国家标准 GB/T29234一2012 基于公用电信网的宽带客户网络安全技术要求 lrequirementsforbroadbamd Security technical customernetworkbasedon telecommumicationnetwork 2012-12-31发布 2013-06-01实施国家质量监督检验检疫总局发布国家标准化管理委员会国家标准
GB/T29234一2012 前言本标准按照GB/T1.1一2009给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由工业和信息化部提出本标准由通信标准化协会归口本标淮起草单位;工业和信息化部电信研究院本标准主要起草人;程强,敖立、刘谦、陆洋
GB/T29234一2012 户网络设备它可以由宽带客户网络内部CA发放,也可由外部CA发放 3.4 加盐salt 就是在已执行哈希运算的密码中插人一个随机数字这一策略有助于阻止潜在的攻击者利用预先计算的字典进行攻击 3.5 Smurf攻击smurfattack -种拒绝服务攻击的方法,通过伪装成受害主机的源IP地址发送目的地址为广播地址的PING 包,利用大量的PING响应攻击受害者 33 6 LAND攻击LANDattack -种拒绝服务攻击的方法,通过向受害主机发送源和目的地址相同设为受害主机地址的IP报文、导致受害主机连续地向自身发送响应报文 3.7 拒绝服务攻击Dosattack 阻止正常合法用户对资源的访问或对时间关键的操作进行延迟的攻击 3.8 中间人攻击man-in-th-middleattaek -种主动窃取被攻击者之间的通信的手段通过在被攻击者之间对消息进行截取并转发获得被攻击者的通信信息或插人伪造的信息缩略语下列缩略语适用于本文件 ACL;访问控制列表(AccessControlList) ANY;任意(Any ARP;地址解析协议(AddressResolutionProtocol) CA;证书机构(CertifieateAuthority) CHAP;质询握手认证协议(ChalengeHandshakeAuthenticationProtocol) Dos;拒绝服务(DenialofService) DMZ:隔离区(DeMilitarizedZone) EUTE:用户终端功能实体(EndUserTerminalEntity FPE:功能处理实体(Fun Entity) nalProeessing nct1Or FTP:文件传输协议(FileTransferProtocoD HTTP;超文本传送协议(HypertextTransferProtocoD) HrTPs;超文本安全传送协议(HypertextTnsferProtocolSeure) CMP;互联网控制消息协议(InternetControlMessageProtocol IGMP;互联网组管理协议(InternetGroupManagementProtocol) ID:身份(Identity IP;互联网协议(InternetProtoeol IPoE:以太网承载IP(IPoverEthernet IPTV:IP电视(IPTelevision)
GB/T29234一2012 LAN:局域网(LocalAreaNetwork MAC;媒质访问控制MediaAccess Control MGCP;媒体网关控制协议(MediaGatewayControlProtocol NAE;网络接人实体(NetworkAccessEntity NAT;网络地址翻译(NetworkAddressTranslation) NCE;网络核心功能实体(NetworkCoreEntity PAP:密码认证协议(PasswordAuthenticationProtocol PPP点到点协议(PointtoPointProtocal overEthernet) PPPoE:以太网承载PPP(PPP PPPoA:ATM承载PPP(PPPoverATM) QoS;服务质量(QualityofService' RBAC;基于角色的访问控制(Role-basedAccessControlD) sIP;会话初始协议(SessionInitiationProtocoD SNMP:简单网络管理协议(SimpleNetworkManagementProtocol SSH:安全壳协议(SecureShellProtocol rviceSetidentifier SSID服务集标识(Se SSL;安全套接字层(SecureSocketlLayer TransmissionControlProtocolD TCP;传输控制协议(Tr TLs;传送层安全(TransportLevelSecurity UDP;用户数据报协议(UserDatagramProtocol volP.IP承载的语音(VoiceoverIP wAN;广域网(wideAreaNetwork) wLAN;无线局域网(wirelessLocalAreaNetwork 宽带客户网络的安全概述 5.1宽带客户网络的参考模型 YD/T14482006给出了基于公用电信网的宽带客户网络的参考模型,如图1所示宽带客户网络用户终端功能实体 (EUTB 接网络接入功能实体网络核心功能实体入 NAE) NCE) 网用户终端功能处理实体功能实体 FPE EUE) 图1宽带客户网络参考模型在图1中 -NAE为宽带客户网络提供接人功能;
