YD/T 1739-2008
基本信息
标准号: YD/T 1739-2008
中文名称:增值业务网 —— 消息网安全防护检测要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:823158
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1739-2008.Security Protection Testing Requirements for Value Added Service Network(Messaging Network).
1范围
YD/T 1739规定了消息网在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。
YD/T 1739适用于公众电信网中的短消息网和多媒体消息网及与消息网相关的信息服务单位(SP)系统。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1759- 2008非核心生产单元安全防护检测要求
YD/T 1755- 2008电信网和互联网物理环境安全等级保护检测要求
YD/T 1757 -2008电信网和互联网管理安全等级保护检测要求
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。
3.1.1
消息网安全等级Security Classification of Messaging Network
消息网安全重要程度的表征。重要程度可从消息网受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
3.1.2
消息网安全等级保护Classified Security Protection of Messaging Network
对消息网分等级实施安全保护。
3.1.3
组织Organization
组织是由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作;一个单位是一个组织, 某个业务部门也可以是一个组织。
3.1.4
消息网安全风险Security Risk of Messaging Network
1范围
YD/T 1739规定了消息网在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。
YD/T 1739适用于公众电信网中的短消息网和多媒体消息网及与消息网相关的信息服务单位(SP)系统。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1759- 2008非核心生产单元安全防护检测要求
YD/T 1755- 2008电信网和互联网物理环境安全等级保护检测要求
YD/T 1757 -2008电信网和互联网管理安全等级保护检测要求
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。
3.1.1
消息网安全等级Security Classification of Messaging Network
消息网安全重要程度的表征。重要程度可从消息网受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
3.1.2
消息网安全等级保护Classified Security Protection of Messaging Network
对消息网分等级实施安全保护。
3.1.3
组织Organization
组织是由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作;一个单位是一个组织, 某个业务部门也可以是一个组织。
3.1.4
消息网安全风险Security Risk of Messaging Network
标准图片预览
标准内容
中华人民共和国通信行业标准
YD/T1739-2008
增值业务网
一消息网安全防护检测要求
Security Protection Testing Requirements forValue Added Service Network(Messaging Network)2008-01-14发布
2008-01-14实施
中华人民共和国信息产业部发布前
范围·
规范性引用文件
术语、定义和缩略语·
消息网安全防护检测概述
短消息网及多媒体消息网安全等级保护检测要求·5
消息网相关信息服务单位(SP)安全等级保护检测要求,6
消息树安全风险评估检测要求.
短消息网及多媒体消息网灾难备份及恢复检测要求·消息网相关信息服务单位(SP)灾难备份及恢复检测要求YD/T1739-2008
YD/T 1739-2008
本标准是“电信网和互联网安全防扩体系”系列标准之一。该系列标准的结构及名称如下:1.YD/T1728-2008电信网和互联网安全防护管理指南:电信网和互联网安全等级保护实施指南:2. YD/T 1729-2008
3.YD/T1730-2008
电信网和互联网安全风险评估实施指南:4.YD/T 1731-2008
电信网和互联网灾难备份及恢复实施指南:固定通信网安金防护要求:
5. YD/T 1732-2008
固定通信网安全防护检测要求;6, YD/T 1733-2008
移动通信网安全防护要求;
7,YD/T 1734-2008
移动通信网安全防护检测要求;8, YD/T 1735-2008
互联网安全防护要求:
9.YD/T 1736-2008
互联网安全防护检测要求:
10. YD/T 1737-2008
11. YD/T 1738-2008
增值业务网一—消息网安全防护要求;增值业务网—消息网安全防护检测要求:12. YD/T 1739-2008
13. YD/T 1740-2008
增值业务网智能网安全防护要求;14. YD/T 1741-2008
15, YD/T 1742-2008
16.YD/T1743-2008
17. YD/T 1744-2008
18.YD/T1745-2008
19, YD/T 1746-2008
增值业务网智能网安全防护检测要求:接入网安全防护要求:
接入网安全防护检测要求:
传送网安全防护要求;
传送网安全防护检测要求:
IP承载网安全防护要求:
20. YD/T 1747-2008
3EP承载网安全防护检离要求:
21. YD/T 1748-2008
22. YD/T 1749-2008
23. YD/T 1750-2008
24. YD/T 1751-2008
25. YD/T 1752-2008
26.YD/T 1753-2008
信令网安全防护要求;
信令网安全防护检测要求:
同步网安全防护要求;
同步网安全防护检测要求;
支撑网安全防护要求,
支撑网安全防护检测要求
27. YD/T 1754-2008
B电信网和互联两物理环境安全等级保护聘求:28. YD/T 1755-2008
电信网和互联网物理环境安全等级保护检测要求:29. YD/T 1756-2008
3电信网和互联网管理安全等级保护要求:30. YD/T 1757-2008
电信网和互联网管理安全等级保护检测要求31:YD1758-2008非核心生产单元安全防护要求;32:YD/T1759-2008非核心生产单元安全防护检测要求。本标准与YDT1738-2008《增值业务网一消息网安全防护要求》配套便用。YD/T1739-2008
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准本标准由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院、中国联合通信有限公司、中国移动通信集团公司、中国电信集团公司、中国网络通信集团公司本标准主要起草人:盛
额、严斌峰、朱
削、粉
恒、戴
1范围
增值业务网一一消息网安全防护检测要求YD/T 1739-2008
本标准规定了消息网在安全等级保护。安全风险评估、灾难备份及恢复等方面的安全防护检测要求。本标准适用于公众电信网中的短消息网和多媒体消息网及与消息网相关的信息服务单位(SP)系统。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注口期的引用文件,其随后所有的修改单(不包括勘误的内容)或参订版均不适用于本标推。然而,戴励根据本标难达成协议的客方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T 1759-2008
YD/T 1755-2008
YD/T 1757-2008
3术语、定义和缩略语
3.1 术语和定义
非核心生产单元安全防护检测要求电信网和互联网物理环境安全等级保护检测要求电信树和互联网管理安全等级保护检测要求下列术语和定义适用于本标准。3.1.1
消惠网安全等级SecurityClassificationofMessagingNetwork消息网安全重要程度的表征。重要程度可从消息网受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.2
消息网安全等级保护ClassifiedSecurityPratectionofMessagingNetwork对消息网分等级实施安全保护。3.1.3
组织Organization
组织是由不同作用的个体为实施共同的业务目标而建立的结构;组织的特性在于为完成目标而分工、合作:一个单位是一个组织,某个业务部门也可以是一个组织。3.t.4
消息网安全风险 SecurityRisk ofMessagingNetwork人为或自然的威胁可能利用消息网中存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.1.5
消息网安全风险评估EcurityRlsk Assessmentof MessagingNetwork指运用科学的方法和于段,系统地分析消息网所面临的威胁及其存在的髋弱性,评估安全事件一旦发生可能造成的危害程度。为进一步提出有针对性的抵御成胁的防护对策和安全措施,防范和化解消息网安全风险,将险控制在可接受的水平,为最大限度地保障消息网的安全提供科学依据。1
YD/T1739-2008
消息网资产 AssetofMessagingNetwork消息网中具有价值的资源,是安全防护保护的对象。消息网中的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源,如消息网的消息中心设备、消息网关等。3.1.7
消息网资产价值Assetvalue of Messaging Network消息网中资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。3.1.8
消息网威胁 Threat of Messaging Network可能导致对消息网产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的,可能是无意失误,也可能是恶意攻击。常见的消息网络威胁有光缆中断、设备节点失效、火灾、水灾等。3.1.9
消息网脆弱性VulnerabilitycfMessagingNetwork脆弱性是消息网中存在的弱点、缺陷与不足,不直接对资产造成危害,但可能被威胁所利用从而危政资产的安全。
消总网灾难 Disaster of Messaging Network由于各种原因,造成消息网故障或瘫痪,使消息网支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。
消息网灾难备份Backupfor DisasterRecovery of Messaging Network为了消息网灾难恢复而对相关网络要素进行备份的过程。3.1.12
消息网灾难恢复DisasterRecovery of Messaging Network为了将消息网从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.13
访發Interview
检测人员通过与消息网有关人员(个人群体)进行交流、讨论等活动,检查消息网安全等级保护,消息网安全风险评估和消息网灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。
检查Examination
检测人员通过对检测对象进行观察、查验和分析等活动,检查消息网安全等级保护、消息网安全风险评估和消息网灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。3.1.15
测试Testing
YD/T 1739-2008
