信息安全技术路由器安全评估准则(GB-T 20011-2005).pdf

《信息安全技术路由器安全评估准则(GB-T 20011-2005).pdf》由会员分享，可在线阅读，更多相关《信息安全技术路由器安全评估准则(GB-T 20011-2005).pdf（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS 35.020L09中中华华人人民民共共和和国国国国家家标标准准GB/T 信息安全技术路由器安全评估准则Information security technology-routers security evaluation criteria（报批稿）-发布-实施国国家家质质量量监监督督检检验验检检疫疫总总局局发布发布GB/T XXXXX-200Xi目次前言.III引言.IV1范围.12规范性引用标准.13术语和定义.14安全环境.14.1物理方面.14.2人员方面.14.3连通性方面.15评估内容.15.1用户自主保护级.15.1.1自主访问控制.15.1.2身份鉴别.15.1.3用户数

2、据保护.15.1.4安全管理.25.1.5配置管理.25.1.6安全功能开发过程.25.1.7指导性文档.25.1.8测试.25.1.9交付和运行.25.2系统审计保护级.25.2.1自主访问控制.25.2.2身份鉴别.25.2.3客体重用.25.2.4审计.25.2.5用户数据保护.35.2.6安全功能保护.35.2.7安全管理.35.2.8配置管理.35.2.9安全功能开发过程.35.2.10指导性文档.45.2.11生存周期支持.45.2.12测试.45.2.13脆弱性分析.45.2.14交付和运行.45.3安全标记保护级.45.3.1自主访问控制.45.3.2强制访问控制.45.3.3

3、标记.45.3.4身份鉴别.55.3.5客体重用.55.3.6审计.5GB/T XXXXX-200Xii5.3.7用户数据保护.55.3.8可信路径.65.3.9安全功能保护.65.3.10安全管理.65.3.11配置管理.75.3.12安全功能开发过程.75.3.13指导性文档.75.3.14生存周期支持.75.3.15测试.85.3.16脆弱性分析.85.3.17交付和运行.8附录 A（资料性附录）路由器面临的威胁和对策.9参考文献.10GB/T XXXXX-200Xiii前前言言GB17859-1999计算机信息系统安全保护等级划分准则是我国计算机信息系统安全等级管理的重要标准，已于 1

4、999 年 9 月 13 日发布。为促进安全等级管理工作的正常有序开展，特制定一系列相关的标准。本标准是系列标准之一。本标准文本中，黑体字表示较低等级中没有出现或增强的评估内容。本标准的附录 A 中说明路由器面临的主要威胁和对策。本标准的附录 A 是资料性附录。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位：北京大学软件工程国家工程中心、公安部公共信息网络安全监察局。本标准主要起草人：王立福，张晰，葛佳，赵学志，刘学洋。GB/T XXXXX-200Xiv引引言言路由器是在开放系统互连参考模型（OSI/RM）第三层网络层上实现中继的一种网络互连设备。它根据网络层的信息，采用某种路

5、由算法，为在网络上传送的数据包从若干条路由中选择一条到达目的地的通路。为了准确有效的转发数据包，路由器应创建和维护路由表。路由表通过路由协议来获得路由信息，以支持动态的路由选择。常用的路由协议有：路由信息协议 RIP、开放式最短路径优先协议 OSPF、边界网关协议 BGP 等。路由器通过访问控制表，按确定的一组访问规则，允许或拒绝信息流通过一个或多个路由器接口。GB/T XXXXX-200X1信息安全技术信息安全技术 路由器安全评估准则路由器安全评估准则1范围范围本标准从信息技术方面规定了按照 GB178591999 的五个安全保护等级中的前三个等级，对路由器产品安全保护等级划分所需要的评估内

6、容。本标准适用于路由器安全保护等级的评估，对路由器的研制、开发、测试和产品采购也可参照使用。2规范性引用标准规范性引用标准下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB 178591999 计算机信息系统安全保护等级划分准则3术语和定义术语和定义GB 178591999 所确立的术语和定义适用于本标准。4安全环境安全环境4.1 物理方面物理方面对路由器资源的处理限定在一些可控制的访问设

7、备内，防止未授权的物理访问。所有与实施路由器安全策略相关的硬件和软件应受到保护以免于未授权的物理修改。4.2 人员方面人员方面有一个或多个能胜任的授权用户来管理路由器及所包含的信息。管理员遵从管理员指南实施管理，可能有偶然的失误，但不是恶意或敌对。4.3 连通性方面连通性方面用户可以通过网络使用路由器。5评估内容评估内容5.1 用户自主保护级用户自主保护级5.1.1自主访问控制自主访问控制安全功能将执行自主访问控制策略安全功能将执行自主访问控制策略。通过管理员属性表通过管理员属性表，控制不同管理员对路由器的配置数据控制不同管理员对路由器的配置数据和其它数据的查看、修改，以及对路由器上程序的执行

