ICS33.050

CCSM30

團(tuán)體標(biāo)準(zhǔn)

T/TAF230—2024

光傳送網(wǎng)設(shè)備安全技術(shù)要求

Securitytechnicalrequirementsforopticaltransportnetworkequipment

2024-05-13發(fā)布2024-05-13實(shí)施

電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā)布

T/TAF230—2024

目次

前言................................................................................II

1范圍..............................................................................1

2規(guī)范性引用文件....................................................................1

3術(shù)語(yǔ)和定義........................................................................1

4縮略語(yǔ)............................................................................1

5安全要求..........................................................................2

5.1概述..........................................................................2

5.2安全功能要求..................................................................2

5.3安全保障要求..................................................................5

附錄A（規(guī)范性）安全等級(jí)劃分........................................................7

附錄B（資料性）安全威脅與安全目的分析..............................................8

B.1安全資產(chǎn)......................................................................8

B.2安全威脅......................................................................8

B.3安全目的......................................................................8

參考文獻(xiàn)............................................................................10

Ⅰ

T/TAF230—2024

光傳送網(wǎng)設(shè)備安全技術(shù)要求

1范圍

本文件規(guī)定了針對(duì)光傳送網(wǎng)（OTN）設(shè)備的安全技術(shù)要求，包括安全功能要求和安全保障要求。其

中安全功能要求主要關(guān)注于光傳送網(wǎng)設(shè)備應(yīng)具備的安全功能，以及需要網(wǎng)絡(luò)管理系統(tǒng)或模塊配合完成的

安全功能。安全保障要求主要關(guān)注于光傳送網(wǎng)設(shè)備的安全管理的要求。

本文件適用于光傳送網(wǎng)設(shè)備的研制、生產(chǎn)、測(cè)試、評(píng)估與認(rèn)證。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)

GB40050—2021網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求

ISO/IEC9899:2018C語(yǔ)言規(guī)范（Programminglanguages—C）

3術(shù)語(yǔ)和定義

GB/T25069—2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

信任根rootoftrust

處于信任鏈初始位置，用于驗(yàn)證信任鏈上后續(xù)實(shí)體完整性和真實(shí)性的實(shí)體。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

ARP：地址解析協(xié)議（AddressResolutionProtocol）

ASLR：地址空間布局隨機(jī)化（AddressSpaceLayoutRandomization）

DoS：拒絕服務(wù)（DenialofService）

DTLS：數(shù)據(jù)包傳輸層安全性協(xié)議（DatagramTransportLayerSecurity）

ICMP：因特網(wǎng)控制報(bào)文協(xié)議（InternetControlMessageProtocol）

LTS：長(zhǎng)期支持（LongTermSupport）

NX：不可執(zhí)行（No-eXecute）

OTN：光傳送網(wǎng)（OpticalTransportNetwork）

PIE：地址無(wú)關(guān)可執(zhí)行（Position-IndependentExecutable）

RADIUS：遠(yuǎn)程用戶(hù)撥號(hào)認(rèn)證服務(wù)（RemoteAuthenticationDialInUserService）

SFTP：安全文件傳輸協(xié)議（SecretFileTransferProtocol）

1

T/TAF230—2024

SNMP：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol）

SSH：安全外殼協(xié)議（SecureShell）

SYN：同步序列編號(hào)（SynchronizeSequenceNumbers）

TACACS：終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)（TerminalAccessControllerAccess-ControlSystem）

TCP：傳輸控制協(xié)議（TransmissionControlProtocol）

TLS：傳輸層安全協(xié)議（TransportLayerSecurity）

UDP：用戶(hù)數(shù)據(jù)報(bào)協(xié)議（UserDatagramProtocol）

USB：通用串行總線（UniversalSerialBus）

5安全要求

5.1概述

光傳送網(wǎng)設(shè)備的安全威脅和安全目的分析可見(jiàn)附錄B。

光傳送網(wǎng)設(shè)備的安全要求可分為安全功能要求和安全保障要求，可根據(jù)不同安全要求提供的安全防

護(hù)能力強(qiáng)弱將安全要求分為三個(gè)等級(jí)，不同級(jí)別的安全防護(hù)能力如下。

——一級(jí)安全要求（基本級(jí)）：能夠防護(hù)擁有很少資源的威脅源發(fā)起的惡意攻擊所造成的關(guān)鍵資源

損害，能夠?qū)箒?lái)自于應(yīng)用層面和網(wǎng)絡(luò)層面的基礎(chǔ)攻擊，能夠妥善應(yīng)對(duì)產(chǎn)品中的安全漏洞、具

