1、電 信 終 端 產(chǎn) 業(yè) 協(xié) 會(huì) 標(biāo) 準(zhǔn)TAF-WG9-AS0038-V1.0.0:2019網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求交換機(jī)設(shè)備Security Techniques Requirement for Critical Network Devices: Switch2019 - 07 - 24 發(fā)布2019 - 07 - 24 實(shí)施電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā) 布目 次 HYPERLINK l _TOC_250002 前言II HYPERLINK l _TOC_250001 引言III HYPERLINK l _TOC_250000 網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 交換機(jī)設(shè)備1范圍1規(guī)范性引用文件1術(shù)語(yǔ)和定義1交換

2、機(jī) switch1惡意程序 malware1預(yù)裝軟件 preset software1故障隔離 fault isolation1安全技術(shù)要求1標(biāo)識(shí)安全2可用性2漏洞與缺陷管理安全2軟件更新安全2默認(rèn)狀態(tài)安全3抵御常見攻擊能力3身份標(biāo)識(shí)與鑒別3訪問(wèn)控制安全4日志審計(jì)安全4通信安全4數(shù)據(jù)安全5附 錄 A （規(guī)范性附錄） 標(biāo)準(zhǔn)修訂歷史6附 錄 B （資料性附錄） 用戶信息說(shuō)明7參 考 文 獻(xiàn)8前言TAF-WG9-AS0038-V1.0.0:2019 網(wǎng) 絡(luò) 關(guān) 鍵 設(shè) 備 安 全 技 術(shù) 要 求交 換 機(jī) 設(shè) 備 與TAF-WG9-AS0029-V1.0.0:2018網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 通用要

3、求、TAF-WG9-AS0039-V1.0.0:2019網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 路由器設(shè)備等共同構(gòu)成支撐網(wǎng)絡(luò)關(guān)鍵設(shè)備安全檢測(cè)工作的系列團(tuán)體標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)對(duì)交換機(jī)設(shè)備提出安全技術(shù)要求。對(duì)列入網(wǎng)絡(luò)關(guān)鍵設(shè)備目錄的交換機(jī)，除滿足本標(biāo)準(zhǔn)要求， 還應(yīng)滿足TAF-WG9-AS0029-V1.0.0:2018網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 通用要求。本標(biāo)準(zhǔn)/本部分由電信終端產(chǎn)業(yè)協(xié)會(huì)（TAF）提出并歸口。本標(biāo)準(zhǔn)起草單位：中國(guó)信息通信研究院、新華三技術(shù)有限公司、華為技術(shù)有限公司、烽火通信科技股份有限公司、北京啟明星辰信息安全技術(shù)有限公司、中興通訊股份有限公司、杭州迪普科技股份有限公司、聯(lián)想（北京）有限公司、浪潮思科網(wǎng)絡(luò)

4、科技有限公司。本標(biāo)準(zhǔn)主要起草人：張治兵、倪平、童天予、祝東健、陳鵬、葉郁柏、鄧科、蔣鵬、蘇燕謹(jǐn)、許雯、楊達(dá)、仇俊杰、徐強(qiáng)、過(guò)育紅、邵紅波、張仲凱、劉文德。引言按照中華人民共和國(guó)網(wǎng)絡(luò)安全法（以下稱網(wǎng)絡(luò)安全法）有關(guān)要求，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同工業(yè)和信息化部、公安部、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)等部門制定了網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批），對(duì)列入目錄的設(shè)備和產(chǎn)品，應(yīng)當(dāng)按照相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后，方可銷售或者提供。本規(guī)范對(duì)交換機(jī)設(shè)備提出安全技術(shù)要求。對(duì)列入網(wǎng)絡(luò)關(guān)鍵設(shè)備目錄的交換機(jī)，除滿足本標(biāo)準(zhǔn)要求， 還應(yīng)滿足TAF-WG9-AS0029

