IPv4-IPv6網(wǎng)絡(luò)安全防護(hù)要求 第2部分：移動(dòng)通信網(wǎng)

ICS33.040.40

CCSM32

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX.2—XXXX

IPv4/IPv6網(wǎng)絡(luò)安全防護(hù)技術(shù)規(guī)范

第2部分：移動(dòng)通信網(wǎng)

IPv4/IPv6securityprotectionrequirements-Part2:Mobiletelecommunication

network

（征求意見稿）

在提交反饋意見時(shí)，請將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/T××××—××××

前言

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起

草。

GB/TXXXXX《IPv4/IPv6網(wǎng)絡(luò)安全防護(hù)技術(shù)規(guī)范》與GB/TXXXXX《IPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求》、

GB/TXXXXX《IPv6網(wǎng)絡(luò)設(shè)備安全技術(shù)要求》共同構(gòu)成支撐IPv6安全的國家標(biāo)準(zhǔn)體系。

本文件是GB/TXXXXX《IPv4/IPv6網(wǎng)絡(luò)安全防護(hù)技術(shù)規(guī)范》的第2部分，GB/TXXXX已經(jīng)發(fā)布了

以下部分：

——第1部分：IP承載網(wǎng)

——第2部分：移動(dòng)通信網(wǎng)

——第3部分：互聯(lián)網(wǎng)數(shù)據(jù)中心

——第4部分：內(nèi)容分發(fā)網(wǎng)絡(luò)

注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。

本文件由中華人民共和國工業(yè)和信息化部提出。

本文件由全國通信標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC485)歸口。

本文件起草單位：

本文件主要起草人：

I

GB/T××××—××××

引言

根據(jù)《關(guān)于加快推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署和應(yīng)用工作的通知》，為更好面對網(wǎng)絡(luò)

復(fù)雜化和用戶規(guī)模擴(kuò)大化帶來的安全挑戰(zhàn)，推動(dòng)IPv6網(wǎng)絡(luò)安全工作的標(biāo)準(zhǔn)化，我國制定了一系列IPv6

安全標(biāo)準(zhǔn)。其中，GB/TXXXXX《IPv4/IPv6網(wǎng)絡(luò)安全防護(hù)技術(shù)規(guī)范》是為規(guī)范電信網(wǎng)和互聯(lián)網(wǎng)行業(yè)中

重要網(wǎng)絡(luò)單元在IPv6網(wǎng)絡(luò)中所開展的安全防護(hù)工作，擬分為以下部分：

——第1部分：IP承載網(wǎng)。目的在于IPv6部署后，推動(dòng)IP承載網(wǎng)的安全防護(hù)工作。

——第2部分：移動(dòng)通信網(wǎng)。目的在于IPv6部署后，推動(dòng)移動(dòng)通信網(wǎng)的安全防護(hù)工作。

——第3部分：互聯(lián)網(wǎng)數(shù)據(jù)中心。目的在于IPv6部署后，推動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)中心的安全防護(hù)工作。

——第4部分：內(nèi)容分發(fā)網(wǎng)絡(luò)。目的在于IPv6部署后，推動(dòng)內(nèi)容分發(fā)網(wǎng)絡(luò)的安全防護(hù)工作。

I

GB/T××××—××××

IPv4/IPv6網(wǎng)絡(luò)安全防護(hù)技術(shù)規(guī)范第2部分：移動(dòng)通信網(wǎng)

1范圍

本文件規(guī)定了支持IPv4/IPv6協(xié)議的移動(dòng)通信網(wǎng)的安全防護(hù)要求和檢測要求，包括數(shù)據(jù)安全、業(yè)務(wù)

系統(tǒng)安全、主機(jī)安全、物理環(huán)境安全和管理安全等要求。

本文件適用于支持IPv4/IPv6協(xié)議的移動(dòng)通信網(wǎng)安全防護(hù)工作開展和推進(jìn)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

移動(dòng)通信網(wǎng)mobilecommunicationnetwork

通過無線接入技術(shù)為公眾用戶提供移動(dòng)通信業(yè)務(wù)的網(wǎng)絡(luò)。

4縮略語

下列縮略語適用于本文件。

AAA認(rèn)證、授權(quán)、計(jì)費(fèi)Authentication,Authorization,andAccounting

AC鑒權(quán)中心AuthenticationCenter

AMF接入和移動(dòng)性管理功能AccessManagementFunction

API應(yīng)用程序編程接口ApplicationProgrammingInterface

ARP地址解析協(xié)議AddressResolutionProtocol

AS應(yīng)用服務(wù)器ApplicationServer

AUC鑒權(quán)中心AuthenticationCenter

AUSF認(rèn)證服務(wù)器功能AuthenticationServerFunction

BPDU橋接協(xié)議數(shù)據(jù)單元BridgeProtocolDataUnit

BG邊界網(wǎng)關(guān)BorderGateway

BTS基站收發(fā)信站點(diǎn)BaseTransceiverStation

BSS基站子系統(tǒng)BaseStationSubsystem

BSF綁定支持功能BindingSupportFunction

CG計(jì)費(fèi)網(wǎng)關(guān)ChargingGateway

1

GB/T××××—××××

CSCF呼叫會(huì)話控制功能CallSessionControlFunction

DDoS分布式拒絕服務(wù)DistributedDenialofService

DMZ隔離區(qū)DemilitarizedZone

DNS域名服務(wù)器DomainNameServer

ESP封裝安全負(fù)載EncapsulatingSecurityPayload

EPC分組核心網(wǎng)EvolvedPacketCore

FA拜訪代理ForeignAgent

FTP文件傳送協(xié)議FileTransferProtocol

GGSN網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)GatewayGPRSSupportNode

