GB/T38798-2020
综合宽带接入网安全技术要求
Technicalrequirementsforsecurityofintegratedbroadbandaccessnetwork
- 中国标准分类号(CCS)M42
- 国际标准分类号(ICS)33.040.50
- 实施日期2020-11-01
- 文件格式PDF
- 文本页数10页
- 文件大小666.52KB
以图片形式预览综合宽带接入网安全技术要求
综合宽带接入网安全技术要求
国家标准 GB/T38798一2020 综合宽带接入网安全技术要求 netw0rk Iechniealrequirementsforseeurityofintegratedbroadbandaceess" 2020-04-28发布 2020-11-01实施 国家市场监督管理总局 发布 国家标涯花管理委员会国家标准
GB/T38798一2020 次 目 前言 引言 范围 规范性引用文件 缩略语 用户平面安全要求 4.1帧过滤 4.2组播/广播/DLF报文风暴抑制 4.3协议报文限速 4,4MAC地址控制功能 控制平面安全要求 5.1设备认证 可控组播 5.2 5.3过滤功能 5.!防D0S攻击 5.5ARP代理功能 5.6心跳机制 5.7sIP协议的注册认证功能 管理平面安全要求 6.1管理员口令 6.2设备访问方式 6.3网管系统安全要求 设备可靠性要求 7.1主控板主备倒换 7.2电源主备倒换 7.3环境监控 设备电气安全要求 8.1绝缘电阻 8.2接地电阻 8.3过压,过流保护 8.4电磁兼容
GB/38798一2020 前 言 本标准按照GB/T1.1一2009给出的规则起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任 本标准由工业和信息化部提出
本标准由全国通信标准化技术委员会(SAC/TC485)归口
本标准起草单位;信息通信研究院
本标准主要起草人:卓安生、刘谦、程强、陈洁
GB/T38798一2020 引 言 为避免非法窃取网络资源、非法使用网络业务、恶意攻击,提高下一代网络设备的安全性可靠性 ITU-T于2003年制定了ITU-TX.805《端到端通信系统安全框架》,定义了一个完整的端到端通信系 统的安全框架,规定了应用层业务层和基础设施层三个网络层次,并为每个网络层次定义了用户、控制 和管理三个平面
每个层次的每个平面分别从访问控制、鉴别不可抵赖、数据保密性,通信安全、完整 性、可用性和隐私八个方面考虑其安全性
近几年,随着互联网业务的发展和宽带接人网络向宽带化、综合化和软件化的发展,综合宽带接人 网面临比过去单一业务单一网络更为复杂的安全环境,同时技术的升级换代也产生了更多的安全威胁 和防御手段
因此制定宽带接人网安全标准势在必行 参考IrU-Tx.805的相关准则,并结合综合宽带接人网设备特点,本标准从用户控制管理等三 个平面进行规定,每个平面分别从访问控制、鉴别、通信安全和可用性等几个方面定义其安全性
GB/38798一2020 综合宽带接入网安全技术要求 范围 本标准规定了综合宽带接人网设备的用户平面安全要求、控制平面安全要求、管理平面安全要求、 设备可靠性和电气安全要求
本标准适用于公众电信网的综合宽带接人网设备,专用电信网中的综合宽带接人网设备也可参考 使用
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB/T9254信息技术设备的无线电骚扰限值和测量方法 GB/T17618信息技术设备抗扰度限值和测量方法 YD/T1082接人网设备过电压过电流防护及基本环境适应性技术要求和试验方法 缩略语 下列缩略语适用于本文件
ACK.确认字符(Ackanowledgemetnm) ACL;访问控制列表(AccessControlList ARP:地址解析协议(AddressResolutionProtocoD DHCP;动态主机配置协议(DynamieHostConfigProtoeol DestinationLookupFailure DLF:目的查找失败(De D0OS:拒绝服务(DenialoService nternetControlMessageProtocol ICMP:因特网控制消息协议(Inter GMP:互联网组管理协议(Inte InterneGroupMeanagementProtocol IMS:互联网多媒体系统(IPMultimediaSubsystem MAC;媒体访问控制Media Control NAK;无应答(NegativeAcknowledgment) ManagementServer RMS:远程管理服务器(Remote sionInitiationProtocol sIP:会话初始协议(Sess simpleNetworkManagementProtocol SNMP;简单网络管理协议(Sin SSL;安全套件层(SecureSockets Layer ransmissionControlProtocol TCP:传输控制协议(Transn TLs;安全传输层协议(Tra ransportLayerSecurity UDP;用户数据报协议(UserDatagramProtocol Model USM;基于用户的安全模型(User-basedSee curity VLAN;虚拟局域网(Virtuall.oealAreaNetwork
