1? 范圍
?本標準規(guī)定了智能網(wǎng)在安全等級保護�����、風險評估�����、災難備份及恢復等方面的安全防護要求����。
?本標準適用于公用電信增值業(yè)務網(wǎng)——智能網(wǎng)���。
2? 引用標準
??? 下列文件中的條款通過本標準的引用而成為本標準的條款�����。凡是注日期的引用文件���,其隨后所有的修改單(不包括勘誤的內容)或修訂版均不適用于本標準文件。然而��,鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本�����。凡是不注日期的引用文件�����,其最新版本適用于本標準����。
YD/T 1729-2008 ??電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護實施指南
YD/T 1730-2008? ?電信網(wǎng)和互聯(lián)網(wǎng)安全風險評估實施指南
YD/T 1731-2008? ?電信網(wǎng)和互聯(lián)網(wǎng)災難備份及恢復實施指南
YD/T 1754-2008? ?電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級保護要求
YD/T 1756-2008 ??電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求
YDN 048-1997??? ?中國智能網(wǎng)設備業(yè)務控制點(SCP)技術規(guī)范
YDN 047-1997?? ??中國智能網(wǎng)設備業(yè)務交換點(SSP)黔技術規(guī)范
YDN 098-1999??? ?中國智能網(wǎng)設備智能外設(IP)技術規(guī)范
YDN 049-1 997?? ?中國智能網(wǎng)設備業(yè)務管理點(SMP)技術規(guī)范
YD/T 1234-2002?? 900/1800MHz TDMA數(shù)字蜂窩移動通信網(wǎng)業(yè)務控制點(SCP)設備技術要求(CAMEL2)
YD/T 1425-2005?? 900/1800MHz TDMA數(shù)字蜂窩移動通信網(wǎng)業(yè)務控制點(SCP)設備技術要求(CAMEL3)
YD/T 1209-2002?? 900/1800MHz TDMA數(shù)字蜂窩移動通信闞業(yè)務交換點(SSP)設備技術要求(CAMEL2)
YD/T 1424.1-2005 900/1800MHz TDMA數(shù)字蜂窩移動通信網(wǎng)業(yè)務交換點(SSP)設備技術要求(CAMEL3)第1部分:電路域(CS)
YD/T 1424.2-2005 900/1800MHz TDMA數(shù)字蜂窩移動通信網(wǎng)業(yè)務換點(SSP)設備技術要求(CAMEL3)第2部分}分組域(PS)
YD/T 1427-2005?? 900/1800MHz TDMA數(shù)字蜂窩移動通信網(wǎng)智能外設(IP)設備技術要求(CAMEL3)
YD/T 1426-2005?? 900/1800MHz TDMA數(shù)字蜂窩移動通信網(wǎng)業(yè)務管理點(SMP)設備技術要求(CAMEL3)
YD/T 1232-2002?? 800MHz CDMA數(shù)字蜂窩移動通信網(wǎng)無線智能網(wǎng)(WIN)階段1:業(yè)務控制點(SCP)設備技術要求
YD/T 1333-2004?? 800MHz CDMA數(shù)字蜂窩移動通信網(wǎng)無線智能網(wǎng)(WIN)階段2:業(yè)務控制點(SCP)設備技術要求
YD/T 1223-2002? 800MHz CDMA數(shù)字蜂窩移動通信網(wǎng)無線智能網(wǎng)(WIN)階段1:業(yè)務控制點(SSP)設備技術要求
YD/T 1334-2004? 800MHz CDMA數(shù)字蜂窩移動通信網(wǎng)無線智能網(wǎng)(WIN)階段2:智能外設(IP)設備技術要求
YD/T 1332-2004 800MHz CDMA數(shù)字蜂窩移動通信網(wǎng)無線智能網(wǎng)(WIN)階段2:業(yè)務管理點(SMP)設備技術要求
3? 術語和定義
?下列術語和定義適用于本標準。
3.1
??? 智能網(wǎng)安全等級Security Classification of Transport Network
??? 智能網(wǎng)安全重要程度的表征��。重要程度可從智能網(wǎng)受到破壞后�,對國家安全、社會秩序��、經(jīng)濟運行�、公共利益、網(wǎng)絡和業(yè)務運營商造成的損害來衡量。
3.2?
