YD∕T 1747-2014 IP承载网安全防护检测要求[通信].pdf
《YD∕T 1747-2014 IP承载网安全防护检测要求[通信].pdf》由会员分享,可在线阅读,更多相关《YD∕T 1747-2014 IP承载网安全防护检测要求[通信].pdf(56页珍藏版)》请在咨信网上搜索。
1、ICS 33.040 M 10 YD 中华人民共和国通信行业标准YDIT 1747-2014 代替YOfT1747-2013 IP承载网安全防护检测要求Security protection testing requirements for I P bearer network 2014-10-14发布2014-10-14实施中华人民共和国工业和信息化部发布学兔兔标准下载YDrr 1747-2014 目次前言,.,.,. . . . . . . . . . . . . . tI . . . . . .,!I 1范围2规范性引用文件. 3术语、定义和缩略语. . 3.1 术语和定义3.2 缩略语
2、.4 IP承载网安全防护检测概述.4.1 安全防护检测范围4.2 安全防护检测对象. 4.3 安全防护检测环境u. . . . . . . . . . .4 5 IP承载网安全防护检测要求. 5.1 第1级要求5.2 第2级要求. 5.3 第3级要求. . . . . . ,. . . ,. .,. . .26 5.4 第4级要求. . . ,. . . . . . . .,.49 5.5 第5级要求. . . . . . . . . . . . . . . . . . .49 参考文献. . ,. . . . .,. . ,. . . . . . . ., .m 学兔兔阿标准下载YDrr 1
3、747-2014 n 目IJ昌本标准是电信网和互联同安全防护体系系列标准之一,该系列标准的结构及名称预计如下:1. 电信网和互联网安全防护管理指南2. 电信网和互联网安全等级保护实施指南3. 电信网和互联网安全风险评估实施指南4. (电信网和互联网灾难备份及恢复实施指南s. (固定通信网安全防护要求6. (固定通信网安全防护检测要求7. (移动通信网安全防护要求8. (移动通信网安全防护检测要求9. 互联网去全防护要求10. 互联网安全防护检测要求11. .增值业务网一消息网安全防护要求12. 增值业务网一消息网安全防护检测要求13. (增值业务网一智能网安全防护要求14. 增值业务网一智能同
4、安全防护检测要求15. (接入网圭全防护要求16. (接入同安全防护检测要求17. (传送同安全防护要求18. (传送网安全防护检测要求19. (rp承载同安全荫护要求20. (IP承载网安全防护检测要求)(本标准)21. (信令网安全防护要求22. (信令同安全防护险测要求23. (同步网圭全防护要求24. (同步网安全防护检测要求25. (修订YD厅1746-2013(IPj融载网安全防护要求)配套使用。本标准按照GB厅1.1-2009给出的规则起草,本标准是YD厅1747-2013rp承载网去全防护检测要求的修订版本。本标准与YD厅1747-2013的主要差异在于:本标准第2章增加了规范
5、性引用文件.本标准第3章更新了适用于本标准的缩暗语,主要涉及3.2节,m 学兔兔标准下载YDrr 1747-2014 本标准第4章新增4.3节安全防护检测环境本标准第5章以表格的形式细化和完善了安全防护检测要求,将原标准中的检测要求划分为测试项目、测试步睡、测试结果和测试原则等内容分类编写.随着电信用和互联网的发展,将不断补充和完善电信网和亘联网安全防护体系的|相关标准。本标准由中国通信标准化协会提出井归口,本标准起草单位:工业和信息化部电信研究院、中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司。JV 本标准主要起草人z崔涛、魏班、杨剑锋J王新峰、李友国、马广宇、|陈;f
6、1J军q本标准于2008年1月首次发布,于2013年l月完成第一次修订,本次为第二战修订,学兔兔标准下载YDIT 1747-2014 IP承载网安全防护检测要求1 范圄本标准规定了E承载网在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。本标准适用于公众E承载网.2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是在日期的引用文件,仅所注日期的版本适用于本文件.凡是不注日期的引用文件,其最新版本包括所有的修改单)适用于本文件.YDtr 1163-2001 YDfT 1170-2001 YDrr 1478-2006 YDfT 1730-2008 yorr 1731-2
