網(wǎng)絡(luò)設(shè)備安全分級(jí)技術(shù)要求

Q/LB.□XXXXX-XXXXT/CSACXXXX—XXXX目次TOC\o"1-1"\h\t"標(biāo)準(zhǔn)文件_一級(jí)條標(biāo)題,2,標(biāo)準(zhǔn)文件_二級(jí)條標(biāo)題,3,標(biāo)準(zhǔn)文件_附錄一級(jí)條標(biāo)題,2,標(biāo)準(zhǔn)文件_附錄二級(jí)條標(biāo)題,3,"前言 III1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 15概述 26通用安全技術(shù)要求 26.1第一級(jí)安全技術(shù)要求 26.2第二級(jí)安全技術(shù)要求 26.2.1安全功能要求 26.2.2安全保障要求 46.3第三級(jí)安全技術(shù)要求 46.3.1安全功能要求 46.3.2安全保障要求 67防火墻產(chǎn)品安全技術(shù)要求 67.1第一級(jí)安全技術(shù)要求 67.2第二級(jí)安全技術(shù)要求 67.2.1拒絕服務(wù)攻擊防護(hù)能力 67.2.2入侵威脅檢測(cè)能力 67.2.3病毒威脅檢測(cè)能力 77.2.4攻擊防逃逸能力 77.3第三級(jí)安全技術(shù)要求 77.3.1拒絕服務(wù)攻擊防護(hù)能力 77.3.2入侵威脅檢測(cè)能力 77.3.3病毒威脅檢測(cè)能力 87.3.4攻擊防逃逸能力 88抗拒絕服務(wù)攻擊產(chǎn)品安全技術(shù)要求 88.1第一級(jí)安全技術(shù)要求 88.2第二級(jí)安全技術(shù)要求 88.2.1網(wǎng)絡(luò)層拒絕服務(wù)攻擊防護(hù)能力 88.2.2傳輸層拒絕服務(wù)攻擊防護(hù)能力 88.2.3會(huì)話層拒絕服務(wù)攻擊防護(hù) 98.2.4應(yīng)用層拒絕服務(wù)攻擊防護(hù) 98.3第三級(jí)安全技術(shù)要求 98.3.1網(wǎng)絡(luò)層拒絕服務(wù)攻擊防護(hù)能力 98.3.2傳輸層拒絕服務(wù)攻擊防護(hù)能力 108.3.3會(huì)話層拒絕服務(wù)攻擊防護(hù) 108.3.4應(yīng)用層拒絕服務(wù)攻擊防護(hù) 109交換機(jī)產(chǎn)品安全技術(shù)要求 119.1第一級(jí)安全技術(shù)要求 119.2第二級(jí)安全技術(shù)要求 119.3第三級(jí)安全技術(shù)要求 1110WLAN產(chǎn)品安全技術(shù)要求 1110.1第一級(jí)安全技術(shù)要求 1110.2第二級(jí)安全技術(shù)要求 1110.2.1AP接入安全 1110.2.2無線用戶接入安全 1110.2.3設(shè)備檢測(cè)能力 1110.2.4設(shè)備反制能力 1110.3第三級(jí)安全技術(shù)要求 1210.3.1AP接入安全 1210.3.2無線用戶接入安全 1210.3.3非法攻擊檢測(cè)能力 12附錄A（資料性）通用安全要求分級(jí)匯總 13參考文獻(xiàn) 16前言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文本的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)提出。本文件由中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)歸口。本文件起草單位：武漢網(wǎng)絡(luò)安全技術(shù)有限公司、武漢大學(xué)網(wǎng)絡(luò)安全學(xué)院、華為技術(shù)有限公司、湖北天融信網(wǎng)絡(luò)安全技術(shù)有限公司。本文件主要起草人：丁勇、高陽、胡俊理、趙波、安高峰、周寧、夏靚、王健、李詩洋、錢鋒、李翔、王勇、秦神祖。網(wǎng)絡(luò)設(shè)備安全分級(jí)技術(shù)要求范圍本文件提出了網(wǎng)絡(luò)設(shè)備的安全功能和脆弱性評(píng)估的分級(jí)要求。本文件適用于指導(dǎo)網(wǎng)絡(luò)設(shè)備生產(chǎn)企業(yè)進(jìn)行產(chǎn)品設(shè)計(jì)、開發(fā)和測(cè)試，設(shè)備用戶選型與第三方評(píng)測(cè)也可參照使用。本文件所指網(wǎng)絡(luò)設(shè)備包含路由器設(shè)備、數(shù)據(jù)中心交換機(jī)設(shè)備、園區(qū)交換機(jī)設(shè)備、無線接入WLAN設(shè)備、防火墻設(shè)備、入侵檢測(cè)設(shè)備、抗DDoS設(shè)備。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069信息安全技術(shù)術(shù)語術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。

