實施時間

2025年1月1日起實施

涉及設(shè)備范圍

核心路由器、邊緣路由器、以太網(wǎng)交換機(jī)、三層交換機(jī)、寬帶網(wǎng)絡(luò)接入服務(wù)器（BNAS）

新增檢測依據(jù)

GBT41266-2022網(wǎng)絡(luò)關(guān)鍵設(shè)備安全檢測方法交換機(jī)設(shè)備

GBT41267-2022網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求交換機(jī)設(shè)備

GB/T41268-2022網(wǎng)絡(luò)關(guān)鍵設(shè)備安全檢測方法路由器設(shè)備

GB/T41269-2022網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求路由器設(shè)備

YD/T3125.2-2019通信用增強(qiáng)型SFP光收發(fā)合一模塊(SFP+)第2部分：25Gbit/s

標(biāo)準(zhǔn)換版

主要修訂內(nèi)容

擴(kuò)容換證時補(bǔ)充安全測試

針對在進(jìn)網(wǎng)時為非網(wǎng)絡(luò)關(guān)鍵設(shè)備，后續(xù)又升級為網(wǎng)絡(luò)關(guān)鍵設(shè)備的，企業(yè)在申請擴(kuò)容換證時，除提交網(wǎng)安局認(rèn)可的網(wǎng)絡(luò)關(guān)鍵設(shè)備安全檢測報告外，還應(yīng)按照《路由器國標(biāo)》《交換機(jī)國標(biāo)》補(bǔ)充安全檢測

增加25G接口測試

增加了安全相關(guān)檢測項目。檢測項目依據(jù)新路由器和交換機(jī)國標(biāo)（可以覆蓋通用國標(biāo)40050)進(jìn)行了增加和細(xì)化

縮減部分功能和協(xié)議一致性測試項目

所有協(xié)議、功能、安全測試項目梳理后與檢驗依據(jù)標(biāo)準(zhǔn)的寫法一一對應(yīng)

安全功能測試內(nèi)容-主要更新內(nèi)容

1設(shè)備標(biāo)識安全

鑒別提示信息安全：用戶登錄通過鑒別前的提示信息應(yīng)避免包含設(shè)備軟件版本、型號等敏感信息

2冗余、備份恢復(fù)與異常檢測

熱插拔功能：部分關(guān)鍵部件應(yīng)支持熱插拔

獨立管理接口功能：應(yīng)提供獨立的管理接口

3漏洞和惡意程序防范

-無

4預(yù)裝軟件啟動及更新安全

軟件更新包完整性校驗功能：應(yīng)支持軟件更新包完整性校驗

更新失敗恢復(fù)功能：更新失敗時設(shè)備應(yīng)能夠恢復(fù)到更新前的正常工作狀態(tài)

網(wǎng)絡(luò)更新安全通道功能：對于采用網(wǎng)絡(luò)更新方式的，應(yīng)支持非明文通道傳輸更新數(shù)據(jù)

更新源可用性：應(yīng)具備穩(wěn)定可用的渠道提供軟件更新源

5訪問控制安全（默認(rèn)狀態(tài)安全）

會話過濾功能：原為受控資源訪問控制功能

訪問控制列表功能

6用戶身份標(biāo)識與鑒別

身份鑒別信息聲明：應(yīng)不存在未向用戶公開的身份鑒別信息

鑒別失敗處理功能：鑒別失敗時，應(yīng)返回最少且無差別信息

7日志審計安全

日志信息斷電保護(hù)功能：保證設(shè)備異常斷電恢復(fù)后，已記錄的日志不丟失

8通信安全

路由通信協(xié)議認(rèn)證功能：路由通信協(xié)議應(yīng)支持非明文路由認(rèn)證功能。

TRLL協(xié)議認(rèn)證（交換機(jī)適用）：如果支持TRLL協(xié)議，應(yīng)支持協(xié)議認(rèn)證功能，如基于HMAC-SHA256等認(rèn)證

9抵御常見攻擊能力

大流量攻擊防范能力

地址解析欺騙攻擊防范能力：支持防范ARP/ND欺騙攻擊功能

廣播風(fēng)暴攻擊防范能力（交換機(jī)適用）

用戶憑證猜解攻擊防范能力：支持連續(xù)的非法登錄嘗試次數(shù)限制或其他安全策略

用戶會話連接限制功能：防范資源消耗類拒絕服務(wù)攻擊

WEB管理功能安全：例如注入攻擊、重放攻擊、權(quán)限繞過攻擊、非法文件上傳等

SNMP管理功能安全：例如權(quán)限繞過、信息泄露等

SSH管理功能安全：例如權(quán)限繞過、拒絕服務(wù)攻擊等

Telnet管理功能安全：例如權(quán)限繞過、拒絕服務(wù)攻擊等

RestAP!管理功能安全（交換機(jī)適用）：例如API身份驗證繞過攻擊、HTTP身份繞過攻擊、Oauth繞過攻擊、拒絕服務(wù)攻擊等

NETCONF管理功能安全：例如權(quán)限繞過、拒絕服務(wù)攻擊等

FTP管理功能安全：例如目錄遍歷、權(quán)限繞過等

SFTP管理功能安全：例如目錄遍歷、權(quán)限繞過等

DHCP管理功能安全（路由器適用）防范DHCP拒絕服務(wù)攻擊的能力

10數(shù)據(jù)安全

無

11安全保障要求

無

新增25G接口測試

平均發(fā)送光功率

中心波長

最小接收光功率

為適應(yīng)技術(shù)發(fā)展趨勢，在原來1000M、10G、40G、100G、400G等物理接口的基礎(chǔ)上，

增加支持25G物理接口的測試。

依據(jù)的標(biāo)準(zhǔn)：

YDT3125.2-2019《通信用增強(qiáng)型SFP光收發(fā)合一模塊(SFP+)第2部分：25Gbit/s》

核心路由器-進(jìn)網(wǎng)要求

1、接口必須至少支持1000M、10G、25G、40G、100G、400G接口中的一種。

2、必須至少支持兩種動態(tài)路由協(xié)議（路由協(xié)議須同時支持PV4和PV6版本），

其中BGP4和BGP4+協(xié)議必須支持。

3、必須支持GMPV2和MLD組播協(xié)議

4、如果測試某動態(tài)路由協(xié)議，那么相關(guān)路由協(xié)議安全測試必須與所測動態(tài)路由協(xié)議對應(yīng)

邊緣路由器-進(jìn)網(wǎng)要求

1、接口必須至少支持10/100M、1000M、10G、25G、40G、100G、400G接口中的一種.

2、必須支持一種動態(tài)路由協(xié)議（路由協(xié)議須同時支持Pv4和Pv6版本）

3、如果測試某路由協(xié)議，那么相關(guān)路由協(xié)議安全測試必須與所測路由協(xié)議對應(yīng)

三層交換機(jī)-進(jìn)網(wǎng)要求

1、接口必須至少支持10/100M、1000M、10G、25G、40G、100G、400G接口中的一種。

2、必須至少支持一種動態(tài)路由協(xié)議（路由協(xié)議須同時支持PV4和IPV6版本），

3、如果測試某動態(tài)路由協(xié)議，那么相關(guān)路由協(xié)議安全測試必須與所測動態(tài)路由協(xié)議對應(yīng)

以太網(wǎng)交換機(jī)-進(jìn)網(wǎng)要求

1、增加25G、400G接口

2、增加網(wǎng)絡(luò)關(guān)鍵設(shè)備安全測試項目

3、管理接口必須同時支持PV4/V6管理