實施時間

2025年1月1日起實施

涉及設備范圍

核心路由器、邊緣路由器、以太網(wǎng)交換機、三層交換機、寬帶網(wǎng)絡接入服務器（BNAS）

新增檢測依據(jù)

GBT41266-2022網(wǎng)絡關鍵設備安全檢測方法交換機設備

GBT41267-2022網(wǎng)絡關鍵設備安全技術要求交換機設備

GB/T41268-2022網(wǎng)絡關鍵設備安全檢測方法路由器設備

GB/T41269-2022網(wǎng)絡關鍵設備安全技術要求路由器設備

YD/T3125.2-2019通信用增強型SFP光收發(fā)合一模塊(SFP+)第2部分：25Gbit/s

標準換版

主要修訂內(nèi)容

擴容換證時補充安全測試

針對在進網(wǎng)時為非網(wǎng)絡關鍵設備，后續(xù)又升級為網(wǎng)絡關鍵設備的，企業(yè)在申請擴容換證時，除提交網(wǎng)安局認可的網(wǎng)絡關鍵設備安全檢測報告外，還應按照《路由器國標》《交換機國標》補充安全檢測

增加25G接口測試

增加了安全相關檢測項目。檢測項目依據(jù)新路由器和交換機國標（可以覆蓋通用國標40050)進行了增加和細化

縮減部分功能和協(xié)議一致性測試項目

所有協(xié)議、功能、安全測試項目梳理后與檢驗依據(jù)標準的寫法一一對應

安全功能測試內(nèi)容-主要更新內(nèi)容

1設備標識安全

鑒別提示信息安全：用戶登錄通過鑒別前的提示信息應避免包含設備軟件版本、型號等敏感信息

2冗余、備份恢復與異常檢測

熱插拔功能：部分關鍵部件應支持熱插拔

獨立管理接口功能：應提供獨立的管理接口

3漏洞和惡意程序防范

-無

4預裝軟件啟動及更新安全

軟件更新包完整性校驗功能：應支持軟件更新包完整性校驗

更新失敗恢復功能：更新失敗時設備應能夠恢復到更新前的正常工作狀態(tài)

網(wǎng)絡更新安全通道功能：對于采用網(wǎng)絡更新方式的，應支持非明文通道傳輸更新數(shù)據(jù)

更新源可用性：應具備穩(wěn)定可用的渠道提供軟件更新源

5訪問控制安全（默認狀態(tài)安全）

會話過濾功能：原為受控資源訪問控制功能

訪問控制列表功能

6用戶身份標識與鑒別

身份鑒別信息聲明：應不存在未向用戶公開的身份鑒別信息

鑒別失敗處理功能：鑒別失敗時，應返回最少且無差別信息

7日志審計安全

日志信息斷電保護功能：保證設備異常斷電恢復后，已記錄的日志不丟失

8通信安全

路由通信協(xié)議認證功能：路由通信協(xié)議應支持非明文路由認證功能。

TRLL協(xié)議認證（交換機適用）：如果支持TRLL協(xié)議，應支持協(xié)議認證功能，如基于HMAC-SHA256等認證

9抵御常見攻擊能力

大流量攻擊防范能力

地址解析欺騙攻擊防范能力：支持防范ARP/ND欺騙攻擊功能

廣播風暴攻擊防范能力（交換機適用）

用戶憑證猜解攻擊防范能力：支持連續(xù)的非法登錄嘗試次數(shù)限制或其他安全策略

用戶會話連接限制功能：防范資源消耗類拒絕服務攻擊

WEB管理功能安全：例如注入攻擊、重放攻擊、權限繞過攻擊、非法文件上傳等

SNMP管理功能安全：例如權限繞過、信息泄露等

SSH管理功能安全：例如權限繞過、拒絕服務攻擊等

Telnet管理功能安全：例如權限繞過、拒絕服務攻擊等

RestAP!管理功能安全（交換機適用）：例如API身份驗證繞過攻擊、HTTP身份繞過攻擊、Oauth繞過攻擊、拒絕服務攻擊等

NETCONF管理功能安全：例如權限繞過、拒絕服務攻擊等

FTP管理功能安全：例如目錄遍歷、權限繞過等

SFTP管理功能安全：例如目錄遍歷、權限繞過等

DHCP管理功能安全（路由器適用）防范DHCP拒絕服務攻擊的能力

10數(shù)據(jù)安全

無

11安全保障要求

無

新增25G接口測試

平均發(fā)送光功率

中心波長

最小接收光功率

為適應技術發(fā)展趨勢，在原來1000M、10G、40G、100G、400G等物理接口的基礎上，

增加支持25G物理接口的測試。

依據(jù)的標準：

YDT3125.2-2019《通信用增強型SFP光收發(fā)合一模塊(SFP+)第2部分：25Gbit/s》

核心路由器-進網(wǎng)要求

1、接口必須至少支持1000M、10G、25G、40G、100G、400G接口中的一種。

2、必須至少支持兩種動態(tài)路由協(xié)議（路由協(xié)議須同時支持PV4和PV6版本），

其中BGP4和BGP4+協(xié)議必須支持。

3、必須支持GMPV2和MLD組播協(xié)議

4、如果測試某動態(tài)路由協(xié)議，那么相關路由協(xié)議安全測試必須與所測動態(tài)路由協(xié)議對應

邊緣路由器-進網(wǎng)要求

1、接口必須至少支持10/100M、1000M、10G、25G、40G、100G、400G接口中的一種.

2、必須支持一種動態(tài)路由協(xié)議（路由協(xié)議須同時支持Pv4和Pv6版本）

3、如果測試某路由協(xié)議，那么相關路由協(xié)議安全測試必須與所測路由協(xié)議對應

三層交換機-進網(wǎng)要求

1、接口必須至少支持10/100M、1000M、10G、25G、40G、100G、400G接口中的一種。

2、必須至少支持一種動態(tài)路由協(xié)議（路由協(xié)議須同時支持PV4和IPV6版本），

3、如果測試某動態(tài)路由協(xié)議，那么相關路由協(xié)議安全測試必須與所測動態(tài)路由協(xié)議對應

以太網(wǎng)交換機-進網(wǎng)要求

1、增加25G、400G接口

2、增加網(wǎng)絡關鍵設備安全測試項目

3、管理接口必須同時支持PV4/V6管理