《5G通信基站運(yùn)維系統(tǒng)》（征求意見(jiàn)稿）

T/EJCCCSEXXX—202415G通信基站運(yùn)維系統(tǒng)本文件規(guī)定了5G通信基站運(yùn)維系統(tǒng)(以下簡(jiǎn)稱:系統(tǒng))運(yùn)維的基本要求、安全運(yùn)維要求及運(yùn)維應(yīng)急YD/T3807移動(dòng)通信網(wǎng)絡(luò)設(shè)備安全保障通用4縮略語(yǔ)MANO管理和編排ManagementandOrchestrationNFVO網(wǎng)絡(luò)功能虛擬化協(xié)調(diào)器NetworkFunctionsVirtualizationOrchestraOMC運(yùn)維管理中心OperationManagementCPIM物理基礎(chǔ)設(shè)施管理器PhysicalInfrastructureManSDN軟件定義網(wǎng)絡(luò)SoftwareDefinedNetMEC移動(dòng)邊緣計(jì)算MobileEdgeComputing,MECNFV網(wǎng)絡(luò)功能虛擬化，NetworkFunctionVirtualizationHTTPS超文本傳輸安全協(xié)議HypertextTransferProtocolSecureSFTP安全文件傳送協(xié)議SecureFileTransferHypervisor虛擬機(jī)監(jiān)視器virtualmachinemonitor，縮寫為UPF用戶端口功能UserPortFuncti5.1.15G通信基站網(wǎng)絡(luò)設(shè)備應(yīng)符合YD/T3807的要求。入網(wǎng)設(shè)備安全檢查項(xiàng)目包括但不b)所有開(kāi)放端口對(duì)應(yīng)的應(yīng)用軟件和功能應(yīng)列表登記，不允T/EJCCCSEXXX—20242e)使用評(píng)估工具對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)、數(shù)據(jù)庫(kù)、中間件和用戶帳號(hào)/f)安裝通用操作系統(tǒng)的設(shè)備應(yīng)安裝指定授權(quán)的防病毒軟件，且病毒庫(kù)應(yīng)可時(shí)時(shí)更新至最新。5.1.25G通信基站網(wǎng)絡(luò)技術(shù)應(yīng)符合YD/T3628的要求，網(wǎng)絡(luò)架構(gòu)安全檢查項(xiàng)目包括但不限于以下:5.2.1應(yīng)編制網(wǎng)絡(luò)安全資產(chǎn)清單，并維護(hù)資產(chǎn)清單的準(zhǔn)確性與完整性。資產(chǎn)清單應(yīng)包括但不限于資產(chǎn)5.2.2應(yīng)參照網(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)健信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)數(shù)據(jù)安全等要求確定網(wǎng)絡(luò)安全資產(chǎn)管5.3.1應(yīng)對(duì)所維護(hù)系統(tǒng)或網(wǎng)元進(jìn)行定級(jí)備案。5.3.2應(yīng)全量、真實(shí)填報(bào)定級(jí)備案信息。5.4賬號(hào)口令5.4.2維護(hù)人員應(yīng)對(duì)所管理維護(hù)的系統(tǒng)、軟硬件設(shè)備的賬號(hào)口令加強(qiáng)管理，不允許使用弱囗令、易猜5.5.1應(yīng)做好數(shù)據(jù)的分級(jí)分類管理，數(shù)據(jù)訪問(wèn)權(quán)限管理，并應(yīng)形成網(wǎng)絡(luò)數(shù)據(jù)資產(chǎn)清單。5.5.2應(yīng)做好數(shù)據(jù)的操作行為管理，實(shí)施賬號(hào)管理、認(rèn)證管理、授權(quán)管理和安全審計(jì)措施。5.5.3對(duì)于涉及高價(jià)值信息的操作應(yīng)由兩人及以上有相應(yīng)權(quán)限的人員共同協(xié)作完成。5.5.4應(yīng)做好數(shù)據(jù)的全生命周期管理，在數(shù)據(jù)釆集、傳輸、存儲(chǔ)、使用、共享和銷毀環(huán)節(jié)，應(yīng)嚴(yán)格實(shí)5.5.5數(shù)據(jù)的共享應(yīng)嚴(yán)格按照分級(jí)審批、合理授權(quán)的原則進(jìn)行。5.5.6維護(hù)人員不應(yīng)以任何方式違規(guī)獲取、保存5.5.7應(yīng)制定數(shù)據(jù)安全應(yīng)急預(yù)案，發(fā)生網(wǎng)絡(luò)數(shù)據(jù)安5.5.8應(yīng)建立完善的數(shù)據(jù)備份與恢復(fù)機(jī)制，定期執(zhí)行災(zāi)難備份恢復(fù)能力檢測(cè)，更新備份關(guān)健數(shù)據(jù)。