(高清版)GB∕T 38798-2020 綜合寬帶接入網(wǎng)安全技術(shù)要求

M42中華人民共和國國家標準綜合寬帶接入網(wǎng)安全技術(shù)要求Tsss國家市場監(jiān)督管理總局國家標準化管理委員會GB／T38798—2020前言 引言 2規(guī)范性引用文件 3縮略語 4用戶平面安全要求 4.2組播／廣播/DLF報文風(fēng)暴抑制 4.3協(xié)議報文限速 4.4MAC地址控制功能 5控制平面安全要求 5.4防DOS攻擊 5.5ARP代理功能 5.7SIP協(xié)議的注冊認證功能 6管理平面安全要求 6.2設(shè)備訪問方式 6.3網(wǎng)管系統(tǒng)安全要求 7設(shè)備可靠性要求 7.1主控板主備倒換 7.2電源主備倒換 8設(shè)備電氣安全要求 ⅠGB／T38798—2020本標準按照GB/T1.1—2009給出的規(guī)則起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任。本標準由中華人民共和國工業(yè)和信息化部提出。本標準由全國通信標準化技術(shù)委員會(SAC/TC485)歸口。本標準起草單位：中國信息通信研究院。ⅡGB／T38798—2020為避免非法竊取網(wǎng)絡(luò)資源、非法使用網(wǎng)絡(luò)業(yè)務(wù)、惡意攻擊，提高下一代網(wǎng)絡(luò)設(shè)備的安全性可靠性，ITU-T于2003年制定了ITU-TX.805《端到端通信系統(tǒng)安全框架》，定義了一個完整的端到端通信系統(tǒng)的安全框架，規(guī)定了應(yīng)用層、業(yè)務(wù)層和基礎(chǔ)設(shè)施層三個網(wǎng)絡(luò)層次，并為每個網(wǎng)絡(luò)層次定義了用戶、控制和管理三個平面。每個層次的每個平面分別從訪問控制、鑒別、不可抵賴、數(shù)據(jù)保密性、通信安全、完整性、可用性和隱私八個方面考慮其安全性。近幾年，隨著互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展和寬帶接入網(wǎng)絡(luò)向?qū)拵Щ⒕C合化和軟件化的發(fā)展，綜合寬帶接入網(wǎng)面臨比過去單一業(yè)務(wù)單一網(wǎng)絡(luò)更為復(fù)雜的安全環(huán)境，同時技術(shù)的升級換代也產(chǎn)生了更多的安全威脅和防御手段。因此制定寬帶接入網(wǎng)安全標準勢在必行。參考ITU-TX.805的相關(guān)準則，并結(jié)合綜合寬帶接入網(wǎng)設(shè)備特點，本標準從用戶、控制、管理等三個平面進行規(guī)定，每個平面分別從訪問控制、鑒別、通信安全和可用性等幾個方面定義其安全性。1GB／T38798—2020綜合寬帶接入網(wǎng)安全技術(shù)要求本標準規(guī)定了綜合寬帶接入網(wǎng)設(shè)備的用戶平面安全要求、控制平面安全要求、管理平面安全要求、設(shè)備可靠性和電氣安全要求。本標準適用于公眾電信網(wǎng)的綜合寬帶接入網(wǎng)設(shè)備，專用電信網(wǎng)中的綜合寬帶接入網(wǎng)設(shè)備也可參考使用。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T9254信息技術(shù)設(shè)備的無線電騷擾限值和測量方法GB/T17618信息技術(shù)設(shè)備抗擾度限值和測量方法YD/T1082接入網(wǎng)設(shè)備過電壓過電流防護及基本環(huán)境適應(yīng)性技術(shù)要求和試驗方法3縮略語下列縮略語適用于本文件。確認字符(訪問控制列表(地址解析協(xié)議(動態(tài)主機配置協(xié)議(目的查找失敗(拒絕服務(wù)(因特網(wǎng)控制消息協(xié)議(互聯(lián)網(wǎng)組管理協(xié)議(互聯(lián)網(wǎng)多媒體系統(tǒng)(IP媒體訪問控制(無應(yīng)答(遠程管理服務(wù)器(會話初始協(xié)議(簡單網(wǎng)絡(luò)管理協(xié)議(安全套件層(傳輸控制協(xié)議(安全傳輸層協(xié)議(用戶數(shù)據(jù)報協(xié)議(基于用戶的安全模型(虛擬局域網(wǎng)(2GB／T38798—2020互聯(lián)網(wǎng)上的語音(4用戶平面安全要求基于不同設(shè)備類型，應(yīng)支持根據(jù)物理端口、以太網(wǎng)封裝協(xié)議、源／目的MAC地址、源／目的IP地址、以太網(wǎng)優(yōu)先級標記和TCP/UDP端口號對上、下行以太網(wǎng)數(shù)據(jù)幀進行過濾。