《2022年电信网和互联网安全等级保护实施指南v .pdf》由会员分享,可在线阅读,更多相关《2022年电信网和互联网安全等级保护实施指南v .pdf(33页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、中 华 人 民 共 和 国 通 信 行 业 标 准YD/T 200电信网和互联网安全等级保护实施指南Implementation Guide for Classified Security Protection of Telecom Network and Internet (送审稿)20-发布20-实施中华人民共和国信息产业部发 布YD 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 33 页 - - - - - - - - - YD/T 200I 目次目次 . I前言
2、 . III电信网和互联网安全等级保护实施指南. 11 范围 . 12 规范性引用文件. 13 术语和定义. 14 安全等级保护概述. 34.1 安全等级保护对象. . 34.2 安全等级保护目标. . 35 安全等级保护的实施过程. 45.1 基本原则 . 45.2 相关角色和职责. . 45.3 基本过程 . 55.4 安全等级保护工作与电信网和互联网及相关系统生命周期的关系. 76 电信网和互联网及相关系统定级. 86.1 定级方法 . 86.2 定级的主要活动. . 106.3 电信网和互联网的识别和描述. 116.4 电信网和互联网相关系统的划分. 126.5 安全等级确定. . 1
3、27 安全规划设计. 137.1 主要活动 . 137.2 安全需求分析. . 137.3 安全总体设计. . 157.4 安全建设规划. . 158 安全实施. 158.1 主要活动 . 158.2 安全方案详细设计. . 17名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 33 页 - - - - - - - - - YD/T 200II 8.3 安全详细设计方案实施. . 178.4 安全等级保护检测. . 189 安全运维. 189.1 主要活动 . 189.2
4、运行管理和控制. . 199.3 变更管理和控制. . 209.4 安全状态监控. . 209.5 安全事件处置和应急预案. 219.6 安全检查和持续改进. . 229.7 安全等级保护检测. . 2310 电信网和互联网及相关系统终止. 2310.1 主要活动 . . 2310.2 信息转移、暂存或清除. 2410.3 设备迁移或废弃. . 2510.4 存储介质的清除或销毁. 2510.5 安全等级保护检测. . 26附录A (规范性附录)安全等级的计算方法 . 26A.1 对数法 . . 26A.2 矩阵法 . . 27附录B (资料性附录)定级实例. 27名师资料总结 - - -精品
5、资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 33 页 - - - - - - - - - YD/T 200III 前言本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下:电信网和互联网安全防护管理指南电信网和互联网安全等级保护实施指南电信网和互联网安全风险评估实施指南电信网和互联网灾难备份及恢复实施指南固定网安全防护要求移动网安全防护要求互联网安全防护要求增值业务网(消息网)安全防护要求增值业务网(智能网)安全防护要求接入网安全防护要求传送网安全防护要求 IP 承载
6、网安全防护要求核心网安全防护要求信令网安全防护要求同步网安全防护要求支撑网安全防护要求网络终端安全防护要求固定网安全防护检测要求移动网安全防护检测要求互联网安全防护检测要求增值业务网(消息网)安全防护检测要求增值业务网(智能网)安全防护检测要求接入网安全防护检测要求传送网安全防护检测要求 IP 承载网安全防护检测要求核心网安全防护检测要求信令网安全防护检测要求名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 33 页 - - - - - - - - - YD/T 200IV
