TTAF 038-2019 網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 交換機設(shè)備

ICS33.050

M30

團體標(biāo)準(zhǔn)

T/TAF038-2019

網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求

交換機設(shè)備

SecurityTechniquesRequirementforCriticalNetworkDevices:Switch

2019-07-24發(fā)布2019-07-24實施

電信終端產(chǎn)業(yè)協(xié)會發(fā)布

T/TAF038-2019

網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求交換機設(shè)備

1范圍

本標(biāo)準(zhǔn)對列入網(wǎng)絡(luò)關(guān)鍵設(shè)備的交換機設(shè)備在標(biāo)識安全、身份標(biāo)識與鑒別安全、訪問控制安全、日志

審計安全、通信安全、數(shù)據(jù)安全等方面提出了安全技術(shù)要求。

本標(biāo)準(zhǔn)適用于在我國境內(nèi)銷售或提供的交換機設(shè)備，也可為網(wǎng)絡(luò)運營者采購交換機設(shè)備時提供依

據(jù)，還適用于指導(dǎo)交換機設(shè)備的研發(fā)、測試等工作。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069-2010信息安全技術(shù)術(shù)語

TAF-WG9-AS0029-V1.0.0:2018網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求通用要求

3術(shù)語和定義

GB/T25069-2010中界定的以及下列術(shù)語和定義適用于本文件。

3.1交換機switch

在聯(lián)網(wǎng)的設(shè)備之間，一種借助內(nèi)部交換機制來提供連通性的設(shè)備。交換機不同于其他局域網(wǎng)互聯(lián)設(shè)

