YD/T 1732-2008
基本信息
标准号: YD/T 1732-2008
中文名称:固定通信网安全防护要求
标准类别:通信行业标准(YD)
标准状态:现行
发布日期:2008-01-14
实施日期:2008-01-14
出版语种:简体中文
下载格式:.rar.pdf
下载大小:719316
标准分类号
标准ICS号:电信、音频和视频技术>>33.020电信综合
中标分类号:通信、广播>>通信网>>M10通信网络综合
关联标准
替代情况:YDC 053-2007
出版信息
页数:17
标准价格:12.0 元
相关单位信息
标准简介
本标准规定了固定通信网在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护要求。本标准仅规定了固定通信网中在交换网的安全防护要求。本标准适用于公众电信网中固定通信网的交换网。 YD/T 1732-2008 固定通信网安全防护要求 YD/T1732-2008 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
中华人民共和国通信行业标准
YD/T1732-2008
固定通信网安全防护要求
Security Protection Requirements forFixed Communication Network
2008-01-14发布
2008-01-14实施
中华人民共和国信息产业部发布前
范围·
规范性引用文件
3术语、定义和缩略语
固定通信网安全防护概述
4.1固定通信网安全防护范围…
4.2固定通信网安全防内容.
5固定通信网定级对象和安全等级确定·6固定通信网资产、脆弱性、威胁分析.6.1资产分析
6.2脆弱性分析
6.3威胁分析
7固定通信网安全等级保护要求…7.1第|级要求
第2级要求·
第3.1级要求·
第3.2级要求
第4级要求
第5级要求·
8固定通信网灾难备份及恢复要求.·8.1灾难备份及恢复等级
第1级要求
第2级要求…
第3.1级要求
第3.2级要求…
第4级要求
第5级要求
参考文献
YD/T1732-2008
YD/T 1732-2008
本标雅是“电信网利互联网安全防护休系”系列标准之一。该系列标准的结构及名称如下1、YD/T1728-2008电信网利互联网安全防护管理指南;2.YD/T1729-2008电信网和互联网安全等级保护实施指南:3.YD/T1730-2008电信网和互联网安全风险评估实施指南:4.YD/T1731-2008电信网和互联网灾摊备份及恢友实施指南;5.YD/T1732-2008固定通信网安全防护要求:6.YD/T1733-2008固定通信网安全防护检测要求:7。YD/T1734-2008移动通信网安个防扩要求;移动通信网安全防护检测要求:8. YD/T 1735-2008
9.YD/T 1736-2008
互联网安全防护要求;
10. YD/T1737-2008
3互联网安个防护检测要求:
11.YD/T1738-2008
一消息网安全防护要求:
增值业务网—
12.YD/T1739-2008
13. YD/T 1740-2008
14. YD/T 1741-2008
15.YD/T1742-2008
16. YD/T 1743-2008
17. YD/T 1744-2008
18. YD/T 1745-2008
19. YD/T 1746-2008
20. YD/T 1747-2008
2I.YD/T 1748-2008
增值业务网——消息网安全防护检测要求;增值业务网——智能网安全防护要求;增值业务网-
智能网安全防护检测要求;
接入网安全防护要求:
接入网安全防护检测要求:
传送网安全防护要求:
传送网安全防护检测要求:
IP承裁网安全防护要求
TP承载网安全防护检测要求:
信令网安全防护要求:
22.YD/T1749-2008信令网安全防护检测要求;23.YD/T1750-2008同步网安全防护要求;24,YD/T1751-2008同步网安全防护检测要求:25.YD/T1752-2008支撑网安全防护要求:26.YD/T1753-2008支撑网安全防护检测要求:27。YD/T1754-2008电信网和互联网物理环境安全等级保护要求:电信网和互联网物理环境安全等级保护检测要求;28. YD/T 1755-2008
29.YD/T1756-2008电信网和互联网管理安全等级保护要求:30.YD/T1757-2008电信网租互联网管理安全等级保扩检测要求;31.YDT1758-2008非核心生产单元安全防护要求:32,YD/T1759-2008非核心生产单元安全防护捡测要求。本标准与YD门1733-2008《固定通信网安全防护检测要求》配套使用。YD/T1732-2008
随若电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标推化协会提出并归口。本标准起草单位:信息产业部电信研究院、中国网络通信集团公司、中国电信集团公司、中国联合通信有限公司
本标谁生要起草人:魏
薇,黄籁、魏瑜、刘洪声、王新峰、顾晏跪1范围
固定通信网安全防护要求
YD/T 1732-2008
本标准规定了固定通信网在安全等级保护、安全风险评估,灾难备份及恢复等方面的安全防护要求。本标准议规定了固定通信网中的交换网的安全防扩要求。本标准适用于公众电信网中固定通信网的交换网2规范性引用文件
下列文件中的条款通过本标推的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/ 1728-2008
YD/T 1730-2008
YD/T 1731-2008
YD/T 1742-2008
YD/T 1744-2008
YD/T 1746-2008
YD/T 1748-2008此内容来自标准下载网
YD/T 1750-2008
YD/T 1752-2008
YD/T 1754-2008
YD/T 1756-2008
3术语、定义和缩略语
3.1术语和定义
电信网和互联网安全等级保护实施指南电信网和互联网安全风险评估实施指南电信网利联网火难备份及谈复实施指南接入网安余防护要求
