《5G通信基站运维系统》（征求意见稿）.docx

T/EJCCCSEXXX—2024

1

5G通信基站运维系统

1范围

本文件规定了5G通信基站运维系统(以下简称:系统)运维的基本要求、安全运维要求及运维应急管理等。

本文件适用于5G通信基站运维系统的安全运维。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

YD/T36285G移动通信网安全技术要求

YD/T3807移动通信网络设备安全保障通用要求3术语和定义

本文件没有需要界定的术语和定义。

4缩略语

下列缩略语适用于本文件。

MANO管理和编排ManagementandOrchestration

NFVO网络功能虚拟化协调器NetworkFunctionsVirtualizationOrchestratorOMC运维管理中心OperationManagementCenter

PIM物理基础设施管理器PhysicalInfrastructureManager

SDN软件定义网络SoftwareDefinedNetworkingSSH安全外壳SecureShell

MEC移动边缘计算MobileEdgeComputing,MEC

NFV网络功能虚拟化，NetworkFunctionVirtualization

HTTPS超文本传输安全协议HypertextTransferProtocolSecureSFTP安全文件传送协议SecureFileTransferProtocol

Hypervisor虚拟机监视器virtualmachinemonitor，缩写为VMMUPF用户端口功能UserPortFunction

5基本要求

5.1入网安全验收

5.1.15G通信基站网络设备应符合YD/T3807的要求。入网设备安全检查项目包括但不限于以下：

a)不应存在无主帐号设备。

b)所有开放端口对应的应用软件和功能应列表登记，不允许存在非必要的开放端口。

c)设备的系统层、数据库和应用层应具备用户越权访问、权限升级、更改口令、新建用户、非正常时间登录、多次错误登录、审计策略更改或其他异常事件日志记录功能。

d)采用静态口令认证的设备，口令至少由8位及以上、且至少含大小写字母、数字及特殊符号中的3种组成。不应以姓名、电话号码等作为口令或口令的组成部分。

T/EJCCCSEXXX—2024

2

e)使用评估工具对网络结构、网络设备、服务器主机、数据库、中间件和用户帐号/口令等进行安全扫描，不应存在严重风险、高风险以及中风险漏洞。

f)安装通用操作系统的设备应安装指定授权的防病毒软件，且病毒库应可时时更新至最新。

g)网元业务流程和通信协议不应存在漏洞。

5.1.25G通信基站网络技术应符合YD/T3628的要求，网络架构安全检查项目包括但不限于以下:

a)网络资产、拓朴、安全域、防火墙、路由器等的配置应符合建设方案，防火墙应具备双向访问控制功能且已按最小化权限的原则配置了防火墙策略。

b)渗透测试应由具备渗透经验的安全运维人员使用扫描工具、漏洞验证、脚本等方式对网络中存在的安全风险点做进一步检查。

5.2安全资产管理

5.2.1应编制网络安全资产清单，并维护资产清单的准确性与完整性。资产清单应包括但不限于资产名称、所处位置、所属系统、资产责任人、设备类型、设备厂商、iP地址、系统信息、端口信息、服务信息、中间件信息、程序应用框架信息、应用软件信息、资产分类、安全级别等。

5.2.2应参照网络安全等级保护、关健信息基础设施保护、网络数据安全等要求确定网络安全资产管理系统的安全级别，并实施相应后安全保护措施。

5.3定级备案

5.3.1应对所维护系统或网元进行定级备案。

5.3.2应全量、真实填报定级备案信息。

5.3.3应按相关要求定期完成符合性评测和风险评估工作。5.4账号口令

5.4.1应明确账号的生命周期、账号分配原则、口令配置规则。

5.4.2维护人员应对所管理维护的系统、软硬件设备的账号口令加强管理，不允许使用弱囗令、易猜解口令。

5.4.3应定期修改口令并妥善保管账号口令。5.5数据安全

5.5.1应做好数据的分级分类管理，数据访问权限管理，并应形成网络数据资产清单。

5.5.2应做好数据的操作行为管理，实施账号管理、认证管理、授权管理和安全审计措施。

5.5