中国电信互联网及相关网络路由器设备安全防护要求V1.0.0
中国电信综合业务管理平台ISMP接口规范(RC1.0.0)-门户接口
CT综合业务管理平台ISMP接口规范-门户接口中国电信集团公司综合业务管理平台ISMP接口规范-门户接口SN RC1 ISMP V1.0.0目录1适用范围 (4)2引用标准 (5)3缩略语 (6)4需求约束 (7)5ISMP与用户门户之间的接口 (8)5.1ISMP与用户门户组网 (8)5.2终端信息查询接口 (8)5.2.1流程 (8)5.2.2概述 (8)5.2.3消息 (9)5.3功能调用接口 (9)5.3.1用户管理接口 (10)5.3.2认证与授权接口 (16)5.3.3定购管理接口 (19)5.4门户统一配置接口 (31)5.4.1终端信息同步接口 (32)5.4.2SP信息同步接口 (39)5.4.3内容信息同步接口 (40)5.4.4内容与产品关系同步接口 (43)5.4.5业务类别同步接口 (44)5.4.6业务信息同步接口 (45)5.4.7产品信息同步接口 (47)5.4.8套餐信息同步接口 (49)5.4.9集团产品信息同步接口 (51)5.4.10号段信息同步接口 (52)5.4.11业务引擎URL信息同步接口 (53)5.4.12回执文件 (54)5.4.13业务小图标同步接口 (54)附录A.业务能力编号及业务类型 (55)附录B.门户结果码定义 (56)综合业务管理平台ISMP接口规范-门户接口SN RC1 ISMP V1.0.0前言本规范定义了中国电信综合业务管理平台ISMP(Integrated Service Management Platform)的接口规范,包括ISMP与SS、ISAG、MSNMC、Portal、OCS、IN、运营支撑系统、CP/SP之间的接口。
本规范解释权属于中国电信集团公司。
本规范起草单位:中国电信股份有限公司上海研究院。
本标准主要起草人:韩彬斌,王铮,任华,方燕萍,黄铖斌,杨迪,张亚玫、宋金晶、黄颂尧。
综合业务管理平台ISMP接口规范-门户接口SN RC1 ISMP V1.0.01适用范围本规范适用于中国电信综合业务管理平台(ISMP)产品的设计及研发,提供给为中国电信开发制造ISMP的设备供应商。
电信网和互联网安全防护管理指南
电信网和互联网安全防护管理指南1 范围本标准对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。
同时,对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。
本标准适用于电信网和互联网的安全防护工作。
本标准涉及的电信网和互联网不包括专用网,仅指公众电信网和公众互联网。
2 规范性引用文件下列文件中的条款通过本标准的引用丽成为指导性技术文件的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。
然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8-2001信息技术词汇第8部分:安全3 术语和定义GB/T 5271.8-2001确立的术语和定义以及下列术语和定义适用于本标准。
3.1电信网Telecom Network利用有线和,或无线的电磁、光电系统,进行文字、声音、数据、图像或其他任何媒体的信息传递的网络,包括固定通信网、移动通信网等.3.2互联网Internet泛报广域网、局域网及终端(包括计算机、手机等)通过交换机、路由器、网络接入设备等基于一定的通信协议连接形成的,功能和逻辑上的大型网络.3.3电信网和互联网安全防护体系 Security Protection Architecture of Telecom Network and Intemet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合.共同构成了电信网和互联网安全防护体系。
3.4刮言网和互联网安全等级Security Classification of Telecom Network and Internet电信网和互联网及相关系统重要程度的表征。
重要程度从电信网和互联网及相关系统受到破坏后,对国家安全、社会秩序、。
经济运行、公共利益、网络和业务运营商造成的损害来衡量。
QCT2584-2014中国电信4G网络数据信息采集设备技术要求(V1.0)
NAI
Network Access Iden网t络i接f入i标e识r
PGW
Packet Data Network分 组G数a据t网e网w关a y
POP3
Post Office Protoco邮l局 协3议 版本 3
Radius
RemoAtuet hentiDciaatli-oInn 远U端s拨e入r用 户验证服务
附 录 E (规范性附录) 外部特征库输入接口. .................5.7. ........
