四川联通规划可研设计验收的网络与信息安全三同步范本手册.docx
《四川联通规划可研设计验收的网络与信息安全三同步范本手册.docx》由会员分享,可在线阅读,更多相关《四川联通规划可研设计验收的网络与信息安全三同步范本手册.docx(92页珍藏版)》请在冰豆网上搜索。
四川联通规划可研设计验收的网络与信息安全三同步范本手册
四川联通规划、可研、设计、验收的网络与信息安全三同步”范本手册
规划、可研、设计、验收的网络与信息安全
“三同步”范本手册
中国联合网络通信有限公司四川省分公司
2014年3月
名目
规划、可研、设计、验收的网络与信息安全“三同步”范本手册
第一部分总体要求
一、为了贯彻落实全国人民代表大会常务委员会《关于加大网络信息爱护的决定》(2012年12月28日)、《中华人民共和国电信条例》(国务院令291号)、《互联网信息服务治理方法》(国务院令292号)、工业和信息化部《基础电信企业信息安全责任治理方法(试行)》(工信部保[2009]713号)、《通信网络安全防护治理方法》(第11号令)、工信部和国资委《关于开展基础电信企业网络与信息安全责任考核有关工作的指导意见》(工信部联保[2012]551号)等文件精神,加大通信网络与信息安全治理,提升通信网络与信息安全防护能力,保证通信网络与信息安全畅通,四川联通省分各建设部门、市分各建设部门、设计单位、监理单位、施工单位应认真落实工信部网络与安全防护“三同步”的各项要求。
二、各建设部门、设计单位、施工单位、监理单位应认真落实工信部11号令,在规划、可研、设计文本中明确网络与信息安全防护“三同步”的各项要求。
每项工程验收时,应同步做好网络与信息安全的验收,验收文件中应有网络与信息安全的验收结论。
三、在四川联通、四川省通信治理局或工信部的网络与信息安全检查中,每发生一项工程显现“三同步”不合格的,将对各建设部门予以处罚,并取消有关设计单位、监理单位、施工单位后续入围资格,并对有关设计单位、监理单位、施工单位处以当年所有工程服务费总额的罚款。
第二部分差不多知识
一、差不多概念
网络安全“三同步”是指“同步规划、同步建设、同步运营”,将通信网络安全防护融入到规划、可研、设计、建设、验收、备案变更、爱护评估、整改加固、退网的全过程,实现网络安全防护工作规范化、流程化、常态化。
信息安全“三同步”是指网络、系统、平台的规划设计、建设、升级、改造等环节应当做到与国家安全和电信网络信息安全的要求同步规划设计,同步建设,同步运行。
无覆盖不全、漏控等咨询题。
做到与主体工程同时进行验收和投入运行,且有相应资金保证。
企业在网络设备选型、采购和使用时,应遵守电信设备进网要求,满足信息安全治理需要,对存在技术咨询题、标准咨询题、法律咨询题的业务平台、网络配套的信息安全技术治理系统,应及时报告省通信治理局,在同步建设实施时按照工信部、省通信治理局文件要求执行。
网络安全防护规划,包含整体规划和分项规划两部分。
其中,整体规划是指全网统一规划安全域隔离、边界操纵、系统漏洞扫描、基线检查、入侵检测等公共安全系统的建设;分项规划是指移动网、数据网、传送网、接入网、增值业务平台、IT系统等网络规划时应充分遵循网络安全整体规划的安全域隔离、边界访咨询操纵等要求,也要遵循工信部下发的网络单元安全防护技术系列规范和风险评估要求。
二、工信部“三同步”考核内容
网络安全防护“三同步”考核内容:
新建、改建、扩建通信网络工程项目时,应在可研、设计文本中明确安全域隔离、边界访咨询操纵等要求,明确工信部下发的所属网络单元安全防护技术规范和风险评估要求,明确所属网络单元安全验收标准,并在项目中有资金保证。
信息安全“三同步:
考核内容:
对本企业新产品立项、产品开发和业务上线(包括合作开办)的各环节实施信息安全评估,同步配套建设信息安全保证措施和技术手段。
要求系统与网络进展同步配套,无覆盖不全、漏控等咨询题。
