中國(guó)移動(dòng)5G網(wǎng)絡(luò)與業(yè)務(wù)安全基準(zhǔn)測(cè)評(píng)規(guī)范

G全基準(zhǔn)測(cè)評(píng)規(guī)范1.編制說(shuō)明 12.參考文件 13.縮略語(yǔ) 14.測(cè)試對(duì)象 24.1網(wǎng)絡(luò)架構(gòu) 24.2測(cè)評(píng)對(duì)象及測(cè)評(píng)工具 34.3測(cè)評(píng)環(huán)境要求 34.4測(cè)試方法 35.網(wǎng)絡(luò)安全防護(hù)能力 45.15G基礎(chǔ)安全功能 4...................................................................................................................5.2.2數(shù)據(jù)庫(kù)安全.....................................................................................................................5.4NFV隔離與訪問(wèn)控制(SA)........................................................5.5網(wǎng)絡(luò)切片安全(SA)..................................................................5.6邊緣計(jì)算安全(SA).............................................UPF安全防護(hù)能力..............................................6.安全防御能力....................................................6.1安全檢測(cè)能力.............................................................................................7.系統(tǒng)安全基線................................................................................................8.業(yè)務(wù)安全.........................................................G.....................8.1.1增強(qiáng)型移動(dòng)寬帶使用場(chǎng)景(eMBB)風(fēng)險(xiǎn)評(píng)估......................8.1.2低時(shí)延高可靠連接使用場(chǎng)景(uRLLC)風(fēng)險(xiǎn)評(píng)估...................8.1.3海量低功耗使用場(chǎng)景(mMTC)風(fēng)險(xiǎn)評(píng)估.........................8.2新技術(shù)與新業(yè)務(wù)評(píng)估.............................................9.數(shù)據(jù)安全.........................................................9.1數(shù)據(jù)采集安全...................................................9.2數(shù)據(jù)傳輸安全...................................................9.3數(shù)據(jù)存儲(chǔ)安全................................................... 4 4 5 6 6 7 7 8 8 8 8 9 9 9 9 10 10 10 11 11 12 12 12 13 13 13 13 14 14 14 14 15 15G全基準(zhǔn)測(cè)評(píng)規(guī)范9.4數(shù)據(jù)處理安全 169.5數(shù)據(jù)交換安全 169.6數(shù)據(jù)銷毀安全 1710.