本標準是根據(jù)住房和城鄉(xiāng)建設部《關于印發(fā)<2009年工程建設標準規(guī)范制訂、修訂計劃>的通知》(建標〔2009288號)的要求，由中國移動通信集團設計院有限公司會同有關單位共同編制本標準適用于公用互聯(lián)網(wǎng)的網(wǎng)絡工程設計。在編制過程中，編制組進行了深入的調查研究，認真總結了公用互聯(lián)網(wǎng)網(wǎng)絡工程設計的實踐經(jīng)驗，分析了各種技術的應用與發(fā)展狀況，廣泛征求全國有關單位和專家的意見，并參考了國內外相關標準規(guī)定的內容，最后經(jīng)審查定稿。本標準共分14章，主要技術內容包括：總則，術語和代號，網(wǎng)本標準由住房和城鄉(xiāng)建設部負責管理，工業(yè)和信息化部負責日常管理，中國移動通信集團設計院有限公司負責具體技術內容的解釋。本標準在應用過程中如有需要修改與補充的地方，請將有關意見和建議反饋給中國移動通信集團設計院有限公司(地址：北京市海淀區(qū)丹棱街甲16號，郵政編碼：100080),以供修訂時華信郵電咨詢設計研究院有限公司江蘇省郵電規(guī)劃設計院有限責任公司王保兵程燁劉春林詹葉青岳衛(wèi)民 2.2代號 3.2功能 4.1網(wǎng)絡層次 4.2節(jié)點設置 4.3中繼電路組織 4.4中繼電路帶寬計算 5.1路由協(xié)議 5.2路由策略 6.1國內網(wǎng)間互聯(lián) 6.2國際網(wǎng)間互聯(lián) 6.3網(wǎng)間互聯(lián)路由策略 7.1網(wǎng)管體系結構 7.2網(wǎng)管接口 7.3網(wǎng)管功能 10.1編號方案 10.2地址分配 10.3域名系統(tǒng) 11.1網(wǎng)絡性能 11.2服務質量 12.1安全目標與框架 12.2安全管理 12.3內容安全 12.4業(yè)務安全 12.5網(wǎng)絡安全 3Networkco 3.1Networkcom 4Networkstructure 5Routingprotocolandroutingpolicy 5.1Routingprotoc 6Networkinterconnection 6.1Domesticinternet 6.2Internationalinternetwork 6.3Internetworkroutin 7Networkmanagement 7.1Networkmanagementarchi 7.2Networkmanagementinterf 7.3Networkmanagementfunction 12Networksecuri 13Principlesofequipm Explanationofwordinginthisstandard 1.0.1為使公用互聯(lián)網(wǎng)網(wǎng)絡工程設計做到技術先進、經(jīng)濟合理、1.0.2本標準適用于新建、改建、擴建公用互聯(lián)網(wǎng)網(wǎng)絡的工程設計。1.0.3公用互聯(lián)網(wǎng)網(wǎng)絡設計應遵循開放性的原則，設計的網(wǎng)絡應1.0.4工程設計應選用符合國家現(xiàn)行有關技術要求的定型產品。未經(jīng)產品質量監(jiān)督檢驗機構鑒定合格的設備及主要材料，不得在工程中使用。1.0.5在我國抗震設防烈度7度以上(含7度)地區(qū)，公用互聯(lián)網(wǎng)網(wǎng)絡工程中使用的主要電信設備應經(jīng)電信設備抗地震性能檢測合格。1.0.6公用互聯(lián)網(wǎng)網(wǎng)絡工程設計除應符合本標準外，尚應符合國家現(xiàn)行有關標準的規(guī)定。2.1.1公用互聯(lián)網(wǎng)Internet面向公眾用戶提供服務，可承載語音、數(shù)據(jù)和多媒體類業(yè)務的2.1.2網(wǎng)絡節(jié)點networknode構成IP網(wǎng)絡的基本單元之一。提供與其他網(wǎng)絡節(jié)點的連接，提供節(jié)點之間的路由選擇機制，轉發(fā)IP數(shù)據(jù)包。網(wǎng)絡節(jié)點提供一種或多種網(wǎng)絡功能，一般由位于同一機房的一臺或幾臺互相本地連接的路由器、交換機等網(wǎng)絡設備、服務器設備等組成。2.1.3中繼電路trunk構成IP網(wǎng)絡的基本單元之一。連接網(wǎng)絡的不同網(wǎng)絡節(jié)點，提供網(wǎng)絡節(jié)點之間通信的物理或邏輯媒介。2.1.4亞務接人控制系統(tǒng)serviceaccesscontrolsystem將用戶和業(yè)務接入互聯(lián)網(wǎng)網(wǎng)絡，并實現(xiàn)用戶和業(yè)務接入的認證、授權和計費等功能，實現(xiàn)服務質量控制、組播控制等功能的2.1.5運行維護支撐系統(tǒng)operationandmaintenancesupport支撐網(wǎng)絡、保障正常運行的系統(tǒng)，主要包括網(wǎng)管系統(tǒng)和安全系2.1.6安全系統(tǒng)securitysystem保障各類網(wǎng)元設備正常運行，保證信息在IP網(wǎng)絡上安全傳輸，保障網(wǎng)絡的運營維護管理安全，保障業(yè)務安全的有關系統(tǒng)。2.1.7網(wǎng)管系統(tǒng)networkmanagementsystem保障網(wǎng)元及網(wǎng)絡正常運行，實現(xiàn)配置管理、資源管理、故障管理、性能管理等功能的系統(tǒng)。IPv6雙協(xié)議棧的技術?；ヂ?lián)網(wǎng)網(wǎng)絡的骨干部分，主要用于各城域網(wǎng)的廣域互聯(lián)，并與其他IP網(wǎng)絡進行網(wǎng)間互聯(lián)，同時可直接接入大型IDC、大型業(yè)務系統(tǒng)和重要用戶。2.1.11城域網(wǎng)metroareanetwork骨干網(wǎng)在城域范圍內的延伸和覆蓋，是覆蓋城市、郊區(qū)及其所轄的網(wǎng)絡。斷開一對節(jié)點之間所有通路所需要去掉的最少節(jié)點數(shù)。