4
国际电信联盟
ITU-T X.1205
(04/2008) 国际电信联盟
电信标准化部门
X系列:数据网、开放系统通信和安全性
电信安全
网络安全综述
ITU-T X.1205建议书
国际电信联盟
ITU-T X 系列建议书
数据网、开放系统通信和安全性
公用数据网
业务和设施X.1-X.19 接口X.20-X.49 传输、信令和交换X.50-X.89 网络概貌X.90-X.149 维护X.150-X.179 管理安排X.180-X.199 开放系统互连
模型和记法X.200-X.209 服务限定X.210-X.219 连接式协议规范X.220-X.229 无连接式协议规范X.230-X.239 PICS书写形式X.240-X.259 协议标识X.260-X.269 安全协议X.270-X.279 层管理对象X.280-X.289 一致性测试X.290-X.299 网间互通
概述X.300-X.349 卫星数据传输系统X.350-X.369 以IP为基础的网络X.370-X.379报文处理系统X.400-X.499 号码簿X.500-X.599 OSI 组网和系统概貌
组网X.600-X.629 效率X.630-X.639 业务质量X.640-X.649 命名、寻址和登记X.650-X.679 抽象句法记法1(ASN.1)X.680-X.699 OSI 管理
系统管理协议子集和结构X.700-X.709 管理通信服务和协议X.710-X.719 管理信息的结构X.720-X.729 管理功能X.730-X.799 安全X.800-X.849 OSI 应用
托付、并发和恢复X.850-X.859 事务处理X.860-X.879 远程操作X.880-X.889 ASN.1的一般应用X.890-X.899 开放分布式处理X.900-X.999 电信安全X.1000-
欲了解更详细信息,请查阅 ITU-T建议书目录。
ITU-T X.1205建议书
网络安全综述
摘要
ITU-T X.1205建议书提出了对网络安全的定义。本建议书从机构的角度对安全威胁进行
了分类,介绍了包括黑客行业最常用工具在内的网络安全威胁和薄弱环节,并探讨了不同网
络层存在的威胁。
建议书谈到的化解威胁的各类网络安全技术包括:路由器、防火墙、反病毒防护、入侵
检测系统、入侵保护系统、安全计算、审核和监测。建议书研究了深层保护、适用于网络安
全的评估管理等网络保护原则,还研讨了风险管理战略和技术,包括培训与教育对网络保护
的重要性,同时介绍了利用上述技术保证各类网络安全的示例。
来源
ITU-T 第17 研究组(2005-2008年)按照世界电信标准化全会(WTSA)第1号决议规
定的程序,于2008年4月18日批准了ITU-T X.1205 建议书。
X.1205建议书 (04/2008) i
ITU-T
前言
国际电信联盟(ITU)是从事电信领域工作的联合国专门机构。ITU-T(国际电信联盟电信标准化部门)是国际电信联盟的常设机构,负责研究技术、操作和资费问题,并且为在世界范围内实现电信标准化,发表有关上述研究项目的建议书。
每四年一届的世界电信标准化全会(WTSA)确定 ITU-T 各研究组的研究课题,再由各研究组制定有关这些课题的建议书。
WTSA 第 1 号决议规定了批准ITU-T建议书须遵循的程序。
属 ITU-T 研究范围的某些信息技术领域的必要标准,是与国际标准化组织(ISO)和国际电工技术委员会(IEC)合作制定的。
注
本建议书为简明扼要起见而使用的“主管部门”一词,既指电信主管部门,又指经认可的运营机构。
遵守本建议书的规定是以自愿为基础的,但建议书可能包含某些强制性条款(以确保例如互操作性或适用性等),只有满足所有强制性条款的规定,才能达到遵守建议书的目的。“应该”或“必须”等其他一些强制性用语及其否定形式被用于表达特定要求。使用此类用语不表示要求任何一方遵守本建议书。
知识产权
国际电联提请注意:本建议书的应用或实施可能涉及使用已申报的知识产权。国际电联对无论是其成员还是建议书制定程序之外的其他机构提出的有关已申报的知识产权的证据、有效性或适用性不表示意见。
至本建议书批准之日止,国际电联尚未收到实施本建议书可能需要的受专利保护的知识产权的通知。但需要提醒实施者注意的是,这可能并非最新信息,因此特大力提倡他们通过下列网址查询电信标准化局(TSB)的专利数据库:http://www.itu.int/ITU-T/ipr/。
?国际电联 2009
版权所有。未经国际电联事先书面许可,不得以任何手段复制本出版物的任何部分。
ii ITU-T X.1205建议书 (04/2008)
目录
页码
1 范围 (1)
2 参考文献 (1)
3 定义 (2)
3.1 他处定义的术语 (2)
3.2 本建议书定义的术语 (2)
4 缩写 (3)
5 常用语 (5)
6 引言 (5)
7 网络安全 (6)
7.1 什么是网络安全? (6)
7.2 企业网络安全环境的性质 (7)
7.3 网络威胁和应对方法 (9)
7.4 端到端的通信安全 (9)
8 可行的网络保护战略 (12)
8.1 严密的政策管理 (12)
8.2 统一访问管理 (13)
8.3 安全通信 (14)
8.4 灵活多样的安全级别 (15)
8.5 保障管理安全性 (16)
8.6 跨应用、网络和网络管理的分层安全性 (18)
8.7 网络遭遇攻击时的生存能力 (19)
附录 I – 攻击者采用的技术 (20)
I.1 安全威胁分类 (20)
I.2 安全威胁 (23)
附录 II – 各种网络安全技术 (26)
II.1 密码技术 (27)
II.2 访问控制技术 (28)
II.3 反病毒和系统完整性 (33)
II.4 审核和监测 (33)
II.5 管理 (34)
附录 III – 网络安全示例 (37)
III.1 保障远程访问安全性 (37)
III.2 保障IP电话的安全性 (39)
III.3 保障远端办公室的安全性 (43)
III.4 保障无线局域网的安全性 (45)
参考资料 (53)
ITU-T X.1205建议书 (04/2008) iii
ITU-T X.1205建议书
网络安全综述
1 范围
本建议书在第7节提出了有关网络安全的定义。本建议书从机构角度列出了各种安全威
胁。
注 – 本建议书中使用的“身份”一词并非指其绝对意义。
本建议第7节研究了企业网络安全环境的性质、网络安全风险和端到端的通信安全。第
8节论述了可行的网络保护战略,包括严密的政策管理、统一访问管理以及安全通信技术、
灵活多样的管理级别保障管理安全性、分层管理网络安全技术和遭受攻击后的网络生存能
力。
附录I研讨了各类安全威胁分类、黑客从业工具以及安全威胁等问题。
附录II对各种网络安全技术做出回顾,包括加密技术、访问控制技术、周边保护技术、
防病毒和系统完整性、审核和监测以及管理技术。
附录III列举了网络安全示例,其中包括对远程接入、IP电话、VoIP客户、远端办公室
以及无线局域网(WLAN)提供的安全保障。
2 参考文献
下列ITU-T建议书和其他参考文献的条款,在本建议书中的引用而构成本建议书的条
款。在出版时,所指出的版本是有效的。所有的建议书和其它参考文献均会得到修订,本建
议书的使用者应查证是否有可能使用下列建议书或其它参考文献的最新版本。当前有效的
ITU-T建议书清单定期出版。本建议书引用的文件自成一体时不具备建议书的地位。
[ITU-T X.800] ITU-T X.800建议书 (1991年), CCITT 应用开放系统互连的安全架构
(Security architecture for Open Systems Interconnection for CCITT
applications)
[ITU-T X.805] I TU-T X.805建议书(2003年), 提供端到端通信的系统的安全架构(Security
architecture for systems providing end-to-end communications)
[ITU-T X.811] I TU-T X.811建议书(1995年) | ISO/IEC 10181-2:1996, 信息技术-开放系统
互连-开放系统的安全框架:认证框架(Information technology – Open
Systems Interconnection – Security frameworks for open systems:
Authentication framework)
[ITU-T X.812] I TU-T X.812建议书(1995年) | ISO/IEC 10181-3:1996, 信息技术-开放系统
互连-开放系统的安全框架:访问控制框架(Information technology –
Open Systems Interconnection – Security frameworks for open systems: Access
control framework)
[IETF RFC 1918] I ETF RFC 1918 (1996年), 专用互连网的地址分配(Address Allocation for
Private Internets)
[IETF RFC 2396] IETF RFC 2396 (1998年), 统一资源标识符(URI):通用语法(Uniform Resource
Identifiers (URI): Generic Syntax)。
ITU-T X.1205建议书 (04/2008) 1
3 定义
3.1 他处定义的术语
本建议书使用了下列他处定义的术语。
3.1.1本建议书采用[ITU-T X.800]定义的以下术语:
a) 授权;
b) 安全架构;
c) 安全政策;
d) 用户。
3.1.2本建议书采用[ITU-T X.805]定义的以下术语:
a) 安全维度;
b) 安全服务。
3.1.3本建议书采用[ITU-T X.811]定义的以下术语:
a) 认证;
b) 原则。
3.1.4本建议书采用[ITU-T X.81]定义的以下术语:
a) 访问控制信息;
b) 接入;
c) 访问控制;
d) 用户。
3.1.5本建议书采用[IETF RFC 2396]定义的以下术语:
a) 统一资源标识符(URI);
b) URI引用。
3.2 本建议书定义的术语
本建议书定义了下列术语:
3.2.1 接入点:IEEE 802.11无线集线器,用作接入点的特种台站(STA)。
3.2.2 基础服务集(BSS):一个接入点(AP)覆盖的服务区域。
3.2.3 加密算法:加密算法是改变数据并使之得到加密伪装的方式。
3.2.4网络环境:包括用户、网络、装置、各种软件、程序、存储和传送过程中的信息、应用、服务以及与网络直接或间接连接的系统。
3.2.5网络安全:网络安全涉及用以保护网络环境和机构及用户资产的各种工具、政策、安全理念、安全保障、指导原则、风险管理方式、行动、培训、最佳做法、保证和技术。机构和用户的资产包括相互连接的计算装置、人员、基础设施、应用、服务、电信系统以及在网络环境中全部传送和/或存储的信息。网络安全工作旨在确保防范网络环境中的各种安全风险,实现并维护机构和用户资产的安全特性。网络安全的总体目标包括下列各个方面:
2 ITU-T X.1205建议书 (04/2008)
? 可用性
? 完整性(其中可以包括真实性和不可否认性)
? 机密性。
3.2.6 分布式系统:使BSS在ESS中实现互连的非标准化媒质。
3.2.7 扩展认证协议:这一支持补充认证方式的PPP扩展,是[b-IEEE 802.1X]规范的组成部
分。
3.2.8 扩展服务集:其BSS置于单一IP子集之中的单一无线LAN。
3.2.9 防火墙:强化两个或更多网络间界线的一个或一组系统。根据本地安全政策对网间
接入施加限制的网关。
3.2.10 外地代理:在访问主机网络的同时向移动节点提供服务的被访/主机网络路由器。外
地代理负责移动节点和其它节点以及移动归属网络和主机网络之间的隧道与传送。
3.2.11 honeyspot:一种摹仿网络的软件程序,能够吸引(也可能迷惑)入侵者并跟踪他们
的行动。这些系统的输出可用于推断入侵者的意图和采集证据。
3.2.12 归属代理:为正在访问其它网络的移动节点提供服务的路由器,并能持续获得关于
该移动节点的最新定位信息。
3.2.13 热点:使IEEE 802.11用户能够连接互联网的公共场所。
3.2.14 IP移动性:能为在行进中“访问”不同IP子网的移动节点增加透明连接性的机制。
这是一种为有线和无线网络移动节点提供移动管理的机制。
4 缩写
本建议书使用下列缩写:
三重数据加密标准
3DES
AAA 认证、授权和计费
ACL 访问控制清单
AES 高级加密标准
AP 接入点
ASP 应用服务提供商
BSS 基本服务集
CA 证书机构
CMP 证书管理协议
COPS 公共开放政策服务
CRL 证书撤消列表
直接呼入
DISA
DNS 域名系统
EAP 扩展认证协议
EMS 网元管理系统
ITU-T X.1205建议书 (04/2008) 3
ESS 扩展服务集
ESSID 服务区标识符
FTP 文件传送协议
HMAC 基于散列函数的消息认证校验
HTTP 超文本传输协议
IDS 入侵检测系统
IKE 互联网密钥交换协议
IP 互联网协议
互联网系安全
IPSec
ISP 互联网服务提供商
L2TP
第二层隧道协议
LAN 局域网
消息认证码
MAC
MD5 信息摘要算法 5
MIC 消息完整性检测
MIME 多用途互联网邮件扩展
MPLS 多协议标记交换
MU 移动单元
NAT 网络地址转换
NGN 下一代网络
NIC 网络接口卡
NOC 网络操作中心
OAM&P 运营、管理、维护和配置
OCSP 在线证书状态协议
OS 操作系统
OSI 开放系统互连
PDP 决策点
受保护的扩展认证协议
PEAP
PEP 策略执行点
PGP 相当好的隐私(一种软件加密程序) PKI 公共密钥基础设施
公共密钥基础设施X.509
PKIX
PoP 持有辨认法
PPP 点到点协议
公共电话交换网
PSTN
RADIUS 远程用户拨号认证系统
RSA Rivest Shamir Adleman 公共密钥算法
4 ITU-T X.1205建议书 (04/2008)
SHA-1 安全散列算法1
SIP 会话发起协议
SMTP 简单邮件传输协议
SNMP 简单网络管理协议
SP 服务提供商
SSH 安全壳
SSID 服务区标识符
SSO 单点登录
TKIP 动态密钥完整性协议
TLS 传输层安全协议
UE 用户设备
URI 通用资源标识符
UTC 协调世界时
VAR 增值转销商
VLAN 虚拟局域网
VoIP IP语音
VPLS 虚拟专用局域网业务
VPN 虚拟专用网
VPWS 虚拟专用线路业务
WAN 宽域网
WEP 有线等效加密
WLAN 无线局域网
WPA Wi-fi保护接入
XML 可扩展标记语言
5 常用语
本建议书所述的用户设备(UE)为广义的、在用户所在地和往往无法由运营商或服务提供商控制的用户设备,包括各种装置、(基于硬件或软件的)实体、移动和/或静态装置、个人计算机(PC)、(多媒体推动的)终端、电话等等。
6 引言
利用网络连接异构IT系统可以给机构带来生产力增益,并使它们掌握联网系统赋予的新的能力。如今人们能够比较轻松地远距离获取信息、相互交流并监控IT系统。因此,现今的网络在许多国家的电子商务、语音和数据通信、公用事业、金融、医疗、运输和防务等关键基础设施中发挥着重大作用。
网络的连接和普遍接入对于今天的IT系统至关重要。然而互连的IT系统接入普及但结合松散,这可能是造成隐患普遍存在的罪魁祸首。诸如拒绝服务攻击、盗窃金融和个人数据、网络失效和语音及数据通信业务中断等针对联网系统的威胁,正在与日俱增。
今天使用的网络协议是在互信的氛围中制定的,多数新的投资与研发工作致力于新功能的创建而不是强化其安全。
网络安全威胁正在迅速蔓延,病毒、蠕虫、特洛伊木马、电子欺骗攻击、“身份盗窃”1、垃圾邮件和网络攻击也愈演愈烈。必须了解网络安全问题,才能为促进未来网络的安全奠定知识基础。
鼓励公司和政府机构将安全视为一种寻求系统、网络、应用和资源保护方式的思维过程与方式。这种思维的依据是连接网络具有与生俱来的风险。然而,安全不应成为经营的障碍,其目标是如何以安全的方式提供所需的服务。
在当今的商业环境中,周边的概念正在淡出。网络内部与外部之间的界限也正在淡化。应用在网络上分层运行,而人们设想层与层之间存在安全保障。分层的安全解决办法能够使机构对威胁层层设防。
7 网络安全
鼓励机构制定满足其安全需求的全面规划,并应将安全视为一种寻求系统、网络、应用和资源保护方式的思维过程与方式。
7.1 什么是网络安全?
本建议书第3.2.4段对网络安全这一术语做了定义。
网络安全技术可用于确保系统的可用性、完整性、真实性、机密性和不可否认性。网络安全可用于确保用户的隐私得到尊重,而网络安全技术可用于确定用户的可信度。
无线网络和IP语音(VoIP)等技术可扩大互联网的覆盖与规模。与此相关的网络环境包括用户、互联网、与之相连的计算设备和所有应用、服务以及与互联网和下一代网络(NGN)环境(后者即具公众亦具专用特征)直接或间接连接的系统。因此,采用VoIP技术的台式电话机便成为网络环境的一部分。然而只要独立设备能够通过可移动媒介与联网的计算设备共享信息,它们也能成为网络环境的组成部分。
网络环境包括在计算设备上运行的软件、在这些设备上存储(以及传送)的信息或这些设备生成的信息。容纳这些设备的设施和建筑也是网络环境的一部分。网络安全必须将这些因素考虑在内。
1“身份盗窃”一词仅系指未经授权即对特定识别码和其它信息(二者共同构成特定用户的身份特征)进行使用的情况。身份盗窃与通常的盗窃(目标物体真正从受害人处移走)不同,通常涉及收集或复制有关身份的细节(而合法拥有人可能对盗窃行为毫无察觉)。
网络安全的目的在于保证网络环境的安全,是一种众多公共和私营机构的利益攸关方均可参与的系统,并为了安全采用多种组件和不同方式。因此,可以从以下的角度理解网络安全:
– 可用于保护互联网络(包括计算机、设备、硬件、存储信息和经转信息)免受未经授权的访问、篡改、盗窃、中断或其它威胁的一系列策略和行动。
– 对上述策略和行动进行持续的评估和监测,以便在威胁性质不断演变情况下维持安全质量。
国际电联[b-ITU-T Y. 2201]提出了可用以加强NGN网络安全的要求。该工作要求通过对装置和用户的单独认证予以配合。下一代网络多因素双边认证配合逐项服务授权将降低针对用户的攻击的风险。
7.2 企业网络安全环境的性质
机构需要为满足其安全需求制定一项综合计划。安全不是通用万能的(见[b-ITU-T Y.805]),是不能通过一套互连模块实现的。鼓励机构将安全视为一种寻求系统、网络、应用和网络服务保护方式的思维过程与方式。
安全必须贯穿所有网络层面。采用的分层安全措施一旦与有力的策略管理和实施相结合,便形成可供安全专业人员选择的模块化、灵活和可伸缩的安全解决方案。
安全是难以测试、预测和实施的,不可能对所有情况采取“一刀切”的解决办法。每个机构的安全需求和得到的安全战略建议都具有独特性和差异性。例如,每个企业、电信服务提供商、网络运营商或服务提供商都有一套独特的商业需求,并为满足这些需求而逐步形成了自己的网络环境。
