中國移動5G網(wǎng)絡與業(yè)務安全基準測評規(guī)范

G全基準測評規(guī)范1.編制說明 12.參考文件 13.縮略語 14.測試對象 24.1網(wǎng)絡架構 24.2測評對象及測評工具 34.3測評環(huán)境要求 34.4測試方法 35.網(wǎng)絡安全防護能力 45.15G基礎安全功能 4...................................................................................................................5.2.2數(shù)據(jù)庫安全.....................................................................................................................5.4NFV隔離與訪問控制(SA)........................................................5.5網(wǎng)絡切片安全(SA)..................................................................5.6邊緣計算安全(SA).............................................UPF安全防護能力..............................................6.安全防御能力....................................................6.1安全檢測能力.............................................................................................7.系統(tǒng)安全基線................................................................................................8.業(yè)務安全.........................................................G.....................8.1.1增強型移動寬帶使用場景(eMBB)風險評估......................8.1.2低時延高可靠連接使用場景(uRLLC)風險評估...................8.1.3海量低功耗使用場景(mMTC)風險評估.........................8.2新技術與新業(yè)務評估.............................................9.數(shù)據(jù)安全.........................................................9.1數(shù)據(jù)采集安全...................................................9.2數(shù)據(jù)傳輸安全...................................................9.3數(shù)據(jù)存儲安全................................................... 4 4 5 6 6 7 7 8 8 8 8 9 9 9 9 10 10 10 11 11 12 12 12 13 13 13 13 14 14 14 14 15 15G全基準測評規(guī)范9.4數(shù)據(jù)處理安全 169.5數(shù)據(jù)交換安全 169.6數(shù)據(jù)銷毀安全 1710.安全應急 1710.1應急管控能力 1710.2業(yè)務應急演練 1711．容災與恢復 1811.1網(wǎng)絡容災 1811.2網(wǎng)元容災 1811.3資源池容災 1911.4大區(qū)容災 1911.5備份恢復 2012.安全可控 2012.1關鍵設備與功能安全可控 2012.1.1關鍵設備安全可控 2012.1.2關鍵功能安全可控 2112.2人員安全 2112.2.1人員管理 2112.2.2第三方人員安全 2213．安全運維 2314.安全監(jiān)管 2314.1上網(wǎng)日志留存 2314.2話單(通話)留存 2414.3不良信息管控系統(tǒng)覆蓋 2414.4安全審計 25G全基準測評規(guī)范1網(wǎng)元安全功能及配置要求請參照各專業(yè)部門安全技術規(guī)范。