检测人员通过对检测对象按照预定的方法/工具使其产生特定行为的活动,查看、分析输出结果,检查消息网安全等级保护、消息网安全风险评估和消息网灾难备份及恢复相关措施的落实情况以及相关工作的开展情说的一种方法,
3.2缩略语
下列缩略语适用丁本标准,
Time Division Multiple AccessCode Division Multiple AecessService Provider
4消息网安全防护检测概述
4.1消总网安全防护检测范围
时分多址
码分多址
业务提供#
消息网的安全防护检测范围包括短消息网、多媒体消息网及与消息网相关的信息服务单位(SP)系统。短消息网包括900/1800MHzTDMA数字蜂窝移动通信网短消息网,800MHzCDMA数字蜂窝移动通信网短消息网、固定电话网短消息网。多媒体消息网包括数字蜂窝移动通信网多媒体消息网、2GHzCDMA2000数字蜂窝移动通信网多媒体邮件业务消息网等。4.2消息网安全防护检测对象
短消息网及密媒体消息网的检测对象是以一个消息中心系统为最小划分单元的网络(一个消息中心的本地业务划分区域可能是一个省/,或笔个省)。消息网相关信息服务单位(SP)系统的检测对象是以一个服务系统为最小划分单无的网络。安金等级保护的检测对象确定以后,安金风险评估的检测对象、灾难备份及恢复的拉测对象应与安全等级保护的检测对象相一致。4.3消息网安全防护检测内容
按照消息网安全防护检测的需要,将消息网安全防护检测分为安全等级保护检测、安全风险评估检测和灾难备份及恢复检测3个部分。安全防护检测要求包括以下内容:安全等级保护检测
主要包括业务安全检测、网络安全检测、设备安全检测、物理环境安全检测、管理安全检测等;一安全风险评估
主要包括安全风险评估范围检测、安全风险评估内容检测,安全风险评估要索检测、安全风险评估赋值原则检测、安全风险评计算方法检测、安全风险评估文件类型检测和安全风险评估文件记录检测等
—炎难备份及恢复检测
主要包括亢余系统、亢余设备及亢余链路检测、余路由检测、备份数据检测、人员和技术支持能力检测、运行维护管理能力检测和灾难恢复预案检测等。4.4消息网安全防护检测结果判定消息网安全防护检测包括对消息网的安全等级保护,安全风险评估,灾难备份及恢复3个部分的检测,应对3个部分的检测结裹分别进行判定,开根据抢测结果分别出具检测报告,检测报告中应体说明安全防护工作的优势和不足,
YD/T 1739-2008
对每个部分中的每一个测试项,应根据具体实施情况进行等级化评价(分5级:很好、较好、一般、较差、很差)。参照表1将各测试项的评价等级换算成评分,各测试项的分数经过一定的算法(例如加权平均)分别得到安全等级保护、安全风险评估、灾难备份及恢复3个部分的总分数,根据总分数分别对安全等级保护、安全风险评估、灾难备份及恢复3个部分的检测结果进行等级化评定,总分数和评定等级的关系如表2所示。在计算总分数过程中,应充分考虑到各测试项在安全防护检测要求中所占的比重,例如,表3给出了安全等级保护子类所占的比重。表1测试项评分方法
评价结果
实插很好
实随较好
实施一般
实随较差
实施很差
总分数工
4.5≤x<5
3.5≤x<4.5
2.5 ≤<3.5
1.5≤x<2.5
1≤xe1.5
比重(%)
表2总分数和评定等级的关系
表3安全等级保护子类所占的比
5短消网及多媒体消息网安全等级保护检测要求5.1第1级要求
不作要求。
5.2第2级要求
5.2.1业务安全
5.2.1.1检测方式
访谈,检查。
5.2.1.2 检测对象
评定等级
安全等级保护子类
业务安全
网络安全
设备安全
物理环境安全
管理安全
业务运营的历史记录,业务系统升级相关资料,SP业务管理资料。5.2.1.3检测实施
应访谈业务系统管理人员,并查看业务运营的历史记录,业务系统升级相关资料等检查网络是a)
YD/T 1739-2008
否能够保证在运行的系统上引入新业务、升级业务或若升级系统时不会引起网络所提供业务的中断或系统雄焕:
b)应询间相关业务系统管理人员并检查业务运营的历史记录及5P业务管理资料。网络针对与SP相关的消总业务,检查是否有针对SP各类业务的业务规范,在SP开通业务前是否对SP进行了测试验证;C)检查SF业务管理资料,SP足否具有服务的资质备案:5.2.2网络安全
5.2.2.1检测方式
访谈,检查。Www.bzxZ.net
5.2.2.2检测对象
网络设计文档,传输链路。
5.2.2.3检测实施
a)应检查网络设计文档,并询问相关业务系统管理人员,设备之问的IP链路和路由是否有备份;b)检查网络设计文档,访谈业务系统管理人员,检查网络是否有安全的管理,如网内设备认证和鉴权机制管理,计费管理等,通过测试,检查设备的登录是否有帐号和密码管理,设备应对登录网络设备的用户进行身份鉴别
c)检查网络设让文档,访谈业务系统管理人员,检查网内设备之间连接时、网内设备与网外设备之问连接时应是否籍要安全认证:d)检查网络设计文档,并询间相关业务系统管理人员,检查网络采取何种技术保护措施(如防火墙外):维护网络安全,避免来自网外的攻末。5.2.3设备安全
5.2.3.1检测方式
访谈,检查。
5.2.3.2检测对象
设备入网检测报告、设备入网证、短消息中心设备、短消息网关设备、短消息五通网关设备、多媒体消息中心设备/多媒体邮件中心设备、多媒体消息互道网关设备。5.2.3.3检测实施
短消息网主要包括短消息中心设备,短消息网关设备、短消息互通网关设备。多媒体消息网主要包括多媒体消息中心设备/多媒体邮件中心设备、多媒体消息互通网关设备。应检查上述相关设备是否具有入网检测报告、设备入网证,重点检查其中的安全相关的检测结果;对于没有入网检测报告或没有考的检测行标时,可以检查相关的安全检测报告。5.2.4物理环境安全
应满足YDT1755-2008&电信网和互联网物理环境安全等级保护检测要求》中第2级的检测要求。5.2.5管理安全
应满足YD/T1757-2008《电信网和互联网管理安全等级保护检测要求》中第2级的检测要求。5.3第 3.1 级要求
5.3.1业务安全
5.3.1.1检测方式
YD/T1739-2008
访谈,检查。
5.3,1.2检测对象
业务运营的历史记录,业务系统升级相关资料,SP业务管理资料。5.3.1.3检测实施
除按照5.2.1.3的要求进行检测之外,还应按照本节内容进行检测。a)应访谈业务系统管理人员,询问如何进行SP管理,是否提供了统一的SP接入入口,如果提供了,说明实现的功能和方式并进行现场检查;b)检查SP业务管理资料,检查是否有对SP服务的监督管理机制,如果有是如何实现的,是否能做到对SP的业务提供情况要求能够进行监控,并进行现场检查,c)应询问相关业务系统管理人员是否有对SP有业务过滤机制,如果有是如何实现的,是否能够做到对SP下发信息的内容进行审核,并进行现场检查。5.3.2网络安全
