YDT 1747-2013 IP承载网安全防护检测要求

  • YDT 1747-2013 IP承载网安全防护检测要求为pdf格式
  • 文件大小:1.9M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2019-12-03
  • 发 布 人: ben101ben
  • 文档部分内容预览:
  • YDT 1747-2013 IP承载网安全防护检测要求

    a)访谈IP承载网运维人员,并查看网络设计/ 网情况,验证IP承载网的实际结构、网络拓扑是否符合YD/T1170的要求。 b)检查网络节点部署规划和传输层路由使用情况,验证网络设备实际部署和配置情况,核对网络 及设备实际配置信息,评估P承载网是否具有较高的可用性和可扩展性。 c)检查并核对网络设备实际配置情况,验证IP承载网节点域内接口使用内部路由协议、域间接口 使用外部路由协议。 d)访谈IP承载网运维人员,检查网络地址规划和分配记录,根据网络拓扑和设备部署情况、业务 应用和发展情况,评估地址规划策略是否有利于路由组织并满足业务发展需求。

    5.2.1.2网络保护与恢复

    a)访谈网络运维人员,查看网络设备配置文档、故障告警记录等,检盒IP承 (或板卡、模块等)配置和使用情况,验证IP承载网网络节点设备重要部件是否采用主备用余保护措 施。 b)访谈网络运维人员,查看网络设计、设备配置文档和故障告警记录等,检查IP承载网重要节点 间链路亢余配置和使用情况,验证IP承载网网络链路的容灾抗灾能力。 c)访谈承载网运维人员,查看网络设计文档、设备配置记录、运行历史记录和故障告警记录等, 检查IP承载网根据业务或应用的需求所采用链路聚合、转发检测、保护倒换和重路由等安全保护措施的 情况。 d)访谈网络运维人员,查看网络设计/验收文档、网络拓扑文档和设备配置记录等,检查和验证I 城域网是否根据实际情况规划和部署核心节点、汇接节点,验证城域网络是否通过骨干网或城域汇接节 点实现互联。 e)访谈网络运维人员和安全管理人员,查看数据备份要求、安全策略、灾难应急预案和数据备份 记录等,检查IP承载网相关关键数据(如业务数据、设备配置数据、性能数据和告警数据等)是否有本 地数据备份,验证数据备份范围、时间间隔、数据有效性验证及恢复能力是否符合要求。 f)访谈网络运维人员和安全管理人员,检查网络安全策略、灾难应急预案和演练记录等,验证I 承载网灾难恢复的能力是否能首先保证应急通信、重要应用和业务网络的通信。 g)访谈网络运维人员和安全管理人员,检查网络安全策略、灾难应急预案和演练记录等,验证Ⅱ 承裁网灾难恢复的时间是否能满足行业管理、网络和业务运营商应急预案的要求。

    a)访谈网络运维和安全管理人员,查看网络拓扑文档、 网络管理规章和设备管理记求等地下室标准规范范本,检查内 络管理是否采用分域的管理方式,验证网络是否根据实际需求或运维体制设置分级权限,测试验证是否 能实现对网络安全、灵活的管理功能。