例如,“封闭企业”在站址之间采用逻辑(即帧中继)或物理专线,为需要访问互联网的雇员有选择地提供远程接入,并通过(负责建立一种安全环境的)服务提供商提供的互联网数据中心实现在线状态。该机构还为(在旅馆工作的)远端雇员提供常规拨号接入。公司在雇员当中采用无外部接入的专用电子邮件以及无线局域网。
“扩展企业”或电信服务提供商、网络运营商或服务提供商可通过互联网的IP VPN给予远端雇员和办公室接入支持,提供高速和低成本的连接。包括提供通用互联网接入(如提供可与外部世界互通的内部电子邮件系统)。
“开放企业”的业务模式通过允许合作伙伴、提供商和客户访问企业管理的互联网数据中心,甚至允许有选择的访问内部数据库和应用(如供应链管理系统的一部分),使互联网得到利用。内部和外部用户可利用有线或移动装置,从家中、远端办公室或其它网络接入企业网,但这类企业的安全要求不同于其它企业。
图7-1是企业类型的综合图示。
图7-1 – 通用的企业类型
网络安全需要风险管理。这一程序包括确定一系列需要保护的组件。为便于风险分析工作,有必要考虑将攻击分为以下类型:
1) 服务中断攻击:这类攻击可暂时或永久地使用户对目标服务的访问陷于瘫痪。其实例
包括无法接入网址,或无法从事金融交易或发起语音呼叫。一些类型的攻击可导致业务中断。例如,拒绝服务(DoS)、分布式拒绝服务攻击(DDoS),或对关键基础设施所在建筑的破坏可使用户无法接入服务。
2)资产破坏。这类攻击包括对基础设施的盗窃和滥用。大规模的此类攻击会影响网络安
全。
3)组件劫持。这类攻击包括控制某些设备,并利用它们对网络环境的其它成份发起新的
攻击。
网络环境的任何部分都可被视为安全风险,而这种风险通常被认为是综合威胁评估的结果。威胁分析包括描述可能发起的攻击的类型、潜在的攻击者及其攻击方式以及攻击得逞造成的后果。另一方面,本建议书提到的薄弱环节是指攻击者可以利用的弱点。将风险评估与威胁分析相结合,可使机构对其网络可能面临的风险作出评估。
攻击可能自网络环境发动,例如通过蠕虫病毒或其它恶意软件直接攻击电信管线等重要基础设施,也可能通过获得信任的内部人员内应发起。还有可能出现组合式攻击。风险通常分为高、中、低三种类型。风险程度又因网络环境成份的不同而有所差异。
安全完全是以风险管理为目的。可采用多种技术进行风险管理。例如,可以采用制定防范战略方式,针对可能出现的攻击制定对策;检测包括发现实施中或已完成的攻击;针对攻击制定的对策,具体提出了阻止攻击或减轻其影响的一系列应对措施;制定恢复战略可使网络从已知状态恢复运行。
7.3 网络威胁和应对方法
X.800
建议书认为,对数据通信系统的威胁包括以下内容:
ITU-T
a)破坏信息和/或其它资源;
b)毁损或修改信息;
c)信息和/或其它资源的盗窃、删除或丢失;
d)信息披露;以及
e)服务中断。
根据[ITU-T X.800],威胁既可分为意外或有意类型,也可分为主动或被动类型。意外威胁属无预谋的威胁。发生意外威胁的实例包括系统故障、操作失误和软件缺陷。有意威胁可能包括采用易于得到的监测工具进行漫不经心的检查,以及利用专业系统知识进行的复杂攻击。有意威胁一旦得手,便可被视为一次“攻击”。成功实施的被动威胁不会导致对系统内存信息的任何修改,也不会改变系统的运行和状态。利用被动线路窃听监测通信线路传输的信息,便是实现被动威胁的行动。对系统的主动威胁涉及篡改系统内存信息,或改变系统的状态和运行。未经授权的用户恶意修改系统的路由表,便是主动威胁的实例。附录I简要介绍了这样一些具体类型的攻击。
X.800述及的安全风险同样存在于网络环境,根据[ITU-T X.800],安全特性通常会提高系统成本,并增加其使用难度。因此在设计安全系统之前,最好明确需要防范的具体威胁。这就是众所周知的威胁评估。一个系统存在许多薄弱环节,但会被利用的只是其中的一部分,其原因或许是攻击者无从下手,或许这样做的结果不值得花费精力和冒被发现的风险。虽然详细的威胁评估问题超出了本建议书的范围,但它们大体包括:
威胁是针对资产的威胁,因此首要步骤是列出需要得到保护的资产。评估工作的下一步是对威胁做出分析,然后分析脆弱环节(包括影响评估)并采取对策和安全机制。
a)确定系统的薄弱环节;
b)分析利用这些隐患造成威胁的可能性;
c)逐一评估可能得手的威胁的影响;
d)估算每次攻击的成本;
e)计算出潜在对策的成本;以及
f)(或许采用成本效益分析法)选用合理的安全机制。
在某些情况下,保险理赔等非技术措施可能是较技术安全措施更具成本效益的选择。一般来说,万无一失的技术安全是不存在。因此,我们的目标应该是大幅度提高攻击成本,使风险降至可接受的程度。
7.4 端到端的通信安全
X.805]为解决端到端的网络安全问题确定了一种网络安全框架。[ITU-T X.805] [ITU-T
适用于其端到端安全受到关注的各类网络。该框架独立于网络支撑技术。
安全架构可全面应对服务提供商、企业和用户的安全挑战,并适用于无线、光纤和有线语音、数据及融合网络。它可消除管理、控制和使用网络基础设施、服务及应用方面的安全担忧。[ITU-T X.805]有助于主动发现和克服安全隐患。该安全架构可将一套复杂的端到端网络安全特性逻辑地划分为独立的架构组件。这一划分为形成系统的端到端的安全方法留出了余地,可用于制定新的安全解决方案和评估现有网络的安全性。
X.805]所说的安全维度,系一组旨在解决某一具体网络安全问题的安全措施。 [ITU-T
[ITU-T X.805]提出的防范所有重大安全威胁的八个维度,突破了网络的局限,扩展到应用和最终用户信息领域,并适用于服务提供商或向其客户提供安全服务的企业。这些方面包括:
1) 访问控制;
2) 认证;
3) 不可否认性;
4) 数据机密性;
5) 通信安全;
6) 数据完整性;
7) 可用性;以及
8) 隐私保护。
为提供端到端的安全解决方案,必须将安全维度用于分层的网络设备和设施群组,即所谓安全分层结构。建议书涉及了以下三个安全层面:
1) 基础设施安全层;
2) 服务安全层;和
3)应用安全层。
安全各层通过提供顺序网络安全法,确定了那些安全问题必须在产品和解决方案中得到解决。例如要首先解决基础设施层的安全隐患,然后是业务层的隐患,最后解决应用层隐患。图7.4-1描述了安全维度用于安全分层以减少各层安全隐患的方式。
图7-4.1 – 将安全维度用于各安全层面
X.805]介绍的安全平面,是受网络维度保护的某一类网络活动。[ITU-T X.805] [ITU-T
定义了代表网上出现的三类受保护活动的以下三个平面:
1) 管理平面;
2) 控制平面;以及
3) 最终用户平面。
上述安全平面满足的具体安全需求分别涉及网络管理活动、网络控制或信令活动以及最终用户活动。[ITU-T X.805]提议,网络的设计应能使各网络平面的事件相互隔离。例如,应最终用户请求发起的充斥最终用户平面的查询信息,不应将管理平面的OAM&P接口拒之门外,使管理者无法对问题采取纠正措施。
图7.4-2显示了包括安全平面的安全架构。安全平面概念能够对与这些活动相关的具体安全问题进行区分,并能够独立的解决这些问题。以业务安全层负责解决的VoIP为例,保证业务管理安全的任务应独立于保证业务控制安全的任务。这项任务独立于向业务(如用户语音)传送的最终用户数据提供安全保障的任务。
图7-4.2 – 安全平面反映了不同类型的网络活动
8 可行的网络保护战略
安全涉及网络体系结构的各个层面。本方法构成设计安全网络的良好开端。对网络进行分解,可以使更高层网络根据自身需要确定自己的安全要求,并方便使用较低层的安全服务。采用分层的网络安全方式,人们可以为各机构灵活制定网络层、应用层和管理层的、规模变化自如的安全解决方案。
8.1 严密的政策管理
设计合理和实施得当的安全政策对各类企业和机构均必不可少。安全政策应机动灵活,不断得到加强、落实和完善,反映企业或机构在基础设施和服务需求方面的最新变化。
安全政策必须明确无误地确定机构(及企业)资源面临何种风险,应如何化解这些风险。安全政策必须对有关脆弱性和风险评估的工作做出规定,并明确应采取哪些恰如其分的访问控制规则。必须对网络的各个层面进行风险和脆弱性评估。同时,安全政策还必须有助于确定和发现违反安全规定的行为,阐明相应对策。
我们建议IT管理员使用黑客所用的工具对网络脆弱性做出评估。同时必须采用最小特权访问原则,确保对审核跟踪工作进行审议,做到政策管理无懈可击。IT管理员如在审核中发现问题,则应确保对政策进行更新,以反映最新情况。
止步于纸上谈兵的安全政策毫无价值,但安全政策的落实却与人休戚相关。应当在各方之间很好地分清执行政策的职责和责任。
8.2 统一访问管理
访问管理一词用以定义为控制资源使用而既可以使用认证服务、也可以使用授权服务的系统。认证是一种程序,用户通过该程序申请建立针对某一网络的身份。授权则根据访问控制机制确定该身份用户所拥有的特权级别。确定和执行访问控制政策是访问级别控制的基础。图8-2具体显示安全认证和授权参考模型应采用的参考模型。
图8-2 – 安全认证和授权参考模型
从图8-2中可以看出,应采用下列建议:
1) 使用集中式认证机制,以方便管理,取消局部存储的密码的使用(局部存储的密码往
往静止不变,功能很弱)。
2) 使用集中式授权系统,并与认证系统密切配合,同时根据特定企业的需要,实现适当
的层次变化。
3) 对各种密码均采用严格(复杂)的密码规则。
4) 以单向加密(散列)形式安全地存储各种密码。
5) 简单即意味着方便使用和易于管理。系统简单就会安全,因为(复杂系统的)保障措
施很可能引人注目。
6) 有关安全事件的认证和授权记录万无一失。
