YDT 4488-20235G移动通信网 安全运维技术要求

ICS33.060.9933.060.99

CCSM36YD

中华人民共和国通信行业标准

YD/T×××××—××××

5G移动通信网安全运维技术要求

Technicalrequirementof5Gmobilecommunicationnetwork

operationsecurity

(报批稿）

xxxx-××-××发布xxxx-××-××实施

中华人民共和国工业和信息化部发布

YD/TXXXX—XXXX

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规

定起草。

请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。

本文件由中国通信标准化协会提出并归口。

本文件起草单位：中国移动通信集团有限公司、中国信息通信研究院、中国电信集团有限公司、

中国联合网络通信集团有限公司、华为技术有限公司、中兴通讯股份有限公司、博鼎实华（北京）

技术有限公司、郑州信大捷安信息技术股份有限公司。

本文件主要起草人：杜海涛、庄小君、冉鹏、粟栗、谢懿、袁琦、沈军、白景鹏、吴荣、胡力、

杨春建、李燕、游世林、刘为华、靳涛、谢泽铖、吕明、王悦。

II

YD/TXXXX—XXXX

5G移动通信网安全运维技术要求

1范围

本文件规定了5G网络运维管理的安全技术要求，包括设备安全、账号口令安全等通用安全运维

要求，以及NFV基础设施、5G网元安全、网络切片、边缘计算和安全应急响应管理等安全运维要求。

本文件适用于5G移动通信网的安全运维。

2规范性引用文件

本文件没有规范性引用文件。

3术语、定义和缩略语

3.1术语和定义

本文件没有需要界定的术语和定义。

3.2缩略语

下列缩略语适用于本文件。

4A认证、授权、计费、审计AuthenticationAuthorizationAccountAudit

API应用程序接口ApplicationProgrammingInterface

DDoS分布式拒绝服务DistributedDenialofService

IPS入侵防御系统IntrusionPreventionSystem

MANO管理和编排ManagementandOrchestration

NFVO网络功能虚拟化协调器NetworkFunctionsVirtualizationOrchestrator

NSD网络服务描述符NetworkServiceDescriptor

OMC运维管理中心OperationManagementCenter

PIM物理基础设施管理器PhysicalInfrastructureManager

SDN软件定义网络SoftwareDefinedNetworking

SSH安全外壳SecureShell

VIM虚拟化基础设施管理器VirtualizedInfrastructureManager

VLAN虚拟局域网VirtualLocalAreaNetwork

VNF虚拟化网络功能VirtualizedNetworkFunction

VNFD虚拟化网络功能描述符VirtualizedNetworkFunctionDescriptor

VNFM虚拟化网络功能管理器VirtualizedNetworkFunctionManager

WAFWeb应用防火墙WebApplicationFirewall

45G安全运维的目标及对象

4.1安全运维的目标

1

YD/TXXXX—XXXX

5G安全运维的目标是通过安全运维提高5G网络的运行质量，做到设备资产清晰、网络运行稳定

有序、事件处理处置有方、安全措施有效到位，从而提升网络支撑能力，提高网络管理、安全管理

水平，确保5G网元、NFV基础设施的硬件和软件等运行的可靠性、保密性和完整性。

4.2安全运维的对象

5G安全运维的对象为NFV基础设施、SDN设备、5G网元、网络切片、MEC的硬件和软件。NFV基础

设施安全运维包括物理硬件安全、虚拟化层安全、MANO安全等运维要求；SDN安全运维包括SDN控制

器、交换机（含SDN网关、虚拟交换机）等运维安全要求；5G网元安全运维包括针对AMF、SMF、UPF、

NSSF、NRF、NEF、SMSF、PCF、BSF、NWDAF、UDM、UDR等运维安全要求；网络切片安全运维包括针对

切片隔离、切片管理和编排等运维安全要求；MEC安全运维包括MEC的基础设施、MEC平台、MEC编排

系统等运维安全要求。

5通用安全运维要求

5.1入网安全验收

5G网络系统接入生产环境前，应根据5G网络安全验收要求开展相关组件的安全功能测试。网络

维护人员应按照网络安全要求进行全面安全测试和评估，并形成入网安全验收报告，在设备入网前

减少和消除安全隐患。入网安全验收应包含以下内容。

a)入网设备安全检查，包括检查网元、OMC、NFVO、VNFM、VIM、SDN控制器、防火墙、路由器

等设备的账号、服务端口、系统日志、弱口令、漏洞、防病毒软件以及网元特有安全功能等

是否按照设备相关安全配置要求及相关安全技术要求等进行了设置，并已经开启。具体包括。

—检查设备是否存在无主账号、默认账号（系统必备的账号除外）。

—检查设备是否已对系统的端口和服务等基础安全信息进行备案；所有必须开放的端口

其对应的应用软件和功能必须列表登记，不允许存在非必要的开放端口。

—检查设备的系统层、数据库和应用层是否已为用户越权访问、用户权限升级、更改口

令、新建用户、非正常时间登录、多次错误登录、审计策略更改或其他异常事件具备

日志记录功能，如不能具备相关日志记录功能必须备案；检查对日志访问设置了权限，

并且不允许篡改。

—检查登录设备所使用的口令的复杂度。对于采用静态口令认证的设备，口令至少由8

位及以上，至少含大小写字母、数字及特殊符号中的3种组成，不能以姓名、电话号

码等作为口令或者口令的组成部分。

—通过使用评估工具对评估范围内的系统和网络进行安全扫描，查找网络结构、网络设

备、服务器主机、数据库、中间件和用户账号/口令等安全对象目标存在的安全漏洞，

不允许存在严重风险、高风险漏洞以及中风险漏洞。

—检查安装通用操作系统的设备是否已经安装指定授权的防病毒软件，并且检查病毒库

是否已更新到最新。

—检查网元业务流程（如UE附着网络的流程、UE位置更新的流程等）和通信协议（如

远程维护网元使用的是SSHv2，网元之间SBI接口使用的是HTTPS等）是否符合要求，

是否存在漏洞等。

b)网络安全架构检查，包括对网络资产、拓扑、安全域、防火墙、路由器等的配置（如：安全

域拓扑、安全域内资产情况、VLAN访问控制策略、边界互联等情况）进行检查，检查其是

否符合建设方案，检查防火墙的策略是否有详细的用途说明，要求防火墙进行双向访问控制

并且已按照最小化权限的原则配置防火墙策略。

2

YD/TXXXX—XXXX

c)渗透测试，包括有渗透经验的安全运维人员使用扫描工具、漏洞验证、脚本等方式进一步检

查网络中存在的安全风险点。

5.2安全资产管理

5G网络应进行网络安全资产清单编制，并维护资产清单的准确性与完整性。资产清单属性包括

但不限于资产名称、所处位置、所属系统、资产责任人、设备类型、设备厂商、IP地址、系统信息、

端口信息、服务信息、中间件信息、程序应用框架信息、应用软件信息、资产分类、安全级别等，

应参照网络安全等级保护、关键信息基础设施保护、网络数据安全等要求确定网络安全资产管理系

统的安全级别，实施相应的安全防护措施以保证网络安全资产信息的保密性、完整性和可用性。

