標準編號:	GB 40050-2021
中文名稱:	網絡關鍵設備安全通用要求
英文名稱:	Critical network devices security common requirements
中標分類:	L80    數據加密
行業分類:	GB    國家標準
ICS分類:	35.040 35.040    字符集和信息編碼 35.040
發布機構:	國家市場監督管理總局 國家標準化管理委員會
發布日期:	2021-02-20
實施日期:	2021-8-1
標準狀態:	valid
翻譯語言:	英文
文件格式:	PDF
中文字符數:	12000 字
翻譯價格(元):	1040.0
交付時間:	付款后 1 個工作日

Codeofchina.com is in charge of this English translation. In case of any doubt about the English translation, the Chinese original shall be considered authoritative. This document is developed in accordance with the rules given in GB/T 1.1-2020 Directives for standardization - Part 1: Rules for the structure and drafting of standardizing documents. Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. The issuing body of this document shall not be held responsible for identifying any or all such patent rights. This standard was proposed by and is under the jurisdiction of the Ministry of Industry and Information Technology of the People's Republic of China. Critical network devices security common requirements 1 Scope This document specifies the common security function requirements and security assurance requirements of the critical network devices. This document is applicable to the critical network devices, which can provide a basis for network operators to purchase the critical network devices, and is also applicable to guide the research and development and testing of the critical network devices. 2 Normative references The following documents contain provisions which, through reference in this text, constitute provisions of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies. GB/T 25069 Information security technology - Glossary 3 Terms and definitions For the purposes of this document, the terms and definitions given in GB/T 25069 and the following apply. 3.1 component module or assembly consisting of several parts and capable of realizing specific functions 3.2 malicious program program specially designed to attack a system, damage or destroy the system’s confidentiality, integrity or availability Note: Common malicious programs include viruses, worms, Trojans, spyware, etc. 3.3 vulnerability weaknesses in assets or controls that may be used by a threat [Source: GB/T 29246-2017, 2.89, modified] 3.4 sensitive data data that may endanger network security once leaked, illegally provided or abused Note: Common sensitive data of critical network device includes passwords, keys, critical configuration information, etc. 