中国电信网络安全设备技术规范的通知
中国电信〔2009〕915号
关于印发中国电信网络安全
设备技术规范的通知
集团公司各省级分公司,欧洲公司,信元公司,卫星公司;股份公司并转各省级分公司,各专业公司,各境外公司,各研究院,中国电信学院:
为稳步提升中国电信IP网络的网络安全水平,适应未来IPv6技术的逐步引入,集团公司技术部组织设在广州研究院的“中国电信网络安全实验室”编制了2009年版的《中国电信网络安全设备技术规范》,内容涉及统一威胁管理(UTM)、防火墙(FW)、入侵防护(IPS)和异常流量清洗设备,现随文下发,供各地在网络发展和改造工作中参考。
二○○九年十一月九日
保密等级:企业秘密
中国电信统一威胁管理设备技术规范
(2009年版)
2009-11-15发布 2009-12-1实施
中国电信集团公司 发布
目录
1.编制说明 (1)
1.1范围 (1)
1.2引用标准 (1)
1.3定义、术语和缩写 (2)
1.3.1定义 (2)
1.3.2术语和缩写 (2)
2.技术规范 (3)
2.1设备质量要求 (3)
2.1.1功能完备性 (3)
2.1.2安全性 (3)
2.1.3易用性 (3)
2.2系统功能要求 (4)
2.2.1防火墙功能 (4)
2.2.2入侵防护功能 (9)
2.2.3病毒过滤功能 (10)
2.2.4内容过滤功能 (11)
2.2.5 VPN功能 (11)
2.2.6垃圾邮件防护功能 (12)
2.2.7流量管理功能 (13)
2.3设备网络管理功能 (13)
2.3.1网管基本功能 (13)
2.3.2性能管理 (14)
2.3.3安全管理 (14)
2.3.4故障管理 (15)
2.4系统性能要求 (15)
2.4.1应用层吞吐量要求 (15)
2.4.2 UTM TCP最大并发连接数 (16)
2.4.3 UTM TCP最大连接速率 (16)
2.4.4 VPN性能要求 (16)
2.5设备绿色要求 (17)
2.5.1设备管理要求 (17)
2.5.2设备环保与包装要求 (17)
2.5.3能耗分级标准 (18)
1.编制说明
1.1范围
本技术规范以RFC文档、IEEE标准以及国内相关行业标准为依据,根据中国电信实际情况和具体要求,对UTM设备的定义、系统功能、性能等进行了规定。
在本规范中:
必须:表示该条目是本规范必须,违反这样的要求是原则性错误。
必须实现:表示该要求必须实现,但不要求缺省使能。
不允许(不可以):表示该条目绝对禁止。
应当(建议):表示在某些特定条件下存在忽视该条目的理由,但是忽视或违反该条目时必须仔细衡量。
应当(建议)实现:与应当(建议)类似,实现时不必要缺省使能。
不应当(不建议):表示在某些特定条件下存在所描述行为可接受或有效的理由,但实现该行为时必须仔细衡量。
可以:表示该条目确实可选。
1.2引用标准
下列标准包含的条文,通过在本标准中引用而构成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会修订,使用本标准的各方应探讨,使用下列标准最新版本的可能性。
RFC791 IP
RFC793 TCP
RFC2616 HTTP1.1
RFC2821 SMTP
GB/T
信息系统 词汇 第8部分:安全
5271.8-2001
GB/T 17859-1999 计算机信息系统安全保护等级划分准则
GB/T 18019-1999 信息技术包过滤防火墙安全技术要求
GB/T 18020-1999 信息技术应用级防火墙安全技术要求
GB/T 18336.1~3-2001 信息技术 安全技术 信息技术安全性评估准则
RFC 1441-1452 简单网络管理协议(SNMP v2)
RFC2570-2575 简单网络管理协议(SNMP v3)
RFC0792 互联网控制消息协议(ICMP)
RFC0826 以太网地址解析协议(ARP)
RFC1157 简单网络管理协议(SNMP)
RFC 2460互联网协议(版本六)
RFC 4291 IP v6地址体系结构
1.3定义、术语和缩写
1.3.1定义
统一威胁管理(Unified Threat Management,简称UTM),它集成了防火墙、防病毒、防垃圾邮件、内容过滤、入侵防护、VPN等多项安全功能为一体的安全网关设备。
1.3.2术语和缩写
AAA认证、授权和计费
ARP 地址解析协议
DHCP 动态主机配置协议
文件传输协议
FTP
GRE 通用路由封装
ICMP 互联网消息协议
互联网协议
IP
IPSec IP网络安全协议
L2TP 二层隧道协议
LAN 局域网
NAT 网络地址转换
OSPF 开放最短路径优先
RADIUS 远程身份验证拨入用户服务
SNMP 简单网络管理协议
TCP 传输控制协议
UDP 用户数据包协议
VLAN 虚拟局域网
VPN 虚拟专用网
2.技术规范
2.1设备质量要求
2.1.1功能完备性
设备应依据本规范书实现完善、准确的功能。
2.1.2安全性
1)设备应提供有效的安全保密措施,确保系统和数据资源的安全,防止对系统
资源的非法侵入。
2)应保证所用的操作系统不存在安全漏洞。
3)远程接入只能通过HTTPS和SSH 实现,支持通过带IP 访问控制的HTTPS
来确保远程web 接入的安全性,命令行支持SSH。
4)系统应提供严格的操作控制和存取控制,在各层次应具有完善的、有效的用
户管理,能够灵活地分配用户群、用户的权限。
5)系统具备安全日志功能,可完整地记录用户的重要操作、访问信息。
6)整个系统在正式运行之前要进行安全性测试,以确保系统的安全性。
2.1.3易用性
1)应易于安装和使用,具备风格一致用户界面。
2)设备应能在浏览器中完成基本的管理任务,对用户输入错误,应尽早发现和
提示。
3)设备必须支持分布式结构,能够提供统一的管理界面对所有设备进行配置及
管理。
4)应具备完善的联机帮助功能。
2.2系统功能要求
UTM设备应具有以下描述的主要功能,但不限于以下功能:
2.2.1防火墙功能
1)必须支持路由、透明、NAT、混杂工作模式。
路由模式
设备物理接口配置确定的IP地址,内网和外网的设备都知道到该UTM的路由,这种方式适合网络初建时,IP地址统一规划有助于全网络管理。
透明模式
UTM物理接口不需配置IP地址,以透明方式嵌入到内网和外网之间,此时设备工作在第二层,在网络拓扑结构上相当于一个交换机或者网桥,内部和外部网络的用户察觉不到该UTM的存在。这种方式无需重新规划网络中的IP地址和路由,同时可使UTM免受外界入侵。
混合模式
UTM设备既存在工作在路由模式的接口(具有IP地址的接口),又存在工作在透明模式的接口(无IP地址的接口),此时UTM工作在混合模式下。
混合模式主要用于双机热备份应用,此时启动备份功能的接口需要配置IP 地址,其它接口不配置IP地址。
2)必须支持状态检测技术, 支持对ICMP、HTTP、FTP、SMTP、POP3、 RADIUS、
SIP、NTP、H.323、DNS、SNMP、RTSP等协议的状态检测或应用代理功能。
状态检测功能
基于访问控制列表的包过滤在网络层和传输层检测数据包,防止非法入侵。基于状态检测的防火墙利用四层TCP/IP的连接握手信息(会话的报文的协议和端口号等信息),建立状态表项,利用表项信息监控不同区域访问的数据情况,并依照安全策略阻止不符合规则的数据报文通过。
应用层检测技术
设备除对报文的网络层的信息进行检测,还应对应用层的协议信息(如FTP)进行检测。根据连接的状态动态地创建和删除暂时的连接。应用层检测技术在自己的数据结构中维护着连接的状态信息,并利用这些信息来创建暂时的入口(规则)。防火墙检验数据流中的每一个报文,确保报文的状态与报文本身符合用户所定义的安全规则。连接状态信息用于智能的允许/禁止报文。当一个会话终止时,暂时的访问规则也将被删除,防火墙中的会话也将被关闭。
3)必须支持一对一、多对一、多对多的双向NAT,NAPT转换,符合RFC2663、
RFC3022协议规范。
NAT模式包括静态NAT、动态NAT、PAT等。
静态NAT
静态NAT提供一对一的地址转换,将原地址固定地翻译为映射地址。
动态NAT
动态NAT把一组原IP地址翻译成可以在目标网络路由的映射地址池。映射地址池中的地址数量可以比原IP地址少。在动态NAT进行地址翻译的时候,对端口不做改变,直接修改IP地址。翻译的过程是原地址和映射地址一一对应的。该对应关系仅仅在该会话有效的时候存在,当会话失效后,对应关系就消失了。
PAT
PAT又称为端口影射,PAT可提供基于TCP、UDP的端口转换,它实现多个IP映射为一个外网IP使得许多台内网主机可以共享一个IP地址上网。在地址转换的过程中,将原地址和原端口转换成映射的地址和大于1024以上的端口。每个连接都要有一个独立的转换,因为不同连接的原IP的源端口是不同的。
4)必须支持UDP穿越NAT,可选支持STUN (RFC3489)的四种方式。
