YD/T 1741-2008
基本信息
标准号: YD/T 1741-2008
中文名称:增值业务网 —— 智能网安全防护检测要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:837946
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1741-2008.Security Protection Testing Requirements for Value Added Service Network(Intelligent Network).
1范围
YD/T 1741规定了增值业务网一智能网在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。
YD/T 1741适用于公众电信网中的智能网。
2引用标准
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准文件。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1754- -2008电信网和互联网物理环境安全等级保护检测要求
YD/T 1756- -2008电信网和互联网管理安全等级保护检测要求
3术语和定义
GB/T 5271.8-2001确立的术语和定义以及下列术语和定义适用于本标准。
3.1
智能网安全等级Security Classification of Transport Network
智能网安全重要程度的表征。重要程度可从智能网受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
3.2
智能网安全等级保护Classified Security Protection of Itelligent Network
对智能网分等级实施安全保护。
3.3
组织Organization
组织是由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工合作:一个单位是一个组织,某个业务部门也可以是一个组织。
1范围
YD/T 1741规定了增值业务网一智能网在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。
YD/T 1741适用于公众电信网中的智能网。
2引用标准
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准文件。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1754- -2008电信网和互联网物理环境安全等级保护检测要求
YD/T 1756- -2008电信网和互联网管理安全等级保护检测要求
3术语和定义
GB/T 5271.8-2001确立的术语和定义以及下列术语和定义适用于本标准。
3.1
智能网安全等级Security Classification of Transport Network
智能网安全重要程度的表征。重要程度可从智能网受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
3.2
智能网安全等级保护Classified Security Protection of Itelligent Network
对智能网分等级实施安全保护。
3.3
组织Organization
组织是由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工合作:一个单位是一个组织,某个业务部门也可以是一个组织。
标准图片预览
标准内容
中华人民共和国通信行业标准
YD/T1741-2008
增值业务网一智能网安全防护检测要求Security Protection Testing Requirements forValue Added Service Network(Inteiligent Network)2008-01-14发布
2008-01-14实施
中华人民共和国信息产业部发布前言·
1范围
2引用标准·
3术语和定义·
4缩略语·.
5智能网安全防护检测概述·
5.1智能网安全防护检测范围
5.2安全防护检测对象
5.3智能网安企防护检测内容·
5.4智能网安全防护检测结果判定6智能网安全等级保扩检测要求.6.1第1级
6.2第2级·
6.3第3.1级
6.4第3.2级
6.5第4级
6.6第5级*
7哲能网安全风险评估检测要求
7.1能网安全风险评估范围…
7.2智能网安全风险评估内容..
7.3智能网安全风险评估要囊
7.4智能网安全风险评估赋值顾则7.5智能网安全风险评估计算方法7.6智能网安全风险评估文件类型7.7智能网安全风险评估文件记录.8智能网灾难备份及恢复检测要求8.1第1级
8.2第2级
8.3第3.1级·
8.4第3.2级
8.5第4级
8.6第5级
YD/T1741-2008
YD/T1741-2008
本标准是“电信网和互联网安全防护系”系列标准之·。该系列标准的结构及名称如下;1.YD/T1728-2008电信网租互联网安全防护管理指南:2.YD/T1729-2008电信网和五联网安企等级保扩实施指南:3.YD/T1730-2008电信网和互联网安全风险评估实施指南:4,YD/T1731-2008电信网和互联网灾难备份及恢复实施指南;5.YD/T1732-2008翻定通信网安防护要求:6、YD/T1733-2008固定通信网安全防护检测要求:7.YD/T1734-2008移动通信网安企防扩要求:8.YD/1735-2008移动通信网安企防护检测要求:9.YDT1736-2008互联网安全防势婴求:10.YD/T 1737-2008 互联网安全防扩检测要求;11:YDT1738-2008增值业务网·消息网安全防护要求:12、YD/T1739-2008增值业务网—-消息网安全防护检测要求:13,YD/T1740-2008增值业务网——智能网安全防护要求:14.YD/T1741-2008增值业务网-智能网安企防护检测要求:15.YD/T1742-2008接入网安金防护要求;16.YD/T1743-2008接入网安金防护检测要求;17,YDT1744-2008传送网安全防护要求,18.YD/T1745-2008传送网安全防护检测要求;19,YTT1746-2008IP承载网安全防护要20.YDT1747-2008IP承载网安全防护检测要求:21,YD/T1748-2008信令网安全防护要求22.YD/T1749-2008信令网安全防护检测要求23.YDT1750-2008 同步网安全防护要求24.YD/T1751-2008同步网安全防护检测要求:25.YD/T1752-2008支撑网安全防护要求26.YTD/T 1753-2008 支撑网安全防护检测要求27.YD/T1754-2008电信网和互联网物理坏境安全等级保扩要求:28。