網(wǎng)絡(luò)設(shè)備networkdevices網(wǎng)絡(luò)設(shè)備指具備連接網(wǎng)絡(luò)功能的實(shí)體（不包含消費(fèi)類終端產(chǎn)品）。縮略語下列縮略語適用于本文件。BGP：邊界網(wǎng)關(guān)協(xié)議（BorderGatewayProtocol）CSRF：跨站請(qǐng)求偽造（Cross-SiteRequestForgery）DES：數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard）DoS：拒絕服務(wù)（DenialofService）DTLS：數(shù)據(jù)包傳輸層安全（DatagramTransportLayerSecurity）HTTPS：超文本傳輸安全協(xié)議（HypertextTransferProtocolSecure）IGP：內(nèi)部網(wǎng)關(guān)協(xié)議（InteriorGatewayProtocol）IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）IPsec：互聯(lián)網(wǎng)協(xié)議安全（InternetProtocolSecurity）MACsec：媒體訪問控制安全（MediaAccessControl(MAC)Security）MD5：消息摘要算法版本5（MessageDigestAlgorithm5）ND：鄰居發(fā)現(xiàn)（NeighborDiscovery）NTP：網(wǎng)絡(luò)時(shí)間協(xié)議（NetworkTimeProtocol）SELinux：安全增強(qiáng)式Linux（Security-EnhanceLinux）SSH：安全外殼（SecureShell）SZTP：安全零接觸配置（SecureZeroTouchProvisioning）TEE：可信執(zhí)行環(huán)境（TrustedExecutionEnvironment）TLS：傳輸層安全（TransportLayerSecurity）UDP：用戶數(shù)據(jù)包協(xié)議（UserDatagramProtocol）URL：統(tǒng)一資源定位符（UniformResourceLocator）XSS：跨站點(diǎn)腳本（Cross-sitescripting）概述網(wǎng)絡(luò)設(shè)備在通信網(wǎng)絡(luò)容易遭受到來自網(wǎng)絡(luò)和其他方面的威脅，例如設(shè)備被劫持、大規(guī)模DoS/DDoS攻擊等，這些安全威脅利用設(shè)備的脆弱性對(duì)設(shè)備進(jìn)行攻擊，設(shè)備被攻擊后，網(wǎng)絡(luò)的性能和正常運(yùn)行會(huì)受到很大的影響，甚至造成拒絕正常用戶訪問服務(wù)。為有效應(yīng)對(duì)有組織的團(tuán)伙的針對(duì)性攻擊，保障重要網(wǎng)絡(luò)、關(guān)鍵信息基礎(chǔ)設(shè)施（以下簡(jiǎn)稱“關(guān)基”）網(wǎng)絡(luò)的安全。本文件針對(duì)網(wǎng)絡(luò)設(shè)備提出了分級(jí)的安全要求，指導(dǎo)制造商更好落地安全要求，同時(shí)為網(wǎng)絡(luò)客戶采購高安全的網(wǎng)絡(luò)設(shè)備提供依據(jù)。安全分級(jí)整體思路與適用場(chǎng)景描述如下：第一級(jí)安全要求具備基本的防御能力，適用于一般用戶一般要求場(chǎng)景。第二級(jí)安全要求在第一級(jí)安全要求的基礎(chǔ)上增加默認(rèn)安全、漏洞防利用、密鑰管理等，具備一定的縱深防御能力，適用于一般用戶較高安全要求場(chǎng)景，如財(cái)務(wù)數(shù)據(jù)存儲(chǔ)區(qū)、研發(fā)數(shù)據(jù)存儲(chǔ)區(qū)、核心生產(chǎn)區(qū)等。第三級(jí)安全要求在第二級(jí)安全要求的基礎(chǔ)上增加安全配置核查、主機(jī)入侵檢測(cè)等，具備防范APT攻擊的能力，適用于關(guān)基用戶重要關(guān)基系統(tǒng)等需要重點(diǎn)防護(hù)區(qū)域。通用安全技術(shù)要求第一級(jí)安全技術(shù)要求獲得網(wǎng)絡(luò)關(guān)鍵設(shè)備或者安全專用產(chǎn)品認(rèn)證證書，或者自證明滿足GB40050或者GB42250標(biāo)準(zhǔn)。第二級(jí)安全技術(shù)要求安全功能要求默認(rèn)安全本項(xiàng)要求包括：不應(yīng)預(yù)留任何的未公開帳號(hào)，所有帳號(hào)都應(yīng)可被系統(tǒng)管理，如果存在默認(rèn)帳號(hào)，應(yīng)在產(chǎn)品資料中明示；不應(yīng)存在繞過正常認(rèn)證機(jī)制直接進(jìn)入系統(tǒng)的隱秘通道，如：組合鍵、鼠標(biāo)特殊敲擊、連接特定接口，使用特定客戶端、使用特殊URL等；不應(yīng)默認(rèn)使用不安全協(xié)議，如Telnet,SSHv1等。