2.1.14帶寬平均峰值利用率bandwidthmeanpeakutilization利用率的算術平均值。網(wǎng)絡拓撲一個可連接的分段。這些子網(wǎng)和路由器等網(wǎng)絡設備一般都由一個單一的操作維護管理組織來控制，擁有單一和明確的路由政策，并使用一個自治域號來標識。2.1.16網(wǎng)間互聯(lián)networkinterconnection使用IP協(xié)議把多個IP網(wǎng)絡連接起來，在網(wǎng)絡層提供相互轉發(fā)IP包和路由信息服務，使一個IP網(wǎng)絡中的用戶能夠與所連接的IP網(wǎng)絡中的用戶相互通信或者能夠使用所連接的IP網(wǎng)絡中的各種業(yè)務應用資源。2.1.17轉接方式transfermode提供方互聯(lián)單位向客戶方互聯(lián)單位提供必要的路由信息，并提供IP數(shù)據(jù)包轉發(fā)服務，使客戶方互聯(lián)單位可以訪問提供方互聯(lián)單位IP網(wǎng)絡內的業(yè)務與應用資源，并通過提供方互聯(lián)單位的IP網(wǎng)絡實現(xiàn)對其他IP網(wǎng)絡的訪問。2.1.18對等方式peermode兩個互聯(lián)單位之間進行平等互聯(lián)，交換雙方IP網(wǎng)絡的路由信息并實現(xiàn)雙方IP網(wǎng)絡內用戶與業(yè)務應用的互訪，不轉接與第三方互聯(lián)單位之間的流量。一種協(xié)議封裝到另外一種協(xié)議中的技術，通過在荷載數(shù)據(jù)報文前封裝傳送數(shù)據(jù)報頭建立點到點的傳送通道，實現(xiàn)荷載數(shù)據(jù)在傳送報文網(wǎng)絡中傳送。2.1.20翻譯protocoltranslati將一種數(shù)據(jù)包中的每個字段與另一種數(shù)據(jù)包中的每個字段建立起一一映射的關系，從而在兩個網(wǎng)絡的互聯(lián)處實現(xiàn)數(shù)據(jù)報文轉換的技術。2.1.21網(wǎng)絡地址轉換networkaddresstranslation將IP數(shù)據(jù)包頭中的IP地址轉換為另一個IP地址的過程。按照IP協(xié)議分配的固定長度數(shù)字標識符，用于標識數(shù)據(jù)發(fā)送的源和目的地，包括IPv4地址和IPv6地址。2.1.23域名系統(tǒng)domainnamesystem域名系統(tǒng)是一種將域名映射為某些預定義類型資源記錄的分布式IP網(wǎng)絡服務系統(tǒng)，網(wǎng)絡中域名服務系統(tǒng)間通過相互協(xié)作實現(xiàn)域名到相應資源記錄的解析。2.1.24IP包傳輸時延IPpackettransferdelayIP數(shù)據(jù)包從網(wǎng)絡一個節(jié)點進入到離開網(wǎng)絡另一個節(jié)點所需要的傳輸時間。2.1.25IP包時延變化IPpacketdelayvariationIP包傳輸時延不超過概率為1-10-3的上限減去IP包傳輸時延的最小值。2.1.26IP包誤差率IPpacketerrorratio錯誤IP包傳送結果與成功IP包傳送加錯誤IP包傳送結果之和的數(shù)量比值。2.1.27IP包丟失率IPpacketlossratio丟失的IP包傳送結果與所有IP包的數(shù)量比值。2.1.28服務質量qualityofserviceIP網(wǎng)絡承載業(yè)務所需要的資源保證。服務質量采用指標來2.1.29接入連接建立成功率accessconnectionestablishment有線接入方式下為在用戶賬號、密碼正確的前提下，接入服務器的接通次數(shù)與用戶申請建立連接的總次數(shù)之比；無線接入方式下為無線終端發(fā)起分組數(shù)據(jù)連接建立請求并成功建立連接的次數(shù)與無線終端發(fā)起分組數(shù)據(jù)連接建立請求總次數(shù)之比。2.1.30用戶接入認證平均響應時間useraccessauthentication有線接入方式下為用戶申請建立網(wǎng)絡連接時，從用戶提交完賬號和密碼起，至接入服務器完成認證并返回響應止的時間平均值；無線接入方式下為從用戶提交完數(shù)據(jù)連接建立請求時起，至網(wǎng)ACLAccessControlList訪問控制列表BorderGatewayProtocolBroadbandRemoteAcDifferentiatedServiECMPXEqualCostMulti-PathE-LSPEXP-Inferred-PSCLSPs使用EXP字段FRRFastRerouteIPDVIPpacketDeIPERIPpacketErrorRatioIPTDIPpacketTransferIPv4InternetProtocolversion4IPv6InternetProtocolversion6NAPNetworkOTNOpticalTransportRDRouteDistinguisherRIPRouteSDNSoftuRPFunicastReversePathForwardingVLSMVariable-LenVPNVirtualPrivateNeXMLExtensible3.1.1公用互聯(lián)網(wǎng)網(wǎng)絡應由網(wǎng)絡節(jié)點、中繼電路、業(yè)務接入控制系統(tǒng)和運行維護支撐系統(tǒng)組成。3.1.2公用互聯(lián)網(wǎng)網(wǎng)絡的運行維護支撐系統(tǒng)可包括安全系統(tǒng)和網(wǎng)管系統(tǒng)等。3.2.1公用互聯(lián)網(wǎng)網(wǎng)絡應具備同時轉發(fā)IPv4和IPv6數(shù)據(jù)包能力及向下一代互聯(lián)網(wǎng)平滑過渡能力，可采用雙棧方式。3.2.2公用互聯(lián)網(wǎng)網(wǎng)絡應具備動態(tài)路由機制功能，建立維護數(shù)據(jù)包轉發(fā)路由表。3.2.3公用互聯(lián)網(wǎng)網(wǎng)絡宜支持MPIS協(xié)議。3.2.4公用互聯(lián)網(wǎng)網(wǎng)絡可支持SDN相關協(xié)議。