T/UNP 400-2024 短信业务信息安全评估系统技术规范

ICS 35.080
UNSPSC 43.23.29
CCS L 77
团体标准
T/UNP 400—2024
短信业务信息安全评估系统技术规范
Technical specification for the SMS business information security assessment system
2024 - 12 - 26 发布2024 - 12 - 26 实施
中国联合国采购促进会 发布

目次
前言................................................................................. III
引言.................................................................................. IV
1 范围................................................................................ 1
2 规范性引用文件...................................................................... 1
3 术语和定义.......................................................................... 1
4 总体架构............................................................................ 1
系统架构........................................................................ 1
应用层.......................................................................... 1
运维层.......................................................................... 1
支撑层.......................................................................... 2
网络层.......................................................................... 2
硬件层.......................................................................... 2
接口层.......................................................................... 2
安全层.......................................................................... 2
5 功能要求............................................................................ 2
信息收集........................................................................ 2
安全监控........................................................................ 2
审核管理........................................................................ 2
网络管理........................................................................ 3
统计分析........................................................................ 3
6 性能要求............................................................................ 3
准确性.......................................................................... 3
响应要求........................................................................ 3
存储性能........................................................................ 3
抗攻击能力...................................................................... 3
故障恢复时间.................................................................... 4
7 数据要求............................................................................ 4
数据采集........................................................................ 4
数据存储........................................................................ 4
数据处理........................................................................ 4
