表3威胁来源列表

 

7短消息网及多媒体；消息网安全等级保护要求

7.1第1级要求

    不作要求。

7.2第2级要求

7.2.1  业务安全要求

    a)所提供的业务应尽可能不因系统引入其他新业务、业务升级或者系统升级而中断；

    b)应当具备对相关SP业务的业务要求，在SP接入前进行相应的业务验证；

    c)在办理SP接入服务业务之前，应对SP资格进行审查（例如：无短信息服务业务经营许可证单位擅自通过网站及接入合作方式为用户提供短信）。

7.2.2网络安全要求

    a)网络拓扑设计中，应当充分考虑传输链路（IP链路）连接的冗余设置，故障时应能快速恢复；

    b)应有安全的管理，包括网内设备认证和鉴权机制管理、设备的登录有账号和密码管理、计费管理等；

    c)网内设备之间连接时、网内设备与网外设备之间连接时，应支持相互安全认证功能；

    d)在网络与互联网边界处应采取防火墙等安全措施。

7.2.3设备安全要求

    短消息网主要包括短消息中心设备、短消息网关设备、短消息互通网关设备。多媒体消息网设备包括多媒体消息中心设备，多媒体邮件中心设备、多媒体消息互联网关设备。以上提到的主要设备的安全应满足设备入网管理规定，

