IPv4-IPv6網(wǎng)絡(luò)安全防護(hù)要求 第1部分：IP承載網(wǎng)

ICS33.040.40

CCSM32

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/TXXXXX.1—XXXX

IPv4/IPv6網(wǎng)絡(luò)安全防護(hù)技術(shù)規(guī)范

第1部分：IP承載網(wǎng)

IPv4/IPv6securityprotectionrequirements-Part1:IPbearernetwork

（征求意見(jiàn)稿）

在提交反饋意見(jiàn)時(shí)，請(qǐng)將您知道的相關(guān)專(zhuān)利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/T××××—××××

前言

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。

GB/TXXXXX《IPv4/IPv6網(wǎng)絡(luò)安全防護(hù)技術(shù)規(guī)范》與GB/TXXXXX《IPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求》、

GB/TXXXXX《IPv6網(wǎng)絡(luò)設(shè)備安全技術(shù)要求》共同構(gòu)成支撐IPv6安全的國(guó)家標(biāo)準(zhǔn)體系。

本文件是GB/TXXXXX《IPv4/IPv6網(wǎng)絡(luò)安全防護(hù)技術(shù)規(guī)范》的第1部分，GB/TXXXX已經(jīng)發(fā)布了以

下部分：

——第1部分：IP承載網(wǎng)

——第2部分：移動(dòng)通信網(wǎng)

——第3部分：互聯(lián)網(wǎng)數(shù)據(jù)中心

——第4部分：內(nèi)容分發(fā)網(wǎng)絡(luò)

注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。

本文件由中華人民共和國(guó)工業(yè)和信息化部提出。

本文件由全國(guó)通信標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC485)歸口。

本文件起草單位：

本文件主要起草人：

II

GB/T××××—××××

引言

根據(jù)《關(guān)于加快推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署和應(yīng)用工作的通知》，為更好面對(duì)網(wǎng)絡(luò)

復(fù)雜化和用戶規(guī)模擴(kuò)大化帶來(lái)的安全挑戰(zhàn)，推動(dòng)IPv6網(wǎng)絡(luò)安全工作的標(biāo)準(zhǔn)化，我國(guó)制定了一系列IPv6

安全標(biāo)準(zhǔn)。其中，GB/TXXXXX《IPv4/IPv6網(wǎng)絡(luò)安全防護(hù)技術(shù)規(guī)范》是為規(guī)范電信網(wǎng)和互聯(lián)網(wǎng)行業(yè)中

重要網(wǎng)絡(luò)單元在IPv6網(wǎng)絡(luò)中所開(kāi)展的安全防護(hù)工作，擬分為以下部分：

——第1部分：IP承載網(wǎng)。目的在于IPv6部署后，推動(dòng)IP承載網(wǎng)的安全防護(hù)工作。

——第2部分：移動(dòng)通信網(wǎng)。目的在于IPv6部署后，推動(dòng)移動(dòng)通信網(wǎng)的安全防護(hù)工作。

——第3部分：互聯(lián)網(wǎng)數(shù)據(jù)中心。目的在于IPv6部署后，推動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)中心的安全防護(hù)工作。

——第4部分：內(nèi)容分發(fā)網(wǎng)絡(luò)。目的在于IPv6部署后，推動(dòng)內(nèi)容分發(fā)網(wǎng)絡(luò)的安全防護(hù)工作。

III

GB/T××××—××××

IPv4/IPv6網(wǎng)絡(luò)安全防護(hù)技術(shù)規(guī)范第1部分：IP承載網(wǎng)

1范圍

本文件規(guī)定了支持IPv4/IPv6協(xié)議的IP承載網(wǎng)的安全防護(hù)要求和檢測(cè)要求，包括網(wǎng)絡(luò)安全、設(shè)備安全、

軟件及業(yè)務(wù)系統(tǒng)安全、物理環(huán)境安全和管理安全等要求。

本文件適用于支持IPv4/IPv6協(xié)議的IP承載網(wǎng)安全防護(hù)工作開(kāi)展和推進(jìn)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T41267-2022網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求交換機(jī)設(shè)備

GB/T41269-2022網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求路由器設(shè)備

GB/T18018-2019信息安全技術(shù)路由器安全技術(shù)要求

GB/T21050-2019信息安全技術(shù)網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求

GB/T29240-2012信息安全技術(shù)終端計(jì)算機(jī)通用安全技術(shù)要求與測(cè)試評(píng)價(jià)方法

GB/T39680-2020信息安全技術(shù)服務(wù)器安全技術(shù)要求和測(cè)評(píng)準(zhǔn)則

YD/T1170-2001IP網(wǎng)絡(luò)技術(shù)要求——網(wǎng)絡(luò)總體

YD/T1478-2006電信管理網(wǎng)安全技術(shù)要求

YD/T2698-2014電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求及檢測(cè)要求網(wǎng)絡(luò)設(shè)備

YD/T2701-2014電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求及檢測(cè)要求操作系統(tǒng)

YD/T2700-2014電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求及檢測(cè)要求數(shù)據(jù)庫(kù)

YD/T2703-2014電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求及檢測(cè)要求Web應(yīng)用系統(tǒng)

YD/T2702-2014電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求及檢測(cè)要求中間件

YD/T1163-2001IP網(wǎng)絡(luò)安全技術(shù)要求——安全框架

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

IP承載網(wǎng)IPbearernetwork

以IP技術(shù)（包括IPv4和IPv6技術(shù)）為基礎(chǔ)構(gòu)建的用于為其他業(yè)務(wù)網(wǎng)互聯(lián)提供連接服務(wù)的承載網(wǎng)絡(luò)。

IP承載網(wǎng)的基本功能主要包括為上層業(yè)務(wù)網(wǎng)絡(luò)提供分組數(shù)據(jù)的網(wǎng)絡(luò)路由、交換和傳送等，不直接接入互

聯(lián)網(wǎng)。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

BGP邊界網(wǎng)關(guān)協(xié)議BorderGatewayProtocol

DDoS分布式拒絕服務(wù)DistributedDenialofService

DoS拒絕服務(wù)DenialofService

HTTPS超文本傳輸安全協(xié)議HyperTextTransferProtocoloverSecureSocket

Layer

ICMPInternet控制報(bào)文協(xié)議InternetControlMessageProtocol

IP網(wǎng)際協(xié)議InternetProtocol

1

GB/T××××—××××

IPv4IP協(xié)議第4版InternetProtocolVersion4

IPv6IP協(xié)議第6版InternetProtocolVersion6

ISIS中間系統(tǒng)到中間系統(tǒng)Intermediatesystemtointermediatesystem

IT信息技術(shù)InformationTechnology

MPLS多協(xié)議標(biāo)簽交換Multi-ProtocolLabelSwitch

NAT-PT附帶協(xié)議轉(zhuǎn)換器的網(wǎng)絡(luò)地址轉(zhuǎn)換器NetworkAddressTranslation-Protocol

NDP鄰居發(fā)現(xiàn)協(xié)議NeighborDiscoveryProtocol

NFV網(wǎng)絡(luò)功能虛擬化NetworkFunctionVirtualization

QoS服務(wù)質(zhì)量QualityofService

QPPB通過(guò)BGP的QoS策略傳播QosPolicyPropagationthroughtheBGP

OSPF開(kāi)放式最短路徑優(yōu)先OpenShortestPathFirst

RSVP資源預(yù)留協(xié)議ResourceReSerVationProtocol

SDN軟件定義網(wǎng)絡(luò)Software-DefinedNetworking

SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SimpleNetworkManagementProtocol

SSH安全外殼SecureShell

SSL安全套接層SecureSocketLayer

TLS傳輸層安全TransportLayerSecurity

USM用戶安全模型UserSecurityModel

VACM基于視圖的訪問(wèn)控制模型View-basedAccessControlModel

VNF虛擬網(wǎng)絡(luò)功能VirtualNetworkFunction

5IP承載網(wǎng)安全防護(hù)概述

5.1IP承載網(wǎng)安全防護(hù)范圍

我國(guó)公眾IP承載網(wǎng)主要包括IP骨干網(wǎng)、IP城域網(wǎng)，IP承載網(wǎng)安全防護(hù)的范疇包括基于IP協(xié)議的承載

網(wǎng)絡(luò)本身以及與之相關(guān)聯(lián)且未納入其他單元（如，支撐網(wǎng)、非核心生產(chǎn)單元等）安全定級(jí)范圍的運(yùn)維、

管理、監(jiān)測(cè)等輔助性IT系統(tǒng)。

5.2IP承載網(wǎng)安全防護(hù)內(nèi)容

應(yīng)按照國(guó)家、行業(yè)的網(wǎng)絡(luò)安全等級(jí)劃分標(biāo)準(zhǔn)確定安全等級(jí)，并依據(jù)安全等級(jí)開(kāi)展包括網(wǎng)絡(luò)安全、設(shè)

備安全、物理環(huán)境安全和管理安全等五個(gè)層面的安全防護(hù)工作。其中：

a）網(wǎng)絡(luò)安全：主要包括IP承載網(wǎng)和相關(guān)系統(tǒng)層面的結(jié)構(gòu)拓?fù)洹⑷哂啾Ｗo(hù)與災(zāi)備恢復(fù)、網(wǎng)絡(luò)管理和

