【正文】 2。請在常規(guī)設(shè)計依據(jù)之后增加通用安全防護規(guī)范：*全國人民代表大會常務(wù)委員會《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》（2012年12月28日頒布）*《中華人民共和國電信條例》（國務(wù)院令291號）*《互聯(lián)網(wǎng)信息服務(wù)管理辦法》（國務(wù)院令292號）*工業(yè)和信息化部《基礎(chǔ)電信企業(yè)信息安全責任管理辦法（試行）》（工信部保[2009]713號）*工業(yè)和信息化部《移動上網(wǎng)日志留存規(guī)范（試行）》（工信部保[2010]548號）*工業(yè)和信息化部《通信網(wǎng)絡(luò)安全防護管理辦法》（第11號令）*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)安全防護管理指南》YD/T17282008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護實施指南》YD/T17292008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)安全風險評估實施指南》YD/T17302008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份機恢復(fù)實施指南》YD/T17312008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級保護要求》YD/T17312008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級保護檢測要求》YD/T17552008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求》YD/T17562008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護檢測要求》YD/T17572008*工業(yè)和信息化部《通用機房安全管理總體要求》YD/T20572009*工業(yè)和信息化部《互聯(lián)網(wǎng)安全防護要求》YD/T17362009*工業(yè)和信息化部《互聯(lián)網(wǎng)安全檢測要求》YD/T17372009請在通用安全防護規(guī)范之后增加專業(yè)安全防護防范：***工業(yè)和信息化部《接入網(wǎng)安全防護要求》YD/T17422008***工業(yè)和信息化部《接入網(wǎng)安全防護檢測要求》YD/T17432008 本期工程的網(wǎng)絡(luò)安全現(xiàn)狀 本期工程的網(wǎng)絡(luò)安全建設(shè)方案 本期工程的網(wǎng)絡(luò)安全工作量請在常規(guī)設(shè)計技術(shù)要求之后增加通用安全防護技術(shù)要求： 本工程應(yīng)對系統(tǒng)進行子網(wǎng)劃分，不同子網(wǎng)歸屬于相應(yīng)的安全域。（2）XX下發(fā)《關(guān)于XXX的通知》要求。（3）備份數(shù)據(jù)要求a) 信令網(wǎng)應(yīng)當對重要數(shù)據(jù)進行本地備份，包括網(wǎng)絡(luò)配置數(shù)據(jù)（路由數(shù)據(jù)、GT數(shù)據(jù)、鏈路數(shù)據(jù)以及信令網(wǎng)管理數(shù)據(jù)等）等；b) 信令網(wǎng)數(shù)據(jù)備份范圍、時間間隔、備份數(shù)據(jù)方式及數(shù)據(jù)恢復(fù)能力應(yīng)滿足相關(guān)要求。（2）冗余路由要求a) 路由具備冗余能力，如SP信令點在接入到STP時應(yīng)當考慮使用雙路由。c) 系統(tǒng)的容量和處理能力應(yīng)能有一定的冗余，以便處理因災(zāi)難發(fā)生后的信令流量的變化。信令網(wǎng)STP設(shè)備的安全應(yīng)滿足YD/T 11442001中相關(guān)的安全要求，信令鏈路的安全應(yīng)滿足YDN 089199YDN 113－1999中相關(guān)的安全要求。 信令網(wǎng)主要包括SP、STP、信令鏈路以及信令網(wǎng)管理系統(tǒng)等。（4）信令網(wǎng)絡(luò)性能管理要求a) 應(yīng)能夠進行數(shù)據(jù)統(tǒng)計，保存和讀出網(wǎng)絡(luò)和系統(tǒng)狀態(tài)的歷史記錄和提供在正常和非正常條件下的網(wǎng)絡(luò)性能；b) 應(yīng)能夠?qū)Πǜ淖冩溌方M的容量（如增加激活鏈路的數(shù)量）、改變路由的容量（如增加鏈路組的數(shù)量）以及調(diào)整定時器進行控制；c) 應(yīng)實時控制信令網(wǎng)中的消息和業(yè)務(wù)流量，包括實時控制路由表以及激活附加的信令鏈路或鏈路組。