表3威脅來源列表
?
來源 | 威脅描述 |
技術(shù)威脅 | 設(shè)備自身的軟件、硬件故障,系統(tǒng)本身設(shè)計(jì)缺陷或軟件Bug,節(jié)假日或其他原因的高話務(wù)沖突等; 外部設(shè)備的惡意攻擊; 無法管理的用戶設(shè)備的接入以及來自終端和SP的內(nèi)容管理等; 需要在網(wǎng)絡(luò)中實(shí)施監(jiān)管和監(jiān)測(cè)的技術(shù)手段 |
環(huán)境威脅 | 物理環(huán)境 | 斷電、靜電、灰塵、潮濕、濕度、電磁干擾等,意外事故或通訊線路方面的故障 |
自然災(zāi)害 | 鼠蟻蟲害、洪災(zāi)、火災(zāi)、泥石流、山體滑坡、地震、臺(tái)風(fēng)、閃電 |
人為威脅 | 惡意人員 | 不滿的或有預(yù)謀的內(nèi)部人員濫用權(quán)限進(jìn)行惡意破壞; 采用自主或內(nèi)外勾結(jié)的方式盜竊或篡改機(jī)密信息; 外部人員利用惡意代碼和病毒對(duì)網(wǎng)絡(luò)或系統(tǒng)進(jìn)行攻擊; 外部人員進(jìn)行物理破壞、盜竊等 |
無惡意人員 | 內(nèi)部人員由于缺乏責(zé)任心或者無作為而應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作、或無意地執(zhí)行了錯(cuò)誤的 操作導(dǎo)致安全事件; 內(nèi)部人員沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞; 內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致故障或攻擊, 安全管理制度不完善、落實(shí)不到位造成安全管理不規(guī)范或者管理混亂導(dǎo)致安全事件 ? |
?
7短消息網(wǎng)及多媒體;消息網(wǎng)安全等級(jí)保護(hù)要求
7.1第1級(jí)要求
??? 不作要求。
7.2第2級(jí)要求
7.2.1? 業(yè)務(wù)安全要求
??? a)所提供的業(yè)務(wù)應(yīng)盡可能不因系統(tǒng)引入其他新業(yè)務(wù)、業(yè)務(wù)升級(jí)或者系統(tǒng)升級(jí)而中斷;
??? b)應(yīng)當(dāng)具備對(duì)相關(guān)SP業(yè)務(wù)的業(yè)務(wù)要求,在SP接入前進(jìn)行相應(yīng)的業(yè)務(wù)驗(yàn)證;
??? c)在辦理SP接入服務(wù)業(yè)務(wù)之前,應(yīng)對(duì)SP資格進(jìn)行審查(例如:無短信息服務(wù)業(yè)務(wù)經(jīng)營許可證單位擅自通過網(wǎng)站及接入合作方式為用戶提供短信)。
7.2.2網(wǎng)絡(luò)安全要求
? ??a)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)中,應(yīng)當(dāng)充分考慮傳輸鏈路(IP鏈路)連接的冗余設(shè)置,故障時(shí)應(yīng)能快速恢復(fù);
??? b)應(yīng)有安全的管理,包括網(wǎng)內(nèi)設(shè)備認(rèn)證和鑒權(quán)機(jī)制管理、設(shè)備的登錄有賬號(hào)和密碼管理、計(jì)費(fèi)管理等;
??? c)網(wǎng)內(nèi)設(shè)備之間連接時(shí)、網(wǎng)內(nèi)設(shè)備與網(wǎng)外設(shè)備之間連接時(shí),應(yīng)支持相互安全認(rèn)證功能;
??? d)在網(wǎng)絡(luò)與互聯(lián)網(wǎng)邊界處應(yīng)采取防火墻等安全措施。
7.2.3設(shè)備安全要求
??? 短消息網(wǎng)主要包括短消息中心設(shè)備、短消息網(wǎng)關(guān)設(shè)備、短消息互通網(wǎng)關(guān)設(shè)備。多媒體消息網(wǎng)設(shè)備包括多媒體消息中心設(shè)備,多媒體郵件中心設(shè)備、多媒體消息互聯(lián)網(wǎng)關(guān)設(shè)備。以上提到的主要設(shè)備的安全應(yīng)滿足設(shè)備入網(wǎng)管理規(guī)定,