備漏洞修復(fù)或緩解措施，能夠記錄安全事件以供審計(jì)和處置。

——二級(jí)安全要求（增強(qiáng)級(jí)）：能夠防護(hù)擁有較為豐富資源的威脅源發(fā)起的惡意攻擊造成的重要資

源損害，在滿(mǎn)足一級(jí)安全要求的基礎(chǔ)上，能夠提供操作系統(tǒng)層的安全防護(hù)能力，能夠提供軟件

供應(yīng)鏈安全檢查，能夠提供數(shù)據(jù)加密存儲(chǔ)，能夠及時(shí)發(fā)現(xiàn)、監(jiān)測(cè)攻擊行為，能夠在自身遭到損

害后進(jìn)行一定的恢復(fù)。

——三級(jí)安全要求（卓越級(jí)）：能夠防護(hù)擁有豐富資源的威脅源發(fā)起的惡意攻擊造成的主要資源損

害，在滿(mǎn)足二級(jí)安全要求的基礎(chǔ)上，能夠從多個(gè)層面限制攻擊者的訪問(wèn)能力，能夠提供合適的

加密能力和安全協(xié)議，能夠提供更靈活的恢復(fù)能力。

各等級(jí)對(duì)應(yīng)的條款見(jiàn)附錄A。

5.2安全功能要求

5.2.1操作系統(tǒng)安全

光傳送網(wǎng)設(shè)備使用的操作系統(tǒng)滿(mǎn)足以下要求：

a）應(yīng)使用具備用戶(hù)態(tài)進(jìn)程與操作系統(tǒng)內(nèi)核隔離能力的操作系統(tǒng)；

b）若支持多用戶(hù)機(jī)制，應(yīng)禁止操作系統(tǒng)特權(quán)用戶(hù)遠(yuǎn)程訪問(wèn)設(shè)備；

c）應(yīng)限制或去除操作系統(tǒng)中的調(diào)試能力或工具；

d）若存在文件系統(tǒng)，應(yīng)限定操作系統(tǒng)可執(zhí)行文件及其所屬文件夾的寫(xiě)權(quán)限僅創(chuàng)建當(dāng)前文件的主體

可擁有；

e）操作系統(tǒng)應(yīng)默認(rèn)開(kāi)啟ASLR配置以加強(qiáng)系統(tǒng)安全性；

f）若支持多用戶(hù)和用戶(hù)組機(jī)制，應(yīng)為不同風(fēng)險(xiǎn)等級(jí)的進(jìn)程分配不同的用戶(hù)和用戶(hù)組；

g）設(shè)備上運(yùn)行的進(jìn)程應(yīng)根據(jù)業(yè)務(wù)訴求最小化使用系統(tǒng)特權(quán)（如capability特權(quán)）；

h）操作系統(tǒng)應(yīng)使用強(qiáng)制訪問(wèn)控制機(jī)制（例如SELinux），控制關(guān)鍵資源（例如加密密鑰）的訪問(wèn)

權(quán)限。

5.2.2軟件安全

2

T/TAF230—2024

光傳送網(wǎng)設(shè)備軟件滿(mǎn)足以下要求：

a）滿(mǎn)足本文件一級(jí)要求的設(shè)備中不應(yīng)存在已公布的中危及以上級(jí)別安全漏洞，或具備補(bǔ)救措施防

范漏洞風(fēng)險(xiǎn)；滿(mǎn)足本文件二級(jí)及三級(jí)要求的設(shè)備中不應(yīng)存在已公布的所有級(jí)別安全漏洞，或具

