【通信行业标准(YD)】 固定通信网安全防护检测要求

中华人民共和国通信行业标准
YD/T1733-2008
固定通信网安全防护检测要求
Security Protection Testing Requirements forFixed Communication Network
2008-01-14发布
2008-01-14实施
中华人民共和国信息产业部发布前
范围·
2规范性引用文件··
3术语、定义和缩略语·
固定通信网安全防护检测概述…·4
4.安全防护检测范用..
4.2安全防护检测对象
4.3安全防护检测内容
4.4安全防护捡测结果判定·
固定通信网安全等级保护检测要求5
第1级要求·
第2级要求·
第3.1级要求.
第3.2级要求·
第4级要求·
第5级要求
6固定通信网安全风险评估检测要求6.1
安全风险评估范围·
安全风险评估内容·
安全风险评估要素…
安全风险评估赋值原则…
安全风险评估让算方法·
安全风险评估文件类型
安全风险评估文件记录
固定通信网灾难备份及恢复检测要求·第1级要求
第2级要求
第3.1级要求…
第3.2级要求
第4级要求
第5级要求
参考文献
YD/T 1733-2008
YD/T 1733-2008
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准的结构及名称如下：1.YD/T1728-2008电信网和互联网安全防护管理指南：3电信网和互联网安金等级保护实施指南：2. YD/T 1729-2008
3．YD/T1730-2008电信网和互联网安全风险评估实施指南；8屯信网和互联网灾难备份及恢复实施指南：4. YD/T 1731-2008
5.YD/T 1732-2008
固定通信网安全防护要求，
6. YD/T 1733-2008
固定通信网安全防护检测要求；7.YD/T 1734-2008
3移动通信网安全防护要求：
8. YD/T 1735-2008
3移动通信网安全防护检测要求：9. YD/T 1736-2008
3互联网安全防护要求：
10. YD/T 1737-2008
8互联网安全防护检测要求；
11. YD/T 1738-2008
3增值业务网——消息网安全防护要求：12. YD/T 1739-2008
3增值业务网——消息网安金防护检测要求：3增值业务网—智能网安全防护要求：13. YD/T 1740-2008
:14.YD/T1741-2008
15. YD/T 1742-2008
16. YD/T 1743-2008
17. YD/T 1744-2008
18. YD/T 1745-2008
增值业务网——智能网安全防护检测要求：接入网安全防护要求：
接入网安全防护检测要求：
传送网安全防护要求
传送网安全防护检测要求：
19. YD/T 1746-2008
IP承载网安全防护要求：
20.YD/T1747-2008IP承载网安全防护检测要求：21．YD/T1748-2008信令网安全防护要求；3信令网安全防护检测要求；
22. YD/T 1749-2008
23. YD/T 1750-2008
3同步网安全防护要求；
24. YD/T 1751-2008
同步网安全防护检测要求；
支摔网安全防护要求；
25. YD/T 1752-2008
支撑网安会防护俭测要求：
26. YD/T 1753-2008
27. YD/T 1754-2008
电信网和互联网物理环境安全等级保护要求：28YD/T1755-2008电信网和五联网物理环境安全等级保扩检测要求：29.YD/T1756-2008电信网和互联网管理安全等级保护要求；30.YD/T1757-2008电信网和互联网管理安企等级保护检测要求；非核心生产单元安全防书要求：31. YD/T 1758-2008
32.YD/T1759-2008非核心生产单元安全防护检测要求。本标准与YDT1732-2008《固定通信网安念防护要求”配套使用。I
YD/T 1733-2008
随者电信网和互联网的发展，将不断补充和完普电信网和互联网安全防护体系的相关标准本标准由中国通信标准化协会提出并归口。本标准起草单位，信息产业部电信研究院、中国网络通信集团公司、中国电信集团公司、中国联合通信有限公司
本标准主要起草人：魏羧、黄颗、魏梦瑜、刘洪声、王新峰、颐晏霞拉
1范围
固定通信网安全防护检测要求
YD/T 1733-2008