GMSC網(wǎng)關(guān)移動(dòng)交換中心GatewayMobileSwitchingCenter

GSM全球移動(dòng)通信系統(tǒng)GlobalSystemforMobilecommunications

GPRS通用分組無線業(yè)務(wù)GeneralPacketRadioService

HA歸屬代理HomeAgent

HLR歸屬位置寄存器HomeLocationRegister

HRPD高速分組數(shù)據(jù)HighRatePacketData

HTTPS超文本傳輸安全協(xié)議HypertextTransferProtocolSecure

HSS歸屬用戶服務(wù)器HomeSubscriberSever

IBCF互聯(lián)邊界控制功能InterconnectionBorderControlFunction

ICMPInternet控制消息協(xié)議InternetControlMessageProtocol

I-CSCF查詢呼叫會(huì)話控制功能InterrogatingCallSessionControlFunction

iFC初始過濾規(guī)則initialFilterCriteria

IMSIP多媒體子系統(tǒng)IPMultimediaSubsystem

IMSI/ISIM國際移動(dòng)用戶識(shí)別碼InternationalMobileSubscriberIdentity

IPSec互聯(lián)網(wǎng)安全協(xié)議InternetProtocolSecurity

IPv4IP協(xié)議第4版InternetProtocolVersion4

IPv6IP協(xié)議第6版InternetProtocolVersion6

LTE長期演進(jìn)項(xiàng)目LongTermEvolution

MSC移動(dòng)交換中心MobileSwitchCenter

MS移動(dòng)臺(tái)MobileStation

MGW媒體網(wǎng)關(guān)MediaGateway

MME移動(dòng)管理節(jié)點(diǎn)MobilityManagementEntity

MRFC多媒體資源控制器MRFController

MRFP媒體資源處理功能MediaResourceFunctionProcess

MSCserver移動(dòng)交換中心服務(wù)器MobileSwitchingCenterServer

NF網(wǎng)絡(luò)功能NetworkFunctions

NFV網(wǎng)絡(luò)功能虛擬化NetworkFunctionsVirtualization

NFVO網(wǎng)絡(luò)功能虛擬化編排器NetworkFunctionsVirtualizationOrchestrator

NRF網(wǎng)絡(luò)存儲(chǔ)功能NetworkRepositoryFunction

2

GB/T××××—××××

NSA非獨(dú)立組網(wǎng)Non-Standalone

NSMF網(wǎng)絡(luò)切片管理功能NetworkSliceManagementFunction

NSSF網(wǎng)絡(luò)切片選擇功能NetworkSliceSelectionFunction

NSSMF網(wǎng)絡(luò)切片子網(wǎng)管理功能NetworkSliceSubnetManagementFunction

OAM操作管理和維護(hù)OperationAdministrationandMaintenance

OMC-R無線接入網(wǎng)網(wǎng)元統(tǒng)一管理平臺(tái)Operation&ManagementCenter

OSPF開放式最短路徑優(yōu)先OpenShortestPathFirst

PDSN分組數(shù)據(jù)業(yè)務(wù)節(jié)點(diǎn)PacketDataServingNode

PCF分組控制功能PacketControlFunction

PCRF策略和計(jì)費(fèi)規(guī)則功能PolicyandChargingRulesFunction

P-CSCF代理呼叫會(huì)話控制功能ProxyCallSessionControlFunction

RNC無線網(wǎng)絡(luò)控制器RadioNetworkController

SAE獨(dú)立設(shè)備StandAloneEquipment

S-CSCF服務(wù)呼叫會(huì)話控制功能ServingCallSessionControlFunction

SDN軟件定義網(wǎng)絡(luò)SoftwareDefinedNetwork

SEPP安全邊緣保護(hù)代理SecurityEdgeProtectionProxy

SMF會(huì)話管理功能SessionManagementFunction

SNMP簡單網(wǎng)絡(luò)管理協(xié)議SimpleNetworkManagementProtocol

SGSN服務(wù)GPRS支持節(jié)點(diǎn)ServingGPRSSupportNode

SLA服務(wù)等級協(xié)議Service-LevelAgreement

SLF簽約位置功能SubscriptionLocatorFunction

SSH安全外殼協(xié)議SecureShell

TD-SCDMA時(shí)分同步碼分多址TimeDivisionSynchronousCodeDivisionMultipleAccess

TLS傳輸層安全TransportLayerSecurity

TMSI用戶臨時(shí)識(shí)別碼TemporaryMobileSubscriberIdentity

UE用戶設(shè)備UserEquipment

UDM統(tǒng)一數(shù)據(jù)管理Unifieddatamanagement

UPF用戶平面功能User-planefunction

VIM虛擬化基礎(chǔ)設(shè)施管理器VirtualisedInfrastructureManager

VLAN虛擬局域網(wǎng)VirtualLocalAreaNetwork

VXLAN虛擬擴(kuò)展局域網(wǎng)VirtualeXtensibleLocalAreaNetwork

VLR拜訪位置寄存器VisitorLocationRegister

VM虛擬機(jī)VirtualMachine

VNF虛擬網(wǎng)絡(luò)功能VirtualNetworkFunction

VPN虛擬專用網(wǎng)VirtualPrivateNetworking

WAF網(wǎng)絡(luò)應(yīng)用程序防火墻WebApplicationFirewall

WCDMA寬帶碼分多址WidebandCodeDivisionMultipleAccess

5移動(dòng)通信網(wǎng)安全防護(hù)概述

3

GB/T××××—××××

5.1移動(dòng)通信網(wǎng)安全防護(hù)范圍

移動(dòng)通信網(wǎng)的安全防護(hù)范疇包括GSM/GPRS/WCDMA/TD-SCDMA網(wǎng)、CDMA2000/HRPD網(wǎng)、

LTE/EPC網(wǎng)絡(luò)、5G網(wǎng)絡(luò)以及與這些網(wǎng)絡(luò)運(yùn)行和業(yè)務(wù)提供相關(guān)的傳送網(wǎng)、IP承載網(wǎng)、信令網(wǎng)、同步網(wǎng)、

支撐網(wǎng)等相關(guān)系統(tǒng)，如圖1所示。

移動(dòng)通信網(wǎng)相關(guān)系統(tǒng)

傳IP信同支

承令

送步撐

載網(wǎng)

網(wǎng)網(wǎng)網(wǎng)網(wǎng)

圖1移動(dòng)通信網(wǎng)安全防護(hù)涉及的相關(guān)系統(tǒng)

本文件僅對移動(dòng)通信網(wǎng)中的GSM/GPRS/WCDMA/TD-SCDMA網(wǎng)、CDMA2000/HRPD網(wǎng)、LTE/EPC

網(wǎng)絡(luò)、5G網(wǎng)絡(luò)提出安全防護(hù)要求。傳送網(wǎng)、IP承載網(wǎng)、信令網(wǎng)、同步網(wǎng)、支撐網(wǎng)等安全防護(hù)的具體要

求應(yīng)遵循各自的安全防護(hù)要求標(biāo)準(zhǔn)。

5.2移動(dòng)通信網(wǎng)安全防護(hù)內(nèi)容

應(yīng)按照國家、行業(yè)的網(wǎng)絡(luò)安全等級劃分標(biāo)準(zhǔn)確定安全等級，并依據(jù)安全等級開展包括業(yè)務(wù)安全、網(wǎng)

絡(luò)安全、設(shè)備安全、物理環(huán)境安全和管理安全等五個(gè)層面的安全防護(hù)工作。其中：

a）業(yè)務(wù)安全：主要包括移動(dòng)通信網(wǎng)業(yè)務(wù)接入、業(yè)務(wù)連續(xù)方面的要求；

b）網(wǎng)絡(luò)安全：主要包括移動(dòng)通信網(wǎng)結(jié)構(gòu)拓?fù)?、接入安全、網(wǎng)絡(luò)域安全等方面內(nèi)容和要求；

c）設(shè)備安全：主要包括移動(dòng)通信網(wǎng)中各網(wǎng)元設(shè)備和基礎(chǔ)設(shè)施安全方面的內(nèi)容和要求；

d）物理環(huán)境安全：除GB/T22239-2019要求外，還包括防蟲鼠、機(jī)房承重等方面內(nèi)容和要求；

e）管理安全：除GB/T22239-2019要求外，還包括風(fēng)險(xiǎn)評估、應(yīng)急預(yù)案等方面內(nèi)容和要求。

6移動(dòng)通信網(wǎng)安全防護(hù)要求

6.1第1級要求

不作要求。

6.2第2級要求

6.2.1業(yè)務(wù)安全要求

業(yè)務(wù)安全應(yīng)滿足以下要求：

a)在業(yè)務(wù)開始時(shí)對用戶進(jìn)行認(rèn)證，防止未授權(quán)用戶接入業(yè)務(wù)。

b)在網(wǎng)絡(luò)發(fā)生擁塞或設(shè)備發(fā)生單點(diǎn)故障時(shí)，應(yīng)保證業(yè)務(wù)的連續(xù)性。

4

GB/T××××—××××

c)應(yīng)能夠紀(jì)錄操作維護(hù)人員對網(wǎng)絡(luò)進(jìn)行的操作，對發(fā)布、修改、刪除等操作行為進(jìn)行記錄，并且

可以按時(shí)間、操作方式、操作人員來查詢。

6.2.2網(wǎng)絡(luò)安全要求

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)應(yīng)滿足以下要求：

a)網(wǎng)絡(luò)設(shè)備處理能力應(yīng)具備冗余空間，滿足流量高負(fù)荷時(shí)需求，不能由于設(shè)備配置不夠而導(dǎo)致網(wǎng)

絡(luò)全部或者局部癱瘓。

b)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)合理，應(yīng)繪制與當(dāng)前運(yùn)行情況相符合的網(wǎng)絡(luò)拓?fù)鋱D。

