YDT 4488-20235G移動(dòng)通信網(wǎng) 安全運(yùn)維技術(shù)要求

ICS33.060.9933.060.99

CCSM36YD

中華人民共和國通信行業(yè)標(biāo)準(zhǔn)

YD/T×××××—××××

5G移動(dòng)通信網(wǎng)安全運(yùn)維技術(shù)要求

Technicalrequirementof5Gmobilecommunicationnetwork

operationsecurity

(報(bào)批稿）

xxxx-××-××發(fā)布xxxx-××-××實(shí)施

中華人民共和國工業(yè)和信息化部發(fā)布

YD/TXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)

定起草。

請注意本文件的某些內(nèi)容可能涉及專利，本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。

本文件由中國通信標(biāo)準(zhǔn)化協(xié)會(huì)提出并歸口。

本文件起草單位：中國移動(dòng)通信集團(tuán)有限公司、中國信息通信研究院、中國電信集團(tuán)有限公司、

中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司、華為技術(shù)有限公司、中興通訊股份有限公司、博鼎實(shí)華（北京）

技術(shù)有限公司、鄭州信大捷安信息技術(shù)股份有限公司。

本文件主要起草人：杜海濤、莊小君、冉鵬、粟栗、謝懿、袁琦、沈軍、白景鵬、吳榮、胡力、

楊春建、李燕、游世林、劉為華、靳濤、謝澤鋮、呂明、王悅。

II

YD/TXXXX—XXXX

5G移動(dòng)通信網(wǎng)安全運(yùn)維技術(shù)要求

1范圍

本文件規(guī)定了5G網(wǎng)絡(luò)運(yùn)維管理的安全技術(shù)要求，包括設(shè)備安全、賬號口令安全等通用安全運(yùn)維

要求，以及NFV基礎(chǔ)設(shè)施、5G網(wǎng)元安全、網(wǎng)絡(luò)切片、邊緣計(jì)算和安全應(yīng)急響應(yīng)管理等安全運(yùn)維要求。

本文件適用于5G移動(dòng)通信網(wǎng)的安全運(yùn)維。

2規(guī)范性引用文件

本文件沒有規(guī)范性引用文件。

3術(shù)語、定義和縮略語

3.1術(shù)語和定義

本文件沒有需要界定的術(shù)語和定義。

3.2縮略語

下列縮略語適用于本文件。

4A認(rèn)證、授權(quán)、計(jì)費(fèi)、審計(jì)AuthenticationAuthorizationAccountAudit

API應(yīng)用程序接口ApplicationProgrammingInterface

DDoS分布式拒絕服務(wù)DistributedDenialofService

IPS入侵防御系統(tǒng)IntrusionPreventionSystem

MANO管理和編排ManagementandOrchestration

NFVO網(wǎng)絡(luò)功能虛擬化協(xié)調(diào)器NetworkFunctionsVirtualizationOrchestrator

NSD網(wǎng)絡(luò)服務(wù)描述符NetworkServiceDescriptor

OMC運(yùn)維管理中心OperationManagementCenter

PIM物理基礎(chǔ)設(shè)施管理器PhysicalInfrastructureManager

SDN軟件定義網(wǎng)絡(luò)SoftwareDefinedNetworking

SSH安全外殼SecureShell

VIM虛擬化基礎(chǔ)設(shè)施管理器VirtualizedInfrastructureManager

VLAN虛擬局域網(wǎng)VirtualLocalAreaNetwork

VNF虛擬化網(wǎng)絡(luò)功能VirtualizedNetworkFunction

VNFD虛擬化網(wǎng)絡(luò)功能描述符VirtualizedNetworkFunctionDescriptor

VNFM虛擬化網(wǎng)絡(luò)功能管理器VirtualizedNetworkFunctionManager

WAFWeb應(yīng)用防火墻WebApplicationFirewall

45G安全運(yùn)維的目標(biāo)及對象

4.1安全運(yùn)維的目標(biāo)

1

YD/TXXXX—XXXX

5G安全運(yùn)維的目標(biāo)是通過安全運(yùn)維提高5G網(wǎng)絡(luò)的運(yùn)行質(zhì)量，做到設(shè)備資產(chǎn)清晰、網(wǎng)絡(luò)運(yùn)行穩(wěn)定

有序、事件處理處置有方、安全措施有效到位，從而提升網(wǎng)絡(luò)支撐能力，提高網(wǎng)絡(luò)管理、安全管理

水平，確保5G網(wǎng)元、NFV基礎(chǔ)設(shè)施的硬件和軟件等運(yùn)行的可靠性、保密性和完整性。

4.2安全運(yùn)維的對象

5G安全運(yùn)維的對象為NFV基礎(chǔ)設(shè)施、SDN設(shè)備、5G網(wǎng)元、網(wǎng)絡(luò)切片、MEC的硬件和軟件。NFV基礎(chǔ)

設(shè)施安全運(yùn)維包括物理硬件安全、虛擬化層安全、MANO安全等運(yùn)維要求；SDN安全運(yùn)維包括SDN控制

器、交換機(jī)（含SDN網(wǎng)關(guān)、虛擬交換機(jī)）等運(yùn)維安全要求；5G網(wǎng)元安全運(yùn)維包括針對AMF、SMF、UPF、

NSSF、NRF、NEF、SMSF、PCF、BSF、NWDAF、UDM、UDR等運(yùn)維安全要求；網(wǎng)絡(luò)切片安全運(yùn)維包括針對

切片隔離、切片管理和編排等運(yùn)維安全要求；MEC安全運(yùn)維包括MEC的基礎(chǔ)設(shè)施、MEC平臺、MEC編排

系統(tǒng)等運(yùn)維安全要求。

5通用安全運(yùn)維要求

5.1入網(wǎng)安全驗(yàn)收

5G網(wǎng)絡(luò)系統(tǒng)接入生產(chǎn)環(huán)境前，應(yīng)根據(jù)5G網(wǎng)絡(luò)安全驗(yàn)收要求開展相關(guān)組件的安全功能測試。網(wǎng)絡(luò)

維護(hù)人員應(yīng)按照網(wǎng)絡(luò)安全要求進(jìn)行全面安全測試和評估，并形成入網(wǎng)安全驗(yàn)收報(bào)告，在設(shè)備入網(wǎng)前