第三部分规划、可研、设计三同步范本
IP网工程规划、可研、设计三同步范本
设计依据
(1)建设单位关于XX的设计编制托付。
(2)XX下发《关于XXX的通知》要求。
(3)中国联通XX技术规范v1.0。
请在常规设计依据之后增加通用安全防护规范:
*全国人民代表大会常务委员会《关于加大网络信息爱护的决定》(2012年12月28日颁布)
*《中华人民共和国电信条例》(国务院令291号)
*《互联网信息服务治理方法》(国务院令292号)
*工业和信息化部《基础电信企业信息安全责任治理方法(试行)》(工信部保[2009]713号)
*工业和信息化部《通信网络安全防护治理方法》(第11号令)
*工业和信息化部《电信网和互联网安全防护治理指南》YD/T1728-2008
*工业和信息化部《电信网和互联网安全等级爱护实施指南》YD/T1729-2008
*工业和信息化部《电信网和互联网安全风险评估实施指南》YD/T1730-2008
*工业和信息化部《电信网和互联网灾难备份机复原实施指南》YD/T1731-2008
*工业和信息化部《电信网和互联网物理环境安全等级爱护要求》YD/T1731-2008
*工业和信息化部《电信网和互联网物理环境安全等级爱护检测要求》YD/T1755-2008
*工业和信息化部《电信网和互联网治理安全等级爱护要求》YD/T1756-2008
*工业和信息化部《电信网和互联网治理安全等级爱护检测要求》YD/T1757-2008
*工业和信息化部《通用机房安全治理总体要求》YD/T2057-2009
*工业和信息化部《互联网安全防护要求》YD/T1736-2009
*工业和信息化部《互联网安全检测要求》YD/T1737-2009
请在通用安全防护规范之后增加专业安全防护防范:
***工业和信息化部《IP承载网安全防护要求》YD/T1746-2013
***工业和信息化部《IP承载网安全防护检测要求》YD/T1747-2013
1.2现状
1.2.1本期工程的网络安全现状
1.3建设方案
1.3.1本期工程的网络安全建设方案
1.4工作量
1.4.1本期工程的网络安全工作量
1.5施工技术要求
请在常规设计技术要求之后增加通用网络与信息安全防护技术要求:
1.5.1安全域划分
本工程应对系统进行子网划分,不同子网归属于相应的安全域。
安全域划分的原则为:
结构合理原则
按照系统在业务中承载的类型以及系统中设备所承担的工作角色,进行安全域划分,安全域的个数不应过多,各个安全域之间路由或者交换跳数不宜过多。
投资爱护原则
安全域划分应遵从统一的规范要求,充分利用安全域间的防护设备。
可操作性原则
安全域划分遵循可操作性原则,不对原有系统整体结构进行完全颠覆。
生命周期原则
安全域的划分还要考虑到由于需求、环境持续变化带来的阻碍。
1.5.2边界防护要求
安全域边界防护的总体要求是在支撑业务持续进展的前提下,通过安全域边界防护形成清晰、简洁的网络布局和系统架构,将安全风险和隐患降低到一个能够同意的水平,实现有关网络与系统之间严格访咨询操纵的安全互连。
1)集中防护
防火墙、入侵检测、专门流量检测和过滤等基础安全技术防护手段以安全域划分为基础,进行集中部署,对多个安全域或子域提供集中防护。
2)分等级防护
按照不同安全等级防护的要求,对系统所在的边界部署符合其防护等级的安全技术手段。
3)分层防护
通过安全域的划分,从外部网络到子域之间存在多层安全防护边界,分层防护确实是在每层防护边界上部署侧重点不同的安全技术手段和安全策略来实现对关键设备或系统的高等级防护。
1.5.3IP网安全防护技术要求
1.5.3.1业务及应用安全要求
业务提供、操纵与治理过程应爱护用户隐私,不泄漏用户有关敏锐信息。
业务操纵与治理应提供并启用身份鉴不、标识唯独性检查、鉴不信息复杂度检查及登录失败处理功能,保证系统中不存在重复用户身份标识,身份鉴不信息不易被冒用,并按照安全策略对登录失败可采取终止会话、限制非法登录次数和自动退出等措施。