访问管理方式多种多样,其中包括:IP源过滤,代理和基于证书的技术。每一种方法均利弊兼具。根据企业类型,可能需要在安全方面采用多种不同方式或多种方式合并一体的举措。例如,一家企业可能通过IP源过滤,管理对工作站的访问,同时采用基于证书的手段管理其它用户。
可采用若干方法进行用户认证,具体技术包括:密码、一次性密码认证、生物特征技术、智能卡和证书。依靠密码进行的认证必须使用强密码(strong password),密码长度至少为八个字符,其中至少包括一个字母、一个数字和一个特殊字符。仅仅采用密码认证可能无法满足安全需求,因此,根据对网络脆弱性的评估,可能需要采用密码认证与其它认证和授权手段并举的方式,后者包括证书、轻量级目录访问协议(LDAP)、远程用户拨号认证系统(RADIUS)、网络认证协议(Kerberos)和公共密钥基础设施(PKI)。
所有认证机制均优缺点兼具。虽然用户身份(ID)/密码组合方式简单、成本低廉和易于管理,但牢记大量复杂的密码却是用户的一大难题。双因素和三因素身份认证系统虽然增加了认证力度;但却成本昂贵、更为复杂,并难以保持。
企业认证和授权的较好解决方案是采用由强密码组成的“单一密码”系统。此类系统保障认证安全性高、实现逐级授权且易于管理。在这一系统中,用户的单一强密码与企业内诸多认证和授权应用及系统得到同步使用。企业所有系统和应用均自动将认证和授权功能转向单一密码系统。此时用户仅需要牢记一个强密码,因此系统使用简单,用户难以置系统于不顾。单一密码系统的优点包括:
? 以统一一致的方法建立密码。
? 以统一一致的方法做出认证和授权。
? 以统一的方法注册和结束用户账户。
? 执行企业的密码优势导则。
? 连贯一致 – 客户了解如何行事。
? 标准化 – 易于支持和采用。
? 快捷方便 – 标准的界面和应用程序接口(API)。
? 成本低廉,寻求帮助的呼叫数量下降。
开放式和大型企业在构思访问管理政策时面临的挑战最为艰巨。访问管理必须构成安全政策的组成部分。企业和机构必须设计统一的访问管理系统,并细化与下列方面顺利接轨的相关规则:
?身份属性目录和数据库
?多重认证系统,如密码、Kerberos、TACACS 和 RADIUS
?主机、应用和应用服务器
统一访问管理系统应在对每一个用户进行认证后实行会话管理。我们建议不仅实现灵活配置,而且应以针对具体对象的、得到细化的规则配合政策的执行。应当进行适当的监督、记账并确保审核跟踪。建议为每一个管理员设立独特的账户,明确其责任,并将每项行动均与个人挂钩。
8.3 安全通信
综合统一的网络能够传输语音、数据和视频。保障网络流量的安全就必须保障网络通信的机密性、完整性和准确性。应当为电话网的呼叫和信令话务提供安全性。必须在数据、语音和移动网上使用加密技术。
加密方式多种多样:
? 使用IPSec的虚拟专用网(VPN)技术,包括认证报头(AH)、封装安全有效荷载(ESP)或使用第2层隧道协议(L2TP)的隧道技术。
? 基于互联网密钥交换(IKE)的密钥管理。
? 基于公钥基础设施X.509(PKIX)的证书管理。
? 证书管理协议(CMP)(见[b-IETF RFC 2510])和在线证书状态协议(OCSP)(见[b-IETF RFC 4557])。
? 在应用层使用传输层,通过安全协议(TLS)(见[b-IETF RFC 4366])与强密钥并举的方式。
使用基于标准的加密算法和散列技术(包括DES、3DES、AES、RSA和DSA(见
[b-IETF RFC 2828])十分重要。MD5(见[b-IETF RFC 1321])和SHA-1(见[b-IETF RFC 3174])可用于保证信息完整性,并采用Diffie-Hellman(见[b-IETF RFC 2631])和RSA(见[b-IETF RFC 2828])进行密钥交换。
注 – NIST(国家标准和技术学会)目前鼓励采用SHA-256(带有256比特加密密钥的安全散列算法)而非SHA-1。
[b-IEEE 802.11]标准定义的有线等效加密(WEP)协议确定了保护无线局域网(WLAN)接入点和网络接口卡(NIC)之间空中传输的技术。事实表明,该协议并不安全。人们必须采用IPSec等更多保护措施才能够保障WEP之上WLAN的安全。另一种方法是采用Wi-Fi保护接入(WPA)来加强保护。
8.4 灵活多样的安全级别
VLAN是一套包括服务器和其它网络资源的网络装置,其配置方法使其如同连接于一个网部分一样工作。VLAN中其它用户的资源和服务器不会被VLAN的其它成员看到。VLAN更有效地分割网络,从而提高绩效。VLAN限制广播和节点到节点的流量,从而减轻网络的整体流量负担。VLAN间的数据包可通过路由器传送,因此有助于实施基于路由器的安全措施,限制对该网络部分的接入。
分层开展安全工作有助于人们提供灵活多样的安全级别。每增加一级,均是对较低层次能力的扩充;每增加一级,均会使安全工作细化又细化。
例如,可以采用虚拟局域网(VLAN)对基本网络进行条块分割,将不同业务功能局限在自有的专用局域网范围之内,严格控制或禁止来自其它VLAN的流量。中小型企业在其各分支所在地部署VLAN益处颇多。使用VLAN“标签”(tag)可将流量按财务、人力资源和工程进行归类集中。在安全方面,必须实现VLAN之间无“泄露”的数据分离。
通过在网络战略点上采用边界和分布式防火墙过滤手段可以实现第二层次的安全性。加入防火墙可以将网络进一步分割为更小的区域,从而确保与公众网之间连接的安全性。防火墙将对来向和去向流量的访问局限于在防火墙内明确得到配置的协议。此外,防火墙还可以对出网和入网用户进行认证。支持网络地址转换(NAT)的防火墙能够最佳实现[IETF RFC 1918]规定的网络内IP寻址(专用互联网地址分配)。
防火墙为访问控制提供了十分有益的额外层次的保护。实施基于政策的访问可以根据业务需要为客户量身定制访问计划。而采用分布式防火墙方式则有助于企业按照需要逐步对安全解决方案加以扩充。可以在端点系统上部署个人防火墙,确保应用的完整性。
通过增加3层VPN可以实现第三层次的安全性。VPN提供更加细化的用户访问控制机制,并使该项工作更加人性化。VPN将安全工作细化到每个用户个人,因此确保远端地点和业务合作伙伴进行安全的远程访问。采用VPN后,不再需要专用线路。利用安全隧道在互联网上进行动态路由可以保障极高的安全性、可靠性和可扩展性。VPN与VLAN和防火墙并举
中国移动互联网发展史 赛迪研究院互联网研究所陆峰博士本世纪以来,我国移动互联网伴随着移动网络通信基础设施的升级换代快速发展,尤其是2009年国家开始大规模部署3G网络,2014年又开始大规模部署4G网络,两次移动通信基础设施的升级换代,有力地促进了中国移动互联网快速发展,服务模式和商业模式大规模创新。 一、萌芽期(2000年-2007年) 技术发展:WAP应用是移动互联网应用的主要模式。 该时期由于受限于移动2G网速和手机智能化程度,中国移动互联网发展处在一个简单WAP应用期。WAP应用把Internet网上HTML的信息转换成用WML描述的信息,显示在移动电话的显示屏上。由于WAP只要求移动电话和WAP 代理服务器的支持,而不要求现有的移动通信网络协议做任何的改动,因而被广泛地应用于GSM、CDMA、TDMA等多种网络中。在移动互联网萌芽期,利用手机自带的支持WAP协议的浏览器访问企业WAP门户网站是当时移动互联网发展的主要形式。 市场竞争:移动梦网催生了一大批SP服务商。 2000年12月中国移动正式推出了移动互联网业务品牌“移动梦网Monternet”,移动梦网就像一个大超市,囊括
了短信、彩信、手机上网(WAP),百宝箱(手机游戏)等各种多元化信息服务。在移动梦网技术支撑下,当时涌现了雷霆万钧、空中网等一大批基于梦网的SP服务提供商,用户通过短信、彩信、手机上网等模式享受移动互联网服务。但由于移动梦网服务提供商存在业务不规范、乱收费等现象,2006年4月,国家开展了移动梦网专项治理行动,明确要求扣费必须用户确认、用户登录WAP需要资费提示等相关规范,大批SP服务商因为违规运营退出了市场。 二、成长培育期(2008年-2011年) 技术发展:3G移动网络建设掀开了中国移动互联网发展新篇章 随着3G移动网络的部署和智能手机的出现,移动网速大幅提升初步破解了手机上网带宽瓶颈,简单应用软件安装功能的移动智能终端让移动上网功能得到大大增强,中国移动互联网掀开了新的发展篇章。经过3G网络一年多的试点商用,2009年1月7日工业和信息化部宣布,批准中国移动、中国电信、中国联通三大电信运营商分别增加TD-SCDMA、CDMA2000、WCMDA技术制式的第三代移动通信(3G)业务经营许可,中国3G网络大规模建设正式铺开,中国移动互联网全面进入了3G时代。 市场竞争:各大互联网公司都在探索抢占移动互联网入口
客运专线信号系统安全数据网技术规范 (V2.0) 2010年8月
目录 1引言 (2) 1.1目的和范围 (2) 1.2术语和缩写词 (2) 1.3参考文献 (2) 2功能要求 (4) 3组网要求 (4) 4组网设备 (6) 5网络结构 (9) 5.1客运专线基本网络结构 (9) 5.2客运专线划分子网网络结构 (10) 5.3两个网络间连接 (12) 5.4网络与独立设备间连接 (14) 6组网光缆径路 (15) 7网络接口 (16) 8设备IP地址分配 (17) 9网络管理 (21) 10网络安全 (22) 附件:IP地址配置举例 (24) 1.客运专线1信号系统安全数据网IP地址分配举例 (24) 2.客运专线2信号系统安全数据网IP地址分配举例 (27)
