实施时间
2025年1月1日起实施
涉及设备范围
核心路由器、边缘路由器、以太网交换机、三层交换机、宽带网络接入服务器(BNAS)
新增检测依据
GBT41266-2022网络关键设备安全检测方法交换机设备
GBT41267-2022网络关键设备安全技术要求交换机设备
GB/T41268-2022网络关键设备安全检测方法路由器设备
GB/T41269-2022网络关键设备安全技术要求路由器设备
YD/T3125.2-2019通信用增强型SFP光收发合一模块(SFP+)第2部分:25Gbit/s
标准换版
| 标准号 | 原版本 | 新版本 | 标准名称 |
| YD/T1097 | 2009 | 2023 | 路由器设备技术要求核心路由器 |
| YD/T1098 | 2009 | 2023 | 路由器设备测试方法边缘路由器 |
| YD/T 1141 | 2007 | 2022 | 以太网交换机测试方法 |
| YD/T1156 | 2009 | 2023 | 路由器设备测试方法核心路由器 |
| YD/T1439 | 2006 | 2023 | 路由器设备安全测试方法核心路由器(基于IPv4) |
主要修订内容
扩容换证时补充安全测试
针对在进网时为非网络关键设备,后续又升级为网络关键设备的,企业在申请扩容换证时,除提交网安局认可的网络关键设备安全检测报告外,还应按照《路由器国标》《交换机国标》补充安全检测
增加25G接口测试
增加了安全相关检测项目。检测项目依据新路由器和交换机国标(可以覆盖通用国标40050)进行了增加和细化
缩减部分功能和协议一致性测试项目
所有协议、功能、安全测试项目梳理后与检验依据标准的写法一一对应
安全功能测试内容-主要更新内容
1设备标识安全
鉴别提示信息安全:用户登录通过鉴别前的提示信息应避免包含设备软件版本、型号等敏感信息
2冗余、备份恢复与异常检测
热插拔功能:部分关键部件应支持热插拔
独立管理接口功能:应提供独立的管理接口
3漏洞和恶意程序防范
-无
4预装软件启动及更新安全
软件更新包完整性校验功能:应支持软件更新包完整性校验
更新失败恢复功能:更新失败时设备应能够恢复到更新前的正常工作状态
网络更新安全通道功能:对于采用网络更新方式的,应支持非明文通道传输更新数据
更新源可用性:应具备稳定可用的渠道提供软件更新源
5访问控制安全(默认状态安全)
会话过滤功能:原为受控资源访问控制功能
访问控制列表功能
6用户身份标识与鉴别
身份鉴别信息声明:应不存在未向用户公开的身份鉴别信息
鉴别失败处理功能:鉴别失败时,应返回最少且无差别信息
7日志审计安全
日志信息断电保护功能:保证设备异常断电恢复后,已记录的日志不丢失
8通信安全
路由通信协议认证功能:路由通信协议应支持非明文路由认证功能。
TRLL协议认证(交换机适用):如果支持TRLL协议,应支持协议认证功能,如基于HMAC-SHA256等认证
9抵御常见攻击能力
大流量攻击防范能力
地址解析欺骗攻击防范能力:支持防范ARP/ND欺骗攻击功能
广播风暴攻击防范能力(交换机适用)
用户凭证猜解攻击防范能力:支持连续的非法登录尝试次数限制或其他安全策略
用户会话连接限制功能:防范资源消耗类拒绝服务攻击
WEB管理功能安全:例如注入攻击、重放攻击、权限绕过攻击、非法文件上传等
SNMP管理功能安全:例如权限绕过、信息泄露等
SSH管理功能安全:例如权限绕过、拒绝服务攻击等
Telnet管理功能安全:例如权限绕过、拒绝服务攻击等
RestAP!管理功能安全(交换机适用):例如API身份验证绕过攻击、HTTP身份绕过攻击、Oauth绕过攻击、拒绝服务攻击等
NETCONF管理功能安全:例如权限绕过、拒绝服务攻击等
FTP管理功能安全:例如目录遍历、权限绕过等
SFTP管理功能安全:例如目录遍历、权限绕过等
DHCP管理功能安全(路由器适用)防范DHCP拒绝服务攻击的能力
10数据安全
无
11安全保障要求
无
新增25G接口测试
平均发送光功率
中心波长
最小接收光功率
为适应技术发展趋势,在原来1000M、10G、40G、100G、400G等物理接口的基础上,
增加支持25G物理接口的测试。
依据的标准:
YDT3125.2-2019《通信用增强型SFP光收发合一模块(SFP+)第2部分:25Gbit/s》
核心路由器-进网要求
1、接口必须至少支持1000M、10G、25G、40G、100G、400G接口中的一种。
2、必须至少支持两种动态路由协议(路由协议须同时支持PV4和PV6版本),
其中BGP4和BGP4+协议必须支持。
3、必须支持GMPV2和MLD组播协议
4、如果测试某动态路由协议,那么相关路由协议安全测试必须与所测动态路由协议对应
边缘路由器-进网要求
1、接口必须至少支持10/100M、1000M、10G、25G、40G、100G、400G接口中的一种.
2、必须支持一种动态路由协议(路由协议须同时支持Pv4和Pv6版本)
3、如果测试某路由协议,那么相关路由协议安全测试必须与所测路由协议对应
三层交换机-进网要求
1、接口必须至少支持10/100M、1000M、10G、25G、40G、100G、400G接口中的一种。
2、必须至少支持一种动态路由协议(路由协议须同时支持PV4和IPV6版本),
3、如果测试某动态路由协议,那么相关路由协议安全测试必须与所测动态路由协议对应
以太网交换机-进网要求
1、增加25G、400G接口
2、增加网络关键设备安全测试项目
3、管理接口必须同时支持PV4/V6管理
![[网络安全]XSS之Cookie外带攻击姿势详析](https://img-blog.csdnimg.cn/46038515b9fd4f98ab9ef71cb1852e37.png#pic_center)