传送网安全防护要求
IP承载网安全防护要求
信令网安全防护要求
同步网安全防护要求
支撑网安全防护要求
电信网和互联网物理环境安全等级保护要求电信网和互联网管理安全等级保护要求下列术语和定义适用于本标准。3.1.1
固定通信网安金等级 Security Classificatian of Fixed Telecommunication Network固定通信网安全重要程度的表征。重要程度可从固定通信网受到破坏后,对国家安全、社会秩序,经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.2
固定通信网安全等级保护ClassifiedSecurityProtectianofFixedTelecommunicationNetwork对固定通信网分等级实施安全保护。3.1.3
组织 Organization
组织是由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工,合作:一个单位是一个组织,某个业务部门也可以是一个组织。1
YD/T1732-2008
固定通信网安全风险 SecurityRisk ofFixed Telecomimunication Network人为或白然的威胁可能利用固定通信网中存在的脆弱性,导致安全中件的发生及其对组织造成的影响
固定通信网安全风险评估 Security Risk Assessment of Fixed Telecammunicatian Network指运用科学的方法和手段,系统地分析闹定通信网所面临的威胁及其存在的脆够性,评估安全事件一且发生可能造成的危程度,提出有针对性的抵御威胁的防护对策和安全措施,防范和化解固定通信网安全风险,将风险控制在可接受的水平,对最大限度地保障固定通信网的安全提供科学依据,3.1.6
固定通信网资产 AssetofFixedTelecommunicationNetwork固定通信网中具有价值的资源,是安全防护保护的对象。固定通信网中的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括物埋布局、通信设备、物理线路、数据、软件、文档、规程,业务、人员、管理等各种类型的资源,如固定通信网的交换机设备、网络布等。3.1.7
固定通信网资产价值AssetvalueofFixed TelecommunlcatlonNetwork固定通信网中资产的重要程度或墩感程度。资产价值是资产的属性,也是进行资产识别的主要内容。3.1.8
固定通信网威胁 Threat of Flxed Telecommunication Network可能导致对固定通信网产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意尖误,也可能是恶意攻击。常见的固定通信网络威胁有光缆中断,设备节点失效,火欠、求势等。
固定通信网脆弱性Vulnerability ofFixedTelecommunicationNetwork跪弱性是固定通信网中存在的弱点,缺陷与不足,不直接对资产造成危苦,但可能被威胁所利用从而危及资产的安全。
固定通信网灾难DisasterofFixedTelecommunicationNetwork各种原因造成的固定通信网故障或瘫痪,使固定通信网支持的业务功能停顿或服务水平不可接受。达到特定的时间的突发性事件。3.1.11
固定通信网灾难备份BackupfarDisasterRecoveryofFixedTelecommunicatianNetwork为了固定通信网炎难恢复而对相关网络要素进行备份的过程。3.1.12
固定通信网灾难恢复 Disaster Recovery of Fixed Telecommunication Network为了将固定通信网从灾难造成的故障或摊焕状态复到止常运行状态或部分正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。2
固定通信网相关系统SystemsofFixedTelecornrnunicationNetworkYD/T 1732-2008
组成固定通信网的相关系统,包括接入网、传送网、P承载网、信令网、同步网、支撑网等。其中,接入网包括各种有绒、无线和卫星接入网等,传送网包括光缆、波分、SDH、卫等,而支撑网则包括业务支撑和网管系统。
3.2缩略语
下列缩略语适用于本标准。
Internet Protocol
Internet Protocoi Security
Fublic Switched Telephone NetworkTransmission Control PratocolVoice over Internet Protocal4固定通信网安全防护概述
4.1固定通信网安全防护范围
因特网协议
P 安全
公众电话交换网
传输控制协议
P电话
固定通信是指通信终端设备与网络设备之间通过多种接入手段连接起米,进而实现的用户问相互通信,其主要特征是终端的不可移动性或有限移动性,如普通电话机、P电话终端,传真机,无绳电话机联网计算机等电话网和数据网察端设备。固是通信业务包括:固定通网本地电话业务,固定通信网国内长途电话业务、固定通信网国际长途中话业务、消息类业务、多媒体业务等。本标雅中固定通信网特提供电话业务的固定电话网。我国固定通信网可以采用电路交换技术或分组交换技术。传统PSTN采用电路交换技术,是我国支撑语音业务、数据业务的接入,P的接入以及提供各种补充业务和增值业务的重要网络。软交换网络采用分组的P承载网传送信令和媒体数据。本标准中仅对PSTN和软交换网络的安全防护要求做了详细规定,本标推中提到的交换网特指PSTN和软交换网络。PSTN的安全防护范畴包括PSTN以及与PSTN运行和业务提供相关的接入网、传送网、信令网、同步网和支摔网等相关系统,如图1所示。软交换网络的安全防护范畴包括软交换网络以及与软交换网络运行和业务提供相关的接入网、传送网、IP承裁网、信令网、同步网和支撑网等相关系统,如图2所示。本标准仅对固定通信网中的PSTN和软交换网络提出安全防护要求,接入网安全防护的具体要求参见YD/T1742-2008接入网安全防护要求》,传送网安全防护的具体要求参见YT>/T1744-2008传送网安全防护要求》,IP承载网安全防护的具体要求参见YD/T1746-2008《P承载网安全防护要求,信令网安全防护的具体要求参见YD/T1748-2008信令网安全防护要求”,同步网安全防护的具体要求参见YD/T1750-2008同步网安全防护要求,支撑网安全防护的具体要求参见YD/T1752-2008《支撑网安全防护要求”。
