电信网管安全技术规范(第二次征求意见稿).doc

电信网管安全技术规范(第二次征求意见稿).doc

《电信网管安全技术规范(第二次征求意见稿).doc》由会员分享，可在线阅读，更多相关《电信网管安全技术规范(第二次征求意见稿).doc（16页珍藏版）》请在冰点文库上搜索。

YD/TXXXX-2004

YD

中华人民共和国通信行业标准

YD/TXXXX--2004

电信网络级网管安全技术规范

TelecommunicationsBaselineofSecurityRequirementsforNMSs

（征求意见稿）

2004－XX－XX发布 2004－XX－XX实施

中华人民共和国信息产业部发布

前言

电信网络级网管（以下简称电信网管或NMS）为电信各专业网络提供了集中的控制和管理等功能，并对电信网络的运营提供业务支持和保障。

而其安全问题随着电信网络的发展和各专业网管的集中融合趋势，电信网管的安全问题显得而越发来越显得重要，电信网络级网管中的所面临的安全隐患会降低网络服务的质量和持续性。

为了防范电信网管网管中的各种安全威胁，保证电信网络的正常运行，特制定本框架性规范，为各个电信网管网管的实施建立和运行维护提供一个统一的、可遵循的安全规范。

本规范规范给出了电信网管可能面临的安全威胁，并对提出了对电信网管提出了电信网络级网管在满足商业运行基础上应对这些威胁的基本安全技术要求，它为整个电信网管中的相关设计、开发、安装和运行中涉及到的安全问题与解决措施提供依据。

本标准起草单位：

大唐电信科技股份有限公司

本标准主要起草人：

谢琼，、刘益怀、，周强

目录

中华人民共和国通信行业标准 I

YD/TXXXX--2004 I

电信网络级网管安全技术规范 I

1. 范围 4

2. 引用标准 4

3. 术语和缩略语 5

3.1. 术语 5

3.2. 缩略语 6

3.3. 定义 6

4. 安全威胁概述 6

5. 安全技术要求 7

5.1. 前提 7

5.2. 安全技术要求大纲 8

5.2.1. 身份识别 8

5.2.2. 安全认证 8

5.2.3. 系统访问控制 9

5.2.4. 资源访问控制 9

5.2.5. 数据和系统完整性 10

5.2.6. 审计 10

5.2.7. 安全管理 11

5.2.8. 数据私密性 12

5.3. 网管系统开发和部署、运行期的安全管理 12

5.3.1. 系统交付使用 12

5.3.2. 定期的安全检查和审计 12

5.3.3. 安装补丁 12

YD/TXXXX-2004

电信网络级网管安全技术要求

1.范围

本文档规范是针对电信各个不同专业网的网络级网管（NMS）及NMS互联而产生的具有共性的安全问题提出的技术要求。

本规范文是一个综合性的安全技术规范，规范提出了电信网络级网管各个组件组成部分为了避免各种类型的攻击和潜在威胁而导致服务质量的下降或其他其它损失而必须具备的各种安全特征。

这些特征主要包括如认证、存取控制、审计、完整性和可管理性等。

它不仅适用于单个电信网管内部，也同时适用于各个不同电信网管网管间的互连。

同时需要指出的是，需要指出的是电信网管系统的设计开发和安装实施软件开发过程中对于安全方面的考虑的安全设计和实施过程也是影响电信网管安全的一个重要因素。

本规范文档适用于电信行业各种基于电路和包交换各个专业、各个级别的网络级网管安全应用。

它提供了一个统一的安全技术要求共性，用来保障网管应用系统中的各个组件组成部分之间和网管系统之间的正常可靠相互间通信及提供正常可信服务通信，降低安全威胁和风险。

主要的安全需求技术要求应用在系统平台、可见接口、相关功能函数调用、应用子系统、服务等方面，但考虑到各个专业网结构、分布式特性各不相同及遗留系统等原因，各个网管系统的安全实现可能存在不同。

