YD T 1741-2008 增值业务网.智能网安全防护检测要求.pdf
《YD T 1741-2008 增值业务网.智能网安全防护检测要求.pdf》由会员分享,可在线阅读,更多相关《YD T 1741-2008 增值业务网.智能网安全防护检测要求.pdf(19页珍藏版)》请在麦多课文档分享上搜索。
1、中华人民 共禾口Y口国通信行业标准YDT 1741-2008增值业务网智能网安全防护检测要求Security Protection Testing Requirements forValue Added Service Network(Intelligent Network)2008-01-14发布 2008-01-14实施中华人民共和国信息产业部发布目 次Yn厂广1741-2008前言II1范围l2引用标准l3术语和定义14缩略语35智能网安全防护检测概述351智能网安全防护检测范围352安全防护检测对象353智能网安全防护检测内容354智能网安全防护检测结果判定36智能网安全等级保护检测要
2、求461第1级462第2级463第31级564第32级665第4级766第5级77智能网安全风险评估检测要求771智能网安全风险评估范围772智能网安全风险评估内容773智能网安全风险评估要素774智能网安全风险评估赋值原则875智能网安全风险评估计算方法976智能网安全风险评估文件类型977智能网安全风险评估文件记录108智能网灾难备份及恢复检测要求1081第l级108,2第2级108,3第31级1284第32级1385第4级1586第5级15月lJ 昂YD厂r 1741-2008本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准的结构及名称如下1YDtI17282008电信网和
3、互联网安全防护管理指南;2YDT 17292008电信网和互联网安全等级保护实旅指南;3yDrr 17302008电信网和互联网安全风险评估实施指南;4YDT 1731-2008电信网和互联网灾难备份及恢复实施指南;5YDr 17322008同定通信网安全防护要求6YD厂r 17332008固定通信网安全防护检测要求;7YDT 17342008移动通信网安全防护要求;8YDT 17352008移动通信网安全防护检测要求:9yD,rl1736-2008互联网安全防护要求:10YDT 17372008互联网安全防护检测要求;11YDT 17382008增值业务网消息网安全防护要求;12YDFf 1
4、7392008增值业务网消息网安全防护检测要求;13YDFf 17402008增值业务网智能网安全防护要求;14YDT 17412008增值业务网智能网安全防护检测要求;15YD厂r 17422008接入网安全防护要求;16YDFIt7432008接入网安全防护检测要求;17YD,r 17442008传送网安全防护要求;18YD仃17452008传送网安全防护检测要求;19YD,r 17462008 IP承载网安全防护要求;20YD,r 17472008 IP承载网安全防护检测要求;21YDT 17482008信令网安全防护要求;22YDT 17492008信令网安全防护检测要求;23YDT
5、17502008同步网安全防护要求;24YDT 17512008同步网安全防护检测要求;25YDT 17522008支撑网安全防护要求;26YD仃17532008支撑网安全防护检测要求:27YDT 1754-2008电信网和互联网物理环境安全等级保护要求;28YDT 17552008电信网和互联网物理环境安全等级保护检测要求;29YDT 1756-2008电信网和互联网管理安全等级保护要求;30YDT 17572008电信网和互联网管理安全等级保护检测要求;31YDFr 17582008非核心生产单元安全防护要求;32YDfI17592008非核心生产单元安全防护检测要求。本标准与YDT 17
6、402008增值业务网智FInN安全防护要求配套使用。IlYD,1_1741-2008随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院、中国电信集团公司、中国移动通信集团公司、中国网络通信集团公司、中国联合通信有限公司本标准主要起草人:张大坤、张园、李友国、王宇、严斌峰、赖力为增值业务网智能网安全防护检测要求YD厂r 1741-20081 范围本标准规定了增值业务网智能网在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。本标准适用于公众电信网中的智能网。2引用标准下列文
7、件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准文件。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YDfT 17542008 电信网和互联网物理环境安全等级保护检测要求YDT 1756-2008 电信网和互联网管理安全等级保护检测要求3术语和定义GBT527182001确立的术语和定义以及下列术语和定义适用于本标准。31智能网安全等级Security Classification of Transporl Network智能网安全重要程度的表
