GB T 18018-2007 信息安全技术.路由器安全技术要求.pdf

《GB T 18018-2007 信息安全技术.路由器安全技术要求.pdf》由会员分享，可在线阅读，更多相关《GB T 18018-2007 信息安全技术.路由器安全技术要求.pdf（16页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 35040L 80 a雪中华人民共和国国家标准GBT 180182007代替GBT 18018-1999信息安全技术 路由器安全技术要求2007-06-13发布Information security technology-Technical requirements for router security2007-12-0 1实施宰瞀髋紫瓣警糌瞥星发布中国国家标准化管理委员会及仲前言引言1范围2规范性引用文件3术语和定义、缩略语31术语和定义32缩略语4第一级安全要求41安全功能要求目 次GBT 180182007411 自主访问控制一412身份鉴另0413安全管理42安全保证要求4

2、2i配置管理”422交付和运行+423开发。424指导性文档425生命周期支持426测试”5第二级安全要求”51安全功能要求511自主访问控制一512身份鉴别513安全管理514审计-”51。5简单网络管理协议的保护516单播逆向路径转发功能一517可靠性518路由认证”52安全保证要求”521配置管理”522交付和运行523开发一524指导性文档”525生命周期支持526测试一527脆弱性评定6第三级安全要求“V1111l2222222222333333344444444555556GBT 18018200761安全功能要求6611自主访问控制6612身份鉴别”6613数据保护6614安全管

3、理6615审计-“6616简单网络管理协议的保护7617单播逆向路径转发功能7618远程管理安全7619可靠性76110路由认证762安全保证要求7621配置管理7622交付和运行8623开发8624指导性文档8625生命周期支持8626测式-9627脆弱性评定97附加安全功能971附加安全功能9711 网络访问控制功能9712虚拟专网功能9713防火墙防护功能9714入侵检测(IDs)功能9附录A(资料性附录)安全要求对照表10参考文献11前 言本标准代替GBT 18018-1999路由器安全技术要求。本标准的附录A是资料性附录。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位

4、：信息安全国家重点实验室、中国电子技术标准化研究所。本标准主要起草人：戴英侠，左晓栋，何申，罗锋盈。GBT 180182007GBT 180182007引 言路由器是重要的网络互连设备，制定路由器安全技术要求对于指导路由器产品安全性的设计和实现，保障网络安全具有重要的意义。本标准分三个等级规定了路由器的安全技术要求。安全等级由低到高，安全要求逐级增强。本标准与GB 17859-1999计算机信息系统安全保护等级划分准则的对应关系是，第一级对应用户自主保护级，第二级对应系统审计保护级，第三级对应安全标记保护级。本标准与GBT 200112005信息安全技术路由器安全评估准则均为与路由器有关的信息

5、安全标准，两者的基本区别是，前者主要适用于指导路由器产品安全性的设计和实现，后者主要适用于路由器安全等级的评估。本标准适用于一般的路由器。本标准文本中，加粗字体表示较低等级中没有出现或增强的技术要求。1范围信息安全技术路由器安全技术要求GBT 180182007本标准分等级规定了路由器的安全功能要求和安全保证要求。本标准适用于指导路由器产品安全性的设计和实现，对路由器产品进行的测试、评估和管理也可参照使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研

6、究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB 17859-1999计算机信息系统安全保护等级划分准则GBT 18336 信息技术 安全技术 信息技术安全性评估准则(GBT 18336-2001，idt IsOIEc15408：1999)3术语和定义、缩略语31术语和定义GB 17859-1999和GBT 18336确立的术语和定义适用于本标准。311路由器router路由器是主要的网络节点设备，工作在网络层，通过路由选择算法决定流经数据的存储转发，并具备访问控制和安全扩展功能。312简单网络管理协议simple network management pr

