四川联通规划、可研、设计、验收的网络与信息安全“三同步”范本手册资料

  • 格式:doc
  • 大小:395.00 KB
  • 文档页数:88

规划、可研、设计、验收的网络与信息安全“三同步”范本手册中国联合网络通信有限公司四川省分公司2014年 3月目录第一部分总体要求 (6)第二部分基本知识 (7)第三部分规划、可研、设计三同步范本 (8)一.IP网工程规划、可研、设计三同步范本 (8)1.1 设计依据 (8)1.2现状 (9)1.3建设方案 (9)1.4工作量 (9)1.5施工技术要求 (9)1.6预算 (13)二.固定通信网工程规划、可研、设计三同步范本 (14)1.1 设计依据 (14)1.2现状 (15)1.3建设方案 (15)1.4工作量 (15)1.5施工技术要求 (15)1.6预算 (19)三.移动通信网工程规划、可研、设计三同步范本 (20)1.1设计依据 (20)1.2现状 (21)1.3建设方案 (21)1.4工作量 (21)1.5施工技术要求 (21)1.6预算 (27)四.传送网工程规划、可研、设计三同步范本 (28)1.1设计依据 (28)1.2现状 (29)1.3建设方案 (29)1.4工作量 (29)1.5施工技术要求 (29)1.6预算 (34)五.同步网工程规划、可研、设计三同步范本 (35)1.1设计依据 (35)1.2现状 (35)1.3建设方案 (36)1.4工作量 (36)1.5施工技术要求 (36)1.6预算 (41)六.信令网工程规划、可研、设计三同步范本 (42)1.1设计依据 (42)1.2现状 (42)1.3建设方案 (43)1.4工作量 (43)1.5施工技术要求 (43)1.6预算 (47)七.接入网工程规划、可研、设计三同步范本 (48)1.1设计依据 (48)1.2现状 (49)1.3建设方案 (49)1.4工作量 (49)1.5施工技术要求 (49)1.6预算 (52)八.IDC及云计算工程规划、可研、设计三同步范本 (52)1.1设计依据 (52)1.2现状 (53)1.3建设方案 (53)1.4工作量 (53)1.5施工技术要求 (54)1.6预算 (55)九.支撑网工程规划、可研、设计三同步范本 (56)1.1设计依据 (56)1.2现状 (57)1.3建设方案 (57)1.4工作量 (57)1.5施工技术要求 (57)1.6预算 (61)十.增值业务网工程规划、可研、设计三同步范本 (62)1.1设计依据 (62)1.2现状 (63)1.3建设方案 (63)1.4工作量 (63)1.5施工技术要求 (63)1.6预算 (67)十一.网上营业厅工程规划、可研、设计三同步范本 (68)1.1设计依据 (68)1.2现状 (69)1.3建设方案 (69)1.4工作量 (69)1.5施工技术要求 (69)1.6预算 (74)十二.域名系统工程规划、可研、设计三同步范本 (75)1.1设计依据 (75)1.2现状 (75)1.3建设方案 (76)1.4工作量 (76)1.5施工技术要求 (76)1.6预算 (79)十三.非核心生产单元工程规划、可研、设计三同步范本 (80)1.1设计依据 (80)1.2现状 (81)1.3建设方案 (81)1.4工作量 (81)1.5施工技术要求 (81)1.6预算 (84)第四部分工程验收三同步范本 (85)附录网络安全规范标准 (86)规划、可研、设计、验收的网络与信息安全“三同步”范本手册第一部分总体要求一、为了贯彻落实全国人民代表大会常务委员会《关于加强网络信息保护的决定》(2012年12月28日)、《中华人民共和国电信条例》(国务院令291号)、《互联网信息服务管理办法》(国务院令292号)、工业和信息化部《基础电信企业信息安全责任管理办法(试行)》(工信部保[2009]713号)、《通信网络安全防护管理办法》(第11 号令)、工信部和国资委《关于开展基础电信企业网络与信息安全责任考核有关工作的指导意见》(工信部联保[2012]551号)等文件精神,加强通信网络与信息安全管理,提高通信网络与信息安全防护能力,保障通信网络与信息安全畅通,四川联通省分各建设部门、市分各建设部门、设计单位、监理单位、施工单位应认真落实工信部网络与安全防护“三同步”的各项要求。

二、各建设部门、设计单位、施工单位、监理单位应认真落实工信部11号令,在规划、可研、设计文本中明确网络与信息安全防护“三同步”的各项要求。

每项工程验收时,应同步做好网络与信息安全的验收,验收文件中应有网络与信息安全的验收结论。

三、在四川联通、四川省通信管理局或工信部的网络与信息安全检查中,每发生一项工程出现“三同步”不合格的,将对各建设部门予以处罚,并取消相关设计单位、监理单位、施工单位后续入围资格,并对相关设计单位、监理单位、施工单位处以当年所有工程服务费总额的罚款。

第二部分基本知识一、基本概念网络安全“三同步”是指“同步规划、同步建设、同步运营”,将通信网络安全防护融入到规划、可研、设计、建设、验收、备案变更、维护评估、整改加固、退网的全过程,实现网络安全防护工作规范化、流程化、常态化。

信息安全“三同步”是指网络、系统、平台的规划设计、建设、升级、改造等环节应当做到与国家安全和电信网络信息安全的要求同步规划设计,同步建设,同步运行。

无覆盖不全、漏控等问题。

做到与主体工程同时进行验收和投入运行,且有相应资金保障。

企业在网络设备选型、采购和使用时,应遵守电信设备进网要求,满足信息安全管理需要,对存在技术问题、标准问题、法律问题的业务平台、网络配套的信息安全技术管理系统,应及时报告省通信管理局,在同步建设实施时按照工信部、省通信管理局文件要求执行。