網(wǎng)絡(luò)攻擊防范等方面內(nèi)容和要求；

b）設(shè)備安全：主要包括IP承載網(wǎng)相關(guān)數(shù)據(jù)網(wǎng)絡(luò)設(shè)備和通用主機(jī)設(shè)備安全的內(nèi)容和要求；

c）物理環(huán)境安全：除GB/T22239-2019要求外，還包括防蟲(chóng)鼠、機(jī)房承重等方面內(nèi)容和要求；

d）管理安全：除GB/T22239-2019要求外，還包括風(fēng)險(xiǎn)評(píng)估、應(yīng)急預(yù)案等方面內(nèi)容和要求；

e）軟件及業(yè)務(wù)系統(tǒng)安全：主要包括IP承載網(wǎng)相關(guān)軟件及業(yè)務(wù)系統(tǒng)安全在身份鑒別、訪問(wèn)控制、資

源管控、業(yè)務(wù)連續(xù)性、安全審計(jì)、虛擬化安全、能力開(kāi)放安全等通用要求，以及網(wǎng)絡(luò)切片安全

等特定業(yè)務(wù)相關(guān)安全要求。

6IP承載網(wǎng)安全防護(hù)要求

6.1第1級(jí)要求

本文件對(duì)安全等級(jí)為第1級(jí)的IP承載網(wǎng)暫不作要求。

6.2第2級(jí)要求

6.2.1網(wǎng)絡(luò)安全要求

網(wǎng)絡(luò)拓?fù)?/p>

IP承載網(wǎng)的網(wǎng)絡(luò)拓?fù)鋺?yīng)滿足以下要求：

a）IP承載網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)與組織符合YD/T1170-2001的要求。

b）IP承載網(wǎng)節(jié)點(diǎn)域內(nèi)接口應(yīng)使用內(nèi)部路由協(xié)議（如，OSPF、ISIS等）；域間接口應(yīng)使用外部路由

協(xié)議（如，BGP等）。

2

GB/T××××—××××

c）IP承載網(wǎng)的地址應(yīng)統(tǒng)一規(guī)劃和分配，體現(xiàn)網(wǎng)絡(luò)層次性和有利于路由的組織，IPv6地址能夠體現(xiàn)

客戶信息和業(yè)務(wù)類(lèi)別特征，易于QoS保障與用戶溯源，IP承載網(wǎng)應(yīng)提高地址利用率并預(yù)留一定

的地址空間，以滿足業(yè)務(wù)發(fā)展的需求。

網(wǎng)絡(luò)保護(hù)與恢復(fù)

IP承載網(wǎng)的網(wǎng)絡(luò)保護(hù)與恢復(fù)應(yīng)滿足以下要求：

a）IP承載網(wǎng)節(jié)點(diǎn)重要部件和模塊（如，電源模塊、主控模塊等）應(yīng)配置為主備用方式。

b）IP承載網(wǎng)重要節(jié)點(diǎn)（如，核心節(jié)點(diǎn)、匯接節(jié)點(diǎn)等）間鏈路應(yīng)采取鏈路冗余保護(hù)措施（如，鏈路

1+1保護(hù)等），以保證網(wǎng)絡(luò)具有抗災(zāi)以及災(zāi)難恢復(fù)能力。

c）IP承載網(wǎng)應(yīng)根據(jù)業(yè)務(wù)或應(yīng)用的需求采用鏈路聚合、轉(zhuǎn)發(fā)檢測(cè)、保護(hù)倒換、重路由等安全保護(hù)措

施。

d）IP城域網(wǎng)絡(luò)間應(yīng)通過(guò)骨干網(wǎng)絡(luò)或城域匯接節(jié)點(diǎn)實(shí)現(xiàn)互聯(lián)。

e）IP承載網(wǎng)相關(guān)關(guān)鍵數(shù)據(jù)（如，業(yè)務(wù)數(shù)據(jù)、配置數(shù)據(jù)、性能數(shù)據(jù)、告警數(shù)據(jù)等）應(yīng)有本地?cái)?shù)據(jù)備

份，并按介質(zhì)特性對(duì)備份數(shù)據(jù)進(jìn)行定期的有效性驗(yàn)證（至少每季度一次）。

f）IP承載網(wǎng)的災(zāi)難恢復(fù)應(yīng)根據(jù)災(zāi)難的情況，首先保證應(yīng)急通信、重要應(yīng)用和業(yè)務(wù)網(wǎng)絡(luò)的通信，然

后恢復(fù)一般應(yīng)用和業(yè)務(wù)網(wǎng)絡(luò)的通信。

g）IP承載網(wǎng)網(wǎng)絡(luò)災(zāi)難備份和恢復(fù)時(shí)間應(yīng)滿足行業(yè)管理、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商應(yīng)急預(yù)案的要求。

網(wǎng)絡(luò)管理

IP承載網(wǎng)的網(wǎng)絡(luò)管理應(yīng)滿足以下要求：

a）IP承載網(wǎng)應(yīng)根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)形式采用分域的管理方式，并根據(jù)實(shí)際需求或運(yùn)維體制設(shè)置分級(jí)權(quán)限，

實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的靈活管理。

b）IP承載網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)與運(yùn)維、管理、監(jiān)測(cè)等輔助系統(tǒng)（或平臺(tái)）間應(yīng)實(shí)現(xiàn)邏輯隔離，并啟用安全

域訪問(wèn)控制策略，嚴(yán)格限制對(duì)有關(guān)設(shè)備的訪問(wèn)。

c）IP承載網(wǎng)網(wǎng)絡(luò)管理應(yīng)采用安全的管理、控制信息的分發(fā)和過(guò)濾機(jī)制，網(wǎng)絡(luò)管理會(huì)話信息應(yīng)通過(guò)

加密方式傳送。

d）網(wǎng)絡(luò)設(shè)備應(yīng)設(shè)置專(zhuān)用管理接口，對(duì)于目的地址為設(shè)備管理接口的非管理報(bào)文、目的地址為設(shè)備

數(shù)據(jù)業(yè)務(wù)接口的管理報(bào)文應(yīng)進(jìn)行嚴(yán)格過(guò)濾和限制。

e）網(wǎng)絡(luò)設(shè)備如使用遠(yuǎn)程運(yùn)維管理，專(zhuān)用管理通道應(yīng)支持使用非明文數(shù)據(jù)傳輸協(xié)議對(duì)設(shè)備進(jìn)行管理，

如HTTPS、SSHv2、SNMPv3等，保障通信數(shù)據(jù)的保密性、完整性。

f）網(wǎng)絡(luò)設(shè)備如果具備IPv4與IPv6雙棧功能，對(duì)基于IPv4和IPv6的業(yè)務(wù)應(yīng)設(shè)置相同級(jí)別的管理控制

手段。

g）IP承載網(wǎng)網(wǎng)絡(luò)管理應(yīng)使用用戶安全鑒別和認(rèn)證措施，應(yīng)滿足YD/T1478-2006的要求。

h）IP承載網(wǎng)應(yīng)有與當(dāng)前網(wǎng)絡(luò)節(jié)點(diǎn)、鏈路等資源配置和運(yùn)營(yíng)情況相符合的網(wǎng)絡(luò)拓?fù)鋱D（或記錄完整

拓?fù)湫畔⒌倪\(yùn)維文檔）。

網(wǎng)絡(luò)安全防范

IP承載網(wǎng)的網(wǎng)絡(luò)安全防范應(yīng)滿足以下要求：

a）IP承載網(wǎng)相關(guān)系統(tǒng)、設(shè)備對(duì)各類(lèi)管理和維護(hù)用戶應(yīng)啟用登錄失敗保護(hù)和處理措施。

b）在數(shù)據(jù)轉(zhuǎn)發(fā)平面，IP城域網(wǎng)核心層、匯聚層和接入層都應(yīng)啟用源地址認(rèn)證策略，以有效防止網(wǎng)

內(nèi)地址仿冒。

c）IP承載網(wǎng)應(yīng)采用有效的QoS和流量管理策略，應(yīng)保證管理和控制信息具有較高的優(yōu)先級(jí)，應(yīng)對(duì)

IPv4協(xié)議下的網(wǎng)內(nèi)廣播、IPv6協(xié)議下的泛播以及兩種協(xié)議下的組播類(lèi)數(shù)據(jù)流量進(jìn)行必要的限制

和管理。

d）網(wǎng)絡(luò)設(shè)備的軟件應(yīng)具備實(shí)時(shí)操作、信息處理、更新升級(jí)、差錯(cuò)防護(hù)、故障定位等功能。

3

GB/T××××—××××

e）與IP承載網(wǎng)及其業(yè)務(wù)相關(guān)聯(lián)的運(yùn)維、管理、監(jiān)測(cè)等系統(tǒng)的應(yīng)用應(yīng)當(dāng)限制和禁用可能造成漏洞的

服務(wù)和端口，應(yīng)在系統(tǒng)邊界啟用必要的防攻擊、防入侵措施（如安裝和使用防火墻、入侵檢測(cè)

等安全設(shè)備等），系統(tǒng)相關(guān)軟件應(yīng)及時(shí)安裝補(bǔ)丁，定期檢查更新，及時(shí)消除可能的隱患。

f）啟用了NAT的網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)數(shù)據(jù)速率進(jìn)行限制并對(duì)IP源地址進(jìn)行檢查。

g）各類(lèi)設(shè)備及系統(tǒng)應(yīng)啟用完整的安全日志功能，并實(shí)現(xiàn)日志的管理和安全審計(jì)，日志記錄保存時(shí)

間不少于180天。日志應(yīng)包含訪問(wèn)、配置、狀態(tài)、統(tǒng)計(jì)、告警等安全相關(guān)事件的來(lái)源、時(shí)間、描

述等信息內(nèi)容。

h）應(yīng)在路由協(xié)議交互時(shí)采取加密認(rèn)證的方式，并對(duì)協(xié)議宣告的前綴信息進(jìn)行合法性驗(yàn)證。

i）NTP作為網(wǎng)絡(luò)時(shí)鐘同步協(xié)議，在IP承載網(wǎng)使用時(shí)，宜配置為密文認(rèn)證模式。

網(wǎng)絡(luò)監(jiān)測(cè)