7、otocol简单网络管理协议(SNMP)是一系列协议组和规范，提供了一种从网络上的设备中收集网络管理信息的方法，也为设备向网络管理工作站报告问题和错误提供了一种方法。313单播逆向路径转发unicast reverse path forwarding单播逆向路径转发通过获取包的源地址和人接口，以源地址为目的地址，在转发表中查找源地址对应的接口是否与人接口匹配，如果不匹配，则认为源地址是伪装的，丢弃该包。其功能是防止基于源地址欺骗的网络攻击行为。32缩略语ACL Access Control List访问控制列表ALG Application Layer Gateway应用网关IDS Instr

8、usion Detection System入侵检测系统IPSec Internet Protocol Security Internet协议安全MPLS MultiProtocol Label Switching多协议标记交换NATPAT Network Address TranslationPort Address Translation 网络地址转换端口地址转换SNMP Simple Network Management Protocol简单网络管理协议】GBT 18 0182007URPFVRRPVPNUnicast Reverse Path Forwarding单播逆向路径转发Vir

9、tual Router Redundancy Protocol虚拟路由冗余协议Virtual Private Network虚拟专用网4第一级安全要求41安全功能要求411自主访问控制路由器应执行自主访问控制策略，通过管理员属性表，控制不同管理员对路由器的配置数据和其他数据脖查看、修改以及对路由器上程序的执行，阻止非授权人员进行上述活动。412身份鉴别4121管理员鉴别在管理员进入系统会话之前，路由器应鉴别管理员身份。鉴别时采用口令机制，并在每次登录系统时进行。口令应是不可见的，并在存储和传输时加密保护。当进行鉴别时，路由器应仅将最少的反馈(如：打人的字符数，鉴别的成功或失败)提供给被鉴别人员

10、。4122鉴别失败处理在经过一定次数的鉴别失败以后，路由器应镁定该帐号。最多失败次数仅由授权管理员设定。413安全管理4131权限管理路由器应能够设置多个角色，具备划分管理员级别和规定相关权限(如监视、维护配置等)的能力，能够限定每个管理员的管理范围和权限，防止非授权登录和非授权操作。4132安全属性管理路由器应为管理员提供对安全功能进行控制管理的功能，这些管理包括：a)与对应的路由器自主访问控制、鉴别和安全保证技术相关的功能的管理；b) 与一般的安装和配置有关的功能的管理Ic)路由器的安全配置参数要有初始值路由器安装后，安全功能应能及时提醒管理员修改配置，并能周期性地提醒管理员维护配置。42

11、安全保证要求421配置管理开发者应设计和实现路由器配置管理，为产品的不同版本提供唯一的标识，且产品的每个版本应当使用其唯一标识作为标签。422交付和运行开发者应以文档形式对路由器安全交付以及安装和启动过程进行说明。文档中应包括；a)对安全地将路由器交付给用户的说明b)对安全地安装和启动路由器的说明。423开发开发者应提供路由器功能设计，要求按非形式化功能设计的要求进行功能设计，以非形式方法描述安全功能及其外部接I=1，并描述使用外部安全功能接口的目的与方法。424指导性文档开发者应编制路由器的指导性文档，要求如下：a)文档中应该提供关于路由器的安全功能与接I=I、路由器的管理和配置、路由器的启

12、动和操作、安全属性、警告信息的描述Ib)文档中不应包含任何一旦泄漏将会危及系统安全的信息，文档可以为硬拷贝、电子文档或联2GBT 180182007机文档。如果是联机文档，应控制对文档的访问。425生命周期支持开发者应建立开发和维护路由器的生命周期模型，包括用于开发和维护路由器的程序、工具和技术。开发者应按其定义的生命周期模型进行开发和维护，并提供生命周期定义文档，在文档中描述用于开发和维护路由器安全功能的生命周期模型。426测试开发者应对路由器进行测试，要求如下一a)应进行一般功能测试，保证路由器能够满足所有安全功能的要求b)保留并提供测试文档，详细描述澍试计划、测试过程以及预测结果和实际测

