YD/T 1534-2006
基本信息
标准号: YD/T 1534-2006
中文名称:数字程控交换机信息安全技术要求和测试方法
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:887334
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1534-2006.Information Security Technical Requirements and Testing Methods for SPC Exchange.
1范围
YD/T 1534规定了固定网数字程控交换机在其信息的生成、处理、传输、存储生命周期中所应具有的安
全技术要求和测试方法。
YD/T 1534主要适用于公用电信网交换设备。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YDT 751-1995公用电话网局用数字电话交换设备进网检验方法
YD/T 1128-2001电话交换设备总技术规范(补充件1 )
YD/T 1144-2001国内No.7信令网信令转接点(STP )设备技术规范
YD/T 1157-2001网间主叫号码的传送
YD/T 1157.1-2002网间主叫号码的传送( 补充件1 )
YD/T 1157.2-2003网间主叫号码的传送(补充件2)
YD/T 1157.3-2005网间主叫号码的传送( 补充件3)
YD/T 1338-2005公用电信网间被叫号码传送的技术要求
YD/T 1362-2005电话交换设备总体技术规范(补充件1)的测试方法
YDN 065-1997邮电部电话交换设备总技术规范书
YDC 004-2002固定电话用户选择不同长途网络对交换机的技术要求
1范围
YD/T 1534规定了固定网数字程控交换机在其信息的生成、处理、传输、存储生命周期中所应具有的安
全技术要求和测试方法。
YD/T 1534主要适用于公用电信网交换设备。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YDT 751-1995公用电话网局用数字电话交换设备进网检验方法
YD/T 1128-2001电话交换设备总技术规范(补充件1 )
YD/T 1144-2001国内No.7信令网信令转接点(STP )设备技术规范
YD/T 1157-2001网间主叫号码的传送
YD/T 1157.1-2002网间主叫号码的传送( 补充件1 )
YD/T 1157.2-2003网间主叫号码的传送(补充件2)
YD/T 1157.3-2005网间主叫号码的传送( 补充件3)
YD/T 1338-2005公用电信网间被叫号码传送的技术要求
YD/T 1362-2005电话交换设备总体技术规范(补充件1)的测试方法
YDN 065-1997邮电部电话交换设备总技术规范书
YDC 004-2002固定电话用户选择不同长途网络对交换机的技术要求
标准图片预览
标准内容
ICS 33 040 60
中华人民共和国通信行业标准
YD/T 1534-2006
数字程控交换机信息安全
技术要求和测试方法
Information Security Technical Requirements and Testing Methodsfor SPC Exchange
2006-12-11发布
2007-01-01实施
中华人民共和国信息产业部发布前言·
2规范性引用文件·
3术语和缩略语bZxz.net
3.1术语
3.2缩略语
数字程控交换机信息安全技术要求4
4.1交换机信息的生成与处理要求4.2交换机信息的传输要求
4.3交换机硬件的安全要求·.
4.4交换机维护管理方面的安全要求5测试项目列表·
6测试项目·
6.1信息生成与处理
信息的传·
6.3设备硬件安全特性
6.4操作维护管理方面的安全要求附录A(规范性附录)黑白名单的使用方法四
YD/T 1534-2006
YD/T1534-2006
本标准是对数字程控交换设备在信息安全部分的补充,在制定过程中参考了YD/T751-1995《公用电话网局用数字电话交换设备进网检验方法》、YD/T1128-2001《电话交换设备总技术规范(补充件1)》YD/T1144-2001国内No.7信令网信令转接点(STP)设备技术规范》,YD/T1338-2005《公用电信网间被叫号码传送的技术要求》、YDN065-1997《邮电部电话交换设备总技术规范书》,YDC004-2002《固定电话用户选择不同长途网络对交换机的技术要求》等。本标的附录A是规范性附录。
本标推由网络互联互通技术标推工作组提出。本标准由中国通信标准化协会归口。本标准起草单位:信息产业部电信研究院本标准主要起草人:吴长虹张哟陈蕾陈欣唐静波 胡晓宇周波张大元1范围
YD/T 1534-2006
数字程控交换机信息安全技术要求和测试方法本标准规定了固定网数字程控交换机在其信息的生成、处理、传输、存储生命周期中所应其有的安全技术要求和测试方法。
本标准主要适用于公用电信网交换设备。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T 751-1995
YD/T 1128-2001
YD/T 1144-2001
YD/T 1157-2001
YD/T 1157.1-2002
YD/T 1157.2-2003
YD/T 1157.3-2005
YD/T 1338-2005
YD/T 1362-2005
