生命周期支持

開(kāi)發(fā)者應(yīng)建立開(kāi)發(fā)和維護(hù)路由器的生命周期模型，包括用于開(kāi)發(fā)和維護(hù)路由器的程序、工具和技術(shù)。

開(kāi)發(fā)者應(yīng)按其定義的生命周期模型進(jìn)行開(kāi)發(fā)和維護(hù)，并提供生命周期定義文檔，在文檔中描述用于開(kāi)發(fā)

和維護(hù)路由器安全功能的生命周期模型。

4.2.6測(cè)試

4

GB/TXXXXX—XXXX

開(kāi)發(fā)者應(yīng)對(duì)路由器進(jìn)行測(cè)試，要求如下：

a)應(yīng)進(jìn)行一般功能測(cè)試，保證路由器能夠滿足所有安全功能的要求；

b)保留并提供測(cè)試文檔，詳細(xì)描述測(cè)試計(jì)劃、測(cè)試過(guò)程以及預(yù)測(cè)結(jié)果和實(shí)際測(cè)試結(jié)果。

5第二級(jí)安全要求

5.1安全功能要求

5.1.1自主訪問(wèn)控制

路由器應(yīng)執(zhí)行自主訪問(wèn)控制策略，通過(guò)管理員屬性表，控制不同管理員對(duì)路由器的配置數(shù)據(jù)和其他

數(shù)據(jù)的查看、修改，以及對(duì)路由器上程序的執(zhí)行，阻止非授權(quán)人員進(jìn)行上述活動(dòng)。

5.1.2身份鑒別

管理員鑒別

在管理員進(jìn)入系統(tǒng)會(huì)話之前，路由器應(yīng)鑒別管理員的身份，鑒別時(shí)采用口令機(jī)制，并在每次登錄系

統(tǒng)時(shí)進(jìn)行?？诹顟?yīng)是不可見(jiàn)的，并在存儲(chǔ)和傳輸時(shí)加密保護(hù)。

當(dāng)進(jìn)行鑒別時(shí)，路由器應(yīng)僅將最少的反饋（如：打入的字符數(shù)，鑒別的成功或失敗）提供給被鑒別

人員。同時(shí)，反饋信息應(yīng)避免提示“用戶名錯(cuò)誤”、“口令錯(cuò)誤”等信息，避免攻擊者進(jìn)行用戶名或

口令的暴力猜解。

鑒別失敗處理

在經(jīng)過(guò)一定次數(shù)的鑒別失敗以后，路由器應(yīng)鎖定該賬號(hào)。最多失敗次數(shù)僅由授權(quán)管理員設(shè)定。

超時(shí)鎖定

路由器應(yīng)具有登錄超時(shí)鎖定功能。在設(shè)定的時(shí)間段內(nèi)沒(méi)有任何操作的情況下終止會(huì)話，需要再次

進(jìn)行身份鑒別才能夠重新操作。最大超時(shí)時(shí)間僅由授權(quán)管理員設(shè)定。

會(huì)話鎖定

路由器應(yīng)為管理員提供鎖定自己的交互會(huì)話的功能，鎖定后需要再次進(jìn)行身份鑒別才能夠重新管

理路由器。

登錄歷史

路由器應(yīng)具有登錄歷史功能，為登錄人員提供系統(tǒng)登錄活動(dòng)的有關(guān)信息，使登錄人員識(shí)別入侵的

企圖。成功通過(guò)鑒別并登錄系統(tǒng)后，路由器應(yīng)顯示如下數(shù)據(jù)：

——日期、時(shí)間、來(lái)源和上次成功登錄系統(tǒng)的情況；

——上次成功登錄系統(tǒng)以來(lái)身份鑒別失敗的情況；

——口令距失效日期的天數(shù)。

5.1.3安全管理

權(quán)限管理

路由器應(yīng)能夠設(shè)置多個(gè)角色，具備劃分管理員級(jí)別和規(guī)定相關(guān)權(quán)限（如監(jiān)視、維護(hù)配置等）的能力，

能夠限定每個(gè)管理員的管理范圍和權(quán)限，防止非授權(quán)登錄和非授權(quán)操作。

系統(tǒng)應(yīng)能支持Radius/Tacacs的集中認(rèn)證授權(quán)管理。

管理協(xié)議設(shè)置

路由器應(yīng)能配置和使用安全的協(xié)議對(duì)系統(tǒng)進(jìn)行管理控制。應(yīng)使用SSH,Sftp,SNMPV3和HTTPS。

安全屬性管理

路由器應(yīng)為管理員提供對(duì)安全功能進(jìn)行控制管理的功能，這些管理包括：

5

GB/TXXXXX—XXXX

a)與對(duì)應(yīng)的路由器自主訪問(wèn)控制、鑒別和安全保障技術(shù)相關(guān)的功能的管理；

b)與一般的安裝和配置有關(guān)的功能的管理；

c)路由器的安全配置參數(shù)要有初始值。路由器安裝后，安全功能應(yīng)能及時(shí)提醒管理員修改配置，并

能周期性地提醒管理員維護(hù)配置。

5.1.4設(shè)備安全防護(hù)