本标准规定了固定通信网在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。本标准仪规定了固定通信网中交换网的安全防护检测要求。本标准适用于公众电信网中固定通信网的交换网。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标推达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用丁本标准。GB/T 5271.8-2001
YD/T 1743-2008
YD/T 1745-2008
YD/T 1747-2008
YD/T 1748-2008
YD/T 1751-2008
YD/T 1753-2008
YD/T 1755-2008
YD/T 1757-2008
3术语、定义和缩略语
3.1术语和定义
信息技术词汇第8部分：安全
接入网安全防护检测要求
传送网安全防护检测要求
P承载网安全防护检测要求
信令网安全防护检测要求
同步网安全防护检测要求
支撑网安全防护检测要求
电信网和互联网物理环境安全等级保护检测要求电信网和互联网管理安全等级保护检要求GB/T5271.8-2001确立的术语和定义，以及下列术语和定义适用于本标准。3.1.1
固定通信网安全等级SecurityClassfiaation ofFixedTelecommunicationNetwork固定通信网安全重要程度的表征。重要程度可从固定通信网受到破坏后，对国家安全，社会秩序、经济运行、公共利盗、网络和业务运营商造的损害来衡量。3.1.2
固定通信网安全等级保护 Classified Security Protection of Fixed Telecommunication Network对固定通信网分等级实施安全保护。3.1.3
组织 Organization
组织是出不同作用的个体为实施共同的业务月标而建立的结构，组织的特性在于为完成目标而分丁，台作：一个单危是一个组织，某个此务部也可以是一个组织YD1733-2008
固定通信网安全风险 Security Risk of Fixed Telecommunication Network人为或自然的威胁可能利用固定通信网中存在的跪弱性，导致安全事件的发生及其对组织造成的影啊。
固定通信网安全风险评估 Security Risk Assessment of Fixed Telecommunication Network指运用科学的方法和手段，系统地分析固定通信网所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施，防范和化解固定通信网安全风险，将风险控制在可接受的水平，为最大限度地保障固定通信网的安全提供科学依据。3.1.6
固定通情网资产AssetofFixedTelecommunicationNetwork固定通信网中具有价值的资源，是安全防护保护的对象。固定通信网中的资产可能是以多种形式存在，无形的、有形的、硬件、软件，包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务，人员、管理等各种类型的资源，如固定通信网的交换机设备、网络布局等。3.1.7
固定通倍网资产价值 Asset value of Fixed Telecommunication Network固定通信网中资产的重要程度或敏感程度。资产价值是资产的展性，也是进行资产识别的土要内容。3.1.8
固定通信网威胁ThreatofFixedTelecommunicationNetwork可能导致对固定通信网产生危害的不希望事件潜在起因，它可能是人为的，也可能是非人为的：可能是无意失误，也可能是恶意攻击。常见的固定通信网络威胁有光缆中断、设备节点失效、火灾、水灾等。
固定通信网晚弱性VulnerabilityofFixedTelecommunicationNetwork脆弱性是固定通信网中存在的弱点，缺陷与不足，不直接对资产造成危害，但可能被威胁所利用从而危及资产的安全。
固定通信网灾难 Disaster of Fixed Telecommunication Network客种原因造成的固定道信网故障或瘫痪，使固定通信网支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性声件。3.1.11
周定通信网灾难备份BackupforDisaster RecoveryofFlxed Telecomrmunication Network为了固定通信网灾难恢克而对相关网络要素进行备份的过程。3.1.12
