ICS33.050

CCSM30

團(tuán)體標(biāo)準(zhǔn)

T/TAF219—2024

網(wǎng)絡(luò)設(shè)備密碼應(yīng)用技術(shù)要求

入侵檢測(cè)設(shè)備

Cryptographyapplicationtechnicalrequirementfornetworkdevices—

Intrusiondetectiondevices

2024-02-23發(fā)布2024-02-23實(shí)施

電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā)布

T/TAF219—2024

網(wǎng)絡(luò)設(shè)備密碼應(yīng)用技術(shù)要求入侵檢測(cè)設(shè)備

1范圍

本文件規(guī)定了入侵檢測(cè)設(shè)備在軟件/固件安全、身份鑒別、訪(fǎng)問(wèn)控制、網(wǎng)絡(luò)通信安全、數(shù)據(jù)安全、

計(jì)算安全等方面的密碼應(yīng)用技術(shù)的技術(shù)要求。

本文件適用于在我國(guó)境內(nèi)銷(xiāo)售或提供的入侵檢測(cè)設(shè)備（指包含網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的硬件設(shè)備），也

可為網(wǎng)絡(luò)運(yùn)營(yíng)者采購(gòu)入侵檢測(cè)設(shè)備時(shí)提供依據(jù)，還適用于指導(dǎo)入侵檢測(cè)設(shè)備的研發(fā)、測(cè)試等工作。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20275—2020信息安全技術(shù)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法

GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)

GB/T32915—2016信息安全技術(shù)二元序列隨機(jī)性檢測(cè)方法

GM/T0005—2021隨機(jī)性檢測(cè)規(guī)范

3術(shù)語(yǔ)和定義

GB/T25069—2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)network-basedinstrusiondetectionsystem

是以網(wǎng)絡(luò)上的數(shù)據(jù)包作為數(shù)據(jù)源，監(jiān)聽(tīng)所保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)的所有數(shù)據(jù)包并進(jìn)行分析，從而發(fā)現(xiàn)異常行

為的產(chǎn)品。

[來(lái)源：GB/T20275—2021，5]

3.2

加密encipherment/encryption

對(duì)數(shù)據(jù)進(jìn)行密碼變換以產(chǎn)生密文的過(guò)程。

3.3

解密decipherment/decryption

對(duì)密文進(jìn)行密碼變換以產(chǎn)生數(shù)據(jù)的過(guò)程。

3.4

密鑰key

1

T/TAF219—2024

控制密碼算法運(yùn)算的關(guān)鍵信息或參數(shù)。

3.5

保密性confidentiality

保證信息不被泄露給非授權(quán)的個(gè)人、進(jìn)程等實(shí)體的性質(zhì)。

3.6

數(shù)據(jù)完整性dataintegrity

數(shù)據(jù)沒(méi)有遭受以非授權(quán)方式所作的篡改或破壞的性質(zhì)。

3.7

不可否認(rèn)性non-repudiation

證明一個(gè)已經(jīng)發(fā)生的操作行為無(wú)法否認(rèn)的性質(zhì)。

3.8

重要數(shù)據(jù)importantdata

主要指支持入侵檢測(cè)設(shè)備自身運(yùn)行管理所涉及的重要信息，主要包括身份鑒別信息、訪(fǎng)問(wèn)控制信息、

配置信息、日志信息、升級(jí)數(shù)據(jù)、遠(yuǎn)程配置指令、告警信息、密鑰等，具體參見(jiàn)附錄A。

3.9

可信計(jì)算環(huán)境trustedcomputingenvironment

基于硬件級(jí)隔離及安全啟動(dòng)機(jī)制，為確保安全敏感應(yīng)用相關(guān)數(shù)據(jù)和代碼的機(jī)密性、完整性、真實(shí)性

和不可否認(rèn)性目標(biāo)構(gòu)建的一種軟件運(yùn)行環(huán)境。

3.10

固件firmware

寫(xiě)入EPROM（可擦寫(xiě)可編程只讀存儲(chǔ)器）或EEPROM(電可擦可編程只讀存儲(chǔ)器)中的程序。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件：