軟件完整性本項(xiàng)要求包括：應(yīng)支持啟動(dòng)時(shí)通過數(shù)字簽名技術(shù)對(duì)啟動(dòng)軟件的完整性和真實(shí)性進(jìn)行校驗(yàn)。開局安全本項(xiàng)要求包括：零配置開局方案宜具備安全能力保證開局安全。訪問控制本項(xiàng)要求包括：新建管理員賬號(hào)默認(rèn)應(yīng)不授予任何權(quán)限或者只授予最小權(quán)限；不需要登錄的帳號(hào)應(yīng)禁用或禁止登錄；所有能對(duì)系統(tǒng)進(jìn)行管理的人機(jī)接口以及跨信任網(wǎng)絡(luò)的機(jī)機(jī)接口應(yīng)有安全的接入認(rèn)證機(jī)制并缺省啟用，關(guān)閉認(rèn)證機(jī)制應(yīng)有風(fēng)險(xiǎn)提示；應(yīng)支持管理面、控制面和用戶面間的安全隔離功能；應(yīng)禁用硬件調(diào)試接口(如JTAG)的接入訪問。身份認(rèn)證本項(xiàng)要求包括：應(yīng)提供認(rèn)證憑據(jù)修改的功能；應(yīng)支持配置管理員口令過期時(shí)間功能；用戶口令應(yīng)支持長(zhǎng)度至少為8個(gè)字符，包含數(shù)字，字母或特殊字符至少兩種組合；使用數(shù)字證書實(shí)現(xiàn)身份認(rèn)證時(shí)應(yīng)驗(yàn)證對(duì)端證書的有效性（有效期、信任鏈、吊銷狀態(tài)等）；管理員修改自己口令時(shí)應(yīng)驗(yàn)證舊口令并確認(rèn)新口令。漏洞防利用本項(xiàng)要求包括：應(yīng)支持堆棧保護(hù)功能，防止堆棧溢出類型攻擊；應(yīng)支持?jǐn)?shù)據(jù)執(zhí)行保護(hù)功能，防止注入類型攻擊；應(yīng)支持地址空間隨機(jī)化功能，防止固定地址類型的攻擊。數(shù)據(jù)保護(hù)本項(xiàng)要求包括：應(yīng)禁止在URL、錯(cuò)誤消息、安全日志、調(diào)試信息中暴露口令、密鑰、會(huì)話標(biāo)識(shí)符等敏感數(shù)據(jù)；應(yīng)支持使用業(yè)界推薦的安全密碼算法對(duì)敏感數(shù)據(jù)進(jìn)行保護(hù)，密碼算法安全強(qiáng)度應(yīng)遵循業(yè)界最佳實(shí)踐；對(duì)敏感數(shù)據(jù)(如口令、私鑰、對(duì)稱密鑰)進(jìn)行存儲(chǔ)時(shí)，在不需要還原明文的場(chǎng)景，應(yīng)使用不可逆算法加密，在需要還原的場(chǎng)景，應(yīng)采用安全的可逆算法進(jìn)行加密；應(yīng)支持輸入敏感數(shù)據(jù)(如口令、私鑰、對(duì)稱密鑰)時(shí)非明文顯示；宜支持安全通信協(xié)議(如IPsec、MACsec、TLS、DTLS)，保障承載數(shù)據(jù)的保密性,完整性。流量防攻擊本項(xiàng)要求包括：應(yīng)支持抵御大流量攻擊的能力；應(yīng)支持抵御重放類攻擊的能力；應(yīng)支持抵御畸形報(bào)文攻擊的能力；應(yīng)支持抵御非法報(bào)文(如ND非法報(bào)文)攻擊的能力；應(yīng)支持抵御地址欺騙報(bào)文(如IP地址欺騙)攻擊的能力。協(xié)議安全本項(xiàng)要求包括：管理協(xié)議(SSH、HTTPS等)應(yīng)支持安全的協(xié)議版本、安全密碼算法；支持Web管理時(shí)應(yīng)支遵循業(yè)界最佳實(shí)踐，防范XSS、CSRF、DoS、命令注入、路徑穿越、會(huì)話固定等攻擊；控制協(xié)議(BGP、IGP等)實(shí)現(xiàn)應(yīng)遵循業(yè)界最佳實(shí)踐，如支持協(xié)議認(rèn)證、安全密碼算法。安全管理數(shù)字證書管理本項(xiàng)要求包括：使用時(shí)應(yīng)支持檢查數(shù)字證書的有效期；應(yīng)支持?jǐn)?shù)字證書的導(dǎo)入/更新/替換/刪除功能、證書信息的查詢功能；應(yīng)支持?jǐn)?shù)字證書的吊銷功能。密鑰管理本項(xiàng)要求包括：密碼算法中使用到的隨機(jī)數(shù)應(yīng)是密碼學(xué)意義上的安全隨機(jī)數(shù)；密鑰的用途應(yīng)單一化，即一個(gè)密鑰應(yīng)只用于一種用途（如：加密、認(rèn)證、散列等），如加密的密鑰不能用于認(rèn)證；應(yīng)支持手動(dòng)更新密鑰的能力；應(yīng)支持密鑰全生命周期(生成、分發(fā)、使用、存儲(chǔ)、銷毀等)的安全管理。日志審計(jì)本項(xiàng)要求包括：安全日志轉(zhuǎn)發(fā)到日志服務(wù)器時(shí)應(yīng)支持安全通道傳輸；宜支持與NTP服務(wù)器的安全通信，確保時(shí)間同步。安全刪除本項(xiàng)要求包括：應(yīng)及時(shí)刪除內(nèi)存、存儲(chǔ)介質(zhì)上中不再使用的數(shù)據(jù)。