四川联通综合规划可研设计验收的网络与信息安全三同步范本综合手册.docx
《四川联通综合规划可研设计验收的网络与信息安全三同步范本综合手册.docx》由会员分享,可在线阅读,更多相关《四川联通综合规划可研设计验收的网络与信息安全三同步范本综合手册.docx(93页珍藏版)》请在冰点文库上搜索。
四川联通综合规划可研设计验收的网络与信息安全三同步范本综合手册
规划、可研、设计、验收网络与信息安全
“三同步”范本手册
中华人民共和国联合网络通信有限公司四川省分公司
3月
规划、可研、设计、验收网络与信息安全“三同步”范本手册
第一某些总体规定
一、为了贯彻贯彻全国人民代表大会常务委员会《关于加强网络信息保护决定》(12月28日)、《中华人民共和国电信条例》(国务院令291号)、《互联网信息服务管理办法》(国务院令292号)、工业和信息化部《基本电信公司信息安全责任管理办法(试行)》(工信部保[]713号)、《通信网络安全防护管理办法》(第11号令)、工信部和国资委《关于开展基本电信公司网络与信息安全责任考核关于工作指引意见》(工信部联保[]551号)等文献精神,加强通信网络与信息安全管理,提高通信网络与信息安全防护能力,保障通信网络与信息安全畅通,四川联通省分各建设部门、市分各建设部门、设计单位、监理单位、施工单位应认真贯彻工信部网络与安全防护“三同步”各项规定。
二、各建设部门、设计单位、施工单位、监理单位应认真贯彻工信部11号令,在规划、可研、设计文本中明确网络与信息安全防护“三同步”各项规定。
每项工程验收时,应同步做好网络与信息安全验收,验收文献中应有网络与信息安全验收结论。
三、在四川联通、四川省通信管理局或工信部网络与信息安全检查中,每发生一项工程浮现“三同步”不合格,将对各建设部门予以惩罚,并取消有关设计单位、监理单位、施工单位后续入围资格,并对有关设计单位、监理单位、施工单位处以当年所有工程服务费总额罚款。
第二某些基本知识
一、基本概念
网络安全“三同步”是指“同步规划、同步建设、同步运营”,将通信网络安全防护融入到规划、可研、设计、建设、验收、备案变更、维护评估、整治加固、退网全过程,实现网络安全防护工作规范化、流程化、常态化。
信息安全“三同步”是指网络、系统、平台规划设计、建设、升级、改造等环节应当做到与国家安全和电信网络信息安全规定同步规划设计,同步建设,同步运营。
无覆盖不全、漏控等问题。
做到与主体工程同步进行验收和投入运营,且有相应资金保障。
公司在网络设备选型、采购和使用时,应遵守电信设备进网规定,满足信息安全管理需要,对存在技术问题、原则问题、法律问题业务平台、网络配套信息安全技术管理系统,应及时报告省通信管理局,在同步建设实行时按照工信部、省通信管理局文献规定执行。
网络安全防护规划,包括整体规划和分项规划两某些。
其中,整体规划是指全网统一规划安全域隔离、边界控制、系统漏洞扫描、基线检查、入侵检测等公共安全系统建设;分项规划是指移动网、数据网、传送网、接入网、增值业务平台、IT系统等网络规划时应充分遵循网络安全整体规划安全域隔离、边界访问控制等规定,也要遵循工信部下发网络单元安全防护技术系列规范和风险评估规定。
二、工信部“三同步”考核内容
网络安全防护“三同步”考核内容:
新建、改建、扩建通信网络工程项目时,应在可研、设计文本中明确安全域隔离、边界访问控制等规定,明确工信部下发所属网络单元安全防护技术规范和风险评估规定,明确所属网络单元安全验收原则,并在项目中有资金保障。
信息安全“三同步:
考核内容:
对本公司新产品立项、产品开发和业务上线(涉及合伙开办)各环节实行信息安全评估,同步配套建设信息安全保障办法和技术手段。
规定系统与网络发展同步配套,无覆盖不全、漏控等问题。
第三某些规划、可研、设计三同步范本
一.IP网工程规划、可研、设计三同步范本
1.1设计根据