安全應(yīng)急 1710.1應(yīng)急管控能力 1710.2業(yè)務(wù)應(yīng)急演練 1711．容災(zāi)與恢復(fù) 1811.1網(wǎng)絡(luò)容災(zāi) 1811.2網(wǎng)元容災(zāi) 1811.3資源池容災(zāi) 1911.4大區(qū)容災(zāi) 1911.5備份恢復(fù) 2012.安全可控 2012.1關(guān)鍵設(shè)備與功能安全可控 2012.1.1關(guān)鍵設(shè)備安全可控 2012.1.2關(guān)鍵功能安全可控 2112.2人員安全 2112.2.1人員管理 2112.2.2第三方人員安全 2213．安全運(yùn)維 2314.安全監(jiān)管 2314.1上網(wǎng)日志留存 2314.2話單(通話)留存 2414.3不良信息管控系統(tǒng)覆蓋 2414.4安全審計(jì) 25G全基準(zhǔn)測(cè)評(píng)規(guī)范1網(wǎng)元安全功能及配置要求請(qǐng)參照各專業(yè)部門安全技術(shù)規(guī)范。參考文件GPPTS3GPPSystemArchitectureEvolution(SAE);ityarchitectureGPPTSSecurityarchitectureandproceduresfor5GsystemGPPTS1SystemArchitectureforthe5GSystemGPPTSCatalogueofgeneralsecurityassurancerequirements縮略語(yǔ)nsibleAuthenticationPortocolFetworkFunctionFNetworkRepositoryFunctionFlowIdentityityofServiceAccessNetworkoAccessTyperequencySelectionPriorityG全基準(zhǔn)測(cè)評(píng)規(guī)范2S1-UX2S1-UX2ontextManagementAnchorFunctionanagementFunctionandServiceContinuityberPermanentIdentifierTrackingAreaIDifiedDataManagementerEquipment測(cè)試對(duì)象業(yè)務(wù)平臺(tái)IMSS1-S1-C/S1-UCSCSEPC+eNodeBgNodeBNSAUE圖1.我公司NSA網(wǎng)絡(luò)系統(tǒng)架構(gòu)圖3AUSFUDMNN8N10N12N11N7N5N2AMFSMFPCFAFN4N14AUSFUDMNN8N10N12N11N7N5N2AMFSMFPCFAFN4N14N15UE(R)ANUPFDNN3N6N1NSSFNN22N92)虛擬化環(huán)境工作正常，網(wǎng)管系統(tǒng)工作正常。業(yè)部門的技術(shù)規(guī)范。45.網(wǎng)絡(luò)安全防護(hù)能力G礎(chǔ)安全功能5.1.1認(rèn)證LAQWLRZ1.網(wǎng)絡(luò)具備安全認(rèn)證能力1.是否具有用戶接入網(wǎng)絡(luò)認(rèn)證能力2.用戶接入網(wǎng)絡(luò)時(shí)是否啟用認(rèn)證功能5.1.2加密LAQKKJM1.網(wǎng)絡(luò)具備信令機(jī)密性保護(hù)能力ZUC算法；NAS加密是□否□5NAS密是否使用ZUC算法是□否□AS具有加密能力AS是□否□AS加密是否使用ZUC算法是□否□7.用戶數(shù)據(jù)面是否具有加密能力8.用戶數(shù)據(jù)面是否啟用加密是□否□9.用戶數(shù)據(jù)面是否使用ZUC算法是□否□5.1.3完整性LAQXLWZX1.網(wǎng)絡(luò)具備信令完整性保護(hù)能力NAS完整性是□否□6NAS整性是否使用ZUC算法是□否□AS具有完整性保護(hù)能力AS性是□否□AS完整性是否使用ZUC算法是□否□7.用戶面數(shù)據(jù)是否具有完整性保護(hù)能力8.用戶面數(shù)據(jù)是否啟用完整性是□否□9.用戶面數(shù)據(jù)完整性保護(hù)是否使用ZUC是□否□全5.2.1操作系統(tǒng)安全TRJCZXTA全要求1.