YDN 065-1997
YDC 004-2002
3术语和缩略诺
3.1术语
下列术语适用于本标准。
公用电话网局用数字电话交换设备进网检验方法电话交换设备总技术规范(补充件1)国内No.7信令网信令转接点(STP)设备技术规范网间主叫号码的传送
网间主叫号码的传送(补充件1)网间生叫号码的传送(补充件2)网间主叫号码的传送(补充件3)公用电信网间被叫号码传送的技术要求电话交换设备总体技术规范(补充件1)的测试方法邮电部电话交换设备总技术规范书固定电话用户选择不同长途网络对交换机的技术要求交换机信息:本标准特指话音业务的主叫号码信息,被叫号码信息、计费信息和操作维护管理信息。交换机信息安全:通常是指为了保证交换机信息在采集,传递,存储和应用过程中的完整性、机密性、可用性、可控性和不可否认性:3.2缩略语
下列缩略语适用于本标准。
Busy Hour Call Attempts
Calling Line Identification PresentationCalling Line Identification RestrictionInterNati onal Toll Switch
忙时试呼欢数
主叫号码显示业务
主训号码显示限制业务
国际长途交换局
YD/T1534-2006
Integrated Services Digital NetworkLocalSwitch
PrivateBranch exchange
Public Switched Telephone NetworkTandem Switch
Toll Switch
4数字程控交换机信总安全技术要求4.1交换机信息的生成与处理要求4.1.1交换机号码信息的生成与处理要求4.1.1.1主叫用户号码格式和内容的要求综合业务数字网
本地电话交换局
专用分组交换机
公共交换电话网
汇接交换局
长途交换局
数字程控交换机在向用户提供电信业务时,必须支持对主叫用户号码的生成,传送和显示功能。其主叫号码的格式应符台YD1157-2001网间主叫号码传送技术要求》及其补充件的要求。(1 LS-LS/TS
本地电话号码地址性质:市话用户号码(或用户号码)(2) TS-TS/LS
长途字冠+国内有效号码(地址性质:国内有效号码)(3)TM/GW-TM/GW
本地电话号码地址性质:市话用户号码(或用户号码)(长途呼叫)受端人网:长途字冠+国内有效号码(地址性质:国内有效号码)(4)固定网向移动网传送(固定用户呼叫归属地的移动用户)本地电话号码地址性质:市话用户号码(或用户号码)(5)固定网问移动网传送(固定用户呼叫非归属地的移动用户)发端入移动网:长途字冠+国内有效号码(地址性质:国内有效号码)受端人移动网:长途字冠+国内有效号码(地址性质:国内有效号码)(6)国际来话的主叫号码的传送00+0+运营商标识码(3位)+对端国际局国家代码(1-3位)+对端国际局所在地的区号(2-3位)+国际局局号(1位)(当对方国家不能传送主叫号码时)(地址性质:国际号码)和00+对端国际局国家代码+主叫用户的国际有效号码(当对方国家能送来主叫号码时)(7)国际去话的主叫号码的传送国内INTS-其他国家INTS:86+长途区号+本地号码(地址性质:国际号码)国内不同运营商的国际局之间:86+长途区号+本地号码(地址性质:国际号码)TM-INTS:本地电话号码(地址性质:市话用户号码)TS/GW-INTS:0+长途区号+本地号码(地址性质:国内有效号码)(8)国际来转话的主叫号码的传送国内相同运营商之间的国际局转接:必须送主叫号码。国内不同运营商之闻的国际局转接和国际转接:透明传送主叫号码,不做任何处理。2
4.1.1.2对主叫用户号码的生成和处理的要求YD/T1534-2006
(1)生成主叫用户号码的技术要求:数字程控交换机应该能够生成符合YD/T1157-2001《网间主叫号码传送技术要求》及其补充件要求的主叫号码。数字程控交换机在生成主叫用户号码时,必须能够根据要求提供对号码进行相应处理(根据要求进行变换)的功能,在对主叫号码变换后可通过查询数据配置追溯到原有号码,该操作设置功能必须要对设置相应的密码保护功能。当公用电信网设备终端不能产生主叫号码时,公用电信网局用设备必须具备产生主叫号码的能力。公用电信网设备对于从终端或网络收到的主叫用户号码,应具备根据端口、信令中继或其他信息进行核实和鉴权的功能。对于用户交换机或ISDN终端传送过来的土叫用户号码(包括PABX的引示号、计费号码或ISDN提供的-些缺誉信息),负责将主叫号码的格式转换为规范要求的格式后传送。(2)传递主叫用户号码的技术要求:当主叫用户号码需要在交换设备间进行传送时,交换设备应该具有准确传送的基本能力,并能根据业务要求的相关规定进行变换。(3)根据主叫用户号码的过滤和拦截功能:a)交换机能利用黑白名单进行呼出过滤,具体应符合YD/T1128-2001&电话交换设备总技术规范补充件1)》第4.1节的规定。黑白名单的使用方法见附录A。b)当收到不符合YD/T1157-2001《网间主叫号码传送技术要求》及其补充件要求的主叫号码时,数字程控交换机应该具备对业务进行拦截的能力。公用电信网设备应该可以通过设置相应的条件,触发启动拦截功能,拦截功能的设置操作功能必须要对设置相应的密码保护功能。由于主叫号码格式原因,由数字程控交换机产生拦截行为,产生拦截的设备必须产生详细的拦截记录和拦截原因。数字程控交换机的拦截功能包括业务在网间的终结、业务到终端的终结以及业务根据需求转接到专用的拦截中心。