标准规范下载简介
YD/T 237*.*-2018 传送网设备安全技术要求 第*部分:PTN设备.pdfYD/T 237*.*-2018 传送网设备安全技术要求 第*部分:PTN设备.pdf简介:
"YD/T 237*.*-2018 传送网设备安全技术要求 第*部分:PTN设备",这个标准是中国信息通信研究院(YD/T,中国邮电科技集团公司)制定的一份技术规范。它详细规定了分组传送网(Packet Switched Transport Network,PTN)设备在安全方面应当满足的要求。PTN是一种基于IP的传送网络技术,主要用于提供电信级的宽带数据、语音和视频服务。
该标准的第六部分特别关注PTN设备的安全性,内容可能包括但不限于:设备的身份认证、访问控制、数据加密、安全协议支持、网络安全防护、安全审计、应急响应策略等方面。它旨在确保PTN设备在传输和处理敏感信息时能够提供足够的安全保障,防止数据泄露、篡改或非法访问,符合通信行业的安全标准和法规要求。
这份标准对于PTN设备的制造商、网络运营商和信息安全专业人员来说,是一份重要的参考和指导文件,帮助他们在设计、部署和维护PTN网络时,保证系统的安全性。
YD/T 237*.*-2018 传送网设备安全技术要求 第*部分:PTN设备.pdf部分内容预览:
YD/T 237*.*—2018
YD/T237*.*—2018
b)IP头TTL值非1; c)源IP非法单播地址; d)非法组播IP地址WW/T 0055-201*标准下载,不在组播地址:22*.0.1.0~239.255.255.255之内: e)目的IP与目的MAC地址不匹配。
5.2.*协议报文的限速和过滤功能
5.3L2VPN业务安全
5.3.1业务接入控制
5.3.1.1以太网业务访问控制
以太网业务访问控制功能主要包括MAC地址安全措施,以及业务报文ACL过滤。另外设备的以 太网接口应将不使用的端口禁用,防止非法业务流量接入设备。通过ACL过滤、MAC地址黑白名单等 机制,可以防止未经授权的非法用户接入网络,具体包括以下几点。 a)应支持静态MAC地址表项。静态MAC地址不会老化和不能被学习,只能手工添加或删除。 静态MAC地址可以实现MAC地址与接口绑定,防止非法用户使用假冒身份通过网络中其他 交换机接入。 b)应支持黑名单功能。通过将非法报文的MAC地址添加进MAC地址黑名单来实现过滤。 c)应支持MAC地址学习禁用。通过配置MAC地址学习禁止,配置静态MAC地址表,以及配 置未知单播报文丢弃,限制未知的非法用户接入网络。 d 应支持基于源宿MAC地址以及基于源宿IP的基本ACL。 e 应支持高级ACL,高级ACL规则基于报文的源宿地址、源宿端口、协议类型、协议的特性(例 如TCP的源宿端口,ICMP的类型、code内容),以及多元组定义规则。对符合特征的用户 报文进行过滤,可以防止大流量报文和非法报文的攻击。
5.3.1.2业务报文流量抑制
常报文,具体包括以下几点。 a)应支持专网业务广播报文流量抑制功能,端口的广播报文流量抑制值应可配置, b)应支持专网业务组播报文流量抑制功能,端口的组播报文流量抑制值应可配置。 c)应支持专网业务未知单播报文流量抑制功能, 端口的未知单播报文流量抑制值应可配置。
5.3.1.3以太网业务错顿丢弃
以太错包通常包括报文字段缺失、乱序、重复、超长、超短、混乱等情况,出现原因可能包括恶意 用户伪造、传输线路误码、设备硬件处理异常等。处理错包会给设备带来额外的负担,消耗正常业务带 宽,设备应识别出并丢弃。应支持下列情形错包丢弃:
YD/T 237*.*—2018
a)丢弃源宿MAC地址相同的以太帧; b)丢弃长度小于**字节的以太顿; c)丢弃长度大于MTU的以太顿; d)丢弃超长(其数据部分的长度大于*5535字节)的以太帧; e)丢弃FCS(CRC)错误的以太。
5.3.3L2VPN隔离性要求
5.*L3VPN业务转发安全
5.*.1L3VPN隔离
L3PTN设备除了具备L2PTN设备的隔离机制以外,还应具备L3VPN隔离的以下功能。 a)对于L3VPN,数据应严格基于VRF标签进行LSP转发,一个VPN的内容不应进入到另外 个VPN。 b)当支持VPN服务时,特别是在同一个物理接口上通过不同的L3逻辑接口支持VPN服务时 可基于L3逻辑接口对接入速率进行限制。
YD/T237*.*—2018
c)VPN之间的拓扑和编址信息应相互隔离,一个VPN应可以使用所有IP地址范围,包括IET RFC1918定义的私有地址范围,VPN之间或VPN和MPLS骨干之间应可以复用IP地址空 间。 d 应为每个VPN维持一个独立的VRF实例,除非需要,VPN之间或VPN和MPLS骨干之 间的路由信息及其分发和处理应相互独立,互不干扰。 可实现VPN使用的L3层PTN设备资源(如内存等)的相互隔离,防止因一个VPN独占资 源而造成的对于其他VPN的DoS攻击。
5.*.2L3PTN设备抗攻击能力