接入安全

.1接入GSM網(wǎng)絡(luò)安全

GSM網(wǎng)絡(luò)接入安全應(yīng)滿足以下要求：

a)對接入的用戶身份發(fā)起鑒權(quán)認(rèn)證，驗(yàn)證用戶身份的合法性，保證只有授權(quán)用戶能夠接入網(wǎng)絡(luò)。

b)應(yīng)提供用戶身份的保密措施。在用戶初次接入網(wǎng)絡(luò)或在網(wǎng)絡(luò)丟失用戶的TMSI和IMSI同步時(shí)，

才會(huì)請求用戶發(fā)送IMSI。

c)應(yīng)在MS和BTS之間提供數(shù)據(jù)的加密機(jī)制，保證數(shù)據(jù)在無線鏈路上的傳輸安全。（在國家未對

算法作出具體規(guī)定之前，對此功能不做要求）

.2接入GPRS網(wǎng)絡(luò)安全

GPRS網(wǎng)絡(luò)接入安全應(yīng)滿足以下要求：

a)對接入的用戶身份發(fā)起鑒權(quán)認(rèn)證，驗(yàn)證用戶身份的合法性，保證只有授權(quán)用戶能夠接入網(wǎng)絡(luò)。

b)應(yīng)提供用戶身份的保密措施。在用戶初次接入網(wǎng)絡(luò)或在網(wǎng)絡(luò)丟失用戶的TMSI和IMSI同步時(shí)，

才會(huì)請求用戶發(fā)送IMSI。

c)應(yīng)在MS和SGSN之間提供用戶數(shù)據(jù)的加密機(jī)制，保證用戶數(shù)據(jù)在鏈路上的傳輸安全。（在國家未

對算法作出具體規(guī)定之前，對此功能不做要求）

.3接入WCDMA/TD-SCDMA網(wǎng)絡(luò)安全

WCDMA/TD-SCDMA網(wǎng)絡(luò)接入安全應(yīng)滿足以下要求：

a)支持雙向鑒權(quán)認(rèn)證功能。對接入的用戶身份發(fā)起鑒權(quán)認(rèn)證，驗(yàn)證用戶身份的合法性，保證授權(quán)

用戶能夠接入網(wǎng)絡(luò)。用戶對接入的網(wǎng)絡(luò)發(fā)起鑒權(quán)認(rèn)證，驗(yàn)證網(wǎng)絡(luò)的合法性，保證用戶能夠接入

合法網(wǎng)絡(luò)。

b)應(yīng)提供用戶身份的保密措施。在用戶初次接入網(wǎng)絡(luò)的時(shí)候IMSI才被發(fā)送，僅在無線信道上發(fā)

送移動(dòng)用戶相應(yīng)的TMSI。

c)應(yīng)支持用戶和網(wǎng)絡(luò)之間的密鑰協(xié)商機(jī)制。

5

GB/T××××—××××

d)應(yīng)在MS和RNC之間提供數(shù)據(jù)的加密機(jī)制，保證數(shù)據(jù)在鏈路上的傳輸安全。（在國家未對算法

作出具體規(guī)定之前，對此功能不做要求）

e)應(yīng)該支持對層三RRC消息的完整性保護(hù)，用于維護(hù)信令的完整性。

.4接入CDMA2000網(wǎng)絡(luò)安全

CDMA2000網(wǎng)絡(luò)接入安全應(yīng)滿足以下要求：

a)對接入的用戶身份發(fā)起鑒權(quán)認(rèn)證，驗(yàn)證用戶身份的合法性，保證只有授權(quán)用戶能夠接入網(wǎng)絡(luò)。

b)在空中接口的層三提供鑒權(quán)和加密的服務(wù)。

c)應(yīng)在MS和基站系統(tǒng)之間提供數(shù)據(jù)的加密機(jī)制，保證數(shù)據(jù)在無線鏈路上的傳輸安全。（在國家

未對算法作出具體規(guī)定之前，對此功能不做要求）

.5接入CDMA2000HRPD網(wǎng)絡(luò)安全

CDMA2000HRPD網(wǎng)絡(luò)接入安全應(yīng)滿足以下要求：

a)應(yīng)支持AN-AAA對移動(dòng)臺(tái)進(jìn)行無線接入網(wǎng)的認(rèn)證和授權(quán)。

b)對接入的用戶身份發(fā)起鑒權(quán)認(rèn)證，驗(yàn)證用戶身份的合法性，保證授權(quán)用戶能夠接入網(wǎng)絡(luò)。

c)應(yīng)支持空中接口安全層的密鑰交換、鑒權(quán)和加密服務(wù)，安全層使用密鑰交換協(xié)議、鑒權(quán)協(xié)議、

加密協(xié)議和安全協(xié)議提供這些功能。

d)應(yīng)在MS和基站系統(tǒng)之間提供數(shù)據(jù)的加密機(jī)制，保證數(shù)據(jù)在無線鏈路上的傳輸安全。（在國家未

對算法作出具體規(guī)定之前，對此功能不做要求）

.6接入IMS網(wǎng)絡(luò)安全

IMS網(wǎng)絡(luò)接入安全應(yīng)滿足以下要求：

a)提供用戶和IMS網(wǎng)絡(luò)之間的雙向認(rèn)證。HSS負(fù)責(zé)產(chǎn)生密鑰和挑戰(zhàn)，委托S-CSCF執(zhí)行用戶認(rèn)證的

操作。認(rèn)證基于由IP多媒體服務(wù)身份模塊(ISIM)和HSS共享的密鑰和算法。

b)UE與P-CSCF之間的SIP信令消息使用IPSecESP提供機(jī)密性和完整性保護(hù)。

c)應(yīng)提供用戶身份的保密措施。在用戶初次接入網(wǎng)絡(luò)或在網(wǎng)絡(luò)丟失用戶的TMSI和IMSI同步時(shí)，

才會(huì)請求用戶發(fā)送IMSI。

.7接入LTE/EPC網(wǎng)絡(luò)安全

LTE/EPC網(wǎng)絡(luò)接入安全應(yīng)滿足以下要求：

a)應(yīng)支持用戶和LTE/EPC網(wǎng)絡(luò)之間的雙向認(rèn)證。當(dāng)終端通過eHRPD接入EPC時(shí)，無線側(cè)認(rèn)證采用

HRPD網(wǎng)絡(luò)基于AN-AAA的MD5認(rèn)證，核心網(wǎng)側(cè)采用EAP-AKA’方式實(shí)現(xiàn)認(rèn)證及密鑰協(xié)商。

當(dāng)終端通過LTE接入EPC時(shí)，采用EPS-AKA方式實(shí)現(xiàn)認(rèn)證及密鑰協(xié)商。

b)應(yīng)支持對用戶數(shù)據(jù)的加密和完整性保護(hù)，支持根據(jù)需要啟用或關(guān)閉對用戶數(shù)據(jù)的加密及完整性

等保護(hù)機(jī)制。

.8接入5G網(wǎng)絡(luò)安全

5G網(wǎng)絡(luò)接入安全應(yīng)滿足以下要求：

6

GB/T××××—××××

a)應(yīng)支持通過5G網(wǎng)絡(luò)AMF、AUSF、UDM網(wǎng)元實(shí)現(xiàn)用戶UE和5G網(wǎng)絡(luò)的雙向認(rèn)證。

b)應(yīng)支持并開啟UE和基站之間信令數(shù)據(jù)的機(jī)密性和完整性保護(hù)措施，其中除了未經(jīng)認(rèn)證的緊急

服務(wù)以外，完整性保護(hù)禁止使用空完整性保護(hù)算法（NIA0算法）。

c)應(yīng)支持UE和基站之間用戶面數(shù)據(jù)的機(jī)密性保護(hù)措施，能夠UE的用戶面安全策略激活UE的用戶

面機(jī)密性保護(hù)。

d)應(yīng)支持并開啟UE和基站之間用戶面數(shù)據(jù)的完整性保護(hù)，其中除了未經(jīng)認(rèn)證的緊急服務(wù)以外，

完整性保護(hù)禁止使用空完整性保護(hù)算法（NIA0算法）。

e)對于未經(jīng)認(rèn)證的緊急服務(wù)，5G網(wǎng)絡(luò)應(yīng)僅支持法律法規(guī)要求支持的服務(wù)類型。例如，限制終端