固定通信网难恢复DlsasterRecoveryofFixedTelecommunicationNetwork为了将固定通信网从灾难造成的故障或瘫痰状态恢复到正常运行状态或部分正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。2
固定通信网相关系统SystemsofFxedTelecommunicationNetworkYD/T 1733-2008
组成固定通信网的相关系统，包括接入网、传送网、P承载网、信令网、同步网、支撑网等。其中，接入网包括各种有线、无线和卫星接入网等，传送网包括光缆、波分、SDH、卫星等，而支撑网则包括业务支撑和网管系统。
访谈Interview
检测人员通过与固定通信网有关人员（个人/群体）进行交流、讨论等活动，检查固定通信网安全等级保护、固定通信网安全风险评估和固定通信网灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的种方法。
检查Examination
检测人员通过对检测对象进行观察、查验和分析等活动，检查固定通信网安全等级保护、固定通信网安全风险评估和固定通信网灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。
测试 Testing
捡测人员通过对检测对象按照预定的方法工具使其产生特定行为的活动，查看、分析输出结果，检替固定通信网安全等级保护固定通信网安全风险评估固定通信网灾难备份及恢复相关措施的落实情说以及相关工作的开展情况的·-种方法。3.2缩略语
下列缩略语适用丁木标准。
Intcmct Protocol
Internet Protocol Security
Public Switched Telephone NetworkTransmissiun Control Protocoi固定通信网安全防护检测概无述4
4.1安全防护检测范围
网际协议
P安全
公众电话交换网
传输控制协议
固定通信网的安全防护范畴包括交换网（PSTN和软交换网络）以及与交换网运行和业务提供相关的接入网、传送网、P承载网、信令网、同步网、支撑网等相关系统。本标准仅对固定通信网中的交换网提出安全防护检要求，接入网安全防护检的真体要求参见YDT1743一2008接入网安全防护捡测费求》，传送网安全防护检测的具体要求参见YDT1745-2008传送网安全防护检测要求》，P承载网安全防护检测的具体要求参见YD/T1747-2008IP承载网安全防护检测要求》：信令网安全防护检测的具体要求参见YD/T1749-2008《信令网安全防护检测要求》，同步网安全防护检测的其体要求参见YD/T1751-2008同步网安全防护检测要求”：支撑网安全防护检测的具体要求参见YD/T1753-2008支撑网安全防护检测要求”。
YD/T1733-200B
4.2安全防护检测对象
固定通信网安全防扩检测对象是各个本地网或者本地网的端局、汇接局、关口局，省内长途网，省际长途网（含国际长途网）。安全等级保护的检测对象确定后，安全风险评估的检测对象、灾难备份及恢复的检测对象应与安全等级保护的检测对象相一效。4.3安全防护检测内容
按照固定通信网安全防护检测的需要，将固定通信网安全防护检测分为固定信网安全等级保护检测、固定通信网安全风险评估检测和固定通信网灾难备份及恢复检测三个部分。固定通信网安全防扩检测要求包括以下内容。a）固定通信网安全等级保护检测：主要包括业务安全检测、网络安全检测、设备安全检测、物理环境安全检测、管理安全检测等。b）固定通信网安全风险评估检测：主要包括安全风险评估范围检测、安全风险评估内穿检测、安全风险评估要素检测、安全风险评估赋值原则检测、安全风险评估计算方法检测、安全风险评估文件类型检测和安全风险评估文件记录检测等。C）固定通信网灾难备份及恢复检测：主要包括亢余系统、元余设备及元余链检测、允余路由检测、备份数据检测、人员和技术支持能力检测、运行维护管理能力检测和灾难恢复预案检测等。4.4安全防护检测结果判定
固定通信网安全防护检测包括对固定通信网的安全等级保护、安全风险评估、灾难备份及恢复三个部分的检测，应对三个部分的检测结果分别进行判定，并根据检测结果分别出具检测报告，检测报告中应具体说明安全防护工作的优势和不足。对每一个部分中的每一个检测项，应根据具体实施情况进行等级化评价（分5级：很好、较好、一般，较差、很差）。参照表1将各检测项的评价等级换算成评分，各检测项的分数经过一定的算法（例如加权平均）分别得到安全等级保扩、安全风险评估、灾难备份及恢复三个部分的总分数，根据总分数分别对安全等级保护、安全风险评估，灾难备份及恢复三个部分的检测结果逊行等级化评定，总分数和评定等级的关系如表2所示。在计算总分数过程中，应充分考虑到各检测项在安全防护检测要求中所占的比重，例如，表3给出了安全等级保护子类所占的比重。固定通信网安全防护检测的结果还应充分考虑到支持固定通信网运行的各相关系统的检测结果。表1检测项评分方法
