中国TAF标准中,针对智能网关设备制定了详细的安全技术要求(TAF-WG9-AS0040-V1.0.0:2019)和安全测试方法(TAF-WG9-AS0046-V1.0.0:2019),以下是对这两个标准的详细介绍:
一、智能网关设备安全技术要求(TAF-WG9-AS0040-V1.0.0:2019)
该标准规定了智能网关设备在硬件、系统软件、业务功能、网管等方面的安全技术要求,旨在保障智能网关设备的安全性,防止因设备安全问题引发的网络安全风险。主要内容包括:
设备硬件和系统软件安全:
要求设备硬件应具备唯一性标识,防止假冒设备。
系统软件应支持完整性保护、来源真实性验证机制,防止恶意代码攻击。
禁止在操作界面、日志、调试信息和错误提示中明文显示密钥、口令、会话标识等敏感信息。
业务功能安全:
要求设备应支持防火墙功能,支持对防火墙规则的配置。
应支持用户身份鉴别失败处理功能,防范用户凭证猜解攻击。
应提供防端口扫描功能,支持开启和关闭防端口扫描功能。
网管安全:
要求设备应支持远程管理方式的开关功能,确保远程管理的安全性。
应支持对管理用户的权限管理,防止非授权访问。
应用软件安全:
要求设备应支持对插件资源权限限制功能,防止恶意插件攻击。
应支持软件镜像的主备分区,确保软件升级过程中的安全性。
二、智能网关设备安全测试方法(TAF-WG9-AS0046-V1.0.0:2019)
该标准规定了智能网关设备在硬件、系统软件、业务功能、网管等方面的安全测试方法,旨在通过测试验证设备是否符合安全技术要求。主要内容包括:
测试环境:
提供了详细的测试环境配置,包括管理终端、被测设备、扫描工具、数据网络测试仪等。
安全测试要求:
设备硬件和系统软件安全测试:包括整机唯一性标识测试、版本唯一性标识测试、敏感信息安全测试、物理接口标识安全测试、丝印标识安全测试等。
接口安全测试:包括隐藏后门安全测试、接入认证机制测试、无线通信网络开关功能测试、远程管理开关功能测试、WLAN认证加密测试等。
业务功能安全测试:包括防火墙功能测试、用户身份鉴别失败处理功能测试、防端口扫描功能测试等。
网管安全测试:包括远程管理方式开关功能测试、管理用户权限管理测试等。
