ICS 35. 100. 30 CCS M11 YD 代替xxxx 可信网络分级技术要求 Technical Specification for The Classified Trusted Internet (与国际标准一致性程度的标识) (报批稿) 行业标准信息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
目次 _Toc106113023 前言... 1范围.
2规范性引用文件 3术语与缩略语 3.1术语.. 3.2缩略语 4概述 5可信网络分级技术要求 5.1可信网络第1级技术要求 5.2可信网络第2级技术要求 5.3可信网络第3级技术要求 5.4可信网络第4级技术要求 5.5可信网络第5级技术要求 参考文献.. 行业标准信息服务平台
前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 内容起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会归口.
本文件起草单位清华大学、中国信息通信研究院、中国电信集团有限公司、新华三技术有限公司、 华为技术有限公司 本文件主要起草人:徐恪、姚龙、陈文龙、赵锋、史凡、万晓兰、刘冰洋 行业标准信息服务平台 I11
可信网络分级技术要求 1范围 本文件规定了可信网络分级技术要求,包括网络分级的划分原则以及每个分级的具体安全性需求.
本文件适用于根据不同的业务需求,在现有网络设备的基础上,采用对网络分级的方式来增强现有 网络体系结构的安全性.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
IETFRFC5210源地址验证体系结构测试平台和部署经验(ASource Address Validation Architecture (SAvA) Testbed and Deployment Experience) IETF RFC6959 源地址验证增强威胁范围(Source Address ValidationImprovement(SAVI) Threat Scope) IETF RFC7039源地址验证增强框架(Source Address Validation Improvement(SAVI) Framework) IETF RFC7219 适用于安全邻居发现的源地址验证增强(SEcureNeighbor Discovery(SEND) Source Address Validation Improvement (SAVI)) IETF RFC7513适用于DHCP的源地址验证增强解决方案(Source Address Validation Improvement (SAVI) Solution for DHCP) IETF RFC8074适用于混合地址分配的源地址验证增强(Source Address Validation Improvement (SAVI) for Mixed Address Assignment Methods Scenario) 标准信息服务 3术语与缩略语 3.1术语 下列术语和定义适用于本文件.
3.1.1可信网络trustedinternet 当前复杂网络环境中,网络设备的可信度极低.
可信网络依靠网络安全基础设施的建设,以及相关 技术手段确保网络在不同安全需求下的可信等级.
3.1.2源地址验证体系结构 SAVAsourceaddressvalidationarchitecture
多种网络环境的源地址验证技术总称,具体包括接入网环境SAVA-A(SAVA-Access)域内环境SAVA-P (SAVA-Prefix)和域间环境SAVA-X(SAVA-eXternal).
三种网络环境可以同时部署源地址验证技术, 也可以从其中任意一个角度单独部署.
3.1.3 1P源地址验证IP source address validation 一种确保数据包中源地址字段数据真实可靠,并确保数据包来自真实用户的功能.
3.1.4 IP源地址溯源IP source address trace back 一种根据数据包中源地址字段数据,追溯到数据包真实用户的功能.
3.2缩略语 下列缩略语适用于本文件.
DHCP:动态主机配置协议(Dynamic Host Configuration Protocol) DNS:城名系统(Domain Name System) DoS:拒绝服务(Denialof Service) IP:网际互连协议(Internet Protocol) MAC:以太网地址(Media Access Control Address) SDN:软件定义网络(SoftwareDefinedNetwork) 4概述 本标准提出了可信网络分级技术要求,一方面通过改进现有的网络体系结构,增强现有网络环境的 可信性,使得不同的网络组织或网络环境拥有不同的可信等级另一方面可信网络分级技术要求的设计 方法并不唯一,不同的组织或机构可以按照自己的可信要求构建相应等级的可信体系结构.
本标准所规定方案的优势在于各组织可以按照自己的可信等级要求,在不改变现有路由交换机制的 前提下,通过部署新的设备或功能增强现有网络环境的可信性.
可信网络分级技术要求明确了每种可信 等级的功能要求,并且描述了不同可信等级之间的差异同时支持增量部署,在已有的可信等级的基础 上,可以增加新的软硬件来提升网络环境的可信等级.
5可信网络分级技术要求 5.1总体概述 现有的网络体系结构缺乏对各类可信机制的考虑,导致如Dos、伪造源地址等攻击手段的猖獗.
可 信网络分级技术要求各网络机构对现有网络环境进行改造,增强现有网络环境的可信性.
不同等级的可信网络技术要求如下: 一一第1级可信网络的技术要求:路由器、交换机能正常完成协议交互及报文转发处理:网络支撑 服务器能正常完成协议交互及功能处理,提供常规的网络支撑服务.
本等级技术要求确保网络基础服务 可信.
在保证网络可用性的基础上,提升现有网络环境基础服务的可信性: 一一第2级可信网络的技术要求:报文的网络层IP地址和链路层WAC地址真实可信.
本等级技术 要求确保网络标识可信.
该等级在满足第1级要求的基础上,保证接入设备地址的真实性; 一一第3级可信网络的技术要求:可根据IP报文追溯源端用户的真实身份及身份相关信息.
本等 级技术要求确保网络用户身份可追溯.
该等级要求在满足第2级要求的基础上,可根据IP报文追溯源 端用户的真实身份及身份相关信息: 一一第4级可信网络的技术要求路由协议真实可信,包括协议交互的内容、交互实体的身份.
本 等级技术要求确保路由协议可信.
该等级的技术要求是在满足第3级要求的基础上,保证网络路由协议 交互的内容、交互实体的身份真实可信:
