1? 范圍

??? 本標(biāo)準(zhǔn)規(guī)定了消息網(wǎng)在安全等級(jí)保護(hù)、安全風(fēng)險(xiǎn)評(píng)估、災(zāi)難備份及恢復(fù)等方面的安全防護(hù)要求。

??? 本標(biāo)準(zhǔn)適用于公眾電信網(wǎng)中的短消息網(wǎng)和多媒體消息網(wǎng)及與消息網(wǎng)相關(guān)的信息服務(wù)單位(SP)系統(tǒng)。

2規(guī)范性引用文件

??? 下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)。然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究

是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。

?YD/T 1729-2008??? 電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)實(shí)施指南

? YD/T 1730-2008??? 電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南

? YD/T 1731-2008??? 電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)實(shí)施指南

? YD/T 1732--2008?? 固定通信網(wǎng)安全防護(hù)要求

? YD/T 1734-2008??? 移動(dòng)通信網(wǎng)安全防護(hù)要求

? YD/T 1752-2008??? 支撐網(wǎng)安全防護(hù)要求

? YD/T 1758-2008??? 非核心生產(chǎn)單元安全防護(hù)要求

? YD/T 1754-2008??? 電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級(jí)保護(hù)要求

? YD/T 1756-2008??? 電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級(jí)保護(hù)要求

? YD/T 1598-2007 ???2GHz cdma2000數(shù)字蜂窩移動(dòng)通信網(wǎng)多媒體郵件業(yè)務(wù)系統(tǒng)技術(shù)要求

? YD/T 1533.1-2006? 固定網(wǎng)多媒體消息業(yè)務(wù)技術(shù)要求第1部分:多媒體消息中心(MMSC)設(shè)備

? YD/T 1499-2006??? 數(shù)字蜂窩移動(dòng)通信網(wǎng)多媒體消息業(yè)務(wù)(MMS)中心設(shè)備技術(shù)要求

? YD/T 1039.1-2005? 900/1800MHz TDMA數(shù)字蜂窩移動(dòng)通信網(wǎng)短消息中心設(shè)備規(guī)范第一分冊(cè)點(diǎn)對(duì)點(diǎn)短消息業(yè)務(wù)

? YD/T 1364-2005??? 點(diǎn)對(duì)點(diǎn)短消息同間互通設(shè)備技術(shù)要求

? YD/T 1248.3—2004 ?固定電話同短消息業(yè)務(wù)第三部：短消息中心技術(shù)要求

??YD/T 1221.1—2002 800MHz CDMA數(shù)字蜂窩移動(dòng)通信網(wǎng)短消息中心設(shè)備技術(shù)要求第一分冊(cè)點(diǎn)對(duì)點(diǎn)短消息業(yè)務(wù)

3術(shù)語(yǔ)、定義和縮略語(yǔ)

3.1? 術(shù)語(yǔ)和定義

??? 下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。

3.1.1

??? 消息網(wǎng)安全等級(jí)Security Classification of Messaging Network

??? 消息網(wǎng)安全重要程度的表征。重要程度可從消息網(wǎng)受到破壞后，對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)運(yùn)行、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商造成的損害來(lái)衡量。

3.1.2

?消息網(wǎng)安全等級(jí)保護(hù)Classified Security Protection of Messaging Network

??? 對(duì)消息網(wǎng)分等級(jí)實(shí)施安全保護(hù)。

? 3.1.3

??? 組織Organization

??? 組織是由不同作用的個(gè)體為實(shí)施共同的業(yè)務(wù)目標(biāo)而建立的結(jié)構(gòu)，組織的特性在于為完成目標(biāo)而分工、合作；一個(gè)單位是一個(gè)組織，某個(gè)業(yè)務(wù)部門也可以是一個(gè)組織。

? 3.1.4

??? 消息網(wǎng)安全風(fēng)險(xiǎn)Security Risk of Messaging Network

??? 人為或自然的威脅可能利用消息網(wǎng)中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。

? 3.1.5

??? 消息網(wǎng)安全風(fēng)險(xiǎn)評(píng)估Security Risk Assessment of Messaging Network

??? 指運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析消息網(wǎng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度。為進(jìn)一步提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和安全措施，防范和化解消息

網(wǎng)安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，為最大限度地保障消息網(wǎng)的安全提供科學(xué)依據(jù)。