5.3定级备案要求

5G网络相关系统和设备，应严格遵守网络安全定级备案要求，对所维护系统或网元进行定级备

案，应全量、真实的填报定级备案信息，并按照相关要求定期完成符合性评测和风险评估工作。

5.4账号口令要求

对于5G网络各层、各域、各应用的各类账号口令管理要求，应明确账号的生命周期、账号分配

原则、口令配置规则，对账号和口令进行严格管控。系统维护人员应按所属企业要求对所管理维护

的系统、软硬件设备的账号口令加强管理，不得使用弱口令、易猜解口令，定期修改口令并妥善保

管账号口令等。

5.5数据安全要求

5G网络数据安全管理应严格遵守数据安全要求，包括如下内容。

a)5G网络的数据包括但不限于原始码流、客户信息、资源数据、配置数据、认证数据（口令/

证书/私钥）等，涉及的系统及设备包括VNF、MANO、PIM、分光设备等。

b)应做好数据的分级分类管理、数据访问权限管理，应形成网络数据资产清单、涉敏人员库清

单并及时报备。

c)应做好数据的操作行为管理，应严格落实“4A管控”要求，实施账号管理、认证管理、授

权管理、安全审计措施，禁止绕过“4A管控”进行系统及设备维护操作，禁止擅自停用“4A

管控”措施；对于涉及高价值信息的高风险操作，必须由两人或以上有相应权限的人员共同

协作完成操作，防止部分拥有高权限账号的操作人员滥用权限违规获取、篡改相关信息。

d)应做好数据的全生命周期管理，在数据采集、传输、存储、使用、共享和销毁等环节，严格

落实安全管控措施。

e)数据的对外共享（包括网络镜像和分光节点）应严格按照“目的合理、程序合规、最小够用、

分级审批、合理授权”的原则执行。

f)系统维护人员不得以任何方式违法违规获取、保存、复制、修改、删除5G网络的各类数据。

g)应制定数据安全应急预案并定期开展演练，发生网络数据安全事件时应及时采取补救措施并

向上级部门报告。

5.6安全补丁管理

对5G网络中的基础设施（服务器、网络设备、安全设备）、虚拟层（虚拟化软件、HostOS、VIM）、

网元（GuestOS、中间件、数据库等）以及编排管理系统（NFVO、VNFM）等开展安全补丁管理。

a)通过漏洞扫描，及时地发现5G网络中存在的安全漏洞以及需要安装的漏洞补丁，对于发现

存在严重安全预警或高危漏洞的系统，以及有互联网暴露面的端口或服务，需在规定时限内

完成安全处置。对于无补丁的漏洞，需做好访问控制策略，并加强安全监测。

3

YD/TXXXX—XXXX

b)根据安全影响的严重程度以及对业务影响的评估，对5G网络中各系统、设备更新补丁。在

进行补丁更新之前，需要对补丁进行兼容性测试，测试通过后部署到生产系统。

c)可使用自动化工具对补丁文件进行管理，对于通过兼容性测试的补丁进行批量化的下发和安

装操作。

5.7系统变更与配置管理

5G网络各系统应建立完善的数据备份与恢复机制，制定系统变更方案及流程，配置调整也应纳

入变更范畴，支持文件级的全量备份或增量备份，保存增量更改以提高备份效率，支持虚拟机以及

文件级的热备份及冷备份，定期执行灾难备份恢复能力的检测，更新备份关键数据。

5.8证书管理

针对5G网络网元间TLS协议等场景的数字证书，应从证书申请、使用、更新、密钥备份等环节加

强安全要求。

a)应使用安全的随机数生成器产生公私密钥对。

b)应对私钥进行加密存储、备份，禁止私钥以明文形式导出专用密码设备，应以加密方式从专

用密码设备导入到5G网元中。

c)应对私钥进行加密存储，禁止非授权访问，禁止以明文方式导出。

d)证书应设置合理有效期。

e)系统或设备应支持周期性检查证书是否过期或即将过期，对于已过期或即将过期的证书进行

提醒。

5.9安全监测要求

5G网络安全运维应定期对资产管理、账号口令、合规配置、漏洞和补丁管理等进行安全监控。