5.3.2.1检测方式
访谈,检查。
5.3.2.2检测对象
网络设计文档,传输链路。
5.3.2.3检测实施
除按5.2.2.3的要求进行检测之外,还应按照本节内容进行检测。a)应检查网络设计文档,并询问相关业务系统管理人员,设备之间的连接认证是否采用了加密算法,并进行现场检查;
b)检查网络安全管理相关文档,访谈业务系统管理人员,检查网络运营的历史纪录,检查是否有对恶意消息群发的监视和防范措施,以及防范的情况;c)检查网络设计文档,并御问相关业务系统管理人员,是否通过各种技术保护措施(如除防火墙)对核心设备包括消息中心和各种网关进行安全防护:d)应检查网络设计文档,并询问相关业务系统管理人员,网络结构是否能够避免不明设备接入,如:采用专网或者虚拟专网方式:e)检查网络设计文档,访谈业务系统管理人员,检查系统重要数据《如计费数据)是否有可靠的备份功能:
f)检查网络设计文档,检查并测试是否有对业务数据和重要数据进行访问的权限限制:g)检查网络设计文档,访谈业务系统管理人员,检查是否在与SP设备等业务提供设备连接时,有对SP设备接入的安全措施(包括技术和管理),如应有对SP设备的接入认证和鉴权。5.3.3设备安全
同5.2.3的要求,
5.3.4物理环境安全
应满足YD/T1755-2008电信网和互联网物理环境安全等级保护检测要求》中第3.1级的检测要求。5.3.5管理安全
应满足YD/T1757-2008电信网和互联网管理安全等级保护检测要求》中第3.1级的检测要求。6
5.4第3.2级要求
同第 3.1 级要求,
5.5第4级要求
同第3.2级要求。
5.6第5级要求
待补充。
6消息网相关信息服务单位(SP)安全等级保护检测要求6.1第1级要求
不作要求。
YD/T 1739-2008
6.2第2级要求
应满YD/T1759-2008《非核心生产单元安全防拍检测要求》中非核心生产单元网安全等级保护检测要求第2级的检测要求。
6.3第3.1级要求
应满足YDT1759-2008《非核心生产单元安全防护检测要求》中非核心生产单元网安全等级保护检洲要求第3.1级的检测要求。
6.4第 3.2级要求
同第3.1级要求。
6.5第4级要求
同第3.2级要求。
6.6第5级要求
待补充。
7消息网安全风险评估检测要求
7.1安全风险评估范围
7.1.1检测方式
访谈,检查。
7.1,2检测对象
风险评估报告。
7.1.3检测实施
应访谈风险评估负责人,询问进行消息网风险评估时,选择的风险评估范围是什么:检查风险评估报告,查看消息网风险评估范围是否与要求一致。7.2,安全风险评估内容
7.2.1检测方式
访谈,检查。
7.2.2检测对象
风险评估报告。
7.2.3检测实施
YD/T1739-2008
a)应访谈消息网风险评估负责人、查看风险评估报告:检查消总网风险计估是否覆盖了技术安全湘管理安全:
h)应访谈消息网风险评估负责人、查看风险评估报告,检查消总网风险评估中技术安全是否爱盖了业务安全、网络安全、设备安全和物理环境安全等方面c)应访谈消息网风险评估负责人、查看风险评估报告,检查消息网风险评估中管理安全是否覆盖了安全管理机构、安全管理制度、人员安全管理、安全建设管理、安全运维管理等方面。7.3安全风险评估要素
7.3.1检测方式
访谈,检查。
7.3.2检测对象
风险评估报告。
7.3.3捡测实施
a)应访谈风险评估负责人,询问进行消息网风险评估时采用了哪些风险评估的要素:查看风险评估报告,检查消息网风险评估时是否包含了资产、脆弱性、威脚、安全措施、风险和残余风险等要索:b)应访谈风险评估负责人,询间进行消息网风险评估时考虑了哪些风险评估要素的相关属性:查看风险评估报告,检查消息网风险评估报告时是否包含了与评估要索密切相关的业务战略、资产价值、安全需求和安全事件等属性:
c)应访谈风险评估负责人,询问进行消息网风险评估时评估了哪些资产:查看风险评估报告,检查消息网风险评估时的资产是否包含了网络设备;物理环境设备(包括机房、屯力供应系统,电磁防护系统、防火、防水和防潮系统、防静电系统、防雨击系统、温湿度控制系统等),各种设备的系统软件、系统控制软作、协议软件、操作维护系统软件,支撑消息网运行的各种重要数据,网络提供的各类业务,网络扑,设备维护人员、各种管理规定和设备文档等:d)应访谈风险评估负责人,询问计算消息网各资产的资产价值时考虑了哪些因素;查着风险评估报告,检查消息网风险评估中,计算各资产的资产价值是否土要考虑了社会影响力、资产价值和可用性等凶素,同时采用了合理的计算方法:e)应访谈风险评估负责人,询问识别了消息网各资产的脆弱性时考虑了哪些方面的脆弱性;查看风险评估报告,检查消息网风险评估中脆弱性识别是否包含了技术脆弱性和管理脆弱性等方面:f)应访谈风险评估负责人,询问识别了消息网各资产的晚弱性时考虑了哪些方面的脆弱性:查看风险评估报告,检查消息网风险评估中技术跪弱性是否包含了业务应用跪弱性,网络脆弱性、设备脆弱性和物理环境脆弱性:管理脆弱性是否包含安金管理机构方面的脆弱性、人员安全管理方面脆弱性、建设管理方面的脆弱性,运维管理方面的跪弱性:g)应访谈风险评估负责人,询问对消息网存在哪些威胁;查看风险评估报告,检查消息网风险评估时威胁识别是否包含了环境胁、人员威胁;)应访谈风险评估负责人,询问感胁识别依据了哪些历史数据;查若风险评估报告,检查消息网风险评估中威胁识别是否依据了已有安全事件报告数据、检测工.具检测数据和[国内外同行业报告数据等多个方面:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YD/T1739-2008
增值业务网
一消息网安全防护检测要求
Security Protection Testing Requirements forValue Added Service Network(Messaging Network)2008-01-14发布
2008-01-14实施
中华人民共和国信息产业部发布前
范围·
规范性引用文件
术语、定义和缩略语·
消息网安全防护检测概述
短消息网及多媒体消息网安全等级保护检测要求·5
消息网相关信息服务单位(SP)安全等级保护检测要求,6
消息树安全风险评估检测要求.