电信网络级网管NMS结构图如下：

2.引用标准

ISO7498-2:

1989

信息处理系统-开放系统互连-基本参考模型第2部分：

安全体系结构

ISO/IEC10164-7:

1992

信息技术-开放系统互连-系统管理第7部分：

安全报警报告功能

ISO/IEC10164-8:

1993

信息技术-开放系统互连-系统管理第8部分：

安全审计跟踪功能

ISO/IEC10745:

1995

信息技术-开放系统互连-上层安全模型

ISO/IEC11770-1

信息技术-安全技术-密钥管理第1部分：

框架

ITU-TRecommendationX.509:

1997

信息技术－开放系统互联：

认证架构

FIPSPublication197:

2000

高级安全加密标准

ANSIT1.243-1993（R1999）

TMN接口安全框架

ANSIT1.243-1995（R1999）

TMN的基本安全需求

ANSIT1.268-2000

TMNPKI

ANSIT1.261-1998

TMN管理信息的Q3接口安全

ANSIT1.233:

1993

电信管理网络接口的安全框架

ANSIT1.243:

1995

电信公共网络的管理、操作和服务提供的安全需求

ETSI,TCR-TR/NA-002401:

1995

ETSI安全标准策略指导

ETSI,TCR-TR/NA-002501:

1995

电信系统服务的身份识别和分析方法及文档安全需求提纲

ETSI,TCR-TR/NA-002602:

1995

ETSI安全管理技术指导

ETSI,TCR-TR/NA-002603:

1995

完整性安全需求ETSI标准

ETSI,TCR-TR/NA-043208:

1995

TMN安全标准介绍

XO/SNAP/90/020：

:

1990

安全接口参考：

审计和认证

ITU-TRecommendationX.800:

1991

开放系统互联安全框架

ITU-TRecommendationX.805:

2003

提供端到端通信的系统的安全框架

ITU-TRecommendationM.3016:

1998

电信管理网（TMN）安全概述

3.术语和缩略语

术语

电信网络级网管系统

电信网络级网管电信网管系统提供一个架设在网元（NE）和网元管理系统（EMS）之上的，负责采集或控制EMS、NE等多种系统，形成一个包含网元管理层功能并支持网络层面更高层、更广范围内的集中管理的系统统。

