YD/T 2242-2011
基本信息
标准号: YD/T 2242-2011
中文名称:WAP 网关系统安全防护检测要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:7790342
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2242-2011.Security protection testing requirements for WAP gateway system.
1范围
YD/T 2242规定了WAP网关系统在风险评估、安全等级保护、灾难备份及恢复等方面的安全防护检测要求。
YD/T 2242适用于公众电信网中的WAP网关系统的安全防护检测。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD 5098-2005《通信局(站)防雷与接地工程设计规范》
YD/T 1755-2008电信网和互联网物理环境安全等级保护检测要求
YD/T 1757-2008电信网和互联网管理安全等级保护检测要求移动上网日志留存规范
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。
3.1.1
WAP网关系统安全等级Security Classification of Mobile Communication Network
WAP网关系统安全重要程度的表征。重要程度可从WAP网关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
3.1.2
WAP网关系统安全等级保护Classifed Security Protetion of Mobile Communication Network对WAP网关系统分等级实施安全保护。
3.1.3
组织Organization
1范围
YD/T 2242规定了WAP网关系统在风险评估、安全等级保护、灾难备份及恢复等方面的安全防护检测要求。
YD/T 2242适用于公众电信网中的WAP网关系统的安全防护检测。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD 5098-2005《通信局(站)防雷与接地工程设计规范》
YD/T 1755-2008电信网和互联网物理环境安全等级保护检测要求
YD/T 1757-2008电信网和互联网管理安全等级保护检测要求移动上网日志留存规范
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。
3.1.1
WAP网关系统安全等级Security Classification of Mobile Communication Network
WAP网关系统安全重要程度的表征。重要程度可从WAP网关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
3.1.2
WAP网关系统安全等级保护Classifed Security Protetion of Mobile Communication Network对WAP网关系统分等级实施安全保护。
3.1.3
组织Organization
标准图片预览
标准内容
ICS33.040.20
中华人民共和国通信行业标准
YD/T2242-2011
WAP网关系统安全防护检测要求
Security protection testing requirements for WAP gateway system2011-06-01发布
2011-06-01实施
中华人民共和国工业和信息化部发布前言·
1范围
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义
3.2缩略语
4WAP网关系统安全防护检测概述4.1
安全防护检测范围
安全防护检测对象…·
安全防护检测内容
4.4安全防护检测结果判定
5WAP网关系统安全等级保护检测要求.·5.1
第1级检测要求·
第2级检测要求·
第3.1级检测要求
第3.2级检测要求
第4级检测要求..
5.6第5级检测要求·
6WAP网关系统安全风险评估检测要求·安全风险评估范围
安全风险评估内容
安全风险评估要素,
安全风险评估赋值原则
安全风险评估计算方法·
安全风险评估文件类型
安全风险评估文件记录·
7WAP网关系统灾难备份及恢复检测要求.7.1
第1级检测要求
第2级检测要求
7.3第3.1级检测要求
第3.2级检测要求.
第4级检测要求
7.6第5级检测要求
参考文献·
建筑321---标准查询下载网
YD/T2242-2011
YD/T2242-2011
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下:1.
《电信网和互联网安全防护管理指南》《电信网和互联网安全等级保护实施指南》《电信网和互联网安全风险评估实施指南》《电信网和互联网灾难备份及恢复实施指南》《固定通信网安全防护要求》
《移动通信网系统安全防护要求》《互联网安全防护要求》
《增值业务网一消息网安全防护要求》《增值业务网一智能网安全防护要求》10.《接入网安全防护要求》
11.《传送网安全防护要求》
12.《IP承载网安全防护要求》
13.《信令网安全防护要求》
14.《同步网安全防护要求》
15.《支撑网安全防护要求》
16.《非核心生产单元安全防护要求》17.《电信网和互联网物理环境安全等级保护要求》18.《电信网和互联网管理安全等级保护要求》19.《固定通信网安全防护检测要求》20.《移动通信系统安全防护检测要求》21.《互联网安全防护检测要求》22.《增值业务网一消息网安全防护检测要求》23.《增值业务网一智能网安全防护检测要求》24.《接入网安全防护检测要求》25.《传送网安全防护检测要求》26.《IP承载网安全防护检测要求》27.《信令网安全防护检测要求》28.《同步网安全防护检测要求》29.《支撑网安全防护检测要求》30.《非核心生产单元安全防护检测要求》31.《电信网和互联网物理环境安全等级保护检测要求》32.《电信网和互联网管理安全等级保护检测要求》YD/T2242-2011
33.《域名系统安全防护要求》
34.《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求》37.《WAP网关系统安全防护要求》38.《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40.《电信网和互联网信息服务业务系统安全防护检测要求》《增值业务网即时消息业务系统安全防护要求》41.