8、，阻止非授权管理员进行上述活动。和其它数据的查看、修改，以及对路由器上程序的执行，阻止非授权管理员进行上述活动。5.1.2身份鉴别身份鉴别在管理员进入与系统会话之前在管理员进入与系统会话之前，安全功能应鉴别管理员身份安全功能应鉴别管理员身份。对于远程会话对于远程会话，需要被鉴别的信需要被鉴别的信息包括网络接入的管理员身份、远程管理站身份等。息包括网络接入的管理员身份、远程管理站身份等。5.1.3用户数据保护用户数据保护路由器运行过程中，安全功能提供对特定类型数据包的鉴别功能，以确认数据包的有效性。路由器运行过程中，安全功能提供对特定类型数据包的鉴别功能，以确认数据包的有效性。对于路由器转发的数

9、据包对于路由器转发的数据包，安全功能应监视数据包中用户数据的完整性安全功能应监视数据包中用户数据的完整性，防止用户数据在路由防止用户数据在路由器上存储转发期间被破坏。器上存储转发期间被破坏。GB/T XXXXX-200X25.1.4安全管理安全管理路由器的安全配置参数要有初始值。路由器的安全配置参数要有初始值。安全功能应具备划分管理员级别和规定相关权限安全功能应具备划分管理员级别和规定相关权限（如监视如监视、维护配置等维护配置等）的能力的能力。例如例如，将管将管理员划分为高、理员划分为高、低两个级别：低两个级别：a)a)低级别管理员对路由器的运行实施监视，并能查询路由器的当前配置；低级别管理员

10、对路由器的运行实施监视，并能查询路由器的当前配置；b)b)高级别管理员对路由器的运行实施监视，并能维护路由器的当前配置。高级别管理员对路由器的运行实施监视，并能维护路由器的当前配置。5.1.5配置管理配置管理开发者用开发者用路由器路由器版本号作为它的引用标签。对版本号作为它的引用标签。对路由器路由器的每一个版本，版本号应是唯一的。的每一个版本，版本号应是唯一的。5.1.6安全功能开发过程安全功能开发过程开发者应提供开发者应提供路由器路由器的功能规约。功能规约以非形式化风格来描述安全功能以及其外部接口的功能规约。功能规约以非形式化风格来描述安全功能以及其外部接口，并完备地、一致地表示安全功能。并

11、完备地、一致地表示安全功能。5.1.7指导性文档指导性文档开发者应提供系统管理员的管理员指南开发者应提供系统管理员的管理员指南。管理员指南应描述对于授权安全管理角色可使用的管管理员指南应描述对于授权安全管理角色可使用的管理功能和接口理功能和接口、对路由器进行安全管理的方式对路由器进行安全管理的方式、受控制的安全参数以及与安全操作有关的用户行为受控制的安全参数以及与安全操作有关的用户行为的假设。管理员指南应与为路由器评估而提供的其它所有文件保持一致。的假设。管理员指南应与为路由器评估而提供的其它所有文件保持一致。5.1.8测试测试开发者应提供测试覆盖的证据开发者应提供测试覆盖的证据。测试覆盖的证

12、据应表明测试文档中所标识的测试和功能规约中测试覆盖的证据应表明测试文档中所标识的测试和功能规约中所描述的安全功能之间的对应性。所描述的安全功能之间的对应性。5.1.9交付和运行交付和运行开发者应以文档方式描述对开发者应以文档方式描述对路由器路由器进行安全的安装、生成和启动的过程。进行安全的安装、生成和启动的过程。5.2 系统审计保护级系统审计保护级5.2.1自主访问控制自主访问控制安全功能将执行自主访问控制策略。通过管理员属性表，控制不同管理员对路由器的配置数据和其它数据的查看、修改，以及对路由器上程序的执行，阻止非授权管理员进行上述活动。5.2.2身份鉴别身份鉴别在管理员进入与系统会话之前，

13、安全功能应鉴别用户身份。对于远程会话，需要被鉴别的信息包括网络接入的管理员身份、远程管理站身份等。5.2.3客体重用客体重用安全功能应确保数据包在被路由器系统成功转发后安全功能应确保数据包在被路由器系统成功转发后，没有可用的遗留信息没有可用的遗留信息。一般利用多次重写一般利用多次重写的办法来实现。的办法来实现。5.2.4审计审计路由器安全功能路由器安全功能应能为应能为路由器路由器的可审计事件生成一个审计记录的可审计事件生成一个审计记录，并在每一个审计记录中至少记并在每一个审计记录中至少记录以下信息：录以下信息：事件发生的日期和时间；事件发生的日期和时间；事件的类型；事件的类型；用户身份；用户身