5、-V1.0.0:2018網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 通用要求。網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 交換機(jī)設(shè)備范圍本標(biāo)準(zhǔn)對(duì)列入網(wǎng)絡(luò)關(guān)鍵設(shè)備的交換機(jī)設(shè)備在標(biāo)識(shí)安全、身份標(biāo)識(shí)與鑒別安全、訪問(wèn)控制安全、日志審計(jì)安全、通信安全、數(shù)據(jù)安全等方面提出了安全技術(shù)要求。本標(biāo)準(zhǔn)適用于在我國(guó)境內(nèi)銷售或提供的交換機(jī)設(shè)備，也可為網(wǎng)絡(luò)運(yùn)營(yíng)者采購(gòu)交換機(jī)設(shè)備時(shí)提供依據(jù)，還適用于指導(dǎo)交換機(jī)設(shè)備的研發(fā)、測(cè)試等工作。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 25069-2010 信息安全技術(shù) 術(shù)語(yǔ)TAF-

6、WG9-AS0029-V1.0.0:2018 網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 通用要求術(shù)語(yǔ)和定義GB/T 25069-2010中界定的以及下列術(shù)語(yǔ)和定義適用于本文件。交換機(jī) switch在聯(lián)網(wǎng)的設(shè)備之間，一種借助內(nèi)部交換機(jī)制來(lái)提供連通性的設(shè)備。交換機(jī)不同于其他局域網(wǎng)互聯(lián)設(shè)備（例如集線器），交換機(jī)中使用的技術(shù)是以點(diǎn)對(duì)點(diǎn)為基礎(chǔ)建立連接，這確保了網(wǎng)絡(luò)通信量只有對(duì)有地址的網(wǎng)絡(luò)設(shè)備可見，并使幾個(gè)連接能夠并存。交換技術(shù)可在開放系統(tǒng)互聯(lián)參考模型的第二層或第三層實(shí)現(xiàn)。惡意程序 malware一種企圖通過(guò)執(zhí)行非授權(quán)過(guò)程來(lái)破壞信息系統(tǒng)機(jī)密性、完整性和可用性的軟件或固件。常見的惡意程序包括病毒、蠕蟲、木馬或其它影響設(shè)備安

7、全的程序代碼。惡意程序也包括間諜軟件和廣告軟件。預(yù)裝軟件 preset software設(shè)備出廠時(shí)安裝的軟件和正常使用必須的配套軟件，包括固件、系統(tǒng)軟件、應(yīng)用軟件、配套的管理軟件等。故障隔離 fault isolation相互獨(dú)立的硬件模塊或者部件之間，任一模塊或部件出現(xiàn)故障，不影響其他模塊或部件的正常工作。安全技術(shù)要求標(biāo)識(shí)安全交換機(jī)設(shè)備：硬件整機(jī)和主控板卡、業(yè)務(wù)板卡等主要部件應(yīng)具備唯一性標(biāo)識(shí)；應(yīng)對(duì)軟件/固件、補(bǔ)丁包/升級(jí)包的版本進(jìn)行唯一性標(biāo)識(shí)，并保持記錄；應(yīng)標(biāo)識(shí)每一個(gè)物理接口，并說(shuō)明其功能，不得預(yù)留未向用戶聲明的物理接口；在用戶登錄通過(guò)認(rèn)證前的提示信息應(yīng)避免包含設(shè)備軟件版本、型號(hào)等敏感信息，

8、例如可通過(guò)支持關(guān)閉提示信息或者用戶自定義等功能實(shí)現(xiàn)?？捎眯越粨Q機(jī)設(shè)備：部分關(guān)鍵部件，如主控板卡、交換網(wǎng)板、電源、風(fēng)扇等應(yīng)支持冗余功能，在設(shè)備運(yùn)行狀態(tài)異常可能影響網(wǎng)絡(luò)安全時(shí)，可通過(guò)啟用備用部件防范安全風(fēng)險(xiǎn)；部分關(guān)鍵部件，如主控板卡、交換網(wǎng)板、業(yè)務(wù)板卡、電源、風(fēng)扇等應(yīng)支持熱插拔功能；軟件/固件、配置文件等應(yīng)支持備份與恢復(fù)功能；支持故障的告警、定位等功能；支持部分關(guān)鍵部件，如主控板卡、交換網(wǎng)板、業(yè)務(wù)板卡、電源、風(fēng)扇等故障隔離功能；應(yīng)提供獨(dú)立的管理接口，實(shí)現(xiàn)設(shè)備管理和數(shù)據(jù)轉(zhuǎn)發(fā)的隔離。漏洞與缺陷管理安全交換機(jī)設(shè)備：部分關(guān)鍵部件，如 CPU、系統(tǒng)軟件的存儲(chǔ)部件等應(yīng)不存在已知的高危和中危漏洞或具備有效措施防