流量控制

路由器應(yīng)能夠?qū)υO(shè)備本身需進(jìn)行解析處理的協(xié)議流量大小進(jìn)行控制，例如，通過(guò)設(shè)置帶寬等防護(hù)手

段，保證系統(tǒng)在經(jīng)受協(xié)議泛洪攻擊時(shí)原有轉(zhuǎn)發(fā)業(yè)務(wù)正常，在泛洪攻擊消除后系統(tǒng)可直接恢復(fù)。

優(yōu)先級(jí)調(diào)度

路由器應(yīng)能夠按照業(yè)務(wù)重要性對(duì)設(shè)備本身需進(jìn)行解析處理的協(xié)議流量進(jìn)行優(yōu)先級(jí)調(diào)度。對(duì)高優(yōu)先

的協(xié)議流量進(jìn)行優(yōu)先保證，當(dāng)發(fā)生業(yè)務(wù)量激增或網(wǎng)絡(luò)攻擊時(shí)使重要業(yè)務(wù)不中斷。

資源耗盡防護(hù)

路由器應(yīng)能夠?qū)χ匾到y(tǒng)資源進(jìn)行保護(hù)，通過(guò)限定資源分配的方式將攻擊影響限定到一定范圍內(nèi)。

路由器應(yīng)支持MAC地址學(xué)習(xí)限制功能，使系統(tǒng)其他接口用戶不受影響。

5.1.5網(wǎng)絡(luò)安全防護(hù)

單播逆向路徑轉(zhuǎn)發(fā)功能

路由器應(yīng)具備URPF功能，在網(wǎng)絡(luò)邊界阻斷源IP地址欺騙攻擊。

路由協(xié)議認(rèn)證

路由器使用的路由協(xié)議應(yīng)支持路由認(rèn)證功能，保證路由是由合法的路由器發(fā)出的，并且在轉(zhuǎn)發(fā)過(guò)

程中沒(méi)有被改變。

MPLSVPN功能

路由器應(yīng)基于MPLS協(xié)議實(shí)現(xiàn)二層和三層VPN功能，采用獨(dú)立的VPN管理網(wǎng)絡(luò),實(shí)現(xiàn)不同用戶間的業(yè)務(wù)

隔離。

5.1.6安全功能保護(hù)

自檢

設(shè)備在上電啟動(dòng)時(shí)應(yīng)執(zhí)行安全功能的自檢，如內(nèi)存、數(shù)字簽名、加密算法等，確保安全功能正確。

只有當(dāng)所有自檢功能通過(guò)時(shí)，才能正常啟動(dòng)設(shè)備。

保證軟件更新的合法性

安全管理員應(yīng)能查詢當(dāng)前執(zhí)行的軟件/固件版本號(hào)及最近一次安裝的版本號(hào)。應(yīng)能在安裝更新前用

數(shù)字簽名驗(yàn)證軟件/固件更新的合法性。

5.1.7審計(jì)

審計(jì)數(shù)據(jù)生成

路由器應(yīng)具有審計(jì)功能，至少能夠?qū)徲?jì)以下行為：

——審計(jì)功能的啟動(dòng)和終止；

——賬戶管理；

——登錄事件；

——系統(tǒng)事件；

——配置文件的修改。

路由器應(yīng)為可審計(jì)行為生成審計(jì)記錄，并在每一個(gè)審計(jì)記錄中至少記錄以下信息：

6

GB/TXXXXX—XXXX

——事件發(fā)生的日期和時(shí)間；

——事件的類(lèi)型；

——管理員身份；

——事件的結(jié)果（成功或失敗）。

審計(jì)數(shù)據(jù)查閱

路由器應(yīng)為授權(quán)管理員提供從審計(jì)記錄中讀取審計(jì)信息的能力，為管理員提供的審計(jì)記錄具有唯

一、明確的定義和方便閱讀的格式。

審計(jì)數(shù)據(jù)保護(hù)

路由器應(yīng)能保護(hù)已存儲(chǔ)的審計(jì)記錄，避免未經(jīng)授權(quán)的刪除，并能監(jiān)測(cè)和防止對(duì)審計(jì)記錄的修改。

當(dāng)審計(jì)存儲(chǔ)耗盡、失敗或受到攻擊時(shí)，路由器應(yīng)確保最近的審計(jì)記錄在一定的時(shí)間內(nèi)不會(huì)被破壞。

5.1.8可靠性

路由器應(yīng)提供可靠性保證，具有部分冗余設(shè)計(jì)性能。支持插卡、接口、電源等部件的冗余與熱插

拔能力。

5.2安全保障要求

5.2.1配置管理

開(kāi)發(fā)者應(yīng)設(shè)計(jì)和實(shí)現(xiàn)路由器配置管理，要求如下：

a）開(kāi)發(fā)者應(yīng)使用配置管理系統(tǒng)，并提供配置管理文檔，為產(chǎn)品的不同版本提供唯一的標(biāo)識(shí)，且產(chǎn)