YD/T1755-2008电信网和互联网物理环境安全等级保护检测要求:29.YDT1756-2008电信网和互联网管理安全等级保护要求:30,YDT1757-2008电信网和互联网管理安全等级保护检测要求:31,YD/T1758-2008非核心生产单元安全防护要求:32.YD/T1759-2008非核心生产单元安全防护检测要求。本标准与YD/T1740-2008增值业务网——智能网安全防护要求》配套使用。YD/T1741-2008
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院、中国电信集团公司、中国移动通信集团公司、中国网络通信集团公司、中国联合通信有限公司本标准主要起草人:张大坤、张园、李友国、王宇、严斌峰,赖力为1范围
增值业务网一智能网安全防护检测要求YD/T 1741-2008
本标规定了增值业务树一一智能网在安全等级保护、安全风险评估、实难备份及恢复等方面的安全防护检测要求。
本标准适用于公众电信网中的智能网。2引用标准
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标推文件。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用予本标准,YD/T1754-2008
YD/T 1756-2008
3术语和定义
电信网和互联网物理环境安全等级保护检测要求电信网和互联网管理安全等级保护检测要求GB门5271.8一2001确立的术语和定文以及下列术语和定文适用于本标准:3.1
智能网安全等级 Security Classification of Transport Natwork智能网安全重要程度的表征。重要程度可从暂能网受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡鼠。3.2
智能网安全等级保护ClassifledSecurityProtectionof InteltigentNetwork对暂能网分等级实施安全保护。3.3
组织Qrganizatlon
组织是由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在丁为完成目标而分工、合作:一个单位是一个组织,某个业务部门也可以是一个组织。3.4
智能网安全风险 Security Risk of lrntelligent Network人为或自然的威胁可能利用智能网中存在的腕弱性导致安全事件的发生及其对组织造成的影响。3.5
智能网安全风险评估SecunityRiskAssessmentofIntelligentNetwork指运用科学的方法和手段,系统地分析智能网所面临的威胁及其存在的脆弱性,评估安全事作“且发生可能造成的危害程度,进一步提出有针对性的抵御贼胁的防护对策和安全措施:防范和化解智能网安全风险,将风险控制在可接受的水平,为最人限度地保障智能网的安金提供科学依据。YD/T1741-200B
智能网资产 Asset of Intelligent Network智能网中有价值的资源,是安全防护保护的对象。智能网中的资产可能是以多种形式存在,形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源。如基于某个智能网系统的预付费业务、SCP设备、智能网机房管理规定等。3.7
智能网资产价值AssetValueofIntelligentNetwork智能网中资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。3.8
智能网威胁 Threat of Intelligent Network可能导致对智能网产生危害的不希望事件的潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。如常见的设备节点失效、火灾、水灾等。3.9
智能网脆弱性Vulnerabllty of Intelligert Network脆弱性是暂能网中存在的弱点、缺陷与不足,不直接对资产造成危害,但可能被威胁所利用从而危及资产的安全。
智能网灾难Disaster of Intelligent Network由于各种原因,造成智能网故障或瘫痪,使智能网支持的业务功能停顿或服务水平不可接受,达到特定的时间的突发性事件。
智能网灾难备份BackupforDisasterRecoveryofIntelligentNetwork为了智能网灾难恢复而对相关网络要素进行备份的过程。3.12
智能网灾难恢复 Disaster Recovery of Intelligent Network为了将智能网从灾难造成的故障或摊痪状态恢到正常运行状态或部分正常运行状态,并将其支持的业务功能从灰难造成的不正常状态恢复到可接受状态而设计的活动和流程。3.14
访谈Intervien
检测人员通过与有关人员(个人/群体)进行交流、讨论等活动,获取证据以检查智能网安全等级保护、安全风险评估,灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。3.15
检查Examination
检测人员通过对检测对象进行观察,查验和分析等活动,获取证据以检查智能网安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。3.16
测试Testing
YD/T 1741-2008