42.《增值业务网即时消息业务系统安全防护检测要求》43.《域名注册系统安全防护要求》44.《域名注册系统安全防护检测要求》本标准与YD/T2241-2011《WAP网关系统安全防护要求》配套使用。随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院。本标准主要起草人:崔媛媛、袁琦。Ⅲ
建筑321---标准查询下载网
1范围
WAP网关系统安全防护检测要求
YD/T2242-2011
本标准规定了WAP网关系统在风险评估、安全等级保护、灾难备份及恢复等方面的安全防护检测要求。
本标准适用于公众电信网中的WAP网关系统的安全防护检测。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD5098-2005
YD/T1755-2008
YD/T1757-2008
3术语、定义和缩略语
3.1术语和定义
《通信局(站)防雷与接地工程设计规范》电信网和互联网物理环境安全等级保护检测要求电信网和互联网管理安全等级保护检测要求移动上网日志留存规范
下列术语和定义适用于本标准。3.1.1
WAP网关系统安全等级SecurityClassificationofMobileCommunicationNetworkWAP网关系统安全重要程度的表征。重要程度可从WAP网关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.2
WAP网关系统安全等级保护ClassifiedSecurityProtectionofMobileCommunicationNetwork对WAP网关系统分等级实施安全保护。3.1.3
组织Organization
组织是由WAP网关系统中不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作;一个单位是一个组织,某个业务部门也可以是一个组织。3.1.4
WAP网关系统安全风险SecurityRiskofMobileCommunicationNetwork人为或自然的威胁利用WAP网关系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
YD/T2242-2011
WAP网关系统安全风险评估SecurityRiskAssessmentofMobileCommunicationNetwork指运用科学的方法和手段,系统地分析WAP网关系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度。为进一步提出有针对性的抵御威胁的防护对策和安全措施,防范和化解WAP网关系统安全风险,将风险控制在可接受的水平,最大限度地保障WAP网关系统的安全提供科学依据。
WAP网关系统资产AssetofMobileCommunicationNetworkWAP网关系统中具有价值的资源,是安全防护保护的对象。WAP网关系统中的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括WAP网关、、物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源,如WAP网关系统节点设备、WAP网关系统的链路、WAP网关系统的网络布局等。3.1.7
WAP网关系统资产价值AssetValueofMobileCommunicationNetworkWAP网关系统中资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。
WAP网关系统威胁ThreatofMobileCommunicationNetwork可能导致对WAP网关系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。常见的WAP网关系统络威胁有外部攻击、链路设备节点失效、火灾、水灾等等。
WAP网关系统脆弱性VulnerabilityofMobileCommunicationNetwork脆弱性是WAP网关系统中存在的弱点、缺陷与不足,不直接对资产造成危害,但可能被威胁所利用从而危及资产的安全。
WAP网关系统灾难DisasterofMobileCommunicationNETWORK由于各种原因,造成WAP网关系统故障或摊,使WAP网关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.11
WAP网关系统灾难备份BackupforDisasterRecoveryofMobileCommunicationNetwork为了WAP网关系统灾难恢复而对相关网络要素进行备份的过程。3.1.12
WAP网关系统灾难恢复DisasterRecoveryofMobileCommunicationNetwork为了将WAP网关系统从灾难造成的故障或摊痪状态恢复到正常运行状态或部分正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.13
WAP网关系统相关系统SystemsofMobileCommunicationNetwork2
建筑321---标准查询下载网
