1? 范圍
?本標準規(guī)定了智能網(wǎng)在安全等級保護、風(fēng)險評估、災(zāi)難備份及恢復(fù)等方面的安全防護要求����。
?本標準適用于公用電信增值業(yè)務(wù)網(wǎng)——智能網(wǎng)。
2? 引用標準
??? 下列文件中的條款通過本標準的引用而成為本標準的條款��。凡是注日期的引用文件����,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標準文件�����。然而,鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本�����。凡是不注日期的引用文件����,其最新版本適用于本標準。
YD/T 1729-2008 ??電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護實施指南
YD/T 1730-2008? ?電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險評估實施指南
YD/T 1731-2008? ?電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)實施指南
YD/T 1754-2008? ?電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級保護要求
YD/T 1756-2008 ??電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求
YDN 048-1997??? ?中國智能網(wǎng)設(shè)備業(yè)務(wù)控制點(SCP)技術(shù)規(guī)范
YDN 047-1997?? ??中國智能網(wǎng)設(shè)備業(yè)務(wù)交換點(SSP)黔技術(shù)規(guī)范
YDN 098-1999??? ?中國智能網(wǎng)設(shè)備智能外設(shè)(IP)技術(shù)規(guī)范
YDN 049-1 997?? ?中國智能網(wǎng)設(shè)備業(yè)務(wù)管理點(SMP)技術(shù)規(guī)范
YD/T 1234-2002?? 900/1800MHz TDMA數(shù)字蜂窩移動通信網(wǎng)業(yè)務(wù)控制點(SCP)設(shè)備技術(shù)要求(CAMEL2)
YD/T 1425-2005?? 900/1800MHz TDMA數(shù)字蜂窩移動通信網(wǎng)業(yè)務(wù)控制點(SCP)設(shè)備技術(shù)要求(CAMEL3)
YD/T 1209-2002?? 900/1800MHz TDMA數(shù)字蜂窩移動通信闞業(yè)務(wù)交換點(SSP)設(shè)備技術(shù)要求(CAMEL2)
YD/T 1424.1-2005 900/1800MHz TDMA數(shù)字蜂窩移動通信網(wǎng)業(yè)務(wù)交換點(SSP)設(shè)備技術(shù)要求(CAMEL3)第1部分:電路域(CS)
YD/T 1424.2-2005 900/1800MHz TDMA數(shù)字蜂窩移動通信網(wǎng)業(yè)務(wù)換點(SSP)設(shè)備技術(shù)要求(CAMEL3)第2部分}分組域(PS)
YD/T 1427-2005?? 900/1800MHz TDMA數(shù)字蜂窩移動通信網(wǎng)智能外設(shè)(IP)設(shè)備技術(shù)要求(CAMEL3)
YD/T 1426-2005?? 900/1800MHz TDMA數(shù)字蜂窩移動通信網(wǎng)業(yè)務(wù)管理點(SMP)設(shè)備技術(shù)要求(CAMEL3)
YD/T 1232-2002?? 800MHz CDMA數(shù)字蜂窩移動通信網(wǎng)無線智能網(wǎng)(WIN)階段1:業(yè)務(wù)控制點(SCP)設(shè)備技術(shù)要求
YD/T 1333-2004?? 800MHz CDMA數(shù)字蜂窩移動通信網(wǎng)無線智能網(wǎng)(WIN)階段2:業(yè)務(wù)控制點(SCP)設(shè)備技術(shù)要求
YD/T 1223-2002? 800MHz CDMA數(shù)字蜂窩移動通信網(wǎng)無線智能網(wǎng)(WIN)階段1:業(yè)務(wù)控制點(SSP)設(shè)備技術(shù)要求
YD/T 1334-2004? 800MHz CDMA數(shù)字蜂窩移動通信網(wǎng)無線智能網(wǎng)(WIN)階段2:智能外設(shè)(IP)設(shè)備技術(shù)要求
YD/T 1332-2004 800MHz CDMA數(shù)字蜂窩移動通信網(wǎng)無線智能網(wǎng)(WIN)階段2:業(yè)務(wù)管理點(SMP)設(shè)備技術(shù)要求
3? 術(shù)語和定義
?下列術(shù)語和定義適用于本標準��。
3.1
??? 智能網(wǎng)安全等級Security Classification of Transport Network
??? 智能網(wǎng)安全重要程度的表征����。重要程度可從智能網(wǎng)受到破壞后,對國家安全����、社會秩序、經(jīng)濟運行��、公共利益�����、網(wǎng)絡(luò)和業(yè)務(wù)運營商造成的損害來衡量。
3.2?