8、征。重要程度可从智能网受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。32智能网安全等级保护Classified Security Protection of Intelligent Network对智能网分等级实施安全保护。33组织Organization组织是由不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作:一个单位是一个组织,某个业务部门也可以是一个组织。34智能网安全风险Security Risk of Intelligent Network人为或自然的威胁可能利用智能网中存在的脆弱性导致安全事件的发生及其对
9、组织造成的影响。35智能网安全风险评估Security Risk Assessment of Intelligent Network指运用科学的方法和手段,系统地分析智能网所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,进一步提出有针对性的抵御威胁的防护对策和安全措施,防范和化解智能网安全风险,将风险控制在可接受的水平,为最大限度地保障智能网的安全提供科学依据。Y1厂r 1741-200836智能网资产Asset of Intelligent Network智能网中有价值的资源,是安全防护保护的对象。智能网中的资产可能是以多种形式存在,无形的、有形的、硬件、软件,包括物理
10、布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源。如基于某个智能网系统的预付费业务、scP设备、智能网机房管理规定等。37智能网资产价值Asset Value of Intelligent Network智能网中资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。38智能网威胁Threat of Intelligent Network可能导致对智能网产生危害的不希望事件的潜在起因,它可能是人为的,也可能是非人为的:可能是无意失误,也可能是恶意攻击。如常见的设备节点失效、火灾、水灾等。39智能网脆弱性Vulnerability of In
11、telligent Network脆弱性是智能网中存在的弱点、缺陷与不足,不直接对资产造成危害,但可能被威胁所利用从而危及资产的安全。310智能网灾难Disaster of Intelligent Network由于各种原因,造成智能网故障或瘫痪,使智能网支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。311智能网灾难备份Backup for Disaster Recovery of Intelligent Network为了智能网灾难恢复而对相关网络要素进行备份的过程。312智能网灾难恢复Disaster Recovery of Intelligent Network为了将
12、智能网从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。314访谈Interview检测人员通过与有关人员(个人群体)进行交流、讨论等活动,获取证据以检查智能网安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。315检查Examination检测人员通过对检测对象进行观察、查验和分析等活动,获取证据以检查智能网安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。316测试Testing2YDT 1741-2008检测人员通
13、过对检测对象按照预定的方法I具使其产生特定行为的活动,查看、分析输出结果,获取证据以检查智能网安全等级保护、安全风险评估、灾难备份及恢复相关措施的落实情况以及相关工作开展情况的一种方法。4缩略语下列缩略语适用于本标准。P InteUigent Peripheral 智能外设SCP Service Control Point 业务控制点SDP Service Data Point 业务数据点SMP Service Management Point 业务管理点SSP Service Switch Point 业务交换点VC Voucher Center 充值中心5 智能网安全防护检测概述51智能网
14、安全防护检测范围本标准的安全防护捡测范围是智能网。根据YDT 1740-2008增值业务网智能网安全防护要求,本标准主要对智能网的安全等级保护、安全风险评估、灾难备份及恢复等工作的实施进行检测。智能网安全等级保护的检测范围确定以后,风险评估的检测范围、灾难备份及恢复的检测范围应与安全等级保护的检测范围相一致。5-2安全防护检测对象智能网安全防护检测对象是本地智能网、全省智能网和全国智能网。53智能网安全防护检测内容按照智能网安全防护检测的需要,将智能网安全防护检测分为智能网安全等级保护、智能网安全风险评估和智能网灾难备份及恢复等三个部分。智能网安全防护检测要求包括以下一些内容:智能网安全等级保
15、护检测主要包括业务安全检测、网络安全检测、设备安全检测、物理安全检测、管理安全检测等;智能网安全风险评估检测主要包括风险评估范围、风险评估内容检测、风险评估要素检测、风险评估赋值原则检测、风险评估计算方法检测、风险评估文件类型检测和风险评估文件记录检测等;智能网灾难备份及恢复检测主要包括冗余系统、冗余设备及冗余链路检测、冗余路由检测、备份数据检测、人员和技术支持能力检测、运行维护管理能力检测和灾难恢复预案检测等。54智能网安全防护检测结果判定智能网安全防护检测包括对智能网的安全等级保护、安全风险评估、灾难备份及恢复三个部分的检测,应对三个部分的检测结果分别进行判定,并根据检测结果分别出具检测报