13、试结果。5第二级安全要求51安全功能要求511自主访问控制路由器应执行自主访问控制策略，通过管理员属性表，控制不同管理员对路由器的配置数据和其他数据的查看、修改，以及对路由器上程序的执行，阻止非授权人员进行上述活动。512身份鉴别5121管理员鉴别在管理员进入系统会话之前，路由器应鉴别管理员身份。鉴别时采用口令机制。并在每次登录系统时进行。口令应是不可见的，并在存储和传输时加密保护。当进行鉴别时，路由器应仅将最少的反馈(如：打入的字符数，鉴别的成功或失败)提供给被鉴别人员。5122鉴别失败处理在经过一定次数的鉴别失败以后，路由器应锁定该帐号。最多失败次数仅由授权管理员设定。5123超时锁定路由

14、器应具有登录超时锁定功能。在设定的时间段内没有任何操作的情况下终止会话，需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。5124会话锁定路由器应为管理员提供锁定自己的交互会话的功能，饿定后需要再次进行身份鉴别才能够重新管理路由器。5125登录历史路由器应具有登录历史功能。为登录人员提供系统登录活动的有关信息，使登录人员识别人侵的企图。成功通过鉴别并登录系统后，路由器应显示如下数据t日期、时间、来源和上次成功登录系统的情况I上次成功登录系统以来身份鉴别失败的情况I口令距失效日期的天数。513安全管理5131权限管理路由器应能够设置多个角色，具备划分管理员级别和规定相关权限(如

15、监视、维护配置等)的能力，能够限定每个管理员的管理范围和权限，防止非授权登录和非授权操作。5132安全属性管理路由器应为管理员提供对安全功能进行控制管理的功能，这些管理包括：a) 与对应的路由器自主访问控制、鉴别和安全保证技术相关的功能的管理；b) 与一般的安装和配置有关的功能的管理l3GBT 180182007c)路由器的安全配置参数要有初始值。路由器安装后。安全功能应能及时提醒管理员修改配置，并能周期性地提醒管理员维护配置。514审计5141审计数据生成路由器应具有审计功能。至少能够审计以下行为。审计功能的启动和终止l账户管理l登录事件，系统事件I配置文件的修改。路由器应为可审计行为生成审

16、计记录，并在每一个审计记录中至少记录以下信息：事件发生的日期和时间I事件的类型；管理员身份I事件的结果(成功或失败)。5142审计数据查阅路由器应为授权管理员提供从审计记录中读取审计信息的能力，为管理员提供的审计记录具有唯一、明确的定义和方便阅读的格式。5143审计数据保护路由器应能保护已存储的审计记录，避免未经授权的删除，并能监测和防止对审计记录的修改。当审计存储耗尽、失败或受到攻击时。路由器应确保最近的审计记录在一定的时间内不会被破坏。515简单网络管理协议的保护路由器应支持SNMP V3。路由器可通过设置SNMP Community参数，采用访问控制列表(ACL)保护SNMP访问权限。5

17、16单播逆向路径转发功能路由器应具备URPF功能，在网络边界阻断源口地址欺骗攻击。517可靠性路由器应提供可靠性保证t具有部分冗余设计性能。支持插卡、接口、电源等部件的冗余与热插拔能力。518路由认证路由器使用的路由协议应支持路由认证功能，以保证路由是由合法的路由器发出的，并且在发出的过程中没有被改变。52安全保证要求521配置管理开发者应设计和实现路由器配置管理，要求如下：a)开发者应使用配置管理系统，并提供配置管理文档，为产品的不同版本提供唯一的标识，且产品的每个版本应当使用其唯一标识作为标签；b)配置管理范围至少应包括路由器的产品实现表示、设计文档、测试文档、用户文档、配置管理，从而确保