检测人员通过对检测对象按照预定的方法工具使其产生特定行为的活动,否着、分析输出结果,获取证据以检查智能网安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。
4缩略语
下列缩略语适用丁:本标雅。
Inteilligent Peripheral
Scrvice Control Point下载标准就来标准下载网
Service Data Point
Service Management Point
Service Switch Point
Voucher Center
5智能网安全防护检测概述
5.1智能网安全防护检测范图
智能外设
业务控制点
业务数据点
业务管理点
业务交换点
充值中心
本标准的安全防护检测范围是智能网。根据YD/T1740-2008增值业务网一一智能网安全防护要求”,本标准土要对智能网的安全等级保护、安全风险评估。灾难备份及恢复等工作的实施进行检测智能网安全等级保的检测范围确定以后,风险评估的检测范围,灾难备份及恢复的检测范围应与安全等级保护的检测范国相·一致。5.2安全防护检测对象
智能网安全防护检测对象是本地智能网、全省智能网和全国智能网。5.3智能网安全防护检测内容
按照智能网安全防护检测的需要,将暂能网安全防护检测分为智能网安全等级保护,智能网安全风,险评估和智能网灾难备份及恢复等三个部分。智能网安全防护检测要求包括以下一些内容:———替能网安全等级保护检测主要包括业务安全检测、网络安全检测、设备安全检测、物理安全检测、管理安全检测等:智能网安全风险评估检测
主费包括风险评估范电:风险评估内容检、风险评估要套检测,风险评估值原则检试,风险评估计算方法检测、风险评估文件类型检测和风险评估文件记录捡测等:——智能网灾难备份及恢复检测主要包括穴余系统、元余设备及穴余链路检测、余路由检测、备份数据检测、人员和技术支持能力检测、运行维护管理能力检测和灾难恢复预案检测等。5.4智能网安全防护检测缩果判定智能网安全防护检测包括对智能网的安全等级保护、安全风险评估、灾难备份及嵌复三个部分的捡测,应对三个部分的检测结果分别进行判定,并根据检测结果分别出具检测报告,检测报告中应具体说明安全防护工作的优势和不足。3
YD/T 1741-2008
对每部分中的每一个评测项,应根据具体实施情况进行等级化评价(分5级:很好、较好、一般、较差、很差)。参照表1将各评测项得的评价等级换算成评分,各评测项的分数经过一定的算法(例如加权平均)分别得到安全等级保护,安全风险评估、灾难备份及恢复三个部分的总分数,根据总分数分别对巨个部分的评测结果进行等级化评定,总分数和评定等级的关系见表2。在计算总分数过程中,应充分考虑到各评测项在安全防护检测要求中所占的比重,例如,表3给出了安全等级保护子类所占的比重。表1评测项评分方法
评价结果
实施很好
实施较好
实施一般
实施较差
实施很差
总分数
2.5≤43.5
1.5≤x<2.3
智能网安全等级保护检测要求
6.1第1级
不做要求。
6.2第2级
6.2.1暂能网业务安全
6.2.1.1检测方式
谈,检查,测试。
6,2,1.2检测对象
网络设计/验收文档,历史记录。6.2.1.3检测实施
表2总分数和评定等级的关系
表3安全等级保护子类所占的比重评分
评定等级
安全等级保护子类
业务安全
网络安金
设备安全
物理环境安全
管理安全
a)应访谈智能网管理员,并查看智能网设计/验收文档,历史记录,了解目前智能网的业务提供安全情况:
YD/T 1741-200B
b)应访谈网络管理员,查看网络设计7验收文档、历史记录,并抽查操作员密码,检查SCP、SMP等设备的系统及操作员密码是否进行加密处理:c)应访谈网络管理员,查看网络设计/验收文档、用户投诉记录等,并进行测试,检查计费信息是古正确、不丢失、不重复,检查计费信息是否能被修改,检查原始话单是否能被增加。6.2.2智能网网络安全
6.2.2.1检测方式
谈,检查。
6.2.2.2检测对象
网络设计验收文档,阀络扑构。6.2.2.3检测实施
a)应访谈智能网管理人员,并查看网络设计/验收文档,了解目前智能网的实际部署情况:b)应访读智能网管理人员,并查看网络设计/验收文档,检查智能网网络中(如SCP和SMP、SMF与账务系统之间)是否采用专网。6.2.3智能网设备安全
6.2.3.1检测方式
访谈,检查。
6.2.3.2检测对象
设备入网检测报告,设备入网证。6.2.3.3检测实施
应访谈相关技术支持人员和管理人员,检查设备是否有入网检测报告、设备入网证、安全检测报告等。
6.2.4智能网物理环境安全
应满足YD/T1754-2008《电信网和互联网物理环境安全等级保护检测要求》中第2级的安金要求。6.2.5智能网管理安全
应满足YD/T1756-2008《电信网和互联网管理安全等级保护检测要求》中第2级的安全要求。6.3 第 3.1级
6.3.1智能网业务安全
6.3.1.1检测方式
访谈,捡查,测试。
6.3.1.2检测对象
网络设计验收文档,历史记录。6.3.1.3捡测实施
除按照第2级的要求进行检测之外,还应按照以下内容进行捡测:a)应访谈网络管理员,查看网络设计验收文档,历史记录,并进行测试,检查智能网对涉及到用户卡号密码等敏感借息如何传输,并判断传输方式是否有效b)应访谈网络管理员,查看网络设计/验收文档,历史记录,检查智能网卡号信息如何生成、传输和管理,并判断以上方式是否满足保密要求。5
YD/T 1741-2008
6.3.2智能网网络安全
6.3.2.1检测方式
访谈,检查。
6.3.2.2捡测对象
网络设计验收文档,网络拓扑结构。6.9.2.3检测实施
除按照第2级的要求进行检测之外,还应按照以下内容进行检测:a)应访谈智能网管理人员,并查看网络设计验收文档,了解目前智能网的实际部署情况:b)应访谈智能网管理人员,并查看网络设计/验收文挡,并到现场检查,检查智能网的网络配置(如节点和链路的处理能力或负荷等)是否合理。6.3.3智能网物理环境安全
应满足YD/T1754-2008《电信网和互联网物理环境安全等级保护检测要求》中第3.1级的安全要求。6.3.4智能网管理安全
应满足YD/T1756-200名《电信网和互联网管理安全等级保护检测要求中第3.1级的安全要求。6.4第3.2级
6.4.1智能网业务安全
6.4.1.1检测方式
访谈,检查,测试。
6.4.1.2检测对象