YD/T2242-2011
组成WAP网关系统的相关系统,包括移动通信网中的核心网络设备,以及计费系统、网管系统。3.1.14
访谈Interview
检测人员通过与WAP网关系统有关人员(个人/群体)进行交流、讨论等活动,查看WAP网关系统安全等级保护、WAP网关系统安全风险评估和WAP网关系统灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。
检查Examination
检测人员通过对检测对象进行观察、查验和分析等活动,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。3.1.16
测试Testing
检测人员通过对检测对象按照预定的方法/工具使其产生特定行为的活动,查看、分析输出结果,获取证据以证明WAP网关系统安全等级保护措施、WAP网关系统风险评估措施和WAP网关系统灾难备份及恢复措施是否有效的一种方法。3.2缩略语
下列缩略语适用于本标准。
GatewayGPRSSupportNode
Packet Data Service Node
Push Initiator
Push Proxy Gateway
Secure Sockets Layer
Service Provider
Intermet Protocol
Transport Layer Security
Virtual Private Network
WirelessApplicationProtocol
WirelessTransportLayerSecurity4WAP网关系统安全防护检测概述4.1安全防护检测范围
关口GPRS支持节点
分组数据服务节点免费标准bzxz.net
push发起者
Push代理网关
套接字安全层
服务提供商
因特网协议
传输层安全
虚拟专用网
无线应用协议
无线传输层安全
WAP网关安全防护检测范围包括WAP代理网关、Push代理网关(PPG)、数据库、安全设备(如防火墙)及其他服务器(如统计分析服务器)等。4.2安全防护检测对象
一个WAP网关系统覆盖的业务区域可能是-个省/市,或多个省,可将WAP网关系统作为一个定级对象。
安全等级保护的检测对象确定以后,风险评估的检测对象、灾难备份及恢复检的测对象应与安全定级保护的检测对象相一致。
YD/T2242-2011
4.3安全防护检测内容
按照WAP网关系统安全防护检测的需要,将WAP网关系统安全防护检测分为WAP网关系统风险评估检测、WAP网关系统安全等级保护检测和WAP网关系统灾难备份及恢复检测等3个部分。WAP网关系统安全防护检测内容包括以下一些内容:-WAP网关系统安全风险评估检测主要包括风险评估范围、风险评估内容检测、风险评估要素检测、风险评估赋值原则检测、风险评估计算方法检测、风险评估文件类型检测和风险评估文件记录检测等:WAP网关系统安全等级保护检测
主要包括业务安全检测、网络安全检测、设备安全检测、物理安全检测、管理安全检测等;-WAP网关系统灾难备份及恢复检测主要包括允余系统、允余设备及穴余链路检测、几余路由检测、备份数据检测、技术支持能力检测、运行维护管理检测和灾难恢复预案检测等。4.4安全防护检测结果判定
WAP网关系统安全防护检测包括对WAP网关系统的安全风险评估、安全等级保护、灾难备份及恢复3个部分的检测,应对3个部分的检测结果分别进行判定,并根据检测结果分别出具检测报告,检测报告中应具体说明安全防护工作的优势和不足。对每一个部分中的每一个测试项,应根据具体实施情况进行等级化评价(分5级:很好、较好、一般、较差、很差)。参照表1将各测试项的评价等级换算成评分,各测试项的分数经过一定的算法(例如加权平均)分别得到安全等级保护、安全风险评估、灾难备份及恢复3个部分的总分数,根据总分数分别对安全等级保护、安全风险评估、灾难备份及恢复3个部分的检测结果进行等级化评定,总分数和评定等级的关系如表2所示。在计算总分数过程中,应充分考虑到各测试项在安全防护检测要求中所占的比重,例如,表3给出了安全等级保护子类所占的比重。WAP网关系统安全防护检测的结果还应充分考虑到支持WAP网关系统运行的各相关系统的检测结果。表1测试项评分方法
评价结果
实施很好
实施较好
实施一般
实施较差
实施很差
总分数x
3.5≤x<4.5
2.5≤x3.5
1.5≤x<2.5
表2总分数和评定等级的关系
建筑321---标准查询下载网
评定等级
比重(%)
表3安全等级保护子类所占的比重5WAP网关系统安全等级保护检测要求5.1第1级检测要求
不作要求。
5.2第2级检测要求
5.2.1业务安全
(1)检测方式
访谈,检查,并通过测试工具进行测试。(2)检测对象
安全等级保护子类
业务安全
网络安全
设备安全
物理环境安全
管理安全
YD/T2242-2011
设备运行日志,网络管理系统日志、用户投诉及处理记录,故障记录,SP业务管理资料。(3)检测实施
a)应访谈业务系统管理人员,并查看业务运营的历史记录,业务系统升级相关资料等检查网络是否能够保证在运行的系统上引入新业务、升级业务或者升级系统时不会引起网络所提供业务的中断或系统瘫痪;
b)应访谈相关技术人员,并通过测试工具验证非法PI(Push发起者)能否接入PPG服务器,能否发起Push消息;
