ICS 35.040 CCS L 80 中华人民共和国国家标准 GB/T41268—2022 网络关键设备安全检测方法 路由器设备 Security testing methods for critical network devices-Router 2022-10-01实施 2022-03-09发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T 41268—2022 目 次 前言 1 范围 2 规范性引用文件 3 术语和定义 缩略语 4 测试环境 安全功能要求检测方法 6 6.1 设备标识安全 6.2 穴余、备份恢复与异常检测 6.3 漏洞与缺陷管理安全 6.4 预装软件启动及更新安全 6.5 默认状态安全 13 6.6 抵御常见攻击能力 14 6.7 用户身份标识与鉴别 21 6.8 访问控制安全 24 6.9 日志审计安全 26 6.10 通信安全 29 6.11 数据安全 33 7安全保障要求评估方法 34 7.1 设计和开发 34 7.2 生产和交付 36 7.3 运行和维护 39 参考文献 44 GB/T41268—2022 前言 本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 GB40050—2021《网络关键设备安全通用要求》与GB/T41269—2022《网络关键设备安全技术要 求路由器设备》、GB/T41268一2022《网络关键设备安全检测方法路由器设备》共同构成支撑网络 关键设备的路由器设备安全标准体系。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中华人民共和国工业和信息化部提出。 本文件由全国通信标准化技术委员会（SAC/TC485）归口。 本文件起草单位：中国信息通信研究院、华为技术有限公司、启明星辰信息技术集团股份有限公司、 上海诺基亚贝尔股份有限公司、北京奇虎科技有限公司、中国联合网络通信集团有限公司、中兴通讯股 份有限公司、北京通和实益电信科学技术研究所有限公司、新华三技术有限公司、烽火通信科技股份有 限公司、中国通信标准化协会 本文件主要起草人：张治兵、周开波、王卫东、程小平、周继华、万晓兰、邱林海、张屹、郭新海、 吴荣春、叶郁柏、孙薇、李海英、姚一楠、张亚薇、柳扬、马铮、吴萍、袁玉东、陆强、薄菁、刘欣东、邓科、 苏燕谨。 II GB/T41268—2022 网络关键设备安全检测方法 路由器设备 1范围 本文件给出了列入网络关键设备的路由器设备在标识安全、余、备份恢复与异常检测、漏洞与缺 陷管理、预装软件启动及更新安全、默认状态安全、抵御常见攻击能力、用户身份标识与鉴别安全、访问 控制安全、日志审计安全、通信安全、数据安全等方面的安全功能要求的检测方法，以及上述设备在设计 和开发、生产和交付、运行和维护三个阶段的安全保障要求的评估方法。 本文件适用于列入网络关键设备目录的路由器设备，也可为网络运营者采购路由器设备时提供依 据，还适用于指导路由器设备的研发、测试等工作。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T25069信息安全技术术语 GB40050—2021P 网络关键设备安全通用要求 3GPPTS33.117 7通用安全保障要求（Catalogueofgeneral securityassurancerequirements） 3术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件。 3.1 路由器 router 用来建立和控制不同网络间数据流的网络设备 注：路由器基于路由协议机制和算法来选择路径或路由以实现建立和控制网络间的数据流，网络自身可以基于不 同的网络协议。 4缩略语 下列缩略语适用于本文件。 ACL：访问控制列表（AccessControlList） ARP：地址解析协议（AddressResolutionProtocol） BGP：边界网关协议（BorderGatewayProtocol) DHCP：动态主机配置协议（DynamicHostConfigurationProtocol） FTP：文件传输协议（FileTransferProtocol) HTTP：超文本传输协议（HyperTextTransferProtocol） 1 SZIC GB/T41268—2022 