3.5 robustness the degree to which the functions of critical network device or component can keep operating correctly under invalid data input or high-intensity input environment [Source: GB/T 28457-2012, 3.8, modified] 3.6 private protocol protocol which is dedicated and uncommon 3.7 critical network device device that supports networking function and has high performance among similar network devices, which is usually used in important network nodes, important parts or important systems, and may cause major network security risks once damaged Note: High performance means that the performance index or specification of the device meets the range specified in the Catalogue of critical network devices and special network security products. 3.8 abnormal packet various packets that fail to meet the standard requirements 3.9 user user who configures, monitors and maintains the critical network device 3.10 pre-installed software software installed or provided before device delivery and necessary to ensure the normal use of the device Note: There are differences in pre-installed software for different types of devices. Pre-installed software for routers and switches usually includes boot firmware and system software, etc., that for servers usually includes out-of-band management software, etc. 4 Abbreviation For the purposes of this document, the following abbreviations apply. HTTP Hypertext Transfer Protocol IP Internet Protocol MAC Media Access Control SNMP Simple Network Management Protocol SSH Secure Shell TCP Transmission Control Protocol UDP User Datagram Protocol 5 Security functional requirements 5.1 Device identification security The identification of critical network device shall meet the following requirements. a) The complete hardware and main components shall have unique identification. Note 1: The main components of routers and switches: main control panel card, service board card, switching network board, fan module, power supply, board card of storage system software, hard disk or flash memory card, etc. The main components of servers are: CPU, hard disk, memory, fan module, power supply, etc. Note 2: Common unique identification method: serial number, etc. b) Unique identification shall be made for different versions of pre-installed software, service pack/upgrade patch. Note 3: Common unique identification methods for version: version number, etc. 5.2 Redundancy, backup recovery and anomaly detection The