備補(bǔ)救措施防范漏洞風(fēng)險(xiǎn)；

b）設(shè)備軟件包中不應(yīng)存在病毒等惡意代碼；

c）設(shè)備應(yīng)支持安全啟動(dòng)，在設(shè)備啟動(dòng)時(shí)逐級(jí)校驗(yàn)軟件完整性；

d）設(shè)備加載軟件升級(jí)包、補(bǔ)丁等文件時(shí)，應(yīng)驗(yàn)證文件的完整性，拒絕加載被篡改的文件；

e）應(yīng)使用數(shù)字簽名技術(shù)驗(yàn)證軟件升級(jí)包、補(bǔ)丁等文件的完整性和來(lái)源；

f）應(yīng)基于硬件機(jī)制保護(hù)安全啟動(dòng)使用的信任根不被篡改。

5.2.3身份鑒別與訪問(wèn)控制

光傳送網(wǎng)設(shè)備支持以下身份鑒別與訪問(wèn)控制要求：

a）應(yīng)對(duì)設(shè)備用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)應(yīng)具有唯一性；

b）若支持多用戶(hù)，應(yīng)具備創(chuàng)建、禁用（或主動(dòng)鎖定）、刪除賬號(hào)的能力，且相應(yīng)操作應(yīng)僅由具備

安全管理員組權(quán)限的管理員賬號(hào)方可實(shí)施；

c）應(yīng)支持自動(dòng)禁用長(zhǎng)期未使用的賬號(hào)；

d）應(yīng)支持賬號(hào)角色管理，對(duì)每個(gè)賬號(hào)分配合適的角色，不同的角色具備不同的權(quán)限，應(yīng)僅允許經(jīng)

過(guò)身份鑒別的賬號(hào)執(zhí)行權(quán)限范圍內(nèi)的操作；

e）使用口令鑒別方式時(shí)，應(yīng)滿(mǎn)足以下要求：

1)應(yīng)支持首次登錄設(shè)備時(shí)強(qiáng)制修改默認(rèn)口令或設(shè)置口令；

2)應(yīng)支持設(shè)置口令生存周期；

3)應(yīng)支持口令復(fù)雜度檢查及長(zhǎng)度檢查，其中滿(mǎn)足本文件一級(jí)要求的設(shè)備，口令應(yīng)至少包含如

下字符中的三種：大寫(xiě)字母、小寫(xiě)字母、數(shù)字、特殊字符，長(zhǎng)度至少為8個(gè)字符；滿(mǎn)足本

文件二級(jí)及三級(jí)要求的設(shè)備，口令應(yīng)至少包含如下字符中的四種：大寫(xiě)字母、小寫(xiě)字母、

數(shù)字、特殊字符，長(zhǎng)度至少為12個(gè)字符；

4)應(yīng)提供口令防暴力破解機(jī)制；

注：常見(jiàn)的口令防暴力破解機(jī)制包括限制連續(xù)的非法登錄嘗試次數(shù)、登錄延遲、使用驗(yàn)證碼等。

5)用戶(hù)修改口令應(yīng)重新進(jìn)行身份鑒別；

f）當(dāng)出現(xiàn)鑒別失敗時(shí),設(shè)備應(yīng)提供無(wú)差別反饋,避免提示“用戶(hù)名錯(cuò)誤”“口令錯(cuò)誤”等類(lèi)型的具

體信息；

g）應(yīng)支持遠(yuǎn)程認(rèn)證管理方式；

h）遠(yuǎn)程認(rèn)證管理應(yīng)支持使用安全的傳輸通道進(jìn)行交互，如基于DTLS、TLS保護(hù)的RADIUS、TACACS

認(rèn)證等；

i）應(yīng)具備用戶(hù)弱口令字典管理功能，并支持用戶(hù)自行配置弱口令字典內(nèi)容。

5.2.4通信安全

通信主體身份認(rèn)證

光傳送網(wǎng)設(shè)備應(yīng)對(duì)連接至管理接口的設(shè)備或系統(tǒng)（如網(wǎng)管系統(tǒng)）進(jìn)行身份認(rèn)證，僅允許合法主體接