YD/T1732-2008
4.2固定通信网安全防护内容
接入网
PSTN相关系统
图 1 PSTN安全防护涉及的相关系统致交换网络相关系统
传送所
卫戴网
同步网
艾撑网
图2软交换网络安全防护涉及的相关系统根据电信网和互联网安全防扩体系的要求,将固定通信网安全防护内容分为安全等级保护、安全风险评估,灾难备份及恢复三个部分。a)固定通信网安全等级保护:主要包括定级对象和安全等毁的确定、业务安全、网络安全、设备安全物理环境安全、管理安全等。
b)固定通信网安全风险评估:主要包括资产识别、脆弱性识别、威胁识别、已有安全措施的确认、风险分析、风险评估文件记录等。本标准仪对固定通信网中的交换网进行资产分析、跪弱性分析、威助分析,在固定通信网安全风险评估过程确定各个资产、脆弱性、威勘的具体值。资产、脆性、威助的赋值方法及资产价值、风险值的计算方法参见YD/T1730-2008《电信网和互联网安全风险评估实施指南”。
c)固定通信网灾难备份及恢复:主要包括灾难备份及恢复等级确定,针对灾难备份及恢复各资源要素的具体实施等。
5固定通信网定级对象和安全等级确定我国固定通信网中交换网的定级对象应为各个本地网、省内长途网、省际长途网(含国际长途网),也可将本地网进一步划分为端局、汇接局、关口局等定级对象。网络和业务运营商应根据YDT1728-2008《电信网和互联网安全等级保护实施指南附录A中确定安全等级的方法对固定通信网中的交换网定级,即对各定级对象根据社会影力、规模和服务范围、所提供服务的重要性的大小分别定级:定级方法中的权重α、β、了可根据具体网络情况进行调节。6固定通信网资产、脆弱性、威胁分析6.1资产分析
YD/T 1732-2008
固定通信网中交换网的资产至少应包括设备硬件、设备软件、重要数据、提供的服务、文档、人员、网络抵抒,码号资源等,见表1。表1资产列表
设备硬件
设备软件
重要数据
服务业务
网络拓扑
码号资源
PSTN包拓交换机设备:
、软交换网络包括软交换设备、媒体网关设备、信令网关设备、媒休服务器设备、应用服务器设备、业务接入控制设备。接入网关;
·物理环境设备包括机房、电力供应系统、电磁防护系统、防火、防水和防潮系统、防静电系统、防画击系统、温湿度控制素统等t
,交换网设备的操作维护系统等设备的系统软件,包括操作系统、各种数搭库软件等;·系统控制软件、协议软件:
·操作维护系统软件等
支撑固定通信网运行的务种重要数据,包括计费数据,网络配肾数据、管理员操作维护记录。用户数据等固定通信网提供的各种业务,包括基本源话、各种补充业务等纸质以及保存在存储介质中的各种义件,如设计文档、技术要求、管理规定《机构设置、管理制度、人员管理办法),1.作计划、技术驳财务报告、用户手册等掌掘重要技术的人员,如网络维护人员,设备维护人员、网路或业务的研发人员等网络节点和链路之间的连接
6.2脆弱性分析
固定通信网中交换网的脆弱性可以从技术脆弱性和管理脆弱性两个方面考虑。瞻弱性识别对象应以资产为核心。表2给出部分跪竭性识别内容。表2瞻弱性分析表
技术弱性
管理弱性
业务脑用
存在的跪弱性
网络和设备的处理能力不够,业务数据的保密性不够,访问控制策略存在安全漏洞,革要数据未及时进行本地和异地备份等网络节点段备配置、路由配置存在缺陷,通信安全存在安企漏润,外邮和内部的访问控制策略存在漏洞等
设备存在硬件和软件故障隐患,账号和口令保护存在漏洞,鉴权利1访问轻制机制存在设备(含操作系统和
漏满,重要部件米配置主备用保护,设备超过使用年限或核心部件老化,晚备发生故数据库)
物理环境
安全管理机构
安全管理制度
人员安全管理
安全建设管理
安全运维管理
障后未及时告警等
机房场地选择不合理,防火、供配电、防静电、接地与防雷、电磁防护、溢湿度控制不符合规范,通信线路,机房设备的保护不符合规范等岗化设置不合理(如人员配置过少、职责不清)、授权和审批程序简化、沟通和合作未执行、审核和检查未执行等
管理制度不完普、制度评审和修订不及时等人员录用不符合程序、人员离岗未办理安全手续、人员未进行安全培训、对于第三方人员未进行限制访问等
安全方案不完善、软件开发不符合程序。工程实施未进行安全验收或验收不严格等物理环境管理措施检单、存储介质便用不受限、设备没有定期维护、厂家支持力度不够、关健性能指标没有定期监控、无恶意代码防范措施、无数据备份和恢复策略、访问控制不严格、操作管理不规范、应急保障措施不到位、难恢复预案不完善等5
YD/T1732-2008
6.3威胁分析
对固定通信网中交换网的威助根据来源可分为环境威胁和人为威胁等。环境威胁包括不可抗的自然灾害胁和其他物理环境威胁。根据威胁的动机,人为威胁文可分为恶意和非恶意两种。表3列举出部分威胁。
表3威胁来源列表
环境威胁
人为威胁
物理环境
自然突害
非恶意
其他威胁
威肱描述
断电,静电、灰尘、潮泥、温安、地磁十扰等,意外事故或通信线路方面的故障鼠蚁虫害、洪灾、火炎、混石流、山体滑坡、地震、台风、闪电不满的或有预谋的内部人员滥用权限进行恶意被坏;,采用自主或内外勾结的方式益窃或算改机窃信息;,外部人员利用网络进行攻击、入侵、植入病强;,外部人员进行物理破坏,盗窃等·内部人员山于缺乏贡任心或者光作为而应该执行却没有执行模应的操作、或光意地执行了销误的操作导致安全事件:,内部人员没有避循规章制度和操作流程而导致故障或信息损坏:,内部人员由于映芝培训、专业技能不足、不具备岗化技能费求而导致政障或攻击::安全管理制度不完普、落实不到位造成安全管理不规范或者管理混乱导致安全事件节假口或其他原因的高证务冲击等固定通信网安全等级保护要求
