2022移动通信网络设备安全保障要求（合订本）.docx

《2022移动通信网络设备安全保障要求（合订本）.docx》由会员分享，可在线阅读，更多相关《2022移动通信网络设备安全保障要求（合订本）.docx（18页珍藏版）》请在第一文库网上搜索。

1、移动通信网络设备安全保障要求第1部分：通用要求第2部分：演进分组系统(EPS)移动通信网络设备安全保障要求第1部分：通用要求前言II1 范围12规范性引用文件13术语和定义和缩略语14缩略语25通用安全功能性需求和测试用例351概述35. 1.1测试准备36. 1.2测试工具37. 1.3文档需求412安全功能性需求和测试用例48. 2.1概述49. 2.23GPP标准中的安全功能性需求和测试用例410. 2.3技术基线954加固的安全需求和测试用例655.3.1概述655.3.2技术基线655.3.3操作系统765.3.4Web服务器895.3.5网络设备102F1d基本脆弱性测试需求103

2、5.4.1概述1035.4.2端口扫描1035.4.3脆弱性扫描1045.4.4鲁棒性和模糊测试105移动通信网络设备安全保障要求第1部分：通用要求1范围本文件规定移动通信网络中网络设备的通用安全保障要求。本文件是移动通信系统网络设备安全要求系列标准的一部分。本文件的主要内容包括：1 .通用安全功能性需求及其相关的测试用例，包括3GPP规范中定义的设备的安全功能，数据保护等安全基线，操作系统安全，web服务安全和网络设备安全；2 .通用加固功能及其相关的测试用例，包括安全加固基线，操作系统加固，web服务加固以及设备安全加固；3 .通用基本漏洞测试要求和相关的测试用例。本文件适用于移动通信网络

3、中网络设备的安全评估。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。1 YD/T3807-2023,移动通信网络设备安全保障通用要求2 TfTAF088-2023,网络关键设备安全通用检测方法313GPPTR33.916,SecurityAssuranceMethodo1ogy(SECAM)for3GPPnetworkproducts413GPPTS33.116,SecurityAssuranceSpecification(SCAS)fort

4、heMMEnetworkproductc1ass513GPPTS33.117,Cata1ogueofgenera1securityassurancerequirements613GPPTR33.926,SecurityAssuranceSpecification(SCAS)threatsandcritica1assetsin3GPPnetworkproductc1asses7 3GPPTR21.905,Vocabu1aryfor3GPPSpecifications8 3GPPTR41.001,GSMSpecificationset91IETFRFC3871,Operationa1Securit

5、yRequirementsfor1argeInternetServiceProvider(ISP)IPNetworkInfrastructureIOjIETFRFC6749:,OAuth2.0AuthorizationFramework.11IETFRFC7540:HypertextTransferProtoco1Version2(HTTP2)3术语和定义和缩略语下列术语和定义适用于本文件。机器账号machineaccount用于系统到系统或者在一个系统上的应用之间的认证和授权，其不能分配给单用户或者一组用户。个人数据persona1data与可识别的自然人相关的信息。可识别的个人identi

6、fiab1eindividua1可直接或间接识别的，特别是被身份证号码、姓名，或一个/多个特定因子识别的个体、社会身份等。个人数据可能通过用户数据和流量数据推测。?4敏感数据sensitivedata可能被用于认证或帮助识别用户的数据，例如用户名、密码、pin、力口密钥、Ims1ime1meisdn.UE的IP地址，系统的功能性文件，如固件镜像、路径、驱动或内核模块。系统组账号systemgroupaccount网络设备中预先配置的系统账号，通常具备特定权限，预先设定用户名，在正常的操作环境中不依赖于单个用户。例如：root账号。4缩略语下列缩略语适用于本文件。ARPAddressReso1u

7、tionProtoco1地址解析协议CGICommonGatewayInterface公共网关接口CISCenterforInternetSecurity互联网安全中心C1ICa11ing1ineIdentity呼叫线路识别COTSCommercia1-of-the-She1f商业化成品EPSEvo1vedPacketSystem演进的分组系统FMFau1tManagement故障管理FOSSFree-Open-Source-Software免费开源软件GTPGPRSTunne1ingProtoco1GPRS隧道协议HTTPSHyperTextTransferProtoco1Secure超文本

8、传输安全协议ICMPInternetContro1MessageProtoco1互联网控制报文协议IPInternetProtoco1互联网协议IPsecInternetProtoco1Security互联网安全协议ISOInternationa1OrganizationforStandardization国际标准化组织MMEMobi1eManagementEntity移动性管理实体NFNetworkFunction网络功能OAMOperationAdministrationandMaintenance运行操作维护OSIOpenSystemInterconnection开放系统互联PINPer