安全保障要求脆弱性評(píng)估本項(xiàng)要求包括：a)應(yīng)對(duì)設(shè)備基礎(chǔ)安全質(zhì)量進(jìn)行評(píng)估，對(duì)于開源軟件漏洞、固件包安全、配置安全等風(fēng)險(xiǎn)進(jìn)行識(shí)別和管理；b)應(yīng)使用業(yè)界知名組件或具有同等安全測(cè)試能力的工具，如openvas、secvas、awvs、nmap等工具，在主機(jī)安全、網(wǎng)絡(luò)安全、配置安全等領(lǐng)域開展掃描和結(jié)果評(píng)估；c)應(yīng)掃描結(jié)果內(nèi)的告警應(yīng)完成分析與評(píng)估，對(duì)于不安全配置、高風(fēng)險(xiǎn)漏洞等問題，應(yīng)有對(duì)應(yīng)的解決方法和規(guī)避措施。第三級(jí)安全技術(shù)要求安全功能要求默認(rèn)安全本項(xiàng)要求包括：不可默認(rèn)使用不安全密碼算法，如MD5,RC4,DES等；用于登錄設(shè)備的賬戶或認(rèn)證憑據(jù)(如：口令，公私鑰，證書)不應(yīng)硬編碼；用戶界面不可見或產(chǎn)品資料未描述的未公開的公網(wǎng)IP地址不應(yīng)硬編碼；用于數(shù)據(jù)加解密的密鑰不應(yīng)硬編碼；配置不安全密碼算法或者協(xié)議時(shí)可支持安全提示或者告警。軟件完整性本項(xiàng)要求包括：應(yīng)支持升級(jí)時(shí)通過數(shù)字簽名技術(shù)對(duì)軟件包或補(bǔ)丁進(jìn)行完整性和真實(shí)性進(jìn)行校驗(yàn)；設(shè)備在安裝過程發(fā)生軟件降級(jí)時(shí)可支持安全提示或者告警；可支持啟動(dòng)時(shí)由不可被篡改的硬件可信根作為數(shù)字簽名校驗(yàn)的起點(diǎn)，逐級(jí)校驗(yàn)啟動(dòng)鏈上軟件的完整性和真實(shí)性；可支持在設(shè)備運(yùn)行時(shí)對(duì)內(nèi)存代碼段進(jìn)行驗(yàn)證，確保運(yùn)行的軟件不被篡改；可支持內(nèi)核模塊(KO)加載時(shí)進(jìn)行完整性校驗(yàn)。開局安全可支持安全零配置部署SZTP功能。訪問控制本項(xiàng)要求包括：所有在外部可見的能對(duì)系統(tǒng)進(jìn)行管理的物理接口（如串口、USB接口、管理網(wǎng)口等）應(yīng)具備接入認(rèn)證機(jī)制；對(duì)于跨信任網(wǎng)絡(luò)且重要的業(yè)務(wù)機(jī)機(jī)接口應(yīng)提供接入認(rèn)證機(jī)制，標(biāo)準(zhǔn)協(xié)議沒有認(rèn)證機(jī)制的除外；對(duì)于來自系統(tǒng)外部的不可控輸入，宜采用強(qiáng)度較高的安全隔離機(jī)制（如沙箱、非特權(quán)容器）；可支持采用強(qiáng)制訪問控制機(jī)制(如SELinux)對(duì)包含重要數(shù)據(jù)的文件和目錄進(jìn)行保護(hù)；設(shè)備可支持基于硬件的安全執(zhí)行環(huán)境(TEE)，用于隔離高安全業(yè)務(wù)或者數(shù)據(jù)。身份認(rèn)證本項(xiàng)要求包括：應(yīng)支持配置管理員賬號(hào)過期時(shí)間功能；用戶口令應(yīng)支持配置長(zhǎng)度至少為12個(gè)字符，包含數(shù)字、字母或特殊字符至少兩種組合；應(yīng)具備弱口令字典功能，避免用戶使用弱口令字典中的任何口令；使用口令鑒別方式時(shí)，用戶配置的新口令應(yīng)支持與最后使用的若干個(gè)口令進(jìn)行比較，如果相同則不允許配置；執(zhí)行對(duì)系統(tǒng)或應(yīng)用有重大影響的操作前可支持二次認(rèn)證，重大影響的操作包括重啟設(shè)備、清空所有配置等。漏洞防利用本項(xiàng)要求包括：宜支持地址無關(guān)可執(zhí)行功能，防止固定地址類型的攻擊；宜支持GOT表保護(hù)功能，防止GOT表被覆蓋修改；可支持從程序文件中剝離調(diào)試符號(hào)；可支持控制流完整性CFI，防止ROP攻擊。數(shù)據(jù)保護(hù)本項(xiàng)要求包括：應(yīng)支持輸入敏感數(shù)據(jù)(如口令、私鑰、對(duì)稱密鑰)時(shí)防拷貝功能；可支持存儲(chǔ)安全日志、配置文件時(shí)通過密碼算法實(shí)現(xiàn)完整性保護(hù)。協(xié)議安全本項(xiàng)要求包括：管理協(xié)議(SSH、HTTPS等)可支持非全零監(jiān)聽。安全管理數(shù)字證書管理本項(xiàng)要求包括：應(yīng)支持和網(wǎng)管配合實(shí)現(xiàn)對(duì)數(shù)字證書的集中化、可視化的全生命周期管理；在數(shù)字證書即將過期前可支持發(fā)送安全提示或者告警，提示運(yùn)維人員更新證書；可支持對(duì)接證書管理系統(tǒng)，實(shí)現(xiàn)數(shù)字證書的自動(dòng)申請(qǐng)和更新功能。