備（例如集線器），交換機中使用的技術(shù)是以點對點為基礎(chǔ)建立連接，這確保了網(wǎng)絡(luò)通信量只有對有地

址的網(wǎng)絡(luò)設(shè)備可見，并使幾個連接能夠并存。交換技術(shù)可在開放系統(tǒng)互聯(lián)參考模型的第二層或第三層實

現(xiàn)。

3.2惡意程序malware

一種企圖通過執(zhí)行非授權(quán)過程來破壞信息系統(tǒng)機密性、完整性和可用性的軟件或固件。常見的惡意

程序包括病毒、蠕蟲、木馬或其它影響設(shè)備安全的程序代碼。惡意程序也包括間諜軟件和廣告軟件。

3.3預(yù)裝軟件presetsoftware

設(shè)備出廠時安裝的軟件和正常使用必須的配套軟件，包括固件、系統(tǒng)軟件、應(yīng)用軟件、配套的管理

軟件等。

3.4故障隔離faultisolation

相互獨立的硬件模塊或者部件之間，任一模塊或部件出現(xiàn)故障，不影響其他模塊或部件的正常工作。

4安全技術(shù)要求

1

T/TAF038-2019

4.1標(biāo)識安全

交換機設(shè)備：

a)硬件整機和主控板卡、業(yè)務(wù)板卡等主要部件應(yīng)具備唯一性標(biāo)識；

b)應(yīng)對軟件/固件、補丁包/升級包的版本進行唯一性標(biāo)識，并保持記錄；

c)應(yīng)標(biāo)識每一個物理接口，并說明其功能，不得預(yù)留未向用戶聲明的物理接口；

d)在用戶登錄通過認(rèn)證前的提示信息應(yīng)避免包含設(shè)備軟件版本、型號等敏感信息，例如可通過支

持關(guān)閉提示信息或者用戶自定義等功能實現(xiàn)。

4.2可用性

交換機設(shè)備：

a)部分關(guān)鍵部件，如主控板卡、交換網(wǎng)板、電源、風(fēng)扇等應(yīng)支持冗余功能，在設(shè)備運行狀態(tài)異常

可能影響網(wǎng)絡(luò)安全時，可通過啟用備用部件防范安全風(fēng)險；

b)部分關(guān)鍵部件，如主控板卡、交換網(wǎng)板、業(yè)務(wù)板卡、電源、風(fēng)扇等應(yīng)支持熱插拔功能；

c)軟件/固件、配置文件等應(yīng)支持備份與恢復(fù)功能；

d)支持故障的告警、定位等功能；

e)支持部分關(guān)鍵部件，如主控板卡、交換網(wǎng)板、業(yè)務(wù)板卡、電源、風(fēng)扇等故障隔離功能；

f)應(yīng)提供獨立的管理接口，實現(xiàn)設(shè)備管理和數(shù)據(jù)轉(zhuǎn)發(fā)的隔離。

4.3漏洞與缺陷管理安全

交換機設(shè)備：

a)部分關(guān)鍵部件，如CPU、系統(tǒng)軟件的存儲部件等應(yīng)不存在已知的高危和中危漏洞或具備有效措

施防范硬件漏洞安全風(fēng)險；

b)預(yù)裝軟件應(yīng)不存在已公布的高危和中危漏洞或具備有效措施防范漏洞安全風(fēng)險；

c)第三方組件或部件存在暫未修復(fù)的已知漏洞或安全缺陷時，應(yīng)明確告知用戶風(fēng)險及防范措施；

d)預(yù)裝軟件、補丁包/升級包應(yīng)不包含惡意程序；

e)應(yīng)不存在未向用戶聲明的功能和隱蔽通道。

4.4軟件更新安全

交換機設(shè)備：

a)對于更新操作，應(yīng)僅限于授權(quán)用戶可實施，應(yīng)不支持自動更新；

b)對于存在導(dǎo)致設(shè)備重啟等影響設(shè)備運行安全的實施更新操作應(yīng)由用戶確認(rèn)后實施；