7、008 YDtr 1755-2008 YDrr 1757-2008 3 术语、定义和缩略语3.1 术语和定义(Ip网络安全技术要求一一安全框架IP网络技术要求一一网络总体电信管理网安全技术要求电信网和互联网安全风险评估实施指南电信网和互联网灾难备份及恢复实施指南电信网和互联网物理环撞安全等级保护检测要求电信同和互联网管理安全等级保护检测要求下列术语和定义适用于本文件。3.1.1 IP承载同安全等级Security Classificalion of IP Bearer Nelwork E承载网去全重要程度的表征,重要程度可从E承载网受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业
8、务运营商造成的损害来衡量。3.1.2 IP承载罔安全等级保护Classified Security Protecton of IP Bearer Network 对E承载罔分等级实施去全保护。3.1.3 组织Organization 组织是由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作:一个单位是一个组织,某个业务部门也可以是一个组织.3.1.4 IP承载同安全凤险Security Risk of IP Bearer Network 人为或自然的威胁可能利用IP承载网中存在的脆弱性导致安全事件的发生及其对组织造成的影响。学兔兔阿标准下载YDrr 1747
9、-2014 3.1.5 IP承载网安全凤险评估Security RiskAssessment of IP Bearer Network 指运用科学的方法和手段,系统地分析E承载同所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵榈威胁的防护对策和安全措施。防范和化解E承载网安全风险,或者将风险控制在可接受的水平,为最大限度地为保障E承载网的安全提供科学依据。3.1.6 IP承载罔资严Asset of IP Bearer Network E承载网中具有价值的资摞,是安全防护保护的对象.IP革载网中的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括物理
10、布局、通信设备、物理结路、数据、软件、丈挡、规程、业务承载能力、人员、管理等各种类型的资源。3.1.7 IP承载网资产价值Asset Value of IP Bearer Network E承载网中资产的重要程度或敏感程度.IP承载网资产价值是E承载间资产的属性,也是进行IP承载同资产识别的主要内容。3.1.8 IP承载网威胁Threatof IP Bearer Networl 可能导致对E承载间产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可舵是暖意攻击.常见的E承载网络威胁有攻击、嗅挥、设备节点故障、火灾、7.1:测IP承键网间结设备-_.- -一,肿,
11、响-. - -_. -晴,唱用品-. - -._-. _._ .a._._. . 下仔流揭发传:器Ui古电器t.设-备间流rr发生器固1IP盘问安全防护检删环境结构示意固协议分ii仪漏洞扫描器测试工具桂测对象包括IP承载网网络设备(如路由器、交换机等和IP承载同辅助性IT系统(如运雄、管理、监副系统等。测试工具包括:协议分析仪应支持E协议旗各层协议的解析、流量发生器(应支持IP协议簇各层协议报文的构建和指定流量的发生和漏洞扫描器(应支持主机扫描、端口扫描、漏洞检测等功能) 4 学兔兔标准下载yorr 1747-2014 5 IP承载同安全防护检测要求5.1 第1级要求本标准对安全等级为第1组的
12、P承载同暂不作要求。5.2 第2组要求5.2.1 同描安全5.2.1.1 网络陌圳、安全测试编号IP承载呵第2级网络安全.网络拓扑安全-01删试项目5.2.I.1-a,网络结构与组织应符合四厅1172001要求测试步骤:1)访谈P最载网运维人员,查看网络设计/验收文档、同结拓扑丈档等是否持台四厅1170-2001中相关要求:2)检查E承载同的实际结构、网络拓扑是否符合YD厅1170-2001的要求:引进入现场栓查网络及设备实际组同情况,实地查看四承载同的拓扑、设备部署、链路设置等情况:4)对网络设备进行ping测试,判断其是否按照网络拓扑设计进行部署1们对禁止ping的设备(如部分辅助设备),