入管理接口。

通信協(xié)議安全

光傳送網(wǎng)設(shè)備使用通信協(xié)議滿(mǎn)足以下要求：

3

T/TAF230—2024

a）應(yīng)支持安全的TLS/SSH協(xié)議版本，并使用安全的加密算法套件；

b）應(yīng)支持安全的SNMP協(xié)議版本，并使用安全的加密算法套件；

c）應(yīng)支持安全的SFTP協(xié)議，并使用安全的加密算法套件。

證書(shū)使用

光傳送網(wǎng)設(shè)備支持以下證書(shū)使用要求：

a）設(shè)備應(yīng)支持基于數(shù)字證書(shū)的身份認(rèn)證機(jī)制；

b）設(shè)備導(dǎo)入數(shù)字證書(shū)時(shí)，應(yīng)對(duì)證書(shū)正確性進(jìn)行校驗(yàn)；

c）設(shè)備應(yīng)支持?jǐn)?shù)字證書(shū)的更新或替換；

d）設(shè)備應(yīng)支持吊銷(xiāo)證書(shū)的處理；

e）應(yīng)支持設(shè)備證書(shū)過(guò)期告警；

f）應(yīng)支持查詢(xún)證書(shū)狀態(tài)、證書(shū)有效期、證書(shū)應(yīng)用場(chǎng)景等信息。

5.2.5數(shù)據(jù)安全

光傳送網(wǎng)設(shè)備提供的數(shù)據(jù)保護(hù)機(jī)制滿(mǎn)足以下要求：

a）設(shè)備上的敏感數(shù)據(jù)（如口令、私鑰等）不應(yīng)在操作時(shí)進(jìn)行明文顯示；

b）設(shè)備上的敏感數(shù)據(jù)（如口令、私鑰等）應(yīng)進(jìn)行加密存儲(chǔ)；

c）設(shè)備應(yīng)支持傳輸加密（如OTNSec）能力，保護(hù)傳輸數(shù)據(jù)的機(jī)密性；

d）傳輸數(shù)據(jù)的加密，應(yīng)使用安全強(qiáng)度不弱于128bit的密碼算法；

注1：密碼算法安全強(qiáng)度是指與破壞密碼算法或系統(tǒng)所需的工作量相關(guān)聯(lián)的數(shù)字，單位為bit。一個(gè)算法安全強(qiáng)度為

128bit，則意味著攻破它所需的計(jì)算量為2的128次方。該定義來(lái)源于NISTSpecialPublication800-57Part

1,Revision5,RecommendationforKeyManagement:Part1–General。

e）應(yīng)采用多級(jí)密鑰管理機(jī)制，保護(hù)密鑰的機(jī)密性。

注2：密鑰管理機(jī)制通常包含密鑰派生、密鑰更新、密鑰銷(xiāo)毀等一個(gè)或多個(gè)環(huán)節(jié)的內(nèi)容。

5.2.6防護(hù)能力

管理端口防攻擊

光傳送網(wǎng)設(shè)備管理端口滿(mǎn)足以下防攻擊要求：

a）應(yīng)具備防ARP攻擊能力；

注：常見(jiàn)ARP攻擊如：ARP泛洪、ARP欺騙等。

b）應(yīng)具備防ICMP/UDP/TCPSYN報(bào)文DoS攻擊能力；

c）應(yīng)具備流量控制功能，在設(shè)備遭受DoS攻擊時(shí)，保證設(shè)備正常運(yùn)行。

暴露面最小化

光傳送網(wǎng)設(shè)備應(yīng)盡可能減少暴露的攻擊面，滿(mǎn)足以下要求：

a）默認(rèn)狀態(tài)下開(kāi)啟的端口和服務(wù)應(yīng)滿(mǎn)足GB40050—2021中5.6a)的要求；

b）非默認(rèn)開(kāi)放的端口和服務(wù)應(yīng)滿(mǎn)足GB40050—2021中5.6b)的要求；

c）設(shè)備主控板上不應(yīng)存在調(diào)試接口或調(diào)試接口不可用；

注：常見(jiàn)調(diào)試接口如JTAG，調(diào)試串口，調(diào)試網(wǎng)口，調(diào)試USB等。

d）設(shè)備主控板上不應(yīng)存在調(diào)試接口的標(biāo)識(shí)絲印。

備份恢復(fù)與冗余

4

T/TAF230—2024

光傳送網(wǎng)設(shè)備備份恢復(fù)與冗余設(shè)計(jì)滿(mǎn)足以下要求：

a）應(yīng)支持設(shè)備本地備份及備份導(dǎo)出功能，實(shí)現(xiàn)異常場(chǎng)景業(yè)務(wù)恢復(fù)；

b）應(yīng)提供對(duì)備份文件進(jìn)行完整性保護(hù)的措施；

c）設(shè)備整機(jī)應(yīng)支持主備切換功能或關(guān)鍵部件應(yīng)支持冗余功能，應(yīng)滿(mǎn)足GB40050—2021中5.2a)