c)应询问相关业务系统管理人员并检查业务运营的历史记录及SP业务管理资料,检查是否有针对SP各类业务的业务规范,在SP开通业务前是否对SP进行了测试验证;d)检查SP业务管理资料,验证SP是否具有服务的资质备案。5.2.2网络安全
5.2.2.1网络拓扑结构
(1)检测方式
访谈,检查。
(2)检测对象
网络拓扑结构,网络拓扑图,网络设计/验收文档,网管系统,设备运行日志,网络设备。(3)检测实施
a)应访谈网络管理人员,查看网络设计/验收文档,查看实际的网络设备运行日志、故障记录、用户投诉及处理记录,查看网络设备处理能力是否具备允余空间,不能由于设备配置不够而导致网络全部或者局部瘫痪,负荷设计的水平是否满足流量高负荷时需求,是否形成单点故障,节假日突发话务量是否会影响网络:
b)应访谈WAP网关系统管理人员,查看WAP网关系统网络拓扑图,了解目前WAP网关系统的网5
YD/T2242-2011
络组织情况,查看其与当前运行情况是否一致。5.2.2.2网络安全协议
(1)检测方式
访谈,或通过测试工具、仪表进行验证、检查。(2)检测对象
系统设计文档,设备后台运行日志,网络设备。(3)检测实施
a)应访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,或者通过仪表验证,查看WAP终端与WAP网关之间是否可以进行WLTS连接,使用协议抓包软件测试WAP终端与WAP网关之间是否进行了WTLS协议过程:b)应访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,或者通过仪表验证,通过WAP终端访问HTTPS安全网站,从测试仪表或协议抓包软件验证WAP终端与应用服务器之间是否能够建立TLS连接。5.2.2.3访问控制安全
(1)检测方式
访谈,检查。
(2)检测对象
网络设计/验收文档,网管系统,设备运行日志,后台操作维护系统,网络设备。(3)检测实施
应访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,查看后台操作维护系统是否提供访问控制功能,是否设置了不同的访问角色。5.2.2.4网络攻击防范
(1)检测方式
访谈,检查。
(2)检测对象
网络设计/验收文档,网管系统,设备运行日志,后台操作维护系统,网络设备。(3)检测实施
应访谈网络管理员,查看网络拓扑结构图,查看系统设计文档,并询问相关系统管理人员,是否在WAP网关系统与外部系统间设置了防火墙,防火墙策略设置是否合理。5.2.2.5安全审计
(1)检测方式
访谈,检查。
(2)检测对象
网络设计/验收文档,网管系统,设备运行日志,网络设备。(3)检测实施
应访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,查看系统是否对系统管理员的登录、操作记录进行了记录,审计日志的保存期是否满足《移动上网日志留存规范》第6
建筑321-一标准查询下载网
6章的要求。
5.2.3设备安全
(1)检测方式
访谈,检查。
(2)检测对象
设备入网检测报告,设备入网证,安全检测报告。(3)检测实施
YD/T2242-2011
应访谈相关技术支持人员和管理人员,查看设备是否有入网检测报告、设备入网证、安全检测报告等。
5.2.4物理环境安全
(1)检测方式
访谈,检查。
(2)检测对象
机房、办公场地,设计/验收文档。(3)检测实施
除应满足YD/T1755-2008中第2级的检测要求外,还应满足:a)访谈物理安全负责人,查看机房设计文档,检查机房整体抗震能力应不低于里氏7级;b)访谈物理安全负责人,查看机房管理制度文档,查看机房现场,检查机房是否具备防虫防鼠等相关措施,以有效防范鼠虫蚁害。5.2.5管理安全
应满足YD/T1757--2008中第2级的检测要求。5.3第3.1级检测要求
5.3.1业务安全
(1)检测方式
访谈,或通过测试工具、仪表进行验证、检查。(2)检测对象
系统设计文档,设备运行日志,网络管理系统日志、用户投诉及处理记录,操作管理后台系统。(3)检测实施
除满足5.2.1的要求外,还应该满足:a)访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,查看系统后台操作管理界面,验证系统是否对PI的IP地址、域名等信息进行白名单控制,验证不在白名单中的IP地址是否能成功发送Push消息:b)访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,查看系统后台操作管理界面,验证系统是否对PI发送的Push消息频率、条数等进行控制,验证是否能发送超过系统设置最多条数的Push消息:
c)访谈网络管理人员,通过测试工具验证WAP网关系统是否对Push消息的大小进行了限制,验证WAP网关系统是否能阻止超大Push消息的发送;7
YD/T2242-2011
d)访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,查看系统后台操作管理界面,通过测试软件验证是否能使用WAP网关代理功能发送Push消息:e)访谈网络管理人员,使用测试工具,验证WAP网关系统是否能对终端用户所发起的访问请求数据包进行识别,能识别测试工具发起的超长/畸形数据包,并进行自动过滤:f)访谈网络管理员,使用测试工具,验证WAP网关系统能否对终端用户所发起的访问目标服务器进行识别,是否能防止测试工具将WAP网关作为跳板访问电信网内服务器。5.3.2网络安全