密鑰管理本項(xiàng)要求包括：應(yīng)支持密鑰在臨近過期前自動(dòng)更新或者提醒管理員手動(dòng)更新；對(duì)密鑰做加密的密碼算法的安全強(qiáng)度應(yīng)不小于被加密密鑰本身所用于密碼算法的安全強(qiáng)度；密鑰管理可采用層次化的保護(hù)方式；基于業(yè)界最佳實(shí)踐可支持對(duì)設(shè)備根密鑰進(jìn)行安全防護(hù)。安全配置管理本項(xiàng)要求包括：應(yīng)支持對(duì)不安全協(xié)議或者算法進(jìn)行查詢，并提供修復(fù)建議；應(yīng)支持和網(wǎng)管配合對(duì)安全配置的集中核查能力，支持核查結(jié)果可視化呈現(xiàn)。日志審計(jì)本項(xiàng)要求包括：安全日志應(yīng)單獨(dú)存儲(chǔ)，管理員不應(yīng)具備刪除安全日志的權(quán)限。主機(jī)入侵檢測(cè)本項(xiàng)要求包括：設(shè)備可支持主機(jī)入侵檢測(cè)，對(duì)非法用戶登錄、OS提權(quán)、關(guān)鍵文件篡改等攻擊場(chǎng)景進(jìn)行檢測(cè)，并上報(bào)日志。安全保障要求脆弱性評(píng)估本項(xiàng)要求包括：a)應(yīng)對(duì)設(shè)備內(nèi)生安全能力進(jìn)行評(píng)估，對(duì)于出廠安全、管理安全、協(xié)議安全、系統(tǒng)安全、編碼安全等領(lǐng)域開展安全攻防測(cè)試，識(shí)別設(shè)備安全漏洞；b）應(yīng)使用業(yè)界知名cvss評(píng)估方法對(duì)設(shè)備安全漏洞進(jìn)行定級(jí)評(píng)估，確認(rèn)漏洞攻擊路徑，按漏洞場(chǎng)景定級(jí)漏洞影響；c）應(yīng)對(duì)已知的中危及以上等級(jí)的安全漏洞進(jìn)行修復(fù)或提供規(guī)避方案，宜對(duì)已知的提示問題進(jìn)行修復(fù)。防火墻產(chǎn)品安全技術(shù)要求防火墻產(chǎn)品的安全技術(shù)要求包括產(chǎn)品對(duì)攻擊和威脅的檢測(cè)和防護(hù)能力，包括拒絕服務(wù)攻擊防護(hù)能力、入侵威脅檢測(cè)能力、病毒威脅檢測(cè)能力、攻擊防逃逸能力。攻擊檢測(cè)有效性指對(duì)攻擊和威脅的檢出率，即系統(tǒng)正確檢測(cè)到攻擊的次數(shù)與實(shí)際發(fā)生的所有攻擊次數(shù)之比。攻擊防護(hù)有效性指對(duì)攻擊和威脅的阻斷率，即系統(tǒng)有效阻斷到攻擊的次數(shù)與實(shí)際發(fā)生的所有攻擊次數(shù)之比。第一級(jí)安全技術(shù)要求略第二級(jí)安全技術(shù)要求拒絕服務(wù)攻擊防護(hù)能力產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測(cè)和防護(hù)能力，攻擊防護(hù)有效性不低于85%，本項(xiàng)要求包括：a）SYNFlood；b）UDPFlood；c）ICMPFlood；d）HTTPFlood；e）HTTPSFlood；f）SIPFlood；g）DNSQueryFlood。入侵威脅檢測(cè)能力本項(xiàng)要求包括：產(chǎn)品應(yīng)具備入侵威脅檢測(cè)，攻擊檢測(cè)有效性不低于85%，包括a） WEB類攻擊檢測(cè)能力；b） 系統(tǒng)漏洞類攻擊檢測(cè)能力；c） 僵木蠕攻擊檢測(cè)能力；d） 自定義攻擊檢測(cè)能力。病毒威脅檢測(cè)能力本項(xiàng)要求包括：產(chǎn)品應(yīng)具備病毒威脅檢測(cè)能力，攻擊檢測(cè)有效性不低于85%，包括a） PE類流行病毒檢測(cè)能力；b） WEB類流行病毒檢測(cè)能力；c） PDF類流行病毒檢測(cè)能力；d） ELF類流行病毒檢測(cè)能力。攻擊防逃逸能力本項(xiàng)要求包括：產(chǎn)品應(yīng)具備攻擊防逃逸檢測(cè)能力，攻擊檢測(cè)有效性不低于85%，包括a）網(wǎng)絡(luò)層攻擊防逃逸檢測(cè)能力；b）傳輸層攻擊防逃逸檢測(cè)能力；c）應(yīng)用層攻擊防逃逸檢測(cè)能力；d）內(nèi)容安全攻擊防逃逸檢測(cè)能力；e）組合攻擊防逃逸檢測(cè)能力。第三級(jí)安全技術(shù)要求拒絕服務(wù)攻擊防護(hù)能力本項(xiàng)要求包括：產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測(cè)和防護(hù)能力，攻擊防護(hù)有效性不低于95%，包括a）SYNFlood；b）UDPFlood；c）ICMPFlood；d）HTTPFlood；e）HTTPSFlood；f）SIPFlood；g）DNSQueryFlood。入侵威脅檢測(cè)能力本項(xiàng)要求包括：產(chǎn)品應(yīng)具備入侵威脅檢測(cè)，攻擊檢測(cè)有效性不低于95%，包括a）WEB類攻擊檢測(cè)能力；b）系統(tǒng)漏洞類攻擊檢測(cè)能力；c）僵木蠕攻擊檢測(cè)能力；d）自定義攻擊檢測(cè)能力。