TAF-WG9-AS0029-V1.0.0:2018 网络关键设备安全技术要求 通用要求.pdf

TAF-WG9-AS0029-V1.0.0:2018 网络关键设备安全技术要求 通用要求.pdf
仅供个人学习
反馈
标准编号:
文件类型:.pdf
资源大小:0.5 M
标准类别:电力标准
资源ID:54841
免费资源

标准规范下载简介

TAF-WG9-AS0029-V1.0.0:2018 网络关键设备安全技术要求 通用要求.pdf简介:

"TAF-WG9-AS0029-V1.0.0:2018 网络关键设备安全技术要求 通用要求.pdf" 是一个文档的标题,其中"TAF"可能是技术应用框架(Technical Application Framework)的缩写,"WG9"可能是指某个技术工作组或者标准组织的代号,"AS0029"可能是一个特定的标准编号或项目代号,"V1.0.0"表示这是该文档的第一个版本,"2018"表明该标准或要求发布于2018年。这个文档的全称应该是"2018年网络关键设备安全技术通用要求",它详细规定了网络关键设备在设计、开发、生产和使用过程中应满足的安全技术标准,旨在保证网络关键设备的安全性、稳定性和可控性。这通常适用于高度敏感的网络基础设施,如金融、能源、政府等领域的设备。

TAF-WG9-AS0029-V1.0.0:2018 网络关键设备安全技术要求 通用要求.pdf部分内容预览:

本标准是网络关键设备安全系列标准之一,该系列标准结构预计如下: 《网络关键设备安全技术要求通用要求》 《网络关键设备安全技术要求路由器设备》 《网络关键设备安全测试方法路由器设备》 《网络关键设备安全技术要求交换机设备》 《网络关键设备安全测试方法交换机设备》 本标准提出各类网络关键设备通用的、基本的安全要求,不分等级。《网络关键设备安全技术要求 由器设备》、《网络关键设备安全技术要求交换机设备》等各类设备的安全标准内容分为基本级要 求和增强级要求。 本标准/本部分由电信终端产业协会(TAF)提出并归口。 本标准/本部分起草单位:申国信息通信研究院、华为技术有限公司、新华三技术有限公司、中兴 通讯股份有限公司、北京启明星辰信息安全技术有限公司、联想移动通信科技有限公司。 本标准/本部分主要起草人:张治兵、周开波、张亚薇、倪平、孙薇、陈鹏、叶郁佰、童天予、杨 达、周继华、李汝鑫、万晓兰、付凯、蒋皓、李莉。

为推进《网络安全法》的落地实施,本标准提出网络关键设备应满足的通用安全技术要求。 网络关键设备通常应用于网络中的重要节点位置或国家重要的网络系统中,一旦遭到破坏,可能严 重危害国家安全、国计民生、公共利益。例如整系统吞吐量和路由表容量达到较高指标的高端路由器设 备、控制器指令执行时间达到较高指标的可编程逻辑控制器(PLC设备)等。本标准属于网络关键设备 安全技术要求系列标准中的通用标准,对各类网络关键设备,除满足本标准要求,还应满足相应的设备 安全标准要求。例如对于路由器设备,除了满足本标准要求,还应满足《网络关键设备安全技术要求路 由器设备》和《网络关键设备安全测试方法路由器设备》

GB 17428-1998 通风管道的耐火试验方法键设备安全技术要求通用要习

本标准规定了网络关键设备应满足的通用安全技术要求。 本标准适用于网络关键设备,可为网络运营者采购网络关键设备时提供依据,还适用于指导网络关 键设备的研发、测试等工作

是指通常应用于网络中的重要节点位置或国家重要的网络系统中,面临较多的安全威胁,一旦 坏,可能严重危害国家安全、国计民生、公共利益的网络设备,

3.2恶意程序malware

一种企图通过执行非授权过租 序包括病毒、蠕虫、木马或其它影 意程序也包括间谍软件和广告软

3.3预装软件presetsoftware

网络关键设备的预装软件是指设备出厂时安装的软件和正常使用必须的配套软件,包括固件、系统 软件、应用软件、配套的管理软件等。

网络关键设备: a)硬件整机和主要部件应具备唯一性标识; 示例:主要部件可包括主控板卡、业务板卡、系统软件存储部件等。 b)应对预装软件、补工包/升级包的不同版本进行唯一性标识,并保持记录

