TETRA數字集群網安全保障體系分析

徐海琛

（北京市政務網絡管理中心，北京 100053）

0 引言

TETRA是歐洲電信標準協會ETSI制定的數字集群移動通信標準，基于TDMA技術，具有組網靈活、頻譜利用率高、話音質量好、安全保密性強、適于高速移動等特點；呼叫采用“一按即通”方式接續，信道建立時間小于300 ms，且“一呼百應”；終端可工作于集群通信與脫網直通兩種模式；調度業務豐富，能夠提供動態重組、強插強拆、用戶追蹤等調度功能；支持短信息、GPS定位等數據業務；支持虛擬專網劃分。由于TETRA標準公開、接口開放、技術成熟，得到了許多國家和地區用戶及制造商支持，成為數字集群專用移動通信主流技術。

TETRA數字集群網在歐盟國家主要應用于公共安全系統，在國內主要服務于城市管理、安全保衛、應急指揮等部門，承擔著重要的指揮調度通信保障任務。作為無線移動通信網絡之一，集群通信網同樣面臨自然災害、人為破壞、系統故障、通信阻塞、頻率干擾、非法訪問、行為分析等安全威脅。

現從用戶的可控性、通信的保密性、服務的可用性三個方面，對TETRA數字集群網安全保障體系進行分析探討。

1 用戶的可控性

為了確保網絡為合法用戶提供安全可靠服務，必須對入網用戶嚴格管控。TETRA網絡支持通過鑒權、隱藏用戶識別碼、允許與禁用等機制實現用戶的可控性。

1.1 鑒權

鑒權是指當用戶請求接入網絡時，用戶和網絡對彼此身份和權利的識別與認證。鑒權基于對稱密鑰加密算法，以“詢問-應答”方式，通過一系列加密計算與結果比對，向對方證明自己持有正確的鑒權密鑰達到鑒權目的，可以實現用戶與網絡基礎設施間單向或雙向認證，防止非法用戶接入系統和合法用戶接入假冒網絡[1]，有效抵御非授權訪問、拒絕服務、重放攻擊等安全威脅。

1.1.1 鑒權密鑰管理

鑒權主要涉及三個關鍵數據：

（1）設備序列號TEI

每部終端設備在出廠前，均由制造商分配一個全球唯一的設備序列號TEI，作為該終端的設備識別碼。

（2）用戶識別碼ITSI

終端設備申請入網時，由入網管理機構根據其 TEI號分配一個全網唯一的用戶識別碼ITSI，形成TEI-ITSI配對，存儲在終端設備與網絡基礎設施的鑒權中心數據庫中。

（3）鑒權密鑰K

終端設備要啟用鑒權，必須首先由密鑰管理機構根據其TEI號生成一個全球唯一的鑒權密鑰K，形成（TEI-K）配對，存儲在終端設備與鑒權中心數據庫中。

經過上述過程，每一部終端設備與鑒權中心均同時存儲了TEI-ITSI和TEI-K配對，建立了ITSI與K的唯一關聯。

1.1.2 鑒權算法

TETRA網絡提供四種鑒權算法：基礎設施對終端單向/雙向鑒權、終端對基礎設施單向/雙向鑒權，具體請參考ETSI標準[2]。

鑒權的安全性除了取決于算法強度與密鑰長度外，如何保護鑒權密鑰尤為關鍵。當終端申請接入時，首先用明文將ITSI及有關信令發送給網絡；網絡根據其ITSI號，從鑒權中心數據庫中查出與之唯一對應的鑒權密鑰K。作為核心密鑰，K既不允許通過空中接口傳送，也不能直接用于生成鑒權響應，而是首先結合隨機數生成本次鑒權的會話密鑰 KS；然后再由KS作為加密密鑰以“詢問-應答”方式實施鑒權。