14、份；事件的结果（成功或失败事件的结果（成功或失败）。路由器路由器安全功能安全功能应能维护应能维护路由器路由器的可审计事件，但其中至少包括：的可审计事件，但其中至少包括：审计功能的启动和终止事件；审计功能的启动和终止事件；帐户管理的成功和失败；帐户管理的成功和失败；登录事件的成功和失败；登录事件的成功和失败；对象（例如：路由表、访问控制表等）访问失败；对象（例如：路由表、访问控制表等）访问失败；系统事件的成功和失败等。系统事件的成功和失败等。路由器安全功能路由器安全功能应提供给已授权的管理员从审计记录中读取审计信息的能力应提供给已授权的管理员从审计记录中读取审计信息的能力，安全功能为管理安全功能

15、为管理GB/T XXXXX-200X3员提供的审计记录具有唯一、明确的定义和方便阅读的格式。员提供的审计记录具有唯一、明确的定义和方便阅读的格式。路由器安全功能路由器安全功能应能保护已存储的审计记录应能保护已存储的审计记录，避免未经授权的删除避免未经授权的删除，并能监测和防止对审计记并能监测和防止对审计记录的修改录的修改。当审计存储耗尽当审计存储耗尽、失败或受到攻击时失败或受到攻击时，安全功能安全功能应确保最近的审计记录在一定的时间内应确保最近的审计记录在一定的时间内不会被破坏。不会被破坏。路由器安全功能路由器安全功能在检测到可能有安全侵害发生时在检测到可能有安全侵害发生时，应做出响应应做出响

16、应，如如：通知管理员通知管理员，向管理员提向管理员提供一组遏制侵害的或采取校正的行动。供一组遏制侵害的或采取校正的行动。5.2.5用户数据保护用户数据保护路由器运行过程中，安全功能提供对特定类型数据包的鉴别功能，以确认数据包的有效性。对于路由器转发的数据包，安全功能应监视数据包中用户数据的完整性，防止用户数据在路由器上存储转发期间被破坏。对于提供对于提供 IPIP 包过滤功能的路由器，应满足以下要求：包过滤功能的路由器，应满足以下要求：a)a)为了实现基于为了实现基于 IPIP 地址的过滤地址的过滤，管理员可以使用地址通配符进行过滤表的设置管理员可以使用地址通配符进行过滤表的设置，实现如对实现

17、如对 I IP P协议、协议、TCPTCP 协议、协议、UDPUDP 协议、协议、ICMPICMP 协议和相应协议端口的过滤；协议和相应协议端口的过滤；b)b)具有识别内外网络地址的能力，防止外部网络冒用内部地址；具有识别内外网络地址的能力，防止外部网络冒用内部地址；c)c)具有识别低层网络地址假冒的能力；具有识别低层网络地址假冒的能力；d)d)过滤表的大小只受系统资源的限制；过滤表的大小只受系统资源的限制；e)e)能设置告警策略；能设置告警策略；f)f)管理员可以设置以下功能是否起作用：管理员可以设置以下功能是否起作用：1)1)禁止分段过小的数据包通过，最小长度可以设置，并有一个建议值，在管

18、理员禁止分段过小的数据包通过，最小长度可以设置，并有一个建议值，在管理员 设置值设置值小于该值时予以提示；小于该值时予以提示；2)2)禁止源端路由的数据包通过；禁止源端路由的数据包通过；3)3)禁止数据包分段偏移值异常的数据包通过，异常偏移值可以设置，并有一个建议值，禁止数据包分段偏移值异常的数据包通过，异常偏移值可以设置，并有一个建议值，在管理员设置值小于该值时予以提示。在管理员设置值小于该值时予以提示。安全功能具备用加密的方式转发路由器运行中的数据包的能力。安全功能具备用加密的方式转发路由器运行中的数据包的能力。5.2.6安全功能保护安全功能保护路由器应有自引导功能路由器应有自引导功能，在

19、初始启动期间在初始启动期间，不能在安全功能发挥作用之前从网络获取引导信息不能在安全功能发挥作用之前从网络获取引导信息。路由器初始化的选项由管理员进行管理，如开放或关闭某些应用程序等。路由器初始化的选项由管理员进行管理，如开放或关闭某些应用程序等。5.2.7安全管理安全管理路由器的安全配置参数要有初始值。路由器安装后，安全功能应能及时提醒管理员修改配置路由器安装后，安全功能应能及时提醒管理员修改配置，并能周期性地提醒管理员维护配置。并能周期性地提醒管理员维护配置。安全功能应具备划分管理员级别和规定相关权限（如监视、维护配置等）的能力。例如，将管理员划分为高、低两个级别：a)低级别管理员对路由器的

