一、安全功能要求
1 自主访问控制
自主执行访问控制策略(如管理员属性表,控制不同管理员对路由器的配置数据和其他数据的査看、修改,以及对路由器上程序的执行,阻止非授权人员进行上述活动)
2 身份鉴别
管理员鉴别
如密码设置,口令复杂度,密码存储和传输加密。登录错误提示(最少),避免提示“用户名错误”“口令错误”等信息,鉴别应支持数字证书等鉴别方法(三级)
设备登录口令管理(三级)
身份鉴别管理策略,限制口令的最小长度、组成、复杂度、使用期等。口令组成应支持数字、大小写字母和特殊符号;并能限制历史密码的使用。
登录口令不能以明文形式显示或存储,应采用单向函数方式存储,并保证单向函数的强度。
证书验证(三级)
使用证书进行身份验证。例如,SSH、IKE、SSL/TLS等协议应支持证书认证,增强设备的安全性。颁发证书的CA应提供网络设备可访问的LDAP或其他证书黑名单访问机制,以确保失效证书访问拒绝。
鉴别失败处理
账号锁定
超时锁定(二级)
登录超时锁定功能,最大超时时间仅由授权管理员设定。
会话锁定(二级)
锁定管理员的交互会话功能
登录历史(二级)
登录历史(识别入侵目的),内容:
a)日期、时间、来源和上次成功登录系统的情况;
b)上次成功登录系统以来身份鉴别失败的情况;
c)口令距失效日期的天数
d)证书距过期日期的天数(三级)
3 安全管理
权限管理
账号分配,权限分配(置多个角色,具备划分管理员级别和规定相关权限(如:监视、维护配置等)的能力,能够限定每个管理员的管理范围和权限,防止非授权登录和非授权操作)
系统应能支持 RADIUS/ TACACS的集中认证授权管理。(二级)
管理协议设置
使用安全协议对系统进行管理控制 SSH,SFTP,SNMPV3 ,https
安全属性管理
a)与对应的路由器自主访问控制、鉴别和安全保障技术相关的功能的管理。
b)与一般的安装和配置有关的功能的管理。
c)路由器的安全配置参数要有初始值。路由器安装后,安全功能应能及时提醒管理员修改配置并能周期性地提醒管理员维护配詈
4 设备安全防护
流量控制
控制流量大小防止泛洪攻击(设置带宽)
优先级调度(二级)
按照业务重要性对设备本身需进行解析处理的协议流量进行优先级调度。对高优先的协议流量进行优先保证,当发生业务量激增或网络攻击时使重要业务不中断。
资源耗尽防护
对重要系统资源进行保护(限定资源分配),支持MAC地址学习限制功能,使系统其他接口用户不受影响。
5 安全功能保护
自检
设备在上电启动时应执行安全功能的自检(内存,数字签名,加密算法)
保证软件更新的合法性
检测当前执行的软件/固件版本号及最近一次安装的版本号合法性。应能在安装更新前用数字签名验证软件/固件更新的合法性。
6网络安全防护(二级)
单播逆向路径转发功能
开启URPF功能在网络边界阻断源IP地址欺骗攻击
路由协议认证
保证路由是由合法的路由器发出的,并且在转发过程中没有被改变。
MPLS VPN 功能
MPLS协议实现二层和三层VPN功能,采用独立的VPN管理网络,实现不同用户间的业务隔离。
7审计
审计数据生成
审计功能:
a)审计功能的启动和终止;
b)账户管理;
c)登录事件;
d)系统事件;
e)配置文件的修改。
审计记录:
a)事件发生的日期和时间;
b)事件的类型;
c)管理员身份;
d)事件的结果(成功或失败)。
审计数据查阅
提供的审计记录具有唯一、明确的定义和方便阅读的格式。
审计数据保护
避免未经授权的删除, 监测和防止对审计记录的修改,确保最近的审计记录在一定的时间内不会被破坏
潜在侵害分析(三级)
监控可审计行为,并指出潜在的侵害
检测到可能有安全侵害发生时作出响应
可靠性
部分冗余设计性能。支持插卡、接口、电源等部件的冗余与热插拔