redundancy, backup recovery and anomaly detection functions of critical network device shall meet the following safety requirements. a) The complete machine shall support the main/standby switching function, or its critical components shall support the redundancy function. It shall be provided with automatic switching function. If the device or critical components are in abnormal operating state, it shall be switched to redundant device or redundant components to reduce security risks. Note: The critical components of routers and switches supporting redundancy function: main control panel card, switching network board, power supply module, fan module, etc. The common critical components of servers supporting redundant function: hard disk, power supply module, fan module, etc. b) It shall support backup and recovery functions for pre-installed software and configuration files, and support the integrity check of pre-installed software and configuration files when using recovery function. c) It shall support the identification of abnormal state and generate prompt information for relevant errors. 5.3 Prevention of vulnerabilities and malicious programs Critical network device shall meet the following requirements for preventing vulnerabilities and malicious programs. a) It shall have no published vulnerabilities, or shall have remedial measures to prevent vulnerability security risks. b) The pre-installed software, service pack/upgrade patch shall have no malicious programs. c) It shall have no undeclared functions and access interfaces (including remote commissioning interfaces). 5.4 Startup and update security of pre-installed software The pre-installed software startup and update function of critical network device shall meet the following security requirements. a) It shall support the integrity check function at startup to ensure that the system software is not tampered with. b) It shall support the update function of pre-installed software for device. c) It shall have the function to ensure the security of software update operation.

Foreword i 1 Scope 2 Normative references 3 Terms and definitions 4 Abbreviation 5 Security functional requirements 5.1 Device identification security 5.2 Redundancy, backup recovery and anomaly detection 5.3 Prevention of vulnerabilities and malicious programs 5.4 Startup and update security of pre-installed software 5.5 User identification and authentication 5.6 Access control security 5.7 Log audit security 5.8 Communication security 5.9 Data security 5.10 Cryptographic requirements 6 Security assurance requirements 6.1 Design and development 6.2 Production and delivery 6.3 Operation and maintenance Bibliography

