GB/T 51434-2021 互聯網網絡安全設施工程技術標準

UDC

中華人民共和國國家標準

GBT514342021

互聯網網絡安全設施工程技術標準

Ternetsecurityfacilitiesengineering專用

人人文庫

貼標處20210904發布20210110實施

S/N:155182·0699

統一書號：155182·0699

中華人民共和國住房和城鄉建設部

定價：18.00元聯合發布

國家市場監督管理總局

中華人民共和國國家標準

互聯網網絡安全設施工程技術標準

Technicalstandardforinternetsecurityfacilitiesengineering

GB/T51434-2021

主編部門中華人民共和國工業和信息化部

：

批準部門中華人民共和國住房和城鄉建設部

：

施行日期年專用月日

：2021101

人人文庫

中國計劃出版社

2021北京

中華人民共和國國家標準

互聯網網絡安全設施工程技術專用標準

GB/T51434-2021

☆

中國計劃出版社出版發行

網址

：

地址北京市西城區木樨地北里甲號國宏大廈座層

：11C3

郵政編碼電話發行部

：100038：（010）63906433（）

北京市科星印刷有限責任公司印刷

印張千字

850mm×1168mm1/321.37532

年月第版年月第次印刷

202151202151

☆

人人文庫統一書號

：155182·0699

定價元

：18.00

版權所有侵權必究

侵權舉報電話

：（010）63906404

如有印裝質量問題請寄本社出版部調換

，

中華人民共和國住房和城鄉建設部公告

2021年第49號

住房和城鄉建設部關于發布國家標準

互聯網網絡安全設施工程技術標準的公告

《》

現批準互聯網網絡安全設施工程技術標準為國家標準編

《專用》，

號為自年月日起實施

GB/T51434-2021，2021101。

本標準在住房和城鄉建設部門戶網站

（.