5)可选支持ALG功能,实现DNS、SIP、H.323、RTSP、L2TP等协议的私网穿
越功能。普通NAT是通过修改UDP或TCP报文头部地址信息实现地址的转
换,但对于VOIP应用,在TCP/UDP净载中也需带地址信息,防火墙设备应可识别SIP/H.323信令,发现外网呼叫信令为SIP时,能够对VOIP终端(在私网中)载荷中的IP 地址和端口号进行替换,从而实现对该协议的透明中继,通过上述机制,设备实现SIP/H.323的NAT穿越。
6)必须支持基于源/目的IP地址、源/目的端口、IP协议、时间段等参数,实现
相应的访问控制策略。
7)必须支持自动或管理员手工绑定IP/MAC地址,阻止IP地址欺骗的攻击。
8)必须支持基于用户认证进行访问控制,包括本地、radius。建议支持LDAP
和AD域等认证方式。
9)必须支持基于对象和服务组的定义,对象包括特定地址、特定地址段、特定
服务端口。
10)可选支持IGMP或IGMP Proxy/Snooping等功能,要求组播流能够转发到相
应VLAN接口。
11)必须支持防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、SYN flood、
地址扫描和端口扫描等多种恶意攻击。
12)IPv6特性
必须支持IPv6基本协议,符合RFC 2460-互联网协议(版本六)。
必须支持IPv6地址结构的规定,符合RFC 4291-IP v6地址体系结构。
必须支持路径MTU发现协议,符合RFC1981。
在设备发送IPv6数据包时,应以发送下一跳链路的MTU作为路径MTU
的初始预测值,并根据RFC1981中描述的方法修改此预测值。
设备必须支持地址自动配置功能,包括全状态自动配置(Stateful Autoconfiguration)和无状态自动配置(Stateless Autoconfiguration)。
全状态自动配置:一个DHCPv6服务器拥有一个IPv6地址池,主机从
DHCPv6服务器租借IPv6地址并获得有关的配置信息(如缺省网关、DNS
服务器等),由此达到自动设置主机IP地址的目的,类似IPv4中的DHCP。
无状态自动配置:地址自动配置功能允许本地主机根据它们的扩展唯一标
识符 (EUI) 值自动配置 IPv6 地址。配置为地址自动配置的安全设备会
将 IPv6 前缀通告给本地 IPv6 主机。本地主机使用该前缀根据它们的
EUI 值自动配置 IPv6 地址。地址自动配置减少了为各个主机手动分配
地址的需求。
设备必须支持邻接方发现功能,符合RFC2461。
邻接方发现(ND) 是在本地链接中跟踪邻接方的可达性状态的过程。如果设备接收到的最新消息确认邻接方已接收并处理了 IP 信息流或邻接方请求 (NS) 请求,则该设备会把该邻接方视为可到达的。否则,它会将该邻接方视为不可到达的。如果IPv6 主机启用 ND,则已启用 ND 的IPv6 路由器可向下游发送 ND 信息。
必须支持IPv6安全控制策略设置,能针对IPv6的目的/源地址、目的/源服务端口、协议号、流标签、扩展头属性等条件进行安全访问规则的设置。
必须支持防火墙状态检测功能、支持IPv6应用层检测技术;支持对ICMPV6、HTTP、FTP、SMTP、POP3、RADIUSv6、SIPv6、NTP、H.323、DNSv6、 SNMPv6、 RTSP等协议的状态检测。
设备必须支持IPV6/V4双协议栈功能,符合RFC2893。
设备在同一网络中同时支持IPv4 和IPv6协议。防火墙设备通过维护IPv6和IPv4两套路由协议栈使设备既能与IPv4主机也能与IPv6主机通信,分别支持独立的IPv6和IPv4路由协议。在IPv6节点中加入IPv4协议栈,实现IPv6节点与IPv4节点的互通。具有双协议栈的节点称作“IPv6/v4节点”,这些节点既可以收发IPv4数据包,也可以收发IPv6数据包。它们可使用IPv4与IPv4节点互通,也可以直接使用IPv6与IPv6节点互通。双栈技术不需要构造隧道。
必须支持隧道模式功能,包括ISATAP隧道、6to4隧道和Teredo隧道,符合RFC4214、RFC3506、RFC4380。
隧道策略是利用一种协议来传输另一种协议的数据的技术。在IPv6网络与IPv4网络间的隧道入口处,设备将IPv6的数据包封装入IPv4中,IPv4包的源地址和目的地址分别是隧道入口和出口的IPv4地址。在隧道的出口处再将IPv6数据包取出转发给目的节点。通过隧道技术实现在IPv4数据包中封装IPv6数据包,在IPv4端点之间建立IPv6隧道,使分离的IPv6网络通过IPv4连接起来。
Intra-Site Automatic Tunnel Addressing Protocol(ISATAP),它将IPv4地址夹入IPv6地址中,当两台 ISATAP 主机通讯时,可自动抽取出 IPv4 地址建立 Tunnel 即可通讯,且并不需透过其它特殊网络设备,只要彼此间IPv4网络通畅即可。
6to4(RFC3056)机制为Ipv4网络中的IPv6/IPv4主机提供相互间的自动隧道和IPv6连接,通过该技术IPv6站点和主机可使用基于6to4的地址和Ipv4网络进行通信而无须从ISP获取IPv6全球地址前缀并连接到IPv6网络中。
Teredo机制是采用IPv6-in-UDP隧道技术,通过将IPV6报文封装在IPv4的UDP报文载荷中的方式实现NAT用户和IPv6网络的互通。
设备必须支持IPv6/IPv4翻译策略技术,包括支持静态NAT-PT、动态NAT-PT、NAPT-PT技术、DNS-ALG 和 FTP-ALG,符合RFC2766。
设备对应协议的翻译分为两个层面来支持。
一是通过网络地址转换与端口转换(NAT-PT)技术实现IPv4与IPv6协议层的翻译,二是通过应用代理网关ALG来实现IPv4应用与IPv6应用之间的翻译,实现应用层的互通。
静态NAT-PT:使用静态的IPv6 和ipv4地址一一对应的处理方式。类似于IPv4 中的静态NAT ;
动态NAT-PT :使用IPv4地址池,然后将IPv6网络中动态预定义的
NAT-PT前缀加到目前的IPv4地址,类似于IPv4 的动态NAT ;
NAPT-PT :使用多个有NAT-PT前缀的IPv6地址和一个源IPv4地址之间多对一的动态映射,转换同时在3层和UDP/TCP层上进行。它和IPv4中的PAT类似。
必须支持IPv6静态路由。
必须支持IPsec,包括AH 和ESP协议,MD5、SHA-1的HMAC算法;
支持手工密钥管理,支持IKE。
支持基于RADIUSv6的管理员集中认证、授权和记帐管理,必须可以配置不同与普通接入用户的RADIUS服务器完成,支持基于命令行的集中授权。
2.2.2入侵防护功能
1)必须支持HTTP、FTP、SMTP、DNS、NETBIOS、POP3等应用协议的入侵防护功
能,可选支持IMAP、P2P、IM、RPC等应用协议的入侵防护功能。
2)必须支持对ping of death、IP spoofing、Port scan、Land attack、Tear
drop attack、IP address sweep attack、WinNuke attack、ICMP Fragment 等常见攻击类型的防护。对ICMP flood、UDP Flood、SYN Flood等攻击类型可通过连接速率阀值来进行防护。
3)必须支持检测的攻击类型包括:蠕虫、恶意代码、协议异常、缓冲区益出、
SQL注入等。
4)必须支持入侵攻击特征库的定期更新升级,对于当前流行网络攻击行为的监
测和防护具备持续更新的能力。
5)必须支持在线更新攻击特征库技术,可在不停止检测防护任务的情况下自动
更新攻击特征库。
6)必须支持特征库攻击类型的分类。
7)必须支持自定义的特征。
8)IPv6特性
必须支持IPv6基本协议,符合RFC 2460-互联网协议(版本六)。
支持基于IPV6的流量特征分析技术;
设备监听网络流量,对数据包进行分析,根据数据包类型、源IP地址、目的IP地址、源端口号、目的端口号、扩展头、流标签等信息,采用协议分析技术确定IPV6环境下的网络流量特征。
支持基于IPV6的漏洞攻击事件的特征和行为分析功能;
设备监听、分析网络流数据,发现不合理代码、恶意代码和不完整的数据包;检查网络应用和数据的一致性、正确性,对用户的非正常活动进行统计分析,发现入侵行为的特征和规律。
支持基于IPV6的报警及阻断功能;
根据用户定义,警报事件在经过系统过滤之后应该及时响应,包括实时切断连接会话、进行相应IP地址、扩展头、流标签、协议端口的阻断、发送简单网络管理协议Trap报警、数据库记录等。
支持基于IPv6的探测碎片攻击和协议确认技术,包括支持分片包缓冲处理机制、IP分片包重叠分析机制;