??? 智能網(wǎng)安全等級保護Classified Security Protection of Intelligent Network
??? 對智能網(wǎng)分等級實施安全保護�。
3.3
?組織Organization
?組織是由不同作用的個體為實施共同的業(yè)務目標而建立的結構,組織的特性在于為完成目標而分工�����、合作����。一個單位是一個組織,某個業(yè)務部門也可以是一個組織���。
3.4
??? 智能網(wǎng)安全風險Security Risk of Intelligent Network
??? 人為或自然的威脅可能利用智能網(wǎng)中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響����。
3.5
??? 智能網(wǎng)安全風險評估Security Risk Assessment of Intelligent Network
??? 指運用科學的方法和手段�����,系統(tǒng)地分析智能網(wǎng)所面臨的威脅及其存在的脆弱性����,評估安全事件一旦發(fā)生可能造成的危害,進一步提出有針對性的防護對策和安全措施����,防范和化解智能網(wǎng)安全風險���,將風險控制在可接受的水平,為最大限度地保障智能網(wǎng)的安全提供科學依據(jù)��。
3.6
??? 智能網(wǎng)資產(chǎn)Asset of Intelligent Network
??? 智能網(wǎng)中具有價值的資源�����,是安全防護保護的對象���。智能網(wǎng)中的資產(chǎn)可能是以多種形式存在,無形的���、有形的���、硬件、軟件��,包括物理布局�����、通信設備、物理線路�����、數(shù)據(jù)�、軟件、文檔�、規(guī)程、業(yè)務����、人員、管理等各種類型的資源����,如基于某個智能網(wǎng)系統(tǒng)的預付費業(yè)務。SCP設備���,智能岡機房管理規(guī)定等��。
3.7
??? 智能網(wǎng)資產(chǎn)價值Asset Value of Intelligent Network
??? 智能網(wǎng)中資產(chǎn)的重要程度成敏感程度�����,資產(chǎn)價值是資產(chǎn)的屬性���,也是進行資產(chǎn)識別的主要內容�。
3.8
??? 智能網(wǎng)威脅Threat of Intelligent Network
??? 可能導致對智能網(wǎng)產(chǎn)生危害的不希望事件的潛在起因�。它可能是人為的,也可能是非人為的��;可能是無意失誤���,也可能是惡意攻擊�����。常見的有設備節(jié)點失效、火災�����、水災等����。
3.9
??? 智能網(wǎng)脆弱性Vulnerability of Intelligent Network
??? 脆弱性是智能網(wǎng)中存在的弱點、缺陷與不足����,不直接對資產(chǎn)造成危害����,但可能被威脅所利用從而危及資產(chǎn)的安全�。
3.10
??? 智能網(wǎng)災難Disaster of Intelligent Network
??? 由于各種原因,造成智能網(wǎng)故障或癱瘓���,使智能網(wǎng)支持的業(yè)務功能停頓或服務水平不可接受��,達到特定的時間的突發(fā)性事件����。
3.11
??? 智能網(wǎng)災難備份Backup for Disaster Recovery of Intelligent Network
??? 為了智能網(wǎng)災難恢復而對相關網(wǎng)絡要素進行備份的過程��。
3.12
??? 智能網(wǎng)災難恢復Disaster Recovery of Intelligent Network
??? 為了將智能網(wǎng)從災難造成的故障或癱瘓狀態(tài)恢復到正常運行狀態(tài)或部分正常運行狀態(tài)����,并將其支持的業(yè)務功能從災難造成的不正常狀態(tài)恢復到可接受狀態(tài),而設計的活動和流程�����。
4? 縮略語
??? 下列縮略語適用于本標準�����。
??? CDMA??? Code Division Multiple Access??? ????碼分多址
??? GSM???? ?Global System for Mobile Communication 全球移動通信系統(tǒng)
??? IP??? ??Intelligent。Peripheral??? ??????????智能外設
??? SCP?? ??Service Control Point?? ??????????????業(yè)務控制點
??? SDP??? ?Service Data Point?? ?????????????????業(yè)務數(shù)據(jù)點
??? SNIP??? Service Management Point??? ??????????業(yè)務管理點
??? SSP??? ?Service Switch Point??? ??????????????業(yè)務交換點
??? VC????? Voucher Center??? ???????????????????充值中心
??? VPN???? Virtual Private Network?? ????????????虛擬專用網(wǎng)