短消息网及多媒体消息网灾难备份及恢复检测要求·消息网相关信息服务单位(SP)灾难备份及恢复检测要求YD/T1739-2008
YD/T 1739-2008
本标准是“电信网和互联网安全防扩体系”系列标准之一。该系列标准的结构及名称如下:1.YD/T1728-2008电信网和互联网安全防护管理指南:电信网和互联网安全等级保护实施指南:2. YD/T 1729-2008
3.YD/T1730-2008
电信网和互联网安全风险评估实施指南:4.YD/T 1731-2008
电信网和互联网灾难备份及恢复实施指南:固定通信网安金防护要求:
5. YD/T 1732-2008
固定通信网安全防护检测要求;6, YD/T 1733-2008
移动通信网安全防护要求;
7,YD/T 1734-2008
移动通信网安全防护检测要求;8, YD/T 1735-2008
互联网安全防护要求:
9.YD/T 1736-2008
互联网安全防护检测要求:
10. YD/T 1737-2008
11. YD/T 1738-2008
增值业务网一—消息网安全防护要求;增值业务网—消息网安全防护检测要求:12. YD/T 1739-2008
13. YD/T 1740-2008
增值业务网智能网安全防护要求;14. YD/T 1741-2008
15, YD/T 1742-2008
16.YD/T1743-2008
17. YD/T 1744-2008
18.YD/T1745-2008
19, YD/T 1746-2008
增值业务网智能网安全防护检测要求:接入网安全防护要求:
接入网安全防护检测要求:
传送网安全防护要求;
传送网安全防护检测要求:
IP承载网安全防护要求:
20. YD/T 1747-2008
3EP承载网安全防护检离要求:
21. YD/T 1748-2008
22. YD/T 1749-2008
23. YD/T 1750-2008
24. YD/T 1751-2008
25. YD/T 1752-2008
26.YD/T 1753-2008
信令网安全防护要求;
信令网安全防护检测要求:
同步网安全防护要求;
同步网安全防护检测要求;
支撑网安全防护要求,
支撑网安全防护检测要求
27. YD/T 1754-2008
B电信网和互联两物理环境安全等级保护聘求:28. YD/T 1755-2008
电信网和互联网物理环境安全等级保护检测要求:29. YD/T 1756-2008
3电信网和互联网管理安全等级保护要求:30. YD/T 1757-2008
电信网和互联网管理安全等级保护检测要求31:YD1758-2008非核心生产单元安全防护要求;32:YD/T1759-2008非核心生产单元安全防护检测要求。本标准与YDT1738-2008《增值业务网一消息网安全防护要求》配套便用。YD/T1739-2008
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准本标准由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院、中国联合通信有限公司、中国移动通信集团公司、中国电信集团公司、中国网络通信集团公司本标准主要起草人:盛
额、严斌峰、朱
削、粉
恒、戴
1范围
增值业务网一一消息网安全防护检测要求YD/T 1739-2008
本标准规定了消息网在安全等级保护。安全风险评估、灾难备份及恢复等方面的安全防护检测要求。本标准适用于公众电信网中的短消息网和多媒体消息网及与消息网相关的信息服务单位(SP)系统。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注口期的引用文件,其随后所有的修改单(不包括勘误的内容)或参订版均不适用于本标推。然而,戴励根据本标难达成协议的客方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T 1759-2008
YD/T 1755-2008
YD/T 1757-2008
3术语、定义和缩略语
3.1 术语和定义
非核心生产单元安全防护检测要求电信网和互联网物理环境安全等级保护检测要求电信树和互联网管理安全等级保护检测要求下列术语和定义适用于本标准。3.1.1
消惠网安全等级SecurityClassificationofMessagingNetwork消息网安全重要程度的表征。重要程度可从消息网受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.2
消息网安全等级保护ClassifiedSecurityPratectionofMessagingNetwork对消息网分等级实施安全保护。3.1.3
组织Organization
组织是由不同作用的个体为实施共同的业务目标而建立的结构;组织的特性在于为完成目标而分工、合作:一个单位是一个组织,某个业务部门也可以是一个组织。3.t.4
消息网安全风险 SecurityRisk ofMessagingNetwork人为或自然的威胁可能利用消息网中存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.1.5