网络关键设备: a)硬件整机和主要部件应具备唯一性标识; 示例:主要部件可包括主控板卡、业务板卡、系统软件存储部件等。 b)应对预装软件、补丁包/升级包的不同版本进行唯一性标识,并保持记录。

4.2尺余与备份恢复安全

a)部分关键部件应支持几余功能,在设备运行状态异常可能影响网络安全时,可通过启用备 件防范安全风险; 示例:支持穴余功能的部分关键部件可包括主控板卡、业务板卡、电源模块等部件。 b)涉及设备安全的软件、配置文件等应支持备份与恢复功能

4.3漏洞与缺陷管理安全

网络关键设备: a 部分关键部件应不存在已公布的高危和中危漏洞或具备有效措施防范漏洞安全风险; 示例:部分关键部件可包括CPU、硬盘、系统软件存储部件等。 b 预装软件应不存在已公布的高危和中危漏洞或具备有效措施防范漏洞安全风险: C 预装软件存在暂未修复的已知漏洞或安全缺陷时,应明确告知用户风险及防范措施; d 预装软件、补丁包/升级包应不存在恶意程序; e)应不存在未向用户声明的功能和隐蔽通道

网络关键设备: a)应支持设备软件更新功能; b)应具备安全功能保障软件更新操作的安全; 示例:安全功能可包括仅指定授权用户可实施更新操作GB/T 36577-2018标准下载,实施更新操作的用户需经过二次鉴别等措施,更新过程中 用户可以选择中止更新,支持用户选择是否进行更新,支持用户对软件降级使用等: c)应具备安全功能防范软件更新过程被篡改; 示例:安全功能可包括采用非明文的信道传输更新数据、支持软件包完整性校验等; d)应有明确的信息告知用户软件更新过程的开始与结束。

网络关键设备: a)出厂应预装满足功能需求且安全风险较低的软件版本; b)出厂默认开放的端口和服务应明示用户,满足最小够用原则。

网络关键设备应: a)对访问控制主体进行身份标识和鉴别; b 支持使用口令方式进行鉴别,用户首次管理设备时提示修改默认口令或设置口令,支持设置口 令修改周期; c)支持启用安全策略或具备安全功能,以防范用户凭证猜解攻击: 示例:安全策略或安全功能可包括默认开启口令复杂度检查功能、限制连续的非法登录尝试次数或支持限制管理访 问连接的数量、双因素鉴别等措施。 d)支持启用安全策略或具备安全功能,以防范会话空闲时间过长; 示例:安全策略或安全功能可包括登录用户空闲超时锁定或自动退出等措施 e)对用户身份鉴别信息进行安全保护,保障用户鉴别信息存储和传输的保密性和完整性

网络关键设备应: a)在出厂时设置默认安全的访问控制策略,或支持用户首次使用时设置访问控制策略; b)提供用户分级分权控制机制; c)在用户访问受控资源时,依据设置的访问控制策略进行控制,确保访问和操作安全; 示例:访问控制策略可包括通过IP地址绑定、MAC地址绑定等安全策略限制可访问的用户等。 d)对涉及设备安全的重要功能,仅授权的高权限等级用户可使用。 示例:涉及设备安全的重要功能可包括补丁管理、固件管理、日志审计、时间同步等。

网络关键设备: a)管理系统(管理用户)与设备之间的通信信道/路径应保证数据的保密性、完整性和可用性; b)应具备抵御常见资源消耗类攻击的能力; 示例:常见资源消耗类攻击可包括SYNF1ood攻击、PingF1ood攻击等。 c)应满足一定的通信协议健壮性要求GB∕T 50948-2013 体育场建筑声学技术规范,防范异常报文攻击; 示例:通信协议通常包括IPv4/v6、TCP、UDP等基础通信协议、SNMP、SSH、HTTP等网络管理协议以及NTP、BGP、 SPF等专用通信协议; d)应支持时间同步功能,并具备安全功能或措施防范针对时间同步功能的攻击; e)应具备抵御常见重放类攻击的能力。 示例:常见重放类攻击可包括身份鉴别重放攻击等

网络关键设备: a)应对存储在设备上的数据提供分级管理功能,对用户口令等敏感数据具备安全防护措施; b)应具备删除使用数据和配置信息的功能,应为使用者提供确认使用数据删除状态的功能; c)具有收集设备使用者信息功能的,应当向使用者明示并取得同意; d)涉及用户个人信息和国家重要数据的,应当遵守国家相关规定。

附录A (规范性附录) 标准修订历史

©版权声明
相关文章