业务操纵与治理应严格限制默认账号的权限,各账号应依据最小授权原则授予为完成各自承担任务所需的权限,按安全策略要求操纵对文件、数据库表等内容的访咨询。
系统访咨询操纵策略应由授权主体配置。
业务操纵与治理应提供覆盖到每个账号的安全审计功能,应保证无法删除、修改或覆盖审计记录。
业务有关审计记录的内容至少应包括事件日期、时刻、发起者信息、类型、描述和结果等。
对业务治理和操纵应符合国家、企业的有关规定及要求。
应能按照需要对业务及应用有关通信过程中的全部报文或整个会话过程提供必要的爱护(如进行通信数据加密),并提供业务及应用有关访咨询、通信等数据的防抵赖功能。
应能够对业务及应用服务水平进行检测,具有当服务水平降低到预先规定的阀值时进行告警的功能。
1.5.3.2业务及应用系统安全要求
应绘制与当前运行情形相符的系统拓扑结构图。
应按照顾用和服务的特点,在满足高峰期流量需求的基础上,合理设计带宽。
应按照系统内部网络结构特点,按照统一的治理和操纵原则划分不同的子网或网段,设备按照功能划分及其重要性等因素分区部署。
应在系统边界部署访咨询操纵设备,启用访咨询操纵功能,应能按照会话状态信息为数据流提供明确的承诺/拒绝访咨询的能力。
应对系统治理用户进行有效的身份标识和鉴不,并确保用户标识(用户名)具有唯独性和不易被冒用的特点,有关用户口令长度应不小于8字节,口令应有复杂度要求(使用大写字母、小写字母、数字、标点及专门字符4种字符中至少3种的组合,且与用户名或ID无有关性)并定期更换(更新周期不大于90天)。
应按系统治理用户和系统之间的承诺访咨询规则,决定承诺或拒绝用户对受控系统进行资源访咨询,操纵粒度为单个用户。
应对系统中的重要设备运行状况、网络流量监测信息、系统治理及爱护等进行日志记录,同时保留一定期限(至少180天)。
审计记录应包括事件的日期和时刻、用户、事件类型、事件是否成功及其他与审计有关的信息。
应在系统边界处对发生的端口扫描、强力攻击、木马后门攻击、DoS/DDoS攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等攻击和入侵事件提供有效的抵御和防范能力。
互联网数据中心业务内部网络应能提供有效的安全防护技术手段(如防火墙、入侵检测、漏洞扫描)。
系统年宕机时刻不超过8.76h.可靠性应达到99.9%以上。
1.5.3.3设备安全要求
应对构建有关业务及应用系统内部网络结构的数据网络设备,如各类路由器、交换机等,进行必要的安全检测。
业务及应用系统有关设备的安全应满足相应当设备技术规范、设备安全要求等行业标准的有关规定(如,宽带网络接入服务器安全要求见YD/T1658-2007、网络接入服务器设备安全要求见YD/T1045-2000、WAP网关设备安全要求见YD/T1392-2005)。
应对登录设备的用户进行有效的身份标识和鉴不,确保用户名具有唯独性,应为不同用户分配不同的权限,有关用户口令长度应不小于8字节,口令应有一定的复杂度,井定期更换。
业务及应用系统有关设备应符合设备入网治理有关要求的规定,应符合网络和业务运营商有关设备的要求。
1.5.3.4物理环境安全要求
应满足YD/T1754-2008中第2级要求。
互联网有关业务及应用系统所处机房整体抗震能力应不低于里氏7级,有关楼层承重能力不低于750kg/m2。
互联网有关业务及应用系统所处机房机架/机拒应以交替模式排列布局。
互联网有关业务及应用系统所处机房应具备防虫防鼠等有关措施,以有效防范鼠虫蚁害。
1.5.3.5互联网灾难备份及复原要求
按照YD/T1731-2008第5.1节要求,灾难备份及复原定级应与安全等级爱护确定的安全等级一致。
业务及应用系统有关设备的处理能力应具备一定的冗余,应满足业务高峰期需要。