1引言 1.1目的和范围 1.1.1.1本技术规范适用于基于专用光缆(封闭系统)信号系统安全信息传输的 CTCS-2级和CTCS-3级列控系统。 1.1.1.2信号系统安全数据网系统集成、工程设计、验收、运用维护及接入设备 研发均应按照本技术规范执行。 1.2术语和缩写词 缩写英文全称中文含义 TCC Train Control Center 列控中心 CBI Computer Based interlocking 计算机联锁 RBC Radio Block Center 无线闭塞中心 TSRS Temporary Speed Restriction Sever 临时限速服务器 TSR Temporary Speed Restriction 临时限速 ODF Optical Distribution Frame 光纤配线架 GBIC Giga Bit Rate Interface Converter 接口转换器 SFP Small Form Pluggable 小型化接口转换器 VLAN Virtual Local Area Network 虚拟局域网 EMC Electro Magnetic Compatibility 电磁兼容性 MTBF Mean Time Between Failure 平均无故障时间 1.3参考文献 [1] 科技运[2008]34号CTCS-3级列控系统总体技术方案 [2] TB/T 3073 铁路信号电器设备电磁兼容试验及其限制 [3] TB/T 3074 铁路信号设备雷电电脉冲防护技术条件
中国移动通信集团公司中、英文名称对照表 (第三版) 目录 一、中国移动通信集团公司及所属机构的中英文名称 (2) 二、各省、自治区、直辖市公司,各通信服务公司(中心),各省、自治区、直辖市分公司的中英文名称............................................................................. . (3) 三、总部各部门及处室的中英文名称 (9) 四、研究院、设计院和管理学院内设机构的中英文名称 (13) 五、常用职务的中英文名称............................................................................. (15) 六、常用职称的中英文名称............................................................................. (16) 七、备注............................................................................. .. (17) 中国移动通信集团公司 二〇〇九年五月 1 一、中国移动通信集团公司及所属机构的中英文名称 序号 中文 英文 公司名称 1 中国移动通信集团公司 China Mobile Communications Corporation 2 中国移动(香港)集团有限公司 China Mobile (Hong Kong) Group Limited 3
中国移动有限公司 China Mobile Limited 4 中国铁通集团有限公司 China TieTong Telecommunications Corporation 5 辛姆巴科公司 CMPak Limited 6 中国移动通信有限公司 China Mobile Communication Company Limited 7 中国移动(深圳)有限公司 China Mobile (Shenzhen) Limited 8 中国移动香港有限公司 China Mobile Hong Kong Company Limited 驻外机构名称 9 驻英国代表处 UK Representative Office 10 驻美国代表处 US Representative Office 其他 11 中国移动通信战略咨询委员会 China Mobile Advisory Committee for Development Strategies 12 中国移动通信集团公司技术咨询委员会 China Mobile Advisory Committee for Technology Development 2 二、各省、自治区、直辖市公司,各通信服务公司(中心),各省、自治区、直辖市分公司的中英文名称 各省、自治区、直辖市公司: 序号 中文
量子保密通信案例介绍 1、金融领域 通过与中国人民银行和中国银监会合作,开展了金融行业量子保密通信应用,包括同城数据备份和加密传输、网上银行加密、异地灾备、监管信息采集报送、人民币跨境收付系统应用等,并在银行、证券、期货、基金等行业成功开展了应用示范。特别是银行业,已经形成了一批典型示范用户,包括工商银行、中国银行、建设银行、交通银行等国有大型商业银行,民生银行、浦发银行等全国性股份制商业银行及北京农商行等其他商业银行。 中国银监会组织的京沪干线量子保密通信应用在同城数据备份和加密传输应用方面,工商银行、交通银行、北京农商行,浦发银行、民生银行、东方证券、国泰君安期货、华安基金等金融机构已经常态化应用。
在网上银行加密方面,交通银行、工商银行已经常态化应用。2017年2月,交通银行首次把量子保密通信技术应用于企业网银用户的实时交易,通过量子保密通信的高安全性保障客户对资金安全的高要求,标志着量子保密通信从服务银行内部数据安全向为第三方客户提供高等级安全服务跃迁。 在异地灾备方面,交通银行、中国银行、工商银行已常态化应用。2017年2月工商银行率先基于“两地三中心”的数据中心体系,利用量子保密通信技术,将工商银行网上银行业务数据从北京西三旗数据中心通过量子保密通信技术实时传输到上海嘉定和外高桥数据中心。 工商银行异地灾备量子保密通信应用 在监管信息采集报送方面,中国银监会将量子保密通信技术应用于银监会与各相关银监局、各相关银行之间的监管信息数据采集报送系统。2015年7月,银监会与民生银行、银监会与北京银监局之间的监管信息采集系统建设完成并投产。该系统每日进行一次报送,每
中国移动通信市场现状分析 移动通信已经成为通信领域中最活跃的力量,它的增长速度已远远超过固定通信。截止到1999年底,全球移动电话用户已超过4.5亿。我国作为世界最大的潜在移动通信国家,当年用户规模为4324万,仅次于美国和日本,位居全球第三。新世纪,我国移动通信将持续高速发展,到2000年6月,我国移动用户已达6000万,今年有望成为全球第二大移动通信国家。我国移动通信乃至整个通信事业的发展,得益于通信产业适度超前于国民经济的宏观决策,也得益于我国经济持续、稳定、高速地发展,还得益于信息产业政策的扶持和引导。移动通信运营业和制造业的协同发展,使我国移动通信产业呈现出勃勃生机的局面。 一、我国移动通信运营市场现状分析 1发展状况 近十年来,我国移动通信网络规模和用户规模得到高速发展。截止到2000年6月,GSM网规模达到8297万门,移动电话用户接近6000万,移动电话普及率超过4.6%,移动通信网将在本年内发展成为全球第二大网。 2市场竞争格局 我国移动通信运营市场竞争日益激烈,随着中国移动通信集团公司的挂牌成立,该运营市场形成了以中国移动通信集团公司和中国联通为主体的竞争新格局。 (1)中国移动和中国联通的竞争 自1994年成立以来,中国联通得到了政府和信息产业部的大力扶持和政策倾斜,其竞争实力逐步提高,作为我国目前唯—一家综合业务提供商,中国联通的业务发展重点仍是移动通信,并获得了CDMA经营许可证。 中国移动已退出与长城电信网的合作,长城电信网独立运作。据预测,长城CDMA网也将并入中国联通,这样中国联通的综合实力将得到进一步增强。中国联通已构成对中国移动的强劲竞争。 两者的实力差距将进一步缩小,截止到2000年6月。 (2)移动电话和固定电话之间的相互渗透和相互竞争 自从两年前起,中国电信移动通信公司开拓了模拟网的“本地通”,随后又开拓了数字网的“本地通”业务,将竞争领域扩展到固定电话市场。并且收费低廉,入网费仅二三百元,月话费减半,几乎接近安装一部固定电话的水平。当时的移动通信公司还是中国电信旗下的一员。然而1999年电信重组,移动独立之后,便逐步演变成中国电信新的竞争对手和合作伙伴。 近年来,固定电话大力开拓“移动市话”业务,并在许多城市兴起,南到肇庆、深圳,东到余杭、杭州,西到昆明、西安,几十个城市掀起了一股移动市话的热潮, 而且都大手笔地投资移动市话建设,并着力开拓这项业务。无线市话的推出不仅可以缓解固定电话趋于饱和、市场疲软和热装冷用的矛盾,更能刺激电话业务量的增长,提高网络的接通率,提高全网的业务量和业务收入,减小由初装费降低资本的负面影响。 (3)增设移动运营商,促进移动通信运营市场健康快速发展 中国移动通信市场是全球最具有增长潜力的市场,世界各大电信运营商都看好这一庞大的潜在市场。随着“入世”的来临,新的移动业务经营者将可能出现在我国移动通信市场。目前,我国只有中国移动集团和中国联通两大移动业务经营商,而世界通信大国一般都有三家或三家以上,因此有必要增设第三家(或更多)移动通信运营商经营移动业务。 最有可能获取移动业务经营许可证的是中国电信集团,原因如下: ·中国电信拥有世界第二、我国第一的网络规模,共有超过1.2亿个固定电信用户; ·它有丰富的电信网络(包括移动网络)经营维护经验; ·我国的部分城市已经开通移动市话业务;