(1)建设单位关于XX设计编制委托。
(2)XX下发《关于XXX告知》规定。
(3)中华人民共和国联通XX技术规范v1.0。
请在常规设计根据之后增长通用安全防护规范:
*全国人民代表大会常务委员会《关于加强网络信息保护决定》(12月28日颁布)
*《中华人民共和国电信条例》(国务院令291号)
*《互联网信息服务管理办法》(国务院令292号)
*工业和信息化部《基本电信公司信息安全责任管理办法(试行)》(工信部保[]713号)
*工业和信息化部《通信网络安全防护管理办法》(第11号令)
*工业和信息化部《电信网和互联网安全防护管理指南》YD/T1728-
*工业和信息化部《电信网和互联网安全级别保护实行指南》YD/T1729-
*工业和信息化部《电信网和互联网安全风险评估实行指南》YD/T1730-
*工业和信息化部《电信网和互联网劫难备份机恢复实行指南》YD/T1731-
*工业和信息化部《电信网和互联网物理环境安全级别保护规定》YD/T1731-
*工业和信息化部《电信网和互联网物理环境安全级别保护检测规定》YD/T1755-
*工业和信息化部《电信网和互联网管理安全级别保护规定》YD/T1756-
*工业和信息化部《电信网和互联网管理安全级别保护检测规定》YD/T1757-
*工业和信息化部《通用机房安全管理总体规定》YD/T2057-
*工业和信息化部《互联网安全防护规定》YD/T1736-
*工业和信息化部《互联网安全检测规定》YD/T1737-
请在通用安全防护规范之后增长专业安全防护防范:
***工业和信息化部《IP承载网安全防护规定》YD/T1746-
***工业和信息化部《IP承载网安全防护检测规定》YD/T1747-
1.2现状
1.2.1本期工程网络安全现状
1.3建设方案
1.3.1本期工程网络安全建设方案
1.4工作量
1.4.1本期工程网络安全工作量
1.5施工技术规定
请在常规设计技术规定之后增长通用网络与信息安全防护技术规定:
1.5.1安全域划分
本工程应对系统进行子网划分,不同子网归属于相应安全域。
安全域划分原则为:
1)构造合理原则
依照系统在业务中承载类型以及系统中设备所承担工作角色,进行安全域划分,安全域个数不应过多,各个安全域之间路由或者互换跳数不适当过多。
2)投资保护原则
安全域划分应遵从统一规范规定,充分运用安全域间防护设备。
3)可操作性原则
安全域划分遵循可操作性原则,不对原有系统整体构造进行彻底颠覆。
4)生命周期原则
安全域划分还要考虑到由于需求、环境不断变化带来影响。
1.5.2边界防护规定
安全域边界防护总体规定是在支撑业务不断发展前提下,通过安全域边界防护形成清晰、简洁网络布局和系统架构,将安全风险和隐患减少到一种可以接受水平,实现有关网络与系统之间严格访问控制安全互连。
1)集中防护
防火墙、入侵检测、异常流量检测和过滤等基本安全技术防护手段以安全域划分为基本,进行集中布置,对各种安全域或子域提供集中防护。
2)分级别防护
依照不同安全级别防护规定,对系统所在边界布置符合其防护级别安全技术手段。
3)分层防护
通过安全域划分,从外部网络到子域之间存在多层安全防护边界,分层防护就是在每层防护边界上布置侧重点不同安全技术手段和安全方略来实现对核心设备或系统高级别防护。
1.5.3IP网安全防护技术规定
1.5.3.1业务及应用安全规定
1)业务提供、控制与管理过程应保护顾客隐私,不泄漏顾客有关敏感信息。
2)业务控制与管理应提供并启用身份鉴别、标记唯一性检查、鉴别信息复杂度检查及登录失败解决功能,保证系统中不存在重复顾客身份标记,身份鉴别信息不易被冒用,并依照安全方略对登录失败可采用结束会话、限制非法登录次数和自动退出等办法。
3)业务控制与管理应严格限制默认账号权限,各账号应根据最小授权原则授予为完毕各自承担任务所需权限,按安全方略规定控制对文献、数据库表等内容访问。