GB/T29234一2012 -NCE负责完成宽带客户网络的核心功能,包括:宽带客户网络内部设备的联网、远程管理、 QoS,安全等; -FPE负责IP/非IP的转换,以及信令,媒体格式的转换 -EUTE由用户直接使用,提供U1界面 5.2宽带客户网络安全的特点宽带客户网络位于网络的末端,混合了有线和无线联网技术,并且直接给用户提供使用界面,具有以下独特的安全特点使用各种不同的传输媒质; -混合有线和无线的联网技术; -不同的客户有不同的应用场景和安全要求; 用户可能随身携带终端; -宽带客户网络设备多种多样,安全能力各不相同宽带客户网络面临的安全威胁概述 6 宽带客户网络可以由有线联网和无线联网或其混合组成,因此宽带客户网络面临的安全威胁包括了有线网络和无线网络宽带客户网络的安全威胁可以分为两类;通用的安全威胁和移动环境的安全威胁通用安全威胁 6 2 6.2.1窃听/泄露在开放的网络环境下最易遭遇的安全问题是通过窃听进行匿名攻击窃听攻击者可以主动地截获传输的数据导致信息的泄露 6.2.2通信阻断/通信拥塞一个通信链路上的需要收发的数据量通过有意或无意的方式超过了链路容量,可以有效地使该链路失效例如DoS攻击可以产生该威胁 6.2.3数据修改/注入当未授权的通信实体为了劫持数据连接或恶意发送数据而对传输的数据进行插人、修改或删除时产生该威胁其中未授权的实体可以是人员、程序或计算机等设备例如DoS攻击或中间人(man-in the-middle)攻击可以产生该威胁 6.2.4未授权访问访问控制是限制和控制通过通信链路对业务/服务的访问的能力当非法的实体通过仿冒合法用户获得对业务/服务的访问权时产生该威胁试图进行未授权访问的实体应被鉴别或认证例如,暴露的wAN口的网关管理接口容易收到非授权访问威胁 6.2.5抵赖当发送者或接收者否认曾经发送或接收某消息的事实时产生该威胁
GB/T29234一2012 6.2.6数据包错误转发该威胁是数据流中的数据包并未向预定的端点转发或被预定端点收取例如在家庭网关中的路由表的配置错误可导致该威胁 6.3移动环境的安全威胁 6.3.1窃听/泄露在移动通信环境中,由于无线信号传输的开放性,截获发送的信号并解码其中的数据更加容易例如,宽带客户网络内未经加密传输的wLAN数据有可能被窃听 6.3.2通信阻断/通信拥塞对于使用无线传输技术的网络,该威胁更易实施该威胁有两种不同的方式;拥塞终端设备和拥塞网元设备通过前者可以仿冒和干扰合法的无线终端,通过后者可以仿冒和干扰带有无线接口的网元设备,阻断正常的通信例如wLAN的AP会受到此种威胁 6.3.3移动终端丢失由于移动终端被用户四处携带,丢失终端将导致存储其中的信息的泄露或损失 6.3.4通信意外中断由于移动终端有限的电源供应或通信环境不稳定,该威胁可能造成数据丢失宽带客户网络的安全需求概述考虑到宽带客户网络混合了有线和无线网络技术,宽带客户网络中的安全需求与ITU-Tx.1121 中描述的安全需求类似另外,加人了ITU-Tx.805中对通信流安全的要求 7.2宽带客户网络安全需求 7.2.1数据保密性数据保密性保护数据防范未经授权的泄露数据保密性应确保数据内容无法被未授权的实体读取加密、访问控制和文件权限都是用来提供数据保密性的常用方法 7.2.2数据完整性数据完整性应确保数据的正确性和精确性数据应可以防范未授权的修改,删除,创建和复制,并可以提供这些未授权活动的指示 7.2.3认证认证过程是指鉴别用户身份与其所声称的是否一致或是确保消息的来源与其宣称的发送者是否一致有两种不同的认证实体认证消息认证
GB/T29234一2012 实体认证确保实体身份的有效性,消息认证确保消息的来源的有效性实体认证用于证实参与通信的实体的身份,消息认证证实参与通信的实体所声明的身份(例如,个人,设备、服务或应用)并且提供手段防止实体试图假冒或非法重放过去的通信过程认证可以通过使用ID证书和宽带客户网络设备证书实现 7.2.4访问控制或授权访问控制防止未授权地使用网络资源访问控制应保证只有获授权的个人或设备才可访问网络、存储的信息、信息流、业务或应用另外,基于角色的访问控制可提供不同的访问级别来精细化个人或设备被授权可以访问的内容和执行的操作有三种不同的授权方式使用ACL授权; 使用认证服务器授权使用授权证书或属性证书和身份证书访问控制或授权可以通过使用授权证书和ACL完成在宽带客户网络的人口点的访问控制和授权可以通过宽带客户网络网关中的防火墙实现防火墙的主要目的是阻止来自公众网络的未授权的访问防火墙常用于阻止未授权的因特网用户访问连接到因特网的私有网络,例如,内联网(Intranet). 