《中国移动传送网络保护资源规划配置指导原则(2013版)》

第一章无线电管理基础知识介绍1．无线电管理的核心目标无线电管理的核心目标是在全国或全世界的无线电通信和其他无线电业务领域内以最合理、最公平、最有效和最经济的方式地使用、利用或保护有限的无线电频谱/卫星轨道资源，使得各种无线电通信网和各无线电台站能够经济、有效地在各种无线电环境下不受干扰地正常工作，为国家的经济建设、国防建设服务，保障人民的生命和财产安全，提高人们的物质和精神的生活水平，推动国家社会与经济的发展和科学技术的进步。

根据有关领导的讲话，我国无线电管理的指导思想是“为中央首脑机关服务，为国防建设和经济建设服务，中心是为经济建设服务”；指导方针是：“加强管理，保护资源，保障安全，健康发展”；指导原则是：“统一领导，统一规划，分工管理，分级负责”。

2．无线电管理的主要内容要实现无线电管理的目标，无线电管理工作者必须采用行政、法规、经济和技术手段，主要做好以下四项工作：对无线电频谱/卫星轨道资源的管理，对无线电台站的管理，对无线电监测和监督检查，对无线电发射设备的管理。

3. 无线电频谱/卫星轨道资源的管理3.1 无线电频谱资源几千年来，从烽火报信、快马传书、驿站梨花，到发明电报、电话、互联网，人们追求完全时空通信自由的努力从未停止过。

人们梦想有朝一日拥有在任何时间、任何地点与任何人的无束缚通信自由。

要获得这种自由，利用无线电波进行通信必不可少。

无线电通信又属于电信中的一种。

根据国际电信联盟《无线电规则》，电信( telecommunication)定义为利用有线电、无线电、光或其他电磁系统对于符号、信号、文字、图像、声音或任何性质的信息的传输、发射或接收。

无线电通信则为使用无线电波的电信。

无线电波定义为频率在3000GHz以下，不用人工波导而在空间传播的电磁波。

作为传输载体的无线电波都具有一定的频率和波长，即位于无线电频谱中的一定位置，并占据一定的宽度。

无线电频谱（radio spectrum）一般指9KHz－3000GHz 频率范围内发射无线电波的无线电频率的总称。

中国移动网络与信息安全总纲中国移动通信集团公司2006年7月本文档版权由中国移动通信集团公司所有。

未经中国移动通信集团公司书面许可，任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播。

中国移动[注]的通信网络和支撑系统是国家基础信息设施，必须加以妥善保护。

随着网络和通信技术的快速发展，网络互联与开放、信息共享带来了日益增长的安全威胁。

为了企业乃至国家的网络与信息安全，为了保障客户利益，加强各方面的安全工作刻不容缓！制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系，力争通过科学规范的全过程管理，结合成熟和领先的技术，确保安全控制措施落实到位，为各项业务的安全运行提供保障。