3.2.5公用互聯(lián)網(wǎng)網(wǎng)絡應能接入各類用戶承載各種業(yè)務，應支持對用戶和業(yè)務的計費，應支持IPv4和IPv6用戶業(yè)務間的互通。3.2.6公用互聯(lián)網(wǎng)網(wǎng)絡應具備安全功能。3.2.7公用互聯(lián)網(wǎng)網(wǎng)絡應具備網(wǎng)管功能。4.1.2公用互聯(lián)網(wǎng)骨干網(wǎng)可包含省際骨干網(wǎng)和省內骨干網(wǎng)兩個網(wǎng)絡覆蓋和運營維護等因素，根據(jù)業(yè)務發(fā)展需要確定。未設置網(wǎng)絡節(jié)點的區(qū)域，可通過傳送網(wǎng)延伸。4.2.2根據(jù)建設需求，公用互聯(lián)網(wǎng)的骨干網(wǎng)可由匯接節(jié)點、國內互聯(lián)互通節(jié)點及國際互聯(lián)互通出入口節(jié)點組成。4.2.3不區(qū)分省際、省內子層次的公用互聯(lián)網(wǎng)骨干網(wǎng)，根據(jù)網(wǎng)絡規(guī)模以及維護管理邊界的不同，匯接節(jié)點可覆蓋至省會級或地市級。節(jié)點設置應符合下列規(guī)定：1匯接節(jié)點覆蓋至省會級時，可設置核心匯接節(jié)點和一般匯1)核心匯接節(jié)點用于匯聚、轉接一般匯接節(jié)點的流量，數(shù)量不宜多于30個；2)一般匯接節(jié)點接入疏通城域網(wǎng)的流量，數(shù)量不宜多于70個，每個省內的一般匯接節(jié)點數(shù)量不宜少于2個。2匯接節(jié)點覆蓋至地市級時，可設置核心匯接節(jié)點、匯聚匯接節(jié)點和一般匯接節(jié)點，并應符合下列規(guī)定：1)核心匯接節(jié)點用于轉接匯聚匯接節(jié)點的流量，數(shù)量不宜多于30個；2)匯聚匯接節(jié)點用于匯聚、轉接一般匯接節(jié)點的流量，數(shù)量不宜多于70個，每個省內的匯聚匯接節(jié)點數(shù)量不宜少于3)一般匯接節(jié)點接入疏通城域網(wǎng)的流量，數(shù)量不宜多于350個。4.2.4區(qū)分省際、省內子層次的公用互聯(lián)網(wǎng)骨干網(wǎng)，在省際骨干網(wǎng)內和省內骨干網(wǎng)內可分別設置核心匯接節(jié)點和一般匯接節(jié)點，并應符合下列規(guī)定：1省際骨干網(wǎng)的核心匯接節(jié)點用于匯聚、轉接省際骨干網(wǎng)的一般匯接節(jié)點的流量，數(shù)量不宜多于30個；一般匯接節(jié)點用于接入疏通省內骨干網(wǎng)，數(shù)量不宜多于70個，每個省內的一般匯接節(jié)點數(shù)量不宜少于2個；2省內骨干網(wǎng)的核心匯接節(jié)點用于疏通省間流量，匯聚、轉接省內骨干網(wǎng)一般匯接節(jié)點的流量，一般匯接節(jié)點用于接入疏通城域網(wǎng)流量。每個省內骨干網(wǎng)的核心匯接節(jié)點數(shù)量宜為2個～4個，一般匯接節(jié)點數(shù)量不宜多于30個。4.2.5骨干網(wǎng)國內網(wǎng)間互聯(lián)互通子層應設置互聯(lián)互通節(jié)點，主要功能應為轉接與國內其他公用互聯(lián)網(wǎng)之間的流量，實現(xiàn)國內網(wǎng)間互聯(lián)。4.2.6骨干網(wǎng)國際互聯(lián)互通子層應設置國際出入口節(jié)點，主要功能應為轉接國際業(yè)務流量，實現(xiàn)國際網(wǎng)間互聯(lián)。4.2.7城域網(wǎng)可由核心節(jié)點、業(yè)務接人控制節(jié)點、匯聚節(jié)點組成，并應符合下列規(guī)定：1城域網(wǎng)的核心節(jié)點應用于匯聚、轉接業(yè)務接入控制節(jié)點的流量，與骨干網(wǎng)互聯(lián)；根據(jù)城域網(wǎng)規(guī)模的不同，核心節(jié)點的數(shù)量宜為2個～4個；2城域網(wǎng)的業(yè)務接人控制節(jié)點應實現(xiàn)城域網(wǎng)業(yè)務的接入及控制、轉接匯聚節(jié)點的流量，節(jié)點數(shù)量應綜合考慮業(yè)務發(fā)展、網(wǎng)絡建設成本、故障影響面、光纖資源、傳輸資源和機房條件等因素進行核算；3城域網(wǎng)匯聚節(jié)點應用于匯聚來自城域接入網(wǎng)的流量，節(jié)點數(shù)量應基于接入節(jié)點的數(shù)量，根據(jù)業(yè)務需求取定適當?shù)氖諗勘?城域接入網(wǎng)的主要功能應為通過各種接入技術和線路資源實現(xiàn)對用戶的覆蓋，應提供多種方式的用戶接入，必要時可配合完成用戶流量控制功能。4.2.8國際網(wǎng)絡部分可根據(jù)業(yè)務需要設置國外節(jié)點，由國際流量交換節(jié)點和國際接入節(jié)點組成。4.3中繼電路組織4.3.1公用互聯(lián)網(wǎng)網(wǎng)絡節(jié)點之間可采用直達中繼電路或轉接方式實現(xiàn)業(yè)務流量疏通，電路組織應符合業(yè)務流量流向特點，并應根據(jù)節(jié)點間的業(yè)務流量需求規(guī)劃疏通方式、設定各級電路組織閥值。4.3.2公用互聯(lián)網(wǎng)骨干網(wǎng)整體上可采用不完全網(wǎng)狀結構進行中繼電路組織，并應符合下列規(guī)定：1骨干網(wǎng)內設置核心匯接節(jié)點、匯聚匯接節(jié)點和一般匯接節(jié)點時，匯接節(jié)點之間的中繼電路組織應符合下列規(guī)定：1)一般匯接節(jié)點應和2個以上(含2個)的匯聚匯接節(jié)點之間設置中繼電路，匯聚關系宜為在同一業(yè)務運營維護管理域內；2)匯聚匯接節(jié)點應和2個以上(含2個)的核心匯接節(jié)點之間設置中繼電路，匯聚關系應綜合考慮傳輸路由方向和本級電路組織閥值確定；3)同一業(yè)務運營維護管理域內的匯聚匯接節(jié)點之間宜設置直達中繼電路；4)業(yè)務流量大、超過本級電路組織閥值時，不同業(yè)務運營維護管理域內的部分匯聚匯接節(jié)點之間可設置高效直達中繼電路，該電路宜只用于疏通局部流量。