20、运行实施监视，并能查询路由器的当前配置；b)高级别管理员对路由器的运行实施监视，并能维护路由器的当前配置。5.2.8配置管理配置管理开发者用路由器版本号作为它的引用标签，并使用配置管理系统、提供管理文档。对路由器的每一个版本，版本号应是唯一的。配置管理文档应包括配置清单，它描述生成路由器的配置项。配置管理文档应包括配置清单，它描述生成路由器的配置项。开发者应提供配置管理文档开发者应提供配置管理文档。配置管理文档应说明配置管理系统至少能跟踪以下几项配置管理文档应说明配置管理系统至少能跟踪以下几项：路由器路由器实现的表示实现的表示、设计文档设计文档、测试文档测试文档、用户文档用户文档、管理员文档和

21、配置管理文档管理员文档和配置管理文档。配置管理文档应描述配置管理文档应描述配置管理系统是如何跟踪配置项的。配置管理系统是如何跟踪配置项的。5.2.9安全功能开发过程安全功能开发过程开发者应提供路由器的功能规约。功能规约以非形式化风格来描述安全功能以及其外部接口，并完备地、一致地表示安全功能。开发者应提供开发者应提供路由器路由器安全功能的高层设计安全功能的高层设计。高层设计应按子系统描述安全功能及其结构高层设计应按子系统描述安全功能及其结构，并标并标GB/T XXXXX-200X4识安全功能子系统的所有接口识安全功能子系统的所有接口。高层设计还应标识实现安全功能所要求的基础性的硬件高层设计还应标

22、识实现安全功能所要求的基础性的硬件、固件和软固件和软件。件。开发者应提供路由器安全功能的功能规约与高层设计之间的对应性分析开发者应提供路由器安全功能的功能规约与高层设计之间的对应性分析，该分析应证明功能规该分析应证明功能规约表示的所有相关安全功能都在高层设计中得到正确且完备的细化。约表示的所有相关安全功能都在高层设计中得到正确且完备的细化。5.2.10指导性文档指导性文档开发者应提供系统管理员的管理员指南。管理员指南应描述对于授权安全管理角色可使用的管理功能和接口、对路由器进行安全管理的方式、受控制的安全参数以及与安全操作有关的用户行为的假设。管理员指南应与为路由器评估而提供的其它所有文件保持

23、一致。5.2.11生存周期支持生存周期支持开发者提供开发安全文件开发者提供开发安全文件。开发安全文件应描述在开发安全文件应描述在路由器路由器的开发环境中的开发环境中，用以在物理上用以在物理上、程序程序上上、人员上以及其他方面上保护人员上以及其他方面上保护路由器路由器设计和实现的保密性和完整性所必要的安全措施设计和实现的保密性和完整性所必要的安全措施，并提供执并提供执行安全措施的证据。行安全措施的证据。5.2.12测试测试开发者应提供测试覆盖的证据。测试覆盖的证据应表明测试文档中所标识的测试和功能规约中所描述的安全功能之间的对应性。开发者应提供测试深度的分析开发者应提供测试深度的分析。在深度分析

24、中应给出在深度分析中应给出：对于测试文档所标识的测试对于测试文档所标识的测试，足以说明足以说明安全功能的实现和高层设计是一致的。安全功能的实现和高层设计是一致的。开发者应测试安全功能，并提供测试结果的文档。测试文档应包括测试计划、测试程序描述开发者应测试安全功能，并提供测试结果的文档。测试文档应包括测试计划、测试程序描述，预期的测试结果和实际测试结果预期的测试结果和实际测试结果；测试计划应标识要测试的安全功能测试计划应标识要测试的安全功能，描述要执行的安全目标描述要执行的安全目标；测测试过程描述应标识要执行的测试试过程描述应标识要执行的测试，并描述每个安全功能的测试概况并描述每个安全功能的测试

25、概况，这些概况包括对于其它测试结这些概况包括对于其它测试结果的顺序依赖性果的顺序依赖性；期望的测试结果应表明成功测试运行后的预期输出期望的测试结果应表明成功测试运行后的预期输出；实际测试的结果应阐明了每实际测试的结果应阐明了每个被测试的安全功能已按照规定进行运作了。个被测试的安全功能已按照规定进行运作了。5.2.13脆弱性分析脆弱性分析开发者应提供指南性文档和分析文档开发者应提供指南性文档和分析文档。指南性文档应确定对指南性文档应确定对路由器路由器的所有可能的操作方式的所有可能的操作方式（包包括失败和操作失误后的操作括失败和操作失误后的操作）的后果以及对于保持安全操作的意义的后果以及对于保持安