在协议分析中,如果出现IP碎片,数据包将首先被重装,然后详细分析以潜在的攻击行为。通过重装数据包,检测逃避IPS的攻击手段。因此,寻找非法或可疑值,检查不同层的协议域,包括未被使用的域、非法值、不常见缺省、不适当选项、不规则序列号、序列号裂口、序列号交迭、checksum和循环冗余校验修改等。
分片包缓冲处理机制:在属于同一个原始IP数据包的所有分片包到齐之前,入侵检测系统必须将所有先期到达的分片包放到一个缓冲区中。设备必须具备防止分片攻击机通过故意不发送属于同一个原始IP数据包的一个分片包或者故意发送多个分片包,造成入侵检测系统的IP分片重组模块因为消耗掉所有内存而遗漏攻击数据甚至崩溃的机制。
IP分片包重叠:在IPv4还是IPv6网络中,分片包都有一个类似于分片偏移量(fragment offset)的域来标志每个分片包在原始数据包中的偏移量,设备必须具备防止故意构造错误的分片包偏移量就能造成分片包的重叠机制。
设备必须支持分析检测隧道数据包的功能。
包括IPv6 over IPv4和IPv4 over IPv6等隧道数据包的分析检测,能检测IPv4/IPv6共存网络环境下的各种网络入侵行为。
2.2.3病毒过滤功能
1)必须支持HTTP、FTP、SMTP、POP3等应用协议的病毒过滤功能。
2)必须支持对常见木马、间谍软件和蠕虫进行查杀。
3)必须支持病毒库和杀毒引擎的实时更新升级(检查更新的周期应小于24小
时),对于最新的各种病毒、蠕虫和恶意代码具备持续更新的防护能力。 4)必须支持在线更新病毒库技术,可在不停止杀毒任务的情况下自动更新病毒
代码库。
5)必须支持通过阈值过滤的算法对不可知的病毒实现控制。
6)必须支持针对文件大小及类型的扫描设置。
7)支持针对IPv6策略的进行病毒扫描及过滤功能。
2.2.4内容过滤功能
1)必须支持基于URL进行内容过滤。
2)必须支持基于文件类型进行内容过滤。
3)必须支持针对ActiveX、Java、Cookies、Javascript、CGI、ASP等类型的
脚本程序进行过滤,并向浏览器用户报警。
4)必须支持对内容过滤相关黑白名单库的定期升级。
5)必须支持用户自定义的黑白名单网址。
6)支持针对IPv6策略的进行内容过滤功能。
2.2.5VPN功能
1)必须支持IPSec VPN,支持传输模式AH(Authentication header)、隧道模
式AH、传输模式ESP(Encapsulating security payload)、隧道模式ESP。
2)必须支持Site to Site、Remote Access等VPN组网形式。
3)必须支持预共享密钥和X.509 数字证书等认证方式来进行VPN认证。
4)必须支持通过IKE(Internet Key Exchange,因特网密钥交换)。
5)必须支持DES、3DES、AES 128、AES 192、AES 256等符合国家密码管理的
有关规定的加密算法。支持多种哈希验证算法(MD5、SHA-1等)。
6)必须支持可以基于固定IP地址建立IPSec隧道,支持通过域名建立IPSec
隧道。
7)必须支持IPSec报文透明穿越NAT网关。
8)必须支持IPSec、L2TP、PPTP三种VPN接入方式。
IPSEC VPN
为保障用户数据的安全及完整性,目前广泛使用网关到网关的IPSEC VPN。位于集团总部和分支机构用户之间的数据通讯可以透明的被安全网关封装到VPN隧道内通过公网进行传输,通过加密算法(例如3DES或AES128)
对隧道内的数据进行加密,以防止通讯数据被窃取,同时通过认证算法(例如MD5或SHA-1等)对隧道内的数据封包进行数据摘要,以防止他人篡改数据;
PPTP、L2TP VPN
对远程移动用户或企业的出差用户来说,使用Windows98/2000/XP/2003 等系统自带的PPTP/L2TP拨号软件,不需要附加额外的软件进能使客户端与防火墙设备建立VPN隧道,保障传输数据的保密及完整性,实现简单灵活的远程安全访问。
9)支持IPv6的IPsec, 包括:IPv6 in IPv6、IPv4 in IPv6、IPv6 in IPv4
模式;
6 in 6
6in6 通道技术是一种将 IPv6 封包封装到 IPv6 封包的方法,当已交换信息必须在IPv6 域中移动且需保护时将对其进行使用,以确保数据的机密性和完整性。当用户需要通过 IPv6 基础结构在 IPv6 主机与其它 IPv6 主机间建立安全通信时,应结合 6in6 通道技术来使用 IPSec 。除封装封包外,IPSec 还可执行认证和加密。
4 in 6
4in6 通道技术允许用户通过 IPv6 中枢在 IPv4 网络间建立通信。该转换机制使用IPSec 来封装通过 IPv6 中枢在 IPv4 网络间进行交换的封包。
封装使交换封包在整个 IPv6 网络空间内可路由。除封装封包外,IPSec 还可执行认证和加密。
6 in 4
通过使用认证和加密的 IPSec 通道技术,来封装安全设备在 IPv4 WAN 上的远程IPv6 孤岛网络间传送的封包。
2.2.6垃圾邮件防护功能
1)必须支持SMTP,POP3协议,可选支持IMAP协议。
2)必须支持基于主题、发件人、收件人、抄送、信件体和正文的关键字垃圾邮
件过滤。
3)支持用户自定义关键字(主题、内容、附件等)。
4)必须支持基于邮件、IP地址的黑白名单定义,通过匹配邮件和IP进行垃圾
邮件进行拦截。
5)必须支持针对SMTP高频率的攻击进行限制。
6)必须支持垃圾邮件特征库自动和手动升级。
7)必须支持邮件大小设置,如果超过这个大小将不会视为垃圾邮件扫描。
8)必须支持反向DNS查询,更有效防止垃圾邮件对邮件服务器的攻击。
9)可选支持RBL黑白名单,对于这些RBL将进行严格扫描。
2.2.7流量管理功能
1)必须支持基于端口的带宽限速。
2)必须至少支持4条Differserv QoS优先级队列,支持队列的权重分配,可
选支持WFQ等调度算法。
3)必须支持基于业务流的CAR。
4)必须支持对同一时间接入公网的用户Session总数进行限制。
5)必须支持根据协议类型设置流量优先等级,保障关键业务的带宽要求。
6)必须支持根据IP地址进行带宽控制,保障特定IP地址的带宽要求。
7)支持根据应用服务(如QQ/MSN/BT/eDonkey/Skype等应用)的控制功能。
2.3设备网络管理功能
2.3.1网管基本功能
1) 必须支持集中管理的功能,通过中心平台集中管理多台UTM,实现对多台
设备进行系统升级、配置下发、日志系统收集、系统资源信息收集等功能,升级过程支持回退功能。
2) 设备网管系统应具有良好图形用户界面、在线帮助、软件下载、自动发现新
上网的管理实体等先进功能。
3) 支持分级网管和虚拟网管,支持本地控制口以及远程配置和管理。要求支持
SNMP V1/V2协议,建议支持SNMP V3,支持标准的MIB库。
4) 支持基于RADIUS的管理员集中认证、授权和记账管理,支持基于命令行的
集中授权。
5) 具备QoS流量、故障、安全、配置等关键统计信息的本地存储功能,并以
XML的形式表达,通过FTP方式传送到指定的FTP服务器。
6) 支持带外网络管理物理接口。
7) 设备需要支持网络时间同步协议NTP,支持NTP认证和NTP客户端。
2.3.2性能管理
1) 能提供统计分析功能,包括对Ethernet接口的物理特性的统计,统计每个
端口接收帧/信元计数、可纠正帧/信元计数,帧/信元丢失率。
2) 可以针对每一项性能指标设定各种变化的门限,从性能变化的异常现象报
告中,获知网络性能的变化,进行性能分析,采取相应措施,同时应该能够对于门限的选择方式及理由进行充分的描述,具体应包括早期告警负荷监视,过负荷监测,拒绝监测,轻微过负荷门限,过负荷门限,负荷告警等。
3) 对历史统计数据的分析功能。
4) 应按照管理规程创建和维护性能统计日志。
5) 提供设备CPU、内存及硬盘分配及使用情况报告。
6) 能提供基于每个虚拟防火墙的资源分配及使用情况报告。
2.3.3安全管理
1) 设备必须提供充分的保护机制,避免受到恶意侵入或误操作所引起的破坏。
2) 应能对每个管理员单独设置登录名、口令、操作范围、权限。
3) 对传送的网管信息报文中共同体名称提供加密机制。
4) 提供安全日志与安全告警,对管理员的登录历史与操作内容进行记录,对
危害安全的操作进行告警,安全日志的管理由最高权限的管理员负责。5) 对一些重要的操作提供操作撤消功能。
2.3.4故障管理
1) 能自动实时监测本管理域内的设备状态:如正常、故障,并能直观地反
映在操作界面上(如用不同颜色的图形表示),并提供声音报警。
2) 对故障发生的时间、位置、类型、原因、恢复时间等进行统计分析并分类
处理,要求输出到文件系统或外设。
2.4系统性能要求
目前根据中国电信业务发展趋势及UTM产品功能和性能现状,将UTM设备分为高、低端两个类型。
2.4.1应用层吞吐量要求
