ICS 33.050 M 30 网络关键设备安全技术 要求 路由器设备 Security Techniques Requirement for Critical Network Devices : Router 2019 - 07 - 24发布 2019 - 07 - 24实施 电信终端产业协会 发布 团体标准 T/TAF 039-2019 T/TAF 039-2019 I 目 次 前 言 ................................ ................................ ............ II 引 言 ................................ ................................ ........... III 网络关键设备安全技术要求 路由器设备 ................................ .................. 1 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 3.1 路由器 router ................................ ................................ .. 1 3.2 恶意程序 malware ................................ ............................... 1 3.3 预装软件 preset software ................................ ....................... 1 3.4 故障隔离 fault isolation ................................ ....................... 1 4 安全技术要求 ................................ ................................ ....... 1 4.1 标识安全 ................................ ................................ ....... 2 4.2 可用性 ................................ ................................ ......... 2 4.3 漏洞与缺陷管理 ................................ ................................ . 2 4.4 软件更新安全 ................................ ................................ ... 2 4.5 默认状态安全 ................................ ................................ ... 3 4.6 抵御常见攻击能力 ................................ ............................... 3 4.7 身份标识与鉴别 ................................ ................................ . 3 4.8 访问控制安全 ................................ ................................ ... 4 4.9 日志审计安全 ................................ ................................ ... 4 4.10 通信安全 ................................ ................................ ...... 4 4.11 数据安全 ................................ ................................ ...... 5 附 录 A （规范性附录） 标准修订历史 ................................ ................ 6 附 录 B （资料性附录） 用户信息说明 ................................ ................ 7 参 考 文 献 ................................ ................................ ....... 8 T/TAF 039-2019 II 前 言 《网络关键设备安全技术要求 路由器设备》与 《网络关键设备安全技术要求 通用要求》、 《网络 关键设备安全技术要求 交换机设备》等共同构成支撑网络关键设备安全检测工作的系列团 体标准。 本标准对路由器设备提出安全技术要求。对列入网络关键设备目录的路由器，除满足本标准要求， 还应满足 《网络关键设备安全技术要求 通用要求》。 本标准/本部分由电信终端产业协会（ TAF）提出并归口。 本标准起草单位：中国信息通信研究院、华为技术有限公司、新华三技术有限公司、北京启明星辰 信息安全技术有限公司、中兴通讯股份有限公司、烽火通信科技股份有限公司、联想（北京）有限公司、 浪潮思科网络科技有限公司。 本标准主要起草人：倪平、张治兵、陈鹏、叶郁柏、童天 予、张勇、孙薇、苏燕谨、周继华、邓科、 蒋鹏、陈勇 、李汝鑫，葛强、张仲凯、刘文德。 T/TAF 039-2019 III 引 言 按照《中华人民共和国网络安全法》（以下称《网络安全法》）有关要求，国家互联网信息办公室 会同工业和信息化部、公安部、国家认证认可监督管理委员会等部门制定了《网络关键设备和网络安全 专用产品目录（第一批）》，对列入目录的设备和产品，应当按照相关国家标准的强制性要求，由具备 资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。 本规范对路由器设备提出安全技术要求。对列入网络关键设备目录的路由器，除满足本标准要求 ， 还应满足 《网络关键设备安全技术要求 通用要求》 。 T/TAF 039-2019 1 网络关键设备安全技术要求 路由器设备 1 范围 本标准对列入网络关键设备的路由器设备在标识安全、身份标识与鉴别安全、访问控制安全、日志 审计安全、通信安全、数据安全等方面提出了安全技术要求。 本标准适用于在我国境内销售或提供的路由器设备，也可为网络运营者采购路由器设备时提供依 据，还适用于指导路由器设备的研发、测试等工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版 本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069 -2010 信息安全技术 术语 T/TAF 028-2018 网络关键设备安全技术要求 通用要求 3 术语和定义 GB/T 25069 -2010中界定的以及下列术语和定义适用于本文件。 3.1 路由器 router 用来建立和控制两个不同网络间数据流的网络设备， 它是通过基于路由协议机制和算法来选择路线 或路由来实现建立和控制的，它们自身可以基于不同的网络协议。路由信息被存储在路由表内。 3.2 恶意程序 malware 一种企图通过执行非授权过程来破坏信息系统机密性、完整性和可用性的软件或固件。常见的恶意 程序包括病毒、蠕虫、木马或其它影响设备安全的程序代码。恶意程序也包括间谍软件和广告软件。 3.3 预装软件 preset software 设备出厂时安装的软件和正常使用必须的配套软件，包括固件、系统软件、应用软件、配套的管理 软件等。 3.4 故障隔离 fault isolation 相互独立的硬件模块或者部件之间， 任一模块或部件出现故障， 不影响其他模块或部件的正常工作。 4 安全技术要求 T/TAF 039-2019 2 4.1 标识安全 路由器设备： a) 硬件整机和主控板卡、业务板卡等主要 部件应具备唯一性标识； b) 应对软件 /固件、补丁包/升级包的版本进行唯一性标识，并保持记录； c) 应标识每一个物理接口，并说明其功能，不得预留未向用户声明的物理接口； d) 在用户登录