HTTPS：超文本傳輸安全協(xié)議（HypertextTransferProtocolSecure）

IPSec：互聯(lián)網(wǎng)安全協(xié)議（InternetProtocolSecurity）

Netconf：網(wǎng)絡(luò)配置協(xié)議（NetworkConfigurationProtocol）

SNMP：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol）

SSH：安全外殼協(xié)議（SecureShell）

SSL：安全套接層（SecureSocketLayer）

VPN：虛擬專(zhuān)用網(wǎng)絡(luò)(VirtualPrivateNetwork)

5入侵檢測(cè)設(shè)備密碼應(yīng)用技術(shù)要求

2

T/TAF219—2024

5.1基本要求

入侵檢測(cè)設(shè)備基本要求如下：

a)應(yīng)包含密鑰產(chǎn)生、密鑰存儲(chǔ)、密鑰使用、密鑰更新等功能；

b)應(yīng)按照密鑰更新周期要求更新密鑰；

c)應(yīng)有安全措施防止密鑰的泄露和替換；

d)首次使用公鑰前，應(yīng)對(duì)證書(shū)有效性進(jìn)行驗(yàn)證；

e)涉及到使用隨機(jī)數(shù)時(shí)，應(yīng)符合GB/T32915—2016，顯著性水平參考GM/T0005—2021；

f)設(shè)備使用的密碼技術(shù)（指本文件規(guī)定范圍內(nèi)的密碼應(yīng)用技術(shù)）應(yīng)支持使用安全強(qiáng)度較高的密碼

算法，不宜使用安全強(qiáng)度弱的密碼算法。

5.2軟件/固件安全

入侵檢測(cè)設(shè)備軟件/固件安全要求如下：

a)升級(jí)時(shí)，應(yīng)使用密碼技術(shù)保證軟件/固件升級(jí)包的完整性與來(lái)源真實(shí)性；

b)可使用密碼技術(shù)保證軟件/固件保密性；

c)可使用密碼技術(shù)來(lái)保證軟件/固件完整性；

d)可使用密碼技術(shù)保證軟件/固件抵御常見(jiàn)的攻擊，如反編譯、重打包等；

e)啟動(dòng)時(shí)，可使用密碼技術(shù)保證軟件/固件的完整性。

5.3身份鑒別

入侵檢測(cè)設(shè)備身份鑒別要求如下：

a)應(yīng)使用密碼技術(shù)對(duì)訪(fǎng)問(wèn)入侵檢測(cè)設(shè)備的終端、軟件或用戶(hù)進(jìn)行身份鑒別，必要時(shí)使用密碼技術(shù)