品的每個(gè)版本應(yīng)當(dāng)使用其唯一的標(biāo)識(shí)作為標(biāo)簽。

b）配置管理范圍至少應(yīng)包括路由器的產(chǎn)品實(shí)現(xiàn)表示、設(shè)計(jì)文檔、測(cè)試文檔、用戶文檔、配置管理，

從而確保它們的修改是在一個(gè)正確授權(quán)的可控方式下進(jìn)行的。配置管理文檔至少應(yīng)能跟蹤上述內(nèi)容，

并描述配置管理系統(tǒng)是如何跟蹤這些配置項(xiàng)的。

5.2.2交付和運(yùn)行

開(kāi)發(fā)者應(yīng)以文檔形式對(duì)路由器安全交付以及安裝和啟動(dòng)過(guò)程進(jìn)行說(shuō)明。文檔中應(yīng)包括：

a）對(duì)安全地將路由器交付給用戶的說(shuō)明；

b）對(duì)安全地安裝和啟動(dòng)路由器的說(shuō)明。

5.2.3開(kāi)發(fā)

開(kāi)發(fā)者應(yīng)提供路由器功能規(guī)范，要求如下：

a）按非形式化功能設(shè)計(jì)的要求進(jìn)行功能設(shè)計(jì)，以非形式化方法描述安全功能及其外部接口，并描

述使用外部安全功能接口的目的和方法；

b）提供路由器安全功能的高層設(shè)計(jì)。高層設(shè)計(jì)應(yīng)按子系統(tǒng)描述安全功能及其結(jié)構(gòu)，并標(biāo)識(shí)安全功

能子系統(tǒng)的所有接口。高層設(shè)計(jì)還應(yīng)標(biāo)識(shí)實(shí)現(xiàn)安全功能所要求的基礎(chǔ)性的硬件、固件和軟件；

c）開(kāi)發(fā)者應(yīng)提供路由器安全功能的功能設(shè)計(jì)與高層設(shè)計(jì)之間的非形式化對(duì)應(yīng)性分析，該分析應(yīng)證

明功能設(shè)計(jì)表示的所有相關(guān)安全功能都在高層設(shè)計(jì)中得到正確且完備的細(xì)化。

5.2.4指導(dǎo)性文檔

開(kāi)發(fā)者應(yīng)編制路由器的指導(dǎo)性文檔，要求如下：

a）文檔中應(yīng)該提供關(guān)于路由器的安全功能與接口、路由器的管理和配置、路由器的啟動(dòng)與操作、

安全屬性、警告信息、審計(jì)工具的描述；

7

GB/TXXXXX—XXXX

b）文檔中不應(yīng)包含任何一旦泄漏將會(huì)危及系統(tǒng)安全的信息，文檔可以為硬拷貝、電子文檔或聯(lián)機(jī)

文檔。如果是聯(lián)機(jī)文檔，應(yīng)控制對(duì)文檔的訪問(wèn)。

5.2.5生命周期支持

開(kāi)發(fā)者應(yīng)建立開(kāi)發(fā)和維護(hù)路由器的生命周期模型，即用于開(kāi)發(fā)和維護(hù)路由器的程序、工具和技術(shù)。

要求如下：

a）開(kāi)發(fā)者應(yīng)按其定義的生命周期模型進(jìn)行開(kāi)發(fā)和維護(hù)，并提供生命周期定義文檔，在文檔中描述

用于開(kāi)發(fā)和維護(hù)路由器安全功能的生命周期模型；

b）該模型對(duì)于路由器開(kāi)發(fā)和維護(hù)應(yīng)提供必要的控制，采用物理上、程序上、人員上以及其他方面

的安全措施保護(hù)路由器開(kāi)發(fā)環(huán)境的安全，包括場(chǎng)地的物理安全和對(duì)開(kāi)發(fā)人員的選擇，并采取適當(dāng)?shù)姆?/p>

護(hù)措施來(lái)消除或降低路由器開(kāi)發(fā)所面臨的安全威脅。

5.2.6測(cè)試

開(kāi)發(fā)者應(yīng)對(duì)路由器進(jìn)行測(cè)試，要求如下：

a）應(yīng)進(jìn)行一般功能測(cè)試，保證路由器能夠滿足所有安全功能的要求；

b）應(yīng)提供測(cè)試深度的分析。在深度分析中，應(yīng)論證測(cè)試文檔中所標(biāo)識(shí)的對(duì)安全功能的測(cè)試足以表

明該安全功能的運(yùn)行與高層設(shè)計(jì)是一致的；

c）應(yīng)進(jìn)行相符性獨(dú)立測(cè)試，由專(zhuān)業(yè)的第三方獨(dú)立實(shí)驗(yàn)室或消費(fèi)者組織實(shí)施測(cè)試，確認(rèn)路由器能夠

滿足所有安全功能的要求；

d）保留并提供測(cè)試文檔，詳細(xì)描述測(cè)試計(jì)劃、測(cè)試過(guò)程以及預(yù)測(cè)結(jié)果和實(shí)際測(cè)試結(jié)果。