IP承載網(wǎng)的網(wǎng)絡(luò)監(jiān)測(cè)應(yīng)滿足以下要求：

a）IP承載網(wǎng)應(yīng)具有監(jiān)測(cè)常見(jiàn)網(wǎng)絡(luò)攻擊、差錯(cuò)防范和處理的設(shè)計(jì)，在邊界部署和啟用監(jiān)測(cè)攻擊、惡

意代碼防范/入侵防范技術(shù)手段，防范惡意代碼以及針對(duì)網(wǎng)絡(luò)設(shè)備和IT系統(tǒng)的常見(jiàn)攻擊及入侵

（如，IPv4協(xié)議下的端口掃描、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲(chóng)等；IPv6協(xié)議下的網(wǎng)絡(luò)嗅探、鄰居發(fā)現(xiàn)

欺騙等；以及兩種協(xié)議下都存在的DoS/DDoS攻擊等）。

b）IP承載網(wǎng)應(yīng)采用有效的流量監(jiān)測(cè)措施，應(yīng)根據(jù)不同的業(yè)務(wù)類(lèi)型如網(wǎng)頁(yè)訪問(wèn)、在線視頻、在線游

戲、VPN訪問(wèn)等業(yè)務(wù)產(chǎn)生的流量進(jìn)行平均流量監(jiān)測(cè)及峰值流量監(jiān)測(cè)。

c）IP承載網(wǎng)的上行流量（流出流量）中虛假源地址流量不超過(guò)全部上行流量的1%。

d）IP承載網(wǎng)路由器應(yīng)具備流量元數(shù)據(jù)采集和轉(zhuǎn)發(fā)功能，采集格式支持NetFlow（V5及以上）、

NetStream（V5及以上）或sFlow（V4及以上），采樣率不低于1/1000。

e）IP承載網(wǎng)和相關(guān)輔助系統(tǒng)在遭受攻擊或入侵時(shí)，安全設(shè)備應(yīng)能及時(shí)準(zhǔn)確的提供攻擊或入侵的報(bào)

警、監(jiān)測(cè)信息。

f）IP承載網(wǎng)應(yīng)對(duì)重要網(wǎng)絡(luò)設(shè)備和主機(jī)設(shè)備進(jìn)行性能及運(yùn)行狀態(tài)信息監(jiān)測(cè)，包括設(shè)備的CPU、硬盤(pán)、

內(nèi)存、網(wǎng)絡(luò)等資源的使用情況，降低到一定閾值時(shí)應(yīng)能自動(dòng)報(bào)警。

g）IP承載網(wǎng)內(nèi)IPv6inIPv4隧道應(yīng)該在解封裝前對(duì)報(bào)文的源、目的IPv4地址進(jìn)行合法性檢查。

h）IP承載網(wǎng)應(yīng)對(duì)6to4隧道內(nèi)經(jīng)解析后的IPv6流量進(jìn)行鄰居發(fā)現(xiàn)控制和ICMP重定向限制。

6.2.2設(shè)備安全要求

數(shù)據(jù)網(wǎng)絡(luò)設(shè)備安全要求

IP承載網(wǎng)相關(guān)數(shù)據(jù)網(wǎng)絡(luò)設(shè)備主要包括各類(lèi)路由器、交換機(jī)設(shè)備等，相關(guān)設(shè)備應(yīng)滿足以下要求：

a)網(wǎng)絡(luò)設(shè)備的安全應(yīng)滿足相關(guān)設(shè)備技術(shù)規(guī)范、設(shè)備安全要求以及設(shè)備入網(wǎng)管理相關(guān)要求的規(guī)定，

包括GB/T18018-2019、GB/T21050-2019、GB/T41267-2022、GB/T41269-2022等。網(wǎng)絡(luò)設(shè)

備的安全基線配置應(yīng)滿足YD/T2698-2014相關(guān)要求。。

b)現(xiàn)網(wǎng)使用的網(wǎng)絡(luò)設(shè)備應(yīng)進(jìn)行覆蓋用戶安全標(biāo)識(shí)和認(rèn)證、數(shù)據(jù)保護(hù)、設(shè)備容錯(cuò)、訪問(wèn)控制、安全

日志與審計(jì)、資源調(diào)度和安全管理等方面內(nèi)容的安全檢測(cè)，出具安全測(cè)試及驗(yàn)收?qǐng)?bào)告并妥善保

存。

通用主機(jī)設(shè)備安全要求

IP承載網(wǎng)相關(guān)通用主機(jī)設(shè)備主要包括各類(lèi)通用服務(wù)器、工作站、終端、數(shù)據(jù)庫(kù)等，相關(guān)設(shè)備應(yīng)滿

足以下要求：

a)通用主機(jī)設(shè)備的安全應(yīng)滿足相關(guān)設(shè)備技術(shù)規(guī)范、設(shè)備安全要求。包括GB/T29240-2012、GB/T

39680-2020等。相關(guān)設(shè)備安全基線配置應(yīng)滿足相應(yīng)標(biāo)準(zhǔn)要求，通用主機(jī)設(shè)備的操作系統(tǒng)安全基

4

GB/T××××—××××

線配置應(yīng)滿足YD/T2701-2014要求，數(shù)據(jù)庫(kù)的安全基線配置應(yīng)滿足YD/T2700-2014要求，Web

應(yīng)用系統(tǒng)的安全基線配置應(yīng)滿足YD/T2703-2014要求等。。

b)現(xiàn)網(wǎng)使用的通用主機(jī)設(shè)備應(yīng)進(jìn)行覆蓋用戶安全標(biāo)識(shí)和認(rèn)證、數(shù)據(jù)保護(hù)、設(shè)備容錯(cuò)、訪問(wèn)控制、

安全日志與審計(jì)、資源調(diào)度和安全管理等方面內(nèi)容的安全檢測(cè)，出具安全測(cè)試及驗(yàn)收?qǐng)?bào)告并妥

善保存。

c)配置了IPv6的主機(jī)設(shè)備應(yīng)安裝主機(jī)防火墻，應(yīng)對(duì)無(wú)狀態(tài)自動(dòng)配置進(jìn)行控制并能夠有效處理協(xié)議

報(bào)文選路擴(kuò)展頭。

6.2.3物理環(huán)境安全要求

除滿足GB/T22239-2019中第二級(jí)的安全物理環(huán)境要求外，還需滿足以下要求：

a）IP承載網(wǎng)相關(guān)設(shè)備所處機(jī)房應(yīng)具備防蟲(chóng)防鼠等相關(guān)措施，以有效防范鼠蟲(chóng)蟻害。

b）對(duì)于部署在非機(jī)房環(huán)境的IP承載網(wǎng)，應(yīng)采取相應(yīng)措施防范近端攻擊，包括：應(yīng)將設(shè)備或主要部

件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記，應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管

道中。

6.2.4管理安全要求

除滿足GB/T22239-2019中第二級(jí)的安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全運(yùn)維管

理相關(guān)要求外，還應(yīng)滿足以下要求：

a）IP承載網(wǎng)及其所屬各類(lèi)設(shè)備、系統(tǒng)應(yīng)定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估（至少每?jī)赡暌淮危?，風(fēng)險(xiǎn)評(píng)估范

圍應(yīng)與IP承載網(wǎng)安全防護(hù)范圍一致。

b）IP承載網(wǎng)安全風(fēng)險(xiǎn)評(píng)估至少應(yīng)覆蓋網(wǎng)絡(luò)安全、設(shè)備安全、物理環(huán)境安全等相關(guān)技術(shù)風(fēng)險(xiǎn)和人員

安全、運(yùn)維安全等相關(guān)管理風(fēng)險(xiǎn)，至少包含IP承載網(wǎng)相關(guān)資產(chǎn)、脆弱性、威脅、安全措施、風(fēng)

險(xiǎn)分析等要素和內(nèi)容，并根據(jù)評(píng)估結(jié)果制定相應(yīng)的風(fēng)險(xiǎn)處理計(jì)劃。

c）IP承載網(wǎng)運(yùn)維應(yīng)設(shè)有相應(yīng)的管理責(zé)任人。

d）IP承載網(wǎng)應(yīng)制定災(zāi)難恢復(fù)預(yù)案，并定期組織災(zāi)難恢復(fù)預(yù)案的教育培訓(xùn)（至少每半年一次）和演

練（至少每年一次）。

6.2.5軟件及業(yè)務(wù)系統(tǒng)安全要求

軟件及業(yè)務(wù)系統(tǒng)安全應(yīng)滿足以下要求：

a）IP承載網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)與運(yùn)維、管理、監(jiān)測(cè)等輔助系統(tǒng)（或平臺(tái)）應(yīng)對(duì)用戶身份進(jìn)行標(biāo)識(shí)和鑒別，

確保身份標(biāo)識(shí)具有唯一性，并保證用戶身份鑒別信息不易被冒用。

b）應(yīng)使用密碼技術(shù)對(duì)IP承載網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)與運(yùn)維、管理、監(jiān)測(cè)等輔助系統(tǒng)（或平臺(tái)）用戶身份鑒別

信息進(jìn)行保密性和完整性保護(hù)。

c）應(yīng)依據(jù)最小授權(quán)原則，為IP承載網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)與運(yùn)維、管理、監(jiān)測(cè)等輔助系統(tǒng)（或平臺(tái)）用戶分