??? 短消息網(wǎng)主要設(shè)備應(yīng)滿足:
??? a) 900/1800MHzTDMA數(shù)字蜂窩移動(dòng)通信網(wǎng)短消息中心設(shè)備的安全,應(yīng)滿足YD/T 1039.1-2005中的安全相關(guān)要求;
??? b) 800MHz CDMA數(shù)字蜂窩移動(dòng)通信網(wǎng)短消息中心設(shè)備的安全,應(yīng)滿足YD/T 1221.1-2002中的安全相關(guān)要求;
??? c)固定網(wǎng)短消息中心的安全,應(yīng)滿足YD/T 1248.3-2004中的安全相關(guān)要求;
??? d)點(diǎn)對(duì)點(diǎn)短消息網(wǎng)間互通設(shè)備的安全,應(yīng)滿足YD/T 1364--2005中的安全相關(guān)要求。
??? 多媒體消息網(wǎng)主要設(shè)備應(yīng)滿足:
??? a)數(shù)字蜂窩移動(dòng)通信網(wǎng)多媒體消息中心設(shè)備的安全,應(yīng)滿足YD/T 1499-2006中的安全相關(guān)要求;
??? b) 2GHz CDMA2000數(shù)宇蜂窩移動(dòng)通信網(wǎng)多媒體郵件中心設(shè)備的安全,應(yīng)滿足YD/T 1598-2007中的安全相關(guān)要求;
??? c)固定網(wǎng)多媒體消息中心的安全,應(yīng)滿足YD/T 1533.1--2006中安全相關(guān)要求。
7.2.4物理環(huán)境安全要求
??? 應(yīng)滿足YD/T 1754—2008《電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級(jí)保護(hù)》要求中第2級(jí)的安全要求。
7.2.5管理安全要求
?應(yīng)滿足YD/T 1756-2008《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級(jí)保護(hù)要求》中第2級(jí)的安全要求。
7.3第3.1級(jí)要求
7.3.1? 業(yè)務(wù)安全要求
??? 除滿足7.2.1的要求之外,還應(yīng)滿足:
??? a)對(duì)SP應(yīng)當(dāng)提供統(tǒng)一的接入入口;
??? b)應(yīng)有對(duì)SP服務(wù)的監(jiān)督管理機(jī)制;
及時(shí)對(duì)違規(guī)的SP行為進(jìn)行制止;
? c)對(duì)SP應(yīng)有業(yè)務(wù)過濾機(jī)制(例如:
7.3.2網(wǎng)絡(luò)安全要求
??? 除滿足7.2.2的要求之外,還應(yīng)滿足:
??? a)設(shè)備之間的連接認(rèn)證應(yīng)采用帶有加密算法的認(rèn)證方式;
??? b)網(wǎng)絡(luò)應(yīng)有對(duì)惡意消息群發(fā)的監(jiān)視和防范措施,包括點(diǎn)對(duì)點(diǎn)及點(diǎn)對(duì)SP的消息;
??? c)網(wǎng)絡(luò)內(nèi)部核心設(shè)備包括消息中心及各種網(wǎng)關(guān)應(yīng)當(dāng)采取適當(dāng)?shù)姆啦《竞凸舸胧纾悍阑饓Φ龋?/div>
??? d)網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)能夠避免不明設(shè)備接入,例如:采用專同或者虛擬專網(wǎng)方式;
??? e)系統(tǒng)重要數(shù)據(jù)(如計(jì)費(fèi)數(shù)據(jù))應(yīng)有可靠的備份功能;
??? f)應(yīng)有對(duì)業(yè)務(wù)數(shù)據(jù)和重要數(shù)據(jù)的訪問進(jìn)行權(quán)限限制;