关键设备的重要部件应采纳冗余的方式提供爱护。
应建立对业务及应用关键数据和重要信息进行备份和复原的治理和操纵机制。
有关业务及应用的关键数据(如业务数据、计费数据、系统配置数据、治理员操作爱护记录、用户信息等〉应有必要的容灾备份。
有关业务及应用的数据备份范畴和时刻间隔、数据复原能力应满足行业治理、网络和业务运营商应急预案有关要求。
重要设备、线路应采纳热备份的爱护方式进行爱护。
系统应有必要的流量负荷分担设计。
系统应具备较好的灾难各份和业务复原的能力,提供重要服务的业务及应用系统应进行系统级备份,以保证其业务连续性。
应建立对业务及应用全部数据、信息进行备份和复原的治理和操纵机制。
系统重要的业务及应用有关数据应进行异址备份。
系统应提供数据自动爱护功能,当发生故障后应保证系统能够复原到故障前的业务状态。
1.5.4IP网日志留存要求
1)上网日志留存内容
应当记录上网用户的上网时刻、用户帐号、主叫电话号码等信息。
2)日志留存时刻
应记录用户业务有关日志(如用户接入时刻和时长、用户账号、主叫号码等),同时保留一定期限〈至少60天)
1.6预算
*同步新增防火墙的预算
*新增设备同步纳入防火墙治理的施工预算
*新增设备同步纳入网管监控的施工预算
*新增设备流量监控的预算
*IP网安全的其它预算
……
固定通信网工程规划、可研、设计三同步范本
(固定通信业务包括:
固定通信网本地电话业务、固定通信网国内长途电话业务、固定通信网国际长途电话业务、消息类业务、多媒体业务等。
)
设计依据
(1)建设单位关于XX的设计编制托付。
(2)XX下发《关于XXX的通知》要求。
(3)中国联通XX技术规范v1.0。
请在常规设计依据之后增加通用安全防护规范:
*全国人民代表大会常务委员会《关于加大网络信息爱护的决定》(2012年12月28日颁布)
*《中华人民共和国电信条例》(国务院令291号)
*《互联网信息服务治理方法》(国务院令292号)
*工业和信息化部《基础电信企业信息安全责任治理方法(试行)》(工信部保[2009]713号)
*工业和信息化部《通信网络安全防护治理方法》(第11号令)
*工业和信息化部《电信网和互联网安全防护治理指南》YD/T1728-2008
*工业和信息化部《电信网和互联网安全等级爱护实施指南》YD/T1729-2008
*工业和信息化部《电信网和互联网安全风险评估实施指南》YD/T1730-2008
*工业和信息化部《电信网和互联网灾难备份机复原实施指南》YD/T1731-2008
*工业和信息化部《电信网和互联网物理环境安全等级爱护要求》YD/T1731-2008
*工业和信息化部《电信网和互联网物理环境安全等级爱护检测要求》YD/T1755-2008
*工业和信息化部《电信网和互联网治理安全等级爱护要求》YD/T1756-2008
*工业和信息化部《电信网和互联网治理安全等级爱护检测要求》YD/T1757-2008
*工业和信息化部《通用机房安全治理总体要求》YD/T2057-2009
*工业和信息化部《互联网安全防护要求》YD/T1736-2009
*工业和信息化部《互联网安全检测要求》YD/T1737-2009
请在通用安全防护规范之后增加专业安全防护防范:
***工业和信息化部《固定通信网安全防护要求》YD/T1732-2008
***工业和信息化部《固定通信网安全防护检测要求》YD/T1733-2008
1.2现状
1.2.1本期工程的网络安全现状
1.3建设方案
1.3.1本期工程的网络安全建设方案
1.4工作量
1.4.1本期工程的网络安全工作量
1.5施工技术要求
请在常规设计技术要求之后增加通用网络与安全防护技术要求:
1.5.1安全域划分
本工程应对系统进行子网划分,不同子网归属于相应的安全域。
安全域划分的原则为:
结构合理原则