    6)访谈网络运维和安全管理人员,查着网络设计文档、网络安全策略、运维管理制度和设备配置 文档等,检查网络、设备的配置以及相关辅助系统的连接和组网情况,测试和验证网络与辅助系统间是 否实现逻辑隔高,评估安全域访问控制策略的应用效果。 c)访谈网络运维人员,查看网络辅助系统设计文档、系统拓扑文档、网络安全策略和设备管理配 置记录等,检查和验证网络及相关设备的管理是否采用安全的管理、控制信息的分发和过滤机制,测试 和验证网络管理信息是否通过加密方式传送。 d)查看网络安全策略、设备管理配置记录等,检查和验证网络设备是否设置专用管理接口,测试 和验证相关设备对于目的地址为设备管理接口的非管理报文、目的地址为设备数据业务接口的报文是否 进行严格过滤和限制。 e)访谈网络运维和安全管理人员,查看网络运维管理规章、网络安全策路、设备配置文档等,检查 和验证IP承载网管理是否使用用户安全鉴别和认证措施,测试和验证有关安全措施是否符合YD/T1478 的要求。 )访谈网络运维和安全管理人员,查看网络拓扑文档,检查和验证网络拓扑记录信息是否与当前 网络节点、链路等资源配置和运营情况相一致。 5.2.1.4网络安全防范 a)访谈网络安全管理人员,查着网络设计文档、网络安全策略、设备配置记录、故障告警记录和 日志文件资料等,检查和验证承载网络和辅助系统是否有抵御常见网络攻击、差错防范和处理的设计, 测试和验证边界部署和启用攻击、入侵防范技术手段,评估上述手段抵御网络设备和IT系统常见攻击及 入侵(如端口扫描、木马后门、DoS/DDoS攻击、缓冲区滋出攻击、IP碎片攻击和网络端虫等)的实际 应用效果。 b)访谈网络安全管理人员,查看网络设计文档、网络安全策略、设备配置记录、故障告警记录和 日志文件资料等,检查和验证IP承载网相关系统、设备对各类管理和维护用户均启用登录失败保护和处 理措施,测试和评估上述措施的实际应用效果。 c)访谈网络运维和安全管理人员,查看网络安全策略、设备配置记录、故障告警记录和日志文件 资料等,检查和验证IP城域网核心层、汇聚层和接入层在数据转发平面均启用源地址认证策略。对于暂 不具备实施条件的接入层设备,应检查特定设备运行或区域网络业务评估报告、设备或网络升级改造计 别等,并对有关设备状况进行必要的检查和验证。 d)访谈网络运维和安全管理人员,查看网络设计文档、网络安全策略和设备配置记录等,检查网 络及相关设备是否采用有效的QoS和流量管理策略,检查和验证网络管理和控制信息是否具有较高的优 先级,检查和验证网内对广播、组播等数据是否进行必要的控制。 e)访谈网络运维人员,查看网络设计文档、网络设备测试报告、设备配置记录、故障告警记录和 日志文件资料等,检查和验证网络设备的软件是否具备实时操作、信息处理、更新升级、差错防护和故 障定位等功能。 f)访谈网络运维和安全管理人员,查看网络运维规章、介质使用记录、日志和审计文件资料等, 检查和验证是否建立介质存取、验证和转储制度并有效实施,检查介质使用、数据备份和访问等授权和 管理的情况。 g)访谈网络运维和安全管理人员,查看网络设计文档、网络安全策略、设备维护记录、故障告警

    记录和日志文件资料等,检查和测试网络及辅助系统的应用是否限制和禁用可能造成漏洞的服务和端口, 检查验证系统边界是否安装和使用防火墙和入侵检测等防攻击、放入侵措施,检查和验证相关软件是否 及时安装补丁和定期更新。 h)访谈网络运维和安全管理人员,查看网络安全策略、设备维扩记录、故障告警记录和日志文件 资料等,检查和验证IP承载网和相关系统内是否部署并启用安全设备,测试和验证上述手段利措施在发 生攻击或入侵时是否能及时准确提供攻击或入侵的报警、监测信息。 i)访谈网络安全管理人员,查看网络安全策略、设备维护记录、日志记录和审计文件资料等,检 查网内各类设备是否均启用安全日志的功能,并定期对各类日志信息进行审计,检查和验证日志信息是 否包含访问、配置、状态、统计和告警等安全相关事件的来源、时问、描述等信息内容,日志记录及审 计记录保存时间是否符合要求