a)5G网络中各网元、OMC以及MANO、SDN控制器等应通过4A接口或人工导入等方式全量接入

网络安全资产管理平台。安全管理员应开展网络安全资产属性采集工作，建立资产档案，参

照实际情况通过手工、自动化等方式对网络安全资产信息进行核查。安全管理员应周期性开

展网络安全资产稽核工作，对比在网安全资产信息与安全资产库信息，采用远程指纹扫描、

自有资产识别等多种方式，及时发现资产信息问题。

b)应定期对5G网元进行合规配置检查，包括检查5G网元的操作系统、数据库和中间件的配置

是否满足安全基线要求等。

c)应定期通过扫描工具、漏洞验证、脚本等方式检测安全风险，并及时通知业务系统管理部门

整改处置，查漏补缺，防止系统存在远程代码执行、DDoS等漏洞。

d)应将部署在5G网络安全域边界的监测设备产生的安全日志、安全事件，通过接口统一上报

到安全态势感知平台，进行集中化的安全监测及告警处置。

6NFV基础设施安全运维要求

6.1虚拟化层安全运维

虚拟层的安全运维要求包括：

a)Hypervisor的安全管理和安全配置应采取服务最小原则，禁用不必要的服务。

b)Hypervisor的虚拟化软件接口，应严格限定为管理虚拟机所需的API，应采用安全协议和算

法、设置访问控制规则及开启鉴权认证实现限制对管理端口的访问，原则上仅允许VIM、4A

堡垒机、应急终端的访问。

4

YD/TXXXX—XXXX

c)Hypervisor的管理接口流量应该和其它（例如业务、存储）网络流量物理隔离。

d)Hypervisor应满足安全配置合规、账号口令管理的安全要求等。

6.2PIM安全运维

PIM安全运维要求包括：

a)PIM对物理硬件有较高管理及控制权限（例如开关机等），应采用安全协议和算法、设置访

问控制开启鉴权认证实现限制对管理端口的访问，原则上仅允许MANO、4A堡垒机、应急终

端的访问。

b)PIM应启用对分布式存储服务器的证书认证，并建立安全通道，保护PIM和分布式存储服务

器之间传输的数据的机密性和完整性。

c)应对PIM纳管物理硬件的告警信息，做好日常监测及处置工作。

6.3MANO安全运维

MANO安全运维要求包括：

a)对提供web访问界面的MANO，应使用安全通信协议，并进行web安全加固。

b)在创建角色和用户时应分配最小权限。

c)MANO中不应包含明文敏感信息，敏感信息应加密保存，并支持会话超时退出功能。

d)应启用IP/MAC防欺诈，防止用户通过修改虚拟网卡的IP、MAC地址发起IP、MAC仿冒攻击。

e)在进行迁移或弹性扩缩过程中，应根据业务需求做好迁移和扩缩过程中的数据保护，防止敏

感信息泄露。虚拟机的移动性应限制在特定的安全集群内，安全集群应能与虚拟系统安全架

构的安全域相对应。

f)虚拟机镜像及模板上线前，要进行全面的安全评估，并进行安全加固。

g)上传镜像时，应约束镜像上传到固定的路径，避免用户在上传镜像时随意访问整个系统的任

意目录。

h)对虚拟机镜像仓库及快照开启口令鉴权访问，防止损坏、非授权访问、篡改、泄露。

7SDN安全运维

SDN安全运维要求包括：

a)SDN控制器应启用识别来自南向接口或者北向接口的异常流量/报文，通过限速等机制，防

止(D)DoS攻击。

b)SDN控制器应启用检测配置及策略冲突，如VLAN冲突、流表冲突、成环等会造成网络安全

隐患的问题，并在检测到冲突后进行提示。

c)远程登录SDN控制器进行维护操作时，应使用SSHv2等安全协议，并且登录时不提示敏感

信息，应接入4A进行操作维护。

d)SDN网关应开启对SDN控制器的认证，并和SDN控制器建立安全通道，保证南向接口传输数

据的机密性和完整性。

e)SDN控制器应支持使用集群方式部署，保障SDN控制器的可靠性。

85G网元安全运维要求

5G网元安全运维要求包括:

a)5G虚拟化网元进行升级、部署等操作时，应在NFVO&VNFM对软件包（VNFD、NSD）的合法性

和完整性进行校验。

5

YD/TXXXX—XXXX

b)应禁止对5G网元的非授权访问。

c)应支持流量控制，可设置5G网元的信令或数据流量的门限，并支持对超过门限的流量进行

处理（如丢弃流量或者降低处理流量的速度等）。

d)5G网元应关闭不必要的端口和服务。

应支持通过OMC对网元进行证书配置、安全基线核查等。

9网络切片安全运维要求

网络切片安全运维要求包括：

a)应支持划分安全域、设置不同VLAN等方式实现网络切片管理系统与所有网络切片之间、网

络切片之间的安全隔离。

b)网络切片管理系统与所有网络切片之间的访问应进行认证、授权，并对通信内容进行完整性、

机密性、防重放保护。

c)网络切片管理系统应对操作人员进行认证、授权，并对操作行为进行日志记录、安全审计等。

d)当网络切片租给第三方使用和维护时，网络切片管理系统应支持按照租户设置分权分域，并

对租户的管理权限进行控制，禁止租户跨网络切片访问、恶意操作其他网络切片的资源等。

e)网络切片管理系统应使用HTTPS、SFTP、SSHv2等安全协议与NFV编排和管理系统等进行通

信。

f)在网络切片生命周期管理过程中，应支持对网络切片模板、配置进行安全检查（如验证模板

的完整性、检查配置是否符合安全基线等）。

g)网络切片终止使用时，应释放该网络切片使用的相关资源，相关数据按需进行彻底删除，例

如使用文件覆写方式进行数据删除。

h)应对网络切片进行安全监控，实时掌握网络切片运行情况、可能的攻击及故障状况，并在出

现故障后采取恢复网络切片措施。

i)网络切片的基础设施安全运维要求应参考NFV基础设施的安全运维要求。

10MEC安全运维要求

MEC安全运维要求如下：

a)应提供安全审计功能，并根据运营商和MEC平台用户的职责划分，对各自部分的用户行为和

安全事件进行审计。其中，运营商负责对应用开放能力（位置服务能力、无线信息能力、QoS

服务能力、安全能力）等的安全审计，MEC平台用户负责对MEC应用的安全审计。

b)应确保运营商对MEC应用的操作可被MEC平台用户审计。审计记录应包括事件的日期和时间、

用户、事件类型、事件是否成功及其他与审计相关的信息，并确保审计记录的留存时间符合

有关法律法规要求。应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等，保证

审计数据的真实性和完整性，应保证不同MEC应用的审计数据隔离存放，并对审计数据进行

定期备份。

c)应对下沉至园区的UPF中的敏感数据进行加密存储，严格限制访问人员，禁止非授权用户访

问，敏感用户数据页面显示应进行脱敏处理，禁止本地数据导出。

d)应限制园区用户访问下沉至园区的UPF。

e)下沉至园区的UPF与运营商大网核心网、园区网络建立安全通道进行数据传输，并做好安全

隔离，应配置IP白名单互访。

f)当位于客户机房的运营商设备采用远程运维方式时，应禁掉设备本地运维的所有接口，并能

够检测本地运维接口是否打开，进行报警。支持通过加密安全通道进行远程运维，并限制远

6

YD/TXXXX—XXXX

程访问IP白名单和远程操作类型。设备的所有操作均应进行日志记录和审计。

11安全应急管理

11.1总体要求

应制定安全应急管理相关的要求，至少包括安全应急预案管理、安全事件监测、安全事件预警

以及安全事件处置。当突然发生由网络攻击、网络入侵、恶意程序等导致的，造成或可能造成严重

社会危害或影响，需要电信主管部门组织采取应急处置措施予以应对的网络中断（拥塞）、系统瘫

痪（异常）、数据泄露（丢失）、病毒传播等事件时，遵从相关主管部门要求。

11.2安全应急预案管理

应急预案应规范化管理，与相关系统生命周期匹配，即系统交维时应具备详细的安全应急预案，

系统发生变更调整时，安全应急预案相关部分同步更新，系统下线时安全应急预案及时清理。

安全应急预案应遵循制定的预案模板，针对系统可能发生的安全事件制定全面的应急措施，各

类处置操作应细化到指令，具备可操作性。

应制定本系统的安全应急演练计划，并提交给网络安全部门备案。应定期开展安全应急演练，

定级备案二级以上系统演练周期应不低于每年一次且不低于相关主管部门要求的演练周期要求。

应急演练记录应包含但不限于：演练目标、演练时间、参演人员、演练内容及与应急预案的一

致性、演练过程记录、演练总结及应急预案修订。

11.3安全事件监测

安全事件监测要求包括：

a)网络安全风险根据其造成社会影响范围和危害程度，可分为特别重大、重大、较大、一般和

其他五个级别。应根据可能造成的安全风险等级，参考运维故障告警标准化机制，将安全事

件监测结果量化定级为一级（特别重大）、二级（重大）、三级（较大）、四级（一般和其

他）。

b)应建立和完善安全风险监测手段，提供各类安全风险的主动监测与感知能力。

c)应开展7*24小时安全监控，监控范围包括但不限于：安全设备运行实时情况监控（例如：

CPU、内存占用率，硬盘占用情况等系统运行基本参数监控）、网络安全设备安全状况的监

控（例如：网络型攻击，主机入侵，应用型入侵等）。

d)针对监控发现的安全问题，进行记录并形成监控日志。

11.4安全事件预警

根据可能造成的安全事件等级，将安全预警分为紧急、高危、中危、低危四个级别。应根据安

全事件等级，对接到正式预警（公文或工单，下同）后采取临时防护措施、完成处置的时限进行要

