进网许可认证、交换路由设备检测项目更新25年1月起

实施时间

2025年1月1日起实施

涉及设备范围

核心路由器、边缘路由器、以太网交换机、三层交换机、宽带网络接入服务器（BNAS）

新增检测依据

GBT41266-2022网络关键设备安全检测方法交换机设备

GBT41267-2022网络关键设备安全技术要求交换机设备

GB/T41268-2022网络关键设备安全检测方法路由器设备

GB/T41269-2022网络关键设备安全技术要求路由器设备

YD/T3125.2-2019通信用增强型SFP光收发合一模块(SFP+)第2部分：25Gbit/s

标准换版

主要修订内容

扩容换证时补充安全测试

针对在进网时为非网络关键设备，后续又升级为网络关键设备的，企业在申请扩容换证时，除提交网安局认可的网络关键设备安全检测报告外，还应按照《路由器国标》《交换机国标》补充安全检测

增加25G接口测试

增加了安全相关检测项目。检测项目依据新路由器和交换机国标（可以覆盖通用国标40050)进行了增加和细化

缩减部分功能和协议一致性测试项目

所有协议、功能、安全测试项目梳理后与检验依据标准的写法一一对应

安全功能测试内容-主要更新内容

1设备标识安全

鉴别提示信息安全：用户登录通过鉴别前的提示信息应避免包含设备软件版本、型号等敏感信息

2冗余、备份恢复与异常检测

热插拔功能：部分关键部件应支持热插拔

独立管理接口功能：应提供独立的管理接口

3漏洞和恶意程序防范

-无

4预装软件启动及更新安全

软件更新包完整性校验功能：应支持软件更新包完整性校验

更新失败恢复功能：更新失败时设备应能够恢复到更新前的正常工作状态

网络更新安全通道功能：对于采用网络更新方式的，应支持非明文通道传输更新数据

更新源可用性：应具备稳定可用的渠道提供软件更新源

5访问控制安全（默认状态安全）

会话过滤功能：原为受控资源访问控制功能

访问控制列表功能

6用户身份标识与鉴别

身份鉴别信息声明：应不存在未向用户公开的身份鉴别信息

鉴别失败处理功能：鉴别失败时，应返回最少且无差别信息

7日志审计安全

日志信息断电保护功能：保证设备异常断电恢复后，已记录的日志不丢失

8通信安全

路由通信协议认证功能：路由通信协议应支持非明文路由认证功能。

TRLL协议认证（交换机适用）：如果支持TRLL协议，应支持协议认证功能，如基于HMAC-SHA256等认证

9抵御常见攻击能力

大流量攻击防范能力

地址解析欺骗攻击防范能力：支持防范ARP/ND欺骗攻击功能

广播风暴攻击防范能力（交换机适用）

用户凭证猜解攻击防范能力：支持连续的非法登录尝试次数限制或其他安全策略

用户会话连接限制功能：防范资源消耗类拒绝服务攻击

WEB管理功能安全：例如注入攻击、重放攻击、权限绕过攻击、非法文件上传等

SNMP管理功能安全：例如权限绕过、信息泄露等

SSH管理功能安全：例如权限绕过、拒绝服务攻击等

Telnet管理功能安全：例如权限绕过、拒绝服务攻击等

RestAP!管理功能安全（交换机适用）：例如API身份验证绕过攻击、HTTP身份绕过攻击、Oauth绕过攻击、拒绝服务攻击等

NETCONF管理功能安全：例如权限绕过、拒绝服务攻击等

FTP管理功能安全：例如目录遍历、权限绕过等

SFTP管理功能安全：例如目录遍历、权限绕过等

DHCP管理功能安全（路由器适用）防范DHCP拒绝服务攻击的能力

10数据安全

无

11安全保障要求

无

新增25G接口测试

平均发送光功率

中心波长

最小接收光功率

为适应技术发展趋势，在原来1000M、10G、40G、100G、400G等物理接口的基础上，

增加支持25G物理接口的测试。

依据的标准：

YDT3125.2-2019《通信用增强型SFP光收发合一模块(SFP+)第2部分：25Gbit/s》

核心路由器-进网要求

1、接口必须至少支持1000M、10G、25G、40G、100G、400G接口中的一种。

2、必须至少支持两种动态路由协议（路由协议须同时支持PV4和PV6版本），

其中BGP4和BGP4+协议必须支持。

3、必须支持GMPV2和MLD组播协议

4、如果测试某动态路由协议，那么相关路由协议安全测试必须与所测动态路由协议对应

边缘路由器-进网要求

1、接口必须至少支持10/100M、1000M、10G、25G、40G、100G、400G接口中的一种.

2、必须支持一种动态路由协议（路由协议须同时支持Pv4和Pv6版本）

3、如果测试某路由协议，那么相关路由协议安全测试必须与所测路由协议对应

三层交换机-进网要求

1、接口必须至少支持10/100M、1000M、10G、25G、40G、100G、400G接口中的一种。

2、必须至少支持一种动态路由协议（路由协议须同时支持PV4和IPV6版本），

3、如果测试某动态路由协议，那么相关路由协议安全测试必须与所测动态路由协议对应

以太网交换机-进网要求

1、增加25G、400G接口

2、增加网络关键设备安全测试项目

3、管理接口必须同时支持PV4/V6管理