ICS 35.040 CCS L 80 GB 中華人民共和國國家標準 GB 40050—2021 網絡關鍵設備安全通用要求 Critical network devices security common requirements 2021-02-20發布 2021-08-01實施 國家市場監督管理總局 國家標準化管理委員會 發布 前 言 本文件按照GB/T1.1—2020《標準化工作導則 第1部分：標準化文件的結構和起草規則》的規定起草。 請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別這些專利的責任。 本文件由中華人民共和國工業和信息化部提出并歸口。 網絡關鍵設備安全通用要求 1 范圍 本文件規定了網絡關鍵設備的通用安全功能要求和安全保障要求。 本文件適用于網絡關鍵設備，為網絡運營者采購網絡關鍵設備時提供依據，還適用于指導網絡關鍵設備的研發、測試、服務等工作。 2 規范性引用文件 下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注8日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。 GB/T 25069信息安全技術 術語 3 術語和定義 GB/T 25069 界定的以及下列術語和定義適用于本文件。 3.1 部件 component 由若干裝配在一起的零件組成，能夠實現特定功能的模塊或組件。 3.2 惡意程序 malicious program 被專門設計用來攻擊系統，損害或破壞系統的保密性、完整性或可用性的程序。 注：常見的惡意程序包括病毒、蠕蟲、木馬、間諜軟件等。 3.3 漏洞 vulnerability 可能被威脅利用的資產或控制的弱點。 [來源：GB/T 29246—2017，2.89，有修改] 3.4 敏感數據 sensitive data 一旦泄露、非法提供或濫用可能危害網絡安全的數據。 注：網絡關鍵設備常見的敏感數據包括口令、密鑰、關鍵配置信息等。 3.5 健壯性 robustness 描述網絡關鍵設備或部件在無效數據輸入或者在高強度輸入等環境下，其各項功能可保持正確運行的程度。 [來源：GB/T 28457—2012，3.8，有修改] 3.6 私有協議 private protocol 專用的、非通用的協議。 3.7 網絡關鍵設備 critical network device 支持聯網功能，在同類網絡設備中具有較高性能的設備，通常應用于重要網絡節點、重要部位或重要系統中，一旦遭到破壞，可能引發重大網絡安全風險。 注：具有較高性能是指設備的性能指標或規格符合《網絡關鍵設備和網絡安全專用產品目錄》中規定的范圍。 3.8 異常報文 abnormal packet 各種不符合標準要求的報文。 3.9 用戶 user 對網絡關鍵設備進行配置、監控、維護等操作的使用者。 3.10 預裝軟件 pre-installed software 設備出廠時安裝或提供的、保障設備正常使用必需的軟件。 注：不同類型設備的預裝軟件存在差異。路由器.交換機的預裝軟件通常包括引導固件、系統軟件等，服務器的預裝軟件通常包括帶外管理軟件等。 4 縮略語 下列縮略語適用于本文件。 HTTP 超文本傳輸協議(Hypertext Transfer Protocol) IP 網間互聯協議(Internet Protocol) MAC 媒體訪問控制(Media Access Control) SNMP 簡單網絡管理協議(Simple Network Management Protocol) SSH 安全外殼協議(Secure Shell) TCP 傳輸控制協議(Transmission Control Protocol) UDP 用戶數據報協議(User Datagram Protocol) 5 安全功能要求 5.1 設備標識安全 網絡關鍵設備的標識應滿足以下安全要求。 a) 硬件整機和主要部件應具備唯一性標識。 注1：路由器、交換機常見的主要部件：主控板卡、業務板卡、交換網板、風扇模塊、電源、存儲系統軟件的板卡、硬盤或閃存卡等。服務器常見的主要部件：中央處理器、硬盤、內存、風扇模塊、電源等。 注2：常見的唯一性標識方式：序列號等。 b) 應對預裝軟件、補丁包/升級包的不同版本進行唯一性標識。 注3：常見的版本唯一性標識方式：版本號等。 5.2 冗余、備份恢復與異常檢測 網絡關鍵設備的冗余、備份恢復與異常檢測功能應滿足以下安全要求。 a) 設備整機應支持主備切換功能或關鍵部件應支持冗余功能，應提供自動切換功能，在設備或關鍵部件運行狀態異常時，切換到冗余設備或冗余部件以降低安全風險。 注：路由器、交換機常見的支持冗余功能的關鍵部件：主控板卡、交換網板、電源模塊、風扇模塊等。服務器常見的支持冗余功能的關鍵部件：硬盤、電源模塊、風扇模塊等。 b) 應支持對預裝軟件、配置文件的備份與恢復功能，使用恢復功能時支持對預裝軟件、配置文件的完整性檢查。 c) 應支持異常狀態檢測，產生相關錯誤提示信息。 5.3 漏洞和惡意程序防范 網絡關鍵設備應滿足以下漏洞和惡意程序防范要求。 a) 不應存在已公布的漏洞，或具備補救措施防范漏洞安全風險。 b) 預裝軟件、補丁包/升級包不應存在惡意程序。 