求。

原则上，安全预警信息遵循上述要求分级管理，如上级主管部门有明确的预警处置要求，遵循

上级主管部门要求执行。应跟踪预警项进展，预警内容出现变化应及时上报，必要时调高预警级别

并采取更严格防范措施。可根据预警信息对系统的影响情况调高预警级别，但不允许调低预警级别。

11.5安全事件处置

按照安全风险级别开展处置，应根据安全事件等级，对处置时限进行要求。

在进行风险处置的同时，应及时对风险处置情况进行上报。一级（特别重大）和二级（重大）

事件，应在事件发生后口头向上级主管部门报告，在事件处理完毕后提交书面报告，应对口头和书

7

YD/TXXXX—XXXX

面报告的时限进行要求；三级（较大）和四级（一般和其他）事件汇总后于次月在每月安全报表中

向上级主管部门上报。

8

YD/TXXXX—XXXX

目次

前言...........................................................................II

1范围............................................................................1

2规范性引用文件..................................................................1

3缩略语..........................................................................1

45G安全运维的目标及对象..........................................................1

4.1安全运维的目标............................................................1

4.2安全运维的对象............................................................2

5通用安全运维要求................................................................2

5.1入网安全验收..............................................................2

5.2安全资产管理..............................................................3

5.3定级备案要求..............................................................3

5.4账号口令要求..............................................................3

5.5数据安全要求..............................................................3

5.6安全补丁管理..............................................................3

5.7系统变更与配置管理........................................................4

5.8证书管理..................................................................4

5.9安全监测要求..............................................................4

6NFV基础设施安全运维要求.........................................................4

6.1虚拟化层安全运维..........................................................4

6.2PIM安全运维...............................................................5

6.3MANO安全运维..............................................................5

7SDN安全运维.....................................................................5

85G网元安全运维要求..............................................................5

9网络切片安全运维要求............................................................6

10MEC安全运维要求................................................................6

11安全应急管理...................................................................7

11.1总体要求.................................................................7