??? 智能網(wǎng)安全等級保護Classified Security Protection of Intelligent Network
??? 對智能網(wǎng)分等級實施安全保護�����。
3.3
?組織Organization
?組織是由不同作用的個體為實施共同的業(yè)務(wù)目標而建立的結(jié)構(gòu)��,組織的特性在于為完成目標而分工����、合作。一個單位是一個組織�����,某個業(yè)務(wù)部門也可以是一個組織�����。
3.4
??? 智能網(wǎng)安全風(fēng)險Security Risk of Intelligent Network
??? 人為或自然的威脅可能利用智能網(wǎng)中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響����。
3.5
??? 智能網(wǎng)安全風(fēng)險評估Security Risk Assessment of Intelligent Network
??? 指運用科學(xué)的方法和手段��,系統(tǒng)地分析智能網(wǎng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害����,進一步提出有針對性的防護對策和安全措施,防范和化解智能網(wǎng)安全風(fēng)險����,將風(fēng)險控制在可接受的水平,為最大限度地保障智能網(wǎng)的安全提供科學(xué)依據(jù)��。
3.6
??? 智能網(wǎng)資產(chǎn)Asset of Intelligent Network
??? 智能網(wǎng)中具有價值的資源����,是安全防護保護的對象。智能網(wǎng)中的資產(chǎn)可能是以多種形式存在�����,無形的��、有形的����、硬件、軟件�����,包括物理布局、通信設(shè)備�����、物理線路�����、數(shù)據(jù)����、軟件、文檔�����、規(guī)程��、業(yè)務(wù)��、人員��、管理等各種類型的資源�����,如基于某個智能網(wǎng)系統(tǒng)的預(yù)付費業(yè)務(wù)�����。SCP設(shè)備,智能岡機房管理規(guī)定等。
3.7
??? 智能網(wǎng)資產(chǎn)價值Asset Value of Intelligent Network
??? 智能網(wǎng)中資產(chǎn)的重要程度成敏感程度��,資產(chǎn)價值是資產(chǎn)的屬性����,也是進行資產(chǎn)識別的主要內(nèi)容��。
3.8
??? 智能網(wǎng)威脅Threat of Intelligent Network
??? 可能導(dǎo)致對智能網(wǎng)產(chǎn)生危害的不希望事件的潛在起因����。它可能是人為的����,也可能是非人為的����;可能是無意失誤��,也可能是惡意攻擊����。常見的有設(shè)備節(jié)點失效、火災(zāi)����、水災(zāi)等。
3.9
??? 智能網(wǎng)脆弱性Vulnerability of Intelligent Network
??? 脆弱性是智能網(wǎng)中存在的弱點����、缺陷與不足��,不直接對資產(chǎn)造成危害����,但可能被威脅所利用從而危及資產(chǎn)的安全。
3.10
??? 智能網(wǎng)災(zāi)難Disaster of Intelligent Network
??? 由于各種原因����,造成智能網(wǎng)故障或癱瘓�����,使智能網(wǎng)支持的業(yè)務(wù)功能停頓或服務(wù)水平不可接受,達到特定的時間的突發(fā)性事件。
3.11
??? 智能網(wǎng)災(zāi)難備份Backup for Disaster Recovery of Intelligent Network
??? 為了智能網(wǎng)災(zāi)難恢復(fù)而對相關(guān)網(wǎng)絡(luò)要素進行備份的過程��。
3.12
??? 智能網(wǎng)災(zāi)難恢復(fù)Disaster Recovery of Intelligent Network