由于每次鑒權的KS均不相同，有效抵御了算法分析，保護了核心密鑰K。如果鑒權失敗，用戶終端會被禁止使用，可以是臨時的，也可以是永久的。

1.2 隱藏用戶識別碼

用戶識別碼ITSI是入網管理機構分配的、在網內唯一識別該用戶終端的身份碼，同時保存在終端設備和歸屬用戶寄存器中。用戶在入網、鑒權、切換、呼叫或發送短信時，都需要將ITSI以明文方式傳送給網絡，容易遭受用戶跟蹤、行為分析等威脅。

為了保護用戶的身份安全，TETRA網絡支持臨時身份識別碼ATSI。當用戶以ITSI申請入網并通過鑒權后，網絡會根據其ITSI號生成一個全網唯一的ATSI分配給用戶，形成ITSI-ATSI對，同時保存在終端設備和當前服務該用戶的訪問用戶寄存器中。此后，用戶與網絡之間的信令交換使用ATSI替代ITSI在空中接口中明文傳輸。

ATSI由網絡負責隨機分配和維護，無法從ITSI直接推出，且在規定時限內有效；ITSI-ATSI對也僅在網絡與終端設備之間共享，用戶只是透明使用。因此，網絡可在不通知其他用戶情況下，頻繁改變與ITSI對應的ATSI值，有效保護了用戶真實身份。

1.3 允許與禁用

為了避免終端丟失后被非法使用，TETRA網絡支持通過空中接口下達指令方式對特定終端執行“允許與禁用”操作。

（1）臨時禁用與恢復

調度員可通過空中接口遠程下發指令，將丟失終端臨時禁用（遙斃）。在遙斃狀態下，終端可以正常注冊與切換，但不能發起和接收呼叫；調度員可隨時追蹤被遙斃終端，也可以再次下達指令解除遙斃，令終端重新恢復使用。

（2）長期禁用與啟用

如果將丟失終端的ITSI號從HLR中刪除，或者一并刪除其鑒權密鑰K，則該終端被徹底禁止入網使用，無法注冊、鑒權、發起和接收呼叫。

2 通信的保密性

由于TETRA空中接口標準是公開的，加之無線信道的開放性，如果語音、數據、信令在無線信道中明文傳送，容易被協議分析儀器監聽，存在泄密風險。TETRA網絡支持通過空中接口加密、端到端加密、虛擬專網等機制實現通信的保密性。

2.1 空中接口加密

空中接口加密是指對基站和終端之間的無線信道加密，任何通過空中接口傳送的語音、數據與信令都被加密保護，并附有時間戳和校驗字段，有效抵御非法竊聽、通信分析、重放攻擊、信息篡改等安全威脅。

2.1.1 空中接口加密密鑰管理

空中接口加密主要涉及四個密鑰：

（1）導出密鑰DCK

由鑒權過程產生，基礎設施與終端同時掌握，用在空中接口加密保護組呼的上行鏈路和個呼的雙向鏈路。

（2）公共密鑰CCK

由基礎設施生成，每一個位置區對應一個CCK，與組密鑰GCK配合使用生成MGCK，加密保護組呼的下行鏈路。當終端注冊到某一位置區時就會請求CCK；基礎設施將CCK以DCK為加密密鑰經由算法TA31生成SCCK傳送給終端，終端解密出CCK使用。

（3）組密鑰GCK

由基礎設施生成，與通話組一一對應。GCK并不直接用于空中接口加密，而是在每一個位置區經由CCK和算法TA71調整生成MGCK。當終端請求GCK時，基礎設施將GCK以DCK為保護密鑰經由算法TA81生成SGCK傳給終端，終端解密出GCK使用。

（4）靜態密鑰SCK

用于在未啟用鑒權情況下加密個呼和組呼信令，可工作于集群通信和脫網直通模式。SCK集共有32個密鑰，均以靜態方式存儲于基礎設施和終端中，需要事先協商具體使用哪一個密鑰。