3.1.6

??? 消息網(wǎng)資產(chǎn)Asset of Messaging Network

??? 消息網(wǎng)中具有價(jià)值的資源，是安全防護(hù)保護(hù)的對(duì)象。消息網(wǎng)中的資產(chǎn)可能是以多種形式存在，無(wú)形的、有形的、硬件、軟件，包括物理布局、通信設(shè)備、物理線路、數(shù)據(jù)、軟件、文檔、規(guī)程、業(yè)務(wù)、人

員、管理等各種類型的資源，如消息網(wǎng)的消息中心設(shè)備、網(wǎng)關(guān)設(shè)備、網(wǎng)絡(luò)布局等。

3.1.7

??? 消息網(wǎng)資產(chǎn)價(jià)值Asset Value of Messaging Network

??? 消息網(wǎng)中資產(chǎn)的重要程度或敏感程度。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識(shí)別的主要內(nèi)容。

3.1.8

??? 消息網(wǎng)威脅Threat of Messaging Network

??? 可能導(dǎo)致對(duì)消息網(wǎng)產(chǎn)生危害的不希望事件潛在起因，它可能是人為的，也可能是非人為的；可能是無(wú)意失誤，也可能是惡意攻擊。常見的消息網(wǎng)絡(luò)威脅有光纜中斷、設(shè)備節(jié)點(diǎn)失效、火災(zāi)、水災(zāi)等。

3.1.9

??? 消息網(wǎng)脆弱性Vulnerability of Messaging Network

??? 脆弱性是消息網(wǎng)中存在的弱點(diǎn)、缺陷與不足，不直接對(duì)資產(chǎn)造成危害，但可能被威脅所利用從而危及資產(chǎn)的安全。

3.1.10

??? 消息網(wǎng)災(zāi)難Disaster of Messaging Network

??? 由于各種原因，造成消息網(wǎng)故障或癱瘓。使清息網(wǎng)支持的業(yè)務(wù)功能停頓或服務(wù)水平不可接受、達(dá)到特定的時(shí)間的突發(fā)性事件。

3.1.11

??? 消息網(wǎng)災(zāi)難備份Backup for Disaster Recovery of Messaging Network

??? 為了消息網(wǎng)災(zāi)難恢復(fù)而對(duì)相關(guān)網(wǎng)絡(luò)要素進(jìn)行備份的過(guò)程。

3.1.12

??? 消息網(wǎng)災(zāi)難恢復(fù)Disaster Recovery of Messaging Network

??? 為了將消息網(wǎng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到正常運(yùn)行狀態(tài)或部分正常運(yùn)行狀態(tài)、并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)，而設(shè)計(jì)的活動(dòng)和流程。

3.2縮略語(yǔ)

?下列縮略語(yǔ)適用于本標(biāo)準(zhǔn)。

? CDMA ???Code Division Multiple Access??? ??????碼分多址

? GPRS??? General Packet Radio Service??? ??通用無(wú)線分組業(yè)務(wù)

? GSM?? ??Global System of Mobile communication??? 通訊系統(tǒng)

? MTBF ???Mean Time Between Failures??? ????平均故障間隔時(shí)間

? PLMN??? Public Land Mobile Network??? ??公眾陸地移動(dòng)電話網(wǎng)

? PSTN? ??Public Switched Telephone Network?? 公用電話交換網(wǎng)

? SP?? ???Service Provider??? ???????????????????業(yè)務(wù)提供商

? TDMA??? Time Division Multiple Access??????????? 時(shí)分多址

? WAP ????Wireless Application Protocol??????? ?無(wú)線應(yīng)用協(xié)議

4消息網(wǎng)安全防護(hù)概述

4.1? 消息網(wǎng)安全防護(hù)范圍???