4.2組播／廣播／DLF報文風(fēng)暴抑制應(yīng)支持對二層組播／廣播/DLF報文的速率進行抑制，在上行方向應(yīng)默認開啟此功能。應(yīng)支持基于全局的抑制方式，建議支持基于VLAN和端口的抑制方式。4.3協(xié)議報文限速應(yīng)支持對特定協(xié)議報文（例如，DHCP、IGMP、ICMP等）進行限速處理。地址控制功能應(yīng)支持限制基于端口學(xué)習(xí)到的MAC地址的數(shù)量，且限制的數(shù)量應(yīng)可以靈活配置。當(dāng)達到MAC地址表深度時，設(shè)備應(yīng)支持忽略新MAC地址直到舊MAC地址老化。5控制平面安全要求應(yīng)支持設(shè)備的合法性認證的能力，應(yīng)拒絕未通過認證的設(shè)備接入網(wǎng)絡(luò)獲得服務(wù)。應(yīng)支持組播權(quán)限控制功能，阻止非法用戶獲取組播業(yè)務(wù)。應(yīng)支持過濾來自用戶端口的IGMP查詢幀和DHCPOFFER/ACK/NAK幀。應(yīng)支持對網(wǎng)絡(luò)側(cè)合法組播源的配置和對非法組播源進行過濾的配置。攻擊應(yīng)支持防止攻擊目標為本設(shè)備的攻擊抵御能力例如等攻擊。5.5ARP代理功能為了防止形成廣播風(fēng)暴，宜支持ARP協(xié)議代理功能。對支持三層功能的設(shè)備，應(yīng)支持ARP代理功能。提供業(yè)務(wù)的設(shè)備應(yīng)支持定期向軟交換/IMS發(fā)送心跳消息，并應(yīng)能正確響應(yīng)軟交換/IMS發(fā)送的心跳消息。3GB／T38798—2020協(xié)議的注冊認證功能對于采用SIP協(xié)議提供業(yè)務(wù)的設(shè)備，在向軟交換/IMS注冊時，支持認證功能。6管理平面安全要求不論在何種管理方式下，對設(shè)備的管理用戶都需要鑒別和認證，鑒別和認證是系統(tǒng)訪問的基礎(chǔ)。與管理員權(quán)限相關(guān)的安全數(shù)據(jù)應(yīng)得到妥善的保護。無論在設(shè)備還是網(wǎng)管系統(tǒng)中，口令不應(yīng)使用明文保存。6.2設(shè)備訪問方式訪問支持訪問的設(shè)備應(yīng)支持或宜支持當(dāng)采用和時，應(yīng)可以和訪問控制列表相結(jié)合，控制非法網(wǎng)管接入設(shè)備，同時不使用作為缺省團體名，缺省只讀團體名和讀寫團體名稱不能夠相同，并且具有提示管理員修改團體名的功能。支持時，支持USM等安全機制。宜實現(xiàn)對網(wǎng)管站的訪問控制，限定用戶通過某些IP地址使用SNMP對設(shè)備進行訪問。本地訪問支持本地CONSOLE訪問的設(shè)備應(yīng)支持通過其所帶的CONSOLE接口進行帶外方式的操作維護，在維護終端與設(shè)備進行交互的過程中應(yīng)提供與訪問方式相同的安全保護能力。訪問支持訪問的設(shè)備應(yīng)支持以下安全要求：a)用戶應(yīng)提供用戶名／口令才能進行后續(xù)的操作，用戶地址和操作應(yīng)記入日志；訪問時應(yīng)提供對用戶賬號的分級管理機制，提供對用戶權(quán)限的控制功能；c)應(yīng)限制同時訪問的用戶數(shù)目；d)在設(shè)定的時間內(nèi)不進行交互，用戶應(yīng)自動被注銷，提供終端超時鎖定功能；e)可限定用戶通過哪些IP地址使用服務(wù)對設(shè)備進行訪問；能夠針對的密碼試探攻擊進行防范，可對同一個IP地址使用延時響應(yīng)機制，也可利用限定來自同一個IP地址的登錄嘗試次數(shù)；應(yīng)支持關(guān)閉服務(wù)。訪問支持方式訪問的設(shè)備應(yīng)支持以下安全要求：a)用戶應(yīng)提供用戶名／口令才能進行后續(xù)的操作，用戶地址和操作應(yīng)記入日志；b)可限定用戶通過哪些IP地址使用HTTP對設(shè)備進行訪問；應(yīng)支持關(guān)閉HTTP服務(wù)；應(yīng)支持SSL/TLS安全協(xié)議或提供其他安全措施，實現(xiàn)對管理用戶數(shù)據(jù)的完整性保護。4GB／T38798—2020支持TR-069方式訪問的設(shè)備應(yīng)支持以下安全要求：終端設(shè)備與接口應(yīng)采用加密和認證組合使用方式實現(xiàn)接口的安全；在SSL/TLS安全通道建立過程中，RMS不需要通過證書對終端設(shè)備的合法性進行認證。