HTTPS：安全套接字层超文本传输协议（HyperTextTransferProtocoloverSecureSocketLayer） ICMP：互联网控制报文协议（InternetControlMessageProtocol) IP：互联网协议（InternetProtocol) MAC：媒体访问控制（MediaAccessControl) ND：邻居发现协议（NeighborDiscoveryProtocol) NETCONF：网络配置协议（NetworkConfigurationProtocol) NTP：网络时间协议（NetworkTimeProtocol) OSPF：开放最短路径优先协议（OpenShortestPathFirst） SNMP：简单网络管理协议（SimpleNetworkManagementProtocol） SSH：安全壳协议（SecureShell) TCP：传输控制协议（TransmissionControlProtocol) TFTP：简单文件传输协议（TrivialFileTransferProtocol） UDP：用户数据报协议（UserDatagramProtocol） WEB：全球广域网（WorldWideWeb） 5 测试环境 测试环境如图1~图2所示。 被测设备 端口℃ 端口B 安全测试工具 数据网络测试仪 管玛终端 图1 测试环境1 2 GB/T41268-—2022 被测设备1 交换机 交换机 被测设备2 数据网络测试仪 图2测试环境2 数据网络测试仪一般连接到设备的业务接口，用于模拟发送数据包。安全测试工具一般连接到设 备的业务接口或管理接口，用于进行漏洞扫描、端口扫描等安全测试。管理终端一般连接到设备的管理 接口，用于对被测设备进行配置管理。 6安全功能要求检测方法 6.1设备标识安全 6.1.1硬件标识安全 该检测项包括如下内容： a) 安全要求： 1） 硬件整机应具备唯一性标识； 2） 设备的主控板卡、业务板卡、交换网板、风扇模块、电源、存储系统软件的板卡、硬盘或闪存 卡等主要部件应具备唯一性标识； 3）应标识每一个物理接口，并说明其功能，不得预留未向用户声明的物理接口。 b) 预置条件： 厂商提供设备硬件接口配置说明材料。 c) 检测方法： 1）检查硬件整机是否具备唯一性标识； 2） 检查主控板卡、业务板卡、交换网板、风扇模块、电源、存储系统软件的板卡或其他介质（硬 盘、闪存卡等）等主要部件是否具备唯一性标识； 3） 检查每一个物理接口及相关说明材料，检查设备是否存在未标识的外部物理接口。 d) 预期结果： 1) 硬件整机具备唯一性标识； 2）主控板卡、业务板卡、交换网板、风扇模块、电源、存储系统软件的板卡或其他介质（硬盘、 3 50 GB/T412682022 闪存卡等）等主要部件具备唯一性标识； 3） 每一个物理接口都有标识，并通过说明书或其他材料书面说明每一个物理接口的功能，设 备不存在未标识的外部物理接口。 e）判定原则： 1）测试结果应与预期结果相符，否则不符合要求。 如被测设备不具备可插拔的主控板卡、业务板卡、交换网板等部件，对这些部件的测试不 适用。 6.1.2软件标识安全 该检测项包括如下内容： a) 安全要求： 应对预装软件、补丁包/升级包的不同版本进行唯一性标识 b) 预置条件： 厂商提供设备运行所需的预装软件/固件，以及可用的补丁包/升级包。 c） 检测方法： 1）检查预装软件/固件是否具备唯一性标识； 2）检查补丁包/升级包是否具备唯一性标识， P 预期结果： 1) 预装软件/固件具备唯一性标识； 2）补丁包/升级包具备唯一性标识。 e） 判定原则： 1）测试结果应与预期结果相符，否则不符合要求； 2）软件唯一性标识可以是分配的唯一版本号、软件摘要值等 6.1.3鉴别提示信息安全 该检测项包括如下内容： a）安全要求： 用户登录通过鉴别前的提示信息应避免包含设备软件版本、型号等敏感信息，例如可通过支持 关闭提示信息或者用户自定义提示信息等方式实现。 b) 预置条件： 1）按测试环境1搭建好测试环境； 2）厂商提供设备管理方式说明材料。 c）检测方法： 1）根据设备管理方式说明材料，配置设备的管理方式及相应的管理账号，尝试登录设备； 2）通过不同的管理方式登录设备，检查用户登录通过鉴别前的提示信息是否包含设备软件 版本、型号等敏感信息。 d) 预期结果： 用户登录通过鉴别前的提示信息未包含设备软件版本、型号等敏感信息。 判定原则： 测试结果应与预期结果相符，否则不符合要求 4 GB/T41268—2022 6.2完余、备份恢复与异常检测 6.2.1设备整机穴余和自动切换功能 该检测项包括如下内容： a) 安全要求： 路由器设备应提供整机主备自动切换功能，在设备运行状态异常时，切换到允余设备以降低安 全风险。 b）预置条件： 1）按测试环境2搭建好测试环境； 两台设备分别配置为主用设备与备用设备或负载分担模式。 c） 检测方法： 1) 测试仪表两对端口之间发送背景流量； 2) 下线被测设备1； 3) 查看数据流量是否自动切换到被测设备2；