5.2.7脆弱性評(píng)定

開(kāi)發(fā)者應(yīng)提供指導(dǎo)性文檔和分析文檔，在文檔中確定對(duì)路由器的所有可能的操作方式（包括失敗

和操作失誤后的操作）的后果以及對(duì)于保持安全操作的意義，并列出所有目標(biāo)環(huán)境的假設(shè)和所有的外

部安全措施（包括外部程序的、物理的或人員控制）要求。所述內(nèi)容應(yīng)是完備、清晰、一致和合理的。

開(kāi)發(fā)者應(yīng)對(duì)具有安全功能強(qiáng)度生命的安全機(jī)制（例如口令機(jī)制）進(jìn)行安全功能強(qiáng)度分析。安全功

能強(qiáng)度分析應(yīng)證明安全機(jī)制達(dá)到了所聲明的強(qiáng)度。

開(kāi)發(fā)者應(yīng)實(shí)施脆弱性分析，并提供脆弱性分布的文檔。對(duì)所有已標(biāo)識(shí)的脆弱性，文檔應(yīng)說(shuō)明它們

在所期望的路由器使用環(huán)境中不能被利用。文檔還應(yīng)說(shuō)明如何確保用戶能夠得到最新的安全補(bǔ)丁。

脆弱性分析文檔中應(yīng)包含對(duì)所使用協(xié)議的脆弱性分析。

6第三級(jí)安全要求

6.1安全功能要求

6.1.1自主訪問(wèn)控制

路由器應(yīng)執(zhí)行自主訪問(wèn)控制策略，通過(guò)管理員屬性表，控制不同管理員對(duì)路由器的配置數(shù)據(jù)和其他

數(shù)據(jù)的查看、修改，以及對(duì)路由器上程序的執(zhí)行，阻止非授權(quán)人員進(jìn)行上述活動(dòng)。

6.1.2身份鑒別

管理員鑒別

在管理員進(jìn)入系統(tǒng)會(huì)話之前，路由器應(yīng)鑒別管理員的身份。鑒別應(yīng)支持口令和數(shù)字證書(shū)，并在每

次登錄系統(tǒng)時(shí)進(jìn)行?？诹顟?yīng)是不可見(jiàn)的，并在存儲(chǔ)和傳輸時(shí)加密保護(hù)。

8

GB/TXXXXX—XXXX

當(dāng)進(jìn)行鑒別時(shí)，路由器應(yīng)僅將最少的反饋（如：打入的字符數(shù)，鑒別的成功或失?。┨峁┙o被鑒別

人員。同時(shí)，反饋信息應(yīng)避免提示“用戶名錯(cuò)誤”、“口令錯(cuò)誤”等信息，避免攻擊者進(jìn)行用戶名或

口令的暴力猜解。

設(shè)備登錄口令管理

設(shè)備應(yīng)能夠提供身份鑒別管理策略，限制口令的最小長(zhǎng)度、組成、復(fù)雜度、使用期等。口令組成

應(yīng)支持?jǐn)?shù)字、大小寫(xiě)字母和特殊符號(hào)；并能限制歷史密碼的使用。

設(shè)備登錄口令不能以明文形式顯示或存儲(chǔ)，應(yīng)采用單向函數(shù)方式存儲(chǔ)，并保證單向函數(shù)的強(qiáng)度。

證書(shū)驗(yàn)證

設(shè)備應(yīng)支持使用證書(shū)進(jìn)行身份驗(yàn)證。例如，SSH、IKE、SSL/TLS等協(xié)議應(yīng)支持證書(shū)認(rèn)證，增強(qiáng)設(shè)備

的安全性。

鑒別失敗處理

在經(jīng)過(guò)一定次數(shù)的鑒別失敗以后，路由器應(yīng)鎖定該賬號(hào)。最多失敗次數(shù)僅由授權(quán)管理員設(shè)定。

超時(shí)鎖定

路由器應(yīng)具有登錄超時(shí)鎖定功能。在設(shè)定的時(shí)間段內(nèi)沒(méi)有任何操作的情況下終止會(huì)話，需要再次進(jìn)

行身份鑒別才能夠重新操作。最大超時(shí)時(shí)間僅由授權(quán)管理員設(shè)定。

會(huì)話鎖定

路由器應(yīng)為管理員提供鎖定自己的交互會(huì)話的功能，鎖定后需要再次進(jìn)行身份鑒別才能夠重新管理

路由器。

登錄歷史

路由器應(yīng)具有登錄歷史功能，為登錄人員提供系統(tǒng)登錄活動(dòng)的有關(guān)信息，是登錄人員識(shí)別入侵的企

圖。成功通過(guò)鑒別并登錄系統(tǒng)后，路由器應(yīng)顯示如下數(shù)據(jù)：

——日期、時(shí)間、來(lái)源和上次成功登錄系統(tǒng)的情況；

——上次成功登錄系統(tǒng)以來(lái)身份鑒別失敗的情況；

——口令距失效日期的天數(shù)。

6.1.3數(shù)據(jù)保護(hù)

概述

路由器應(yīng)具有數(shù)據(jù)完整性功能，對(duì)系統(tǒng)中的數(shù)據(jù)采取有效措施，防止其遭受非授權(quán)人員的修改、

破壞和刪除。

數(shù)據(jù)存儲(chǔ)