26、全操作的意义，并列出所有目标环境的假设和并列出所有目标环境的假设和所有的外部安全措施所有的外部安全措施（包括外部程序的包括外部程序的、物理的或人员控制物理的或人员控制）要求要求。所述内容应是完备的所述内容应是完备的、清晰的清晰的、一致的、合理的，并在分析文档应阐明指南性文档是完备的。一致的、合理的，并在分析文档应阐明指南性文档是完备的。开发者应对用于开发者应对用于路由器路由器的的、并具有安全功能强度声明的安全机制并具有安全功能强度声明的安全机制（例如口令机制例如口令机制）进行安全功进行安全功能强度分析。安全功能强度分析应证明安全机制达到了所声明的强度。能强度分析。安全功能强度分析应证明安全机制

27、达到了所声明的强度。开发者应实施脆弱性分析开发者应实施脆弱性分析，并提供脆弱性分布的文档并提供脆弱性分布的文档。对所有已标识的脆弱性对所有已标识的脆弱性，文档应说明它文档应说明它们在所期望的们在所期望的路由器路由器使用环境中不能被利用。使用环境中不能被利用。5.2.14交付和运行交付和运行开发者应以文档方式描述对路由器进行安全的安装、生成和启动的过程。开发者以文档的形式将路由器开发者以文档的形式将路由器（系统系统）或其部分提供给用户或其部分提供给用户，为维护安全性应使用一定的分发为维护安全性应使用一定的分发程序。分发文档应向用户说明这一程序。程序。分发文档应向用户说明这一程序。5.3 安全标记

28、保护级安全标记保护级5.3.1自主访问控制自主访问控制安全功能将执行自主访问控制策略。通过管理员属性表，控制不同管理员对路由器的配置数据和其它数据的查看、修改，以及对路由器上程序的执行，阻止非授权管理员进行上述活动。5.3.2强制访问控制强制访问控制路由器路由器安全功能安全功能应通过管理员和路由器安全功能数据的敏感标记应通过管理员和路由器安全功能数据的敏感标记，控制管理员对相关安全功能控制管理员对相关安全功能数据的直接访问。数据的直接访问。5.3.3标记标记路由器对所有客体路由器对所有客体（路由表路由表、访问表访问表、审计记录审计记录、管理员属性表等管理员属性表等）和主体和主体（管理员以及所启

29、管理员以及所启GB/T XXXXX-200X5动的程序）都指定并维护敏感标记。动的程序）都指定并维护敏感标记。5.3.4身份鉴别身份鉴别在管理员进入与系统会话之前，安全功能应鉴别管理员身份。对于远程会话，需要被鉴别的信息包括网络接入管理员身份、远程管理站身份等。安全功能应对所有鉴别信息提供安全保护措施（如对管理员身份进行加密安全功能应对所有鉴别信息提供安全保护措施（如对管理员身份进行加密），以防止管理员身，以防止管理员身份鉴别数据的泄露。份鉴别数据的泄露。安全功能应周期性地确认管理员身份安全功能应周期性地确认管理员身份，如果管理员未进行操作的时间超过一定时限如果管理员未进行操作的时间超过一定时

30、限，当管理员当管理员再次操作时，安全功能应对管理员身份重新进行鉴别。时限由授权管理员设置。再次操作时，安全功能应对管理员身份重新进行鉴别。时限由授权管理员设置。当管理员被鉴别时，安全功能仅反馈鉴别是否成功或其它简单信息。当管理员被鉴别时，安全功能仅反馈鉴别是否成功或其它简单信息。安全功能应检测到管理员登录鉴别失败的出现安全功能应检测到管理员登录鉴别失败的出现，当达到预先所规定的次数时当达到预先所规定的次数时，安全功能应采取安全功能应采取一定的措施如锁定界面、中断链接或锁定账号。一定的措施如锁定界面、中断链接或锁定账号。5.3.5客体重用客体重用安全功能应确保数据包在被路由器系统成功转发后，没有

31、可用的遗留信息。一般利用多次重写的办法来实现。5.3.6审计审计路由器安全功能应能为路由器的可审计事件生成一个审计记录，并在每一个审计记录中至少记录以下信息：事件发生的日期和时间；事件的类型；用户身份；事件的结果（成功或失败）。路由器安全功能应能维护路由器的可审计事件，但其中至少包括：审计功能的启动和终止事件；帐户管理的成功和失败；登录事件的成功和失败；对象（例如：路由表、访问控制表等）访问失败；系统事件的成功和失败等。路由器安全功能应提供给已授权的管理员从审计记录中读取审计信息的能力，安全功能为管理员提供的审计记录具有唯一、明确的定义和方便阅读的格式。路由器安全功能应能保护已存储的审计记录，