2.1.2 空中接口加密算法

空中接口加密基于對稱加密算法的流密碼機制：發送方的明文比特流與密鑰序列發生器產生的密碼序列比特流異或，生成密文比特流；只有持有相同加密密鑰ECK的合法授權接收方，通過密鑰序列發生器生成同樣的密碼序列比特流，才能與接收到的密文比特流異或解密，如圖1所示。

圖1 空中接口加密算法

空中接口加密并不直接使用DCK、MGCK或SCK，而是加入位置區標識、載波號、色碼等參數，經由算法TB5調整生成加密密鑰ECK后用于密鑰發生器。初始向量IV用于在基站與終端之間建立同步，確保加密序列與解密序列的一致性，并增加了密鑰序列的隨機性。

ETSI為密鑰發生器提供四種加密算法TEA1～TEA4：TEA1和TEA4供普通用戶及制造商使用，是可以出口的算法；TEA2和 TEA3僅限于歐洲國家的安全部門，安全強度較高，嚴格限制出口。

空中接口加密有效保護了無線信道上的控制信令和用戶業務（語音、數據），而用戶業務在網絡基礎設施內部仍以明文方式傳輸。如果用戶對通信安全有更高要求，就應考慮端到端加密。

2.2 端到端加密

端到端加密是指對用戶終端之間傳輸鏈路的全程加密，確保用戶業務在網絡基礎設施內部及空中接口上均得到加密保護。

端到端加密不屬于ETSI標準，ETSI對端到端安全機制僅規定了一個框架，沒有完整系統描述。端到端加密時，TETRA網絡既不參與密鑰的生成與管理，也不提供加密算法，僅提供透明傳輸鏈路。啟用了端到端加密的用戶，可以繼續使用網絡提供的空中接口加密服務，進一步增強通信的保密性。

2.2.1 端到端加密密鑰管理

端到端加密主要涉及四個密鑰：

（1）密鑰加密密鑰KEK

用于保護組密鑰、信令密鑰和業務密鑰，由密鑰管理中心分配，并通過專用密鑰填充設備以帶外方式加載到終端設備中。每個終端只持有一個 KEK，且各不相同；其余三個密鑰經KEK加密封裝后，均可以SDS-4短消息形式通過空中密鑰分發協議OTAK下載或更新[3]。

（2）組密鑰GEK

用于保護業務密鑰。每個終端持有一個GEK，每個通話組共享一個GEK，由KEK加密封裝后通過空中密鑰分發下載或更新。

（3）信令密鑰SEK

用于保護空中密鑰分發協議所使用的 SDS-4短消息。每個終端持有一個SEK，每個通話組共享一個SEK。初始SEK可與KEK一起通過帶外方式直接加載到終端，也可以通過空中密鑰分發下載或更新。

（4）業務密鑰TEK

用于保護端到端用戶業務，由一組需要加密通信用戶共享，以GEK或KEK為加密密鑰經由算法E2加密封裝后，通過空中密鑰分發下載到終端。

2.2.2 端到端加密算法

TETRA MoU SFPG工作組提出了一系列端到端加密技術建議，將加密函數描述為“黑盒子”，即語音加密算法 E1、業務密鑰加密算法E2、同步幀完整性校驗算法E3、OTAK密鑰管理消息加密算法 E4、短數據服務加密算法 E5、短數據服務校驗算法E6，既沒有規定密鑰長度，也沒有制定具體加密算法，完全交由用戶自行定義開發。

2.3 虛擬專網

模擬集群網通常是獨立建設的“專網”，一個專網僅為某一類用戶群體服務，專網之間相互獨立、互不連通。數字集群技術為“共網”應用提供可能，即通過網絡傳輸交換與用戶調度管理，可將一個物理網絡劃分為多個“虛擬專網”，分別為不同用戶群體服務，并實現虛擬專網之間安全隔離與可控互通。