    a)访谈设备采购管理、运维和安全管理人员,查看设备入网检测报告和设备入网证等,检查和验 证承载网络相关数据网络设备是否有有效的入网检测报告和设备入网证,各类设备均符合相应的技术规 范和设备安全要求。 b)访谈设备采购管理、运维和安全管理人员,查看设备入网检测报告和安全检测报告等,检查和 验证现网使用的网络设备是否均进行覆盖用户安全标识和认证、数据保护、设备容错、访问控制、安全 日志与审计、资源调度和安全管理等方面内容的安全检测。 c)访谈网络运维和安全管理人员,查看网络安全策略、账号管理和权限分配记录、设备配置文件 和安全检查记录等,检查和验证各类网络设备均对登录设备的管理用户应进行有效的身份标识和鉴别, 验证各类设备的用户标识均具有唯一性,不同用户均分配和使用不同的权限,检查和验证相关用户的口 令安全管理要求和落实情况均符合行业标准的要求。

    5.2.2.2通用主机设备

    8)访谈设备采购管理、运维和安全管理人员,查看设备安全检测报告,检查和验证现网使用的通 用主机设备是否均进行覆盖用户安全标识和认证、数据保护、设备容错、访问控制、安全日志与审计、 资源调度和安全管理等方面内容的安全检测。 b)访谈网络运维和安全管理人员,查看网络安全策略、账号管理和权限分配记录、设备配置文件 和安全检查记录等,检查和验证通用主机设备操作系统和相关应用的用户是否均进行有效的身份标识, 各类用户均分配和不同的标识(或账号、用户名等),验证各类设备的用户标识具有唯一性且不易被旨 用,检查和验证相关设备用户的口令安全管理要求和落实情况均符合行业标准的要求。 c)访谈网络运维和安全管理人员,查看网络安全策略、设备配置文件和日志记录等,检查和验证 对各类主机进行远程管理时均采取安全加密保护措施,测试和验证鉴权信息在传输过程中是否能防止被 窃听。 d)访谈网络运维和安全管理人员,查看网络安全策略、设备配置文件、账号权限管理和分配记 录、日志和审计记录等,检查和验证有关设备启用的访问控制功能是否符合统一的安全策略要求,测试 和验证不存在多余的、过期的账户,测试和验证有关设备已禁用共享账户。

    e)访谈网络运维和安全管理人员,查看网络安全策略、设备配置文件、账号权限管理和分配记 录、日志和审计记录等,检查和验证有关设备操作系统和各类应用的特权用户是否实现权限分离,测试 和验证有关设备是否限制或禁止默认账户的访问权限。 f)访谈网络运维和安全管理人员,查看网络安全策略、设备配置文件、日志和审计记录等,检查 和测试验证网内是否通过终端接入方式、网络地址范围限制等对终端登录进行管理,测试验证操作超时 锁定等安全措施是否符合网络统一安全策略要求。 g)访谈网络安全管理人员,查看网络安全策略、日志和审计记录等,检查和验证审计范围是否覆 盖到主机/服务器上的每个操作系统用户和应用用户,检查审计内容是否包括用户重要行为、系统资源 的异带使用和重要系统命令的使用等系统内重要的安全相关事件,审计记录是否包括事件的日期、时 间、类型、主体标识、客体标识和结果等: h)访谈网络安全管理人员,查若网络安全策略、日志和审计记录等,检套和验证审计记录的保存 和使用是否符合行业标准的要求,测试和验证审计记录是否能避免其受到未预期的删除、修改或验盖 等。 i)访谈网络安全管理人员,查看网络安全策略、设备配置文件、日志和审计记录等,检查和验证 通用主机设备操作系统是否遵循最小安装的原则,是否仅安装需要的组件和应用程序,测试和验证有关 没备是否仅通过安全的方式进行升级和更新,且更新周期符合要求。 J)访谈网络安全管理人员,查看网络安全策略、设备配置文件、日志和审计记录等,检查和验证 通用主机设备是否均安装和使用防恶意代码软件,测试和验证有关设备防恶意代码软件版本和恶意代码 裤更新周期是否符合要求