32、避免未经授权的删除，并能监测和防止对审计记录的修改。当审计存储耗尽、失败或受到攻击时，安全功能应确保最近的审计记录在一定的时间内不会被破坏。当审计记录超过预定的限制值时当审计记录超过预定的限制值时，路由路由器安全功能器安全功能应采取相应的行动应采取相应的行动，如如：给授权管理员产生给授权管理员产生警告。警告。路由器路由器安全功能安全功能应能监控可审计事件，并指出潜在的侵害。应能监控可审计事件，并指出潜在的侵害。路由器安全功能在检测到可能有安全侵害发生时，应做出响应，如：通知管理员，向管理员提供一组遏制侵害的或采取校正的行动。5.3.7用户数据保护用户数据保护路由器运行过程中，安全功能提供对特定

33、类型数据包的鉴别功能，以确认数据包的有效性。对于路由器转发的数据包，安全功能应监视数据包中用户数据的完整性，防止用户数据在路由器上存储转发期间被破坏。对于提供 IP 包过滤功能的路由器，应满足以下要求：a)为了实现基于 IP 地址的过滤，管理员可以使用地址通配符进行过滤表的设置，实现如对 IP协议、TCP 协议、UDP 协议、ICMP 协议和相应协议端口的过滤；GB/T XXXXX-200X6b)具有识别内外网络地址的能力，防止外部网络冒用内部地址；c)具有识别低层网络地址假冒的能力；d)过滤表的大小只受系统资源的限制；e)能设置告警策略；f)管理员可以设置以下功能是否起作用：1)禁止分段过小

34、的数据包通过，最小长度可以设置，并有一个建议值，在管理员设置的值小于该值时给予提示；2)禁止源端路由的数据包通过；3)禁止数据包分段偏移值异常的数据包通过，异常偏移值可以设置，并有一个建议值，在管理员设置值小于该值时予以提示。安全功能具备用加密的方式转发路由器运行中的数据包的能力。通过实施一定的信息流控制策略（例如禁止一切没有得到明确允许的信息流通过实施一定的信息流控制策略（例如禁止一切没有得到明确允许的信息流），安全功能防止，安全功能防止数据包规避数据包规避 IPIP 包过滤策略而流经路由器。包过滤策略而流经路由器。安全功能应能为传送的数据包产生完整性标记，并能建立一定机制（如可信信道安全功

35、能应能为传送的数据包产生完整性标记，并能建立一定机制（如可信信道），来判别并，来判别并保护数据包交换的完整性。保护数据包交换的完整性。5.3.8可信路径可信路径安全功能应在已达到二级的路由器之间建立一条可信路径，该路径具有对安全数据的保护能安全功能应在已达到二级的路由器之间建立一条可信路径，该路径具有对安全数据的保护能力。对于要求安全性的数据包，应通过此路径进行传输。力。对于要求安全性的数据包，应通过此路径进行传输。安全功能应能和安全功能应能和（远程远程）用户间建立一条可信路径用户间建立一条可信路径，它提供数据保护它提供数据保护，并在逻辑上明显不同于并在逻辑上明显不同于其它路径，从而实现用户的

36、（远程）接入其它路径，从而实现用户的（远程）接入、（远程）管理等功能。（远程）管理等功能。安全功能应能对路由器转发的数据包产生原发证据安全功能应能对路由器转发的数据包产生原发证据，并能验证它的有效性并能验证它的有效性。原发证据是与发送原发证据是与发送数据包的路由器的属性相关联的。数据包的路由器的属性相关联的。安全功能应能对路由器接受的数据包产生接收证据安全功能应能对路由器接受的数据包产生接收证据，并能验证它的有效性并能验证它的有效性。接收证据是与接收接收证据是与接收数据包的路由器的属性相关联的。数据包的路由器的属性相关联的。5.3.9安全功能保护安全功能保护路由器应有自引导功能，在初始启动期间

37、，不能在安全功能发挥作用之前从网络获取引导信息。路由器初始化的选项由管理员进行管理，如开放或关闭某些应用程序等。路由器安全功能应保护需经过网络传输的路由器安全功能数据路由器安全功能应保护需经过网络传输的路由器安全功能数据（如如：路由表数据路由表数据，访问控制表访问控制表数据等数据等），防止此类数据被泄漏及篡改。路由器安全功能应能支持路由器间的可信鉴别。，防止此类数据被泄漏及篡改。路由器安全功能应能支持路由器间的可信鉴别。路由器发生失败或中断后路由器发生失败或中断后，安全功能应使其进入维护方式安全功能应使其进入维护方式，并具备将路由器返回到一个安全状并具备将路由器返回到一个安全状态的能力。态的能

38、力。安全功能安全功能应能为自身的应用提供可靠的时间戳应能为自身的应用提供可靠的时间戳，以支持身份鉴别以支持身份鉴别、安全审计等其它各种安全功安全审计等其它各种安全功能的实现。能的实现。5.3.10安全管理安全管理路由器的安全配置参数要有初始值。路由器安装后，安全功能应能及时提醒管理员修改配置，并能周期性地提醒管理员维护配置。安全功能应具备划分管理员级别和规定相关权限（如监视、维护配置等）的能力。例如，将管理员划分为高、中、低三个级别：a)低级别管理员只能对路由器的运行实施监视；b)中级别管理员对路由器的运行实施监视，并能查询路由器的当前配置；c)高级别管理员对路由器的运行实施监视，并能维护路由