病毒威脅檢測(cè)能力本項(xiàng)要求包括：產(chǎn)品應(yīng)具備病毒威脅檢測(cè)能力，攻擊檢測(cè)有效性不低于95%，包括a）PE類流行病毒檢測(cè)能力；b）WEB類流行病毒檢測(cè)能力；c）PDF類流行病毒檢測(cè)能力；d）ELF類流行病毒檢測(cè)能力。攻擊防逃逸能力本項(xiàng)要求包括：產(chǎn)品應(yīng)具備攻擊防逃逸檢測(cè)能力，攻擊檢測(cè)有效性不低于95%，包括a）網(wǎng)絡(luò)層攻擊防逃逸檢測(cè)能力；b）傳輸層攻擊防逃逸檢測(cè)能力；c）應(yīng)用層攻擊防逃逸檢測(cè)能力；d）內(nèi)容安全攻擊防逃逸檢測(cè)能力；e）組合攻擊防逃逸檢測(cè)能力。抗拒絕服務(wù)攻擊產(chǎn)品安全技術(shù)要求抗拒絕服務(wù)攻擊產(chǎn)品的安全技術(shù)要求包括產(chǎn)品對(duì)攻擊和威脅的防護(hù)能力，包括網(wǎng)絡(luò)層、傳輸層、會(huì)話層、應(yīng)用層拒絕服務(wù)攻擊防護(hù)能力。攻擊防護(hù)有效性指對(duì)攻擊和威脅的阻斷率，即系統(tǒng)有效阻斷到攻擊的次數(shù)與實(shí)際發(fā)生的所有攻擊次數(shù)之比。第一級(jí)安全技術(shù)要求略第二級(jí)安全技術(shù)要求網(wǎng)絡(luò)層拒絕服務(wù)攻擊防護(hù)能力本項(xiàng)要求包括：產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測(cè)和防護(hù)能力，攻擊防護(hù)有效性不低于85%，包括a）FragmentFlood；b）Land；c）Teardrop；d）Smurf；e）Pingofdeath;f）IPv6擴(kuò)展頭攻擊；g）其它網(wǎng)絡(luò)層拒絕服務(wù)攻擊。傳輸層拒絕服務(wù)攻擊防護(hù)能力本項(xiàng)要求包括：產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測(cè)和防護(hù)能力，攻擊防護(hù)有效性不低于85%，包括a）SYNFlood；b）UDPFlood；c）ICMPFlood；d）TCP反射；e）UDP反射；f）DNS反射：g）NTP反射；h）SSDP反射；i）ACKFlood；j）RSTFlood；k）其他傳輸層拒絕服務(wù)攻擊。會(huì)話層拒絕服務(wù)攻擊防護(hù)本項(xiàng)要求包括：產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測(cè)和防護(hù)能力，攻擊防護(hù)有效性不低于85%，包括TCP空連接；b）不完整TLS會(huì)話；c）SSL連接攻擊；d）其它會(huì)話層拒絕服務(wù)攻擊。應(yīng)用層拒絕服務(wù)攻擊防護(hù)本項(xiàng)要求包括：產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測(cè)和防護(hù)能力，攻擊防護(hù)有效性不低于85%，包括a）DNSFlood；b）HTTPFlood；c）HTTPSFlood；d）HTTP慢速攻擊；e）其它應(yīng)用層拒絕服務(wù)攻擊。第三級(jí)安全技術(shù)要求網(wǎng)絡(luò)層拒絕服務(wù)攻擊防護(hù)能力本項(xiàng)要求包括：產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測(cè)和防護(hù)能力，攻擊防護(hù)有效性不低于95%，包括a）FragmentFlood；b）Land；c）Teardrop；d）Smurf；e）Pingofdeath;f）IPv6擴(kuò)展頭攻擊；g）其它網(wǎng)絡(luò)層拒絕服務(wù)攻擊。傳輸層拒絕服務(wù)攻擊防護(hù)能力本項(xiàng)要求包括：產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測(cè)和防護(hù)能力，攻擊防護(hù)有效性不低于95%，包括a）SYNFlood；b）UDPFlood；c）ICMPFlood；d）TCP反射；e）UDP反射；f）DNS反射：g）NTP反射；h）SSDP反射；i）ACKFlood；j）RSTFlood；k）其他傳輸層拒絕服務(wù)攻擊。會(huì)話層拒絕服務(wù)攻擊防護(hù)本項(xiàng)要求包括：產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測(cè)和防護(hù)能力，攻擊防護(hù)有效性不低于95%，包括TCP空連接；b）不完整TLS會(huì)話；c）SSL連接攻擊；d）其它會(huì)話層拒絕服務(wù)攻擊。