消息网安全防护要求.docx

消息网安全防护要求.docx

《消息网安全防护要求.docx》由会员分享，可在线阅读，更多相关《消息网安全防护要求.docx（16页珍藏版）》请在冰豆网上搜索。

消息网安全防护要求

增值业务网——消息网安全防护要求

1 范围

   本标准规定了消息网在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护要求。

   本标准适用于公众电信网中的短消息网和多媒体消息网及与消息网相关的信息服务单位（SP）系统。

2规范性引用文件

   下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。

然而，鼓励根据本标准达成协议的各方研究

是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

 YD/T1729-2008   电信网和互联网安全等级保护实施指南

 YD/T1730-2008   电信网和互联网安全风险评估实施指南

 YD/T1731-2008   电信网和互联网灾难备份及恢复实施指南

 YD/T1732--2008  固定通信网安全防护要求

 YD/T1734-2008   移动通信网安全防护要求

 YD/T1752-2008   支撑网安全防护要求

 YD/T1758-2008   非核心生产单元安全防护要求

 YD/T1754-2008   电信网和互联网物理环境安全等级保护要求

 YD/T1756-2008   电信网和互联网管理安全等级保护要求

 YD/T1598-2007   2GHzcdma2000数字蜂窝移动通信网多媒体邮件业务系统技术要求

 YD/T1533.1-2006 固定网多媒体消息业务技术要求第1部分:

多媒体消息中心（MMSC）设备

 YD/T1499-2006   数字蜂窝移动通信网多媒体消息业务（MMS）中心设备技术要求

 YD/T1039.1-2005 900/1800MHzTDMA数字蜂窝移动通信网短消息中心设备规范第一分册点对点短消息业务

 YD/T1364-2005   点对点短消息同间互通设备技术要求

 YD/T1248.3—2004 固定电话同短消息业务第三部：

短消息中心技术要求

  YD/T1221.1—2002800MHzCDMA数字蜂窝移动通信网短消息中心设备技术要求第一分册点对点短消息业务

3术语、定义和缩略语

3.1 术语和定义

   下列术语和定义适用于本标准。

3.1.1

   消息网安全等级SecurityClassificationofMessagingNetwork

   消息网安全重要程度的表征。

重要程度可从消息网受到破坏后，对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。

3.1.2

 消息网安全等级保护ClassifiedSecurityProtectionofMessagingNetwork

   对消息网分等级实施安全保护。

 3.1.3

   组织Organization

   组织是由不同作用的个体为实施共同的业务目标而建立的结构，组织的特性在于为完成目标而分工、合作；一个单位是一个组织，某个业务部门也可以是一个组织。

 3.1.4

   消息网安全风险SecurityRiskofMessagingNetwork

   人为或自然的威胁可能利用消息网中存在的脆弱性导致安全事件的发生及其对组织造成的影响。

 3.1.5

   消息网安全风险评估SecurityRiskAssessmentofMessagingNetwork

   指运用科学的方法和手段，系统地分析消息网所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度。

为进一步提出有针对性的抵御威胁的防护对策和安全措施，防范和化解消息

网安全风险，将风险控制在可接受的水平，为最大限度地保障消息网的安全提供科学依据。

3.1.6

   消息网资产AssetofMessagingNetwork

   消息网中具有价值的资源，是安全防护保护的对象。

消息网中的资产可能是以多种形式存在，无形的、有形的、硬件、软件，包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人