??? g)在SP等業(yè)務(wù)提供設(shè)備連接時(shí),網(wǎng)絡(luò)應(yīng)有對(duì)SP設(shè)備接入的安全措施(包括技術(shù)和管理),如應(yīng)有對(duì)SP設(shè)備的接入認(rèn)證等。
7.3.3設(shè)備安全要求
??? 同7.2.3的要求。
7.3.4物理環(huán)境安全要求
??? 應(yīng)滿足YD/T 1754--2008《電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級(jí)保護(hù)要求》中第3.1級(jí)的安全要求。
7.3.5管理安全要求
??? 應(yīng)滿足YD/T 1756--2008《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級(jí)保護(hù)要求》中第3.1級(jí)的安全要求。
7.4第3.2級(jí)要求
??? 同第3.1級(jí)要求。
7.5第4級(jí)要求
??? 同第3.2級(jí)要求。
7.6第5級(jí)要求
??? 待補(bǔ)充。
8消息網(wǎng)相關(guān)信息服務(wù)單位(SP)系統(tǒng)安全等級(jí)保護(hù)要求
8.1第1級(jí)要求
不作要求。
8.2第2級(jí)要求
??? 應(yīng)滿足YD/Tl758-2008《非核心生產(chǎn)單元安全防護(hù)要求》中非核心生產(chǎn)單元網(wǎng)安全等級(jí)保護(hù)要求第2級(jí)的安全要求。
8.3第3.1級(jí)要求
??? 應(yīng)滿足YD/T l758-2008《非核心生產(chǎn)單元安全防護(hù)要求》中非核心生產(chǎn)單元網(wǎng)安全等級(jí)保護(hù)要求第3.1級(jí)的安全要求。
8.4第3.2級(jí)要求
??? 同第3.1級(jí)要求。
8.5第4級(jí)要求
??? 同第3.2級(jí)要求。
8.6第5級(jí)要求
??? 待補(bǔ)充。
9短消息網(wǎng)及多媒體消息網(wǎng)災(zāi)難備份及恢復(fù)要求
9.1? 災(zāi)難備份及恢復(fù)等級(jí)
??? 根據(jù)YD/T1731-2008《電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)實(shí)施指南》,災(zāi)難備份及恢復(fù)定級(jí)應(yīng)與安全等級(jí)保護(hù)確定的安全等級(jí)一致。
9.2第1級(jí)要求
??? 不作要求。
9.3第2級(jí)要求
9.3.1? 冗余系統(tǒng)、冗余設(shè)備及冗余鏈路要求
??? a)網(wǎng)絡(luò)單節(jié)點(diǎn)的災(zāi)難不應(yīng)導(dǎo)致其他節(jié)點(diǎn)的業(yè)務(wù)提供發(fā)生異常;單一地區(qū)范圍的災(zāi)難不應(yīng)導(dǎo)致其他
地區(qū)的業(yè)務(wù)提供發(fā)生異常;
??? b)網(wǎng)絡(luò)災(zāi)難恢復(fù)的恢復(fù)時(shí)間應(yīng)滿足行業(yè)管理、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商應(yīng)急預(yù)案的相關(guān)要求。
9.3.2冗余路由要求
??? 應(yīng)有網(wǎng)絡(luò)路由設(shè)計(jì)的冗余性。
9.3.3備份數(shù)據(jù)要求
??? a)關(guān)鍵數(shù)據(jù)(如計(jì)費(fèi)數(shù)據(jù)、用戶數(shù)據(jù)、網(wǎng)絡(luò)配置數(shù)據(jù)、管理員操作維護(hù)記錄)應(yīng)有本地?cái)?shù)據(jù)備份;
??? b)關(guān)鍵數(shù)據(jù)的備份范圍和時(shí)間間隔、采取的備份方式、數(shù)據(jù)恢復(fù)能力應(yīng)符合相關(guān)要求。
9.3.4人員和技術(shù)支持能力要求
??? 應(yīng)有負(fù)責(zé)災(zāi)難備份及恢復(fù)的管理人員。
9.3.5運(yùn)行維護(hù)管理能力要求