18、它们的惨改是在一个正确授权的可控方式下进行的。配置管理文档至少应能跟踪上述内容，并描述配置管理系统是如何跟踪这些配置项的。522交付和运行开发者应以文档形式对路由器安全交付以及安装和启动过程进行说明。文档中应包括：a)对安全地将路由器交付给用户的说明；GBT 180182007b)对安全地安装和启动路由器的说明。523开发开发者应提供路由器功能规范，要求如下：a)按非形式化功能设计的要求进行功能设计，以非形式方法描述安全功能与其外部接口，并描述使用外部安全功能接口的目的与方法；b)提供路由器安全功能的高层设计。高层设计应按子系统描述安全功能及其结构，并标识安全功能子系统的所有接口。高层设计还应

19、标识实现安全功能所要求的基础性的硬件、固件和软件，c)开发者应提供路由器安全功能的功能设计与高层设计之间的非形式化对应性分析，该分析应证明功能设计表示的所有相关安全功能都在高层设计中得到正确且完备的细化。524指导性文档开发者应编制路由器的指导性文档，要求如下：a)文档中应该提供关于路由器的安全功能与接口、路由器的管理和配置、路由器的启动和操作、安全属性、警告信息、审计工具的描述；b)文档中不应包含任何一旦泄漏将会危及系统安全的信息，文档可以为硬拷贝、电子文档或联机文档。如果是联机文档，应控制对文档的访问。525生命周期支持开发者应建立开发和维护路由器的生命周期模型，即用于开发和维护路由器的程

20、序、工具和技术。要求如下：a)开发者应按其定义的生命周期模型进行开发和维护，并提供生命周期定义文档，在文档中描述用于开发和维护路由器安全功能的生命周期模型；b)该模型对于路由器开发和维护应提供必要的控制，采用物理上、程序上、人员上以及其他方面的安全措施保护路由器开发环境的安全，包括场地的物理安全和对开发人员的选择，并采取适当的防护措施来消除或降低路由器开发所面临的安全威胁。526测试开发者应对路由器进行测试，要求如下：a)应进行一般功能测试，保证路由器能够满足所有安全功能的要求；b)应提供测试深度的分析。在深度分析中，应论证测试文档中所标识的对安全功能的测试足以表明该安全功能的运行与高层设计是

21、一致的，c)应进行相符性独立测试，由专业第三方独立实验室或消费者组织实施测试，确认路由器能够满足所有安全功能的要求，d) 保留并提供测试文档，详细描述测试计划、测试过程以及预测结果和实际测试结果。527脆弱性评定开发者应提供指导性文档和分析文档，在文档中确定对路由器的所有可能的操作方式(包括失败和操作失误后的操作)的后果以及对于保持安全操作的意义，并列出所有目标环境的假设和所有的外部安全措施(包括外部程序的、物理的或人员控制)要求。所述内容应是完备、清晰、一致和合理的。开发者应对具有安全功能强度声明的安全机制(例如口令机制)进行安全功能强度分析。安全功能强度分析应证明安全机制达到了所声明的强度

22、。开发者应实施脆弱性分析。并提供脆弱性分布的文档。对所有已标识的脆弱性，文档应说明它们在所期望的路由器使用环境中不能被利用。文档还应说明如何确保用户能够得到最新的安全补丁。脆弱性分析文档中应包含对所使用协议的脆弱性分析。5GBT 1801820076第三级安全要求61安全功能要求611自主访问控制路由器应执行自主访问控制策略，通过管理员属性表，控制不同管理员对路由器的配置数据和其他数据的查看、修改，以及对路由器上程序的执行，阻止非授权人员进行上述活动。612身份鉴别6121管理员鉴别在管理员进入系统会话之前，路由器应鉴别管理员身份。鉴别时除采用口令机制，还应有更加严格的身份鉴别，如采用智能IC