在未經(jīng)認(rèn)證的情況下使用緊急服務(wù)時(shí)，僅能發(fā)起110、119等緊急呼叫服務(wù)。

f)應(yīng)支持基于IPsecESP和IKEv2證書，對gNB的Xn/Xx、N2、N3、S1-U等外部接口的通信提供認(rèn)

證保護(hù)，以及機(jī)密性、完整性和抗重放保護(hù)。其中，Xx接口指NSA組網(wǎng)下gNB和eNB之間的直

聯(lián)接口，S1-U接口指NSA組網(wǎng)下gNB和EPC的S-GW之間的直聯(lián)接口。

網(wǎng)絡(luò)域安全

.1GPRS/WCDMA/TD-SCDMA網(wǎng)絡(luò)域安全

GPRS/WCDMA/TD-SCDMA網(wǎng)絡(luò)域應(yīng)滿足以下要求：

a)在分組域與外部IP網(wǎng)絡(luò)之間應(yīng)設(shè)置防火墻進(jìn)行隔離，禁止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的配置操作，

并嚴(yán)格管理內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)。

b)不同分組域之間互連時(shí)應(yīng)在BG處設(shè)置防火墻進(jìn)行隔離。

.2CDMA2000/HRPD網(wǎng)絡(luò)域安全

在PDSN與外部IP網(wǎng)絡(luò)之間應(yīng)設(shè)置防火墻進(jìn)行隔離，禁止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的配置操作，并嚴(yán)

格管理內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)。

.3IMS網(wǎng)絡(luò)域安全

IMS網(wǎng)絡(luò)域應(yīng)滿足以下要求：

a)通過選擇網(wǎng)絡(luò)隱藏機(jī)制提供對其他網(wǎng)絡(luò)運(yùn)營單位隱藏網(wǎng)絡(luò)拓?fù)涞哪芰?，包括隱藏S-CSCF的數(shù)

量、S-CSCF的能力以及網(wǎng)絡(luò)能力，歸屬網(wǎng)絡(luò)中的所有I-CSCF將共享一個(gè)加密和解密密鑰。

b)不同網(wǎng)絡(luò)之間的CSCF網(wǎng)絡(luò)實(shí)體之間采用IPSec機(jī)制，提供消息機(jī)密性、完整性保護(hù)安全。

c)與外部IP網(wǎng)絡(luò)之間應(yīng)設(shè)置防火墻進(jìn)行隔離，禁止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的配置操作，并嚴(yán)格管

理內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)。

d)在兩個(gè)網(wǎng)絡(luò)運(yùn)營單位域間進(jìn)行互連的IBCF處應(yīng)設(shè)置防火墻進(jìn)行隔離。

.4LTE/EPC網(wǎng)絡(luò)域安全

LTE/EPC網(wǎng)絡(luò)域應(yīng)滿足以下要求：

a)應(yīng)采用VPN單獨(dú)組網(wǎng)，與其它網(wǎng)絡(luò)在邏輯上進(jìn)行隔離。

7

GB/T××××—××××

b)與外部IP網(wǎng)絡(luò)之間應(yīng)設(shè)置防火墻進(jìn)行隔離。

c)與外部IP網(wǎng)絡(luò)互聯(lián)互通時(shí)或者設(shè)備間通信途徑外部網(wǎng)絡(luò)時(shí)可采用IPSec機(jī)制，提供消息機(jī)密性、

完整性保護(hù)安全。

d)應(yīng)對可疑的連接、非法訪問進(jìn)行監(jiān)控，對未經(jīng)防火墻的登錄和口令爆破的行為進(jìn)行告警。

.55G網(wǎng)絡(luò)域安全要求

5G網(wǎng)絡(luò)域應(yīng)滿足以下要求：

a)核心網(wǎng)服務(wù)化NF之間、NF與NRF之間、NRF之間均應(yīng)支持使用基于證書的TLS建立安全會(huì)

話，并進(jìn)行雙向認(rèn)證。

b)應(yīng)具備網(wǎng)絡(luò)流量檢測與防護(hù)能力，支持信令面與管理面安全檢測與防護(hù)能力。

c)應(yīng)具備網(wǎng)絡(luò)流量檢測與防護(hù)能力，支持用戶面安全檢測與防護(hù)能力。

d)與外部IP網(wǎng)絡(luò)之間應(yīng)設(shè)置防火墻進(jìn)行隔離。

e)與跨境網(wǎng)絡(luò)運(yùn)營單位對接時(shí)，應(yīng)部署SEPP網(wǎng)關(guān)進(jìn)行信令流量的保護(hù)。

6.2.3網(wǎng)元設(shè)備和基礎(chǔ)設(shè)施安全要求

網(wǎng)元設(shè)備和基礎(chǔ)設(shè)施通用安全

網(wǎng)元設(shè)備和基礎(chǔ)設(shè)施應(yīng)滿足以下要求：

a)移動(dòng)通信網(wǎng)網(wǎng)元、網(wǎng)絡(luò)設(shè)備、基礎(chǔ)設(shè)施、配套管理系統(tǒng)和安全設(shè)備均應(yīng)支持IPv4、IPv6的單棧、

雙棧環(huán)境。

b)網(wǎng)元接口、安全設(shè)備應(yīng)支持基于IPv6的訪問控制策略。

c)網(wǎng)絡(luò)設(shè)備應(yīng)支持IPv6路由協(xié)議安全功能，支持OSPFv3、RIPng路由協(xié)議的IPSEC認(rèn)證；支持

ISISv6、BGP4+的MD5認(rèn)證，支持BGP4+路由振蕩抑制。

GSM/GPRS/WCDMA/TD-SCDMA網(wǎng)

GSM/GPRS/WCDMA/TD-SCDMA網(wǎng)設(shè)備安全應(yīng)滿足設(shè)備技術(shù)規(guī)范、設(shè)備入網(wǎng)管理相關(guān)要求。

CDMA2000/HRPD網(wǎng)

CDMA2000/HRPD網(wǎng)設(shè)備安全應(yīng)滿足設(shè)備技術(shù)規(guī)范、設(shè)備入網(wǎng)管理相關(guān)要求。

LTE/EPC網(wǎng)絡(luò)

LTE/EPC網(wǎng)絡(luò)設(shè)備安全應(yīng)滿足設(shè)備技術(shù)規(guī)范、設(shè)備入網(wǎng)管理相關(guān)要求。

5G網(wǎng)絡(luò)

5G網(wǎng)絡(luò)設(shè)備安全應(yīng)滿足設(shè)備技術(shù)規(guī)范、設(shè)備入網(wǎng)管理相關(guān)要求。

6.2.4物理環(huán)境安全要求

機(jī)房、辦公場地物理環(huán)境安全

除滿足GB/T22239-2019中第二級的安全物理環(huán)境要求外，還需滿足以下要求：

8

GB/T××××—××××

a)機(jī)房整體抗震能力應(yīng)不低于里氏7級，相關(guān)樓層承重能力不低于750公斤/平方米；

b)機(jī)房應(yīng)具備防蟲防鼠等相關(guān)措施，以有效防范鼠蟲蟻害。

室外無線接入設(shè)備場地物理環(huán)境

除滿足GB/T22239-2019中第二級的安全物理環(huán)境要求外，還需滿足以下要求：

a)室外無線接入設(shè)備場地整體抗震能力應(yīng)不低于里氏7級，承重能力不低于750公斤/平方米。

b)應(yīng)具備防蟲防鼠等相關(guān)措施，以有效防范鼠蟲蟻害。

6.2.5管理安全要求

應(yīng)GB/T22239-2019中第二級的安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全運(yùn)維管理相關(guān)