9、范硬件漏洞安全風(fēng)險(xiǎn)；預(yù)裝軟件應(yīng)不存在已公布的高危和中危漏洞或具備有效措施防范漏洞安全風(fēng)險(xiǎn)；第三方組件或部件存在暫未修復(fù)的已知漏洞或安全缺陷時(shí)，應(yīng)明確告知用戶風(fēng)險(xiǎn)及防范措施；預(yù)裝軟件、補(bǔ)丁包/升級(jí)包應(yīng)不包含惡意程序；應(yīng)不存在未向用戶聲明的功能和隱蔽通道。軟件更新安全交換機(jī)設(shè)備：對(duì)于更新操作，應(yīng)僅限于授權(quán)用戶可實(shí)施，應(yīng)不支持自動(dòng)更新；對(duì)于存在導(dǎo)致設(shè)備重啟等影響設(shè)備運(yùn)行安全的實(shí)施更新操作應(yīng)由用戶確認(rèn)后實(shí)施；應(yīng)支持用戶對(duì)軟件版本降級(jí)使用；應(yīng)支持軟件更新包完整性校驗(yàn)；應(yīng)支持軟件更新包簽名機(jī)制，抗抵賴攻擊，簽名應(yīng)使用安全性較高的算法，如 SHA256，避免使用 MD5 等安全性較差的算法；更新失敗時(shí)設(shè)備應(yīng)

10、能夠恢復(fù)到升級(jí)前的正常工作狀態(tài)；對(duì)于采用遠(yuǎn)程更新的，應(yīng)支持非明文通道傳輸更新數(shù)據(jù)；應(yīng)具備穩(wěn)定可用的渠道提供軟件更新源。默認(rèn)狀態(tài)安全交換機(jī)設(shè)備：出廠應(yīng)預(yù)裝滿足功能需求且安全風(fēng)險(xiǎn)較低的軟件版本；出廠默認(rèn)開放的端口和服務(wù)應(yīng)明示用戶，滿足最小夠用原則；使用 Telnet、SNMPv1/v2c、HTTP 等明文傳輸協(xié)議的網(wǎng)絡(luò)管理功能應(yīng)默認(rèn)關(guān)閉；對(duì)于存在較多版本的遠(yuǎn)程管理協(xié)議，應(yīng)默認(rèn)關(guān)閉安全性較低的版本，例如設(shè)備支持 SSH 協(xié)議時(shí)， 應(yīng)默認(rèn)關(guān)閉 SSHv1。抵御常見攻擊能力交換機(jī)設(shè)備：應(yīng)具備抵御目的為交換機(jī)自身的大流量攻擊的能力，例如目的為交換機(jī)管理接口的 ICMPv4/v6 Ping request

11、Flood 攻擊、TCPv4/v6 SYN Flood 攻擊等；應(yīng)支持防范 ARP/ND 欺騙攻擊功能，如通過(guò) MAC 地址綁定等功能實(shí)現(xiàn)；應(yīng)支持開啟生成樹協(xié)議等功能，防范廣播風(fēng)暴攻擊；支持關(guān)閉生成樹協(xié)議，或支持啟用 Root Guard、BPDU Guard 等功能，防范針對(duì)生成樹協(xié)議的攻擊；應(yīng)支持連續(xù)的非法登錄嘗試次數(shù)限制或其他安全策略，以防范用戶憑證猜解攻擊；應(yīng)支持限制用戶會(huì)話連接的數(shù)量，以防范資源消耗類拒絕服務(wù)攻擊；在支持 WEB 管理功能時(shí)，應(yīng)具備抵御常見 WEB 攻擊的能力，例如注入攻擊、重放攻擊、權(quán)限繞過(guò)攻擊、非法文件上傳等；在支持 SNMP 管理功能時(shí)，應(yīng)具備抵御常見攻擊的能力