评价结果
实辅很好
实施较好
实施一般
实施较差
实施很差
总分数工
表2总分数和评定等级的关系
评定等级
总分数工
1.5≤x<2.5
1≤x<1.5
比垂（%）
固定通信网安全等级保护检测要求5
5.1第1级要求
不作要求。
5.2第2级要求
5.2.1业务安全wwW.bzxz.Net
5.2.1.1业务提供安全
5.2.1.1.1检测方式
访谈，检查。
5.2.1.1.2检测对象
表2（续）
表3安全等级保护子类所占的比重评定等级
安全等级保护子类
业务安全
网络安全
设备安全
物理环境安全
管理安全
设备运行日患：用户投诉及处理记录，故障记录，入网测试报告，网络设备。5.2.1.1.3检测实施
YD/T 1733-2008
a）应访谈网络管理员：查看设备运行日志、用户投诉及处理记录，检查交换网是否发生因为过负荷或者发业务量而影响网络安全的情况：如果发生过安全事件，通过查看故障记录检查事件的处理情况。
b）应访谈网络管理员，查看交换网设备入网测试报告中的性能检测部分，检查当网络拥赛时交换网能对特定的通信予以保证的情况，例如对维护操作呼叫予以优先保证，通过查看实际的网络设备和设备运行H志，检查网络设备是否具有当网络拥窒对特定通信予以优先保证的功能。心）应访谈网络管理员，查看设备运行日志、故障记录、用户投诉及处理记录，检查后台计费系统殿坏是否影响交换网的业务提供。5.2.1.2业务数据安全
5.2.1.2.1检测方式
访谈，检查，测试。
5.2.1.2.2检测对象
网络设计验收文档，备份数据：相关数据库，作维护人员的使用手册，网络和业务运营商提供的其他文档。
YD/T 1733-2008
5.2.1.2.3检测实施
a）应访谈网络管理员：查看实探的备份数据，检查交换网对重要的业务数据进行备份（包括不同物理位置，不同存储格式，不同存储介质等）的情况，以及必要时对数据进行恢复的情况，检查数据的备份及恢复情况是否符合设计要求。b）应访谈网络管理员，对实际网络进行检查和测试，检查用于操作维护的系统密码等重要数据在数据库中是否以明文显示；捡测交换网是否能对重要数据的访问权限采用身份认证与授权的方式进行限制：检查重要数据的加密和访问权限管理的设计文档，现场检查这些功能是否符合设计要求5.2.2网络安全
5.2.2.1 PSTN 安全
5.2.2.1.1检测方式
访谈，检查。
5.2.2.1.2检测对象
网络设计/验收文档，网络拓扑图，设备运行日志，网络设备。5.2.2.1.3检测实施
a）应访谈网络管理员：并查看PSTN拓扑图，检查是否与PSTN当前运行情况相符合。b）应访谈网络管理员，查看网络设计/验收文档，现场检查PSTN的端局到同一长途局是否具备了双路由，是否与设计相符合。c）应访谈网络管理员，查看网络设计/验收文档，并现场检查PSTN中设备的关键部件（包括火处理机结构、交换矩阵、铃流源、二次电源、时钟板必须采用余设计）是否采用主备热备份的结构是否与设计相符合。
d）应访谈网络管理员，查看对设备进行配置、监控等操作的界面，检查PSTN中的设备是否均是网络和业务运营商可控和可管理的，是否能够确保合法且通过认证的交换机设备和管理终端才能够进入交换网。
e）应访谈网络管理员，检查交换机与操作维护接口是否采用了专线的方式，是否能保证数据通信的安全；对于未采用专线的情况，检查当交换机与操作维护接口采用TCP/LP传输时，是否提供必要的安全机制，例如可以对传输的数据采用IPSec等安全技术进一步处理。5.2.2.2软交换网络
5.2.2.2.1软交换网络拓扑安全
5.2,2.2.1.1检测方式
访谈，检查。
5.2.2.2.1.2检测对象
网络设计验收文档，软交换网络拓扑图，入网检测搬告，障记录，软交换网络中的设备。5.2.2.2.1.3检测实施
a）应访谈网络管理人员，查看软交换网络拓扑图，检查是否与软交换网络当前运行情况相符合。b）应访谈网络管理人员，查看网络设计/验收文档，并现场查看软交换的网络配置情况，检查网终配置是否台理，各节点和链露的位置，数氧、负荷分担分配比例的实际配置是否与设计相符命：查看故障记录，检查是否发生过因网络配置不合理而导致的网络全部或者局部摊痪事件。YD/T 1733-2008
c）应访谈网络管理员，并现场检查软交换网络与互联网问的边界关口是否采取了安全措施（例如防火墙配置，常用端口屏蔽等），安全措施是否与设计相符合。5.2.2.2.2软交换网络通信安全
