GB/T 38798-2020 标准规范下载简介
GB/T 38798-2020 综合宽带接入网安全技术要求简介:
GB/T 38798-2020《综合宽带接入网安全技术要求》是中国国家标准,由国家市场监督管理总局、国家标准化管理委员会颁布。该标准主要针对综合宽带接入网(通常指宽带互联网服务提供商提供的高速互联网接入服务)的安全技术进行了详细的规定和要求。
该标准旨在保障宽带接入网络的安全性,包括但不限于以下几个方面:
1. 网络架构安全:要求网络设计应具备抵御恶意攻击、防止数据泄露、保障网络稳定运行的能力。
2. 用户身份认证:规定了用户身份验证的流程和安全要求,保证只有授权用户才能访问网络资源。
3. 数据安全:对数据的传输、存储和处理过程中的安全保护措施有明确要求,防止数据被篡改、丢失或泄露。
4. 安全管理:强调了网络安全管理的重要性,包括安全策略、安全审计和应急响应等方面。
5. 安全技术应用:推荐使用最新的安全技术,如加密技术、防火墙、入侵检测系统等,以提高网络安全防护能力。
6. 安全培训和意识:要求对网络管理员和用户进行安全教育,提高安全意识。
总的来说,GB/T 38798-2020标准为宽带接入网的安全运营提供了强制性的指导,有助于提升网络服务的安全性和用户的信息保护。
GB/T 38798-2020 综合宽带接入网安全技术要求部分内容预览:
国家市场监督管理总局 发布 国家标准化管理委员会
范围 规范性引用文件 缩略语 用户平面安全要求 4.1 顿过滤 4.2 组播/广播/DLF报文风暴抑制 4.3 协议报文限速 4.4 MAC地址控制功能 控制平面安全要求 5.1 设备认证 5.2 可控组播 5.3 过滤功能 5. 4 防DOS攻击 5.5 ARP代理功能 5.6 心跳机制 5.7 SIP协议的注册认证功能 管理平面安全要求 6.1 管理员口令 6.2 设备访问方式 6.3 网管系统安全要求 设备可靠性要求 7.1 主控板主备倒换 7.2 电源主备倒换 7.3 环境监控 设备电气安全要求 8.1 绝缘电阻 8.2 接地电阻 8.3 过压、过流保护 8.4 电磁兼容
GB/T38798—2020
本标准按照GB/T1.1一2009给出的规则起草《单层卷材屋面系统抗风揭试验方法 GB/T31543-2015》, 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任 本标准由中华人民共和国工业和信息化部提出。 本标准由全国通信标准化技术委员会(SAC/TC485)归口。 本标准起草单位:中国信息通信研究院。 本标准主要起草人:卓安生、刘谦、程强、陈洁
GB/T38798—2020
综合宽带接入网安全技术要求
本标准规定了综合宽带接人网设备的用户平面安全要求、控制平面安全要求、管理平面安全要求、 设备可靠性和电气安全要求。 本标准适用于公众电信网的综合宽带接入网设备,专用电信网中的综合宽带接人网设备也可参考 使用。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T9254信息技术设备的无线电骚扰限值和测量方法 GB/T17618信息技术设备抗扰度限值和测量方法 YD/T1082接入网设备过电压过电流防护及基本环境适应性技术要求和试验方法
基于不同设备类型,应支持根据物理端口、以太网封装协议、源/目的MAC地址、源/目的 以太网优先级标记和TCP/UDP端口号对上、下行以太网数据进行过滤
4.2组播/广播/DLF报文风暴抑制
应支持对二层组播/广播/DLF报文的速率进行抑制,在上行方向应默认开启此功 应支持基于全局的抑制方式,建议支持基于VLAN和端口的抑制方式。 X
1.4MAC地址控制功能
应支持过滤来自用户端口的
应支持防止攻击目标为本设备的DOS攻击抵御能力,例如PingofDeath、SYNFlood、LAND等 政击。
为了防止形成广播风暴,宜支持ARP协议代理功能。对支持三层功能的设备,应支持ARP代
提供VoIP业务的设备应支持定期向软交换/IMS发送心跳消息,并应能正确响应软交换/IMS 为心跳消息。
5.7SIP协议的注册认证功能
不论在何种管理方式下,对设备的管理用户都需要鉴别和认证,鉴别和认证是系统访问的基础。与 管理员权限相关的安全数据应得到妥善的保护。 无论在设备还是网管系统中,口令不应使用明文保存
6.2.1 SNMP 访间
支持SNMP访问的设备应支持SNMPvl或SNMPv2c,宜支持SNMP?3。 当采用SNMPvl和SNMPv2c时,应可以和访问控制列表相结合控制非法网管接人设备,同时不 使用public/private作为缺省团体名,缺省只读团体名和读写团体名称不能够相同,并且具有提示管理 员修改团体名的功能。 O 支持SNMPv3时,支持USM等安全机制。 宜实现对网管站的访问控制.限定用户通过基些IP地址使用SNMP对设备进行访问