消息网安全风险评估EcurityRlsk Assessmentof MessagingNetwork指运用科学的方法和于段,系统地分析消息网所面临的威胁及其存在的髋弱性,评估安全事件一旦发生可能造成的危害程度。为进一步提出有针对性的抵御成胁的防护对策和安全措施,防范和化解消息网安全风险,将险控制在可接受的水平,为最大限度地保障消息网的安全提供科学依据。1
YD/T1739-2008
消息网资产 AssetofMessagingNetwork消息网中具有价值的资源,是安全防护保护的对象。消息网中的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源,如消息网的消息中心设备、消息网关等。3.1.7
消息网资产价值Assetvalue of Messaging Network消息网中资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。3.1.8
消息网威胁 Threat of Messaging Network可能导致对消息网产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的,可能是无意失误,也可能是恶意攻击。常见的消息网络威胁有光缆中断、设备节点失效、火灾、水灾等。3.1.9
消息网脆弱性VulnerabilitycfMessagingNetwork脆弱性是消息网中存在的弱点、缺陷与不足,不直接对资产造成危害,但可能被威胁所利用从而危政资产的安全。
消总网灾难 Disaster of Messaging Network由于各种原因,造成消息网故障或瘫痪,使消息网支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。
消息网灾难备份Backupfor DisasterRecovery of Messaging Network为了消息网灾难恢复而对相关网络要素进行备份的过程。3.1.12
消息网灾难恢复DisasterRecovery of Messaging Network为了将消息网从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.13
访發Interview
检测人员通过与消息网有关人员(个人群体)进行交流、讨论等活动,检查消息网安全等级保护,消息网安全风险评估和消息网灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。
检查Examination
检测人员通过对检测对象进行观察、查验和分析等活动,检查消息网安全等级保护、消息网安全风险评估和消息网灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。3.1.15
测试Testing
YD/T 1739-2008
检测人员通过对检测对象按照预定的方法/工具使其产生特定行为的活动,查看、分析输出结果,检查消息网安全等级保护、消息网安全风险评估和消息网灾难备份及恢复相关措施的落实情况以及相关工作的开展情说的一种方法,
3.2缩略语
下列缩略语适用丁本标准,
Time Division Multiple AccessCode Division Multiple AecessService Provider
4消息网安全防护检测概述
4.1消总网安全防护检测范围
时分多址
码分多址
业务提供#
消息网的安全防护检测范围包括短消息网、多媒体消息网及与消息网相关的信息服务单位(SP)系统。短消息网包括900/1800MHzTDMA数字蜂窝移动通信网短消息网,800MHzCDMA数字蜂窝移动通信网短消息网、固定电话网短消息网。多媒体消息网包括数字蜂窝移动通信网多媒体消息网、2GHzCDMA2000数字蜂窝移动通信网多媒体邮件业务消息网等。4.2消息网安全防护检测对象
短消息网及密媒体消息网的检测对象是以一个消息中心系统为最小划分单元的网络(一个消息中心的本地业务划分区域可能是一个省/,或笔个省)。消息网相关信息服务单位(SP)系统的检测对象是以一个服务系统为最小划分单无的网络。安金等级保护的检测对象确定以后,安金风险评估的检测对象、灾难备份及恢复的拉测对象应与安全等级保护的检测对象相一致。4.3消息网安全防护检测内容
按照消息网安全防护检测的需要,将消息网安全防护检测分为安全等级保护检测、安全风险评估检测和灾难备份及恢复检测3个部分。安全防护检测要求包括以下内容:安全等级保护检测
主要包括业务安全检测、网络安全检测、设备安全检测、物理环境安全检测、管理安全检测等;一安全风险评估
主要包括安全风险评估范围检测、安全风险评估内容检测,安全风险评估要索检测、安全风险评估赋值原则检测、安全风险评计算方法检测、安全风险评估文件类型检测和安全风险评估文件记录检测等
—炎难备份及恢复检测
