YDT 5177-2009 互联网网络安全设计暂行规定

中华人民共和国通信行业标准1fill)YD5177-2009互联网网络安全设计暂行规定ProvisionalSpecificationofDesignforInternetNetworkSecurity2009-02-26发布2009-05-01实施中华人民共和国工业和信息化部发布中华人民共和国通信行业标准互联网网络安全设计暂行规定ProvisionalSpecificationofDesignforInternetNetworkSecurityYD5177-2009主管部门:工业和信息化部通信发展司批准部门:中华人民共和国工业和信息化部施行日期:2009年5月1日北京邮电大学出版社2009北京关于发布〈通信工程建设环境保护技术暂行规定〉等17项通信建设规定的通知工信部通(2009J76号各省、自治区、直辖市通信管理局，中国电信集团公司、中国移动通信集团公司、中国联合网络通信有限公司，各相关单位:现将《通信工程建设环境保护技术暂行规定》等17项通信建设规定发布，自2009年5月1日起施行，各标准名称、编号如下:一、《通信工程建设环境保护技术暂行规定))，编号为YD5039-2009，原《通信工程建设环境保护技术规定))(编号:YD5039-1997)同时废止;二、《电信客服呼叫中心工程设计规范))，编号为YDjT5163-2009;三、《电信客服呼叫中心工程验收规范))，编号为YDjT5164-2009;四、《本地网光缆波分复用系统工程设计规范))，编号为YDjT5166-2009;五、《本地网光缆波分复用系统工程验收规范))，编号为YDjT5176-2009;六、《通信用柴油发电机组消噪音工程设计暂行规定))，编号为YD5167-2009;七、《移动WAP网关工程设计规范))，编号为YDjT5168-2009;八、《移动WAP网关T.程验收规范))，编号为YDjT5169一2009;1九、《个性化回铃音平台工程设计暂行规定))，编号为YD/T5170-2009;十、《个性化回铃音平台工程验收暂行规定))，编号为YD/T5171~2009;十一、《通信局(站)防雷与接地工程验收规范))，编号为YD/T5175~2009;十二、《互联网网络安全设计暂行规定))，编号为YD5177�2009;十三、《通信管道人孔和手孔图集，编号为YD5178~2009;十四、《光缆通信工程网管系统验收规范，编号为YD/T51792009;十五、《移动通信直放站工程验收规范))，编号为YD/T5180~2009;十六、《宽带IP城域网工程验收暂行规定))，编号为YD/T5181~2009;十七、《第三代移动通信基站设计暂行规定))，编号为YD/T5182~2009。以上规定由工业和信息化部负责解释并监督执行，由北京邮电大学出版社负责出版发行(联系电话:010-62285938，网址:)。•2•中华人民共和国工业和信息化部二00九年二月二十六日前本暂行规定是根据原信息产业部关于安排2007年《通信工程建设标准》编制计划的通知(信部规函(2007J176号)的要求制定的。本暂行规定主要包括网络拓扑结构、路由协议、高可靠性、边界完整性、入侵防范、网络访问控制、网络安全审计、灾难备份与恢复、安全运行管理中心等内容。本暂行规定用黑体字标注的条文为强制性条文，必须严格执行。本暂行规定由工业和信息化部通信发展司负责解释、监督执行。暂行规定在使用过程中，如有需要补充或修改的内容，请与部通信发展司联系，并将补充或修改意见寄部通信发展司(地址:北京市西长安街口号，邮编:100804)。主编单位:北京电信规划设计院有限公司主要起草人:夏俊杰刘惠明冯霄鹏戴维李磊陈利兵安超参编单位:山西省信息工程设计院参加人:张辉张最目次1总则2术语和符号3网络拓扑结构…………………………………………………44路由协议5高可靠性6边界完整性7入侵防范………………………………………………………87.1入侵检测系统……………………………………………87.2入侵防御系统……………………………………………87.3流量监测与清洗系统8网络访问控制…………………………………………………109网络安全审计…………………………………………………1110灾难备份与恢复……………………………………………1211安全运行管理中心附录A本规定用词说明………………………………………14条文说明.1•1总则1.O.1本暂行规定适用于新建互联网网络安全工程设计，改扩建工程应在合理利用原有系统的基础上参照执行。1.o.2互联网网络安全设计应以明确的安全需求为基础，全面分析，确定分阶段的安全建设日标、建设内容和建设方案，要与互联网网络建设同步进行或分步骤、分阶段地落实各种安全措施。1.0.3互联网网络安全设计应遵循适度安全的原则，结合等级保护相关要求，对互联网网络风险进行合理评估，针对主要风险和威胁，有重点地部署安全措施。1.o.4工程中选用的安全产品应取得工业和信息化部(含原信息产业部)颁发的电信设备入网许可证，并满足有关主管部门的相关安全规定。1.0.5在特殊条件下，执行本暂行规定中的个别条款有困难时，设计中应充分论述理由，提出采取相应措施的报告，呈主管部门审批。1.O.6本暂行规定条款与国家有关标准、规范有矛盾时，应按国家标准、规范的规定执行。