II
前 言
Q/CT 2584-2014
本标准按照 GB/T 1.1给-出2的0规0则9起草。 本标准在《中国电信移动分组域数据信息采集设备技术规范》 (Q/CT 2362-2012)基 础上,结合中国电信 eHR和PDLT网E络实际需求进行修订。 本标准由中国电信提出并归口。 本标准起草单位:本标准由中国电信集团公司网发部组织制定,中国电信股份有限 公司广州研究院起草。 本标准主要起草人:杨静雯、陈久雨、林奕琳等。 本标准于2014年07月首次发布。 ? ?
AP A c c e ss Point 无 线 接 入 点
CCG
Content Charging Ga内t容e计w费a网y关
FTP
File Transfer Proto文c件o传l送 协议
HPLMN
Home Public Land Mo归b属i地l公e众 陆N地e移t动w网ork
III
Q/CT 2584-2014 ?
3 缩略语
下列缩略语适用于本标准:
AAA A u t h enti、caAtuitohnoriz、at认i证o、n授权和计费
中国电信无线宽带VPDN业务数据配置规范V1[1].0
![中国电信无线宽带VPDN业务数据配置规范V1[1].0](https://img.taocdn.com/s3/m/37ab64360b4c2e3f572763b0.png)
中国电信无线宽带VPDN业务数据配置规范V1.0(征求意见稿)中国电信集团公司网络运行维护事业部二○○九年二月目录1总则 (4)1.1编制说明 (4)1.2缩略语 (4)1.3编写依据 (5)2业务网络参考模型 (6)2.1业务定义和使用范围 (6)2.2业务网络参考模型 (6)2.3业务实现原理 (8)2.4业务应用场景 (8)3CN2 VPN189配置要求和客户接入方案 (10)3.1CN2 189 VPN数据配置要求 (11)3.1.1LNS地址规划 (11)3.1.2CN2 VPN189配置要求 (13)3.1.3CN2 VPN189城域延伸配置要求 (14)3.2客户接入方案 (15)3.3AAA服务器设置 (19)3.4VR专线VPN方案 (20)4分组域设备业务数据配置要求 (22)4.1业务认证流程 (22)4.2VPDN 账号规则 (23)4.3认证方式 (25)4.4终端用户IP地址获得方式 (26)4.5业务控制 (26)4.6省内VPDN业务及漫游数据配置要求 (27)4.6.1PDSN配置要求 (27)4.6.2LNS配置要求 (28)4.6.3接入AAA配置要求 (29)4.6.4VPDN AAA配置要求 (29)4.6.5终端要求 (29)4.7跨省VPDN业务及漫游数据配置要求 (30)4.7.1PDSN配置要求 (30)4.7.2LNS配置要求 (31)4.7.3接入AAA配置要求 (32)4.7.4VPDN AAA配置要求 (32)4.7.5终端要求 (32)4.8AAA计费及通信费话单字段要求 (32)5附录:利用L2TP实现VPDN技术概述 (42)1总则1.1编制说明本规范对基于CDMA 1X技术的中国电信无线宽带VPDN业务各场景下的业务认证流程、组网方案、VPN拓扑结构、IP地址规划、分组域设备数据配置要求等内容进行了规定,旨在从操作层面规范中国电信无线宽带VPDN业务数据配置。
电信行业通信网络安全标准
电信行业通信网络安全标准导言:随着信息技术的迅速发展,电信行业的通信网络在整个社会体系中扮演着重要角色。
然而,随之而来的是不断增加的网络安全威胁。
为了确保电信网络的稳定、安全和可靠运行,制定和遵循相关的通信网络安全标准就显得尤为重要。
本文将探讨电信行业通信网络安全标准的意义、目标和主要内容。
一、概述通信网络安全标准是为了规范电信行业中的通信网络建设、运营和维护,保障用户通信和信息的安全性而制定的一系列规范和准则。
这些标准涵盖了通信网络的硬件设备安全、软件系统安全、数据安全和网络运行安全等方面。
二、通信网络硬件设备安全标准1. 设备认证和合规性要求:规定通信网络硬件设备必须符合相关的认证和合规性标准,以确保其安全性和稳定性。
2. 设备生命周期管理:包括设备采购、配置、部署、监控、维护和报废等各个环节的管理规范,以确保设备整个生命周期的安全性。
3. 物理安全要求:包括设备的安装环境、交换机房的防护措施、设备接入控制等,以预防物理攻击和非授权访问。
三、通信软件系统安全标准1. 软件安全设计原则:包括安全性、稳定性、易用性、可控性等原则,规定软件系统设计必须兼顾这些方面的要求。
2. 软件开发和测试规范:要求制定统一的软件开发和测试规范,包括代码审查、漏洞扫描和安全测试等,以确保软件系统的安全性。
3. 操作系统和数据库安全:包括操作系统和数据库的安全配置、访问控制、漏洞修补等要求,以降低操作系统和数据库的攻击风险。
四、通信数据安全标准1. 数据传输加密:规定通信网络中的数据传输必须采用加密技术,以防止数据被未经授权的人窃取或篡改。
2. 认证和授权机制:要求设立完善的用户认证和授权机制,确保只有经过身份验证的用户才能访问和操作数据。
3. 数据备份和恢复:包括数据备份策略、备份存储介质和备份恢复测试等要求,以保证数据不受意外损坏的影响。
五、通信网络运行安全标准1. 安全策略和管理:规定通信网络运行必须建立和遵循相应的安全策略和管理体系,确保网络运行的稳定性和安全性。
中国电信CDMA网络DRM接口规范V1.0.0_20080318asb
中国电信企业标准CT DRM 接口规范CT/T SN RC1 DRM V1.0.0A SB 专用目 录目 录 (1)前 言....................................................................................................................................................................8 1适用范围........................................................................................................................................................9 2引用标准......................................................................................................................................................10 3 术语和缩略语. (12)3.1术语......................................................................................................................................................12 3.2缩略语..................................................................................................................................................12 4 中国电信数据业务网络DRM 的基本架构.. (14)4.1系统架构图 (14)4.2 接口概述..............................................................................................................................................14 4.2.1根据外部网元划分DRM 的外部接口.......................................................................................14 4.2.2根据服务功能划分DRM 的外部接口.......................................................................................16 4.3DRM S ERVER 接口协议说明..............................................................................................................17 4.4参数类型定义......................................................................................................................................17 4.4.1基本类型.....................................................................................................................................17 