for customergbss15.1特性01-cn gbts设备和om安全gbss

1、GSM BSSGBSS15.1GBTS 设备和 OM 安全特性参数描述文档版本发布日期012013-09-30技术2013。 保留一切权利。和个人不得擅自摘抄、非经本公司，任何本文档内容的部分或全部，并不得以。商标和其他商标均为技术的商标。本文档提及的其他所有商标或商标，由各自的所有人拥有。注意您的产品、服务或特性等应受公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的明或保证。或使用范围之内。除非合同另有约定，公司对本文档内容不做任何明示或默示的声由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和

2、建议不任何明示或暗示的担保。技术总部办公楼：518129地址：市龙岗区坂田htt：客户服务邮箱： 客户服务：iGSM BSSGBTS 设备和 OM 安全特性参数描述目 录目 录简介1范围1目标读者11.3 变更.1概述3设备安全4物理安全4安全 USB44 运维系统安全54.14.1.14.1.24.1.34.2策略5安全策略5安全使用规则5/传输规则5数字签名54.3 安全审计64.3.15运维事件6.8工程指南9特性开通建议10特性配置10特性去激活107 参数118 性能指标129 术语1310 参考文档14iiGSM BSSGBTS 设备和 OM 安全特性参数描述1 简介1简介1.1

3、范围本文介绍GBTS设备和OM安全，内容包括设备安全、运维系统安全、的工程指南。以及相关1.2 目标读者本文档的目标读者如下：ll l需要了解GBTS设备和OM安全的GBTS产品的熟悉GSM基本原理的1.3 变更本节描述不同文档版本之间的变更信息，变更信息分为以下两种类型：ll技术变更：描述GBTS设备和OM安全特性相对上一个版本的技术变更。文字变更：描述相对上一个版本的文字变更，包括原有特性的优化和补充。文档版本文档版本如下：ll01 (2013-09-30)Draft A (2013-07-30)01 (2013-09-30)GBSS15.1第一次正式发布。与Draft A (2013-0

4、7-30)相比，01 (2013-09-30)无变更。1GSM BSSGBTS 设备和 OM 安全特性参数描述1 简介Draft A (2013-07-30)该版本为Draft版本。与GBSS15.0 01 (2013-05-06)相比，GBSS15.1 Draft A (2013-07-30)无变更。2GSM BSSGBTS 设备和 OM 安全特性参数描述2 概述2 概述GBTS设备和OM安全特性的目标是提供GBTS设备和平面的安全，解除或者说降低。表2-1列出了设备和设备和在通道上可能受到的通道上可能受到的和解决措施。表 2-1 设备和操作接口的和措施通过告警可及时发现和处理运维安全的事情

5、。同时，的运维事件可为评审运维安全提供依据，确保GBTS运行的安全性。本文介绍GBTS设备和OM安全，eGBTS设备和OM安全请参见性参数描述。设备和OM安全特3描述安全措施设备安全的硬件机房及室外型加锁获取配置文件安全USB（Universal Serial Bus）运维系统安全通过操作接口，的重要数据被删除或者盗窃，例如配置信息或者版本信息策略、安全审计加载版本，控制数字签名通过操作接口，登录/控制/操作，该是通道的主要策略通过近端调试网口控制端口安全管理GSM BSSGBTS 设备和 OM 安全特性参数描述3 设备安全3设备安全3.1 物理安全物理安全主要是指物理上的安全措施，目前采用的

6、是机房及室外型加锁方式。对于室内型，可通过对机房加锁或门禁系统保证设备安全。对于室外型，机柜本身配备锁，保障设备安全。3.2 安全 USBGBTS支持在近端使用USB开站，一旦USB中的来极大的安全隐患。USB安全是指对开站USB中配置文件，将对用户网络带的配置文件进行加密和完整性保护，以保证USB中配置文件的性和完整性。当安全USB出厂时，安全USB中包含的配置文件已加密并进行完整性保护。当该USBGBTS主控板的USB接口进行开站时，安全USB中的随机数结合部分信息生成密钥和完整性校验密钥，先进行完整性保护校验，再进行。完整性保护算法支持HMAC_SHA1、HMAC_SHA256。加密算法

7、支持3DES、AES192、AES256。4GSM BSSGBTS 设备和 OM 安全特性参数描述4 运维系统安全4运维系统安全4.1策略GBTS SMT（Service Ma进行修改，保障安全性。enance Terminal）登陆用户名允许在远端（BSC LMT）4.1.1安全策略管理员可以在远端（BSC LMT）修改SMT登陆用户名和，GBTS只支持一套SMT登陆用户。4.1.2安全使用规则为确码不被泄漏和盗用，在操作界面输入时，不以明文显示，而用*代替。4.1.3/传输规则除对有安全保障措施外，系统对用户帐户信息的安全提供如下保障：ll在本地SMT登陆时时使用SHA1算法加密采用加密的

8、方式传输4.2数字签名数字签名用于解决从发布到网元最终使用过程中，来源无法认证。通过对进行数字签名，保证完整且来源任。从发布到最终使用的流程中，仅通过CRC（Cyclic Redundancy Check）校验来的完整性。从CRC校验的原理来看，CRC校验能够保证数据在传输过程中没有原有保证丢失。如果数据在传输过程中被篡改，再重新计算CRC值，那么接收方无法确认收到的数据是否是原始数据，也无法确定数字签名，来解决该安全隐患。的来源是否，存在安全隐患。所以采用当发布时，需要对包进行数字签名，并将数字签名信息随包一起发布。通过层层传递，最终被到GBTS上。GBTS在使用该包前，先对携带的5GSM

