YD-T 2704-2014 电信信息服务的安全准则

5- 中华人民共和国通信行业标准 8- 08 15 -1 YD/T 2704-2014 -0 电信信息服务的安全准则 C C S A 20 22 Guidelines on security of the information service for telecommunication 2014-10-14 发布 2014-10-14 实施中华人民共和国工业和信息化部发布电话：82054513 http://www.ptsn.net.cn 51 ICS 33.040 M 16 次 51 目言……………………………………………………………………………………………………………II 1 范围……………………………………………………………………………………………………………1 2 规范性引用文件………………………………………………………………………………………………1 3 术语、定义和缩略语…………………………………………………………………………………………1 4 电信信息服务分类………………………………………………………………………………………1 -1 5- 前概述……………………………………………………………………………………………………1 4.2 通信服务………………………………………………………………………………………………2 4.3 内容服务………………………………………………………………………………………………2 4.4 信息化服务……………………………………………………………………………………………3 4.5 角色……………………………………………………………………………………………………3 08 15 4.1 安全目标………………………………………………………………………………………………………3 6 安全需求………………………………………………………………………………………………………4 概述……………………………………………………………………………………………………4 6.2 通信服务的安全需求…………………………………………………………………………………4 6.3 内容服务的安全需求…………………………………………………………………………………5 6.4 信息化服务的安全需求………………………………………………………………………………6 6.5 安全协同………………………………………………………………………………………………6 -0 6.1 22 7 8- 5 安全机制………………………………………………………………………………………………………7 20 附录A（资料性附录）电信信息服务与增值电信业务的区别 ………………………………………………8 C C S A 附录B（资料性附录）部分运营商的电信业务种类……………………………………………………………9 I 电话：82054513 http://www.ptsn.net.cn YD/T 2704-2014 言 51 前本标准按照GB/T1.1-2009给出的规则起草。 5- 本标准由中国通信标准化协会提出并归口。本标准起草单位：武汉邮电科学研究院、中国移动通信集团公司、国家计算机网络应急技术处理协 -1 调中心。 C C S A 20 22 -0 8- 08 15 本标准主要起草人：桑梓勤、刘利军、黄元飞、刘磊、田慧蓉。电话：82054513 http://www.ptsn.net.cn YD/T 2704-2014 51 电信信息服务的安全准则 1 范围信信息服务的安全目标、安全需求、安全机制以及安全协同问题。 -1 本标准适用于提供电信信息服务时的运营商，也可供其他行业参考。 5- 本标准规定电信运营商和服务提供商提供电信信息服务的安全准则，包括电信信息服务的分类，电 15 2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究 GB/T 5271.8-2001 信息技术词汇第8部分: 安全 08 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 ITU-T Q.956.3 (95) 使用No.1数字用户信令系统(DSS1)的计费补充业务第3阶段描述：反向计费(REV) 8- 3 术语、定义和缩略语 3.1 术语和定义 -0 GB/T 5271.8-2001中的术语和定义适用于本标准，另外以下术语和定义也适用于本标准。 3.1.1 见ITU-T Q.956.3 (95)的3.3.1。 20 3.1.2 22 基本电信业务 Basic Telecommunication Service 信息化服务一个以信息技术与高科技手段为生产和生活中出现的问题提供优质解决方案，或对有可能出现的问题进行评估、预测与防范的服务形式。 A 3.2 缩略语下列缩略语适用于本文件。补充:IP\WLAN\IDC\IPTV\ISP\IT\ICP等.注意附录B中有很多缩略语。 