电信三同步编制文件

zhangrong2599

一、网络与信息安全规划编制依据

（备注：逐条描述系统安全规划的编制依据，不限于以下内容。）

（1）《YD/T 1746-2013 IP承载网安全防护要求》；

（2）《YD/T 1747-2013 IP承载网安全防护检测要求》；

（3）《YD/T 2584-2015 互联网数据中心IDC安全防护要求》；

（4）《YD/T 2585-2013 互联网数据中心IDC安全防护检测要求》；

（5）《YD/T 1744-2009 传送网安全防护要求》；

（6）《YD/T 1745-2009 传送网安全防护检测要求》；

（7）《YD/T 1758-2008非核心生产单元安全防护要求》；

（8）《YD/T 1759-2008 非核心生产单元安全防护检测要求》；

（9）《YD/T 1732-2008 固定通信网安全防护要求》；

（10）《YD/T 1733-2008 固定通信网安全防护检测要求》；

（11）《YD/T 1750-2008同步网安全防护要求》；

（12）《YD/T 1751-2008同步网安全防护检测要求》；

（13）《YD/T 1748-2008 信令网安全防护要求》；

（14）《YD/T 1749-2008 信令网安全防护检测要求》；

（15）《YDT 1734-2009 移动通信网安全防护要求》；

（16）《YDT 1735-2009 移动通信网安全防护检测要求》；

（17）《YD/T 1752-2008支撑网安全防护要求》；

（18）《YD/T 1753-2008支撑网安全防护检测要求》；

（19）《YD/T1740-2008 增值业务网－智能网安全防护要求》；

（20）《YD/T1741-2008 增值业务网－智能网安全防护检测要求》；

（21）《YD/T 1738-2008增值业务网消息网安全防护要求》；

（22）《YD/T 1739-2008增值业务网消息网安全防护检测要求》；

（23）《YD/T 1742-2008 接入网安全防护要求》；

（24）《YD/T 1743-2008 接入网安全防护检测要求》；

（25）《YD/T 2669-2013 第三方安全服务能力评定准则》；

（26）《互联网新技术新业务信息安全评估管理办法（试行）》（工信保函〔2012〕117号）；

（27）工业和信息化部办公厅《关于印发<2015年省级基础电信企业网络与信息安全工作考核要点与评分标准>的通知》（工信厅保[2015]5号）；

（28）工业和信息化部办公厅《关于印发<2016年省级基础电信企业网络与信息安全工作考核要点与评分标准>的通知》(工信厅网安[2016]3号)；

（29）《关于下发“互联网新技术新业务信息安全评估管理指导意见”的通知》（中国电信创新〔2013〕26号）；

（30）《中国电信新建业务平台安全验收规范》；

（31）《信息安全技术信息安全风险评估规范》（GB/T 20984-2007）；

（32）《关于下发<中国电信新技术新业务信息安全评估管理办法（试行）>的通知》（中国电信信安〔2014〕8号）；

（33）《关于印发中国电信IT安全保障体系建设规范的通知》（中国电信[2012]760号）；

（34）《关于印发操作系统等安全配置要求的通知》（中国电信[2011]555号）；

（34）《关于建立网络安全三同步制度的通知》（中电信苏[2013]263号)。

二、网络与信息安全要求

（备注：各专业分别提取相关内容。）

2.1  通用安全属性要求  

通用性安全要求即保证信息的完整性、保密性和可用性。信息的保密性，就是具有一定保密程度的信息只能让有权读到或更改的人读到和更改。信息的完整性是指在存储或传输信息的过程中，原始的信息不能允许被随意更改。信息的可用性是指，对于信息的合法拥有和使用者，在他们需要这些信息的任何时候，都应该保障他们能够及时得到所需要的信息。具体涉及如下方面：

（1）有DCN网地址或者外网IP地址的系统应纳入业务网安全管理中心。业务网安全管理中心提供资产纳管、主机漏洞扫描、WEB漏洞扫描、基线配置核查、月度安全考核等功能模块，通过对电信各种安全评估扫描设备的webservice接口实施二次开发，提供全省安全评估、考核使用。