??? a)應(yīng)有針對(duì)災(zāi)難備份及恢復(fù)的機(jī)房運(yùn)行管理制度;
??? b)應(yīng)有針對(duì)災(zāi)難備份及恢復(fù)的介質(zhì)存取、驗(yàn)證和轉(zhuǎn)儲(chǔ)的管理制度,應(yīng)確保備份數(shù)據(jù)的授權(quán)訪問。
9.3.6災(zāi)難恢復(fù)預(yù)案要求
??? 應(yīng)有完整的災(zāi)難恢復(fù)預(yù)案。
9.4第3.1級(jí)要求
9.4.1? 冗余系統(tǒng)、冗余設(shè)備及冗余鏈路要求
??? 除滿足9.3.1的要求之外。還應(yīng)滿足:
??? 系統(tǒng)的容量和處理能力應(yīng)能有一定的冗余,以便處理因?yàn)?zāi)難發(fā)生后的業(yè)務(wù)流量的變化。
9.4.2冗余路由要求
??? 同9.3.2的要求。
9.4.3備份數(shù)據(jù)要求
??? 同9.3.3的要求。
9.4.4人員和技術(shù)支持能力要求
??? 除滿足9.3.4的要求之外,還應(yīng)滿足:
??? a)應(yīng)有負(fù)責(zé)災(zāi)難備份及恢復(fù)的技術(shù)人員;
??? b)應(yīng)對(duì)負(fù)責(zé)災(zāi)難備份及恢復(fù)的人員定期進(jìn)行關(guān)于災(zāi)難備份及恢復(fù)的技術(shù)培訓(xùn)。
9.4.5運(yùn)行維護(hù)管理能力要求
??? 除滿足9.3.5的要求之外,還應(yīng)滿足:
??? a)應(yīng)對(duì)災(zāi)難備份及恢復(fù)相關(guān)數(shù)據(jù)進(jìn)行定期的有效性驗(yàn)證;
??? b)應(yīng)有針對(duì)災(zāi)難備份及恢復(fù)的設(shè)備和網(wǎng)絡(luò)運(yùn)行管理制度;
??? c)應(yīng)有針對(duì)災(zāi)難備份及恢復(fù)的數(shù)據(jù)容災(zāi)備份管理制度;
??? d)應(yīng)具有與外部組織保持良好的聯(lián)絡(luò)和協(xié)作的能力。
9.4.6災(zāi)難恢復(fù)預(yù)案要求
??? 除滿足9.3.6的要求之外,還應(yīng)滿足:
??? a)應(yīng)有災(zāi)難恢復(fù)預(yù)案的教育和培訓(xùn),相關(guān)人員應(yīng)了解災(zāi)難恢復(fù)預(yù)案并具有對(duì)災(zāi)難恢復(fù)預(yù)案進(jìn)行實(shí)際操作的能力:
??? b)應(yīng)有災(zāi)難恢復(fù)預(yù)案的演練,
9.5第3.2級(jí)要求
??? 同第3.1級(jí)要求。
9.6第4級(jí)要求
??? 同第3.2級(jí)要求。
9.7第5級(jí)要求
?待補(bǔ)充。
10消息網(wǎng)相關(guān)信息服務(wù)單位(SP)系統(tǒng)災(zāi)難備份及恢復(fù)要求
10.1災(zāi)難備份及恢復(fù)等級(jí)
??? 根據(jù)YD/T 1731-2008《電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)實(shí)施指南》,災(zāi)難備份及恢復(fù)定級(jí)應(yīng)與安全等級(jí)保護(hù)確定的安全等級(jí)的安全等級(jí)一致。
10.2第1級(jí)要求
不作要求。
10.3第2級(jí)要求。
??? 應(yīng)滿足YD/T 1758-2008《非核心生產(chǎn)單元安全防護(hù)要求》中非核心生產(chǎn)單元災(zāi)難備份及恢復(fù)要求第2級(jí)的安全要求。
??? 10.4 第3.1級(jí)要求
??? 應(yīng)滿足YD/T 1758-2008《非核心生產(chǎn)單元安全防護(hù)要求》中非核心生產(chǎn)單元災(zāi)難備份及恢復(fù)要求第3.1級(jí)的安全要求。
10.5 第3.2級(jí)要求
??? 同第3.1級(jí)要求。
10.6第4級(jí)要求
??? 周第3.2級(jí)要求。
10.7第5級(jí)要求
?待補(bǔ)充。