主要包括亢余系统、亢余设备及亢余链路检测、余路由检测、备份数据检测、人员和技术支持能力检测、运行维护管理能力检测和灾难恢复预案检测等。4.4消息网安全防护检测结果判定消息网安全防护检测包括对消息网的安全等级保护,安全风险评估,灾难备份及恢复3个部分的检测,应对3个部分的检测结裹分别进行判定,开根据抢测结果分别出具检测报告,检测报告中应体说明安全防护工作的优势和不足,
YD/T 1739-2008
对每个部分中的每一个测试项,应根据具体实施情况进行等级化评价(分5级:很好、较好、一般、较差、很差)。参照表1将各测试项的评价等级换算成评分,各测试项的分数经过一定的算法(例如加权平均)分别得到安全等级保护、安全风险评估、灾难备份及恢复3个部分的总分数,根据总分数分别对安全等级保护、安全风险评估、灾难备份及恢复3个部分的检测结果进行等级化评定,总分数和评定等级的关系如表2所示。在计算总分数过程中,应充分考虑到各测试项在安全防护检测要求中所占的比重,例如,表3给出了安全等级保护子类所占的比重。表1测试项评分方法
评价结果
实插很好
实随较好
实施一般
实随较差
实施很差
总分数工
4.5≤x<5
3.5≤x<4.5
2.5 ≤<3.5
1.5≤x<2.5
1≤xe1.5
比重(%)
表2总分数和评定等级的关系
表3安全等级保护子类所占的比
5短消网及多媒体消息网安全等级保护检测要求5.1第1级要求
不作要求。
5.2第2级要求
5.2.1业务安全
5.2.1.1检测方式
访谈,检查。
5.2.1.2 检测对象
评定等级
安全等级保护子类
业务安全
网络安全
设备安全
物理环境安全
管理安全
业务运营的历史记录,业务系统升级相关资料,SP业务管理资料。5.2.1.3检测实施
应访谈业务系统管理人员,并查看业务运营的历史记录,业务系统升级相关资料等检查网络是a)
YD/T 1739-2008
否能够保证在运行的系统上引入新业务、升级业务或若升级系统时不会引起网络所提供业务的中断或系统雄焕:
b)应询间相关业务系统管理人员并检查业务运营的历史记录及5P业务管理资料。网络针对与SP相关的消总业务,检查是否有针对SP各类业务的业务规范,在SP开通业务前是否对SP进行了测试验证;C)检查SF业务管理资料,SP足否具有服务的资质备案:5.2.2网络安全
5.2.2.1检测方式
访谈,检查。Www.bzxZ.net
5.2.2.2检测对象
网络设计文档,传输链路。
5.2.2.3检测实施
a)应检查网络设计文档,并询问相关业务系统管理人员,设备之问的IP链路和路由是否有备份;b)检查网络设计文档,访谈业务系统管理人员,检查网络是否有安全的管理,如网内设备认证和鉴权机制管理,计费管理等,通过测试,检查设备的登录是否有帐号和密码管理,设备应对登录网络设备的用户进行身份鉴别
c)检查网络设让文档,访谈业务系统管理人员,检查网内设备之间连接时、网内设备与网外设备之问连接时应是否籍要安全认证:d)检查网络设计文档,并询间相关业务系统管理人员,检查网络采取何种技术保护措施(如防火墙外):维护网络安全,避免来自网外的攻末。5.2.3设备安全
5.2.3.1检测方式
访谈,检查。
5.2.3.2检测对象
设备入网检测报告、设备入网证、短消息中心设备、短消息网关设备、短消息五通网关设备、多媒体消息中心设备/多媒体邮件中心设备、多媒体消息互道网关设备。5.2.3.3检测实施
短消息网主要包括短消息中心设备,短消息网关设备、短消息互通网关设备。多媒体消息网主要包括多媒体消息中心设备/多媒体邮件中心设备、多媒体消息互通网关设备。应检查上述相关设备是否具有入网检测报告、设备入网证,重点检查其中的安全相关的检测结果;对于没有入网检测报告或没有考的检测行标时,可以检查相关的安全检测报告。5.2.4物理环境安全
应满足YDT1755-2008&电信网和互联网物理环境安全等级保护检测要求》中第2级的检测要求。5.2.5管理安全
应满足YD/T1757-2008《电信网和互联网管理安全等级保护检测要求》中第2级的检测要求。5.3第 3.1 级要求
5.3.1业务安全
5.3.1.1检测方式
YD/T1739-2008
访谈,检查。
5.3,1.2检测对象
业务运营的历史记录,业务系统升级相关资料,SP业务管理资料。5.3.1.3检测实施
除按照5.2.1.3的要求进行检测之外,还应按照本节内容进行检测。a)应访谈业务系统管理人员,询问如何进行SP管理,是否提供了统一的SP接入入口,如果提供了,说明实现的功能和方式并进行现场检查;b)检查SP业务管理资料,检查是否有对SP服务的监督管理机制,如果有是如何实现的,是否能做到对SP的业务提供情况要求能够进行监控,并进行现场检查,c)应询问相关业务系统管理人员是否有对SP有业务过滤机制,如果有是如何实现的,是否能够做到对SP下发信息的内容进行审核,并进行现场检查。5.3.2网络安全
5.3.2.1检测方式
访谈,检查。
5.3.2.2检测对象
网络设计文档,传输链路。
5.3.2.3检测实施
除按5.2.2.3的要求进行检测之外,还应按照本节内容进行检测。a)应检查网络设计文档,并询问相关业务系统管理人员,设备之间的连接认证是否采用了加密算法,并进行现场检查;
