GB/T 18018-1999路由器安全技术要求.pdf

华人民共和 国国家标准 路 由器 安全 技 术 要求 发布 实施 国家质量技术监督局 发 布 前 言 本标准规定了传输控制协议 网间协议 互联网络设备 路由器的安全功能要求 本标准的附录 和附录 均是提示的附录 本标准由国家信息化办公室提出 本标准由全国信息技术标准化技术委员会归口 本标准起草单位 电子部第 研究所 中国国家信息安全测评认证中心 本标准主要起草人 张建军 龚奇敏 吴世忠 吴娅若 杜明钰 中华人 民共和 国国家标准 路 由器 安 全 技 术要求 范围 本标准规定了采用传输控制协议 网间协议 协议路由器的安全功能技术要求 本标准适用于路由器安全功能的设计 研制 评估和路由器产品的选购 引用标准 下 标准所包含的条文 通过在 标准中引用而构成为 标准的条文 本标准出版时 所示版本均 为有效 所有标准都会被修订 使用 标准的各方应探讨使用下 标准最新版本的可能性 信息处理系统 开放系统互连 基 参考模型 第 部分 安全体系结构 定义 下 定义与 中的定义相同 审订 鉴别 密钥管理 概述 路由器使用环境 路由器是一类专用的网络设备 它连接两个或更多的计算机网络 在这些网络之间转发数据包 路 由器使用数据包中的目的地址选择该数据包的下一个发往地点 路由器的典型使用环境如图 所示 图 路由器的典型使用环境 国家质量技术监督局 批准 实施 安全目标 为防止经由路由器对网络的攻击和保护路由器自 的安全 要求达到以下全部或部分信息安全目 标 网络访问控制 路由器提供对网络访问控制的能力 管理访问 路由器只能由授权管理员进行授权的管理 审计 路由器能够记录对路由器的访问 操作 提供对网络信息流的记录和统计 最小访问范围 路由器只能由管理员在路由器上执行必需的程序 用户信息的保护 确保由路由器转发的用户信息的安全和保密 支持密钥管理 在需要使用密码算法时 提供密钥管理的功能 安全技术要求的描述方法 安全技术要求由安全功能类 安全功能组和安全组件三部分组成 安全技术要求描述方法的组成如图 所示 图 安全技术要求的描述方法的组成 该图表示安全功能类 包括安全功能组 和 各组分别包含 两个组件 对功能组 两个 组件具有包含关系 不仅包括 中的安全要求 而且有所扩充 对功能组 两个组件相互独立 两 者都可以满足功能组 的要求 安全功能类 安全功能类的定义包括以下内容 功能类的名称 每一个功能类都有一个唯一的标识名 并使用三个英文字母表示 标准中使用该标识名唯一地标 识相应的功能类 功能类的描述 功能类的描述说明该功能类的内容 符合哪些安全目标的要求 功能类的描述还包括该功能类所包 含的安全功能组 安全功能组 标准分享网 免费下载 安全功能组的定义包括以下内容 功能组的名称 每一个功能组都有一个唯一的标识名 并使用七个字符表示 其格式为 头三个字母与该功能组所 属功能类相同 后三个字母在该功能类中唯一地标识该功能组 前后两组字母之间使用下划线连接 标 准中使用该名称唯一地标识相应的安全功能组 功能组的描述 功能组的描述说明该功能组的内容 符合哪些安全目标的要求 功能组的描