S 4 电信信息服务分类 C 4.1 概述电信信息服务是指通过固定网、移动网、互联网以及其它的电信基础设施直接向终端用户提供语音信息服务、数据服务或在线信息和数据检索等信息服务，或为其它政府机构、企事业单位进行信息化建 C 设提供服务。为了实现这一目标，电信运营商或其它第三方必须进行信息收集、开发和处理，并建立信息平台，使用户最终获得信息。电信信息服务可分为三类，如图1所示。 ——通信服务； 1 电话：82054513 http://www.ptsn.net.cn YD/T 2704-2014 ——内容服务； 51 ——信息化服务。图 1 电信信息服务分类 4.2 通信服务 -1 信息化服务 15 内容服务 5- 通信服务 08 通信服务是运营商的传统业务，它通过网络基础设施（如固定通信网络、移动通信网络、互联网、卫星等）提供。业务的表现形式为话音、数据、多媒体和视频，即基本电信业务。典型服务包括： ——电话业务； 8- ——互联网宽带服务； ——无线市话； -0 ——号码查询； ——即时通信（如飞信）； 22 ——可视电话。 4.3 内容服务典型的内容服务有： ——接入门户； ——互联网索引/搜索； 20 内容服务是通信服务的扩展，它有可能是第三方如ISP或ICP提供的，也有可能是运营商自己提供的。 A ——软件应用商店（如中国移动 Mobile Market、苹果 App Store 以及谷歌 Android Market 等）； ——手机报/移动阅读/广告/新闻； S ——手机游戏/手机视频/移动电视/IPTV； ——位置服务/移动导航； ——电子彩票/手机证券； C ——手机支付/手机钱包； ——远程教育/远程医疗。 C 通常情况下，运营商通过自营业务提供以上内容服务，或者通过其它公司获得音乐、电视、支付卡、股票交易等内容服务。第三方的内容也可通过运营商的网络传送给终端用户。 2 电话：82054513 http://www.ptsn.net.cn YD/T 2704-2014 图 2 内容服务 15 4.4 信息化服务信息化是信息社会的目标，电信运营商利用他们的网络资源与IT经验优势逐渐进入此领域，为生产和生活中出现的问题提供优质解决方案，或对有可能出现的问题进行评估、预测与防范，并提供与信息 08 相关的咨询、培训、服务外包等。典型业务有： ——办公自动化/企业邮箱/移动办公； ——电子政务/电子商务/行业信息化（银行、制造业、交通物流等）； 8- ——视频监控； ——物联网/数字家庭。 4.5 角色 22 ——电子商务安全认证； -0 ——IDC 业务/企业建站/呼叫中心；电信信息服务的相关方有监管部门、运营商、第三方服务提供商和最终用户，在安全框架中，他们的角色和安全需求是不同的：竞争，保护用户的隐私； 20 ——监管部门根据电信条例或法规提出安全要求，以保证业务的可用性，不同运营商之间进行公平户和公众尽到职责； A ——运营商需要通过安全措施保护网络基础设施、正常运维以及自身的商业利益，需要对国内外用 ——第三方服务提供商需要通过安全措施保证他们的业务通过运营商的公众网络传送到最终用户； S ——最终用户在接受服务时需要保证机密性，包括业务的可用性和隐私保护。最终用户又分为集团用户和个人用户。运营商可采用不同的策略为不同的用户服务，即提供个性化的服务或差异化的服务。 C 通常情况下，服务解决方案是按用户组来进行设计的，安全解决方案也是如此。 5 安全目标 C 安全目标是指提供电信信息服务时采取的安全措施所达到的目标，它的要点是： ——只有合法用户才能使用运营商或第三方服务提供商提供的电信信息服务；用户的使用本身也是合法的/合乎要求的； ——运营商或第三方服务提供商在用户使用电信信息业务时为用户提供隐私保护； ——为了保证可用性和业务的连续性，运营商一方面防止用户未经请求而访问，另一方面保证第三 3 电话：82054513 http://www.ptsn.net.cn -1 5- 51 YD/T 2704-2014 方的业务被安全地送达； ——对安全事件可控，或者恢复正常状态，或者能把损失减到最小； ——所施加的安全措施和机制不能影响业务质量，应综合考虑性能、可用性、可升级、成本代价； 51 ——只有经授权的运营商、业务提供商和用户才能在授权的范围内检索与之相关的电信信息服务的安全信息。 5- 6 安全需求 6.1 概述 -1 电信信息服务的安全需求主要解决以下几方面问题： ——数据完整性（保护存储或传送的信息准确无误）； ——可控性（任何实体都要负责它所发起的活动安全）； 15 ——保密性（存储或传送信息时的保密性）； ——可用性（任何合法的实体都能正确地使用它的业务）； 08 ——可恢复、可管理能力（任何违反安全措施的活动都能被处理，恢复正常状态）。 6.2 通信服务的安全需求传统电信服务在向信息服务转型过程中，服务内容的增加带来了新的安全问题。例如114查号服务变 8- 为个人总机或企业总机后，需要解决个人信息的隐私保护问题。又比如，为了