的要求；

d）應(yīng)支持定時(shí)備份和手動(dòng)備份兩種模式。

異常檢測(cè)能力

光傳送網(wǎng)設(shè)備應(yīng)提供安全防護(hù)能力，滿(mǎn)足以下要求：

a）應(yīng)具備賬號(hào)暴力破解入侵行為的檢測(cè)和告警能力；

注1：告警形式可包括日志中記錄、郵件通知、風(fēng)險(xiǎn)提示等形式。

b）應(yīng)具備常見(jiàn)操作系統(tǒng)入侵行為的檢測(cè)和告警能力；

注2：常見(jiàn)操作系統(tǒng)入侵行為包括但不限于文件權(quán)限提升操作、超級(jí)用戶(hù)創(chuàng)建等。

c）應(yīng)支持對(duì)異常賬號(hào)操作行為的檢測(cè)和告警。

注3：異常賬號(hào)如被暴力破解的賬號(hào)、被異常賬號(hào)創(chuàng)建的賬號(hào)等。

安全配置管理

光傳送網(wǎng)設(shè)備應(yīng)支持安全配置管理能力，應(yīng)提供安全配置基線管理、安全配置核查功能。

注：安全配置包括但不限于安全協(xié)議版本配置、安全算法配置等。

5.2.7日志審計(jì)和管理

光傳送網(wǎng)設(shè)備滿(mǎn)足以下日志審計(jì)和管理要求：

a）應(yīng)支持對(duì)管理員用戶(hù)活動(dòng)、操作指令等操作記錄日志，記錄應(yīng)包括用戶(hù)ID、時(shí)間、事件類(lèi)型等；

b）應(yīng)僅允許管理員用戶(hù)訪問(wèn)和查看日志信息；

c）應(yīng)禁止對(duì)安全操作相關(guān)日志的刪除和修改；

d）應(yīng)支持基于安全傳輸協(xié)議的日志備份機(jī)制，例如基于TLS的Syslog協(xié)議，并將日志記錄實(shí)時(shí)傳

輸?shù)椒?wù)器；

e）應(yīng)對(duì)日志文件進(jìn)行訪問(wèn)控制，應(yīng)僅限創(chuàng)建文件的主體進(jìn)行讀寫(xiě)操作，其所屬用戶(hù)組僅可進(jìn)行讀

操作，其他用戶(hù)不可進(jìn)行讀寫(xiě)操作。

5.3安全保障要求

5.3.1設(shè)計(jì)和開(kāi)發(fā)

光傳送網(wǎng)設(shè)備提供者應(yīng)在光傳送網(wǎng)設(shè)備的設(shè)計(jì)和開(kāi)發(fā)環(huán)節(jié)滿(mǎn)足以下要求：

a）設(shè)備使用的開(kāi)源軟件應(yīng)經(jīng)過(guò)主流殺毒軟件掃描，以確保無(wú)惡意程序植入；

b）應(yīng)對(duì)已發(fā)現(xiàn)的開(kāi)源軟件的安全漏洞進(jìn)行及時(shí)修復(fù)，或提供補(bǔ)救措施；

c）使用開(kāi)源軟件應(yīng)提供對(duì)外開(kāi)源使用聲明，并保證用戶(hù)在獲取產(chǎn)品軟件包時(shí)可獲取該內(nèi)容；

d）應(yīng)確保提供所有使用的開(kāi)源軟件的許可證，且履行許可證要求；

e）應(yīng)采取措施防范第三方關(guān)鍵部件、固件或軟件可能引入的安全風(fēng)險(xiǎn)；

f）應(yīng)對(duì)設(shè)備使用的開(kāi)源軟件進(jìn)行管理，保證設(shè)備使用的開(kāi)源軟件為開(kāi)源社區(qū)官網(wǎng)或官方托管網(wǎng)站

的正式發(fā)布版本，核心軟件所用開(kāi)源軟件應(yīng)優(yōu)先選擇開(kāi)源社區(qū)官網(wǎng)或官方托管網(wǎng)站LTS版本或