7、 同步网安全防护检测要求支撑网安全防护检测要求网络终端安全防护检测要求随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院。本标准主要起草人:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 33 页 - - - - - - - - - YD/T 2001 电信网和互联网安全等级保护实施指南1 范围本标准规定了电信网和互联网安全等级保护的概念、对象、目标,安全等级划分原则,
8、并结合电信网和互联网的生命周期定义了电信网和互联网安全等级保护实施过程中的主要阶段及主要活动。本标准适用于电信网和互联网的安全等级保护工作。本标准是电信网和互联网安全等级保护的总体指导性文件,针对具体网络的安全等级保护可参考具体网络的安全防护要求和安全防护检测要求。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T 5271.8-2001 信息技术词汇 第8部分:安全
9、GB/T xxxx -xxxx 信息系统安全保护等级定级指南GB/T xxxx -xxxx 信息系统安全等级保护实施指南GB/T xxxx -xxxx 信息安全风险评估实施规范GB/T xxxx -xxxx 信息安全风险管理指南GB/T xxxx -xxxx 信息系统灾难恢复规划指南3 术语和定义GB/T 5271.8-2001确立的术语和定义,以及下列术语和定义适用于本标准。3.1 电信网 telecom network 利用有线和 / 或无线的电磁、光电系统,进行文字、声音、数据、图象或其它任何媒体的信息传递的网络,包括固定网、移动网等。3.2 电信网和互联网安全防护体系 security
10、 protection architecture of telecom network and Internet电信网和互联网的安全等级保护、安全风险评估、 灾难备份及恢复三项工作互为依托、互为补充、相互配合,共同构成了电信网和互联网安全防护体系。3.3 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 33 页 - - - - - - - - - YD/T 2002 电信网和互联网相关系统 systems of telecom network and Internet 组
11、成电信网和互联网的相关系统,包括接入网、传送网、IP承载网、核心网、信令网、同步网、支撑网、网络终端等。其中,接入网包括各种有线、无线和卫星接入网等,传送网包括光缆、波分、SDH 等,核心网包括固定交换、移动交换、软交换、集群、卫星网、3G 和下一代网络相关的核心网等,而支撑网包括业务支撑和网管系统。3.4 电信网和互联网安全等级 security classification of telecom network and Internet 电信网和互联网及相关系统安全重要程度的表征。重要程度可从电信网和互联网及相关系统受到破坏后,对国家安全、社会秩序、经济建设、公共利益、网络和业务运营商造成
12、的损害来衡量。3.5 电信网和互联网安全等级保护 classified security protection of telecom network and Internet 指对电信网和互联网及相关系统分等级实施安全保护。3.6 电信网和互联网基本保护要求 basic protection requirements of telecom network and Internet为确保电信网和互联网及相关系统具有与其安全等级相对应的安全保护能力应该满足的最低要求。3.7 电信网和互联网安全检测 security testing of telecom network and Internet 对
13、电信网和互联网及相关系统的安全保护能力是否达到相应保护要求进行衡量。3.8 电信网和互联网安全风险 security risk of telecom network and Internet 人为或自然的威胁利用电信网和互联网及相关系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.9 电信网和互联网安全风险评估security risk assessment of telecom network and Internet 指运用科学的方法和手段,系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和