它可以提供一些特定服务的管理应用和业务应用，如配置管理、拓扑管理、告警管理、业务管理、安全管理等多个子系统。

存取控制

阻止未被授权的用户使用资源，同时包括阻止合法用户以非授权的方式使用资源

应用管理员

指电信网管中负责维护电信网管系统本身维护管理系统的使用，并保证应用系统更新的角色。

应用安全管理员

指电信网管中负责维护和管理电信网管系统的安全的角色管理和维护应用系统的应用层安全特性的角色，他具有系统最高一部分或者全部的安全特权。

他主要的任务主要任务包括：

l授予用户或用户组不同的权力

l在应用层建立新用户和用户组

l维护所有用户登录网管系统的请求记录

l监控网管系统的所有安全日志

l配置系统的安全日志和告警

l管理网管系统安全日志进程

l终止任何其它用户的会话

用户/操作者

指电信网管中系统中具有操作各种电信网管提供的业务级功能的角色，但一般其除了可以更改自己的密码外不能使用系统任何的安全管理功能。

认证

认证是辨别用户身份的活动

复杂密码

当密码是同时由数字、字母和特殊字符构成时成为复杂密码

控制面板

电信网管中控制面板执行通过信号所有的连接控制功能，它可以释放或建立连接，同时也可以承担重连的任务。

锁定

是指用户的身份ID处于一种暂时不能登录或使用系统功能的状态。

可能导致锁定状态的原因包括：

有系统用户在一段时间内没有使用系统或、电信网管的安全管理员改变了用户的状态。

网元/管理系统

指电信网络中一些元素实体的集合，包括NEs，EMSs，NMSs和OSSs等。

认证手段

包括密码认证、可信任路径认证、第三方加密认证和一次性密码认证等等。

会话

是指一系列相互关联的操作，它们被限制在一个单独的进程或用户标识内。

可以是机器对机器的操作，也可以是人对机器的操作。

3.1.缩略语

AAA

Authentication,Authorization,andAccounting认证、授权和记账

AC

AccessControl存取控制

AES

AdvancedEncryptionStandard高级加密标准

CA

CertificationAuthority授权认证

DoS

DenialofService拒绝服务

DSA

DigitalSignatureAlgorithm数字签名算法

EMS

ElementManagementSystem网元管理系统

NE

NetworkElement网元

NMS

NetworkManagementSystem网络管理系统

OAM&P

Operations,Administration,MaintenanceandProvisioning操作、管理、维护和提供

TMN

TelecommunicationsManagementNetwork电信管理网络

3.2.定义

l用户

用户在本规范中可以是指个人、组、主机、域、信任信道、网络地址/端口、外围网络、远程系统或者是一个存取系统或被系统存取的进程。

但是不管它是什么样的一个用户或角色都需要通过身份识别和认证机制（I&A）。

l

l系统客户

系统客户是指订阅或使用网络级电信网管提供的服务的个人或团体。

比如客户可以使用NMS下发指令给EMS来配置网元或设置本地线路参数等。

一般情况下，电信网管见下图：

的用户主要是网络运营商、服务提供商、通信设备厂商和服务的终端用户等。

l安全管理员

系统安全管理员是指系统中具有最高权限的角色，它可以执行系统中与安全相关的各种管理任务。

安全管理员一般由电信网管的维护人员担任。

l系统管理员

系统管理员是指对系统进行一般性维护任务和客户账户管理等的角色。

系统管理员一般由电信网管的维护人员担任。

4.安全威胁概述

安全威胁是一种可能导致系统被破坏、信息暴露、数据被篡改或导致拒绝服务的潜在的环境或事件，这些安全威胁会影响应用系统和网络服务的各项功能。

电信网管的安全是多方面的：

操作范畴，、物理方面，、通信方面，、业务处理方面和个人因素等等。

它可能是有意的（如黑客等）或无意的（如服务过程处理错误、管理员的误操作等）。

下面列出了电信网管当前可能面临安全威胁的分类。

：

l欺骗：

通过盗取用户ID和密码等方式伪装成一个授权用户企图对未授权的服务进行存取或获得网管系统更高级别的用户权限。

这也可以通过在通信通道中插入信息或应答或应答伪装成真实有效系统数据的手段来实现。

例如，入侵者可以通过修改客户端程序的方式来欺骗服务端获得密码。

此种威胁可能发生在：