4.4.2状态信息.....................................................................................................................................18 4.4.3其他说明.....................................................................................................................................19 4.5授权接口..............................................................................................................................................19 4.5.1接口协议说明..............................................................................................................................19 4.5.2消息列表.....................................................................................................................................19 4.5.3参数类型定义..............................................................................................................................19 4.5.3.1版权递交方式.........................................................................................................................................19 4.5.3.2终端类型.................................................................................................................................................19 4.5.3.3授权请求信息.........................................................................................................................................20 4.5.3.4扩展授权响应信息..................................................................................................................................21 4.5.4授权请求消息(DrmAuthRequest )..........................................................................................21 A S B 专用4.5.4.3 参数说明 (22)4.5.5授权响应消息(DrmAuthResponse ).......................................................................................22 4.5.5.1功能描述.................................................................................................................................................22 4.5.5.2消息类型定义.........................................................................................................................................23 4.5.5.3 参数说明. (23)4.6 内容下发完成通知接口 (24)4.6.1接口协议说明..............................................................................................................................24 4.6.2消息列表.....................................................................................................................................24 4.6.3内容下发完成通知请求消息......................................................................................................24 4.6.3.1功能描述.................................................................................................................................................24 4.6.3.2消息类型定义.........................................................................................................................................24 4.6.3.3 参数说明. (25)4.6.4 内容下发完成通知响应消息......................................................................................................25 4.6.4.1功能描述.................................................................................................................................................25 4.6.4.2消息类型定义.........................................................................................................................................25 4.6.4.3参数说明.................................................................................................................................................26 4.7打包接口..............................................................................................................................................26 4.7.1接口协议说明..............................................................................................................................26 4.7.2消息列表.....................................................................................................................................26 4.7.3参数类型定义..............................................................................................................................27 