1)设备在开启防火墙和入侵防护安全业务功能模块且攻击特征库数量不少于
200条的情况下(一条全通规则),低端产品吞吐量应不少于30Mbps,高端产品吞吐量应不少于50Mbps。
2)设备在开启防火墙和防病毒安全业务功能模块且病毒特征库数量不少于
500个的情况下(一条全通规则),低端产品吞吐量应不少于15 Mbps,高端产品吞吐量应不少于30Mbps。
3)设备在一条全通规则、开启所有安全业务功能模块情况下(病毒特征库数
量不少于500、攻击特征库数量不少于200),吞吐量应达到10-20Mbps,高端产品吞吐量应不少于20Mbps。
4)在添加多条安全规则下(10条),以上对应项目的性能下降幅度不能超过
3%。
应用层吞吐量是衡量UTM性能的一个关键指标。UTM整机应用层吞吐量包括了开启AV、IPS、FW等多个综合安全功能情况下的性能。
2.4.2UTM TCP最大并发连接数
1)在只开启防火墙模块的情况下,低端产品最大TCP并发连接数不少于10,000
条,高端产品最大TCP并发连接数不少于16,000条。
2)在所有安全业务功能模块开启后,低端设备最大TCP并发连接数不少于
8,000条,高端产品最大TCP并发连接数不少于10,000条。
并发连接数是衡量UTM性能的一个重要指标。UTM所能处理的最大会话数量,就是并发连接数, UTM设备里有并发连接表,是UTM用于存放并发连接信息的地方,它在UTM系统启动后动态分配进程的内存空间,其大小也就是UTM 所能支持的最大并发连接数。大的并发连接表可以增大UTM最大并发连接数,允许UTM支持更多的客户终端。
2.4.3UTM TCP最大连接速率
1)在只开启防火墙模块的情况下,低端设备每秒TCP连接数不少于2,000条,
高端设备每秒TCP连接数不少于4,000条。
2)在所有安全业务功能模块开启后,低端设备每秒TCP连接数不少于1,000条,
高端设备每秒TCP连接数不少于2,000条。
TCP连接速率是衡量UTM性能的一个重要指标之一。UTM最大TCP连接建立速率是指UTM设备在单位时间内所能建立的最大TCP连接数,一般以CPS (Connections per second)表示。
2.4.4VPN性能要求
IPSec VPN Tunnel数目,低端设备不少于20个, 高端设备不少于30个。3DES VPN吞吐量,低端设备不少于10 Mbps,高端设备不少于20Mbps。
中国电信服务规范与标准
中国电信服务规范与标准 为进一步规范企业内部管理,不断提高电信服务质量和服务水平,中国电信集团公司依据信息产业部颁布的《电信服务标准(试行)》,特制定《中国电信集团公司电信服务标准》,以下是该标准的一些基本问题解答: 一、固定电话服务质量标准是什么? 答:1、紧急电话接入服务 1.1 定义: 紧急电话接入服务是指电信企业应向电话用户免费提供火警、匪警、医疗急救、交通事故报警等紧急电话的接入服务,免费紧急电话为119、110、120、122等。 1.2 服务标准: 保证通信畅通并免费向用户提供服务。 1.3 质量检查要求: 按规定对各局向的紧急电话119、110、120、122等进行测试。 2、电话装机、移机时限 2.1 定义:
电话装、移机时限是指自电信企业受理用户装、移机交费之日起,至装、移机通话所需要的时间(非局方原因除外)。 2.2 服务标准: 城镇一般用户电话装、移机时限≤28日,农村一般用户电话装、移机时限≤38日,电话装、移机及时率≥98%;电话装、移机平均时限≤15日。 大用户电话装、移机时限是一般用户电话装、移机时限的二分之一。 重要用户和电话集中放号以电信企业与该用户签订的协议为准。 2.3 计算(统计)方法: 装、移机时限=装、移机施工完毕并通话日期-电信企业受理用户装、移机交费日期 2.4 质量检查要求: 有定期检查电话装、移机制度; 对营业受理、配线配号、程控机房、测量、外线施工等依据每个流程环节的服务时限进行抽查。 3、电话复话时限
3.1 定义:电话复话时限是指自停机用户办理恢复开通手续、归属电信企业收到有关费用时起,至电话恢复开通所需要的时间。 3.2 服务标准: 电话复话时限≤24小时 3.3 计算(统计)方法: 电话复话时限(小时)=竣工时间-用户办理恢复开通手续归属电信企业收到有关费用时间 3.4 质量检查要求: 有定期检查制度: 对营业网点的受理单、营业系统、交换机房的用户数据等进行服务时限的抽查。 4、市话业务变更时限 4.1 定义: 市话业务变更时限是指用户办理更名、过户以及各种程控电话服务项目,自办理登记手续且结清帐务时起,至变更所需要的时间。 4.2 服务标准: 市话业务变更时限≤24小时
中国电信五心服务体系
中国电信五心服务 体系 1 2020年4月19日
中国电信江门分公司构建“五心”服务体系 【核心提示】 服务是通信运营企业的生命线。作为国家主体电信运营商和国内最大的综合信息服务提供商,中国电信一直在促进信息化建设、提供高品质的全业务综合信息服务、支持国民经济和社会信息化发展等方面发挥着标杆作用。 在今年3·15国际消费者权益日到来之际,中国电信江门分公司(以下简称江门电信)以提升客户满意度为主线,结合消费者的热点诉求,部署服务创新举措,创立了“五心”服务体系,力求为消费者提供最优质的服务体验。 文/陈祺伟海虹图/中国电信提供 A 创新开放客服模式,智能服务“更交心” 为适应移动互联网发展,满足客户多渠道享受电信服务与产品的需求,江门电信全力建设多媒体智能客服模式,打造“立体、智能、开放”的客服体系。 在原有传统服务渠道的基础上,江门电信大力创新微博客服、微信客服、189邮箱、QQ客服等新型服务模式,经过自助、互助、她助等多服务手段,实现语音、短信、邮件、即时通信、微博等方式的服务协同,全面提升客户服务水平。
其中,经过QQ客服,客户能够文字、图片等形式就费用查询、业务受理、咨询、故障申告等需求,与客服进行在线交流与沟通;微信客服作为客户随身携带、随需使用的电信服务小助手,可协助客户以文字、语音、图片、视频等任一媒体制式向客服发起即时沟通,实现常见服务信息的查询、常见业务的办理以及服务信息的订阅,同时还可经过微群实现与其它客户的互动互助;为让客户更加清晰、准确地表述投诉问题、了解投诉处理结果,自由掌控投诉时间与地点,江门电信还创新189邮箱服务,方便客户随时随地经过PC或手机终端进行投诉、获取投诉处理结果。 B 七种自助服务渠道,让客户选择“更随心” 为满足客户对自助服务形式的多样化需求,江门电信提供网厅、掌厅、短厅、10000号热线、QQ()、微博、微信、邮箱、10000知道、自助终端等多种形式的自助服务手段。客户只要经过点击鼠标、发送短信或拨打电话,就能轻轻松松地完成电信服务订购、费用查询、业务咨询、故障申告等,更加随心地消费电信业务。 江门电信的“缴费一站通”,为客户提供多渠道的充值缴费服务:客户登录电信网上营业厅,经过网银、快捷支付、支付宝、充值卡等多种支付方式,为手机、宽带和固话充值缴费;使用掌上营业厅客户端,经过充值卡、网银、支付宝为本机或其它电信手机进行话费充值;借助短信营业厅,编辑“CZ”或“107”发送至“10001”,立即为本机号码进行充值。 3 2020年4月19日
中国电信网关建设工程技术规范书
中国电信网关建设工程技术规范书 1
中国电信北京公司移动网络建设 ( 一期)行业网关建设工程 技术规范书 北京市电信有限公司 二ΟΟ九年三月 I
目录 1 概述................................................................... 错误!未定义书签。 1.1 定义 .......................................................... 错误!未定义书签。 1.2 建议书要求 .............................................. 错误!未定义书签。 1.3 ★报价书要求 .......................................... 错误!未定义书签。 1.4 标准和性能 .............................................. 错误!未定义书签。 1.5 乙方供货和服务范围.............................. 错误!未定义书签。 1.5.1 硬件设备 ............................................ 错误!未定义书签。 1.5.2 软件 .................................................... 错误!未定义书签。 1.5.3 安装材料和消耗品 ............................ 错误!未定义书签。 1.5.4 项目实施与集成服务 ........................ 错误!未定义书签。 