穩(wěn)定版本，不應(yīng)使用已停止維護(hù)的開(kāi)源軟件版本；

注1：核心軟件一般可包括驅(qū)動(dòng)引導(dǎo)、操作系統(tǒng)類(lèi)軟件、編譯類(lèi)軟件、算法類(lèi)軟件、核心應(yīng)用軟件等。

5

T/TAF230—2024

g）應(yīng)提供措施確保設(shè)備使用的開(kāi)源軟件源碼可追溯到來(lái)源社區(qū)；

h）應(yīng)對(duì)設(shè)備使用的開(kāi)源軟件版本進(jìn)行管理，確保設(shè)備使用的開(kāi)源軟件版本歸一，不應(yīng)在產(chǎn)品中使

用同一開(kāi)源軟件的不同版本；

i）應(yīng)維護(hù)設(shè)備所用開(kāi)源軟件清單，并確保設(shè)備實(shí)際所用開(kāi)源軟件及其版本與開(kāi)源軟件清單一致；

j）應(yīng)針對(duì)所用開(kāi)源軟件的生命周期制定管理機(jī)制，明確開(kāi)源軟件生命周期關(guān)鍵節(jié)點(diǎn)（如停止維護(hù)、

停止服務(wù)等），并根據(jù)關(guān)鍵節(jié)點(diǎn)對(duì)開(kāi)源軟件進(jìn)行維護(hù)（如升級(jí)、更換其他軟件等）；

k）應(yīng)建立完善的開(kāi)源軟件漏洞管理機(jī)制，包括以下內(nèi)容：

1)應(yīng)實(shí)現(xiàn)漏洞感知可追溯，將所有已發(fā)現(xiàn)漏洞進(jìn)行記錄并入庫(kù)；

2)應(yīng)實(shí)現(xiàn)漏洞影響范圍可追溯，可根據(jù)漏洞信息查詢(xún)到受漏洞影響的產(chǎn)品；

3)應(yīng)實(shí)現(xiàn)漏洞修改發(fā)布過(guò)程可追溯，對(duì)技術(shù)方案修補(bǔ)、結(jié)果驗(yàn)證、公告發(fā)布等環(huán)節(jié)進(jìn)行流程

跟蹤；

l）設(shè)備所用軟件編譯時(shí)應(yīng)開(kāi)啟安全編譯選項(xiàng)，包括但不限于PIE、NX等；

m）設(shè)備軟件應(yīng)在代碼中使用安全的字符串操作函數(shù)，其中安全字符串操作函數(shù)所占比例不低于

20%時(shí)滿(mǎn)足本文件二級(jí)要求，安全字符串操作函數(shù)所占比例不低于40%時(shí)滿(mǎn)足本文件三級(jí)要求；

注2：安全字符串操作函數(shù)范圍見(jiàn)ISO/IEC9899:2018標(biāo)準(zhǔn)的K3.7章節(jié)，包括memcpy_s、memmove_s、strcpy_s、

strncpy_s、strcat_s、strncat_s、strtok_s、memset_s、strerror_s、strerrorlen_s、strnlen_s；對(duì)應(yīng)

的非安全字符串操作函數(shù)為memcpy、memmove、strcpy、strncpy、strcat、strncat、strtok、memset、strerror、

strerrorlen、strnlen。

注3：安全字符串操作函數(shù)的占比計(jì)算如下：安全字符串操作函數(shù)百分比=安全字符串操作函數(shù)調(diào)用次數(shù)/(非安

全字符串操作函數(shù)調(diào)用次數(shù)+安全字符串操作函數(shù)調(diào)用次數(shù))*100%。

n）應(yīng)保證設(shè)備證書(shū)一機(jī)一證；

o）應(yīng)實(shí)現(xiàn)開(kāi)源軟件漏洞修復(fù)過(guò)程的信息化管理（使用IT系統(tǒng)），包含開(kāi)源軟件漏洞感知、影響分