在某些情況下，故障的修正需要診斷功能；b) 應(yīng)具備對告警狀態(tài)的處理功能，例如信令鏈路組的故障和信令點不可接入；c) 應(yīng)啟動測量和測試；d) 應(yīng)能對網(wǎng)絡(luò)單元性能數(shù)據(jù)統(tǒng)計分析。f) 信令網(wǎng)管理中心接口數(shù)量不小于250個，支持數(shù)據(jù)鏈路優(yōu)先權(quán)設(shè)置和緊急消息的優(yōu)先傳送，要求系統(tǒng)應(yīng)具有冗余度的可靠性措施，當接口數(shù)據(jù)鏈路故障時不致造成系統(tǒng)不能工作。b) 在組織信令網(wǎng)時一個信令點需配置的信令路由組應(yīng)不大于1000，以保證電話網(wǎng)的正常服務(wù)；c) 在組織信令網(wǎng)時信令路由組的最大信令路由數(shù)量應(yīng)不大于6，以保證信令傳送的可靠安全性。k) 信令鏈路應(yīng)優(yōu)先采用地面電路，如果地面電路出現(xiàn)故障，將在必要時選用衛(wèi)星電路，以保證信令正常轉(zhuǎn)接。在連至高一級STP時，應(yīng)分別固定連至互為備份的高一級STP處。3）分層防護通過安全域的劃分，從外部網(wǎng)絡(luò)到子域之間存在多層安全防護邊界，分層防護就是在每層防護邊界上部署側(cè)重點不同的安全技術(shù)手段和安全策略來實現(xiàn)對關(guān)鍵設(shè)備或系統(tǒng)的高等級防護。1）集中防護防火墻、入侵檢測、異常流量檢測和過濾等基礎(chǔ)安全技術(shù)防護手段以安全域劃分為基礎(chǔ)，進行集中部署，對多個安全域或子域提供集中防護。4) 生命周期原則安全域的劃分還要考慮到由于需求、環(huán)境不斷變化帶來的影響。2) 投資保護原則安全域劃分應(yīng)遵從統(tǒng)一的規(guī)范要求，充分利用安全域間的防護設(shè)備。請在常規(guī)設(shè)計依據(jù)之后增加通用安全防護規(guī)范：*全國人民代表大會常務(wù)委員會《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》（2012年12月28日頒布）*工業(yè)和信息化部《通信網(wǎng)絡(luò)安全防護管理辦法》（第11號令）*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)安全防護管理指南》YD/T17282008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護實施指南》YD/T17292008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)安全風險評估實施指南》YD/T17302008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份機恢復(fù)實施指南》YD/T17312008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級保護要求》YD/T17312008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級保護檢測要求》YD/T17552008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求》YD/T17562008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護檢測要求》YD/T17572008*工業(yè)和信息化部《通用機房安全管理總體要求》YD/T20572009*工業(yè)和信息化部《互聯(lián)網(wǎng)安全防護要求》YD/T17362009*工業(yè)和信息化部《互聯(lián)網(wǎng)安全檢測要求》YD/T17372009請在通用安全防護規(guī)范之后增加專業(yè)安全防護防范：***工業(yè)和信息化部《信令網(wǎng)安全防護要求》YD/T17482008***工業(yè)和信息化部《信令網(wǎng)安全防護檢測要求》YD/T17492008 本期工程的網(wǎng)絡(luò)安全現(xiàn)狀 本期工程的網(wǎng)絡(luò)安全建設(shè)方案 本期工程的網(wǎng)絡(luò)安全工作量請在常規(guī)設(shè)計技術(shù)要求之后增加通用安全防護技術(shù)要求： 本工程應(yīng)對系統(tǒng)進行子網(wǎng)劃分，不同子網(wǎng)歸屬于相應(yīng)的安全域。（2）XX下發(fā)《關(guān)于XXX的通知》要求。c) 同步網(wǎng)關(guān)鍵數(shù)據(jù)（如定時配置數(shù)據(jù)、PRC性能數(shù)據(jù)等）應(yīng)在不同的局址進行備份。c) 同步網(wǎng)定時鏈路路由應(yīng)支持冗余方式，如將定時信號從PRC設(shè)備傳送到LPR和2級節(jié)點時鐘設(shè)備應(yīng)配置雙路由；d) 同步網(wǎng)在進行冗余保護時，定時信號輸出的短時相位跳變應(yīng)滿足相關(guān)標準要求，其中PRC和LPR設(shè)備的相位不連續(xù)性應(yīng)滿足行標YD/T ，2級節(jié)點時鐘和3級節(jié)點時鐘設(shè)備的相位瞬變和相位不連續(xù)性應(yīng)滿足行標YD/T 。