《消息网安全防护要求》由会员分享,可在线阅读,更多相关《消息网安全防护要求(15页珍藏版)》请在金锄头文库上搜索。
1、增值业务网消息网安全防护要求1 范围本标准规定了消息网在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护要求。本标准适用于公众电信网中的短消息网和多媒体消息网及与消息网相关的信息服务单位(SP)系统。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T 1729-2008 电信网和互联网安全等级保护实施指南YD/T 1730-2008 电信网和互联网安全风险评
2、估实施指南YD/T 1731-2008 电信网和互联网灾难备份及恢复实施指南YD/T 1732-2008 固定通信网安全防护要求YD/T 1734-2008 移动通信网安全防护要求YD/T 1752-2008 支撑网安全防护要求YD/T 1758-2008 非核心生产单元安全防护要求YD/T 1754-2008 电信网和互联网物理环境安全等级保护要求YD/T 1756-2008 电信网和互联网管理安全等级保护要求YD/T 1598-2007 2GHz cdma2000 数字蜂窝移动通信网多媒体邮件业务系统技术要求YD/T 1533.1-2006 固定网多媒体消息业务技术要求第 1 部分:多媒体
3、消息中心(MMSC)设备YD/T 1499-2006 数字蜂窝移动通信网多媒体消息业务(MMS)中心设备技术要求YD/T 1039.1-2005 900/1800MHz TDMA 数字蜂窝移动通信网短消息中心设备规范第一分册点对点短消息业务YD/T 1364-2005 点对点短消息同间互通设备技术要求YD/T 1248.32004 固定电话同短消息业务第三部:短消息中心技术要求YD/T 1221.12002 800MHz CDMA 数字蜂窝移动通信网短消息中心设备技术要求第一分册点对点短消息业务3 术语、定义和缩略语3.1 术语和定义下列术语和定义适用于本标准。3.1.1消息网安全等级 Sec
4、urity Classification of Messaging Network消息网安全重要程度的表征。重要程度可从消息网受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.2消息网安全等级保护 Classified Security Protection of Messaging Network对消息网分等级实施安全保护。3.1.3组织 Organization组织是由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作;一个单位是一个组织,某个业务部门也可以是一个组织。3.1.4消息网安全风险 Security
5、 Risk of Messaging Network人为或自然的威胁可能利用消息网中存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.1.5消息网安全风险评估 Security Risk Assessment of Messaging Network指运用科学的方法和手段,系统地分析消息网所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度。为进一步提出有针对性的抵御威胁的防护对策和安全措施,防范和化解消息网安全风险,将风险控制在可接受的水平,为最大限度地保障消息网的安全提供科学依据。3.1.6消息网资产 Asset of Messaging Network消息网中具有价
6、值的资源,是安全防护保护的对象。消息网中的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源,如消息网的消息中心设备、网关设备、网络布局等。3.1.7消息网资产价值 Asset Value of Messaging Network消息网中资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。3.1.8消息网威胁 Threat of Messaging Network可能导致对消息网产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。常
7、见的消息网络威胁有光缆中断、设备节点失效、火灾、水灾等。3.1.9消息网脆弱性 Vulnerability of Messaging Network脆弱性是消息网中存在的弱点、缺陷与不足,不直接对资产造成危害,但可能被威胁所利用从而危及资产的安全。3.1.10消息网灾难 Disaster of Messaging Network由于各种原因,造成消息网故障或瘫痪。使清息网支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.11消息网灾难备份 Backup for Disaster Recovery of Messaging Network为了消息网灾难恢复而对相关网络要素
8、进行备份的过程。3.1.12消息网灾难恢复 Disaster Recovery of Messaging Network为了将消息网从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.2 缩略语下列缩略语适用于本标准。CDMA Code Division Multiple Access 码分多址GPRS General Packet Radio Service 通用无线分组业务GSM Global System of Mobile communication 通讯系统MTBF Mean Time B