2骨干網(wǎng)內設置核心匯接節(jié)點和一般匯接節(jié)點時，匯接節(jié)點之間的中繼電路組織應符合下列規(guī)定：1)一般匯接節(jié)點應和2個以上(含2個)的核心匯接節(jié)點之間設置中繼電路，匯聚關系應綜合考慮傳輸路由方向和本級電路組織閥值確定；2)業(yè)務流量大、超過本級電路組織閥值時，部分一般匯接節(jié)點之間可設置高效直達中繼電路，該電路宜只用于疏通3)包含省際、省內子層次的骨干網(wǎng)中，省內骨干網(wǎng)的核心匯接節(jié)點應和2個以上(含2個)的省際骨干網(wǎng)的一般匯接節(jié)點之間設置中繼電路。3核心匯接節(jié)點之間的中繼電路組織應符合下列規(guī)定：1)可采用不完全網(wǎng)狀結構或完全網(wǎng)狀結構進行電路組織，應綜合考慮傳輸路由方向和本級電路組織閥值確定拓撲2)核心匯接節(jié)點間的連通度不宜小于3。4互聯(lián)互通節(jié)點、國際出入口節(jié)點應和核心匯接節(jié)點間設置直達中繼電路。4.3.3公用互聯(lián)網(wǎng)城域網(wǎng)節(jié)點間的電路組織應符合下列規(guī)定：1核心節(jié)點之間可采用完全網(wǎng)狀結構進行電路組織；2業(yè)務接入控制節(jié)點宜和2個以上(含2個)的核心節(jié)點之間設置中繼電路；3匯聚節(jié)點宜和2個以上(含2個)的業(yè)務接入控制節(jié)點之4接入網(wǎng)絡出入口節(jié)點宜和2個以上(含2個)的匯聚節(jié)點之間設置中繼電路，匯聚關系應根據(jù)傳輸路由方向確定；5城域網(wǎng)的核心節(jié)點與骨干網(wǎng)的一般匯接節(jié)點之間應設置中繼電路。4.3.4若存在國際網(wǎng)絡部分，電路組織應符合下列規(guī)定：1國際流量交換節(jié)點應和2個以上(含2個)的國際出入口節(jié)點之間設置國際中繼電路；2國際流量交換節(jié)點、國際業(yè)務接入節(jié)點的中繼電路可參照國內網(wǎng)絡部分電路組織規(guī)定設置，應根據(jù)業(yè)務需求確定。4.3.5公用互聯(lián)網(wǎng)的中繼電路組織應保障網(wǎng)絡的可靠性，中繼方最重要級中繼方向，該中繼方向所屬中繼電路的中斷將導致較大面積網(wǎng)絡路由迂回、流量擁塞，或流量疏通能力明顯下降。R2級為重要級中繼方向，該中繼方向所屬中繼電路的中斷將導致部分網(wǎng)絡路由迂回、增加流量擁塞可能性，或流量疏通能力明顯下降。R3級為一般級中繼方向，該中繼方向所屬中繼電路的中斷將導致少量網(wǎng)絡路由迂回、增加流量擁塞可能性，或流量疏通能力下降；2R1級重要性中繼方向的中繼電路的可用性不宜低于99.999%,R2級重要性中繼方向的中繼電路的可用性不宜低于99.99%,R3級重要性中繼方向的中繼電路的可用性不宜低于3具備條件時，R1級、R2級中繼方向的中繼電路可采用MPLSTEFRR等技術配置邏輯備份電路，備份電路和被保護電路的中間路由不應相同，備份電路應能實現(xiàn)在50ms內倒換；4核心匯接節(jié)點間的中繼方向、互聯(lián)互通的中繼方向可為R1級重要性；5一般匯接節(jié)點至匯聚匯接節(jié)點或核心匯接節(jié)點、匯聚匯接節(jié)點至核心匯接節(jié)點的中繼方向可為R2級重要性；6匯聚匯接節(jié)點之間、一般匯接節(jié)點之間、城域網(wǎng)內的中繼方向可為R3級重要性。4.3.6公用互聯(lián)網(wǎng)的中繼電路組織應滿足網(wǎng)絡性能的要求，宜符合下列規(guī)定：12個城域網(wǎng)經(jīng)由骨干網(wǎng)轉接業(yè)務時，經(jīng)過的骨干網(wǎng)匯接節(jié)點數(shù)量不宜超過8個；2用戶在骨干網(wǎng)內到達互聯(lián)互通節(jié)點、國際出入口節(jié)點所經(jīng)過的骨干網(wǎng)匯接節(jié)點數(shù)不宜超過4個。4.3.7公用互聯(lián)網(wǎng)的中繼電路組織應和傳輸網(wǎng)絡進行聯(lián)合優(yōu)化，宜符合下列規(guī)定：1中繼電路組織應結合傳輸網(wǎng)絡路由情況，減少業(yè)務流量在傳輸網(wǎng)絡物理路徑上迂回；2源自一個節(jié)點不同方向的中繼電路宜采用不同的傳輸系3R2、R3級中繼方向的中繼電路，在可用性符合第4.3.5條第2款要求且IP網(wǎng)絡層面已經(jīng)配置有一定可靠性措施時，可不要求傳輸網(wǎng)絡為該中繼電路提供保護機制。4.4中繼電路帶寬計算4.4.1公用互聯(lián)網(wǎng)網(wǎng)絡中繼電路帶寬計算可采用以下步驟：1預測網(wǎng)絡流量；2估算網(wǎng)絡節(jié)點間流量矩陣；3根據(jù)中繼電路組織結果以及網(wǎng)絡路由策略計算每條中繼電路方向的流量；4配置中繼電路帶寬，并進行優(yōu)化調整。4.4.2預測網(wǎng)絡流量應考慮網(wǎng)絡承載的所有各類用戶和業(yè)務，網(wǎng)絡流量可估算為各類用戶網(wǎng)絡流量之和。某一類用戶的網(wǎng)絡流量可按下式計算：某類用戶網(wǎng)絡流量=該類用戶設計業(yè)務帶寬×用戶數(shù)×用戶使用網(wǎng)絡并發(fā)系數(shù)×統(tǒng)計復用系數(shù)式中，用戶使用網(wǎng)絡并發(fā)系數(shù)應通過分析業(yè)務統(tǒng)計數(shù)據(jù)結合業(yè)務預測取定，一般范圍在0.2～0.9;統(tǒng)計復用系數(shù)應通過分析業(yè)務統(tǒng)計數(shù)據(jù)結合業(yè)務預測取定，一般范圍在0.2～0.9。4.4.3網(wǎng)絡節(jié)點間流量矩陣估算可采用以下方法：1|可根據(jù)網(wǎng)絡流量預測結果結合歷史統(tǒng)計流向數(shù)據(jù)推算；2缺乏流向統(tǒng)計數(shù)據(jù)時也可采用吸引系數(shù)法估算，并根據(jù)網(wǎng)絡路由策略和網(wǎng)絡中內容源分布適當調整。