5.3.2.1网络拓扑结构
(1)检测方式
访谈,检查。
(2)检测对象
网络拓扑结构,网络拓扑图,网络设计/验收文档,网管系统,设备运行日志,故障记录,网络设备。(3)检测实施
同5.2.2.1的要求。
5.3.2.2网络安全协议
(1)检测方式
访谈检查,或通过测试工具、仪表进行验证。(2)检测对象
系统设计文档,设备后台运行日志,网络设备。(3)检测实施
同5.2.2.2的要求。
5.3.2.3访问控制安全
(1)检测方式
访谈,或通过测试工具、仪表进行验证、检查。(2)检测对象
网络设计/验收文档,网管系统,设备运行日志,后台操作维护系统,网络设备。(3)检测实施
除满足5.2.2.3的要求外,还应该满足:a)访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,查看后台操作维护系统是否设置了不同的角色,不同角色是否设置了不同的权限,是否设置了多级密码;b)访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,查看后台操作维护系统是对远程登录访问是否使用了VPN或其他安全接入认证方式,用测试仪器或协议抓包软件测试验证远程操作维护的数据流是否进行了加密:c)访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,查看后台操作维护系统是否对远程操作维护进行单独审计,对远程操作维护的操作内容是否进行了记录与存储。5.3.2.4安全审计
(1)检测方式
建筑321---标准查询下载网
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T2242-2011
WAP网关系统安全防护检测要求
Security protection testing requirements for WAP gateway system2011-06-01发布
2011-06-01实施
中华人民共和国工业和信息化部发布前言·
1范围
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义
3.2缩略语
4WAP网关系统安全防护检测概述4.1
安全防护检测范围
安全防护检测对象…·
安全防护检测内容
4.4安全防护检测结果判定
5WAP网关系统安全等级保护检测要求.·5.1
第1级检测要求·
第2级检测要求·
第3.1级检测要求
第3.2级检测要求
第4级检测要求..
5.6第5级检测要求·
6WAP网关系统安全风险评估检测要求·安全风险评估范围
安全风险评估内容
安全风险评估要素,
安全风险评估赋值原则
安全风险评估计算方法·
安全风险评估文件类型
安全风险评估文件记录·
7WAP网关系统灾难备份及恢复检测要求.7.1
第1级检测要求
第2级检测要求
7.3第3.1级检测要求
第3.2级检测要求.
第4级检测要求
7.6第5级检测要求
参考文献·
建筑321---标准查询下载网
YD/T2242-2011
YD/T2242-2011
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下:1.
《电信网和互联网安全防护管理指南》《电信网和互联网安全等级保护实施指南》《电信网和互联网安全风险评估实施指南》《电信网和互联网灾难备份及恢复实施指南》《固定通信网安全防护要求》
《移动通信网系统安全防护要求》《互联网安全防护要求》
《增值业务网一消息网安全防护要求》《增值业务网一智能网安全防护要求》10.《接入网安全防护要求》
11.《传送网安全防护要求》
12.《IP承载网安全防护要求》
13.《信令网安全防护要求》
14.《同步网安全防护要求》
15.《支撑网安全防护要求》
16.《非核心生产单元安全防护要求》17.《电信网和互联网物理环境安全等级保护要求》18.《电信网和互联网管理安全等级保护要求》19.《固定通信网安全防护检测要求》20.《移动通信系统安全防护检测要求》21.《互联网安全防护检测要求》22.《增值业务网一消息网安全防护检测要求》23.《增值业务网一智能网安全防护检测要求》24.《接入网安全防护检测要求》25.《传送网安全防护检测要求》26.《IP承载网安全防护检测要求》27.《信令网安全防护检测要求》28.《同步网安全防护检测要求》29.《支撑网安全防护检测要求》30.《非核心生产单元安全防护检测要求》31.《电信网和互联网物理环境安全等级保护检测要求》32.《电信网和互联网管理安全等级保护检测要求》YD/T2242-2011
33.《域名系统安全防护要求》
34.《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求》37.《WAP网关系统安全防护要求》38.《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40.《电信网和互联网信息服务业务系统安全防护检测要求》《增值业务网即时消息业务系统安全防护要求》41.