應(yīng)用層拒絕服務(wù)攻擊防護(hù)本項(xiàng)要求包括：產(chǎn)品應(yīng)具備拒絕服務(wù)攻擊檢測(cè)和防護(hù)能力，攻擊防護(hù)有效性不低于95%，包括a）DNSFlood；b）HTTPFlood；c）HTTPSFlood；d）HTTP慢速攻擊；e）其它應(yīng)用層拒絕服務(wù)攻擊。交換機(jī)產(chǎn)品安全技術(shù)要求第一級(jí)安全技術(shù)要求略第二級(jí)安全技術(shù)要求接入安全本項(xiàng)要求包括：園區(qū)交換機(jī)應(yīng)支持802.1X、MAC、Portal等認(rèn)證方式驗(yàn)證接入用戶的合法性。第三級(jí)安全技術(shù)要求協(xié)議安全本項(xiàng)要求包括：數(shù)據(jù)中心交換機(jī)跨設(shè)備鏈路聚合應(yīng)支持安全的認(rèn)證和完整性保護(hù)措施；數(shù)據(jù)中心交換機(jī)智能無損存儲(chǔ)網(wǎng)絡(luò)應(yīng)支持安全的認(rèn)證和完整性保護(hù)措施。WLAN產(chǎn)品安全技術(shù)要求第一級(jí)安全技術(shù)要求略第二級(jí)安全技術(shù)要求AP接入安全本項(xiàng)要求包括：應(yīng)支持AP首次以證書認(rèn)證方式接入，且支持一機(jī)一證；應(yīng)支持AP和AC間的控制隧道加密功能。無線用戶接入安全本項(xiàng)要求包括：應(yīng)支持WPA、WPA2、WPA3安全策略機(jī)制；應(yīng)支持WAPI認(rèn)證，且WAPI證書公私鑰由AC/AP自己產(chǎn)生；應(yīng)支持管理幀加密保護(hù)。設(shè)備檢測(cè)能力本項(xiàng)要求包括：支持合法/非法AP檢測(cè)；支持合法/非法網(wǎng)橋檢測(cè)；支持合法/非法STA檢測(cè)；支持合法/非法Ad-hoc檢測(cè)。設(shè)備反制能力本項(xiàng)要求包括：支持對(duì)非法AP或干擾AP進(jìn)行反制；支持對(duì)非法STA或干擾STA進(jìn)行反制；支持對(duì)Ad-hoc設(shè)備進(jìn)行反制。第三級(jí)安全技術(shù)要求AP接入安全本項(xiàng)要求包括：應(yīng)支持AP和AC雙向認(rèn)證；應(yīng)支持AP和AC間的數(shù)據(jù)隧道加密功能，且開啟后整機(jī)轉(zhuǎn)發(fā)性能不低于未開啟的50%。無線用戶接入安全本項(xiàng)要求包括：可支持通過物理層防護(hù)進(jìn)行空口防偵聽。非法攻擊檢測(cè)能力本項(xiàng)要求包括：支持防暴力破解攻擊檢測(cè)；支持泛洪攻擊檢測(cè)，包括支持對(duì)認(rèn)證請(qǐng)求幀、去認(rèn)證幀、關(guān)聯(lián)請(qǐng)求幀、去關(guān)聯(lián)幀、重關(guān)聯(lián)請(qǐng)求幀、探測(cè)幀、Action幀、Eapolstart和Eapollogoff等報(bào)文進(jìn)行泛洪攻擊檢測(cè)；支持欺騙攻擊檢測(cè)。

（資料性）

通用安全要求分級(jí)匯總第二級(jí)、第三級(jí)通用安全功能要求匯總列表分類第二級(jí)第三級(jí)默認(rèn)安全不應(yīng)預(yù)留任何的未公開帳號(hào)，所有帳號(hào)都應(yīng)可被系統(tǒng)管理，如果存在默認(rèn)帳號(hào)，應(yīng)在產(chǎn)品資料中明示不可默認(rèn)使用不安全密碼算法，如MD5,RC4,DES等不應(yīng)存在繞過正常認(rèn)證機(jī)制直接進(jìn)入系統(tǒng)的隱秘通道，如：組合鍵、鼠標(biāo)特殊敲擊、連接特定接口，使用特定客戶端、使用特殊URL等用于登錄設(shè)備的賬戶或認(rèn)證憑據(jù)(如：口令，公私鑰，證書)不應(yīng)硬編碼不應(yīng)默認(rèn)使用不安全協(xié)議，如Telnet,SSHv1等用戶界面不可見或產(chǎn)品資料未描述的未公開的公網(wǎng)IP地址不應(yīng)硬編碼NA用于數(shù)據(jù)加解密的密鑰不應(yīng)硬編碼NA配置不安全密碼算法或者協(xié)議時(shí)可支持安全提示或者告警軟件完整性應(yīng)支持啟動(dòng)時(shí)通過數(shù)字簽名技術(shù)對(duì)啟動(dòng)軟件的完整性和真實(shí)性進(jìn)行校驗(yàn)應(yīng)支持升級(jí)時(shí)通過數(shù)字簽名技術(shù)對(duì)軟件包或補(bǔ)丁進(jìn)行完整性和真實(shí)性進(jìn)行校驗(yàn)NA設(shè)備在安裝過程發(fā)生軟件降級(jí)時(shí)可支持安全提示或者告警NA可支持啟動(dòng)時(shí)由不可被篡改的硬件可信根作為數(shù)字簽名校驗(yàn)的起點(diǎn)，逐級(jí)校驗(yàn)啟動(dòng)鏈上軟件的完整性和真實(shí)性NA可支持在設(shè)備運(yùn)行時(shí)對(duì)內(nèi)存代碼段進(jìn)行驗(yàn)證，確保運(yùn)行的軟件不被篡改NA可支持內(nèi)核模塊(KO)加載時(shí)進(jìn)行完整