5.2.2.2.2.1检测方式
访谈，检香：
5.2.2.2.2.2检测对象
络设计验收文档，投诉记录，故障记录，软交换网络中的设备。65.2.2.2.2.3检测实施
a）应访谈网络管理员，查看投诉记录，并现场检查软交换网络采取了嗯些措施对传送的管理信息进行保托，是否能够防止信息被非法或恶意地窃听、算改。b）应访谈网络管理员，询问软交换网络采取了哪些保护信令流通信安全的措施：现场检查软交换网络是否落实了这安全措施，并保证会话建立过程中信令流的通信安全，安全措施是否与设计相符合。心）应访谈网络管理员，查看网络设计验收文档，检查软交换网络采取了哪些保证媒体流传输过程中的保密性、完整性的措施，保护措施是否有效：通过查看故障记录，检查是否存在通信数据保密性、完整性缺失的情况。
5.2.2.2.3较交换网络攻击防范
5.2.2.2.3.1按测方式
访谈，检查，测试。
5.2.2.2.3.2检测对象
网络设计验收文档，用户投诉及处理记录，故障记录，软交换网络中的设备。5.2.2.2.3.3捡测实施
a）应访谈网络管理员，通过对软交换网络中的设备进行配置，检查软交换网络中的设备是否均是网络和业务运营商可控、可管理的，是否能够确保合法且通过认证的设备【软交换设备、媒体网关、信令网关，媒体服务器、应用服务器、软交换业务接入控制设备、接入网关，软变换网络管理终端等）才能够进入软交换网络，是否有不明设备接入软交换网络的情况。b）应谢谈网络管理员，并现场检查网络或设备发生故障或故障消失时是否能及时产生告警信息并发送至网元管理系统，是否与设计相符合。5,2.3设备安全
5.2.3.1.1检测方式
访谈，检查。
5.2.3.1,2检测对象
设备入网检测报告，设备入网证，设备安全检测报告。5.2.3.1.3检测实施
应访谈相关技术支持人员和管理人员，检查设备（PSTN土要包括交换机设备，软交换网络包括软交换设备、媒体网关、信令网关、媒体服务器、应用服务器、软交换业务接入控制设备、接入网关等）是否有入网检测报告、入网证。
5.2.4物理环境安全
YD/T1733-2008
应满足YD/T1755-2008电信网和互联网物理环境安全等级保护检测要求”中第2级的检测要求。5.2.5簧理安全
应满足YD/T1757-2008《电信网和互联网管理安全等级保护检测要求中第2级的检测要求，5.3第 3.1级要求
5.3.1业务安全
5.3.1.1业务提供安全
5.3.1.1.1检测方式
访谈，检查。
5.3.1.1.2检测对象
设备运行口志，用户投诉及处理记录，故障记录，入网测试报告，网络设备。5.3.1.1.3检测实施
除按照5.2.1.1的要求进行检测之外，还应按照本节内容进行检测。a）应访谈网络管理员，查看软交换设备的入网测试报告，检查软交换设备发生故障或与媒体网关连接中断时，是否影响正在通话的呼叫，查看设备运行日志、故障记录、用户投诉及处理记录，检查是否发生过软交换设备发生故障或与媒体网关连接中断而影响正在进行的通话的情况。b）应访谈网络管理员，询问交换设备提供的业务是否受系统引入其他新业务、系统补丁加载的影响：查看交换设备运行日志，用户投诉及处理记录，检查交换设备提供的业务是否存在因为系统引入其新业务、系统补丁加载而中断的情况。5.3.1.2业务数据安全
5.3.1.2.1检测方式
访谈，检查，测试。
5.3.1.2.2检测对象
网络设计验收文档，备份数据，相关数据库，操作维护人员的使用手册，网络和业务运营商提供的其他文档。
5.3.1.2.3检测实施
除按服5.2.1.2的要求进行检测之外，还应按照本节内容进行检测。a）应访谈网络管理员，查看交换设备的计费功能、计费相关数据库，检查计费信息在交换设备中的存储情况是否满足相关要求，包括存储时间、存储方式等：存储时间是否不少于24h，末被采集前是否不被删除。
b）应谈网络管理员，查看操作维护人员的使用手册，检查重要数据（如计费数据）所占存储空间达到阀值时，系统是否能产生相应的告警信息。c）应访谈网络管理员，对操作维护人员口令进行实际配宜，并以不同级别的操作维护人员登录和操作，检查对操作维护人员账户权限分级管理的情况以及对操作维护人员身份进行认证的情况：检查是否能够及时珊除临时账户：通过查看日志，检查是否能够记录操作维护人员对业务所进行的任何操作，通过实际查询操作，检查对操作维护信息进行查询的情况：查看网络设备的相关配置及操作手册，检查操作维护信息保存时间是否符合相关设计要求。5.3.2网络安全
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。