4)系统访问控制方略应由授权主体配备。
5)业务控制与管理应提供覆盖到每个账号安全审计功能,应保证无法删除、修改或覆盖审计记录。
6)业务有关审计记录内容至少应涉及事件日期、时间、发起者信息、类型、描述和成果等。
7)对业务管理和控制应符合国家、公司有关规定及规定。
8)应能依照需要对业务及应用有关通信过程中所有报文或整个会话过程提供必要保护(如进行通信数据加密),并提供业务及应用有关访问、通信等数据防抵赖功能。
9)应可以对业务及应用服务水平进行检测,具备当服务水平减少到预先规定阀值时进行告警功能。
1.5.3.2业务及应用系统安全规定
1)应绘制与当前运营状况相符系统拓扑构造图。
2)应依照应用和服务特点,在满足高峰期流量需求基本上,合理设计带宽。
3)应依照系统内部网络构造特点,按照统一管理和控制原则划分不同子网或网段,设备依照功能划分及其重要性等因素分区布置。
4)应在系统边界布置访问控制设备,启用访问控制功能,应能依照会话状态信息为数据流提供明确容许/回绝访问能力。
5)应对系统管理顾客进行有效身份标记和鉴别,并保证顾客标记(顾客名)具备唯一性和不易被冒用特点,有关顾客口令长度应不不大于8字节,口令应有复杂度规定(使用大写字母、小写字母、数字、标点及特殊字符4种字符中至少3种组合,且与顾客名或ID无有关性)并定期更换(更新周期不不不大于90天)。
6)应按系统管理顾客和系统之间容许访问规则,决定容许或回绝顾客对受控系统进行资源访问,控制粒度为单个顾客。
7)应对系统中重要设备运营状况、网络流量监测信息、系统管理及维护等进行日记记录,并且保存一定期限(至少180天)。
8)审计记录应涉及事件日期和时间、顾客、事件类型、事件与否成功及其她与审计有关信息。
9)应在系统边界处对发生端口扫描、强力袭击、木马后门袭击、DoS/DDoS袭击、缓冲区溢出袭击、IP碎片袭击和网络蠕虫袭击等袭击和入侵事件提供有效抵抗和防范能力。
10)互联网数据中心业务内部网络应能提供有效安全防护技术手段(如防火墙、入侵检测、漏洞扫描)。
11)系统年宕机时间不超过8.76h.可靠性应达到99.9%以上。
1.5.3.3设备安全规定
1)应对构建有关业务及应用系统内部网络构造数据网络设备,如各类路由器、互换机等,进行必要安全检测。
2)业务及应用系统有关设备安全应满足相应设备技术规范、设备安全规定等行业原则关于规定(如,宽带网络接入服务器安全规定见YD/T1658-、网络接入服务器设备安全规定见YD/T1045-、WAP网关设备安全规定见YD/T1392-)。
3)应对登录设备顾客进行有效身份标记和鉴别,保证顾客名具备唯一性,应为不同顾客分派不同权限,有关顾客口令长度应不不大于8字节,口令应有一定复杂度,井定期更换。
4)业务及应用系统有关设备应符合设备入网管理有关规定规定,应符合网络和业务运营商有关设备规定。
1.5.3.4物理环境安全规定
1)应满足YD/T1754-中第2级规定。
2)互联网有关业务及应用系统所处机房整体抗震能力应不低于里氏7级,有关楼层承重能力不低于750kg/m2。
3)互联网有关业务及应用系统所处机房机架/机拒应以交替模式排列布局。
4)互联网有关业务及应用系统所处机房应具备防虫防鼠等有关办法,以有效防范鼠虫蚁害。
1.5.3.5互联网劫难备份及恢复规定
1)依照YD/T1731-第5.1节规定,劫难备份及恢复定级应与安全级别保护拟定安全级别一致。
2)业务及应用系统有关设备解决能力应具备一定冗余,应满足业务高峰期需要。
3)核心设备重要部件应采用冗余方式提供保护。
4)应建立对业务及应用核心数据和重要信息进行备份和恢复管理和控制机制。
5)有关业务及应用核心数据(如业务数据、计费数据、系统配备数据、管理员操作维护记录、顾客信息等〉应有必要容灾备份。