吸引系數(shù)法估算可按下式計算：3宜估算網(wǎng)絡穩(wěn)態(tài)情況下的流量矩陣。對于服務質量有特定要求的，流量矩陣可疊加網(wǎng)絡部分中繼電路中斷時的迂回流量和邏輯備份電路的流量。4.4.4中繼電路帶寬應以計算得出的流量為基礎，綜合考慮網(wǎng)絡設備端口帶寬顆粒、傳輸網(wǎng)絡帶寬顆粒進行配置，宜符合下列規(guī)定：1穩(wěn)態(tài)下中繼電路的帶寬平均峰值利用率可為45%~2路由器和中繼電路單點故障下中繼電路的帶寬平均峰值利用率不宜超過90%;3有特定服務質量需求的中繼電路可采用輕載方式，帶寬平均峰值利用率可為10%～40%;4同局向中繼電路宜采用同類型端口，可采用鏈路捆綁、ECMP等技術進行配置以實現(xiàn)鏈路的負載均衡；5同局向中繼電路流量需求超過3條155Mb/s電路時，宜直接配置2.5Gb/s帶寬；6同局向中繼電路流量需求超過2條2.5Gb/s電路時，宜直接配置10Gb/s帶寬，超過4條GE電路帶寬時宜直接配置7同局向中繼電路流量需求超過8×10Gb/s帶寬時，宜直接配置100Gb/s帶寬。5.1.1公用互聯(lián)網(wǎng)網(wǎng)絡可劃分自治域，并宜符合下列規(guī)定：1骨干網(wǎng)、城域網(wǎng)可分別采用獨立自治域設置。城域網(wǎng)規(guī)模較小時可不設置為獨立的自治域，而是將其作為一個IGP路由域連接至骨干網(wǎng)；2不區(qū)分省際、省內子層次的骨干網(wǎng)宜采用單一自治域設置；3區(qū)分省際、省內子層次的骨干網(wǎng)中，省際骨干網(wǎng)和省內骨干網(wǎng)可分別采用獨立自治域設置；4網(wǎng)絡包含國際網(wǎng)絡部分時，國際網(wǎng)絡部分可納入骨干網(wǎng)自治域。5.1.2公用互聯(lián)網(wǎng)網(wǎng)絡在自治域內應配置合適的域內路由協(xié)議，域內路由協(xié)議應采用動態(tài)路由機制，可選用IS-IS協(xié)議或OSPF協(xié)議。5.1.3公用互聯(lián)網(wǎng)網(wǎng)絡在自治域之間應配置合適的域間路由協(xié)議，域間路由協(xié)議應采用BGP協(xié)議。5.1.4用戶接入可采用靜態(tài)路由配置，有需求的用戶接入也可采5.1.5公用互聯(lián)網(wǎng)網(wǎng)絡配置的路由協(xié)議應具備同時支持IPv4和IPv6路由的能力。5.2.1路由策略設計應符合下列規(guī)定：1路由策略的實施應實現(xiàn)正確的路由信息接收與宣告；2路由策略的實施在保證網(wǎng)絡結構的前提下，應避免網(wǎng)絡中出現(xiàn)單故障點，提高網(wǎng)絡的生存能力；3路由策略的實施應實現(xiàn)預期的路由選擇方案，使網(wǎng)絡業(yè)務流量合理分布在各條中繼電路上；4路由策略應保證網(wǎng)絡具有可擴展性，使得網(wǎng)絡擴展后全部資源可以被優(yōu)化利用；5路由策略應簡潔、便于維護管理，對業(yè)務流量流向的變化應具有適應性，能夠根據(jù)流量流向變化方便、快速地進行調5.2.2路由信息的接收與宣告應符合下列規(guī)定：1采用域內路由協(xié)議承載網(wǎng)絡拓撲路由信息，并確定域間路由的下一跳信息；2可采用域間路由協(xié)議BGP承載外部網(wǎng)絡路由信息及用戶路由信息；3根據(jù)與其他網(wǎng)絡的互聯(lián)互通協(xié)議以及對用戶的服務協(xié)議要求，正確地接收對方網(wǎng)絡的路由信息及用戶的路由信息，向對方網(wǎng)絡正確宣告本網(wǎng)絡的路由信息及用戶的路由信息，并可采用BGP控制實現(xiàn)對接收、宣告的內容控制；宣告路由時應采用CIDR等方式進行路由聚合；接收路由時應控制外網(wǎng)路由信息的分布范圍；4在域內和域間兩類路由協(xié)議之間不宜互相注入路由信息。5.2.3流量流向規(guī)劃與路由選擇規(guī)則宜符合下列規(guī)定：1網(wǎng)絡應進行流量流向規(guī)劃，網(wǎng)絡正常情況下應符合下列規(guī)定：1)核心匯接節(jié)點之間的流量應在核心匯接節(jié)點之間內部疏2)匯聚匯接節(jié)點之間的流量應通過核心匯接節(jié)點之間疏導，不應通過一般匯接節(jié)點疏導，當匯聚匯接節(jié)點之間存在直連的時候，應優(yōu)先選擇直連電路疏導流量；3)一般匯接節(jié)點之間的流量應通過匯聚匯接節(jié)點之間疏導，當接入?yún)R接節(jié)點之間存在直連的時候，應優(yōu)先選擇直連電路疏導流量；4)根據(jù)所承載的業(yè)務情況，多條可選路由間可采用主備方式或分擔方式規(guī)劃流量疏通方案。2路由選擇規(guī)則應與流量流向規(guī)劃相匹配，可依據(jù)就近原則或指定路徑原則制定。3路由選擇規(guī)則的設計實現(xiàn)可采用下列方式：1)合理設計域內路由協(xié)議的鏈路權值；2)合理設計使用域間路由協(xié)議的各種屬性賦值；3)采用MPLSTE技術。4網(wǎng)絡路由宜進行聚合。5網(wǎng)絡中不應存在路由選擇循環(huán)，并不應存在路由黑洞。5.2.4路由協(xié)議應正確進行運行參數(shù)屬性設計，并應符合下列規(guī)定：1合理設計域內路由協(xié)議的分級或分區(qū)域；2合理確定網(wǎng)絡中運行BGP協(xié)議的節(jié)點范圍；3可采用BGP路由反射器技術，路由反射器可根據(jù)網(wǎng)絡規(guī)4合理運用路由協(xié)議的快速收斂技術；5可采用BFD快速故障檢測技術；6可采用不間斷轉發(fā)、不間斷路由技術。5.2.5網(wǎng)絡可通過廣域SDN技術，根據(jù)用戶需求和全網(wǎng)的鏈路狀態(tài)進行流量疏導。6.1國內網(wǎng)間互聯(lián)聯(lián)互通子層內。間業(yè)務。質量。寬進行計費，應支持對互聯(lián)電路進行監(jiān)控、管理和統(tǒng)計。聯(lián)?；ヂ?lián)應通過批準的國際出入口節(jié)點實現(xiàn)。