本标准主要依据国际规范，参考业界的成熟经验，结合中国移动的实际情况进行补充、修改、完善而来。

本标准目前主要针对互联网、支撑网等IT系统安全。

[注]：本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。

中国移动通信集团公司，以下简称“集团公司”。

各移动通信有限责任公司，以下简称“各省公司”。

前言 (1)目录 (2)总则 (11)1．网络与信息安全的基本概念 (11)2．网络与信息安全的重要性和普遍性 (11)3．中国移动网络与信息安全体系与安全策略 (12)4．安全需求的来源 (14)5．安全风险的评估 (15)6．安全措施的选择原则 (15)7．安全工作的起点 (16)8．关键性的成功因素 (17)9．安全标准综述 (17)10．适用范围 (22)第一章组织与人员 (23)第一节组织机构 (23)1．领导机构 (23)2．工作组织 (24)3．安全职责的分配 (25)4．职责分散与隔离 (26)5．安全信息的获取和发布 (27)6．加强与外部组织之间的协作 (27)7．安全审计的独立性 (28)第二节岗位职责与人员考察 (28)1．岗位职责中的安全内容 (28)2．人员考察 (29)3．保密协议 (30)4．劳动合同 (30)5．员工培训 (30)第三节第三方访问与外包服务的安全 (30)1．第三方访问的安全 (30)2．外包服务的安全 (32)第四节客户使用业务的安全 (33)第二章网络与信息资产管理 (35)第一节网络与信息资产责任制度 (35)1．资产清单 (35)2．资产责任制度 (36)第二节资产安全等级及相应的安全要求 (39)1．信息的安全等级、标注及处置 (39)2．网络信息系统安全等级 (41)第三章物理及环境安全 (43)第一节安全区域 (43)1．安全边界 (43)3．物理保护 (45)4．安全区域工作规章制度 (46)5．送货、装卸区与设备的隔离 (47)第二节设备安全 (48)1．设备安置及物理保护 (48)2．电源保护 (49)3．线缆安全 (50)4．工作区域外设备的安全 (51)5．设备处置与重用的安全 (51)第三节存储媒介的安全 (52)1．可移动存储媒介的管理 (52)2．存储媒介的处置 (52)3．信息处置程序 (53)4．系统文档的安全 (54)第四节通用控制措施 (55)1．屏幕与桌面的清理 (55)2．资产的移动控制 (56)第四章通信和运营管理的安全 (57)第一节操作流程与职责 (57)1．规范操作细则 (57)2．设备维护 (58)4．安全事件响应程序 (59)5．开发、测试与现网设备的分离 (60)第二节系统的规划设计、建设和验收 (61)1．系统规划和设计 (61)2．审批制度 (61)3．系统建设和验收 (62)4．设备入网管理 (64)第三节恶意软件的防护 (64)第四节软件及补丁版本管理 (66)第五节时钟和时间同步 (67)第六节日常工作 (67)1．维护作业计划管理 (67)2．数据与软件备份 (67)3．操作日志 (69)4．日志审核 (69)5．故障管理 (70)6．测试制度 (71)7．日常安全工作 (71)第七节网络安全控制 (72)第八节信息与软件的交换 (73)1．信息与软件交换协议 (73)2．交接过程中的安全 (73)3．电子商务安全 (74)4．电子邮件的安全 (75)5．电子办公系统的安全 (76)6．信息发布的安全 (77)7．其他形式信息交换的安全 (78)第五章网络与信息系统的访问控制 (79)第一节访问控制策略 (79)第二节用户访问管理 (81)1．用户注册 (81)2．超级权限的管理 (82)3．口令管理 (84)4．用户访问权限核查 (84)第三节用户职责 (85)1．口令的使用 (85)2．无人值守的用户设备 (86)第四节网络访问控制 (87)1．网络服务使用策略 (87)2．逻辑安全区域的划分与隔离 (88)3．访问路径控制 (89)4．外部连接用户的验证 (89)5．网元节点验证 (90)6．端口保护 (90)7．网络互联控制 (91)8．网络路由控制 (91)9．网络服务的安全 (92)第五节操作系统的访问控制 (92)1．终端自动识别 (93)2．终端登录程序 (93)3．用户识别和验证 (94)4．口令管理系统 (94)5．限制系统工具的使用 (95)6．强制警报 (96)7．终端超时关闭 (96)8．连接时间限制 (96)第六节应用访问控制 (97)1．信息访问限制 (97)2．隔离敏感应用 (98)第七节系统访问与使用的监控 (98)1．事件记录 (98)2．监控系统使用情况 (99)第八节移动与远程工作 (101)1．移动办公 (101)2．远程办公 (102)第六章系统开发与软件维护的安全 (104)第一节系统的安全需求 (104)第二节应用系统的安全 (106)1．输入数据验证 (106)2．内部处理控制 (107)3．消息认证 (108)4．输出数据验证 (109)第三节系统文件的安全 (109)1．操作系统软件的控制 (109)2．系统测试数据的保护 (110)3．系统源代码的访问控制 (111)第四节开发和支持过程中的安全 (112)1．变更控制程序 (112)2．软件包的变更限制 (113)3．后门及特洛伊代码的防范 (114)4．软件开发外包的安全控制 (115)第五节加密技术控制措施 (115)1．加密技术使用策略 (115)2．使用加密技术 (116)3．数字签名 (117)4．不可否认服务 (118)5．密钥管理 (118)第七章安全事件响应及业务连续性管理 (121)第一节安全事件及安全响应 (121)1．及时发现与报告 (122)2．分析、协调与处理 (122)3．总结与奖惩 (124)第二节业务连续性管理 (124)1．建立业务连续性管理程序 (124)2．业务连续性和影响分析 (125)3．制定并实施业务连续性方案 (126)4．业务连续性方案框架 (127)5．维护业务连续性方案 (129)第八章安全审计 (131)第一节遵守法律法规要求 (131)1．识别适用的法律法规 (131)2．保护知识产权 (132)3．保护个人信息 (132)4．防止网络与信息处理设施的不当使用 (133)5．加密技术控制规定 (133)6．保护公司记录 (134)7．收集证据 (134)第二节安全审计的内容 (135)第三节安全审计管理 (135)1．独立审计原则 (136)2．控制安全审计过程 (136)3．保护审计记录和工具 (137)参考文献 (138)术语和专有名词 (139)附录1：安全体系第二层项目清单（列表） (140)总则1．网络与信息安全的基本概念网络与信息安全包括下列三个基本属性：机密性（Confidentiality）：确保网络设施和信息资源只允许被授权人员访问。