16、告,检测报告中应具体说明安全防护工作的优势和不足。3YDT 1 741-2008对每部分中的每一个评测项,应根据具体实施情况进行等级化评价(分5级:很好、较好、一般、较差、很差)。参照表1将各评测项得的评价等级换算成评分,各评测项的分数经过一定的算法(例如加权平均)分别得到安全等级保护、安全风险评估、灾难备份及恢复三个部分的总分数,根据总分数分别对三个部分的评测结果进行等级化评定,总分数和评定等级的关系见表2。在计算总分数过程中,应充分考虑到各评测项在安全防护检测要求中所占的比重,例如,表3给出了安全等级保护予类所占的比重。表1 评测项评分方法评价结果 评分实旆很好 5实施较好 4实施一般 3
17、实旆较差 2实施很差 1表2总分数和评定等级的关系总分数z 评定等级J45 很好35z45 较好25z35 一般15x25 较差z15 很差表3安全等级保护子类所占的比重比重 安全等级保护子类25 业务安全25 网络安全10 设备安全10 物理环境安全30 管理安全6 智能网安全等级保护检测要求61第1级不做要求。62第2级621 智能网业务安全621_1检测方式访谈,检查,测试。6212检测对象网络设计,验收文档,历史记录。6213检测实施a)应访谈智能网管理员,并查看智能网设计,验收文档,历史记录,了解目前智能网的业务提供安全情况;4YD厂r 1741_2008b)应访谈网络管理员,查看网
18、络设计验收文档、历史记录,并抽查操作员密码,检查$CP、SMP等设备的系统及操作员密码是否进行加密处理;c)应访谈网络管理员,查看网络设计,验收文档、用户投诉记录等,并进行测试,检查计费信息是否正确、不丢失、不重复,检查计费信息是否能被修改,检查原始话单是否能被增加。622智能网网络安全6221 检测方式访谈,检查。6222检测对象网络设计l验收文档,网络拓扑结构。6223检测实施a)应访谈智能网管理人员,并查看网络设计,验收文档,了解目前智能网的实际部署情况;b)应访谈智能网管理人员,并查看网络设计,验收文档,检查智能网网络中(如SCP和SMP、SMP与账务系统之间)是否采用专网。623智能
19、网设备安全6231检测方式访谈,检查。623:2检测对象设备入网检测报告,设备入网证。6233检测实施应访谈相关技术支持人员和管理人员,检查设备是否有入网检测报告、设备入网证、安全检测报告等。624智能网物理环境安全应满足YDT 17542008电信网和互联网物理环境安全等级保护检测要求中第2级的安全要求。6:25智能网管理安全应满足YDT 17562008电信网和互联网管理安全等级保护检测要求中第2级的安全要求。63第31级631智能网业务安全6311检测方式访谈,检查,测试。6312检测对象网络设计,验收文档,历史记录。6313检测实施除按照第2级的要求进行检测之外,还应按照以下内容进行检
20、测:a)应访谈网络管理员,查看网络设计,验收文档,历史记录,并进行测试,检查智能网对涉及到用户卡号密码等敏感信息如何传输,并判断传输方式是否有效;b)应访谈网络管理员,查看网络设计,验收文档,历史记录,检查智能网卡号信息如何生成、传输和管理,并判断以上方式是否满足保密要求。5YD,丁1741-2008632智能网网络安全6321检测方式访谈,检查。632-2检测对象网络设计验收文档,网络拓扑结构。6323检测实施除按照第2级的要求进行检测之外,还应按照以下内容进行检测:a)应访谈智能网管理人员,并查看网络设计,验收文档,了解目前智能网的实际部署情况;b)应访谈智能网管理人员,并查看网络设计,验
21、收文档,并到现场检查,检查智能网的网络配置(如节点和链路的处理能力或负荷等)是否合理。633智能网物理环境安全应满足YD,r 1754-2008电信网和互联网物理环境安全等级保护检测要求中第31级的安全要求。634智能网管理安全应满足YDfT 1756-2008电信网和互联网管理安全等级保护检测要求中第31级的安全要求。64第32级641智能网业务安全6411检测方式访谈,检查,测试。6412检测对象网络设计,验收文档,历史记录。6413检测实施除按照第31级的要求进行检测之外,还应按照以下内容进行检测。a)应访谈网络管理员,并查看网络设计,验收文档、历史升级方案及记录,检查设备是否能够保证在
22、运行的智能网系统上引入新业务、升级业务或者升级系统时不会引起智能网所提供业务的中断或系统瘫痪;b)应访谈智能网管理员,并查看智能网设计,验收文档、历史记录,检查重要业务数据及计费数据是否进行备份(包括不同物理位置、不同存储格式、不同存储介质等)。642智能网网络安全6421检测方式访谈,检查。6422检测对象网络设计,验收文档,网络拓扑结构。6423检测实施除按照第3I级的要求进行检测之外,还应按照以下内容进行检测。a)应访谈智能网管理人员,并查看网络设计,验收文档,并到现场检查,检查网络拓扑设计是否合理,是否充分考虑连接的冗余设置,是否存在因单点故障而影响其他节点间数据传送的节点;6YDT
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
5000 积分 0人已下载
下载 | 加入VIP,交流精品资源 |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- YD 1741 2008 增值 业务 智能 安全 防护 检测 要求