互聯(lián)網(wǎng)互聯(lián)，實現(xiàn)互聯(lián)網(wǎng)國際業(yè)務的疏通備份或分擔。滿足業(yè)務互通需要。關屬性參數(shù)，引導入網(wǎng)流量。性參數(shù)賦值含義及方式，引導出網(wǎng)流量。7.1網(wǎng)管體系結構7.1.1公用互聯(lián)網(wǎng)的網(wǎng)管體系結構可采用三級結構或兩級結構，并宜符合下列規(guī)定：1采用兩級網(wǎng)管體系時可設置骨干網(wǎng)網(wǎng)管中心和城域網(wǎng)網(wǎng)1)骨干網(wǎng)網(wǎng)管中心負責管理骨干網(wǎng)，可采用集中管理、分級操作的管理方式，同時在各省設置省級操作維護2)骨干網(wǎng)網(wǎng)管中心可在異地設置備用網(wǎng)管中心；3)城域網(wǎng)網(wǎng)管中心負責管理城域網(wǎng)，城域網(wǎng)網(wǎng)管中心也可在省內全省集中設置；4)城域網(wǎng)網(wǎng)管中心與骨干網(wǎng)網(wǎng)管中心之間通過接口實現(xiàn)信息交互!2采用三級網(wǎng)管體系時可設置一級網(wǎng)管中心、二級網(wǎng)管中心和城域網(wǎng)網(wǎng)管中心，并宜符合下列規(guī)定：1)一級網(wǎng)管中心全國設置1個，負責省際骨干網(wǎng)絡的管理；2)二級網(wǎng)管中心每省設置1個，負責省內骨干網(wǎng)絡的管理；3)城域網(wǎng)網(wǎng)管中心負責管理城域網(wǎng)；4)各級網(wǎng)管中心之間通過接口實現(xiàn)信息交互。7.1.2網(wǎng)管中心與被管設備之間的網(wǎng)管信息通道宜優(yōu)先采用帶內方式，并應保證網(wǎng)管數(shù)據(jù)流的可靠傳輸，可同時提供帶外網(wǎng)管通道作為應急備份。7.1.3網(wǎng)管中心可通過接口與綜合網(wǎng)管系統(tǒng)實現(xiàn)連接，以實現(xiàn)綜合的資源、故障、性能等管理功能，也可通過接口與其他支撐系統(tǒng)連接。7.2.1網(wǎng)管中心與被管設備之間的接口協(xié)議應符合下列規(guī)定：2應具備流量流向統(tǒng)計接口，實現(xiàn)網(wǎng)絡性能的監(jiān)測、安全管理和計費管理等功能；3宜能詳細記錄系統(tǒng)活動日志，實現(xiàn)系統(tǒng)運行評估；4宜支持遠程登錄和虛擬終端功能；5宜支持遠程主機之間的文件傳輸；6宜提供XML接口及配置模板，實現(xiàn)網(wǎng)管中心對被管設備7應支持IPv4單協(xié)議棧及IPv6單協(xié)議棧場景下接口通信，應同時支持IPv4、IPv6雙協(xié)議棧場景下接口通信。7.2.2被管網(wǎng)絡設備應支持通用的公有信息模型，應符合網(wǎng)管接口功能要求，可提供動態(tài)資源配置信息、實時告警信息、準實時性VPN管理信息等。7.3.1配置管理實現(xiàn)功能應符合下列規(guī)定：設備內部的物理狀態(tài)信息；3可支持業(yè)務配置和管理，支持有關業(yè)務相關參數(shù)的創(chuàng)建和修改；4應支持配置數(shù)據(jù)管理，支持對配置數(shù)據(jù)的合法性檢查，自動生成配置數(shù)據(jù)，支持數(shù)據(jù)備份和恢復能力。7.3.2資源管理實現(xiàn)功能應符合下列規(guī)定：1應支持拓撲管理功能，支持拓撲編輯，支持拓撲自動發(fā)現(xiàn)、監(jiān)視與瀏覽，支持不同層次的拓撲視圖展示，實現(xiàn)基于拓撲的流量軟件版本管理等功能；3宜支持路由管理功能，可對網(wǎng)絡中的路由實體進行監(jiān)測，對網(wǎng)絡路由信息及其變化情況進行分析；4宜提供資源報表統(tǒng)計、資源預警等功能。7.3.3故障管理實現(xiàn)功能應符合下列規(guī)定：1應支持告警的收集與顯示、屏蔽與過濾、轉發(fā)、確認與升2應支持對告警分類，可按嚴重等級劃分；3應支持告警相關性抑制和故障定位。7.3.4計費管理實現(xiàn)功能應符合下列規(guī)定：1可通知用戶所承擔的費用或所消耗的資源；2可設置計費限量并使費率安排與資源的使用聯(lián)系起來；3可把為獲得一種給定的通信目標而調用多個資源的費用組合起來；4計費原始數(shù)據(jù)保存時限不應小于5個月。7.3.5性能管理實現(xiàn)功能應符合下列規(guī)定：務質量監(jiān)控，能及時了解設備健康狀況、鏈路的資源利用情況和故統(tǒng)計數(shù)據(jù)報表輸出；3應支持性能門限管理，支持性能指標閾值告警。7.3.6安全管理實現(xiàn)功能應符合下列規(guī)定：1應具備用戶管理功能，能提供基于控制點和角色的權限2應具備對系統(tǒng)操作日志記錄功能，提供日志的管理和3應能提供與安全有關事件的報告；4可通過訪問控制和備份等手段保證網(wǎng)管數(shù)據(jù)安全。7.3.7流量流向分析實現(xiàn)功能應符合下列規(guī)定：1可支持不同統(tǒng)計粒度分析，并可支持多個網(wǎng)絡設備輸出的2應支持過濾器定制，支持接收、拒絕特定類型的流量數(shù)據(jù)；3應支持聚合規(guī)則定制，支持按不同聚合規(guī)則聚合數(shù)據(jù)；4應支持對流量統(tǒng)計數(shù)據(jù)進行統(tǒng)計分析及其分析結果的圖7.3.8QoS管理實現(xiàn)功能宜符合下列規(guī)定：1可支持DiffSeryQoS管理，并可支持IPDiffServ、E-LSP2可支持MPLSTEQoS管理；3可支持QoS網(wǎng)絡資源、QoS策略自動發(fā)現(xiàn)；5可對流量按照特定規(guī)則進行分類，可實現(xiàn)基于類的流量監(jiān)7.3.9MPLS管理實現(xiàn)功能應符合下列規(guī)定：2應支持MPLSTE網(wǎng)絡拓撲自動發(fā)現(xiàn)；3可支持MPLS能力配置、LDP能力配置、MPLSTE能力5應支持靜態(tài)LSP端到端的規(guī)劃、部署、審計和監(jiān)控，支持8.0.1公用互聯(lián)網(wǎng)骨干網(wǎng)的傳輸網(wǎng)宜以光傳送網(wǎng)為主構建，宜采采用SDH幀結構、以太網(wǎng)幀結構或OTN幀結構進行傳輸，采用SDH幀結構時路由器的時鐘同步定時系統(tǒng)應符合SDH系統(tǒng)對同步時鐘的要求。