4.1.1.3被叫用户号码格式和内容的要求a)数字程控交换机在向用户提供电信业务时,其被叫号码的格式应符合YD/T1338-2005《公用电信网间被叫号码传送的技术要求》。b)LS/TS-LS间呼叫:本地电话号码(地址性质:本地电话号码)c)LS/TS-TS:长途字冠+国内有效号码(地址性质:国内有效号码)d)固定用户呼叫本地移动用户:13XHOHIH2H3ABCD(地址性质:国内有效号码))固定用户呼叫异地移动用户:0+13XH0HIH2H3ABCD(地址性质:国内有效号码)f)移动用户呼叫本地固定用户:本地电话号码(地址性质:本地电话号码)g)移动用户呼叫长途用户:长途字冠+国内有效号码(地址性质:国内有效号码)h)国际去话被叫号码显示:00+对方国家码+对方国家国内有效号码(地址性质:国际号码)i)国际来话呼叫有以下两种情况:呼叫国内固定用户,被叫号码传送如下:国际—INTS
INTS--TS
TM--LS
国际前缀+86+国内有效号码(地址性质:国际号码)长途字冠+国内有效号码(地址性质:国内有效号码)本地电话号码(地址性质:本地电话号码)本地电话号码(地址性质:本地电话号码)呼叫国内移动用户,被叫号码传送如下:国际—INTS
86+13XH0H1H2H3ABCD(地址性质:国际号码)3
YD/T 1534-2006
INTSTS
J3XHOH1H2H3ABCD(地址性质:国内有效号码)4.1.1.4对交换机生成和处理被叫号码的要求交换机应能存储至少24位的被叫号码(含字冠、业务接入码等),并能通过信令方式发送和接收最大长度的被叫号码。
4.1.2交换机业务信息处理的安全要求(1)交换机设置基本业务和补充业务功能时,用户操作和局方操作不可同时申请。例如指定的日的码限制、指定目的码接续业务。当用户通过设置增加此项业务时,局方不能随意翻除、修改、扩大用户权限。
(2)当遇到紧急呼叫跨越并需要提供强制显示功能时,交换机应能按程序跨越和强制显示,具体符合YD/T1128-2001《电话交换设备总技术规范》第3.9节的要求。4.1.3计费信息的安全要求
(1)计费信息应正确、不丢失、不重复,计费信息内应至少包含主叫号码、被叫号码、通话起始日期时间、通话结束日期时问、通话时长、接入类型、用户闻性、计费方身份标识、承载业务等,格式应符合YDC004-2002《固定电话用户选择不同长途网络对交换机的技术要求》中附录A的规定。交换机产生的计费信息不能被修改,原始话单不能被增加。(2)交换机对计费数据应提供多种备份方式,包括不同物理位置、不同存储格式、不同存储介质等,比如原始话单记录的备份、详细话单/软表、数据库存储、文件备份、独立硬盘/分区备份、可移动介质备份等。
(3)详细计费话单需在系统存储30天。(4)计费数据在没有采集之前不能被删除。(5)具有计费保护功能,当所占空间达到阈值时,系统应能产生相应的告信息。4.1.4话务信息处理的安全要求
根据对话务统计数据和设备运行状态分析,通过人机命令或即时执行话务控制命令,达到有效疏通正常话务,遇制超量话务对网络的冲击。话务控制的手段包括目的码控制、呼叫间隙控制、对难以到达呼叫控制、限制直达路由业务量、电路定向化、电路(中继)拒绝占用/示忙闭塞、中继预留、限制迁回路由业务量,跳跃、临时迁回路由选择等。具体应符合YD/T1128-2001《电话交换设备总技术规范》第8.2节的要求。
过负荷控制:在CPU占用率或BHCA值达到或超过一定阅值时限制部分呼叫,以保证交换机的安全运行。具体应符合YDN065-1997《邮电部电话交换设备总技术规范书》第4.6节的要求。4.2交换机信息的传输要求
交换机的对外链路分为信令链路和话音链路两类,必须保障这两类信息传送的正确和完整。(1)交换机必须具备较强的容错能力,单条链路或单块信令板的故障不应影响系统的正常工作,每:个模块的故摩只会影响自身的中继电路部分,不应造成全局故障。(2)交换机具有STP功能时(可选),必须提供灵活、完善的屏蔽功能(SCREENING),保证一些影响网络安全的消息不在信令网络中恶意发送。屏蔽的具体要求参见YD/T1144-2001《国内No.7信令网信令转接点(STP)设备技术规范》第8章。所有屏蔽设置应该可通过操作维护系统在线设置和修改。(3)交换机的信令部分(No.1、No.7、V5、DSS1)应符合相关规定,同时应具备较强的容错能力4
YD/T1534-2006
和负荷分担能力。当外接ISDN设备,接人网设备、外接控制台、外接测试设备产生异常信令消息攻击时,应具有安全防御能力。
(4)交换机的信令监测系统不应对用户密码等相关信息产生泄密。(5)交换机必须能自动地、实时地监视各种信号设备、交换链路、中继电路、公共控制设备的状愁,出现异常时必须提供相关的告警。(6)应具备传输时间信号的能力。(7)时间与时间基准的误差不超过 1sc4.3交换机硬件的安全要求
(1)关键部位必须采用主备热备份的结构(中央处理机结构、交换矩阵、铃流源、二次电源、时钟板必须采用允余设计,应能正常实现公共控制设备倒换功能,倒换中正在通话用户应不受影响。(2)时钟同步的安全要求
各级交换中心配备的时钟等级和同步要求符合YDN065-1997《邮电部电话交换设备总技术规范书第 12章的要求。
4.4交换机维护管理方面的安全要求4.4.1交换机本地操作维护管理系统的安全要求(1)本地操作维护系统应选用安全的操作系统和完善的安全管理机制,应能对系统进程进行监控未经允许的进程必须禁止运行,简时产生安全告警。(2)为了维护交换机的安全,必须对重要数据进行备份(包括不同物理位置、不同存储格式、不同存储介质等),以防止各种原因导致的系统崩溃。交换机的各种数据表应能以多种方式进行备份和恢复。(3)交换机在修改数据时应采用事物处理机制以保证数据的安全性和完整性。(4)必须具备对每个操作员操作日志的记录,日志内容不能被修改。管理员应能按授权范围进行查询,