42.《增值业务网即时消息业务系统安全防护检测要求》43.《域名注册系统安全防护要求》44.《域名注册系统安全防护检测要求》本标准与YD/T2241-2011《WAP网关系统安全防护要求》配套使用。随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院。本标准主要起草人:崔媛媛、袁琦。Ⅲ
建筑321---标准查询下载网
1范围
WAP网关系统安全防护检测要求
YD/T2242-2011
本标准规定了WAP网关系统在风险评估、安全等级保护、灾难备份及恢复等方面的安全防护检测要求。
本标准适用于公众电信网中的WAP网关系统的安全防护检测。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD5098-2005
YD/T1755-2008
YD/T1757-2008
3术语、定义和缩略语
3.1术语和定义
《通信局(站)防雷与接地工程设计规范》电信网和互联网物理环境安全等级保护检测要求电信网和互联网管理安全等级保护检测要求移动上网日志留存规范
下列术语和定义适用于本标准。3.1.1
WAP网关系统安全等级SecurityClassificationofMobileCommunicationNetworkWAP网关系统安全重要程度的表征。重要程度可从WAP网关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.2
WAP网关系统安全等级保护ClassifiedSecurityProtectionofMobileCommunicationNetwork对WAP网关系统分等级实施安全保护。3.1.3
组织Organization
组织是由WAP网关系统中不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作;一个单位是一个组织,某个业务部门也可以是一个组织。3.1.4
WAP网关系统安全风险SecurityRiskofMobileCommunicationNetwork人为或自然的威胁利用WAP网关系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
YD/T2242-2011
WAP网关系统安全风险评估SecurityRiskAssessmentofMobileCommunicationNetwork指运用科学的方法和手段,系统地分析WAP网关系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度。为进一步提出有针对性的抵御威胁的防护对策和安全措施,防范和化解WAP网关系统安全风险,将风险控制在可接受的水平,最大限度地保障WAP网关系统的安全提供科学依据。
WAP网关系统资产AssetofMobileCommunicationNetworkWAP网关系统中具有价值的资源,是安全防护保护的对象。WAP网关系统中的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括WAP网关、、物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源,如WAP网关系统节点设备、WAP网关系统的链路、WAP网关系统的网络布局等。3.1.7
WAP网关系统资产价值AssetValueofMobileCommunicationNetworkWAP网关系统中资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。
WAP网关系统威胁ThreatofMobileCommunicationNetwork可能导致对WAP网关系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。常见的WAP网关系统络威胁有外部攻击、链路设备节点失效、火灾、水灾等等。
WAP网关系统脆弱性VulnerabilityofMobileCommunicationNetwork脆弱性是WAP网关系统中存在的弱点、缺陷与不足,不直接对资产造成危害,但可能被威胁所利用从而危及资产的安全。
WAP网关系统灾难DisasterofMobileCommunicationNETWORK由于各种原因,造成WAP网关系统故障或摊,使WAP网关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.11
WAP网关系统灾难备份BackupforDisasterRecoveryofMobileCommunicationNetwork为了WAP网关系统灾难恢复而对相关网络要素进行备份的过程。3.1.12
WAP网关系统灾难恢复DisasterRecoveryofMobileCommunicationNetwork为了将WAP网关系统从灾难造成的故障或摊痪状态恢复到正常运行状态或部分正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.13
WAP网关系统相关系统SystemsofMobileCommunicationNetwork2
建筑321---标准查询下载网
YD/T2242-2011
组成WAP网关系统的相关系统,包括移动通信网中的核心网络设备,以及计费系统、网管系统。3.1.14
访谈Interview
检测人员通过与WAP网关系统有关人员(个人/群体)进行交流、讨论等活动,查看WAP网关系统安全等级保护、WAP网关系统安全风险评估和WAP网关系统灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。
检查Examination
检测人员通过对检测对象进行观察、查验和分析等活动,获取证据以检查安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。3.1.16