（2）可远程登录的系统应纳入运维安全审计系统，实现系统的运维端口只对运维安全审计系统进行开放，日常通过登录安全审计系统开展远程运维，实施运维端口集中防护，确保运维可审计性。运维安全审计系统部署在163网以及DCN网，对全省运维主机、网络设备实施统一平台登录、审计、运维功能，对目标运维端口实现严格的访问控制和防护手段，避免了运维端口暴露在外网的安全隐患；提供SSH，TELNET，RDP、WINSCP等多种运维方式，全部覆盖了目前主流的运维手段；对运维实施集中审计、日志留存、录像回放功能，确保系统远程运维的安全。

（3）所有平台类系统（应用系统和网管系统）的网络设备配置应满足基线配置规范。系统的端口和服务等基础安全信息须进行备案，所有必须开放的端口其对应的应用软件和功用必须列表登记，不允许存在非必要的开放端口。对操作系统、数据库、中间件、网络设备实施安全基线配置，包含口令账号管理、密码复杂度配置、开启安全审计、关闭危险服务等，确保配置的安全性。

（4）所有平台类系统（应用系统和网管系统）应纳入集中监控，通过部署异常流量检测手段，建立异常流量的预警，防止流量攻击，通过纳入集中监控系统，及时发现系统故障等。

（5）漏洞扫描整改，所有系统上线前主动开展漏洞扫描、渗透测试，及时发现漏洞整改，并闭环复核，确保杜绝高中危险漏洞。系统上线后定期开展漏洞扫描、渗透测试，针对最新发现的问题及时整改到位。

（6）最小化服务端口管理，所有系统的网络服务配置方面，必须遵循最小化服务原则，关闭不需要开启的所有服务，避免网络服务或网络协议自身存在的安全漏洞增加网络的安全风险。对于必须开启的网络服务，必须通过访问控制列表等手段限制远程主机源地址，对于危险端口，严格禁止对外网开放。

（7）安装专业的防病毒软件，及时更新病毒库，定期对系统做全面的病毒扫描，及时发现并消灭病毒。建议设置为每天自动更新病毒库，以及每周对系统做全面的病毒扫描。

（8）实现对WEB门户进行扫描和渗透。

（9）系统的物理安全。系统线缆布放整齐合理，符合公司机房规范。各种标签齐全，标签内容应该打印，不能手写；新建机架的配电模块应使用空气开关，严禁在集装架内随意串接、复接电源插线板或设备等。

（10）双路由双节点：系统重要传输节点要有双路由、双节点备份，且必须具备可以快速倒换转接业务的需求。

（11）数据备份及恢复：按照相关要求建立数据备份机制，并考虑灾难发生后数据恢复技术建设。

（12）账户口令安全：密码定期更换功能，自动拒绝创建不符合规则的口令。

（13）业务系统应用软件在需求、设计、开发、测试、部署和运维需满足“中国电信业务平台应用软件安全技术规范”（中国电信运维〔2011〕62 号）。

（14）系统信息安全：网站接入严格落实“先备案后接入”管理要求，杜绝自营、自用、合作网站未备案先接入或备案信息不准确现象；对外发布内容具备先审后发的制度，要求用户信息妥善保护；项目中如涉及对外发布内容的网站或渠道，建立定期巡查制度，确保无不良信息。

（15）内容安全：涉及到内容引入、传播等的系统，需要保证内容源引入机制安全、内容提供流程安全、内容发布机制安全、内容操作记录保护安全以及传播方式安全。

（16）能力开放接口安全：有外部接口的系统应保证系统平台与外部平台之间协议与接口安全。

（17）业务逻辑安全：提供业务的系统需要保证业务订购、业务认证以及业务使用的安全。

（18）客户端软件安全：有客户端的系统应保证运行机制安全、联网安全、恶意行为防范安全、用户隐私保护安全等。

（19）虚假源地址控制：对IDC用户端口、高带宽互联网专线用户、电信自用应用系统进行虚假源地址控制策略部署。

（20）实名登记：省电子渠道运营中心所负责网店要具备用户上传身份证扫描信息功能或全国信息比对能力；要在网店显著位置张贴统一标识和代理编号；全年新入网用户、办理单位移动电话入网手续实名登记达到100%。

（21）在网络设备选型、采购和使用时，应遵守电信设备进网要求，满足信息安全管理需求。