【YD通讯标准】 互联网网络安全设计暂行规定

中华人民共和国通信行业标准
YD 5177-2009
互联网网络安全设计暂行规定
P'rovisional Spccification of Dcsign forIntcrnct Neiwork Security
2009-02-26发布
2009-05-01买施
中华人民共和国工业和信息化部中华人民共和国通信行业标准
互联网网络安全设计暂行规定
Provisional Specification of Design farInternct Nctwork Security
YD 51772009
出管部门：工业和信息化部通信发展司批滩部门：市华人民共和国工业和信息化部施行H期：2009年5月1日
北京邮电大学出版社
2009北京
iKoNhiKAa
关丁发布《通「程建设环境保护技术暂行规定》等17项通信建设
规定的通知下载标准就来标准下载网
工信部通［200976号
各省、自治区、直辖市通信管理局，中国电信集团公司，中国移动通集团公司，中国联合网络通信有限公司·各相关单位：现将“通信工程建设环境保扩技术新行规定》等17项通信建设规定发布，自2009年5月1H起施行：各标推名称、编号如下：通信T程建设环境保护技术暂行规是“，编号为YT5039·2009，原通信L程建设环境保护技术规定（编号：YD5039—1997)同时度
二，《电信客服呼叫中心T程设计规范》，编号为YDT51632009
三市信客服呼叫市心程验收规范》，编号为5164-2009;
四、“本地网光缆波分复用系统工程设计范”.缩号YD/T51662009;
五，“本地网光缆波分复用系统工程验收规范”，编号为YD/T51762003;
六、《通信用柴油发机组消噪音工程设计誓行规是，编号为YD51672009;
-七、《移动WAP网关工程设计规范》、编号为YD/I5168—2009:
八，移动WAP网关I程验收规范”，编号为YID)/T5169—-2009;
九《个性化回铃音平台工程设计暂行规定》，编号为YD/T5170—2009:
十“个性化回铃音平台工程验收暂行规定”，编号为YDI5171—2009
十一，通信屑（站）防雷与接地工程验收规范》，编号为YT)/T51752009;
十三、《互联网网络安全设计暂行规定》，编号为YD5177--2C09;
1三，“通信管道人孔和手孔图集3，编号为Y151782009：十四，≤光缆通信工程网管系统验收规范》，编号为YD/T5179—2009#
十五、《移动通信直站工程验收规范》，编号为YI)/51802009;
六，“宽带IP城域网T.程验收暂行规定》，编号为YD/T5181—2009
十七，《第三代移动通信基站设计暂行规定》，编号为YD/T5182—2009,
以上规定由工业和信息化部负责解释并监督执行，由北京邮电大学出版社负出版发行（联系电话：010-62285938，网址：www, huptpreas, com).
中华人民共和国工业和信息化部二00九年二月二十六日
iKAoNiKAca
本暂行规定是根掘源信息产业部*关于安排2007年通信工程建设标准编制计划的润刮”（信部规函20071了6号）的要求制的。
本暂行熙定主要包据网络拓扑结构、路由协设，高可靠性、界完整性，人侵防范、网络访问控制、网络安全审针炎难备份与复，安全运行管理中心等内容。木暂行规定用需体学标注的茶文为强制性条文，须严格热行。
本暂行规定出工业和信息化部通信发展司负责解释、监督执行，暂行规定在使用过程中，如有需要补充或修改的内容，请与部通信发展司联系，并将补充或修改意见寄部通信发展司（地址：北京市西长安街13号，邮编：100804）手编单位：北京电规划设计院有限公员十要起草人：复俊杰刘惠明冯宵鹅戴维季磊陈利兵安超参编单位：山两省信息程设计院参加人：张辩张最
术语和符号
网络拓扑结构
路由协议
高可靠性
近界完整性
人侵防范
人侵检测系统
人侵防御系统
流量监测与清洗系统
网络访问控制
网络安全审计
10灾难备份与恢复
11安全运行管理中心
附录A
条文说明
本规定用词说明
KAoNKAca
1总则
1.们！本暂行规楚适用丁新建丘联网网络安全工程设计，故扩建工程应在合理利用愿有系统的基础参解热行。1..2币联网网络安全设订应以明确的安全需求为基础，全面分析，确定分阶段的安全建设国标、建设内容和建设方案，要与互联网网络建设固必进行或分必骤，分阶段地落实各种案全措施。1.们3占联网网络安全设计应遵循适度安全的原则，结命等级保切相关要求对联网网络风险进行合理评情，针对于要风险和威胁，有重点地部将安全措随。
1.0.4下程市选用的全产品城收得1业和信息化部（含原信息业部领发的电信设备人网许可证，并满足有关主音部门的相关安全规是。
1心.5在特殊条件下，执行本暂行规楚巾的个期条款有困难时：没划出应充分论述理由、据出采取相应措施的疲告，品卡管部门审批，
！.在行规定条款与国家有关标准、见范有矛盾时：做接国家标准，规范的规定执行。
英文缩写
RADJLS
英文名您
2术语和符号
中文名称
A.thenticetion Autaorization Accounting鉴别，授权,计费Arress Control List
Hidirecrional Forwarding etecticnBorder Gsteway Protocol
Distributed Dnial of Servte
[xmain Neme Syslern