网络设计验收文档,历史记录。6.4.1,3检测实施
除按照第3,1级的要求进行检测之外,还应按照以下内容进行检测。a)应访谈网络管理员,并查看网络设计验收文档、历史升级方案及记录,检查设备是否能够保证在运行的暂能网系统上引入新业务、升级业务或者升级系统时不会引起智能网所提供业务的中斯或系统瘫痪;
b)应访谈智能网管理员,并查看智能网设计/验收文档、历史记录,检查重要业务数据及计费数据是否进行备份《包括不同物理位置、不同存储格、不同存储介质等)。6.4.2智能网网络安全
6.4.2.1捡测方式
访谈,检查。
6.4.2.2检测对象
网络设计/验收文档,网络拓扑结构。6.4.2.3检测实施
除按第3.1级的要求进行检测之外,还应按照以下内容进行检测。)应访谈智能网管理人员,并查看网络设计验收文档,并到现场检查,检查网络拓扑设计是否合理,是否充分考虑连接的元余设置,是否存在因单点故障而影响其他节点间数据传送的节点,6
YD/T1741-2008
b)应访谈智能网管理人员,并查看网络设计验收文档:并到现场检查,检查重要设备是否有异地备份,互为备份的设备是否在两个不同的机房。6.4.3智能网物理环境安全
应满足YD/T1754-2008电信网和互联网物理环境安全等级保护检测要求中第3.2级的安余要求。6.4.4国能网管理安全
应满足YD/T1756-2008电信网和互.联网管理安全等级保护检测要求中第3.2级的安全要求。6.5第4级
同第3.2级要求。
6.6第5级
特补充。
7智能网安全风险评估检测要求
7.1智能网安全风险评估范围
7.1.1 检测方式
访谈,检查。
7.1.2检测对象
风险评估报告。
7.1.3检测实施
应访谈风险评估负责人,询问进行智能网风险评估时,选择的风险评估范围是什么;检查风险评估报告,查看智能网风险评估范围是否与要求一致。7.2智能网安全风险评估内容
7.2.1检测方式
访谈,检查,
7.2.2检测对象
风险评估报告。
7.2.3检測实施
a)应访谈智能网风险评估负责人,询间风险评估相关内容是否覆盖了技术安全和管理安全两大类以及技术安全中是否覆盖了业务安全,网络安全、设备安金和物理安全,管理安全中是否覆盖了安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等方面:b)应检查智能网风险评估报告,查看风险评估报告是否盖了技术安全和管理安全两大类c)应检查智能网风险评估报告,查看风险评估报告中技术安全是否覆盖了业务安全、网络安全、设备安全和物理安全等方面:
d)应检查智能网风险评估报告,查看风险评估报告中管理安全是否覆盖了安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等方面。7.3智能网安全风险评估要素
7.3.1检测方式
访谈,检查。
YDrT1741-2008
7.3.2检测对象
风险评估报告,历史记录。
7.3.3检测实施
a】应访谈风险评估负责人,询问进行暂能网风险评估时采用了哪些风险评估的要素:查看风险评估报告,检查智能网风险评估时是否包含了资产、脆弱性、威胁、安全措施、风险和残余风险等要索。b)应访谈风险评估负责人,询问进行智能网风险评估时考虑了哪些风险评估要素的相关展性;否看风险评估报告,检查智能网风险评估时是计包含了与评信要素密切相关的业务战略、资产价值、安全需求和安全事件等属性。
c)应访谈风险评估负责人,询问进行智能网风险评估时评估了哪些资产,查看风险评估报告,检查智能网风险评估时的资产是否包含了网络设备(智能网包括SCP,SDP、SSP、SMP、IP、VC等设备):物理环境设备(包括机房、电力供应系统、电磁防护系统、防火、防水和防潮系统、防静电系统、防雷击系统,溢湿度控制系统等),务种设备的系统软件,设备中的重要数据,网络提供的各类业务,网络拓扑,设备维护人员,各种管理规定和设备档:码号资源等。d)应访谈风险评估负责人,询问计算智能网各资产的资产价值时考虑了哪些因素:查看风险评估报告,检查暂能网风险评估中,计算各资产的资产价值时是否主要考虑了社会影喇力、资产价值和间用性等因素,同时是否求用了合理的计算方法。)应访谈风险评估负责人,询问识别智能网各资产的脆弱性时考虑了哪些方面的脆弱性:查看风险评估报告,检查智能网风险评估中跪弱性识别是否包含了技术脆弱性和管理脆弱性等方面。)应访谈风险评估负责人,询问识别智能网齐资产的跪弱性时考虑了哪些方面的脆弱性:查看风险评估报告,检查智能网风险评估中技术脆弱性是否包含了业务/应用跪弱性、网络晚弱性,设备脆竭性和物理坏境脆弱性:管理脆弱性是否包含安全管理机构方面的脆弱性、人员安全管理方面脆弱性、建设管理方面的跪弱性、运维管理方面的脆弱性。)应访谈风险评估负责人,询问对智能网存在哪些威胁:查看风险评估报告,检查智能网风险评估时崴胁识别是否包含了环境威胁和人员威胁。h)应访谈风险评估负贡人,询问威胁识别依据了哪些历史数据:查看风险评估报告,检查智能网风险评估中威胁识别是否依据了已有安全事件报告数据,捡测工具检测数据和国内外同行业报告数据等多个方面。
1)应访谈风险评估负责人,询问风险值的计算采用了哪种计算方法:查着风险评估报告,检查智能网风险评估中风险值的计算是否主要考虑了资产、威胁和脆弱性等因素,是否采用了合理的计算方法。j)应访谈风险评估负责人:询问如何确定的风险阅值;查看风险评估报告,检查暂能网风险评估中确定的风险阔值是否合埋。
k)应访谈风险评估负责人,询问对丁不可接受的风险,是否制定了相应的风险处理计划:查看风险评估报告,检查智能网风险评估对下不可接受的风险,是否制定了相应的风险处理计划,采用风险处理计别以后,风险值是香满是阅值要求。7.4智能网安全风险评估赋值原则7.4.1 检测方式
访谈,检查。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YD/T1741-2008
增值业务网一智能网安全防护检测要求Security Protection Testing Requirements forValue Added Service Network(Inteiligent Network)2008-01-14发布
2008-01-14实施
中华人民共和国信息产业部发布前言·
1范围
2引用标准·
3术语和定义·
4缩略语·.