a）系统外用户通过网络连接到NMSNMS。

b）系统内部的用户。

c）提供直接或远程控制的不安全的管理帐号。

d）.管理者可以通过拨号等方式远程接入NMSNMS。

l信息暴露：

NMS的各种数据在未授权的情况下被获得，例如：

a）通信通道的窃听。

b）服务的地址、路由或其它相关的服务及客户信息的未授权暴露。

c）输送错误数据给服务来获得未授权的服务数据。

l数据和通信流的篡改：

它主要包括

a）访问并改变NMS中的各种帐务及基础数据信息。

b）对网管NMS数据库或软件进行未授权的修改。

c）重定向网管NMS的应用层调用。

d）在通信信道上截获或者插入数据

l服务拒绝：

阻止网管服务按照预期的要求运行，攻击网管NMS及其中的NE或EMS使其不能正常交互，或导致服务异常延迟。

主要包括：

a）无授权的对网管NMS及其中资源包括硬件、软件、数据库进行破坏。

b）给网管NMS或其中的某些组件发送大量服务请求使其暂时瘫痪。

c） 修改系统的管理资源信息，使其处于停止服务状态。

l通信分析：

这是一种被动攻击，攻击者观察并分析网管系统内或系统间通信的数量，频率及内容等。

但是需要指出的是即使我们对上述的威胁采取了必要的防范措施，一些威胁还是仍然存在的，如：

l授权用户的非正常操作，这些操作有可能有意或无意的。

l网络通信底层协议本身的安全缺陷。

l病毒、蠕虫、木马、嵌入代码等对网络或服务造成对网络或服务的危害。

一旦病毒等侵入整个管理网络的任一节点，它将有可能使用当前的安全通信网络去攻击其它节点。

这需要通过其它的手段来减少或防止危害，它不属于本规范讨论的范围。

5.安全技术要求

前提

电信网管的安全要在应用系统的整个的设计、开发、和安装和、运行过程进行规范。

在这一系列的过程中需要对安全问题进行仔细的分析设计，进行安全防范措施的、实现、和子系统系统的安全测试测试、编写安装、相关的安全文档编写及保持系统安全维护等。

对其中任何一个环节的忽视都将导致电信网管的潜在安全隐患。

本规范所提及的安全需求是建立在以下基本安全基础保障之下的：

l物理层的安全：

电信网管应用系统是需要构筑在一个安全的物理网络环境（包括其上的各种操作系统）上的，它应该是电信的内部网或其一部分，且此网络可以提供安全的控制和维护功能。

l安全的重视和培训：

电信网管涉及的相关部门和操作人员对系统安全的重视和对相关人员的持续安全培训也是一种重要的保障手段。

下面所列出的各种安全要求是保障电信网管在整个生命周期过程中具有一个可接受的安全级别。

安全技术要求大纲

本规范列出的电信网管（NMS）安全要求大概包括以下内容：

认证、系统存取控制、资源存取控制、数据和系统完整性、审计、数据私秘性和安全管理等。

5.1.1.身份识别

对电信网管系统的任何操作都应由一个账户进行，这个账户可以代表一个人员、一个进程或者一个其它的外部系统。

账户必须能够被唯一识别，识别的依据是账户标识（简称账户ID），账户ID必须保证唯一、清晰，同时提供审计的能力。

帐户是电信网管进行身份识别的唯一依据。

在一个特定的网管系统内部，要求强制使用唯一的账户识别来区别每一次管理操作。

在对网管系统进行任何操作之前，必须提供账户ID进行登录以建立一个事务。

网管系统对于所有活动事务的执行者的账户ID进行维护。

某个账户在进行同一个活动的事务时不能更换成另一个账户来继续执行。

事务如果在一段时间内没有操作，网管系统应具备将事务关闭的能力。

所有在网管系统内部运行的进程必须关联到某个账户ID。

账户ID如果在一段时期内没有被使用到，网管系统必须具备有能力将账户ID删除，并且可以由安全管理员设置，来实现自动删除或手工删除。

5.1.2.安全认证

认证是对一次事务请求的校验过程。

可能的认证机制包括：

口令、个人身份识别码、令牌、智能卡、交换密匙等。

必须的认证包括：

l网管系统对所有试图访问的账户都必须进行认证。

l在执行任何操作之前，所有接受用户命令输入的网管系统接口或端口都必须进行账户认证。

网管系统必须确保所有账户的认证数据的机密性，并防止非授权账户对其进行访问。

所有的认证口令（建议包括和下层网络和网元设备间的通信认证）通过网络传输、无线或其它非保护通道传输时必须进行加密，加密方式建议采用128位的AES（AdvancedEncryptionStandard）加密方法或国内的ECC192等，如果系统运行在一些安全协议（如IPSEC、SSL、SSH）上则也可以选用DES加密算法。