中国移动2023年5G无线网络建设指导
原则
为了有效地建设5G无线网络，中国移动制定了以下指导原则：
1. 全面推进5G网络建设，尽快实现全国范围内的覆盖。

本着
优先满足用户需求的原则，先推进人口密集区域网络建设，再逐步
向城市和乡镇辐射。

2. 强化网络安全保障，确保5G网络的安全性和稳定性。

加强
网络监测与安全防范能力，对数据传输过程中的安全问题进行充分
评估和控制。

3. 提供多样化的5G服务，推广智慧生活。

依据不同用户的需求，提供定制化的5G服务，推广基于5G网络的智慧家庭和智慧
城市等。

4. 积极推进5G与其他领域的融合，扩大5G商业应用范围。

在医疗、教育、交通等重要领域，积极推进5G技术的应用，促进
各行各业数字化转型升级。

5. 关注绿色能源和环境保护，推动可持续发展。

优化网络能耗控制和管理，采用绿色节能技术，建设绿色低碳的网络环境，实现可持续的发展。

以上是中国移动2023年5G无线网络建设的指导原则，旨在为中国移动5G无线网络的建设提供方向并确保安全、可持续、高效的5G网络服务。

中国移动云计算网络安全域划分技术要求Technical Specification of Centralized Security Protectionfor Cloud Computing版本号： 1.0.0中国移动通信集团公司网络部2013年12月目录前言 (1)1综述 (2)2云计算网络安全域划分 (2)2.1安全域划分的原则 (3)2.2云计算平台的主要安全域 (4)2.2.1云计算平台组网的基本架构 (4)2.2.2云计算平台基础网络安全域划分方法 (5)2.2.3云计算平台所承载业务系统组网安全域划分方法 (7)3云计算网络的安全防护要求 (8)3.1.1云计算平台与互联网之间互联安全要求 (8)3.1.2云计算平台与支撑系统之间互联安全要求 (8)3.1.3云计算平台上承载的业务系统之间互联安全要求 (8)4云计算平台安全运维要求 (9)4.1安全维护要求 (9)4.2安全管理要求 (9)5编制历史 (10)附录A 引用标准与依据 (10)附录B 相关术语与缩略语 (11)前言针对数据业务系统向云计算平台承载方式演进的需求，按照等级保护和集中化要求，本要求明确了在云计算网络环境下组网规划，实施安全域划分的基本原则，并进一步提出了云计算环境安全防护的基本要求。

本要求将云计算网络环境划分为核心网络区、核心生产区、互联网网络区、接入维护区、测试区以及DMZ区等安全域。

并在此基础上，以业务系统为单位，每个业务系统划分不同的VLAN，实现云计算网络环境下业务系统间的安全隔离。

本要求可作为在中国移动公、私有云平台在规划、开发、建设以及维护各阶段组网和实施安全防护的依据，支撑实现网络与信息安全工作“同步规划、同步建设、同步运行”。

本技术要求主要包括以下3个方面内容：1、云计算平台安全域划分；2、云计算平台边界整合；3、云计算平台的安全防护。

起草单位：中国移动通信有限公司网络部、中国移动通信研究院。

密级：内部文档编号：项目代号：附件九中国移动通信集团网络设备安全配置规范思科PIX分册版本：草稿二零零三年十一月中国移动通信公司福建移动通信公司版本控制目录第一部分概述和介绍 (5)1 概述 (5)1.1 项目背景 (5)1.2 项目目标 (5)1.3 参考资料 (5)2 适用的软件版本 (6)第二部分设备的安全机制 (7)第三部分设备安全配置建议 (9)1 网管及认证问题 (9)1.1 访问管理 (9)1.1.1 telnet服务的配置 (10)1.1.2 SSH配置 (11)1.2 帐号和密码管理 (12)1.3 帐号认证和授权 (13)1.3.1 AAA认证 (13)1.4 snmp协议 (14)2 安全审计 (16)3 设备IOS升级方法 (17)3.1 前期准备 (18)3.1.1 软件的获取 (18)3.1.2 制定升级计划 (18)3.1.3 设置FTP服务器 (18)3.1.4 数据备份 (19)3.1.5 注意事项 (20)3.2 升级操作 (20)3.2.1 升级IOS或装载补丁 (20)3.3 应急保障措施 (21)3.3.1 设置防火墙 (21)3.3.2 PC设置（TFTP服务器设置） (21)3.3.3 上传旧的软件 (22)3.3.4 重启路由器 (22)3.3.5 恢复配置 (22)4 特定的安全配置 (22)4.1 其他特定的安全配置 (22)4.1.1 禁止未使用或空闲的端口 (22)4.1.2 banner的设置要求 (23)4.1.3 源地址路由限制 (23)第一部分概述和介绍1概述本文档对中国移动网络思科防火墙－pix安全配置标准进行描述，规范涉及适用范围、对应网络设备本身安全机制的介绍和设备安全配置标准三个部分，在规范中针对设备的六大安全规范主题进行描述，除了提供详细的安全配置标准外，同时考虑设备型号和适用网络层次的不同，并对实际配置过程中应注意的问题进行详细描述。

