YD/T 1747-2008
基本信息
标准号: YD/T 1747-2008
中文名称:IP 承载网安全防护检测要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1151345
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1747-2008.Security Protection Testing Requirements for IP Bearer Network.
1范围
YD/T 1747规定了IP承载网在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。
YD/T 1747适用于公众IP承载网。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1163-2001 IP网络安全技术要求一安全框架
YD/T 1170-2001 IP网络技术要求一网络总体
YD/T 1478-2006电信管理网安全技术要求
YD/T 1755-2008电信网和互联网物理环境安全等级保护检测要求
YD/T 1757-2008电信网和互联网管理安全等级保护检测要求
3定义和缩略语
3.1 定义
下列定义适用于本标准。
3.1.1
IP承载网安全等级Security Classification of IP Bearer Network
IP承载网安全重要程度的表征。重要程度可从P承载网受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
3.1.2
IP承载网安全等级保护Classified Security Protection of IP Bearer Network
对IP承载网分等级实施安全保护。
3.1.3
组织Organization
组织是(由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作。一个单位是一个组织,某个业务部门也可以是一个组织。
1范围
YD/T 1747规定了IP承载网在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。
YD/T 1747适用于公众IP承载网。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1163-2001 IP网络安全技术要求一安全框架
YD/T 1170-2001 IP网络技术要求一网络总体
YD/T 1478-2006电信管理网安全技术要求
YD/T 1755-2008电信网和互联网物理环境安全等级保护检测要求
YD/T 1757-2008电信网和互联网管理安全等级保护检测要求
3定义和缩略语
3.1 定义
下列定义适用于本标准。
3.1.1
IP承载网安全等级Security Classification of IP Bearer Network
IP承载网安全重要程度的表征。重要程度可从P承载网受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
3.1.2
IP承载网安全等级保护Classified Security Protection of IP Bearer Network
对IP承载网分等级实施安全保护。
3.1.3
组织Organization
组织是(由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作。一个单位是一个组织,某个业务部门也可以是一个组织。
标准图片预览
标准内容
中华人民共和国通信行业标准
YD/T1747-2008
IP承载网安全防护检测要求
Security Protection Testing Requirements for IP Bearer Network2008-01-14发布
2008-01-14实施
中华人民共和国信息产业部发布前
1范围
2规范性引用文件
3定义利缩咯语·
4IP承载网安全防护检测概述
4.1、安全防护检测范用·
4.2安全防护检测对象…
4.3安全防护检测内容
4.4安全防护检测结果判定·
5IP承载网安全等级保护检测要求·5.1第1级要求-
5.2第2级要求
5.3第3.1级要求·
5.4第 3.2级要求+
5.5第4级要求
5.6第5级要求...
6P承载网安全风险评估检测要求6.1安全风险评估范围·
6.2安全风险评估内容..
6.3安全风险评估要.
6.4安全风险评估赋值原则
6.5安全风险评估计算方法
6.6安全风险评估文件类型
6.7安全风险评估文件记录
7IP承载网灾难备份及恢复检测要求7.1第I级要求
7.2第 2 级要求-
7.3第3.1级要求-
7.4第3.2级要求
7.5第4级要求·
7.6第5级要求
参考文献
YD/T 1747-2008
YD/T 1747-200B
本标准是“电信网和互联网安仑防护体系”系列标准之一。该系列标准的结构及名称如下:1.YD/T1728-2008电信网和5联网安全防护管理指南:2. YD/T 1729-2008
3.YD/T1730-2008
4.YD/T1731-2008
5.YD/T1732-2008
6. YD/T 1733-2008
7. YD/T 1734-2008
8.YD/T1735-2008
电信网租互联网安全等级保护实施指南:电信网和互联网安全风险评估实施指南:电信网和五联网灾难备份及恢克实施指南:固定通信网安全防护要求:
固定通信网安全防护检测要求;移动通信网安全防护要求:
移动通信网安全防护检测要求:互联网安企防护要求:
9. YD/T 1736-2008
10.YD/T1737-2008互联网安全防护检测要求;11.YD/T1738-2008增值业务网—:-消息网安全防护要求,12.YD/T1739-2008增值业务网·-消息网安个防护检测要求13.YD/T1740-2008增值业务网~-—智能网安全防护要求:14.YD/T1741-2008增值业务网-\-智能网安全防护检测要求:15.YD/T1742-2008接入网安全防护要求;16.YD/T1743~2008接入网安全防护检测要求:17.YD/T1744-2008
传送网安全防护要求;
18.YD/T 1745-2008
传送网安全防扩检测要求;
IP承载网安全防护要求;
19. YD/T 1746-2008
3IP承载网安全防护检测要求:
20.YD/T1747-2008
21. YD/T 1748-2008
8信令网安全防护要求:
3信令网安全防护检测要求;
22. YD/T 1749-2008
23.YD/T 1750-2008
24. YD/T 1751-2008