6)有关业务及应用数据备份范畴和时间间隔、数据恢复能力应满足行业管理、网络和业务运营商应急预案有关规定。
7)重要设备、线路应采用热备份保护方式进行保护。
8)系统应有必要流量负荷分担设计。
9)系统应具备较好劫难各份和业务恢复能力,提供重要服务业务及应用系统应进行系统级备份,以保证其业务持续性。
10)应建立对业务及应用所有数据、信息进行备份和恢复管理和控制机制。
11)系统重要业务及应用有关数据应进行异址备份。
12)系统应提供数据自动保护功能,当发生故障后应保证系统可以恢复到故障前业务状态。
1.5.4IP网日记留存规定
1)上网日记留存内容
应当记录上网顾客上网时间、顾客帐号、主叫电话号码等信息。
2)日记留存时间
应记录顾客业务有关日记(如顾客接入时间和时长、顾客账号、主叫号码等),并且保存一定期限〈至少60天)
1.6预算
*同步新增防火墙预算
*新增设备同步纳入防火墙管理施工预算
*新增设备同步纳入网管监控施工预算
*新增设备流量监控预算
*IP网安全其他预算
……
二.固定通信网工程规划、可研、设计三同步范本
(固定通信业务涉及:
固定通信网本地电话业务、固定通信网国内长途电话业务、固定通信网国际长途电话业务、消息类业务、多媒体业务等。
)
1.1设计根据
(1)建设单位关于XX设计编制委托。
(2)XX下发《关于XXX告知》规定。
(3)中华人民共和国联通XX技术规范v1.0。
请在常规设计根据之后增长通用安全防护规范:
*全国人民代表大会常务委员会《关于加强网络信息保护决定》(12月28日颁布)
*《中华人民共和国电信条例》(国务院令291号)
*《互联网信息服务管理办法》(国务院令292号)
*工业和信息化部《基本电信公司信息安全责任管理办法(试行)》(工信部保[]713号)
*工业和信息化部《通信网络安全防护管理办法》(第11号令)
*工业和信息化部《电信网和互联网安全防护管理指南》YD/T1728-
*工业和信息化部《电信网和互联网安全级别保护实行指南》YD/T1729-
*工业和信息化部《电信网和互联网安全风险评估实行指南》YD/T1730-
*工业和信息化部《电信网和互联网劫难备份机恢复实行指南》YD/T1731-
*工业和信息化部《电信网和互联网物理环境安全级别保护规定》YD/T1731-
*工业和信息化部《电信网和互联网物理环境安全级别保护检测规定》YD/T1755-
*工业和信息化部《电信网和互联网管理安全级别保护规定》YD/T1756-
*工业和信息化部《电信网和互联网管理安全级别保护检测规定》YD/T1757-
*工业和信息化部《通用机房安全管理总体规定》YD/T2057-
*工业和信息化部《互联网安全防护规定》YD/T1736-
*工业和信息化部《互联网安全检测规定》YD/T1737-
请在通用安全防护规范之后增长专业安全防护防范:
***工业和信息化部《固定通信网安全防护规定》YD/T1732-
***工业和信息化部《固定通信网安全防护检测规定》YD/T1733-
1.2现状
1.2.1本期工程网络安全现状
1.3建设方案
1.3.1本期工程网络安全建设方案
1.4工作量
1.4.1本期工程网络安全工作量
1.5施工技术规定
请在常规设计技术规定之后增长通用网络与安全防护技术规定:
1.5.1安全域划分
本工程应对系统进行子网划分,不同子网归属于相应安全域。
安全域划分原则为:
1)构造合理原则
依照系统在业务中承载类型以及系统中设备所承担工作角色,进行安全域划分,安全域个数不应过多,各个安全域之间路由或者互换跳数不适当过多。
2)投资保护原则
安全域划分应遵从统一规范规定,充分运用安全域间防护设备。
3)可操作性原则
安全域划分遵循可操作性原则,不对原有系统整体构造进行彻底颠覆。
4)生命周期原则
安全域划分还要考虑到由于需求、环境不断变化带来影响。
1.5.2边界防护规定