按照系统在业务中承载的类型以及系统中设备所承担的工作角色,进行安全域划分,安全域的个数不应过多,各个安全域之间路由或者交换跳数不宜过多。
投资爱护原则
安全域划分应遵从统一的规范要求,充分利用安全域间的防护设备。
可操作性原则
安全域划分遵循可操作性原则,不对原有系统整体结构进行完全颠覆。
生命周期原则
安全域的划分还要考虑到由于需求、环境持续变化带来的阻碍。
1.5.2边界防护要求
安全域边界防护的总体要求是在支撑业务持续进展的前提下,通过安全域边界防护形成清晰、简洁的网络布局和系统架构,将安全风险和隐患降低到一个能够同意的水平,实现有关网络与系统之间严格访咨询操纵的安全互连。
1)集中防护
防火墙、入侵检测、专门流量检测和过滤等基础安全技术防护手段以安全域划分为基础,进行集中部署,对多个安全域或子域提供集中防护。
2)分等级防护
按照不同安全等级防护的要求,对系统所在的边界部署符合其防护等级的安全技术手段。
3)分层防护
通过安全域的划分,从外部网络到子域之间存在多层安全防护边界,分层防护确实是在每层防护边界上部署侧重点不同的安全技术手段和安全策略来实现对关键设备或系统的高等级防护。
1.5.3 固定通信网安全防护技术要求
1.5.3.1业务安全
(1)业务提供安全
交换网应具有足够的业务处理能力,应能够满足业务提供的需要,不应因为过负荷或者突发业务量而阻碍网络安全;
交换网应采取一定的安全措施,即使在网络拥塞时也能对特定的通信(如爱护操作呼叫)予以优先保证;
交换网的业务提供不应因后台计费系统的毁坏而中断;
交换设备应具有高可靠性和高稳固性,所提供的业务应尽可能不因系统引入其他新业务、系统补丁加载而中断。
(2)业务数据安全
交换网应对重要数据(系统配置数据、用户数据、计费数据等)进行备份,需要时能够对数据进行复原;
交换网应对用于操作爱护的系统密码等重要数据在数据库中应进行加密处理、而不是明文显示,并对访咨询权限进行限制;
详细计费话单应在交换网中的储备时刻和储备方式应满足有关要求,例如储备时刻应许多于24小时,未被采集前应不被删除;
重要数据(如计费数据)所占储备空间达到阈值时,系统应能产生相应的告警信息;
交换网应能够保证对业务进行本地和远程操作爱护的安全性,对操作爱护人员帐户权限分级治理,及时删除临时帐户权限,对操作爱护人员身份进行认证,记录操作爱护人员对业务所进行的任何操作,操作爱护信息储存时刻应符合有关要求,需要时应能够对操作爱护信息进行查询。
1.5.3.2网络安全
(1)PSTN网络安全
PSTN端局到同一长途局应具备双路由;
网络设备关键部件必应采纳主备热备份的结构;
PSTN中的设备应该是网络和业务运营商可控和可治理的,应确保合法且通过认证的设备(网元和治理终端)才能够进入PSTN网络;
PSTN中当交换机与操作爱护接口未采纳专线方式、而是采纳TCP/IP传输时,应提供必要的安全机制,如对传输的数据采纳IPSec等安全技术进行进一步的安全处理;
PSTN汇接局应采纳双局设置,端局到汇接局应具备双归属能力;
PSTN长途交换局应采纳双局配置,同时应放在不同的机房中。
(2)软交换网络安全
软交换网络的网络配置(如节点和链路的数量、位置或负荷分担分配比例等)应合理,不应因网络配置不合理而导致网络全部或者局部瘫痪;
软交换网与互联网间的边界关口应具有一定的安全防护能力(例如防火墙配置,常用端口屏蔽);
软交换网络应对传送的治理信息进行爱护,防止信息被非法或恶意地窃听、篡改;
软交换网络应保证会话建立过程中的信令流的通信安全;
软交换网络应保证媒体流传输过程中的保密性、完整性;
软交换网络中的设备应是运营商可控和可治理的,应确保合法且通过认证的设备(网元和治理终端)才能够进入软交换网络;
网络或设备发生故障或故障消逝时应能及时产生告警信息并发送至网元治理系统;
软交换网络中的软交换设备应采纳多节点工作的方式,一个节点的损害不阻碍业务提供,同时应能够对拥塞进行话务操纵;