7.1第1级要求
不作要求。
7.2第2级要求
7.2.1业务安全
7.2.1.1业务提供安全
a)交换网应其有足够的业务处理能力,应能够满足业务提供的需要,不应因为过负荷或者突发业务量而影响网络安全:
b)交换网应采取一定的安全措施,即使在网络拥塞时也能对特定的通信(如维护操作呼叫)予以忧优先保证:
c)交换网的业务提供不应因后台计费系统的毁坏而中断。7.2.1.2业务数据安全
a)交换网应对重要数据(系统配置数据、用户数据、计费数据等)进行备份,需要时能够对数据进行恢复:
b)交换网应对用于操作维扩的系统密码等重要数据在数据库进行加密处理,而不是明文显示,并对访问权隧进行限制。
7.2.2网络安全
7.2.2.1PSTN 安全
a)应绘制与当前运行情况相符合的网络拓扑图:b)PSTN端局到同一长途局应具备双路由:6
心)网络设备关键部件应采用土备热备份的结构:YD/T1732-2008
d)PSTN中的设备应该是网络和业务运尝商可控和可管理的,应确保合法且通过认证的设备(网元和管理终端)A能够进入PSTN:
e)PSTN中当交换机与操作维护接1I未采用专线方式而是采用TCP/IP传输时,应提供必要的安机制,如对传输的数据采用IPSec等安全技术进行进一步的安全处理。7.2.2.2软交换网络安全
7.2.2.2.1软交换网络拓扑安全
a)应绘制与当前运行情况相符合的软交换网络拓扑图;6)软变换网络的网络配背(如节点利链路的数量、位置或负荷分担分配比例等)应合理,不应因网络配置不合继血导致落金部或者员部難痪:c)软交换网与互联网间的边界关口应具有一定的安全防护能力(例如防火墙配置、常用端口屏蔽)。7.2.2.2.2软交换网络通信安全
a)软交换网络应对传的管埋信息行保护,防止信息被非法或恶意地窃听、算改:b)软交换网络应保证会话建立过程中的信令流的通信安全:)较软变换网络应保证媒体流传输过程中的保密性、完整性。7.2.2.2.3软交换网络攻击防范
a)软交换网络中的设备应是运营商可控和可管理的,应确保台法且通过认证的设备(网充和管理终端)才能够进入软交换网络:
b)网络或设备发生故障残故障消失时应能及时产生告警信息并发送至网元管理系统。7.2.3设备安全
PSTN尘要包括交换机设备,软交换网络由软交换设备、媒体网关、信令网关、媒体服务器、应用服务器、软交换业务接入控制设备、接入网关等设备组成。设备安全应满足设备技术规范,设备入网管理相关要求。7.2.4物理环境安全
应满足YD/T1754-2008电信网和互联网物理环境安全等级保护要求》中第2级的安全要求。7.2.5管理安全
应满足YD/T1756-2008《电信网和互联网管理安全等级保护要求》中第2级的安全要求。7.3第3.1级要求
7.3.1业务安全
7.3.1.1业务提供安全
除满足7.2.1.1 的要求之外,还应满足;日)软交换设备发生故障或与媒体网关连接中断时,应不影响正在通话的呼叫:b)交换设备应具有高可靠性和高稳定性,所提供的业务应尽可能不因系统引入其他新业务、系统补丁加载而中断
7.3.1.2业务数据安全
除满足7.2.1.2的要求之外,还应满足:1
YD/T 1732-2008
a)详细计费话单在变换中的行储时间和存情方式获满足相关要求,例如荐储时间应不少24h未被采集丽应不被删除:
b)重要数据(如计费数据)所占存储空间达到阅值时,系统应能产生相应的告警信息:c)交换网应能够保证对业务进行本地和远程操作维护的安会性,对操作维护人员账户权分级管理,及时删除临时账户权限,刘操作维护人员身份进行认证,记录操作维护人员对业务所进行的任何操作,操作维护信息保存时问应符合相关要求,需要时应能够对操作维护信息进行查询。7.3.2网络安全
7.3.2.1PSTN 安全
除满足7.2.2.I的要求之外,还应满足:PSTN汇接局应采用双局设置,端局到汇接局应具备双归属能力。
7.3.2.2软交换网络安全
7.3.2.2.1软交换网络拓扑安全
除满足7.2.2.2.1的要求之外,还应满足;?软交换网露中的软交换设备应来用多节点工作方式,一个节点的损害不影响业务提供:听且应能够对拥塞进行话务控制:
b)软交换网络的关键设备应进行余备份设让,主处理板,电源和通信板等设备的主要部件均应支持热元余备份。
7.3.2.2.2软交换网络通信安全
除满足7.2.2.2.2的要求之外,还应满足:针对软交换网络传输的媒体流保护措施,应考虑电信监管需求和对媒体流服务质量的影响。7.3.2.2.3软交换网络攻击防范
除满足7.2.2.2.3的要求之外,还应满足a)软交换网络应采政安全对策(如防病毒软件,系统加固,网络隔离,防火墙、访问控制等)有效地防止非法用户利用各种手段对网络发起攻市,导致网络及设备尤法正常工作或瘫痪,b)软交换网络应部署基十主机和基于网络的入侵检测系统,并应及时处理入侵检测系统的报警;心)应对软交换网络中关键的主机系统和网络定期进行安全检查(例如使用安全扫描软件),以检查出网络弱点和策略配置上的问题。7.3.3设备安全
与 7.2.3 的要求相同。
7.3.4物理环境安全
应满足YDT1754-2008电信网和互联网物理环境安全等级保护要求中第3.1级的安全要求。7.3.5管理安全
应满足YD/T1756-2008《电信网和互联网管理安全等级保护要求》小第3.1级的安全要求。7.4第3.2级要求
7.4.1业务安全
与7.3.1的要求相同。
7.4.2网络安全
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YD/T1732-2008
固定通信网安全防护要求
Security Protection Requirements forFixed Communication Network
2008-01-14发布
2008-01-14实施
中华人民共和国信息产业部发布前
范围·
规范性引用文件
3术语、定义和缩略语
固定通信网安全防护概述
4.1固定通信网安全防护范围…
4.2固定通信网安全防内容.