所有进出内联网的消息都要经过防火墙,阻止那些不符合特定的安全准则或安全策略的消息 7.2.5不可抵赖性不可抵赖性通过各种网络相关的活动的证据用于防止个人或实体否认曾经对数据进行过特定的操作这些证据包括委托或许诺的证据、数据来源的证据、拥有权的证据、资源使用的证据等不可抵赖性提供的证据可以提供给第三方用于证明某个事件或行为曾经发生过 7.2.6通信流安全通信流安全确保信息流仅在授权的通信端点间流动在宽带客户网络环境下通信流安全应通过宽带客户网络网关实现 7.2.7隐私安全隐私安全保护有利于防止通过观察网络活动或通信推测用户信息这些隐私信息包括:用户访问的webh站点信息.用户的地理位置.业务提供商网络设备的激和目的P地址以及域名另外,隐私还包括宽带客户网络中的ID隐私 7.2.8可用性可用性确保不可通过网络活动试图阻碍对网络、存储的信息、信息流,业务和应用的授权的访问有多种攻击可以导致可用性的丧失或下降有些攻击手段可以通过认证和加密来应对,然而防范其他类型的攻击需要通过某些物理的方式防止可用性的丧失 7.3安全需求与安全威胁的关系本标准描述的每个安全需求是为了应对宽带客户网络中的某些特定的安全威胁安全需求和安全威胁的关系见表1和表2 表格中的“Y”表示为了抵御特定的威胁所需的安全需求
GB/T29234一2012 表1安全需求与通用安全威胁的关系威胁数据修改通信阻断安全窃听未授权访问通信拥塞注数据包需求抵赖错误转发存储通信存储通信存储通信存储通信数据数据数据数据数据数据数据数据通信数据保密性存储数据通信数据完整性存储数据实体认证消息不可抵赖通信数据访问控制存储数据通信数据可用性存储数据通信数据隐私存储数据通信流安全表2安全需求与移动环境安全威胁的关系威胁安全窃听通信阻断需求终端丢失意外中断存储数据通信数据存储数据通信数据通信数据保密性存储数据通信数据完整性存储数据实体认证消息不可抵赖通信数据访问控制存储数据通信数据可用性存储数据
GB/T29234一2012 表2(续威胁安全窃听通信阻断需求终端丢失意外中断通信数据存储数据通信数据存储数据通信数据隐私存储数据通信流安全宽带客户网络的安全机制概述 8.1加密对数据加密可保证通信的保密性,也可保证存储数据的保密性在宽带客户网络中,加密功能可以在网关上实现 8.2数字签名数字签名包括两个方面;第一是对数据加签名,即采用私钥产生签名;第二是对已加签名的数据进行验证,即采用公钥验证签名的有效性 8.3访问控制为了确定和实现实体的访问能力,要使用实体的已认证身份进行访问控制如果实体企图使用未授权的资源,或对已授权的资源进行超权限的访问,那么访问控制机制应拒绝此类企图,或在安全审计记录上留下一条记录访问控制功能可以在宽带客户网络的网关上实现数据完整性 8 数据完整性要保证数据的正确性和准确性,即接收方收到的数据与发送方发出的数据完全相同数据完整性要保证数据在传送过程中未被修改、删除、生成、复制数据完整性丽数一般使用哈希函数或数字签名算法在宽带客户网络中,数据完整性功能一般在宽带客户网络的网关上实现 8.5认证 8.5.1概述认证包括对用户的认证和对设备的认证对宽带客户网络的用户进行认证,规定认证方法,如口令、数字证书和生物特征识别等根据业务的不同,规定安全级别和相应的用户认证模型对设备的认证包括对宽带客户网络的设备进行认证以及客户宽带网络设备对公网设备进行的互认证,用于标识设备的身份和归属 8.5.2用户认证机制如图2所示,宽带客户网络的用户认证采用客户/服务器模型根据访问方式的不同,用户认证有三种情形
GB/T29234一2012 用户通过公网远程访问宽带客户网络 a b)在宽带客户网络内部宽带客户网络的用户访问公网互认证 Ke交换客户数据保护输入公网或用户安全参数设置安全参数设置宽带客户网络服务器客户端图2用户认证机制的范哧认证方式由客户与服务器进行约定,如口令、数字证书和生物特征识别等用户通过公网远程访问宽带客户网络:用户需要通过宽带客户的安全网关的认证在宽带客户网络内部;用户要通过认证服务器的认证,认证服务器可以位于安全网关上,也可是宽带网络内部的一台单独的服务器宽带客户网络的用户访问公网;宽带客户网络的安全网关起认证中继作用 8.5.3设备认证机制与用户认证类似,宽带客户网络的设备认证采用客户/服务器模型设备认证有两种情形 a)宽带客户网关与远程管理服务器关联获得管理配置信息; b 终端设备与宽带客户网关关联并产生交互认证方式由客户与服务器进行约定,如口令,数字证书等 8.5.4安全级别为了规范宽带客户网络的用户认证,可以根据业务的不同,规定安全级别和认证机制,如表3所示表3安全级别与认证机制安全级别第一级第二级第三级提供身份证明无身份证明相互认证提供身份证明客户认证密钥交换相互认证最低安全单要素认证对所存储的用户秘密进行单单要素认证需求对所存储的用户秘密进行读向哈希、加密或加盐(salt 对所存储的用户秘密进行单保护和写保护双要素认证向哈希、加密或加盐(sal) 在认证协议中通过共享密钥保护敏感数据或结果数据