13、使用网络拓扑发现工具对网络的设备部署进行探副预期结果:) IP意载同实际拓扑结构、节点设备部署等与网络设计、验收文档、网络拓扑文档等一致:2) IP承载同的拓扑、设备部署、髓路设置等符合YD厅1170-2001中相关要求判定原则:达到以上预期结果,则通过,否则不通过测试缩号lP承载同第2级网结安全网络拓扑安全-02测试项目(Ip承载同安全防护要求)5.2.1.1-b.节点部署及传输层路由的规划合理,可用可扩展测试步骤:1)访谈 E承载网运雄人员,查看网络设计/验收文档、网络设备配置文挡等,分析节点部署和传输层路由设计是否具有较高的可用性和可扩展性:2)检查网络节点部署规划和传输层路由使用情况;
14、3)核对网络&设备实际配置信息,查看路由规划情况;的向网络发送定制流量(如基于http协议流量验证网络设备实际部署和节点配置情况:5)在同络节点接口处使用协议分析仪对路由报文进行抓取和分析,评估路由协议规划的合理性预期结果zI) IP承载网的节点部署及传输层路由设计和规划合理:2) lP承载网各网络节点接口使用的路由协议均具有较高的可用性和可扩展性判定原则z达到以上预期结果,则通过,否则不通过学兔兔标准下载5 YOIT 1747-2014 测试编号IP承载网.第2级网结安全罔络拓扑安全-03测试项目(lP承载网安全防护要求S.2.1.1-c,节点域内接口应使用内部路由协议,域间接口应使用外部路
15、由协议测试步晴:1 )访谈E承载网运维人员,查看网络设计/验收丈档、网络设备配置文档等,查看路由协议配置情况;2)检查并核对网络设备路由协议实际配置情况:3)在E承载网节点域内使用协议分析仪进行抓包,验证域内接口是否使用内部路由协议(如,OS町、ISIS等);的在E革载网节点域间使用协议分析仪进行抓包,验证域间接口是否使用外部路由协议(如,.BGP 等预期结果zI) IP承载网实际的网络路由和配置信息与统一的路由规划一致=2) IP承载网节点域内接口均使用内部路由协议,域间接口均使用外部路由协议判定原则z达到以上预期结果,则通过,否则不通过制试编号IP承载网.第2级网络安全网络拓扑安全-04测
16、试项目(Ip承载网安全防护要求)5.2.1.1-d.地址应统一规划和分配,有利于路由组织、QoS保障与用户糊#票,地址利用率合理测试步骤zI)坊诙E承载网运维人员,查看网络地址规划和分配记录:2)检查并核对网络设备实际配置地址情况;3)根据网络拓扑和设备部署情况、业务应用和发展情况,评估地址规划策略是否有利于路由组织井满足业务发展需求预期结果E。IP最载网地址分配和使用有统一规划;2) IP承载网地址规划及分配、使用状况能体现罔络层次性,有利于网络路由优化;3) IPv6地址能够体现客户信息和业务费别特征,易于QoS保障与用户溯掘z4) IP承载网保留有一定的备用地址空间井能满足业务扩展的需求
17、判定原则:达到以上预期结果,则通过,否则不通过6 学兔兔标准下载回-Y)IT 1747-2014 5.2.1.2 网络保伊与恢复测试编号:四承载网雪第2级暨网络安全,网络保护与恢复-01测试项目UP承载同安全防护要求5.2.1.2-a,节点重要部件和模块应配置为主备用方式测试步骤:I)访谈网络运锥人员,查看网络设备配置文挡、故障告警记录等,查看E承载阿网络节点重要设备和部件的冗余情况;2)检查E承载网节点设备的部件(或板卡、模块等)配置和主备使用情况:3)在业务空闲时段对F承载同网络节点设备重要部件进行主备切换,验证其是否采用主备冗余保护措施预期结果:1) IP*载同网络节点设备主控模块采用了
18、主备冗余保护措施i2) IP京载同网络节点设备电源模块来用了主备元余保护措施判定原则:达到以上预期结果,则通过,否则不通过测试编号IP最载网第2级网络安全罔络保护与恢复-02割试项目(Ip承载网安全防护要求5 .2.1.2-b.重要节点问链路应采取链路冗余保护措施测试步骤z1)访谈网结运维人员,查看网络设计、设备配置立档、故障告警记录等,查看E承载网重要节点问链路的冗余保护措施;2)检查E承载网重要节点间链路冗余配置和使用情况:3)在业务空闲时段对E承载同重要节点间单条链踏进行切断和恢复操作,验证P承载同同结链昂的容究抗束能力预期结果=1)网络重要节点问链路有兀余链路相关设计且与实施部署相一致
19、z2)冗余链路等方式能够满足E承载罔网络链路的容灾抗灾要求:3)冗余链路等方式保护的灾难怯复时间能够满足预先设定的目标判定原则z达到以上预期结果,则通过,否则不通过7 学兔兔标准下载yorr 1747-2014 测试编号IP最载网.第2级-网络安全网络保护与恢复-03测试项目(IP承载网安全防护要求5.2.1.2-c,应采用链路聚合、转发检测、保护倒换、重路由等去全保护措施测试步骤:1)访谈网络运雄人员,查看网络设计文档、设备配置记录、运行历史记录、故障告警记录等,查看针对业务或应用采取的安全防护措施:2)检查E承载同链路部署情况和重要设备配置信息是否采用了链路聚合、转发检测、保护倒换、重路由