公開并由住房和城鄉建設部標準定額研究所組織中國計劃出

cn），

版社有限公司出版發行

。

中華人民共和國住房和城鄉建設部

2021年4月9日

人人文庫

前言

本標準是根據住房和城鄉建設部關于印發年工程建設

《2017

標準規范制修訂及相關工作計劃的通知建標號的

》（〔2016〕248）

要求由中通服咨詢設計研究院有限公司會同有關單位共同編制

，

完成

。

本標準在編制過程中結合中華人民共和國網絡安全法中

，《》

網絡安全三同步的相關要求認真總結了近年來我國互聯網網

“”，

絡安全設施工程建設的經驗和教訓參考和借鑒了國內外有關標

，

準在廣泛征求意見的基礎上經審查定稿

，，。專用

本標準的主要技術內容是總則術語和縮略語網絡安全設

：，，

施工程規劃網絡安全設施工程設計網絡安全設施工程施工網

，，，

絡安全設施工程驗收網絡安全設施運行維護

，。

本標準由住房和城鄉建設部負責管理工業和信息化部負責

，

日常管理工作中通服咨詢設計研究院有限公司負責具體技術內

，

容的解釋執行過程中如有意見或建議請寄送中通服咨詢設計

。，

研究院有限公司地址江蘇省南京市建鄴區楠溪江東街號郵

（：58，

編

：210019）。

本標準主編單位中通服咨詢設計研究院有限公司

：

本標準參編單位華信咨詢設計研究院有限公司

人人文庫：

廣東省電信規劃設計院有限公司

本標準主要起草人員王小鵬董育萍莫曉楠楊波

：

高麗芬王昊李健珝葉挺

陳斌張子揚

本標準主要審查人員徐浩王曙光王文磊趙輝

：

史紅周禹可唐洪玉朱少平

·1·

張曉琴朱斌吳臻韓鵬

張裕橋朱晨鳴石啟良芮曉玲

李昀唐懷坤

專用

人人文庫

·2·

目次

總則…………………

1（1）

術語和縮略語……………

2（2）

術語……………………

2.1（2）

縮略語…………………

2.2（3）

網絡安全設施工程規劃…………………

3（4）

網絡安全設施工程設計…………………

4（5）

一般規定………………

4.1（5）

安全防護設施……………

4.2專用（6）

安全監測設施……………

4.3（7）

安全響應設施……………

4.4（8）

安全恢復設施……………

4.5（9）

網絡安全設施工程施工…………………

5（10）

一般規定………………

5.1（10）

施工前準備……………

5.2（10）

網絡安全設備安裝………

5.3（11）

網絡安全設備配置………

5.4（12）

施工管理要求……………

5.5（14）

網絡安全人人文庫設施工程驗收…………………

6（16）

一般規定………………

6.1（16）

工程初驗………………

6.2（17）

工程試運行……………

6.3（18）

工程終驗………………

6.4（19）

網絡安全設施運行維護…………………

7（20）

一般規定………………

7.1（20）

·1·

安全運行維護要求………

7.2（20）

本標準用詞說明………………

（22）

引用標準名錄…………………

（23）

附條文說明…………………

：（25）

專用

人人文庫

·2·

Contents

………

1Generalprovisions（1）

………………

2Termsandabbreviations（2）

…………………

2.1Terms（2）

……………

2.2Abbreviations（3）

……

3Networksecurityfacilitiesengineeringplanning（4）

………

4Networksecurityfacilitiesengineeringdesign（5）

……

4.1Generalrequirements（5）

……

4.2Networksecurityprotectionfacilities專用（6）

……

4.3Networksecuritymonitoringfacilities（7）

………

4.4Networksecurityresponsefacilities（8）

………

4.5Networksecurityrecoveryfacilities（9）

5Networksecurityfacilitiesengineering

………………

construction（10）

……

5.1Generalrequirements（10）

…………

5.2Preparationbeforeconstruction（10）

………

5.3Networksecuritydeviceinstallation（11）

……

5.4Networksecuritydeviceconfiguration（12）

人人文庫…