GB/T29234一2012 8.6密钥管理密钥管理功能是用来生成、发放、传输、删除和销毁密码密钥,密钥管理功能可以在宽带客户网络的网关上实现宽带客户网络的安全算法宽带客户网络的安全算法包括用于认证,签名,加密等过程的密码算法 10 设备证书轮廓 10.1概述本章规定了宽带客户网络中的设备认证,提出认证证书轮廓并规定证书的管理方法 10.2设备认证框架宽带客户网络的设备证书框架分为两种;一种是内部发放证书的模型,另一种是外部发放证书的模型前者在宽带客户网络中包含一个内部证书机构cA,它通常在安全网关上实现,内部CA产生密钥对,并向宽带客户网络中的设备发放数字证书后者是所有宽带客户网络中的设备都使用外部证书机构CA发放的数字证书 10.3证书轮廓宽带客户网络的设备证书轮廓遵从ITU-TX.509的规定基本证书域包括;版本号、序列号、签名、发放者、有效性,对象,对象公开密钥信息等由于宽带客户网络的设备计算能力有限,因此证书轮廓只包含基本证书域,不包含扩展证书域 10.4证书管理宽带客户网络的证书机构CA可以是安全网关证书的管理涉及到设备的证书的发放、查询、更新、归档废除和有效期限管理等宽带客户网络安全功能要求 11 内部联网安全 11.1 11.1.1有线联网技术对于家庭内部和外部网络共享媒质的有线联网技术(例如电力线、同轴电缆等),应在宽带客户网络与公众网络线路的边界处进行滤波,防止家庭内部通信信号泄露到公众网络中 11.1.2无线联网技术对于wLAN、蓝牙等使用无线媒质的联网技术,应支持通信双方链路层的互认证和数据加密功能对于支持wLAN的宽带客户网关,还应支持对其wLAN无线信号的发送功率和工作信道的设定,以及SSID隐藏的功能 10o
GB/T29234一2012 11.2I访问安全 11.2.1防火墙功能 11.2.1.1概述作为宽带客户网络与公众网络的IP边界设备,宽带客户网关应支持IP防火墙,对内部IP网络进行隔离和保护 11.2.1.2安全等级设定支持防火墙高中低等级设置,每个安全等级的内容可以修改可选支持在本地web界面配置防火墙的等级,分为高、中低三级 11.2.1.3报文过滤支持根据源MAC地址、目的MAC地址进行报文过滤支持根据源P地址及范围段、目的P地址及范围段进行报文过滤支持根据IP源端口及范围段、目的端口及范围段进行报文过滤支持根帮以太网包的协议类狸进行报文过逮支持根据以太网包的传输层协议类型进行报文过滤,要求有IPoE/PPPoE/ARP的选项支持根据IP包的传输层协议类型进行报文过滤,要求有TCP/UDP/ICMP/TCP十UDP/ANY的选项支持对匹配规则的报文进行处理模式的选择,对匹配规则的报文的处理模式有允许和禁止两种,默认为禁止模式 11.2.1.4防攻击功能设备应支持防DoS攻击功能,对收到的数据包进行解析,并判断是否是DoS攻击,对于Dos攻击的报文进行防Dos攻击处理该保护适用于所有终结在本设备的IP和桥接的IP的情况 DoS攻击的类型包括 -PingofDeath(Ping攻击); sYNFlooding(sYN泛洪); -ARPFlooding(ARP泛洪); Spoofing攻击(哄骗); LAND攻击; Smurf攻击 -其他停止攻击后,设备能恢复正常工作,攻击过程中,设备不能死机 11.2.1.5防端口扫描功能宽带客户网关应支持防端口扫描功能,延缓攻击者通过端口扫描试探设备上打开的端口和服务 11.2.1.6支持端口映射功能应支持端口映射的设置,包括: -目的IP地址采用私网地址 -可以组合源/目的IP地址,协议类型(TCP,UDP)、端口或者端口范围,映射到指定的LAN设 11
GB/T29234一2012 备的某个端口; -支持默认应用列表,支持通用的应用协议的配置,如:FTP,HTTP等; -默认应用列表端口映射规则可查看,可修改端口映射可选支持端口触发(porttrigger)功能,当NAT网关设备收到内部网络的数据包满足触发条件时,这个触发条件一般是协议端口符合预设的端口范围,就会根据预设的开放端口进行端口映射,以提供外部网络访问这些端口的能力 11.2.1.7DMz功能支持DMZ主机 11.2.2访问控制功能 11.2.2.1wAN侧隔离缺省情况下不允许通过wAN侧以远程登录(TELNET/HTTP/FTP等方式访问网关设备本身进行设备数据配置,但基于HTTP的TR-069管理协议除外 11.2.2.2服务访问控制支持ACL规则的配置,可以配置授权的地址范围(默认为任何IP地址),可以配置访问的接口 wAN/几LAN),可以配置接人方式HTTP/FTP/远程登录(TELNET)/SNMP/SsH,默认情况下不允许通过WAN侧访问设备 1.2.2.3黑白名单访问控制规则可以以黑名单或者白名单方式生效 