有外定時接口時優(yōu)先選用外定時接口取得定時基準，無外定時接口時從線路碼流中取得定時；b) 業(yè)務(wù)網(wǎng)元設(shè)備應(yīng)至少接受來自SSU設(shè)備的不同機框上的兩路定時基準信號同步；c) 為保證定時信號的質(zhì)量，SSU設(shè)備定時輸出接口的阻抗應(yīng)與業(yè)務(wù)網(wǎng)元設(shè)備外定時接口的阻抗一致；d) 業(yè)務(wù)網(wǎng)元設(shè)備在具有多路輸入?yún)⒖夹盘?，可以根?jù)優(yōu)先級選擇中主備用定時參考，并且主、備用定時可以自動或人工進行倒換。（1）局內(nèi)定時分配安全a) 局內(nèi)定時分配應(yīng)采用并行分配方法，以避免定時鏈路和業(yè)務(wù)鏈路中在局內(nèi)串接多個網(wǎng)元時鐘，符合國標YDN ；b) 輸入口傳輸衰減應(yīng)符合國標YDN ：對于2048kbit/s外定時接口，同步供給單元定時基準輸出口至樓內(nèi)通信設(shè)備的外定時接口的傳輸衰減，在1024kHz頻率點不應(yīng)大于6dB；對于2048kHz外定時接口，同步供給單元定時基準輸出口至樓內(nèi)通信設(shè)備的外定時接口的傳輸衰減，在2048kHz頻率點不應(yīng)大于6dB。同步網(wǎng)設(shè)備的安全應(yīng)滿足設(shè)備技術(shù)規(guī)范、設(shè)備安全要求、設(shè)備入網(wǎng)管理相關(guān)要求。其中，1級基準時鐘設(shè)備LPR應(yīng)滿足YD/T 14792006中的安全要求，2級和3級節(jié)點時鐘設(shè)備應(yīng)滿足YD/T 10111999中的安全要求，時間服務(wù)器設(shè)備應(yīng)滿足應(yīng)符合企業(yè)相關(guān)規(guī)范的要求。、2級節(jié)點時鐘設(shè)備、3級節(jié)點時鐘設(shè)備和時間服務(wù)器等設(shè)備。同步網(wǎng)設(shè)備的安全應(yīng)滿足設(shè)備技術(shù)規(guī)范、設(shè)備安全要求、設(shè)備入網(wǎng)管理相關(guān)要求。：e) 在組建同步網(wǎng)時，不能完全依賴于衛(wèi)星定位系統(tǒng)，應(yīng)將PRC信號作為整個同步網(wǎng)定時信號來源的根本保證；f) 應(yīng)合理配置同步網(wǎng)的定時源頭，保證每個同步區(qū)均有兩個不同的定時源頭（PRC或LPR）覆蓋；g) 對于PRC，應(yīng)設(shè)置至少三路來自銫鐘或衛(wèi)星定位系統(tǒng)的定時信號（至少一路銫鐘信號）；h) 當銫鐘信號或來自衛(wèi)星定位系統(tǒng)的定時信號出現(xiàn)降質(zhì)、失效時，同步網(wǎng)管應(yīng)該能夠進行實時監(jiān)測并記錄；當PRC或LPR發(fā)生定時倒換后，同步網(wǎng)管也應(yīng)能夠進行實時監(jiān)測并記錄。（3）同步網(wǎng)定時源頭的安全a) 應(yīng)合理配置同步網(wǎng)的定時源頭，保證每個同步區(qū)均有兩個不同的定時源頭（LPR）覆蓋；b) 對于以衛(wèi)星定位系統(tǒng)信號作為主用參考的LPR， 應(yīng)有4路以上的定時輸入信號（包括來自衛(wèi)星定位系統(tǒng)的信號）；c) LPR應(yīng)考慮多套衛(wèi)星定位系統(tǒng)的組合使用，以提高LPR的安全可靠性。（2）定時鏈路安全a) 應(yīng)選擇安全可靠、傳輸性能好的物理路由作為同步網(wǎng)的定時鏈路；b) 2級和3級節(jié)點時鐘應(yīng)能接收到至少兩路源自1級基準時鐘的主備用定時信號，其對應(yīng)的主用和備用定時鏈路應(yīng)選擇不同的物理路由；c) 若選擇SDH線路系統(tǒng)作為同步網(wǎng)的定時鏈路，應(yīng)滿足YD/T 12672003中第6節(jié)的要求； d) 極長定時鏈路的漂動累積應(yīng)該滿足行標YD/T 。每個同步網(wǎng)節(jié)點都賦予一個等級，只容許某一等級的節(jié)點向較低等級或同等級的節(jié)點傳送定時基準信號；c) 為了便于規(guī)劃、維護管理及提高同步性能和可靠性，一般同步網(wǎng)應(yīng)劃分為若干個同步區(qū)。3）分層防護通過安全域的劃分，從外部網(wǎng)絡(luò)到子域之間存在多層安全防護邊界，分層防護就是在每層防護邊界上部署側(cè)重點不同的安全技術(shù)手段和安全策略來實現(xiàn)對關(guān)鍵設(shè)備或系統(tǒng)的高等級防護。1）集中防護防火墻、入侵檢測、異常流量檢測和過濾等基礎(chǔ)安全技術(shù)防護手段以安全域劃分為基礎(chǔ)，進行集中部署，對多個安全域或子域提供集中防護。4) 生命周期原則安全域的劃分還要考慮到由于需求、環(huán)境不斷變化帶來的影響。2) 投資保護原則安全域劃分應(yīng)遵從統(tǒng)一的規(guī)范要求，充分利用安全域間的防護設(shè)備。