c) 不應存在未聲明的功能和訪問接口(含遠程調試接口)。 5.4 預裝軟件啟動及更新安全 網絡關鍵設備的預裝軟件啟動及更新功能應滿足以下安全要求。 a) 應支持啟動時完整性校驗功能，確保系統軟件不被篡改。 b) 應支持設備預裝軟件更新功能。 c) 應具備保障軟件更新操作安全的功能。 注1：保障軟件更新操作安全的功能包括用戶授權、更新操作確認、更新過程控制等。例如，僅指定授權用戶可實施更新操作，實施更新操作的用戶需經過二次鑒別，支持用戶選擇是否進行更新，對更新操作進行二次確認或延時生效等。 d) 應具備防范軟件在更新過程中被篡改的安全功能。 注2：防范軟件在更新過程中被篡改安全功能包括采用非明文的信道傳輸更新數據、支持軟件包完整性校驗等。 e) 應有明確的信息告知用戶軟件更新過程的開始、結束以及更新的內容。 5.5 用戶身份標識與鑒別 網絡關鍵設備的用戶身份標識與鑒別功能應滿足以下安全要求。 a) 應對用戶進行身份標識和鑒別，身份標識應具有唯一性。 注1：常見的身份鑒別方式：口令、共享密鑰、數字證書或生物特征等。 b) 使用口令鑒別方式時，應支持首次管理設備時強制修改默認口令或設置口令，或支持隨機的初始口令，支持設置口令生存周期，支持口令復雜度檢查功能，用戶輸入口令時，不應明文回顯口令。 c) 支持口令復雜度檢查功能，口令復雜度檢查包括口令長度檢查、口令字符類型檢查、口令與賬號無關性檢查中的至少一項。 注2：不同類型的網絡關鍵設備口令復雜度要求和實現方式不同。常見的口令長度要求示例：口令長度不小于8位；常見的口令字符類型示例：包含數字、小寫字母、大寫字母、標點符號、特殊符號中的至少兩類；常見的口令與賬號無關性要求示例：口令不包含賬號等。 d) 應支持啟用安全策略或具備安全功能，以防范用戶鑒別信息猜解攻擊。 注3：常見的防范用戶鑒別信息猜解攻擊的安全策略或安全功能包括默認開啟口令復雜度檢查功能、限制連續的非法登錄嘗試次數或支持限制管理訪問連接的數量、雙因素鑒別(例如口令＋證書、口令＋生物鑒別等)等措施，當出現鑒別失敗時，設備提供無差別反饋，避免提示“用戶名錯誤”“口令錯誤”等類型的具體信息。 e) 應支持啟用安全策略或具備安全功能，以防止用戶登錄后會話空閑時間過長。 注4：常見的防止用戶登錄后會話空閑時間過長的安全策略或安全功能包括登錄用戶空閑超時后自動退出等。 f) 應對用戶身份鑒別信息進行安全保護，保障用戶鑒別信息存儲的保密性，以及傳輸過程中的保密性和完整性。 5.6 訪問控制安全 網絡關鍵設備的訪問控制功能應滿足以下安全要求。 a) 默認狀態下應僅開啟必要的服務和對應的端口，應明示所有默認開啟的服務、對應的端口及用途，應支持用戶關閉默認開啟的服務和對應的端口。 b) 非默認開放的端口和服務，應在用戶知曉且同意后才可啟用。 c) 在用戶訪問受控資源時，支持設置訪問控制策略并依據設置的控制策略進行授權和訪問控制，確保訪問和操作安全。 注1：受控資源指需要授予相應權限才可訪問的資源。 注2：常見的訪問控制策略包括通過IP地址綁定、MAC地址綁定等安全策略限制可訪問的用戶等。 d) 提供用戶分級分權控制機制。對涉及設備安全的重要功能，僅授權的高權限等級用戶使用。 注3：常見的涉及設備安全的重要功能包括補丁管理、固件管理、日志審計、時間同步等。 5.7 日志審計安全 網絡關鍵設備的日志審計功能應滿足以下安全要求。 a) 應提供日志審計功能，對用戶關鍵操作行為和重要安全事件進行記錄，應支持對影響設備運行安全的事件進行告警提示。 注1：常見的用戶關鍵操作包括增/刪賬戶、修改鑒別信息、修改關鍵配置、文件上傳/下載、用戶登錄/注銷、用戶權限修改、重啟/關閉設備、編程邏輯下載、運行參數修改等。 b) 應提供日志信息本地存儲功能，支持日志信息輸出。 c) 日志審計功能應記錄必要的日志要素，為查閱和分析提供足夠的信息。 注2：常見的日志要素包括事件發生的日期和時間、主體、類型、結果、源IP地址等。 d) 應具備對日志在本地存儲和輸出過程進行保護的安全功能，防止日志內容被未經授權的查看、輸出或刪除。 注3：常見的日志保護安全功能包括用戶授權訪問控制等。 e) 應提供本地日志存儲空間耗盡處理功能。 注4：本地日志存儲空間耗盡時常見的處理功能包括剩余存儲空間低于閾值時進行告警、循環覆蓋等。 f) 不應在日志中明文或者弱加密記錄敏感數據。 注5：常見的弱加密方式包括信息摘要算法(MD5)、Base64等。 5.8 通信安全 網絡關鍵設備應滿足以下通信安全要求。 a) 應支持與管理系統(管理用戶)建立安全的通信信道/路徑，保障通信數據的保密性、完整性。 b) 應滿足通信協議健壯性要求，防范異常報文攻擊。 注1：網絡關鍵設備使用的常見的通信協議包括IPv4/IPv6、TCP、UDP等基礎通信協議，SNMP、SSH、HTTP等網絡管理協議，路由協議、工業控制協議等專用通信協議，以及其他網絡應用場景中的專用通信協議。 c) 應支持時間同步功能。 d) 不應存在未聲明的私有協議。 e) 應具備抵御常見重放類攻擊的能力。 注2：常見的重放類攻擊包括各類網絡管理協議的身份鑒別信息重放攻擊、設備控制數據重放攻擊等。 5.9 數據安全 網絡關鍵設備應滿足以下數據安全要求。 a) 應具備防止數據泄露、數據非授權讀取和修改的安全功能，對存儲在設備中的敏感數據進行保護。 b) 應具備對用戶產生且存儲在設備中的數據進行授權刪除的功能，支持在刪除前對該操作進行確認。 注：用戶產生且存儲在設備中的數據通常包括日志、配置文件等。 5.10 密碼要求 本文件凡涉及密碼算法的相關內容，按國家有關規定實施。 6 安全保障要求 6.1 設計和開發 網絡關鍵設備提供者應在網絡關鍵設備的設計和開發環節滿足以下要求。 a) 應在設備設計和開發環節識別安全風險，制定安全策略。 