数据共享........................................................................ 4
数据清理........................................................................ 4
数据归档........................................................................ 4
8 安全要求............................................................................ 4
网络安全........................................................................ 4
系统安全........................................................................ 4
接口安全........................................................................ 5
T/UNP 400—2024
II
数据安全........................................................................ 5
9 接口要求............................................................................ 5
查询接口........................................................................ 5
推送接口........................................................................ 6
配置接口........................................................................ 6
10 运行与维护......................................................................... 6
运维人员....................................................................... 6
运行........................................................................... 6
维护........................................................................... 6
11 评价改进........................................................................... 7
T/UNP 400—2024
III
前言
本文件按照GB/T 1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定
起草。
本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本文件由武汉飞信云科技有限公司提出。
本文件由中国联合国采购促进会归口。
本文件起草单位：武汉飞信云科技有限公司、武汉幻云信息技术有限公司、宁夏云片信息技术有限
责任公司、湖北讯辉科技有限公司、北京天海众恒科技有限公司。
本文件主要起草人：田琦、彭德恩、杨柳、王宗、徐李。
T/UNP 400—2024
IV
引言
为助力中国企业参与国际贸易，推动企业高质量发展，中国联合国采购促进会依托联合国采购体系，
制定服务于国际贸易的系列标准，这些标准在国际贸易过程中发挥了越来越重要的作用，对促进贸易效
率提升，减少交易成本和不确定性，确保产品质量与安全，增强消费者信心具有重要意义。
联合国标准产品和服务分类代码（UNSPSC，United Nations Standard Products and Services Code）
是联合国制定的标准，用于高效、准确地对产品和服务进行分类。在全球国际化采购中发挥着至关重要
的作用，它为采购商和供应商提供了一个共同的语言和平台，促进了全球贸易的高效、有序发展。
围绕UNSPSC进行相关产品、技术和服务团体标准的制定，对助力企业融入国际采购，提升国际竞争
力具有十分重要的作用和意义。
本文件采用UNSPSC分类代码由6位组成，对应原分类中的大类、中类和小类并用小数点分割。
本文件UNSPSC代码为“43.23.29”，由3段组成。其中：第1段为大类，“43”表示“信息技术广播
和电信”，第2段为中类，“23”表示“软件”，第3段为小类，“29”表示“网络软件”。
T/UNP 400—2024
1
短信业务信息安全评估系统技术规范
1 范围
本文件规定了短信业务信息安全评估系统的总体架构、功能要求、性能要求、数据要求、安全要求、
接口要求、运行与维护、评价改进。
本文件适用于短信业务信息安全评估系统的开发与建设。
2 规范性引用文件
本文件没有规范性引用文件。
3 术语和定义
本文件没有需要界定的术语和定义。
4 总体架构
系统架构
系统架构见图1。
图1 短信业务信息安全评估系统架构
应用层
负责提供用户直接操作的界面，包括短信业务信息安全评估的信息收集、安全监控、审核管理、网
络管理、统计分析等功能，同时将用户的操作请求传递给下层，并把下层返回的处理结果以直观的方式
呈现给用户。
运维层
负责系统运行状态的维护与管理，包括系统的部署、更新、备份与恢复，监控系统的性能指标和资
源使用情况，及时发现并解决系统故障，同时对系统的使用情况进行记录和审计，确保系统的稳定、可
靠运行。
T/UNP 400—2024
2
支撑层
负责为短信业务信息安全评估提供数据和技术支撑，包括准确性、响应要求、存储性能、接口性能、
抗攻击能力、故障恢复时间，以及提供一些通用的技术组件和工具，如加密算法、数据清洗工具等，为
上层应用提供数据和技术基础。
