标准规范下载简介
TAF-WG9-AS0029-V1.0.0:2018 网络关键设备安全技术要求 通用要求.pdf网络关键设备安全技术要求
本标准是网络关键设备安全系列标准之一,该系列标准结构预计如下: 《网络关键设备安全技术要求通用要求》 《网络关键设备安全技术要求路由器设备》 《网络关键设备安全测试方法路由器设备》 《网络关键设备安全技术要求交换机设备》 《网络关键设备安全测试方法交换机设备》 本标准提出各类网络关键设备通用的、基本的安全要求,不分等级。《网络关键设备安全技术要求 由器设备》、《网络关键设备安全技术要求交换机设备》等各类设备的安全标准内容分为基本级要 求和增强级要求。 本标准/本部分由电信终端产业协会(TAF)提出并归口。 本标准/本部分起草单位:申国信息通信研究院、华为技术有限公司、新华三技术有限公司、中兴 通讯股份有限公司、北京启明星辰信息安全技术有限公司、联想移动通信科技有限公司。 本标准/本部分主要起草人:张治兵、周开波、张亚薇、倪平、孙薇、陈鹏、叶郁佰、童天予、杨 达、周继华、李汝鑫、万晓兰、付凯、蒋皓、李莉。
为推进《网络安全法》的落地实施,本标准提出网络关键设备应满足的通用安全技术要求。 网络关键设备通常应用于网络中的重要节点位置或国家重要的网络系统中,一旦遭到破坏,可能严 重危害国家安全、国计民生、公共利益。例如整系统吞吐量和路由表容量达到较高指标的高端路由器设 备、控制器指令执行时间达到较高指标的可编程逻辑控制器(PLC设备)等。本标准属于网络关键设备 安全技术要求系列标准中的通用标准,对各类网络关键设备,除满足本标准要求,还应满足相应的设备 安全标准要求。例如对于路由器设备,除了满足本标准要求,还应满足《网络关键设备安全技术要求路 由器设备》和《网络关键设备安全测试方法路由器设备》
键设备安全技术要求通用要习
本标准规定了网络关键设备应满足的通用安全技术要求。 本标准适用于网络关键设备,可为网络运营者采购网络关键设备时提供依据JJF(京) 68-2019标准下载,还适用于指导网络关 键设备的研发、测试等工作
是指通常应用于网络中的重要节点位置或国家重要的网络系统中,面临较多的安全威胁,一旦 坏,可能严重危害国家安全、国计民生、公共利益的网络设备,
3.2恶意程序malware
一种企图通过执行非授权过租 序包括病毒、蠕虫、木马或其它影 意程序也包括间谍软件和广告软
3.3预装软件presetsoftware
网络关键设备的预装软件是指设备出厂时安装的软件和正常使用必须的配套软件,包括固件、系统 软件、应用软件、配套的管理软件等。
网络关键设备: a)硬件整机和主要部件应具备唯一性标识; 示例:主要部件可包括主控板卡、业务板卡、系统软件存储部件等。 b)应对预装软件、补工包/升级包的不同版本进行唯一性标识,并保持记录
网络关键设备: a)硬件整机和主要部件应具备唯一性标识; 示例:主要部件可包括主控板卡、业务板卡、系统软件存储部件等。 b)应对预装软件、补丁包/升级包的不同版本进行唯一性标识DB15/T 2005-2020 干湿指数气候类型等级.pdf,并保持记录。
4.2尺余与备份恢复安全
a)部分关键部件应支持几余功能,在设备运行状态异常可能影响网络安全时,可通过启用备 件防范安全风险; 示例:支持穴余功能的部分关键部件可包括主控板卡、业务板卡、电源模块等部件。 b)涉及设备安全的软件、配置文件等应支持备份与恢复功能
4.3漏洞与缺陷管理安全
网络关键设备: a 部分关键部件应不存在已公布的高危和中危漏洞或具备有效措施防范漏洞安全风险; 示例:部分关键部件可包括CPU、硬盘、系统软件存储部件等。 b 预装软件应不存在已公布的高危和中危漏洞或具备有效措施防范漏洞安全风险: C 预装软件存在暂未修复的已知漏洞或安全缺陷时,应明确告知用户风险及防范措施; d 预装软件、补丁包/升级包应不存在恶意程序; e)应不存在未向用户声明的功能和隐蔽通道
网络关键设备: a)应支持设备软件更新功能; b)应具备安全功能保障软件更新操作的安全; 示例:安全功能可包括仅指定授权用户可实施更新操作,实施更新操作的用户需经过二次鉴别等措施,更新过程中 用户可以选择中止更新,支持用户选择是否进行更新,支持用户对软件降级使用等: c)应具备安全功能防范软件更新过程被篡改; 示例:安全功能可包括采用非明文的信道传输更新数据、支持软件包完整性校验等; d)应有明确的信息告知用户软件更新过程的开始与结束。
网络关键设备: a)出厂应预装满足功能需求且安全风险较低的软件版本; b)出厂默认开放的端口和服务应明示用户JGJT223-2010 预拌砂浆应用技术规程.pdf,满足最小够用原则。
网络关键设备应: a)对访问控制主体进行身份标识和鉴别; b 支持使用口令方式进行鉴别,用户首次管理设备时提示修改默认口令或设置口令,支持设置口 令修改周期; c)支持启用安全策略或具备安全功能,以防范用户凭证猜解攻击: 示例:安全策略或安全功能可包括默认开启口令复杂度检查功能、限制连续的非法登录尝试次数或支持限制管理访 问连接的数量、双因素鉴别等措施。 d)支持启用安全策略或具备安全功能,以防范会话空闲时间过长; 示例:安全策略或安全功能可包括登录用户空闲超时锁定或自动退出等措施 e)对用户身份鉴别信息进行安全保护,保障用户鉴别信息存储和传输的保密性和完整性
网络关键设备应: a)在出厂时设置默认安全的访问控制策略,或支持用户首次使用时设置访问控制策略; b)提供用户分级分权控制机制; c)在用户访问受控资源时,依据设置的访问控制策略进行控制,确保访问和操作安全; 示例:访问控制策略可包括通过IP地址绑定、MAC地址绑定等安全策略限制可访问的用户等。 d)对涉及设备安全的重要功能,仅授权的高权限等级用户可使用。 示例:涉及设备安全的重要功能可包括补丁管理、固件管理、日志审计、时间同步等。