具備統(tǒng)一的操作系統(tǒng)安全配置要求2.依據(jù)要求開展安全配置要求；2.漏洞掃描；3.滲透性測(cè)試。7TRJSJKA要求1.具備統(tǒng)一的數(shù)據(jù)庫(kù)安全配置要求2.依據(jù)統(tǒng)一的要求開展數(shù)據(jù)庫(kù)安全配置；2.漏洞掃描；3.滲透性測(cè)試。2.3中間件安全RJZJJA1.具備統(tǒng)一的中間件安全配置要求2.依據(jù)統(tǒng)一的要求開展安全配置2.漏洞掃描；3.滲透性測(cè)試。求是□否□8評(píng)估實(shí)施方案進(jìn)行。5.3.1安全隔離能力WLJGAQGL1.網(wǎng)絡(luò)具備統(tǒng)一的安全隔離能力要求，例如安全域劃分要求2.網(wǎng)絡(luò)依據(jù)統(tǒng)一要求實(shí)施了安全隔離和安全域劃分離要求；2.核實(shí)是否按照業(yè)務(wù)安全需求，進(jìn)行安全域劃分。1.是否具有安全隔離能力是□否□2.是否進(jìn)行了安全域劃分是□否□5.4.1虛擬化網(wǎng)絡(luò)隔離能力FVGLXNHWLGL虛擬化網(wǎng)絡(luò)資源具有安全隔離能力虛擬機(jī)資源；在多臺(tái)物理機(jī)上分別創(chuàng)建虛擬機(jī)；4.進(jìn)行安全域劃分，并測(cè)試互通情況。1.同一物理機(jī)的不同虛擬機(jī)的虛擬化網(wǎng)2.不同物理機(jī)的大量虛擬化資源是否可是□否□95.5網(wǎng)絡(luò)切片安全(SA)5.5.1切片接入認(rèn)證LQPQPJRRZ切片認(rèn)證能力4.測(cè)試終端開機(jī)附著網(wǎng)絡(luò)；試終端是否成功附著切片S。1.網(wǎng)絡(luò)是否具備網(wǎng)絡(luò)切片認(rèn)證能力2.網(wǎng)絡(luò)是否啟用網(wǎng)絡(luò)切片認(rèn)證能力5.6邊緣計(jì)算安全(SA)YJSMECPTFH3.進(jìn)行安全漏洞掃描等操作，查看平臺(tái)是否檢測(cè)到攻擊。2.是否具備入侵檢測(cè)能力YJSUPFFHUPF防篡改等安全防護(hù)能力3.UPF與核心網(wǎng)通信接口應(yīng)具備安全防.安全防御能力FYAQJC1.具有安全檢測(cè)能力2.是否具備統(tǒng)一的配置要求，并按照配置要求進(jìn)行配置。是□否□2.是否依據(jù)統(tǒng)一要求進(jìn)行配置是□否□能力FYSBAQFH進(jìn)行配置管理2.核查網(wǎng)絡(luò)安全設(shè)備的基線配置是否按要求進(jìn)行。訪問(wèn)控制能力FYWLFWKZ進(jìn)行配置管理.系統(tǒng)安全基線備安全基線BAQWLSB1.設(shè)備是否具有統(tǒng)一的安全要求2.網(wǎng)元設(shè)備是否按照統(tǒng)一要求進(jìn)行配置1.檢查網(wǎng)絡(luò)單元中基礎(chǔ)網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器、負(fù)載均衡2.漏洞掃描；3.滲透性測(cè)試。是□否□控RJTYAQGK管控能力是□否□是□否□全G業(yè)務(wù)安全特性評(píng)估G務(wù)以及商務(wù)模式在發(fā)展初期并不明確，初期業(yè)務(wù)安全主要關(guān)注三類場(chǎng)景是否考慮關(guān)鍵的安全8.1.1增強(qiáng)型移動(dòng)寬帶使用場(chǎng)景(eMBB)風(fēng)險(xiǎn)評(píng)估TYYWAQTXeMBBG即傳等業(yè)務(wù)開是□否□8.1.2低時(shí)延高可靠連接使用場(chǎng)景(uRLLC)風(fēng)險(xiǎn)評(píng)估WAQTXuRLLC估1.查看資料等核實(shí)是否對(duì)工業(yè)控制、自動(dòng)駕駛等場(chǎng)景業(yè)務(wù)開展安務(wù)是□否□8.1.3海量低功耗使用場(chǎng)景(mMTC)風(fēng)險(xiǎn)評(píng)估WAQTXEMBB是□否□8.2新技術(shù)與新業(yè)務(wù)評(píng)估WAQXJS估要求與新業(yè)務(wù)評(píng)估1.