1.5.5 工具和备件 ........................................ 错误!未定义书签。 1.5.6 技术文件 ............................................ 错误!未定义书签。 1.5.7 技术支持和技术培训 ........................ 错误!未定义书签。 1.5.8 安装、调测、试运转的技术支持和现场验收测试 错误!未定义书签。 2 工程概述........................................................... 错误!未定义书签。 2.1 项目背景 .................................................. 错误!未定义书签。 2.2 项目目标 .................................................. 错误!未定义书签。 2.3 建设原则 .................................................. 错误!未定义书签。 2.4 建设内容 .................................................. 错误!未定义书签。 I
网上电信营业厅技术规范
网上电信营业厅技术规范 (暂行) 中国电信集团公司 2001年4月
目录 1 总则......................................................................................................... 错误!未定义书签。 1.1 概述......................................................................................... 错误!未定义书签。 1.2 目标......................................................................................... 错误!未定义书签。 1.3 服务内容................................................................................. 错误!未定义书签。 1.4 建设原则................................................................................. 错误!未定义书签。 1.5 适用范围................................................................................. 错误!未定义书签。 1.6 引用标准................................................................................. 错误!未定义书签。 2 系统结构................................................................................................. 错误!未定义书签。 2.1 网上电信营业厅体系结构..................................................... 错误!未定义书签。 2.2 网上电信营业厅技术体系结构............................................. 错误!未定义书签。 2.2 网上电信营业厅与其它业务系统的关系............................. 错误!未定义书签。 2.3 系统功能结构......................................................................... 错误!未定义书签。 2.4 网上电信营业厅业务功能组成结构..................................... 错误!未定义书签。 3 网上电信营业厅功能技术要求............................................................. 错误!未定义书签。 3.1 服务页面处理要求................................................................. 错误!未定义书签。 3.2 服务页面管理要求................................................................. 错误!未定义书签。 3.3 电信业务接口管理要求......................................................... 错误!未定义书签。 3.4 系统管理要求......................................................................... 错误!未定义书签。 3.5 统计分析管理要求................................................................. 错误!未定义书签。 4 对现有业务系统要求............................................................................. 错误!未定义书签。 4.1 用户管理................................................................................. 错误!未定义书签。 4.2 认证处理................................................................................. 错误!未定义书签。 4.3 支付管理................................................................................. 错误!未定义书签。 4.4 认证与支付接口管理............................................................. 错误!未定义书签。 4.5 业务预处理............................................................................. 错误!未定义书签。 4.6 业务信息管理与发布要求..................................................... 错误!未定义书签。5总体技术要求......................................................................................... 错误!未定义书签。 5.1系统设计要求......................................................................... 错误!未定义书签。 5.2 网站建设要求......................................................................... 错误!未定义书签。 5.3系统性能要求......................................................................... 错误!未定义书签。 5.4系统扩展性............................................................................. 错误!未定义书签。 5.5系统可靠性............................................................................. 错误!未定义书签。6支付业务处理流程................................................................................. 错误!未定义书签。 6.1 与集团公司的统一支付平台相连......................................... 错误!未定义书签。 