25. YD/T 1752-2008
26, YD/T 1753-2008
27. YD/T 1754-2008
同步网安全防护要求:
同步网安全防护检测要求:
支撑网安全防护要求:
支撑网安全防护检测要求:
电信网和互联网物理环境安全等级保护要求:电信网和互联网物理环境安全等级保护检测要求:28. YD/T 1755-2008
29. YD/T 1756-2008
30.YD/T 1757-2008
电信网和互联网管理安全等级保护要求;电信网和五联网管理安全等级保护检测要求,31.YD/T 1758-2008
非核心生产单元安全防护要求:,非核心生产单元安全防护检测要求。32.YD/T1759-2008
本标准与YDT1746-2008IP承载网安全防扩要求》配套使用。YD/T 1747-2008
随者电信网和互联网的发展,将不断补充和完誉电信网和互联网安全防护体系的相关标准。本标准由中国通信标推化协会提出并归。本标准起章单位:信息产业部电信研究院、中国电信集团公司、中国移动通信集团公司、中国网络通信集团公司
本标准主要起草人:杨剑锋、龙维薇、陈敏时、叶华1范围
IP承载网安全防护检测要求
YD/T 1747-2008
本标准规定了P承载网在安全等级保护、安全风险评估,灾难备份及恢复等方面的安全防护检测要求。
本标准适用于公众IP承载网。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。用是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用下本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T 1163-2001
YD/T 1170-2001
YD/T 1478-2006
YD/T 1755-2008
YD/T 1757-2008
3定义和缩略语
3.1定义
IP网络安全技术要求——安全框架P网络技术要求——网络总体
电信管理网安全技术要求
电信网和互联网物理环境安全等级保护检测要求电信网和互联网管理安全等级保护检测要求下列定义适用于本标准。
IP承载网安全等级 SecurltyClassificationofIPBearerNetwork正承载网安全重要程度的表征。重要程度可从P承载网受到破坏后,对国家安全,社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.2
IP承载网安全等级保护ClassifiedSecurityProtectionofIPBearerNetwork对P承载网分等级实施安全保护。3.1.3
组织Organization
组织是由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在丁为完成目标而分工、合作。一个单位是一-个组织,某个业务部门也可以是一个组织。3.1.4
iP承载网安全风险SecurltyRiskofIPBearerNetwork人为或自然的威胁可能利用卫承载网中存在的瞻弱性导致安全事件的发生及其对组织造成的影响。3.1.5
iP承载网安全风险评估SecurityAiskAssessmentofIPBearerNetwork1
YD/T1747-2008
指运用科学的方法和乎段,系统地分析IP承载网所面临的威胁及其存在的脆弱性,评估安全事件…只发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施。防范和化解P承载网安全风险,或者将风险控制在可接受的水平,为最大限度地保障IP承载网的安全提供科学依据。3.1.6
IP承载网资产AssetofIPBearerNetworkIP承载网中具有价值的资源是安全防护保护的对象。卫承载网中的资产可能是以多种形式存在:无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等种类型的资源,如P承载网的设备、线路、网络布局等。3.1.7
IP承载网资产价值AssetVALuEofIPbearerNetworkIP承载网中资产的重要程度或敏感程度。IP承载网资产价值是IP承载网资产的属性,也是进行IP承载网资产识别的主要内容。
IP承载网威胁ThraatofIPBearerNetwork可能导致对P承载网产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。常见的承载网络威胁有攻击、唤探、设备节点故障、火灾、水灾等。3.1.9
IP承载网脆弱性VulnerabilityofIPBearerNetwork跪弱性是P承载网中存在的弱点、陷与不足,不直接对P承载资产造成危害,但可能被IP承载网威胁所利用从而危及P承载网资产的安全。3.1.10
iP承载网灾难DisasterofIPBearerNetwork由于各种原因,造成P承载网故障或瘫痪,使P承载网支持的业务功能停顿或服务水平不可接受,达到特定的时间的突发性事件。3.1.11
IP承载网灾难备份BackupforDisasterAecoveryafIPBearerNetwork为了P承载网灾难恢复而对相关的网络要素进行备份的过程。3.1.12
IP承载网灾难恢复DlsasterRecoveryofIPBearerNetwork为了将卫承载网从灾难造成的故障或摊痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.13
访谈Interview
检测人员通过与IP承载网有关人员(个人/群体)进行交流、讨论等活动,检查1P承载网安全等级保护,P承载网风险评估和IP承载网灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。
YD/T 1747-2008
检查 Examination
检测人员通过对检测对象进行观察。查验和分析等活动,检查IP承载网安全等级保护、P承载网风险评估和P承载网灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。3.1.15
测试 Testing
检测人员通过对检测对象按照预定的方法/工具使其产生特定行为的活动,查看、分析输出结果,检查IP承载网安全等级保护,IP承载网风险评估和IP承载网灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。
3.2缩略语
下列缩略语适用于本标准。
DNSSEC
Distributed Denial of ServiceDomain Name Systern
DNS SECurity
Denial of Service
Internet Protoco!