減少和消除安全隱患。入網(wǎng)安全驗(yàn)收應(yīng)包含以下內(nèi)容。

a)入網(wǎng)設(shè)備安全檢查，包括檢查網(wǎng)元、OMC、NFVO、VNFM、VIM、SDN控制器、防火墻、路由器

等設(shè)備的賬號、服務(wù)端口、系統(tǒng)日志、弱口令、漏洞、防病毒軟件以及網(wǎng)元特有安全功能等

是否按照設(shè)備相關(guān)安全配置要求及相關(guān)安全技術(shù)要求等進(jìn)行了設(shè)置，并已經(jīng)開啟。具體包括。

—檢查設(shè)備是否存在無主賬號、默認(rèn)賬號（系統(tǒng)必備的賬號除外）。

—檢查設(shè)備是否已對系統(tǒng)的端口和服務(wù)等基礎(chǔ)安全信息進(jìn)行備案；所有必須開放的端口

其對應(yīng)的應(yīng)用軟件和功能必須列表登記，不允許存在非必要的開放端口。

—檢查設(shè)備的系統(tǒng)層、數(shù)據(jù)庫和應(yīng)用層是否已為用戶越權(quán)訪問、用戶權(quán)限升級、更改口

令、新建用戶、非正常時(shí)間登錄、多次錯(cuò)誤登錄、審計(jì)策略更改或其他異常事件具備

日志記錄功能，如不能具備相關(guān)日志記錄功能必須備案；檢查對日志訪問設(shè)置了權(quán)限，

并且不允許篡改。

—檢查登錄設(shè)備所使用的口令的復(fù)雜度。對于采用靜態(tài)口令認(rèn)證的設(shè)備，口令至少由8

位及以上，至少含大小寫字母、數(shù)字及特殊符號中的3種組成，不能以姓名、電話號

碼等作為口令或者口令的組成部分。

—通過使用評估工具對評估范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行安全掃描，查找網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)

備、服務(wù)器主機(jī)、數(shù)據(jù)庫、中間件和用戶賬號/口令等安全對象目標(biāo)存在的安全漏洞，

不允許存在嚴(yán)重風(fēng)險(xiǎn)、高風(fēng)險(xiǎn)漏洞以及中風(fēng)險(xiǎn)漏洞。

—檢查安裝通用操作系統(tǒng)的設(shè)備是否已經(jīng)安裝指定授權(quán)的防病毒軟件，并且檢查病毒庫

是否已更新到最新。

—檢查網(wǎng)元業(yè)務(wù)流程（如UE附著網(wǎng)絡(luò)的流程、UE位置更新的流程等）和通信協(xié)議（如

遠(yuǎn)程維護(hù)網(wǎng)元使用的是SSHv2，網(wǎng)元之間SBI接口使用的是HTTPS等）是否符合要求，

是否存在漏洞等。

b)網(wǎng)絡(luò)安全架構(gòu)檢查，包括對網(wǎng)絡(luò)資產(chǎn)、拓?fù)洹踩?、防火墻、路由器等的配置（如：安?/p>

域拓?fù)?、安全域?nèi)資產(chǎn)情況、VLAN訪問控制策略、邊界互聯(lián)等情況）進(jìn)行檢查，檢查其是

否符合建設(shè)方案，檢查防火墻的策略是否有詳細(xì)的用途說明，要求防火墻進(jìn)行雙向訪問控制

并且已按照最小化權(quán)限的原則配置防火墻策略。

2

YD/TXXXX—XXXX

c)滲透測試，包括有滲透經(jīng)驗(yàn)的安全運(yùn)維人員使用掃描工具、漏洞驗(yàn)證、腳本等方式進(jìn)一步檢

查網(wǎng)絡(luò)中存在的安全風(fēng)險(xiǎn)點(diǎn)。

5.2安全資產(chǎn)管理

5G網(wǎng)絡(luò)應(yīng)進(jìn)行網(wǎng)絡(luò)安全資產(chǎn)清單編制，并維護(hù)資產(chǎn)清單的準(zhǔn)確性與完整性。資產(chǎn)清單屬性包括

但不限于資產(chǎn)名稱、所處位置、所屬系統(tǒng)、資產(chǎn)責(zé)任人、設(shè)備類型、設(shè)備廠商、IP地址、系統(tǒng)信息、

端口信息、服務(wù)信息、中間件信息、程序應(yīng)用框架信息、應(yīng)用軟件信息、資產(chǎn)分類、安全級別等，

應(yīng)參照網(wǎng)絡(luò)安全等級保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)數(shù)據(jù)安全等要求確定網(wǎng)絡(luò)安全資產(chǎn)管理系

統(tǒng)的安全級別，實(shí)施相應(yīng)的安全防護(hù)措施以保證網(wǎng)絡(luò)安全資產(chǎn)信息的保密性、完整性和可用性。

5.3定級備案要求

5G網(wǎng)絡(luò)相關(guān)系統(tǒng)和設(shè)備，應(yīng)嚴(yán)格遵守網(wǎng)絡(luò)安全定級備案要求，對所維護(hù)系統(tǒng)或網(wǎng)元進(jìn)行定級備

案，應(yīng)全量、真實(shí)的填報(bào)定級備案信息，并按照相關(guān)要求定期完成符合性評測和風(fēng)險(xiǎn)評估工作。

5.4賬號口令要求

對于5G網(wǎng)絡(luò)各層、各域、各應(yīng)用的各類賬號口令管理要求，應(yīng)明確賬號的生命周期、賬號分配

原則、口令配置規(guī)則，對賬號和口令進(jìn)行嚴(yán)格管控。系統(tǒng)維護(hù)人員應(yīng)按所屬企業(yè)要求對所管理維護(hù)

的系統(tǒng)、軟硬件設(shè)備的賬號口令加強(qiáng)管理，不得使用弱口令、易猜解口令，定期修改口令并妥善保

管賬號口令等。

5.5數(shù)據(jù)安全要求

5G網(wǎng)絡(luò)數(shù)據(jù)安全管理應(yīng)嚴(yán)格遵守?cái)?shù)據(jù)安全要求，包括如下內(nèi)容。

a)5G網(wǎng)絡(luò)的數(shù)據(jù)包括但不限于原始碼流、客戶信息、資源數(shù)據(jù)、配置數(shù)據(jù)、認(rèn)證數(shù)據(jù)（口令/

證書/私鑰）等，涉及的系統(tǒng)及設(shè)備包括VNF、MANO、PIM、分光設(shè)備等。

b)應(yīng)做好數(shù)據(jù)的分級分類管理、數(shù)據(jù)訪問權(quán)限管理，應(yīng)形成網(wǎng)絡(luò)數(shù)據(jù)資產(chǎn)清單、涉敏人員庫清

單并及時(shí)報(bào)備。

c)應(yīng)做好數(shù)據(jù)的操作行為管理，應(yīng)嚴(yán)格落實(shí)“4A管控”要求，實(shí)施賬號管理、認(rèn)證管理、授

權(quán)管理、安全審計(jì)措施，禁止繞過“4A管控”進(jìn)行系統(tǒng)及設(shè)備維護(hù)操作，禁止擅自停用“4A

管控”措施；對于涉及高價(jià)值信息的高風(fēng)險(xiǎn)操作，必須由兩人或以上有相應(yīng)權(quán)限的人員共同

協(xié)作完成操作，防止部分擁有高權(quán)限賬號的操作人員濫用權(quán)限違規(guī)獲取、篡改相關(guān)信息。

d)應(yīng)做好數(shù)據(jù)的全生命周期管理，在數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、共享和銷毀等環(huán)節(jié)，嚴(yán)格