(5)操作员权限可划分为多个等级,一般管理员和特殊管理员(如警用接口管理员)可在不同的区域或表格分块设置维护操作,维护操作数据应在规定范围内可视和查询。对修改数据的操作接口应该严格鉴权,应用充分的权限控制、授权访问策略。包括安全的登录过程、鉴权与过滤、目志管理。管理员若在规定时间内没有任何操作时,维护操作系统应能对当前操作界面进行锁定操作。(6)系统密码等数据应该进行加密处理,而不应在文件或数据库中明文显示。(7)应具有完善的管理局数据、用户数据,话务观察,软件维护,设备维护,计费等信息的能力。4.4.2远程登录访问的安全要求
(1)在远程访问交换机时,交换机必须提供用户名和口令方式的身份验证和对用户身份的分级管理机制,妇系统管理员可以操作维护管理部交换机数据,其他级别的操作员只能管理其中一部分数据。(2)远程操作应有完善的操作记录。(3)当交换机与操作维护接口来用TCP/亚P传输时,必须提供必要的安全机制,可以对传输的数据采用IPSec等安全技术进行进一步的安全处理。5
YD/T1534-2006
5测试项目列表
项目编号
.6.1.2
信息生成与处理
试项目
主叫,被叫用户号码的生战和处理要求根据主叫用户号码的过滤和拦截功能对异常呼叫的拦截
交换机业务信息处理的安全要求计费信息处理的要求
过负荷控制
话务控制
信息的传摘
STP的安全要求
信令的安全要求
交换机监测功能要求
硬件安全要求
设备硬件安全特性
操作维护管理系统的安全要求
本地操作维护管理系统的安全要求远程登录的安全要求
6测试项目
6.1信息生成与处理
6.1.1主叫、被叫用户号码的生成和处理要求测试号:1
测试参考:YD/T1157-2001,YD/T1338-2005测试项目:主叫、被叫用户号码的生成和处理要求测试分项目:本地固定用户之问呼叫的主叫、被叫号码的生成和处理的要求YD/T1534-2006
测试目的:检查本地固定用户之间呼叫的主叫、被叫号码格式和内容正确,处理无误测试配置:
话机1
测试步骤:
停今校
TmI/GW
图1本地固定用户之间呼叫主叫、被叫号码的生成和处理测试配置示意(1)各实体按照图1中的关系连接好,各实体之间的连接和通信正常。(2)将信令仪高阻跨接到图中A、B、C点上,实时采集信令数据。(3)话机「拨打本地业务(呼叫话机2)。(4)检查并分析信令数据,具体应符合4.1.1.1和4.1.1.3的要求预期结巢:
话机2
主叫号码和被叫号码的格式应符合:A、B、C点采集的主叫和被叫用号码格式皆为PQRSABCD(以八位号码为例,下同),其地址性质为本地电话号码判定原则:
应符合预期结要求,否则为不合格YD/T1534-2006
测试编号:2
测试参考:YD/T 1157-2001,YD/T 1338-2005测试项目:主叫、被叫用户号码的生成和处理要求测试分项目:固定用户呼异地固定用户的主叫、被叫号码的生成和处理的要求测试自的:检查固定用户呼叫异地固定用户的主叫、被叫号码格式和内容正确,处理无误测试配置:
话机!
话机!
测试步骤
信令仪
信令收
Tm21GW
发入网的长邀呼叫
Tm1/Gm
Tm2/GW
图3爱端入网的长途呼叫的主叫,被叫号码的生成和处理测试配量示意(1)对于发端网的长途呼叫
各实体按照图2中的关系连接好,各实体之间的连接和通信正常。a
交换机设置为长途有权,
将信令仪高阻跨接到图中A、B、C、D、E点上,实时采集信令数据。话机1拨打长途业务(呼叫话机2)。d
检查并分析信令数据,具体应符合4.1.1.1和4.1.1.3的要求。e
(2)对于受端人网的长途呼叫
a)各实体按照图3中的关系连接好,备实体之间的连接和通信正常。交换机设置话机1为长途有权。
将信令仪高阻跨接到图中A、B、C、D、E、F点.上,实时采集信令数据。话机1拨打长途业务(呼叫话机2)。d
e)检查并分析信令数据,具体应符合4.1.1.1和4.1.1.3的要求预期结果:
话桃2
话航2
(1)对于发端人网的长途呼叫
a)主叫号码的格式应符合:A,B、C点采集的主叫用户号码格式为PORSABCD,其地址性质为本地电话号码。D、E点采集的主叫用户号码格式为0+X1X2X3+PQRSABCD,其地址性质为国内有效号码。
b)被叫号码的格式应符合:A、B、C.D点采架的被叫用户号码格式为0+X1X2X3+PQRSABCD其地址性质为国内有效号码。E点采集的被叫用户号码格式为PQRS ABCD,其地址性质为本地电话号码。
(2)对于受端人网的长途呼叫
a)主叫号码的格式应符合:A、B点采集的主叫用户号码格式为PQRSABCD,其地址性质为本地电话号码。C、D、E、F点采集的主叫用户号码格式为0+X1X2X3+PQRSABCD,其地址性质为国内有效号码。
b)被叫号码的格式应符合:A、B、C点采集的被叫用户号码格式为0+X1X2X3+PQRSABCD,其地址性质为国内有效号码。D、E、F点采集的被叫用户号码格式为PQRSABCD,其地址性质为本地电话号码
判定原则:
应符合预期结果要求,否则为不合格8
测试缩号:3
测试参考;YD/T 1157-2001,YD/T 1157.2-2003,YD/T [338-2005测试项目:主叫、被叫用户号码的生成和处理要求测试分项目:国际来话的主叫、被叫号码的生成和处理的要求测试日的:检查国际来话的主叫、被明号码格式和内容正确,处理无误測试配置:
话机!