14、安全措施。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 33 页 - - - - - - - - - YD/T 2003 防范和化解电信网和互联网及相关系统安全风险,或者将风险控制在可接受的水平,从而最大限度地为保障电信网和互联网及相关系统的安全提供科学依据。3.10 电信网和互联网灾难 disaster of telecom network and Internet 由于人为或自然的原因,造成电信网和互联网及相关系统故障或瘫痪,使电信网和互联网及相关系统支持的业务功能
15、停顿或服务水平不可接受、达到特定的时间的突发性事件。3.11 电信网和互联网灾难备份backup for disaster recovery of telecom network and Internet为了电信网和互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。3.12 电信网和互联网灾难恢复 disaster recovery of telecom network and Internet 为了将电信网和互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、 并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。4 安全等级保护概
16、述4.1 安全等级保护对象电信网和互联网安全等级保护的主要对象是电信网和互联网及相关系统,包括固定网、移动网、互联网、增值业务网、接入网、传送网、IP 承载网、核心网、信令网、同步网、支撑网、网络终端等。其中,增值业务网则包括消息网、智能网等业务平台以及业务管理平台,接入网包括各种有线、无线和卫星接入网等,传送网包括光缆、波分、SDH 等,核心网包括固定交换、移动交换、软交换、集群、卫星网、 3G 和下一代网络相关的核心网等,支撑网包括业务支撑和网管系统。安全等级保护的具体工作涉及到对电信网和互联网分等级实施安全保护、对电信网和互联网中使用的安全产品实行分等级管理、对电信网和互联网中发生的安全
17、事件分等级处理等内容。本标准主要关注于对电信网和互联网分等级实施安全保护提供指导,关于国家对电信网和互联网使用的安全产品实行分等级管理以及电信网和互联网发生的安全事件实行分等级处理的管理参见其它的相关标准。本标准后续内容中所指的“安全等级保护” , 其含义均为“对电信网和互联网分等级实施安全保护”。4.2 安全等级保护目标安全等级保护的目标是通过对电信网和互联网及相关系统进行安全等级划分,按照本系列标准中的安全等级保护要求进行规划、建设、运维、管理和监督,从而加强电信网和互联网及相关系统的安全防护能力,确保其安全性和可靠性。名师资料总结 - - -精品资料欢迎下载 - - - - - - -
18、- - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 33 页 - - - - - - - - - YD/T 2004 主管部门对不同安全等级的电信网和互联网及相关系统提出不同的基本保护要求,实行不同等级的监管,这些基本保护要求是保障各等级电信网和互联网及相关系统安全的最基本要求。电信网和互联网及相关系统应能够满足其所属安全等级的基本保护要求。电信网和互联网安全等级保护工作可以实现对电信网和互联网及相关系统重点保护和有效保护的目的,增强安全保护的整体性、针对性和实效性,使电信网和互联网及相关系统的安全建设能够突出重点、统一规范、科学合理。5 安全
19、等级保护的实施过程5.1 基本原则电信网和互联网安全等级保护工作应首先满足电信网和互联网安全防护工作提出的适度安全原则、标准性原则、可控性原则、完备性原则、最小影响原则以及保密性原则。在此基础上,电信网和互联网安全等级保护工作在实施过程中还应重点遵循以下原则:a)自主保护原则在主管部门的监督指导下,各网络和业务运营商遵照本系列标准中确定的安全等级,对本单位的电信网和互联网及相关系统自主实施安全保护。b)同步建设原则各运营商在对电信网和互联网及相关系统进行新建、改建、扩建时,应当同步规划和设计其安全方案,投入一定比例的资金实施安全方案,保障电信网和互联网及相关系统与其所属安全等级的要求相适应。c