6.2.2本地CONSOLE访间
支持Web方式访问的设备应支持以下安全要求: a)用户应提供用户名/口令才能进行后续的操作,用户地址和操作应记人日志; b)可限定用户通过哪些IP地址使用HTTP对设备进行访问; c)应支持关闭HTTP服务; d)应支持SSL/TLS安全协议或提供其他安全措施,实现对管理用户数据的完整性保护
GB/T 387982020
6.3网管系统安全要求
6.3.1安全策略管理
网管系统应能提供统一的安全策略控制,包括以下儿项 a 登录策略管理:提供设置非法登录系统的次数及锁定时间,设置管理用户账号有效期,设置登 录超时退出时间、账号登录时间段、限制同一账号最大连接数等功能; b) 提供管理用户的功能; 管理用户密码设置策略:限制管理用户设置的密码长度、密码组成,提供密码重置功能,设置用 户密码有效天数等; 支持管理用户登录的IP管理策略,将登录的管理用户与IP地址绑定
d)支持管理用户登录的IP管理策略,将登录的管理用户与IP地址绑定, 6.3.2角色管理 CO1 角色表示一类特定的权限的集合,包括管理用户可以登录的客户端IP地址范围,管理用户可以进 行的操作,管理用户可以管理的资源等。 通过安全管理可以动态地创建、删除和修改角色,形成新的权限集合,以便分配给管理用户,达到控 制管理用户权限的目的。 角色管理功能应包含以下几项: a)增加、删除、修改角色;、 b)给角色分配管理资源(可管理的对象范围)和操作权限; c)从操作权限来说,网管系统应可以提供三类缺省的角色: 系统管理员:可以执行网管系统提供的所有功能项,包括权限分配功能; 配置管理员:可以执行网管系统提供的对设备和系统自身有数据修改权限的功能(不包括 权限分配功能),如资源维护、设备配置、版本升级、系统维护等: 监控管理员:可以执行网管系统提供的对设备的监控和网管系统自身的查询和审计等功 能,如资源查询、告警监控、性能统计、日志查询等 网管系统应提供灵活的角色创建功能,如可以根据管理用户的需要再单独创建版本管理员、统计管 理员等角色。 从管理资源来说,这些操作权限都应可以指定管理的范围
对使用网管系统的管理用户账号进行管理维护,包括: a)增加账号; b)删除账号; c) 修改账号信息; d)查询账号信息
GB/T38798—2020
管理用户的账号信息包括: a) 用户账号; b) 用户密码 c) 密码有效期: d) 用户所属角色; 附加说明。 支持同一个管理员账号属于多个角色组
管理用户的账号信息包括: a) 用户账号; b) 用户密码 密码有效期: d) 用户所属角色; 附加说明。 支持同一个管理员账号属于多个角色组
6.3.4用户登录管理
网管系统应能提供完善的用户登录管理功能,包括: a 只有在服务器中已经注册的用户才能登录到网管系统,如果启动了访问控制列表功能,则客户 端应同时满足存在于网管系统ACL表中的用户才能登录到网管系统: b) 登录的用户只具有已经被授权的指定操作: 登录失败告警,使用同一管理账号连续多次登录失败时,网管系统应产生非法登录告警,并对 该管理账号进行锁定; d)手工注销登录的用户; e)手工或超时自动锁定客户端或退出
6.3.5在线用户管理
网管系统应能对在线用户进行监视【四川省】《城乡规划条例》(2012年),能够实时监视在线用户的登录情况,包括 a)登录用户; b)登录时间; c)操作终端信息 网管系统应能对在线用户进行管理 故的操作,并强制其退出
管理用户可以根据给定条件对日志进行查询,并可对查询到的日志进行排序 查询的条件为: a) 给定时间或时间段进行查询; b) 给定用户进行查询; c)给定的日志类型。 可以查询到的信息包括: a) 日志类型,包括操作日志、系统日志、安全日志; b) 操作时间; c) 操作人; 5AG d) 操作名称; e) 操作对象; f) 操作内容; g) 操作终端; h) 操作结果(例如,成功或失败)
GB/T 38798—2020
失,业务质量不应受到影响 主控板倒换应支持人工倒换和自动倒换两种模式
应支持两路电源模块,在任何一路电源供电失效的情况下,设备应正常工作,业务质量不应受到 影响。
对设备风扇工作情况、内部温度等环境信息的收集
正常情况下,设备的绝缘电阻应不小于50MQ
GB 8519-1987 灰浆搅拌机技术条件设备的接地电阻应小于5Q
设备应安装过压、过流保护器。过压、过流保护器在外接电源异常时保护设备的核心部分 设备应满足YD/T1082对模拟雷电冲击、电力线感应、电力线接触等指标的要求