测试Testing
检测人员通过对检测对象按照预定的方法/工具使其产生特定行为的活动,查看、分析输出结果,获取证据以证明WAP网关系统安全等级保护措施、WAP网关系统风险评估措施和WAP网关系统灾难备份及恢复措施是否有效的一种方法。3.2缩略语
下列缩略语适用于本标准。
GatewayGPRSSupportNode
Packet Data Service Node
Push Initiator
Push Proxy Gateway
Secure Sockets Layer
Service Provider
Intermet Protocol
Transport Layer Security
Virtual Private Network
WirelessApplicationProtocol
WirelessTransportLayerSecurity4WAP网关系统安全防护检测概述4.1安全防护检测范围
关口GPRS支持节点
分组数据服务节点免费标准bzxz.net
push发起者
Push代理网关
套接字安全层
服务提供商
因特网协议
传输层安全
虚拟专用网
无线应用协议
无线传输层安全
WAP网关安全防护检测范围包括WAP代理网关、Push代理网关(PPG)、数据库、安全设备(如防火墙)及其他服务器(如统计分析服务器)等。4.2安全防护检测对象
一个WAP网关系统覆盖的业务区域可能是-个省/市,或多个省,可将WAP网关系统作为一个定级对象。
安全等级保护的检测对象确定以后,风险评估的检测对象、灾难备份及恢复检的测对象应与安全定级保护的检测对象相一致。
YD/T2242-2011
4.3安全防护检测内容
按照WAP网关系统安全防护检测的需要,将WAP网关系统安全防护检测分为WAP网关系统风险评估检测、WAP网关系统安全等级保护检测和WAP网关系统灾难备份及恢复检测等3个部分。WAP网关系统安全防护检测内容包括以下一些内容:-WAP网关系统安全风险评估检测主要包括风险评估范围、风险评估内容检测、风险评估要素检测、风险评估赋值原则检测、风险评估计算方法检测、风险评估文件类型检测和风险评估文件记录检测等:WAP网关系统安全等级保护检测
主要包括业务安全检测、网络安全检测、设备安全检测、物理安全检测、管理安全检测等;-WAP网关系统灾难备份及恢复检测主要包括允余系统、允余设备及穴余链路检测、几余路由检测、备份数据检测、技术支持能力检测、运行维护管理检测和灾难恢复预案检测等。4.4安全防护检测结果判定
WAP网关系统安全防护检测包括对WAP网关系统的安全风险评估、安全等级保护、灾难备份及恢复3个部分的检测,应对3个部分的检测结果分别进行判定,并根据检测结果分别出具检测报告,检测报告中应具体说明安全防护工作的优势和不足。对每一个部分中的每一个测试项,应根据具体实施情况进行等级化评价(分5级:很好、较好、一般、较差、很差)。参照表1将各测试项的评价等级换算成评分,各测试项的分数经过一定的算法(例如加权平均)分别得到安全等级保护、安全风险评估、灾难备份及恢复3个部分的总分数,根据总分数分别对安全等级保护、安全风险评估、灾难备份及恢复3个部分的检测结果进行等级化评定,总分数和评定等级的关系如表2所示。在计算总分数过程中,应充分考虑到各测试项在安全防护检测要求中所占的比重,例如,表3给出了安全等级保护子类所占的比重。WAP网关系统安全防护检测的结果还应充分考虑到支持WAP网关系统运行的各相关系统的检测结果。表1测试项评分方法
评价结果
实施很好
实施较好
实施一般
实施较差
实施很差
总分数x
3.5≤x<4.5
2.5≤x3.5
1.5≤x<2.5
表2总分数和评定等级的关系
建筑321---标准查询下载网
评定等级
比重(%)
表3安全等级保护子类所占的比重5WAP网关系统安全等级保护检测要求5.1第1级检测要求
不作要求。
5.2第2级检测要求
5.2.1业务安全
(1)检测方式
访谈,检查,并通过测试工具进行测试。(2)检测对象
安全等级保护子类
业务安全
网络安全
设备安全
物理环境安全
管理安全
YD/T2242-2011
设备运行日志,网络管理系统日志、用户投诉及处理记录,故障记录,SP业务管理资料。(3)检测实施
a)应访谈业务系统管理人员,并查看业务运营的历史记录,业务系统升级相关资料等检查网络是否能够保证在运行的系统上引入新业务、升级业务或者升级系统时不会引起网络所提供业务的中断或系统瘫痪;
b)应访谈相关技术人员,并通过测试工具验证非法PI(Push发起者)能否接入PPG服务器,能否发起Push消息;
c)应询问相关业务系统管理人员并检查业务运营的历史记录及SP业务管理资料,检查是否有针对SP各类业务的业务规范,在SP开通业务前是否对SP进行了测试验证;d)检查SP业务管理资料,验证SP是否具有服务的资质备案。5.2.2网络安全
5.2.2.1网络拓扑结构
(1)检测方式
访谈,检查。
(2)检测对象
网络拓扑结构,网络拓扑图,网络设计/验收文档,网管系统,设备运行日志,网络设备。(3)检测实施
a)应访谈网络管理人员,查看网络设计/验收文档,查看实际的网络设备运行日志、故障记录、用户投诉及处理记录,查看网络设备处理能力是否具备允余空间,不能由于设备配置不够而导致网络全部或者局部瘫痪,负荷设计的水平是否满足流量高负荷时需求,是否形成单点故障,节假日突发话务量是否会影响网络:
b)应访谈WAP网关系统管理人员,查看WAP网关系统网络拓扑图,了解目前WAP网关系统的网5
YD/T2242-2011
络组织情况,查看其与当前运行情况是否一致。5.2.2.2网络安全协议
(1)检测方式
访谈,或通过测试工具、仪表进行验证、检查。(2)检测对象
系统设计文档,设备后台运行日志,网络设备。(3)检测实施