6.2 与本地银行支付系统相连..................................................... 错误!未定义书签。7系统安全要求......................................................................................... 错误!未定义书签。 7.1主机安全(含网络层)......................................................... 错误!未定义书签。 7.2 通信安全(应用数据传输)................................................. 错误!未定义书签。 7.3系统安全................................................................................. 错误!未定义书签。 7.4数据安全................................................................................. 错误!未定义书签。 7.5管理安全................................................................................. 错误!未定义书签。 7.6 机房安全................................................................................. 错误!未定义书签。
电信网络安全及其防护措施分析
电信网络安全及其防护措施分析 【摘要】随着我国经济和技术的快速发展,我国电信行业也取得了较大的进步。尽管已经取得了较大的进步,但是,电信网络安全问题我们不能忽视,而加强电信网络安全又是一项非常重要的工作。本文主要分析和探讨了电信网络安全的现状,进而找出了影响电信网络安全的因素,并根据所出现的问题提出了合理的解决措施。 【关键词】电信;网络安全;防护措施 一、电信网络安全保障体系的建立和现状 电信运营商对网络安全建设都非常重视,根据网络和业务特点建立了网络安全保障体系,我国建设电信网络安全保障体系较早。网络规模在不断扩大,业务也取得了突飞猛进的增长,只凭借管理和应急措施很难完成网络安全的工作。随后又建立了soc平台,包含手段和技术保障以及较为完善的技术管理体系,从而实现电信网络的安全保障工作。整个系统通过多个模块协同工作,从而实现对整个网络安全加以监控。网络安全是相对的。网络是开放互联、技术和设备引进、自然灾害以及突发事件的发生,使得电信网络表现出脆弱性。从狭义的网络安全方面分析,攻击技术在不断的发展,攻击数据的获得很容易,所以,对网络攻击也是轻而易举的事情;然而网络运营商分布范围越来越广,这种分布网络在管理上很容易出现漏洞。但是从广义网络安全方面分析,业务诈骗、垃圾邮件等违法行为,已经成为威胁网络安全的主要因素。
二、电信网络安全面临的形式和主要问题 (1)互联网和电信网融合给电信网带来安全威胁。随着科技的进步,出现了ip电话,然而ip电话接通需要和传统电信网相连通,信令网和业务网不再分开独立运行。实现ip通话就必须建立tcp/ip 协议,建立的同时也会引入很多安全问题。由于ip电话主叫号码不在ip包中传送,如果出现违法行为,运营商和执法机关对用户身份的确定需要费劲周折,同时也加大了打击力度。(2)新技术和业务的引入影响电信网的安全。ngn技术的引入打破了传统电信网络不同的业务网的建立和分离管理的传统思想。ngn技术给运营商带来了巨大的好处,但是从网络安全方面分析,如果措施采取不正确,可能会增加网络的复杂性和不可控性。(3)运营商缺乏合理的协调配合,出现问题难以很快恢复。现如今我国电信行业竞争非常激烈,但是与技术改革相配套的措施还不完备,以及在电信市场运营商分散范围较广的情况下的监督措施还不完善,这样就给电信网络安全带来更多更新的威胁。 三、电信网络安全防护的措施 (1)发散性技术设计方案的运行。选择电信行业安全解决方案,先要对关键资源进行定位,把关键资源作为基点,依照发散性的思想进行安全分析和保护工作,从而为电信网络系统建立一个规范的系统,具备统一的业务网和管理管理流程,具备统一的接口和协议。(2)网络层安全解决方案。网络安全氛围两个大的安全区域,包含关键服务器和外部接入网络区域,两个区域之间要采取安全隔离
电信毕业论文:中国电信客户服务.doc
电信毕业论文:中国电信客户服务 随着科学技术的发展和市场的逐渐饱和,电信业的竞争已从原来简单的价格竞争逐步转换为包含品牌、服务在内的综合竞争,而其中的服务水平正逐渐成为企业的核心竞争能力之一。但我们不能不看到,目前中国电信的服务工作却面临着巨大的挑战。不论是企业内部的服务流程,还是服务管理的举措等诸多方面,都还存在着有待优化的空间。原有客户服务体系已明显显现不足,并开始成为制约中国电信发展的一个重要因素。尽快打造一个全新的中国电信客户服务管理体系,已成为推动中国电信发展亟待解决的重要课题。 一、中国电信建立新型服务管理体系的必要性 (一)适应国家通信行业重组的需要 2017年,为深化电信体制改革,电信资源配置进一步优化,竞争架构得到完善,电信业持续健康发展,实现全业务经营,形成适度、健康的市场竞争格局,电信业进行了重组。对于中国电信来说,原有的体系力量结构、服务对象、服务内容、服务标准等都发生了前所未有的变化。服务管理作为中国电信力量结构的重要组成部分,为了适应中国电信发生的新变化,原有的服务管理体系必须随之更新,否则,一个旧的服务体系势必难以适应新的形势发展的需要。也可以说,中国电信能否建立起一个新型的服务管理体系,也事关国家通信行业重组战略决策的落实。 (二)适应中国电信企业发展的需要 服务管理贯穿于企业运营的各个层面,是企业运营的核心。它涉及
到营销、管控、支撑等各个层面,可谓是"牵一发而动全身"。做好服务工作不单单是服务部门的事情,而是企业良好的整体运营能力的体现。能够将服务管理工作始终如一地做好,不仅仅需要前台提升服务质量,更重要的是后台的支撑要跟上。运营商单靠一些零敲碎打的计划是无法从根源上解决服务问题的,更不可能凭此获得竞争优势。现代企业的发展实践表明,一个企业的服务管理体系是否完善、有力,直接影响甚至决定着一个企业的命运。服务管理_丁作做好了,企业的运营必然有序,发展充满活力;而服务管理不到位的企业,总难免要出这样那样的问题或纰漏,轻则影响企业的效益,重则造成企业的倒闭,这样的事例屡见不鲜。 (三)应对激烈的市场竞争的需要 当前基础电信市场同质化竞争严重,由于客户选择的机会大大增加,迫使各电信运营商围绕着客户的争夺愈演愈烈,使得电信运营商们面临着前所未有的竞争压力。对客户的争夺,已经成为当前各电信运营商竞争的焦点。在这种背景下,为了谋求长远发展,运营商就不能不越来越关注服务水平的提升,将服务管理作为企业核心竞争力的关键要素。企业要在日益竞争激烈的市场上站稳脚跟,立于不败之地,既要注重新技术的研发,新市场的开拓,新产品的推广,同时又要做好服务管理,并且这种服务管理是能够覆盖企业各个层次、各个领域、各个环节的体系性管理,而不是单一、片面、分散、游兵散勇、各自为政的服务管理。 (四)适应客户需求的需要 目前,电信企业进入了围绕消费者体验的后营销时代,客户服务质量对消费者体验结果有很大的影响作用,服务作为企业价值链上最靠近消
电信公司客服的自我总结
电信公司客服的自我总结 我在大学里学的是播音专业,在毕业后本想找个电视台工作,可是那里的条件要求实在太苛刻,我的能力和资质达不到要求,结果当然是得不到电视台工作了。之后我就想去电台做播音员,我最自己的音质还是有自信的,可是还是没有合格,最后我只好来到电信公司做客服工作人员。 一年来,在公司党委的正确领导和关心帮助下,本人认真学习三个代表的重要思想,学习科学发展观,按照局党委确定的工作思路,以微笑服务为己任,以顾客满意为宗旨,立足本职、爱岗敬业、扎扎实实地做好电信基层客服工作。现对自己全年的工作的自我总结如下: 一、立足本职,爱岗敬业 作为客服人员,我始终坚持把简单的事做好就是不简单。工作中认真对待每一件事,每当遇到繁杂琐事,总是积极、努力的去做;当同事遇到困难需要替班时,能毫无怨言地放弃休息时间,做好工作计划,坚决服从公司的安排,全身心的投入工作。 二、勤奋学习,与时俱进 理论是行动的先导。作为电信基层客服人员,我深刻体会到理论学习不仅是任务,而且是一种责任,更是一种境界。一年来我坚持勤奋学习,努力提高理论水平,强化思维能力,注重用理论联系实际,用实践来锻炼自己。 1、注重理论联系实际。在工作中用理论来指导解决实践,学习目的再于应用,以理论的指导,不断提高了分析问题和解决问题的能力,增强了工作中的原则性、系统性、预见性和创造性。到公司三年来,我注重把理论转化为自己的科学思维方法,转化为对实际工作的正确把握,转化为指导工作的思路办法,积极研究新情况,解决新问题,走出新路子,克服因循守旧的思想,力戒经验主义,拓展思维。 2、注重克服思想上的惰性。坚持按制度,按计划进行理论学习。首先不把理论学习视为软指标和额外负担,自觉参加每季度的党课集中学习;其次是按自己的学习计划,坚持个人自学,发扬钉子精神,挤时间学,正确处理工作与学习的矛盾,不因工作忙而忽视学习,不因任务重而放松学习。 在今后的工作中,我会继续发扬我在过去的工作方式,我会努力的继续工作,