5固定通信网定级对象和安全等级确定·6固定通信网资产、脆弱性、威胁分析.6.1资产分析
6.2脆弱性分析
6.3威胁分析
7固定通信网安全等级保护要求…7.1第|级要求
第2级要求·
第3.1级要求·
第3.2级要求
第4级要求
第5级要求·
8固定通信网灾难备份及恢复要求.·8.1灾难备份及恢复等级
第1级要求
第2级要求…
第3.1级要求
第3.2级要求…
第4级要求
第5级要求
参考文献
YD/T1732-2008
YD/T 1732-2008
本标雅是“电信网利互联网安全防护休系”系列标准之一。该系列标准的结构及名称如下1、YD/T1728-2008电信网利互联网安全防护管理指南;2.YD/T1729-2008电信网和互联网安全等级保护实施指南:3.YD/T1730-2008电信网和互联网安全风险评估实施指南:4.YD/T1731-2008电信网和互联网灾摊备份及恢友实施指南;5.YD/T1732-2008固定通信网安全防护要求:6.YD/T1733-2008固定通信网安全防护检测要求:7。YD/T1734-2008移动通信网安个防扩要求;移动通信网安全防护检测要求:8. YD/T 1735-2008
9.YD/T 1736-2008
互联网安全防护要求;
10. YD/T1737-2008
3互联网安个防护检测要求:
11.YD/T1738-2008
一消息网安全防护要求:
增值业务网—
12.YD/T1739-2008
13. YD/T 1740-2008
14. YD/T 1741-2008
15.YD/T1742-2008
16. YD/T 1743-2008
17. YD/T 1744-2008
18. YD/T 1745-2008
19. YD/T 1746-2008
20. YD/T 1747-2008
2I.YD/T 1748-2008
增值业务网——消息网安全防护检测要求;增值业务网——智能网安全防护要求;增值业务网-
智能网安全防护检测要求;
接入网安全防护要求:
接入网安全防护检测要求:
传送网安全防护要求:
传送网安全防护检测要求:
IP承裁网安全防护要求
TP承载网安全防护检测要求:
信令网安全防护要求:
22.YD/T1749-2008信令网安全防护检测要求;23.YD/T1750-2008同步网安全防护要求;24,YD/T1751-2008同步网安全防护检测要求:25.YD/T1752-2008支撑网安全防护要求:26.YD/T1753-2008支撑网安全防护检测要求:27。YD/T1754-2008电信网和互联网物理环境安全等级保护要求:电信网和互联网物理环境安全等级保护检测要求;28. YD/T 1755-2008
29.YD/T1756-2008电信网和互联网管理安全等级保护要求:30.YD/T1757-2008电信网租互联网管理安全等级保扩检测要求;31.YDT1758-2008非核心生产单元安全防护要求:32,YD/T1759-2008非核心生产单元安全防护捡测要求。本标准与YD门1733-2008《固定通信网安全防护检测要求》配套使用。YD/T1732-2008
随若电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标推化协会提出并归口。本标准起草单位:信息产业部电信研究院、中国网络通信集团公司、中国电信集团公司、中国联合通信有限公司
本标谁生要起草人:魏
薇,黄籁、魏瑜、刘洪声、王新峰、顾晏跪1范围
固定通信网安全防护要求
YD/T 1732-2008
本标准规定了固定通信网在安全等级保护、安全风险评估,灾难备份及恢复等方面的安全防护要求。本标准议规定了固定通信网中的交换网的安全防扩要求。本标准适用于公众电信网中固定通信网的交换网2规范性引用文件
下列文件中的条款通过本标推的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/ 1728-2008
YD/T 1730-2008
YD/T 1731-2008
YD/T 1742-2008
YD/T 1744-2008
YD/T 1746-2008
YD/T 1748-2008此内容来自标准下载网
YD/T 1750-2008
YD/T 1752-2008
YD/T 1754-2008
YD/T 1756-2008
3术语、定义和缩略语
3.1术语和定义
电信网和互联网安全等级保护实施指南电信网和互联网安全风险评估实施指南电信网利联网火难备份及谈复实施指南接入网安余防护要求
传送网安全防护要求
IP承载网安全防护要求
信令网安全防护要求
同步网安全防护要求
支撑网安全防护要求
电信网和互联网物理环境安全等级保护要求电信网和互联网管理安全等级保护要求下列术语和定义适用于本标准。3.1.1
固定通信网安金等级 Security Classificatian of Fixed Telecommunication Network固定通信网安全重要程度的表征。重要程度可从固定通信网受到破坏后,对国家安全、社会秩序,经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.2
固定通信网安全等级保护ClassifiedSecurityProtectianofFixedTelecommunicationNetwork对固定通信网分等级实施安全保护。3.1.3
组织 Organization
组织是由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工,合作:一个单位是一个组织,某个业务部门也可以是一个组织。1
