TC8-2009-24 通信产品安全分析导则.doc

ICS点击此处添加中国标准文献分类号中华人民共和国通信行业标准YD/T XXXXXXXXX通信产品安全分析评估导则The Guideline for Security Analysis and Security Evaluation of Telecommunication Products点击此处添加与国际标准一致性程度的标识XXXX - XX - XX发布XXXX - XX - XX实施发布YD/T XXXXXXXXX目次前言II引言III1范围12规范性引用文件13术语和缩略语13.1术语和定义13.2缩略语24安全内容24.1总体架构24.2安全层面34.3安全侧面34.4安全维度35分析方法46具体实施56.1终端类56.2接入类66.3传输类76.4交换类76.5存储转发类87安全评估8前言本标准参考了ITU-T E.408 电信网络安全要求和ITU-T X.805提供端到端通信的系统安全框架， 并以通信产品的网络与信息安全的实际需求为依据制定。本标准由中国通信标准化协会提出并归口。本标准起草单位：工业和信息化部电信研究院。本标准参与单位：无。本标准起草人：引言随着我国通信网络飞速发展，国民经济和社会对通信的依赖性越来越大。通信网络承载着大量敏感和极富经济价值的内容，并且面临无法预测、无数形式、无处不在和无时不可的网络攻击威胁，任何单独的网络突发事件均可以导致国家或社会性的重大损失和灾难。网络信息安全问题已威胁到国家的政治、经济、军事、文化、意识形态等领域。为此，2003年9月中共中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见（简称27号文）。27号文在分析了我国当前信息安全保障工作的基本状况的基础上，为进一步提高信息安全保障工作的能力和水平，维护公众利益和国家安全，促进信息化建设健康发展，提出了加强信息安全保障工作的总体要求和主要原则并对下一步信息安全保障工作做了全面部署，通信安全是其中非常重要的一项。随着通信产业的发展，目前通信产品种类繁多，但是从安全性上来分析，却有极大的相似性。故此，有必要制定一个指导性文件，用于指导通信产品的安全分析和评估。9通信产品安全分析评估导则1 范围本标准主要规范了通信产品涉及的主要安全内容、具体分析方法和具体实施。本标准适用于对通信产品进行网络与信息安全设计、分析和评估。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ITU-T E.408 电信网络安全要求ITU-T G.902ITU-T X.805 提供端到端通信的系统安全框架3 术语和缩略语3.1 术语和定义3.1.1 网络安全 Network Security 所有涉及与网络稳定、可靠、正常运转相抵触的安全总和。网络安全关注的是网络本身的健康和安全，既要考虑网络硬件的稳定可靠性，也要考虑网络软件稳定可靠性，以及网络的容错能力、应急能力。3.1.2 信息安全 Information Security 所有涉及信息在网络域中转换、处理、传输、存储过程的安全性，以及信息内涵与其外部范畴的相容性。信息安全的最基本特性为：机密性、完整性和可用性。3.1.3 电气安全Electrical Safety电气安全是指通信产品电气性能，以及在安装、使用、维修过程中不发生任何事故，如人身触电、设备损坏、电气火灾、电气爆炸事故等。电气安全包括人身安全与设备安全两方面。人身安全是通信设备对使用者的人身安全；设备安全是指通信设备及其附属设备、设施的安全。3.1.4 电磁兼容Electro Magnetic Compatibility电磁波的传播是电磁现象的应用基础之一，也是构成电子设备脆弱性的基本原因之一。通信设备工作时，信息会通过电磁波泄露出去，泄露有两种途径：一是通过地线、电源线、信号线传播出去（传导方式）；另一种是通过空间传播出去（辐射方式）。泄露的重要信息容易被接收并重显，给电信网安全造成威胁。另外，外部强的电磁波也会对工作的通信设备产生干扰以致通信设备无法正常工作。电磁兼容性主要包括电磁辐射泄漏、抗电磁干扰等内容。3.1.5 环境可靠性Environment Reliability主要是考察通信设备对恶劣环境的承受能力。