    除按照第2级的要求进行检测之外,还应按照本节内容进行检测 a)访谈IP承载网运维和安全管理人员,查看网络设计文档、设备运维记录等,检查和验证网络及 设备实际组网情况,检查IP承载网自治域划分是否与网络结构和组织形式保持一致。 b)访谈IP承载网运维人员,查看网络设计文档、设备及链路配置记录等,检查网络节点部署与设 备实际配置情况是否一致,测试和验证承载网核心节点是否采用全网状连接。 c)访谈骨干网运维人员,查看网络设计文档、设备及链路配置记录和故障告警记录等,检查骨干 节点部署和配置情况,检查和验证节点分布是否能满足周边网络接入的需求合满足网络可扩展的需求。 d)访谈IP城域网运维人员,查看网络设计文档、设备及链路配置记录和故障告警记录等,检查城 域网节点实际部署和配置情况,检查和验证IP城域网汇聚层节点组织和分布是否能满足业务接入、汇聚 的需求和满足网络可扩展的需求。

    5.3.1.2网络保护与恢复

    除按照第2级的要求进行检测之外,还应按照本节内容进行检测: a)访谈网络运维人员,查看网络设计文档、网络拓扑文档、故障告警记录和日志记录等,检查IP 承载网节点部署和安全保护措施,检查、测试验证重要节点是否采用节点穴余保护措施,验证和评估网 络抗灾以及灾难恢复能力是否能满足业务稳定性和安全性需求。 b)访谈网络运维人员,查看网络设计文档、网络拓扑文档、故障告警记录和日志记录等,检查IP 承载网节点部署和安全保护措施,检查、测试验证重要节点间是否采用链路穴余保护措施,重要节点间 应至少保有两条不同物理路径的连接,验证和评估网络抗灾以及灾难恢复能力是否能满足业务稳定性和 安全性需求。 c)访谈网络运维人员,查看网络设计文档、网络拓扑文档、故障告警记录和日志记录等,检查和 验证卫P城域网是否有双出口。 d)访谈网络运维人员,查看网络设计文档、网络拓扑文档、故障告警记录和日志记录等,检查和 验证IP城域网汇聚层节点是否配置双上行链路余保护,检查和验证汇聚层节点及其穴余链路使用情 况,评估城域网是否具有较高的可靠性。 e)访谈网络运维和安全管理人员,查看网络设计文档、设备置记录、运行历史记录、故障告警记 录和日志记录等,检查和验证承载网是否根据业务或应用的需求采用负荷分担、网络异常流量监控等安 全保护措施,检查相关技术措施的应用效果。 f)访谈网络运维人员和安全管理人员,查看数据备份要求、安全策略和灾难应急预案和数据备份 记录等,检查IP承载网相关关键数据(如业务数据、设备配置数据、性能数据和告警数据等)是否有本 地数据各份,验证数据备份范围、时间间隔和数据恢复能力是否符合要求。

    5.3.1.3网络管理

    除按照第2级的要求进行检测之外,还应按照本节内容进行检测 a)访谈网络运维和安全管理人员,查看网络安全策略、设备配置 日志记录等,检查IP承载网的网络管理是否启用访问和资源控制的安

    访谈网络运维和安全管理人员,查看网络安全策略、设备配置记录、账号权限管理和分配记录 等,检查IP承载网的网络管理是否启用访问和资源控制的安全措施,检查、测试和验证是否遵

