电信网和互联网安全防护标准体系介绍(工业和信息化部电信研究、院通信标准研究所2010年3月)

中国电信互联网及相关网络路由器设备安全防护要求V1.0.中国电信安全策略体系文档文档编号: SOC 02-02-003中国电信互联网及相关网络路由器设备安全防护要求版本号：1.0.0发布日期：修订记录目次前言 (1)1引言 (2)1.1目的 (2)1.2围 (2)2防护策略划分 (3)3管理平面防护策略 (4)3.1管理口防护 (4)3.2账号与口令 (4)3.3认证 (5)3.4授权 (5)3.5审计 (5)3.6远程管理 (6)3.7SNMP安全 (6)3.8系统日志 (6)3.9NTP (7)3.10banner信息 (7)3.11未使用的管理平面服务 (7)4数据转发平面防护策略 (8)4.1流量控制 (8)4.2典型垃圾流量过滤 (8)4.3ToFab (8)5控制平面防护策略 (9)5.1ACL控制 (9)5.2路由安全防护 (9)5.3协议报文防护 (9)5.4引擎防护策略 (10)前言为进一步落实《中国电信互联网及相关网络安全策略总纲》要求，促进中国电信互联网及相关网络在路由器设备选型、工程验收以及运维阶段等环节的规化运作，明确路由器设备必须满足的基本安全防护要求（相关安全防护要求独立于具体厂家），特制定本防护要求（以下简称“要求”）。

各省公司可以根据实际情况，在本要求的基础上制定相应的实施细则并具体实施。

本文档起草单位：中国电信集团公司网络运行维护事业部本文档解释单位：中国电信集团公司网络运行维护事业部1引言1.1目的为促进中国电信互联网及相关网络在路由器设备选型、工程验收以及运维阶段等环节的规化运作，明确路由器设备必须满足的基本安全防护要求（相关安全防护要求独立于具体厂家），特制定本要求。

1.2围本要求适用于中国电信的互联网与相关网络及系统，主要包括IP 承载网，以及承载在其上的各种业务网、业务平台和支撑系统。

IP承载网包括中国电信ChinaNet、CN2、城域网、DCN等网络；业务网包括C网分组域、软交换等；业务平台包括C网业务平台、全球眼、互联星空等；支撑系统包括DNS、网管系统、认证系统等。

电信网和互联网安全防护管理指南1 范围本标准对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。

同时，对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。

本标准适用于电信网和互联网的安全防护工作。

本标准涉及的电信网和互联网不包括专用网，仅指公众电信网和公众互联网。

2 规范性引用文件下列文件中的条款通过本标准的引用丽成为指导性技术文件的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。

然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8-2001信息技术词汇第8部分：安全3 术语和定义GB/T 5271.8-2001确立的术语和定义以及下列术语和定义适用于本标准。

3.1电信网Telecom Network利用有线和，或无线的电磁、光电系统，进行文字、声音、数据、图像或其他任何媒体的信息传递的网络，包括固定通信网、移动通信网等．3.2互联网Internet泛报广域网、局域网及终端（包括计算机、手机等）通过交换机、路由器、网络接入设备等基于一定的通信协议连接形成的，功能和逻辑上的大型网络．3.3电信网和互联网安全防护体系 Security Protection Architecture of Telecom Network and Intemet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合．共同构成了电信网和互联网安全防护体系。

3.4刮言网和互联网安全等级Security Classification of Telecom Network and Internet电信网和互联网及相关系统重要程度的表征。

重要程度从电信网和互联网及相关系统受到破坏后，对国家安全、社会秩序、。

经济运行、公共利益、网络和业务运营商造成的损害来衡量。

电信网和互联网安全防护管理指南1 范围本标准对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。

同时，对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。

本标准适用于电信网和互联网的安全防护工作。

本标准涉及的电信网和互联网不包括专用网，仅指公众电信网和公众互联网。

2 规范性引用文件下列文件中的条款通过本标准的引用丽成为指导性技术文件的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。

然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8-2001信息技术词汇第8部分：安全3 术语和定义GB/T 5271.8-2001确立的术语和定义以及下列术语和定义适用于本标准。

3.1电信网Telecom Network利用有线和，或无线的电磁、光电系统，进行文字、声音、数据、图像或其他任何媒体的信息传递的网络，包括固定通信网、移动通信网等．3.2互联网Internet泛报广域网、局域网及终端（包括计算机、手机等）通过交换机、路由器、网络接入设备等基于一定的通信协议连接形成的，功能和逻辑上的大型网络．3.3电信网和互联网安全防护体系 Security Protection Architecture of Telecom Network and Intemet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合．共同构成了电信网和互联网安全防护体系。

3.4刮言网和互联网安全等级Security Classification of Telecom Network and Internet电信网和互联网及相关系统重要程度的表征。

