安全防护-网络三同步 (IPRAN)(1).docx

14 安全防护 IPRAN 通信网的安全应参照工信部发布的 YD 5177-2009 《互联网网络安全设计暂行规定》。 根据中国电信通信网络定级对象划分及安全等级的要求，辽宁省相关安全级别按照 2 级安全 级别要求。 14.1 业务安全 现网设备,A 类设备与 B 类设备组成环形网络,B 类设备与 RANER 设备以口字形互联， RANER 设备与 CN2PE 设备以口字形互联,RANER 设备与 MCE 以口字形互联的方式,通过这些组网方 式,对 IPRAN 网络承载的业务起到保护的作用。同时也可通过对现网容量分析，进行基站设 备的拆闲补忙调整，避免影响业务的连续性。 现有的网管系统 IP 城域网网管可以对维护人员对网络进行的发布、修改、删除等操 作行为进行详细记录，并可以按照时间、操作方式、操作人员进行查询。 14.2 网络拓扑安全 现有 IPRAN 网设备以环形或者口字形网络组网,可以满足网络业务保护的需求，不会出现因 光路中段或者个别站点失效而导致网络业务中断的情况。 14.3 设备安全 IPRAN\RANER\MCE 等设备安全满足通信行业及中国电信设备技术规范，设备入网相关管理 要求。 14.4 物理环境安全 14.4.1 机房、办公场地物理环境安全 机房整体抗震能力应不低于里氏 7 级，相关机架及设备需进行必要的抗震加 固，相关楼层承重能力不低于 750kg/m2。 机房应具备防虫防鼠等相关措施，以有效防范鼠虫蚁害。 14.4.2 IPRAN\RANER\MCE 等设备场地物理环境 (1) 物理位置选择 IPRAN\RANER\MCE 等设备场地应当避开强电场、强磁场、强震动源、强噪声源、重 度环境污染、易发生火灾、水灾和易遭受雷击的地区。 IPRAN\RANER\MCE 等设备场地整体抗震能力应不低于里氏 7 级，相关机架及设备需 进行必要的抗震加固，承重能力不低于 750kg/m2。 (2) 防盗窃和防破坏 应将主要设备放置在物理受限的范围内。 应对设备或主要部件进行固定，并设置明显的不易除去的标记。 应将通信线缆铺设在隐蔽处，如铺设在地下或管道中等。 (3) 防雷击 IPRAN\RANER\MCE 等设备建筑应设置避雷装置: 应设置电源地线: 应满足 YD 5098-2005 中“3 通用规定”、“4 综合通信大楼的防雷与接地”、“5 有线通信局 (站) 的防雷与接地”的要求。 (4) 防火 应设置灭火设备，并保持灭火设备的良好状态。 (5) 防水和防潮 应采取措施防止雨水通过屋顶和墙壁渗透: 应采取措施防止室内水蒸气结露和地下积水的转移与渗透。 (6) 温湿度控制 应设置温、湿度自动调节设施，使室外无线接入设备场地温、湿度的变化在 设备运行所允许的范围之内。 (7) 防尘 应采取必要的对 IPRAN\RANER\MCE 等设备场地的防尘措施， 出入 IPRAN\RANER\MCE 等设备 场地要求使用鞋套，有专人定期对 IPRAN\RANER\MCE 等设备场地进行除尘工作。 (8) 防鼠虫 应具备防虫防鼠等相关措施，以有效防范鼠虫蚁害。 (9) 电力供应 应设置稳压器和过电压防护设备: 应提供短期的备用电力供应(如 UPS 设备)。 14.5 管理安全 应满足 YD/T 1756 《电信网和互联网管理安全等级保护要求》中第 2 级的安全要求。 14.6 容灾备份及恢复 IPRAN 网的灾难恢复应根据灾难的情况，首先保证应急通信、重要通信， 然后恢复一般的通信。 14.6.1 冗余系统、冗余设备及冗余链路 单节点的灾难不应导致其他节点的业务提供发生异常，单一地区范围的灾难 IPRAN 网络主设备工程一阶段设计不应导致其他网络设备的业务提供发生异常: 网络灾难恢复的恢复时间应满足行业管理、网络和业务运营商应急预案的相 关要求。 14.6.2 备份数据要求 关键数据的本地备份、备份范围、时间间隔、备份方式、数据恢复能力满足 中国电信运行维护管理体制要求。 14.6.3 人员及技术支撑能力 IPRAN 网应有负责灾难备份及恢复的机房运行管理人员。 14.6.4 运行维护管理能力 IPRAN 网应有针对灾难备份及恢复的机房运行管理制度。同时针对灾难备 份及恢复的介质存取、验证和转储管理制度，应确保备份数据的授权访问。 14.6.5 灾难恢复预案 针对 IPRAN 网建立完善的灾难恢复预案管理制度。 14.7IPRAN 网日志留存 14.7.1 上网日志留存内容 日志留存内容为辽宁电信 IPRAN 网络设备日志信息，分为认证登录留存信息和设备信息两种。 认证登录留存信息包括如下： 登陆账户分为网管账户、设备管理用户；信息内容包含IP 地址、上线/下线时间，登陆 账户以及该账户的操作命令。 设备日志信息包括如下： 设备运行状态， 包括 CPU、 内存利用率、 板卡注册情况， 设备版本信息， 设备运行时间， 路由协议状态变化等。 设备告警，包括硬件告警：板卡不注册、接口 UP/down 信息，电源、风扇故障，光模 块被拔出，收光功率过高或过低，设备或板卡温度过高。 已建立 IPRAN 网络设备日志留存系统，系统具备 IPRAN 网络设备认证登陆和访问； IPRAN 设备日志留存功能，必选字段不缺漏；留存时间、时间误差、应用协议、错误 率、丢失率均满足规划要求。 14.7.2 日志留存时间 认证登录、设备日志留存信息应至少保存 60 日。