网络安全防护规划,包含整体规划和分项规划两部分。

其中,整体规划是指全网统一规划安全域隔离、边界控制、系统漏洞扫描、基线检查、入侵检测等公共安全系统的建设;分项规划是指移动网、数据网、传送网、接入网、增值业务平台、IT系统等网络规划时应充分遵循网络安全整体规划的安全域隔离、边界访问控制等要求,也要遵循工信部下发的网络单元安全防护技术系列规范和风险评估要求。

二、工信部“三同步”考核内容网络安全防护“三同步”考核内容:新建、改建、扩建通信网络工程项目时,应在可研、设计文本中明确安全域隔离、边界访问控制等要求,明确工信部下发的所属网络单元安全防护技术规范和风险评估要求,明确所属网络单元安全验收标准,并在项目中有资金保障。

信息安全“三同步:考核内容:对本企业新产品立项、产品开发和业务上线(包括合作开办)的各环节实施信息安全评估,同步配套建设信息安全保障措施和技术手段。

要求系统与网络发展同步配套,无覆盖不全、漏控等问题。

第三部分规划、可研、设计三同步范本一. IP网工程规划、可研、设计三同步范本1.1 设计依据(1)建设单位关于XX的设计编制委托。

(2)XX下发《关于XXX的通知》要求。

(3)中国联通XX技术规范v1.0。

请在常规设计依据之后增加通用安全防护规范:*全国人民代表大会常务委员会《关于加强网络信息保护的决定》(2012年12月28日颁布)*《中华人民共和国电信条例》(国务院令291号)*《互联网信息服务管理办法》(国务院令292号)*工业和信息化部《基础电信企业信息安全责任管理办法(试行)》(工信部保[2009]713号)*工业和信息化部《通信网络安全防护管理办法》(第11号令)*工业和信息化部《电信网和互联网安全防护管理指南》YD/T1728-2008*工业和信息化部《电信网和互联网安全等级保护实施指南》YD/T1729-2008*工业和信息化部《电信网和互联网安全风险评估实施指南》YD/T1730-2008*工业和信息化部《电信网和互联网灾难备份机恢复实施指南》YD/T1731-2008*工业和信息化部《电信网和互联网物理环境安全等级保护要求》YD/T1731-2008*工业和信息化部《电信网和互联网物理环境安全等级保护检测要求》YD/T1755-2008 *工业和信息化部《电信网和互联网管理安全等级保护要求》YD/T1756-2008*工业和信息化部《电信网和互联网管理安全等级保护检测要求》YD/T1757-2008*工业和信息化部《通用机房安全管理总体要求》YD/T2057-2009*工业和信息化部《互联网安全防护要求》YD/T1736-2009*工业和信息化部《互联网安全检测要求》YD/T1737-2009请在通用安全防护规范之后增加专业安全防护防范:***工业和信息化部《IP承载网安全防护要求》YD/T1746-2013***工业和信息化部《IP承载网安全防护检测要求》YD/T1747-20131.2现状1.2.1 本期工程的网络安全现状1.3建设方案1.3.1 本期工程的网络安全建设方案1.4工作量1.4.1 本期工程的网络安全工作量1.5施工技术要求请在常规设计技术要求之后增加通用网络与信息安全防护技术要求:1.5.1安全域划分本工程应对系统进行子网划分,不同子网归属于相应的安全域。

安全域划分的原则为:1)结构合理原则根据系统在业务中承载的类型以及系统中设备所承担的工作角色,进行安全域划分,安全域的个数不应过多,各个安全域之间路由或者交换跳数不宜过多。

2)投资保护原则安全域划分应遵从统一的规范要求,充分利用安全域间的防护设备。

3)可操作性原则安全域划分遵循可操作性原则,不对原有系统整体结构进行彻底颠覆。

4)生命周期原则安全域的划分还要考虑到由于需求、环境不断变化带来的影响。

1.5.2边界防护要求安全域边界防护的总体要求是在支撑业务不断发展的前提下,通过安全域边界防护形成清晰、简洁的网络布局和系统架构,将安全风险和隐患降低到一个可以接受的水平,实现相关网络与系统之间严格访问控制的安全互连。

1)集中防护防火墙、入侵检测、异常流量检测和过滤等基础安全技术防护手段以安全域划分为基础,进行集中部署,对多个安全域或子域提供集中防护。

2)分等级防护根据不同安全等级防护的要求,对系统所在的边界部署符合其防护等级的安全技术手段。

3)分层防护通过安全域的划分,从外部网络到子域之间存在多层安全防护边界,分层防护就是在每层防护边界上部署侧重点不同的安全技术手段和安全策略来实现对关键设备或系统的高等级防护。

1.5.3 IP网安全防护技术要求1.5.3.1业务及应用安全要求1)业务提供、控制与管理过程应保护用户隐私,不泄漏用户相关敏感信息。

2)业务控制与管理应提供并启用身份鉴别、标识唯一性检查、鉴别信息复杂度检查及登录失败处理功能,保证系统中不存在重复用户身份标识,身份鉴别信息不易被冒用,并根据安全策略对登录失败可采取结束会话、限制非法登录次数和自动退出等措施。

3)业务控制与管理应严格限制默认账号的权限,各账号应依据最小授权原则授予为完成各自承担任务所需的权限,按安全策略要求控制对文件、数据库表等内容的访问。