20、)重点保护原则通过对电信网和互联网及相关系统划分不同的安全等级,提出不同程度的安全保护要求,实现不同等级的安全保护,集中资源优先保护关键的电信网和互联网及相关系统。d)适当调整原则跟踪电信网和互联网及相关系统的变化情况调整其安全等级,并根据安全等级的调整情况及时调整相应的安全保护措施。5.2 相关角色和职责对电信网和互联网及相关系统实施安全等级保护的过程中涉及到各类组织和人员,不同组织和人员将会参与不同或相同的活动。安全等级保护实施过程中各类角色及其职责如下:a)主管部门主管部门的主要职责是监督、管理网络和业务运营商遵照本系列标准中确定的安全等级和安全等名师资料总结 - - -精品资料欢迎下载
21、 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 33 页 - - - - - - - - - YD/T 2005 级保护的要求对其管辖的电信网和互联网及相关系统进行安全等级保护;对网络和业务运营商的安全等级保护工作开展情况进行检查,发现存在安全隐患或未达到安全等级保护要求的,责令其限期整改。安全等级保护工作的主管部门是信息产业部和相关电信管理局。b)网络和业务运营商网络和业务运营商的主要职责是根据本系列标准中确定的安全等级和安全等级保护的要求对其管辖的电信网和互联网及相关系统进行安全等级保护的实施工作,包括规划
22、设计、建设施工、运维、废弃等;对安全等级是自主保护级的电信网和互联网及相关系统,加强其自主保护工作,对安全等级是指导保护级、监督保护级的电信网和互联网及相关系统,根据主管部门的要求上报其等级保护工作的实施情况; 定期对其管辖的电信网和互联网及相关系统进行安全状况检查,及时消除安全隐患和漏洞;加强和完善自身安全等级保护制度的建设,制定不同等级安全事件的响应、处置预案,加强电信网和互联网及相关系统的安全管理。c)设备制造商设备制造商的主要职责是遵照本系列标准中的安全等级保护要求开发安全的网络设备,提交网络设备进行入网测试,并且销售安全的网络设备。d)检测机构检测机构必须是由信息产业部授权的具有安全
23、防护检测服务资质的机构。检测机构的主要职责是根据主管部门或网络和业务运营商的委托,按照本系列标准对已经完成安全等级保护建设的电信网和互联网及相关系统进行安全检测。e)安全服务商安全服务商应按照国家和信息产业部的相关规定, 在本系列标准的指导下,根据网络和业务运营商的要求协助其实施安全等级保护工作。5.3 基本过程虽然安全等级保护是一个不断循环和不断提高的过程,但是实施安全等级保护的一次完整过程是可以区分清楚的,包括五个主要阶段:电信网和互联网及相关系统定级、安全规划设计、安全实施、安全运维、电信网和互联网及相关系统终止。如图1 所示。名师资料总结 - - -精品资料欢迎下载 - - - - -
24、 - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 33 页 - - - - - - - - - YD/T 2006 电信网和互联网及相关系统定级安全规划设计安全实施安全运维电信网和互联网及相关系统终止重大变更局部调整图 1 安全等级保护实施的基本过程安全等级保护的五个主要阶段及其主要活动为:a)电信网和互联网及相关系统定级阶段定级阶段主要包括对电信网和互联网的识别和描述、电信网和互联网相关系统的划分以及电信网和互联网及相关系统安全等级确定等几个主要安全活动。通过对电信网和互联网的识别和描述,进一步划分电信网和互联网相关系统,根据本
25、标准中的定级方法科学准确地确定各电信网和互联网及相关系统的安全等级。b)安全规划设计阶段安全规划设计阶段主要包括安全需求分析、安全总体设计、安全建设规划等几个主要活动。通过安全需求分析判断电信网和互联网及相关系统的安全保护现状与安全防护要求中安全等级保护要求之间的差距,确定安全需求;然后根据电信网和互联网及相关系统的实际情况,设计出合理的、满足安全等级保护要求的总体安全方案,并制定出安全建设的规划,以指导后续的电信网和互联网及相关系统的安全建设工程实施。c)安全实施阶段安全实施阶段主要包括安全方案详细设计、详细设计方案的实施、安全等级保护检测等几个主要活动。通过安全方案详细设计,将规划设计阶段