Quality of Service
Simple Network Management ProtocolSecure Shell
Secure Socket Layer
Transpart Layer Security
User SecurityModel
View-based Access ControlModel4IP承载网安全防护检测概述
4.1安全防护检测范围
分布式拒绝服务
域名系统
DNS安全性
拒绝服务
网际协议
服务质量
简单网络管理协议
安全外壳
安全套接层
传输层安全
用户安全模型
基于视图的访间控制模型
本标准的安全防护检测范围为承载各类业务和上层数据的公众P承载网络。4.2安全防护检测对象
IP承载网安全防护检测对象包括P骨干网和P城域网,其中IP城域网安全防护检测对象可进一步划分为核心层、汇聚层。
P承载网安全等级保护的检测对象确定以后,风险评估的检测对象、灾难备份及恢复的检测对象应与安全等级保扩的检测对象相一致。4.3安全防护检测内容
按照IP承载网安全防扩检测的需要,将IP承载网安全防护检测分为IP承载网安全等级保护检测、P承载网安全风险评估检测和LP承载网灾难备份及恢复检测三个部分。P承载网安全防护检测要求包括以下内察:一LP承载网安全等级保护检测:主要包括网络安全检测、设备安全检测、物理环境安全检测、管理安全检测等:
YD/T1747-2008
IP承载网安全风险评估检测:主要包括安全风险评估范围检测,安全风险评估内容检测、安全风险评估要素捡测、安全风险评估赋值原则捡测、安全风险评估计算方法检测、安全风险评估文件类型拾測和案全风险评估文件记录抢测等,P承载网灾难备份及恢复检测:土要包括允余系统、亢余设备及允余链路检测、亢余路由检测、备份数据检测、人员和技术支持能力捡测、运行维护管理能力检测和灾难恢复预案检测等。4.4安全防护检测结果判定bZxz.net
P承载网安全防护检测包括对P承载网的安全等级保护,安全风险评估,灾难备份及恢复三个部分的检测,应对三个部分的检测结果分别进行判定,并根据检测结果分别出具检测报告,检测报告中应具体说明安全防护工作的优势和不足。对每一个部分中的每-一个测试项,应根据具体实施情况进行等级化评价(分5级:很好、较好、一般、较差、很差)。参照表1将各测试项的评价等级换算成评分,各测试项的分数经过一定的算法(例如加权平均)分别得到安全等级保护、安全风险评估、灾难备份及恢复三个部分的总分数,根据总分数分别对安全等级保护、安全风险评估、灾难备份及恢复三个部分的捡测结采进行等级化评定,总分数和评定等级的关系如表2所示。在计算总分数过程中,应充分考虑到各试项在安全防护检测要求所占的比重例如,表3给出了安全等级保护子类所占的比重。表1测试项评分方法
评价结果
实施很好
实较好
实施一般
实施较差
实捕很差
总评分义
3.5 x<4.5
2.5 ≤x<3.5
1.5≤2.5
一然x<1.5
比重(%)
5IP承载网安全等级保护检测要求5.1第1 级要求
表2总评分和评定等级的关系
表3安全等级保护子类所占的比画本标推对安企等级为第1级的承载网暂不作要求。4
评定等级
安等级保护子类
网络安全
设备安全
物理环境安全
管理安全
5.2第2级要求
5.2.1网络安全
5.2.1.1网络拓扑安全
5.2.1.1.1检测方式
访谈、检查
YD/T 1747-2008
5.2.1.1.2检测对象
网络设计验收文档,网络管理文档,设备管理配置记录,网络和业务运营商提供的其他文档,网络及相关设备等。
5.2.1.1.3检测实施
a)应访谈P承载网管理人员,并查看网络设计验收文档、网络和业务运营商提供的其他文档,网络及设备实际组网情况,检查IP承载网的实际结构、网络拓扑是否合理,检查网络结构是否符合YD/T1170-2001中相应的要求。
b)应访谈IP承载网管理人员,并查看网络设计验收文档、网络及设备管理配置记录、核对网络及设备实际配置情况,检查IP承载网当前自治域(AS)划分与网络结构和组织形式是否一致。心)应访谈P承载网管理人员,并查看网络设计/验收文档、网络及设备管理配置记录、核对网络及设备实际配置情况,检查设备地址配置和网络地址规划是否具有层次性,是否有利于路由的组织。d)应访谈IP承载网告理人员,并查看网络设计/验收文档,网络及设备管理配置记录、核对网络及设备实际配置情况,检查承载网当前路山的规划和设计是否合理,是否具有较高的可用性和可扩展性。e)应访谈P承载网管理人员,查看网络设计/验收文档、网络和业务运营商提供的其他文档,检查网络及设备的实际组网情况:检查是否绘制与当前运行情况相符合的网络拓扑图。5.2.1.2网络保护与恢复
5.2.1.2.1检测方式
访谈。检查。
5.2.1.2.2检测对象
网络设计/验收文档,网络管理文档,设备管理配置记录,网络、设备运行历史记录,故障告警记录,网练拓扑图,网络和业务运替商提供的其他文档,网络及相关设备等。5.2.1.2.3检测实施
a)应访谈网络管理员,并查看网络设计/验收文档、网络、设备故障告警记录、网络和业务运营商提供的其他文档,检查P承载网网络节点设备重要部件是否采用主备用亢余保扩措施。b)应访谈网络管理员,并查看网络管理文档、设备管理配置记录、运行历史记录、故障告警记录、网络和业务运营商提供的其他文档,检查承载网络及设备根据业务或应用的需求采用链路倒换、链路聚合等安全保护措施的情况,验证相关技术和指标是否达到网络和业务运营商的要求,是否符合相关行业技术标准的规定。
心)应访谈网络管理员,并查看网络设计/验收文档、网络和业务运营商提供的其他文档,检查城域网是否根据实弱情况合理规划设置核心节点和汇接节点,检查汇接节点是否与两个上一级节点相连,d)对丁城域网存在有核心节点设置为汇接节点的情形,应访谈网络管理员,并查看网络设计验收文档、网络拓扑图、网络和业务运营商提供的其他文档,检查验证城域网络间是否通过骨干网络或城域S
YD/T 1747-2008
汇接书点互联,
5.2.1.3网络管理
5.2.1.3.1检测方式
访谈、扮查、测试。
5.2.1.3.2检测对象
网络设计验收文档,网络管理文档,设备管理配置记录,网络、设备运行历史记录,放障告警记录,日志文件资料,网络拓扑图,网络和业务运营商提供的其他文档,网络及相关设备等。5.2.1.3.3检测实施
a)应访谈网络管理员,并查看网络设计验收文档、网络管理文档、设备臂理配置记录、网络和业务运营商提供的其他文档,检查网络管理是否采用多级分域的管理方式,是否能根据需求运维体制设置分级管理的权限,测试验证是否能实现对网络安全、灵活地管理,验证树络管理安全是否符合网络和业务运营商的要求。
b)应访谈网络管理员,打查看网络设计/验收文档、网络管理文档、设备管理配置记录、网络和业务运营商提供的其他文档,检查网络、设备的配置以及相关网管系统的连接和纠网情况,检查网管网络是否与业务网络实现严格隔离。心)应访谈网络管理员,查看网络设计验收文档、网络管理文挡,设备管理配置记录、网络和业务运营商提供的其他文档,检查网络及相关设备的管理是否采用安全的管理和控制息的分发、过滤机制:检查网络管理信息是否通过加密方式传送:检查和验证专用警理接口,是否对目的地址为设备本身的非管理报文和到数据业务接口的报文进行严格控制。d)应访谈网络管理员,并查看网络设计/验收文档、网络管理文档、设备管理配置记录、网络和业务运营商提供的其他文档,检查网络管理是否使用用户安全鉴别和认证措施,验证是否符合YD1478-2006中安全技术的要求。