落實(shí)安全管控措施。

e)數(shù)據(jù)的對外共享（包括網(wǎng)絡(luò)鏡像和分光節(jié)點(diǎn)）應(yīng)嚴(yán)格按照“目的合理、程序合規(guī)、最小夠用、

分級審批、合理授權(quán)”的原則執(zhí)行。

f)系統(tǒng)維護(hù)人員不得以任何方式違法違規(guī)獲取、保存、復(fù)制、修改、刪除5G網(wǎng)絡(luò)的各類數(shù)據(jù)。

g)應(yīng)制定數(shù)據(jù)安全應(yīng)急預(yù)案并定期開展演練，發(fā)生網(wǎng)絡(luò)數(shù)據(jù)安全事件時(shí)應(yīng)及時(shí)采取補(bǔ)救措施并

向上級部門報(bào)告。

5.6安全補(bǔ)丁管理

對5G網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施（服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備）、虛擬層（虛擬化軟件、HostOS、VIM）、

網(wǎng)元（GuestOS、中間件、數(shù)據(jù)庫等）以及編排管理系統(tǒng)（NFVO、VNFM）等開展安全補(bǔ)丁管理。

a)通過漏洞掃描，及時(shí)地發(fā)現(xiàn)5G網(wǎng)絡(luò)中存在的安全漏洞以及需要安裝的漏洞補(bǔ)丁，對于發(fā)現(xiàn)

存在嚴(yán)重安全預(yù)警或高危漏洞的系統(tǒng)，以及有互聯(lián)網(wǎng)暴露面的端口或服務(wù)，需在規(guī)定時(shí)限內(nèi)

完成安全處置。對于無補(bǔ)丁的漏洞，需做好訪問控制策略，并加強(qiáng)安全監(jiān)測。

3

YD/TXXXX—XXXX

b)根據(jù)安全影響的嚴(yán)重程度以及對業(yè)務(wù)影響的評估，對5G網(wǎng)絡(luò)中各系統(tǒng)、設(shè)備更新補(bǔ)丁。在

進(jìn)行補(bǔ)丁更新之前，需要對補(bǔ)丁進(jìn)行兼容性測試，測試通過后部署到生產(chǎn)系統(tǒng)。

c)可使用自動(dòng)化工具對補(bǔ)丁文件進(jìn)行管理，對于通過兼容性測試的補(bǔ)丁進(jìn)行批量化的下發(fā)和安

裝操作。

5.7系統(tǒng)變更與配置管理

5G網(wǎng)絡(luò)各系統(tǒng)應(yīng)建立完善的數(shù)據(jù)備份與恢復(fù)機(jī)制，制定系統(tǒng)變更方案及流程，配置調(diào)整也應(yīng)納

入變更范疇，支持文件級的全量備份或增量備份，保存增量更改以提高備份效率，支持虛擬機(jī)以及

文件級的熱備份及冷備份，定期執(zhí)行災(zāi)難備份恢復(fù)能力的檢測，更新備份關(guān)鍵數(shù)據(jù)。

5.8證書管理

針對5G網(wǎng)絡(luò)網(wǎng)元間TLS協(xié)議等場景的數(shù)字證書，應(yīng)從證書申請、使用、更新、密鑰備份等環(huán)節(jié)加

強(qiáng)安全要求。

a)應(yīng)使用安全的隨機(jī)數(shù)生成器產(chǎn)生公私密鑰對。

b)應(yīng)對私鑰進(jìn)行加密存儲(chǔ)、備份，禁止私鑰以明文形式導(dǎo)出專用密碼設(shè)備，應(yīng)以加密方式從專

用密碼設(shè)備導(dǎo)入到5G網(wǎng)元中。

c)應(yīng)對私鑰進(jìn)行加密存儲(chǔ)，禁止非授權(quán)訪問，禁止以明文方式導(dǎo)出。

d)證書應(yīng)設(shè)置合理有效期。

e)系統(tǒng)或設(shè)備應(yīng)支持周期性檢查證書是否過期或即將過期，對于已過期或即將過期的證書進(jìn)行

提醒。

5.9安全監(jiān)測要求

5G網(wǎng)絡(luò)安全運(yùn)維應(yīng)定期對資產(chǎn)管理、賬號口令、合規(guī)配置、漏洞和補(bǔ)丁管理等進(jìn)行安全監(jiān)控。

a)5G網(wǎng)絡(luò)中各網(wǎng)元、OMC以及MANO、SDN控制器等應(yīng)通過4A接口或人工導(dǎo)入等方式全量接入

網(wǎng)絡(luò)安全資產(chǎn)管理平臺。安全管理員應(yīng)開展網(wǎng)絡(luò)安全資產(chǎn)屬性采集工作，建立資產(chǎn)檔案，參

照實(shí)際情況通過手工、自動(dòng)化等方式對網(wǎng)絡(luò)安全資產(chǎn)信息進(jìn)行核查。安全管理員應(yīng)周期性開

展網(wǎng)絡(luò)安全資產(chǎn)稽核工作，對比在網(wǎng)安全資產(chǎn)信息與安全資產(chǎn)庫信息，采用遠(yuǎn)程指紋掃描、

自有資產(chǎn)識別等多種方式，及時(shí)發(fā)現(xiàn)資產(chǎn)信息問題。

b)應(yīng)定期對5G網(wǎng)元進(jìn)行合規(guī)配置檢查，包括檢查5G網(wǎng)元的操作系統(tǒng)、數(shù)據(jù)庫和中間件的配置

是否滿足安全基線要求等。

c)應(yīng)定期通過掃描工具、漏洞驗(yàn)證、腳本等方式檢測安全風(fēng)險(xiǎn)，并及時(shí)通知業(yè)務(wù)系統(tǒng)管理部門

整改處置，查漏補(bǔ)缺，防止系統(tǒng)存在遠(yuǎn)程代碼執(zhí)行、DDoS等漏洞。

d)應(yīng)將部署在5G網(wǎng)絡(luò)安全域邊界的監(jiān)測設(shè)備產(chǎn)生的安全日志、安全事件，通過接口統(tǒng)一上報(bào)