注：設備設計和開發環節的常見安全風險包括開發環境的安全風險、第三方組件引入的安全風險、開發人員導致的安全風險等。 b) 應建立設備安全設計和開發操作規程，保障安全策略落實到設計和開發的整個過程。 c) 應建立配置管理程序及相應配置項清單，配置管理系統應能跟蹤內容變更，并對變更進行授權和控制。 d) 應采取措施防范設備被植入惡意程序。 e) 應采取措施防范設備被設置隱蔽的接口或功能模塊。 f) 應采取措施防范第三方關鍵部件、固件或軟件可能引入的安全風險。 g) 應采用漏洞掃描、病毒掃描、代碼審計、健壯性測試、滲透測試和安全功能驗證的方式對設備進行安全性測試。 h) 應對已發現的安全缺陷、漏洞等安全問題進行修復，或提供補救措施。 6.2 生產和交付 網絡關鍵設備提供者應在網絡關鍵設備的生產和交付環節滿足以下要求。 a) 應在設備生產和交付環節識別安全風險，制定安全策略。 注1：生產和交付環節的常見安全風險包括自制或采購的組件被篡改、偽造等風險，生產環境存在的安全風險、設備被植入的安全風險、設備存在漏洞的安全風險、物流運輸的風險等。 b) 應建立并實施規范的設備生產流程，在關鍵環節實施安全檢查和完整性驗證。 c) 應建立和執行規范的設備完整性檢測流程，采取措施防范自制或采購的組件被篡改、偽造等風險。 d) 應對預裝軟件在安裝前進行完整性校驗。 e) 應為用戶提供驗證所交付設備完整性的工具或方法，防范設備交付過程中完整性被破壞的風險。 注2：驗證所交付設備完整性的常見工具或方法包括防拆標簽、數字簽名/證書等。 f) 應為用戶提供操作指南和安全配置指南等指導性文檔，以說明設備的安裝、生成和啟動的過程，并對設備功能的現場調試運行提供詳細的描述。 g) 應提供設備服務與默認端口的映射關系說明。 h) 應聲明設備中存在的通過設備外部接口進行通信的私有協議并說明其用途，私有協議不應存在所聲明范圍之外的用途。 i) 交付設備前，發現設備存在已知漏洞應當立即采取補救措施。 6.3 運行和維護 網絡關鍵設備提供者應在網絡關鍵設備的運行和維護環節滿足以下要求。 a) 應識別在運行環節存在的設備自身安全風險(不包括網絡環境安全風險)，以及對設備進行維護時引入的安全風險，制定安全策略。 b) 應建立并執行針對設備安全事件的應急響應機制和流程，并為應急處置配備相應的資源。 c) 在發現設備存在安全缺陷、漏洞等安全風險時，應采取修復或替代方案等補救措施，按照有關規定及時告知用戶并向有關主管部門報告。 d) 在對設備進行遠程維護時，應明示維護內容、風險以及應對措施，應留存不可更改的遠程維護日志記錄，記錄內容應至少包括維護時間、維護內容、維護人員、遠程維護方式及工具。 注1：常見的遠程維護包括對設備的遠程升級、配置修改、數據讀取、遠程診斷等操作。 e) 在對設備進行遠程維護時，應獲得用戶授權，并支持用戶中止遠程維護，應留存授權記錄。 注2：常見的獲得用戶授權的方式包括鑒別信息授權、書面授權等。 f) 應為用戶提供對補丁包/升級包的完整性、來源真實性進行驗證的方法。 g) 應為用戶提供對廢棄(或退役)設備中關鍵部件或數據進行不可逆銷毀處理的方法。 h) 應為用戶提供廢棄(或退役)設備回收或再利用前的關于數據泄漏等安全風險控制方面的注意事項。 i) 對于維修后再銷售或提供的設備或部件，應對設備或部件中的用戶數據進行不可逆銷毀。 應在約定的期限內，為設備提供持續的安全維護，不應以業務變更、產權變更等原因單方面中斷或終止安全維護。 k) 應向用戶告知設備生命周期終止時間。 參考文獻 [1] GB/T 18018—2019 信息安全技術 路由器安全技術要求 [2] GB/T 18336—2015(所有部分) 信息技術 安全技術 信息技術安全評估準則 [3] GB/T 20011—2005 信息安全技術 路由器安全評估準則 [4] GB/T 21028—2007 信息安全技術 服務器安全技術要求 [5] GB/T 21050—2019 信息安全技術 網絡交換機安全技術要求 [6] GB/T 25063—2010 信息技術安全 服務器安全測評要求 [7] GB/T 28457—2012 SSL協議應用測試規范 [8] GB/T 29246—2017 信息技術 安全技術 信息安全管理體系 概述和詞匯 [9] GB/T 33008.1—2016 工業自動化和控制系統網絡安全 可編程序控制器(PLC) 第1部分：系統要求 [10] GB/T 36470—2018 信息安全技術 工業控制系統現場測控設備通用安全功能要求 [11] YD/T 1359—2005 路由器設備安全技術要求——高端路由器(基于IPv4) [12] YD/T 1439—2006 路由器設備安全測試方法——高端路由器(基于IPv4) [13] YD/T 1629—2007 具有路由功能的以太網交換機設備安全技術要求 [14] YD/T 1630—2007 具有路由功能的以太網交換機設備安全測試方法 [15] YD/T 1906—2009 IPv6網絡設備安全技術要求——核心路由器 [16] YD/T 2042—2009 IPv6網絡設備安全技術要求——具有路由功能的以太網交換機 [17] YD/T 2043—2009 IPv6網絡設備安全測試方法——具有路由功能的以太網交換機 [18] YD/T 2045—2009 IPv6網絡設備安全測試方法——核心路由器 [19] 3GPP TS 33.117 Catalogue of general security assurance requirements [20] ITU-T X.805 Security architecture for systems providing end-to-end communications [21] 國家互聯網信息辦公室等.網絡關鍵設備和網絡安全專用產品目錄[Z].2017-06-01