11.2.3网络防护功能 1.2.3.1AcC地址限制功能宽带客户网关应能配置限制从每个用户LAN端口学习到的源MAC地址的数量 11.2.3.2组播源禁止功能宽带客户网关应能防止用户做源的组播可以禁止用户端口向网络侧发送的IGMP查询和组播数据报文 11.2.3.3协议报文抑制速率功能宽带客户网关应能对发往网络侧的特定协议的广播/组播包(例如DHCP,ARP,IGMP等)的速率进行抑制,并能对其他两层广播报文进行速率限制用户认证和业务安全 1.3 用户认证 11.3.1 应支持PAP方式的用户接人认证在通过PPPoE或PPPoA等PPP方式接人时,可以通过PAP 方法进行用户认证应支持CHAP方式的用户接人认证在通过PPPoE或PPPoA等PPP方式接人时,可以通过 CHAP方法进行用户认证 12
GB/T29234一2012 应支持基于运营商信息的用户接人认证在拨号过程中,家庭网关从认证过程中提取运营商信息并基于该信息确定是否进行后续的拨号流程应支持基于PPPoE或PPPoA用户账号的用户接人认证的代理即家庭网关收到用户终端的包含用户名和密码的PPPoE或PPPoA上网请求后,家庭网关终结PPPoE或PPPo.A请求,然后使用截获的用户名和密码向网络侧发起链接请求由家庭网关给用户终端分配内部网络地址允许用户终端进行网络接人如果家庭网关收到新的用户终端使用该用户名密码拨号,那么家庭网关直接为用户终端分配内部网络地址,不再向网络侧发起新的连接,直接使用已有的连接上网当存在多条不同账号的网络侧 PPPoE或PPPoA连接时,对应的用户侧账号的连接应仅绑定在相应账号的网络侧连接上 11.3.2IPr业务认证为了保证IPTV业务的安全,在访问IPTV业务时需要对IPTV用户进行认证应支持基于HTTP的基本认证应支持基于HTTP的摘要认证密码在网络上传输时应进行加密处理应支持业务账号和用户标识信息的绑定认证 11.3.3VoIP业务认证基于sIP协议的volP客户端在注册时应支持摘要认证基于MGCP协议的VolP客户端在注册时应支持用户认证 11.3.4绿色上网宽带客户网络需要对网络上的不良信息(如淫秽、色情、暴力等对青少年健康成长不利的信息,垃圾信息(如垃圾邮件,垃圾短信、垃圾多媒体信息)进行有效过滤信息过滤功能可选择安装在安全网关上,也可以选择安装在其他网元上宽带客户网络设备初始化并获取安全网关或其他网元IP地址后,下载访问网络的安全配置,并根据这些配置来允许和禁止访问相关网络宽带客户网关应具有网址过滤(以黑白名单形式提供)的功能文本过滤或/和图像过滤等可以在第三方设备实现,可选在宽带客户网关中提供宽带客户网络还可具备应用程序管理,时间管理、移动介质管理等辅助过滤功能,以及权限管理、日志管理、过滤等级设定、远程告知、远程控制、软件升级和帮助等功能 11.4设备管理安全设备认证 11.4.1 远程管理服务器对宽带客户网络进行远程管理之前,宽带客户网络设备应该对远程管理服务器执行设备认证,认证的方式包括基于HTTP的基本认证 -基于HTTP的摘要认证基于ssL/TLs的证书认证(可选) 11.4.2安全日志宽带客户网络设备应具有独立的防火墙日志,该防火墙日志记录该网络设备检测到的宽带客户网络中违背该防火墙规则的网络行为,每条记录应该打上时间戳防火墙日志应该至少能够包含100条 13
GB/T29234一2012 记录防火墙日志应该不能被修改日志也不应该被删除,除非被复位至出厂/默认配置 11.4.3安全管理宽带客户网关设备应该具有两种权限进行不同的本地维护管理功能;普通用户管理权限和管理员本地管理权限用户进行网络管理是所使用的登录口令的长度应不少于8个字符普通用户管理权限可以对宽带客户网络设备的一些非重要参数进行配置和查询管理员本地维护管理权限可以对宽带客户网络设备的重要参数进行配置和查询 12 安全性能要求对于启用安全功能的宽带客户网络设备(例如,家庭网关),其转发性能与未启用安全功能相比不应有显著下降具体指标待定 14
GB/T29234一2012 参考文献 forhomenetwork [1]ITU-TX.1111Frameworkof securitytechnologies [2 ITU-TX.1112Devicecert srtificateprofileforthehomenetwork [幻 ITU-TX.1113Guidelineonuserauthenticationmechanismforhomenetworkservices [打ITrU-Tx.1114Authoiz zationframeworkforhomenetwork [51 1TU-TX.1121Frameworkofsecuritytechnolo sformobileend-to-enddatacommuni logies cations [[6 YDN138一2006基于PC终端的互联网内容过滤软件技术要求.