到安全態(tài)勢感知平臺，進(jìn)行集中化的安全監(jiān)測及告警處置。

6NFV基礎(chǔ)設(shè)施安全運(yùn)維要求

6.1虛擬化層安全運(yùn)維

虛擬層的安全運(yùn)維要求包括：

a)Hypervisor的安全管理和安全配置應(yīng)采取服務(wù)最小原則，禁用不必要的服務(wù)。

b)Hypervisor的虛擬化軟件接口，應(yīng)嚴(yán)格限定為管理虛擬機(jī)所需的API，應(yīng)采用安全協(xié)議和算

法、設(shè)置訪問控制規(guī)則及開啟鑒權(quán)認(rèn)證實(shí)現(xiàn)限制對管理端口的訪問，原則上僅允許VIM、4A

堡壘機(jī)、應(yīng)急終端的訪問。

4

YD/TXXXX—XXXX

c)Hypervisor的管理接口流量應(yīng)該和其它（例如業(yè)務(wù)、存儲(chǔ)）網(wǎng)絡(luò)流量物理隔離。

d)Hypervisor應(yīng)滿足安全配置合規(guī)、賬號口令管理的安全要求等。

6.2PIM安全運(yùn)維

PIM安全運(yùn)維要求包括：

a)PIM對物理硬件有較高管理及控制權(quán)限（例如開關(guān)機(jī)等），應(yīng)采用安全協(xié)議和算法、設(shè)置訪

問控制開啟鑒權(quán)認(rèn)證實(shí)現(xiàn)限制對管理端口的訪問，原則上僅允許MANO、4A堡壘機(jī)、應(yīng)急終

端的訪問。

b)PIM應(yīng)啟用對分布式存儲(chǔ)服務(wù)器的證書認(rèn)證，并建立安全通道，保護(hù)PIM和分布式存儲(chǔ)服務(wù)

器之間傳輸?shù)臄?shù)據(jù)的機(jī)密性和完整性。

c)應(yīng)對PIM納管物理硬件的告警信息，做好日常監(jiān)測及處置工作。

6.3MANO安全運(yùn)維

MANO安全運(yùn)維要求包括：

a)對提供web訪問界面的MANO，應(yīng)使用安全通信協(xié)議，并進(jìn)行web安全加固。

b)在創(chuàng)建角色和用戶時(shí)應(yīng)分配最小權(quán)限。

c)MANO中不應(yīng)包含明文敏感信息，敏感信息應(yīng)加密保存，并支持會(huì)話超時(shí)退出功能。

d)應(yīng)啟用IP/MAC防欺詐，防止用戶通過修改虛擬網(wǎng)卡的IP、MAC地址發(fā)起IP、MAC仿冒攻擊。

e)在進(jìn)行遷移或彈性擴(kuò)縮過程中，應(yīng)根據(jù)業(yè)務(wù)需求做好遷移和擴(kuò)縮過程中的數(shù)據(jù)保護(hù)，防止敏

感信息泄露。虛擬機(jī)的移動(dòng)性應(yīng)限制在特定的安全集群內(nèi)，安全集群應(yīng)能與虛擬系統(tǒng)安全架

構(gòu)的安全域相對應(yīng)。

f)虛擬機(jī)鏡像及模板上線前，要進(jìn)行全面的安全評估，并進(jìn)行安全加固。

g)上傳鏡像時(shí)，應(yīng)約束鏡像上傳到固定的路徑，避免用戶在上傳鏡像時(shí)隨意訪問整個(gè)系統(tǒng)的任

意目錄。

h)對虛擬機(jī)鏡像倉庫及快照開啟口令鑒權(quán)訪問，防止損壞、非授權(quán)訪問、篡改、泄露。

7SDN安全運(yùn)維

SDN安全運(yùn)維要求包括：

a)SDN控制器應(yīng)啟用識別來自南向接口或者北向接口的異常流量/報(bào)文，通過限速等機(jī)制，防

止(D)DoS攻擊。

b)SDN控制器應(yīng)啟用檢測配置及策略沖突，如VLAN沖突、流表沖突、成環(huán)等會(huì)造成網(wǎng)絡(luò)安全

隱患的問題，并在檢測到?jīng)_突后進(jìn)行提示。

c)遠(yuǎn)程登錄SDN控制器進(jìn)行維護(hù)操作時(shí)，應(yīng)使用SSHv2等安全協(xié)議，并且登錄時(shí)不提示敏感

信息，應(yīng)接入4A進(jìn)行操作維護(hù)。

d)SDN網(wǎng)關(guān)應(yīng)開啟對SDN控制器的認(rèn)證，并和SDN控制器建立安全通道，保證南向接口傳輸數(shù)

據(jù)的機(jī)密性和完整性。

e)SDN控制器應(yīng)支持使用集群方式部署，保障SDN控制器的可靠性。

85G網(wǎng)元安全運(yùn)維要求

5G網(wǎng)元安全運(yùn)維要求包括:

a)5G虛擬化網(wǎng)元進(jìn)行升級、部署等操作時(shí)，應(yīng)在NFVO&VNFM對軟件包（VNFD、NSD）的合法性

和完整性進(jìn)行校驗(yàn)。

5

YD/TXXXX—XXXX

b)應(yīng)禁止對5G網(wǎng)元的非授權(quán)訪問。

c)應(yīng)支持流量控制，可設(shè)置5G網(wǎng)元的信令或數(shù)據(jù)流量的門限，并支持對超過門限的流量進(jìn)行

處理（如丟棄流量或者降低處理流量的速度等）。

d)5G網(wǎng)元應(yīng)關(guān)閉不必要的端口和服務(wù)。

應(yīng)支持通過OMC對網(wǎng)元進(jìn)行證書配置、安全基線核查等。

9網(wǎng)絡(luò)切片安全運(yùn)維要求

網(wǎng)絡(luò)切片安全運(yùn)維要求包括：

a)應(yīng)支持劃分安全域、設(shè)置不同VLAN等方式實(shí)現(xiàn)網(wǎng)絡(luò)切片管理系統(tǒng)與所有網(wǎng)絡(luò)切片之間、網(wǎng)

絡(luò)切片之間的安全隔離。

b)網(wǎng)絡(luò)切片管理系統(tǒng)與所有網(wǎng)絡(luò)切片之間的訪問應(yīng)進(jìn)行認(rèn)證、授權(quán)，并對通信內(nèi)容進(jìn)行完整性、

機(jī)密性、防重放保護(hù)。

c)網(wǎng)絡(luò)切片管理系統(tǒng)應(yīng)對操作人員進(jìn)行認(rèn)證、授權(quán)，并對操作行為進(jìn)行日志記錄、安全審計(jì)等。

d)當(dāng)網(wǎng)絡(luò)切片租給第三方使用和維護(hù)時(shí)，網(wǎng)絡(luò)切片管理系統(tǒng)應(yīng)支持按照租戶設(shè)置分權(quán)分域，并

對租戶的管理權(quán)限進(jìn)行控制，禁止租戶跨網(wǎng)絡(luò)切片訪問、惡意操作其他網(wǎng)絡(luò)切片的資源等。

e)網(wǎng)絡(luò)切片管理系統(tǒng)應(yīng)使用HTTPS、SFTP、SSHv2等安全協(xié)議與NFV編排和管理系統(tǒng)等進(jìn)行通