测试步骤:
信令仪
图4国际来话的主叫、被叫号码的生成和处理测试配靠示意(1)各实体按照图4中的关系连接好,各实体之间的连接和通信正带。(2)交换机设置为国际有权。
(3)将信令仪高阻跨接到图中A、B、C、D点上,实时采集信令数据。(4)话机1拨打国际长途业务(呼叫话机2)。(5)检查并分析信令数据,具体应符合4.1.1.1和4.1.1.3的要求预期结果:
YD/T1534-2006
话机2
(1)主叫号码的格式应符合:A、B、C、D点采集的主叫用户号码为00+0+运营商标识码(3位)+对端国际局国家代码(1-3位)+对端国际局所在地的区号(2-3位)+国际局局号(1位)(当对方国家不能传送主叫号码时)和00+对端国际局国家代码+主叫用户的国际有效号码(当对方国家能送来主叫号码时),其地址性质为国际号码。(2)被叫号码的格式应符合:A,B点采集的被叫用户号码格我为0+XIX2X3+PQRSABCD,其地址性质为国内有效号码。C、D点农集的被叫用户号码格式为PQRSABCD,其地址性质为本地电话号码
判定原则:
应符合预期结果要求,否则为不合格
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1534-2006
数字程控交换机信息安全
技术要求和测试方法
Information Security Technical Requirements and Testing Methodsfor SPC Exchange
2006-12-11发布
2007-01-01实施
中华人民共和国信息产业部发布前言·
2规范性引用文件·
3术语和缩略语bZxz.net
3.1术语
3.2缩略语
数字程控交换机信息安全技术要求4
4.1交换机信息的生成与处理要求4.2交换机信息的传输要求
4.3交换机硬件的安全要求·.
4.4交换机维护管理方面的安全要求5测试项目列表·
6测试项目·
6.1信息生成与处理
信息的传·
6.3设备硬件安全特性
6.4操作维护管理方面的安全要求附录A(规范性附录)黑白名单的使用方法四
YD/T 1534-2006
YD/T1534-2006
本标准是对数字程控交换设备在信息安全部分的补充,在制定过程中参考了YD/T751-1995《公用电话网局用数字电话交换设备进网检验方法》、YD/T1128-2001《电话交换设备总技术规范(补充件1)》YD/T1144-2001国内No.7信令网信令转接点(STP)设备技术规范》,YD/T1338-2005《公用电信网间被叫号码传送的技术要求》、YDN065-1997《邮电部电话交换设备总技术规范书》,YDC004-2002《固定电话用户选择不同长途网络对交换机的技术要求》等。本标的附录A是规范性附录。
本标推由网络互联互通技术标推工作组提出。本标准由中国通信标准化协会归口。本标准起草单位:信息产业部电信研究院本标准主要起草人:吴长虹张哟陈蕾陈欣唐静波 胡晓宇周波张大元1范围
YD/T 1534-2006
数字程控交换机信息安全技术要求和测试方法本标准规定了固定网数字程控交换机在其信息的生成、处理、传输、存储生命周期中所应其有的安全技术要求和测试方法。
本标准主要适用于公用电信网交换设备。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T 751-1995
YD/T 1128-2001
YD/T 1144-2001
YD/T 1157-2001
YD/T 1157.1-2002
YD/T 1157.2-2003
YD/T 1157.3-2005
YD/T 1338-2005
YD/T 1362-2005
YDN 065-1997
YDC 004-2002
3术语和缩略诺
3.1术语
下列术语适用于本标准。
公用电话网局用数字电话交换设备进网检验方法电话交换设备总技术规范(补充件1)国内No.7信令网信令转接点(STP)设备技术规范网间主叫号码的传送
网间主叫号码的传送(补充件1)网间生叫号码的传送(补充件2)网间主叫号码的传送(补充件3)公用电信网间被叫号码传送的技术要求电话交换设备总体技术规范(补充件1)的测试方法邮电部电话交换设备总技术规范书固定电话用户选择不同长途网络对交换机的技术要求交换机信息:本标准特指话音业务的主叫号码信息,被叫号码信息、计费信息和操作维护管理信息。交换机信息安全:通常是指为了保证交换机信息在采集,传递,存储和应用过程中的完整性、机密性、可用性、可控性和不可否认性:3.2缩略语
下列缩略语适用于本标准。
Busy Hour Call Attempts
Calling Line Identification PresentationCalling Line Identification RestrictionInterNati onal Toll Switch
忙时试呼欢数
主叫号码显示业务
主训号码显示限制业务
国际长途交换局
YD/T1534-2006
Integrated Services Digital NetworkLocalSwitch
PrivateBranch exchange
Public Switched Telephone NetworkTandem Switch
Toll Switch
4数字程控交换机信总安全技术要求4.1交换机信息的生成与处理要求4.1.1交换机号码信息的生成与处理要求4.1.1.1主叫用户号码格式和内容的要求综合业务数字网