5.5.9應(yīng)使用安全的隨機(jī)數(shù)生成器產(chǎn)生公私密鑰對(duì)，并對(duì)私鑰進(jìn)行加密存儲(chǔ)和備份。禁止私鑰以明文5.6.1應(yīng)通過(guò)漏洞掃描及時(shí)發(fā)現(xiàn)存在的安全漏洞以及需要安裝的漏洞補(bǔ)丁。5.6.2對(duì)發(fā)現(xiàn)存在嚴(yán)重安全預(yù)警或高危漏洞的系統(tǒng)，以及有互聯(lián)網(wǎng)暴露面的端口或服務(wù)，應(yīng)在規(guī)定時(shí)5.6.3對(duì)于無(wú)補(bǔ)丁的漏洞，應(yīng)做好訪問(wèn)控制策略，并應(yīng)加強(qiáng)安全監(jiān)測(cè)。5.6.4應(yīng)根據(jù)安全影響嚴(yán)重程度以及對(duì)業(yè)務(wù)影響5.7系統(tǒng)變更與配置管理T/EJCCCSEXXX—202435.7.1應(yīng)建立數(shù)據(jù)備份與恢復(fù)機(jī)制，制定系統(tǒng)變更方案及流程。5.7.2應(yīng)支持文件級(jí)的全量備份或增量備份，支持虛擬5.9.1應(yīng)開(kāi)展網(wǎng)絡(luò)安全資產(chǎn)屬性采集，建立資產(chǎn)檔案并定期進(jìn)行核查。5.9.3應(yīng)定期通過(guò)掃描工具、漏洞驗(yàn)網(wǎng)絡(luò)切片安全運(yùn)維要求應(yīng)包括:b)網(wǎng)絡(luò)切片管理系統(tǒng)應(yīng)對(duì)操作人員進(jìn)行認(rèn)證、授權(quán)，并對(duì)d)網(wǎng)絡(luò)切片管理系統(tǒng)應(yīng)使用HTTPS、SFTP、SSHv2等安全協(xié)議與NFV編排和e)網(wǎng)絡(luò)切片終止使用的，應(yīng)釋放該網(wǎng)絡(luò)6.3虛擬化層安全運(yùn)維a)Hypervisor的安全管理設(shè)置訪問(wèn)控制規(guī)則及開(kāi)啟鑒權(quán)認(rèn)證實(shí)現(xiàn)限制對(duì)管理a)PIM應(yīng)采用安全協(xié)議和算法、設(shè)置訪問(wèn)控制，開(kāi)啟鑒權(quán)認(rèn)證，實(shí)現(xiàn)限制對(duì)管理端T/EJCCCSEXXX—20244b)PIM應(yīng)啟用對(duì)分布式存儲(chǔ)服務(wù)器的證書認(rèn)證，并建立安全通道MANO安全運(yùn)維要求應(yīng)包括：b)在創(chuàng)建角色和用戶時(shí)應(yīng)分配最小權(quán)限；e)在進(jìn)行遷移或彈性擴(kuò)縮過(guò)程中應(yīng)根據(jù)業(yè)務(wù)需求做好遷移和擴(kuò)縮過(guò)程中的數(shù)據(jù)保護(hù)，f)虛擬機(jī)鏡像及模板上線前要進(jìn)行全面的安全評(píng)估，并進(jìn)行安全加固；g)上傳鏡像時(shí)應(yīng)約束鏡像上傳到固定的路徑，避免用戶在上傳鏡像時(shí)隨意訪問(wèn)整個(gè)系統(tǒng)的任意a)SDN控制器應(yīng)啟用識(shí)別異常流量/報(bào)文，并通過(guò)限速等機(jī)制，防止(D)b)SDN控制器應(yīng)啟用檢測(cè)配置及策略沖突，并在檢測(cè)到?jīng)_突后進(jìn)行提示；MEC安全運(yùn)維要求應(yīng)包括：b)應(yīng)確保運(yùn)營(yíng)商對(duì)MEC應(yīng)用的操作可被MEC平臺(tái)用戶審計(jì)，并應(yīng)對(duì)審到未預(yù)期的刪除、修改或覆蓋等，保證審計(jì)數(shù)據(jù)c)應(yīng)對(duì)下沉至園區(qū)的UPF中的敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)，嚴(yán)格限制訪問(wèn)人員，禁止非采取應(yīng)急處置措施應(yīng)對(duì)網(wǎng)絡(luò)中斷、系統(tǒng)癱瘓、數(shù)據(jù)丟失、病毒傳播等事7.2應(yīng)急預(yù)案管理T/EJCCCSEXXX—202457.2.2系統(tǒng)應(yīng)制定詳細(xì)的應(yīng)急演練計(jì)劃并提交給網(wǎng)絡(luò)安全部門備案，定期開(kāi)展安全應(yīng)急演練，且應(yīng)急7.3安全事件監(jiān)測(cè)7.3.1應(yīng)建立和完善安全風(fēng)險(xiǎn)監(jiān)測(cè)手段，提供各類安全風(fēng)險(xiǎn)的主動(dòng)監(jiān)測(cè)與