移动通信网是通过无线接入技术为公众用户提供移动通信业务的网络。移动通信网的安全防护范畴包括GSM/GPRS/WCDMA/TD-SCDMA网、cdma2000 1x/HRPD网以及与这些网络运行和业务提供相关的传送网、IP承载网、信令网、同步网、支撑网等相关系统。我国通信行业标准YD/T 1734-2009《移动通信网安全防护要求》对移动通信网中的GSM/GPRS/WCDMA/TD-SCDMA网、cdma2000 1x/HRPD网提出了安全防护要求。其移动通信网的安全防护范围如下图0所示,图中相关的网络系统的安全防护应参见相应的专业网络。
图0:移动通信网的安全防护范围示意图
移动通信网的安全防护的内容,根据电信网和互联网安全防护体系的要求,将移动通信网安全防护内容分为安全风险评估、安全等级保护、灾难备份及恢复等三个部分。
欲更多了解电信网和互联网安全防护管理体系的请进入。
一、移动通信网安全定级对象和安全等级确定
由于移动通信网络的技制式类型很多,在进行安全等级确定前需要对相应网络进行顶级对象划分,具体划分情况汇总在下表1中。
表1:移动通信网安全定级对象
网络和业务运营商应根据YD/T 1729《电信网和互联网安全等级保护实施指南》中确定网络安全等级的方法(附录A),对移动通信网进行定级,即对移动通信网划分的单元、电信智能卡根据社会影响力、所提供服务的重要性、服务用户数的大小分别定级,权重α、β、γ可根据具体网络情况进行调节。
欲详细了解电信网和互联网安全等级保护实施(YD/T 1729)的请进入。
二、移动通信网资产、脆弱性、威胁分析
1、资产分析:移动通信网安全风险评估的资产至少应包括设备硬件、设备软件、重要数据、提供的服务、文档、人员等,详见下表2-1。
表2-1:资产列表
2、脆弱性分析:移动通信网的脆弱性可以从技术脆弱性和管理脆弱性两个方面考虑。脆弱性识别对象应以资产为核心。表2-2给出部分脆弱性识别内容。
表2-2:脆弱性分析表
3、威胁分析:移动通信网的威胁根据来源可分为网络设备威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其他物理威胁。根据威胁的动机,人为威胁义可分为恶意和非恶意两种。表2-3列举出部分威胁。
表2-3:威肋来源列表
三、移动通信网安全等级保护要求
依据YD/T 1729《电信网和互联网安全等级保护实施指南》的要求,移动通信网安全等级也分为5级。那么移动通信网安全等级第1级不作要求;对于第2级、第3.1级和第3.2级提出了具体要求;第4级要求同第3.2级要求;第5级要求待研究。移动通信网安全等级保护要求是从业务安全、网络安全、设备安全、物理环境安全、管理安全等5个方面提出的。其中,物理环境安全要求和管理安全要求应分别满足YD/T 1754和YD/T 1756中相应等级级别的规定要求。
四、移动通信网灾难备份及恢复要求
根据YD/T 1731《电信网和互联网灾难备份及恢复实施指南》5.1节,灾难备份及恢复定级应与安全等级保护确定的安全等级一致。移动通信网的灾难恢复应根据灾难的情况,首先保证应急通信、重要通信,然后恢复一般的通信。移动通信网对于第1级不作要求。对于第2级和第3.1级提出了具体要求,分别详见下表4-1和表4-2。第3.2级要求与第3.1级要求基本相同。第4级要求同第3.2级要求。第5级要求待研究。
表4-1:移动通信网灾难备份及恢复第2级要求
表4-2:移动通信网灾难备份及恢复第3.1级要求
欲更多了解电信网和互联网灾难备份及恢复实施指南(YD/T 1731)的请进入。
以上简要介绍了YD/T 1734的基本内容,若要详细了解该标准具体内容的请查阅下附件。
附件:YD/T 1734-2009《移动通信网安全防护要求》
欲详细了解电信网和互联网安全防护体系标准系列的请进入。
