中国移动5G网络与业务安全基准测评规范

G全基准测评规范1.编制说明 12.参考文件 13.缩略语 14.测试对象 24.1网络架构 24.2测评对象及测评工具 34.3测评环境要求 34.4测试方法 35.网络安全防护能力 45.15G基础安全功能 4...................................................................................................................5.2.2数据库安全.....................................................................................................................5.4NFV隔离与访问控制(SA)........................................................5.5网络切片安全(SA)..................................................................5.6边缘计算安全(SA).............................................UPF安全防护能力..............................................6.安全防御能力....................................................6.1安全检测能力.............................................................................................7.系统安全基线................................................................................................8.业务安全.........................................................G.....................8.1.1增强型移动宽带使用场景(eMBB)风险评估......................8.1.2低时延高可靠连接使用场景(uRLLC)风险评估...................8.1.3海量低功耗使用场景(mMTC)风险评估.........................8.2新技术与新业务评估.............................................9.数据安全.........................................................9.1数据采集安全...................................................9.2数据传输安全...................................................9.3数据存储安全................................................... 4 4 5 6 6 7 7 8 8 8 8 9 9 9 9 10 10 10 11 11 12 12 12 13 13 13 13 14 14 14 14 15 15G全基准测评规范9.4数据处理安全 169.5数据交换安全 169.6数据销毁安全 1710.安全应急 1710.1应急管控能力 1710.2业务应急演练 1711．容灾与恢复 1811.1网络容灾 1811.2网元容灾 1811.3资源池容灾 1911.4大区容灾 1911.5备份恢复 2012.安全可控 2012.1关键设备与功能安全可控 2012.1.1关键设备安全可控 2012.1.2关键功能安全可控 2112.2人员安全 2112.2.1人员管理 2112.2.2第三方人员安全 2213．安全运维 2314.安全监管 2314.1上网日志留存 2314.2话单(通话)留存 2414.3不良信息管控系统覆盖 2414.4安全审计 25G全基准测评规范1网元安全功能及配置要求请参照各专业部门安全技术规范。参考文件GPPTS3GPPSystemArchitectureEvolution(SAE);ityarchitectureGPPTSSecurityarchitectureandproceduresfor5GsystemGPPTS1SystemArchitectureforthe5GSystemGPPTSCatalogueofgeneralsecurityassurancerequirements缩略语nsibleAuthenticationPortocolFetworkFunctionFNetworkRepositoryFunctionFlowIdentityityofServiceAccessNetworkoAccessTyperequencySelectionPriorityG全基准测评规范2S1-UX2S1-UX2ontextManagementAnchorFunctionanagementFunctionandServiceContinuityberPermanentIdentifierTrackingAreaIDifiedDataManagementerEquipment测试对象业务平台IMSS1-S1-C/S1-UCSCSEPC+eNodeBgNodeBNSAUE图1.我公司NSA网络系统架构图3AUSFUDMNN8N10N12N11N7N5N2AMFSMFPCFAFN4N14AUSFUDMNN8N10N12N11N7N5N2AMFSMFPCFAFN4N14N15UE(R)ANUPFDNN3N6N1NSSFNN22N92)虚拟化环境工作正常，网管系统工作正常。业部门的技术规范。45.网络安全防护能力G础安全功能5.1.1认证LAQWLRZ1.网络具备安全认证能力1.是否具有用户接入网络认证能力2.用户接入网络时是否启用认证功能5.1.2加密LAQKKJM1.