YD/T1732-2008
固定通信网安全风险 SecurityRisk ofFixed Telecomimunication Network人为或白然的威胁可能利用固定通信网中存在的脆弱性,导致安全中件的发生及其对组织造成的影响
固定通信网安全风险评估 Security Risk Assessment of Fixed Telecammunicatian Network指运用科学的方法和手段,系统地分析闹定通信网所面临的威胁及其存在的脆够性,评估安全事件一且发生可能造成的危程度,提出有针对性的抵御威胁的防护对策和安全措施,防范和化解固定通信网安全风险,将风险控制在可接受的水平,对最大限度地保障固定通信网的安全提供科学依据,3.1.6
固定通信网资产 AssetofFixedTelecommunicationNetwork固定通信网中具有价值的资源,是安全防护保护的对象。固定通信网中的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括物埋布局、通信设备、物理线路、数据、软件、文档、规程,业务、人员、管理等各种类型的资源,如固定通信网的交换机设备、网络布等。3.1.7
固定通信网资产价值AssetvalueofFixed TelecommunlcatlonNetwork固定通信网中资产的重要程度或墩感程度。资产价值是资产的属性,也是进行资产识别的主要内容。3.1.8
固定通信网威胁 Threat of Flxed Telecommunication Network可能导致对固定通信网产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意尖误,也可能是恶意攻击。常见的固定通信网络威胁有光缆中断,设备节点失效,火欠、求势等。
固定通信网脆弱性Vulnerability ofFixedTelecommunicationNetwork跪弱性是固定通信网中存在的弱点,缺陷与不足,不直接对资产造成危苦,但可能被威胁所利用从而危及资产的安全。
固定通信网灾难DisasterofFixedTelecommunicationNetwork各种原因造成的固定通信网故障或瘫痪,使固定通信网支持的业务功能停顿或服务水平不可接受。达到特定的时间的突发性事件。3.1.11
固定通信网灾难备份BackupfarDisasterRecoveryofFixedTelecommunicatianNetwork为了固定通信网炎难恢复而对相关网络要素进行备份的过程。3.1.12
固定通信网灾难恢复 Disaster Recovery of Fixed Telecommunication Network为了将固定通信网从灾难造成的故障或摊焕状态复到止常运行状态或部分正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。2
固定通信网相关系统SystemsofFixedTelecornrnunicationNetworkYD/T 1732-2008
组成固定通信网的相关系统,包括接入网、传送网、P承载网、信令网、同步网、支撑网等。其中,接入网包括各种有绒、无线和卫星接入网等,传送网包括光缆、波分、SDH、卫等,而支撑网则包括业务支撑和网管系统。
3.2缩略语
下列缩略语适用于本标准。
Internet Protocol
Internet Protocoi Security
Fublic Switched Telephone NetworkTransmission Control PratocolVoice over Internet Protocal4固定通信网安全防护概述
4.1固定通信网安全防护范围
因特网协议
P 安全
公众电话交换网
传输控制协议
P电话
固定通信是指通信终端设备与网络设备之间通过多种接入手段连接起米,进而实现的用户问相互通信,其主要特征是终端的不可移动性或有限移动性,如普通电话机、P电话终端,传真机,无绳电话机联网计算机等电话网和数据网察端设备。固是通信业务包括:固定通网本地电话业务,固定通信网国内长途电话业务、固定通信网国际长途中话业务、消息类业务、多媒体业务等。本标雅中固定通信网特提供电话业务的固定电话网。我国固定通信网可以采用电路交换技术或分组交换技术。传统PSTN采用电路交换技术,是我国支撑语音业务、数据业务的接入,P的接入以及提供各种补充业务和增值业务的重要网络。软交换网络采用分组的P承载网传送信令和媒体数据。本标准中仅对PSTN和软交换网络的安全防护要求做了详细规定,本标推中提到的交换网特指PSTN和软交换网络。PSTN的安全防护范畴包括PSTN以及与PSTN运行和业务提供相关的接入网、传送网、信令网、同步网和支摔网等相关系统,如图1所示。软交换网络的安全防护范畴包括软交换网络以及与软交换网络运行和业务提供相关的接入网、传送网、IP承裁网、信令网、同步网和支撑网等相关系统,如图2所示。本标准仅对固定通信网中的PSTN和软交换网络提出安全防护要求,接入网安全防护的具体要求参见YD/T1742-2008接入网安全防护要求》,传送网安全防护的具体要求参见YT>/T1744-2008传送网安全防护要求》,IP承载网安全防护的具体要求参见YD/T1746-2008《P承载网安全防护要求,信令网安全防护的具体要求参见YD/T1748-2008信令网安全防护要求”,同步网安全防护的具体要求参见YD/T1750-2008同步网安全防护要求,支撑网安全防护的具体要求参见YD/T1752-2008《支撑网安全防护要求”。