4.7.3.1打包类型.................................................................................................................................................27 4.7.3.2基本内容信息.........................................................................................................................................27 4.7.3.3扩展内容信息.........................................................................................................................................28 4.7.3.4基本打包信息.........................................................................................................................................28 4.7.3.5扩展打包信息.........................................................................................................................................29 4.7.3.6接入校验信息.........................................................................................................................................30 4.7.3.7组数据.....................................................................................................................................................31 4.7.3.8riURL 定义..............................................................................................................................................31 4.7.4打包请求消息(PackagingRequest )......................................................................................31 A S B 专用4.7.4.2消息类型定义.........................................................................................................................................31 4.7.4.3 参数说明. (32)4.7.5打包响应消息(PackagingResponse )....................................................................................32 4.7.5.1功能描述.................................................................................................................................................32 4.7.5.2消息类型定义.........................................................................................................................................33 4.7.5.3 参数说明. (33)4.7.6打包结果通知请求消息(PackagingResultNotifyRequest )..................................................33 4.7.6.1功能描述 (33)4.7.6.2消息类型定义.........................................................................................................................................33 4.7.6.3 参数说明. (34)4.7.7打包结果通知响应消息(PackagingResultNotifyResponse )................................................34 4.7.7.1功能描述.................................................................................................................................................34 4.7.7.2消息类型定义.........................................................................................................................................34 4.7.7.3 参数说明. (35)4.7.8打包状态查询请求消息(PackagingStatusQueryRequest )...................................................35 4.7.8.1功能描述.................................................................................................................................................35 4.7.8.2消息类型定义.........................................................................................................................................35 4.7.8.3参数说明.................................................................................................................................................35 4.7.9打包状态查询响应消息(PackagingStatusQueryResponse )................................................36 4.7.9.1功能描述.................................................................................................................................................36 4.7.9.2消息类型定义.........................................................................................................................................36 4.7.9.3参数说明.................................................................................................................................................36 4.8统一配置接口......................................................................................................................................37 4.8.1接口说明.....................................................................................................................................37 