39、器的当前配置。安全功能支持将管理员的权限范围进行分工安全功能支持将管理员的权限范围进行分工，即限定管理员只能完成某一方面的工作即限定管理员只能完成某一方面的工作，各项工各项工作之间不可互相替代。作之间不可互相替代。对于路由器中主体和客体所具有的敏感标记对于路由器中主体和客体所具有的敏感标记，安全功能只允许授权的管理员建立和维护这些敏安全功能只允许授权的管理员建立和维护这些敏GB/T XXXXX-200X7感标记。感标记。5.3.11配置管理配置管理开发者应使用配置管理系统开发者应使用配置管理系统，并提供配置管理计划并提供配置管理计划。配置管理系统应确保对路由器的实现表示配置管理系统应确保对路由

40、器的实现表示只能进行已授权的改变只能进行已授权的改变；配置管理计划应描述在配置管理系统中使用的工具软件配置管理计划应描述在配置管理系统中使用的工具软件，并描述如何使用并描述如何使用这些工具。这些工具。开发者用路由器版本号作为它的引用标签，并使用配置管理系统、提供管理文档。对路由器的每一个版本，版本号应是唯一的。配置管理文档应包括配置清单和一个配置管理计划和接受计划一个配置管理计划和接受计划。配置清单描述生成路由器的配置项配置清单描述生成路由器的配置项，配置管理计划描述系统是怎样使用的配置管理计划描述系统是怎样使用的，接受计划描述用来接受接受计划描述用来接受修改过的或新建的配置项的程序。修改过的

41、或新建的配置项的程序。开发者应提供配置管理文档。配置管理文档应说明配置管理系统至少能跟踪以下几项：路由器实现的表示、设计文档、测试文档、用户文档、管理员文档和配置管理文档。配置管理文档应描述配置管理系统是如何跟踪配置项的。5.3.12安全功能开发过程安全功能开发过程开发者应提供路由器的功能规约。功能规约以非形式化风格来描述安全功能以及其外部接口，并完备地、一致地表示安全功能。功能规约应给出每一安全功能的接口定义功能规约应给出每一安全功能的接口定义，用以证明完备地描述用以证明完备地描述了路由器安全功能。了路由器安全功能。开发者应提供路由器安全功能的实现表示。实现表示应是内在一致的，并且无歧义地定

42、义了详细的路由器安全功能。开发者应提供路由器安全功能的高层设计。高层设计应按子系统描述安全功能及其结构，并标识安全功能子系统的所有接口。高层设计还应标识实现安全功能所要求的基础性的硬件、固件和软件。高层设计还应描述安全功能子系统所有接口及使用接口的目的和方法高层设计还应描述安全功能子系统所有接口及使用接口的目的和方法，并详细描述接口的返回并详细描述接口的返回结果、例外情况和错误信息等，以及如何将结果、例外情况和错误信息等，以及如何将路由器路由器中有助于增强安全策略的子系统分离出来。中有助于增强安全策略的子系统分离出来。开发者应提供路由器安全功能的低层设计开发者应提供路由器安全功能的低层设计。低

43、层设计应以模块术语描述安全功能低层设计应以模块术语描述安全功能，并描述每一并描述每一个模块的目的个模块的目的、接口和相互间的关系接口和相互间的关系。低层设计还应描述如何将低层设计还应描述如何将路由器路由器中有助于增强安全策略的模中有助于增强安全策略的模块分离出来。块分离出来。开发者提供的相邻两阶段开发文档应提供对相邻的路由器安全功能表示之间的对应性分析，该对应性分析应阐明上一阶段的安全功能表示在下一阶段文档中得到正确而完备地细化。开发者应提供安全策略模型开发者应提供安全策略模型，并阐明该模型和路由器功能规约之间的对应性并阐明该模型和路由器功能规约之间的对应性，这一对应性是一这一对应性是一致和完

44、备的致和完备的。安全策略模型是非形式化的安全策略模型是非形式化的。该模型应描述所有可以模型化的安全策略的规则和特征该模型应描述所有可以模型化的安全策略的规则和特征，并包括一个基本原理并包括一个基本原理，即阐明该模型对于所有可模型化的安全策略来说即阐明该模型对于所有可模型化的安全策略来说，是与其一致的是与其一致的，而且是完而且是完备的。备的。5.3.13指导性文档指导性文档开发者应提供系统管理员的管理员指南。管理员指南应描述对于授权安全管理角色可使用的管理功能和接口、对路由器进行安全管理的方式、受控制的安全参数以及与安全操作有关的用户行为的假设。管理员指南应与为路由器评估而提供的其它所有文件保持