（1）獨立管理與通信隔離

針對不同用戶群體，通過組織塊劃分、通話組與用戶號碼規劃、管理員權限設置，并配備專用調度臺，即可建立該用戶群體的虛擬專網[4]，實現獨立的用戶管理與指揮調度，滿足個性化安全需求。

（2）統一調度與互連互通

常態下，各虛擬專網之間相互獨立、互不連通；突發事件時，一旦有統一指揮與協同配合需求，可啟動特殊管理流程與調度措施，實現不同虛擬專網用戶之間的可控互通與統一調度。

（3）網管與調度相互分離

虛擬專網劃分了網絡管理與調度管理界面，即運營商通過網管系統，實現對物理網絡的實時監控與網絡管理；調度員通過調度臺，實現對所轄用戶的指揮調度與用戶管理，有利于界定安全責任，也有利于保護用戶的應用安全。

3 服務的可用性

服務可用性是指網絡除了在常態下提供 7×24小時通信服務外，在遭遇自然災害、設備故障、人為破壞、頻率干擾、嚴重擁堵等異常情況時，應具備一定的冗余備份與災難恢復能力，確保服務的連續性與可用性。

鑒于 TETRA網絡所服務用戶群體的特殊性、所承擔保障任務的重要性，及特有的指揮調度功能，越是在遭遇自然災害、處置突發公共事件或保障重大活動時，用戶使用越頻繁，對網絡的依賴也越大，往往出現局部區域用戶大量聚集與突發大話務量等情況。此時，如何保障網絡服務的可用性極其關鍵，取決于物理環境、系統構架、頻率保護、擁堵控制等綜合安全因素。

3.1 物理環境安全

物理環境安全是指通過創建安全可靠的網絡運行環境，保障網絡基礎設施安全穩定運行，免受自然災害、外界環境、人為破壞、電磁干擾等威脅。

3.1.1 站址位置選擇

正確選擇交換中心與基站站址是保障物理環境安全的前提，一定程度上決定了所面臨安全威脅大小。

（1）交換中心選址

除了綜合考慮地質/水文/氣象條件、電磁環境、市政設施等因素外，對于規模較大的網絡應考慮建設同城異地或跨省異地多個交換中心，將交換機組分散放置，并實現交換機主備配置及傳輸鏈路多路由冗余連接，提高容災備份能力。

（2）基站選址

在滿足小區規劃、信號覆蓋、話務量分布等設計前提下，注意：①滿足結構、消防、防雷、防盜安全；②周邊環境宜相對安靜，避免有較大震動或強噪音，遠離危險源及有害物質；③周邊電磁環境應相對較好，不宜在大型雷達站、衛星地球站等附近設站，避免相互干擾。

3.1.2 邊界訪問控制

邊界訪問控制是保護物理環境安全的重要關口。通過加強交換中心與基站機房等重點區域安防措施，對內部授權人員及外部臨時人員出入嚴格管理、全程監控，防止盜竊或惡意破壞。

交換中心應24小時有人值守，設置門禁、周界防護、視頻監控等安防系統，嚴格管理和登記人員出入；基站機房一般無人值守，應加裝防盜門、開門報警、視頻監控等安防系統，并與站址業主及當地公安機關建立聯動報警機制，如遇異常快速響應。

3.1.3 環境保障與監控系統

環境保障與監控系統是保障物理環境安全的重要手段。交換中心與基站機房應建立完備的環境保障與監控系統，實現對于供電、空調、消防、漏水、門禁等的實時監控與異常報警，加強對無人值守機房的遠程監控、維護巡檢與報警管理。

3.2 系統構架安全

系統構架安全是指從網絡系統結構與體系架構的高度，充分考慮網絡的容災備份與故障恢復能力。TETRA網絡主要由交換機系統、基站系統、增值應用系統、網關接口及傳輸網絡等構成，如圖2所示。