26、的总体安全方案和安全建设方案具体落实到电信网和互联网及相关系统中去,最终提交满足安全需求的电信网和互联网及相关系统、配套的安全技术和管理体系。在网络实际运行之前,需要由主管部门组织并委托检测机构对安全等级保护工作的实施情况进行检测,确保其达到安全防护要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 33 页 - - - - - - - - - YD/T 2007 d)安全运维阶段安全运维阶段需要进行的安全控制活动很多,本标准描述一些重要的安全控制活动。通过运行管理和
27、控制、变更管理和控制、对安全状态进行监控,对发生的安全事件及时响应,确保电信网和互联网及相关系统正常运行;通过安全检查和持续改进不断跟踪电信网和互联网及相关系统的变化,并依据变化调整其安全等级和措施,确保电信网和互联网及相关系统满足相应安全等级的要求。e)电信网和互联网及相关系统终止阶段终止阶段的主要活动包括对电信网和互联网及相关系统中的信息转移、暂存或清除,对设备迁移或废弃,对存储介质的清除或销毁。核心关注点是对电信网和互联网及相关系统中过时或无用部分进行报废处理的过程,防止敏感信息泄漏。在安全运维阶段,当电信网和互联网及相关系统局部调整等原因导致安全措施的变化时,如果不影响其安全等级,应从
28、安全运维阶段进入安全实施阶段,重新调整和实施安全措施,确保满足安全等级保护的要求;当电信网和互联网及相关系统发生重大变更影响其安全等级时,应从安全运维阶段进入定级阶段,重新开始一次安全等级保护的实施过程。5.4 安全等级保护工作与电信网和互联网及相关系统生命周期的关系电信网和互联网及相关系统的生命周期包括五个阶段,即启动阶段、设计阶段、实施阶段、运维阶段和废弃阶段。电信网和互联网及相关系统的安全等级保护工作将贯穿其生命周期的各个阶段。安全等级保护工作可分为:对新建电信网和互联网及相关系统的安全等级保护和对已建电信网和互联网及相关系统的安全等级保护,两者在电信网和互联网及相关系统生命周期中的切入
29、点是不同的,但是安全等级保护工作的主要活动基本相同,其安全等级保护过程与电信网和互联网及相关系统生命周期的关系如图 2所示。电信网和互联网及相关系统生命周期启动阶段设计阶段实施阶段运维阶段废弃阶段新建电信网和互联网及相关系统安全等级保护过程电信网和互联网及相关系统定级安全规划设计安全实施安全运维电信网和互联网及相关系统终止已建电信网和互联网及相关系统安全等级保护过程电信网和互联网及相关系统定级安全规划设计安全实施安全运维电信网和互联网及相关系统终止图 2 安全等级保护过程与电信网和互联网及相关系统生命周期的关系名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - -
30、 - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 33 页 - - - - - - - - - YD/T 2008 新建的电信网和互联网及相关系统在生命周期中的各个阶段应同步考虑安全等级保护的主要活动。在启动阶段,应该仔细分析和合理划分各个电信网和互联网及相关系统,确定各个电信网和互联网及相关系统的安全等级,定级过程也可能在设计阶段;在设计阶段,应该根据各个电信网和互联网及相关系统的安全等级,进行安全规划设计;在实施阶段,应在电信网和互联网及相关系统建设的同时,同步进行安全措施的实施;在运维阶段,应按照本系列标准中安全等级保护的要求进行安全运维;在废弃阶
31、段,应对废弃的设备、信息或存储介质等进行有效的安全管理。已建的电信网和互联网及相关系统通常处于运维阶段,由于在启动阶段、设计阶段和实施阶段可能没有同步考虑安全等级保护的要求或者对安全等级保护的要求考虑不足,因此应在运维阶段启动安全等级保护工作,安全等级保护过程中的电信网和互联网及相关系统定级、安全规划设计、安全实施的主要活动都将在生命周期的运维阶段完成。由于是已经存在的电信网和互联网及相关系统,工作的重点是在现有网络的基础上,根据安全等级保护要求,在安全规划设计阶段如何制定满足要求的补充的安全建设方案,在安全实施阶段如何保证在不影响现有业务/ 应用的情况下,分步骤分阶段分目标地使各类安全补救措