12术语和符号英文缩写英文名称中文名称AAAAuthenticationAuthorizationAccounting鉴别、授权、计费ACLAccessControlList访问控制列表BFDBidirectionalForwardingDetection双向转发检测BGPBorderGatewayProtocol边界网关协议DDoSDistributedDenialofService分布式拒绝服务攻击DNSDomainNameSystem域名系统EAPExtensibleAuthenticationProtocol扩展认证协议FRRFastRe-Route快速重路由GRGracefulRestart平稳重启HIDSHostIntrusionDetectionSystems基于主机的入侵检测系统HIPSHostIntrusionPreventionSystems基于主机的入侵防御系统IDCInternetDataCenter互联网数据中心IDSIntrusionDetectionSystems入侵检测系统IPInternetProtocol互联网协议IPSIntrusionPreventionSystem入侵防御系统IS-ISIntermediateSystemtoIr阳mecliateSystem中间系统到中间系统协议LDPLabelDistributionProtocol标签分发协议MPLSMulti-ProtocolLabelSwitch多协议标签交换NATNetworkAddressTranslation网络地址转换NIDSNetworkIntrusionDetectionSystems基于网络的入侵检测系统NIPSNetworkIntrusionPreventionSystems基于网络的入侵防御系统NSRNon-StopRoutingOSPFOpenShortestPathFirstPPPoEPPPoverEthernet不间断路由开放最短路径优先协议以太网上的点对点协议RADIUSRemoteAuthenticationDialInUserService远端拨人用户验证服务•2•RSTPRapidSpanningTreeProtocol快速生成树协议TETrafficEngineering流量工程uRPFunicastReversePathForwarding单播反向路径查找UTMUnifiedThreatManagement统一威胁管理VPNVirtualPrivateNetwork虚拟专用网络VRRPVirtualRouterRedundancyProtocol虚拟路由器冗余协议•3•3网络拓扑结构3.0.1网络层级应根据网络建设规模、网络维护组织结构、网络服务质量要求划分为两级或三级结构，通过层级划分进行流量汇聚，并对风险影响范围进行限制。3.O.2网络中接入节点与边缘汇接节点之间可采用双星形或环网结构，边缘汇接节点与核心汇接节点连接的拓扑形式可采用双星形结构。核心汇接节点之间的拓扑形式可采用网状结构、不完全网状结构或者是多平面结构。3.0.3网络中同一区域内的多台核心汇接节点设备应放置在间隔一定距离的不同通信楼。3.0.4核心汇接节点之间必须设置2个或2个以上不同局向的中继电路，不同局向的中继电路必须由不同的传输系统开通。3.0.5应合理设置与其他网络的互联互通节点，宜在网络边界处部署专用网络互联设备，并通过中继电路设置或协议设计保证对等和穿透业务流量的合理拓扑结构。•4•4路由协议4.O.1互联网自治域内的域内路由协议应选用动态路由方式，目前可采用OSPF或IS-IS;自治域之间的域间路由协议可采用BGP-4。4.0.2必须保证路由协议自身的安全性，在OSPF，IS-IS、BGP等协议中启用校验和认证功能，保证路由信息的完整性和巴授权性。4.0.3在域内路由协议中，应根据网络规模和网络拓扑合理规划路由层次，在使用OSPF路由协议情况下划分不同区域，在使用IS-IS路由协议情况下划分不同层级，限制路由规模并将路由震荡的影响限制在一定范围之内。4.O.4在网络节点设备中，尤其是域内的层级边界和域间的网络边界设备，应接收路由信息并根据路由策略进行路由信息的宣告。应制定清晰明确的路由信息注入策略，对路由信息的交互进行严格控制，网络节点设备以及业务系统设备路由的宣告和接收应限制在明确界定的范围之内。4.0.5域内路由协议与域间路由协议应相互配合，防止路由环回和路由黑洞的产生。4.0.6在网络关键节点，可根据源地址/端口、目的地址/端口以及协议类型等参数实施ACL.可根据路由表中的网段和物理接口实施uRPF。5•5高可靠性5.0.1通过相关协议参数的设置，在网络中部署路由协议快速收敛技术，实现路由变化时的快速收敛;在网络中部署RSTP技术，实现二层链路的快速恢复。5.O.2通过BFD技术，对核心汇接节点之间、边缘汇接节点之间、业务设备与边缘汇接节点之间的通路进行快速故障检测。当网络中存在多个厂商设备时，应确保BFD的互通。5.0.3通过TEFRR等快速重路由技术，在核心汇接节点之间进行链路保护，提高核心层网络可靠性;也可通过其他专有FRR技术(如IPFRR、VPNFRR)，对端口和通路等层级进行保护。在同时部署多种FRR机制时，应合理规划，明确各个层级FRR之间的关系和功能。当网络中存在多个厂商设备时，应确保FRR的互通。5.0.4通过VRRP技术，以主备方式保障业务系统接入的可靠性并实现故障快速恢复。5.O.5通过GR、NSR技术，在不间断转发的情况下对OSPF、IS-IS、BGP、MPLSLDP等协议进行重启。当网络中存在多个厂商设备时，应确保GR、NSR的互通。5.0.6核心汇接节点设备必须实现主控版卡、交换板卡、电源模块、凤扇模块等关键部件的冗余配置。5.0.7可在核心汇接节点和边缘汇接节点部署带外网管系统。•6•6边界完整性6.0.1本暂行规定中描述的网络边界是指一个网络同其他网络的分界线，互联网边界主要包括不同电信业务经营者互联网之间的分界线、互联网同其他异构网络之间的分界线以及互联网内各安全域之间的分界线。6.O.2边界完整性设计应明确安全域的划分。根据需求划分合理的安全域，对于安全级别较高的安全域应重点保护。不同安全域之间，常用的网络边界安全组件和技术有防火墙、VPN网关、UTM、网闸、数据交换区等。6.O.3电信业务经营者的互联网互联边界应采用路由协议的校验和认证等安全机制保障边界完整性。6.0.4应根据网络安全等级的需求选择部署包过滤防火墙、应用代理网关防火墙和状态检测防火墙。防火墙宜应