9、BSSGBTS 设备和 OM 安全特性参数描述4 运维系统安全数字签名进行认证。认证通过后，表示该完整且。来源任，可以使用该包；否则，表示包，不使用该数字签名的原理如图4-1所示。图 4-1数字签名原理如图4-1所示，数据签名流程如下：1.在包发布前，需要对包中的所有文件进行数字签名：对包中的所有文件计算消息摘要后，使用私钥对消息摘要进行签名，得到包的数字签名。2.发布/M2000/BSC LMT/USB等介质加载到当带有数字签名的包通过M2000或GBTS上时，M2000或GBTS首先对包的数字签名进行认证：使用公钥对数字签名进行行比较。，获得原始消息摘要，并重新对计算消息摘要，将两者进l

10、如果比较结果一致，表示认证通过，可以使用该l 如果比较结果不一致，表示认证失败，则通知客户过程自动停止。继续安装或升级。包不正确，安装或升级说明数字签名中所使用的公钥在M2000和GBTS的安全区内，不可查询或导出。4.3 安全审计4.3.1运维事件网元的日志网元运行过程中的系统安全和用户操作的日志，即相关的事件。与网元运维安全操作日志操作日志指用户或系统通过LMT、M2000系统，向GBTS发起令操作，并将最终导致的结果保存，作为操作日志。由于GBTS不是独立的网元，所有操作依赖于控制器，目前操作日志是在控制器中。6GSM BSSGBTS 设备和 OM 安全特性参数描述4 运维系统安全操作日

11、志的范畴包含以下场景：l操作通过本地终端或通过，对GBTS删除、修改、创建、查询、加载、倒换等本地系统或作。操作。定时任务发起的删除、修改、创建、查询、加载、倒换等l操系统日志系统日志主要用于GBTS系统运行情况的信息。系统日志可用于了解GBTS运行状况、故障排查、遭遇安全事件定位和现状了解。这里所说的系统仅指自行开发的应用系统，这里系统日志为GBTS的系统日志。系统日志的范畴包含以下场景：ll l l l系统运行过程中的异常状态和异常动作，如过程执行失败、定时器超时。系统运行过程中的关键事件，如系统启动、系统关闭。系统进程的运行情况，如进程启动、进程退出、进程挂死。系统关键线程的运行情况，如

12、线程启动、线程挂起、线程退出、线程挂死。系统资源的占用情况，如CPU（Central Pro率。sing Unit）、内存和硬盘的占用7GSM BSSGBTS 设备和 OM 安全特性参数描述55GBTS方案主要指端口安全管理。端口安全管理包括如下内容：l通信矩阵管理通信矩阵定义对外开放的协议端口（TCP/UDP），作为端口管理的基础。相关内容请参见3900 GSM系列通信矩阵。l关闭调试网口或调试网口上的协议端口对于调试网口在不使用时，可以关闭调试网口上的所有输入和输出，使调试网口关闭。当GBTS近端调试网口开启时，若调试服务端口不使用，则将对应的端口禁 用，保证系统的安全性。8GSM BSS

13、GBTS 设备和 OM 安全特性参数描述6 工程指南6 工程指南本章节介绍配置GBTS设备和OM安全相关的工程指南。9GSM BSSGBTS 设备和 OM 安全特性参数描述6 工程指南6.1 特性开通建议如考虑设备与运维的安全性，则可采取如表6-1所示的功能。表 6-1 设备与运维安全相关场景与措施6.2 特性配置禁用调试网口，配置MO BTSLOCALETHPORT，关键参数说明如下：6.3 特性去激活启用被禁用的调试网口，配置MO BTSLOCALETHPORT，关键参数说明如下：10参数含义参数ID配置建议网口开关MPSWITCH(GSM BSC6900,GSM BSC6910)参数值设

14、置为“ENABLE(启用)”参数含义参数ID配置建议网口开关MPSWITCH(GSM BSC6900,GSM BSC6910)参数值设置为“DISABLE(禁用)”场景采取措施（功能/特性）说明调试网口或调试网口上的协议端口暂不使用时，存在安全隐患关闭调试网口或调试网口上的协议端口禁用暂不使用的portGSM BSSGBTS 设备和 OM 安全特性参数描述7 参数7 参数表 7-1 参数描述11参数ID所属网元所属命令特性特性名称描述MPSWITCHBSC6900SET BTSLOCALE THPORTGBFD-118611Abis接口IP over E1/T1含义: 该参数表示是否启用基站网口。界面取值范围: DISABLE(禁用), ENABLE(启用): 无实际取值范围: DISABLE, ENABLE缺省值: DISABLE(禁用)MPSWITCHBSC6910SET BTSLOCALE THPORTGBFD-118611Abis接口IP over E1/T1含义: 该参数表示是否启用基站网口。界面取值范围: DISABLE(禁用), ENABLE(启用): 无实际取值范围: DISABLE, ENABLE缺省值: DISABLE(禁用)GSM BSSGBTS 设备和 OM 安全特性参数描述8 性能指标8 性能指标本