32、施可以顺利落实。在已建的电信网和互联网及相关系统基础上进行扩容的安全等级保护工作,扩容部分应与新建的电信网和互联网及相关系统的安全等级保护过程一致。6 电信网和互联网及相关系统定级6.1 定级方法电信网和互联网安全防护体系中,确定安全等级是进行安全等级保护的前提和基础,直接影响和指导安全防护体系中的安全风险评估和灾难备份及恢复工作。电信网和互联网及相关系统应根据本标准确定安全等级,以保证定级的科学性和准确性。在电信网和互联网及相关系统中进行安全等级划分的总体原则是:电信网和互联网及相关系统受到破坏后对国家安全、社会秩序、经济建设、公共利益、网络和业务运营商的损害程度。电信网和互联网及相关系统可
33、以划分为三个安全等级,分别为自主保护级、指导保护级和监督保护级,其中监督保护级又分为普通监督保护级和重点监督保护级。主管部门对不同级别的电信网和互联网及相关系统实行不同等级的监管。第 1级 自主保护级电信网和互联网及相关系统遭到破坏后仅对其所有者的利益产生损害,但是不损害国家安全、社会秩序、经济建设、公共利益。本级按照通信行业安全标准进行自主保护。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 33 页 - - - - - - - - - YD/T 2009 第 2级
34、指导保护级电信网和互联网及相关系统遭到破坏后对社会秩序、经济建设、公共利益以及网络和业务运营商造成轻微损害。本级在主管部门的指导下,按照通信行业安全标准进行自主保护。第 3级 监督保护级分为两种情况:3.1 级 普通监督保护级电信网和互联网及相关系统遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及网络和业务运营商造成较大损害。本级按照通信行业安全标准进行自主保护,主管部门对其进行监督、检查。3.2 级 重点监督保护级电信网和互联网及相关系统遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及网络和业务运营商造成严重损害。本级按照通信行业安全标准进行自主保护,主管部门对其进行重点监督、检
35、查。决定电信网和互联网及相关系统的安全等级的具体定级要素及其赋值如下:a)电信网和互联网及相关系统的社会影响力电信网和互联网及相关系统的社会影响力表示其无法提供有效服务对国家安全、社会秩序、经济建设、公共利益的影响程度,电信网和互联网及相关系统的社会影响力赋值如表1所示。表1 对电信网和互联网及相关系统的社会影响力赋值表社会影响力定义赋值电信网和互联网及相关系统无法提供有效服务对国家安全、社会秩序、经济建设、公共利益的影响较小1 电信网和互联网及相关系统无法提供有效服务对国家安全、社会秩序、经济建设、公共利益的影响较大2 电信网和互联网及相关系统无法提供有效服务对国家安全、社会秩序、经济建设、
36、公共利益的影响很大3 电信网和互联网及相关系统无法提供有效服务对国家安全、社会秩序、经济建设、公共利益的影响非常大4 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 33 页 - - - - - - - - - YD/T 20010 b)电信网和互联网及相关系统所提供服务的重要性电信网和互联网及相关系统所提供服务的重要性表示其提供的服务对网络和业务运营商的影响程度。电信网和互联网及相关系统所提供服务的重要性赋值如表2所示。表2 电信网和互联网及相关系统所提供服务的重要性
37、赋值表所提供服务的重要性定义赋值电信网和互联网及相关系统所提供服务的重要性一般,无法提供服务对网络和业务运营商产生较小的影响1 电信网和互联网及相关系统所提供服务的重要性较高,无法提供服务对网络和业务运营商产生较大的影响2 电信网和互联网及相关系统所提供服务的重要性很高,无法提供服务对网络和业务运营商产生很大的影响3 电信网和互联网及相关系统所提供服务的重要性非常高,无法提供服务对网络和业务运营商产生非常大的影响4 c)电信网和互联网及相关系统的规模和服务范围电信网和互联网及相关系统的规模表示其服务的用户数多少,服务范围表示其服务的地区范围大小,电信网和互联网及相关系统的规模和服务范围赋值如表