经典保密通信和量子保密通信区别 摘要:文章介绍了经典保密通信和量子保密通信区别,说明了两者的根本区别。经典保密通信安全性主要是依赖于完全依赖于密钥的秘密性,很难保证真正的安全。而量子密码通信是目前科学界公认唯一能实现绝对安全的通信方式,其主要依赖于基本量子力学效应和量子密钥分配协议。最后分析量子保密通信的前景和所要解决的问题。 关键词:量子通信、经典保密通信、量子保密通信、量子通信发展、量子通信前景 经典保密通信 一般而言,加密体系有两大类别,公钥加密体系与私钥加密体系。密码通信是依靠密钥、加密算法、密码传送、解密、解密算法的保密来保证其安全性. 它的基本目的使把机密信息变成只有自己或自己授权的人才能认得的乱码。具体操作时都要使用密码讲明文变为密文,称为加密,密码称为密钥。完成加密的规则称为加密算法。讲密文传送到收信方称为密码传送。把密文变为明文称为解密,完成解密的规则称为解密算法。如果使用对称密码算法,则K=K’ , 如果使用公开密码算法,则K 与K’不同。整个通信系统得安全性寓于密钥之中。公钥加密体
系基于单向函数(one way function)。即给定x,很容易计算出F (x),但其逆运算十分困难。这里的困难是指完成计算所需的时间对于输入的比特数而言呈指数增加。 另一种广泛使用的加密体系则基于公开算法和相对前者较短的私钥。例如DES (Data Encryption Standard, 1977)使用的便是56位密钥和相同的加密和解密算法。这种体系的安全性,同样取决于计算能力以及窃听者所需的计算时间。事实上,1917年由Vernam提出的“一次一密乱码本”(one time pad) 是唯一被证明的完善保密系统。这种密码需要一个与所传消息一样长度的密码本,并且这一密码本只能使用一次。然而在实际应用中,由于合法的通信双方(记做Alice和Bob)在获取共享密钥之前所进行的通信的安全不能得到保证,这一加密体系未能得以广泛应用。 传统的加密系统,不管是对密钥技术还是公钥技术,其密文的安全性完全依赖于密钥的秘密性。密钥必须是由足够长的随机二进制串组成,一旦密钥建立起来,通过密钥编码而成的密文就可以在公开信道上进行传送。然而为了建立密钥,发送方与接收方必须选择一条安全可靠的通信信道,但由于截收者的存在,从技术上来说,真正的安全很难保证,而且密钥的分发总是会在合法使用者无从察觉的情况下被消极监听。 量子保密通信 量子密码学的理论基础是量子力学,而以往密码学的理
集团电子文件安全管理现状分析及解决方案 一、现状分析 目前集团单子文件安全管理是空白,邮件、USB盘和移动存储介质随意拷贝集团内电子文件。据了解,2008年浙江技术部试用过一个软件,因使用不方便,每次打开文件都要连接服务器,获取密钥;而且,文件加密的算法不可靠,很容易就破解,最后没有使用。 二、通过技术手段可实现 目前国内外电子文件安全管理类的软件比较成熟,通过采用国际最先进的Windows底层文件驱动过滤技术,通过计算机底层操作系统实现对计算机本身及外围存储设备的数据进行严格的加解密控制,完全可以满足企业对重要电子文件的管理功能。 成熟企业对电子数据文件管规范如下: 2.1文件加密管理 (1)直接监控硬盘的读写,因此具有应用程序无关性,可以对任意的应用程序和文件类型进行加密监控。 (2)加密算法足够应付任何的恶意暴力破解。 (3)提供自动加密(+)和自动解密(-)功能,能够满足企业复杂灵活的加密管理需求。 2.2权限安全管理 (1)集团化分组管理: ?为每个分支企业(或分支机构)设定独立的密钥; ?为不同的部门设定独立的密钥; ?为不同的项目组(或临时工作小组)设定独立的密钥; ?由于密钥不同,所以部门之间不能相互查看加密文件。 (2)加密用户身份认证: ?用户可以在企业内部计算机间漫游 (3)加密软件强制运行: 客户端程序会在计算机启动时自动启动,并无法手工关闭,无法终止加密进程。
(4)客户机运行状态: 监视管理可以通过在服务器端对客户端自动进行扫描并显示如下信息: ?局域网内有哪些计算机连接了服务器; ?哪些计算机安装了加密软件; ?哪些计算机的加密客户端软件正常启动; (5)责任追溯: 记录以下详细操作日志信息,以备追溯: ?组织机构操作(新建、编辑和删除,以及权限设置) ?用户操作(新建、编辑、冻结和删除,以及权限设置) ?手工解密文件操作日志(文件名称、解密时间、解密人等) ?指定程序对加密文件的操作日志(如邮件发送系统所发送的文件信息的记录 等) ?文件授权日志、文件加密级别调整日志。 2.3对外发出文件管理 加密文件外发时,可以进行一定的控制。 (1)明文外发 ?由解密员手工解密; ?对经过审批流程审批过的加密文件进行自行解密外发; ?受信任的领导,在通过邮件或即时通讯工具外发邮件时,可以自动解密; ?设定拷贝到指定员工的U盘时,自动解密。 (2)密文外发 ?使用专有的外发文件打包工具,生成专有的文件格式外发文件包,附带一 个通用的解包工具,可以控制文件的打开次数,打开时间段,以及是否允 许打印等权限。 ?在接收者的计算机上安装加密客户端软件,对脱机工作时间进行限定,脱 机工作时间内,可以正常打开查看加密文件,脱机时间结束后,将无法打 开加密文件。 (3)移动介质加密方案: 对于常用的移动存储介质,如U盘和移动硬盘,可以设定以下策略: ?所有存储到移动存储介质上的文件全部强行加密; ?存储到移动存储介质上的文件按照强制加密文件类型中的设定,进行加密; ?拒绝读写移动存储介质上的文件。 2.4外出工作管理 (1)外出工作时: ?离线工作前,由管理员设定允许离线的工作时间; ?或者由管理员配发加密锁,只有插接加密锁,才能够正常打开加密的文件。
量子保密通信与金融业信息传输安全 发表时间:2019-08-30T14:40:39.980Z 来源:《城镇建设》2019年第13期作者:富咏梅[导读] 随着社会的发展,我国的智能化建设的发展也突飞猛进。 中国电信股份有限公司嘉善分公司浙江杭州 310000摘要:随着社会的发展,我国的智能化建设的发展也突飞猛进。金融是一个国家的经济“血脉”,金融业的信息安全关系到整个经济体系的稳定、健康运行。20世纪60年代以来,随着计算机科学与互联网技术的不断发展,传统的金融业经营模式逐步被颠覆,转而形成以信 息技术为基础的新型发展模式。数字化、智能化发展趋势推动着金融与信息技术的深度融合,金融核心系统、关键流程、客户关系管理、业务往来等均依托于在信息技术。可见,信息技术已然成为现代金融发展的重要基石之一。然而,金融信息化发展使得各类敏感信息和关键信息都存储在计算机信息系统之中,并且通过电子网络完成传输和交换。这些信息中除了大量金融行业自身的机密数据外,还包括海量与客户相关的账户数据、交易数据和客户基本信息等敏感数据。这些信息数据涉及到金融机构和客户的资金安全,容易成为金融违法犯罪活动所针对的目标。与此同时,全球数据总量包括金融领域数据量每年都呈指数增长态势,增加了金融业的数据管理负担。而网络应用的普及和计算机技术的不断发展,又使得黑客的攻击活动变得更加难以追踪和防范。在此背景下,金融信息安全和隐私保护问题更加突出,这也成为整个金融行业共同面临的一项重大挑战关键词:量子保密通信;金融业;信息传输安全引言随着金融信息化发展和数据规模不断扩大,数据管理成为金融业运营和管理面临的一大难题,其中信息传输是最易遭受攻击且难以防范的环节。量子保密通信作为一种安全性较高的信息传输方式,在金融业具有广泛的应用前景。然而,目前来看,量子保密通信技术短期内还无法实现在金融业中的大规模应用。下一步量子保密通信技术研发和推广运用需要把握以下几个关键点:一是推进量子保密通信“稳定、高速、远距离”是规模化应用的前提;二是加快量子中存储技术的发展是实用化应用的关键;三是建立规范、统一的量子通信标准是与金融业融合发展的基础。为此,提出如下建议:一是加大科研投入,攻克量子保密通信核心技术难关、实现量子中继使用和远程传输;二是建立政、银、校、企协同合作机制,共同推进量子保密通信发展,特别是要重视货币当局、金融监管当局的参与,防范新技术应用中的操作风险;三是加强基础设施建设,建立量子通信广域网络,满足金融系统跨地区、跨领域、跨机构的信息保密传输需求。 1金融业信息传输的特点在金融信息化环境下,信息传输成为金融活动的基础环节之一。随着互联网金融和新兴金融业务的快速发展,金融机构的信息传输需求变得更加旺盛,金融交易、客户关系、金融监管、跨境金融业务等无一例外地需要依托于信息传递或交换。金融信息的传输与交换,成为金融机构运转不可或缺的重要环节,海量信息的高效、安全、隐蔽传输成为金融机构的日常运营、管理的重要事项。对于金融业信息传输而言,最突出的特点在于安全性,保障信息安全、可靠地传输是金融业信息传输的重中之重。信息传输安全无论对于金融机构还是金融消费者而言,都尤为重要,这关系到金融机构和金融消费者资金的安全,也关系到金融机构的稳健运行,一旦信息传输过程中遭受严重攻击,将会带来无法估量的损失(谢清河,2014)。然而,在网络信息时代,金融业信息传输面临着窃听、篡改、破译密码等网络攻击的威胁。此外,随着信息科技水平的不断提高,不法分子所使用的攻击手段也愈发多样且经常变换,使得金融机构和金融消费者难以应对,金融领域信息传输的安全问题越来越突出。这就要求金融机构乃至整个金融体系必须不断更新、升级信息安全防护措施,采用更加先进的技术手段才能保障信息传输的安全性。 2金融业信息传输的方式从金融业信息传输的方式来看,主要分为有线和无线两大类型,分别运用于不同的场景之中。其中,有线信息传输主要应用于容量大的静态设备之间的数据传输,如金融机构与监管当局之间、金融同业之间、金融机构内部数据中心之间的数据传输,通过电缆、光纤等方式进行有线通信;而金融机构后台与移动端应用(如手机APP、移动POS机等)的连接,主要采取无线信息传输方式。需要说明的是,有线传输与无线传输都属于传统网络信息传输的范畴。 3量子保密通信在金融业的应用对于金融业来说,数据传输和交换是金融系统正常运行的基础,保障信息、数据的高效、安全传输和交换是金融机构必须要面对和解决的问题(杨利民和於学松,2018)。