消息网的安全防护要求

消息网的安全防护同样包括安全等级保护、安全风险评估和灾难备份及恢复等相关工作内容。我国通信行业标准YD/T 1738《增值业务网--消息网安全防护要求》对移动网和固定网的短消息网及多媒体消息网的网络安全防护提出了要求。以下概要介绍安全风险评估实施指南的主要内容，若详细了解的请查阅附件。

附件：YD/T 1738-2008《增值业务网--消息网安全防护要求》

一、消息网安全防护范围

消息网按照消息类型分为短消息网和多媒体消息网。短消息网包括900/1800MHz TDMA数字蜂窝移动通信网短消息网、800MHz CDMA数字蜂窝移动通信网短消息网、固定电话网短消息网。多媒体消息网包括数字蜂窝移动通信网多媒体消息网、2GHz cdma2000数字蜂窝移动通信网多媒体邮件业务消息网等。消息网所包括的业务为点对点短消息业务、点对点多媒体消息业务、与信息服务单位SP相关的点播订阅业务等。移动网和固定网短消息网的架构示意如图1-1所示；多媒体消息网的架构示意如图1-2所示。移动网内的消息中心之间是通过信令网连接的。固定网内的消息中心是通过两个或两个以上的网关之间的IP链路进行连接的。互通网关之间是以企链路连接的。消息中心到消息网关都是IP链路。

图1-1：移动网和固定网短消息网的架构示意

图1-2：多媒体消息网的架构示意

图1-1所示短消息网的安全防护范围包括短消息网和多媒体消息网及与消息网相关的信息服务单位(SP)系统。短消息业务的完成主要涉及短消息中心和短消息网关设备，如果涉及不同运营商的点对点短消息互通时，还包括短消息互通网关。短消息业务是电路域的数据业务。基于PLMN的短消息是以信令方式在网络中传送。基于PSTN的短消息是以话路为承载方式的，话路的建立与信令网相关。为配合短消息业务平台提供短消息服务，需要各种承载网设备的支持，还要和现网中的计费系统、网管系统等互联。

图1-2所示多媒体消息业务完成主要涉及多媒体消息中心系统，多媒体邮件中心系统，如果涉及不同运营商多媒体消息互通，还包括多媒体消息互通网关。多媒体消息中心系统之间通过IP链路连接。多媒体消息业务是一种分组数据业务，为配合多媒体消息平台提供多媒体消息服务，需要各种承载网设备的支持，还要和现网中的计费系统、网管系统等互联。

对于消息网（包括短消息网和多媒体消息网），其核心网络的安全防护要求参见对应的YD/T 1734《移动通信网安全防护要求》及YD/T 1732《固定通信网安全防护要求》。计费和网管部分的安全防护要求参见YD/T 1752《支撑网安全防护要求》。

欲详细了解相关网络安全防护要求的请进入：移动通信网络；固定通信网络；支撑网络

根据电信网和互联网安全防护体系的要求，将消息网安全防护内容分为安全风险评估、安全等级保护、灾难备份及恢复等3个部分。

二、消息网的安全风险评估

主要包括资产识别、脆弱性识别、威胁识别、已有安全措施的确认、风险分析、风险评估文件记录等。该标准仅对消息网进行资产分析、脆弱性分析、威胁分析，在消息网安全风险评估过程中确定各个资产、脆弱性、威胁的具体值。资产、脆弱性、威胁的赋值方法及资产价值、风险值的计算方法参见YD/T1730《电信网和互联网安全风险评估实施指南》。

欲详细了解电信网和互联网安全风险评估实施指南的请进入。

1、资产分析：消息网安全风险评估的资产至少应包括设备硬件、设备软件、重要数据、提供的服务、文档、人员等，如表2-1所示。

表2-1：资产列表

2、脆弱性分析：消息网的脆弱性可以从技术脆弱性和管理脆弱性两个方面考虑。脆弱性识别对象应以资产为核心。表2-2给出部分脆弱性识别内容。

表2-2：脆弱性分析表

3、威肋分析：消息网的威胁根据来源可分为技术威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其他物理威胁。根据威胁的动机，人为威胁又可分为恶意和非恶意两种。表2-3列举出部分威胁。

