YD_T 2241-2011WAP网关系统安全防护要求.pdf

ICS 33.040.20YO中华人民共和国通信行业标准YD/T2241-2011WAP网关系统安全防护要求Securityprotection requirementsforWAPgatewaysystem2011-05-18发布2011-06-01实施中华人民共和国工业和信息化部发布 YD/T次前范围.规范性引用文件·3术语、定义和缩略语3.1术语和定义3.2缩略语WAP网关安全防护概述.4.1WAP网关系统安全防护范围-4.2WAP网关系统安全防护内容5WAP网关系统安全定级对象和安全等级确定WAP网关系统资产、脆弱性、威胁分析.6.1 资产分析.·6.2脆弱性分析6.3威胁分析WAP网关系统安全等级保护要求.7.1第1级要求..7.2第2级要求7.3第3.1级要求7.4第3.2级要求107.5第4级要求117.6第5级要求WAP网关系统灾难备份及恢复要求.118.1概述..·18.2第1级要求8.3第2级要求.·118.4第3.1级要求-8.5第3.2级要求-128.6第4级要求8.7第5级要求，-13参考文献141 YD/T 224120115.2.3设备安全要求WAP网关设备安全应满足YD/T1392-2005中相关要求。5.2.4物理环境安全要求满足YD/T1754-2008中第2级的安全要求外，还需满足；a）机房整体抗震能力应不低于里氏7级：b）机房应具备防虫防鼠等相关措施，以有效防范鼠虫蚁害。5.2.5管理安全要求应满足YD/T1756-2008中第2级的安全要求。5.3第3.1级要求5.3.1业务安全要求除满足7.2.1的要求外，还应该满足：a）系统应对WAPPush发起者（PI）设置白名单机制，保证只有白名单中的PI才能发起WAPPush消息;b）系统应能限制SP发起WAPPush的流量、条数，避免非法SP发起大量WAPPush数据造成系统摊c）系统应能限制SP发起WAPPush消息的大小，防止发送超大Push消息；d）系统能够抵御恶意用户通过WAP代理网关功能向WAP网关发送Pusb消息；e）系统应能对终端用户所发起的访问请求数据包进行识别，能识别超长/畸形数据包，并进行自动过滤；f）系统应能对终端用户所发起的访问目标服务器进行识别，防止恶意用户通过WAP网关代理功能，将WAP网关作为跳板访间电信网内服务器。5.3.2网络安全要求5.3.2.1网络拓扑安全同7.2.2.1的要求。5.3.2.2网络安全协议同7.2.2.2的要求。5.3.2.3安全审计同7.2.2.3的要求，5.3.2.4访问控制安全除满足7.2.2.3的要求之外，还应该满足：a）系统应具备访间权限的识别和控制功能，对应用管理员、系统管理员、数据库管理员根据不同的应用需求提供多级密码：b）如需进行远程维护（管理），应通过VPN或其他安全认证方式进行接入认证，远程维护（管理）操作数据流应经过加密，禁止明文传输：c）远程维护（管理）操作频单独进行审计，并对远程维护的操作内容进行记录，对日志进行存储。5.3.2.5网络攻击防范除满足7.2.2.4的要求之外，还应该满足： YD/T）系统内基于Windows操作系统的网络应部署网络入侵检测系统，并应及时处理入侵的报警；e）应至少每3个月进行一次网络安全漏洞扫描，形成相关记录文档，根据扫描的结果更正网络安全漏洞和系绕中的错误配置；d）系统应其备防Dos/DDos攻击的相应措施，5.3.3数据存储安全a）WAP网关系统存储有用户访向业务数据、业务信息、日志数据、话单信息等，WAP网关系统应支持对重要设备保存的用户信息相关的数据备份，发生故障时能够实现自动倒换或进行系统再配置：b）日志数据备份应满足《移动上网日志留存规范》第6章的要求，5.3.4设备安全要求除满足7.2.3的要求外，还应该满足：a）WAP网关关键设备应具备负载均衡设置，保证单一WAP网关设备摊痰时业务的接续性b）系绕内服务器应关闭不必要的端口及服务，不安装不必要的软件：c）系统内基于Windows操作系统的主机应具备防病毒软件，能够有效地防止恶意代码对系统的破坏，防病毒软件应能定期进行病毒库的升级，保证系统病毒库为防病毒厂商发布的最新病毒库版本；d）应至少每3个月对系统内服务器进行一次安全漏洞扫描，形成相关记录文档，根据扫描的结果更正服务器安全漏洞和系统中的错误配置，5.3.5物理环境安全要求除满足YD/T1754-2008中第3.1级的安全要求外，还需满足：a）机房整体抗能能力应不低于里氏8级，相关机架及设备需进行必要的抗震加固：b）机房应具备防虫防鼠等相关措施，以有效防范鼠虫蚁害。5.3.6管理安全要求应涡足YD/T1756-2008中第3.1级的安全要求。5.4第3.2级要求5.4.1