网络层
负责系统内部以及与外部系统之间的网络通信，包括网络协议的实现、网络连接的建立和维护、网
络带宽的分配和管理等，确保短信业务数据能在不同的节点之间安全、高效地传输。
硬件层
负责提供系统运行所需的物理硬件设备，包括服务器、存储设备、网络设备等，确保这些硬件设备
能稳定运行，为上层软件提供足够的计算、存储和通信资源。
接口层
负责系统与外部系统之间的接口对接，包括查询接口、推送接口、配置接口等接口的定义、数据交
互和协议转换，确保系统能与外部系统进行有效的信息沟通和协作。
安全层
负责系统的整体安全防护，包括网络安全、系统安全、接口安全、数据安全等功能，防止系统受到
外部攻击、数据泄露、非法访问等安全威胁，确保短信业务信息的安全性和保密性。
5 功能要求
信息收集
5.1.1 应支持从短信网关、业务服务器、数据库等多源头收集数据，包括短信的发送方号码、接收方
号码、短信内容、发送时间、短信状态等基本信息，以及服务器日志、网络流量数据等系统运行数据，
确保信息全面性。
5.1.2 应具备实时收集新产生短信业务信息的能力。
5.1.3 应支持按需收集历史数据，用于分析趋势、对比变化以及回溯问题根源，满足不同场景下的评
估需求。
安全监控
5.2.1 应支持实时安全监控和检测异常行为。
5.2.2 应提供设置和修改业务名称、监控类型、监控对象、监控方式、告警方式、告警级别、告警规
则等功能。
5.2.3 应支持对安全监控系统自身的校准。
5.2.4 应对安全状况提供评价，且根据监测数据和预设指标评估安全风险水平。
审核管理
5.3.1 应支持审核用户短信内容、修改用户信息、数据。
5.3.2 应提供对审核人员、审核时间、审核状态、审核意见、审核附件、相关短信编号进行设置等功
能。
5.3.3 应支持批量审核，审核内容包括：
a) 审核人员；
b) 审核时间；
c) 审核状态；
d) 审核意见；
e) 审核附件；
f) 相关短信编号。
T/UNP 400—2024
3
5.3.4 应支持查询审核人员、审核时间、审核状态。
网络管理
5.4.1 应支持维护网络安全，保障网络系统在安全的环境下稳定运行，防止非法入侵、数据泄露等安
全问题的发生。
5.4.2 应支持对用户名、密码以及端口号进行修改的操作，且在修改过程中遵循安全协议。
5.4.3 应具备报警能力，当检测到网络异常、安全漏洞或潜在的安全威胁时，能及时、准确地发出报
警信息。
5.4.4 应能有效识别潜在的安全威胁，对网络环境进行实时监测，运用先进的技术手段和算法，及时
发现异常的网络行为和潜在的安全隐患。
5.4.5 应能定期开展漏洞扫描和安全评估工作，全面检查网络系统中可能存在的安全漏洞，并对整体
网络安全状况进行科学评估。
5.4.6 应能对用户在网络中的行为记录进行查询，通过完善的日志管理系统，详细记录用户的操作行
为，为安全审计、问题排查和追溯提供有力依据。
统计分析
5.5.1 应支持对用户信息数据以及短信业务信息数据进行分析，通过科学的数据分析方法和算法，深
度挖掘数据价值，为业务决策提供有力支持。
5.5.2 应支持设置统计时间、统计类型、统计维度、数据来源、统计结果以及操作等相关参数，满足
多样化的统计需求。
5.5.3 应支持对统计时间、统计类型、统计维度、数据来源和统计结果进行修改。
5.5.4 应支持维护和初始化，可对统计分析系统进行日常维护，保障系统正常运行。
5.5.5 应支持查询统计时间、统计类型、统计维度。
5.5.6 应能整合来自不同短信平台、不同网络运营商以及不同业务系统的短信业务数据，进行统一的
分析处理，确保数据来源的广泛性和全面性。
5.5.7 应提供柱状图、折线图、饼图、散点图、热力图、流程图、拓扑图等多种可视化图表类型，以
满足不同数据展示和分析需求，每种图表类型应至少适用于3 种不同的短信业务安全分析场景。
6 性能要求
准确性
6.1.1 系统对短信业务信息安全风险的评估结果准确率应≥95%。
6.1.2 对于短信数据的解析准确率应≥98%。
响应要求
系统响应应符合以下要求：
a) 系统保持稳定的响应时间，高并发下响应时间≤5 s；
b) 两个平台接入单元之间的通信协议传输，时延＜500 ms。
存储性能
系统存储应符合以下要求：
a) 数据库支持不低于25 个并发用户访问，且连接池≥200 个；
b) 数据库备份处理时间应不超过30 min。
抗攻击能力
系统应能抵御常见的网络攻击，如分布式拒绝服务攻击、注入攻击等，在遭受攻击时，能保持系统
的正常运行，确保评估结果的准确性和可靠性，攻击检测成功率不应低于90%，拦截成功率不应低于80%。
T/UNP 400—2024
4
故障恢复时间
当系统出现硬件故障、软件错误或网络中断等异常情况时，应能在5 min内自动完成故障切换或恢
复正常运行。
7 数据要求
数据采集
7.1.1 支持从多种渠道采集数据，包括但不限于网页表单、移动应用端、第三方数据接口、传感器等。
7.1.2 在采集数据前应获得用户或数据提供方的明确授权。对于涉及个人隐私的数据，应确保在合法
合规的前提下进行采集，并对数据进行保密处理。
7.1.3 考虑到业务的发展和数据来源的变化，数据采集应具备良好的可扩展性，可添加新的数据采集
源或修改现有采集规则，无需对整个系统进行大规模的重构。
数据存储
7.2.1 应根据数据的重要性和存储需求，选择合适的存储介质，如硬盘、磁带、光盘等。
7.2.2 存储介质应定期进行检测和维护，增强其性能和可靠性。
7.2.3 建立健全的数据库管理机制，对短信业务数据的存储、查询、更新等操作进行管理和控制。
7.2.4 应对存储的数据进行定期的备份和优化，提高数据库的性能和可用性。
数据处理
7.3.1 建立数据质量监控机制，对短信业务数据的质量进行监控和评估。
7.3.2 定期对数据进行检查和验证，发现数据质量问题及时进行处理。
7.3.3 制定明确的数据分类标准，根据短信业务数据的性质、用途、敏感程度等因素，将数据分为不
同的类别。
7.3.4 采用统一的数据标识方法，对系统中的每一条数据进行标识，易于数据的管理和查询。
7.3.5 数据标识应具有唯一性和可识别性，能准确地反映数据的来源、类型、创建时间等信息。
7.3.6 在数据的存储、传输和处理过程中，应始终保持数据及标识的完整性和准确性。
数据共享
7.4.1 数据共享和交换应使用安全的通信方式和数据格式，防止数据泄露和篡改。