安全域边界防护总体规定是在支撑业务不断发展前提下,通过安全域边界防护形成清晰、简洁网络布局和系统架构,将安全风险和隐患减少到一种可以接受水平,实现有关网络与系统之间严格访问控制安全互连。
1)集中防护
防火墙、入侵检测、异常流量检测和过滤等基本安全技术防护手段以安全域划分为基本,进行集中布置,对各种安全域或子域提供集中防护。
2)分级别防护
依照不同安全级别防护规定,对系统所在边界布置符合其防护级别安全技术手段。
3)分层防护
通过安全域划分,从外部网络到子域之间存在多层安全防护边界,分层防护就是在每层防护边界上布置侧重点不同安全技术手段和安全方略来实现对核心设备或系统高级别防护。
1.5.3 固定通信网安全防护技术规定
1.5.3.1业务安全
(1)业务提供安全
a)互换网应具备足够业务解决能力,应可以满足业务提供需要,不应由于过负荷或者突发业务量而影响网络安全;
b)互换网应采用一定安全办法,虽然在网络拥塞时也能对特定通信(如维护操作呼喊)予以优先保证;
c)互换网业务提供不应因后台计费系统毁坏而中断;
d)互换设备应具备高可靠性和高稳定性,所提供业务应尽量不因系统引入其她新业务、系统补丁加载而中断。
(2)业务数据安全
a)互换网应对重要数据(系统配备数据、顾客数据、计费数据等)进行备份,需要时可以对数据进行恢复;
b)互换网应对用于操作维护系统密码等重要数据在数据库中应进行加密解决、而不是明文显示,并对访问权限进行限制;
c)详细计费话单应在互换网中存储时间和存储方式应满足有关规定,例如存储时间应不少于24小时,未被采集前应不被删除;
d)重要数据(如计费数据)所占存储空间达到阈值时,系统应能产生相应告警信息;
e)互换网应可以保证对业务进行本地和远程操作维护安全性,对操作维护人员帐户权限分级管理,及时删除暂时帐户权限,对操作维护人员身份进行认证,记录操作维护人员对业务所进行任何操作,操作维护信息保存时间应符合有关规定,需要时应可以对操作维护信息进行查询。
1.5.3.2网络安全
(1)PSTN网络安全
a)PSTN端局到同一长途局应具备双路由;
b)网络设备核心部件必应采用主备热备份构造;
c)PSTN中设备应当是网络和业务运营商可控和可管理,应保证合法且通过认证设备(网元和管理终端)才可以进入PSTN网络;
d)PSTN中当互换机与操作维护接口未采用专线方式、而是采用TCP/IP传播时,应提供必要安全机制,如对传播数据采用IPSec等安全技术进行进一步安全解决;
e)PSTN汇接局应采用双局设立,端局到汇接局应具备双归属能力;
f)PSTN长途互换局应采用双局配备,并且应放在不同机房中。
(2)软互换网络安全
a)软互换网络网络配备(如节点和链路数量、位置或负荷分担分派比例等)应合理,不应因网络配备不合理而导致网络所有或者局部瘫痪;
b)软互换网与互联网间边界关口应具备一定安全防护能力(例如防火墙配备,惯用端口屏蔽);
c)软互换网络应对传送管理信息进行保护,防止信息被非法或恶意地窃听、篡改;
d)软互换网络应保证会话建立过程中信令流通信安全;
e)软互换网络应保证媒体流传播过程中保密性、完整性;
f)软互换网络中设备应是运营商可控和可管理,应保证合法且通过认证设备(网元和管理终端)才可以进入软互换网络;
g)网络或设备发生故障或故障消失时应能及时产生告警信息并发送至网元管理系统;
h)软互换网络中软互换设备应采用多节点工作方式,一种节点损害不影响业务提供,并且应可以对拥塞进行话务控制;
i)软互换网络核心设备应进行冗余备份设计,主解决板、电源和通讯板等设备重要部件均应支持热冗余备份;
j)针对软互换网络传播媒体流保护办法应考虑电信监管需求和对媒体流服务质量影响;
k)软互换网络应采用安全对策(如防病毒软件、系统加固、网络隔离、防火墙、访问控制等)有效地防止非法顾客运用各种手段对网络发起袭击而导致网络及设备无法正常工作或瘫痪;