重要程度从电信网和互联网及相关系统受到破坏后，对国家安全、社会秩序、。

经济运行、公共利益、网络和业务运营商造成的损害来衡量。

电信行业通信网络安全标准随着信息技术的迅猛发展，电信行业通信网络安全问题也日益凸显。

通信网络安全标准成为保障电信行业网络安全的重要基石，为了有效防范和应对各类网络威胁，保障广大用户的信息安全，电信行业制定了一系列的通信网络安全标准。

首先，通信网络安全标准明确了网络安全的基本原则。

任何一家电信企业在建立和维护通信网络安全时需要遵守的基本原则包括：保密原则、完整性原则和可用性原则。

保密原则要求企业严守用户信息的保密，确保用户个人隐私不被泄露；完整性原则要求企业保证在通信网络传输过程中信息不被恶意篡改；可用性原则要求企业提供稳定可靠的通信服务，确保用户的通信需求得到满足。

其次，通信网络安全标准规范了网络架构和设备的安全要求。

网络架构是电信行业通信网络安全的基础，要求网络架构具备良好的可扩展性、弹性和安全性。

同时，通信网络安全标准还规定了通信设备的安全要求，包括硬件设备和软件系统的安全性能要求，以及设备的防护机制和监控机制。

另外，通信网络安全标准还明确了对网络运维和管理员的要求。

网络运维人员是保障通信网络安全的重要力量，电信行业通信网络安全标准要求网络运维人员具备专业的安全知识和技能，能够有效应对各类网络安全威胁。

同时，通信网络安全标准还规定了网络管理员的权限管理规范，确保网络管理工作的合规性和安全性。

此外，通信网络安全标准还制定了应急响应和事故处理的相关措施。

电信行业通信网络面临的网络威胁层出不穷，及时有效的应急响应和事故处理至关重要。

通信网络安全标准规定了网络应急响应团队的组建和职责，明确了应急响应和事故处理的流程和步骤。

这些措施能够帮助电信企业在网络安全事件发生时快速反应和恢复，减少损失。

最后，通信网络安全标准还强调了安全教育和培训的重要性。

网络安全是一个系统工程，不仅需要高效的技术手段和设备，还需要全员参与的安全意识。

通信网络安全标准规定了对员工进行网络安全教育和培训的要求，帮助员工提高网络安全意识，掌握应对网络威胁的基本知识和技能。

通信网络安全防护管理办法正文：---------------------------------------------------------------------------------------------------------------------------------------------------- 工业和信息化部令（第11号）《通信网络安全防护管理办法》已经2009年12月29日中华人民共和国工业和信息化部第8次部务会议审议通过，现予公布，自2010年3月1日起施行。

部长李毅中二〇一〇年一月二十一日通信网络安全防护管理办法第一条为了加强对通信网络安全的管理，提高通信网络安全防护能力，保障通信网络安全畅通，根据《中华人民共和国电信条例》，制定本办法。

第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者（以下统称“通信网络运行单位”）管理和运行的公用通信网和互联网（以下统称“通信网络”）的网络安全防护工作，适用本办法。

本办法所称互联网域名服务，是指设置域名数据库或者域名解析服务器，为域名持有者提供域名注册或者权威解析服务的行为。

本办法所称网络安全防护工作，是指为防止通信网络阻塞、中断、瘫痪或者被非法控制，以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。

第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。

第四条中华人民共和国工业和信息化部（以下简称工业和信息化部）负责全国通信网络安全防护工作的统一指导、协调和检查，组织建立健全通信网络安全防护体系，制定通信行业相关标准。

各省、自治区、直辖市通信管理局（以下简称通信管理局）依据本办法的规定，对本行政区域内的通信网络安全防护工作进行指导、协调和检查。

工业和信息化部与通信管理局统称“电信管理机构”。

第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作，对本单位通信网络安全负责。

中华人民共和国工业和信息化部令第 11 号《通信网络安全防护管理办法》已经2009年12月29日中华人民共和国工业和信息化部第8次部务会议审议通过，现予公布，自2010年3月1日起施行。

部长李毅中二〇一〇年一月二十一日通信网络安全防护管理办法第一条为了加强对通信网络安全的管理，提高通信网络安全防护能力，保障通信网络安全畅通，根据《中华人民共和国电信条例》，制定本办法。

第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者（以下统称“通信网络运行单位”）管理和运行的公用通信网和互联网（以下统称“通信网络”）的网络安全防护工作，适用本办法。

本办法所称互联网域名服务，是指设置域名数据库或者域名解析服务器，为域名持有者提供域名注册或者权威解析服务的行为。

本办法所称网络安全防护工作，是指为防止通信网络阻塞、中断、瘫痪或者被非法控制，以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。

第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。

第四条中华人民共和国工业和信息化部（以下简称工业和信息化部）负责全国通信网络安全防护工作的统一指导、协调和检查，组织建立健全通信网络安全防护体系，制定通信行业相关标准。

各省、自治区、直辖市通信管理局（以下简称通信管理局）依据本办法的规定，对本行政区域内的通信网络安全防护工作进行指导、协调和检查。

工业和信息化部与通信管理局统称“电信管理机构”。

第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作，对本单位通信网络安全负责。

第六条通信网络运行单位新建、改建、扩建通信网络工程项目，应当同步建设通信网络安全保障设施，并与主体工程同时进行验收和投入运行。

通信网络安全保障设施的新建、改建、扩建费用，应当纳入本单位建设项目概算。

第七条通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分，并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高分别划分为一级、二级、三级、四级、五级。