5智能网安全防护检测概述·
5.1智能网安全防护检测范围
5.2安全防护检测对象
5.3智能网安企防护检测内容·
5.4智能网安全防护检测结果判定6智能网安全等级保扩检测要求.6.1第1级
6.2第2级·
6.3第3.1级
6.4第3.2级
6.5第4级
6.6第5级*
7哲能网安全风险评估检测要求
7.1能网安全风险评估范围…
7.2智能网安全风险评估内容..
7.3智能网安全风险评估要囊
7.4智能网安全风险评估赋值顾则7.5智能网安全风险评估计算方法7.6智能网安全风险评估文件类型7.7智能网安全风险评估文件记录.8智能网灾难备份及恢复检测要求8.1第1级
8.2第2级
8.3第3.1级·
8.4第3.2级
8.5第4级
8.6第5级
YD/T1741-2008
YD/T1741-2008
本标准是“电信网和互联网安全防护系”系列标准之·。该系列标准的结构及名称如下;1.YD/T1728-2008电信网租互联网安全防护管理指南:2.YD/T1729-2008电信网和五联网安企等级保扩实施指南:3.YD/T1730-2008电信网和互联网安全风险评估实施指南:4,YD/T1731-2008电信网和互联网灾难备份及恢复实施指南;5.YD/T1732-2008翻定通信网安防护要求:6、YD/T1733-2008固定通信网安全防护检测要求:7.YD/T1734-2008移动通信网安企防扩要求:8.YD/1735-2008移动通信网安企防护检测要求:9.YDT1736-2008互联网安全防势婴求:10.YD/T 1737-2008 互联网安全防扩检测要求;11:YDT1738-2008增值业务网·消息网安全防护要求:12、YD/T1739-2008增值业务网—-消息网安全防护检测要求:13,YD/T1740-2008增值业务网——智能网安全防护要求:14.YD/T1741-2008增值业务网-智能网安企防护检测要求:15.YD/T1742-2008接入网安金防护要求;16.YD/T1743-2008接入网安金防护检测要求;17,YDT1744-2008传送网安全防护要求,18.YD/T1745-2008传送网安全防护检测要求;19,YTT1746-2008IP承载网安全防护要20.YDT1747-2008IP承载网安全防护检测要求:21,YD/T1748-2008信令网安全防护要求22.YD/T1749-2008信令网安全防护检测要求23.YDT1750-2008 同步网安全防护要求24.YD/T1751-2008同步网安全防护检测要求:25.YD/T1752-2008支撑网安全防护要求26.YTD/T 1753-2008 支撑网安全防护检测要求27.YD/T1754-2008电信网和互联网物理坏境安全等级保扩要求:28。YD/T1755-2008电信网和互联网物理环境安全等级保护检测要求:29.YDT1756-2008电信网和互联网管理安全等级保护要求:30,YDT1757-2008电信网和互联网管理安全等级保护检测要求:31,YD/T1758-2008非核心生产单元安全防护要求:32.YD/T1759-2008非核心生产单元安全防护检测要求。本标准与YD/T1740-2008增值业务网——智能网安全防护要求》配套使用。YD/T1741-2008
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院、中国电信集团公司、中国移动通信集团公司、中国网络通信集团公司、中国联合通信有限公司本标准主要起草人:张大坤、张园、李友国、王宇、严斌峰,赖力为1范围
增值业务网一智能网安全防护检测要求YD/T 1741-2008
本标规定了增值业务树一一智能网在安全等级保护、安全风险评估、实难备份及恢复等方面的安全防护检测要求。
本标准适用于公众电信网中的智能网。2引用标准
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标推文件。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用予本标准,YD/T1754-2008
YD/T 1756-2008
3术语和定义
电信网和互联网物理环境安全等级保护检测要求电信网和互联网管理安全等级保护检测要求GB门5271.8一2001确立的术语和定文以及下列术语和定文适用于本标准:3.1
智能网安全等级 Security Classification of Transport Natwork智能网安全重要程度的表征。重要程度可从暂能网受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡鼠。3.2
智能网安全等级保护ClassifledSecurityProtectionof InteltigentNetwork对暂能网分等级实施安全保护。3.3
组织Qrganizatlon
组织是由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在丁为完成目标而分工、合作:一个单位是一个组织,某个业务部门也可以是一个组织。3.4