网管系统必须保护所有存储的认证信息的机密性和完整性，如口令、个人身份识别和认证令牌。

网管系统必须禁止用户绕过认证机制。

只有设定的安全管理员才可以访问受保护的认证信息。

网管系统必须禁止将认证信息明码输出到任何打印机、终端或数据输入设备。

即使在输入的账户ID已经错误的情况下，网管系统也必须执行整个的认证流程。

网管系统不能显示认证的某一部分错误，也不能提供除“非法尝试”以外的任何信息给用户。

如果认证中使用可重复使用的密码，那么：

a）如果用户使用了和别的用户一样的密码，不应有任何提示信息。

b）网管系统应允许用户在登入后修改自己的密码。

c）一旦给一个用户分配了初始密码，网管系统必须要求在该用户第一次登入后修改密码。

用户如果不修改密码就无法进行下一步操作。

d）如果密码是用于认证的，网管系统应要求用户选择较为复杂的密码，并在用户选择过于简单的密码（例如和账户名相同的密码、123、test等）时进行警告。

e）网管系统应要求用户在固定周期后修改密码。

在指定的一段时间内，用过的密码不允许再使用。

f）安全管理员可以设定密码生命时间和重用时间。

g）网管系统必须在密码到期前一段时间通知用户。

h）安全管理员可以设定密码通知提前期。

i）密码禁止使用明码传输。

网管系统应要求对远程登入用户使用比密码验证更严格的认证机制。

对于执行重要管理操作和其他OAM&P功能的操作用户，也建议使用比密码更强的认证流程，如生物验证、令牌、暗码技术。

另外，网管系统必须能够整合和支持其他认证机制，包括来自第三方服务商提供的通用服务。

5.1.3.系统访问控制

网管系统应在允许任何会话使用本系统前，对会话请求进行认证。

网管系统访问控制机制必须提供安全手段保证会话的建立和使用。

网管系统必须在没有得到识别和认证前禁止任何用户访问。

只有认证了的用户、进程和远程系统才可以允许访问。

网管系统的所有接受操作相关指令的端口和接口必须执行访问控制。

这些端口包括提供直接连接、拨号连接和数据交换网络访问的端口。

除了设计的操作命令输入端口外，网管系统应禁止通过其它端口建立连接。

网管系统不应提供任何无需认证的用户访问系统。

如果一个会话认证进程不能在指定的时间内完成，网管系统必须能够终止并退出该会话。

这个超时门限可以由安全管理员设定。

超过门限的失败的用户认证过程属于安全相关事件。

这种事件发生后，网管系统必须即时通知安全管理员并记录日志信息。

当超出用户认证超时门限时，网管系统应锁定该登入端口一段时间。

为了防止未认证用户通过有意执行错误的认证来锁定所有输入端口，缺省的锁定时间应不超过60秒，只有安全管理员才可以更改该设定。

在通过会话认证后，开始使用网管系统前，建议网管系统应向用户显示警告信息，告知非法使用本系统可能带来的后果，这些信息必须符合法律要求。

当成功通过会话认证后，系统应显示该用户上次成功访问的日期和时间，以及不成功的尝试次数。

对于一段时间无操作的会话连接，网管系统应自动断开连接并要求重新认证。

这个超时门限可以由安全管理员设定。

网管系统应通过安全退出登录流程来结束一个会话。

如果一个会话由于超时、断电、连接丢失等原因中止，端口也必须立刻被释放。

网管系统必须能支持基于日历的访问许可，例如允许或禁止某些用户在一天的某些时间或一周的某些天访问系统。

5.1.4.资源访问控制

资源访问控制遵循最小特权原则限制对网管系统资源的使用，如进程和数据库等资源。

访问许可等级可以分派给用户、数据输入设备和网管系统端口来限制对网管系统资源的使用。

资源访问控制的要求包括：

网管系统必须对每个允许访问资源的用户指定访问的软件、进程、数据库、数据等资源。

只有认证了的用户才可以访问网管系统中的软件。

软件访问控制包括覆盖、升级和执行权限。

资源访问控制应该限于已通过认证的用户。