配賬戶及相應(yīng)的訪問(wèn)操作權(quán)限，并按安全策略要求控制用戶對(duì)IP承載網(wǎng)業(yè)務(wù)、數(shù)據(jù)、網(wǎng)絡(luò)資源

等的訪問(wèn)。

d）應(yīng)對(duì)IP承載網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)與運(yùn)維、管理、監(jiān)測(cè)等輔助系統(tǒng)（或平臺(tái)）用戶實(shí)施賬戶管理，及時(shí)重

命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)登錄口令，刪除或停用多余的、過(guò)期的賬戶，并避

免共享賬戶的存在。

e）IP承載網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)與運(yùn)維、管理、監(jiān)測(cè)等輔助系統(tǒng)（或平臺(tái)）預(yù)裝軟件、補(bǔ)丁包/升級(jí)包應(yīng)經(jīng)過(guò)

防惡意程序檢測(cè)。

f）使用了NFV和SDN技術(shù)的IP承載網(wǎng)，應(yīng)確保多個(gè)網(wǎng)絡(luò)切片間的安全隔離，并確保網(wǎng)絡(luò)切片實(shí)例

資源不會(huì)相互影響。

g）使用了NFV和SDN技術(shù)的IP承載網(wǎng)，應(yīng)確保虛擬機(jī)鏡像、容器鏡像、快照等存儲(chǔ)的安全性，防

止非授權(quán)訪問(wèn)。

5

GB/T××××—××××

h）使用了NFV和SDN技術(shù)的IP承載網(wǎng)，應(yīng)在VNF實(shí)例化、實(shí)例管理、VNF彈性伸縮、實(shí)例終止過(guò)

程中，對(duì)VNF實(shí)施訪問(wèn)控制，如認(rèn)證和權(quán)限驗(yàn)證，并在實(shí)例終止時(shí)，徹底清除VNF實(shí)例所占用

的虛擬內(nèi)存以及存儲(chǔ)資源上的信息。

i）IP承載網(wǎng)向第三方提供標(biāo)準(zhǔn)化服務(wù)接口通信時(shí)，應(yīng)支持加密隧道模式，提供不同維度的業(yè)務(wù)層

訪問(wèn)認(rèn)證。

j）IP承載網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)應(yīng)部署和啟用包括惡意代碼防范，對(duì)惡意代碼進(jìn)行檢測(cè)和清除，并維護(hù)惡意

代碼防護(hù)機(jī)制的升級(jí)與更新。

k）IP承載網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)應(yīng)將惡意域名、數(shù)據(jù)報(bào)文特征與IPv6地址進(jìn)行關(guān)聯(lián)，形成新的威脅規(guī)則/特征

庫(kù)，用于網(wǎng)絡(luò)安全檢測(cè)與防護(hù)。

6.3第3級(jí)要求

6.3.1網(wǎng)絡(luò)安全要求

網(wǎng)絡(luò)拓?fù)?/p>

除滿足第2級(jí)的要求之外，還應(yīng)滿足：

a）IP承載網(wǎng)結(jié)構(gòu)根據(jù)網(wǎng)絡(luò)的運(yùn)營(yíng)、管理或區(qū)域等因素實(shí)現(xiàn)分層和分級(jí)，IP承載網(wǎng)自治域劃分應(yīng)與

網(wǎng)絡(luò)結(jié)構(gòu)和組織形式保持一致。

b）IP承載網(wǎng)核心節(jié)點(diǎn)間應(yīng)采用全網(wǎng)狀連接。

c）IP承載網(wǎng)應(yīng)能根據(jù)不同的網(wǎng)絡(luò)類(lèi)型采用相應(yīng)的IPv4/IPv6架構(gòu)，能夠?qū)崿F(xiàn)業(yè)務(wù)與管理的分層和備

份。

d）IP骨干網(wǎng)應(yīng)設(shè)置成單個(gè)自治域，網(wǎng)內(nèi)核心節(jié)點(diǎn)應(yīng)設(shè)置為骨干區(qū)域（區(qū)域號(hào)為0），其他節(jié)點(diǎn)可以

綜合地理位置以及相互之間通信量就近組成多個(gè)非骨干區(qū)域。

e）IP骨干網(wǎng)節(jié)點(diǎn)分布應(yīng)能滿足周邊網(wǎng)絡(luò)接入的需求，節(jié)點(diǎn)功能應(yīng)能滿足網(wǎng)絡(luò)可擴(kuò)展的需求。

f）應(yīng)對(duì)新接入的網(wǎng)絡(luò)設(shè)備發(fā)起鑒權(quán)認(rèn)證，驗(yàn)證設(shè)備的合法性，保證非授權(quán)設(shè)備無(wú)法接入網(wǎng)絡(luò)。

g）IP城域網(wǎng)匯聚層節(jié)點(diǎn)組織和分布應(yīng)能滿足業(yè)務(wù)接入和匯聚的需求。

h）IP承載網(wǎng)IPv6地址應(yīng)使用非連續(xù)的網(wǎng)絡(luò)地址，在統(tǒng)一編址的基礎(chǔ)上滿足地址隨機(jī)化。

i）IP承載網(wǎng)在IPv6過(guò)渡環(huán)境下配置隧道，應(yīng)以手工配置靜態(tài)隧道為主，自動(dòng)配置動(dòng)態(tài)隧道為輔。

網(wǎng)絡(luò)保護(hù)與恢復(fù)

除滿足第2級(jí)的要求之外，還應(yīng)滿足：

a）IP承載網(wǎng)重要節(jié)點(diǎn)（如，核心節(jié)點(diǎn)、匯接節(jié)點(diǎn)等）應(yīng)采用節(jié)點(diǎn)冗余的保護(hù)措施，保證網(wǎng)絡(luò)具有

較高的抗災(zāi)以及災(zāi)難恢復(fù)能力。

b）IP承載網(wǎng)重要節(jié)點(diǎn)（如，核心節(jié)點(diǎn)、匯接節(jié)點(diǎn)等）間應(yīng)至少保有三條不同物理路徑的連接。

c）IP城域網(wǎng)應(yīng)具有雙出口。

d）IP城域網(wǎng)匯聚層節(jié)點(diǎn)應(yīng)配置為雙上行鏈路冗余保護(hù)，匯聚層節(jié)點(diǎn)間應(yīng)設(shè)計(jì)并采用冗余鏈路。

e）IP城域網(wǎng)冗余節(jié)點(diǎn)應(yīng)能夠合理部署和整合。

f）IP承載網(wǎng)應(yīng)根據(jù)業(yè)務(wù)或應(yīng)用的需求采用業(yè)務(wù)負(fù)荷分擔(dān)、網(wǎng)絡(luò)異常流量監(jiān)控等安全保護(hù)措施。

g）IP承載網(wǎng)相關(guān)關(guān)鍵數(shù)據(jù)（如配置數(shù)據(jù)、重要告警數(shù)據(jù)等）應(yīng)有異址數(shù)據(jù)備份。

h）IP承載網(wǎng)相關(guān)的輔助IT系統(tǒng)（如運(yùn)維、管理、監(jiān)測(cè)系統(tǒng)等）的重要設(shè)備應(yīng)采用冗余的方式保證

網(wǎng)絡(luò)及業(yè)務(wù)的抗災(zāi)以及災(zāi)難恢復(fù)能力。

i）IP骨干網(wǎng)應(yīng)設(shè)置異地備用網(wǎng)管中心。

網(wǎng)絡(luò)管理

除滿足第2級(jí)的要求之外，還應(yīng)滿足：

a）IP承載網(wǎng)的網(wǎng)絡(luò)管理應(yīng)啟用訪問(wèn)和資源控制的安全措施，遵循最小特權(quán)原則對(duì)接口使用、訪問(wèn)

和資源等進(jìn)行限制。

b）IP承載網(wǎng)的網(wǎng)絡(luò)管理應(yīng)能對(duì)鏈路流量進(jìn)行區(qū)分，對(duì)不同的鏈路狀態(tài)進(jìn)行分析、控制和管理。

6

GB/T××××—××××

c）IP承載網(wǎng)的網(wǎng)絡(luò)管理應(yīng)能實(shí)現(xiàn)分域定制的管理功能。

d）IP承載網(wǎng)的網(wǎng)絡(luò)管理原則上應(yīng)具有對(duì)業(yè)務(wù)相關(guān)數(shù)據(jù)進(jìn)行檢測(cè)、統(tǒng)計(jì)、控制、過(guò)濾的功能。

e）IP承載網(wǎng)的網(wǎng)絡(luò)管理管理信息及數(shù)據(jù)的機(jī)密性和完整性在傳送、接收、處理和存儲(chǔ)過(guò)程中都應(yīng)

得到保證。

f）IP承載網(wǎng)的網(wǎng)絡(luò)管理應(yīng)能對(duì)節(jié)點(diǎn)、鏈路和各類(lèi)資源的預(yù)警、告警、故障進(jìn)行及時(shí)有效的定位，

相關(guān)各類(lèi)預(yù)警閾值設(shè)置合理。

g）IP承載網(wǎng)的網(wǎng)絡(luò)管理使用的SNMP協(xié)議原則應(yīng)支持SNMPv3并支持VACM和USM安全機(jī)制，對(duì)

于遠(yuǎn)程登陸應(yīng)支持SSH以及相關(guān)加密和認(rèn)證算法，對(duì)于瀏覽器管理方式應(yīng)支持TLS/TLCP安全

協(xié)議，設(shè)備支持的SNMP、SSH服務(wù)等應(yīng)能在必要情況下關(guān)閉和禁用。

h）IP承載網(wǎng)的網(wǎng)絡(luò)管理應(yīng)能對(duì)隧道內(nèi)數(shù)據(jù)進(jìn)行過(guò)濾，對(duì)隧道進(jìn)行流量控制和帶寬使用情況統(tǒng)計(jì)。

i）IP承載網(wǎng)的網(wǎng)絡(luò)管理應(yīng)能夠?qū)Π踩录M(jìn)行追蹤，對(duì)非法訪問(wèn)或入侵源進(jìn)行追溯。