8.0.2公用互聯(lián)網(wǎng)城域網(wǎng)的傳輸網(wǎng)宜以光傳送網(wǎng)為主，以其他方式為輔構建。8.0.3公用互聯(lián)網(wǎng)網(wǎng)絡內部采用的保護機制應和傳送網(wǎng)的保護倒換機制進行協(xié)同。8.0.4公用互聯(lián)網(wǎng)網(wǎng)絡設備應可靠接入時間同步定時設備，可采用時間服務器和時間客戶端工作方式，宜選NTP協(xié)議。9.0.1公用互聯(lián)網(wǎng)可承載語音、數(shù)據(jù)和多媒體類業(yè)務，業(yè)務形式可包括網(wǎng)絡接入類業(yè)務、資源出租類業(yè)務、能力服務類業(yè)務和應用內容類業(yè)務等。9.0.2公用互聯(lián)網(wǎng)可配置接入設備實現(xiàn)網(wǎng)絡接入類業(yè)務、配合實現(xiàn)資源出租類中的VPN業(yè)務等，并應符合下列規(guī)定：1公用互聯(lián)網(wǎng)可與固定電話網(wǎng)、移動通信網(wǎng)互聯(lián)，宜實現(xiàn)通過固定電話網(wǎng)、移動通信網(wǎng)接人；2公用互聯(lián)網(wǎng)城域網(wǎng)可與各種接入網(wǎng)互聯(lián)，應支持寬帶接入9.0.3公用互聯(lián)網(wǎng)可通過接入IDC提供資源出租類、能力服務類等業(yè)務。根據(jù)IDC業(yè)務量大小，可選擇在核心匯接節(jié)點、匯聚匯接節(jié)點或一般匯接節(jié)點接入。9.0.4公用互聯(lián)網(wǎng)可通過與疊加建設的各類業(yè)務網(wǎng)絡互聯(lián)，提供能力服務類和應用內容類等業(yè)務。業(yè)務網(wǎng)絡設施可入駐在IDC中或作為獨立系統(tǒng)接入。9.0.5公用互聯(lián)網(wǎng)可疊加建設內容分發(fā)系統(tǒng)，引導業(yè)務內容在網(wǎng)絡中的分布，改善用戶使用體驗。9.0.6公用互聯(lián)網(wǎng)承載業(yè)務應根據(jù)各種業(yè)務的服務質量、可靠性、安全性等方面的要求，采用一定的承載技術實現(xiàn)。對于可靠性要求，可通過網(wǎng)絡冗余等方式實現(xiàn)；對于安全性和服務質量要求，可通過網(wǎng)絡承載隔離以及各種服務質量保證技術實現(xiàn)；業(yè)務有對時鐘同步和對時間同步的傳送需求時，有關網(wǎng)絡設備應支持高精度時間同步協(xié)議。9.0.7公用互聯(lián)網(wǎng)的業(yè)務承載能力應根據(jù)業(yè)務需求預測確定。為保證網(wǎng)絡易于擴展，網(wǎng)絡設備的業(yè)務承載能力滿足期可適當超前，網(wǎng)絡中繼電路的業(yè)務承載能力滿足期超前不宜超過2年。9.0.8公用互聯(lián)網(wǎng)業(yè)務運營所需的BSS、OSS系統(tǒng)宜與運營者的其他業(yè)務需求綜合建設，并應能通過逐步擴展支持IPy6及向下一代互聯(lián)網(wǎng)平滑過渡技術相關屬性等方式，滿足相應的業(yè)務運營需求。9.0.9公用互聯(lián)網(wǎng)可綜合采用隧道、翻譯等機制，支持IPv4公網(wǎng)網(wǎng)核心層或業(yè)務接入控制層部署CGN、AFTR等網(wǎng)絡地址轉換設備。10.1.1公用互聯(lián)網(wǎng)的業(yè)務接入號碼應合理規(guī)劃，并應符合有關行業(yè)主管部門的要求。10.1.2公用互聯(lián)網(wǎng)骨干網(wǎng)應采用公開的自治域號碼，網(wǎng)內的其他獨立自治域可采用公開自治域號碼或私有自治域號碼，私有自治域號碼在內部應統(tǒng)一規(guī)劃、分配，并應在網(wǎng)絡互聯(lián)出口過濾。10.1.3公用互聯(lián)網(wǎng)提供M規(guī)劃、分配。10.2.1公用互聯(lián)網(wǎng)的網(wǎng)絡設備端口互聯(lián)地址、網(wǎng)絡設備管理地地址長期共存。10.2.2IP地址規(guī)劃分配應符合下列規(guī)定：2應盡量提高地址利用率；3可進行合理的地址預留；4應便于溯源；5IPv4地址分配應符合下列規(guī)定：1)應利用CIDR、VLSM等技術，分子網(wǎng)掩碼時應保持地址的連續(xù)和路由表的優(yōu)化；2)宜保持地址分配的連續(xù)性，宜按地域分配連續(xù)的IP地3)在不影響業(yè)務開展的前提下，可規(guī)劃和使用IPv4私有6IPv6全球單播地址分配應符合下列規(guī)定：1)IPv6全球單播地址應包括全球路由前綴、子網(wǎng)ID和接口標識符部分，前綴和子網(wǎng)ID部分與接口標識符可按照64/64劃分；2)地址前綴規(guī)劃應易于地址聚合，可基于相同地理位置、相同業(yè)務類型或者相同組織類別的子網(wǎng)使用相同前綴，應兼顧等級結構和扁平化尋址結構的使用；3)接入用戶宜根據(jù)規(guī)模需求不同采用下列地址塊尺寸進行7組播業(yè)務需要的組播地址可采用靜態(tài)地址分配方法分配。10.3.1公用互聯(lián)網(wǎng)應根據(jù)業(yè)務需要對域名統(tǒng)一規(guī)劃。10.3.2應根據(jù)業(yè)務和運營管理需要確定域名系統(tǒng)的層次，并可相應地設置各層次的域名服務器，具備條件的可引入域名根服務器鏡像。10.3.3域名服務器部署應符合下列規(guī)定：1功能上應由權威服務器和遞歸服務器組成，兩類解析服務器宜分離部署；2同一區(qū)的權威服務器不應少于2臺，應支持域名解析的冗余、負荷分擔，域名數(shù)據(jù)在各服務器上應主輔同步，各服務器應保持時間同步，可采用NTP協(xié)議；3同一服務域內的遞歸服務器應支持域名解析的冗余、負荷分擔。