要求。

6.3第3級要求

6.3.1業(yè)務(wù)安全要求

應(yīng)滿足6.2.1的要求。

6.3.2網(wǎng)絡(luò)安全要求

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

.1GSM/GPRS/WCDMA/TD-SCDMA網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

除滿足要求外，還需滿足：

a)GMSC或GMSCServer應(yīng)當(dāng)采用1+1方式配置，并通過負(fù)荷分擔(dān)方式來保證業(yè)務(wù)安全，避免

單一GMSC或GMSCServer癱瘓時(shí)導(dǎo)致業(yè)務(wù)全阻。

b)TMSC或TMSCServer應(yīng)當(dāng)采用1+1方式配置，并通過負(fù)荷分擔(dān)方式來保證業(yè)務(wù)安全，避免單

一TMSC或TMSCServer癱瘓時(shí)導(dǎo)致業(yè)務(wù)全阻。

c)MSC或MSCServer至關(guān)口局和匯接局之間應(yīng)當(dāng)具備雙路由或多路由。

d)HLR（歸屬位置寄存器）應(yīng)當(dāng)采用1+1或N+1備份，具有負(fù)荷分擔(dān)的能力。

e)GGSN要求采用負(fù)荷分擔(dān)的工作方式，或者采用N+1備份的工作方式。

f)DNS和CG設(shè)備應(yīng)當(dāng)采用1+1備份的工作方式，具有負(fù)荷分擔(dān)的能力。

g)網(wǎng)絡(luò)域至無線接入系統(tǒng)應(yīng)當(dāng)采用物理上的多路由方式配備，在不同的傳輸設(shè)備和傳輸線路上相

互保護(hù)，確保傳輸路徑的安全，避免單一傳輸通道阻斷時(shí)導(dǎo)致業(yè)務(wù)全阻。

.2CDMA2000網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

除應(yīng)滿足外，還需：

a)GMSC或GMSCe應(yīng)當(dāng)采用1+1方式配置，并通過負(fù)荷分擔(dān)方式來保證業(yè)務(wù)安全，避免單一

GMSC或GMSCe癱瘓時(shí)導(dǎo)致業(yè)務(wù)全阻。

b)TMSC或TMSCe應(yīng)當(dāng)采用1+1方式配置，并通過負(fù)荷分擔(dān)方式來保證業(yè)務(wù)安全，避免單一

TMSC或TMSCe癱瘓時(shí)導(dǎo)致業(yè)務(wù)全阻。

9

GB/T××××—××××

c)MSC或MSCe至關(guān)口局和匯接局之間應(yīng)當(dāng)具備雙路由或多路由。

d)網(wǎng)絡(luò)域至無線接入系統(tǒng)應(yīng)當(dāng)采用物理上的多路由方式配備，在不同的傳輸設(shè)備和傳輸線路上相

互保護(hù)，確保傳輸路徑的安全，避免單一傳輸通道阻斷時(shí)導(dǎo)致業(yè)務(wù)全阻。

e)HLR（歸屬位置寄存器）應(yīng)當(dāng)采用1+1或N+1備份，具有負(fù)荷分擔(dān)的能力。

f)PDSN設(shè)備應(yīng)具有負(fù)荷分擔(dān)的能力。

g)AAA設(shè)備應(yīng)采用1+1或N+1備份配置，具有負(fù)荷分擔(dān)的能力。

.3CDMA2000HRPD網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

除應(yīng)滿足外，還需：

a)PDSN設(shè)備應(yīng)具有負(fù)荷分擔(dān)的能力。

b)ANAAA、AAA設(shè)備應(yīng)采用1+1或N+1備份配置，具有負(fù)荷分擔(dān)的能力。

c)網(wǎng)絡(luò)域至無線接入系統(tǒng)應(yīng)采用物理上的多路由方式配備，在不同的傳輸設(shè)備和傳輸線路上相互

保護(hù)，確保傳輸路徑的安全，避免單一傳輸通道阻斷時(shí)導(dǎo)致業(yè)務(wù)全阻。

.4IMS網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

除滿足要求外，還需滿足：

a）HSS的設(shè)置應(yīng)采用N+1或1＋1的配置方式，支持對HSS上保存的用戶信息相關(guān)的數(shù)據(jù)備份，發(fā)生

故障時(shí)能夠?qū)崿F(xiàn)自動(dòng)倒換或進(jìn)行系統(tǒng)再配置。

b）S/I-CSCF應(yīng)采用N+1方式配置，并通過負(fù)荷分擔(dān)方式來保證業(yè)務(wù)安全，避免單一S/I-CSCF癱瘓

時(shí)導(dǎo)致業(yè)務(wù)全阻。

c）應(yīng)支持應(yīng)用服務(wù)器的N+1方式冗余備份配置，在主用應(yīng)用服務(wù)器出現(xiàn)故障的情況下控制S-CSCF

和備用應(yīng)用服務(wù)器交互。

.5LTE/EPC網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

除滿足要求外，還需滿足：

a）MME、SAE-GW應(yīng)采用Pool方式的備份配置，具有負(fù)荷分擔(dān)的能力。

b）HSS的設(shè)置應(yīng)采用1+1互備的備份配置方式，支持對HSS上保存的用戶信息相關(guān)的數(shù)據(jù)備份，發(fā)

生故障時(shí)能夠?qū)崿F(xiàn)自動(dòng)倒換或進(jìn)行系統(tǒng)再配置。

c）PCRF應(yīng)采用N+1主備方式的備份配置。

.65G網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

除滿足要求外，還應(yīng)滿足：

a）5G核心網(wǎng)的所屬資源池、控制面網(wǎng)元、配套支撐系統(tǒng)應(yīng)支持異址雙DC部署。

b）5G核心網(wǎng)AMF、SMF/GW-C應(yīng)采用N+1Pool方式的備份配置，具有負(fù)荷分擔(dān)的能力。

c）UDM-FE、HSS-FE、PCF/PCRF-FE、UPF/GW-U應(yīng)采用N+1備份配置，具有負(fù)荷分擔(dān)的能力。

d）BSF應(yīng)采用1+1備份配置，具有負(fù)荷分擔(dān)的能力。

10

GB/T××××—××××

e）UDM/HSS-BE、PCF/PCRF-BE、NRF、NSSF應(yīng)采用1+1主備的備份配置。

接入安全

同要求。

網(wǎng)絡(luò)域安全

.1GPRS/WCDMA/TD-SCDMA網(wǎng)絡(luò)域安全

同.1要求。

.2CDMA2000/HRPD網(wǎng)絡(luò)域安全

同.2要求。

.3IMS網(wǎng)絡(luò)域安全

除滿足.3要求外，還需滿足：

a）網(wǎng)絡(luò)域內(nèi)CSCF和HSS之間應(yīng)采用IPSec機(jī)制，提供消息機(jī)密性、完整性保護(hù)。

b）相同網(wǎng)絡(luò)內(nèi)的CSCF之間應(yīng)采用IPSec機(jī)制，提供消息機(jī)密性、完整性保護(hù)。

c）應(yīng)支持對S-CSCF上保存的和用戶注冊狀態(tài)信息相關(guān)的數(shù)據(jù)備份（包括用戶注冊路由信息Path頭

域、用戶注冊的Contact地址、P-Visited-Network-ID、終端的鑒權(quán)方式等信息），當(dāng)為注冊

用戶提供服務(wù)的S-CSCF出現(xiàn)故障時(shí)，這些數(shù)據(jù)能夠下載到重新為用戶分配的服務(wù)S-CSCF上。

d）I-CSCF應(yīng)能夠根據(jù)負(fù)載均衡、能力集和可用性選擇S-CSCF，并支持S-CSCF的重新分配。

e）當(dāng)?shù)谌綉?yīng)用服務(wù)器請求接入IMS核心網(wǎng)絡(luò)域時(shí)，需要對第三方應(yīng)用服務(wù)器進(jìn)行認(rèn)證和鑒權(quán)，

