DB32∕T 2766.3-2015 重要信息系统安全防护技术规范 第3部分路由器

lICS25.040L70备案号：46301-2015江苏省地方标准DB32DB32/T2766.3-2015重要信息系统安全防护技术规范第3部分：路由器Specificationforsecuritytechnologyprotectionofimportantinformationsystems—Part3：Router2015-06-15发布2015-08-15实施江苏省质量技术监督局发布DB32/T2766.3-2015I目次前言.....................................................................II引言....................................................................III1范围.......................................................................12规范性引用文件..............................................................13术语和定义..................................................................14符号和缩略语................................................................15安全技术防护................................................................25.1结构安全与网段划分....................................................25.2网络访问控制..........................................................25.3拨号访问控制..........................................................25.4网络安全审计..........................................................25.5网络设备防护..........................................................3附录A（资料性附录）路由器基本要求防护方法实施示例.......................5DB32/T2766.3-2015II前言本规范依据GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写》编写。本标准附录A是资料性附录。本规范由江苏省经济和信息化委员会提出并归口。本规范起草单位：江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）。本规范起草人：王丹中、黄申、吴兰、车黎刚、李国琴、王坤。DB32/T2766.3-2015III引言DB32/T1927-2011《政府信息系统安全防护基本要求》中对路由器设备的安全防护仅提出了基本要求，对如何具体实施未做详细规定。本规范是对DB32/T1927-2011《政府信息系统安全防护基本要求》的细化，规定了重要信息系统中路由器设备的安全技术防护要求和安全防护方法，以帮助和指导重要信息系统管理、运维和使用等单位对网络信息系统中的路由器设备进行安全配置、安全管理和安全运维，提高路由器设备的安全技术防护能力。DB32/T2766.3-20151重要信息系统安全防护技术规范第3部分：路由器1范围本标准规定了重要信息系统中路由器设备的安全技术防护要求和安全防护方法，以帮助和指导重要信息系统管理、运维和使用等单位对网络信息系统中的路由器设备进行安全配置、安全管理和安全运维，提高路由器设备的安全技术防护能力。本标准适用于重要信息系统中路由器设备的安全管理、安全运维与防护。2规范性引用文件下列文件对于本文件的应用是必不可少的，凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB17859计算机信息系统安全保护等级划分准则GB/T18018信息安全技术路由器安全技术要求GB/T20011信息安全技术路由器安全评估准则GB/T22239信息安全技术信息系统安全等级保护基本要求DB32/T1927政府信息系统安全防护基本要求3术语和定义GB/T17859、GB/T22239界定的术语和定义适用于本文件。3.1重要信息系统importantinformationsystems由政府机关建设和使用，履行经济调节、市场监管、社会管理、公共服务等重要职能的信息系统，或由企、事业单位建设和使用，对其正常运营、生产管理等具有重要作用的信息系统。4符号和缩略语IP互联网协议（InternetProtocol）MAC介质访问控制（MediaAccessControl）ACL访问控制列表（AccessControlList）AUX辅助口（Auxiliary）VTY虚拟终端（VirtualTeletypeTerminal）TACACS+终端访问控制器访问控制系统+（TerminalAccessControllerAccessControlSystemPlus）RADIUS远程认证拨号用户服务（RemoteAuthenticationDialInUserService）SNMP简单网络管理协议（SimpleNetworkManagementProtocol）SSH安全外壳协议（SecureShellProtocol）HTTPS安全超文本传输协议（HyperTextTransferProtocoloverSecureSocketDB32/T2766.3-20152Layer）5安全技术防护5.1结构安全与网段划分5.1.1基本要求DB32/T1927-2011中4.2.1.4、4.2.1.6适用于本标准的该项基本要求。