1 范围

      本标准分等级规定了路由器的安全功能要求和安全保障要求。

      本标准适用于路由器产品安全性的设计和实现，对路由器产品进行的测试、评估和管理也可参照使用。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB 17859-1999 计算机信息系统安全保护等级划分准则

      GB/T 18336.1～18336.3-2015 信息技术 安全技术 信息技术安全性评估准则

3 术语和定义、缩略语

3.1 术语和定义

      GB 17859-1999和GB/T 18336.1～18336.3-2015界定的以及下列术语和定义适用于本文件。

3.1.1

      路由器 router

      主要的网络节点设备，承载数据流量，通过路由选择算法决定流经数据的转发处理，并可以通过集成防火墙等功能模块提供访问控制和安全扩展功能。

3.1.2

      简单网络管理协议 simple network management protocol

      一系列协议组和规范，提供了一种从网络上的设备收集网络管理信息的方法，也为设备向网络管理工作站报告问题和错误提供了一种方法。

3.1.3

      单播逆向路径转发 unicast reverse path forwarding

      为防止基于源地址欺骗的网络攻击，以源地址为目的地址，在转发表中查找源地址对应接口是否与入接口匹配的动作。

3.2 缩略语

      下列缩略语适用于本文件。

      HTTPS 安全套接字层超文本传输协议（Hyper Text Transfer Protocol over Secure Socket Layer）

      IKE Internet密钥交换协议（Internet Key Exchange Protocol）

      IPSec Internet 协议安全（Internet Protocol Security）

      LDAP 轻量级目录访问协议（Lightweight Directory Access Protocol）

      MPLS 多协议标记交换（Multi-Protocol Label Switching）

      RADIUS 远程用户拨号认证系统（Remote Authentication Dial In User Service）

      SFTP 安全文件传输协议（Secure File Transfer Protocol）

      SNMP 简单网络管理协议（Simple Network Management Protocol）

      SNMPV3 简单网络管理协议版本3（Simple Network Management Protocol Version 3）

      SSH 安全壳协议（Secure Shell）

      SSL/TLS 安全套接字层/传输层安全协议（Secure Socket Layer/Transport Layer Security）

      TACACS 终端访问控制器访问控制系统（Terminal Access Controller Access Control System）

      URPF 单播逆向路径转发（Unicast Reverse Path Forwarding）

      VPN 虚拟专用网（Virtual Private Network）

      VRRP 虚拟路由冗余协议（Virtual Router Redundancy Protocol）

4 第一级安全技术要求

4.1 安全功能要求

4.1.1 自主访问控制

      路由器应执行自主访问控制策略，通过管理员属性表，控制不同管理员对路由器的配置数据和其他数据的查看、修改，以及对路由器上程序的执行，阻止非授权人员进行上述活动。

4.1.2 身份鉴别

4.1.2.1 管理员鉴别

      在管理员进入系统会话之前，路由器应鉴别管理员的身份，鉴别时应采用口令机制，并在每次登录系统时进行。口令应是不可见的，并在存储和传输时加密保护。

      当进行鉴别时，路由器应仅将最少的反馈（如：打入的字符数，鉴别的成功或失败）提供给被鉴别人员。同时，反馈信息应避免提示“用户名错误”“口令错误”等信息，避免攻击者进行用户名或口令的暴力猜解。

4.1.2.2 鉴别失败处理

      在经过一定次数的鉴别失败以后，路由器应锁定该账号。最多失败次数仅由授权管理员设定。

4.1.3 安全管理

4.1.3.1 权限管理

      路由器应能够设置多个角色，具备划分管理员级别和规定相关权限（如：监视、维护配置等）的能力，能够限定每个管理员的管理范围和权限，防止非授权登录和非授权操作。

4.1.3.2 管理协议设置

      路由器应能配置和使用安全的协议对系统进行管理控制。应使用SSH、SFTP、SNMPV3和HT-TPS。

4.1.3.3 安全属性管理

      路由器应为管理员提供对安全功能进行控制管理的功能，这些管理包括：

      a）与对应的路由器自主访问控制、鉴别和安全保障技术相关的功能的管理。

      b）与一般的安装和配置有关的功能的管理。

      c）路由器的安全配置参数要有初始值。路由器安装后，安全功能应能及时提醒管理员修改配置，并能周期性地提醒管理员维护配置。

4.1.4 设备安全防护

4.1.4.1 流量控制

      路由器应能够对设备本身需进行解析处理的协议流量大小进行控制，例如，通过设置带宽等防护手段，保证系统在经受协议泛洪攻击时原有转发业务正常，在泛洪攻击消除后系统可直接恢复。

4.1.4.2 优先级调度

      无。

4.1.4.3 资源耗尽防护

      无。

4.1.5 安全功能保护

4.1.5.1 自检

      设备在上电启动时应执行安全功能的自检，如内存、数字签名、加密算法等，确保安全功能正确。只有当所有自检功能通过时，才能正常启动设备。

4.1.5.2 保证软件更新的合法性

      安全管理员应能查询当前执行的软件/固件版本号及最近一次安装的版本号。应能在安装更新前用数字签名验证软件/固件更新的合法性。

4.2 安全保障要求

4.2.1 配置管理

      开发者应设计和实现路由器配置管理，为产品的不同版本提供唯一的标识，且产品的每个版本应使用其唯一的标识作为标签。

4.2.2 交付和运行

      开发者应以文档形式对路由器安全交付以及安装和启动过程进行说明。文档中应包括：

      a）对安全地将路由器交付给用户的说明；

      b）对安全地安装和启动路由器的说明。

4.2.3 开发

      开发者应提供路由器功能设计，要求按非形式化功能设计的要求进行功能设计，以非形式化方法描述安全功能及其外部接口，并描述使用外部安全功能接口的目的和方法。

4.2.4 指导性文档

      开发者应编制路由器的指导性文档，要求如下：

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 18018-2019 信息安全技术 路由器安全技术要求》