3.2.1 交換機系統架構安全

交換機系統是網絡的核心基礎設施，應重點考慮冗余備份問題。

圖2 TETRA網絡系統架構

（1）主機設備冗余備份

TETRA網絡支持主備交換機冗余，即按照主用與備份交換機1：1或N：1比例，配置專用備份交換機。正常情況下，備份機與主用機連接，具備接入主用機負載能力，但不激活負載連接，也不進行話務交換。主用機的關鍵數據，如軟件包、配置文件等，定期復制到備份機中保持同步。一旦主用機退服，立即激活備份機的配置數據，并將主用機負載全部切換到備份機上，則備份機全面接管主用機身份與功能，恢復通信服務。

（2）配置文件冗余備份

TETRA網絡支持主備歸屬用戶寄存器HLR冗余，即對應歸屬交換機的主用HLR，可在另一臺交換機上配置備份HLR。歸屬交換機將靜態的用戶管理數據定期復制到備份 HLR；而動態的移動性管理數據則隨時通過交換機間信令鏈路自動復制，實現主備同步。一旦歸屬交換機退服，立刻激活備用HLR，同時修改其他交換機的號碼分析指向備用HLR，則備用HLR接替主用HLR，用戶管理與移動性管理恢復正常。

（3）傳輸鏈路冗余備份

TETRA網絡支持交換機間傳輸鏈路網狀連接與備份路由功能。一旦某兩個交換機間傳輸鏈路中斷，網絡會根據交換機路由表設置，自動將跨接這兩個交換機的呼叫通過其它交換機間路由迂回建立，保持通信服務的連續性。鑒于傳輸鏈路的可靠性往往低于交換機，網狀連接與備份路由機制可顯著提高核心交換網絡的整體可靠性。

3.2.2 基站系統架構安全

基站系統作為 TETRA網絡的無線基礎設施，在設備故障、傳輸中斷、接入交換機退服時，也應具備冗余備份能力。

（1）雙站覆蓋

TETRA網絡支持基站1+1冗余備份，即在單站站址上設置雙基站，可成倍提高服務的可用性，但也成倍增加運營成本，僅在核心區域考慮使用。通常作法是加大網內重點或熱點區域基站分布密度，利用相鄰基站重疊覆蓋提高該區域保障能力。同時，每一個基站都應有兩條以上、獨立路由的鏈路接入交換機，并在傳輸層實現SDH環保護，提高基站系統的整體可靠性。

（2）交織連接

TETRA網絡支持基站“交織連接”，即將重疊覆蓋的相鄰基站分別接入不同交換機，實現網絡在無線接入層面的互為熱備。交織連接不需要額外投資，災難時也無需人工干預，當某一交換機出現故障，周邊相鄰基站仍正常工作，使網絡覆蓋缺損減低到最小。“重疊覆蓋+交織連接”組網方式，可有效提高服務可用性，缺點是會導致跨基站的呼叫量和漫游登記大大增加，加重交換機間信令與話務量負荷。

（3）傘狀覆蓋

TETRA網絡支持在網內架設一個或多個高站，形成大區域“傘狀覆蓋”，并相應提高其設備配置、供電及傳輸鏈路的安全等級。常態情況下，高站不啟用或僅服務某類特殊用戶，避免吸引大量用戶引發通信擁堵。一旦網絡出現大面積通信中斷，則緊急啟用高站，并采取必要管控措施，確保重要用戶及關鍵勤務通信暢通。

3.2.3 增值應用系統架構安全

TETRA網絡支持增值應用服務，如短信息、GPS定位等。增值應用系統通常基于IP網絡構建，容易遭受IP網絡常見安全威脅，如病毒、木馬、黑客等。出于網絡整體安全考慮，避免“木桶效應”，應根據 TETRA網絡的安全保障要求，對增值應用系統實施相應安全等級保護，并采取如下措施：