7.4.2 对于与外部系统进行数据共享和交换的情况，应建立数据共享和交换机制。
数据清理
应定期对系统中的数据进行清理，删除不再使用的数据。
数据归档
对于长期保存的数据，应进行归档处理，将其存储在专门的归档设备中。
8 安全要求
网络安全
网络安全符合下列要求：
a) 应在业务平台的网络层面部署防火墙，针对业务必要的端口进行安全策略的精细化配置，仅
可与业务相关的端口开放；
b) 业务系统所涉及的路由器、交换机等应关闭不使用的端口；
c) 业务系统所涉及的硬件设备的管理员账号信息应采用账号分级管理制度以及强密码策略。
系统安全
系统安全符合下列要求：
T/UNP 400—2024
5
a) 应及时更新存在问题的系统组件，关闭与业务无关的端口保证系统、组件的安全；
b) 应在各产品组件上线前，进行安全扫描检测和修复，进行内部代码安全审计；
c) 操作系统、应用软件等均应采取强密码策略，并且采用分级账号管理方式。
接口安全
8.3.1 身份认证机制符合以下要求：
a) 所有接口的访问应经过身份认证。可采用多种认证方式相结合，如应用程序编程接口（API，
Application Programming Interface）、数字证书认证等；
b) 应为每个接入的第三方系统或用户分配唯一的身份标识和认证凭据，在接口调用时进行认证。
认证过程应在安全的通信通道，如超文本传输安全协议（HTTPS，Hypertext Transfer Protocol
Secure）中进行，防止认证信息泄露。
8.3.2 授权管理符合以下要求：
a) 应根据不同的用户角色和第三方系统的权限级别，对接口的访问权限进行精细划分。如普通
用户仅能访问有限的查询接口，管理员用户可使用所有的接口功能；
b) 接口应在每次调用时检查请求方的权限，对于越权访问的情况，拒绝请求并记录相关的安全
事件。
数据安全
8.4.1 数据收集安全符合以下要求：
a) 应明确短信业务信息收集应遵循合法、正当、必要的原则，获得用户明确授权；
b) 收集的信息应限定在实现短信业务功能及安全评估所必需的最小范围内，避免过度收集用户
数据，如仅收集必要的手机号码、短信内容等用于评估，不应收集与评估无关的用户隐私信
息，如用户的位置信息、通讯录等。
8.4.2 数据传输安全符合以下要求：
a) 接口在数据传输过程中应采用加密技术，保证数据的保密性和完整性；
b) 对于敏感的短信业务信息和评估结果数据，应使用高强度的加密算法，如传输层安全协议（TLS，
Transport Layer Security）进行加密处理；
c) 应在接收端对接收到的数据进行解密和验证，防止数据在传输过程中被篡改；
d) 应对传输的数据量进行合理限制，防止因大量数据传输导致的网络拥塞和安全风险。
8.4.3 数据储存安全符合以下要求：
a) 数据存储应采用加密存储方式，对短信业务信息及评估结果等重要数据进行加密处理，防止
数据在存储过程中被非法获取或篡改；
b) 应实施访问控制策略，限制对数据存储系统的访问权限，只有经过授权的人员才能在其授权
范围内访问和操作数据，同时记录访问日志；
c) 应建立数据备份机制，定期对短信业务信息等重要数据进行备份，并确保备份数据的完整性
和可用性。
9 接口要求
查询接口
数据查询接口符合以下要求：
a) 应提供数据查询功能，支持按多种条件对短信业务信息进行检索，包括：
1) 根据短信发送时间范围；
2) 接收方号码；
3) 短信内容关键词。
b) 查询结果应准确、完整地返回符合条件的短信业务数据，数据格式应统一且易于解析，如采
用标准化的表格形式。
T/UNP 400—2024
6
推送接口
数据推送接口符合以下要求：
a) 应支持将短信业务信息安全评估结果以实时或定时的方式推送给相关系统或用户；
b) 推送的数据内容应涵盖评估的关键指标、风险等级、发现的问题等重要信息；
c) 推送接口应具备可靠的消息传递机制，保证消息在传输过程中不丢失、不重复，且对推送失
败的情况有相应的处理机制和错误提示。
配置接口
系统配置接口符合以下要求：
a) 应支持第三方系统或管理员对短信业务信息安全评估系统的部分配置参数进行读取和修改；
b) 可配置的参数应包括：
1) 评估规则阈值；
2) 数据同步频率；
3) 接口访问权限。
c) 接口应对参数的合法性进行验证，对于非法输入给出明确的错误提示，同时记录所有的配置
变更操作。
10 运行与维护
运维人员
运行人员符合以下要求：
a) 应具备专业的知识和技能，包括信息安全专业知识、短信业务知识、数据分析能力等；
b) 应按日常规章制度进行操作维护、记录运行维护日志；
c) 人员的资质应经过审核，且具有相关证书或从业经验；
d) 应对评估人员进行定期培训，培训内容涵盖新的信息安全威胁、评估技术更新、短信业务发
展趋势等，且培训效果应进行考核。
运行
系统运行符合以下要求：
a) 应监控日常业务情况，关注短信业务的内容更新频率，以及新业务功能推出后短信业务量和
类型的变化；
b) 应监控网络监控系统运行的环境；
c) 应利用系统提供的工具进行日志跟踪记录、数据记录；
d) 分析短信业务高峰时段对其他业务的影响，并制定相应的缓解策略；
e) 定期请专业人员进行巡检审计；
f) 要监测硬件设备的能源消耗情况，制定节能策略。
维护
系统维护符合以下要求：
a) 对操作系统、应用服务器、数据库等进行定期检查和优化，检查内容包括：
1) 软件运行状态；
2) 资源占用情况；
3) 错误日志等；
4) 检查结果。
b) 对硬件设备，要定期进行健康检查，包括：
1) 磁盘的坏道检测；
2) 内存的稳定性测试。
c) 建立用户反馈渠道，及时收集用户在使用过程中发现的问题和建议。对用户反馈进行分类整
理，将有价值的反馈纳入系统更新和维护计划中，持续改进系统的性能和用户体验；
T/UNP 400—2024
7
d) 对软件的更新历史进行详细记录和分析，评估每次更新对系统性能和安全的影响；
e) 更新过程中应确保系统的正常运行，不应更新操作导致服务中断；
f) 应自动进行兼容性检测，新版本的软件或补丁应与现有系统兼容；
g) 更新完成后，应自动进行全面的功能测试。
11 评价改进
依据第5章～第10章规定的要求，定期开展系统的功能、性能、数据、安全、接口和运维方面的评
价，审查不合格项，并有针对性地采取纠偏措施并持续改进。