网络具备信令机密性保护能力ZUC算法；NAS加密是□否□5NAS密是否使用ZUC算法是□否□AS具有加密能力AS是□否□AS加密是否使用ZUC算法是□否□7.用户数据面是否具有加密能力8.用户数据面是否启用加密是□否□9.用户数据面是否使用ZUC算法是□否□5.1.3完整性LAQXLWZX1.网络具备信令完整性保护能力NAS完整性是□否□6NAS整性是否使用ZUC算法是□否□AS具有完整性保护能力AS性是□否□AS完整性是否使用ZUC算法是□否□7.用户面数据是否具有完整性保护能力8.用户面数据是否启用完整性是□否□9.用户面数据完整性保护是否使用ZUC是□否□全5.2.1操作系统安全TRJCZXTA全要求1.具备统一的操作系统安全配置要求2.依据要求开展安全配置要求；2.漏洞扫描；3.渗透性测试。7TRJSJKA要求1.具备统一的数据库安全配置要求2.依据统一的要求开展数据库安全配置；2.漏洞扫描；3.渗透性测试。2.3中间件安全RJZJJA1.具备统一的中间件安全配置要求2.依据统一的要求开展安全配置2.漏洞扫描；3.渗透性测试。求是□否□8评估实施方案进行。5.3.1安全隔离能力WLJGAQGL1.网络具备统一的安全隔离能力要求，例如安全域划分要求2.网络依据统一要求实施了安全隔离和安全域划分离要求；2.核实是否按照业务安全需求，进行安全域划分。1.是否具有安全隔离能力是□否□2.是否进行了安全域划分是□否□5.4.1虚拟化网络隔离能力FVGLXNHWLGL虚拟化网络资源具有安全隔离能力虚拟机资源；在多台物理机上分别创建虚拟机；4.进行安全域划分，并测试互通情况。1.同一物理机的不同虚拟机的虚拟化网2.不同物理机的大量虚拟化资源是否可是□否□95.5网络切片安全(SA)5.5.1切片接入认证LQPQPJRRZ切片认证能力4.测试终端开机附着网络；试终端是否成功附着切片S。1.网络是否具备网络切片认证能力2.网络是否启用网络切片认证能力5.6边缘计算安全(SA)YJSMECPTFH3.进行安全漏洞扫描等操作，查看平台是否检测到攻击。2.是否具备入侵检测能力YJSUPFFHUPF防篡改等安全防护能力3.UPF与核心网通信接口应具备安全防.安全防御能力FYAQJC1.具有安全检测能力2.是否具备统一的配置要求，并按照配置要求进行配置。是□否□2.是否依据统一要求进行配置是□否□能力FYSBAQFH进行配置管理2.核查网络安全设备的基线配置是否按要求进行。访问控制能力FYWLFWKZ进行配置管理.系统安全基线备安全基线BAQWLSB1.设备是否具有统一的安全要求2.网元设备是否按照统一要求进行配置1.检查网络单元中基础网络设备(交换机、路由器、负载均衡2.漏洞扫描；3.渗透性测试。是□否□控RJTYAQGK管控能力是□否□是□否□全G业务安全特性评估G务以及商务模式在发展初期并不明确，初期业务安全主要关注三类场景是否考虑关键的安全8.1.1增强型移动宽带使用场景(eMBB)风险评估TYYWAQTXeMBBG即传等业务开是□否□8.1.2低时延高可靠连接使用场景(uRLLC)风险评估WAQTXuRLLC估1.查看资料等核实是否对工业控制、自动驾驶等场景业务开展安务是□否□8.1.3海量低功耗使用场景(mMTC)风险评估WAQTXEMBB是□否□8.2新技术与新业务评估WAQXJS估要求与新业务评估1.审查新技术与新业务评估报告，确认新技术与新业务安全评估是□否□安全9.1数据采集安全JAQSJCJ集安全标准流程是□否□准流程是□否□9.2数据传输安全JAQSJCS是□否□9.3数据存储安全JAQSJCC是□否□9.4数据处理安全JAQSJCL析安全规范是□否□范是□否□9.5数据交换安全JAQSJJH入导出安全规范是□否□全规范是□否□9.6数据销毁安全JAQSJXH是□否□力YJYJGK1.具备网络应急管控的能力流程；2.具有特殊事件发生时采用技术手段对上网、通信进行管控的1.是否具有应急管控要求及流程是□否□2.是否具有应急管控的技术手段是□否□YJYJYL1.具有应急管控演练的要求及实践定应急管控演练相关管理制度；2.核实是否按照相关管理制度进行演练。1.是否具有应急管控演练相关管理制度是□否□2.是否按照相关管理制度进行演练是□否□LJGRZ1.网络结构具备容灾能力2.网络关键设备不存在单点故障问题1.核实路由器、交换机等关键设备是否具备单点故障后按照主2.核实防火墙是否按照主备方式进行设置。1.路由器、交换机是否具备了主备设置是□否□2.防火墙是否具备了主备设置和抵御单是□否□YJWYRZ1.关键网元具备容灾的能力流程；2.了解是否具有网元容灾的能力。1.是否具有网元级容灾管理要求及流程是□否□2.是否具有网元级容灾的能力是□否□YJZYCRZ1.核心网具备资源池容灾的能力程；2.了解、分析是否具有资源池级容灾的能力。1.是否具有资源池级容灾管理要求及流程是□否□2.是否具有资源池级容灾的能力是□否□YJDQRZ1.网络具备大区容灾的能力程；2.了解、分析网络是否具有大区容灾的能力。1.是否具有大区级容灾管理要求及流程是□否□2.是否具有大区级容灾的能力是□否□YJBFHF1.业务中断后的备份与恢复能力机制；2.核查业务系统的备份是否按要求进行备份恢复。1.是否具备备份恢复机制是□否□2.是否按要求备份恢复工作是□否□全可控KKSBAQ1.关键设备(4类18款)满足安全可控要求息；2.记录交换机的品牌及版本信息；4.记录存储等设备品牌信息；1.路由器是否满足安全可控要求是□否□2.交换机是否满足安全可控要求是□否□PC可控要求是□否□4.安全类设备是否满足安全可控要求是□否□5.存储类设备是否满足安全可控要求是□否□KKGNAQ1.部分关键功能安全可控能力2.评估功能是否具有切换能力。是□否□2.基站等传输是否主用北斗3.评估关键功能是否具备切换能力是□否□AQRYGL1.人员安全管理制度全管理制度；2.依据人员管理制度进行严格管理。1.是否具有人员安全管理制度是□否□2.是否基于要求签署安全保密协议等是□否□FARYAQ制度；1.是否具有第三方安全管理制度是□否□2.是否与第三方人员、公司签署的保密是□否□3.是否对第三方远程接入、网元访问等是□否□YWAQYW件分析、日志、操作稽核等任务；2.查看相关运维检测、