4.8.1.1配置原则.................................................................................................................................................37 4.8.1.2文件命名规范.........................................................................................................................................37 4.8.1.3回执文件命名规范..................................................................................................................................38 4.8.1.4其它说明.................................................................................................................................................38 4.8.2接口定义.....................................................................................................................................39 A S B 专用4.8.2.2版权规则文件体定义..............................................................................................................................39 4.8.2.3SP 信息文件体........................................................................................................................................42 4.8.2.4 数据配置回执文件DTD (42)4.9 域管理接口 (43)4.9.1 接口协议说明 (43)4.9.2 参数类型定义 (43)4.9.2.1域规则.....................................................................................................................................................43 4.9.2.2域设备信息 (43)4.9.2.3 用户信息 (44)4.9.3消息列表.....................................................................................................................................44 4.10消息体定义......................................................................................................................................44 4.10.1 域创建请求消息(CreateDomainRequest ) (44)4.10.1.1 功能描述 (44)4.10.1.2 消息类型定义 (45)4.10.1.3参数说明.............................................................................................................................................45 4.10.2域创建响应消息(CreateDomainResponse )...........................................................................45 4.10.2.1功能描述.............................................................................................................................................45 4.10.2.2消息类型定义.....................................................................................................................................45 4.10.2.3参数说明.............................................................................................................................................46 4.10.3域升级请求消息(UpgradeDomainRequest )..........................................................................46 4.10.3.1功能描述.............................................................................................................................................46 4.10.3.2消息类型定义.....................................................................................................................................46 4.10.3.3参数说明.............................................................................................................................................47 4.10.4域升级响应消息(UpgradeDomainResponse )........................................................................47 4.10.4.1功能描述.............................................................................................................................................47 4.10.4.2消息类型定义.....................................................................................................................................47 4.10.4.3参数说明.............................................................................................................................................47 4.10.5域信息查询请求消息(QueryDomainRequest )......................................................................48 4.10.5.1功能描述.............................................................................................................................................48 A S B 专用4.10.5.3 参数说明 (48)4.10.6 域查询响应消息(QueryDomainResponse ) (48)4.10.6.1 功能描述 (48)4.10.6.2 消息类型定义 (49)4.10.6.3参数说明.............................................................................................................................................49 4.10.7 域设备加入请求消息(JoinDomainRequest ).. (50)4.10.7.1功能描述.............................................................................................................................................50 4.10.7.2消息类型定义 (50)4.10.7.3 参数说明 (50)4.10.8 域设备加入响应消息(JoinDomainResponse ) (50)4.10.8.1 功能描述 (50)4.10.8.2 消息类型定义 (51)4.10.8.3参数说明.............................................................................................................................................51 4.10.9域设备离开请求消息(LeaveDomainRequest )......................................................................51 4.10.9.1功能描述.............................................................................................................................................51 4.10.9.2消息类型定义.....................................................................................................................................51 4.10.9.3参数说明.............................................................................................................................................52 4.10.10域设备离开响应消息(LeaveDomainResponse )................................................................52 4.10.10.1功能描述.............................................................................................................................................52 4.10.10.2消息类型定义.....................................................................................................................................52 4.10.10.3参数说明.............................................................................................................................................53 4.11SDP 完整性密钥获取接口.................................................................................................................53 4.11.1接口协议说明..............................................................................................................................53 4.11.2消息列表.....................................................................................................................................53 4.11.3SDP 完整性密钥获取请求消息.................................................................................................53 4.11.3.1功能描述.................................................................................................................................................53 4.11.3.2消息类型定义.........................................................................................................................................53 4.11.3.3参数说明.................................................................................................................................................54 4.11.4SDP 完整性密钥获取响应消息.................................................................................................54 A S B 专用4.11.4.2消息类型定义.........................................................................................................................................54 4.11.4.3 参数说明.................................................................................................................................................54 5与WAP 网关的接口...................................................................................................................................56 6 与终端的接口. (57)6.1与终端的通用接口..............................................................................................................................57 6.2与OMA DRM1.0终端接口 (57)6.3 与OMA DRM2.0终端接口 (57)7 与PORTAL 的接口 (58)7.1 P ORTAL 重定向接口 (58)7.1.1 功能描述 (58)7.1.2参数说明.....................................................................................................................................58 7.2P ORTAL 重定向返回接口....................................................................................................................60 7.2.1功能描述.....................................................................................................................................60 