只有管理員才能管理（包括但不限于：創(chuàng)建、初始化、查看、添加、修改、刪除等操作）設(shè)備的

配置、身份和審計(jì)數(shù)據(jù)。

數(shù)據(jù)傳輸

管理員應(yīng)能選擇安全協(xié)議（例如SSH、IPSEC、TLS等）對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行保護(hù)。保護(hù)功能包括:身

份認(rèn)證、機(jī)密性和完整性。

敏感數(shù)據(jù)

對(duì)于敏感數(shù)據(jù)，例如用戶口令、私鑰、對(duì)稱(chēng)密鑰、預(yù)共享密鑰等，不能以明文的形式顯示或存儲(chǔ)。

6.1.4安全管理

權(quán)限管理

路由器應(yīng)能夠設(shè)置多個(gè)角色，具備劃分管理員級(jí)別和規(guī)定相關(guān)權(quán)限（如監(jiān)視、維護(hù)配置等）的能力，

能夠限定每個(gè)管理員的管理范圍和權(quán)限，防止非授權(quán)登錄和非授權(quán)操作。

系統(tǒng)應(yīng)能支持Radius/Tacacs的集中認(rèn)證授權(quán)管理。

9

GB/TXXXXX—XXXX

管理協(xié)議設(shè)置

路由器應(yīng)能配置和使用安全的協(xié)議對(duì)系統(tǒng)進(jìn)行管理控制。應(yīng)使用SSH,Sftp,SNMPV3和HTTPS。

安全屬性管理

路由器應(yīng)為管理員提供對(duì)安全功能進(jìn)行控制管理的功能，這些管理包括：

a)與對(duì)應(yīng)的路由器自主訪問(wèn)控制、鑒別和安全保障技術(shù)相關(guān)的功能的管理；

b)與一般的安裝和配置有關(guān)的功能的管理；

c)路由器的安全配置參數(shù)要有初始值。路由器安裝后，安全功能應(yīng)能及時(shí)提醒管理員修改配置，并

能周期性地提醒管理員維護(hù)配置。

6.1.5設(shè)備安全防護(hù)

流量控制

路由器應(yīng)能夠?qū)υO(shè)備本身需進(jìn)行解析處理的協(xié)議流量大小進(jìn)行控制，例如，通過(guò)設(shè)置帶寬等防護(hù)手

段，保證系統(tǒng)在經(jīng)受協(xié)議泛洪攻擊時(shí)原有轉(zhuǎn)發(fā)業(yè)務(wù)正常，在泛洪攻擊消除后系統(tǒng)可直接恢復(fù)。

優(yōu)先級(jí)調(diào)度

路由器應(yīng)能夠按照業(yè)務(wù)重要性對(duì)設(shè)備本身需進(jìn)行解析處理的協(xié)議流量進(jìn)行優(yōu)先級(jí)調(diào)度。對(duì)高優(yōu)先的

協(xié)議流量進(jìn)行優(yōu)先保證，當(dāng)發(fā)生業(yè)務(wù)量激增或網(wǎng)絡(luò)攻擊時(shí)使重要業(yè)務(wù)不中斷。

資源耗盡防護(hù)

路由器應(yīng)能夠?qū)χ匾到y(tǒng)資源進(jìn)行保護(hù)，通過(guò)限定資源分配的方式將攻擊影響限定到一定范圍內(nèi)。

路由器應(yīng)支持MAC地址學(xué)習(xí)限制功能，使系統(tǒng)其他接口用戶不受影響。

6.1.6網(wǎng)絡(luò)安全防護(hù)

單播逆向路徑轉(zhuǎn)發(fā)功能

路由器應(yīng)具備URPF功能，在網(wǎng)絡(luò)邊界阻斷源IP地址欺騙攻擊。

路由協(xié)議認(rèn)證

路由器使用的路由協(xié)議應(yīng)支持路由認(rèn)證功能，保證路由是由合法的路由器發(fā)出的，并且在轉(zhuǎn)發(fā)過(guò)程

中沒(méi)有被改變。

MPLSVPN功能

路由器應(yīng)基于MPLS協(xié)議實(shí)現(xiàn)二層和三層VPN功能，采用獨(dú)立的VPN管理網(wǎng)絡(luò),實(shí)現(xiàn)不同用戶間的業(yè)務(wù)

隔離。

6.1.7安全功能保護(hù)

自檢

設(shè)備在上電啟動(dòng)時(shí)應(yīng)執(zhí)行安全功能的自檢，如內(nèi)存、數(shù)字簽名、加密算法等，確保安全功能正確。

只有當(dāng)所有自檢功能通過(guò)時(shí)，才能正常啟動(dòng)設(shè)備。

保證軟件更新的合法性

安全管理員應(yīng)能查詢當(dāng)前執(zhí)行的軟件/固件版本號(hào)及最近一次安裝的版本號(hào)。應(yīng)能在安裝更新前用

數(shù)字簽名驗(yàn)證軟件/固件更新的合法性。

6.1.8審計(jì)