本地电话交换局
专用分组交换机
公共交换电话网
汇接交换局
长途交换局
数字程控交换机在向用户提供电信业务时,必须支持对主叫用户号码的生成,传送和显示功能。其主叫号码的格式应符台YD1157-2001网间主叫号码传送技术要求》及其补充件的要求。(1 LS-LS/TS
本地电话号码地址性质:市话用户号码(或用户号码)(2) TS-TS/LS
长途字冠+国内有效号码(地址性质:国内有效号码)(3)TM/GW-TM/GW
本地电话号码地址性质:市话用户号码(或用户号码)(长途呼叫)受端人网:长途字冠+国内有效号码(地址性质:国内有效号码)(4)固定网向移动网传送(固定用户呼叫归属地的移动用户)本地电话号码地址性质:市话用户号码(或用户号码)(5)固定网问移动网传送(固定用户呼叫非归属地的移动用户)发端入移动网:长途字冠+国内有效号码(地址性质:国内有效号码)受端人移动网:长途字冠+国内有效号码(地址性质:国内有效号码)(6)国际来话的主叫号码的传送00+0+运营商标识码(3位)+对端国际局国家代码(1-3位)+对端国际局所在地的区号(2-3位)+国际局局号(1位)(当对方国家不能传送主叫号码时)(地址性质:国际号码)和00+对端国际局国家代码+主叫用户的国际有效号码(当对方国家能送来主叫号码时)(7)国际去话的主叫号码的传送国内INTS-其他国家INTS:86+长途区号+本地号码(地址性质:国际号码)国内不同运营商的国际局之间:86+长途区号+本地号码(地址性质:国际号码)TM-INTS:本地电话号码(地址性质:市话用户号码)TS/GW-INTS:0+长途区号+本地号码(地址性质:国内有效号码)(8)国际来转话的主叫号码的传送国内相同运营商之间的国际局转接:必须送主叫号码。国内不同运营商之闻的国际局转接和国际转接:透明传送主叫号码,不做任何处理。2
4.1.1.2对主叫用户号码的生成和处理的要求YD/T1534-2006
(1)生成主叫用户号码的技术要求:数字程控交换机应该能够生成符合YD/T1157-2001《网间主叫号码传送技术要求》及其补充件要求的主叫号码。数字程控交换机在生成主叫用户号码时,必须能够根据要求提供对号码进行相应处理(根据要求进行变换)的功能,在对主叫号码变换后可通过查询数据配置追溯到原有号码,该操作设置功能必须要对设置相应的密码保护功能。当公用电信网设备终端不能产生主叫号码时,公用电信网局用设备必须具备产生主叫号码的能力。公用电信网设备对于从终端或网络收到的主叫用户号码,应具备根据端口、信令中继或其他信息进行核实和鉴权的功能。对于用户交换机或ISDN终端传送过来的土叫用户号码(包括PABX的引示号、计费号码或ISDN提供的-些缺誉信息),负责将主叫号码的格式转换为规范要求的格式后传送。(2)传递主叫用户号码的技术要求:当主叫用户号码需要在交换设备间进行传送时,交换设备应该具有准确传送的基本能力,并能根据业务要求的相关规定进行变换。(3)根据主叫用户号码的过滤和拦截功能:a)交换机能利用黑白名单进行呼出过滤,具体应符合YD/T1128-2001&电话交换设备总技术规范补充件1)》第4.1节的规定。黑白名单的使用方法见附录A。b)当收到不符合YD/T1157-2001《网间主叫号码传送技术要求》及其补充件要求的主叫号码时,数字程控交换机应该具备对业务进行拦截的能力。公用电信网设备应该可以通过设置相应的条件,触发启动拦截功能,拦截功能的设置操作功能必须要对设置相应的密码保护功能。由于主叫号码格式原因,由数字程控交换机产生拦截行为,产生拦截的设备必须产生详细的拦截记录和拦截原因。数字程控交换机的拦截功能包括业务在网间的终结、业务到终端的终结以及业务根据需求转接到专用的拦截中心。4.1.1.3被叫用户号码格式和内容的要求a)数字程控交换机在向用户提供电信业务时,其被叫号码的格式应符合YD/T1338-2005《公用电信网间被叫号码传送的技术要求》。b)LS/TS-LS间呼叫:本地电话号码(地址性质:本地电话号码)c)LS/TS-TS:长途字冠+国内有效号码(地址性质:国内有效号码)d)固定用户呼叫本地移动用户:13XHOHIH2H3ABCD(地址性质:国内有效号码))固定用户呼叫异地移动用户:0+13XH0HIH2H3ABCD(地址性质:国内有效号码)f)移动用户呼叫本地固定用户:本地电话号码(地址性质:本地电话号码)g)移动用户呼叫长途用户:长途字冠+国内有效号码(地址性质:国内有效号码)h)国际去话被叫号码显示:00+对方国家码+对方国家国内有效号码(地址性质:国际号码)i)国际来话呼叫有以下两种情况:呼叫国内固定用户,被叫号码传送如下:国际—INTS
INTS--TS
TM--LS
国际前缀+86+国内有效号码(地址性质:国际号码)长途字冠+国内有效号码(地址性质:国内有效号码)本地电话号码(地址性质:本地电话号码)本地电话号码(地址性质:本地电话号码)呼叫国内移动用户,被叫号码传送如下:国际—INTS
86+13XH0H1H2H3ABCD(地址性质:国际号码)3
YD/T 1534-2006
INTSTS
J3XHOH1H2H3ABCD(地址性质:国内有效号码)4.1.1.4对交换机生成和处理被叫号码的要求交换机应能存储至少24位的被叫号码(含字冠、业务接入码等),并能通过信令方式发送和接收最大长度的被叫号码。