只有合法且認(rèn)證通過的服務(wù)器才能接入的核心網(wǎng)絡(luò)域中，而且S-CSCF應(yīng)當(dāng)對第三方應(yīng)用服務(wù)器

隱藏網(wǎng)絡(luò)運(yùn)營單位網(wǎng)絡(luò)拓?fù)湫畔ⅰ?/p>

.45G核心網(wǎng)安全域與隔離

5G核心網(wǎng)應(yīng)滿足以下要求：

a)應(yīng)對控制平面、轉(zhuǎn)發(fā)平面、OAM管理平面實(shí)施資源隔離。

b)5G核心網(wǎng)應(yīng)在平面資源隔離基礎(chǔ)上，劃分控制域、轉(zhuǎn)發(fā)域、管理域等安全域?？刂朴蚓W(wǎng)元應(yīng)

根據(jù)其功能特性和安全級別，以及與互聯(lián)網(wǎng)連接和暴露程度進(jìn)行安全子域的劃分，至少劃分可

信區(qū)與DMZ區(qū)。

c)5G核心網(wǎng)應(yīng)在5G核心網(wǎng)控制面出口部署控制與管理面防火墻，實(shí)施流量訪問控制。

d)5G核心網(wǎng)應(yīng)在5G核心網(wǎng)網(wǎng)絡(luò)出口部署用戶面防火墻，公網(wǎng)訪問UPF的流量應(yīng)經(jīng)該防火墻進(jìn)

行訪問控制。應(yīng)具備行業(yè)客戶內(nèi)網(wǎng)對下沉UPF的訪問控制能力，以及能夠結(jié)合行業(yè)要求對行

業(yè)客戶內(nèi)網(wǎng)的訪問控制。

e)應(yīng)單獨(dú)劃設(shè)承載VPN，并通過防火墻或應(yīng)用層網(wǎng)關(guān)實(shí)施安全隔離，保障5GC安全。

f)應(yīng)支持根據(jù)業(yè)務(wù)重要程度，進(jìn)行2B與2C切片間及2B與2B切片間的邏輯隔離，或采用獨(dú)立

11

GB/T××××—××××

物理機(jī)資源、獨(dú)立網(wǎng)絡(luò)設(shè)備等實(shí)現(xiàn)物理隔離。

g)應(yīng)只允許相關(guān)業(yè)務(wù)流訪問基站所處的接入域，只允許核心控制域AMF、核心轉(zhuǎn)發(fā)域UPF，以

及支撐管理域的設(shè)備網(wǎng)管OMC-R訪問接入域的基站。

.5網(wǎng)絡(luò)攻擊防范（TDM方式的電路域網(wǎng)絡(luò)不適用）

網(wǎng)絡(luò)攻擊防范應(yīng)滿足以下要求：

a）網(wǎng)絡(luò)應(yīng)采取安全措施檢測和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，安全措施包括入侵防御、防病毒、網(wǎng)絡(luò)隔離、訪問

控制、系統(tǒng)加固，安全措施應(yīng)支持IPv4和IPv6網(wǎng)絡(luò)環(huán)境。

b）應(yīng)對網(wǎng)絡(luò)中關(guān)鍵的系統(tǒng)、設(shè)備和網(wǎng)絡(luò)定期執(zhí)行安全檢查作業(yè)，以檢查出網(wǎng)絡(luò)弱點(diǎn)和策略配置上

的問題。安全檢查作業(yè)手段可以包括漏洞掃描、脆弱性掃描、安全基線配置檢查等，應(yīng)支持IPv4

和IPv6環(huán)境。

.6用戶數(shù)據(jù)存儲(chǔ)

用戶數(shù)據(jù)存儲(chǔ)應(yīng)滿足以下要求：

a)應(yīng)保證重要設(shè)備中用戶數(shù)據(jù)、系統(tǒng)配置等相關(guān)數(shù)據(jù)的存儲(chǔ)安全性。

b)應(yīng)支持對重要設(shè)備保存的用戶信息、系統(tǒng)配置等相關(guān)的數(shù)據(jù)備份，發(fā)生故障時(shí)能夠?qū)崿F(xiàn)自動(dòng)倒

換或進(jìn)行系統(tǒng)再配置。

6.3.3網(wǎng)元設(shè)備和基礎(chǔ)設(shè)施安全要求

通用安全

.1網(wǎng)元加固

除滿足6.2.3的要求外，還應(yīng)滿足：

a)應(yīng)為不同用戶分配不同的賬號(hào)，避免賬號(hào)共享，避免用戶賬號(hào)和網(wǎng)元間通信使用的賬號(hào)共享。

應(yīng)刪除或鎖定與網(wǎng)元運(yùn)行、維護(hù)等工作無關(guān)的賬號(hào)。根據(jù)業(yè)務(wù)需求建立多個(gè)賬號(hào)組，分配不同

的權(quán)限。將賬號(hào)劃入某個(gè)具體賬號(hào)組。

b)網(wǎng)元應(yīng)啟用密碼復(fù)雜度策略，啟用對密碼的校驗(yàn)功能，確保對所有密碼在設(shè)置時(shí)即實(shí)施復(fù)雜度

檢查。對使用靜態(tài)密碼進(jìn)行認(rèn)證的網(wǎng)元或其組件，應(yīng)設(shè)置其靜態(tài)密碼生存期不長于90天。

c)在網(wǎng)元配置能力內(nèi)，應(yīng)根據(jù)賬號(hào)需要，為其配置所需最小權(quán)限。權(quán)限應(yīng)細(xì)化至特定端口、協(xié)議

和服務(wù)。

d)當(dāng)在創(chuàng)建新文件或目錄時(shí)應(yīng)屏蔽新文件或目錄不應(yīng)有的訪問允許權(quán)限，防止同屬于該組的其它

賬號(hào)及其他賬號(hào)組的賬號(hào)修改該賬號(hào)的文件。

e)應(yīng)確保只有得到授權(quán)的用戶才能修改文件、數(shù)據(jù)、文件夾或文件系統(tǒng)。

f)使用root用戶或同等最高權(quán)限用戶賬號(hào)應(yīng)僅限于使用系統(tǒng)控制臺(tái)直接登錄的場景，禁止使用

root用戶賬號(hào)遠(yuǎn)程登錄系統(tǒng)或網(wǎng)元。

12

GB/T××××—××××

g)網(wǎng)元設(shè)備應(yīng)使用SSH等加密協(xié)議進(jìn)行遠(yuǎn)程維護(hù)。

h)網(wǎng)元應(yīng)禁用系統(tǒng)內(nèi)核中與業(yè)務(wù)無關(guān)的網(wǎng)絡(luò)功能。以下功能應(yīng)默認(rèn)關(guān)閉：IP數(shù)據(jù)包在當(dāng)前網(wǎng)絡(luò)

設(shè)備的不同網(wǎng)口間的轉(zhuǎn)發(fā)、代理ARP、定向廣播、IPv4多播處理、ARP漫游消息、ICMP廣播

的響應(yīng)。

i)網(wǎng)元應(yīng)僅運(yùn)行其操作所需要的協(xié)議處理程序和服務(wù)，且沒有任何已知安全漏洞。網(wǎng)絡(luò)產(chǎn)品的部

分服務(wù)應(yīng)由設(shè)備商默認(rèn)初始配置為禁用，除了部署過程中需要的服務(wù)。這些服務(wù)在部署完成后

應(yīng)按照設(shè)備商的操作指南設(shè)置為禁用。運(yùn)維人員可因其他原因（如遠(yuǎn)程診斷）短時(shí)間內(nèi)臨時(shí)啟

用已禁用的協(xié)議。

j)網(wǎng)元應(yīng)禁止安裝與業(yè)務(wù)無關(guān)的軟件或軟件模塊，包括但不限于缺省的網(wǎng)頁、樣例數(shù)據(jù)庫文件、