5.2.1.4网络安全防范
5.2.1.4.1检测方式
访谈、检查、测试。
5.2.1.4.2捡测对象
网络设计验收文档,网络、设备管理配置记录,运行历史记录,故障、告警记录,日志文件资料,相关测试报告,网络和业务运营商提供的其他文档:网络及相关设备等。5.2.1.4.8检测实施
a)应访谈网络管理员,并查看网络设计/验收文档、网络、设备管理配置记录,故障告警记录、日志文件资料,相关测试报告、网络和业务运营商提供的其他文档,检查承载网络和设备是否采取相关措施抵抗常见攻击,检查是否具有差错防范和处理的能力。b)应访谈网络管理员,并查看网络设计/验收文档、网络、设备管理配置记录、相关测试报告、网络和业务运营商提供的其他文档,检查网络及相关设备是否根据需要采用有效的QoS和流量管理策略,检查管理和控制信息是否具有较高的优先级,检查相关设备对广播、组播等数据是否具有必要的控制措施。
c)应访谈网络管理员,并查看网络设计验收文档、设备测试报告、网络、设备管理配置记录、故6
YD/T1747-2008
障告警记录,口志文件资料、网络和业务运营商提供的其他文档,检查网络相关设备的软件是否具有完善的实时操作、信息处理、更新升级、差错防护。故障定位等功能,是否符合网络和业务运营商相关要求。
d)应访谈网络管理员,并查看网络设计/验收文档、设备管理维扩记录、故障告警记录、月志文件资料、相关测试报告、网络和业务运营商提供的其他文档,检查网络相关通用服务器/主机设备系统软件是否限制和禁用可能造成漏洞的服务和端门,是否安装和使用防火墙和病毒查杀工具或采取了其他防病毒和防攻击措施,捡查相关软件是否及时安装补丁和定期更新,能够及时消除可能的隐患,e)应访谈网络管理员,并查看网络设计/验收文档、设备测试报告、日志文件资料、网络和业务运营商提供的其他文档,检查网络相关设备是否具有安全日志的功能,检查验证日志信息是否包含访问、配置、状态、统计、告警等安全相关事件的来源、时间、描等借息内容。5.2.2设备安全
5.2.2.1检测方法
访谈、检查。
5.2.2.2检刹对象
设备入网检测报告,设备入网证,安全检测报告,网络和业务运营商提供的其他文档。5.2.2.3检测实施
)应访谈相关技术支持人员和管理人员,查看设备入网检测报告、设备入网证、安全检测报告、网络和业务运营商提供的其他文档,检查承载网络相关数据设备是否有有效的入网检测报告、设备入网证、安全检测报告等。
b)应访谈相关技术支持人员和管理人员,查看设备安全检测报告、网络和业务运营商提供的其他文档,检查承载网络相关通用服务器/江机等设备是否有安全检测报告,检查设备是否符合网络和业务运营商相关通用设备的要求。
5.2.3物理环境安全
应按照YDT1755-2008(电信网和互联网物理环境安全等级保护检测要求》中第2级的相关要求进行检测。
5,2.4管理安全
应按照YD/T1757-2008《电信网和互联网管理安全等级保护检测要求》中第2级的相关要求进行检洲。
5.3第3.1 级要求
5.3.1网络安全
5.3.1.1网络拓扑安全
5.3.1.1.1检测方式
访谈、检查。
5.3.1.1.2检测对象
网络设计验收文档,网络管理文档,设备管理配置记录,网络和业务运营商提供的其他文档,网络及相关设备等。
5.3.1.1.3检测实施
YD/T 1747-2008
除按照第2级的要求进行检测之外,还应按照本节内容进行检测。a)应访谈卫承载网管理人员,并查看网络设计验收文档、网络和业务运营商提供的其他文档,网络及设备实际组网情况,检查IP承载网的结构是否根据网络运营,管理或区域等因索在逻辑上合理的实现分层和分级。
b)应访谈P承载网管理人员,并查看网络设计/验收文档、网络及设备管理配置记录、核对网络及设备实际配置情况,检查IP承裁网是否保留一定的备用地址,是否能满足业务护展的需求。c)应访谈IP承载网管理人员,并查看网络设计/验收文档、网络及设备管理配置记录、核对网络及设备实际配置情况,检查IP承载网当前路由的规划和设计情况,节点域内接口是否使用内部路由协议,节点域间接口是否使用外部路由协议。d)应访谈IP承载网管理人贯,并查看网络设计验收文档、网络及设备管理配置记录、核对网络及设备实际配置情况,检查P城域网汇聚层节点组织和分布是否能满足业务接入和汇聚的爵求,节点功能是否能满足网络可扩展的需求。5.3.1.2网络保护与恢复
5.3.1.2.1检测方式
访谈、检查。
5.3.1.2.2检测对象
网络设计验收文档,网络管理文档,设备管理配置记录,网络、设备运行历史记录,故障告警记录!网络拓扑图,网络和业务运营商提供的其他文档,网络及相关设备等。5.3.1.2.3检测实施
除按照第2级的要求进行检测之外,还应按照本节内容进行检测。a)应访谈网络誉理员,并查看网络设计/验收文档、网络拓扑图、网络和业务运营商提供的其他文档,捡查IP承载网络及相关设备是否根据需要采用节点元余、链路穴余和保护等保护措施,检查验证网络组织和分布是否能满足业务稳定性和安全性需求。6)应访谈网络管理员,并查看网络管理文档、设备管理配置记录,运行历史记录、故障告警记录、网络和业务运营商提供的其他文档,检查承载网络及设备根据业务或应用的需求采用转发检测、保护倒换、重路由、负载均衡等安全保护措施的情况,验证相关技术和指标是否达到网络和业务运营商的要求,是否符合相关行业技术标准的规定。心)应访谈网络管理员,并查看网络设计/验收文档、网络拓扑图、网络和业务运营商提供的其他文档,检查骨千网节点间链路是否至少保有两条不同物理路径的连接,查对网络、设备运行历史记录,故障告警记录中链路连通和使用情况,检查链路是否具有较高的可靠性。d)应访谈网络管理员,并查看网络设计/验收文档、网络和业务运营商提供的其他文档,检查城域网是否根据实际情况合理规划设置汇接节点,检查汇按节点是否至少与两个上一级节点相连。5.3.1.3网络管理
5.3.1.3.1检测方式
访谈,检查、测试。
5.3.1.3.2检测对象
网络设计验收文档,网络管理文档,设备管理配臂记录,网络、设备运行历史记录,故障告警记录,8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YD/T1747-2008
IP承载网安全防护检测要求
Security Protection Testing Requirements for IP Bearer Network2008-01-14发布
2008-01-14实施
中华人民共和国信息产业部发布前
1范围
2规范性引用文件
3定义利缩咯语·
4IP承载网安全防护检测概述
4.1、安全防护检测范用·
4.2安全防护检测对象…
4.3安全防护检测内容
4.4安全防护检测结果判定·
5IP承载网安全等级保护检测要求·5.1第1级要求-
5.2第2级要求
5.3第3.1级要求·
5.4第 3.2级要求+
5.5第4级要求
5.6第5级要求...