信。

f)在網(wǎng)絡(luò)切片生命周期管理過程中，應(yīng)支持對網(wǎng)絡(luò)切片模板、配置進(jìn)行安全檢查（如驗(yàn)證模板

的完整性、檢查配置是否符合安全基線等）。

g)網(wǎng)絡(luò)切片終止使用時(shí)，應(yīng)釋放該網(wǎng)絡(luò)切片使用的相關(guān)資源，相關(guān)數(shù)據(jù)按需進(jìn)行徹底刪除，例

如使用文件覆寫方式進(jìn)行數(shù)據(jù)刪除。

h)應(yīng)對網(wǎng)絡(luò)切片進(jìn)行安全監(jiān)控，實(shí)時(shí)掌握網(wǎng)絡(luò)切片運(yùn)行情況、可能的攻擊及故障狀況，并在出

現(xiàn)故障后采取恢復(fù)網(wǎng)絡(luò)切片措施。

i)網(wǎng)絡(luò)切片的基礎(chǔ)設(shè)施安全運(yùn)維要求應(yīng)參考NFV基礎(chǔ)設(shè)施的安全運(yùn)維要求。

10MEC安全運(yùn)維要求

MEC安全運(yùn)維要求如下：

a)應(yīng)提供安全審計(jì)功能，并根據(jù)運(yùn)營商和MEC平臺用戶的職責(zé)劃分，對各自部分的用戶行為和

安全事件進(jìn)行審計(jì)。其中，運(yùn)營商負(fù)責(zé)對應(yīng)用開放能力（位置服務(wù)能力、無線信息能力、QoS

服務(wù)能力、安全能力）等的安全審計(jì)，MEC平臺用戶負(fù)責(zé)對MEC應(yīng)用的安全審計(jì)。

b)應(yīng)確保運(yùn)營商對MEC應(yīng)用的操作可被MEC平臺用戶審計(jì)。審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、

用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息，并確保審計(jì)記錄的留存時(shí)間符合

有關(guān)法律法規(guī)要求。應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等，保證

審計(jì)數(shù)據(jù)的真實(shí)性和完整性，應(yīng)保證不同MEC應(yīng)用的審計(jì)數(shù)據(jù)隔離存放，并對審計(jì)數(shù)據(jù)進(jìn)行

定期備份。

c)應(yīng)對下沉至園區(qū)的UPF中的敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)，嚴(yán)格限制訪問人員，禁止非授權(quán)用戶訪

問，敏感用戶數(shù)據(jù)頁面顯示應(yīng)進(jìn)行脫敏處理，禁止本地?cái)?shù)據(jù)導(dǎo)出。

d)應(yīng)限制園區(qū)用戶訪問下沉至園區(qū)的UPF。

e)下沉至園區(qū)的UPF與運(yùn)營商大網(wǎng)核心網(wǎng)、園區(qū)網(wǎng)絡(luò)建立安全通道進(jìn)行數(shù)據(jù)傳輸，并做好安全

隔離，應(yīng)配置IP白名單互訪。

f)當(dāng)位于客戶機(jī)房的運(yùn)營商設(shè)備采用遠(yuǎn)程運(yùn)維方式時(shí)，應(yīng)禁掉設(shè)備本地運(yùn)維的所有接口，并能

夠檢測本地運(yùn)維接口是否打開，進(jìn)行報(bào)警。支持通過加密安全通道進(jìn)行遠(yuǎn)程運(yùn)維，并限制遠(yuǎn)

6

YD/TXXXX—XXXX

程訪問IP白名單和遠(yuǎn)程操作類型。設(shè)備的所有操作均應(yīng)進(jìn)行日志記錄和審計(jì)。

11安全應(yīng)急管理

11.1總體要求

應(yīng)制定安全應(yīng)急管理相關(guān)的要求，至少包括安全應(yīng)急預(yù)案管理、安全事件監(jiān)測、安全事件預(yù)警

以及安全事件處置。當(dāng)突然發(fā)生由網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、惡意程序等導(dǎo)致的，造成或可能造成嚴(yán)重

社會(huì)危害或影響，需要電信主管部門組織采取應(yīng)急處置措施予以應(yīng)對的網(wǎng)絡(luò)中斷（擁塞）、系統(tǒng)癱

瘓（異常）、數(shù)據(jù)泄露（丟失）、病毒傳播等事件時(shí)，遵從相關(guān)主管部門要求。

11.2安全應(yīng)急預(yù)案管理

應(yīng)急預(yù)案應(yīng)規(guī)范化管理，與相關(guān)系統(tǒng)生命周期匹配，即系統(tǒng)交維時(shí)應(yīng)具備詳細(xì)的安全應(yīng)急預(yù)案，

系統(tǒng)發(fā)生變更調(diào)整時(shí)，安全應(yīng)急預(yù)案相關(guān)部分同步更新，系統(tǒng)下線時(shí)安全應(yīng)急預(yù)案及時(shí)清理。

安全應(yīng)急預(yù)案應(yīng)遵循制定的預(yù)案模板，針對系統(tǒng)可能發(fā)生的安全事件制定全面的應(yīng)急措施，各

類處置操作應(yīng)細(xì)化到指令，具備可操作性。

應(yīng)制定本系統(tǒng)的安全應(yīng)急演練計(jì)劃，并提交給網(wǎng)絡(luò)安全部門備案。應(yīng)定期開展安全應(yīng)急演練，

定級備案二級以上系統(tǒng)演練周期應(yīng)不低于每年一次且不低于相關(guān)主管部門要求的演練周期要求。

應(yīng)急演練記錄應(yīng)包含但不限于：演練目標(biāo)、演練時(shí)間、參演人員、演練內(nèi)容及與應(yīng)急預(yù)案的一

致性、演練過程記錄、演練總結(jié)及應(yīng)急預(yù)案修訂。

11.3安全事件監(jiān)測

安全事件監(jiān)測要求包括：

a)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)根據(jù)其造成社會(huì)影響范圍和危害程度，可分為特別重大、重大、較大、一般和

其他五個(gè)級別。應(yīng)根據(jù)可能造成的安全風(fēng)險(xiǎn)等級，參考運(yùn)維故障告警標(biāo)準(zhǔn)化機(jī)制，將安全事

件監(jiān)測結(jié)果量化定級為一級（特別重大）、二級（重大）、三級（較大）、四級（一般和其

他）。

b)應(yīng)建立和完善安全風(fēng)險(xiǎn)監(jiān)測手段，提供各類安全風(fēng)險(xiǎn)的主動(dòng)監(jiān)測與感知能力。

c)應(yīng)開展7*24小時(shí)安全監(jiān)控，監(jiān)控范圍包括但不限于：安全設(shè)備運(yùn)行實(shí)時(shí)情況監(jiān)控（例如：

CPU、內(nèi)存占用率，硬盤占用情況等系統(tǒng)運(yùn)行基本參數(shù)監(jiān)控）、網(wǎng)絡(luò)安全設(shè)備安全狀況的監(jiān)