樣例數(shù)據(jù)等。如在部署時(shí)需要使用的，在部署完成后立即卸載。與業(yè)務(wù)無關(guān)的軟硬件功能模塊

和硬件設(shè)施無法卸載的，應(yīng)在網(wǎng)元系統(tǒng)配置文件中永久禁用。

k)除特殊支持合同保障的組件外，網(wǎng)元不應(yīng)包含其供應(yīng)商、生產(chǎn)商或開發(fā)人員不再支持的軟件和

硬件組件，例如已達(dá)到生命周期或不再支持的組件。該合同應(yīng)保證在部件的使用壽命內(nèi)修復(fù)所

有漏洞。

l)在保證網(wǎng)元正常運(yùn)行的前提下，網(wǎng)元及其組件應(yīng)安裝最新的補(bǔ)丁，或更新至沒有安全漏洞的版

本。安裝更新前應(yīng)對其進(jìn)行穩(wěn)定性測試。

m)如網(wǎng)元支持，應(yīng)啟用輸入限制功能，檢查授權(quán)用戶或程序?qū)W(wǎng)元的輸入信息，限制其輸入范圍，

使其不影響網(wǎng)元安全穩(wěn)定運(yùn)行。

n)網(wǎng)元應(yīng)啟用日志記錄功能，主要包括系統(tǒng)運(yùn)行狀態(tài)、日常操作、故障維護(hù)、遠(yuǎn)程運(yùn)維等日志，

且記錄安全事件的時(shí)間和內(nèi)容，所有日志應(yīng)均能遠(yuǎn)程上傳到日志服務(wù)器，且數(shù)據(jù)留存時(shí)間不少

于6個(gè)月。

o)網(wǎng)元應(yīng)啟用日志文件的訪問控制機(jī)制，并且只向特定管理員用戶授予日志文件訪問權(quán)限。

.2接口安全

接口安全應(yīng)滿足以下要求：

a)網(wǎng)元應(yīng)具備在任何IP接口上過濾傳入的IP數(shù)據(jù)包的機(jī)制，并且啟用丟包操作的日志記錄。

b)網(wǎng)元接口應(yīng)禁止處理ICMPv4和ICMPv6消息類型。

c)當(dāng)網(wǎng)元從另一個(gè)網(wǎng)元接收到被操縱或不符合標(biāo)準(zhǔn)的數(shù)據(jù)包時(shí)，其可用性或健壯性不應(yīng)受影響，

即這些無效數(shù)據(jù)包應(yīng)被檢測到且應(yīng)被丟棄。檢測和丟棄過程不應(yīng)影響網(wǎng)絡(luò)產(chǎn)品的正常性能，針

對大量無效數(shù)據(jù)包，網(wǎng)絡(luò)產(chǎn)品健壯性應(yīng)能保持和單個(gè)或少量無效數(shù)據(jù)包同樣的效果。

5G網(wǎng)元和基礎(chǔ)設(shè)施安全

13

GB/T××××—××××

.1云化基礎(chǔ)設(shè)施安全

.1.1虛擬化層安全

虛擬化層安全應(yīng)滿足以下要求：

a)Hypervisor應(yīng)實(shí)現(xiàn)同一物理機(jī)上不同虛擬機(jī)之間的計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)等資源隔離，包括：vCPU

調(diào)度安全隔離、內(nèi)存資源安全隔離、磁盤I/O安全隔離、內(nèi)部網(wǎng)絡(luò)安全隔離，并運(yùn)行各自的操

作系統(tǒng)和應(yīng)用。

b)終端用戶使用虛擬機(jī)時(shí)，僅能訪問屬于自己虛擬機(jī)的資源（如硬件、軟件和數(shù)據(jù)），不能訪問

其他虛擬機(jī)的資源，保證虛擬機(jī)隔離安全，并確保其無法探測其他虛擬機(jī)的存在。

c)Hypervisor的安全管理和安全配置應(yīng)采取服務(wù)最小原則，禁用不必要的服務(wù)。

d)Hypervisor應(yīng)支持設(shè)置VM的操作權(quán)限及每個(gè)VM使用資源的限制，如最小/大的vCPU數(shù)量，

內(nèi)存等，并監(jiān)控資源的使用情況。

e)Hypervisor管理接口流量應(yīng)該和其它（如業(yè)務(wù)、存儲(chǔ)等）網(wǎng)絡(luò)接口流量物理隔離。

.1.2計(jì)算資源安全

計(jì)算資源應(yīng)滿足以下要求：

a)應(yīng)支持物理節(jié)點(diǎn)中的容器/虛擬機(jī)的資源配額限制方式，保護(hù)容器/虛擬機(jī)的性能不受其他容器/

虛擬機(jī)資源消耗的影響。

b)應(yīng)支持對容器/虛擬機(jī)所在物理機(jī)范圍進(jìn)行指定或限定的能力，保證容器/虛擬機(jī)僅能遷移至相同

安全保護(hù)等級的資源池。

.1.3存儲(chǔ)資源安全

存儲(chǔ)資源應(yīng)滿足以下要求：

a)應(yīng)支持根據(jù)承載的云化應(yīng)用類型及安全級別，具有虛擬化存儲(chǔ)安全隔離的措施和存儲(chǔ)位置分配

的能力。

b)應(yīng)支持容器/虛擬機(jī)鏡像文件完整性保護(hù)的能力，在鏡像文件執(zhí)行前驗(yàn)證鏡像簽名，確保來自可

信源且未被篡改。

.1.4網(wǎng)絡(luò)資源安全

網(wǎng)絡(luò)資源應(yīng)滿足以下要求：

a)應(yīng)支持根據(jù)安全域劃分原則，通過VLAN/VXLAN隔離不同租戶南北向和東西向的網(wǎng)絡(luò)資源；

b)根據(jù)最小訪問原則，應(yīng)僅開放必需對外部IP及端口，禁止默認(rèn)端口直接對外開放；

c)應(yīng)具備容器/虛擬機(jī)端口流量限速功能，實(shí)現(xiàn)端口級別的流量控制。

.2SDN安全

.2.1集中控制平面安全

集中控制平面應(yīng)滿足以下要求：

a)應(yīng)支持對SDN控制器等集中控制平面提供流量控制或多控制器等手段，防止過度消耗流表資

14

GB/T××××—××××

源導(dǎo)致控制器服務(wù)不可用；

b)應(yīng)支持通過加密方式訪問控制器，對網(wǎng)絡(luò)設(shè)備和控制器進(jìn)行身份認(rèn)證，交換機(jī)和控制器支持采

用TLS加密協(xié)議通信，防止假冒控制器非法控制交換機(jī)等設(shè)備；

c)應(yīng)支持SDN控制器和虛擬化系統(tǒng)集成的用戶訪問控制策略沖突檢測手段，保障訪問控制策略

的一致性。

d)SDN控制器應(yīng)支持對操作系統(tǒng)、數(shù)據(jù)庫和中間件進(jìn)行安全加固配置，滿足安全基線要求。SDN

控制器上線前應(yīng)修復(fù)所有已知的相關(guān)漏洞，運(yùn)行過程中應(yīng)定期接受自動(dòng)化工具漏洞掃描和端口

掃描，并對檢測出的中高危漏洞進(jìn)行修復(fù)，對開放的不必要的、未使用的端口和服務(wù)進(jìn)行關(guān)閉。

e)SDN控制器應(yīng)支持識(shí)別來自南向接口或者北向接口的異常流量/報(bào)文，通過限速等機(jī)制，防止

DDoS攻擊。

f)SDN控制器支持基于證書認(rèn)證VIM，以及使用HTTPS保證北向傳輸數(shù)據(jù)的機(jī)密性、完整性。

g)SDN控制器應(yīng)支持對北向VIM的訪問進(jìn)行授權(quán)。

h)SDN控制器應(yīng)支持對交換機(jī)和SDN網(wǎng)關(guān)進(jìn)行認(rèn)證，并和交換機(jī)/SDN網(wǎng)關(guān)建立安全通道，保證