6P承载网安全风险评估检测要求6.1安全风险评估范围·
6.2安全风险评估内容..
6.3安全风险评估要.
6.4安全风险评估赋值原则
6.5安全风险评估计算方法
6.6安全风险评估文件类型
6.7安全风险评估文件记录
7IP承载网灾难备份及恢复检测要求7.1第I级要求
7.2第 2 级要求-
7.3第3.1级要求-
7.4第3.2级要求
7.5第4级要求·
7.6第5级要求
参考文献
YD/T 1747-2008
YD/T 1747-200B
本标准是“电信网和互联网安仑防护体系”系列标准之一。该系列标准的结构及名称如下:1.YD/T1728-2008电信网和5联网安全防护管理指南:2. YD/T 1729-2008
3.YD/T1730-2008
4.YD/T1731-2008
5.YD/T1732-2008
6. YD/T 1733-2008
7. YD/T 1734-2008
8.YD/T1735-2008
电信网租互联网安全等级保护实施指南:电信网和互联网安全风险评估实施指南:电信网和五联网灾难备份及恢克实施指南:固定通信网安全防护要求:
固定通信网安全防护检测要求;移动通信网安全防护要求:
移动通信网安全防护检测要求:互联网安企防护要求:
9. YD/T 1736-2008
10.YD/T1737-2008互联网安全防护检测要求;11.YD/T1738-2008增值业务网—:-消息网安全防护要求,12.YD/T1739-2008增值业务网·-消息网安个防护检测要求13.YD/T1740-2008增值业务网~-—智能网安全防护要求:14.YD/T1741-2008增值业务网-\-智能网安全防护检测要求:15.YD/T1742-2008接入网安全防护要求;16.YD/T1743~2008接入网安全防护检测要求:17.YD/T1744-2008
传送网安全防护要求;
18.YD/T 1745-2008
传送网安全防扩检测要求;
IP承载网安全防护要求;
19. YD/T 1746-2008
3IP承载网安全防护检测要求:
20.YD/T1747-2008
21. YD/T 1748-2008
8信令网安全防护要求:
3信令网安全防护检测要求;
22. YD/T 1749-2008
23.YD/T 1750-2008
24. YD/T 1751-2008
25. YD/T 1752-2008
26, YD/T 1753-2008
27. YD/T 1754-2008
同步网安全防护要求:
同步网安全防护检测要求:
支撑网安全防护要求:
支撑网安全防护检测要求:
电信网和互联网物理环境安全等级保护要求:电信网和互联网物理环境安全等级保护检测要求:28. YD/T 1755-2008
29. YD/T 1756-2008
30.YD/T 1757-2008
电信网和互联网管理安全等级保护要求;电信网和五联网管理安全等级保护检测要求,31.YD/T 1758-2008
非核心生产单元安全防护要求:,非核心生产单元安全防护检测要求。32.YD/T1759-2008
本标准与YDT1746-2008IP承载网安全防扩要求》配套使用。YD/T 1747-2008
随者电信网和互联网的发展,将不断补充和完誉电信网和互联网安全防护体系的相关标准。本标准由中国通信标推化协会提出并归。本标准起章单位:信息产业部电信研究院、中国电信集团公司、中国移动通信集团公司、中国网络通信集团公司
本标准主要起草人:杨剑锋、龙维薇、陈敏时、叶华1范围
IP承载网安全防护检测要求
YD/T 1747-2008
本标准规定了P承载网在安全等级保护、安全风险评估,灾难备份及恢复等方面的安全防护检测要求。
本标准适用于公众IP承载网。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。用是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用下本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T 1163-2001
YD/T 1170-2001
YD/T 1478-2006
YD/T 1755-2008
YD/T 1757-2008
3定义和缩略语
3.1定义
IP网络安全技术要求——安全框架P网络技术要求——网络总体
电信管理网安全技术要求
电信网和互联网物理环境安全等级保护检测要求电信网和互联网管理安全等级保护检测要求下列定义适用于本标准。
IP承载网安全等级 SecurltyClassificationofIPBearerNetwork正承载网安全重要程度的表征。重要程度可从P承载网受到破坏后,对国家安全,社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.2
IP承载网安全等级保护ClassifiedSecurityProtectionofIPBearerNetwork对P承载网分等级实施安全保护。3.1.3
组织Organization
组织是由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在丁为完成目标而分工、合作。一个单位是一-个组织,某个业务部门也可以是一个组织。3.1.4
iP承载网安全风险SecurltyRiskofIPBearerNetwork人为或自然的威胁可能利用卫承载网中存在的瞻弱性导致安全事件的发生及其对组织造成的影响。3.1.5
iP承载网安全风险评估SecurityAiskAssessmentofIPBearerNetwork1
YD/T1747-2008