c)應(yīng)支持用戶對軟件版本降級使用；

d)應(yīng)支持軟件更新包完整性校驗；

e)應(yīng)支持軟件更新包簽名機制，抗抵賴攻擊，簽名應(yīng)使用安全性較高的算法，如SHA256，避免

使用MD5等安全性較差的算法；

f)更新失敗時設(shè)備應(yīng)能夠恢復(fù)到升級前的正常工作狀態(tài)；

g)對于采用遠程更新的，應(yīng)支持非明文通道傳輸更新數(shù)據(jù)；

h)應(yīng)具備穩(wěn)定可用的渠道提供軟件更新源。

2

T/TAF038-2019

4.5默認(rèn)狀態(tài)安全

交換機設(shè)備：

a)出廠應(yīng)預(yù)裝滿足功能需求且安全風(fēng)險較低的軟件版本；

b)出廠默認(rèn)開放的端口和服務(wù)應(yīng)明示用戶，滿足最小夠用原則；

c)使用Telnet、SNMPv1/v2c、HTTP等明文傳輸協(xié)議的網(wǎng)絡(luò)管理功能應(yīng)默認(rèn)關(guān)閉；

d)對于存在較多版本的遠程管理協(xié)議，應(yīng)默認(rèn)關(guān)閉安全性較低的版本，例如設(shè)備支持SSH協(xié)議時，

應(yīng)默認(rèn)關(guān)閉SSHv1。

4.6抵御常見攻擊能力

交換機設(shè)備：

a)應(yīng)具備抵御目的為交換機自身的大流量攻擊的能力，例如目的為交換機管理接口的ICMPv4/v6

PingrequestFlood攻擊、TCPv4/v6SYNFlood攻擊等；

b)應(yīng)支持防范ARP/ND欺騙攻擊功能，如通過MAC地址綁定等功能實現(xiàn)；

c)應(yīng)支持開啟生成樹協(xié)議等功能，防范廣播風(fēng)暴攻擊；支持關(guān)閉生成樹協(xié)議，或支持啟用Root

Guard、BPDUGuard等功能，防范針對生成樹協(xié)議的攻擊；

d)應(yīng)支持連續(xù)的非法登錄嘗試次數(shù)限制或其他安全策略，以防范用戶憑證猜解攻擊；

e)應(yīng)支持限制用戶會話連接的數(shù)量，以防范資源消耗類拒絕服務(wù)攻擊；

f)在支持WEB管理功能時，應(yīng)具備抵御常見WEB攻擊的能力，例如注入攻擊、重放攻擊、權(quán)限繞

過攻擊、非法文件上傳等；

g)在支持SNMP管理功能時，應(yīng)具備抵御常見攻擊的能力，例如權(quán)限繞過、信息泄露等；

h)在支持SSH管理功能時，應(yīng)具備抵御常見攻擊的能力，例如權(quán)限繞過、拒絕服務(wù)攻擊等；

i)在支持Telnet管理功能時，應(yīng)具備抵御常見攻擊的能力，例如權(quán)限繞過、拒絕服務(wù)攻擊等；

j)在支持RestAPI管理功能時，應(yīng)具備抵御常見攻擊的能力，例如API身份驗證繞過攻擊、HTTP

身份繞過攻擊、Oauth繞過攻擊、拒絕服務(wù)攻擊等；

k)在支持NETCONF管理功能時，應(yīng)具備抵御常見攻擊的能力，例如權(quán)限繞過、拒絕服務(wù)攻擊等；

l)在支持FTP功能時，應(yīng)具備抵御常見攻擊的能力，例如目錄遍歷、權(quán)限繞過等。

4.7身份標(biāo)識與鑒別

交換機設(shè)備：

a)應(yīng)不存在未向用戶公開的身份鑒別信息；

b)應(yīng)對訪問控制主體進行身份標(biāo)識和鑒別；

c)用戶身份標(biāo)識應(yīng)具有唯一性；

d)應(yīng)支持登錄用戶空閑超時鎖定或自動退出等安全策略，以防范會話空閑時間過長導(dǎo)致的安全風(fēng)