YD/T1732-2008
4.2固定通信网安全防护内容
接入网
PSTN相关系统
图 1 PSTN安全防护涉及的相关系统致交换网络相关系统
传送所
卫戴网
同步网
艾撑网
图2软交换网络安全防护涉及的相关系统根据电信网和互联网安全防扩体系的要求,将固定通信网安全防护内容分为安全等级保护、安全风险评估,灾难备份及恢复三个部分。a)固定通信网安全等级保护:主要包括定级对象和安全等毁的确定、业务安全、网络安全、设备安全物理环境安全、管理安全等。
b)固定通信网安全风险评估:主要包括资产识别、脆弱性识别、威胁识别、已有安全措施的确认、风险分析、风险评估文件记录等。本标准仪对固定通信网中的交换网进行资产分析、跪弱性分析、威助分析,在固定通信网安全风险评估过程确定各个资产、脆弱性、威勘的具体值。资产、脆性、威助的赋值方法及资产价值、风险值的计算方法参见YD/T1730-2008《电信网和互联网安全风险评估实施指南”。
c)固定通信网灾难备份及恢复:主要包括灾难备份及恢复等级确定,针对灾难备份及恢复各资源要素的具体实施等。
5固定通信网定级对象和安全等级确定我国固定通信网中交换网的定级对象应为各个本地网、省内长途网、省际长途网(含国际长途网),也可将本地网进一步划分为端局、汇接局、关口局等定级对象。网络和业务运营商应根据YDT1728-2008《电信网和互联网安全等级保护实施指南附录A中确定安全等级的方法对固定通信网中的交换网定级,即对各定级对象根据社会影力、规模和服务范围、所提供服务的重要性的大小分别定级:定级方法中的权重α、β、了可根据具体网络情况进行调节。6固定通信网资产、脆弱性、威胁分析6.1资产分析
YD/T 1732-2008
固定通信网中交换网的资产至少应包括设备硬件、设备软件、重要数据、提供的服务、文档、人员、网络抵抒,码号资源等,见表1。表1资产列表
设备硬件
设备软件
重要数据
服务业务
网络拓扑
码号资源
PSTN包拓交换机设备:
、软交换网络包括软交换设备、媒体网关设备、信令网关设备、媒休服务器设备、应用服务器设备、业务接入控制设备。接入网关;
·物理环境设备包括机房、电力供应系统、电磁防护系统、防火、防水和防潮系统、防静电系统、防画击系统、温湿度控制素统等t
,交换网设备的操作维护系统等设备的系统软件,包括操作系统、各种数搭库软件等;·系统控制软件、协议软件:
·操作维护系统软件等
支撑固定通信网运行的务种重要数据,包括计费数据,网络配肾数据、管理员操作维护记录。用户数据等固定通信网提供的各种业务,包括基本源话、各种补充业务等纸质以及保存在存储介质中的各种义件,如设计文档、技术要求、管理规定《机构设置、管理制度、人员管理办法),1.作计划、技术驳财务报告、用户手册等掌掘重要技术的人员,如网络维护人员,设备维护人员、网路或业务的研发人员等网络节点和链路之间的连接
6.2脆弱性分析
固定通信网中交换网的脆弱性可以从技术脆弱性和管理脆弱性两个方面考虑。瞻弱性识别对象应以资产为核心。表2给出部分跪竭性识别内容。表2瞻弱性分析表
技术弱性
管理弱性
业务脑用
存在的跪弱性
网络和设备的处理能力不够,业务数据的保密性不够,访问控制策略存在安全漏洞,革要数据未及时进行本地和异地备份等网络节点段备配置、路由配置存在缺陷,通信安全存在安企漏润,外邮和内部的访问控制策略存在漏洞等
设备存在硬件和软件故障隐患,账号和口令保护存在漏洞,鉴权利1访问轻制机制存在设备(含操作系统和
漏满,重要部件米配置主备用保护,设备超过使用年限或核心部件老化,晚备发生故数据库)
物理环境
安全管理机构
安全管理制度
人员安全管理
安全建设管理
安全运维管理
障后未及时告警等
机房场地选择不合理,防火、供配电、防静电、接地与防雷、电磁防护、溢湿度控制不符合规范,通信线路,机房设备的保护不符合规范等岗化设置不合理(如人员配置过少、职责不清)、授权和审批程序简化、沟通和合作未执行、审核和检查未执行等
管理制度不完普、制度评审和修订不及时等人员录用不符合程序、人员离岗未办理安全手续、人员未进行安全培训、对于第三方人员未进行限制访问等
安全方案不完善、软件开发不符合程序。工程实施未进行安全验收或验收不严格等物理环境管理措施检单、存储介质便用不受限、设备没有定期维护、厂家支持力度不够、关健性能指标没有定期监控、无恶意代码防范措施、无数据备份和恢复策略、访问控制不严格、操作管理不规范、应急保障措施不到位、难恢复预案不完善等5
YD/T1732-2008
6.3威胁分析
对固定通信网中交换网的威助根据来源可分为环境威胁和人为威胁等。环境威胁包括不可抗的自然灾害胁和其他物理环境威胁。根据威胁的动机,人为威胁文可分为恶意和非恶意两种。表3列举出部分威胁。
表3威胁来源列表
环境威胁
人为威胁
物理环境
自然突害
非恶意
其他威胁
威肱描述
断电,静电、灰尘、潮泥、温安、地磁十扰等,意外事故或通信线路方面的故障鼠蚁虫害、洪灾、火炎、混石流、山体滑坡、地震、台风、闪电不满的或有预谋的内部人员滥用权限进行恶意被坏;,采用自主或内外勾结的方式益窃或算改机窃信息;,外部人员利用网络进行攻击、入侵、植入病强;,外部人员进行物理破坏,盗窃等·内部人员山于缺乏贡任心或者光作为而应该执行却没有执行模应的操作、或光意地执行了销误的操作导致安全事件:,内部人员没有避循规章制度和操作流程而导致故障或信息损坏:,内部人员由于映芝培训、专业技能不足、不具备岗化技能费求而导致政障或攻击::安全管理制度不完普、落实不到位造成安全管理不规范或者管理混乱导致安全事件节假口或其他原因的高证务冲击等固定通信网安全等级保护要求