软交换网络的关键设备应进行冗余备份设计,主处理板、电源和通讯板等设备的要紧部件均应支持热冗余备份;
针对软交换网络传输的媒体流爱护措施应考虑电信监管需求和对媒体流服务质量的阻碍;
软交换网络应采取安全计策(如防病毒软件、系统加固、网络隔离、防火墙、访咨询操纵等)有效地防止非法用户利用各种手段对网络发起攻击而导致网络及设备无法正常工作或瘫痪;
软交换网络应部署基于主机和基于网络的入侵检测系统,并应及时处理入侵检测系统的报警;
应对软交换网络中关键的主机系统和网络定期进行安全检查(例如使用安全扫描软件),以检查出网络弱点和策略配置上的咨询题。
1.5.3.3设备安全
PSTN网络要紧包括交换机设备,软交换网络由软交换设备、媒体网关、信令网关、媒体服务器、应用服务器、软交换业务接入操纵设备、接入网关等设备组成;
设备安全应满足设备技术规范、设备入网治理有关要求。
1.5.4固定通信网灾难备份及复原要求
固定通信网中交换网的灾难复原应按照灾难的情形,第一保证应急通信、重要通信,然后复原一样的通信。
(1)冗余系统、冗余设备及冗余链路
单节点的灾难不应导致其他节点的业务提供发生专门;单一地区范畴的灾难不应导致其他地区的业务提供发生专门;
网络灾难复原时刻应满足行业治理、网络和业务运营商应急预案的有关要求;
PSTN汇接局应采纳双局设置;
PSTN长途交换局应采纳双局配置、应放在不同的物理位置进行容灾。
(2)冗余路由
路由应支持冗余方式,如PSTN端局到同一长途局应配备双路由;
应有流量负荷分担设计。
(3)备份数据
关键数据(如计费数据、用户数据、网络配置数据、治理员操作爱护记录)应有本地数据备份;
关键数据的备份范畴和时刻间隔、采取的备份方式、数据复原能力应符合有关要求;
关键数据(如计费数据、网络配置数据)应在不同的局址进行备份。
1.5.4固网日志留存要求
1)日志留存内容
应当记录并妥善储存用户使用电信网络的有关信息
2)日志留存时刻
业务留存信息应当至少储存60日。
1.6预算
*同步新增防火墙的预算
*新增设备同步纳入防火墙治理的施工预算
*新增设备同步纳入网管监控的施工预算
*新增设备话务监控的预算
*固定通信网安全的其它预算
……
移动通信网工程规划、可研、设计三同步范本
(移动通信网含传统移动通信网及LTE核心网等。
)
1.1设计依据
(1)建设单位关于XX的设计编制托付。
(2)XX下发《关于XXX的通知》要求。
(3)中国联通XX技术规范v1.0。
请在常规设计依据之后增加通用安全防护规范:
*全国人民代表大会常务委员会《关于加大网络信息爱护的决定》(2012年12月28日颁布)
*《中华人民共和国电信条例》(国务院令291号)
*《互联网信息服务治理方法》(国务院令292号)
*工业和信息化部《基础电信企业信息安全责任治理方法(试行)》(工信部保[2009]713号)
*工业和信息化部《移动上网日志留存规范(试行)》(工信部保[2010]548号)
*工业和信息化部《通信网络安全防护治理方法》(第11号令)
*工业和信息化部《电信网和互联网安全防护治理指南》YD/T1728-2008
*工业和信息化部《电信网和互联网安全等级爱护实施指南》YD/T1729-2008
*工业和信息化部《电信网和互联网安全风险评估实施指南》YD/T1730-2008
*工业和信息化部《电信网和互联网灾难备份机复原实施指南》YD/T1731-2008
*工业和信息化部《电信网和互联网物理环境安全等级爱护要求》YD/T1731-2008
*工业和信息化部《电信网和互联网物理环境安全等级爱护检测要求》YD/T1755-2008
*工业和信息化部《电信网和互联网治理安全等级爱护要求》YD/T1756-2008
*工业和信息化部《电信网和互联网治理安全等级爱护检测要求》YD/T1757-2008
升级会员 