10.3.4域名服務器宜采用雙棧工作方式同時支持IPv4域名解析和IPv6域名解析。10.3.5域名服務器應保存解析日志，保存時長不應小于3個月。11.1.1公用互聯(lián)網(wǎng)骨干網(wǎng)的性能宜符合下列規(guī)定：1網(wǎng)內任意兩個國內節(jié)點間忙時算術平均IPTD不宜大于50ms(個別偏遠節(jié)點除外);2網(wǎng)內任意兩個國內節(jié)點間忙時IPDV不宜大于10ms;3網(wǎng)內任意兩個國內節(jié)點間忙時IPLR不宜大于0.1%;4網(wǎng)內任意兩個國內節(jié)點間忙時IPER不宜大于0.01%;5骨干網(wǎng)的IGP路由收斂時間不宜大于30s。11.1.2公用互聯(lián)網(wǎng)城域網(wǎng)的性能宜符合下列規(guī)定：1網(wǎng)內任意兩個節(jié)點間忙時IPTD(不包含接入鏈路)不宜大于20ms;2網(wǎng)內任意兩個節(jié)點間忙時IPDV(不包含接入鏈路)不宜大于5ms;3網(wǎng)內任意兩個節(jié)點間忙時IPLR(不包含接入鏈路)不宜大于0.1%;4網(wǎng)內任意兩個節(jié)點間忙時IPER(不包含接入鏈路)不宜大于0.01%。11.2.1公用互聯(lián)網(wǎng)接入類業(yè)務的服務質量宜符合下列規(guī)定：1接入連接建立成功率不應小于95%;2用戶接入認證平均響應時間不宜大于8s。11.2.2公用互聯(lián)網(wǎng)業(yè)務的計費準確率不宜小于99.99%。11.2.3權威域名服務器的服務可用性不宜小于99.999%,95%域名解析請求的響應時間不宜大于500ms;遞歸域名服務器的服務可用性不宜小于99.99%,95%域名解析請求的響應時間不宜大于1500ms。11.2.4可根據(jù)業(yè)務需要對業(yè)務進行服務質量分級，可設置8個不同的質量服務等級，不同的業(yè)務可根據(jù)服務質量需求映射到這8個服務等級中。11.2.5可采用DiffServ、E-LSP和MPLS-TE等IPQoS技術實現(xiàn)服務質量保證。11.2.6宜部署服務質量監(jiān)測平臺為用戶提供服務質量監(jiān)測服務。12.1安全目標與框架12.1.1公用互聯(lián)網(wǎng)的網(wǎng)絡與信息安全目標應在合理的安全成本基礎上，保證各類網(wǎng)元設備的正常運行，保證信息在網(wǎng)絡上的安全傳輸，保障網(wǎng)絡的運營維護管理安全，保障業(yè)務安全和內容安全，并應符合相關行業(yè)管理要求。12.1.2公用互聯(lián)網(wǎng)的安全框架應由防護、檢測與評估、響應閉環(huán)1防護部分應提供基本的安全技術和安全措施；2檢測與評估部分宜實現(xiàn)對全網(wǎng)的實時監(jiān)控，定期對全網(wǎng)進行安全掃描和風險評估，并將結果傳給響應系統(tǒng)；3響應部分應能根據(jù)檢測和評估結果，調整安全策略、產生4安全框架所需保障設施應與網(wǎng)絡同步規(guī)劃、設計、建設。12.2.1公用互聯(lián)網(wǎng)宜設立安全管理中心，作為實現(xiàn)網(wǎng)絡安全管理的技術平臺。12.2.2安全管理中心的功能宜符合下列規(guī)定：1安全管理中心宜實現(xiàn)對各種IP安全工具的統(tǒng)一管理，并宜建立位于安全產品之上，面向管理層的監(jiān)視、管理、統(tǒng)計、分析2宜實現(xiàn)安全事件集中監(jiān)控，并在各類安全設備、安全軟件、系統(tǒng)軟件之上建立安全事件的集中監(jiān)控體系，實現(xiàn)安全事件的采息，具有一定的安全事件的統(tǒng)計分析和報表功能；3宜建立信息資產與安全風險管理中心，統(tǒng)一管理信息資產險評估結果進行管理，同時提供統(tǒng)計分析功能，為建立統(tǒng)一的信息資產安全管理和信息安全風險評估與管理體系提供支撐；4宜實現(xiàn)安全策略管理，實現(xiàn)安全配置管理，根據(jù)安全檢測和評估結果調整安全策略，實現(xiàn)有關的安全配置；5宜實現(xiàn)安全事件預警，提供安全趨勢分析和預警機制；6宜建立安全信息庫，積累安全管理相關知識經(jīng)驗，為形成專家知識庫提供基礎；7宜實現(xiàn)與其他管理信息系統(tǒng)的信息交換。安全管理和技術手段。12.3.2公用互聯(lián)網(wǎng)宜在IDC出口處、網(wǎng)間互聯(lián)處和網(wǎng)絡內不同層次之間設置流量檢測與控制系統(tǒng)，應主要實現(xiàn)下列功能：1異常流量檢測及控制；2不良信息檢測及控制。12.4.1公用互聯(lián)網(wǎng)的用戶信息應加密存儲，訪問用戶信息應進行權限控制。12.4.2用戶使用公用互聯(lián)網(wǎng)接入業(yè)務應可溯源，網(wǎng)絡接入訪問日志記錄保存不應少于6個月。12.4.3公用互聯(lián)網(wǎng)接入、承載的業(yè)務系統(tǒng)應符合下列規(guī)定：1應劃分安全域，應配置防火墻進行安全域邊界控制；2業(yè)務提供、控制與管理過程應保護用戶隱私，不泄漏用戶相關敏感信息；3業(yè)務控制與管理應提供并啟用身份鑒別、標識唯一性檢查、鑒別信息復雜度檢查及登錄失敗處理功能；4業(yè)務控制與管理應嚴格限制默認賬號的權限，各賬號應依據(jù)最小授權原則授予完成各自承擔任務所需的權限，按安全策略要求控制對文件、數(shù)據(jù)庫表等內容的訪問；5系統(tǒng)訪問控制策略應由授權主體配置；6業(yè)務控制與管理應提供覆蓋到每個賬號的安全審計功能，應保證無法刪除、修改或覆蓋審計記錄，業(yè)務相關審計記錄的內容7宜對業(yè)務及應用相關通信過程中的關鍵報文或會話過程提供必要的保護，并提供業(yè)務及應用相關訪問、通信等數(shù)據(jù)的防抵賴功能；8宜對業(yè)務及應用服務水平進行檢測，具有當服務水平降低到預先規(guī)定的閥值時進行告警、控制的功能。12.5.2公用互聯(lián)網(wǎng)應在域內路由協(xié)議和域間路由協(xié)議中啟用校驗和認證功能，保證路由信息的完整性和已授權性。12