量子保密通信技术能够在物理层面实现金融数据加密传输,满足金融通信的安全需求,具有重要的战略意义。我国在量子保密通信领域具有领先优势,为国内金融系统实现信息保密传输提供了支撑和保障。我国货币当局、商业银行都在积极探索量子保密通信的应用场景,致力打造更加安全的金融业信息传输系统。2017年,人民银行组织开展量子保密通信技术验证和应用示范项目,实现了商业银行之间“人民币跨境收付信息管理系统(RCPMIS)”的加密通信。中国银行基于国家量子保密通信“京沪干线”,启动京沪异地生产和灾备数据中心之间量子加密传输应用项目,成功实现该行京沪异地数据中心间生产运维数据的量子加密传输,提升了数据在跨地域、跨管理域长距离传输过程中的安全性。工商银行作为试点单位参与了量子保密通信“京沪干线”技术验证及应用示范项目,并率先实现了电子档案数据在同城内量子加密传输(吕仲涛,2017)。交通银行首次实现将量子通信技术应用于网络银行实时交易。北京农商行运用量子加密通信技术,实现总行、数据中心、业务处理中心之间的办公、生产、同城灾备数据的安全传输。徽商银行运用量子通信技术,实现该行与中国金融认证中心间的数字证书信息端到端加密。网商银行通过部署量子保密通信设备,实现京沪之间信贷业务数据的量子通信加密传输。总之,在我国,量子保密通信技术正逐步运用于金融业的信息传输和交换之中,在提高金融业信息传输安全性和效率性方面取得了初步成效。目前,尽管量子保密通信的实用化通信距离已经达到400km,工作频率达到GHz,但用于商用系统的工作频率仅为50MHz,通信距离为50km,安全码率仅为kb/s级,与金融业的实际应用需求还存在较大差距。换言之,基于现有的量子保密传输技术,尚未在通信距离、通信速率、抗干扰力等方面形成对金融业现有通信系统的明显优势。要突破这些瓶颈,必须研制更加稳定、高速、远距的量子保密通信系统。这就需要强化硬件上的支持,如高速单光子源、高速量子随机数发生器等。从发展趋势来看,中短期内或将推出1~10GHz高速实用化商用量子通信系统,有望为金融业的量子保密通信系统应用创造条件。结语
量子保密通信系统及其关键技术的研究 【摘要】:量子信息学的研究发现,如果能通过量子态编码来传送密码信息的话,那么依据量子力学不确定性原理,任何对量子载体的测量或复制行为都将改变原量子态。这为我们提供了一种主动发现窃听者的方法,即量子保密通信。与任何传统密码术都不同的是,它借助于自然法则的威力,从根本上杜绝了非法窃听的可能性,将为人们提供一种“无条件”的安全通信方法。本文工作致力于量子保密通信技术初步实用化的研究,目标是探索量子密钥分发的新方案与新技术,并完成长距离长期稳定的光纤型量子密钥分发系统。在量子密钥分发方案研究方面,我们主要着力于提高保密通信的稳定性和成码率。因而我们首先提出了基于Sagnac干涉仪的量子保密通信方案。该方案巧妙地使用了环形光路的结构,不借助任何主动或被动元件就可以自动补偿相位抖动;采用分时相位调制技术控制单光子干涉,密码交换方法简单可靠。是目前为数不多的利用双向自动补偿而实现稳定传输密钥的长距离保密通信方案之一。本论文还提出了法拉第反射镜与相位差分方案结合(“PhlgPlay”+DSP)的量子密钥分发方案。该方案通过相位调节伺服系统和往复光路补偿技术,能够有效地克服单光子单向传输过程中的相位抖动和偏振模式色散(PMD)等问题,具有高稳定性;并结合Yamamoto等人提出的相位差分编码方法,能够实现高达2/3的密钥成码率。该方案还具有很强的可扩展性。在不改变总体结构的情况下,仅仅通过增加部分光路元件的方法就可以使密钥成码效率提
高到(n-1)/n(n=3,4,5,…),是一种有潜力的新方案。围绕量子保密通信系统的研究,我们发展了一系列关键性的技术。在单光子探测方面,我们提出了多种单光子探测的技术方案。解决了APD光纤耦合、低温制冷控温(-50℃--110℃)等技术难题,研制出实用化的单光子探测器,并成功应用于单光子干涉实验和量子保密通信系统中,为红外单光子信息处理等领域提供了高灵敏的探测手段。其核心指标,暗计数率与量子效率的{确要比值(Pd/几)超过商售同类产品一个数量级。为解决相位差分编码方案中时间信息检测的问题,找们提出了一种基于多重探测门(multi一gate)的单光子11寸序检测器(Timediseriminator)。一般认为,山于InGaAS雪崩光电二极管的后脉冲发生机率较大,不适于快速的时间探测。而实验中我们恰恰不lJ 用了发生在{i汀后相继的多个脉冲门中的后脉冲来帮助识别单光子时间信息,为近红外单光子时序检测提供了一种有效方法。在单光子十涉和单光子操控的研究中,我们提出并实现了华十光纤S雌11ac 干涉仪的长距离单光子干涉和单光子路山实验。在50公啾的光纤环路中获得的单光子干涉可见度达到95%;基于s雌11ac二卜涉仪的长距离单光子路山器有望应运于单光子量子信息研究。我们还发展了偏振量子随机源技术,首次将USBZ.O数据接口应用于高速光量子真随机信号发生器,实现了“即插即用”的功能。该系统使用简便,随机码的采样速率可达SMHZ,随机数的序列相关性达到10一“量级,单字节嫡值不小于7.99;将为量子保密通信的安全性提供有力保障。该随机信号发生器也适用于经典密码学和模拟计算等其它领域。最后,采
中国移动通信市场现状分析 移动通信差不多成为通信领域中最活跃得力量,它得增长速度已远远超过固定通信.截止到1999年底,全球移动电话用户已超过45亿.我国作为世界最大得潜在移动通信国家,当年用户规模为4324万,仅次于美国和日本,位居全球第三.新世纪,我国移动通信将持续高速进展,到2000年6月,我国移动用户已达6000万,今年有望成为全球第二大移动通信国家.我国移动通信乃至整个通信事业得进展,得益于通信产业适度超前于国民经济得宏观决策,也得益于我国经济持续、稳定、高速地进展,还得益于信息产业政策得扶持和引导.移动通信运营业和制造业得协同进展,使我国移动通信产业呈现出勃勃生机得局面. 一、我国移动通信运营市场现状分析 1进展状况 近十年来,我国移动通信网络规模和用户规模得到高速进展.截止到2000年6月,gsm网规模达到8297万门,移动电话用户接近6000万,移动电话普及率超过46%,移动通信网将在本年内进展成为全球第二大网. 2市场竞争格局 我国移动通信运营市场竞争日益激烈,随着中国移动通信集团公司得挂牌成立,该运营市场形成了以中国移动通信集团公司和中国联通为主体得竞争新格局. (1)中国移动和中国联通得竞争 自1994年成立以来,中国联通得到了政府和信息产业部得大力扶持和政策倾歪,其竞争实力逐步提高,作为我国目前唯—一家综合业务提供商,中国联通得业务进展重点仍是移动通信,并获得了cdma经营许可证. 中国移动已退出与长城电信网得合作,长城电信网独立运作.据预测,长城cdma网也将并入中国联通,如此中国联通得综合实力将得到进一步增强.中国联通已构成对中国移动得强劲竞争.两者得实力差距将进一步缩小,截止到2000年6月. (2)移动电话和固定电话之间得相互渗透和相互竞争
量子保密通信实验 引言 自古以来,人们就希望各种保密的信息能安全地交流,于是便发明了各种密码术。但是随着加密方法的公开和科技的发展,各种加密方法都面临着被轻易破解的危险:如古老的凯撒密码就可以通过字频分析结合穷举法实现破解;而现在应用的最为广泛的RSA公钥密码体系理论上已被证明可以用Shor算法实现破解。迄今为止,只有一次一密的加密方案在理论上被证明是理想安全的。随着信息安全日趋重要,怎样保密通信已成为当今最为紧迫的问题之一。一次一密的加密方案安全性毋庸置疑,然而如何找到一条安全的途径,实现大量的密钥分发又成为一个关键的问题。于是基于量子不可克隆定理的量子密码学应运而生。量子密码学不仅是一门科学,而且是一门精巧的通信艺术。通过量子密码实验系统,不仅可以让我们直观的理解BB84协议和了解量子保密通信,并且可以进一步以此作为平台,进行一系列的科学研究。 实验目的 1. 学习使用BB84协议实验中常用的仪器设备 2. 理解量子保密通信实验中BB84协议理论 3. 观测量子保密通信实验中的成码率,误码率,加密解密效果 实验原理 BB84协议是Charles H. Bennett 与 Gilles Brassard 1984年提出的描述如何利用光子的偏振态来传输信息的量子密钥分发协议:发送方Alice和接收方Bob用量子信道(如果光子作为量子态载体,对应的量子信道就是传输光子的光纤)来传输量子态;同时双方通过一条公共经典信道(比如因特网)比较测量基矢和其他信息交流,进而两边同时安全地获得和共享一份相同的密钥。 BB84协议基本条件首先是拥有一个量子信号源,并可以随机地调制产生两套基矢总共四种不同的量子态信号;其次,调制后的量子信号可以通过一个量子信道如光纤或者自由空间来进行传输;再次,接受到的量子信号可以被有效地测量,其中测量所用的基矢也是随机选择的,同时需要一个辅助的经典公共信道可以传输经典的基矢对比等信息。另外该经典公共信道要求是认证过的,任何窃听者虽