基于公用电信网的宽带客户网络安全技术要求GB/T29234-2012

随着互联网的快速发展，越来越多的人开始使用宽带网络。然而，宽带网络的广泛应用也引发了一系列的安全问题。为了保障用户信息的安全，我国制定了一系列的标准和规范来规范宽带客户网络的安全技术要求。

公用电信网的概述

公用电信网是指由电信运营商建设、管理和维护的通信基础设施，包括固定电话网、移动通信网和数据通信网络等。这些网络提供了广泛的服务，包括语音通信、短信、互联网接入等。

宽带客户网络的安全威胁

宽带客户网络是指通过宽带接入技术连接到公用电信网的用户终端设备所构成的网络。这些网络存在着多种安全威胁，如黑客攻击、病毒感染和信息泄露等。

GB/T29234-2012标准介绍

GB/T29234-2012是我国针对宽带客户网络制定的安全技术规范。该标准主要包括以下内容：

基本概念和术语
客户网络安全管理要求
客户网络安全技术要求
安全检测指南

宽带客户网络的安全技术要求

根据GB/T29234-2012标准，宽带客户网络的安全技术要求主要包括以下几个方面：

身份鉴别与认证
访问控制
数据加密与解密
安全日志管理
异常流量监测和处置

总结

宽带客户网络的安全问题一直是一个备受关注的话题。GB/T29234-2012标准的出台为保障用户信息的安全提供了更为详细的技术要求和规范，同时也为宽带客户网络的安全管理提供了重要的参考。