5.5Constructionmanagementrequirements（14）

6Acceptanceofnetworksecurityfacilities

………………

engineering（16）

……

6.1Generalrequirements（16）

…………

6.2Preliminarytestofengineering（17）

……………

6.3Trialoperationofengineering（18）

…………

6.4Finalinspectionofengineering（19）

·3·

7Operationandmaintenanceofnetworksecurity

……………………

facilities（20）

……

7.1Generalrequirements（20）

……………

7.2Requirementsforoperationandmaintenance（20）

…

Explanationofwordinginthisstandard（22）

……

Listofquotedstandards（23）

………

Addition：Explanationofprovisions（25）

專用

人人文庫

·4·

1總則

1.0.1為規范我國互聯網網絡安全設施工程建設確保網絡安全

，

設施與互聯網業務系統同步規劃同步建設同步使用做到技術

、、，

先進經濟合理安全適用制定本標準

、、，。

1.0.2本標準適用于互聯網網絡安全設施的新建改建和擴建工

、

程涵蓋互聯網網絡安全設施工程規劃設計施工驗收運維全

，、、、、

過程的技術要求

。

1.0.3互聯網網絡安全設施工程建設應貫徹國家網絡安全管理

方針政策和技術經濟政策同時應密切結合互聯網業務快速發展

，專用

的實際充分考慮網絡安全設施的彈性擴容升級能力

，。

1.0.4互聯網網絡安全設施工程建設應充分調查分析互聯網業

務系統的網絡安全需求及運營維護需求并應考慮新業務新技術

，、

對網絡安全設施架構功能性能的影響

、、。

1.0.5互聯網網絡安全設施工程建設應充分利用已有的網絡安

全設施通過安全能力共享集中管控等方式進行集約化建設

，、。

1.0.6互聯網網絡安全設施工程建設除應執行本標準外尚應符

，

合現行國家標準信息安全技術信息系統安全工程管理要求

《》

等有關標準的規定

GB/T20282人人文庫。

·1·

2術語和縮略語

2.1術語

2.1.1互聯網業務系統

internetservicesystem

通過計算機網絡向公眾提供信息服務的業務系統由服務器

，、

交換機路由器數據庫操作系統應用軟件等硬件和軟件設備

、、、、

組成

。

2.1.2互聯網網絡安全設施

internetsecurityfacilities

為保障互聯網業務系統的安全性保密性和可用性而建設的

、

網絡安全防護設施安全監測設施安全響應設施和安全恢復設施

、、專用

等技術設施

。

2.1.3互聯網網絡安全設施工程

internetsecurityfacilitiesen-

gineering

對互聯網網絡安全設施進行規劃設計實施驗收運行維護

、、、、

等工作的過程

。

2.1.4安全防護設施

networksecurityprotectionfacilities

保護互聯網業務系統的安全性保密性和可用性免受外部破

、

壞的網絡安全設施

。

2.1.5安全監測設施

networksecuritydetectingfacilities

監測互聯網業務系統安全威脅安全漏洞和安全事件等的網

人人文庫、

絡安全設施

。

2.1.6安全響應設施

networksecurityresponsefacilities

對網絡攻擊行為的分析溯源阻斷取證等響應處置工作提

、、、

供技術支撐的網絡安全設施

。

2.1.7安全恢復設施

networksecurityrecoveryfacilities

在網絡安全攻擊等突發事件和地震水災等自然災害發生后快

·2·

速恢復數據和業務的網絡安全設施

。

2.1.8恢復時間目標

recoverytimeobjective

災難發生后信息系統或業務功能從停頓到必須恢復的時間

，

要求

。

2.1.9恢復點目標

recoverypointobjective

災難發生后系統和數據必須恢復到的時間點要求

，。

2.2縮略語

互聯網協議

IP（InternetProtocol）

恢復點目標

RPO（RecoveryPointObjective）

恢復時間目標

RTO（RecoveryTimeObjective）

軟件定義網絡

SDN（SoftwareDefinedNetwork）

