中国电信新建业务平台安全验收规范(初稿)1.0

中国电信

新建业务平台安全验收规范

2010年2月

目 录

1. 2.

前言 ................................................................................................................................... 4 新建业务平台安全验收办法 ........................................................................................... 6 2.1. 新建业务平台工程验收组织形式 ........................................................................... 6 2.2. 安全验收范围 ........................................................................................................... 6 2.3. 工程安全验收工作流程 ........................................................................................... 7 2.4. 安全验收报告 ........................................................................................................... 9 2.5. 注意事项 ................................................................................................................. 10 3. 工程安全验收内容 ......................................................................................................... 11

3.1. 网络安全 ................................................................................................................. 11

3.1.1. 结构安全 ......................................................................................................... 11 3.1.2. 访问控制 ......................................................................................................... 11 3.1.3. 安全审计 ......................................................................................................... 12 3.1.4. 边界安全审计 ................................................................................................. 12 3.1.5. 入侵防护 ......................................................................................................... 12 3.1.6. 网络设备防护 ................................................................................................. 12 3.2. 主机安全 ................................................................................................................. 13

3.2.1. 身份鉴别 ......................................................................................................... 13 3.2.2. 访问控制 ......................................................................................................... 13 3.2.3. 安全审计 ......................................................................................................... 14 3.2.4. 恶意代码防范 ................................................................................................. 14 3.2.5. 资源控制 ......................................................................................................... 14 3.3. 应用安全 ................................................................................................................. 15

3.3.1. 身份鉴别 ......................................................................................................... 15 3.3.2. 访问控制 ......................................................................................................... 15 3.3.3. 安全审计 ......................................................................................................... 16 3.3.4. 通信完整性 ..................................................................................................... 16 3.3.5. 通信保密性 ..................................................................................................... 16 3.3.6. 软件容错 ......................................................................................................... 17 3.3.7. 资源控制 ......................................................................................................... 17 3.4. 数据安全及备份恢复 ............................................................................................. 17

3.4.1. 数据完整性 ..................................................................................................... 17 3.4.2. 数据保密性 ..................................................................................................... 18 3.4.3. 备份和恢复 ..................................................................................................... 18 3.5. 灾难备份及恢复检测要求 ..................................................................................... 18

3.5.1. 冗余系统、冗余设备及冗余链路 ................................................................. 18 3.5.2. 数据备份 ......................................................................................................... 19 3.5.3. 人员和技术支持能力 ..................................................................................... 19 3.5.4. 运行维护管理能力 ......................................................................................... 19 3.5.5. 灾难恢复预案 ................................................................................................. 20

2

3

1. 前言

工程建设一般分为八个阶段：提出项目建议书、项目可行性研究、编制计划任务书、编制设计文件、设备采购、施工招标或施工委托、施工、交工验收。

为保证完成工程项目完成后顺利投产运营，在工程验收中建议在以下环节考虑安全因素，提出明确的安全要求并具体落实： 1. 编制设计文件阶段，在该阶段即应开始考虑安全因素，将诸如物理环境安全、设备安全、系统安全、应用安全等因素纳入设计方案中。设计方案须经过安全审核，保证设计方案符合安全要求。 2. 设备采购阶段，为保障采购的各类软硬件设施能达到设计要求，应在已有各项用于指导采购的技术规范书中纳入安全要素，保障采购的各软硬件符合设计中安全方面的要求。

3. 施工招标或施工委托阶段，安全要求同设备采购，应在相应招标文件中增加安全方面的要求。

4. 施工阶段，工程建设管理单位应要求施工单位严格遵守施工招标中规定的各项安全要求，在施工中严格落实。施工阶段中，如果对设计方案作出修改，须通过安全审核，保证修改后的设计方案符合安全要求。

5. 交工验收阶段，该阶段作为全面检验施工中是否将安全方面的各项要求具体落实到位至关重要。为此，建议在工程验收中增加安全方面的专项验收，并增加安全验收后由集团网络安全防护安全

4