环境可靠性主要包括抗震动、温湿度等。3.1.6 软件可靠性Software Reliability系统软件可靠性是系统软件按规定的条件，在规定的时间内运行而不发生故障的能力。同样，系统软件的故障是由于它固有的缺陷导致错误，进而使系统的输出不满足预定的要求，造成系统的故障。所谓按规定的条件主要是指系统软件的运行（使用）环境，它涉及系统软件运行所需要的一切支持系统及有关的因素。如支持硬件、操作系统及其他支持软件、输入数据的规定格式和范围、操作规程等。目前可以测试的主要是最大无故障时间。3.2 缩略语下列缩略语适用于本文。 ATM Asynchronous Transfer Mode,BSS Base Station sub-System，基站子系统CDMA Code Division Multiple Access，码分多址接入DSL Digital Subscriber Line，数字用户线EMC Electro Magnetic Compatibility，电磁兼容GSM Group Special Mobile，移动通信特别小组IDLC Integrated Digital Loop Carrier，综合数字环路载波LMDSLocal Multipoint Distribution Services，本地多点分配系统NGN Next Generation Network，下一代网OSS Operations Support System，运营支撑系统PDH Plesiochronous Digital Hierarchy，准同步数字系列PON Passive Optical Network，无源光网络SCDMA Synchronous Code Division Multiple Access，同步码分多址SDH Synchronous Digital Hierarchy，同步数字体系SNI service node interface，业务节点接口UNI User Network Interface，用户网络接口 VCI Virtual Circuit Interface，虚电路接口VPI Virtual Path Interface，虚通路接口4 安全内容4.1 总体架构对于所有的通信产品都会涉及电气安全、电磁兼容、环境可靠性，而系统软件可靠性是只要具备系统软件的通信产品就会涉及。以上这些部分对于所有通信产品都类似，并且技术相对成熟。故此，本标准主要关注通信安全。通信安全指用户系统使用通信网络的合法性；通信过程数据信息的真实可靠、不被非法侵犯；以及通信事件可追溯。通信安全是一项系统工程，其中安全特性包括网络的可用与可靠性、用户身份的真实性、用户访问的可控性、网络的可监控性、数据的完整性与网络操纵的机密性、可追溯性、抵御攻击能力、安全审计，等等。通信安全框架在逻辑上可以把复杂的安全相关特征划分为多个构成部分，以便采用系统化的方法进行安全分析。图1 通信安全框架体系4.2 安全层面安全层面的划分是电信网层次化结构的要求，每个层面存在不同的安全弱点，需要相应的措施保障安全。安全构架面对的是每个层面具有不同的安全脆弱性这样一个事实，因此要针对每个特定的安全层面，提供能够抵御各种潜在威胁的措施。n 基础设施安全层面；n 传输网络安全层面；n 业务网络安全层面。4.3 安全侧面安全侧面是受保护通信活动。发生在某个侧面的事件应与其他侧面隔离。例如用户活动与管理人员的活动隔离。n 管理侧面：网元、传输及OSS/BSS/CRM等相关的运行、管理、维护和业务提供的保护功能。n 控制侧面：与网络上的信息、业务、应用的交付相关的活动。例如路由器之间的通信。n 终端用户侧面：有关客户访问或使用网络的安全。4.4 安全维度安全维度是安全措施集合，用于解决特定的网络安全问题。正确的实施安全维度可以帮助制定按策略，通过安全管理定义特定网络、设施的规则集合。n 访问控制：访问控制安全维度防止非授权使用网络资源，确保只有被授权的个人和设备可以访问接入网元，存储的信息、信息流。而且基于规则的访问控制提供不同访问级别，以保证个人和设备可以访问和执行被授权的网络操作，存储信息和信息流。n 认证：认证安全维度用于确认通信实体的身份，确保参与通信的实体（例如人、设备、业务或用户）所出示身份的有效性，并提供一种保证，保证实体没有伪装或非授权重放以前的通信内容。