中国移动4G网络介绍 一、概述 4G即第四代移动通信技术。4G集3G与WLAN于一体,并能够传输高质量视频图像,它的图像传输质量与高清晰度电视不相上下。4G系统能够以100Mbps 的速度下载,比目前的拨号上网快2000倍,上传的速度也能达到20Mbps,并能够满足几乎所有用户对于无线服务的要求。此外,4G可以在DSL和有线电视调制解调器没有覆盖的地方部署,然后再扩展到整个地区。很明显,4G有着不可比拟的优越性。国家工信部于2013年12月4日正式向中国移动、中国电信、中国联通颁发4G牌照,意味着4G正式开始商用,我国进入4G时代。 二、优势 1、通信速度快 从移动通信系统数据传输速率作比较,第一代模拟式仅提供语音服务;第二代数位式移动通信系统传输速率也只有9.6Kbps,最高可达32Kbps,如PHS;第三代移动通信系统数据传输速率可达到2Mbps;而第四代移动通信系统传输速率可达到20Mbps,甚至最高可以达到高达100Mbps,这种速度会相当于2009年最新手机的传输速度的1万倍左右,第三代手机传输速度的50倍。 图一:各代通信技术速率对比图 2、网络频谱宽 要想使4G通信达到100Mbps的传输,通信营运商必须在3G通信网络的基础上,进行大幅度的改造和研究,以便使4G网络在通信带宽上比3G网络的蜂窝系统的带宽高出许多。据研究4G通信的AT&T的执行官们说,估计每个4G信道会占有100MHz的频谱,相当于W-CDMA3G网络的20倍。 3、通信灵活 从严格意义上说,4G手机的功能,已不能简单划归“电话机”的范畴,毕
竟语音资料的传输只是4G移动电话的功能之一而已,因此未来4G手机更应该算得上是一只小型电脑了,而且4G手机从外观和式样上,会有更惊人的突破,人们可以想象的是,眼镜、手表、化妆盒、旅游鞋,以方便和个性为前提,任何一件能看到的物品都有可能成为4G终端,只是人们还不知应该怎么称呼它。 未来的4G通信使人们不仅可以随时随地通信,更可以双向下载传递资料、图画、影像,当然更可以和从未谋面的陌生人网上联线对打游戏。也许有被网上定位系统永远锁定无处遁形的苦恼,但是与它据此提供的地图带来的便利和安全相比,这简直可以忽略不计。 4、智能性能高 第四代移动通信的智能性更高,不仅表现于4G通信的终端设备的设计和操作具有智能化,例如对菜单和滚动操作的依赖程度会大大降低,更重要的4G手机可以实现许多难以想象的功能。 5、兼容性好 未来的第四代移动通信系统应当具备全球漫游,接口开放,能跟多种网络互联,终端多样化以及能从第二代平稳过渡等特点。 6、提供增值服务 4G通信并不是从3G通信的基础上经过简单的升级而演变过来的,它们的核心建设技术根本就是不同的,3G移动通信系统主要是以CDMA为核心技术,而4G 移动通信系统技术则以正交多任务分频技术(OFDM)最受瞩目,利用这种技术人们可以实现例如无线区域环路(WLL)、数字音讯广播(DAB)等方面的无线通信增殖服务;不过考虑到与3G通信的过渡性,第四代移动通信系统不会在未来仅仅只采用OFDM一种技术,CDMA技术会在第四代移动通信系统中,与OFDM技术相互配合以便发挥出更大的作用,甚至未来的第四代移动通信系统也会有新的整合技术如OFDM/CDMA产生,前文所提到的数字音讯广播,其实它真正运用的技术是OFDM/FDMA的整合技术,同样是利用两种技术的结合。 因此未来以OFDM为核心技术的第四代移动通信系统,也会结合两项技术的优点,一部分会是以CDMA的延伸技术。 7、高质量通信 尽管第三代移动通信系统也能实现各种多媒体通信,为此未来的第四代移动
中国移动通信集团北京有限公司 部门职责 2006年12月
目录 综合部 (3) 发展战略部 (5) 计划建设部 (9) 财务部 (12) 人力资源部 (18) 市场经营部 (22) 客户服务部 (28) 集团客户部 (35) 网络部 (42) 物资供应部 (49) 审计部 (51) 党群工作部 (54) 纪检监察部 (56) 奥运项目管理部 (59) 客户服务中心 (63) 数据业务中心 (71) 业务运营支撑中心 (81) 网络优化中心 (87) 网络运行支撑中心 (94) 工程建设中心 (100) 传输中心 (107) 培训中心 (115) 行政物流中心 (119) 分公司 (128) 工会 (132)
综合部 综合部是公司综合管理部门,负责协调并支持各职能部门和各生产中心的工作,负责为公司领导各项工作的开展提供服务和支持。部门职责如下: 1、根据公司总体战略目标,完成部门关键绩效指标及工作目标; 2、负责公司文秘工作,包括公司重要文件和综合管理制度等的起草、收发文管理、公司会议议定情况的监督执行等; 3、负责公司OA系统的应用管理; 4、负责公司公共关系管理工作,包括政府、媒体、合作伙伴、行业协会和社会团体等关系的沟通和维护; 5、负责公司企业宣传管理,包括公司企业形象宣传,公司新闻发布,信息披露,公司杂志、报纸、简讯的编制发行,公司网站日常管理,行业媒体宣传等工作; 6、负责公司承办、主办的有限公司会议和内部重要会议的会议管理; 7、负责公司来访和出访活动的管理,含公司人员出国(境)活动管理; 8、负责公司内部档案的收集、整理、归档和查阅等工作; 9、负责公司信访管理工作;
中国移动通信发展历程中国移动通信业的发展始于80年代。1987年11月,中国首个TACS制式模拟移动电话系统建成,并在广州投入商用,爱立信为供应商,在网用户150人。网络总投资为3730万元,其中引进设备900万美元。这就是我国的第一代移动电话。随着移动通信业的发展,引入竞争、促进发展也成为放在电信改革面前刻不容缓的问题。1993年12月,国务院下发(1993)178号文件,同意组建中国联通公司。从此,电信业进入了引进竞争、打破垄断的全新阶段。1994年7月19日中国第二家经营电信基本业务和增值业务的全国性国有大型电信企业---中国联合通信有限公司(简称中国联通)成立。 ◆1994年12月底广东首先开通了GSM数字移动电话网。 ◆1995年4月中国移动在全国15个省市也相继建网,GSM数字移动电话网正式开通。 ◆1995年7月中国联通GSM 130数字移动电话网在北京、天津、上海、广州建成开放。 ◆1996年移动电话实现全国漫游,并开始提供国际漫游服务。 ◆1997年10 月22日、23日广东移动通信和浙江移动通信资产分别注入中国电信(香港)有限公司(后更名为中国移动(香港)有限公司),分别在纽约和香港挂牌上市。 ◆1997年底北京、上海、西安、广州4个CDMA商用实验网先后建成开通,并实现了网间的漫游。 ◆1999年4月底根据国务院批复的《中国电信重组方案》,移动通信分营工作启动。 ◆1999年7月22日0时"全球通"移动电话号码升11位。 ◆2000年2月16日中国联通以运营商的身份与美国高通公司签署了CDMA知识产权框架协议,为中国联通CDMA的建设打清了道路。
1987年11月18日第一个TACS模拟蜂窝移动电话系统在广东省建成并投入商用。 1994年3月26日邮电部移动通信局成立。 1994年12月底广东首先开通了GSM数字移动电话网。 1995年4月中国移动在全国15个省市也相继建网,GSM数字移动电话网正式开通。 1996年移动电话实现全国漫游,并开始提供国际漫游服务。 1997年7月17日中国移动第1000万个移动电话客户在江苏诞生。 1997年10月22日、23日广东移动通信和浙江移动通信资产分别注入中国电信(香港)有限公司(后更名为中国移动(香港)有限公司),分别在纽约和香港挂牌上市。 1998年8月18日中国移动客户突破2000万。 1999年4月底根据国务院批复的《中国电信重组方案》,移动通信分营工作启动。 1999年7月22日0时"全球通"移动电话号码升11位。 2000年4月20日中国移动通信集团公司正式成立。它是在分离原中国电信移动通信网络和业务的基础上新组建的国有重要骨干企业,2000年5月16日,中国移动通信集团公司揭牌。 2001年7月9日中国移动通信GPRS(2.5G)系统投入试商用。 2001年11月26日中国移动通信集团公司的第一亿客户代表在北京产生,标志着中国移动通信已成为全球客户规模最大的移动通信运营商。 2001年12月31日中国移动通信关闭TACS模拟移动电话网,停止经营模拟移动电话业务。 2002年3月5日中国移动通信与韩国KTF公司在京正式签署了GSM-CDMA自动漫游双边协议。中国移动通信率先实现了GSM-CDMA两种制式之间的自动漫游。
2002年5月中国移动、中国联通实现短信互通互发。 2002年5月17日中国移动通信GPRS业务正式投入商用。 2002年10月1日中国移动通信彩信(MMS)业务正式商用。 2003年7月我国移动通信网络的规模和用户总量均居世界第一,手机产量约占全球的1/3,已成为名副其实的手机生产大国。 2003上半年,中国移动用户总数达2.34亿户,普及率为18.3部/百人。 1997年底北京、上海、西安、广州4个CDMA商用实验网先后建成开通,并实现了网间的漫游。用户发展达到55万户。 1998年8月一纸“军队不得参与经商”的禁令使“电信长城”运营者的身份变得格外敏感,CDMA在中国的前途因此备受关注。 1999年6月联通在香港举行的全球CDMA大会上宣布其CDMA发展计划,但因知识产权谈判等因素,该计划没有实施。 2000年2月16日中国联通以运营商的身份与美国高通公司签署了CDMA知识产权框架协议,为中国联通CDMA的建设打清了道路。但是,框架协议签署仅仅两周之后,联通CD MA项目便被政府暂停。 2000年10月中国联通副总裁王建宙宣布将重新启动CDMA网络建设,并且于该年年底正式开始了筹备工作。 2001年1月原部队所有133CDMA网在经过几个月的资产清算后,正式移交中国联通。 2001年2月27日联通公司成立了全资子公司——联通新时空移动通信有限公司,负责整个联通CDMA网络的建设和经营。联通CDMA网络建设的具体筹划工作正式展开。 2001年3月28日联通CDMA建设一期工程系统设备的采购开始发标。 2001年5月15日中国联通CDMA一期工程系统设备招标结果公布,10家中标厂商与中国联通所属联通新时空签订了总金额RMB121亿元的合同。CDMA网络建设全面启动。 2001年6月联通在2001年3G大会暨第六届CDMA年会上与世界13家著名运营企业签署CDMA网间漫游谅解备忘录,包括美国斯普林特、加拿大BellMobility、日本KDDI、澳