Extesihle Authenriration PtatosalFast Ke-Reute
Grareful Restart
HostIntrusicn Deterrinn SvstensHost InirusionPreventioSyslemslnlernut Data Ccnter
Intusion DetcetionSysltins
Internet Prtoer:l
Intrusion Frevention Svstem
访问控制列表
双问转发检测
逆界网关协议
分布式护绝服务攻1
域名系统
动路认证协议
张述路白
平稳电启
基于主机的人传测系统
基于上机药人侵防裂系统
与联网数据中心
人慢检测系统
互联网协议
人浸防御系统
lrtentieditueSystunolntenixdie.teSysa中向系统到中间系统协议Iabcl Tistributicon ProtocotM:lti-FPrororol Lsbel Swirh
Nlwork Address Translation
标签分发协议
彩协设环签交换
网络电子转换
Netwo-k luliusiuDetetiurSystens 基|网络的人侵格测系统Netwark Jntrllsion Prevention Svstem, 基于网络的人受征系统Non-Stop Routi-g
Opcn Shortes: Pa-h First
PPPover Ethert
不问断路由
放最短路径优协议
政太网1的点对点协没
Remor:AuthenticatinrTialn[Ise:Sovir远端拨人用户验证务KoNhiKAca
Rapid SpanningTret Proracol
Traffic Engineering
untcas1 Reverse Path Forwardingtinified Threat Managtment
Virtusl Privete Verwork
Virt.al Rcuter Rec:ndancy Prrtorol快速生成树协议
流虽工程
单播反问路径查找
统威胁管理
虚拟专用网络
虚拟路由器几余协议
3网络拓扑结构
3.0.！网络层级应根据网络锂设规模、网络维护纽织结构、网络服务质量要求划分为两级或三级结构，通划层级划分进行景汇聚，并对风险影响范围进行限制。3.C.2网络中接人节点与达缘汇接节点之汕可采用效阜或坏网结构，边缘汇接节点与核心汇接节点连接的拓扑形式可采用双星形结构，核心汇接节点之润的拓扑形式可采用网物扰结构，不完全网状结构或者是多平面结构。3.03网络中同，·区域内的多台核心江接节点设备应底放置间隔一定距离的不同通信楼：
3..4核心汇接节点之间必须设置2个或2个以上不同局向的中继电路，不同高向的中继电路必须由不尚的传输系统开通。3.0.5应合理设置与其他网络的互联互通节点，宜在网络边界处部署专用网络联设备，开通划继电路设置或协议设计保证刘等和穿透业务流量的命理拓扑结构4
iiKAoNhiKAca
4路由协议
4.0.1互联网白治域内的域内路出协议应选用动态路由方式：月前可采用(SPF或IS IS：月治城之间的域间既由协议可采用BP-4。4..2必须保证路由协议自身的安金性，在（SPF、IS-ISBGP等协设中启用校验和认证功能，保证路由信息的完整性和已授权性。4.力，3在域内路山协议中，应根据网络规模和网络拓扑合理规划路出层次，在使用（SPF踏协设情说下划分不同区城，在使用SIS路由协设情况下划分不向层级：限制路由舰模开将路由蒙的影响限制在一定范围之内。
三.0.4、在网络节点设备市，无其是域内的层级边界和域间的网络边界设备·监接收路由信总并根据路由策崎进行路由信意的宜生：应制定清晰明确的路出信息注人策略，对路山信息的交五进行严格控制，网络节点设备以及业舒系统设备路由的宣告和接收限制在明确界是的范围之内。
4.0.5域内路由协设与域间路由协改应相互配台，防止路由环回和山黑洞的产牛。
4.心.6在网络关键节点，而根据源地址/端口、目的地址/端口以及娜议奖型等参数实施AL：可根据路由表的网段和物理接口实施uRPF。
5高可靠性
5.0.1通过相关协设参数的设置，在网中部署路由协议快速收敛校术，实现路由变化时的快速收敏；在网络中部暑尺STP技术实现二层链路的快速恢复。
5.0.2通过BFD技术，对核心汇接节点之间、边缘汇接节点之间：亚务设备与边缘汇接节点之间的通路班行决速故障检测。当网缩中存在多个“商设备时，确课BFI的互遍，5.0.3通过TEIRR等快速重露由技术，在核心汇接节点之闽进行链踏保护，提高核心层网络心靠；也可逾过其他专有FR尺技术（如IPFRR、PNFRR）对端口和通路等层级进行保护，在尚时部署多种FRR机制时.应合理规划，明确各个层级FRR之问的关系和功能。当网络中存在多个厂商设器时，成确保FRR的互通。
5.0.4通RRP技术，感备方式保障业务系统接人的可靠性开实现故障快速恢复。
5. 0.5通过CR、NSR技术.在不间断转发的情说下对SPFIS-IS、BGP,MPLS LDP等协议进行重启。当网络中存在多个厂商设备时：版确保GR、NSR的互。
5.0.师核心汇接节点设备必须实现主控板卡、交换板卡，电源模块、风扇模块等关部件的亢余配置。5.0.了可在核心汇接节点和边缘汇接节点部带外网管系统，6
iiKAoNKAca
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。