n 抗抵赖：抗抵赖安全维度提供一种手段，以保护个人或实体否认已经实施的网络行为，是通过生成各种网络行为相关证据的数据（例如职责、意向或承诺证据，数据来源证据，身份证据，种子元使用证据）。它保证出示给第三方证据的可用性（有效性），和用于证明某些事件或行为已发生了n 数据保密性：数据保密性安全维度防止非授权的数据纰漏/泄露，数据保密性确保数据内容不能被非授权实体理解。n 通信安全：通信安全维度确保信息只在授权的末端端点之间流动（信息不能在这些末端端点之间流动时被转移或中途截获）。n 数据完整性：数据完整性安全维度确保数据的正确性或精确性。防止数据被非授权的修改、删除、创建和复制，并提供非授权活动的识别标志。n 可用性：可用性安全维度确保经授权的访问网络、存储信息、传送的信息，保证业务在事件发生时不被拒绝。n 私密性：私密性安全维度提供对网络行为所产生数据的保护。例如这些信息包括用户的地理位置，IP地址和设备的DNS域名。5 分析方法根据第4章，对通信产品的安全分析和评估要涉及三个安全层面、三个安全侧面和八个安全维度，但是根据具体通信产品的特点以及适用网络的不同，具体安全分析和评估并不一定完全覆盖这些安全要点。事实上，结合静态的安全要点，对于通信产品还需要进行动态的安全分析和评估，主要涉及通信的三个阶段：n 接入阶段n 通信阶段n 结束阶段事实上，也就是按照通信流程来考虑相关的通信设备涉及哪些安全要点，并且具体设备要具体分析。同时，在考虑安全要点的同时依据ITU-T E.408规定的分析思路进行考虑：安全威胁-安全要求-安全机制。综上所述，具体分析过程为：n 接入阶段：安全威胁-安全要求-安全机制n 通信阶段：安全威胁-安全要求-安全机制n 结束阶段：安全威胁-安全要求-安全机制具体到安全要点就需要结合通信安全架构所述要点。虽然安全要点很多，但是在具体地点重点有所不同的。例如：n 在接入阶段，主要侧重于鉴别认证；n 在通信阶段，主要侧重于数据机密性、数据完整性；n 在结束阶段，主要侧重于不可否定性（可追溯）。n 访问控制、通信安全、可用性、私密性涉及到多个通信阶段。6 具体实施根据在通信网络中的位置，通信产品主要分为以下五个大的类别：终端类、接入类、传输类、交换类和存储转发类。针对不同类别的设备有其不同重点安全方面，需要考虑的内容也有很大的不同。图1 通信产品分类结构图以下通信产品都有可用性的问题，所以不一一列出了。主要考虑比较特殊的安全方面。6.1 终端类根据传输线路、编码制式的不同，终端类通信产品主要分为有线模拟终端、有线数字终端、无线模拟终端和无线数字终端。有线模拟终端：通过固定通信线路与通信网络相连接并且采用模拟制式的通信终端。常见的有线模拟终端有PSTN电话、模拟传真机等。有线模拟终端的安全性考虑如下：l 主要面临的安全威胁有：搭线盗用、搭线窃听、串音泄密、骚扰电话等。l 需要达到的安全要求有：资源不被盗用、通信内容保密、识别来电等。l 主要采取的安全机制有：带防盗器、频带倒换加密、模拟数字加密、来电显示等。有线数字终端：通过固定通信线路与通信网络相连接并且采用数字制式的通信终端。常见的有线模拟终端有ISDN电话、数字传真机、数字可视电话等，计算机通过有线通信线路远程联网时也可以看作是有线终端产品。有线数字终端的安全性考虑如下：l 主要面临的安全威胁有：资源盗用、通信窃听、骚扰电话等。l 需要达到的安全要求有：资源不被盗用、通信内容保密、识别来电等。l 主要采取的安全机制有：鉴别认证、通信加密、来电显示等。无线模拟终端：通过无线电波或者自由空间光与通信网络相连接并且采用模拟制式的通信终端。常见的无线模拟终端有模拟无绳电话机、模拟手机等。通过无线电波或者自由空间光与通信网络相连接的终端。针对通信媒体为无线链路，l 主要面临的安全威胁有：无线侦听、身份伪装、无线干扰等。l 需要达到的安全要求有：资源不被盗用、通话内容保密等。l 主要采取的安全机制有：模拟数字加密、来电显示等。无线数字终端：通过无线电波或者自由空间光与通信网络相连接并且采用数字制式的通信终端。常见的无线数字终端有GSM手机、CDMA手机、卫星移动终端等，计算机通过无线通信线路远程联网时也可以看作是无线终端产品。有线模拟终端的安全性考虑如下：通过无线电波或者自由空间光与通信网络相连接的终端。