??? 為了將智能網(wǎng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到正常運行狀態(tài)或部分正常運行狀態(tài)����,并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)����,而設(shè)計的活動和流程。
4? 縮略語
??? 下列縮略語適用于本標準�����。
??? CDMA??? Code Division Multiple Access??? ????碼分多址
??? GSM???? ?Global System for Mobile Communication 全球移動通信系統(tǒng)
??? IP??? ??Intelligent����。Peripheral??? ??????????智能外設(shè)
??? SCP?? ??Service Control Point?? ??????????????業(yè)務(wù)控制點
??? SDP??? ?Service Data Point?? ?????????????????業(yè)務(wù)數(shù)據(jù)點
??? SNIP??? Service Management Point??? ??????????業(yè)務(wù)管理點
??? SSP??? ?Service Switch Point??? ??????????????業(yè)務(wù)交換點
??? VC????? Voucher Center??? ???????????????????充值中心
??? VPN???? Virtual Private Network?? ????????????虛擬專用網(wǎng)
5? 智能網(wǎng)系統(tǒng)安全防護概述
5.1智能網(wǎng)安全防護范圍
??? 智能網(wǎng)是指在原有電信交換網(wǎng)絡(luò)基礎(chǔ)上��,為快速提供新的電信業(yè)務(wù)而疊加的網(wǎng)絡(luò)����。智能網(wǎng)包括業(yè)務(wù)控制點(SCP)設(shè)備、業(yè)務(wù)交換點(SSP)設(shè)備��、業(yè)務(wù)管理點(SMP)設(shè)備��、智能外設(shè)(IP)設(shè)備��、業(yè)務(wù)數(shù)據(jù)點(SDP)設(shè)備和充值中心(VC)��,其中SCP實現(xiàn)業(yè)務(wù)的集中控制。SSP實現(xiàn)業(yè)務(wù)觸發(fā),SMP實現(xiàn)業(yè)務(wù)管理,IP實現(xiàn)自動語音播放與采集,SDP實現(xiàn)智能業(yè)務(wù)數(shù)據(jù)集中放置。VC是智能業(yè)務(wù)的充值中心����。
??? 本標準中的“智能網(wǎng)系統(tǒng)”指基于以上設(shè)備及設(shè)備之間的網(wǎng)絡(luò)組成的智能網(wǎng)系統(tǒng),根據(jù)所依附的網(wǎng)絡(luò)可以分為固定智能網(wǎng)�����、GSM智能網(wǎng)和CDMA智能網(wǎng)����,根據(jù)覆蓋范圍可以分為本地智能網(wǎng)�����、全省智能網(wǎng)和全國智能網(wǎng)��。
5.2? 智能網(wǎng)安全防護內(nèi)容
??? 根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系的要求,將智能網(wǎng)安全防護內(nèi)容分為安全等級保護、安全風(fēng)險評估、災(zāi)難備份及恢復(fù)3個部分。
??? 智能網(wǎng)安全等級保護主要包括定級對象和安全等級確定�����、業(yè)務(wù)安全��、網(wǎng)絡(luò)安全����、設(shè)備安全、物理環(huán)境安全、管理安全等��;