38、3所示。表3 电信网和互联网及相关系统的规模和服务范围赋值表规模和服务范围定义赋值电信网和互联网及相关系统无法提供有效服务会对较少的用户和较小地区造成影响1 电信网和互联网及相关系统无法提供有效服务会对较多的用户和较大地区造成影响2 电信网和互联网及相关系统无法提供有效服务会对很多的用户和很大地区造成影响3 电信网和互联网及相关系统无法提供有效服务会对非常多的用户和非常大地区造成影响4 在确定好电信网和互联网及相关系统的社会影响力、所提供服务的重要性、规模和服务范围三个定级要素的赋值后,附录A中列举的几种安全等级计算方法可做参考。安全等级确定可能不是一个过程就可以完成的,可能需要经过定级要素赋
39、值、定级、定级结果调整的循环过程,最终才能确定出较为科学、准确的安全等级。6.2 定级的主要活动定级阶段主要活动如图3所示。包括如下的主要活动:第 1步 电信网和互联网的识别和描述名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页,共 33 页 - - - - - - - - - YD/T 20011 充分利用查询相关文档、编制调查表、与有关人员访谈、现场实地观察等多种方式尽可能多地收集、分析和整理电信网和互联网的相关信息,在此基础上形成准确的电信网和互联网总体描述文件。第 2
40、步 电信网和互联网相关系统的划分将复杂的电信网和互联网划分为相对独立的电信网和互联网相关系统,便于定级、规划设计、实施、运维和终止等安全等级保护活动的开展。第 3步 安全等级确定依据本标准中的定级方法确定电信网和互联网及相关系统的安全等级。输入电信网和互联网的识别和描述电信网和互联网相关系统的划分安全等级确定主要活动输出技术文档管理文档总体描述文件总体描述文件总体描述文件详细描述文件详细描述文件安全等级定级报告图3 定级阶段的主要活动6.3 电信网和互联网的识别和描述活动输入:电信网和互联网的技术文档、管理文档活动输出:电信网和互联网的总体描述文件活动描述:电信网和互联网的识别和描述过程主要包
41、括以下活动内容:a) 识别电信网和互联网的基本信息调查了解电信网和互联网的企业特征、业务范围、地理位置以及电信网和互联网其它基本情况。b) 识别电信网和互联网的管理信息了解电信网和互联网的组织管理结构、管理策略、部门设置和部门在电信网和互联网运行中的作用、岗位职责,获得支持电信网和互联网运营的管理方面的信息。c) 识别电信网和互联网的技术信息了解电信网和互联网的物理环境、网络拓扑结构、 硬件设备的部署情况、业务 / 应用的种类和特性、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1
42、6 页,共 33 页 - - - - - - - - - YD/T 20012 信息资产的重要性程度、用户范围和用户类型等信息。d) 描述电信网和互联网对收集的信息进行整理、分析,形成电信网和互联网的总体描述文件。总体描述文件应包含电信网和互联网的基本情况、管理方面和技术方面的内容。6.4 电信网和互联网相关系统的划分活动输入:电信网和互联网的总体描述文件活动输出:电信网和互联网及相关系统的详细描述文件活动描述:对电信网和互联网相关系统的划分包括以下主要的活动:a)划分电信网和互联网相关系统依据电信网和互联网总体描述文件,在综合分析的基础上将电信网和互联网划分为接入网、传送网、 IP承载网、核
43、心网、信令网、同步网、支撑网、网络终端等电信网和互联网相关系统。b)输出详细描述文件对电信网和互联网相关系统划分后,应在总体描述文件的基础上增加电信网和互联网相关系统划分信息的描述,准确描述分解后的电信网和互联网及相关系统的详细信息,包括每个电信网和互联网及相关系统的概述、网络架构、设备部署、业务/ 应用的列表、信息资产类型、服务范围和用户类型等技术和管理方面的内容,最终形成详细描述文件。6.5 安全等级确定活动输入:电信网和互联网的总体描述文件、电信网和互联网及相关系统的详细描述文件活动输出:电信网和互联网及相关系统的安全等级定级报告活动描述:安全等级的确定包括以下主要活动内容:a) 确定电
44、信网和互联网及相关系统的安全等级根据本标准中的定级方法确定各个电信网和互联网及相关系统的安全等级。电信网和互联网相关系统的安全等级确定应采取本标准的定级方法。固定网、移动网、互联网和增值业务网的安全等级的确定可采取两种方法:一种方法是通过本标准的定级方法直接确定安全等级,另一种方法是在构成上述网络的不同电信网和互联网相关系统的安全等级基础上,通过一定的算法(如取最高安全等级)得到网络的安全等级。具体网络的定级方法参见具体网络的安全防护要求。b) 输出定级结果文档名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -
