中国移动CM-IMS企业用户接入设备开通网关设备规(19)

接入开通网关技术要求

5.5.3. 安全要求

接入开通网关需保证敏感信息在存储、传输等方面的安全。账号、双密码等用户数据加密保存可选。要求数据不能被读取，仅能在接入开通网关自身的安全环境中做数据处理。 接入开通网关需保证与业务支撑系统之间链接的安全性，能够屏蔽来自CMNET网络的攻击，实现MDCN与CMNET的安全隔离。

要求使用HTTPS链路加密，接入开通网关与接入设备相连接时，需配置证书（配置IP地址），满足证书要求。用户号码、密码从业务支撑系统开通到接入开通网关，进而开通到接入设备，接入开通网关支持通过HTTPS链路接收业务支撑系统下发的双密码。

安全措施要求包括部署防火墙、身份认证等。只允许必要的访问发生，任何其他的访问均被禁止。

防火墙的配备和使用应符合以下原则性要求：

按照“统一规划、集中保护”的原则进行部署。

防火墙不能成为网络瓶颈，不能造成单点故障。

必须在整体安全策略的指导下正确配置防火墙的访问控制策略。

在集团公司防火墙测试结果较好的范围之内进行选择。

有集中的控制端，可以实现集中安全监控。

接入设备通过临时密码和永久密码的双密码机制防止被仿冒。接入设备通过HTTPs证书认证接入开通网关；接入开通网关通过账户、密码认证接入设备。

禁止接入设备主动从接入开通网关获取数据，仅能从业务支撑系统、接入开通网关下发数据。

5.6. SOAP（与业务支撑系统北向接口协议）

CM-IMS接入开通网关与业务支撑系统之间的消息(包括请求和应答)是以SOAP格式表达的，遵循SOAP 1.1规范。所有请求消息和响应消息格式在WSDL文件中定义，WSDL文件遵循W3C WSDL1.1协议规范。

具体要求参见《中国移动CM-IMS业务开通接口规范-接入开通网关分册》。