指运用科学的方法和乎段,系统地分析IP承载网所面临的威胁及其存在的脆弱性,评估安全事件…只发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施。防范和化解P承载网安全风险,或者将风险控制在可接受的水平,为最大限度地保障IP承载网的安全提供科学依据。3.1.6
IP承载网资产AssetofIPBearerNetworkIP承载网中具有价值的资源是安全防护保护的对象。卫承载网中的资产可能是以多种形式存在:无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等种类型的资源,如P承载网的设备、线路、网络布局等。3.1.7
IP承载网资产价值AssetVALuEofIPbearerNetworkIP承载网中资产的重要程度或敏感程度。IP承载网资产价值是IP承载网资产的属性,也是进行IP承载网资产识别的主要内容。
IP承载网威胁ThraatofIPBearerNetwork可能导致对P承载网产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。常见的承载网络威胁有攻击、唤探、设备节点故障、火灾、水灾等。3.1.9
IP承载网脆弱性VulnerabilityofIPBearerNetwork跪弱性是P承载网中存在的弱点、陷与不足,不直接对P承载资产造成危害,但可能被IP承载网威胁所利用从而危及P承载网资产的安全。3.1.10
iP承载网灾难DisasterofIPBearerNetwork由于各种原因,造成P承载网故障或瘫痪,使P承载网支持的业务功能停顿或服务水平不可接受,达到特定的时间的突发性事件。3.1.11
IP承载网灾难备份BackupforDisasterAecoveryafIPBearerNetwork为了P承载网灾难恢复而对相关的网络要素进行备份的过程。3.1.12
IP承载网灾难恢复DlsasterRecoveryofIPBearerNetwork为了将卫承载网从灾难造成的故障或摊痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.13
访谈Interview
检测人员通过与IP承载网有关人员(个人/群体)进行交流、讨论等活动,检查1P承载网安全等级保护,P承载网风险评估和IP承载网灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。
YD/T 1747-2008
检查 Examination
检测人员通过对检测对象进行观察。查验和分析等活动,检查IP承载网安全等级保护、P承载网风险评估和P承载网灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。3.1.15
测试 Testing
检测人员通过对检测对象按照预定的方法/工具使其产生特定行为的活动,查看、分析输出结果,检查IP承载网安全等级保护,IP承载网风险评估和IP承载网灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。
3.2缩略语
下列缩略语适用于本标准。
DNSSEC
Distributed Denial of ServiceDomain Name Systern
DNS SECurity
Denial of Service
Internet Protoco!
Quality of Service
Simple Network Management ProtocolSecure Shell
Secure Socket Layer
Transpart Layer Security
User SecurityModel
View-based Access ControlModel4IP承载网安全防护检测概述
4.1安全防护检测范围
分布式拒绝服务
域名系统
DNS安全性
拒绝服务
网际协议
服务质量
简单网络管理协议
安全外壳
安全套接层
传输层安全
用户安全模型
基于视图的访间控制模型
本标准的安全防护检测范围为承载各类业务和上层数据的公众P承载网络。4.2安全防护检测对象
IP承载网安全防护检测对象包括P骨干网和P城域网,其中IP城域网安全防护检测对象可进一步划分为核心层、汇聚层。
P承载网安全等级保护的检测对象确定以后,风险评估的检测对象、灾难备份及恢复的检测对象应与安全等级保扩的检测对象相一致。4.3安全防护检测内容
按照IP承载网安全防扩检测的需要,将IP承载网安全防护检测分为IP承载网安全等级保护检测、P承载网安全风险评估检测和LP承载网灾难备份及恢复检测三个部分。P承载网安全防护检测要求包括以下内察:一LP承载网安全等级保护检测:主要包括网络安全检测、设备安全检测、物理环境安全检测、管理安全检测等:
YD/T1747-2008
IP承载网安全风险评估检测:主要包括安全风险评估范围检测,安全风险评估内容检测、安全风险评估要素捡测、安全风险评估赋值原则捡测、安全风险评估计算方法检测、安全风险评估文件类型拾測和案全风险评估文件记录抢测等,P承载网灾难备份及恢复检测:土要包括允余系统、亢余设备及允余链路检测、亢余路由检测、备份数据检测、人员和技术支持能力捡测、运行维护管理能力检测和灾难恢复预案检测等。4.4安全防护检测结果判定bZxz.net