網(wǎng)絡(luò)安全防范

除滿足第2級(jí)的要求之外，還應(yīng)滿足：

a）IP承載網(wǎng)應(yīng)能夠按照分層安全原則實(shí)現(xiàn)安全防范的有關(guān)功能，應(yīng)符合YD/T1163-2001中相關(guān)安

全機(jī)制要求。

b）在控制平面，網(wǎng)絡(luò)和設(shè)備應(yīng)根據(jù)實(shí)際情況對(duì)相關(guān)控制信息進(jìn)行有效合理的加密、認(rèn)證和過(guò)濾；

對(duì)于目的地址為設(shè)備本身的數(shù)據(jù)包，應(yīng)具有有效的攻擊識(shí)別和防范能力；對(duì)于異常數(shù)據(jù)流量具

有識(shí)別和處理能力。

c）安全日志及審計(jì)記錄（或報(bào)告）應(yīng)通過(guò)安全機(jī)制在本地或外部設(shè)備上進(jìn)行記錄、輸出、存儲(chǔ)，

日志記錄保存時(shí)間不少于180天、審計(jì)記錄保存時(shí)間不少于12個(gè)月。

d）應(yīng)按介質(zhì)特性對(duì)IP承載網(wǎng)的備份數(shù)據(jù)進(jìn)行定期的有效性驗(yàn)證（至少每月一次）。

網(wǎng)絡(luò)監(jiān)測(cè)

除滿足第2級(jí)的要求之外，還應(yīng)滿足：

a）IP承載網(wǎng)應(yīng)根據(jù)不同的業(yè)務(wù)類(lèi)型（如P2P業(yè)務(wù)、網(wǎng)頁(yè)訪問(wèn)、在線視頻等）對(duì)業(yè)務(wù)流量分別進(jìn)行上

行和下行的流量監(jiān)測(cè)；對(duì)不同流向的業(yè)務(wù)流量（如流向省內(nèi)、省外、市內(nèi)、市外等）分別進(jìn)行

監(jiān)測(cè)。

b）IP承載網(wǎng)應(yīng)對(duì)其出口流量進(jìn)行網(wǎng)絡(luò)安全事件監(jiān)測(cè)，安全事件類(lèi)型包括但不限于蠕蟲(chóng)、木馬、僵

尸網(wǎng)絡(luò)。

c）IP承載網(wǎng)應(yīng)建立完整的網(wǎng)內(nèi)端到端安全框架，采用靈活、有效的服務(wù)質(zhì)量和流量控制（如IPQoS、

MPLSQoS、流量映射、RSVP、碼點(diǎn)標(biāo)記、流量限速、隊(duì)列調(diào)度、QPPB等）技術(shù)策略。

d）應(yīng)能夠?qū)P承載網(wǎng)輔助系統(tǒng)的重要應(yīng)用軟件（如數(shù)據(jù)庫(kù)等）的服務(wù)能力進(jìn)行監(jiān)測(cè)，當(dāng)其服務(wù)能

力（如數(shù)據(jù)庫(kù)的表空間使用率等）降低到一定閾值時(shí)應(yīng)能進(jìn)行報(bào)警。

e）應(yīng)能夠?qū)P承載網(wǎng)的網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備及安全設(shè)備等產(chǎn)生的安全告警事件進(jìn)行監(jiān)測(cè)，并對(duì)安

全告警日志進(jìn)行定期分析（至少每月一次）。

6.3.2設(shè)備安全要求

數(shù)據(jù)網(wǎng)絡(luò)設(shè)備安全要求

同第2級(jí)的要求。

通用主機(jī)設(shè)備安全要求

除滿足第2級(jí)的要求之外，還應(yīng)滿足：

a)通用設(shè)備操作系統(tǒng)和相關(guān)應(yīng)用的帳號(hào)口令更新周期不大于60天。

7

GB/T××××—××××

b)重要的服務(wù)器、數(shù)據(jù)庫(kù)等主機(jī)應(yīng)使用安全性較高的身份鑒別措施（如，數(shù)字證書(shū)）對(duì)用戶進(jìn)行

身份鑒別。

c)通用設(shè)備應(yīng)支持基于源IPv4/IPv6地址、源端口、協(xié)議類(lèi)型等的訪問(wèn)控制列表功能。

d)應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記，應(yīng)依據(jù)安全策略嚴(yán)格控制有關(guān)用戶對(duì)有敏感標(biāo)記重要信息

資源的操作。

e)應(yīng)對(duì)重要主機(jī)進(jìn)行入侵行為的監(jiān)測(cè)，能夠記錄入侵源及目的地址的IP和端口、攻擊類(lèi)型、攻擊

時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。

f)應(yīng)對(duì)重要主機(jī)的重要程序（或應(yīng)用軟件）的完整性進(jìn)行監(jiān)測(cè)，并能在其完整性受到破壞后采取

有效的安全隔離和恢復(fù)措施。

g)應(yīng)定期檢查并及時(shí)安裝操作系統(tǒng)補(bǔ)丁，應(yīng)定期檢查和更新防惡意代碼軟件相關(guān)惡意代碼庫(kù)（更

新頻次不少于每周一次）。

6.3.3物理環(huán)境安全要求

除滿足第2級(jí)以及GB/T22239-2019中第三級(jí)的安全物理環(huán)境要求外，還應(yīng)滿足以下要求：

a)IP承載網(wǎng)相關(guān)設(shè)備所處機(jī)房整體抗震能力應(yīng)不低于里氏8級(jí)，相關(guān)機(jī)架及設(shè)備需進(jìn)行必要的抗

震加固，相關(guān)樓層承重能力不低于1000公斤/平方米。

b)IP承載網(wǎng)相關(guān)通用主機(jī)設(shè)備所處機(jī)房機(jī)架/機(jī)柜應(yīng)以交替模式排列布局（即，相鄰列的機(jī)架或

機(jī)柜朝向以相向/相背的設(shè)置布局交替排列）。

c)IP承載網(wǎng)機(jī)房應(yīng)配置強(qiáng)無(wú)線屏蔽技術(shù)手段。

d)機(jī)房設(shè)計(jì)時(shí)不設(shè)窗或少設(shè)窗，有窗時(shí)采取嚴(yán)密措施防塵、防水、防潮。

6.3.4管理安全要求

除滿足第2級(jí)以及GB/T22239-2019中第三級(jí)的安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全

運(yùn)維管理相關(guān)要求之外，還應(yīng)滿足：

a）應(yīng)定期對(duì)IP承載網(wǎng)及其所屬各類(lèi)設(shè)備、系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估（至少每年一次）。

b）應(yīng)定期組織IP承載網(wǎng)及其所屬各類(lèi)設(shè)備、系統(tǒng)災(zāi)難恢復(fù)預(yù)案的教育培訓(xùn)（至少每季度一次）和

演練（至少每半年一次）。

6.3.5軟件及業(yè)務(wù)系統(tǒng)安全要求

除滿足2級(jí)要求外，還應(yīng)滿足以下要求：

a）IP承載網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)與運(yùn)維、管理、監(jiān)測(cè)等輔助系統(tǒng)（或平臺(tái)）應(yīng)采用口令、令牌、基于生物特

征、數(shù)字證書(shū)以及其他具有相應(yīng)安全強(qiáng)度的兩種或兩種以上的組合機(jī)制進(jìn)行用戶身份鑒別。

b）應(yīng)對(duì)IP承載網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)與運(yùn)維、管理、監(jiān)測(cè)等輔助系統(tǒng)（或平臺(tái)）文件的完整性進(jìn)行保護(hù)，發(fā)

現(xiàn)非法篡改軟件、配置等行為時(shí)及時(shí)告警。

c）使用了NFV和SDN技術(shù)的IP承載網(wǎng)，應(yīng)在VNF軟件包上載前、實(shí)例化以及更新時(shí)進(jìn)行完整性驗(yàn)

證。

d）IP承載網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)應(yīng)設(shè)置對(duì)垃圾郵件的檢測(cè)和防護(hù)，并維護(hù)垃圾郵件防護(hù)機(jī)制的升級(jí)和更新。

6.4第4級(jí)要求

暫同第3級(jí)要求。

6.5第5級(jí)要求

暫同第3級(jí)要求。

7IP承載網(wǎng)安全防護(hù)檢測(cè)要求

7.1第1級(jí)檢測(cè)要求

本文件對(duì)安全等級(jí)為第1級(jí)的IP承載網(wǎng)暫不作要求。

7.2第2級(jí)檢測(cè)要求

7.2.1網(wǎng)絡(luò)安全

8

GB/T××××—××××

網(wǎng)絡(luò)拓?fù)浒踩?/p>

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)拓?fù)浒踩?01

測(cè)試項(xiàng)目：-a，網(wǎng)絡(luò)結(jié)構(gòu)與組織應(yīng)符合YD/T1170-2001要求。

測(cè)試步驟：

1)訪談IP承載網(wǎng)運(yùn)維人員，查看網(wǎng)絡(luò)設(shè)計(jì)/驗(yàn)收文檔、網(wǎng)絡(luò)拓?fù)湮臋n等是否符合相關(guān)要求；