9、etween Failures 平均故障间隔时间PLMN Public Land Mobile Network 公众陆地移动电话网PSTN Public Switched Telephone Network 公用电话交换网SP Service Provider 业务提供商TDMA Time Division Multiple Access 时分多址WAP Wireless Application Protocol 无线应用协议4 消息网安全防护概述4.1 消息网安全防护范围 消息网按照消息类型分为短消息网和多媒体消息网。短消息网包括900/1800MHz TDMA 数字蜂窝移动通信网短消息网、
10、800MHz CDMA 数字蜂窝移动通信网短消息网、固定电话网短消息网。多媒体消息网包括数字蜂窝移动通信网多媒体消息网、2GHz CDMA2000 数字蜂窝移动通信网多媒体邮件业务消息网等。消息网所包括的业务为点对点短消息业务、点对点多媒体业务消息业务、与 SP 相关的点播订阅业务等。消息网的安全防护范围包含短消息网及与消息网相关的信息服务单位(SP)系统。短消息网的架构示意如图 1 和图 2 所示。多媒体消息网的架构示意如图 3 所示。图 1 和图 2 为短消息网的网络架构示意图,短消息业务的完成主要涉及短消息中心和短消息网关设备。如果涉及不同运营商的点对点短消息互通时,还包括短消息互通网关
11、。图 1 移动短消息网的网络架构示意图 2 固定短消息网的网络架构示意短消息业务是电路域的数据业务。基于 PLMN 的短消息是以信令方式在网络中传送,基于 PSTN 的短消息是以话路为承载方式的,话路的建立与信令网相关。为配合短消息业务平台提供短消息服务,需要各种承载网设备的支持,还要和现网中的计费系统、网管系统等互联。核心网络的安全防护要求参见对应的 YD/T 1734-2008移动通信网安全防护要求及 YD/T1732-2008固定通信网安全防护要求。计费和网管部分的安全防护要求参见 YD/T 1752-2008支撑网安全防护要求。移动网内的消息中心之间是通过信令网连接的。固定网内的消息中
12、心是通过两个或两个以上的网关之间的 IP 链路进行连接的。互通网关之间是以 IP 链路连接的。消息中心到消息网关都是 IP 链路。图 3 为多媒体消息网的网络架构示意图。多媒体消息业务完成主要涉及多媒体消息中心系统,多媒体邮件中心系统。如果涉及不同运营商多媒体消息互通,还包括多媒体消息互通网关。多媒体消息中心系统之间通过 IP 链路连接。多媒体消息业务是一种分组数据业务,为配合多媒体消息平台提供多媒体消息服务,需要各种承载网设备的支持,还要和现网中的计费系统、网管系统等互联。核心网络的安全防护要求参见对应的 YD/T1734-2008 移动通信网安全防护要求及 YD/T1732-2008固定通
13、信网安全防护要求。计费和网管部分的安全防护要求参见 YD/T1752-2008支撑网安全防护要求。4.2 消息网安全防护内容根据电信网和互联网安全防护体系的要求,将消息网安全防护内容分为安全风险评估、安全等级保护、灾难备份及恢复等 3 个部分:安全等级保护主要包括定级对象和安全等级的确定、业务安全、网络安全、设备安全、物理环境安全、管理安全等。安全风险评估主要包括资产识别、脆弱性识别、威胁识别、已有安全措施的确认、风险分析、风险评估文件记录等。本标准仅对消息网进行资产分析、脆弱性分析、威胁分析,在消息网安全风险评估过程中确定各个资产、脆弱性、威胁的具体值。资产、脆弱性、威胁的赋值方法及资产价值
14、、风险值的计算方法参见 YD/T1730-2008电信网和互联网安全风险评估实施指南。灾难备份及恢复主要包括灾难备份及恢复等级确定、冗余系统、冗余设备及冗余链路检测、冗余路由检测、备份数据检测、人员和技术支持能力检测、运行维护管理能力检测和灾难恢复预案等。5 消息网定级对象和安全等级确定短消息网及多媒体消息网定级对象应为以一个消息中心系统为最小划分单元的网络(一个消息中心的本地业务划分区域可能是一个省/市或多个省)。消息网相关的信息服务单位(SP)系统定级对象应以一个服务系统为最小划分单元的网络。 网络和业务运营商应根据 YD/T 1729-2008电信网和互联网安全等级保护实施指南中确定网络
15、安全等级的方法(附录 A)对消息网定级,即对短消息网、多媒体消息网、消息网相关的信息服务单位(SP)系统根据社会影响力、所提供服务的重要性、规模和服务范围分别定级,权重 、 可根据具体情况进行调节。 6 消息网资产、脆弱性、威胁分析6.1 资产分析消息网安全风险评估的资产至少应包括设备硬件、设备软件、重要数据、提供的服务、文档、人员等,如表 1 所示。表 1 资产列表分类 示例设备硬件短消息网的资产包括短消息中心、短消息网关、短消息互通网关等;多媒体消息网的资产包括多媒体消息中心/多媒体邮件中心、多媒体消息互 通网关等;消息网相关的信息服务单位(SP)系统包括各种服务器等;物理环境设备包括机房
16、、电力供应系统,电磁防护系统、防火、防水和防潮 系统、防静电系统、防雷击系统、温湿度控制系统等设备软件 设备的系统软件;操作系统、各种数据库软件等重要数据 保存在设备上的各种重要数据,包括计费数据、网络配置数据、管理员操作 维护记录等服务/业 务消息网提供的短消息业务和多媒体消息业务文档纸质以及保存在电脑中的各种文件,如设计文档、技术要求、管理规定(机 构设置、管理制度、人员管理办法)、工作计划、技术或财务报告、用户手册等人员掌握重要技术的人员,如网络维护人员、设鲁维备护人员、网络或业务的研 发人员等6.2 脆弱性分析消息网的脆弱性可以从技术脆弱性和管理脆弱性两个方面考虑。脆弱性识别对象应以资产为核心,表 2 给出部分脆弱性识别内