45、 - - - - - 第 17 页,共 33 页 - - - - - - - - - YD/T 20013 对总体描述文件、详细描述文件、安全等级确定结果等内容进行整理,形成电信网和互联网及相关系统的安全等级定级报告。7 安全规划设计7.1 主要活动安全需求分析安全总体设计安全建设规划详细描述文件安全等级定级报告安全风险评估实施指南其它文档详细描述文件安全等级定级报告安全需求分析报告安全防护要求安全总体方案安全需求分析报告安全总体方案安全建设方案主要活动输出输入图4 安全规划设计阶段的主要活动网络和业务运营商可依靠自身的技术力量或在安全服务商的协助下对其管辖的电信网和互联网及相关系统进行安全规
46、划设计,安全规划设计阶段的主要活动内容如图4所示,包括:第 1步 安全需求分析安全需求分析根据国家及企业的安全目标,首先判断电信网和互联网及相关系统的安全保护现状与安全防护要求中安全等级保护要求之间的差距,这种差距作为初步的安全需求;除上述安全需求外,还要通过风险分析的方法确定额外的安全需求,这种需求反映在对特殊环境和威胁的安全保护要求,或对重要对象的较高保护要求方面。通过现状差距的分析和特殊要求的分析,明确完整的安全需求。第 2步 安全总体设计安全总体设计根据安全需求分析报告和安全防护要求中的安全等级保护相关要求,设计满足其所属的安全等级要求的安全总体方案,包括安全技术措施和安全管理措施。第
47、 3步 安全建设规划安全建设规划首先根据安全总体方案,结合企业中长期的发展规划,制定安全建设的实施计划,形成指导今后一段时间内安全建设工作的安全建设规划方案。7.2 安全需求分析活动输入:电信网和互联网及相关系统的详细描述文件、安全等级定级报告,电信网和互联网安全风名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 33 页 - - - - - - - - - YD/T 20014 险评估实施指南,其它文档活动输出:电信网和互联网及相关系统的安全需求分析报告活动描述:安全规
48、划设计阶段的安全需求分析包括以下主要活动内容:a) 确定初步的安全需求通过调查或查阅资料等方式,确定具体进行安全等级保护工作的对象,包括整体对象(如机房、办公环境、网络等)和具体对象(如边界设备、网关设备、服务器设备、工作站、应用系统等);获得电信网和互联网及相关系统的信息,包括技术和管理方面的信息,技术方面包括物理环境、网络、设备、数据、业务 / 应用等信息,管理方面包括安全管理机构、安全管理制度、人员管理、网络建设和运维管理等信息。在此基础上,将其对应的电信网和互联网及相关系统的安全防护要求中等级保护的管理方面和技术方面的安全指标作为依据,通过观察现场、询问人员、查询资料、检查记录等方式进
49、行安全管理方面的比较,通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术方面的比较,通过将安全等级保护对象的安全现状与指标进行逐一对比,判断安全管理和技术的各个方面与等级保护要求中的基本安全要求之间的差距,给出初步的安全需求。b) 制定额外的安全需求在安全现状和等级保护指标对比后确定初步的安全需求基础上,参照电信网和互联网安全风险评估实施指南 ,通过风险评估可以确定额外的安全需求,即通过分析电信网和互联网及相关系统的重要资产的价值、资产的脆弱性、面临的威胁、以及已经采取的安全措施,判断电信网和互联网及相关系统可能存在的安全风险,在初步的安全需求的基础上,
50、制定出额外的安全需求。对于电信网和互联网及相关系统中的关键系统和数据,为确保在灾难发生后网络能够尽快恢复和继续运行,应制定出有效的灾难备份及恢复的额外需求。在制定额外的安全需求时,应明确国家及企业的安全目标,借鉴以往建设的类似或相关的电信网和互联网及相关系统的安全需求,并且确保安全需求与其它相关标准或规范对电信网和互联网及相关系统的安全需求不发生冲突。c) 输出安全需求分析报告总结安全指标对比结果和风险评估的结果,获得电信网和互联网及相关系统安全现状的汇总、与安全防护要求中安全等级保护要求的差距汇总和额外的安全需求的汇总,最终形成安全需求分析报告,报告中应包括安全管理状况和安全技术状况。名师资
黑公网安备:91230400333293403D