??? 消息網(wǎng)按照消息類型分為短消息網(wǎng)和多媒體消息網(wǎng)。短消息網(wǎng)包括900/1800MHz TDMA數(shù)字蜂窩移動(dòng)通信網(wǎng)短消息網(wǎng)、800MHz CDMA數(shù)字蜂窩移動(dòng)通信網(wǎng)短消息網(wǎng)、固定電話網(wǎng)短消息網(wǎng)。多媒體消息網(wǎng)

包括數(shù)字蜂窩移動(dòng)通信網(wǎng)多媒體消息網(wǎng)、2GHz CDMA2000數(shù)字蜂窩移動(dòng)通信網(wǎng)多媒體郵件業(yè)務(wù)消息網(wǎng)等。消息網(wǎng)所包括的業(yè)務(wù)為點(diǎn)對(duì)點(diǎn)短消息業(yè)務(wù)、點(diǎn)對(duì)點(diǎn)多媒體業(yè)務(wù)消息業(yè)務(wù)、與SP相關(guān)的點(diǎn)播訂閱業(yè)務(wù)等。

??? 消息網(wǎng)的安全防護(hù)范圍包含短消息網(wǎng)及與消息網(wǎng)相關(guān)的信息服務(wù)單位(SP)系統(tǒng)。

短消息網(wǎng)的架構(gòu)示意如圖1和圖2所示。多媒體消息網(wǎng)的架構(gòu)示意如圖3所示。

?圖1和圖2為短消息網(wǎng)的網(wǎng)絡(luò)架構(gòu)示意圖，短消息業(yè)務(wù)的完成主要涉及短消息中心和短消息網(wǎng)關(guān)設(shè)備。如果涉及不同運(yùn)營(yíng)商的點(diǎn)對(duì)點(diǎn)短消息互通時(shí)，還包括短消息互通網(wǎng)關(guān)。

?

?

圖1 移動(dòng)短消息網(wǎng)的網(wǎng)絡(luò)架構(gòu)示意

?

圖2固定短消息網(wǎng)的網(wǎng)絡(luò)架構(gòu)示意

?

??

?短消息業(yè)務(wù)是電路域的數(shù)據(jù)業(yè)務(wù)?；?span>PLMN的短消息是以信令方式在網(wǎng)絡(luò)中傳送，基于PSTN的短消息是以話路為承載方式的，話路的建立與信令網(wǎng)相關(guān)。為配合短消息業(yè)務(wù)平臺(tái)提供短消息服務(wù)，需

要各種承載網(wǎng)設(shè)備的支持，還要和現(xiàn)網(wǎng)中的計(jì)費(fèi)系統(tǒng)、網(wǎng)管系統(tǒng)等互聯(lián)。核心網(wǎng)絡(luò)的安全防護(hù)要求參見對(duì)應(yīng)的YD/T 1734-2008《移動(dòng)通信網(wǎng)安全防護(hù)要求》及YD/T1732-2008《固定通信網(wǎng)安全防護(hù)要求》。

計(jì)費(fèi)和網(wǎng)管部分的安全防護(hù)要求參見YD/T 1752-2008《支撐網(wǎng)安全防護(hù)要求》。

??? 移動(dòng)網(wǎng)內(nèi)的消息中心之間是通過(guò)信令網(wǎng)連接的。固定網(wǎng)內(nèi)的消息中心是通過(guò)兩個(gè)或兩個(gè)以上的網(wǎng)關(guān)之間的IP鏈路進(jìn)行連接的?；ネňW(wǎng)關(guān)之間是以IP鏈路連接的。消息中心到消息網(wǎng)關(guān)都是IP鏈路。

??? 圖3為多媒體消息網(wǎng)的網(wǎng)絡(luò)架構(gòu)示意圖。多媒體消息業(yè)務(wù)完成主要涉及多媒體消息中心系統(tǒng)，多媒體郵件中心系統(tǒng)。如果涉及不同運(yùn)營(yíng)商多媒體消息互通，還包括多媒體消息互通網(wǎng)關(guān)。多媒體消息中心系統(tǒng)之間通過(guò)IP鏈路連接。

??? 多媒體消息業(yè)務(wù)是一種分組數(shù)據(jù)業(yè)務(wù)，為配合多媒體消息平臺(tái)提供多媒體消息服務(wù)，需要各種承載網(wǎng)設(shè)備的支持，還要和現(xiàn)網(wǎng)中的計(jì)費(fèi)系統(tǒng)、網(wǎng)管系統(tǒng)等互聯(lián)。核心網(wǎng)絡(luò)的安全防護(hù)要求參見對(duì)應(yīng)的YD/T

1734-2008移動(dòng)通信網(wǎng)安全防護(hù)要求及YD/T1732-2008《固定通信網(wǎng)安全防護(hù)要求》。計(jì)費(fèi)和網(wǎng)管部分的安全防護(hù)要求參見YD/T1752-2008《支撐網(wǎng)安全防護(hù)要求》。