员、管理等各种类型的资源，如消息网的消息中心设备、网关设备、网络布局等。

3.1.7

   消息网资产价值AssetValueofMessagingNetwork

   消息网中资产的重要程度或敏感程度。

资产价值是资产的属性，也是进行资产识别的主要内容。

3.1.8

   消息网威胁ThreatofMessagingNetwork

   可能导致对消息网产生危害的不希望事件潜在起因，它可能是人为的，也可能是非人为的；可能是无意失误，也可能是恶意攻击。

常见的消息网络威胁有光缆中断、设备节点失效、火灾、水灾等。

3.1.9

   消息网脆弱性VulnerabilityofMessagingNetwork

   脆弱性是消息网中存在的弱点、缺陷与不足，不直接对资产造成危害，但可能被威胁所利用从而危及资产的安全。

3.1.10

   消息网灾难DisasterofMessagingNetwork

   由于各种原因，造成消息网故障或瘫痪。

使清息网支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。

3.1.11

   消息网灾难备份BackupforDisasterRecoveryofMessagingNetwork

   为了消息网灾难恢复而对相关网络要素进行备份的过程。

3.1.12

   消息网灾难恢复DisasterRecoveryofMessagingNetwork

   为了将消息网从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。

3.2缩略语

 下列缩略语适用于本标准。

 CDMA   CodeDivisionMultipleAccess         码分多址

 GPRS   GeneralPacketRadioService     通用无线分组业务

 GSM    GlobalSystemofMobilecommunication   通讯系统

 MTBF   MeanTimeBetweenFailures       平均故障间隔时间

 PLMN   PublicLandMobileNetwork     公众陆地移动电话网

 PSTN   PublicSwitchedTelephoneNetwork  公用电话交换网

 SP     ServiceProvider                      业务提供商

 TDMA   TimeDivisionMultipleAccess           时分多址

 WAP    WirelessApplicationProtocol        无线应用协议

4消息网安全防护概述

4.1 消息网安全防护范围   

   消息网按照消息类型分为短消息网和多媒体消息网。

短消息网包括900/1800MHzTDMA数字蜂窝移动通信网短消息网、800MHzCDMA数字蜂窝移动通信网短消息网、固定电话网短消息网。

多媒体消息网

包括数字蜂窝移动通信网多媒体消息网、2GHzCDMA2000数字蜂窝移动通信网多媒体邮件业务消息网等。

消息网所包括的业务为点对点短消息业务、点对点多媒体业务消息业务、与SP相关的点播订阅业务等。

   消息网的安全防护范围包含短消息网及与消息网相关的信息服务单位（SP）系统。

短消息网的架构示意如图1和图2所示。

多媒体消息网的架构示意如图3所示。

 图1和图2为短消息网的网络架构示意图，短消息业务的完成主要涉及短消息中心和短消息网关设备。

如果涉及不同运营商的点对点短消息互通时，还包括短消息互通网关。

图1移动短消息网的网络架构示意

图2固定短消息网的网络架构示意

 短消息业务是电路域的数据业务。

基于PLMN的短消息是以信令方式在网络中传送，基于PSTN的短消息是以话路为承载方式的，话路的建立与信令网相关。

为配合短消息业务平台提供短消息服务，需

要各种承载网设备的支持，还要和现网中的计费系统、网管系统等互联。

核心网络的安全防护要求参见对应的YD/T1734-2008《移动通信网安全防护要求》及YD/T1732-2008《固定通信网安全防护要求》。

计费和网管部分的安全防护要求参见YD/T1752-2008《支撑网安全防护要求》。

   移动网内的消息中心之间是通过信令网连接的。

固定网内的消息中心是通过两个或两个以上的网关之间的IP链路进行连接的。

互通网关之间是以IP链路连接的。

消息中心到消息网关都是IP链路。

   图3为多媒体消息网的网络架构示意图。

多媒体消息业务完成主要涉及多媒体消息中心系统，多媒体邮件中心系统。

如果涉及不同运营商多媒体消息互通，还包括多媒体消息互通网关。

多媒体消息中心系统之间通过IP链路连接。

   多媒体消息业务是一种分组数据业务，为配合多媒体消息平台提供多媒体消息服务，需要各种承载网设备的支持，还要和现网中的计费系统、网管系统等互联。

核心网络的安全防护要求参见对应的YD/T

1734-2008移动通信网安全防护要求及YD/T1732-2008《固定通信网安全防护要求》。

计费和网管部分的安全防护要求参见YD/T1752-2008《支撑网安全防护要求》。

4.2消息网安全防护内容

   根据电信网和互联网安全防护体系的要求，将消息网安全防护内容分为安全风险评估、安全等级保护、灾难备份及恢复等3个部分：

 ——安全等级保护

 主要包括定级对象和安全等级的确定、业务安全、网络安全、设备安全、物理环境安全、管理安全等。

 ——安全风险评估

 主要包括资产识别、脆弱性识别、威胁识别、已有安全措施的确认、风险分析、风险评估文件记录等。

本标准仅对消息网进行资产分析、脆弱性分析、威胁分析，在消息网安全风险评估过程中确定各个

资产、脆弱性、威胁的具体值。

资产、脆弱性、威胁的赋值方法及资产价值、风险值的计算方法参见YD/T1730-2008《电信网和互联网安全风险评估实施指南》。

 ——灾难备份及恢复

 主要包括灾难备份及恢复等级确定、冗余系统、冗余设备及冗余链路检测、冗余路由检测、备份数据检测、人员和技术支持能力检测、运行维护管理能力检测和灾难恢复预案等。

5消息网定级对象和安全等级确定

   短消息网及多媒体消息网定级对象应为以一个消息中心系统为最小划分单元的网络（一个消息中心的本地业务划分区域可能是一个省/市或多个省）。

   消息网相关的信息服务单位（SP）系统定级对象应以一个服务系统为最小划分单元的网络。

   网络和业务运营商应根据YD/T1729-2008《电信网和互联网安全等级保护实施指南》中确定网络安全等级的方法（附录A）对消息网定级，即对短消息网、多媒体消息网、消息网相关的信息服务单位（SP）系统根据社会影响力、所提供服务的重要性、规模和服务范围分别定级，权重α、β、γ可根据具体情况进行调节。

6消息网资产、脆弱性、威胁分析

6.1资产分析

   消息网安全风险评估的资产至少应包括设备硬件、设备软件、重要数据、提供的服务、文档、人员等，如表1所示。

表1资产列表

   分类

   示例

   设备硬件

短消息网的