析和修復(fù)記錄等內(nèi)容的管理。

5.3.2生產(chǎn)和交付

光傳送網(wǎng)設(shè)備提供者應(yīng)在光傳送網(wǎng)設(shè)備的生產(chǎn)和交付環(huán)節(jié)滿(mǎn)足以下要求：

a）應(yīng)為用戶(hù)提供安全配置加固指導(dǎo)文檔，列出設(shè)備安全風(fēng)險(xiǎn)項(xiàng)及對(duì)應(yīng)的手工加固指導(dǎo)；

b）應(yīng)提供設(shè)備開(kāi)放端口使用說(shuō)明，并提供設(shè)備服務(wù)與設(shè)備默認(rèn)端口的映射關(guān)系說(shuō)明；

c）交付設(shè)備前，應(yīng)對(duì)設(shè)備進(jìn)行漏洞掃描，發(fā)現(xiàn)設(shè)備存在已知漏洞應(yīng)當(dāng)立即采取補(bǔ)救措施；

d）應(yīng)在交付前對(duì)設(shè)備軟件包進(jìn)行病毒掃描，確保其中不存在病毒等惡意代碼。

5.3.3運(yùn)行和維護(hù)

光傳送網(wǎng)設(shè)備提供者應(yīng)在光傳送網(wǎng)設(shè)備的運(yùn)行和維護(hù)環(huán)節(jié)滿(mǎn)足以下要求：

a）應(yīng)向用戶(hù)提供漏洞反饋渠道、漏洞處理流程和設(shè)備漏洞安全公告查看途徑；

b）應(yīng)在約定的期限內(nèi)，為設(shè)備提供持續(xù)的安全維護(hù)，不應(yīng)以業(yè)務(wù)變更、產(chǎn)權(quán)變更等原因單方面中

斷或終止安全維護(hù)；

c）應(yīng)向用戶(hù)告知設(shè)備生命周期終止時(shí)間。

6

T/TAF230—2024

附錄A

（規(guī)范性）

安全等級(jí)劃分

本文件中三個(gè)安全等級(jí)對(duì)應(yīng)的條款如表A.1所示。

表A.1光傳送網(wǎng)設(shè)備安全技術(shù)要求條款等級(jí)劃分表

一級(jí)二級(jí)三級(jí)

安全要求

（基本級(jí)）（增強(qiáng)級(jí)）（卓越級(jí)）

操作系統(tǒng)安全-5.2.1a)~e)5.2.1

軟件安全5.2.2a)b)5.2.2a)~d)5.2.2

身份鑒別與訪問(wèn)控制5.2.3a)~e)5.2.3a)~g)5.2.3

通信主體身份認(rèn)證

通信安全通信協(xié)議安全

證書(shū)使用--

安全功

數(shù)據(jù)安全5.2.5a)5.2.5a)~c)5.2.5

能要求

管理端口防攻擊

暴露面最小化a)b)

防護(hù)能力備份恢復(fù)與冗余-a)~c)

異常檢測(cè)能力-a)b)

安全配置管理-

日志審計(jì)和管理5.2.7a)~c)5.2.75.2.7

設(shè)計(jì)和開(kāi)發(fā)5.3.1a)~e)5.3.1a)~n)5.3.1

安全保

生產(chǎn)和交付5.3.25.3.25.3.2

障要求

運(yùn)行和維護(hù)5.3.35.3.35.3.3

7

T/TAF230—2024

附錄B

（資料性）

安全威脅與安全目的分析

B.1安全資產(chǎn)

光傳送網(wǎng)設(shè)備的核心資產(chǎn)如下：

a)傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)；

b)設(shè)備上存儲(chǔ)的用戶(hù)數(shù)據(jù)、配置信息、審計(jì)記錄等；

c)設(shè)備備份數(shù)據(jù)；

d)設(shè)備系統(tǒng)代碼、系統(tǒng)升級(jí)包、軟件包等。

光傳送網(wǎng)設(shè)備在設(shè)計(jì)和實(shí)現(xiàn)過(guò)程中應(yīng)采取措施保護(hù)上述資產(chǎn)的機(jī)密性、完整性和可用性。

B.2安全威脅

光傳送網(wǎng)設(shè)備可能面臨以下安全威脅：

a)系統(tǒng)完整性破壞：

1)攻擊者通過(guò)替換或篡改設(shè)備軟件包或升級(jí)包，注入惡意代碼加載運(yùn)行，

2)攻擊者通過(guò)利用系統(tǒng)漏洞或缺陷，破壞系統(tǒng)內(nèi)核代碼的運(yùn)行；

b)非授權(quán)訪問(wèn)：

1)攻擊者偽裝成合法用戶(hù)或破解用戶(hù)口令登錄設(shè)備，以在設(shè)備中創(chuàng)建后門(mén)賬號(hào)等方式實(shí)現(xiàn)