智能网安全风险 Security Risk of lrntelligent Network人为或自然的威胁可能利用智能网中存在的腕弱性导致安全事件的发生及其对组织造成的影响。3.5
智能网安全风险评估SecunityRiskAssessmentofIntelligentNetwork指运用科学的方法和手段,系统地分析智能网所面临的威胁及其存在的脆弱性,评估安全事作“且发生可能造成的危害程度,进一步提出有针对性的抵御贼胁的防护对策和安全措施:防范和化解智能网安全风险,将风险控制在可接受的水平,为最人限度地保障智能网的安金提供科学依据。YD/T1741-200B
智能网资产 Asset of Intelligent Network智能网中有价值的资源,是安全防护保护的对象。智能网中的资产可能是以多种形式存在,形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源。如基于某个智能网系统的预付费业务、SCP设备、智能网机房管理规定等。3.7
智能网资产价值AssetValueofIntelligentNetwork智能网中资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。3.8
智能网威胁 Threat of Intelligent Network可能导致对智能网产生危害的不希望事件的潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。如常见的设备节点失效、火灾、水灾等。3.9
智能网脆弱性Vulnerabllty of Intelligert Network脆弱性是暂能网中存在的弱点、缺陷与不足,不直接对资产造成危害,但可能被威胁所利用从而危及资产的安全。
智能网灾难Disaster of Intelligent Network由于各种原因,造成智能网故障或瘫痪,使智能网支持的业务功能停顿或服务水平不可接受,达到特定的时间的突发性事件。
智能网灾难备份BackupforDisasterRecoveryofIntelligentNetwork为了智能网灾难恢复而对相关网络要素进行备份的过程。3.12
智能网灾难恢复 Disaster Recovery of Intelligent Network为了将智能网从灾难造成的故障或摊痪状态恢到正常运行状态或部分正常运行状态,并将其支持的业务功能从灰难造成的不正常状态恢复到可接受状态而设计的活动和流程。3.14
访谈Intervien
检测人员通过与有关人员(个人/群体)进行交流、讨论等活动,获取证据以检查智能网安全等级保护、安全风险评估,灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。3.15
检查Examination
检测人员通过对检测对象进行观察,查验和分析等活动,获取证据以检查智能网安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。3.16
测试Testing
YD/T 1741-2008
检测人员通过对检测对象按照预定的方法工具使其产生特定行为的活动,否着、分析输出结果,获取证据以检查智能网安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。
4缩略语
下列缩略语适用丁:本标雅。
Inteilligent Peripheral
Scrvice Control Point下载标准就来标准下载网
Service Data Point
Service Management Point
Service Switch Point
Voucher Center
5智能网安全防护检测概述
5.1智能网安全防护检测范图
智能外设
业务控制点
业务数据点
业务管理点
业务交换点
充值中心
本标准的安全防护检测范围是智能网。根据YD/T1740-2008增值业务网一一智能网安全防护要求”,本标准土要对智能网的安全等级保护、安全风险评估。灾难备份及恢复等工作的实施进行检测智能网安全等级保的检测范围确定以后,风险评估的检测范围,灾难备份及恢复的检测范围应与安全等级保护的检测范国相·一致。5.2安全防护检测对象
智能网安全防护检测对象是本地智能网、全省智能网和全国智能网。5.3智能网安全防护检测内容
按照智能网安全防护检测的需要,将暂能网安全防护检测分为智能网安全等级保护,智能网安全风,险评估和智能网灾难备份及恢复等三个部分。智能网安全防护检测要求包括以下一些内容:———替能网安全等级保护检测主要包括业务安全检测、网络安全检测、设备安全检测、物理安全检测、管理安全检测等:智能网安全风险评估检测
主费包括风险评估范电:风险评估内容检、风险评估要套检测,风险评估值原则检试,风险评估计算方法检测、风险评估文件类型检测和风险评估文件记录捡测等:——智能网灾难备份及恢复检测主要包括穴余系统、元余设备及穴余链路检测、余路由检测、备份数据检测、人员和技术支持能力检测、运行维护管理能力检测和灾难恢复预案检测等。5.4智能网安全防护检测缩果判定智能网安全防护检测包括对智能网的安全等级保护、安全风险评估、灾难备份及嵌复三个部分的捡测,应对三个部分的检测结果分别进行判定,并根据检测结果分别出具检测报告,检测报告中应具体说明安全防护工作的优势和不足。3
