1、中华人民共和国国家标准路由器安全技术要求发布实施国家质量技术监督局发布前言本标准规定了传输控制协议网间协议互联网络设备路由器的安全功能要求本标准的附录和附录均是提示的附录本标准由国家信息化办公室提出本标准由全国信息技术标准化技术委员会归口本标准起草单位电子部第研究所中国国家信息安全测评认证中心本标准主要起草人张建军龚奇敏吴世忠吴娅若杜明钰中华人民共和国国家标准路由器安全技术要求国家质量技术监督局批准实施范围本标准规定了采用传输控制协议网间协议协议路由器的安全功能技术要求本标准适用于路由器安全功能的设计研制评估和路由器产品的选购引用标准下列标准所包含的条文通过在本标准中引用而构成为本标准的条文本
2、标准出版时所示版本均为有效所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性信息处理系统开放系统互连基本参考模型第部分安全体系结构定义下列定义与中的定义相同审订鉴别密钥管理概述路由器使用环境路由器是一类专用的网络设备它连接两个或更多的计算机网络在这些网络之间转发数据包路由器使用数据包中的目的地址选择该数据包的下一个发往地点路由器的典型使用环境如图所示图路由器的典型使用环境安全目标为防止经由路由器对网络的攻击和保护路由器自身的安全要求达到以下全部或部分信息安全目标网络访问控制路由器提供对网络访问控制的能力管理访问路由器只能由授权管理员进行授权的管理审计路由器能够记录对路由器的访
3、问操作提供对网络信息流的记录和统计最小访问范围路由器只能由管理员在路由器上执行必需的程序用户信息的保护确保由路由器转发的用户信息的安全和保密支持密钥管理在需要使用密码算法时提供密钥管理的功能安全技术要求的描述方法安全技术要求由安全功能类安全功能组和安全组件三部分组成安全技术要求描述方法的组成如图所示图安全技术要求的描述方法的组成该图表示安全功能类包括安全功能组和各组分别包含两个组件对功能组两个组件具有包含关系不仅包括中的安全要求而且有所扩充对功能组两个组件相互独立两者都可以满足功能组的要求安全功能类安全功能类的定义包括以下内容功能类的名称每一个功能类都有一个唯一的标识名并使用三个英文字母表示本
4、标准中使用该标识名唯一地标识相应的功能类功能类的描述功能类的描述说明该功能类的内容符合哪些安全目标的要求功能类的描述还包括该功能类所包含的安全功能组安全功能组安全功能组的定义包括以下内容功能组的名称每一个功能组都有一个唯一的标识名并使用七个字符表示其格式为头三个字母与该功能组所属功能类相同后三个字母在该功能类中唯一地标识该功能组前后两组字母之间使用下划线连接标准中使用该名称唯一地标识相应的安全功能组功能组的描述功能组的描述说明该功能组的内容符合哪些安全目标的要求功能组的描述还包括该功能组所包含的安全组件安全组件安全组件的定义包括以下内容安全组件的标识每一个安全组件都有一个唯一的标识名以表示该组
5、件所属的安全功能类安全功能组以及该组件在该组中的编号安全组件的描述安全组件描述说明该组件的内容符合哪些安全目标的要求一般来说每一台路由器在指定的安全功能组中只可能实现一个安全组件依赖关系用于描述该安全组件与其他安全组件之间的关系路由器安全功能要求表路由器安全功能要求编号功能类功能组中文名称标识名中文名称标识名加密密码算法密钥管理鉴别用户鉴别审计审计数据生成审计数据管理审计内容路由器管理安全管理员权限管理信息传输管理功能访问管理界面路由信息安全路由信息安全服务访问安全网络互联访问远程用户接入包过滤包过滤虚拟网络虚拟网络路由器初始化引导出厂设置参考文献标准参考文献见附录加密功能类加密功能类包含两个
6、功能组密码算法功能组和密钥管理功能组加密是安全技术的基础也是其他安全功能组件所必须的是保证路由器安全目标的基础加密功能类的组成如图所示图加密功能类的组成密码算法功能组密码算法凡路由器中安全功能实现使用的密码算法必须通过国家指定机构的审查本组件依赖于安全功能组密钥管理功能组密钥分配方案和密码算法必须通过国家指定机构的审查人工分发密钥人工分发密钥自动分发密钥自动分发密钥鉴别功能类鉴别功能类包含一个功能组用户鉴别功能组鉴别功能是保证管理访问和访问控制目标的基础鉴别功能类的组成如图所示图鉴别功能类的组成用户鉴别功能组基本鉴别使用普通的明文口令方式实现鉴别鉴别信息无安全保护措施强鉴别采用经国家指定机构审