GB/T38798一2020 overlnternetProtocol VolP:互联网上的语音(Voice 用户平面安全要求 4.1帧过滤 基于不同设备类型,应支持根据物理端口、以太网封装协议、源/目的MAC地址、源/目的IP地址、 以太网优先级标记和TCP/UDP端口号对上、下行以太网数据帧进行过滤
4.2组播/广播/DLF报文风暴抑制 应支持对二层组播/广播/DLF报文的速率进行抑制,在上行方向应默认开启此功能
应支持基于全局的抑制方式,建议支持基于VLAN和端口的抑制方式
4.3协议报文限速 应支持对特定协议报文(例如,DHCP,IGMP,ICMP等)进行限速处理
44 MIAC地址控制功能 应支持限制基于端口学习到的MAC地址的数量,且限制的数量应可以灵活配置
当达到MAcC地址表深度时,设备应支持忽略新MAC地址直到旧MAC地址老化
S 控制平面安全要求 5.1设备认证 应支持设备的合法性认证的能力,应拒绝未通过认证的设备接人网络获得服务
5.2可控组播 应支持组播权限控制功能,阻止非法用户获取组播业务
5.3过滤功能 应支持过滤来自用户端口的IGMP查询帧和DHCPOFFER/ACK/NAK帧
应支持对网络侧合法组播源的配置和对非法组播源进行过滤的配置
5.4防D0S攻击 应支持防止攻击目标为本设备的D0S攻击抵御能力,例如PingofDeathSYNFlood、LAND等 攻击
5.5ARP代理功能 为了防止形成广播风暴,宜支持ARP协议代理功能
对支持三层功能的设备,应支持ARP代理 功能
5.6心跳机制 提供VolP业务的设备应支持定期向软交换/IMS发送心跳消息,并应能正确响应软交换/IMS发 送的心跳消息
GB/38798一2020 5.7sIP协议的注册认证功能 对于采用sIP协议提供VoIP业务的设备,在向软交换/IMS注册时,支持认证功能
管理平面安全要求 6 6.1管理员口令 不论在何种管理方式下,对设备的管理用户都需要鉴别和认证,鉴别和认证是系统访问的基础
与 管理员权限相关的安全数据应得到妥善的保护
无论在设备还是网管系统中,口令不应使用明文保存
6.2设备访问方式 6.2.1sNMP访问 支持sNMP访问的设备应支持sNMPl或sNMPv2e,宜支持sNMP3
当采用SNMPvl和SNMPv2c时,应可以和访问控制列表相结合,控制非法网管接人设备,同时不 使用publie/private作为缺省团体名,缺省只读团体名和读写团体名称不能够相同,并且具有提示管理 员修改团体名的功能
支持SNMPv3时,支持USM等安全机制
宜实现对网管站的访问控制,限定用户通过某些IP地址使用sNMP对设备进行访问
6.2.2本地cONSOLE访问 支持本地CONsOLE访问的设备应支持通过其所带的CONsOLE接口进行带外方式的操作维 护,在维护终端与设备进行交互的过程中应提供与Telnet访问方式相同的安全保护能力
6.2.3Ienet访问 支持Telnet访问的设备应支持以下安全要求: 用户应提供用户名/口令才能进行后皱的操作,用户地址和操作应记人日志 a b Telnet访问时应提供对用户账号的分级管理机制,提供对Telnet用户权限的控制功能; 应限制同时访问的用户数目:; 在设定的时间内不进行交互,用户应自动被注销,提供终端超时锁定功能 d 可限定用户通过哪些IP地址使用Tenet服务对设备进行访问 e 能够针对Telnet的密码试探攻击进行防范,可对同一个IP地址使用延时响应机制.也可利用 限定来自同一个IP地址的登录尝试次数; g 应支持关闭Telnet服务
6.2.4web访问 支持web方式访问的设备应支持以下安全要求: 用户应提供用户名/口令才能进行后续的操作,用户地址和操作应记人日志; aa b可限定用户通过哪些IP地址使用HTIP对设备进行访问 应支持关闭HTTP服务; c d 应支持SSL/TLs安全协议或提供其他安全措施,实现对管理用户数据的完整性保护
GB/T38798一2020 6.2.5TR-069访问 支持TR-069方式访问的设备应支持以下安全要求 终端设备与RMS接口应采用SSL/TIS加密和www-Authentieation认证组合使用方式实 a 现接口的安全 b) 在sSL/TLS安全通道建立过程中,RMS不需要通过证书对终端设备的合法性进行认证
终 端设备应支持基于证书和不基于证书的密钥交换认证方式对RMS进行合法性认证
6.3网管系统安全要求 6.3.1安全策略管理 网管系统应能提供统一的安全策略控制,包括以下儿项 登录策略管理:提供设置非法登录系统的次数及锁定时间,设置管理用户账号有效期,设置登 a 录超时退出时间、账号登录时间段、限制同一账号最大连接数等功能; 提供管理用户的功能 b 管理用户密码设置策略限制管理用户设置的密码长度、密码组成,提供密码重置功能,设置用 c 户密码有效天数等; 支持管理用户登录的P管理策略-将登录的管理用户与P地址绑定