控（例如：網(wǎng)絡(luò)型攻擊，主機(jī)入侵，應(yīng)用型入侵等）。

d)針對監(jiān)控發(fā)現(xiàn)的安全問題，進(jìn)行記錄并形成監(jiān)控日志。

11.4安全事件預(yù)警

根據(jù)可能造成的安全事件等級，將安全預(yù)警分為緊急、高危、中危、低危四個(gè)級別。應(yīng)根據(jù)安

全事件等級，對接到正式預(yù)警（公文或工單，下同）后采取臨時(shí)防護(hù)措施、完成處置的時(shí)限進(jìn)行要

求。

原則上，安全預(yù)警信息遵循上述要求分級管理，如上級主管部門有明確的預(yù)警處置要求，遵循

上級主管部門要求執(zhí)行。應(yīng)跟蹤預(yù)警項(xiàng)進(jìn)展，預(yù)警內(nèi)容出現(xiàn)變化應(yīng)及時(shí)上報(bào)，必要時(shí)調(diào)高預(yù)警級別

并采取更嚴(yán)格防范措施。可根據(jù)預(yù)警信息對系統(tǒng)的影響情況調(diào)高預(yù)警級別，但不允許調(diào)低預(yù)警級別。

11.5安全事件處置

按照安全風(fēng)險(xiǎn)級別開展處置，應(yīng)根據(jù)安全事件等級，對處置時(shí)限進(jìn)行要求。

在進(jìn)行風(fēng)險(xiǎn)處置的同時(shí)，應(yīng)及時(shí)對風(fēng)險(xiǎn)處置情況進(jìn)行上報(bào)。一級（特別重大）和二級（重大）

事件，應(yīng)在事件發(fā)生后口頭向上級主管部門報(bào)告，在事件處理完畢后提交書面報(bào)告，應(yīng)對口頭和書

7

YD/TXXXX—XXXX

面報(bào)告的時(shí)限進(jìn)行要求；三級（較大）和四級（一般和其他）事件匯總后于次月在每月安全報(bào)表中

向上級主管部門上報(bào)。

8

YD/TXXXX—XXXX

目次

前言...........................................................................II

1范圍............................................................................1

2規(guī)范性引用文件..................................................................1

3縮略語..........................................................................1

45G安全運(yùn)維的目標(biāo)及對象..........................................................1

4.1安全運(yùn)維的目標(biāo)............................................................1

4.2安全運(yùn)維的對象............................................................2

5通用安全運(yùn)維要求................................................................2

5.1入網(wǎng)安全驗(yàn)收..............................................................2

5.2安全資產(chǎn)管理..............................................................3

5.3定級備案要求..............................................................3

5.4賬號口令要求..............................................................3

5.5數(shù)據(jù)安全要求..............................................................3

5.6安全補(bǔ)丁管理..............................................................3

5.7系統(tǒng)變更與配置管理........................................................4

5.8證書管理..................................................................4

5.9安全監(jiān)測要求..............................................................4

6NFV基礎(chǔ)設(shè)施安全運(yùn)維要求.........................................................4

6.1虛擬化層安全運(yùn)維..........................................................4

6.2PIM安全運(yùn)維...............................................................5

6.3MANO安全運(yùn)維..............................................................5

7SDN安全運(yùn)維.....................................................................5

85G網(wǎng)元安全運(yùn)維要求..............................................................5

9網(wǎng)絡(luò)切片安全運(yùn)維要求............................................................6

10MEC安全運(yùn)維要求................................................................6

11安全應(yīng)急管理...................................................................7

11.1總體要求.................................................................7

11.2安全應(yīng)急預(yù)案管理.........................................................7

11.3安全事件監(jiān)測.............................................................7

11.4安全事件預(yù)警.............................................................7

11.5安全事件處置.............................................................7

I

YD/TXXXX—XXXX

5G移動(dòng)通信網(wǎng)安全運(yùn)維技術(shù)要求

1范圍

本文件規(guī)定了5G網(wǎng)絡(luò)運(yùn)維管理的安全技術(shù)要求，包括設(shè)備安全、賬號口令安全等通用安全運(yùn)維

要求，以及NFV基礎(chǔ)設(shè)施、5G網(wǎng)元安全、網(wǎng)絡(luò)切片、邊緣計(jì)算和安全應(yīng)急響應(yīng)管理等安全運(yùn)維要求。

本文件適用于5G移動(dòng)通信網(wǎng)的安全運(yùn)維。

2規(guī)范性引用文件

本文件沒有規(guī)范性引用文件。

3術(shù)語、定義和縮略語

3.1術(shù)語和定義

本文件沒有需要界定的術(shù)語和定義。

3.2縮略語

下列縮略語適用于本文件。

4A認(rèn)證、授權(quán)、計(jì)費(fèi)、審計(jì)AuthenticationAuthorizationAccountAudit

API應(yīng)用程序接口ApplicationProgrammingInterface

DDoS分布式拒絕服務(wù)DistributedDenialofService

IPS入侵防御系統(tǒng)IntrusionPreventionSystem

MANO管理和編排ManagementandOrchestration

NFVO網(wǎng)絡(luò)功能虛擬化協(xié)調(diào)器NetworkFunctionsVirtualizationOrchestrator

NSD網(wǎng)絡(luò)服務(wù)描述符NetworkServiceDescriptor

OMC運(yùn)維管理中心OperationManagementCenter

PIM物理基礎(chǔ)設(shè)施管理器PhysicalInfrastructureManager

SDN軟件定義網(wǎng)絡(luò)SoftwareDefinedNetworking

SSH安全外殼SecureShell

VIM虛擬化基礎(chǔ)設(shè)施管理器VirtualizedInfrastructureManager

VLAN虛擬局域網(wǎng)VirtualLocalAreaNetwork

VNF虛擬化網(wǎng)絡(luò)功能VirtualizedNetworkFunction

VNFD虛擬化網(wǎng)絡(luò)功能描述符VirtualizedNetworkFunctionDescriptor

VNFM虛擬化網(wǎng)絡(luò)功能管理器VirtualizedNetworkFunctionManager

WAFWeb應(yīng)用防火墻WebApplicationFirewall

45G安全運(yùn)維的目標(biāo)及對象

4.1安全運(yùn)維的目標(biāo)

1

YD/TXXXX—XXXX

5G安全運(yùn)維的目標(biāo)是通過安全運(yùn)維提高5G網(wǎng)絡(luò)的運(yùn)行質(zhì)量，做到設(shè)備資產(chǎn)清晰、網(wǎng)絡(luò)運(yùn)行穩(wěn)定

有序、事件處理處置有方、安全措施有效到位，從而提升網(wǎng)絡(luò)支撐能力，提高網(wǎng)絡(luò)管理、安全管理

水平，確保5G網(wǎng)元、NFV基礎(chǔ)設(shè)施的硬件和軟件等運(yùn)行的可靠性、保密性和完整性。

4.2安全運(yùn)維的對象

5G安全運(yùn)維的對象為NFV基礎(chǔ)設(shè)施、SDN設(shè)備、5G網(wǎng)元、網(wǎng)絡(luò)切片、MEC的硬件和軟件。NFV基礎(chǔ)