5.1.2防护方法a）在使用动态路由选择协议时，应启用路由协议认证功能，并不以明文形式保存认证码。b）应在关键路由器中采用IP/MAC地址绑定方式防止重要网段的地址欺骗。5.2网络访问控制5.2.1基本要求DB32/T1927-2011中4.2.2.1、4.2.2.3和4.2.2.5适用于本标准的该项基本要求。5.2.2防护方法a）应在路由器中配置合理的访问控制列表（ACL），为数据流提供明确的允许/拒绝访问的能力。b）应关闭路由器的不必要服务和端口。c）在网络中使用无线接入路由器时，应通过开启安全设置、MAC地址过滤等方式允许/拒绝便携式和移动式设备的网络接入。d）当网络边界处未部署防火墙时，应在路由器中根据实际网络状况通过IP地址、端口、用户、协议等限制网络的最大流量，并通过IP地址限制网络的最大连接数。5.3拨号访问控制5.3.1基本要求DB32/T1927-2011中4.2.3.1、4.2.3.2和4.2.3.3适用于本标准的该项基本要求。5.3.2防护方法a）对采用远程接入网络的用户，路由器应提供用户认证功能，通过配置用户、用户组，并结合访问控制规则实现允许/拒绝用户对受控系统进行资源访问。b）对采用远程接入网络的用户，路由器应限制具有拨号访问权限的用户数量。5.4网络安全审计5.4.1基本要求DB32/T1927-2011中4.2.4适用于本标准的该项基本要求。5.4.2防护方法a）应启用路由器的系统日志功能，对其运行状况、网络流量、系统事件、登录事件、管理操作等内容进行监测和记录。b）日志审计内容应记录事件的时间、用户、事件类型、事件是否成功等相关信息。c）应采用技术手段对路由器的审计记录数据进行查询和分析，并生成报表。d）应在路由器发生错误或异常等特定事件时主动发送报警信息。DB32/T2766.3-20153e）应采用技术或管理手段对路由器的审计记录进行保护，防止未授权修改、删除和破坏等操作。f）应采取措施确保审计存储耗尽、失败或受到攻击时，审计记录在一定的时间内不会被破坏。5.5网络设备防护5.5.1基本要求DB32/T1927-2011中4.2.8.1、4.2.8.3-4.2.8.8适用于本标准的该项基本要求。5.5.2防护方法5.5.2.1身份鉴别a）应为路由器设置身份鉴别信息，对通过不同登录方式和不同访问模式使用路由器的用户进行身份鉴别。——控制台（Console）口令：应在路由器控制台端口上设置登录口令，防止其他未授权用户连接到路由器并访问用户模式。——辅助端口（AUX）口令：当辅助端口作为备份的控制台端口或用于远程访问时，应设置辅助端口登录口令，否则应关闭辅助端口。——远程登录（VTY）口令：当使用虚拟终端（VTY）进行远程访问时，应设置远程登录（VTY）口令，防止未授权访问。b）身份鉴别所使用的口令应满足长度和复杂度要求，口令至少为8位，由大写字母、小写字母、数字、特殊符号组成，并定期更换。c）身份鉴别信息应不易被冒用，存储在配置文件中的口令应加密存储，或存储在TACACS+或RADIUS认证服务器上。d）路由器的用户标识应具有唯一性，防止多人共用一个账户。5.5.2.2鉴别失败a）应具有登录鉴别失败处理功能，可采用结束会话、限制非法登录次数等措施中断连接或锁定账号。b）当登录鉴别失败时，路由器应仅反馈鉴别是否成功等相关信息。5.5.2.3超时锁定应设置路由器的会话超时锁定功能，当登录用户无操作时间超过一定时限，对用户身份进行重新鉴别。5.5.2.4权限管理a）应根据实际需要为管理用户分配其所需的最小权限，控制不同用户对路由器进行数据访问、数据修改、程序执行等操作。b）应实现路由器特权用户的权限分离，将管理与审计的权限分配给不同的用户，限定特权用户只具有完成工作职责范围内的权限，各项工作职责之间不可互相替代。5.5.2.5远程管理a）应对路由器的管理员登录地址进行限制，应使用专用的管理终端、通信路径或配置相关安全属性，避免未授权的访问。DB32/T2766.3-20154b）当使用SNMP协议对路由器进行远程管理时，应修改默认的共用团体字符串（communitystring），按5.2.2.1b）给出的要求设置足够强壮的团体字符串，并定期更改；应启用SNMP的trap性能，在路由器发生异常事件或错误情况时，向网络管理服务器发送报警信息。c）在远程接入路由器时，应采用SSH、HTTPS等远程安全协议进行远程接入。DB32/T2766.3-20155附录A（资料性附录）路由器基本要求防护方法实施示例路由器基本要求防护方法实施示例见表A.1。表A.1路由器基本要求防护方法实施示例序号项目防护方法实施示例15.1结构安全与网段划分5.1.2a）1）使用静态路由时，通过iproute命令作类似如下配置：iproute192.168.1.0255.255.255.0192.168.1.1932）使用OSPF等路由协议时，通过相关命令作类似如下配置：routerospf100ipospfauthenticationipospfauthenticationmessage-digestipospfmessage-digest-key1md57XXXXXXX（认证码）25.1.2b）通过arp命令在核心路由器中作如下类似配置：arp10.10.10.10000.e268.9980arpa35.2网络访问控制5.2.2a）配置访问控制策略：noaccess-list111ipaccess-listextended111access-list111permittcphost10.1.6.66anyeq443access-list111denyanyany45.2.2b）关闭默认开启的TCPSmallservice、UDPSmallservice、BOOTP、IPSourceRouting、ARP-P