YD_T 2250-2011无线应用协议（WAP）系统安全框架指南.pdf

ICS 33.040M 21中华人民共和国通信行业标准YD/T 2250-2011无线应用协议（WAP）系统安全框架指南Wireless application protocol gateway system securityframework guidebook2011-06-01 发布2011-06-01 实施中华人民共和国工业和信息化部发布 YD/T 2250-2011目：次前言1范围·2规范性引用文件3术语、定义和缩略语·3.1术语和定义·3.2缩略语·4WAP系统安全框架·4.1概述·4.2WAP系统安全框架的拓扑结构5WAP系统安全威胁分析·5.1业务应用安全威胁5.2网络拓扑安全威胁·5.3IT基础设施安全威胁·5.4物理设施安全威胁WAP系统安全要求·66.1业务应用安全要求··6.2网络拓扑安全要求·6.3IT基础设施安全要求·6.4物理安全要求···.96.5安全运营管理要求附录A（资料性附录）WAP系统典型外部接口参考文献· YD/T 2250-2011DNS 系统彩信系统AAA认证核心域接入域2网管系统WAP 网关网管采集设备移动终端GPRS/PDN话单服务器计费系统数据库管理域接入域1管理服务器器PPG 网关WAP系统统计服务器器短信系统增值业务提供系统图4 WAP系统安全域划分示意6.2.2WAP系统内部安全域根据WAP系统内部设备不同的安全要求和业务需求，把WAP系统划分成4个子域：WAP网关和数据库为WAP系统最核心的设备，划分在核心域中，在数据流上设置双向访问控制策略;-PPG网关需要接收互联网或内部网（比如DCN网络）的增值业务提供系统的接入，划分在接入域1中;-网管采集设备和话单服务器与其他系统连接，划分在接入域2；-其他的辅助服务器包括管理服务器、统计服务器等服务器统一放在管理域中。安全域间的安全策略应满足如下原则：-安全域间不应当使用 any to any 或 any to host 的安全策略，而应使用严格的访问控制策略限制不必要的安全域间的端口或服务的访问；-应避免采用从核心安全域到其他安全域某台主机telnet、ssh、ftp的全通策略;应避免采用从接入域1到其他安全域某台主机telnet、ssh、ftp的全通策略；一默认安全策略或显式定义安全策略拒绝一切无关的安全域之间互访的流量一应当限制管理域访问核心域或接入域1的业务服务端口。6.2.3WAP系统外部接口安全WAP系统的典型外部接口包括移动终端接口、AAA认证接口、短信接口、DNS接口、彩信接口、计费接口、网管接口、SP接口和PI接口等，详细的外部接口定义参见附录A。应根据外部接口的业务需求进行访问控制和流量分离，防止通过某一外部接口访问WAP系统的其他接口。外部接口的访问控制和流量分离应满足如下原则：外部接口的访问控制应符合最小安全权限原则，只开放外部接口相关业务的端口和服务；-应避免使用通过外部接口到内部主机的any to any或 any to host 的安全策略8 YD/T 2250-2011-应避免通过网管和计费等管理接口访问到WAP系统的业务接口；一应避免通过移动终端接口、PI接口、短信接口、彩信接口访问到WAP 网关的管理接口；-应通过IP地址白名单等安全策略，确保只有合法的主机通过外部接口访问WAP系统；一应限制通过 SP接口、彩信接口、DNS 接口和短信接口向 WAP系统主动发起访问请求；一默认安全策略或显式定义安全策略拒绝一切流量。6.3IT 基础设施安全要求6.3.1操作系统安全要求操作系统的安全要求如下：一一应采用静态口令、动态口令或指纹认证等认证技术对访问操作系统的实体进行认证：-应通过访问控制确保只有可信的IP地址的终端才能访问操作系统；一应按照不同的用户分配不同的账号，避免不同用户间共享账号；一应删除或锁定与设备运行、维护等工作无关的账号；限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作；在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限；-应配置日志记录功能，对用户登录和操作使用的账号、登录时间、远程登录时使用的IP地址以及所进行的操作进行记录。6.3.2数据库安全要求数据库安全要求如下：一应通过认证和访问控制措施确保只有可信的实体才能访问数据库；-在数据库权限配置能力内，根据用户的业务需要配置其所需的最小权限；一使用数据库角色来管理对象的权限；一启用数据字典保护，只有超级管理员权限的用户才能访问数据字典基础表；-数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是成功、登录时间以及远程登录时用户使用的IP地址。6.3.3网络设备和安全设备安全要求网络设备和安全设