請在常規(guī)設(shè)計依據(jù)之后增加通用安全防護規(guī)范：*全國人民代表大會常務(wù)委員會《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》（2012年12月28日頒布）*工業(yè)和信息化部《通信網(wǎng)絡(luò)安全防護管理辦法》（第11號令）*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)安全防護管理指南》YD/T17282008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護實施指南》YD/T17292008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)安全風險評估實施指南》YD/T17302008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份機恢復(fù)實施指南》YD/T17312008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級保護要求》YD/T17312008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級保護檢測要求》YD/T17552008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求》YD/T17562008*工業(yè)和信息化部《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護檢測要求》YD/T17572008*工業(yè)和信息化部《通用機房安全管理總體要求》YD/T20572009*工業(yè)和信息化部《互聯(lián)網(wǎng)安全防護要求》YD/T17362009*工業(yè)和信息化部《互聯(lián)網(wǎng)安全檢測要求》YD/T17372009請在通用安全防護規(guī)范之后增加專業(yè)安全防護防范：***工業(yè)和信息化部《同步網(wǎng)安全防護要求》YD/T17502008***工業(yè)和信息化部《同步網(wǎng)安全防護檢測要求》YD/T17512008 本期工程的網(wǎng)絡(luò)安全現(xiàn)狀 本期工程的網(wǎng)絡(luò)安全建設(shè)方案 本期工程的網(wǎng)絡(luò)安全工作量請在常規(guī)設(shè)計技術(shù)要求之后增加通用安全防護技術(shù)要求： 本工程應(yīng)對系統(tǒng)進行子網(wǎng)劃分，不同子網(wǎng)歸屬于相應(yīng)的安全域。（2）XX下發(fā)《關(guān)于XXX的通知》要求。3）傳送網(wǎng)災(zāi)難備份檢測要求傳送網(wǎng)災(zāi)難備份檢測要求包含冗余系統(tǒng)、冗余設(shè)備及冗余鏈路檢測、冗余路由檢測、備份數(shù)據(jù)檢測等。管理安全要求需滿足《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護檢測要求》中的相關(guān)要求。設(shè)備安全保護檢測需檢查PDH設(shè)備、SDH設(shè)備、MSTP設(shè)備、WDM設(shè)備、ASON設(shè)備、OTN設(shè)備、PTN設(shè)備、微波接力設(shè)備和衛(wèi)星通信設(shè)備是否有入網(wǎng)檢測報告、入網(wǎng)證、安全檢測報告。1）傳送網(wǎng)安全等級保護檢測傳送網(wǎng)安全等級保護檢測要求分為5個等級，每個等級要求中包括傳輸網(wǎng)絡(luò)安全檢測、傳輸設(shè)備安全檢測、物理環(huán)境安全檢測和管理安全檢測要求四部分。3）傳送網(wǎng)災(zāi)難備份要求傳送網(wǎng)災(zāi)難備份要求主要包括災(zāi)難備份等級確定、針對災(zāi)難備份各資源要素的具體實施等，傳送網(wǎng)災(zāi)難備份要求包含5個等級，每個等級包括以下內(nèi)容：A． 冗余系統(tǒng)、冗余設(shè)備及冗余鏈路要求；B． 冗余路由要求；C． 備份數(shù)據(jù)要求。物理環(huán)境安全要求需滿足《電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級保護要求》中的相關(guān)要求。各網(wǎng)絡(luò)主要關(guān)注網(wǎng)絡(luò)拓撲安全、網(wǎng)絡(luò)保護與恢復(fù)能力以及MCN的安全，對于ASON光網(wǎng)絡(luò)還關(guān)注其SCN安全、傳送平面安全、控制平面安全和管理平面安全。其中網(wǎng)絡(luò)安全要求和設(shè)備安全要求中有關(guān)PTN和OTN的要求待補充。人為威脅惡意人員不滿的或有預(yù)謀的內(nèi)部人員濫用權(quán)限進行惡意破壞；采用自主或內(nèi)外勾結(jié)的方式盜竊或篡改機密信息；外部人員利用網(wǎng)絡(luò)進行攻擊、入侵、植入病毒