2)檢查IP承載網(wǎng)的實(shí)際結(jié)構(gòu)、網(wǎng)絡(luò)拓?fù)涫欠穹弦螅?/p>

3)進(jìn)入現(xiàn)場(chǎng)檢查網(wǎng)絡(luò)及設(shè)備實(shí)際組網(wǎng)情況，實(shí)地查看IP承載網(wǎng)的拓?fù)?、設(shè)備部署、鏈路

設(shè)置等情況；

4)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行ping測(cè)試，判斷其是否按照網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)進(jìn)行部署；

5)對(duì)禁止ping的設(shè)備（如部分輔助設(shè)備），使用網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)工具對(duì)網(wǎng)絡(luò)的設(shè)備部署進(jìn)

行探測(cè)。

預(yù)期結(jié)果：

1）IP承載網(wǎng)實(shí)際拓?fù)浣Y(jié)構(gòu)、節(jié)點(diǎn)設(shè)備部署等與網(wǎng)絡(luò)設(shè)計(jì)、驗(yàn)收文檔、網(wǎng)絡(luò)拓?fù)湮臋n等一致；

2）IP承載網(wǎng)的拓?fù)?、設(shè)備部署、鏈路設(shè)置等符合相關(guān)要求。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)拓?fù)浒踩?02

測(cè)試項(xiàng)目：-b，節(jié)點(diǎn)域內(nèi)接口應(yīng)使用內(nèi)部路由協(xié)議，域間接口應(yīng)使用外部路由協(xié)議。

測(cè)試步驟：

1)訪談IP承載網(wǎng)運(yùn)維人員，查看網(wǎng)絡(luò)設(shè)計(jì)/驗(yàn)收文檔、網(wǎng)絡(luò)設(shè)備配置文檔等，查看路由協(xié)

議配置情況；

2)檢查并核對(duì)網(wǎng)絡(luò)設(shè)備路由協(xié)議實(shí)際配置情況；

3)在IP承載網(wǎng)節(jié)點(diǎn)域內(nèi)使用協(xié)議分析儀進(jìn)行抓包，驗(yàn)證域內(nèi)接口是否使用內(nèi)部路由協(xié)議

（如，OSPF、ISIS等）；

4)在IP承載網(wǎng)節(jié)點(diǎn)域間使用協(xié)議分析儀進(jìn)行抓包，驗(yàn)證域間接口是否使用外部路由協(xié)議

（如，BGP等）。

預(yù)期結(jié)果：

1）IP承載網(wǎng)實(shí)際的網(wǎng)絡(luò)路由和配置信息與統(tǒng)一的路由規(guī)劃一致；

2）IP承載網(wǎng)節(jié)點(diǎn)域內(nèi)接口均使用內(nèi)部路由協(xié)議，域間接口均使用外部路由協(xié)議。

9

GB/T××××—××××

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)拓?fù)浒踩?03

測(cè)試項(xiàng)目：-c，地址應(yīng)統(tǒng)一規(guī)劃和分配，有利于路由組織、QoS保障與用戶溯源，地

址利用率合理。

測(cè)試步驟：

1)訪談IP承載網(wǎng)運(yùn)維人員，查看網(wǎng)絡(luò)地址規(guī)劃和分配記錄；

2)檢查并核對(duì)網(wǎng)絡(luò)設(shè)備實(shí)際配置地址情況；

3)根據(jù)網(wǎng)絡(luò)拓?fù)浜驮O(shè)備部署情況、業(yè)務(wù)應(yīng)用和發(fā)展情況，評(píng)估地址規(guī)劃策略是否有利于路

由組織并滿足業(yè)務(wù)發(fā)展需求。

預(yù)期結(jié)果：

1）IP承載網(wǎng)地址分配和使用有統(tǒng)一規(guī)劃；

2）IP承載網(wǎng)地址規(guī)劃及分配、使用狀況能體現(xiàn)網(wǎng)絡(luò)層次性，有利于網(wǎng)絡(luò)路由優(yōu)化；

3）IPv6地址能夠體現(xiàn)客戶信息和業(yè)務(wù)類(lèi)別特征，易于QoS保障與用戶溯源；

4）IP承載網(wǎng)保留有一定的備用地址空間并能滿足業(yè)務(wù)擴(kuò)展的需求。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

網(wǎng)絡(luò)保護(hù)與恢復(fù)

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)保護(hù)與恢復(fù)-01

測(cè)試項(xiàng)目：-a，節(jié)點(diǎn)重要部件和模塊應(yīng)配置為主備用方式。

測(cè)試步驟：

1)訪談網(wǎng)絡(luò)運(yùn)維人員，查看網(wǎng)絡(luò)設(shè)備配置文檔、故障告警記錄等，查看IP承載網(wǎng)網(wǎng)絡(luò)節(jié)

點(diǎn)重要設(shè)備和部件的冗余情況；

2)檢查IP承載網(wǎng)節(jié)點(diǎn)設(shè)備的部件（或板卡、模塊等）配置和主備使用情況；

3)在業(yè)務(wù)空閑時(shí)段對(duì)IP承載網(wǎng)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備重要部件進(jìn)行主備切換，驗(yàn)證其是否采用主

備冗余保護(hù)措施。

預(yù)期結(jié)果：

1）IP承載網(wǎng)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備主控模塊采用了主備冗余保護(hù)措施；

2）IP承載網(wǎng)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備電源模塊采用了主備冗余保護(hù)措施。

10

GB/T××××—××××

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)保護(hù)與恢復(fù)-02

測(cè)試項(xiàng)目：-b，重要節(jié)點(diǎn)間鏈路應(yīng)采取鏈路冗余保護(hù)措施。

測(cè)試步驟：

1)訪談網(wǎng)絡(luò)運(yùn)維人員，查看網(wǎng)絡(luò)設(shè)計(jì)、設(shè)備配置文檔、故障告警記錄等，查看IP承載網(wǎng)

重要節(jié)點(diǎn)間鏈路的冗余保護(hù)措施；

2)檢查IP承載網(wǎng)重要節(jié)點(diǎn)間鏈路冗余配置和使用情況；

3)在業(yè)務(wù)空閑時(shí)段對(duì)IP承載網(wǎng)重要節(jié)點(diǎn)間單條鏈路進(jìn)行切斷和恢復(fù)操作，驗(yàn)證IP承載網(wǎng)

網(wǎng)絡(luò)鏈路的容災(zāi)抗災(zāi)能力。

預(yù)期結(jié)果：

1）網(wǎng)絡(luò)重要節(jié)點(diǎn)間鏈路有冗余鏈路相關(guān)設(shè)計(jì)且與實(shí)施部署相一致；

2）冗余鏈路等方式能夠滿足IP承載網(wǎng)網(wǎng)絡(luò)鏈路的容災(zāi)抗災(zāi)要求；

3）冗余鏈路等方式保護(hù)的災(zāi)難恢復(fù)時(shí)間能夠滿足預(yù)先設(shè)定的目標(biāo)。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)保護(hù)與恢復(fù)-03

測(cè)試項(xiàng)目：-c，應(yīng)采用鏈路聚合、轉(zhuǎn)發(fā)檢測(cè)、保護(hù)倒換、重路由等安全保護(hù)措施。

測(cè)試步驟：

1)訪談網(wǎng)絡(luò)運(yùn)維人員，查看網(wǎng)絡(luò)設(shè)計(jì)文檔、設(shè)備配置記錄、運(yùn)行歷史記錄、故障告警記錄

等，查看針對(duì)業(yè)務(wù)或應(yīng)用采取的安全防護(hù)措施；

2)檢查IP承載網(wǎng)鏈路部署情況和重要設(shè)備配置信息是否采用了鏈路聚合、轉(zhuǎn)發(fā)檢測(cè)、保

護(hù)倒換、重路由等安全設(shè)計(jì)。

預(yù)期結(jié)果：

1）IP承載網(wǎng)及設(shè)備采用了鏈路聚合、轉(zhuǎn)發(fā)檢測(cè)、保護(hù)倒換、重路由等安全設(shè)計(jì)；

2）IP承載網(wǎng)及設(shè)備采用的上述安全保護(hù)措施能夠滿足業(yè)務(wù)或應(yīng)用的需要。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

11

GB/T××××—××××

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)保護(hù)與恢復(fù)-04

測(cè)試項(xiàng)目：-d，IP城域網(wǎng)絡(luò)間應(yīng)通過(guò)骨干網(wǎng)絡(luò)或城域匯接節(jié)點(diǎn)實(shí)現(xiàn)互聯(lián)。

測(cè)試步驟：

1)訪談網(wǎng)絡(luò)運(yùn)維人員，查看網(wǎng)絡(luò)設(shè)計(jì)/驗(yàn)收文檔、網(wǎng)絡(luò)拓?fù)湮臋n、設(shè)備配置記錄等，查看IP

城域網(wǎng)間互聯(lián)情況；

2)檢查IP城域網(wǎng)是否根據(jù)實(shí)際情況規(guī)劃和部署核心節(jié)點(diǎn)、匯接節(jié)點(diǎn)；

3)檢查IP城域網(wǎng)絡(luò)是否通過(guò)骨干網(wǎng)或城域匯接節(jié)點(diǎn)實(shí)現(xiàn)互聯(lián)。

預(yù)期結(jié)果：

1）IP城域網(wǎng)絡(luò)間互聯(lián)方式與設(shè)計(jì)一致；

2）IP城域網(wǎng)通過(guò)骨干網(wǎng)或城域匯接節(jié)點(diǎn)進(jìn)行互聯(lián)。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)保護(hù)與恢復(fù)-05

測(cè)試項(xiàng)目：-e，關(guān)鍵數(shù)據(jù)應(yīng)有本地?cái)?shù)據(jù)備份，并進(jìn)行定期的有效性驗(yàn)證。