45、一致。5.3.14生存周期支持生存周期支持开发者应提供开发安全文件。开发安全文件应描述在路由器的开发环境中，用以在物理上、程序上、人员上以及其他方面上保护路由器设计和实现的保密性和完整性所必要的安全措施，并提供执行安全措施的证据。开发者应建立用于开发和维护开发者应建立用于开发和维护路由器路由器的生存周期模型的生存周期模型，并提供生存周期定义文档并提供生存周期定义文档。生存周期定生存周期定义文件应描述用于开发和维护义文件应描述用于开发和维护路由器路由器的模型，该模型应给出开发和维护的模型，该模型应给出开发和维护路由器路由器的必要的控制。的必要的控制。开发者应描述用于开发开发者应描述用于开发路由器

46、路由器所使用的工具和参照标准所使用的工具和参照标准，并提供关于已选择的开发工具选项的并提供关于已选择的开发工具选项的描述文档。开发工具文档应明确说明所有开发工具选项的含义。描述文档。开发工具文档应明确说明所有开发工具选项的含义。GB/T XXXXX-200X85.3.15测试测试开发者应提供测试覆盖的分析。测试覆盖的分析应表明测试文档中所标识的测试和功能规约中所描述的安全功能之间的对应性，并说明该对应性是完备的。开发者应提供测试深度的分析。在深度分析中应给出：对于测试文档所标识的测试，足以说明安全功能的实现和高层设计是一致的。开发者应测试安全功能，并提供测试结果的文档。测试文档应包括测试计划、

47、测试程序描述，预期的测试结果和实际测试结果；测试计划应标识要测试的安全功能，描述要执行的安全目标；测试过程描述应标识要执行的测试，并描述每个安全功能的测试概况，这些概况包括对于其它测试结果的顺序依赖性；期望的测试结果应表明成功测试运行后的预期输出；实际测试的结果应阐明了每个被测试的安全功能已按照规定进行运作了。5.3.16脆弱性分析脆弱性分析开发者应提供指南性文档和分析文档。指南性文档应确定对路由器的所有可能的操作方式（包括失败和操作失误后的操作）的后果以及对于保持安全操作的意义，并列出所有目标环境的假设和所有的外部安全措施（包括外部程序的、物理的或人员控制）要求。所述内容应是完备的、清晰的、

48、一致的、合理的，并在分析文档应阐明指南性文档是完备的。开发者应对用于路由器的、并具有安全功能强度声明的安全机制（例如口令机制）进行安全功能强度分析。安全功能强度分析应证明安全机制达到了所声明的强度。开发者应实施脆弱性分析，并提供脆弱性分布的文档。对所有已标识的脆弱性，文档应说明它们在所期望的路由器使用环境中不能被利用。5.3.17交付和运行交付和运行开发者应以文档方式描述对路由器进行安全的安装、生成和启动的过程。开发者以文档的形式将路由器（系统）或其部分提供给用户，为维护安全性应使用一定的分发程序。分发文档应向用户说明这一程序，并描述如何使用各种方法和技术措施来监测对系统的修改并描述如何使用各

49、种方法和技术措施来监测对系统的修改，或者描述开发者的主拷贝和用户所收到的版本之间的差异。或者描述开发者的主拷贝和用户所收到的版本之间的差异。GB/T XXXXX-200X9附录附录 A（资料性附录）（资料性附录）路由器面临的威胁和对策路由器面临的威胁和对策A.1 路由器可能面对的主要威胁：路由器可能面对的主要威胁：a）未授权的用户尝试避开路由器的安全措施，存取路由器中的数据信息；b）未授权的用户猜测鉴别信息，从而利用此信息发起对路由器的攻击；c）未授权的用户使用未经许可的服务，使信息通过路由器(位于内部网络的出口)，导致内部网络的资源被非法利用；d）未授权用户使用虚假 IP 地址，使信息流通过

50、路由器；e）未授权用户查阅、修改或删除远程管理员与路由器之间传送的安全相关信息；f）管理员没有及时审阅审计信息，致使攻击者未能被发现；g）未授权用户通过使用耗费尽审计数据的存储容量方式，导致审计数据的丢失或无法继续记录审计数据；h）未授权用户向路由器发送攻击性数据包或在一定的时间间隔里，向路由器发送数量巨大的垃圾数据包，以此大量耗费路由器的系统资源，使其不能正常工作；I）路由器的重新启动导致路由信息的破坏；J）用户信息被转发到未授权的网络实体。A.2 抵御威胁的方法：抵御威胁的方法：a）只有授权管理员才可以登录系统。只有授权管理员才能对受保护资源（包括路由表、访问控制表、审计记录等）进行访问和