9、sona1IdentificationNumber个人识别码PMPerformanceManagement性能管理RBACRoIeBasedAccessContro1基于角色的访问控制RDPRemoteDesktopProtoco1远程桌面协议RPFReversePathForwarding逆向路径转发SBAService-BasedArchitecture基于服务的架构SBIService-BasedInterface基于服务的接口SCASSecurityAssuranceSpecification安全保障规范SFTPSSHFi1eTransferProtoco1安全文件传输协议SSHSec

10、ureShe11安全外壳协议TCPTransmissionContro1Protoco1传输控制协议TFTPTrivia1Fi1eTransferProtoco1简单文件传输协议T1STransport1ayerSecurity传输层安全ToETargetofEva1uation评估对象UDPUserDatagramProtoco1用户数据报协议UIDUserIdentification用户标识VPNVirtua1PrivateNetwork虚拟专用网络5通用安全功能性需求和测试用例51概述5.1.1 测试准备本文件中的SCAS测试，适用于网络环境或仿真环境中，采用软件和硬件实现特定功能的网络

11、设备。在测试进行之前，硬件和软件应正确安装，网络设备上电，如设备厂商的文档描述，通过标准化接口和OAM接口建立网络设备功能性相关的通信。根据设备厂商的文档，对于可选的外部非标准化接口上的通信应建立，除非其在设备厂商的文档中明确的标记为“不推荐”。对于每个外部通信接口，可能有多种可选的能力。在测试过程中，所有的能力应启用，除非其在设备厂商的文档中明确的标记为“不推荐”。在一些情况下，一个测试用例可能将改变配置作为执行步骤或预置条件。在该测试执行后和进一步的测试执行前，需确保TOE的状态恢复到初始状态。SCAS测试与运行和部署不相关。因此，SCAS测试独立于运营商在特定部署场景下的指导方针或考虑。

12、5.1.2 测试工具以下内容应用于本文件中所有的测试用例：本文件考虑测试工具的发展速度影响SCAS标准的制定。因此，对于每个需求，当满足如下条件时，实际测试实施可能偏离本文件中测试用例的步骤描述：（1）对于其他测试者重现该测试，测试更适合使用COTS和免费开源软件工具。当使用的工具不属于这两种时，需要提供其质量保障的证明。该情况仅适用于工具用于进行实际的测试，不涉及建立测试环境，例如流量生成器/仿真器。当测试实验室无法获取必要的测试工具进行测试，测试实验室可使用厂商专有的测试工具，只要测试工具符合合适的质量管理系统（QMS）的要求。测试实验室确定质量管理系统已到位，以便应用厂商的测试工具。此外

13、，当认可的实验室不具备必需的测试环境进行测试，应在厂商测试实验室进行测试。这时认可的实验室应记录测试环境、测试建立、如何测试的细节。（2）测试者提供证明，例如关于工具的文档，说明该工具适用于验证需求，测试的范围等同或大于本文件描述的测试用例。该证明需要为测试领域专家提供足够的细节。（3）测试者提供该工具己经用于网络设备测试的证明（例如，提供追溯）。5.1.3 文档需求当测试用例对产品文档中的某个条目的可用性作出了假设，即使文档没有提到该需求，该假设也被认为是需求的一部分。耳J安全功能性需求和测试用例5.2.1 概述本章描述安全功能需求和相应的测试用例，不依赖于特定的网络设备分类。安全需求分为以

14、下两类:1）安全功能需求源自3GPP规范和本文件4.2.2章节。2）通用的安全功能需求包括3GPP规范中没有规定，但其对于保障网络设备符合通用安全基线同样重要，详见本文件4.2.3章节。5. 2.23GPP标准中的安全功能性需求和测试用例6. 2.2.13GPP标准中通用安全功能需求与测试用例本章节描述通用的源自3GPP规范中的安全功能需求和相应的测试用例，独立于特定的网络设备类型。本文件中SCAS的目的是网络设备符合所有3GPP规范中强制的安全相关的规定，特别是：1）所有33系列（安全规范）的3GPP规范中与网络设备类型相关的；2）其他3GPP规范，作为安全规范的参考或者被安全规范引用。与网

15、络设备相关的安全流程通常被嵌入到非安全流程之中，因此通常认为与其一起测试。本文件的目的是从EPS和5G安全架构中识别SCAS的安全需求，特别是：a）当安全需求不被满足时导致脆弱性；b）对于非安全流程，通过普通测试活动未被识别的安全需求；c）处理安全相关的失败用例，例外或否定的需求，如“网络设备不应.,本文件的目的并非提供以上规范的所有安全流程测试用例的全集。5.2.2.23GPP标准中SBA/SBI方面通用安全功能需求5.2.2.2.1通用本条款目的是识别和描述SBA安全架构和相应测试用例的一般基线要求。一般基线要求适用于5G核心网（5GC）中所有使用SB1（Service-Basedinterface）的网络功能，与特定的网