4.1.2交换机业务信息处理的安全要求(1)交换机设置基本业务和补充业务功能时,用户操作和局方操作不可同时申请。例如指定的日的码限制、指定目的码接续业务。当用户通过设置增加此项业务时,局方不能随意翻除、修改、扩大用户权限。
(2)当遇到紧急呼叫跨越并需要提供强制显示功能时,交换机应能按程序跨越和强制显示,具体符合YD/T1128-2001《电话交换设备总技术规范》第3.9节的要求。4.1.3计费信息的安全要求
(1)计费信息应正确、不丢失、不重复,计费信息内应至少包含主叫号码、被叫号码、通话起始日期时间、通话结束日期时问、通话时长、接入类型、用户闻性、计费方身份标识、承载业务等,格式应符合YDC004-2002《固定电话用户选择不同长途网络对交换机的技术要求》中附录A的规定。交换机产生的计费信息不能被修改,原始话单不能被增加。(2)交换机对计费数据应提供多种备份方式,包括不同物理位置、不同存储格式、不同存储介质等,比如原始话单记录的备份、详细话单/软表、数据库存储、文件备份、独立硬盘/分区备份、可移动介质备份等。
(3)详细计费话单需在系统存储30天。(4)计费数据在没有采集之前不能被删除。(5)具有计费保护功能,当所占空间达到阈值时,系统应能产生相应的告信息。4.1.4话务信息处理的安全要求
根据对话务统计数据和设备运行状态分析,通过人机命令或即时执行话务控制命令,达到有效疏通正常话务,遇制超量话务对网络的冲击。话务控制的手段包括目的码控制、呼叫间隙控制、对难以到达呼叫控制、限制直达路由业务量、电路定向化、电路(中继)拒绝占用/示忙闭塞、中继预留、限制迁回路由业务量,跳跃、临时迁回路由选择等。具体应符合YD/T1128-2001《电话交换设备总技术规范》第8.2节的要求。
过负荷控制:在CPU占用率或BHCA值达到或超过一定阅值时限制部分呼叫,以保证交换机的安全运行。具体应符合YDN065-1997《邮电部电话交换设备总技术规范书》第4.6节的要求。4.2交换机信息的传输要求
交换机的对外链路分为信令链路和话音链路两类,必须保障这两类信息传送的正确和完整。(1)交换机必须具备较强的容错能力,单条链路或单块信令板的故障不应影响系统的正常工作,每:个模块的故摩只会影响自身的中继电路部分,不应造成全局故障。(2)交换机具有STP功能时(可选),必须提供灵活、完善的屏蔽功能(SCREENING),保证一些影响网络安全的消息不在信令网络中恶意发送。屏蔽的具体要求参见YD/T1144-2001《国内No.7信令网信令转接点(STP)设备技术规范》第8章。所有屏蔽设置应该可通过操作维护系统在线设置和修改。(3)交换机的信令部分(No.1、No.7、V5、DSS1)应符合相关规定,同时应具备较强的容错能力4
YD/T1534-2006
和负荷分担能力。当外接ISDN设备,接人网设备、外接控制台、外接测试设备产生异常信令消息攻击时,应具有安全防御能力。
(4)交换机的信令监测系统不应对用户密码等相关信息产生泄密。(5)交换机必须能自动地、实时地监视各种信号设备、交换链路、中继电路、公共控制设备的状愁,出现异常时必须提供相关的告警。(6)应具备传输时间信号的能力。(7)时间与时间基准的误差不超过 1sc4.3交换机硬件的安全要求
(1)关键部位必须采用主备热备份的结构(中央处理机结构、交换矩阵、铃流源、二次电源、时钟板必须采用允余设计,应能正常实现公共控制设备倒换功能,倒换中正在通话用户应不受影响。(2)时钟同步的安全要求
各级交换中心配备的时钟等级和同步要求符合YDN065-1997《邮电部电话交换设备总技术规范书第 12章的要求。
4.4交换机维护管理方面的安全要求4.4.1交换机本地操作维护管理系统的安全要求(1)本地操作维护系统应选用安全的操作系统和完善的安全管理机制,应能对系统进程进行监控未经允许的进程必须禁止运行,简时产生安全告警。(2)为了维护交换机的安全,必须对重要数据进行备份(包括不同物理位置、不同存储格式、不同存储介质等),以防止各种原因导致的系统崩溃。交换机的各种数据表应能以多种方式进行备份和恢复。(3)交换机在修改数据时应采用事物处理机制以保证数据的安全性和完整性。(4)必须具备对每个操作员操作日志的记录,日志内容不能被修改。管理员应能按授权范围进行查询,
(5)操作员权限可划分为多个等级,一般管理员和特殊管理员(如警用接口管理员)可在不同的区域或表格分块设置维护操作,维护操作数据应在规定范围内可视和查询。对修改数据的操作接口应该严格鉴权,应用充分的权限控制、授权访问策略。包括安全的登录过程、鉴权与过滤、目志管理。管理员若在规定时间内没有任何操作时,维护操作系统应能对当前操作界面进行锁定操作。(6)系统密码等数据应该进行加密处理,而不应在文件或数据库中明文显示。(7)应具有完善的管理局数据、用户数据,话务观察,软件维护,设备维护,计费等信息的能力。4.4.2远程登录访问的安全要求
(1)在远程访问交换机时,交换机必须提供用户名和口令方式的身份验证和对用户身份的分级管理机制,妇系统管理员可以操作维护管理部交换机数据,其他级别的操作员只能管理其中一部分数据。(2)远程操作应有完善的操作记录。(3)当交换机与操作维护接口来用TCP/亚P传输时,必须提供必要的安全机制,可以对传输的数据采用IPSec等安全技术进行进一步的安全处理。5
YD/T1534-2006
5测试项目列表
项目编号
.6.1.2
信息生成与处理
试项目