4.2消息網(wǎng)安全防護(hù)內(nèi)容

??? 根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系的要求，將消息網(wǎng)安全防護(hù)內(nèi)容分為安全風(fēng)險(xiǎn)評(píng)估、安全等級(jí)保護(hù)、災(zāi)難備份及恢復(fù)等3個(gè)部分：

?——安全等級(jí)保護(hù)

?主要包括定級(jí)對(duì)象和安全等級(jí)的確定、業(yè)務(wù)安全、網(wǎng)絡(luò)安全、設(shè)備安全、物理環(huán)境安全、管理安全等。

?——安全風(fēng)險(xiǎn)評(píng)估

?主要包括資產(chǎn)識(shí)別、脆弱性識(shí)別、威脅識(shí)別、已有安全措施的確認(rèn)、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估文件記錄等。本標(biāo)準(zhǔn)僅對(duì)消息網(wǎng)進(jìn)行資產(chǎn)分析、脆弱性分析、威脅分析，在消息網(wǎng)安全風(fēng)險(xiǎn)評(píng)估過(guò)程中確定各個(gè)

資產(chǎn)、脆弱性、威脅的具體值。資產(chǎn)、脆弱性、威脅的賦值方法及資產(chǎn)價(jià)值、風(fēng)險(xiǎn)值的計(jì)算方法參見YD/T1730-2008《電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》。

?——災(zāi)難備份及恢復(fù)

?主要包括災(zāi)難備份及恢復(fù)等級(jí)確定、冗余系統(tǒng)、冗余設(shè)備及冗余鏈路檢測(cè)、冗余路由檢測(cè)、備份數(shù)據(jù)檢測(cè)、人員和技術(shù)支持能力檢測(cè)、運(yùn)行維護(hù)管理能力檢測(cè)和災(zāi)難恢復(fù)預(yù)案等。

5 消息網(wǎng)定級(jí)對(duì)象和安全等級(jí)確定

??? 短消息網(wǎng)及多媒體消息網(wǎng)定級(jí)對(duì)象應(yīng)為以一個(gè)消息中心系統(tǒng)為最小劃分單元的網(wǎng)絡(luò)（一個(gè)消息中心的本地業(yè)務(wù)劃分區(qū)域可能是一個(gè)省/市或多個(gè)省）。

??? 消息網(wǎng)相關(guān)的信息服務(wù)單位(SP)系統(tǒng)定級(jí)對(duì)象應(yīng)以一個(gè)服務(wù)系統(tǒng)為最小劃分單元的網(wǎng)絡(luò)。?

??? 網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商應(yīng)根據(jù)YD/T 1729-2008《電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)實(shí)施指南》中確定網(wǎng)絡(luò)安全等級(jí)的方法（附錄A）對(duì)消息網(wǎng)定級(jí)，即對(duì)短消息網(wǎng)、多媒體消息網(wǎng)、消息網(wǎng)相關(guān)的信息服務(wù)單位(SP)系統(tǒng)根據(jù)社會(huì)影響力、所提供服務(wù)的重要性、規(guī)模和服務(wù)范圍分別定級(jí)，權(quán)重α、β、γ可根據(jù)具體情況進(jìn)行調(diào)節(jié)。?

6消息網(wǎng)資產(chǎn)、脆弱性、威脅分析

6.1資產(chǎn)分析

??? 消息網(wǎng)安全風(fēng)險(xiǎn)評(píng)估的資產(chǎn)至少應(yīng)包括設(shè)備硬件、設(shè)備軟件、重要數(shù)據(jù)、提供的服務(wù)、文檔、人員等，如表1所示。

表1 資產(chǎn)列表

?

6.2脆弱性分析

??? 消息網(wǎng)的脆弱性可以從技術(shù)脆弱性和管理脆弱性兩個(gè)方面考慮。脆弱性識(shí)別對(duì)象應(yīng)以資產(chǎn)為核心，

表2給出部分脆弱性識(shí)別內(nèi)容。

6.3 威脅分析

?消息網(wǎng)的根據(jù)來(lái)源可分為技術(shù)威脅、環(huán)境威脅和人為威脅。環(huán)境威脅包括自然界不可抗的威脅和其他物理威脅。根據(jù)威脅的動(dòng)機(jī)，人為威脅又可分為惡意和非惡意兩種。表3列舉出部分威脅。