针对通信媒体为无线链路，l 主要面临的安全威胁有：无线侦听、身份伪装、无线干扰等。l 需要达到的安全要求有：资源不被盗用、通话内容保密等。l 主要采取的安全机制有：身份认证、无线接口加密、身份保密、机卡分离等。6.2 接入类按ITU-T G.902的定义，接入网是由业务节点接口(SNI)和相关用户网络接口(UNI)之间的一系列传送实体(诸如线路设施和传输设施)所组成的为传送电信业务提供所需承载能力的实施系统。接入类通信产品就是处于用户网络接口(UNI)和相关业务节点接口(SNI)之间的通信产品。根据接入线路的不同，接入类通信产品主要分为光纤接入产品、铜线接入产品、无线接入产品和卫星接入产品。光纤接入产品就是通过光纤连接终端与网络设备的通信产品。常见的光纤接入产品有无源光网络接入设备(PON)等。由于光纤接入产品中光传输限定在光纤内部，所以基本上不存在窃听的问题，所以信息安全问题相对较好。光纤接入产品的安全性考虑如下：l 主要面临的安全威胁有：身份伪装、越权使用、事后抵赖等。l 需要达到的安全要求有：资源不被盗用、访问可控、不可抵赖等。l 主要采取的安全机制有：身份认证、访问控制、日志记录等。铜线接入产品就是通过双绞线或者同轴电缆连接终端与网络设备的通信产品。常见的铜线接入产品有数字用户线设备xDSL、综合数字环路载波设备IDLC、以太网接入设备等。光纤接入产品的安全性考虑如下：l 主要面临的安全威胁有：身份伪装、通信窃听、越权使用、数据篡改、事后抵赖等。l 需要达到的安全要求有：资源不被盗用、通信内容保密、访问可控、数据完整、不可抵赖等。l 主要采取的安全机制有：身份认证、信息加密、访问控制、数据完整性、日志记录等。无线接入产品就是通过无线电波连接终端与网络设备的通信产品。常见的无线接入产品有SCDMA无线接入设备、450MHz模拟无线接入设备、点对多点微波接入设备、本地多点分配系统(LMDS)、固定无线接入设备等。无线接入产品的安全性考虑如下：l 主要面临的安全威胁有：身份伪装、无线侦听、越权使用、事后抵赖等。l 需要达到的安全要求有：资源不被盗用、通信内容保密、访问可控、不可抵赖等。l 主要采取的安全机制有：身份认证、空口加密、访问控制、日志记录等。6.3 传输类根据传输线路的不同，传输类通信产品主要分为光纤传输产品、铜缆传输产品、数字微波传输产品和卫星传输产品。光纤传输产品就是通过光纤进行数据传输的通信产品。常见的光纤传输产品有SDH光传输设备、PDH光传输设备等。由于光纤接入产品中光传输限定在光纤内部，所以信息安全问题相对较好，主要就是可用性。铜缆传输产品就是通过铜缆进行数据传输的通信产品。常见的铜缆传输产品有PDH传输设备、数据复用设备等。铜缆传输产品的安全性考虑如下：l 主要面临的安全威胁有：线路窃听、数据篡改、路由转向等。l 需要达到的安全要求有：通信内容保密、数据完整、路由可控等。l 主要采取的安全机制有：信息加密、数据完整性机制、通信安全等。数字微波传输产品就是通过数字微波进行数据传输的通信产品。常见的数字微波传输产品有PDH数字微波通信设备等。数字微波传输产品的安全性考虑如下：l 主要面临的安全威胁有：无线侦听、数据篡改、路由转向等。l 需要达到的安全要求有：通信内容保密、数据完整、路由可控等。l 主要采取的安全机制有：空口加密、数据完整性机制、通信安全等。卫星传输产品就是通过数字微波进行数据传输的通信产品。常见的卫星传输产品有卫星地球站等。卫星传输产品的安全性考虑如下：l 主要面临的安全威胁有：无线侦听、数据篡改、路由转向等。l 需要达到的安全要求有：通信内容保密、数据完整、路由可控等。l 主要采取的安全机制有：空口加密、数据完整性机制、通信安全等。6.4 交换类根据交换对象的不同，交换类通信产品主要分为程控交换产品、ATM交换产品、以太网交换路由产品和软交换产品。程控交换产品是用电子计算机按照预先编好的程序来实现电话自动交换的设备。常见的程控交换产品有程控数字电话交换机、程控用户交换机等。由于程控交换产品一般是专用交换设备，所以信息安全问题相对较好，主要就是警用接口和可用性。ATM交换产品是指把入线上的ATM信元，根据其信头上的VPI（虚路径标识符）和VCI（虚通路标识符）转送到相应的出线上去，从而完成交换传送的目的设备。常见的ATM交换产品有ATM骨干交换机、ATM接入交换机等。由于ATM交换产品一般是专用交换