① 將增值應用系統建成為一個私有地址、星型連接、物理層或傳輸層隔離的專用網絡，即以應用服務器為中心節點，以專線方式接入用戶客戶端，并與國際互聯網等其他任何網絡安全隔離，屏蔽外來威脅；

② 在應用服務器區，配置用戶認證、入侵檢測、病毒網關等安全設備，抵御內部攻擊；在用戶接入節點，利用防火墻、交換機等實施網段隔離，將來自用戶端的安全威脅限制在局部區域內，防止威脅擴散。

3.3 頻率保護安全

TETRA網絡同樣對無線電頻譜依賴性很大，一旦發生頻率干擾，尤其是上行干擾，會直接導致基站接收信噪比惡化，承載能力降低，通信質量明顯下降。

由于運營商不具備查處干擾源的執法權，在遭遇干擾時比較被動，除了申告無線電管理部門外，僅能采取有限規避措施：

① 對于上行干擾，基站能夠主動發現并報警，可以嘗試調整基站的工作頻點，避開干擾頻段，或者暫時關閉基站，讓用戶切換到鄰近正常基站下使用；

② 對于下行干擾，基站無法自主發現，只能等用戶投訴后由運維人員綜合判斷或現場測試確定，解決辦法也只能是讓用戶暫時離開干擾區域。

3.4 擁堵控制安全

TETRA網絡作為日常城市管理、重大活動保障及突發事件處置指揮調度平臺，話務量分布有一個顯著特點：常態情況下，全網話務量較低，分布平穩且有典型時間統計規律；突發事件時，事件區域往往會激增大話務量，遠超過該區域設計承載能力。

網絡在規劃設計時，雖然考慮到應對非常態情況，但是將全網承載能力指標定得很高是不現實、也不經濟的，而突發事件的隨機性與用戶行為的不可預知性等因素，會不可避免導致網絡出現局部嚴重擁堵。此時，應采取有效措施實施擁堵控制：

（1）基站載波緊急擴容

TETRA網絡單基站滿配置為8載波，相比4載波配置，信道數量增加1倍，話務量承載能力增加1.5倍（2%呼損）。在擁堵基站尚未滿配且有擴容空間條件下，實施載波擴容，能迅速緩解擁堵。同時，可緊急調派移動基站車趕赴現場，幫助分擔用戶和話務量。

（2）調整基站覆蓋范圍

如果擁堵基站周邊有負荷較輕的鄰站，可通過縮小擁堵基站有效覆蓋范圍，將部分用戶移交到鄰站下使用，減輕擁堵基站負荷。宜采用提高擁堵基站接入電平閾值方法，達到縮小覆蓋范圍效果，避免直接降低發射功率引起終端接收信噪比下降；同時，適度提高鄰站發射功率，擴大覆蓋范圍，幫助吸引用戶和話務量。

（3）限制數據業務應用

目前TETRA網絡的數據業務應用，需要主控信道傳輸。頻繁發送的業務數據會與用戶呼叫請求競爭主控信道資源，導致呼叫信令得不到及時處理產生排隊。因此，對于 TETRA網絡上開展的數據業務應用，必須嚴格遵循“話音優先”原則，確保各種應用對信令信道帶寬占用總和不超過主控信道最大負荷的 70%[5]。一旦發現因數據業務應用導致主控信道繁忙，應能夠通過空中接口遠程調整用戶端應用參數，降低發送頻率或關閉應用，緩解主控信道壓力。

4 國內現狀、存在問題及建議

對于TETRA數字集群網技術，中國沒有自主知識產權，也尚不具備商業化生產網絡系統設備的產業能力。目前，國內部署的TRTRA網絡全部依賴進口，在鑒權、空中接口加密、端到端加密應用上存在一定安全風險：一方面，國外廠商對核心算法保密，僅提供“黑匣子”供用戶使用；另一方面，中國對于進口密碼產品有嚴格管理規定，無論其安全強度如何都不允許直接使用。國內TETRA網絡普遍啟用了基站對終端單向鑒權，因為鑒權的主要目的是識別合法與非法用戶，并不涉及通信業務的具體內容，中國密碼管理部門沒有強制要求使用自主研發的鑒權算法；對于空中接口和端到端加密，除了軍隊，采用加密手段的基本沒有[6]。