23、卡、指纹等机制，并在每次登录系统时进行。口令应是不可见的，并在存储和传输时加密保护。当进行鉴别时，路由器应仅将最少的反馈(如：打人的字符数，鉴别的成功或失败)提供给被鉴别人员。6122鉴别失败处理在经过一定次数的鉴别失败以后，路由器应锁定该帐号。最多失败次数仅由授权管理员设定。6123超时锁定路由器应具有登录超时锁定功能。在设定的时间段内没有任何操作的情况下终止会话，需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。6124会话锁定路由器应为管理员提供锁定自己的交互会话的功能，锁定后需要再次进行身份鉴别才能够重新管理路由器。6125登录历史路由器应具有登录历史功能，为登录人员

24、提供系统登录活动的有关信息，使登录人员识别入侵的企图。成功通过鉴别并登录系统后，路由器应显示如下数据：El期、时间、来源和上次成功登录系统的情况I上次成功登录系统以来身份鉴别失败的情况口令距失效日期的天数。613数据保护路由器应具有数据完整性功能，对系统中的信息采取有效措施，防止其遭受非授权人员的修改、破坏和删除。614安全管理6141权限管理路由器应能够设置多个角色，具备划分管理员级别和规定相关权限(如监视、维护配置等)的能力，能够限定每个管理员的管理范围和权限，防止非授权登录和非授权操作。6142安全一性管理路由器应为管理员提供对安全功能进行控制管理的功能，这些管理包括：a)与对应的路由器

25、自主访问控制、鉴别、数据完蕉性和安全保证技术相关的功能的管理；b) 与一般的安装和配置有关的功能的管理；c)路由器的安全配置参数要有初始值。路由器安装后，安全功能应能及时提醒管理员修改配置，并能周期性地提醒管理员维护配置。615审计6151审计数据生成路由器应具有审计功能，至少能够审计以下行为：6CBT 180182007审计功能的启动和终止；账户管理l登录事件；系统事件；配置文件的修改。路由器应为可审计行为生成审计记录。并在每一个审计记录中至少记录以下信息：事件发生的日期和时间；事件的类型；管理员身份I事件的结果(成功或失败)。6152审计数据查阅路由器应为授权管理员提供从审计记录中读取审计

26、信息的能力，为管理员提供的审计记录具有唯一、明确的定义和方便阅读的格式。6153审计数据保护路由器应能保护已存储的审计记录，避免未经授权的删除。并能监测和防止对审计记录的修改。当审计存储耗尽、失败或受到攻击时，路由器应确保最近的审计记录在一定的时间内不会被破坏。6154潜在侵害分析路由器应能监控可审计行为。并指出潜在的侵害。路由器应在检测到可能有安全侵謇发生时做出响应，如-通知管理员，向管理员提供一组遏制侵害的或采取矫正的行动。616简单网络管理协议的保护路由器应支持SNMP V3。路由器可通过设置SNMP Community参数，采用访问控制列表(ACL)保护SNMP访问权限。路由器应支持对

27、SNMP访问的认证功能，能够监测并阻断对管理信息模块(MIB)的非授权访问能够防范对于SNMP的拒绝服务攻击SNMP认证失败时，路由嚣应向陷阱消息接收工作站发送认证失败消息。617单播逆向路径转发功能路由器具备URPF功能。在网络边界阻断源IP地址欺骗攻击。618远程管理安全路由器应提供对远程会话保密性的保护功能，并提供关闭远程管理功能和管理员认为不必要服务的能力，且缺省是关闭的。619可靠性路由器应具有全冗余设计，应确保无中断在线升级，支持插卡、接I=l、电源等部件的冗余与热插拔等功能，能够安装双引擎和双电源模块，具有故障定位与隔离及远程重启等功能。路由器可以通过虚拟路由冗余协议(VRRP)