11.2安全应急预案管理.........................................................7

11.3安全事件监测.............................................................7

11.4安全事件预警.............................................................7

11.5安全事件处置.............................................................7

I

YD/TXXXX—XXXX

5G移动通信网安全运维技术要求

1范围

本文件规定了5G网络运维管理的安全技术要求，包括设备安全、账号口令安全等通用安全运维

要求，以及NFV基础设施、5G网元安全、网络切片、边缘计算和安全应急响应管理等安全运维要求。

本文件适用于5G移动通信网的安全运维。

2规范性引用文件

本文件没有规范性引用文件。

3术语、定义和缩略语

3.1术语和定义

本文件没有需要界定的术语和定义。

3.2缩略语

下列缩略语适用于本文件。

4A认证、授权、计费、审计AuthenticationAuthorizationAccountAudit

API应用程序接口ApplicationProgrammingInterface

DDoS分布式拒绝服务DistributedDenialofService

IPS入侵防御系统IntrusionPreventionSystem

MANO管理和编排ManagementandOrchestration

NFVO网络功能虚拟化协调器NetworkFunctionsVirtualizationOrchestrator

NSD网络服务描述符NetworkServiceDescriptor

OMC运维管理中心OperationManagementCenter

PIM物理基础设施管理器PhysicalInfrastructureManager

SDN软件定义网络SoftwareDefinedNetworking

SSH安全外壳SecureShell

VIM虚拟化基础设施管理器VirtualizedInfrastructureManager

VLAN虚拟局域网VirtualLocalAreaNetwork

VNF虚拟化网络功能VirtualizedNetworkFunction

VNFD虚拟化网络功能描述符VirtualizedNetworkFunctionDescriptor

VNFM虚拟化网络功能管理器VirtualizedNetworkFunctionManager

WAFWeb应用防火墙WebApplicationFirewall

45G安全运维的目标及对象

4.1安全运维的目标

1

YD/TXXXX—XXXX

5G安全运维的目标是通过安全运维提高5G网络的运行质量，做到设备资产清晰、网络运行稳定

有序、事件处理处置有方、安全措施有效到位，从而提升网络支撑能力，提高网络管理、安全管理

水平，确保5G网元、NFV基础设施的硬件和软件等运行的可靠性、保密性和完整性。

4.2安全运维的对象

5G安全运维的对象为NFV基础设施、SDN设备、5G网元、网络切片、MEC的硬件和软件。NFV基础

设施安全运维包括物理硬件安全、虚拟化层安全、MANO安全等运维要求；SDN安全运维包括SDN控制

器、交换机（含SDN网关、虚拟交换机）等运维安全要求；5G网元安全运维包括针对AMF、SMF、UPF、

NSSF、NRF、NEF、SMSF、PCF、BSF、NWDAF、UDM、UDR等运维安全要求；网络切片安全运维包括针对

切片隔离、切片管理和编排等运维安全要求；MEC安全运维包括MEC的基础设施、MEC平台、MEC编排

系统等运维安全要求。

5通用安全运维要求

5.1入网安全验收

5G网络系统接入生产环境前，应根据5G网络安全验收要求开展相关组件的安全功能测试。网络

维护人员应按照网络安全要求进行全面安全测试和评估，并形成入网安全验收报告，在设备入网前

减少和消除安全隐患。入网安全验收应包含以下内容。

a)入网设备安全检查，包括检查网元、OMC、NFVO、VNFM、VIM、SDN控制器、防火墙、路由器

等设备的账号、服务端口、系统日志、弱口令、漏洞、防病毒软件以及网元特有安全功能等

是否按照设备相关安全配置要求及相关安全技术要求等进行了设置，并已经开启。具体包括。

—检查设备是否存在无主账号、默认账号（系统必备的账号除外）。

—检查设备是否已对系统的端口和服务等基础安全信息进行备案；所有必须开放的端口

其对应的应用软件和功能必须列表登记，不允许存在非必要的开放端口。

—检查设备的系统层、数据库和应用层是否已为用户越权访问、用户权限升级、更改口

令、新建用户、非正常时间登录、多次错误登录、审计策略更改或其他异常事件具备

日志记录功能，如不能具备相关日志记录功能必须备案；检查对日志访问设置了权限，

并且不允许篡改。

—检查登录设备所使用的口令的复杂度。对于采用静态口令认证的设备，口令至少由8

位及以上，至少含大小写字母、数字及特殊符号中的3种组成，不能以姓名、电话号

码等作为口令或者口令的组成部分。

—通过使用评估工具对评估范围内的系统和网络进行安全扫描，查找网络结构、网络设