終端設(shè)備應(yīng)支持基于證書和不基于證書的密鑰交換認證方式對RMS進行合法性認證。6.3網(wǎng)管系統(tǒng)安全要求網(wǎng)管系統(tǒng)應(yīng)能提供統(tǒng)一的安全策略控制，包括以下幾項：a)登錄策略管理：提供設(shè)置非法登錄系統(tǒng)的次數(shù)及鎖定時間，設(shè)置管理用戶賬號有效期，設(shè)置登錄超時退出時間、賬號登錄時間段、限制同一賬號最大連接數(shù)等功能；b)提供管理用戶的功能；c)管理用戶密碼設(shè)置策略：限制管理用戶設(shè)置的密碼長度、密碼組成，提供密碼重置功能，設(shè)置用戶密碼有效天數(shù)等；d)支持管理用戶登錄的IP管理策略，將登錄的管理用戶與IP地址綁定。角色表示一類特定的權(quán)限的集合，包括管理用戶可以登錄的客戶端IP地址范圍，管理用戶可以進行的操作，管理用戶可以管理的資源等。通過安全管理可以動態(tài)地創(chuàng)建、刪除和修改角色，形成新的權(quán)限集合，以便分配給管理用戶，達到控制管理用戶權(quán)限的目的。角色管理功能應(yīng)包含以下幾項：增加、刪除、修改角色；b)給角色分配管理資源（可管理的對象范圍）和操作權(quán)限；c)從操作權(quán)限來說，網(wǎng)管系統(tǒng)應(yīng)可以提供三類缺省的角色：—系統(tǒng)管理員：可以執(zhí)行網(wǎng)管系統(tǒng)提供的所有功能項，包括權(quán)限分配功能；—配置管理員：可以執(zhí)行網(wǎng)管系統(tǒng)提供的對設(shè)備和系統(tǒng)自身有數(shù)據(jù)修改權(quán)限的功能（不包括權(quán)限分配功能如資源維護、設(shè)備配置、版本升級、系統(tǒng)維護等；—監(jiān)控管理員：可以執(zhí)行網(wǎng)管系統(tǒng)提供的對設(shè)備的監(jiān)控和網(wǎng)管系統(tǒng)自身的查詢和審計等功能，如資源查詢、告警監(jiān)控、性能統(tǒng)計、日志查詢等。網(wǎng)管系統(tǒng)應(yīng)提供靈活的角色創(chuàng)建功能，如可以根據(jù)管理用戶的需要再單獨創(chuàng)建版本管理員、統(tǒng)計管理員等角色。從管理資源來說，這些操作權(quán)限都應(yīng)可以指定管理的范圍。對使用網(wǎng)管系統(tǒng)的管理用戶賬號進行管理維護，包括：增加賬號；5GB／T38798—2020管理用戶的賬號信息包括：用戶賬號；附加說明。支持同一個管理員賬號屬于多個角色組。網(wǎng)管系統(tǒng)應(yīng)能提供完善的用戶登錄管理功能，包括：a)只有在服務(wù)器中已經(jīng)注冊的用戶才能登錄到網(wǎng)管系統(tǒng)，如果啟動了訪問控制列表功能，則客戶端應(yīng)同時滿足存在于網(wǎng)管系統(tǒng)ACL表中的用戶才能登錄到網(wǎng)管系統(tǒng)；b)登錄的用戶只具有已經(jīng)被授權(quán)的指定操作；c)登錄失敗告警，使用同一管理賬號連續(xù)多次登錄失敗時，網(wǎng)管系統(tǒng)應(yīng)產(chǎn)生非法登錄告警，并對該管理賬號進行鎖定；d)手工注銷登錄的用戶；e)手工或超時自動鎖定客戶端或退出。網(wǎng)管系統(tǒng)應(yīng)能對在線用戶進行監(jiān)視，能夠?qū)崟r監(jiān)視在線用戶的登錄情況，包括：登錄用戶；網(wǎng)管系統(tǒng)應(yīng)能對在線用戶進行管理，超級用戶能夠查看一般用戶所做的操作，并強制其退出。管理用戶可以根據(jù)給定條件對日志進行查詢，并可對查詢到的日志進行排序。查詢的條件為：a)給定時間或時間段進行查詢；b)給定用戶進行查詢；給定的日志類型。可以查詢到的信息包括：日志類型，包括操作日志、系統(tǒng)日志、安全日志；操作對象；f)操作內(nèi)容；操作終端；操作結(jié)果（例如，成功或失敗）。7設(shè)備可靠性要求7.1主控板主備倒換應(yīng)支持主控板的熱備份功能，在主控板倒換過程中，所有業(yè)務(wù)配置和業(yè)務(wù)連接不應(yīng)發(fā)生差錯或丟GB／T38798—2020失，業(yè)務(wù)質(zhì)量不應(yīng)受到影響。主控板倒換應(yīng)支持人工倒換和自動倒換兩種模式。7.2電源主備倒換應(yīng)支持兩路電源模塊，在任何一路電