中国电信客服人员年终总结_1
中国电信客服人员年终总结 我作为一名中国电信的客服人员差不多三年了。在这三年里,有苦有累,有欢笑也有感动。有收获有疑咨询,有成熟更有对客服以后的别断探究。 做客服,人说“这是在做吃力别讨好的事”。真的,客服需要处理的事有时是那么琐碎,每天忙忙碌碌,每天都会碰到各种各样的客户,礼貌的,粗鲁的,谢谢的,生气的,说理的,别说理的,打错电话的……刚开始的时候,每天的情绪也会随着碰到的情况,碰到的客户而改变。被客户骂了两句,心情变得沉重,笑别出来;被客户表扬了,立即轻盈起来,热情而周到。想想这是很别成熟的表现。所幸我得到身边不少同事们的帮助,使我渐渐成熟起来。用户真诚的道谢和中意的笑声使我体味到了自己的价值。在初接电话,对客户所提出的咨询题,我别敢轻易做出回应。但很快,我便意识到除了有热情的态度之外更应该有丰富而扎实的业务知识,才别致以使自己没有脚够信心来正确回答客户的咨询题。于是,我养成了利用工作之余的时刻来熟悉业务知识与做疑难咨询题记录的适应。记得当初接线时,我遭遇不少困难,别止一次没有彻底回答好客户提出的咨询题,甚至遭遇到客户的投诉,我的心情在很长一段时刻内都处于最低谷。但是,我没有所以而放弃自己,而是向来在寻觅弊端,别耻下咨询,加强业务积存和学习,还主动利用业余时刻多听了一些优秀的录音。经过一年的努力,我终于没令自己失望,荣获“优秀话务员”的称号,得到大伙儿的认可和赞许。 记得有一天晚上接到一具客户电话,说他家的小灵通被抢,要立即报停,但是报别出机主是他爱人的身份证号而被话务员委婉拒绝,并告知只能改日到营业厅去处理。我接到他的电话时他的心情显得颇为兴奋,显然他是多次打入过。没有值班长在场,如何办?严格遵守
中国电信营业厅服务规范与基础管理指导手册
中国电信营业厅服务规范与基础管理 指导手册 中国电信集团公司 2007年4月 前言 随着电信市场竞争的曰益激烈,营业厅作为企业与客户沟通的桥梁,企业形象宣传的重要窗ロ,在宣传企业、客户、业务品牌的形象,提升客户感知,树立竞争优势,扩展客户数量,増加企业收入等方面的作用越来越明显。为强化中国电信“用户至上、用心服务”的服务理念,完善营业厅的基础管理,树立中国电信优质服务的形象,提升营业厅销售服务执行能力,集团公司组织编写了《中国电信营业厅服务规范与基础管理指导手册》。各省级电信公司可参照手册内容,结合本地实际,进ー步细化对自有营业厅、合作营业厅和代理服务点的服务规范和管理要求,认真组织实施。 本手册依据信息产业部《电信服务规范》、《中华人民共和国电信条例》的相关规定,结合中国电信企业发展战略、市场竞争环境、满足客户差异化需求、提高客户忠诚度等方面的需要,对《中国电信营业服务规范(2005 )》(中国电信[2005] 538号)中有关营业厅的相关服务标准进行了补充和完善,并增加了营业厅基础管理等内容。 本手册共有六部分,第一部分是销售服务内容与要求;第二部分是服务规范; 第三部分是销售活动执行;第四、五部分是现场管理与后台管理等基础管理要求; 第六部分是团队文化建设。 参加本手册编写的成员有:广州电信分公司刘洪彦、深圳电信分公司徕卫华、武汉电信分公司万军红、徐州电信分公司徐玮、温州电信分公司张恺翔、泉州电信分公司许凌峰、北京研究院王红蕾、陈炜,同时还得到了安徽省电信公司张雷等同志的大力支持,在此表示衷心感谢! 中国电信集团公司市场部 ニ00七年四月
目录 前言------------------------------------------------------------- 1胃一部分 _服务随与要求------------------------------------------- 4胃一章迎#服务 (4) 第二章流动咨询服务 (5) 胃三章?定錢服务 (8) 测章演示体验服务 (9) 第五章综合业务受理 (10) 第六章客户保持 (13) 第八章品牌客户服务 (15) 第九章投诉处理 (15) 第十章终端销售服务(含电信卡) (17) 針一章信'良处理 (18) 第十二章培训师 (18) 第十三章质检 (19) mmm................................................ 2〇第十五章厅经理 (20) t部分服务规& --------------------------------------------------- 26 第一章服务总则 (26) 第一节服务原则. (26) 第二节服务标准 (26) 第二章服务形象规范 (27) 第一节仪容规范. (27) 第二节着装规范 (28)
中国电信2010年网络机柜技术规范书
网络机柜技术规范书
1. 概述 1.1 本文件为中国电信2010年集中采购网络机柜的技术规范书。 1.2本技术规范书依据中华人民共和国通信行业标准《数据设备用网络机柜技术要求》(待发布)、中国电信2009年6月16日发布的《数据设备用网络机柜技术规范》编制。以上技术要求和技术规范中定义了通信数据类机房(含数据中心、电信业务平台、IT支撑平台及其他类似通信系统机房)内使用交流电源的网络机柜的分类、机柜尺寸、结构、配置、气流组织、机柜配电(监控测量、防雷与接地)等方面的性能、技术指标要求以及标志、包装、运输、贮存的规定。使用直流电源的数据用网络机柜可参照本技术要求执行。 1.3 本次招标采购的网络机柜只针对19英寸标准机柜(含信息插座单元)。 1.4 本技术规范书未规定的其它技术要求应不劣于相关的中国国家标准及通信行业标准的要求。 1.5 投标方应对本文件的技术规范所提出的各项条款进行逐条答复、说明和解释,并写出具体技术数据和指标。首先对实现或满足程度明确做出“满足”、“部分满足”、“不满足”等应答。对于规范书中要求列举的条款,必须在点对点应答书中进行列举,不得简单答复“满
足”等,否则视该条款的应答为“不满足”。如果回答“部分满足”,需要详细说明哪些部分满足,哪些部分不满足,并说明原因。 请投标方特别注意:在答复中,凡采用“详见”、“参见”等方式说明的条款,应指明参见文档的具体章节或页码,同时必须在点对点应答书中注有适当的总结性文字,简洁、明了地回答相应的条款。 1.6 本文件中未提出而厂商认为有必要说明的部分,以及更加合理的技术性能,厂商应在应标书中提供详细的资料和说明。 1.7 本文件的解释权属于招标方。 2 使用环境条件 ——工作温度:-5℃~+40℃。 ——相对湿度:≤85%RH(+30℃时)。 ——垂直倾斜度:≤5%。 3. 主要技术要求和指标 3.1 外观要求 3.1.1 机柜涂覆层应表面光洁、色泽均匀、无流挂、无露底;金属件无毛刺、无锈蚀。 3.1.2 机柜门板、侧板平整,无扭曲、无变形,也不明显抖动;门板开孔均匀。
行业规范iso电信通信网络安全防护管理规定
行业规范i s o电信通信网络安全防护管理规定 The document was finally revised on 2021
中国电信通信网络安全防护管理办法 第一章总则 第一条为加强中国电信通信网络安全管理工作,提高通信网络安全防护能力,保障通信网络安全畅通,根据《通信网络安全防护管理办法》(中华人民共和国工业和信息化部 第11号令),制定本办法。 第二条第二条中国电信管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。 第三条第三条本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被 篡改而开展的工作。 第四条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。 第五条网络安全防护工作贯穿网络规划、设计、采购、建设、入网运行、维护以及下线退网整个生命周期;注重安全防护的标准制定与落实,注重督促工程设计和建设阶段 的安全规范实施情况,注重监管运行维护工作制度规章的执行情况;建立按照电信管理机构的要求,结合中国电信自身的安全管理需求,以年度为周期开展计划、实 施、总结考评等工作制度;整体工作将按照规范化、制度化、常态化方向发展。 第六条集团公司相关部门和各省级公司可根据实际情况制定相关细则,进一步落实贯彻本办法。 第二章网络安全防护管理的组织形式 第七条集团公司负责全集团通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定相关标准,按照工业和信息化部的规定、通信行业