b)检查网络安全管理相关文档,访谈业务系统管理人员,检查网络运营的历史纪录,检查是否有对恶意消息群发的监视和防范措施,以及防范的情况;c)检查网络设计文档,并御问相关业务系统管理人员,是否通过各种技术保护措施(如除防火墙)对核心设备包括消息中心和各种网关进行安全防护:d)应检查网络设计文档,并询问相关业务系统管理人员,网络结构是否能够避免不明设备接入,如:采用专网或者虚拟专网方式:e)检查网络设计文档,访谈业务系统管理人员,检查系统重要数据《如计费数据)是否有可靠的备份功能:
f)检查网络设计文档,检查并测试是否有对业务数据和重要数据进行访问的权限限制:g)检查网络设计文档,访谈业务系统管理人员,检查是否在与SP设备等业务提供设备连接时,有对SP设备接入的安全措施(包括技术和管理),如应有对SP设备的接入认证和鉴权。5.3.3设备安全
同5.2.3的要求,
5.3.4物理环境安全
应满足YD/T1755-2008电信网和互联网物理环境安全等级保护检测要求》中第3.1级的检测要求。5.3.5管理安全
应满足YD/T1757-2008电信网和互联网管理安全等级保护检测要求》中第3.1级的检测要求。6
5.4第3.2级要求
同第 3.1 级要求,
5.5第4级要求
同第3.2级要求。
5.6第5级要求
待补充。
6消息网相关信息服务单位(SP)安全等级保护检测要求6.1第1级要求
不作要求。
YD/T 1739-2008
6.2第2级要求
应满YD/T1759-2008《非核心生产单元安全防拍检测要求》中非核心生产单元网安全等级保护检测要求第2级的检测要求。
6.3第3.1级要求
应满足YDT1759-2008《非核心生产单元安全防护检测要求》中非核心生产单元网安全等级保护检洲要求第3.1级的检测要求。
6.4第 3.2级要求
同第3.1级要求。
6.5第4级要求
同第3.2级要求。
6.6第5级要求
待补充。
7消息网安全风险评估检测要求
7.1安全风险评估范围
7.1.1检测方式
访谈,检查。
7.1,2检测对象
风险评估报告。
7.1.3检测实施
应访谈风险评估负责人,询问进行消息网风险评估时,选择的风险评估范围是什么:检查风险评估报告,查看消息网风险评估范围是否与要求一致。7.2,安全风险评估内容
7.2.1检测方式
访谈,检查。
7.2.2检测对象
风险评估报告。
7.2.3检测实施
YD/T1739-2008
a)应访谈消息网风险评估负责人、查看风险评估报告:检查消总网风险计估是否覆盖了技术安全湘管理安全:
h)应访谈消息网风险评估负责人、查看风险评估报告,检查消总网风险评估中技术安全是否爱盖了业务安全、网络安全、设备安全和物理环境安全等方面c)应访谈消息网风险评估负责人、查看风险评估报告,检查消息网风险评估中管理安全是否覆盖了安全管理机构、安全管理制度、人员安全管理、安全建设管理、安全运维管理等方面。7.3安全风险评估要素
7.3.1检测方式
访谈,检查。
7.3.2检测对象
风险评估报告。
7.3.3捡测实施
a)应访谈风险评估负责人,询问进行消息网风险评估时采用了哪些风险评估的要素:查看风险评估报告,检查消息网风险评估时是否包含了资产、脆弱性、威脚、安全措施、风险和残余风险等要索:b)应访谈风险评估负责人,询间进行消息网风险评估时考虑了哪些风险评估要素的相关属性:查看风险评估报告,检查消息网风险评估报告时是否包含了与评估要索密切相关的业务战略、资产价值、安全需求和安全事件等属性:
c)应访谈风险评估负责人,询问进行消息网风险评估时评估了哪些资产:查看风险评估报告,检查消息网风险评估时的资产是否包含了网络设备;物理环境设备(包括机房、屯力供应系统,电磁防护系统、防火、防水和防潮系统、防静电系统、防雨击系统、温湿度控制系统等),各种设备的系统软件、系统控制软作、协议软件、操作维护系统软件,支撑消息网运行的各种重要数据,网络提供的各类业务,网络扑,设备维护人员、各种管理规定和设备文档等:d)应访谈风险评估负责人,询问计算消息网各资产的资产价值时考虑了哪些因素;查着风险评估报告,检查消息网风险评估中,计算各资产的资产价值是否土要考虑了社会影响力、资产价值和可用性等凶素,同时采用了合理的计算方法:e)应访谈风险评估负责人,询问识别了消息网各资产的脆弱性时考虑了哪些方面的脆弱性;查看风险评估报告,检查消息网风险评估中脆弱性识别是否包含了技术脆弱性和管理脆弱性等方面:f)应访谈风险评估负责人,询问识别了消息网各资产的晚弱性时考虑了哪些方面的脆弱性:查看风险评估报告,检查消息网风险评估中技术跪弱性是否包含了业务应用跪弱性,网络脆弱性、设备脆弱性和物理环境脆弱性:管理脆弱性是否包含安金管理机构方面的脆弱性、人员安全管理方面脆弱性、建设管理方面的脆弱性,运维管理方面的跪弱性:g)应访谈风险评估负责人,询问对消息网存在哪些威胁;查看风险评估报告,检查消息网风险评估时威胁识别是否包含了环境胁、人员威胁;)应访谈风险评估负责人,询问感胁识别依据了哪些历史数据;查若风险评估报告,检查消息网风险评估中威胁识别是否依据了已有安全事件报告数据、检测工.具检测数据和[国内外同行业报告数据等多个方面:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。