設(shè)施安全運(yùn)維包括物理硬件安全、虛擬化層安全、MANO安全等運(yùn)維要求；SDN安全運(yùn)維包括SDN控制

器、交換機(jī)（含SDN網(wǎng)關(guān)、虛擬交換機(jī)）等運(yùn)維安全要求；5G網(wǎng)元安全運(yùn)維包括針對AMF、SMF、UPF、

NSSF、NRF、NEF、SMSF、PCF、BSF、NWDAF、UDM、UDR等運(yùn)維安全要求；網(wǎng)絡(luò)切片安全運(yùn)維包括針對

切片隔離、切片管理和編排等運(yùn)維安全要求；MEC安全運(yùn)維包括MEC的基礎(chǔ)設(shè)施、MEC平臺、MEC編排

系統(tǒng)等運(yùn)維安全要求。

5通用安全運(yùn)維要求

5.1入網(wǎng)安全驗(yàn)收

5G網(wǎng)絡(luò)系統(tǒng)接入生產(chǎn)環(huán)境前，應(yīng)根據(jù)5G網(wǎng)絡(luò)安全驗(yàn)收要求開展相關(guān)組件的安全功能測試。網(wǎng)絡(luò)

維護(hù)人員應(yīng)按照網(wǎng)絡(luò)安全要求進(jìn)行全面安全測試和評估，并形成入網(wǎng)安全驗(yàn)收報(bào)告，在設(shè)備入網(wǎng)前

減少和消除安全隱患。入網(wǎng)安全驗(yàn)收應(yīng)包含以下內(nèi)容。

a)入網(wǎng)設(shè)備安全檢查，包括檢查網(wǎng)元、OMC、NFVO、VNFM、VIM、SDN控制器、防火墻、路由器

等設(shè)備的賬號、服務(wù)端口、系統(tǒng)日志、弱口令、漏洞、防病毒軟件以及網(wǎng)元特有安全功能等

是否按照設(shè)備相關(guān)安全配置要求及相關(guān)安全技術(shù)要求等進(jìn)行了設(shè)置，并已經(jīng)開啟。具體包括。

—檢查設(shè)備是否存在無主賬號、默認(rèn)賬號（系統(tǒng)必備的賬號除外）。

—檢查設(shè)備是否已對系統(tǒng)的端口和服務(wù)等基礎(chǔ)安全信息進(jìn)行備案；所有必須開放的端口

其對應(yīng)的應(yīng)用軟件和功能必須列表登記，不允許存在非必要的開放端口。

—檢查設(shè)備的系統(tǒng)層、數(shù)據(jù)庫和應(yīng)用層是否已為用戶越權(quán)訪問、用戶權(quán)限升級、更改口

令、新建用戶、非正常時(shí)間登錄、多次錯(cuò)誤登錄、審計(jì)策略更改或其他異常事件具備

日志記錄功能，如不能具備相關(guān)日志記錄功能必須備案；檢查對日志訪問設(shè)置了權(quán)限，

并且不允許篡改。

—檢查登錄設(shè)備所使用的口令的復(fù)雜度。對于采用靜態(tài)口令認(rèn)證的設(shè)備，口令至少由8

位及以上，至少含大小寫字母、數(shù)字及特殊符號中的3種組成，不能以姓名、電話號

碼等作為口令或者口令的組成部分。

—通過使用評估工具對評估范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行安全掃描，查找網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)

備、服務(wù)器主機(jī)、數(shù)據(jù)庫、中間件和用戶賬號/口令等安全對象目標(biāo)存在的安全漏洞，

不允許存在嚴(yán)重風(fēng)險(xiǎn)、高風(fēng)險(xiǎn)漏洞以及中風(fēng)險(xiǎn)漏洞。

—檢查安裝通用操作系統(tǒng)的設(shè)備是否已經(jīng)安裝指定授權(quán)的防病毒軟件，并且檢查病毒庫

是否已更新到最新。

—檢查網(wǎng)元業(yè)務(wù)流程（如UE附著網(wǎng)絡(luò)的流程、UE位置更新的流程等）和通信協(xié)議（如

遠(yuǎn)程維護(hù)網(wǎng)元使用的是SSHv2，網(wǎng)元之間SBI接口使用的是HTTPS等）是否符合要求，

是否存在漏洞等。

b)網(wǎng)絡(luò)安全架構(gòu)檢查，包括對網(wǎng)絡(luò)資產(chǎn)、拓?fù)?、安全域、防火墻、路由器等的配置（如：安?/p>

域拓?fù)?、安全域?nèi)資產(chǎn)情況、VLAN訪問控制策略、邊界互聯(lián)等情況）進(jìn)行檢查，檢查其是

否符合建設(shè)方案，檢查防火墻的策略是否有詳細(xì)的用途說明，要求防火墻進(jìn)行雙向訪問控制

并且已按照最小化權(quán)限的原則配置防火墻策略。

2

YD/TXXXX—XXXX

c)滲透測試，包括有滲透經(jīng)驗(yàn)的安全運(yùn)維人員使用掃描工具、漏洞驗(yàn)證、腳本等方式進(jìn)一步檢

查網(wǎng)絡(luò)中存在的安全風(fēng)險(xiǎn)點(diǎn)。

5.2安全資產(chǎn)管理

5G網(wǎng)絡(luò)應(yīng)進(jìn)行網(wǎng)絡(luò)安全資產(chǎn)清單編制，并維護(hù)資產(chǎn)清單的準(zhǔn)確性與完整性。資產(chǎn)清單屬性包括

但不限于資產(chǎn)名稱、所處位置、所屬系統(tǒng)、資產(chǎn)責(zé)任人、設(shè)備類型、設(shè)備廠商、IP地址、系統(tǒng)信息、

端口信息、服務(wù)信息、中間件信息、程序應(yīng)用框架信息、應(yīng)用軟件信息、資產(chǎn)分類、安全級別等，

應(yīng)參照網(wǎng)絡(luò)安全等級保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)數(shù)據(jù)安全等要求確定網(wǎng)絡(luò)安全資產(chǎn)管理系

統(tǒng)的安全級別，實(shí)施相應(yīng)的安全防護(hù)措施以保證網(wǎng)絡(luò)安全資產(chǎn)信息的保密性、完整性和可用性。

5.3定級備案要求

5G網(wǎng)絡(luò)相關(guān)系統(tǒng)和設(shè)備，應(yīng)嚴(yán)格遵守網(wǎng)絡(luò)安全定級備案要求，對所維護(hù)系統(tǒng)或網(wǎng)元進(jìn)行定級備