簡單網

SNMP（SimpleNetworkManagementPr專用otocol）

絡管理協議

安全外殼協議

SSH（SecureShell）

人人文庫

·3·

3網絡安全設施工程規劃

3.0.1網絡安全設施工程規劃應保證互聯網業務的持續穩定運

行應對網絡安全威脅和攻擊行為進行有效的防御和監測并應支

，，

撐安全事件應急處置和業務災備恢復

。

3.0.2網絡安全設施工程規劃應滿足互聯網業務系統近期遠期

、

發展等對網絡安全防護網絡安全監測網絡安全響應網絡安全

、、、

恢復的需求并應符合現行國家標準信息安全技術網絡安全等

，《

級保護基本要求的有關規定

》GB/T22239。

3.0.3網絡安全設施的功能性能需求和建設規模應根據互聯網

專用

業務發展規劃用戶數量網絡帶寬網絡資產規模網絡安全管理

、、、、

需求等確定

。

3.0.4網絡安全設施組織方案和近遠期演進路線應根據現有網

、

絡安全設施使用情況互聯網業務系統發展規劃及業務預測網絡

、、

安全技術發展情況確定

。

3.0.5網絡安全設施工程規劃應處理好整體和局部的關系全局

，

通用的網絡安全設施宜采用集中建設能力共享的模式

、。

3.0.6網絡安全設施工程規劃應進行多種方案的技術經濟比較

。

人人文庫

·4·

4網絡安全設施工程設計

4.1一般規定

4.1.1網絡安全設施工程設計所給出的網絡安全設施建設路線

和技術方案應與網絡安全規劃保持一致并應在網絡安全規劃的

，

基礎上結合具體的業務場景做進一步的深化

。

4.1.2網絡安全設施工程設計應符合互聯網業務安全保障相關

功能性能質量和工程投資等建設項目要求

、、。

4.1.3網絡安全體系設計網絡安全技術方案設計網絡安全設

、專用、

施指標設計應根據互聯網業務特征和網絡安全等級保護相關要求

確定

。

4.1.4對云計算移動互聯網物聯網大數據等新技術新

、、、SDN、

應用應采用定制化的網絡安全設計方案并應符合現行國家標準

，，

信息安全技術網絡安全等級保護安全設計技術要求

《》GB/T

的有關規定

25070。

4.1.5網絡安全改建和擴建工程應保證已有網絡安全設施的合

，

理利用和充分整合

。

4.1.6網絡安全設施工程設計應考慮互聯網業務自身特點對安

全防護設施安全監測設施安全響應設施安全恢復設施的特定

人人文庫、、、

要求合理配置組合適用的網絡安全設施支撐網絡安全管理全過

，，

程開展

。

4.1.7網絡安全設施工程設計應做到網絡安全縱深防護精準監

、

測快速響應可靠恢復

、、。

4.1.8網絡安全設施工程設計宜包括下列內容

：

1調查梳理網絡與系統現狀

；

·5·

2明確安全保障目標包括保障對象功能及性能目標投資

，、、

費用目標等

；

3網絡安全威脅及風險評估分析

；

4網絡安全體系設計包括防護體系設計監測體系設計響

，、、

應體系設計恢復體系設計等

、；

5網絡安全設施性能設計包括網絡攻擊規模預測數據規

，、

模測算安全保障性能分析等

、；

6網絡安全設施功能性能分析和參數設計

、；

7設備選型

；

8勘察場地環境確定最終設備安裝配置線纜布放等方案

，、。

4.2安全防護設施

4.2.1安全防護設施宜包括密碼基礎設施訪問控制設施用戶

、專用、

認證授權設施入侵防御設施異常流量清洗設施病毒過濾設施

、、、、

垃圾郵件過濾設施敏感信息加密設施等網絡安全設施工程設

、。

計應根據所保障互聯網業務的特點編制相應的安全防護策略綜

，，

合采取多種安全防護設施完成對網絡攻擊行為的多層次防御

，。

4.2.2安全防護設施可按照網絡攻擊者的常規攻擊路徑依次從

，

網絡接入區域邊界計算環境等環節分別部署

、、。

4.2.3在網絡接入環節可通過部署訪問控制設施用戶認證授權

、

設施等對用戶和終端的接入和使用網絡進行管控拒絕非授權

，

訪問

。

4.2.4互聯人人文庫網業務系統應劃分安全域并應根據業務特征在安全

，

域的邊界按需部署訪問控制設施入侵防御設施異常流量清洗設

、、

施病毒過濾設施垃圾郵件過濾設施對非法和惡意流量進行識

、、，

別和攔截

。

4.2.5計算環境前端可部署敏感信息加密設施對系統流轉的敏

，

感數據進行加密處理和傳輸預防敏感信息被泄露或竊取

，。

4.2.6安全防護設施設計應符合下列規定

：

·6·

1安全防護系統設計應根據互聯網業務面臨的網絡安全威

脅和攻擊特征確定應在滿足安全規劃要求的前提下進行針對性

，，

的縱深安全防護

；

2安全防護設施應根據互聯網業務發展需求構建宜在保持

，

安全防護設施整體架構不變的前提下對防護設施的功能和性能按