安全風(fēng)險評估主要包括資產(chǎn)識別、脆弱性識別、威脅識別、已有安全措施的確認、安全風(fēng)險分析�����、安全風(fēng)險評估文件處理等��。本標準僅對智能網(wǎng)進行資產(chǎn)分析�����、脆弱性分析和威脅分析����,在智能網(wǎng)安全風(fēng)險評估過程中確定各個資產(chǎn)、脆弱性�����、威脅的具體值。資產(chǎn)����、脆弱性、威脅的賦值方法及資產(chǎn)價值����、風(fēng)險值的計算方法參見YD/T 1730-2008《電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險評估實施指南》;
智能網(wǎng)災(zāi)難備份及恢復(fù)主要包括災(zāi)難備份及恢復(fù)等級確定��、針對災(zāi)難備份及恢復(fù)各資源要素的具體實施等�����。
6? 智能網(wǎng)定級對象和安全等級確定
?根據(jù)智能網(wǎng)業(yè)務(wù)對公眾利益的影響程度�����、所提供服務(wù)的重要性及服務(wù)用戶數(shù)的多少幾個關(guān)鍵因素�����,我國智能網(wǎng)可以分為全國智能網(wǎng)��、省內(nèi)智能網(wǎng)和本地智能網(wǎng)�����,網(wǎng)絡(luò)和業(yè)務(wù)運營商應(yīng)根據(jù)YD/T 1729-2008《電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護實施指南》中確定網(wǎng)絡(luò)安全等級的方法,根據(jù)網(wǎng)絡(luò)的具體情況�����,對整個智能網(wǎng)系統(tǒng)進行定級��,權(quán)重α�����、β�����、γ可根據(jù)具體網(wǎng)絡(luò)情況進行調(diào)節(jié)��。
7? 智能網(wǎng)資產(chǎn)�����、脆弱性����、威脅風(fēng)險分析
7.1? 資產(chǎn)分析
智能網(wǎng)安全風(fēng)險評估的資產(chǎn)至少應(yīng)包括設(shè)備硬件、設(shè)備軟件��、重要數(shù)據(jù)����、提供的服務(wù)、文檔����、人員等,見表1�����。
表1 資產(chǎn)列表
?
? 分類 | ??? 示例 |
? 設(shè)備硬件 ? ? | 智能網(wǎng)包括SCP��、SDP����、SSP、SMP,IP��、VC等設(shè)備�����; 物理環(huán)境設(shè)備:包括機房�����、電力供應(yīng)系統(tǒng)、電磁防護系統(tǒng)�����、防火�����、防水和防潮系統(tǒng)�����、防靜電系統(tǒng)��、防霄擊系統(tǒng)��、溫濕度控制系統(tǒng)等��; 網(wǎng)絡(luò):設(shè)備之間的信令鏈路等 |
? 設(shè)備軟件 ? | 系統(tǒng)軟件:操作系統(tǒng)��、各種數(shù)據(jù)庫軟件等: 協(xié)議軟件和控制軟件 |
重要數(shù)據(jù) | 保存在設(shè)備上的各種重要數(shù)據(jù)��,包括用戶數(shù)據(jù)��、計費數(shù)據(jù)、網(wǎng)絡(luò)配置數(shù)據(jù)��、管理員操作維護記錄等 |
服務(wù)/業(yè)務(wù) | 智能網(wǎng)提供的各種業(yè)務(wù):預(yù)付費��、VPN�����、被叫付費電話等 |
? 文檔 ? | 紙質(zhì)以及保存在存儲介質(zhì)中的各種文件�����。如設(shè)計文檔�����、技術(shù)要求�����、管理規(guī)定(機構(gòu)設(shè)置�����、警理制度����、人員管理辦法)、工作計劃��、技術(shù)或財務(wù)報告����、用戶手冊等 |
? 人員 | 掌握重要技術(shù)的人員,如網(wǎng)絡(luò)維護人員��、設(shè)備維護人員��、網(wǎng)絡(luò)或業(yè)務(wù)的研發(fā)人員等 |
? 其他 | 網(wǎng)絡(luò)拓撲設(shè)計等 |
?
7.2? 脆弱性分析
??? 智能網(wǎng)的脆弱性可以從技術(shù)脆弱性和管理脆弱性兩個方面考慮��,脆弱性識別對象應(yīng)以資產(chǎn)為核心�����,