20、等安全设计预期结果t1) IP承载用且设备采用了链路聚合、转发检测、保护倒换、重路由等去全世计:2) IP京载同及设备采用的上述安全保护措施能够满足业务或应用的需要判定原则z达到以上预期结果,则通过,否则不通过测试编号IP承载同.第2级,网络安全.网络保护与恢复-04测试项目;(IP承载同安全防护要求5.2.1.2-d. IP据域网络间应通过骨干网络或城域汇摆节点实现互联测试步骤z)苗族网络运维人员,查看网络设计/验收丈档、网络拓扑文档、设备配置记录等,查看P城域网间2)检查F城埔同是否根据实际情况规划和部署核心节点、汇接节点:3)检查E城域网络是否通过骨干同或捕域汇接节点实现互联预期结果=1
21、) IP描域网络间直联方式与设计一致;2) IP捕域网通过骨干网或城域汇接节点进行互联判定原则z达到以上预期结果,则通过,否则京通过s 学兔兔标准下载-YDrr 1747-2014 制试编号IP承载网.第2级-网络安全网络保护与恢复-05测试项目(Ip承载网安全防护要求)5.2.1.2-e.关键数据应有本地数据备份,并进行定期的有效性验证测试步骤t)访谈网络运维人员和去全管理人员,查看数据备份要求、安全策略、灾难应急预案、数据备份记景等,查看E承载网相关关键数据的备价方式;2)检查P承载网相关关键数据(如业务数据、设备配置数据、性能数据、告警数据等)是否有本地数据备份:3)通过加载各份数据等方
22、式验证其有敢性及恢复能力是否均得合要求预期结果z)关键数据(如业务数据、设备配置数据、性能数据、告警数据等)本地各份与设计/验收文挡一致:2)拥有挂介质特性对备份数据定期(至少每季度一次)进行有效性验证的制度;3)备份数据能够完成苟效性验证并与己经存档的验证记录或报告保持一致判定原则z达到以上预期结果,则通过,否则不通过测试编号IP承载网,第2级.网络安全.网络保护与恢复-06测试项目(Ip承载网圭全防护要求5.2.1.2-巳灾难恢复应首先保证重要通信,然后恢复-般通信测试步骤t1)访谈网络运维人员和安全管理人员,查看网路安全策略、灾难应急预案、演练记录等,查看E承载网的灾难恢复顺序;2)检查
23、网络设备的配置和策略,评估E承我同的灾难恢复能力预期结果:1) IP承载同在灾难恢复时对应急通信、重要应用和业务网络通信来取了保障措施井与优先保障设计一致;2)采取的灾难恢复保障措施满足优先保证应急通信、重要应用和业务网络的通信,其次恢复一般应用和业务网络通信的要求判定原则:达到以上预期结果,则通过,否则不通过一9 学兔兔标准王载YDrr 1747-2014 测试编号p承载同.第2辑,网络安全,网络保护与恢复-07测试项目:(IP承载同安全防护要求5 .2.1.2-g,灾难备份和恢复时间应满且相关要求测试步骥:I)访谈网络运雄人员和安全管理人员,查看网络安全策略、灾难应急预案、演练记录等,查看
24、对于不同网络灾难的备份和恢复时间的相关要求:2)在业务空闲时段模拙网络故障链路或设备故障),验证E承载网灾难恢复的时间是否能满足行业管理、网络和业务运营商应急预案的要求预期结果=) IP承载网应急预案对不同的网络灾难分别有不同的各份和恢复时间的相关要求:2)网络灾难备份和恢复时间能够满足行业管理、网络和业务运营商应急预案相关要求判定原则z达到以上预期结果,则通过,否则不通过5.2.1.3 网络管理测试编号:IP承载网.第2级-网络安全-网络管理-01测试项目(IP革载同安全防护要求)5.2.1.3-a,应采用分域的管理方式,设置分级权限制试步骗z)访谈网络运维和安全管理人员,查看网络拓扑丈档、
25、网络管理规章、设备管理记录等,查看E承载网的管理方式:2)检查网络管理是否采用分域的管理方式;3)检查网结是否根据实际需求或运锥体制设置分组权阻,对网络设备和运维人员进行分级管理1) IP承载网根据网络结构特点,采用分域的管理方式:2)网络管理根据实际需求!il运锥体制设置分级权阻判定原则z达到以上预期结果,则通过,否则不通过10 学兔兔标准下载-国yorr 1747-2014 测试编号IP最载网第2级网络安全网络管理.02测试项目5.2.1.3也业务网络与辅助系统(或平台)间应实现迦晤隔离,井启用安全域访问控制策略测试步骤:1)谛诀网络运维和安全管理人员,查看网络设计文档、网络安全策略、运维
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 通信 YDT 1747-2014 IP承载网安全防护检测要求通信 YD 1747 2014 IP 承载 安全 防护 检测 要求
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。