YD/T 1741-2008
对每部分中的每一个评测项,应根据具体实施情况进行等级化评价(分5级:很好、较好、一般、较差、很差)。参照表1将各评测项得的评价等级换算成评分,各评测项的分数经过一定的算法(例如加权平均)分别得到安全等级保护,安全风险评估、灾难备份及恢复三个部分的总分数,根据总分数分别对巨个部分的评测结果进行等级化评定,总分数和评定等级的关系见表2。在计算总分数过程中,应充分考虑到各评测项在安全防护检测要求中所占的比重,例如,表3给出了安全等级保护子类所占的比重。表1评测项评分方法
评价结果
实施很好
实施较好
实施一般
实施较差
实施很差
总分数
2.5≤43.5
1.5≤x<2.3
智能网安全等级保护检测要求
6.1第1级
不做要求。
6.2第2级
6.2.1暂能网业务安全
6.2.1.1检测方式
谈,检查,测试。
6,2,1.2检测对象
网络设计/验收文档,历史记录。6.2.1.3检测实施
表2总分数和评定等级的关系
表3安全等级保护子类所占的比重评分
评定等级
安全等级保护子类
业务安全
网络安金
设备安全
物理环境安全
管理安全
a)应访谈智能网管理员,并查看智能网设计/验收文档,历史记录,了解目前智能网的业务提供安全情况:
YD/T 1741-200B
b)应访谈网络管理员,查看网络设计7验收文档、历史记录,并抽查操作员密码,检查SCP、SMP等设备的系统及操作员密码是否进行加密处理:c)应访谈网络管理员,查看网络设计/验收文档、用户投诉记录等,并进行测试,检查计费信息是古正确、不丢失、不重复,检查计费信息是否能被修改,检查原始话单是否能被增加。6.2.2智能网网络安全
6.2.2.1检测方式
谈,检查。
6.2.2.2检测对象
网络设计验收文档,阀络扑构。6.2.2.3检测实施
a)应访谈智能网管理人员,并查看网络设计/验收文档,了解目前智能网的实际部署情况:b)应访读智能网管理人员,并查看网络设计/验收文档,检查智能网网络中(如SCP和SMP、SMF与账务系统之间)是否采用专网。6.2.3智能网设备安全
6.2.3.1检测方式
访谈,检查。
6.2.3.2检测对象
设备入网检测报告,设备入网证。6.2.3.3检测实施
应访谈相关技术支持人员和管理人员,检查设备是否有入网检测报告、设备入网证、安全检测报告等。
6.2.4智能网物理环境安全
应满足YD/T1754-2008《电信网和互联网物理环境安全等级保护检测要求》中第2级的安金要求。6.2.5智能网管理安全
应满足YD/T1756-2008《电信网和互联网管理安全等级保护检测要求》中第2级的安全要求。6.3 第 3.1级
6.3.1智能网业务安全
6.3.1.1检测方式
访谈,捡查,测试。
6.3.1.2检测对象
网络设计验收文档,历史记录。6.3.1.3捡测实施
除按照第2级的要求进行检测之外,还应按照以下内容进行捡测:a)应访谈网络管理员,查看网络设计验收文档,历史记录,并进行测试,检查智能网对涉及到用户卡号密码等敏感借息如何传输,并判断传输方式是否有效b)应访谈网络管理员,查看网络设计/验收文档,历史记录,检查智能网卡号信息如何生成、传输和管理,并判断以上方式是否满足保密要求。5
YD/T 1741-2008
6.3.2智能网网络安全
6.3.2.1检测方式
访谈,检查。
6.3.2.2捡测对象
网络设计验收文档,网络拓扑结构。6.9.2.3检测实施
除按照第2级的要求进行检测之外,还应按照以下内容进行检测:a)应访谈智能网管理人员,并查看网络设计验收文档,了解目前智能网的实际部署情况:b)应访谈智能网管理人员,并查看网络设计/验收文挡,并到现场检查,检查智能网的网络配置(如节点和链路的处理能力或负荷等)是否合理。6.3.3智能网物理环境安全
应满足YD/T1754-2008《电信网和互联网物理环境安全等级保护检测要求》中第3.1级的安全要求。6.3.4智能网管理安全
应满足YD/T1756-200名《电信网和互联网管理安全等级保护检测要求中第3.1级的安全要求。6.4第3.2级
6.4.1智能网业务安全
6.4.1.1检测方式
访谈,检查,测试。
6.4.1.2检测对象
网络设计验收文档,历史记录。6.4.1,3检测实施
除按照第3,1级的要求进行检测之外,还应按照以下内容进行检测。a)应访谈网络管理员,并查看网络设计验收文档、历史升级方案及记录,检查设备是否能够保证在运行的暂能网系统上引入新业务、升级业务或者升级系统时不会引起智能网所提供业务的中斯或系统瘫痪;
b)应访谈智能网管理员,并查看智能网设计/验收文档、历史记录,检查重要业务数据及计费数据是否进行备份《包括不同物理位置、不同存储格、不同存储介质等)。6.4.2智能网网络安全
6.4.2.1捡测方式
访谈,检查。
6.4.2.2检测对象
网络设计/验收文档,网络拓扑结构。6.4.2.3检测实施