网管系统控制的每一种资源都应可以分配和禁止访问权限给某一单一用户、用户组或一个端口。

网管系统应该可以对资源的访问权限和地址端口进行管理，未认证的端口地址将被禁止访问。

只有资源的所有者或安全管理员才有权分配资源访问权限。

网管系统应能够制止一个用户或用户组访问所有资源。

网管系统应保护和访问控制机制相关的数据信息，禁止未认证的访问。

具有某角色权限的用户应不具有修改本身权限的缺省权限。

5.1.5.数据和系统完整性

电信网管系统应能够保证其数据的完整性。

系统完整性和提供的可接受的服务等级相关。

如果不能尽量减小服务中断和降级，用户就会对系统和服务失去信心。

数据的完整性应在数据传输、接收、处理和存储的过程中得到保证。

数据和系统完整性要求：

网管系统应能够区分任何指定的或用户可访问的网管系统资源（如数据和进程）的原始创建者。

网管系统应能够区分任何通过网络传递的操作信息的发送者。

网管系统应提供机制来定期纠正错误的操作。

网管系统应有保护存储数据完整性的能力。

网管系统应具有检测输入数据正确性的能力。

网管系统的文档应包括对文件系统和存储介质的规则与完整性的检查工具运行的建议。

网管系统应有失效恢复和无风险中断的能力

网管系统应提供内在的数据完整性保护机制。

网管系统应有能力验证新程序和补丁程序的完整性。

网管系统应实时处理安全警告。

5.1.6.审计

在电信网管中，审计日志用来记录未认证的操作，以便执行改进行动。

审计有如下要求：

网管系统必须生成日志来记录与安全相关的事件。

需要记录的条目和内容可以由安全管理者设置。

日志允许安全管理者研究用户无效的或不正常的操作，以便找到合理的补救措施。

网管系统必须提供对所有重大事件的审计，和任何用户请求和动作相关的内容必须传递到相关系统，以便可以跟踪到这些请求和动作的最初用户。

审计日志必须防止未认证访问或破坏，可以通过基于用户和通道权限的控制来实现。

审计日志和审计控制机制必须防止修改或破坏。

审计日志和审计控制机制必须能够通过重启动网管系统恢复。

审计日志记录的内容由安全管理员定义，应至少包括以下事件：

a）网管系统安全配置修改

b）网管系统软件修改

c）非法用户认证尝试

d）未认证的资源访问尝试，包括对数据、密码文件和设备等资源

e）更改用户安全配置和设定

对每一个要记录的事件应包括下列信息：

a）事件种类

b）事件发生的日期和事件

c）账户ID及相关的终端、端口、网络地址或通信设备

d）访问的资源名称

e）事件的成功或失败。

如果应该记录的事件审计日志没有记录成功应马上通知安全管理员。

不应禁止审计日志记录安全管理员的操作。

密码、个人身份识别码和暗码钥匙等认证信息不应当被记录在安全日志中。

为了防止信息被覆盖，网管系统应该能够自动将认证日志安全地传递到外部存储设备或认证了的其它管理系统中。

当认证日志被拷贝时，拷贝必须从最旧记录开始，并按顺序无遗漏地拷贝。

同时转储操作必须有严格的权限限制。

网管系统必须支持认证分析工具，这些工具可以产生指定日期、用户和通信设备地异常报告、概述报告和详细报告。

5.1.7.安全管理

安全管理功能允许一个管理员来控制网管系统的安全。

这个管理员必须有执行安全管理功能的能力。

比如设定安全参数、删除缺省值和更新安全特征等。

安全管理要求：

网管系统必须将安全管理功能和其它功能分离，只有认可的安全管理员才能执行这些功能。

安全管理功能只能被指定的安全管理员执行，同时必须被记录在审计日志中。

网管系统应提供机制以便管理员可以查看当前的用户和软件进程。

这些进程包括OAM&P和通信服务应用。

网管系统应提供机制以便管理员可以查看任何用户的操作记录。

网管系统应提供机制以便管理员可以实时地监视某台终端、某个端口或某个网络地址地操作。

网管系统应提供机制以便管理员可以锁定某个端口或通道。

网管系统应提供机