a)应访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,或者通过仪表验证,查看WAP终端与WAP网关之间是否可以进行WLTS连接,使用协议抓包软件测试WAP终端与WAP网关之间是否进行了WTLS协议过程:b)应访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,或者通过仪表验证,通过WAP终端访问HTTPS安全网站,从测试仪表或协议抓包软件验证WAP终端与应用服务器之间是否能够建立TLS连接。5.2.2.3访问控制安全
(1)检测方式
访谈,检查。
(2)检测对象
网络设计/验收文档,网管系统,设备运行日志,后台操作维护系统,网络设备。(3)检测实施
应访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,查看后台操作维护系统是否提供访问控制功能,是否设置了不同的访问角色。5.2.2.4网络攻击防范
(1)检测方式
访谈,检查。
(2)检测对象
网络设计/验收文档,网管系统,设备运行日志,后台操作维护系统,网络设备。(3)检测实施
应访谈网络管理员,查看网络拓扑结构图,查看系统设计文档,并询问相关系统管理人员,是否在WAP网关系统与外部系统间设置了防火墙,防火墙策略设置是否合理。5.2.2.5安全审计
(1)检测方式
访谈,检查。
(2)检测对象
网络设计/验收文档,网管系统,设备运行日志,网络设备。(3)检测实施
应访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,查看系统是否对系统管理员的登录、操作记录进行了记录,审计日志的保存期是否满足《移动上网日志留存规范》第6
建筑321-一标准查询下载网
6章的要求。
5.2.3设备安全
(1)检测方式
访谈,检查。
(2)检测对象
设备入网检测报告,设备入网证,安全检测报告。(3)检测实施
YD/T2242-2011
应访谈相关技术支持人员和管理人员,查看设备是否有入网检测报告、设备入网证、安全检测报告等。
5.2.4物理环境安全
(1)检测方式
访谈,检查。
(2)检测对象
机房、办公场地,设计/验收文档。(3)检测实施
除应满足YD/T1755-2008中第2级的检测要求外,还应满足:a)访谈物理安全负责人,查看机房设计文档,检查机房整体抗震能力应不低于里氏7级;b)访谈物理安全负责人,查看机房管理制度文档,查看机房现场,检查机房是否具备防虫防鼠等相关措施,以有效防范鼠虫蚁害。5.2.5管理安全
应满足YD/T1757--2008中第2级的检测要求。5.3第3.1级检测要求
5.3.1业务安全
(1)检测方式
访谈,或通过测试工具、仪表进行验证、检查。(2)检测对象
系统设计文档,设备运行日志,网络管理系统日志、用户投诉及处理记录,操作管理后台系统。(3)检测实施
除满足5.2.1的要求外,还应该满足:a)访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,查看系统后台操作管理界面,验证系统是否对PI的IP地址、域名等信息进行白名单控制,验证不在白名单中的IP地址是否能成功发送Push消息:b)访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,查看系统后台操作管理界面,验证系统是否对PI发送的Push消息频率、条数等进行控制,验证是否能发送超过系统设置最多条数的Push消息:
c)访谈网络管理人员,通过测试工具验证WAP网关系统是否对Push消息的大小进行了限制,验证WAP网关系统是否能阻止超大Push消息的发送;7
YD/T2242-2011
d)访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,查看系统后台操作管理界面,通过测试软件验证是否能使用WAP网关代理功能发送Push消息:e)访谈网络管理人员,使用测试工具,验证WAP网关系统是否能对终端用户所发起的访问请求数据包进行识别,能识别测试工具发起的超长/畸形数据包,并进行自动过滤:f)访谈网络管理员,使用测试工具,验证WAP网关系统能否对终端用户所发起的访问目标服务器进行识别,是否能防止测试工具将WAP网关作为跳板访问电信网内服务器。5.3.2网络安全
5.3.2.1网络拓扑结构
(1)检测方式
访谈,检查。
(2)检测对象
网络拓扑结构,网络拓扑图,网络设计/验收文档,网管系统,设备运行日志,故障记录,网络设备。(3)检测实施
同5.2.2.1的要求。
5.3.2.2网络安全协议
(1)检测方式
访谈检查,或通过测试工具、仪表进行验证。(2)检测对象
系统设计文档,设备后台运行日志,网络设备。(3)检测实施
同5.2.2.2的要求。
5.3.2.3访问控制安全
(1)检测方式
访谈,或通过测试工具、仪表进行验证、检查。(2)检测对象
网络设计/验收文档,网管系统,设备运行日志,后台操作维护系统,网络设备。(3)检测实施
除满足5.2.2.3的要求外,还应该满足:a)访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,查看后台操作维护系统是否设置了不同的角色,不同角色是否设置了不同的权限,是否设置了多级密码;b)访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,查看后台操作维护系统是对远程登录访问是否使用了VPN或其他安全接入认证方式,用测试仪器或协议抓包软件测试验证远程操作维护的数据流是否进行了加密:c)访谈网络管理人员,查看网络设计/验收文档和入网测试报告,查看设备运行日志,查看后台操作维护系统是否对远程操作维护进行单独审计,对远程操作维护的操作内容是否进行了记录与存储。5.3.2.4安全审计
(1)检测方式
建筑321---标准查询下载网
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。