筆者認為，只要加強安全管理，在國內應用 TETRA數字集群網還是安全的：①相比其他移動通信網絡，數字集群網的核心競爭力在于快速、靈活、豐富的“語音調度”功能，而非強調網絡帶寬與數據傳輸能力。TETRA網絡雖然廣泛應用于涉密部門，但業務應用也僅限于語音調度或短數據，并不用于傳送涉密文件；②指揮調度的最大特點是調度指令的“時效性”，雖然空中接口開放，存在被監聽風險，但是每一條調度指令在無線信道的生存時間很短，平均十秒左右，事后分析則喪失其安全時效性。加之TETRA網絡的準傳輸集群模式與隱藏用戶識別碼等功能，能有效抵御用戶跟蹤與完整通話監聽；③對于通信安全有特殊要求的用戶或應用場合，應采用“密語”通話，嚴禁明話傳達涉密信息。

關于如何加強國內 TETRA數字集群網安全保障體系建設，有以下幾點建議：

① 加大對于鑒權、加密等核心算法的研發和產品化投入力度，建立健全相應的密鑰管理與網絡信任體系；在引進國外TETRA網絡設備時，要求設備廠商承諾為集成國內自主研發加密產品提供授權與技術支持；加強對于進口TETRA協議分析儀器的審批、監管和登記備案；

② 對于政府部門使用TETRA網絡，應嚴格遵照公安部、國家保密局《關于開展全國重要信息系統安全等級保護定級工作的通知》相關要求，實施網絡安全等級保護，加強安全管理、隱患排查與風險評估，及時消除或降低不安全因素；

③ 加強通信安全應急響應能力建設，針對可能出現的安全事件、網絡故障、通信擁堵等情況，制定切實可行的應急預案，加強應急演練，提高隊伍素質，做好備品備件及移動基站車、直放站、油機等物資儲備，提升應急通信保障能力。

5 結語

TETRA數字集群網安全保障體系建設是一個貫穿其整個生命周期的系統工程，遵照中國信息安全保障工作關于“積極防御、綜合防范”基本方針，在網絡規劃設計階段，就應從信息安全整體全局的高度出發，立足長遠、統籌規劃，明確界定服務對象的用戶范圍與安全定位，充分認識所面臨的安全形勢與風險威脅，研究制定安全保障體系的目標、策略和保護等級；在網絡建設與運營階段，應立足國情、綜合平衡，堅持管理制度、安全技術與人才培養三要素有機結合與均衡發展，不斷跟蹤研究國內外政治局勢、安全態勢、科技發展等對網絡安全的影響及應對措施，構筑適用完備、整體安全、可持續發展的安全保障體系。

[1] 虞忠輝.TETRA數字集群移動通信系統的安全保密研究[J].通信技術,2003(05)：87-88.

[2] ETS 300 392-7. Radio Equipment and SystemsTrans-European Trunked Radio Voice plus Data(V+D) Part 7： Security[S].France：EuropeanTelecommunications Standards Institute,1996.

[3] 羅冠洲,葛春宇,吳喆.TETRA系統端到端加密方式中的密鑰管理[J].信息安全與通信保密,2008(08)：97-101.

[4] 孫昕.TETRA數字集群系統的虛擬專網[J].移動通信,2002(05)：34-39.

[5] 范文躍,詹志強.TETRA數字集群增值應用研究[J].信息安全與通信保密,2006(10)：155-157.

[6] 鄭祖輝.簡析TETRA系統的安全性[J]. 電信快報,2003(09)：5-7.