表2-3：威胁来源列表

三、消息网的安全等级保护

主要包括定级对象和安全等级的确定、业务安全、网络安全、设备安全、物理环境安全、管理安全等。

1、消息网定级对象和安全等级确定

短消息网及多媒体消息网定级对象应为以一个消息中心系统为最小划分单元的网络（一个消息中心的本地业务划分区域可能是一个省/市或多个省）。消息网相关的信息服务单位（SP）系统定级对象应以一个服务系统为最小划分单元的网络。网络和业务运营商应根据YD/T 1729《电信网和互联网安全等级保护实施指南》中确定网络安全等级的方法（附录A）对消息网定级，即对短消息网、多媒体消息网、消息网相关的信息服务单位(SP)系统根据社会影响力、所提供服务的重要性、规模和服务范围分别定级，权重α、β、γ可根据具体情况进行调节。因此消息网的安全等级也分为五级。

欲详细了解电信网和互联网安全等级保护实施指南的请进入。

2、短消息网及多媒体消息网安全等级保护要求

消息网安全等级保护要求，对于安全等级为第1级的不作要求；第2级、第3.1级的要求分别详见下表3-2-1和表3-2-2；第3.2级和第4级的要求与第3.1级相同（即同表3-2-2）；第5级待补充。

表3-2-1：第2级的安全保护要求

表3-2-2：第3.1级的安全保护要求

3、消息网相关信息服务单位(SP)系统安全等级保护要求

对于第1级不作要求。对于第2级要求应满足YD/T1758《非核心生产单元安全防护要求》中非核心生产单元网安全等级保护要求第2级的安全要求。对于第3.1级应满足YD/T 1758《非核心生产单元安全防护要求》中非核心生产单元网安全等级保护要求第3.1级的安全要求。对于第3.2级和第4级要求同第3.1级。对于第5级的要求待补充。

欲详细了解非核心生产单元安全防护要求的请进入。

四、消息网的灾难备份及恢复

主要包括灾难备份及恢复等级确定、冗余系统、冗余设备及冗余链路检测、冗余路由检测、备份数据检测、人员和技术支持能力检铡、运行维护管理能力检测和灾难恢复预案等。

1、短消息网及多媒体消息网灾难备份及恢复要求

根据YD/T 1731《电信网和互联网灾难备份及恢复实施指南》，灾难备份及恢复定级应与安全等级保护确定的安全等级一致。对于第1级不作要求；对于安全等级为第1级的不作要求；对于第2级和第3.1级的要求分别详见下表4-1和表4-2；；对于第3.2级和第4级的要求同第3.1级（即同表4-2）；第5级待补充。

表4-1：第2级的灾难备份及恢复要求

表4-2：第3.1级的灾难备份及恢复要求

2、消息网相关信息服务单位(SP)系统灾难备份及恢复要求

根据YD/T 1731《电信网和互联网灾难备份及恢复实施指南》，灾难备份及恢复定级应与安全等级保护确定的安全等级一致。对于第1级不作要求。对于第2级应满足YD/T 1758《非核心生产单元安全防护要求》中非核心生产单元灾难备份及恢复要求第2级的安全要求。对于第3.1级应满足YD/T 1758《非核心生产单元安全防护要求》中非核心生产单元灾难备份及恢复要求第3.1级的安全要求。对于第3.2级同第3.1级要求。对于第4级同第3.2级要求。对于第5级的要求待补充。

欲进一步了解电信网和互联网安全防护要求相关内容的请进入：电信网和互联网安全防护体系；电信网和互联网安全防护体系的标准系列