對(duì)設(shè)備的持續(xù)控制，

2)攻擊者偽裝成合法設(shè)備接入傳輸網(wǎng)絡(luò)，獲取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，

3)攻擊者通過(guò)利用代碼中的漏洞或缺陷，提升自身進(jìn)程權(quán)限，繞過(guò)訪問(wèn)控制機(jī)制，訪問(wèn)或

篡改系統(tǒng)中存儲(chǔ)的敏感數(shù)據(jù)；

c)數(shù)據(jù)泄露：

1)攻擊者通過(guò)偵聽(tīng)設(shè)備的通信，截獲不安全通信協(xié)議中明文傳輸?shù)臋C(jī)密數(shù)據(jù)，

2)攻擊者通過(guò)開(kāi)放的端口、系統(tǒng)調(diào)試接口、軟件漏洞等方式，侵入設(shè)備內(nèi)部，獲取設(shè)備上

存儲(chǔ)的用戶(hù)數(shù)據(jù)、配置信息、審計(jì)記錄、備份數(shù)據(jù)等敏感數(shù)據(jù)；

d)攻擊面暴露：

1)用戶(hù)進(jìn)行錯(cuò)誤的配置，導(dǎo)致可被攻擊者利用的攻擊路徑擴(kuò)大，例如將通信協(xié)議配置為不

安全的版本，從而導(dǎo)致敏感數(shù)據(jù)明文傳輸，

2)設(shè)備開(kāi)啟不安全的服務(wù)，導(dǎo)致可被攻擊者利用獲取傳輸數(shù)據(jù)或侵入系統(tǒng)內(nèi)部。

e)設(shè)備可用性破壞：

1)攻擊者通過(guò)泛洪攻擊設(shè)備管理端口，導(dǎo)致設(shè)備脫管，

2)外部攻擊、核心配置數(shù)據(jù)丟失等導(dǎo)致產(chǎn)品當(dāng)前運(yùn)行部件或系統(tǒng)功能失效，造成業(yè)務(wù)中斷。

B.3安全目的

為了應(yīng)對(duì)可能的安全威脅，光傳送網(wǎng)設(shè)備應(yīng)實(shí)現(xiàn)以下安全目的。

a)操作系統(tǒng)安全防護(hù)。光傳送網(wǎng)設(shè)備操作系統(tǒng)應(yīng)通過(guò)隔離技術(shù)、權(quán)限最小化等措施，限制應(yīng)用

進(jìn)程的能力，保護(hù)系統(tǒng)內(nèi)核代碼的運(yùn)行，從而保護(hù)系統(tǒng)的完整性，同時(shí)避免應(yīng)用進(jìn)程進(jìn)行非

授權(quán)訪問(wèn)。光傳送網(wǎng)設(shè)備操作系統(tǒng)應(yīng)通過(guò)限制調(diào)試能力、開(kāi)啟安全配置等措施，減少暴露的

攻擊面，減少可被惡意應(yīng)用程序利用的缺陷，從而保護(hù)系統(tǒng)運(yùn)行的完整性。

8

T/TAF230—2024

b)軟件安全防護(hù)。光傳送網(wǎng)設(shè)備應(yīng)通過(guò)安全啟動(dòng)、安全更新等措施，對(duì)設(shè)備的軟件包和升級(jí)包

進(jìn)行完整性校驗(yàn)，從而保護(hù)系統(tǒng)運(yùn)行代碼的完整性。光傳送網(wǎng)設(shè)備應(yīng)采取開(kāi)啟安全編譯選項(xiàng)、

使用安全操作函數(shù)等措施盡量減少軟件包中可被利用的漏洞和缺陷，從而避免被攻擊者利用

破壞系統(tǒng)的完整性。

c)身份鑒別與訪問(wèn)控制。光傳送網(wǎng)設(shè)備應(yīng)提供身份鑒別與訪問(wèn)控制機(jī)制，對(duì)訪問(wèn)者的身份及權(quán)

限進(jìn)行限制，以盡可能防止非授權(quán)訪問(wèn)的發(fā)生。