審計(jì)數(shù)據(jù)生成

路由器應(yīng)具有審計(jì)功能，至少能夠?qū)徲?jì)以下行為：

——審計(jì)功能的啟動(dòng)和終止；

——賬戶管理；

10

GB/TXXXXX—XXXX

——登錄事件；

——系統(tǒng)事件；

——配置文件的修改。

路由器應(yīng)為可審計(jì)行為生成審計(jì)記錄，并在每一個(gè)審計(jì)記錄中至少記錄以下信息：

——事件發(fā)生的日期和時(shí)間；

——事件的類(lèi)型；

——管理員身份；

——事件的結(jié)果（成功或失?。?。

審計(jì)數(shù)據(jù)查閱

路由器應(yīng)為授權(quán)管理員提供從審計(jì)記錄中讀取審計(jì)信息的能力，為管理員提供的審計(jì)記錄具有唯

一、明確的定義和方便閱讀的格式。

審計(jì)數(shù)據(jù)保護(hù)

路由器應(yīng)能保護(hù)已存儲(chǔ)的審計(jì)記錄，避免未經(jīng)授權(quán)的刪除，并能監(jiān)測(cè)和防止對(duì)審計(jì)記錄的修改。當(dāng)

審計(jì)存儲(chǔ)耗盡、失敗或受到攻擊時(shí)，路由器應(yīng)確保最近的審計(jì)記錄在一定的時(shí)間內(nèi)不會(huì)被破壞。

潛在侵害分析

路由器應(yīng)能監(jiān)控可審計(jì)行為，并指出潛在的侵害。

路由器應(yīng)在檢測(cè)到可能有安全侵害發(fā)生時(shí)做出響應(yīng)，如：通知管理員，向管理員提供一組遏制侵害

的或采取矯正的行動(dòng)。

6.1.9可靠性

路由器應(yīng)具有全冗余設(shè)計(jì)，應(yīng)確保無(wú)中斷在線升級(jí)，支持插卡、接口、電源等部件的冗余與熱插

拔等功能，能夠安裝雙引擎和雙電源模塊，具有故障定位與隔離及遠(yuǎn)程重啟等功能。

路由器可以通過(guò)虛擬路由冗余協(xié)議（VRRP）組成路由器機(jī)群。

6.2安全保障要求

6.2.1配置管理

開(kāi)發(fā)者應(yīng)設(shè)計(jì)和實(shí)現(xiàn)路由器配置管理，要求如下：

a）開(kāi)發(fā)者應(yīng)使用配置管理系統(tǒng)，并提供配置管理文檔，為產(chǎn)品的不同版本提供唯一的標(biāo)識(shí)，且產(chǎn)

品的每個(gè)版本應(yīng)當(dāng)使用其唯一的標(biāo)識(shí)作為標(biāo)簽。

b）配置管理范圍至少應(yīng)包括路由器的產(chǎn)品實(shí)現(xiàn)表示、設(shè)計(jì)文檔、測(cè)試文檔、用戶文檔、配置管理，

從而確保它們的修改是在一個(gè)正確授權(quán)的可控方式下進(jìn)行的。配置管理文檔至少應(yīng)能跟蹤上述內(nèi)容，并

描述配置管理系統(tǒng)是如何跟蹤這些配置項(xiàng)的。

c）部分的配置管理應(yīng)實(shí)現(xiàn)自動(dòng)化。

6.2.2交付和運(yùn)行

開(kāi)發(fā)者應(yīng)以文檔形式對(duì)路由器安全交付以及安裝和啟動(dòng)的過(guò)程進(jìn)行說(shuō)明。文檔中應(yīng)包括：

a）對(duì)安全地將路由器交付給用戶的說(shuō)明；

b）對(duì)安全地安裝和啟動(dòng)路由器的說(shuō)明。

c）對(duì)如何檢測(cè)路由器在分發(fā)過(guò)程中發(fā)生的未授權(quán)修改、如何檢測(cè)攻擊者偽裝成開(kāi)發(fā)者向用戶交付

路由器產(chǎn)品的說(shuō)明。

以安全方式分發(fā)并交付產(chǎn)品后，仍應(yīng)提供對(duì)路由器的長(zhǎng)期維護(hù)和評(píng)估的支持，包括產(chǎn)品中的漏洞

和現(xiàn)場(chǎng)問(wèn)題的解決。

11

GB/TXXXXX—XXXX

以安全方式分發(fā)并交付產(chǎn)品后，仍應(yīng)不斷向用戶提供可能會(huì)影響到路由器安全的注意事項(xiàng)或警告

信息。

6.2.3開(kāi)發(fā)

開(kāi)發(fā)者應(yīng)提供路由器功能規(guī)范，要求如下：

a）按非形式化功能設(shè)計(jì)的要求進(jìn)行功能設(shè)計(jì)，以非形式化方法描述安全功能及其外部接口，并描

述使用外部安全功能接口的目的和方法；

b）提供路由器安全功能的高層設(shè)計(jì)。高層設(shè)計(jì)應(yīng)按子系統(tǒng)描述安全功能及其結(jié)構(gòu)，并標(biāo)識(shí)安全功