P承载网安全防护检测包括对P承载网的安全等级保护,安全风险评估,灾难备份及恢复三个部分的检测,应对三个部分的检测结果分别进行判定,并根据检测结果分别出具检测报告,检测报告中应具体说明安全防护工作的优势和不足。对每一个部分中的每-一个测试项,应根据具体实施情况进行等级化评价(分5级:很好、较好、一般、较差、很差)。参照表1将各测试项的评价等级换算成评分,各测试项的分数经过一定的算法(例如加权平均)分别得到安全等级保护、安全风险评估、灾难备份及恢复三个部分的总分数,根据总分数分别对安全等级保护、安全风险评估、灾难备份及恢复三个部分的捡测结采进行等级化评定,总分数和评定等级的关系如表2所示。在计算总分数过程中,应充分考虑到各试项在安全防护检测要求所占的比重例如,表3给出了安全等级保护子类所占的比重。表1测试项评分方法
评价结果
实施很好
实较好
实施一般
实施较差
实捕很差
总评分义
3.5 x<4.5
2.5 ≤x<3.5
1.5≤2.5
一然x<1.5
比重(%)
5IP承载网安全等级保护检测要求5.1第1 级要求
表2总评分和评定等级的关系
表3安全等级保护子类所占的比画本标推对安企等级为第1级的承载网暂不作要求。4
评定等级
安等级保护子类
网络安全
设备安全
物理环境安全
管理安全
5.2第2级要求
5.2.1网络安全
5.2.1.1网络拓扑安全
5.2.1.1.1检测方式
访谈、检查
YD/T 1747-2008
5.2.1.1.2检测对象
网络设计验收文档,网络管理文档,设备管理配置记录,网络和业务运营商提供的其他文档,网络及相关设备等。
5.2.1.1.3检测实施
a)应访谈P承载网管理人员,并查看网络设计验收文档、网络和业务运营商提供的其他文档,网络及设备实际组网情况,检查IP承载网的实际结构、网络拓扑是否合理,检查网络结构是否符合YD/T1170-2001中相应的要求。
b)应访谈IP承载网管理人员,并查看网络设计验收文档、网络及设备管理配置记录、核对网络及设备实际配置情况,检查IP承载网当前自治域(AS)划分与网络结构和组织形式是否一致。心)应访谈P承载网管理人员,并查看网络设计/验收文档、网络及设备管理配置记录、核对网络及设备实际配置情况,检查设备地址配置和网络地址规划是否具有层次性,是否有利于路由的组织。d)应访谈IP承载网告理人员,并查看网络设计/验收文档,网络及设备管理配置记录、核对网络及设备实际配置情况,检查承载网当前路山的规划和设计是否合理,是否具有较高的可用性和可扩展性。e)应访谈P承载网管理人员,查看网络设计/验收文档、网络和业务运营商提供的其他文档,检查网络及设备的实际组网情况:检查是否绘制与当前运行情况相符合的网络拓扑图。5.2.1.2网络保护与恢复
5.2.1.2.1检测方式
访谈。检查。
5.2.1.2.2检测对象
网络设计/验收文档,网络管理文档,设备管理配置记录,网络、设备运行历史记录,故障告警记录,网练拓扑图,网络和业务运替商提供的其他文档,网络及相关设备等。5.2.1.2.3检测实施
a)应访谈网络管理员,并查看网络设计/验收文档、网络、设备故障告警记录、网络和业务运营商提供的其他文档,检查P承载网网络节点设备重要部件是否采用主备用亢余保扩措施。b)应访谈网络管理员,并查看网络管理文档、设备管理配置记录、运行历史记录、故障告警记录、网络和业务运营商提供的其他文档,检查承载网络及设备根据业务或应用的需求采用链路倒换、链路聚合等安全保护措施的情况,验证相关技术和指标是否达到网络和业务运营商的要求,是否符合相关行业技术标准的规定。
心)应访谈网络管理员,并查看网络设计/验收文档、网络和业务运营商提供的其他文档,检查城域网是否根据实弱情况合理规划设置核心节点和汇接节点,检查汇接节点是否与两个上一级节点相连,d)对丁城域网存在有核心节点设置为汇接节点的情形,应访谈网络管理员,并查看网络设计验收文档、网络拓扑图、网络和业务运营商提供的其他文档,检查验证城域网络间是否通过骨干网络或城域S
YD/T 1747-2008
汇接书点互联,
5.2.1.3网络管理
5.2.1.3.1检测方式
访谈、扮查、测试。
5.2.1.3.2检测对象
网络设计验收文档,网络管理文档,设备管理配置记录,网络、设备运行历史记录,放障告警记录,日志文件资料,网络拓扑图,网络和业务运营商提供的其他文档,网络及相关设备等。5.2.1.3.3检测实施
a)应访谈网络管理员,并查看网络设计验收文档、网络管理文档、设备臂理配置记录、网络和业务运营商提供的其他文档,检查网络管理是否采用多级分域的管理方式,是否能根据需求运维体制设置分级管理的权限,测试验证是否能实现对网络安全、灵活地管理,验证树络管理安全是否符合网络和业务运营商的要求。
b)应访谈网络管理员,打查看网络设计/验收文档、网络管理文档、设备管理配置记录、网络和业务运营商提供的其他文档,检查网络、设备的配置以及相关网管系统的连接和纠网情况,检查网管网络是否与业务网络实现严格隔离。心)应访谈网络管理员,查看网络设计验收文档、网络管理文挡,设备管理配置记录、网络和业务运营商提供的其他文档,检查网络及相关设备的管理是否采用安全的管理和控制息的分发、过滤机制:检查网络管理信息是否通过加密方式传送:检查和验证专用警理接口,是否对目的地址为设备本身的非管理报文和到数据业务接口的报文进行严格控制。d)应访谈网络管理员,并查看网络设计/验收文档、网络管理文档、设备管理配置记录、网络和业务运营商提供的其他文档,检查网络管理是否使用用户安全鉴别和认证措施,验证是否符合YD1478-2006中安全技术的要求。
5.2.1.4网络安全防范
5.2.1.4.1检测方式
访谈、检查、测试。
5.2.1.4.2捡测对象
网络设计验收文档,网络、设备管理配置记录,运行历史记录,故障、告警记录,日志文件资料,相关测试报告,网络和业务运营商提供的其他文档:网络及相关设备等。5.2.1.4.8检测实施
