实施时间

2025年1月1日起实施

涉及设备范围

核心路由器、边缘路由器、以太网交换机、三层交换机、宽带网络接入服务器(BNAS)

打开网易新闻 查看更多图片

新增检测依据

GBT41266-2022网络关键设备安全检测方法交换机设备

GBT41267-2022网络关键设备安全技术要求交换机设备

GB/T41268-2022网络关键设备安全检测方法路由器设备

GB/T41269-2022网络关键设备安全技术要求路由器设备

YD/T3125.2-2019通信用增强型SFP光收发合一模块(SFP+)第2部分:25Gbit/s

标准换版

标准号

原版本

新版本

标准名称

YD/T1097

2009

2023

路由器设备技术要求核心路由器

YD/T1098

2009

2023

路由器设备测试方法边缘路由器

YD/T 1141

2007

2022

以太网交换机测试方法

YD/T1156

2009

2023

路由器设备测试方法核心路由器

YD/T1439

2006

2023

路由器设备安全测试方法核心路由器(基于IPv4)

打开网易新闻 查看更多图片

主要修订内容

扩容换证时补充安全测试

针对在进网时为非网络关键设备,后续又升级为网络关键设备的,企业在申请扩容换证时,除提交网安局认可的网络关键设备安全检测报告外,还应按照《路由器国标》《交换机国标》补充安全检测

增加25G接口测试

增加了安全相关检测项目。检测项目依据新路由器和交换机国标(可以覆盖通用国标40050)进行了增加和细化

缩减部分功能和协议一致性测试项目

所有协议、功能、安全测试项目梳理后与检验依据标准的写法一一对应

安全功能测试内容-主要更新内容

1设备标识安全

鉴别提示信息安全:用户登录通过鉴别前的提示信息应避免包含设备软件版本、型号等敏感信息

2冗余、备份恢复与异常检测

热插拔功能:部分关键部件应支持热插拔

独立管理接口功能:应提供独立的管理接口

3漏洞和恶意程序防范

-无

4预装软件启动及更新安全

软件更新包完整性校验功能:应支持软件更新包完整性校验

更新失败恢复功能:更新失败时设备应能够恢复到更新前的正常工作状态

网络更新安全通道功能:对于采用网络更新方式的,应支持非明文通道传输更新数据

更新源可用性:应具备稳定可用的渠道提供软件更新源

5访问控制安全(默认状态安全)

会话过滤功能:原为受控资源访问控制功能

访问控制列表功能

6用户身份标识与鉴别

身份鉴别信息声明:应不存在未向用户公开的身份鉴别信息

鉴别失败处理功能:鉴别失败时,应返回最少且无差别信息

7日志审计安全

日志信息断电保护功能:保证设备异常断电恢复后,已记录的日志不丢失

8通信安全

路由通信协议认证功能:路由通信协议应支持非明文路由认证功能。

TRLL协议认证(交换机适用):如果支持TRLL协议,应支持协议认证功能,如基于HMAC-SHA256等认证

9抵御常见攻击能力

大流量攻击防范能力

地址解析欺骗攻击防范能力:支持防范ARP/ND欺骗攻击功能

广播风暴攻击防范能力(交换机适用)

用户凭证猜解攻击防范能力:支持连续的非法登录尝试次数限制或其他安全策略

用户会话连接限制功能:防范资源消耗类拒绝服务攻击

WEB管理功能安全:例如注入攻击、重放攻击、权限绕过攻击、非法文件上传等

SNMP管理功能安全:例如权限绕过、信息泄露等

SSH管理功能安全:例如权限绕过、拒绝服务攻击等

Telnet管理功能安全:例如权限绕过、拒绝服务攻击等

RestAP!管理功能安全(交换机适用):例如API身份验证绕过攻击、HTTP身份绕过攻击、Oauth绕过攻击、拒绝服务攻击等

NETCONF管理功能安全:例如权限绕过、拒绝服务攻击等

FTP管理功能安全:例如目录遍历、权限绕过等

SFTP管理功能安全:例如目录遍历、权限绕过等

DHCP管理功能安全(路由器适用)防范DHCP拒绝服务攻击的能力

10数据安全

11安全保障要求

打开网易新闻 查看更多图片

新增25G接口测试

平均发送光功率

中心波长

最小接收光功率

为适应技术发展趋势,在原来1000M、10G、40G、100G、400G等物理接口的基础上,

增加支持25G物理接口的测试。

依据的标准:

YDT3125.2-2019《通信用增强型SFP光收发合一模块(SFP+)第2部分:25Gbit/s》

核心路由器-进网要求

1、接口必须至少支持1000M、10G、25G、40G、100G、400G接口中的一种。

2、必须至少支持两种动态路由协议(路由协议须同时支持PV4和PV6版本),

其中BGP4和BGP4+协议必须支持。

3、必须支持GMPV2和MLD组播协议

4、如果测试某动态路由协议,那么相关路由协议安全测试必须与所测动态路由协议对应

边缘路由器-进网要求

1、接口必须至少支持10/100M、1000M、10G、25G、40G、100G、400G接口中的一种.

2、必须支持一种动态路由协议(路由协议须同时支持Pv4和Pv6版本)

3、如果测试某路由协议,那么相关路由协议安全测试必须与所测路由协议对应

三层交换机-进网要求

1、接口必须至少支持10/100M、1000M、10G、25G、40G、100G、400G接口中的一种。

2、必须至少支持一种动态路由协议(路由协议须同时支持PV4和IPV6版本),

3、如果测试某动态路由协议,那么相关路由协议安全测试必须与所测动态路由协议对应

以太网交换机-进网要求

1、增加25G、400G接口

2、增加网络关键设备安全测试项目

3、管理接口必须同时支持PV4/V6管理