28、组成路由器机群。6110路由认证路由器使用的路由协议应支持路由认证功能，以保证路由是由合法的路由器发出的，并且在发出的过程中没有被改变。62安全保证要求621配置管理开发者应设计和实现路由器配置管理，要求如下：a)开发者应使用配置管理系统，并提供配置管理文档为产品的不同版本提供唯一的标识，且产品的每个版本应当使用其唯一标识作为标签；7GBr 180182007b)配置管理范围至少应包括路由器的产品实现表示、设计文档、测试文档、用户文档、配置管理，从而确保它们的修改是在一个正确授权的可控方式下进行的。配置管理文档至少应能跟踪上述内容，并描述配置管理系统是如何跟踪这些配置项的；c)部分的配置管理应

29、实现自动化。622交付和运行开发者应以文档形式提供对路由器安全地交付以及安装和启动的过程进行说明。文档中应包括：a) 对如何安全地将路由器交付给用户的说明；b)对如何安全地安装和启动路由器的说明；c)对如何检测路由器在分发过程中发生的未授权修改、如何检测攻击者伪装成开发者向用户交付路由器产品的说明。以安全方式分发并交付产品后，仍应提供对路由器的长期维护和评估的支持，包括产品中的磊洞和现场问题的解决。以安全方式分发并交付产品后，仍应不断向用户提供可能会影响到路由器安全的注意事项或警告信息。623开发开发者应提供路由器功能规范，要求如下：a)按非形式化功能设计的要求进行功能设计，以非形式方法描述安

30、全功能与其外部接口，并描述使用外部安全功能接口的目的与方法；b)提供路由器安全功能的高层设计。高层设计应按子系统描述安全功能及其结构，并标识安全功能子系统的所有接口。高层设计还应标识实现安全功能所要求的基础性的硬件、固件和软件。高层设计还应描述安全功能子系统所有接口及使用接口的目的和方法。并详细描述接口的返回结果、例外情况和错误信息等，以及如何将路由器中有助于增强安全策略的子系统分离出来c)开发者应提供路由器安全功能的低层设计。低层设计应以模块术语描述安全功能并描述每一个模块的目的、接口和相互问的关系。低层设计还应描述如何将路由器中有助于增强安全策略的模块分离出来；d)开发者应提供路由器安全功

31、能的功能设计与高层设计之间的非形式化对应性分析，该分析应证明功能设计表示的所有相关安全功能都在高层设计中得到正确且完备的细化；e)开发者应提供安全策略模型，并阐明该模型和路由器功能设计之间的对应性，这一对应性是一致和完备的。安全策略模型是非形式化的。该模型应描述所有可以模型化的安全策略的规则和特征。并阐明该模型对于所有可模型化的安全策略来说，是与其一致且完备的。624指导性文档开发者应编制路由器的指导性文档，要求如下：a)文档中应该提供关于路由器的安全功能与接口、路由器的管理和配置、路由器的启动和操作、安全属性、警告信息、审计工具的描述b)文档中不应包含任何一旦泄漏将会危及系统安全的信息，文档

32、可以为硬拷贝、电子文档或联机文档。如果是联机文档，应控制对文档的访问。625生命周期支持开发者应建立开发和维护路由器的生命周期模型，即用于开发和维护路由器的程序、工具和技术。要求如下：a) 开发者应按其定义的生命周期模型进行开发和维护，并提供生命周期定义文档，在文档中描述用于开发和维护路由器安全功能的生命周期模型b)该模型对于路由器开发和维护应提供必要的控制，采用物理上、程序上、人员上以及其他方面8GBT 180182007的安全措施保护路由器开发环境的安全，包括场地的物理安全和对开发人员的选择，并采取适当的防护措施来消除或降低路由器开发所面临的安全威胁，c)开发者应描述用于开发路由器的工具和