能子系統(tǒng)的所有接口。高層設(shè)計(jì)還應(yīng)標(biāo)識(shí)實(shí)現(xiàn)安全功能所要求的基礎(chǔ)性的硬件、固件和軟件。高層設(shè)計(jì)

還應(yīng)描述安全功能子系統(tǒng)所有接口及使用接口的目的和方法，并詳細(xì)描述接口的返回結(jié)果、例外情況

和錯(cuò)誤信息等，以及如何將路由器中有助于增強(qiáng)安全策略的子系統(tǒng)分離出來(lái)；

c）開(kāi)發(fā)者應(yīng)提供路由器安全功能的低層設(shè)計(jì)。低層設(shè)計(jì)應(yīng)以模塊術(shù)語(yǔ)描述安全功能，并描述每一

個(gè)模塊的目的、接口和相互間的關(guān)系。低層設(shè)計(jì)還應(yīng)描述如何將路由器中有助于增強(qiáng)安全策略的模塊

分離出來(lái)；

d）開(kāi)發(fā)者應(yīng)提供路由器安全功能的功能設(shè)計(jì)與高層設(shè)計(jì)之間的非形式化對(duì)應(yīng)性分析，該分析應(yīng)證

明功能設(shè)計(jì)表示的所有相關(guān)安全功能都在高層設(shè)計(jì)中得到正確且完備的細(xì)化；

e）開(kāi)發(fā)者應(yīng)提供安全策略模型，并闡明該模型和路由器功能設(shè)計(jì)之間的對(duì)應(yīng)性，這一對(duì)應(yīng)性是一

致和完備的。安全策略模型是非形式化的。該模型應(yīng)描述所有可以模型化的安全策略的規(guī)則和特征，

并闡明該模型對(duì)于所有可模型化的安全策略來(lái)說(shuō)，是與其一致且完備的。

6.2.4指導(dǎo)性文檔

開(kāi)發(fā)者應(yīng)編制路由器的指導(dǎo)性文檔，要求如下：

a）文檔中應(yīng)該提供關(guān)于路由器的安全功能與接口、路由器的管理和配置、路由器的啟動(dòng)與操作、

安全屬性、警告信息、審計(jì)工具的描述；

b）文檔中不應(yīng)包含任何一旦泄露將會(huì)危及系統(tǒng)安全的信息，文檔可以為硬拷貝、電子文檔或聯(lián)機(jī)

文檔。如果是聯(lián)機(jī)文檔，應(yīng)控制對(duì)文檔的訪問(wèn)。

6.2.5生命周期支持

開(kāi)發(fā)者應(yīng)建立開(kāi)發(fā)和維護(hù)路由器的生命周期模型，即用于開(kāi)發(fā)和維護(hù)路由器的程序、工具和技術(shù)。

要求如下：

a）開(kāi)發(fā)者應(yīng)按其定義的生命周期模型進(jìn)行開(kāi)發(fā)和維護(hù)，并提供生命周期定義文檔，在文檔中描述

用于開(kāi)發(fā)和維護(hù)路由器安全功能的生命周期模型；

b）該模型對(duì)于路由器開(kāi)發(fā)和維護(hù)應(yīng)提供必要的控制，采用物理上、程序上、人員上以及其他方面

的安全措施保護(hù)路由器開(kāi)發(fā)環(huán)境的安全，包括場(chǎng)地的物理安全和對(duì)開(kāi)發(fā)人員的選擇，并采取適當(dāng)?shù)姆雷o(hù)

措施來(lái)消除或降低路由器開(kāi)發(fā)所面臨的安全威脅；

c）開(kāi)發(fā)者應(yīng)描述用于開(kāi)發(fā)路由器的工具和參照標(biāo)準(zhǔn)，并提供關(guān)于已選擇的開(kāi)發(fā)工具選項(xiàng)的描述文

檔。開(kāi)發(fā)工具文檔應(yīng)明確說(shuō)明所有開(kāi)發(fā)工具選項(xiàng)的含義。

6.2.6測(cè)試

開(kāi)發(fā)者應(yīng)對(duì)路由器進(jìn)行測(cè)試，要求如下：

a）應(yīng)進(jìn)行一般功能測(cè)試，保證路由器能夠滿足所有安全功能的要求；

b）應(yīng)提供測(cè)試深度的分析。在深度分析中，應(yīng)論證測(cè)試文檔中所標(biāo)識(shí)的對(duì)安全功能的測(cè)試足以表

明該安全功能的運(yùn)行與高層設(shè)計(jì)以及低層設(shè)計(jì)是一致的；

12

GB/TXXXXX—XXXX

c）應(yīng)進(jìn)行相符性獨(dú)立測(cè)試，由專(zhuān)業(yè)第三方獨(dú)立實(shí)驗(yàn)室或消費(fèi)者組織實(shí)施測(cè)試，確認(rèn)路由器能夠滿

足所有安全功能的要求；

d）應(yīng)由專(zhuān)業(yè)第三方獨(dú)立實(shí)驗(yàn)室或消費(fèi)者組織抽樣獨(dú)立性測(cè)試。開(kāi)發(fā)者應(yīng)提供能有效重現(xiàn)開(kāi)發(fā)者測(cè)