參考文件GPPTS3GPPSystemArchitectureEvolution(SAE);ityarchitectureGPPTSSecurityarchitectureandproceduresfor5GsystemGPPTS1SystemArchitectureforthe5GSystemGPPTSCatalogueofgeneralsecurityassurancerequirements縮略語nsibleAuthenticationPortocolFetworkFunctionFNetworkRepositoryFunctionFlowIdentityityofServiceAccessNetworkoAccessTyperequencySelectionPriorityG全基準測評規(guī)范2S1-UX2S1-UX2ontextManagementAnchorFunctionanagementFunctionandServiceContinuityberPermanentIdentifierTrackingAreaIDifiedDataManagementerEquipment測試對象業(yè)務平臺IMSS1-S1-C/S1-UCSCSEPC+eNodeBgNodeBNSAUE圖1.我公司NSA網(wǎng)絡系統(tǒng)架構圖3AUSFUDMNN8N10N12N11N7N5N2AMFSMFPCFAFN4N14AUSFUDMNN8N10N12N11N7N5N2AMFSMFPCFAFN4N14N15UE(R)ANUPFDNN3N6N1NSSFNN22N92)虛擬化環(huán)境工作正常，網(wǎng)管系統(tǒng)工作正常。業(yè)部門的技術規(guī)范。45.網(wǎng)絡安全防護能力G礎安全功能5.1.1認證LAQWLRZ1.網(wǎng)絡具備安全認證能力1.是否具有用戶接入網(wǎng)絡認證能力2.用戶接入網(wǎng)絡時是否啟用認證功能5.1.2加密LAQKKJM1.網(wǎng)絡具備信令機密性保護能力ZUC算法；NAS加密是□否□5NAS密是否使用ZUC算法是□否□AS具有加密能力AS是□否□AS加密是否使用ZUC算法是□否□7.用戶數(shù)據(jù)面是否具有加密能力8.用戶數(shù)據(jù)面是否啟用加密是□否□9.用戶數(shù)據(jù)面是否使用ZUC算法是□否□5.1.3完整性LAQXLWZX1.網(wǎng)絡具備信令完整性保護能力NAS完整性是□否□6NAS整性是否使用ZUC算法是□否□AS具有完整性保護能力AS性是□否□AS完整性是否使用ZUC算法是□否□7.用戶面數(shù)據(jù)是否具有完整性保護能力8.用戶面數(shù)據(jù)是否啟用完整性是□否□9.用戶面數(shù)據(jù)完整性保護是否使用ZUC是□否□全5.2.1操作系統(tǒng)安全TRJCZXTA全要求1.具備統(tǒng)一的操作系統(tǒng)安全配置要求2.依據(jù)要求開展安全配置要求；2.漏洞掃描；3.滲透性測試。7TRJSJKA要求1.具備統(tǒng)一的數(shù)據(jù)庫安全配置要求2.依據(jù)統(tǒng)一的要求開展數(shù)據(jù)庫安全配置；2.漏洞掃描；3.滲透性測試。2.3中間件安全RJZJJA1.具備統(tǒng)一的中間件安全配置要求2.依據(jù)統(tǒng)一的要求開展安全配置2.漏洞掃描；3.滲透性測試。求是□否□8評估實施方案進行。5.3.1安全隔離能力WLJGAQGL1.網(wǎng)絡具備統(tǒng)一的安全隔離能力要求，例如安全域劃分要求2.網(wǎng)絡依據(jù)統(tǒng)一要求實施了安全隔離和安全域劃分離要求；2.核實是否按照業(yè)務安全需求，進行安全域劃分。1.是否具有安全隔離能力是□否□2.是否進行了安全域劃分是□否□5.4.1虛擬化網(wǎng)絡隔離能力FVGLXNHWLGL虛擬化網(wǎng)絡資源具有安全隔離能力虛擬機資源；在多臺物理機上分別創(chuàng)建虛擬機；4.進行安全域劃分，并測試互通情況。1.同一物理機的不同虛擬機的虛擬化網(wǎng)2.不同物理機的大量虛擬化資源是否可是□否□95.5網(wǎng)絡切片安全(SA)5.5.1切片接入認證LQPQPJRRZ切片認證能力4.測試終端開機附著網(wǎng)絡；試終端是否成功附著切片S。1.網(wǎng)絡是否具備網(wǎng)絡切片認證能力2.網(wǎng)絡是否啟用網(wǎng)絡切片認證能力5.6邊緣計算安全(SA)YJSMECPTFH3.進行安全漏洞掃描等操作，查看平臺是否檢測到攻擊。2.