框式路由器应具有全冗余设计,应确保无中断在线升级,支持插卡、接口、电源等部件的冗余与热插拔等功能,能够安装双引擎和双电源模块,具有故障定位与隔离及远程重启等功能。盒式路由器至少应提供无中断在线升级的方式,如可使用补丁包方式无中断升级。
路由器可以通过虚拟路由冗余协议ⅤRRP组成路由器机群(三级)
8数据保护
保护数据完整性
数据存储
只有管理员才能管理(包括但不限于:创建、初始化、査看、添加、修改、删除等操作)设备的配置、身份和审计数据
数据传输
安全协议(ssh,ipsec,tls)
敏感数据
如用户口令、私钥、对称密钥、预共享密钥等,应以密文的形式显示或存储
二、安全保障要求
1配置管理
**提供配置管理文档(二级)**不同版本提供唯一的标识,且产品的每个版本应使用其唯一的标识作为标签。
配置管理范围至少应包括路由器的产品实现表示、设计文档、测试文档、用户文档、配置管理,从而确保它们的修改是在一个正确授权的可控方式下进行的。配置管理文档至少应能跟踪上述内容,并描述配置管理系统如何跟踪这些配置项(二级)
部分的配置管理应实现自动化。(三级)
2交付和运行
a)对安全地将路由器交付给用户的说明;
b)对安全地安装和启动路由器的说明
c)对如何检测路由器在分发过程中发生的未授权修改、如何检测攻击者伪装成开发者向用户交付路由器产品的说明。
以安全方式分发并交付产品后,仍应提供对路由器的长期维护和评估的支持,包括产品中的漏洞和现场问题的解决,可能会影响到路由器安全的注意事项或警告。(三级)
3开发
非形式化功能设计和非形式化功能方法
提安全功能的高层设计:高层设计应按子系统描述安全功能及其结构,并标识安全功能子系统的所有接口。高层设计还应标识实现安全功能所要求的基础性的硬件、固件和软件。(二级)
开发者应提供路由器安全功能的功能设计与高层设计之间的非形式化对应性分析,该分析应证明功能设计表示的所有相关安全功能都在高层设计中得到正确且完备的细化。(二级)
高层设计还应描述安全功能子系统所有接口及使用接口的目的和方法,并详细描述接口的返回结果、例外情况和错误信息等,以及如何将路由器中有助于增强安全策略的子系统分离出来(三级)
底层设计(三级)
提供安全策略模型(三级)
4指导性文档
a)文档中应提供关于路由器的安全功能与接口、路由器的管理和配置、路由器的启动和操作、安全属性、警告信息、**审计工具(二级)**的描述b)文档中不应包含任何一旦泄露将会危及系统安全的信息,文档可以为硬拷贝、电子文档或联机文档。如果是联机文档,应控制对文档的访问。
5生命周期支持
开发和维护路由器的程序、工具和技术。生命周期定义文档
开发和维护应提供必要的控制,包括场地的物理安全和对开发人员的选择,并采取适当的防护措施来消除或降低路由器开发所面临的安全威胁(二级)
开发路由器的工具和参照标准,并提供关于已选择的开发工具选项的描述文档。开发工具文档应明确说明所有开发工具选项的含义(三级)
6测试
a)应进行一般功能测试,保证路由器能够满足所有安全功能的要求;
b)保留并提供测试文档,详细描述测试计划、测试过程以及预测结果和实际测试结果
c)深度的分析:安全功能的运行与高层设计是一致的
d)独立测试:由专业的第三方独立实验室实施测试,确认路由器能够满足所有安全功能的要求。(二级)
e)应由专业第三方独立实验室或消费者组织抽样独立性测试。开发者应提供能有效重现开发者测试的必需资料,包括可由机器阅读的测试文档、测试程序等(三级)
7脆弱性评定(二,三级)
a)提供指导性文档和分析文档
b)安全功能强度生命的安全机制(例如,口令机制)进行安全功能强度分析
c)提供脆弱性分布的文档
d)脆弱性分析文档中应包含对所使用协议的脆弱性分析
1803
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