測(cè)試步驟：

1)訪談網(wǎng)絡(luò)運(yùn)維人員和安全管理人員，查看數(shù)據(jù)備份要求、安全策略、災(zāi)難應(yīng)急預(yù)案、數(shù)

據(jù)備份記錄等，查看IP承載網(wǎng)相關(guān)關(guān)鍵數(shù)據(jù)的備份方式；

2)檢查IP承載網(wǎng)相關(guān)關(guān)鍵數(shù)據(jù)（如業(yè)務(wù)數(shù)據(jù)、設(shè)備配置數(shù)據(jù)、性能數(shù)據(jù)、告警數(shù)據(jù)等）

是否有本地?cái)?shù)據(jù)備份；

3)通過(guò)加載備份數(shù)據(jù)等方式驗(yàn)證其有效性及恢復(fù)能力是否均符合要求。

預(yù)期結(jié)果：

1）關(guān)鍵數(shù)據(jù)（如業(yè)務(wù)數(shù)據(jù)、設(shè)備配置數(shù)據(jù)、性能數(shù)據(jù)、告警數(shù)據(jù)等）本地備份與設(shè)計(jì)/驗(yàn)收

文檔一致；

2）擁有按介質(zhì)特性對(duì)備份數(shù)據(jù)定期（至少每季度一次）進(jìn)行有效性驗(yàn)證的制度；

3）備份數(shù)據(jù)能夠完成有效性驗(yàn)證并與已經(jīng)存檔的驗(yàn)證記錄或報(bào)告保持一致。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)保護(hù)與恢復(fù)-06

12

GB/T××××—××××

測(cè)試項(xiàng)目：-f，災(zāi)難恢復(fù)應(yīng)首先保證重要通信，然后恢復(fù)一般通信。

測(cè)試步驟：

1)訪談網(wǎng)絡(luò)運(yùn)維人員和安全管理人員，查看網(wǎng)絡(luò)安全策略、災(zāi)難應(yīng)急預(yù)案、演練記錄等，

查看IP承載網(wǎng)的災(zāi)難恢復(fù)順序；

2)檢查網(wǎng)絡(luò)設(shè)備的配置和策略，評(píng)估IP承載網(wǎng)的災(zāi)難恢復(fù)能力。

預(yù)期結(jié)果：

1）IP承載網(wǎng)在災(zāi)難恢復(fù)時(shí)對(duì)應(yīng)急通信、重要應(yīng)用和業(yè)務(wù)網(wǎng)絡(luò)通信采取了保障措施并與優(yōu)先

保障設(shè)計(jì)一致；

2）采取的災(zāi)難恢復(fù)保障措施滿足優(yōu)先保證應(yīng)急通信、重要應(yīng)用和業(yè)務(wù)網(wǎng)絡(luò)的通信，其次恢

復(fù)一般應(yīng)用和業(yè)務(wù)網(wǎng)絡(luò)通信的要求。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)保護(hù)與恢復(fù)-07

測(cè)試項(xiàng)目：-g，災(zāi)難備份和恢復(fù)時(shí)間應(yīng)滿足相關(guān)要求。

測(cè)試步驟：

1)訪談網(wǎng)絡(luò)運(yùn)維人員和安全管理人員，查看網(wǎng)絡(luò)安全策略、災(zāi)難應(yīng)急預(yù)案、演練記錄等，

查看對(duì)于不同網(wǎng)絡(luò)災(zāi)難的備份和恢復(fù)時(shí)間的相關(guān)要求；

2)在業(yè)務(wù)空閑時(shí)段模擬網(wǎng)絡(luò)故障（鏈路或設(shè)備故障），驗(yàn)證IP承載網(wǎng)災(zāi)難恢復(fù)的時(shí)間是

否能滿足行業(yè)管理、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商應(yīng)急預(yù)案的要求。

預(yù)期結(jié)果：

1）IP承載網(wǎng)應(yīng)急預(yù)案對(duì)不同的網(wǎng)絡(luò)災(zāi)難分別有不同的備份和恢復(fù)時(shí)間的相關(guān)要求；

2）網(wǎng)絡(luò)災(zāi)難備份和恢復(fù)時(shí)間能夠滿足行業(yè)管理、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商應(yīng)急預(yù)案相關(guān)要求。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

網(wǎng)絡(luò)管理

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)管理-01

測(cè)試項(xiàng)目：-a，應(yīng)采用分域的管理方式，設(shè)置分級(jí)權(quán)限。

13

GB/T××××—××××

測(cè)試步驟：

1)訪談網(wǎng)絡(luò)運(yùn)維和安全管理人員，查看網(wǎng)絡(luò)拓?fù)湮臋n、網(wǎng)絡(luò)管理規(guī)章、設(shè)備管理記錄等，

查看IP承載網(wǎng)的管理方式；

2)檢查網(wǎng)絡(luò)管理是否采用分域的管理方式；

3)檢查網(wǎng)絡(luò)是否根據(jù)實(shí)際需求或運(yùn)維體制設(shè)置分級(jí)權(quán)限，對(duì)網(wǎng)絡(luò)設(shè)備和運(yùn)維人員進(jìn)行分級(jí)

管理。

預(yù)期結(jié)果：

1）IP承載網(wǎng)根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)，采用分域的管理方式；

2）網(wǎng)絡(luò)管理根據(jù)實(shí)際需求或運(yùn)維體制設(shè)置分級(jí)權(quán)限。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)管理-02

測(cè)試項(xiàng)目：-b，業(yè)務(wù)網(wǎng)絡(luò)與輔助系統(tǒng)（或平臺(tái)）間應(yīng)實(shí)現(xiàn)邏輯隔離，并啟用安全域訪

問(wèn)控制策略。

測(cè)試步驟：

1)訪談網(wǎng)絡(luò)運(yùn)維和安全管理人員，查看網(wǎng)絡(luò)設(shè)計(jì)文檔、網(wǎng)絡(luò)安全策略、運(yùn)維管理制度、設(shè)

備配置文檔等，查看IP承載網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)與輔助系統(tǒng)間的連接情況；

2)檢查網(wǎng)絡(luò)、設(shè)備的配置以及相關(guān)輔助系統(tǒng)的連接和組網(wǎng)情況；

3)從IP承載網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)側(cè)訪問(wèn)輔助系統(tǒng)中的設(shè)備，驗(yàn)證網(wǎng)絡(luò)與輔助系統(tǒng)間是否實(shí)現(xiàn)邏輯

隔離，評(píng)估安全域訪問(wèn)控制策略的應(yīng)用效果；

4)使用網(wǎng)絡(luò)維護(hù)終端訪問(wèn)輔助系統(tǒng)中的設(shè)備，驗(yàn)證是否有安全的訪問(wèn)認(rèn)證措施對(duì)其進(jìn)行限

制。

預(yù)期結(jié)果：

1）IP承載網(wǎng)運(yùn)維、管理、監(jiān)測(cè)等輔助系統(tǒng)（或平臺(tái)）與業(yè)務(wù)網(wǎng)絡(luò)間采用了邏輯隔離的隔離

措施；

2）網(wǎng)絡(luò)維護(hù)終端訪問(wèn)被管理網(wǎng)絡(luò)設(shè)備時(shí)采取了安全措施。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)管理-03

測(cè)試項(xiàng)目：-c，應(yīng)采用安全的管控信息分發(fā)和過(guò)濾機(jī)制，網(wǎng)絡(luò)管理會(huì)話信息應(yīng)通過(guò)加

密方式傳送。

14

GB/T××××—××××

測(cè)試步驟：

1)訪談網(wǎng)絡(luò)運(yùn)維人員，查看網(wǎng)絡(luò)輔助系統(tǒng)設(shè)計(jì)文檔、系統(tǒng)拓?fù)湮臋n、網(wǎng)絡(luò)安全策略、設(shè)備

管理配置記錄等，查看IP承載網(wǎng)的管理信息控制機(jī)制；

2)檢查是否配備相應(yīng)設(shè)備或進(jìn)行有關(guān)配置，實(shí)現(xiàn)管理、控制信息能夠安全的分發(fā)和過(guò)濾；

3)使用協(xié)議分析儀抓取管理報(bào)文，驗(yàn)證網(wǎng)絡(luò)管理信息是否通過(guò)加密方式傳送。

預(yù)期結(jié)果：

1）IP承載網(wǎng)的網(wǎng)絡(luò)管理采用了管理信息和控制信息的安全分發(fā)、過(guò)濾等機(jī)制；

2）IP承載網(wǎng)的網(wǎng)絡(luò)流量管理策略為承載網(wǎng)相關(guān)管理信息流提供較高的優(yōu)先級(jí)；

3）IP承載網(wǎng)網(wǎng)絡(luò)管理會(huì)話信息通過(guò)加密方式傳送。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)管理-04

測(cè)試項(xiàng)目：-d，網(wǎng)絡(luò)設(shè)備應(yīng)設(shè)置專(zhuān)用管理接口，對(duì)于發(fā)往管理和業(yè)務(wù)接口的報(bào)文進(jìn)行

嚴(yán)格過(guò)濾和限制。

測(cè)試步驟：

1)訪談網(wǎng)絡(luò)運(yùn)維人員，查看網(wǎng)絡(luò)安全策略、設(shè)備管理配置記錄等，查看管理報(bào)文的處理機(jī)

制；

2)檢查網(wǎng)絡(luò)設(shè)備是否設(shè)置專(zhuān)用管理接口；

3)將被測(cè)設(shè)備的管理接口作為目的地址發(fā)送非管理報(bào)文，檢查管理接口針對(duì)非管理報(bào)文的

處理情況；

4)將被測(cè)設(shè)備的業(yè)務(wù)接口作為目的地址發(fā)送管理報(bào)文，檢查業(yè)務(wù)接口針對(duì)管理報(bào)文的處理