案，應(yīng)全量、真實(shí)的填報(bào)定級備案信息，并按照相關(guān)要求定期完成符合性評測和風(fēng)險(xiǎn)評估工作。

5.4賬號口令要求

對于5G網(wǎng)絡(luò)各層、各域、各應(yīng)用的各類賬號口令管理要求，應(yīng)明確賬號的生命周期、賬號分配

原則、口令配置規(guī)則，對賬號和口令進(jìn)行嚴(yán)格管控。系統(tǒng)維護(hù)人員應(yīng)按所屬企業(yè)要求對所管理維護(hù)

的系統(tǒng)、軟硬件設(shè)備的賬號口令加強(qiáng)管理，不得使用弱口令、易猜解口令，定期修改口令并妥善保

管賬號口令等。

5.5數(shù)據(jù)安全要求

5G網(wǎng)絡(luò)數(shù)據(jù)安全管理應(yīng)嚴(yán)格遵守?cái)?shù)據(jù)安全要求，包括如下內(nèi)容。

a)5G網(wǎng)絡(luò)的數(shù)據(jù)包括但不限于原始碼流、客戶信息、資源數(shù)據(jù)、配置數(shù)據(jù)、認(rèn)證數(shù)據(jù)（口令/

證書/私鑰）等，涉及的系統(tǒng)及設(shè)備包括VNF、MANO、PIM、分光設(shè)備等。

b)應(yīng)做好數(shù)據(jù)的分級分類管理、數(shù)據(jù)訪問權(quán)限管理，應(yīng)形成網(wǎng)絡(luò)數(shù)據(jù)資產(chǎn)清單、涉敏人員庫清

單并及時(shí)報(bào)備。

c)應(yīng)做好數(shù)據(jù)的操作行為管理，應(yīng)嚴(yán)格落實(shí)“4A管控”要求，實(shí)施賬號管理、認(rèn)證管理、授

權(quán)管理、安全審計(jì)措施，禁止繞過“4A管控”進(jìn)行系統(tǒng)及設(shè)備維護(hù)操作，禁止擅自停用“4A

管控”措施；對于涉及高價(jià)值信息的高風(fēng)險(xiǎn)操作，必須由兩人或以上有相應(yīng)權(quán)限的人員共同

協(xié)作完成操作，防止部分擁有高權(quán)限賬號的操作人員濫用權(quán)限違規(guī)獲取、篡改相關(guān)信息。

d)應(yīng)做好數(shù)據(jù)的全生命周期管理，在數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、共享和銷毀等環(huán)節(jié)，嚴(yán)格

落實(shí)安全管控措施。

e)數(shù)據(jù)的對外共享（包括網(wǎng)絡(luò)鏡像和分光節(jié)點(diǎn)）應(yīng)嚴(yán)格按照“目的合理、程序合規(guī)、最小夠用、

分級審批、合理授權(quán)”的原則執(zhí)行。

f)系統(tǒng)維護(hù)人員不得以任何方式違法違規(guī)獲取、保存、復(fù)制、修改、刪除5G網(wǎng)絡(luò)的各類數(shù)據(jù)。

g)應(yīng)制定數(shù)據(jù)安全應(yīng)急預(yù)案并定期開展演練，發(fā)生網(wǎng)絡(luò)數(shù)據(jù)安全事件時(shí)應(yīng)及時(shí)采取補(bǔ)救措施并

向上級部門報(bào)告。

5.6安全補(bǔ)丁管理

對5G網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施（服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備）、虛擬層（虛擬化軟件、HostOS、VIM）、

網(wǎng)元（GuestOS、中間件、數(shù)據(jù)庫等）以及編排管理系統(tǒng)（NFVO、VNFM）等開展安全補(bǔ)丁管理。

a)通過漏洞掃描，及時(shí)地發(fā)現(xiàn)5G網(wǎng)絡(luò)中存在的安全漏洞以及需要安裝的漏洞補(bǔ)丁，對于發(fā)現(xiàn)

存在嚴(yán)重安全預(yù)警或高危漏洞的系統(tǒng)，以及有互聯(lián)網(wǎng)暴露面的端口或服務(wù)，需在規(guī)定時(shí)限內(nèi)

完成安全處置。對于無補(bǔ)丁的漏洞，需做好訪問控制策略，并加強(qiáng)安全監(jiān)測。

3

YD/TXXXX—XXXX

b)根據(jù)安全影響的嚴(yán)重程度以及對業(yè)務(wù)影響的評估，對5G網(wǎng)絡(luò)中各系統(tǒng)、設(shè)備更新補(bǔ)丁。在

進(jìn)行補(bǔ)丁更新之前，需要對補(bǔ)丁進(jìn)行兼容性測試，測試通過后部署到生產(chǎn)系統(tǒng)。

c)可使用自動(dòng)化工具對補(bǔ)丁文件進(jìn)行管理，對于通過兼容性測試的補(bǔ)丁進(jìn)行批量化的下發(fā)和安

裝操作。

5.7系統(tǒng)變更與配置管理

5G網(wǎng)絡(luò)各系統(tǒng)應(yīng)建立完善的數(shù)據(jù)備份與恢復(fù)機(jī)制，制定系統(tǒng)變更方案及流程，配置調(diào)整也應(yīng)納

入變更范疇，支持文件級的全量備份或增量備份，保存增量更改以提高備份效率，支持虛擬機(jī)以及

文件級的熱備份及冷備份，定期執(zhí)行災(zāi)難備份恢復(fù)能力的檢測，更新備份關(guān)鍵數(shù)據(jù)。

5.8證書管理

針對5G網(wǎng)絡(luò)網(wǎng)元間TLS協(xié)議等場景的數(shù)字證書，應(yīng)從證書申請、使用、更新、密鑰備份等環(huán)節(jié)加

強(qiáng)安全要求。

a)應(yīng)使用安全的隨機(jī)數(shù)生成器產(chǎn)生公私密鑰對。

b)應(yīng)對私鑰進(jìn)行加密存儲(chǔ)、備份，禁止私鑰以明文形式導(dǎo)出專用密碼設(shè)備，應(yīng)以加密方式從專

用密碼設(shè)備導(dǎo)入到5G網(wǎng)元中。

c)應(yīng)對私鑰進(jìn)行加密存儲(chǔ)，禁止非授權(quán)訪問，禁止以明文方式導(dǎo)出。

d)證書應(yīng)設(shè)置合理有效期。

e)系統(tǒng)或設(shè)備應(yīng)支持周期性檢查證書是否過期或即將過期，對于已過期或即將過期的證書進(jìn)行

提醒。

5.9安全監(jiān)測要求

5G網(wǎng)絡(luò)安全運(yùn)維應(yīng)定期對資產(chǎn)管理、賬號口令、合規(guī)配置、漏洞和補(bǔ)丁管理等進(jìn)行安全監(jiān)控。

a)5G網(wǎng)絡(luò)中各網(wǎng)元、OMC以及MANO、SDN控制器等應(yīng)通過4A接口或人工導(dǎo)入等方式全量接入

網(wǎng)絡(luò)安全資產(chǎn)管理平臺。