進(jìn)行雙向身份鑒別；

b)應(yīng)支持使用密碼技術(shù)保證身份鑒別信息傳輸過(guò)程中的保密性；

c)應(yīng)支持使用密碼技術(shù)保證身份鑒別信息存儲(chǔ)過(guò)程中的保密性；

d)可使用密碼技術(shù)保證身份鑒別信息傳輸過(guò)程中的完整性；

e)可使用密碼技術(shù)保證身份鑒別信息存儲(chǔ)過(guò)程中的完整性；

f)可使用密碼技術(shù)來(lái)抵御常見(jiàn)的重放攻擊，如偽隨機(jī)數(shù)等。

5.4訪(fǎng)問(wèn)控制

入侵檢測(cè)設(shè)備訪(fǎng)問(wèn)控制要求如下：

a)可使用密碼技術(shù)實(shí)現(xiàn)訪(fǎng)問(wèn)控制功能，如數(shù)字證書(shū)等；

b)可使用密碼技術(shù)保證訪(fǎng)問(wèn)控制信息的完整性。

5.5網(wǎng)絡(luò)通信安全

入侵檢測(cè)設(shè)備網(wǎng)絡(luò)通信安全要求如下：

a)遠(yuǎn)程管理時(shí)，應(yīng)支持使用密碼技術(shù)建立可信信道/可信路徑；

1)在支持web管理時(shí)，應(yīng)支持HTTPS，并避免使用安全強(qiáng)度弱的密碼算法與加密模式；

2)在支持SSH管理時(shí)，應(yīng)支持SSHv2，并避免使用安全強(qiáng)度弱的密碼算法與加密模式；

3)在支持SNMP管理時(shí)，應(yīng)支持SNMPv3，應(yīng)使用authPriv（SNMPv3的一種安全級(jí)別，既認(rèn)證又

加密）模式；

4)在支持Netconf管理時(shí)，安全傳輸層應(yīng)避免使用安全強(qiáng)度弱的密碼算法與加密模式。

b)在使用IPSecVPN或SSLVPN時(shí)，應(yīng)避免使用安全強(qiáng)度弱的密碼算法與加密模式；

c)應(yīng)使用密碼技術(shù)保證路由協(xié)議認(rèn)證功能的安全；

3

T/TAF219—2024

d)可使用通信數(shù)據(jù)加密再傳輸?shù)姆绞奖ＷC信息不被泄露。

5.6數(shù)據(jù)安全

入侵檢測(cè)設(shè)備數(shù)據(jù)安全要求如下：

a)應(yīng)使用密碼技術(shù)保證遠(yuǎn)程配置指令在傳輸過(guò)程中的保密性與完整性，如接受集中管理平臺(tái)管理

或與其他安全設(shè)備聯(lián)動(dòng)時(shí)下發(fā)的安全策略等；

b)應(yīng)使用密碼技術(shù)保證告警信息在傳輸過(guò)程中的完整性，如向集中管理平臺(tái)上報(bào)的安全事件、故

障告警等；

c)可使用密碼技術(shù)保證配置信息、日志信息等重要數(shù)據(jù)在傳輸過(guò)程中的保密性和完整性；

d)可使用密碼技術(shù)保證配置信息、日志信息等重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的保密性和完整性；

e)可使用密碼技術(shù)保證設(shè)備抵御常見(jiàn)的攻擊，防止密鑰等重要數(shù)據(jù)泄露，如計(jì)時(shí)攻擊等。

5.7計(jì)算安全

入侵檢測(cè)設(shè)備計(jì)算安全要求如下：

a)可使用可信計(jì)算技術(shù)建立可信計(jì)算環(huán)境；

b)可使用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù)，并對(duì)其來(lái)源進(jìn)行真實(shí)性驗(yàn)證。

4

T/TAF219—2024

附錄A

（資料性）

重要數(shù)據(jù)說(shuō)明

表A.1中列舉了入侵檢測(cè)設(shè)備涉及的重要數(shù)據(jù)。重要數(shù)據(jù)包括但不限于身份鑒別信息、訪(fǎng)問(wèn)控制信

息、配置信息、日志信息、升級(jí)數(shù)據(jù)、遠(yuǎn)程配置指令、密鑰等。

表A.1入侵檢測(cè)設(shè)備涉及的重要數(shù)據(jù)示例

序號(hào)重要數(shù)據(jù)類(lèi)型備注

1訪(fǎng)問(wèn)控制信息系統(tǒng)訪(fǎng)問(wèn)控制策略、重要信息敏感資源標(biāo)記等

2身份鑒別信息如用戶(hù)口令、生物特征等

系統(tǒng)啟動(dòng)時(shí)對(duì)程序進(jìn)行配置的信息，如服務(wù)端口、數(shù)據(jù)庫(kù)連接信

3配置信息

息、線(xiàn)程池信息等

4遠(yuǎn)程配置指令遠(yuǎn)程配置安全策略等

5升級(jí)數(shù)據(jù)特征庫(kù)、規(guī)則文件、系統(tǒng)/軟件升級(jí)包等

6告警信息設(shè)備故障信息、安全事件告警信息等

7日志信息系統(tǒng)操作審計(jì)日志、訪(fǎng)問(wèn)日志、系統(tǒng)安全日志等

8密鑰私鑰、對(duì)稱(chēng)密鑰等

5

T/TAF219—2024

參考文獻(xiàn)

[1]GB/T39786—2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求

[2]GB/T37092—2018信息安全技術(shù)密碼模塊安全要求

[3]GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

[4]GB/T20275—2020信息安全技術(shù)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法

[5]GB/T32915—2016信息安全技術(shù)二元序列隨機(jī)性檢測(cè)方法

[6]GM/T0005—2021隨機(jī)性檢測(cè)規(guī)范

6

T/TAF219—2024