标准及企业标准开展通信网络安全防护工作,对全网的通信网络安全负责,对各省 的网络安全管理工作进行统一监督管理。 第八条各省级公司依据本办法的规定和相关要求,对本省公司的通信网络安全防护工作进行指导、协调和检查,按照工业和信息化部及各省、自治区、直辖市通信管理局 (以下统称“电信管理机构”)的规定和通信行业标准、集团公司的相关要求、企业标准开展通信网络安全防护工作,对所管理的通信网络安全负责。 第九条网络安全防护工作覆盖多部门、多专业,包括网络发展部门(以下简称网络发展部)、企业信息化部门(以下简称企业信息化部)、公众客户管理部门(以下简称 公众客户部)、网络运行部门(以下简称网络运行部)等。集团和省级公司网络运 行部既为网络安全防护统筹管理部门(以下简称统筹管理部门),又为网络安全防 护专业管理部门(以下简称专业管理部门);各级公司企业信息化部、公众客户部 等为专业管理部门;中国电信北京研究院基础网络安全防护支撑和测评中心、上海 研究院、广州研究院及各省公司相关科研单位为网络安全防护技术支持部门(以下 简称技术支持部门)。网络安全防护工作以统筹管理部门统筹协调、各专业管理部 门分头负责、技术支持部门技术支撑的形式开展。 第十条各级公司相同专业管理部门间以纵向管理关系组织工作,同级专业管理部门的协同工作由本级统筹管理部门统筹协调。 第十一条各省级公司要根据中国电信的岗位体系要求,在省级公司网络安全防护统筹管理部门内设立网络安全管理岗,实现网络安全防护总体统筹管理专人专岗,履行省级公 司网络安全防护统筹管理日常工作。 第三章网络安全防护管理的职责
中国电信推出QQ客服
中国电信推出QQ客服 对于大多数电信用户而言,目前办理各项电信业务时,一般都会前往距离自己最近的电信营业厅或者拨打客服热 线10000号。同时,随着网上营业厅以及掌上营业厅的开设,电信用户办理业务有了更多的选择。 除了以上几种方式,记者日前还从中国电信了解到,该公司目前已经推出了QQ客服,电信用户只要登录QQ,添加中国电信为好友,就可以在线办理业务,相当方便。 据相关负责人介绍,目前中国电信的客户营销服务方式又进一步升级。中国电信已和腾讯签署了战略合作协议,根据这一协议,腾讯向中国电信提供基于企业QQ平台定制化开发的网络客户营销服务系统,并在全国30多个省市的客服中心“落地开花”。这意味着,电信业务咨询、故障申告、业务受理引导,又多了一个渠道和途径。 对于电信用户而言,使用QQ客服的方法很简单:登录QQ,点击“查找”,输入账号800010000,即可添加中国电信为好友,这时有中国电信的工作人员实时在线接受电信用户的业务
咨询、业务申办和故障申告,用户还可以查询积分、缴费充值等等,通过QQ享受中国电信及时细致的咨询、服务和业务申办导引。 业内专家表示,利用即时通信工具交流目前已成为都市一族普遍的生活方式,两个人,即使是同在一个办公室,甚至是面对面地坐着,也常用QQ等工具交流。目前,QQ拥有9.9亿用户,已成为“最流行”的即时通信工具。与此同时,即时通信工具快捷顺畅的沟通能力和从商务细节出发的信息管理、统筹功能,也正在成为网络营销的有效途径。 据悉,中国电信牵手腾讯QQ,符合大多数电信用户的使用偏好,大多数电信用户认为此举可以为自己提供更便捷的服务体验。据悉,自2009年12月1日中国电信“QQ客服”上线试运营以来,电信QQ客服已提供宽带、增值业务、双节促销等方面的咨询及销售引导服务超过50余万次。 (杨刚中国网友报)
中国电信GPON上行e8-C终端技术规范书-20110128
中国电信GPON上行e8-C 终端技术规范书 中国电信集团公司 2011年1月
目录 1.前言 (1) 2.设备类型 (2) 3.物理接口要求 (3) 3.1网络侧接口要求 (4) 3.1.1GPON接口要求 (4) 3.2用户侧接口要求 (4) 3.2.1用户侧以太网接口要求 (4) 3.2.2WLAN接口要求 (4) 3.2.3USB接口要求 (4) 3.2.4用户侧电话接口要求 (4) 4.功能要求 (5) 4.1网络协议及数据转发功能要求 (6) 4.1.1IP协议要求 (6) 4.1.2数据转发功能要求 (6) 4.1.3DNS功能要求 (7) 4.1.4IPv4地址管理及拨号管理功能要求 (7) 4.1.5IPv6地址管理及拨号管理功能要求 (10) 4.1.6IPv4 NAT (10) 4.1.7其它功能要求 (11) 4.2WLAN AP功能要求 (11) 4.3设备发现功能要求 (13) 4.4业务发现和控制功能要求 (14) 4.4.1业务发现 (14) 4.4.2业务控制 (14) 4.4.3QoS功能要求 (14) 4.5语音功能处理要求 (15) 4.5.1功能要求 (15) 4.5.2业务要求 (18) 4.5.3软交换SIP协议要求 (18) 4.5.4IMS SIP协议要求 (19) 4.5.5H.248协议要求 (19) 4.5.6性能要求 (20) 5.安全要求 (20) 5.1网络访问的安全性 (21) 5.2用户侧接口安全性 (21) 5.2.1WLAN接入安全性 (21) 5.3用户侧登录安全性 (22) 5.3.1用户侧登录安全基本要求 (22) II
电信网络安全及防护
电信网络安全及防护 摘要:电信网络的安全问题不容忽视。分析了电信网络安全现状,指出了影响电信网络安全的主要因素,并从技术角度提出了防护措施。 关键词:电信;网络安全;技术防护 从20世纪90年代至今,我国电信行业取得了跨越式发展,电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。电信网的安全状况直接影响这些基础设施的正常运行。加强电信网络的安全防护工作,是一项重要的工作。笔者结合工作实际,就电信网络安全及防护工作做了一些思考。 1 电信网络安全及其现状 狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN 网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。 电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。 然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。 2 电信网络安全面临的形势及问题 2.1 互联网与电信网的融合,给电信网带来新的安全威胁 传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联
中国电信营业厅服务评价标准及检查管理办法
附件 1 中国电信营业厅服务评价标准 及检查管理办法 一、制定目的实体渠道是中国电信业务发展的基本面和重要窗口,承担着用户发展、经营收入、客户服务及品牌宣传等多项职能,是落实集团深化改革创新发展战略的一线单元。为提升营业厅整体服务能力,提升营业厅对外形象,集团公司制定《中国电信服务评价标准及检查管理办法》。 二、适用范围 本标准适用于中国电信1-4 级自营厅,2016 年只对1-3 级厅开展服务评价;社会合作厅只明确基本服务要求,暂不进行服务评价。对于自营厅中跨界合作区域及跨界产品暂不进行评价。 三、制定原则 (一)聚焦客户感知主要环节:用户来了有人管、排队等候有关怀、业务办理快捷规范、咨询投诉首问负责、环境干净清爽等。 (二)以已有服务规范为基础,强化软性服务元素,明确必要服务手段。 (三)操作上可量化可执行,明确倒三角支撑要求,为一线减负。 (四)鼓励先进,鞭策后进,对优秀、亮点给予加分,不满足基本要求、造成负面影响的进行倒扣分。 四、营业厅服务评价检查管理办法
(一)营业厅服务等级 按照营业厅服务标准进行评分,得分95 分及以上达到优秀服务等级(不超过1-3 级厅总数的5%),得分90-95 分达到良好服务等级(不超过1-3 级厅总数的20%),得分80-90 分为服务达标等级。 (二)营业厅服务评比程序按照“自评上报,逐级认定,差额产生”的原则进行营业厅服务评比。省公司将达到优秀服务级别的营业厅名单上报集团,集团组织评比,按照差额20%认定。市公司自评认定达到服务标准营业厅,并将良好以上级别的营业厅上报省公司,省公司对良好级别营业厅进行评比,并差额认定。 (三)营业厅服务达标结果应用 1.营业厅服务评比结果将作为省公司业绩考核中服务考核的重要内容,对于营业厅服务评价工作推进落实到位,营业厅服务能力提升明显的省公司在服务考核中进行加分。 2.营业厅服务评价结果与营业厅划小承包评估相结合。 各省公司对营业厅划小承包评估时,必须将营业厅服务评价 结果作为重要内容,对达到优秀及良好服务级别营业厅进行 适当奖励,对服务不达标的营业厅进行扣罚。 3.营业厅服务评比结果将作为集团及省部级创先评优的 必要条件。 五、标准内容及检查手册