l)软互换网络应布置基于主机和基于网络入侵检测系统,并应及时解决入侵检测系统报警;
m)应对软互换网络中核心主机系统和网络定期进行安全检查(例如使用安全扫描软件),以检查出网络弱点和方略配备上问题。
1.5.3.3设备安全
PSTN网络重要涉及互换机设备,软互换网络由软互换设备、媒体网关、信令网关、媒体服务器、应用服务器、软互换业务接入控制设备、接入网关等设备构成;
设备安全应满足设备技术规范、设备入网管理有关规定。
1.5.4固定通信网劫难备份及恢复规定
固定通信网中互换网劫难恢复应依照劫难状况,一方面保证应急通信、重要通信,然后恢复普通通信。
(1)冗余系统、冗余设备及冗余链路
a)单节点劫难不应导致其她节点业务提供发生异常;单一地区范畴劫难不应导致其她地区业务提供发生异常;
b)网络劫难恢复时间应满足行业管理、网络和业务运营商应急预案有关规定;
c)PSTN汇接局应采用双局设立;
d)PSTN长途互换局应采用双局配备、应放在不同物理位置进行容灾。
(2)冗余路由
a)路由应支持冗余方式,如PSTN端局到同一长途局应配备双路由;
b)应有流量负荷分担设计。
(3)备份数据
a)核心数据(如计费数据、顾客数据、网络配备数据、管理员操作维护记录)应有本地数据备份;
b)核心数据备份范畴和时间间隔、采用备份方式、数据恢复能力应符合有关规定;
c)核心数据(如计费数据、网络配备数据)应在不同局址进行备份。
1.5.4固网日记留存规定
1)日记留存内容
应当记录并妥善保存顾客使用电信网络关于信息
2)日记留存时间
业务留存信息应当至少保存60日。
1.6预算
*同步新增防火墙预算
*新增设备同步纳入防火墙管理施工预算
*新增设备同步纳入网管监控施工预算
*新增设备话务监控预算
*固定通信网安全其他预算
……
三.
移动通信网工程规划、可研、设计三同步范本
(移动通信网含老式移动通信网及LTE核心网等。
)
1.1设计根据
(1)建设单位关于XX设计编制委托。
(2)XX下发《关于XXX告知》规定。
(3)中华人民共和国联通XX技术规范v1.0。
请在常规设计根据之后增长通用安全防护规范:
*全国人民代表大会常务委员会《关于加强网络信息保护决定》(12月28日颁布)
*《中华人民共和国电信条例》(国务院令291号)
*《互联网信息服务管理办法》(国务院令292号)
*工业和信息化部《基本电信公司信息安全责任管理办法(试行)》(工信部保[]713号)
*工业和信息化部《移动上网日记留存规范(试行)》(工信部保[]548号)
*工业和信息化部《通信网络安全防护管理办法》(第11号令)
*工业和信息化部《电信网和互联网安全防护管理指南》YD/T1728-
*工业和信息化部《电信网和互联网安全级别保护实行指南》YD/T1729-
*工业和信息化部《电信网和互联网安全风险评估实行指南》YD/T1730-
*工业和信息化部《电信网和互联网劫难备份机恢复实行指南》YD/T1731-
*工业和信息化部《电信网和互联网物理环境安全级别保护规定》YD/T1731-
*工业和信息化部《电信网和互联网物理环境安全级别保护检测规定》YD/T1755-
*工业和信息化部《电信网和互联网管理安全级别保护规定》YD/T1756-
*工业和信息化部《电信网和互联网管理安全级别保护检测规定》YD/T1757-
*工业和信息化部《通用机房安全管理总体规定》YD/T2057-
*工业和信息化部《互联网安全防护规定》YD/T1736-
*工业和信息化部《互联网安全检测规定》YD/T1737-
请在通用安全防护规范之后增长专业安全防护防范:
***工业和信息化部《移动通信网安全防护规定》YD/T1734-
***工业和信息化部《移动通信网安全防护检测规定》YD/T1735-
***工业和信息化部《移动网管安全技术规定》YD/T2021-
1.2现状
1.2.1本期工程
升级会员 