7、批通过的鉴别协议和算法所有鉴别信息均有相应的安全保护措施其实现应通过国家指定机构的审查审计功能类审计功能类是路由器所有审计功能的基础确保审计安全目标的实现审计功能类包括三个功能组审计数据生成审计数据管理和审计内容审计功能类的组成如图所示图审计功能类的组成审计数据生成功能组事件记录生成记录以下事件审计功能的启动和终止事件其他安全功能所要求记录的审计事件审计的记录至少包含以下内容事件发生的时间事件类型事件标识事件内容用户标识生成用户标识生成要求将审计事件与用户联系起来进行记录本功能组件依赖于安全功能类审计数据管理功能组基本审计数据管理基本审计数据管理提供审计数据的存储传送转储的功能审计数据具有唯一
8、明确定义的格式安全审计数据管理安全审计数据管理在审计数据的管理过程中提供安全保护本组件依赖于和安全功能类审计内容安全功能组审计内容审计内容包括对通过的数据包进行统计统计内容必须提供以下几方面的信息数据包过滤情况通过的数据包数量抛弃的数据包数量用户通信数据量能够对指定的地址或低层地址进行通信数据量的统计访问记录用户和管理员登录路由器的时间途径操作记录等统计报警功能在用户统计值达到管理员设置的报警界限时进行报警日志记录功能能够按照管理员的要求以一定的时间间隔生成审计的记录该记录的大小只受系统资源的限制数据截获能力根据管理员的设置对经由路由器转发的数据包进行监视跟踪和截获以供分析和故障诊断审计信息的
9、转储支持将审计信息转储到其他存储媒体中路由器管理安全功能类路由器安全管理功能类对路由器管理提出安全要求管理活动的直接对象就是路由器路由器管理方式可以分为两种远程管理和本地管理远程管理是指一个远程的管理站采用标准的应用层协议或者专用的协议与路由器通信实施对路由器的管理本地管理是指路由器与管理站使用专用的物理接口连接该接口只供管理使用管理安全功能类包含四个功能组管理权限管理信息传送管理功能访问及管理界面路由器管理安全功能类的组成如图所示图路由器管理安全功能类的组成管理员权限功能组管理员权限指管理员对路由器所能实施的管理范围的限制三级管理此类管理设置高中低三个级别的管理员低级别管理员只能对路由器的运
10、行实施监视中级别管理员可以对路由器的运行实施监视查询路由器当前的配置高级别管理员可以对路由器的运行实施监视查询路由器当前的配置对路由器进行配置二级管理此类管理设置高低两个级别的管理员低级别管理员可以对路由器的运行实施监视查询路由器当前的配置高级别管理员可以对路由器的运行实施监视查询路由器当前的配置对路由器进行配置分工管理此类管理将管理员分为若干组每一组的管理员只能完成某一方面的管理工作每个组成员的管理工作不能相互替代每一组内的管理员权限还可进一步细分管理信息传输安全功能组管理信息传输是指管理信息在管理站与路由器之间的传输安全传输路由器具有对管理信息传输安全的保障对支持虚拟专网的路由器在使用手册
11、中必须以醒目方式提醒用户以虚拟专网方式传输管理信息本组件依赖于功能类管理功能访问功能组管理功能的访问是指路由器只能由授权的管理站和管理员进行管理管理身份鉴别对于远程管理路由器必须实现对管理站的身份鉴别和管理员的身份鉴别对于本地管理路由器必须实现对管理员身份的鉴别本安全组件依赖于和安全功能组管理界面安全功能组管理界面是指管理员用于实施路由器管理的人机界面本标准只规定由路由器直接提供的管理界面的安全要求基本管理界面基本管理界面提供以下界面功能管理员登录界面超过规定时间后仍无操作时自动降低管理员级别至最低级别或锁定界面或退出管理界面时间可由管理员设置不同级别或不同职责的管理员其可以使用的命令相互间不
12、可见本组件依赖于安全功能类扩充管理界面扩充管理界面除的功能外还提供以下功能周期性要求管理员确认身份周期性提醒管理员修改出厂默认配置本组件依赖于安全功能类路由信息安全功能类路由信息是路由器有效工作的重要组成部分确保路由信息的正确性有效性是路由信息安全的目的路由信息安全功能类包含一个功能组路由信息安全路由信息安全功能类的组成如图所示图路由信息安全功能类路由信息安全功能组路由信息鉴别路由器提供对路由信息的鉴别本组件依赖于功能类路由信息加密路由器提供对路由信息的加密本组件依赖于功能类路由信息的鉴别和加密路由器提供对路由信息的鉴别和加密本组件依赖于功能类服务访问安全功能类路由器提供两类服务网络互联和用户