12、，例如權(quán)限繞過(guò)、信息泄露等；在支持 SSH 管理功能時(shí)，應(yīng)具備抵御常見攻擊的能力，例如權(quán)限繞過(guò)、拒絕服務(wù)攻擊等；在支持 Telnet 管理功能時(shí)，應(yīng)具備抵御常見攻擊的能力，例如權(quán)限繞過(guò)、拒絕服務(wù)攻擊等；在支持 RestAPI 管理功能時(shí)，應(yīng)具備抵御常見攻擊的能力，例如 API 身份驗(yàn)證繞過(guò)攻擊、HTTP 身份繞過(guò)攻擊、Oauth 繞過(guò)攻擊、拒絕服務(wù)攻擊等；在支持 NETCONF 管理功能時(shí)，應(yīng)具備抵御常見攻擊的能力，例如權(quán)限繞過(guò)、拒絕服務(wù)攻擊等；在支持 FTP 功能時(shí)，應(yīng)具備抵御常見攻擊的能力，例如目錄遍歷、權(quán)限繞過(guò)等。身份標(biāo)識(shí)與鑒別交換機(jī)設(shè)備：應(yīng)不存在未向用戶公開的身份鑒別信息；應(yīng)對(duì)訪問(wèn)控制

13、主體進(jìn)行身份標(biāo)識(shí)和鑒別；用戶身份標(biāo)識(shí)應(yīng)具有唯一性；應(yīng)支持登錄用戶空閑超時(shí)鎖定或自動(dòng)退出等安全策略，以防范會(huì)話空閑時(shí)間過(guò)長(zhǎng)導(dǎo)致的安全風(fēng)險(xiǎn)；對(duì)身份鑒別信息，如用戶登錄口令、SNMP 團(tuán)體名等應(yīng)使用安全強(qiáng)度較高的密碼算法,如 AES、SM3/4、SHA2 等，來(lái)保障身份鑒別信息存儲(chǔ)的機(jī)密性，避免使用 base64、DES、SHA1 等安全強(qiáng)度弱的密碼算法；對(duì)于使用口令鑒別方式的設(shè)備，用戶首次管理設(shè)備時(shí)，應(yīng)提示并允許用戶修改默認(rèn)口令或設(shè)置口令；應(yīng)支持設(shè)置口令修改周期；對(duì)于使用口令鑒別方式的設(shè)備，應(yīng)默認(rèn)開啟口令復(fù)雜度檢查功能。開啟口令復(fù)雜度檢查功能時(shí)， 口令長(zhǎng)度應(yīng)不少于 8 位，且至少包含 2 種不同類

14、型字符；用戶輸入的用戶登錄口令、SNMP 團(tuán)體名等鑒別信息默認(rèn)應(yīng)是不可見的；鑒別失敗時(shí)，設(shè)備應(yīng)返回最少且無(wú)差別信息。訪問(wèn)控制安全交換機(jī)設(shè)備：應(yīng)在出廠時(shí)默認(rèn)設(shè)置安全的訪問(wèn)控制策略，或支持用戶首次使用時(shí)設(shè)置訪問(wèn)控制策略；應(yīng)提供用戶分級(jí)分權(quán)控制機(jī)制；對(duì)涉及設(shè)備安全的重要功能如補(bǔ)丁管理、固件管理、日志審計(jì)、時(shí)間同步、端口鏡像、流采樣等，應(yīng)僅高等級(jí)權(quán)限用戶可使用；應(yīng)支持對(duì)用戶管理會(huì)話進(jìn)行過(guò)濾，限制非授權(quán)用戶訪問(wèn)和配置設(shè)備，例如通過(guò)訪問(wèn)控制列表功能限制可對(duì)設(shè)備進(jìn)行管理（包括 Telnet、SSH、SNMP、WEB 等管理方式）的用戶 IPv4/v6 地址。日志審計(jì)安全交換機(jī)設(shè)備：應(yīng)提供日志記錄功能，對(duì)用戶

15、關(guān)鍵操作，如增/刪賬戶、修改鑒別信息、修改關(guān)鍵配置、開啟/ 關(guān)閉日志記錄、用戶登錄/注銷、用戶權(quán)限修改、重啟/關(guān)閉設(shè)備、更新等行為進(jìn)行記錄；對(duì)常見攻擊行為例如 SYN Flood、ICMP Flood、UDP Flood、IP Flood、IP 地址掃描、端口掃描、Ping of Death、TearDrop、IP 選項(xiàng)偽造、TCP 異常、Smurf、Fraggle、Land 等攻擊行為進(jìn)行記錄；應(yīng)提供日志信息本地存儲(chǔ)功能，當(dāng)日志記錄存儲(chǔ)達(dá)到極限時(shí)，應(yīng)采取覆蓋舊的審計(jì)記錄，保留最新的審計(jì)記錄等措施；應(yīng)支持日志信息輸出功能；應(yīng)提供安全功能，保證設(shè)備異常斷電恢復(fù)后，已記錄的日志不丟失；日志審計(jì)記錄