d 6.3.2角色管理 角色表示一类特定的权限的集合,包括管理用户可以登录的客户端P地址范围,管理用户可以进 行的操作,管理用户可以管理的资源等
通过安全管理可以动态地创建、删除和修改角色,形成新的权限集合,以便分配给管理用户,达到控 制管理用户权限的目的
角色管理功能应包含以下儿项: 增加、删除,修改角色 a 给角色分配管理资源(可管理的对象范围)和操作权限 b 从操作权限来说,网管系统应可以提供三类缺省的角色 c 系统管理员;可以执行网管系统提供的所有功能项,包括权限分配功能; 配置管理员:;可以执行网管系统提供的对设备和系统自身有数据修改权限的功能(不包括 权限分配功能),如资源维护,设备配置、版本升级、系统维护等; 监控管理员;可以执行网管系统提供的对设备的监控和网管系统自身的查询和审计等功 能,如资源查询、告警监控、性能统计、日志查询等
网管系统应提供灵活的角色创建功能,如可以根据管理用户的需要再单独创建版本管理员,统计管 理员等角色
从管理资源来说,这些操作权限都应可以指定管理的范围
6.3.3账号管理 对使用网管系统的管理用户账号进行管理维护,包括 a 增加账号; b)删除账号; c 修改账号信息; d)查询账号信息
GB/38798一2020 管理用户的账号信息包括 a 用户账号; b) 用户密码 密码有效期; c d)用户所属角色; 附加说明
ee 支持同一个管理员账号属于多个角色组
6.3.4用户登录管理 网管系统应能提供完善的用户登录管理功能,包括: 只有在服务器中已经注册的用户才能登录到网管系统,如果启动了访问控制列表功能,则客户 端应同时满足存在于网管系统ACL表中的用户才能登录到网管系统; b 登录的用户只具有已经被授权的指定操作; 登录失败告警,使用同一管理账号连续多次登录失败时,网管系统应产生非法登录告警,并对 c 该管理账号进行锁定; d 手工注销登录的用户; e 手工或超时自动锁定客户端或退出
6.3.5在线用户管理 网管系统应能对在线用户进行监视,能够实时监视在线用户的登录情况,包括 登录用户; a b)登录时间; 操作终端信息
c 网管系统应能对在线用户进行管理,超级用户能够查看一般用户所做的操作,并强制其退出 6.3.6日志管理 管理用户可以根据给定条件对日志进行查询,并可对查询到的日志进行排序
查询的条件为" 给定时间或时间段进行查询 aa b 给定用户进行查询; 给定的日志类型
c 可以查询到的信息包括: 日志类型,包括操作日志、系统日志、安全日志; a b 操作时间 e 操作人; d 操作名称; 操作对象 ee D 操作内容; 操作终端; h)操作结果例如,成功或失败). 设备可靠性要求 7.1主控板主备倒换 应支持主控板的热备份功能,在主控板倒换过程中,所有业务配置和业务连接不应发生差错或丢
GB/T38798一2020 失,业务质量不应受到影响
主控板倒换应支持人工倒换和自动倒换两种模式
7.2电源主备倒换 应支持两路电源模块,在任何一路电源供电失效的情况下,设备应正常工作,业务质量不应受到 影响
7.3环境监控 应支持对设备风扇工作情况、内部温度等环境信息的收集和上报功能
8 设备电气安全要求 8.1绝缘电阻 正常情况下,设备的绝缘电阻应不小于50MQ. 8.2接地电阻 设备的接地电阻应小于5a. 8.3过压、过流保护 设备应安装过压、过流保护器
过压、过流保护器在外接电源异常时保护设备的核心部分 设备应满足YD/!1082对模拟雷电冲击、电力线感应,电力线接触等指标的要求
8.4电磁兼容 设备的电磁兼容性指标应符合GB/T9254以及GB/T17618的规定
综合宽带接入网安全技术要求GB/T38798-2020
综合宽带接入网是一种常见的宽带网络形式,它包括了多个不同的接入点、设备和应用。由于其复杂性,综合宽带接入网的安全性备受关注。为了保障网络安全,中国国家标准化管理委员会制定了一套针对综合宽带接入网的安全技术要求标准——GB/T38798-2020。
该标准主要从以下几个方面对综合宽带接入网的安全进行要求:
- 网络拓扑结构安全:要求网络拓扑结构必须符合安全规范,并采用适当的安全措施保障网络的安全性;
- 网络协议安全:要求网络协议必须符合相关规范,并采用有效的加密和认证机制保障通信的安全性;
- 设备安全:要求各种接入设备必须符合安全规范,并采用适当的安全措施保障系统的安全性;
- 应用安全:要求应用程序必须符合安全规范,并采用有效的身份认证和访问控制机制保障数据的安全性。
根据GB/T38798-2020标准要求,综合宽带接入网安全技术要求的实现需要从以下方面进行:
- 网络拓扑结构设计与评估;
- 网络协议设计与评估;
- 设备选型与部署;
- 应用程序开发与测试。
通过GB/T38798-2020要求,可以确保综合宽带接入网的安全性,避免各种安全威胁对网络造成的影响。
总之,GB/T38798-2020标准是一套对综合宽带接入网安全技术要求的规范。它旨在确保综合宽带接入网的安全性,为网络安全提供更加可靠的保障。