7.2.2参数说明.....................................................................................................................................60 7.3P ORTAL 重定向消息复核请求消息(可选).....................................................................................60 7.3.1功能描述.....................................................................................................................................60 7.3.2参数说明.....................................................................................................................................61 7.4P ORTAL 重定向消息复核响应消息(可选).....................................................................................61 7.4.1功能描述.....................................................................................................................................61 7.4.2参数说明.....................................................................................................................................61 7.5授权结果通知接口(可选)..............................................................................................................62 7.5.1功能描述.....................................................................................................................................62 7.5.2参数说明.....................................................................................................................................62 附录A :DRM 业务流程(规范性附录)........................................................................................................63 附录B :SCHEMA(规范性附录).......................................................................................................................64 附录C :接口规范参考资料(资料性附录)........................................................................................................65 附录D :鉴权批价请求参数类型定义(规范性附录)........................................................................................66 A S B 专用修改历史 (67)A SB 专用前 言本规范文档是中国电信CDMA 网络DRM 系列规范中的第三项。
01.规程总册 中国电信移动通信网络运行维护规程(试行)
中国电信CDMA移动通信网络运行维护规程(试行)中国电信集团公司2008年9月V1.0版本编写说明:为顺利承接CDMA网络维护工作,保证CDMA网络平稳过渡和运行,中国电信集团公司组织了移动网络有关维护标准、规范的编写工作,包括指标体系和考核办法、维护规程、网优管理办法等内容。
本册为维护规程,包含以下文档:《维护规程总册》《分册1-网络设备维护指标和作业计划分册》《分册1-1无线网设备》《分册1-2 室内及小区分布系统》《分册1-3 基站配套设备》《分册1-4 核心网设备(电路域)》《分册1-5 核心网设备(分组域)》《分册1-6 增值业务平台》《分册1-7 信令网设备》《分册1-8 网管及支撑系统》《分册2 移动应急通信设备管理分册》《分册3 基站设备代维管理分册》《分册4 CP/SP/AP维护支撑管理分册》本次维护规程的编写总体思路是以继承为主,在原联通的移动网运行维护规程(2005年修订版)基础上,修订了与中国电信现行维护体制不相适应的内容,并根据中国电信实践经验补充了部分维护管理有关内容。
有关中国电信CDMA网络运营和维护组织主要参考《关于中国电信全业务经营下组织体制有关问题的通知》(中国电信[2008]458号)和《关于做好移动网络维护准备工作有关问题的通知》(中国电信[2008]534号)。
本次修订的维护规程版本编号为2008年9月V1.0,主要用于指导CDMA网络交割过渡期内的运行维护工作。
本维护规程各分册之间以及本规程和本次编写的其他CDMA网络维护标准、规范的衔接关系如下:维护规程总册和分册关系:总册规定原则和共性内容,分册根据各类设备特性规定维护技术指标、维护作业、特定的维护管理要求等具体内容;总册是组织维护工作的指导性文件,分册是实施维护工作的具体参考。
维护规程与指标体系、考核管理办法之间关系:维护规程明确维护目标、原则、工作内容以及开展各项维护工作应遵守的标准和流程;指标体系规定网络运行质量的具体指标定义,统一衡量网络运行和服务质量的标准;考核办法则根据不同时期网络维护的目标和工作重点,每年进行修订发布,规定具体考核实施的办法。
中国移动网络互联安全管理办法(v1.0)
中国移动网络互联安全管理办法第一章总则第一条为加强中国移动通信有限公司(以下简称“有限公司”)及各省公司(有限公司和各省公司统称“中国移动”)网络互联安全管理,保障在安全可控的前提下满足不同网络之间的互访需求,根据《中华人民共和国计算机信息系统安全保护条例》、《中国移动网络与信息安全保障体系(NISS)总纲》等国家和公司相关规定,制定本办法。
第二条网络互联应符合“谁主管、谁负责,谁接入、谁负责”总体原则,遵从“基于需求”、“集中化”及“可控”等具体原则。
通过规范申请、审批等过程,实现安全的网络互联。
第三条本办法由中国移动通信有限公司网络部制定、监督实施和解释。
第四条本办法自发布之日起执行,各省公司应制定具体实施细则。
第二章适用范围第五条本办法适用于有限公司及各省公司的建设部门,通信网、业务网和各支撑系统维护部门以及与中国移动相关的所有合作伙伴,如SP、CP、代维公司、银行、设备供应商等等。
第六条CMNet专线用户的管理以业务部门相关规定为准,不在本办法管理范围内。
第七条电信运营商之间网络的互联管理不在本办法规定范围内,可参见信息产业部《电信管理条例》、《公用电信网间互联管理规定》(信息产业部第9号令)以及《中国移动互联互通管理办法》等。
第八条本办法所指“网络互联”仅限于两个需要建立长期连接的网络之间的互联。
其它连接类型的管理要求可参见《中国移动远程接入管理办法》。
网络互联可分为两大类:(一)内部网络互联:指中国移动内部各安全域之间的互联,包括各支撑系统之间、支撑系统与业务系统之间、业务系统之间以及总部和各省公司两级安全域之间的互联等;(二)内部与外部网络互联:指中国移动网络与与第三方网络之间的互联,第三方网络包括但不限于合作伙伴、客户网络、设备提供商等等。
第三章组织及职责第九条总体原则(一)“谁主管、谁负责,谁接入、谁负责”原则。
中国移动通信网、业务网和各支撑系统的维护部门作为第一责任人,分别直接负责所辖网络的网络互联管理工作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国电信安全策略体系文档文档编号: SOC 02-02-003中国电信互联网及相关网络路由器设备安全防护要求版本号:1.0.0发布日期:中国电信集团公司网络运行维护事业部修订记录修订日期修订内容修订人目次前言 (1)1引言 (2)1.1目的 (2)1.2范围 (2)2防护策略划分 (3)3管理平面防护策略 (4)3.1管理口防护 (4)3.2账号与口令 (4)3.3认证 (5)3.4授权 (5)3.5审计.................................................................................... 错误!未定义书签。