情況。

預(yù)期結(jié)果：

1）IP承載網(wǎng)相關(guān)網(wǎng)絡(luò)設(shè)備均劃分專(zhuān)用的管理接口；

2）IP承載網(wǎng)相關(guān)設(shè)備的專(zhuān)用管理接口，能夠?qū)δ康牡刂窞樵O(shè)備本身的非管理報(bào)文進(jìn)行嚴(yán)格

過(guò)濾和控制；

3）IP承載網(wǎng)相關(guān)設(shè)備的專(zhuān)用管理接口，能夠?qū)δ康牡刂窞闃I(yè)務(wù)接口的管理報(bào)文進(jìn)行嚴(yán)格過(guò)

濾和控制。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

15

GB/T××××—××××

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)管理-05

測(cè)試項(xiàng)目：-e，網(wǎng)絡(luò)設(shè)備如使用遠(yuǎn)程運(yùn)維管理，專(zhuān)用管理通道應(yīng)支持使用非明文數(shù)據(jù)

傳輸協(xié)議對(duì)設(shè)備進(jìn)行管理，如HTTPS、SSHv2、SNMPv3等，保障通信數(shù)據(jù)的保密性、完整

性。

測(cè)試步驟：

1)訪談網(wǎng)絡(luò)運(yùn)維人員，是否有遠(yuǎn)程運(yùn)維需要，如有需要，是否采用非明文數(shù)據(jù)傳輸協(xié)議（如

HTTPS、SSHv2、SNMPv3等）對(duì)設(shè)備進(jìn)行遠(yuǎn)程運(yùn)維管理；

2)檢查對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程運(yùn)維管理所采用的非明文數(shù)據(jù)傳輸協(xié)議，是否能保障通信數(shù)據(jù)

的保密性、完整性。

預(yù)期結(jié)果：

1）對(duì)于使用遠(yuǎn)程運(yùn)維管理的網(wǎng)絡(luò)設(shè)備，專(zhuān)用管理通道支持使用非明文數(shù)據(jù)傳輸協(xié)議對(duì)設(shè)備

進(jìn)行管理。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)管理-06

測(cè)試項(xiàng)目：-f，具備IPv4與IPv6雙棧功能的網(wǎng)絡(luò)設(shè)備對(duì)基于IPv4和IPv6的業(yè)務(wù)應(yīng)設(shè)

置相同級(jí)別的管理控制手段。

測(cè)試步驟：

1)訪談網(wǎng)絡(luò)運(yùn)維人員，查看網(wǎng)絡(luò)安全策略、設(shè)備管理配置記錄等，查看網(wǎng)絡(luò)設(shè)備針對(duì)IPv4

和IPv6協(xié)議的管理要求；

2)檢查IPv4與IPv6雙棧運(yùn)行的設(shè)備是否采用了安全策略和相應(yīng)的管理配置；

3)構(gòu)造多種基于IPv4的業(yè)務(wù)流，使用協(xié)議分析儀進(jìn)行抓包分析；

4)構(gòu)造多種基于IPv6的相同業(yè)務(wù)流，使用協(xié)議分析儀進(jìn)行抓包分析，驗(yàn)證雙棧設(shè)備對(duì)基

于IPv4和IPv6的業(yè)務(wù)是否設(shè)置相同級(jí)別的管理控制策略。

預(yù)期結(jié)果：

1）IP承載網(wǎng)雙棧設(shè)備對(duì)IPv4和IPv6均配有安全策略；

2）IP承載網(wǎng)雙棧設(shè)備對(duì)基于IPv4和IPv6的業(yè)務(wù)均設(shè)置了相同級(jí)別的管理控制。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

16

GB/T××××—××××

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)管理-07

測(cè)試項(xiàng)目：-g，網(wǎng)絡(luò)管理應(yīng)使用用戶安全鑒別和認(rèn)證措施，符合YD/T1478-2006的要

求。

測(cè)試步驟：

1)訪談網(wǎng)絡(luò)運(yùn)維和安全管理人員，查看網(wǎng)絡(luò)運(yùn)維管理規(guī)章、網(wǎng)絡(luò)安全策略、設(shè)備配置文檔

等，查看IP承載網(wǎng)網(wǎng)絡(luò)管理針對(duì)用戶認(rèn)證的要求；

2)檢查網(wǎng)絡(luò)管理設(shè)備是否采用了用戶安全鑒別和認(rèn)證措施，用戶登錄口令是否符合要求；

3)構(gòu)造特殊用戶名嘗試登錄網(wǎng)絡(luò)管理設(shè)備。

預(yù)期結(jié)果：

1）網(wǎng)絡(luò)管理使用了用戶安全鑒別和認(rèn)證措施，符合YD/T1478-2006標(biāo)準(zhǔn)要求。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)管理-08

測(cè)試項(xiàng)目：-h，應(yīng)有網(wǎng)絡(luò)拓?fù)鋱D（或記錄完整拓?fù)湫畔⒌倪\(yùn)維文檔）。

測(cè)試步驟：

1)訪談網(wǎng)絡(luò)運(yùn)維和安全管理人員，查看網(wǎng)絡(luò)拓?fù)湮臋n；

2)檢查和驗(yàn)證網(wǎng)絡(luò)拓?fù)溆涗浶畔⑹欠衽c當(dāng)前網(wǎng)絡(luò)節(jié)點(diǎn)、鏈路等資源配置和運(yùn)營(yíng)情況相一

致。

預(yù)期結(jié)果：

1）繪制有網(wǎng)絡(luò)拓?fù)鋱D（或記錄完整拓?fù)湫畔⒌倪\(yùn)維文檔），且相關(guān)信息標(biāo)注完整、準(zhǔn)確；

2）網(wǎng)絡(luò)拓?fù)鋱D（或記錄完整拓?fù)湫畔⒌倪\(yùn)維文檔）及相關(guān)信息與當(dāng)前網(wǎng)絡(luò)節(jié)點(diǎn)、鏈路等資

源配置和運(yùn)營(yíng)情況相符合。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

網(wǎng)絡(luò)安全防范

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)安全防范-01

測(cè)試項(xiàng)目：-a，相關(guān)系統(tǒng)、設(shè)備對(duì)用戶應(yīng)啟用登錄失敗保護(hù)和處理措施。

17

GB/T××××—××××

測(cè)試步驟：

1)訪談網(wǎng)絡(luò)安全管理人員，查看網(wǎng)絡(luò)設(shè)計(jì)文檔、網(wǎng)絡(luò)安全策略、設(shè)備配置記錄、故障告警

記錄、日志文件資料等，查看維護(hù)帳戶登錄失敗的處理方式；

2)檢查IP承載網(wǎng)相關(guān)系統(tǒng)、設(shè)備的基本配置信息，對(duì)各類(lèi)維護(hù)用戶是否均啟用登錄失敗

保護(hù)和處理措施；

3)使用正常用戶登錄相關(guān)系統(tǒng)，輸入錯(cuò)誤口令，測(cè)試處理措施的實(shí)際應(yīng)用效果。

4)使用非法用戶登錄相關(guān)系統(tǒng)，測(cè)試處理措施的實(shí)際應(yīng)用效果。

預(yù)期結(jié)果：

1）IP承載網(wǎng)相關(guān)系統(tǒng)、設(shè)備對(duì)各類(lèi)管理和維護(hù)用戶采用了登錄失敗保護(hù)和處理措施。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)安全防范-02

測(cè)試項(xiàng)目：-b，IP城域網(wǎng)核心層、匯聚層和接入層都應(yīng)啟用源地址認(rèn)證策略。

測(cè)試步驟：

1)訪談網(wǎng)絡(luò)運(yùn)維和安全管理人員，查看網(wǎng)絡(luò)安全策略、設(shè)備配置記錄、故障告警記錄、日

志文件資料等，查看源地址認(rèn)證策略的部署情況；

2)檢查IP城域網(wǎng)核心層、匯聚層和接入層在數(shù)據(jù)轉(zhuǎn)發(fā)平面是否均啟用源地址認(rèn)證策略；

3)分別向IP城域網(wǎng)核心層、匯聚層和接入層發(fā)送偽造地址數(shù)據(jù)包，驗(yàn)證其是否配有源地

址認(rèn)證策略。

預(yù)期結(jié)果：

1）在數(shù)據(jù)轉(zhuǎn)發(fā)平面，有源地址認(rèn)證設(shè)計(jì)；

2）IP城域網(wǎng)核心層、匯聚層和接入層啟用源地址認(rèn)證策略；

3）源地址認(rèn)證策略能滿足有效防止網(wǎng)內(nèi)地址仿冒的要求。

判定原則：

達(dá)到以上預(yù)期結(jié)果，則通過(guò)，否則不通過(guò)。

測(cè)試編號(hào)：IP承載網(wǎng)-第2級(jí)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)安全防范-03

測(cè)試項(xiàng)目：-c，應(yīng)采用有效的QoS和流量管理策略，保證管控信息具有較高的優(yōu)先級(jí)，

對(duì)廣播、泛播、組播類(lèi)數(shù)據(jù)流量進(jìn)行限制和管理。

18

GB/T××××—××××

測(cè)試步驟：

1)訪談網(wǎng)絡(luò)運(yùn)維和安全管理人員，查看網(wǎng)絡(luò)設(shè)計(jì)文檔、網(wǎng)絡(luò)安全策略、設(shè)備配置記錄等，

查看所采用的QoS和流量管理策略；

2)