a)应访谈网络管理员,并查看网络设计/验收文档、网络、设备管理配置记录,故障告警记录、日志文件资料,相关测试报告、网络和业务运营商提供的其他文档,检查承载网络和设备是否采取相关措施抵抗常见攻击,检查是否具有差错防范和处理的能力。b)应访谈网络管理员,并查看网络设计/验收文档、网络、设备管理配置记录、相关测试报告、网络和业务运营商提供的其他文档,检查网络及相关设备是否根据需要采用有效的QoS和流量管理策略,检查管理和控制信息是否具有较高的优先级,检查相关设备对广播、组播等数据是否具有必要的控制措施。
c)应访谈网络管理员,并查看网络设计验收文档、设备测试报告、网络、设备管理配置记录、故6
YD/T1747-2008
障告警记录,口志文件资料、网络和业务运营商提供的其他文档,检查网络相关设备的软件是否具有完善的实时操作、信息处理、更新升级、差错防护。故障定位等功能,是否符合网络和业务运营商相关要求。
d)应访谈网络管理员,并查看网络设计/验收文档、设备管理维扩记录、故障告警记录、月志文件资料、相关测试报告、网络和业务运营商提供的其他文档,检查网络相关通用服务器/主机设备系统软件是否限制和禁用可能造成漏洞的服务和端门,是否安装和使用防火墙和病毒查杀工具或采取了其他防病毒和防攻击措施,捡查相关软件是否及时安装补丁和定期更新,能够及时消除可能的隐患,e)应访谈网络管理员,并查看网络设计/验收文档、设备测试报告、日志文件资料、网络和业务运营商提供的其他文档,检查网络相关设备是否具有安全日志的功能,检查验证日志信息是否包含访问、配置、状态、统计、告警等安全相关事件的来源、时间、描等借息内容。5.2.2设备安全
5.2.2.1检测方法
访谈、检查。
5.2.2.2检刹对象
设备入网检测报告,设备入网证,安全检测报告,网络和业务运营商提供的其他文档。5.2.2.3检测实施
)应访谈相关技术支持人员和管理人员,查看设备入网检测报告、设备入网证、安全检测报告、网络和业务运营商提供的其他文档,检查承载网络相关数据设备是否有有效的入网检测报告、设备入网证、安全检测报告等。
b)应访谈相关技术支持人员和管理人员,查看设备安全检测报告、网络和业务运营商提供的其他文档,检查承载网络相关通用服务器/江机等设备是否有安全检测报告,检查设备是否符合网络和业务运营商相关通用设备的要求。
5.2.3物理环境安全
应按照YDT1755-2008(电信网和互联网物理环境安全等级保护检测要求》中第2级的相关要求进行检测。
5,2.4管理安全
应按照YD/T1757-2008《电信网和互联网管理安全等级保护检测要求》中第2级的相关要求进行检洲。
5.3第3.1 级要求
5.3.1网络安全
5.3.1.1网络拓扑安全
5.3.1.1.1检测方式
访谈、检查。
5.3.1.1.2检测对象
网络设计验收文档,网络管理文档,设备管理配置记录,网络和业务运营商提供的其他文档,网络及相关设备等。
5.3.1.1.3检测实施
YD/T 1747-2008
除按照第2级的要求进行检测之外,还应按照本节内容进行检测。a)应访谈卫承载网管理人员,并查看网络设计验收文档、网络和业务运营商提供的其他文档,网络及设备实际组网情况,检查IP承载网的结构是否根据网络运营,管理或区域等因索在逻辑上合理的实现分层和分级。
b)应访谈P承载网管理人员,并查看网络设计/验收文档、网络及设备管理配置记录、核对网络及设备实际配置情况,检查IP承裁网是否保留一定的备用地址,是否能满足业务护展的需求。c)应访谈IP承载网管理人员,并查看网络设计/验收文档、网络及设备管理配置记录、核对网络及设备实际配置情况,检查IP承载网当前路由的规划和设计情况,节点域内接口是否使用内部路由协议,节点域间接口是否使用外部路由协议。d)应访谈IP承载网管理人贯,并查看网络设计验收文档、网络及设备管理配置记录、核对网络及设备实际配置情况,检查P城域网汇聚层节点组织和分布是否能满足业务接入和汇聚的爵求,节点功能是否能满足网络可扩展的需求。5.3.1.2网络保护与恢复
5.3.1.2.1检测方式
访谈、检查。
5.3.1.2.2检测对象
网络设计验收文档,网络管理文档,设备管理配置记录,网络、设备运行历史记录,故障告警记录!网络拓扑图,网络和业务运营商提供的其他文档,网络及相关设备等。5.3.1.2.3检测实施
除按照第2级的要求进行检测之外,还应按照本节内容进行检测。a)应访谈网络誉理员,并查看网络设计/验收文档、网络拓扑图、网络和业务运营商提供的其他文档,捡查IP承载网络及相关设备是否根据需要采用节点元余、链路穴余和保护等保护措施,检查验证网络组织和分布是否能满足业务稳定性和安全性需求。6)应访谈网络管理员,并查看网络管理文档、设备管理配置记录,运行历史记录、故障告警记录、网络和业务运营商提供的其他文档,检查承载网络及设备根据业务或应用的需求采用转发检测、保护倒换、重路由、负载均衡等安全保护措施的情况,验证相关技术和指标是否达到网络和业务运营商的要求,是否符合相关行业技术标准的规定。心)应访谈网络管理员,并查看网络设计/验收文档、网络拓扑图、网络和业务运营商提供的其他文档,检查骨千网节点间链路是否至少保有两条不同物理路径的连接,查对网络、设备运行历史记录,故障告警记录中链路连通和使用情况,检查链路是否具有较高的可靠性。d)应访谈网络管理员,并查看网络设计/验收文档、网络和业务运营商提供的其他文档,检查城域网是否根据实际情况合理规划设置汇接节点,检查汇按节点是否至少与两个上一级节点相连。5.3.1.3网络管理
5.3.1.3.1检测方式
访谈,检查、测试。
5.3.1.3.2检测对象
网络设计验收文档,网络管理文档,设备管理配臂记录,网络、设备运行历史记录,故障告警记录,8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。