3.6远程管理 (6)3.7SNMP安全 (6)3.8系统日志 (6)3.9NTP (7)3.10banner信息 (7)3.11未使用的管理平面服务 (7)4数据转发平面防护策略 (8)4.1流量控制 (8)4.2典型垃圾流量过滤 (8)4.3ToFab (8)5控制平面防护策略 (10)5.1ACL控制 (10)5.2路由安全防护 (10)5.3协议报文防护 (10)5.4引擎防护策略 (11)前言为进一步落实《中国电信互联网及相关网络安全策略总纲》要求,促进中国电信互联网及相关网络在路由器设备选型、工程验收以及运维阶段等环节的规范化运作,明确路由器设备必须满足的基本安全防护要求(相关安全防护要求独立于具体厂家),特制定本防护要求(以下简称“要求”)。
各省公司可以根据实际情况,在本要求的基础上制定相应的实施细则并具体实施。
本文档起草单位:中国电信集团公司网络运行维护事业部本文档解释单位:中国电信集团公司网络运行维护事业部1 引言1.1 目的为促进中国电信互联网及相关网络在路由器设备选型、工程验收以及运维阶段等环节的规范化运作,明确路由器设备必须满足的基本安全防护要求(相关安全防护要求独立于具体厂家),特制定本要求。
1.2 范围本要求适用于中国电信的互联网与相关网络及系统,主要包括IP承载网,以及承载在其上的各种业务网、业务平台和支撑系统。
IP承载网包括中国电信ChinaNet、CN2、城域网、DCN等网络;业务网包括C网分组域、软交换等;业务平台包括C网业务平台、全球眼、互联星空等;支撑系统包括DNS、网管系统、认证系统等。
2 防护策略划分根据国内外运营商网络及结合中国电信的实际情况,可将路由交换设备的安全域逻辑划分为管理平面、控制平面、转发平面等三大平面,每个平面的具体安全策略不同。
具体如下:管理平面:管理平面防护的主要安全策略是保护设备远程管理及本地服务的安全性,降低设备受到网络攻击或被入侵的可能性。
转发平面:数据转发平面的主要安全策略是对异常流量进行控制,防止因网络蠕虫、拒绝服务攻击等流量在网络中的泛滥,造成网络的拥塞或不可用。
控制平面:控制平面的主要安全策略是保证设备系统资源的可用性,使得设备可以正常的实现数据转发、协议更新。
3 管理平面防护策略管理平面防护的主要目的是保护路由器远程管理及本地服务的安全性,降低路由器受到网络攻击或被入侵的可能性。
管理平面防护的措施主要包括以下几方面:3.1管理口防护编号内容1 设备应关闭未使用的管理口(AUX、或者没开启业务的端口)。
2 设备应配置console口密码保护。
3.2账号与口令本地认证编号内容1 应对不同的用户分配不同的账号,避免不同用户间账号共享。
2 应禁止配置与设备运行、维护等工作无关的账号;应禁止使用设备默认账号与口令并严格控制本地认证账号数量。
3 对于采用静态口令认证技术的设备:应支持口令长度及复杂度验证机制(强制要求口令应由数字、大写字母、小写字母和特殊符号4类字符构成,自动拒绝用户设置不符合复杂度要求的口令。
);口令应以密文形式存放,并采用安全可靠的单向散列加密算法(如md5、sha1等);口令定期更改,最长不得超过90天。
认证服务器认证编号内容1 建议使用动态口令认证技术。
2 口令定期更改,最长不得超过90天。
3 应为设备配置用户连续认证失败次数上限,当用户连续认证失败次数超过上限时,设备自动断开该用户账号的连接,并在一定时间内禁止该用户账号重新认证。
4 设备应通过对用户组的认证实现对用户组及组内账号、口令的相关控制。
3.3认证编号内容1 除本地认证外,设备原则上还应通过与认证服务器(RADIUS或TACACS服务器)联动的方式实现对用户的认证。
3.4授权编号内容1 设备原则上应采用预定义级别的授权方法,实现对不同用户权限的控制。
2 除本地授权外,设备原则上应通过与认证服务器(RADIUS服务器或TACACS 服务器)联动的方式实现对用户的授权。
对用户授权时,建议采用逐条授权的方式,尽量避免或减少使用一次性授权的方式。
3 原则上应采用对命令组或命令进行授权的方法,实现对用户权限细粒度的控制的能力。
3.5记账编号内容1 原则上应采用与认证服务器 (RADIUS或TACACS服务器)联动的方式,实现对用户登录日志的记录和审计。
记录和审计范围应包括但不限于:用户登录的方式、使用的账号名、登录是否成功、登录时间、以及远程登录时用户使用的IP地址。
2 原则上应采用与认证服务器 (RADIUS或TACACS服务器)联动的方式,实现对用户操作行为的记录和审计,记录和审计范围应包括但不限于:账号创建、删除和权限修改,口令修改,设备配置修改,执行操作的行为和操作结果等。
3.6远程管理编号内容1 应配置超时退出。
2 应限制VTY口的数量,通常情况下VTY口数量不超过16个。
应设定VTY口的防护策略,避免由于恶意攻击或者错误操作等导致VTY口不可用情况的发生。
(如:网管系统尽量采用snmp方式对设备进行操作,避免使用对设备CPU负载较大的telnet方式。
)3 对于VTY口访问的认证,应采用认证服务器认证或者本地认证的方式,避免使用VTY口下设置密码的方式认证。
4 应通过ACL限制可远程管理设备的IP地址段。
5 建议使用SSH或带SSH的telnet等加密的远程管理方式。
3.7SNMP安全编号内容1 设备应支持并使用V2或V2以上版本的SNMP协议,对于支持V3版本的设备,必须使用V3版本SNMP协议。
2 应对发起SNMP访问的源IP地址进行限制,并对设备接收端口进行限制。
3 应关闭未使用的SNMP协议,尽量不开启SNMP的RW权限。
4 应修改SNMP协议RO和RW的默认Community字符串,并设置复杂的字符串作为SNMP的Community。
5 建议支持对SNMP协议RO、RW的Community字符串的加密存放。
3.8系统日志编号内容1 应调整system log的缓冲区大小。
2 应设置发送system log的源地址为loopback地址。
3 设备的System log messages不记录到控制台。
4 应具备将指定级别的日志发送到日志服务器或其它位置的能力。
3.9NTP编号内容1 应开启NTP,保证设备日志记录时间的准确性。
通过ACL对NTP服务器与设备间的通信进行控制。
3.10banner信息编号内容1 应隐藏设备缺省的banner信息。
3.11未使用的管理平面服务编号内容1 应关闭设备上不必要的服务(如CDP、DNS lookup、DHCP、finger、udp-small-server、tcp-small-server、http、bootp、IP源路由、PAD等)4 数据转发平面防护策略在数据转发平面的主要安全策略是对异常流量进行控制,防止网络蠕虫、拒绝服务攻击流量在网络中的泛滥,造成网络的拥塞或不可用。
转发平面防护的措施主要包括以下几个方面:4.1 流量控制编号内容1 应支持NetFlow 采集功能,采集设备入方向的流量的NetFlow。
2 设备应通过CAR等技术对报文进行分类,对协议端口进行流量控制。
4.2 典型垃圾流量过滤编号内容1 应采用uRPF技术预防伪造源地址的攻击。
2 应在相关接口(例如:在ChinaNet网络中的C/D 路由器面向城域网、面向IDC 接入的端口、ChinaNet网络中X/F/S 路由器面向其他运营商接入的端口)上采用分组过滤技术拒绝目的地址是私有地址、组播地址或者其他保留地址的非法数据流。
3 应在相关路由器上使用白名单方式,对网络间的访问进行合理控制。
(例如:CN2网络中,在X/F路由器上使用白名单方式限制国外运营商地址对CN2网络及设备地址的访问等)4 应合理的拒绝ICMP分片报文。
5 屏蔽不使用的端口。
4.3 ToFab编号内容1 应通过相关配置,防止ToFab方向的矩阵缓冲区耗尽导致的协议数据和转发流量异常5 控制平面防护策略控制平面防护的主要目的是对进出路由器自身流量进行控制,避免恶意流量或错误配置、软件bug和其它原因产生的泛洪流量,引起设备引擎过载,而导致设备数据转发性能下降或不可用事件发生。
控制平面防护的措施主要包括以下几个方面:5.1ACL控制编号内容1 应使用合理的ACL或其它分组过滤技术,对设备控制流量、管理流量及其它由路由器引擎直接处理的流量(如traceroute、ICMP流量)进行控制,实现对路由器引擎的保护。
5.2 路由安全防护编号内容1 应部署适当的路由安全策略,避免设备发布或接收不安全的路由信息。
(如:开启动态路由协议认证功能且认证口令采用MD5加密、使用ip prefix-list 过滤缺省和私有路由、设置最大路由条目限制、严格限制BGP PEER的源地址等)2 应部署适当的路由安全策略,保障整个网络路由层面的稳定性和可控性。
(如:对接收的eBGP 路由AS-PATH 长度进行一定限制、启用BGP TTL security check功能防御路由震荡攻击、采用BGP协议作为EGP协议时,应使用Route flap damping功能防止路由风暴等)3 启用LDP标签分发协议时,应合理使用LDP协议认证及加密功能,确保与可信方进行LDP协议交互。
5.3 协议报文防护编号内容1 设备应具备对仿冒ARP网关攻击防御的能力。
2 设备应具备对典型协议报文(如:STP、HSRP、VRRP、VTP、PAGP、LACP等)攻击防御的手段和能力。
3 应关闭代理ARP和IP 源路由功能。
5.4 引擎防护策略编号内容1 设备应部署合理的引擎防护策略,实现对设备引擎资源的保护。
如:使用CoPP、Racl、CPCAR等类似技术,对发送到设备主控板CPU处理和板卡的流量进行控制(限速或丢弃)。