33、参照标准，并提供关于已选择的开发工具选项的描述文档。开发工具文档应明确说明所有开发工具选项的含义。626测试开发者应对路由器进行测试，要求如下：a)应进行一般功能测试，保证路由器能够满足所有安全功能的要求；b)应提供测试深度的分析。在深度分析中，应论证测试文档中所标识的对安全功能的测试足以表明该安全功能的运行与高层设计以及低层设计是一致的fc)应进行相符性独立测试，由专业第三方独立实验室或消费者组织实施测试，确认路由器能够满足所有安全功能的要求；d)应由专业第三方独立实验室或消费者组织抽样独立性测试。开发者应提供能有效重现开发者测试的必需资料，包括可由机器阅读的测试文档、测试程序等e)保留并提

34、供测试文档，详细描述测试计划、测试过程以及预测结果和实际测试结果。627脆弱性评定开发者应提供指导性文档和分析文档，在文档中确定对路由器的所有可能的操作方式(包括失败和操作失误后的操作)的后果以及对于保持安全操作的意义，并列出所有目标环境的假设和所有的外部安全措施(包括外部程序的、物理的或人员控制)要求。所述内容应是完备、清晰、一致和合理的。开发者应对具有安全功能强度声明的安全机制(例如口令机制)进行安全功能强度分析。安全功能强度分析应证明安全机制达到了所声明的强度。开发者应实施脆弱性分析，并提供脆弱性分布的文档。对所有已标识的脆弱性，文档应说明它们在所期望的路由器使用环境中不能被利用。文档还

35、应说明如何确保用户能够得到最新的安全补丁。脆弱性分析文档中应包含对所使用协议的脆弱性分析。7附加安全功能71附加安全功能711网络访问控制功能路由器上可采用多种用户接人的控制手段，如Web登录认证、访问控制列表(ACL)、8021X协议等，保护接入用户不受网络攻击，同时能够阻止接入用户攻击其他用户和网络。712虚拟专网功能路由器可实现IPSec和多协议标记交换协议(MPLS)两种虚拟专用网架构。IPSec VPN支持隧道和传输模式，确保数据通信的保密性和完整性。MPLSVPN使用标签交换，提供Qos机制和流量工程能力。MPLS支持全网状VPN的建立，不同的VPN具有地址空间和路由独立性。路由器

36、可支持MPLS和IPSec的结合。在进行数据加密和认证的同时能够提供良好的可管理性。路由器使用的加密算法应通过国家密码管理部门的审批。713防火墙防护功能路由器可加人防火墙功能模块，实现报文过滤功能，对所有接收和转发的报文进行过滤和检查。路由器还可提供基于报文内容的防护，当报文通过路由器时，防火墙功能模块可以对报文与指定的访问规则进行比较。决定是否直接丢弃报文。路由器还可利用NATPAT(网络地址转换端口地址转换)功能隐藏内网拓扑结构，进一步实现复杂的应用网关(ALG)功能。714入侵检测(IDS)功能路由器可内置IDS功能模块。具备完善的端口镜像和报文统计支持功能，能够检测并阻断攻击。GBT

37、 180182007附录A(资料性附录)安全要求对照衰表A1和表A2分别给出了条款中安全功能要求和安全保证要求的对照表。衰A1安全功能要求对照衰第一级 第二级 第三级自主访问控制 + + 上管理员鉴别 + + +鉴别失败处理 + H +身份鉴别 超时锁定 + +会话锁定 + +登录历史 + +数据保护 上权限管理 + + +安全管理安全属性管理 + + +审计数据生成 + +审计数据查阅 + +审计审计数据保护 + +潜在侵害分析 +简单网络管理协议的保护 + +单播逆向路径转发功能 + +远程管理安全 +可靠性 上 +路由认证 + +表A2安全保证要求对照表第一级 第二级 第三级配置管理 + + +交付和运行 + 上 +开发 + -一-l一 +指导性文档 + + +生命周期支持 + + +测试 + + +脆弱性评定 + +lo参考文献1-13 GBT 200112005信息安全技术路由器安全评估准则GBT 180182007