險；

e)對身份鑒別信息，如用戶登錄口令、SNMP團體名等應(yīng)使用安全強度較高的密碼算法,如AES、

SM3/4、SHA2等，來保障身份鑒別信息存儲的機密性，避免使用base64、DES、SHA1等安全強

度弱的密碼算法；

f)對于使用口令鑒別方式的設(shè)備，用戶首次管理設(shè)備時，應(yīng)提示并允許用戶修改默認(rèn)口令或設(shè)置

口令；

3

T/TAF038-2019

g)應(yīng)支持設(shè)置口令修改周期；

h)對于使用口令鑒別方式的設(shè)備，應(yīng)默認(rèn)開啟口令復(fù)雜度檢查功能。開啟口令復(fù)雜度檢查功能時，

口令長度應(yīng)不少于8位，且至少包含2種不同類型字符；

i)用戶輸入的用戶登錄口令、SNMP團體名等鑒別信息默認(rèn)應(yīng)是不可見的；

j)鑒別失敗時，設(shè)備應(yīng)返回最少且無差別信息。

4.8訪問控制安全

交換機設(shè)備：

a)應(yīng)在出廠時默認(rèn)設(shè)置安全的訪問控制策略，或支持用戶首次使用時設(shè)置訪問控制策略；

b)應(yīng)提供用戶分級分權(quán)控制機制；

c)對涉及設(shè)備安全的重要功能如補丁管理、固件管理、日志審計、時間同步、端口鏡像、流采樣

等，應(yīng)僅高等級權(quán)限用戶可使用；

d)應(yīng)支持對用戶管理會話進行過濾，限制非授權(quán)用戶訪問和配置設(shè)備，例如通過訪問控制列表功

能限制可對設(shè)備進行管理（包括Telnet、SSH、SNMP、WEB等管理方式）的用戶IPv4/v6地址。

4.9日志審計安全

交換機設(shè)備：

a)應(yīng)提供日志記錄功能，對用戶關(guān)鍵操作，如增/刪賬戶、修改鑒別信息、修改關(guān)鍵配置、開啟/

關(guān)閉日志記錄、用戶登錄/注銷、用戶權(quán)限修改、重啟/關(guān)閉設(shè)備、更新等行為進行記錄；對常

見攻擊行為例如SYNFlood、ICMPFlood、UDPFlood、IPFlood、IP地址掃描、端口掃描、

PingofDeath、TearDrop、IP選項偽造、TCP異常、Smurf、Fraggle、Land等攻擊行為進行

記錄；

b)應(yīng)提供日志信息本地存儲功能，當(dāng)日志記錄存儲達到極限時，應(yīng)采取覆蓋舊的審計記錄，保留

最新的審計記錄等措施；

c)應(yīng)支持日志信息輸出功能；

d)應(yīng)提供安全功能，保證設(shè)備異常斷電恢復(fù)后，已記錄的日志不丟失；

e)日志審計記錄中應(yīng)記錄必要的日志要素，至少包括事件發(fā)生日期和時間、主體、事件描述（如

類型、操作結(jié)果等）、IP地址（采用遠程管理方式時）等，為查閱和分析提供足夠的信息；

f)應(yīng)提供日志分析功能或為日志分析功能提供接口；

g)日志記錄應(yīng)受到保護，防止日志內(nèi)容被修改，防止未經(jīng)授權(quán)的操作；

h)不應(yīng)在日志中明文記錄敏感信息，如用戶口令、SNMP團體名、WEB會話ID以及私鑰等。

4.10通信安全

交換機設(shè)備：

a)管理系統(tǒng)（管理用戶）與設(shè)備之間的通信信道/路徑應(yīng)保證數(shù)據(jù)的機密性和完整性；

b)在支持WEB管理時，應(yīng)支持HTTPS；

c)在支持SSH管理時，應(yīng)支持SSHv2；

d)在支持SNMP管理時，應(yīng)支持SNMPv3；

e)應(yīng)支持使用至少一種非明文數(shù)據(jù)傳輸協(xié)議對設(shè)備進行管理，如HTTPS、SSHv2、SNMPv3等；

f)應(yīng)支持關(guān)閉網(wǎng)絡(luò)管理功能，如Telnet、SSH、SNMP、WEB等網(wǎng)絡(luò)管理功能；

g)IPv4/v6、TCP、UDP、ICMPv4/v6等基礎(chǔ)通信協(xié)議應(yīng)滿足一定的通信協(xié)議健壯性要求，防范異

常報文攻擊；

4

T/TAF038-2019

h)SNMPv1/v2c/v3、SSHv1/v2、HTTP/HTTPS、FTP、TFTP、NTP、netconf、Openflow等應(yīng)用層協(xié)

議應(yīng)滿足一定的通信協(xié)議健壯性要求，防范異常報文攻擊；

i)如果支持路由功能，則OSPFv2/v3、BGP4/4+等路由控制協(xié)議應(yīng)滿足一定的通信協(xié)議健壯性要

求，防范異常報文攻擊；

j)如果支持路由功能，則路由通信協(xié)議應(yīng)支持非明文路由認(rèn)證功能，例如基于MD5的路由認(rèn)證；

k)應(yīng)支持使用NTP等實現(xiàn)時間同步功能，并具備安全功能或措施防范針對時間同步功能的攻擊，

如提供NTP認(rèn)證等功能；

l)如果支持TRILL協(xié)議，應(yīng)支持協(xié)議認(rèn)證功能，如基于HMAC-SHA256等認(rèn)證。

4.11數(shù)據(jù)安全

交換機設(shè)備：

a)應(yīng)對存儲在設(shè)備上的數(shù)據(jù)進行分類管理，如對用戶口令等敏感數(shù)據(jù)具備安全防護措施；

b)設(shè)備提供者通過設(shè)備收集用戶信息功能的，應(yīng)當(dāng)向用戶明示并取得同意。

5

T/TAF038-2019

附錄A

（規(guī)范性附錄）

標(biāo)準(zhǔn)修訂歷史

修訂時間修訂后版本號修訂內(nèi)容

2018-10-18V1.0.0標(biāo)準(zhǔn)征求意見稿初稿

2018-11-7V1.0.1根據(jù)各廠商意見，修訂標(biāo)準(zhǔn)，形成征求意見稿

2019-1-10V1.1.0根據(jù)各廠商意見，修訂標(biāo)準(zhǔn)，形成送審稿

2019-4-10V1.2.0根據(jù)各廠商意見，修訂標(biāo)準(zhǔn)，形成報批稿

6

T/TAF038-2019