需擴容

；

3安全防護設施宜與網絡安全監測設施聯動宜通過動態監

，

測與主動防御相結合實現精準化自動化防護

，、；

4安全防護設施的防護性能應與互聯網業務規模相匹配防

，

護設施配置不應低于預估業務忙時和攻擊峰值時的安全防護

需求

。

4.3安全監測設施

專用

4.3.1安全監測設施宜包括入侵檢測設施漏洞掃描檢測設施

、、

網站安全監測設施病毒掃描檢測設施攻擊誘捕設施數據安全

、、、

監測設施安全態勢感知設施等網絡安全設施工程設計中應根

、。

據所保障的互聯網業務的特點編制相應的網絡安全監測方案綜

，，

合采取多種安全監測設施實現對安全威脅安全漏洞和安全事件

，、

的及時發現和分析

。

4.3.2安全監測設施可從網絡流量主機系統應用系統數據交

、、、

互等方面進行部署以開展網絡安全風險的分析和監測網絡流量

。

的安全監測宜采用入侵檢測設施等主機系統的安全監測宜采用

，

漏洞掃描檢測設施病毒掃描檢測設施等應用系統的安全監測宜

人人文庫、，

采用網站安全監測設施攻擊誘捕設施等數據交互的安全監測宜

、，

采用數據安全監測設施等多方數據的采集分析和關聯預警宜采

，

用安全態勢感知設施等

。

4.3.3安全監測設施設計應符合下列規定

：

1安全監測系統設計應根據互聯網業務面臨的網絡安全威

脅和已有防護體系確定在滿足安全規劃需求的前提下開展多方

，，

·7·

位的安全監測達到及時發現并管控安全風險的要求

，；

2安全監測設施應根據互聯網業務發展需求構建宜在保持

，

安全監測設施整體架構不變的前提下對監測設施功能和性能按需

擴容

；

3安全監測設施宜將監測結果及時反饋給網絡安全防護設

施和安全響應設施形成一體化的安全防護和監測處置能力

，；

4安全監測設施的監測性能應與所監測的互聯網業務規模

相匹配監測設施配置不應低于預估業務忙時和攻擊峰值時的安

，

全監測需求

。

4.4安全響應設施

4.4.1安全響應設施宜包括應急預案管理設施攻防演練設施

、、

應急響應設施安全指揮調度設施安全審計設施流量清洗設施

、、專用、

等網絡安全設施工程設計中應根據所保障互聯網業務的特點

。，

編制相應的網絡安全事件響應技術支撐方案采取多種安全響應

，

技術手段支持對網絡攻擊行為的分析溯源阻斷和取證等

，、、。

4.4.2安全響應設施應面向網絡安全事件應急響應實際需求為

，

應急響應人員快速定位網絡攻擊行為并高效開展處置工作提供技

術支持

。

4.4.3安全響應設施設計應符合下列規定

：

1安全響應設施應根據互聯網業務所面臨的網絡安全威脅

和已有的安全防護及監測體系進行設計應滿足安全工程規劃的

，

需求并應滿足安全事件處置和攻擊溯源取證的要求

，人人文庫；

2安全響應設施應根據互聯網業務發展特征和應急響應的

需要構建宜在保持安全響應設施整體架構不變的前提下對響應

，

設施的功能和性能按需擴容

；

3安全響應設施宜與安全防護設施對接可調度安全防護設

，

施開展安全事件處置工作

。

·8·

4.5安全恢復設施

4.5.1安全恢復設施宜包括數據備份系統備用數據處理系統

、、

備用網絡系統和備用基礎設施等網絡安全設施工程設計中應根

。

據所保障互聯網業務的災難恢復能力等級要求確定具體的恢復時

間目標和恢復點目標指標并應按現行國家標準

（RTO）（RPO），

信息安全技術信息系統災難恢復規范的有關規

《》GB/T20988

定編制相應的應急災備策略和應急災備技術方案

。

4.5.2安全恢復設施設計應滿足地震水災等自然災難以及火

、

災戰爭恐怖襲擊網絡攻擊設備系統故障人為破壞等突發緊

、、、、、

急情況下的互聯網業務系統和數據恢復需求

。

4.5.3安全恢復設施設計應符合下列規定

：

1安全恢復設施應根據互聯網業務所需達到的災難恢復等

專用

級進行設計并應在滿足安全工程規劃需求的前提下按照成本風

，，

險平衡原則實現快捷可靠的應急災備滿足快速恢復數據和業務

，，

的要求

；

2安全恢復設施應根據互聯網業務發展特征構建宜在保持

，

安全恢復設施整體架構不變的前提下對恢復設施的功能和性能按

需擴容

；

3安全恢復設施自身的安全防護和安全監測手段應同步

設計

。

人人文庫

·9·

5網絡安全設施工程施工

5.1一般規定

5.1.1網絡安全設施工程施工應嚴格依據網絡安全設施工程設

計的相關方案和要求并應在此基礎上制訂詳細的施工方案

，。

5.1.2網絡安全設施宜與互聯網業務系統同局址設置網絡安全

，

設施所在機房等級不應低于互聯網業務系統所在機房等級

。

5.1.3網絡安全設施工程中涉及的機架安裝走線架及槽道安

、

裝線纜布放應符合工程設計要求及現行國家標準