针对已知的各种攻击,L3PTN设备应能够进行处理,并且不影响正常的数据转发。当L3PTN设 检测到攻击发生,应该生成告警。下面几种常见的攻击,L3PTN设备应也能够处理。 a)抗大流量攻击能力。PTN网络核心层设备在经过L2层VPN的过滤后,一般不会造成网络大 流量攻击的情况。当L3PTN设备直接接入3层网络设备时,L3PTN设备可能遇到的大流量 攻击,包括远超过正常业务流量的过路流量,会占用大量的资源导致PTN设备瘫痪或者崩溃。 应支持以下不同流量的抗攻击处理能力。 1)对于过路流量,L3PTN设备可通过端口流量限速转发,对于超过限速的流量可按照一定 比例去弃报文,同时保证管理报文以及高优先级报文的正常发送和接收。 2)对于目的地址为PTN设备的异常攻击流量,应采用丢弃报文策略,同时生成告警日志。 3)L3PTN设备应在受到大流量攻击的情况下,保障正常业务的发送,不能出现崩溃现象。 b)定向广播报文攻击防范。Smurf攻击是一种利用定向广播报文的分布式DoS攻击方法,如果设 备不能提供适当的防护措施,往往会造成设备崩溃。对于定向广播报文应能够提供策略控制, 禁止该类报文转发或者以广播形式转发;对于分布式DoS攻击,应能够提供简单策略阻止这 种分布式DoS攻击向其他设备扩散,而造成对其他设备的冲击,其他设备指这些流量攻击报 文将要达到的设备。 c)IP地址哄骗防范。网络中通常会有大量的源地址哄骗攻击,为了检测这种攻击,可应用单播 逆向路径转发(URPF)技术来限制这类报文在网络中出现。
5.*.3路由功能选项
L3PTN设备采用静态路由算法。
L3PTN设备采用静态路由算法。
5.*.*协议端口关闭功能
L3PTN设备应支持以下协议端口的关闭功能。 a)关闭IP功能服务。IP提供丰富的功能服务,但由于设计之初没有考虑其安全性,许多服务也 成为攻击的手段,比如有一种攻击就是利用UDP的端口7(Ehco)和端口19(Chargen)。 而这些服务中有很多是已经不再使用的,或很少使用的,有些是针对主机的,在设备上根本没 有使用。对于L3PTN设备,如果提供了这些服务,应能提供手段来关闭这些功能和服务。
YD/T237*.*—2018
b)ICMP的功能开关。ICMP允许网络设备向其他设备发送错误发生指示或控制报文,而很多常 见的网络攻击也是利用了ICMP的某些功能。对于上述ICMP类型,如果设备实现了该协议类 型,应提供关闭功能。 代理ARP。代理ARP是一台主机代替另一台主机应答ARP请求,该主机负责将分组转发到 最终目的地的一种技术,代理ARP能够帮助一个子网的主机不用配置路由或默认网关到送远 端子网。L3PTN设备如果支持该功能,应具有关闭代理ARP的能力。 d)其他服务开关。应缺省关闭TCP和UDP小端口服务,或者不提供这些服务模块
*.1设备组网安全保障能力
*.2.1设备保护能力
PTN设备应支持余保护配置,包括主控盘、交叉盘、电源盘、电支路盘等,支持保护倒换 设置(如保护模式、保护倒换准则、返回方式等),支持保护倒换操作(包括人工、强制、清除 等),支持当前保护倒换状态的查询。设备保护能力要求见YD/T2397一201212.2.1。
PTN设备应具备UNI业务接口的流分类和流标记、接入速率控制、流量监管功能,在NNI端口具 备报文出口的拥塞避免、缓存和队列调度、连接允许控制等功能。具体的QoS功能见YD/T237*一2011 8.1。
YD/T237*.*2018
本部分定义的设备安全要求主 设备运行环境的稳定性和可靠性。
7.2设备接口安全要求
7.2.1光接口平均发送光功率
7.2.2接收机过载光功率
N设备的平均无故障时间(MTBF)待研究。
7.*设备环境安全要求
7.*.1环境温度、湿度要求
7.*.2电源及电气要求
7.*.3环境实验要求
YD/T 237*.*—2018
对于PTN设备的环境实验条件,温度选择*0℃+2℃,高温持续时间为1*h,其他条件见 23.2一2008第3章,设备应无丢包、误码和告警产生。 环境高温测试启动进行2h以后,设备接口的平均发送光功率、接收灵敏度应满足常温指标要
PTN设备的电磁兼容性指标应符合GB/T1928*—2015、GB925*—2008以及GB/T17*18—20 定。
PTN设备在我国抗震设防烈度7烈度及以上地区公用电信网中使用时,其结构抗地震性能应 D.5091.12015要求。
PTN设备防雷击能力应该符合GB/T3*82200
网络管理系统面对的安全威胁主要存在以下几个方面: a)对数据流量进行分析JC∕T 212*.2-2012 水泥制品工艺技术规程 第2部分:预应力混凝土管,从而获得设备有关的系统配置信息; b)未经授权访问设备管理端口,控制整个设备; c)利用管理信息流实施拒绝服务攻击。
8.2网管系统账号口令要求
8.2.1网管系统用户帐号要求
YD/T237*.*—2018
8.2.2网管口令管理要求
8.2.3网管安全日志要求
网管系统的安全日志要求如下。 a) EMS应能够对登录失败、登录成功、退出设备生成日志。EMS记录的日志内容应当包含登录 时间、用户名称、登录结果成功、在系统中的逗留时间、退出时间、登录失败。 b)EMS应支持登录日志和操作日志的备份功能。EMS应对删除日志功能进行控制GB∕T 18713-2002太阳热水系统设计、安装及工程验收技术规范,管理员账户 不能执行删除日志操作。 管理面业务配置操作应有日志记录。根据给定条件应可以对EMS操作日志进行查询,查询的 条件可以为给定时间、时间段、给定用户。我们可以查询到的信息应包括操作时间、操作人、 操作名称、操作结果(成功或失败)