南向接口傳輸數(shù)據(jù)的機(jī)密性和完整性。

.2.2開放API安全

開放API應(yīng)滿足以下要求：

a)應(yīng)支持對通過集中控制器的API接口下發(fā)的應(yīng)用層策略進(jìn)行規(guī)則檢查，檢測下發(fā)的規(guī)則是否有

沖突，是否符合安全策略、業(yè)務(wù)邏輯和行為特征，檢測規(guī)則下發(fā)后是否導(dǎo)致網(wǎng)絡(luò)發(fā)生異常；

b)應(yīng)支持對SDN控制器、VNF等的開放API進(jìn)行身份認(rèn)證和細(xì)粒度的權(quán)限控制，防止越權(quán)的接

口調(diào)用；

c)啟用API白名單，對發(fā)往API網(wǎng)關(guān)的請求進(jìn)行過濾，禁止非授權(quán)訪問。

.2.3數(shù)據(jù)平面安全

數(shù)據(jù)平面應(yīng)滿足以下要求：

a)應(yīng)具備對保存的敏感信息的防護(hù)手段，防止流表等敏感信息泄露；

b)應(yīng)支持對云化VNF調(diào)用用戶身份、移動(dòng)軌跡、位置信息等涉及用戶敏感數(shù)據(jù)服務(wù)進(jìn)行嚴(yán)格授

權(quán)，同時(shí)支持對信息的使用進(jìn)行嚴(yán)格限制，在數(shù)據(jù)外發(fā)前應(yīng)對敏感數(shù)據(jù)進(jìn)行脫敏操作。

.3云化VNF安全

云化VNF應(yīng)滿足以下要求：

a)應(yīng)支持云化VNF的上線、運(yùn)行和下線的生命周期安全管控。

b)應(yīng)支持根據(jù)云化VNF的重要程度配置不同的流控策略，保障重要業(yè)務(wù)的穩(wěn)定運(yùn)行。

c)應(yīng)對云化VNF進(jìn)行權(quán)限控制，避免云化VNF權(quán)限過高產(chǎn)生容器/虛擬機(jī)逃逸，導(dǎo)致非法提權(quán)；

15

GB/T××××—××××

d)應(yīng)支持企業(yè)自身VNF和第三方VNF的物理或邏輯隔離。

e)VNF在安裝、升級過程中應(yīng)對軟件進(jìn)行完整性驗(yàn)證。

.4運(yùn)維管理安全

運(yùn)維管理安全應(yīng)滿足以下要求：

a)應(yīng)對業(yè)務(wù)系統(tǒng)的認(rèn)證、授權(quán)、賬號(hào)、審計(jì)進(jìn)行管控，對資產(chǎn)的安全屬性、風(fēng)險(xiǎn)進(jìn)行管控。網(wǎng)絡(luò)

運(yùn)營單位應(yīng)定期支持5G核心網(wǎng)相關(guān)網(wǎng)絡(luò)系統(tǒng)的日志安全記錄，主要包括系統(tǒng)運(yùn)行狀態(tài)、日常

操作、故障維護(hù)、遠(yuǎn)程運(yùn)維等日志。

b)網(wǎng)絡(luò)運(yùn)營單位應(yīng)定期對5G核心網(wǎng)相關(guān)網(wǎng)絡(luò)系統(tǒng)開展安全審計(jì)，應(yīng)基于各類應(yīng)用資源及系統(tǒng)資

源的日志信息、賬號(hào)信息、權(quán)限信息、工單信息以及紙質(zhì)憑證等有效審計(jì)證據(jù)開展，審計(jì)結(jié)論

必須獲得審計(jì)證據(jù)支持。

c)應(yīng)通過漏洞情報(bào)采集分析、漏洞檢測分析進(jìn)行漏洞檢查，需要將NFV資產(chǎn)納入安全漏洞核查

范圍。

d)應(yīng)進(jìn)行周期性漏洞掃描，并切實(shí)做好補(bǔ)丁管理。

e)網(wǎng)絡(luò)云中的Hypervisor、GuestOS、中間件、數(shù)據(jù)庫、應(yīng)用軟件等，應(yīng)滿足安全合規(guī)配置、漏

洞風(fēng)險(xiǎn)管理、賬號(hào)口令管理、安全補(bǔ)丁管理等相關(guān)通用的安全要求。

f)虛擬化網(wǎng)元部署采用的操作系統(tǒng)、數(shù)據(jù)庫、中間件等應(yīng)滿足安全合規(guī)基線配置要求。

g)虛擬化網(wǎng)元進(jìn)行升級、部署等操作時(shí)，應(yīng)在NFVO&VNFM對軟件包（VNFD、NSD）的合法

性和完整性進(jìn)行校驗(yàn)。

h)應(yīng)做好虛擬機(jī)及鏡像的安全管理。

i)建立網(wǎng)絡(luò)及業(yè)務(wù)容災(zāi)備份機(jī)制，實(shí)現(xiàn)重要系統(tǒng)和網(wǎng)絡(luò)數(shù)據(jù)的異地備份，保障業(yè)務(wù)連續(xù)性。

j)網(wǎng)絡(luò)運(yùn)營單位間的切片運(yùn)營管理系統(tǒng)（如CSMF、NSMF、NSSMF）應(yīng)實(shí)現(xiàn)切片需求與策略信

息的傳遞，以及切片運(yùn)營管理能力共享。

6.3.4物理環(huán)境安全要求

機(jī)房、辦公場地物理環(huán)境安全

除滿足以及GB/T22239-2019中第三級的安全物理環(huán)境要求外，還需滿足：

a)機(jī)房整體抗震能力應(yīng)不低于里氏8級，相關(guān)機(jī)架及設(shè)備需進(jìn)行必要的抗震加固，相關(guān)樓層承重

能力不低于1000公斤/平方米。

b)機(jī)房應(yīng)具備防蟲防鼠等相關(guān)措施，以有效防范鼠蟲蟻害。

室外無線接入設(shè)備場地物理環(huán)境

除滿足以及GB/T22239-2019中第三級的安全物理環(huán)境要求外，還需滿足：

16

GB/T××××—××××

a)室外無線接入設(shè)備場地應(yīng)當(dāng)避開強(qiáng)電場、強(qiáng)磁場、強(qiáng)震動(dòng)源、強(qiáng)噪聲源、重度環(huán)境污染、易發(fā)

生火災(zāi)、水災(zāi)、易遭受雷擊的地區(qū)。

b)室外無線接入設(shè)備場地整體抗震能力應(yīng)不低于里氏8級，相關(guān)機(jī)架及設(shè)備需進(jìn)行必要的抗震加

固，承重能力不低于1000公斤/平方米。

c)應(yīng)設(shè)置室外無線接入設(shè)備場地的防盜報(bào)警系統(tǒng)，以防進(jìn)入室外無線接入設(shè)備場地的盜竊和破壞

行為；

d)場地應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷。

e)場地房間應(yīng)采用具有耐火等級的建筑材料；

f)盡可能設(shè)置冗余或并行的電力電纜線路，或采用其他手段保證不間斷供電；

g)應(yīng)建立備用供電系統(tǒng)（如備用發(fā)電機(jī)），以備常用供電系統(tǒng)停電時(shí)啟用。

6.3.5管理安全要求

應(yīng)滿足GB/T22239-2019中第三級的安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全運(yùn)維管理

相關(guān)要求。

6.4第4級要求

同第3級要求。

6.5第5級要求

同第3級要求。

7移動(dòng)通信網(wǎng)安全防護(hù)檢測要求

7.1第1級檢測要求

暫不作要求。

7.2第2級檢測要求

7.2.1業(yè)務(wù)安全

測試編號(hào)：移動(dòng)通信網(wǎng)-第2級-業(yè)務(wù)安全

測試項(xiàng)