性校驗(yàn)開局安全零配置開局方案宜具備安全能力保證開局安全可支持安全零配置部署SZTP功能訪問控制新建管理員賬號(hào)默認(rèn)應(yīng)不授予任何權(quán)限或者只授予最小權(quán)限所有在外部可見的能對(duì)系統(tǒng)進(jìn)行管理的物理接口（如串口、USB接口、管理網(wǎng)口等）應(yīng)具備接入認(rèn)證機(jī)制不需要登錄的帳號(hào)應(yīng)禁用或禁止登錄對(duì)于跨信任網(wǎng)絡(luò)且重要的業(yè)務(wù)機(jī)機(jī)接口應(yīng)提供接入認(rèn)證機(jī)制，標(biāo)準(zhǔn)協(xié)議沒有認(rèn)證機(jī)制的除外所有能對(duì)系統(tǒng)進(jìn)行管理的人機(jī)接口以及跨信任網(wǎng)絡(luò)的機(jī)機(jī)接口應(yīng)有安全的接入認(rèn)證機(jī)制并缺省啟用，關(guān)閉認(rèn)證機(jī)制應(yīng)有風(fēng)險(xiǎn)提示對(duì)于來自系統(tǒng)外部的不可控輸入，宜采用強(qiáng)度較高的安全隔離機(jī)制（如沙箱、非特權(quán)容器）應(yīng)支持管理面、控制面和用戶面間的安全隔離功能可支持采用強(qiáng)制訪問控制機(jī)制(如SELinux)對(duì)包含重要數(shù)據(jù)的文件和目錄進(jìn)行保護(hù)應(yīng)禁用硬件調(diào)試接口(如JTAG)的接入訪問設(shè)備可支持基于硬件的安全執(zhí)行環(huán)境(TEE)，用于隔離高安全業(yè)務(wù)或者數(shù)據(jù)身份認(rèn)證應(yīng)提供認(rèn)證憑據(jù)修改的功能應(yīng)支持配置管理員賬號(hào)過期時(shí)間功能應(yīng)支持配置管理員口令過期時(shí)間功能用戶口令應(yīng)支持配置長(zhǎng)度至少為12個(gè)字符，包含數(shù)字、字母或特殊字符至少兩種組合用戶口令應(yīng)支持長(zhǎng)度至少為8個(gè)字符，包含數(shù)字，字母或特殊字符至少兩種組合應(yīng)具備弱口令字典功能，避免用戶使用弱口令字典中的任何口令使用數(shù)字證書實(shí)現(xiàn)身份認(rèn)證時(shí)應(yīng)驗(yàn)證對(duì)端證書的有效性（有效期、信任鏈、吊銷狀態(tài)等）使用口令鑒別方式時(shí)，用戶配置的新口令應(yīng)支持與最后使用的若干個(gè)口令進(jìn)行比較，如果相同則不允許配置管理員修改自己口令時(shí)應(yīng)驗(yàn)證舊口令并確認(rèn)新口令執(zhí)行對(duì)系統(tǒng)或應(yīng)用有重大影響的操作前可支持二次認(rèn)證，重大影響的操作包括重啟設(shè)備、清空所有配置等漏洞防利用應(yīng)支持堆棧保護(hù)功能，防止堆棧溢出類型攻擊宜支持地址無關(guān)可執(zhí)行功能，防止固定地址類型的攻擊應(yīng)支持?jǐn)?shù)據(jù)執(zhí)行保護(hù)功能，防止注入類型攻擊宜支持GOT表保護(hù)功能，防止GOT表被覆蓋修改應(yīng)支持地址空間隨機(jī)化功能，防止固定地址類型的攻擊可支持從程序文件中剝離調(diào)試符號(hào)NA可支持控制流完整性CFI，防止ROP攻擊數(shù)據(jù)保護(hù)應(yīng)禁止在URL、錯(cuò)誤消息、安全日志、調(diào)試信息中暴露口令、密鑰、會(huì)話標(biāo)識(shí)符等敏感數(shù)據(jù)應(yīng)支持輸入敏感數(shù)據(jù)(如口令、私鑰、對(duì)稱密鑰)時(shí)防拷貝功能應(yīng)支持使用業(yè)界推薦的安全密碼算法對(duì)敏感數(shù)據(jù)進(jìn)行保護(hù)，密碼算法安全強(qiáng)度應(yīng)遵循業(yè)界最佳實(shí)踐可支持存儲(chǔ)安全日志、配置文件時(shí)通過密碼算法實(shí)現(xiàn)完整性保護(hù)對(duì)敏感數(shù)據(jù)(如口令、私鑰、對(duì)稱密鑰)進(jìn)行存儲(chǔ)時(shí)，在不需要還原明文的場(chǎng)景，應(yīng)使用不可逆算法加密，在需要還原的場(chǎng)景，應(yīng)采用安全的可逆算法進(jìn)行加密NA應(yīng)支持輸入敏感數(shù)據(jù)(如口令、私鑰、對(duì)稱密鑰)時(shí)非明文顯示NA宜支持安全通信協(xié)議(如IPsec、MACsec、TLS、DTLS)，保障承載數(shù)據(jù)的保密性,完整性NA流量防攻擊應(yīng)支持抵御大流量攻擊的能力NA應(yīng)支持抵御重放類攻擊的能力NA應(yīng)支持抵御畸形報(bào)文攻擊的能力NA應(yīng)支持抵御非法報(bào)文(如ND非法報(bào)文)攻擊的能力NA應(yīng)支持抵御地址欺騙報(bào)文(如IP地址欺騙)攻擊的能力NA協(xié)議安全管理協(xié)議(SSH、HTTPS等)應(yīng)支持安全的協(xié)議版本、安全密碼算法管理協(xié)