    循最小特权原则对接口使用、访问和资源等进行限制。 b)访谈网络运维人员,查看网络管理系统设计文档、设备配置记录等,检查网络管理及有关设备 是否具有对业务相关数据进行检测、统计、控制和过滤的功能。 c)访谈网络运维和安全管理人员,查看网络管理系统设计文档、网络安全策略、设备配置记录、 故障告警记录、日志和审计文档等,检查、测试和验证IP承载网络管理是否能对节点、链路和各类资源 的预警、告警、故障进行及时有效的定位,检查评估相关各类预警阅值设置是否合理。 d)访谈网络运维和安全管理人员,查看网管系统设计文档、网络安全策略、设备配置记录、告警 记录和日志文件资料等,检查何验证网络管理使用的SNMP协议是否为SNMPv3版本,检测试和验证是 否支持SNMPv3版本的VACM和USM安全机制,测试和验证远程登陆是否使用SSH以及相关加密和 认证算法,测试和验证浏览器管理方式是否使用SSL/TLS安全协议,测试和验证有关设备是否具有在必 要情况下的关闭或燕用远程管理服务的功能

    5.3.1.4网络安全防范

    除按照第2级的要求进行检测之外,还应按照本节内容进行检测: a)访谈网络运维和安全管理人员,查看网络设计文档、网络安全策略、设备配置记录、故障告警 记录、日志和审计记录等,检查和验证在控制平面承载网络和设备是否对控制平面信息进行的加密、认 证和过滤,测试和验证对目的地址为设备本身的数据包是否具有攻击识别和防范能力,测试和验证对异 常数据流量是否具有识别和处理能力。 b)访谈网络运维和安全管理人员,查看网络设计文档、网络安全策略、设备配置记录、故障告警 记录、日志和审计记录等,检查和验证承载网内是否采用灵活、有效服务质量和流量控制技术策略(如 IPQoS、MPLSQoS、流量映射、RSVP、码点标记、流量限速、队列调度、QPPB等),检查、测试和评 估相关管理和控制策略的实施是否能满足各类端到端业务的需求。 )访谈网络运维和安全管理人员,查看日志系统设计文档、网络安全策略、设备配置记录、日志 和审计文件资料等,检查和验证网络设备是否均启用安全日志的功能,检查和验证是否启用日志的管理 和审计的功能,检查和验证日志及审计记录是否通过特定的安全机制在本地或外部设备上进行记录、输 出和存储,检查相关记录文件保存时间是否符合要求。 d)访谈网络运维和安全管理人员,查看网络安全策略、设备配置记录、数据备份和验证记录、日 志和审计文件资料等,检查和验证是否按YD/T1746要求对IP承载网的备份数据进行定期的有效性验证。

    5.3.2.2通用主机设备

    除按照第2级的要求进行检测之外,还应按照本节内容进行检测: a)访谈网络运维技术人员和安全管理人员,查看设备安全检测报告、网络安全策略要求、设备配 置记录、账号权限管理和分配记录、日志和审计记录等,检查验证是否根据最小权限分配原则,按设备 相关各类管理、维护账号的角色分配权限,检查、测试和验证是否实现管理账号与操作、维护账号的权 限分商。 b)访谈网络运维和安全管理人员,查看网络安全策略、账号管理和权限分配记录、设备配置文件

    安全检查记录等,检查和验证通用主机设备操作系统和相关应用的账号口令更 新周期是否均特合要求。 c)访谈网络运维技术人员和安全管理人员,查看辅助系统设计文档、网络安全策略、设备配置记 录和日志记录等,检查、测试和验证重要的服务器、数据库等主机是否使用高安全性身份鉴别措施(如 数字证书)对用户进行身份鉴别。 d)访谈网络运维技术人员和安全管理人员,查看设备安全检测报告、网络安全策略要求、日志和 审计记录等,检查和验证是否对重要信息资源设置敏感标记,检查和测试是否依据安全策略严格控制有 关用户对有敏感标记重要信息资源的操作。 e)访谈网络运维技术人员和安全管理人员,查看设备安全检测报告、网络安全策略要求、设备日 志和审计记录、故障告警记录等,检查和测试验证对重要主机是否进行入侵行为的监测,测试和验证是 否能够记录入侵的源IP、攻击的类型、攻击的目的地址和攻击的时间,并在发生严重入侵事件时提供报 警。 f)访谈网络运维技术人员和安全管理人员,查看设备安全检测报告、网络安全策略要求、设备日 志和审计记录、故障告警记录等,检查和验证重要的通用主机是否能够对重要程序的完整性进行检测, 检查、测试和验证在检测到程序完整性受到破坏后是否能进行安全隔离和可靠的恢复。 g)访谈网络安全管理人员,查看网络安全策略、设备配置文件、日志和审计记录等,检查和验证 通用主机设务操作系统补工及防恶意代码软件相关恶意代码库更新周期是否符合要求