7.1第1级要求
不作要求。
7.2第2级要求
7.2.1业务安全
7.2.1.1业务提供安全
a)交换网应其有足够的业务处理能力,应能够满足业务提供的需要,不应因为过负荷或者突发业务量而影响网络安全:
b)交换网应采取一定的安全措施,即使在网络拥塞时也能对特定的通信(如维护操作呼叫)予以忧优先保证:
c)交换网的业务提供不应因后台计费系统的毁坏而中断。7.2.1.2业务数据安全
a)交换网应对重要数据(系统配置数据、用户数据、计费数据等)进行备份,需要时能够对数据进行恢复:
b)交换网应对用于操作维扩的系统密码等重要数据在数据库进行加密处理,而不是明文显示,并对访问权隧进行限制。
7.2.2网络安全
7.2.2.1PSTN 安全
a)应绘制与当前运行情况相符合的网络拓扑图:b)PSTN端局到同一长途局应具备双路由:6
心)网络设备关键部件应采用土备热备份的结构:YD/T1732-2008
d)PSTN中的设备应该是网络和业务运尝商可控和可管理的,应确保合法且通过认证的设备(网元和管理终端)A能够进入PSTN:
e)PSTN中当交换机与操作维护接1I未采用专线方式而是采用TCP/IP传输时,应提供必要的安机制,如对传输的数据采用IPSec等安全技术进行进一步的安全处理。7.2.2.2软交换网络安全
7.2.2.2.1软交换网络拓扑安全
a)应绘制与当前运行情况相符合的软交换网络拓扑图;6)软变换网络的网络配背(如节点利链路的数量、位置或负荷分担分配比例等)应合理,不应因网络配置不合继血导致落金部或者员部難痪:c)软交换网与互联网间的边界关口应具有一定的安全防护能力(例如防火墙配置、常用端口屏蔽)。7.2.2.2.2软交换网络通信安全
a)软交换网络应对传的管埋信息行保护,防止信息被非法或恶意地窃听、算改:b)软交换网络应保证会话建立过程中的信令流的通信安全:)较软变换网络应保证媒体流传输过程中的保密性、完整性。7.2.2.2.3软交换网络攻击防范
a)软交换网络中的设备应是运营商可控和可管理的,应确保台法且通过认证的设备(网充和管理终端)才能够进入软交换网络:
b)网络或设备发生故障残故障消失时应能及时产生告警信息并发送至网元管理系统。7.2.3设备安全
PSTN尘要包括交换机设备,软交换网络由软交换设备、媒体网关、信令网关、媒体服务器、应用服务器、软交换业务接入控制设备、接入网关等设备组成。设备安全应满足设备技术规范,设备入网管理相关要求。7.2.4物理环境安全
应满足YD/T1754-2008电信网和互联网物理环境安全等级保护要求》中第2级的安全要求。7.2.5管理安全
应满足YD/T1756-2008《电信网和互联网管理安全等级保护要求》中第2级的安全要求。7.3第3.1级要求
7.3.1业务安全
7.3.1.1业务提供安全
除满足7.2.1.1 的要求之外,还应满足;日)软交换设备发生故障或与媒体网关连接中断时,应不影响正在通话的呼叫:b)交换设备应具有高可靠性和高稳定性,所提供的业务应尽可能不因系统引入其他新业务、系统补丁加载而中断
7.3.1.2业务数据安全
除满足7.2.1.2的要求之外,还应满足:1
YD/T 1732-2008
a)详细计费话单在变换中的行储时间和存情方式获满足相关要求,例如荐储时间应不少24h未被采集丽应不被删除:
b)重要数据(如计费数据)所占存储空间达到阅值时,系统应能产生相应的告警信息:c)交换网应能够保证对业务进行本地和远程操作维护的安会性,对操作维护人员账户权分级管理,及时删除临时账户权限,刘操作维护人员身份进行认证,记录操作维护人员对业务所进行的任何操作,操作维护信息保存时问应符合相关要求,需要时应能够对操作维护信息进行查询。7.3.2网络安全
7.3.2.1PSTN 安全
除满足7.2.2.I的要求之外,还应满足:PSTN汇接局应采用双局设置,端局到汇接局应具备双归属能力。
7.3.2.2软交换网络安全
7.3.2.2.1软交换网络拓扑安全
除满足7.2.2.2.1的要求之外,还应满足;?软交换网露中的软交换设备应来用多节点工作方式,一个节点的损害不影响业务提供:听且应能够对拥塞进行话务控制:
b)软交换网络的关键设备应进行余备份设让,主处理板,电源和通信板等设备的主要部件均应支持热元余备份。
7.3.2.2.2软交换网络通信安全
除满足7.2.2.2.2的要求之外,还应满足:针对软交换网络传输的媒体流保护措施,应考虑电信监管需求和对媒体流服务质量的影响。7.3.2.2.3软交换网络攻击防范
除满足7.2.2.2.3的要求之外,还应满足a)软交换网络应采政安全对策(如防病毒软件,系统加固,网络隔离,防火墙、访问控制等)有效地防止非法用户利用各种手段对网络发起攻市,导致网络及设备尤法正常工作或瘫痪,b)软交换网络应部署基十主机和基于网络的入侵检测系统,并应及时处理入侵检测系统的报警;心)应对软交换网络中关键的主机系统和网络定期进行安全检查(例如使用安全扫描软件),以检查出网络弱点和策略配置上的问题。7.3.3设备安全
与 7.2.3 的要求相同。
7.3.4物理环境安全
应满足YDT1754-2008电信网和互联网物理环境安全等级保护要求中第3.1级的安全要求。7.3.5管理安全
应满足YD/T1756-2008《电信网和互联网管理安全等级保护要求》小第3.1级的安全要求。7.4第3.2级要求
7.4.1业务安全
与7.3.1的要求相同。
7.4.2网络安全
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。