除按第3.1级的要求进行检测之外,还应按照以下内容进行检测。)应访谈智能网管理人员,并查看网络设计验收文档,并到现场检查,检查网络拓扑设计是否合理,是否充分考虑连接的元余设置,是否存在因单点故障而影响其他节点间数据传送的节点,6
YD/T1741-2008
b)应访谈智能网管理人员,并查看网络设计验收文档:并到现场检查,检查重要设备是否有异地备份,互为备份的设备是否在两个不同的机房。6.4.3智能网物理环境安全
应满足YD/T1754-2008电信网和互联网物理环境安全等级保护检测要求中第3.2级的安余要求。6.4.4国能网管理安全
应满足YD/T1756-2008电信网和互.联网管理安全等级保护检测要求中第3.2级的安全要求。6.5第4级
同第3.2级要求。
6.6第5级
特补充。
7智能网安全风险评估检测要求
7.1智能网安全风险评估范围
7.1.1 检测方式
访谈,检查。
7.1.2检测对象
风险评估报告。
7.1.3检测实施
应访谈风险评估负责人,询问进行智能网风险评估时,选择的风险评估范围是什么;检查风险评估报告,查看智能网风险评估范围是否与要求一致。7.2智能网安全风险评估内容
7.2.1检测方式
访谈,检查,
7.2.2检测对象
风险评估报告。
7.2.3检測实施
a)应访谈智能网风险评估负责人,询间风险评估相关内容是否覆盖了技术安全和管理安全两大类以及技术安全中是否覆盖了业务安全,网络安全、设备安金和物理安全,管理安全中是否覆盖了安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等方面:b)应检查智能网风险评估报告,查看风险评估报告是否盖了技术安全和管理安全两大类c)应检查智能网风险评估报告,查看风险评估报告中技术安全是否覆盖了业务安全、网络安全、设备安全和物理安全等方面:
d)应检查智能网风险评估报告,查看风险评估报告中管理安全是否覆盖了安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等方面。7.3智能网安全风险评估要素
7.3.1检测方式
访谈,检查。
YDrT1741-2008
7.3.2检测对象
风险评估报告,历史记录。
7.3.3检测实施
a】应访谈风险评估负责人,询问进行暂能网风险评估时采用了哪些风险评估的要素:查看风险评估报告,检查智能网风险评估时是否包含了资产、脆弱性、威胁、安全措施、风险和残余风险等要索。b)应访谈风险评估负责人,询问进行智能网风险评估时考虑了哪些风险评估要素的相关展性;否看风险评估报告,检查智能网风险评估时是计包含了与评信要素密切相关的业务战略、资产价值、安全需求和安全事件等属性。
c)应访谈风险评估负责人,询问进行智能网风险评估时评估了哪些资产,查看风险评估报告,检查智能网风险评估时的资产是否包含了网络设备(智能网包括SCP,SDP、SSP、SMP、IP、VC等设备):物理环境设备(包括机房、电力供应系统、电磁防护系统、防火、防水和防潮系统、防静电系统、防雷击系统,溢湿度控制系统等),务种设备的系统软件,设备中的重要数据,网络提供的各类业务,网络拓扑,设备维护人员,各种管理规定和设备档:码号资源等。d)应访谈风险评估负责人,询问计算智能网各资产的资产价值时考虑了哪些因素:查看风险评估报告,检查暂能网风险评估中,计算各资产的资产价值时是否主要考虑了社会影喇力、资产价值和间用性等因素,同时是否求用了合理的计算方法。)应访谈风险评估负责人,询问识别智能网各资产的脆弱性时考虑了哪些方面的脆弱性:查看风险评估报告,检查智能网风险评估中跪弱性识别是否包含了技术脆弱性和管理脆弱性等方面。)应访谈风险评估负责人,询问识别智能网齐资产的跪弱性时考虑了哪些方面的脆弱性:查看风险评估报告,检查智能网风险评估中技术脆弱性是否包含了业务/应用跪弱性、网络晚弱性,设备脆竭性和物理坏境脆弱性:管理脆弱性是否包含安全管理机构方面的脆弱性、人员安全管理方面脆弱性、建设管理方面的跪弱性、运维管理方面的脆弱性。)应访谈风险评估负责人,询问对智能网存在哪些威胁:查看风险评估报告,检查智能网风险评估时崴胁识别是否包含了环境威胁和人员威胁。h)应访谈风险评估负贡人,询问威胁识别依据了哪些历史数据:查看风险评估报告,检查智能网风险评估中威胁识别是否依据了已有安全事件报告数据,捡测工具检测数据和国内外同行业报告数据等多个方面。
1)应访谈风险评估负责人,询问风险值的计算采用了哪种计算方法:查着风险评估报告,检查智能网风险评估中风险值的计算是否主要考虑了资产、威胁和脆弱性等因素,是否采用了合理的计算方法。j)应访谈风险评估负责人:询问如何确定的风险阅值;查看风险评估报告,检查暂能网风险评估中确定的风险阔值是否合埋。
k)应访谈风险评估负责人,询问对丁不可接受的风险,是否制定了相应的风险处理计划:查看风险评估报告,检查智能网风险评估对下不可接受的风险,是否制定了相应的风险处理计划,采用风险处理计别以后,风险值是香满是阅值要求。7.4智能网安全风险评估赋值原则7.4.1 检测方式
访谈,检查。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。