審查新技術(shù)與新業(yè)務(wù)評(píng)估報(bào)告，確認(rèn)新技術(shù)與新業(yè)務(wù)安全評(píng)估是□否□安全9.1數(shù)據(jù)采集安全JAQSJCJ集安全標(biāo)準(zhǔn)流程是□否□準(zhǔn)流程是□否□9.2數(shù)據(jù)傳輸安全JAQSJCS是□否□9.3數(shù)據(jù)存儲(chǔ)安全JAQSJCC是□否□9.4數(shù)據(jù)處理安全JAQSJCL析安全規(guī)范是□否□范是□否□9.5數(shù)據(jù)交換安全JAQSJJH入導(dǎo)出安全規(guī)范是□否□全規(guī)范是□否□9.6數(shù)據(jù)銷毀安全JAQSJXH是□否□力YJYJGK1.具備網(wǎng)絡(luò)應(yīng)急管控的能力流程；2.具有特殊事件發(fā)生時(shí)采用技術(shù)手段對(duì)上網(wǎng)、通信進(jìn)行管控的1.是否具有應(yīng)急管控要求及流程是□否□2.是否具有應(yīng)急管控的技術(shù)手段是□否□YJYJYL1.具有應(yīng)急管控演練的要求及實(shí)踐定應(yīng)急管控演練相關(guān)管理制度；2.核實(shí)是否按照相關(guān)管理制度進(jìn)行演練。1.是否具有應(yīng)急管控演練相關(guān)管理制度是□否□2.是否按照相關(guān)管理制度進(jìn)行演練是□否□LJGRZ1.網(wǎng)絡(luò)結(jié)構(gòu)具備容災(zāi)能力2.網(wǎng)絡(luò)關(guān)鍵設(shè)備不存在單點(diǎn)故障問(wèn)題1.核實(shí)路由器、交換機(jī)等關(guān)鍵設(shè)備是否具備單點(diǎn)故障后按照主2.核實(shí)防火墻是否按照主備方式進(jìn)行設(shè)置。1.路由器、交換機(jī)是否具備了主備設(shè)置是□否□2.防火墻是否具備了主備設(shè)置和抵御單是□否□YJWYRZ1.關(guān)鍵網(wǎng)元具備容災(zāi)的能力流程；2.了解是否具有網(wǎng)元容災(zāi)的能力。1.是否具有網(wǎng)元級(jí)容災(zāi)管理要求及流程是□否□2.是否具有網(wǎng)元級(jí)容災(zāi)的能力是□否□YJZYCRZ1.核心網(wǎng)具備資源池容災(zāi)的能力程；2.了解、分析是否具有資源池級(jí)容災(zāi)的能力。1.是否具有資源池級(jí)容災(zāi)管理要求及流程是□否□2.是否具有資源池級(jí)容災(zāi)的能力是□否□YJDQRZ1.網(wǎng)絡(luò)具備大區(qū)容災(zāi)的能力程；2.了解、分析網(wǎng)絡(luò)是否具有大區(qū)容災(zāi)的能力。1.是否具有大區(qū)級(jí)容災(zāi)管理要求及流程是□否□2.是否具有大區(qū)級(jí)容災(zāi)的能力是□否□YJBFHF1.業(yè)務(wù)中斷后的備份與恢復(fù)能力機(jī)制；2.核查業(yè)務(wù)系統(tǒng)的備份是否按要求進(jìn)行備份恢復(fù)。1.是否具備備份恢復(fù)機(jī)制是□否□2.是否按要求備份恢復(fù)工作是□否□全可控KKSBAQ1.關(guān)鍵設(shè)備(4類18款)滿足安全可控要求息；2.記錄交換機(jī)的品牌及版本信息；4.記錄存儲(chǔ)等設(shè)備品牌信息；1.路由器是否滿足安全可控要求是□否□2.交換機(jī)是否滿足安全可控要求是□否□PC可控要求是□否□4.安全類設(shè)備是否滿足安全可控要求是□否□5.存儲(chǔ)類設(shè)備是否滿足安全可控要求是□否□KKGNAQ1.部分關(guān)鍵功能安全可控能力2.評(píng)估功能是否具有切換能力。是□否□2.基站等傳輸是否主用北斗3.評(píng)估關(guān)鍵功能是否具備切換能力是□否□AQRYGL1.人員安全管理制度全管理制度；2.依據(jù)人員管理制度進(jìn)行嚴(yán)格管理。1.是否具有人員安全管理制度是□否□2.是否基于要求簽署安全保密協(xié)議等是□否□FARYAQ制度；1.是否具有第三方安全管理制度是□否□2.是否與第三方人員、公司簽署的保密是□否□3.是否對(duì)第三方遠(yuǎn)程接入、網(wǎng)元訪問(wèn)等是□否□YWAQYW件分析、日志、操作稽核等任務(wù)；2.查看相關(guān)運(yùn)維檢測(cè)、