备、服务器主机、数据库、中间件和用户账号/口令等安全对象目标存在的安全漏洞，

不允许存在严重风险、高风险漏洞以及中风险漏洞。

—检查安装通用操作系统的设备是否已经安装指定授权的防病毒软件，并且检查病毒库

是否已更新到最新。

—检查网元业务流程（如UE附着网络的流程、UE位置更新的流程等）和通信协议（如

远程维护网元使用的是SSHv2，网元之间SBI接口使用的是HTTPS等）是否符合要求，

是否存在漏洞等。

b)网络安全架构检查，包括对网络资产、拓扑、安全域、防火墙、路由器等的配置（如：安全

域拓扑、安全域内资产情况、VLAN访问控制策略、边界互联等情况）进行检查，检查其是

否符合建设方案，检查防火墙的策略是否有详细的用途说明，要求防火墙进行双向访问控制

并且已按照最小化权限的原则配置防火墙策略。

2

YD/TXXXX—XXXX

c)渗透测试，包括有渗透经验的安全运维人员使用扫描工具、漏洞验证、脚本等方式进一步检

查网络中存在的安全风险点。

5.2安全资产管理

5G网络应进行网络安全资产清单编制，并维护资产清单的准确性与完整性。资产清单属性包括

但不限于资产名称、所处位置、所属系统、资产责任人、设备类型、设备厂商、IP地址、系统信息、

端口信息、服务信息、中间件信息、程序应用框架信息、应用软件信息、资产分类、安全级别等，

应参照网络安全等级保护、关键信息基础设施保护、网络数据安全等要求确定网络安全资产管理系

统的安全级别，实施相应的安全防护措施以保证网络安全资产信息的保密性、完整性和可用性。

5.3定级备案要求

5G网络相关系统和设备，应严格遵守网络安全定级备案要求，对所维护系统或网元进行定级备

案，应全量、真实的填报定级备案信息，并按照相关要求定期完成符合性评测和风险评估工作。

5.4账号口令要求

对于5G网络各层、各域、各应用的各类账号口令管理要求，应明确账号的生命周期、账号分配

原则、口令配置规则，对账号和口令进行严格管控。系统维护人员应按所属企业要求对所管理维护

的系统、软硬件设备的账号口令加强管理，不得使用弱口令、易猜解口令，定期修改口令并妥善保

管账号口令等。

5.5数据安全要求

5G网络数据安全管理应严格遵守数据安全要求，包括如下内容。

a)5G网络的数据包括但不限于原始码流、客户信息、资源数据、配置数据、认证数据（口令/

证书/私钥）等，涉及的系统及设备包括VNF、MANO、PIM、分光设备等。

b)应做好数据的分级分类管理、数据访问权限管理，应形成网络数据资产清单、涉敏人员库清

单并及时报备。

c)应做好数据的操作行为管理，应严格落实“4A管控”要求，实施账号管理、认证管理、授

权管理、安全审计措施，禁止绕过“4A管控”进行系统及设备维护操作，禁止擅自停用“4A

管控”措施；对于涉及高价值信息的高风险操作，必须由两人或以上有相应权限的人员共同

协作完成操作，防止部分拥有高权限账号的操作人员滥用权限违规获取、篡改相关信息。

d)应做好数据的全生命周期管理，在数据采集、传输、存储、使用、共享和销毁等环节，严格

落实安全管控措施。

e)数据的对外共享（包括网络镜像和分光节点）应严格按照“目的合理、程序合规、最小够用、

分级审批、合理授权”的原则执行。

f)系统维护人员不得以任何方式违法违规获取、保存、复制、修改、删除5G网络的各类数据。

g)应制定数据安全应急预案并定期开展演练，发生网络数据安全事件时应及时采取补救措施并

向上级部门报告。

5.6安全补丁管理

对5G网络中的基础设施（服务器、网络设备、安全设备）、虚拟层（虚拟化软件、HostOS、VIM）、

网元（GuestOS、中间件、数据库等）以及编排管理系统（NFVO、VNFM）等开展安全补丁管理。

a)通过漏洞扫描，及时地发现5G网络中存在的安全漏洞以及需要安装的漏洞补丁，对于发现

存在严重安全预警或高危漏洞的系统，以及有互联网暴露面的端口或服务，需在规定时限内

完成安全处置。对于无补丁的漏洞，需做好访问控制策略，并加强安全监测。

3

YD/TXXXX—XXXX

b)根据安全影响的严重程度以及对业务影响的评估，对5G网络中各系统、设备更新补丁。在

进行补丁更新之前，需要对补丁进行兼容性测试，测试通过后部署到生产系统。

c)可使用自动化工具对补丁文件进行管理，对于通过兼容性测试的补丁进行批量化的下发和安

装操作。

5.7系统变更与配置管理

5G网络各系统应建立完善的数据备份与恢复机制，制定系统变更方案及流程，配置调整也应纳

入变更范畴，支持文件级的全量备份或增量备份，保存增量更改以提高备份效率，支持虚拟机以及

文件级的热备份及冷备份，定期执行灾难备份恢复能力的检测，更新备份关键数据。

5.8证书管理

针对5G网络网元间TLS协议等场景的数字证书，应从证书申请、使用、更新、密钥备份等环节加

强安全要求。

a)应使用安全的随机数生成器产生公私密钥对。

b)应对私钥进行加密存储、备份，禁止私钥以明文形式导出专用密码设备，应以加密方式从专

用密码设备导入到5G网元中。

c)应对私钥进行加密存储，禁止非授权访问，禁止以明文方式导出。

d)证书应设置合理有效期。

e)系统或设备应支持周期性检查证书是否过期或即将过期，对于已过期或即将过期的证书进行

提醒。

5.9安全监测要求

5G网络安全运维应定期对资产管理、账号口令、合规配置、漏洞和补丁管理等进行安全监控。

a)5G网络中各网元、OMC以及MANO、SDN控制器等应通过4A接口或人工导入等方式全量接入

网络安全资产管理平台。