主叫,被叫用户号码的生战和处理要求根据主叫用户号码的过滤和拦截功能对异常呼叫的拦截
交换机业务信息处理的安全要求计费信息处理的要求
过负荷控制
话务控制
信息的传摘
STP的安全要求
信令的安全要求
交换机监测功能要求
硬件安全要求
设备硬件安全特性
操作维护管理系统的安全要求
本地操作维护管理系统的安全要求远程登录的安全要求
6测试项目
6.1信息生成与处理
6.1.1主叫、被叫用户号码的生成和处理要求测试号:1
测试参考:YD/T1157-2001,YD/T1338-2005测试项目:主叫、被叫用户号码的生成和处理要求测试分项目:本地固定用户之问呼叫的主叫、被叫号码的生成和处理的要求YD/T1534-2006
测试目的:检查本地固定用户之间呼叫的主叫、被叫号码格式和内容正确,处理无误测试配置:
话机1
测试步骤:
停今校
TmI/GW
图1本地固定用户之间呼叫主叫、被叫号码的生成和处理测试配置示意(1)各实体按照图1中的关系连接好,各实体之间的连接和通信正常。(2)将信令仪高阻跨接到图中A、B、C点上,实时采集信令数据。(3)话机「拨打本地业务(呼叫话机2)。(4)检查并分析信令数据,具体应符合4.1.1.1和4.1.1.3的要求预期结巢:
话机2
主叫号码和被叫号码的格式应符合:A、B、C点采集的主叫和被叫用号码格式皆为PQRSABCD(以八位号码为例,下同),其地址性质为本地电话号码判定原则:
应符合预期结要求,否则为不合格YD/T1534-2006
测试编号:2
测试参考:YD/T 1157-2001,YD/T 1338-2005测试项目:主叫、被叫用户号码的生成和处理要求测试分项目:固定用户呼异地固定用户的主叫、被叫号码的生成和处理的要求测试自的:检查固定用户呼叫异地固定用户的主叫、被叫号码格式和内容正确,处理无误测试配置:
话机!
话机!
测试步骤
信令仪
信令收
Tm21GW
发入网的长邀呼叫
Tm1/Gm
Tm2/GW
图3爱端入网的长途呼叫的主叫,被叫号码的生成和处理测试配量示意(1)对于发端网的长途呼叫
各实体按照图2中的关系连接好,各实体之间的连接和通信正常。a
交换机设置为长途有权,
将信令仪高阻跨接到图中A、B、C、D、E点上,实时采集信令数据。话机1拨打长途业务(呼叫话机2)。d
检查并分析信令数据,具体应符合4.1.1.1和4.1.1.3的要求。e
(2)对于受端人网的长途呼叫
a)各实体按照图3中的关系连接好,备实体之间的连接和通信正常。交换机设置话机1为长途有权。
将信令仪高阻跨接到图中A、B、C、D、E、F点.上,实时采集信令数据。话机1拨打长途业务(呼叫话机2)。d
e)检查并分析信令数据,具体应符合4.1.1.1和4.1.1.3的要求预期结果:
话桃2
话航2
(1)对于发端人网的长途呼叫
a)主叫号码的格式应符合:A,B、C点采集的主叫用户号码格式为PORSABCD,其地址性质为本地电话号码。D、E点采集的主叫用户号码格式为0+X1X2X3+PQRSABCD,其地址性质为国内有效号码。
b)被叫号码的格式应符合:A、B、C.D点采架的被叫用户号码格式为0+X1X2X3+PQRSABCD其地址性质为国内有效号码。E点采集的被叫用户号码格式为PQRS ABCD,其地址性质为本地电话号码。
(2)对于受端人网的长途呼叫
a)主叫号码的格式应符合:A、B点采集的主叫用户号码格式为PQRSABCD,其地址性质为本地电话号码。C、D、E、F点采集的主叫用户号码格式为0+X1X2X3+PQRSABCD,其地址性质为国内有效号码。
b)被叫号码的格式应符合:A、B、C点采集的被叫用户号码格式为0+X1X2X3+PQRSABCD,其地址性质为国内有效号码。D、E、F点采集的被叫用户号码格式为PQRSABCD,其地址性质为本地电话号码
判定原则:
应符合预期结果要求,否则为不合格8
测试缩号:3
测试参考;YD/T 1157-2001,YD/T 1157.2-2003,YD/T [338-2005测试项目:主叫、被叫用户号码的生成和处理要求测试分项目:国际来话的主叫、被叫号码的生成和处理的要求测试日的:检查国际来话的主叫、被明号码格式和内容正确,处理无误測试配置:
话机!
测试步骤:
信令仪
图4国际来话的主叫、被叫号码的生成和处理测试配靠示意(1)各实体按照图4中的关系连接好,各实体之间的连接和通信正带。(2)交换机设置为国际有权。
(3)将信令仪高阻跨接到图中A、B、C、D点上,实时采集信令数据。(4)话机1拨打国际长途业务(呼叫话机2)。(5)检查并分析信令数据,具体应符合4.1.1.1和4.1.1.3的要求预期结果:
YD/T1534-2006
话机2
(1)主叫号码的格式应符合:A、B、C、D点采集的主叫用户号码为00+0+运营商标识码(3位)+对端国际局国家代码(1-3位)+对端国际局所在地的区号(2-3位)+国际局局号(1位)(当对方国家不能传送主叫号码时)和00+对端国际局国家代码+主叫用户的国际有效号码(当对方国家能送来主叫号码时),其地址性质为国际号码。(2)被叫号码的格式应符合:A,B点采集的被叫用户号码格我为0+XIX2X3+PQRSABCD,其地址性质为国内有效号码。C、D点农集的被叫用户号码格式为PQRSABCD,其地址性质为本地电话号码
判定原则:
应符合预期结果要求,否则为不合格
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。