16、中應(yīng)記錄必要的日志要素，至少包括事件發(fā)生日期和時(shí)間、主體、事件描述（如類型、操作結(jié)果等）、IP 地址（采用遠(yuǎn)程管理方式時(shí)）等，為查閱和分析提供足夠的信息；應(yīng)提供日志分析功能或?yàn)槿罩痉治龉δ芴峁┙涌冢蝗罩居涗洃?yīng)受到保護(hù)，防止日志內(nèi)容被修改，防止未經(jīng)授權(quán)的操作；不應(yīng)在日志中明文記錄敏感信息，如用戶口令、SNMP 團(tuán)體名、WEB 會(huì)話 ID 以及私鑰等。通信安全交換機(jī)設(shè)備：管理系統(tǒng)（管理用戶）與設(shè)備之間的通信信道/路徑應(yīng)保證數(shù)據(jù)的機(jī)密性和完整性；在支持 WEB 管理時(shí)，應(yīng)支持 HTTPS；在支持 SSH 管理時(shí)，應(yīng)支持 SSHv2；在支持 SNMP 管理時(shí)，應(yīng)支持 SNMPv3；應(yīng)支持使用至少一種非

17、明文數(shù)據(jù)傳輸協(xié)議對(duì)設(shè)備進(jìn)行管理，如 HTTPS、SSHv2、SNMPv3 等；應(yīng)支持關(guān)閉網(wǎng)絡(luò)管理功能，如 Telnet、SSH、SNMP、WEB 等網(wǎng)絡(luò)管理功能；IPv4/v6、TCP、UDP、ICMPv4/v6 等基礎(chǔ)通信協(xié)議應(yīng)滿足一定的通信協(xié)議健壯性要求，防范異常報(bào)文攻擊；SNMPv1/v2c/v3、SSHv1/v2、HTTP/HTTPS、FTP、TFTP、NTP、netconf、Openflow 等應(yīng)用層協(xié)議應(yīng)滿足一定的通信協(xié)議健壯性要求，防范異常報(bào)文攻擊；如果支持路由功能，則 OSPFv2/v3、BGP4/4+等路由控制協(xié)議應(yīng)滿足一定的通信協(xié)議健壯性要求，防范異常報(bào)文攻擊；如果支持路由

18、功能，則路由通信協(xié)議應(yīng)支持非明文路由認(rèn)證功能，例如基于 MD5 的路由認(rèn)證；應(yīng)支持使用 NTP 等實(shí)現(xiàn)時(shí)間同步功能，并具備安全功能或措施防范針對(duì)時(shí)間同步功能的攻擊， 如提供 NTP 認(rèn)證等功能；如果支持 TRILL 協(xié)議，應(yīng)支持協(xié)議認(rèn)證功能，如基于 HMAC-SHA256 等認(rèn)證。數(shù)據(jù)安全交換機(jī)設(shè)備：應(yīng)對(duì)存儲(chǔ)在設(shè)備上的數(shù)據(jù)進(jìn)行分類管理，如對(duì)用戶口令等敏感數(shù)據(jù)具備安全防護(hù)措施；設(shè)備提供者通過(guò)設(shè)備收集用戶信息功能的，應(yīng)當(dāng)向用戶明示并取得同意。附 錄 A（規(guī)范性附錄） 標(biāo)準(zhǔn)修訂歷史修訂時(shí)間修訂后版本號(hào)修訂內(nèi)容2018-10-18V1.0.0標(biāo)準(zhǔn)征求意見稿初稿2018-11-7V1.0.1根據(jù)各廠商意見，修訂標(biāo)準(zhǔn)，形成征求意見稿2019-1-10V1.1.0根據(jù)各廠商意見，修訂標(biāo)準(zhǔn)，形成送審稿2019-4-10V1.2.0根據(jù)各廠商意見，修訂標(biāo)準(zhǔn)，形成報(bào)批稿附 錄 B（資料性附錄） 用戶信息說(shuō)明對(duì)于網(wǎng)絡(luò)關(guān)鍵設(shè)備而言，用戶可能是運(yùn)營(yíng)商、大中型企業(yè)等組織。其所涉及的用戶信息，可能包括路由表、設(shè)備