是否具備入侵檢測能力YJSUPFFHUPF防篡改等安全防護能力3.UPF與核心網(wǎng)通信接口應具備安全防.安全防御能力FYAQJC1.具有安全檢測能力2.是否具備統(tǒng)一的配置要求，并按照配置要求進行配置。是□否□2.是否依據(jù)統(tǒng)一要求進行配置是□否□能力FYSBAQFH進行配置管理2.核查網(wǎng)絡安全設備的基線配置是否按要求進行。訪問控制能力FYWLFWKZ進行配置管理.系統(tǒng)安全基線備安全基線BAQWLSB1.設備是否具有統(tǒng)一的安全要求2.網(wǎng)元設備是否按照統(tǒng)一要求進行配置1.檢查網(wǎng)絡單元中基礎網(wǎng)絡設備(交換機、路由器、負載均衡2.漏洞掃描；3.滲透性測試。是□否□控RJTYAQGK管控能力是□否□是□否□全G業(yè)務安全特性評估G務以及商務模式在發(fā)展初期并不明確，初期業(yè)務安全主要關注三類場景是否考慮關鍵的安全8.1.1增強型移動寬帶使用場景(eMBB)風險評估TYYWAQTXeMBBG即傳等業(yè)務開是□否□8.1.2低時延高可靠連接使用場景(uRLLC)風險評估WAQTXuRLLC估1.查看資料等核實是否對工業(yè)控制、自動駕駛等場景業(yè)務開展安務是□否□8.1.3海量低功耗使用場景(mMTC)風險評估WAQTXEMBB是□否□8.2新技術與新業(yè)務評估WAQXJS估要求與新業(yè)務評估1.審查新技術與新業(yè)務評估報告，確認新技術與新業(yè)務安全評估是□否□安全9.1數(shù)據(jù)采集安全JAQSJCJ集安全標準流程是□否□準流程是□否□9.2數(shù)據(jù)傳輸安全JAQSJCS是□否□9.3數(shù)據(jù)存儲安全JAQSJCC是□否□9.4數(shù)據(jù)處理安全JAQSJCL析安全規(guī)范是□否□范是□否□9.5數(shù)據(jù)交換安全JAQSJJH入導出安全規(guī)范是□否□全規(guī)范是□否□9.6數(shù)據(jù)銷毀安全JAQSJXH是□否□力YJYJGK1.具備網(wǎng)絡應急管控的能力流程；2.具有特殊事件發(fā)生時采用技術手段對上網(wǎng)、通信進行管控的1.是否具有應急管控要求及流程是□否□2.是否具有應急管控的技術手段是□否□YJYJYL1.具有應急管控演練的要求及實踐定應急管控演練相關管理制度；2.核實是否按照相關管理制度進行演練。1.是否具有應急管控演練相關管理制度是□否□2.是否按照相關管理制度進行演練是□否□LJGRZ1.網(wǎng)絡結構具備容災能力2.網(wǎng)絡關鍵設備不存在單點故障問題1.核實路由器、交換機等關鍵設備是否具備單點故障后按照主2.核實防火墻是否按照主備方式進行設置。1.路由器、交換機是否具備了主備設置是□否□2.防火墻是否具備了主備設置和抵御單是□否□YJWYRZ1.關鍵網(wǎng)元具備容災的能力流程；2.了解是否具有網(wǎng)元容災的能力。1.是否具有網(wǎng)元級容災管理要求及流程是□否□2.是否具有網(wǎng)元級容災的能力是□否□YJZYCRZ1.核心網(wǎng)具備資源池容災的能力程；2.了解、分析是否具有資源池級容災的能力。1.是否具有資源池級容災管理要求及流程是□否□2.是否具有資源池級容災的能力是□否□YJDQRZ1.網(wǎng)絡具備大區(qū)容災的能力程；2.了解、分析網(wǎng)絡是否具有大區(qū)容災的能力。1.是否具有大區(qū)級容災管理要求及流程是□否□2.是否具有大區(qū)級容災的能力是□否□YJBFHF1.業(yè)務中斷后的備份與恢復能力機制；2.核查業(yè)務系統(tǒng)的備份是否按要求進行備份恢復。1.是否具備備份恢復機制是□否□2.是否按要求備份恢復工作是□否□全可控KKSBAQ1.關鍵設備(4類18款)滿足安全可控要求息；2.記錄交換機的品牌及版本信息；4.記錄存儲等設備品牌信息；1.路由器是否滿足安全可控要求是□否□2.交換機是否滿足安全可控要求是□否□PC可控要求是□否□4.安全類設備是否滿足安全可控要求是□否□5.存儲類設備是否滿足安全可控要求是□否□KKGNAQ1.部分關鍵功能安全可控能力2.評估功能是否具有切換能力。是□否□2.基站等傳輸是否主用北斗3.評估關鍵功能是否具備切換能力是□否□AQRYGL1.人員安全管理制度全管理制度；2.依據(jù)人員管理制度進行嚴格管理。1.是否具有人員安全管理制度是□否□2.是否基于要求簽署安全保密協(xié)議等是□否□FARYAQ制度；1.是否具有第三方安全管理制度是□否□2.是否與第三方人員、公司簽署的保密是□否□3.是否對第三方遠程接入、網(wǎng)元訪問等是□否□YWAQYW件分析、日志、操作稽核等任務；2.查看相關運維檢測、