工业和信息化部关于印发《互联网接入服务规范》的通知文章属性•【制定机关】工业和信息化部•【公布日期】2013.07.12•【文号】工信部电管[2013]261号•【施行日期】2013.09.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】通信业正文工业和信息化部关于印发《互联网接入服务规范》的通知（工信部电管[2013]261号）各省、自治区、直辖市通信管理局，中国电信集团公司、中国移动通信集团公司、中国联通网络通信集团有限公司，相关单位：为进一步规范互联网接入服务规范，工业和信息化部制定了《互联网接入服务规范》。

现给予印发，自2013年9月1日起实施。

工业和信息化部2013年7月12日《互联网接入服务规范》电信业务经营者向公众用户提供互联网接入服务，应符合本规范所规定的服务质量指标和通信质量指标。

本规范适用于电信业务经营者和用户之间签订的服务协议中约定的互联网接入服务。

其中因特网拨号接入业务应遵守《电信服务规范》附录3.1“因特网拨号接入业务的服务标准”。

一、服务质量指标第一条预受理时限平均值≤2个工作日，最长为5个工作日。

预受理时限指用户登记后，电信业务经营者进行网络资源确认，答复用户能否开通业务所需要的时间。

第二条业务开通、移机时限对于不具备线路条件、但可以进行线路施工的情况：城镇：平均值≤10个工作日，最长为16个工作日；农村：平均值≤15个工作日，最长为20个工作日。

对于已具备线路条件的情况，平均值≤5个工作日，最长为7个工作日（不分城镇和农村）。

业务开通、移机时限指自用户和电信业务经营者签订业务开通或移机协议起，到业务开通止所需要的时间。

在不具备线路条件，并且也不具备施工条件的情况下，应在第一条规定的预受理时限内向用户说明。

第三条障碍修复时限城镇：平均值≤24小时，最长为48小时；农村：平均值≤36小时，最长为72小时。

障碍修复时限指自用户提出障碍申告时起，至障碍排除或采取其他方式恢复用户正常通信所需要的时间。

中国联通201移动网络建设指导意见建设指导意见20133年移动网络中国联通网络公司网络建设部2013年1月2013年移动网络建设应以市场需求为导向，以2013～2015年移动网络发展规划为依据，坚持3G与2G网络协调发展，建设“覆盖良好、有竞争力、充分体现差异化优势”的移动网络。

网络建设应以“先优化、后建设、效益优先”为原则，合理配置资源，继续拓展3G网络广域覆盖、完善深度覆盖，打造3G精品网络。

一.无线网1.总体原则无线网建设应遵循以下总体原则：（1）网络建设应能有效支撑业务发展，满足期为2014年3月。

（2）3G容量应优先建设，各省结合市场需求和业务发展，密切关注数据热点区域业务量增长，合理配置网络资源，保障用户体验。

（3）3G覆盖应坚持效益优先原则，优先安排投资效益和客户感知双提升区域，如核心城区、景区、机场高速、高铁等；其次安排有效益的覆盖需求，如市场拓展目标区域的乡镇、工业园区等，以及现网业务量大的区域如校园；根据投资能力安排改善客户感知的覆盖需求。

（4）2G原则上不再投资建设，如确有效益的需求，一事一报，从严控制。

（5）室内覆盖应坚持市场导向、分层次建设，优先安排数据业务需求大的交通枢纽、大型聚类场所、联通客户集中的场景以及已有明确签约意向的大客户楼宇，坚持室内外协同规划。

（6）无线网基础配套建设应积极贯彻共建共享、节能减排政策。

（7）维持网络架构和设备布局基本稳定，逐步推进网络IP 化和传输接口主备安全机制。

确需引入新设备厂家或现网设备退服的，由集团统一组织审核和批复。

（8）跟踪网络技术发展，由集团统一组织、开展新技术试验，适时推进新技术应用，做好网络后续升级准备。

2. 2. 网络覆盖网络覆盖2.1 3G 覆盖（1）市区和县城城区：以建设3G 精品网为目标，继续完善市区、县城的深度覆盖，优先解决无覆盖、弱覆盖、用户投诉热点和硬骨头站点的问题。

结合市政规划，紧跟城市发展拓展3G 覆盖区域，保证城区连续覆盖。