5? 智能網(wǎng)系統(tǒng)安全防護概述
5.1智能網(wǎng)安全防護范圍
??? 智能網(wǎng)是指在原有電信交換網(wǎng)絡基礎上��,為快速提供新的電信業(yè)務而疊加的網(wǎng)絡��。智能網(wǎng)包括業(yè)務控制點(SCP)設備���、業(yè)務交換點(SSP)設備����、業(yè)務管理點(SMP)設備��、智能外設(IP)設備�����、業(yè)務數(shù)據(jù)點(SDP)設備和充值中心(VC)��,其中SCP實現(xiàn)業(yè)務的集中控制�����。SSP實現(xiàn)業(yè)務觸發(fā)�,SMP實現(xiàn)業(yè)務管理���,IP實現(xiàn)自動語音播放與采集����,SDP實現(xiàn)智能業(yè)務數(shù)據(jù)集中放置。VC是智能業(yè)務的充值中心��。
??? 本標準中的“智能網(wǎng)系統(tǒng)”指基于以上設備及設備之間的網(wǎng)絡組成的智能網(wǎng)系統(tǒng)�,根據(jù)所依附的網(wǎng)絡可以分為固定智能網(wǎng)、GSM智能網(wǎng)和CDMA智能網(wǎng)���,根據(jù)覆蓋范圍可以分為本地智能網(wǎng)���、全省智能網(wǎng)和全國智能網(wǎng)。
5.2? 智能網(wǎng)安全防護內容
??? 根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系的要求�����,將智能網(wǎng)安全防護內容分為安全等級保護�、安全風險評估、災難備份及恢復3個部分�。
??? 智能網(wǎng)安全等級保護主要包括定級對象和安全等級確定、業(yè)務安全�、網(wǎng)絡安全、設備安全、物理環(huán)境安全�、管理安全等;
安全風險評估主要包括資產(chǎn)識別�、脆弱性識別、威脅識別�����、已有安全措施的確認����、安全風險分析、安全風險評估文件處理等�����。本標準僅對智能網(wǎng)進行資產(chǎn)分析���、脆弱性分析和威脅分析��,在智能網(wǎng)安全風險評估過程中確定各個資產(chǎn)����、脆弱性���、威脅的具體值�����。資產(chǎn)�、脆弱性���、威脅的賦值方法及資產(chǎn)價值��、風險值的計算方法參見YD/T 1730-2008《電信網(wǎng)和互聯(lián)網(wǎng)安全風險評估實施指南》���;
智能網(wǎng)災難備份及恢復主要包括災難備份及恢復等級確定、針對災難備份及恢復各資源要素的具體實施等�。
6? 智能網(wǎng)定級對象和安全等級確定
?根據(jù)智能網(wǎng)業(yè)務對公眾利益的影響程度、所提供服務的重要性及服務用戶數(shù)的多少幾個關鍵因素�,我國智能網(wǎng)可以分為全國智能網(wǎng)、省內智能網(wǎng)和本地智能網(wǎng)����,網(wǎng)絡和業(yè)務運營商應根據(jù)YD/T 1729-2008《電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護實施指南》中確定網(wǎng)絡安全等級的方法,根據(jù)網(wǎng)絡的具體情況��,對整個智能網(wǎng)系統(tǒng)進行定級����,權重α����、β��、γ可根據(jù)具體網(wǎng)絡情況進行調節(jié)��。
7? 智能網(wǎng)資產(chǎn)�、脆弱性、威脅風險分析
7.1? 資產(chǎn)分析
智能網(wǎng)安全風險評估的資產(chǎn)至少應包括設備硬件��、設備軟件��、重要數(shù)據(jù)���、提供的服務���、文檔、人員等����,見表1。
表1 資產(chǎn)列表
?
? 分類 | ??? 示例 |
? 設備硬件 ? ? | 智能網(wǎng)包括SCP�、SDP�、SSP����、SMP,IP����、VC等設備; 物理環(huán)境設備:包括機房�、電力供應系統(tǒng)、電磁防護系統(tǒng)�、防火、防水和防潮系統(tǒng)�、防靜電系統(tǒng)、防霄擊系統(tǒng)����、溫濕度控制系統(tǒng)等; 網(wǎng)絡:設備之間的信令鏈路等 |
? 設備軟件 ? | 系統(tǒng)軟件:操作系統(tǒng)���、各種數(shù)據(jù)庫軟件等: 協(xié)議軟件和控制軟件 |
重要數(shù)據(jù) | 保存在設備上的各種重要數(shù)據(jù)���,包括用戶數(shù)據(jù)、計費數(shù)據(jù)����、網(wǎng)絡配置數(shù)據(jù)���、管理員操作維護記錄等 |
服務/業(yè)務 | 智能網(wǎng)提供的各種業(yè)務:預付費、VPN�、被叫付費電話等 |
? 文檔 ? | 紙質以及保存在存儲介質中的各種文件。如設計文檔���、技術要求���、管理規(guī)定(機構設置、警理制度����、人員管理辦法)、工作計劃�����、技術或財務報告��、用戶手冊等 |
? 人員 | 掌握重要技術的人員���,如網(wǎng)絡維護人員�����、設備維護人員�、網(wǎng)絡或業(yè)務的研發(fā)人員等 |
? 其他 | 網(wǎng)絡拓撲設計等 |
?
7.2? 脆弱性分析
??? 智能網(wǎng)的脆弱性可以從技術脆弱性和管理脆弱性兩個方面考慮�,脆弱性識別對象應以資產(chǎn)為核心,