    短消息网主要设备应满足：

    a) 900/1800MHzTDMA数字蜂窝移动通信网短消息中心设备的安全，应满足YD/T 1039.1-2005中的安全相关要求；

    b) 800MHz CDMA数字蜂窝移动通信网短消息中心设备的安全，应满足YD/T 1221.1-2002中的安全相关要求；

    c)固定网短消息中心的安全，应满足YD/T 1248.3-2004中的安全相关要求；

    d)点对点短消息网间互通设备的安全，应满足YD/T 1364--2005中的安全相关要求。

    多媒体消息网主要设备应满足：

    a)数字蜂窝移动通信网多媒体消息中心设备的安全，应满足YD/T 1499-2006中的安全相关要求；

    b) 2GHz CDMA2000数宇蜂窝移动通信网多媒体邮件中心设备的安全，应满足YD/T 1598-2007中的安全相关要求；

    c)固定网多媒体消息中心的安全，应满足YD/T 1533.1--2006中安全相关要求。

7.2.4物理环境安全要求

    应满足YD/T 1754—2008《电信网和互联网物理环境安全等级保护》要求中第2级的安全要求。

7.2.5管理安全要求

 应满足YD/T 1756-2008《电信网和互联网管理安全等级保护要求》中第2级的安全要求。

7.3第3.1级要求

7.3.1  业务安全要求

    除满足7.2.1的要求之外，还应满足：

    a)对SP应当提供统一的接入入口；

    b)应有对SP服务的监督管理机制；

及时对违规的SP行为进行制止；

  c)对SP应有业务过滤机制（例如：

7.3.2网络安全要求

    除满足7.2.2的要求之外，还应满足：

    a)设备之间的连接认证应采用带有加密算法的认证方式；

    b)网络应有对恶意消息群发的监视和防范措施，包括点对点及点对SP的消息；

    c)网络内部核心设备包括消息中心及各种网关应当采取适当的防病毒和攻击措施，例如：防火墙等；

    d)网络结构应能够避免不明设备接入，例如：采用专同或者虚拟专网方式；

    e)系统重要数据（如计费数据）应有可靠的备份功能；

    f)应有对业务数据和重要数据的访问进行权限限制；

    g)在SP等业务提供设备连接时，网络应有对SP设备接入的安全措施（包括技术和管理），如应有对SP设备的接入认证等。

7.3.3设备安全要求

    同7.2.3的要求。

7.3.4物理环境安全要求

    应满足YD/T 1754--2008《电信网和互联网物理环境安全等级保护要求》中第3.1级的安全要求。

7.3.5管理安全要求

    应满足YD/T 1756--2008《电信网和互联网管理安全等级保护要求》中第3.1级的安全要求。

7.4第3.2级要求

    同第3.1级要求。

7.5第4级要求

    同第3.2级要求。

7.6第5级要求

    待补充。

8消息网相关信息服务单位(SP)系统安全等级保护要求

8.1第1级要求

不作要求。

8.2第2级要求

    应满足YD/Tl758-2008《非核心生产单元安全防护要求》中非核心生产单元网安全等级保护要求第2级的安全要求。

8.3第3.1级要求

    应满足YD/T l758-2008《非核心生产单元安全防护要求》中非核心生产单元网安全等级保护要求第3.1级的安全要求。

8.4第3.2级要求

    同第3.1级要求。

8.5第4级要求

    同第3.2级要求。

8.6第5级要求

    待补充。

9短消息网及多媒体消息网灾难备份及恢复要求

9.1  灾难备份及恢复等级

    根据YD/T1731-2008《电信网和互联网灾难备份及恢复实施指南》，灾难备份及恢复定级应与安全等级保护确定的安全等级一致。

9.2第1级要求

    不作要求。

9.3第2级要求

9.3.1  冗余系统、冗余设备及冗余链路要求

    a)网络单节点的灾难不应导致其他节点的业务提供发生异常；单一地区范围的灾难不应导致其他

地区的业务提供发生异常；

    b)网络灾难恢复的恢复时间应满足行业管理、网络和业务运营商应急预案的相关要求。

9.3.2冗余路由要求

    应有网络路由设计的冗余性。

9.3.3备份数据要求

    a)关键数据（如计费数据、用户数据、网络配置数据、管理员操作维护记录）应有本地数据备份；

    b)关键数据的备份范围和时间间隔、采取的备份方式、数据恢复能力应符合相关要求。

9.3.4人员和技术支持能力要求

    应有负责灾难备份及恢复的管理人员。

9.3.5运行维护管理能力要求

    a)应有针对灾难备份及恢复的机房运行管理制度；

    b)应有针对灾难备份及恢复的介质存取、验证和转储的管理制度，应确保备份数据的授权访问。

9.3.6灾难恢复预案要求

    应有完整的灾难恢复预案。

9.4第3.1级要求

9.4.1  冗余系统、冗余设备及冗余链路要求

    除满足9.3.1的要求之外。还应满足：

    系统的容量和处理能力应能有一定的冗余，以便处理因灾难发生后的业务流量的变化。

9.4.2冗余路由要求

    同9.3.2的要求。

9.4.3备份数据要求

    同9.3.3的要求。

9.4.4人员和技术支持能力要求

    除满足9.3.4的要求之外，还应满足：

    a)应有负责灾难备份及恢复的技术人员；

    b)应对负责灾难备份及恢复的人员定期进行关于灾难备份及恢复的技术培训。

9.4.5运行维护管理能力要求

    除满足9.3.5的要求之外，还应满足：

    a)应对灾难备份及恢复相关数据进行定期的有效性验证；

    b)应有针对灾难备份及恢复的设备和网络运行管理制度；

    c)应有针对灾难备份及恢复的数据容灾备份管理制度；

    d)应具有与外部组织保持良好的联络和协作的能力。

9.4.6灾难恢复预案要求

    除满足9.3.6的要求之外，还应满足：

    a)应有灾难恢复预案的教育和培训，相关人员应了解灾难恢复预案并具有对灾难恢复预案进行实际操作的能力：

    b)应有灾难恢复预案的演练，

9.5第3.2级要求

    同第3.1级要求。

9.6第4级要求

    同第3.2级要求。

9.7第5级要求

 待补充。

10消息网相关信息服务单位(SP)系统灾难备份及恢复要求

10.1灾难备份及恢复等级

    根据YD/T 1731-2008《电信网和互联网灾难备份及恢复实施指南》，灾难备份及恢复定级应与安全等级保护确定的安全等级的安全等级一致。

10.2第1级要求

不作要求。

10.3第2级要求。

    应满足YD/T 1758-2008《非核心生产单元安全防护要求》中非核心生产单元灾难备份及恢复要求第2级的安全要求。

    10.4 第3.1级要求

    应满足YD/T 1758-2008《非核心生产单元安全防护要求》中非核心生产单元灾难备份及恢复要求第3.1级的安全要求。

10.5 第3.2级要求

    同第3.1级要求。

10.6第4级要求

    周第3.2级要求。

10.7第5级要求

 待补充。