試的必需資料，包括可由機(jī)器閱讀的測(cè)試文檔、測(cè)試程序等；

e）保留并提供測(cè)試文檔，詳細(xì)描述測(cè)試計(jì)劃、測(cè)試過(guò)程以及預(yù)測(cè)結(jié)果和實(shí)際測(cè)試結(jié)果。

6.2.7脆弱性評(píng)定

開(kāi)發(fā)者應(yīng)提供指導(dǎo)性文檔和分析文檔，在文檔中確定對(duì)路由器的所有可能的操作方式（包括失敗和

操作失誤后的操作）的后果以及對(duì)于保持安全操作的意義，并列出所有目標(biāo)環(huán)境的假設(shè)和所有的外部安

全措施（包括外部程序的、物理的或人員控制）要求。所述內(nèi)容應(yīng)是完備、清晰、一致和合理的。

開(kāi)發(fā)者應(yīng)對(duì)具有安全功能強(qiáng)度生命的安全機(jī)制（例如口令機(jī)制）進(jìn)行安全功能強(qiáng)度分析。安全功能

強(qiáng)度分析應(yīng)證明安全機(jī)制達(dá)到了所聲明的強(qiáng)度。

開(kāi)發(fā)者應(yīng)實(shí)施脆弱性分析，并提供脆弱性分布的文檔。對(duì)所有已標(biāo)識(shí)的脆弱性，文檔應(yīng)說(shuō)明它們?cè)?/p>

所期望的路由器使用環(huán)境中不能被利用。文檔還應(yīng)說(shuō)明如何確保用戶能夠得到最新的安全補(bǔ)丁。

脆弱性分析文檔中應(yīng)包含對(duì)所使用協(xié)議的脆弱性分析。

7附加安全功能

7.1附加安全功能

7.1.1網(wǎng)絡(luò)訪問(wèn)控制功能

路由器上可采用多種用戶接入的控制手段，如Web登錄認(rèn)證、訪問(wèn)控制列表（ACL）、802.1x協(xié)議等，

保護(hù)接入用戶不受網(wǎng)絡(luò)攻擊，同時(shí)能夠阻止接入用戶攻擊其他用戶和網(wǎng)絡(luò)。

7.1.2虛擬專(zhuān)網(wǎng)功能

路由器可實(shí)現(xiàn)IPSEC和多協(xié)議標(biāo)記交換協(xié)議（MPLS）兩種虛擬專(zhuān)用網(wǎng)架構(gòu)。

IPSECVPN支持隧道和傳輸模式，確保數(shù)據(jù)通信的保密性和完整性。

MPLSVPN使用標(biāo)簽交換，提供QoS機(jī)制和流量工程能力。MPLS支持全網(wǎng)狀VPN的建立，不同的VPN具

有地址空間和路由獨(dú)立性。

路由器可支持MPLS和IPSEC的結(jié)合，在進(jìn)行數(shù)據(jù)加密和認(rèn)證的同時(shí)能夠提供良好的可管理性。

路由器使用的加密算法應(yīng)通過(guò)國(guó)家密碼管理部門(mén)的審批。

7.1.3防火墻防護(hù)功能

路由器可加入防火墻功能模塊，實(shí)現(xiàn)報(bào)文過(guò)濾功能，對(duì)所有接收和轉(zhuǎn)發(fā)的報(bào)文進(jìn)行過(guò)濾和檢查。路

由器還可提供基于報(bào)文內(nèi)容的防護(hù)，當(dāng)報(bào)文通過(guò)路由器時(shí)，防火墻功能模塊可以對(duì)報(bào)文與制定的訪問(wèn)規(guī)

則進(jìn)行比較，決定是否直接丟棄報(bào)文。

路由器還可利用NAT/PAT（網(wǎng)絡(luò)地址轉(zhuǎn)換/端口地址轉(zhuǎn)換）功能隱藏內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)，進(jìn)一步實(shí)現(xiàn)復(fù)雜

的應(yīng)用網(wǎng)關(guān)（ALG）功能。

7.1.4入侵檢測(cè)（IDS）功能

路由器可內(nèi)置IDS功能模塊，具備完善的端口鏡像和報(bào)文統(tǒng)計(jì)功能，能夠檢測(cè)并阻斷攻擊。

13

GB/TXXXXX—XXXX

附錄A（資料性附錄）安全要求對(duì)照表

表A.1和表A.2分別給出了條款中安全功能要求和安全保障要求的對(duì)照表。

A.1安全功能要求對(duì)照表

第一級(jí)第二級(jí)第三級(jí)

自主訪問(wèn)控制+++

身份鑒別設(shè)備登錄口令管理

證書(shū)驗(yàn)證

管理員鑒別++++

鑒別失敗處理+++

超時(shí)鎖定++

會(huì)話鎖定++

登錄歷史++

數(shù)據(jù)保護(hù)數(shù)據(jù)存儲(chǔ)+

數(shù)據(jù)傳輸

敏感數(shù)據(jù)

安全管理權(quán)限管理+++

管理協(xié)議設(shè)置+++

服務(wù)最小化+

安全屬性管理+++

設(shè)備安全防護(hù)