13、远程接入服务服务访问安全功能类包含两个功能组网络互联和远程用户接入服务访问安全功能类的组成如图所示图服务访问安全功能类网络互联访问安全功能组低层协议鉴别利用低层协议提供的鉴别机制实现网络互联路由器之间的鉴别虚拟专网鉴别利用虚拟专网技术实现路由器之间的鉴别本组件依赖于功能类远程用户接入安全功能组远程用户鉴别路由器提供对远程用户身份的鉴别本组件依赖于功能类远程用户数据加密路由器提供对远程用户数据的加密本组件依赖于功能类远程用户身份的鉴别和数据加密路由器提供对远程用户身份的鉴别和数据加密本组件依赖于功能类包过滤功能类包过滤功能类包含一个功能组包过滤包过滤功能类的组成如图所示图包过滤安全功能类包过滤安
14、全功能组包过滤支持包过滤功能的路由器必须满足以下要求实现基于地址的过滤用户可以使用地址通配符进行过滤表的设置实现对网间协议传输控制协议用户数据报协议互连控制消息协议和相应协议端口的过滤具有识别内外网络地址的能力防止外部网络冒用内部地址具有识别低层网络地址假冒的功能能够设置告警策略过滤表的大小只受系统资源的限制具有以下功能并且管理员可以设置其是否起作用禁止分段过小的数据包通过最小长度可以设置并有一个建议值在管理员设置值小于该值时予以提示禁止源端路由的数据包通过禁止数据包分段偏移值异常的数据包通过异常偏移值可以设置并有一个建议值在管理员设置值小于该值时予以提示虚拟专网功能类虚拟专网功能类包含一个功
15、能组虚拟专网虚拟专网功能类的组成如图所示图虚拟专网安全功能类虚拟专网功能组鉴别路由器使用包鉴别技术实现虚拟网络本组件依赖于功能类净荷加密路由器使用净荷加密技术只对用户数据包中的数据加密实现虚拟网络本组件依赖于功能类承载加密路由器使用承载加密技术对完整用户数据包加密并添加新的数据包头实现虚拟网络本组件依赖于功能类加密和鉴别路由器同时使用加密和鉴别技术实现虚拟网络本组件依赖于安全功能类路由器初始化安全功能类路由器初始化安全功能类包括两个功能组引导和出厂配置路由器初始化安全功能类的组成如图所示图路由器初始化安全功能类引导安全功能组引导引导路由器的引导必须满足以下要求路由器必须具有自引导功能不能使用网
16、络引导尤其不能在路由器的自身安全功能发挥作用之前从网络获取引导信息路由器引导应用程序必须同路由器的管理相关并且管理员可以根据需要开放或关闭某些应用程序出厂配置安全功能组出厂配置路由器所有的配置参数尤其是安全配置参数要有出厂配置用户安装路由器后应及时提醒用户修改在路由器使用手册中必须明确列出所有的出厂默认配置参数并提醒用户修改这些配置参数路由器安全级别的划分路由器安全级别的划分应依据路由器安全功能的实现情况本标准提供一个建议性的划分规则见附录附录提示的附录路由器安全级别划分的建议规则对于指定的路由器一般只能满足指定安全功能组的一个安全组件的要求因而根据路由器对标准中安全功能组件的满足情况将路由器
17、划分为三个级别级为最高级别达到该级别的路由器其满足的安全功能要求最为全面该级别的路由器将满足所有安全功能组中最为全面的安全组件的要求级达到该级别的路由器将满足所有安全功能组中至少一个安全组件的要求级为路由器的最低安全级别该级别的路由器无法满足某些安全功能类的要求同时满足其他功能类中安全功能组最低安全组件的要求由于本标准只考虑路由器对标准中所规定的安全功能要求的满足情况故分级标准不考虑诸如密码算法强度等涉及安全性能方面的因素各级别的要求如表所示表路由器安全级别划分表安全功能类级级级无无表完安全功能类级级级无无无附录提示的附录参考文献带数字签名的路由协议拨号用户服务远程鉴别询问握手鉴别协议的加密协议加密控制协议使用键控的鉴别封装安全载荷鉴别头互联网协议的安全体系协议组密钥管理协议体系结构组密钥管理协议规范使用防止重放的鉴别的鉴别协议版本简单公开密钥机制版本机制一次性口令系统
