电信网络的安全具有自己独特的地方，它在业务上面更多的为自己的用户提供业务承载，较少为最终 用户提供内容浏览等（ICP，ASP）等服务，所以在保护好自己的单独意义上的主机类和网络设备类本身的 安全后，还要考虑到许多其它的方面。RFC3013和RFC2196中进行了很好的推介。下面是一些考虑。

　　当前ISP的网络是全世界联在一起的，业务也紧密相连，互相依赖，不存在桃园孤岛（参见本站有 关网络安全自动化和社会化的论述，这就是我所说的 整体安全的概念），所以ISP应该按照国际上的规范和惯例来处理网际问题，才能互相取得理解和帮助。 　　例如：ISP应该按照国际惯例设立标准邮件信箱来方便处理网际问题：例如Security(安全相关事务）、abuse（不适当行为，滥用）、noc（网络运维相关）等等[参见RFC2142]。这一点我国的电信公司（ISP）注意的普遍不够，因此在国际上面的名声不是太好（所以就有了去年“大陆成为垃圾邮件发源地”的报道），并曾经因为网络滥用，一条重要国际线路被上游国际ISP中断，造成恶劣影响。

　　同时，应该保持自己在whois、IRR、APNIC等国际数据库中的数据的有效性，即使更新。注意要使用强认证措施登陆，使用加密通道传递数据（这一点，看起来不怎么重要。可实际上，首要问题是管理好联系人的合法邮箱，在此基础上做好认证审计工作）。现实中，出现过他人冒充联系人要求更改地址并且成功的先例。 　　ISP对于拥有较大地址块的大客户的联系方式和地址使用情况也要注意公布，以方便国际联系。这一点和前面的目的一样。还有一个目的是减轻自己的工作量，尽量让下游用户分担自己的管理负担。

　　ISP要时刻注意法律符合性，与律师一起明确安全相关文件的信息发布、恢复、陪付、惩罚等条款。这一点我国电信公司和ISP,ICP都普遍不够，要求用户签署的合同、条约等的法律符合性不够。例如，对于自己由于网络攻击而导致服务中断，却推托到不可抗拒因素上；还有中国电信的海缆中断，却拒绝给用户陪付等。这些在WTO后都会由于国际先进经营理念的介入而将自己置于不利的位置。

　　ISP要注意与自己的上游、下游ISP建立完备的联系渠道。这一点在遭受网络攻击时尤其重要。没有上、下游ISP的配合，许多网络攻击不要说定位，就是阻止都无从下手。

　　与自己的客户签署清晰的《合理使用网络》（AUP），明确规定客户能/不能做的行为，客户的权利和义务，例如应该明确地址欺骗的不合法性，然后将这些条款进行公告。要明确违反后相应的处罚措施。这也是法律符合性的考虑。 ISP要明确反对垃圾邮件（UBE），并且采取积极有效的措施，同时鼓励自己的客户也这么做[参见RFC2505]

　　建立紧急事件响应小组以及流畅、广为人知的事件报告处理通道，明确响应小组的职责范围和能力。给用户合理的期望值。不承诺不可能实现的服务。

　　ISP要明确路由策略中的安全机制，例如路由广播/接收中的信任和过滤、BGP peer之间要采用认证措施等等。

　　ISP要严格规定接入层路由器（防火墙）的数据过滤策略（ingress/egress）[参见RFC2827]，帮助整个网络减小拒绝服务攻击和地址欺骗的威胁性。这一点CERT的建议、CISCO的安全建议等等都作了清楚的说明，但是许多ISP出于自身利益的出发，都不愿意这样操作。

　　尽量将不同的服务使用不同的系统来跑。还记得本站安全策略中的“最小化”原则吗？

重要业务主机（例如mail,web,dns,web-hosting）等要严格限制访问权限，并且建议要求只能使用强认证措施、使用加密登录和数据传输。防火墙、入侵检测设备是必备的安全防护手段。

　　尽量使用安全增强的服务，例如SMTP/IMAP/POP等配置为认证和加密状态。这些对网络管理员/安全管理员提出了挑战。

　　安全管理员当前在全世界都是个严重资源不足的行当，我国尤其是。一个成功的电信公司/ISP必须培养自己的、称职的安全管理员队伍，任何外包都不可能完全替代电信/ISP内部的安全管理工作。甚至可以考虑设立首席信息安全官（CISO），统一制定本公司网络的安全规划、策略、业务和市场等。