    5.3.3物理环境安全

    5.4.1.1网络拓扑安全

    除按照第2级、第3.1级的要求进行检测之外,还应接照本节内容进行检测: a)访谈IP承载网运维人员,查看网络设计文档、网络拓扑、设备配置记录、核对网络及设备实际 配置情况,检查IP骨干网是否使用独立的单个自治域,验证网内核心节点是否设置为骨干区域(区域号 为0),其他节点是否根据实际情况划分为非骨干区域

    5.4.1.2网络保护与恢复

    除按照第2级、第3.1级的要求进行检测之外,还应按照本节内容进行检测: a)访谈网络运维人员和安全管理人员,查看网络设计文档、网络拓扑、网络安全策略等,检查承 载网相关的辅助IT系统(如运维、管理、监测系统等)的重要设备是否采用允余的方式保证网络及业务 的抗灾以及灾难恢复能力,检查和评估有关安全保护措施的应用效果。 b)访谈网络运维人员和安全管理人员,查看网络设计文档、网络拓扑和网络安全策略等工程监理标准规范范本,检查和 验证I卫P骨于网是否设置有异地的备用网管中心

    除按照第2级、第3.1级的要求进行检测之外,还应按照本节内容进行检测: a)访谈网络运维和安全管理人员,查看网络管理系统设计文档、网客安全策略、设备配置记录、 日志和审计记录等,检查和验证网络管理是否能实现分域定制的管理功能,验证是否实现对网络安全和 灵活的管理功能,评估网络管理安全是否符合行业标准的要求。 b)访谈网络运维和安全管理人员,查看网络管理系统设计文档,网络安全策略和设备配置记录等 检查和测试验证网络的管理是否实现控制平面分离。 c)访谈网络运维和安全管理人员,查看网络管理系统设计文档、网络安全策略、设备配置记录、 日志和审计记录、数据存储和使用记录等,检查和测试验证网络管理相关数据和信息在传送、接受、处 理和存储过程中是否有机密性保障措施,检查和测试验证网络管理相关数据和信息在传送、接受、处理 和存储过程中是否有完整性保降措施

    5.4.1.4网络安全防范

    除按照第2级、第3.1级的要求进行检测之外,还应按照本节内容进行检测: a)访谈网络安全管理人员,查看网络安全策略、系统设计文档、设备配置记录、故障告警记录、 日志和审计记录等,检查和验证承载网络是否按照分层安全原则实现网络安全防范的功能,测试和评估 安全策略以及有关安全技术措施的应用效果,检查和验证安全机制是否符合YD/T1163的要求。 b)访谈网络安全管理人员,查看网络设计文档、网络安全策略、业务质量管理和控制要求、业务 质量监测记录、设备配置记录和日志记录等,检查和验证承载网络是否建立端到端电信级安全框架,检 查和验证是否在安全框架内采用有效的OoS和流量管理策略

    a)应满足第3.1级的相关要求。 b)访谈物理环境管理人员,查看机房设计文档市政工艺、技术,检查和验证IP承载网相关设备所处机房整体抗震 能力是否不低于里氏8级,相关楼层承重能力是否不低于1000kg/m

    5.4.4管理安全 同第3.1级的相关检测要求。 5.5第4级要求 同第3.2级要求。 5.6第5级要求 安全等级为第5级的IP承载网的安全检测要求待补充。

    ....
  • 检测标准
  • 相关专题:

相关下载

常用软件