收藏
下载资源

电信网和互联网安全等级保护实施指南

上传人:ni****g 文档编号:490150702 上传时间:2024-02-01 格式:DOCX 页数:29 大小:38.29KB
返回 下载 相关 举报
电信网和互联网安全等级保护实施指南_第1页
第1页 / 共29页
电信网和互联网安全等级保护实施指南_第2页
第2页 / 共29页
电信网和互联网安全等级保护实施指南_第3页
第3页 / 共29页
电信网和互联网安全等级保护实施指南_第4页
第4页 / 共29页
电信网和互联网安全等级保护实施指南_第5页
第5页 / 共29页
点击查看更多>>
资源描述

《电信网和互联网安全等级保护实施指南》由会员分享,可在线阅读,更多相关《电信网和互联网安全等级保护实施指南(29页珍藏版)》请在金锄头文库上搜索。

1、YD中华人民共和国通信行业标准YD/Txxxx200X电信网和互联网安全等级保护实施指南ImplementationGuideforClassifiedSecurityProtectionofTelecomNetworkandlnternet(送审稿)20XX-XX-XX 发布20XX-XX-XX 实施中华人民共和国信息产业部发布目次本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下电信网和互联网安全防护管理指南电信网和互联网安全等级保护实施指南电信网和互联网安全风险评估实施指南电信网和互联网灾难备份及恢复实施指南固定网安全防护要求移动网安全防护要求互联网安全防护

2、要求增值业务网(消息网)安全防护要求增值业务网(智能网)安全防护要求接入网安全防护要求传送网安全防护要求IP 承载网安全防护要求核心网安全防护要求信令网安全防护要求同步网安全防护要求支撑网安全防护要求网络终端安全防护要求固定网安全防护检测要求移动网安全防护检测要求互联网安全防护检测要求增值业务网(消息网)安全防护检测要求增值业务网(智能网)安全防护检测要求接入网安全防护检测要求传送网安全防护检测要求IP 承载网安全防护检测要求核心网安全防护检测要求信令网安全防护检测要求同步网安全防护检测要求支撑网安全防护检测要求网络终端安全防护检测要求 随着电信网和互联网的发展,将不断补充和完善电信网和互联网

3、安全防护体系的相关标准 本标准由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院。本标准主要起草人:电信网和互联网安全等级保护实施指南1 范围本标准规定了电信网和互联网安全等级保护的概念、对象、目标,安全等级划分原则,并结合电 信网和互联网的生命周期定义了电信网和互联网安全等级保护实施过程中的主要阶段及主要活动。本标准适用于电信网和互联网的安全等级保护工作。 本标准是电信网和互联网安全等级保护的总体指导性文件,针对具体网络的安全等级保护可参考 具体网络的安全防护要求和安全防护检测要求。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,

4、其随后所有 的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方 研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T5271.8-2001 信息技术词汇第8部分:安全GB/Txxxx-xxxx信息系统安全保护等级定级指南GB/Txxxx-xxxx信息系统安全等级保护实施指南GB/Txxxx-xxxx信息安全风险评估实施规范GB/Txxxx-xxxx信息安全风险管理指南GB/Txxxx-xxxx信息系统灾难恢复规划指南3 术语和定义GB/T5271.8-2001确立的术语和定义,以及下列术语和定义适用于本标准。3.1电信

5、网 telecomnetwork利用有线和/或无线的电磁、光电系统,进行文字、声音、数据、图象或其它任何媒体的信息传递的网络,包括固定网、移动网等。3.2电信网和互联网安全防护体系 securityprotectionarchitectureoftelecomnetworkandlnternet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充 相互配合,共同构成了电信网和互联网安全防护体系。3.3电信网和互联网相关系统 systemsoftelecomnetworkandInternet组成电信网和互联网的相关系统,包括接入网、传送网、IP承载网、核心网、信

6、令网、同步网、 支撑网、网络终端等。其中,接入网包括各种有线、无线和卫星接入网等,传送网包括光缆、波分、 SDH等,核心网包括固定交换、移动交换、软交换、集群、卫星网、3G和下一代网络相关的核心网等, 而支撑网包括业务支撑和网管系统。3.4电信网和互联网安全等级 securi tyclassifica tio noftelecomnetworkandlnterne t 电信网和互联网及相关系统安全重要程度的表征。重要程度可从电信网和互联网及相关系统受到 破坏后,对国家安全、社会秩序、经济建设、公共利益、网络和业务运营商造成的损害来衡量。3.5电信网和互联网安全等级保护 classifiedse

7、curityprotectionoftelecomnetworkandlnternet 指对电信网和互联网及相关系统分等级实施安全保护。3.6电信网和互联网基本保护要 求basicpro tec tio nrequirementsoftelecomnetworkandlnterne t 为确保电信网和互联网及相关系统具有与其安全等级相对应的安全保护能力应该满足的最低要 求。3.7电信网和互联网安全检测 securitytestingoftelecomnetworkandInternet 对电信网和互联网及相关系统的安全保护能力是否达到相应保护要求进行衡量。3.8电信网和互联网安全风险 secu

8、ri tyriskoftelecomnetworkandInterne t 人为或自然的威胁利用电信网和互联网及相关系统中存在的脆弱性导致安全事件的发生及其对 组织造成的影响。3.9电信网和互联网安全风险评估 securityriskassessmentoftelecomnetworkandInternet 指运用科学的方法和手段,系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱 性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施。 防范和化解电信网和互联网及相关系统安全风险,或者将风险控制在可接受的水平,从而最大限度地 为保障电信网和互联网及相

9、关系统的安全提供科学依据。3.10电信网和互联网灾难 disasteroftelecomnetworkandInternet由于人为或自然的原因,造成电信网和互联网及相关系统故障或瘫痪,使电信网和互联网及相关 系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.11电信网和互联网灾难备份 backupfordisasterrecoveryoftelecomnetworkandlnternet 为了电信网和互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。3.12电信网和互联网灾难恢复 disasterrecoveryoftelecomnetworkandlntern

10、et为了将电信网和互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正 常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流 程。4 安全等级保护概述4.1 安全等级保护对象电信网和互联网安全等级保护的主要对象是电信网和互联网及相关系统,包括固定网、移动网、 互联网、增值业务网、接入网、传送网、IP承载网、核心网、信令网、同步网、支撑网、网络终端等。 其中,增值业务网则包括消息网、智能网等业务平台以及业务管理平台,接入网包括各种有线、无线 和卫星接入网等,传送网包括光缆、波分、 SDH 等,核心网包括固定交换、移动交换、软交换、集群、 卫星网

11、、 3G 和下一代网络相关的核心网等,支撑网包括业务支撑和网管系统。安全等级保护的具体工作涉及到对电信网和互联网分等级实施安全保护、对电信网和互联网中使用 的安全产品实行分等级管理、对电信网和互联网中发生的安全事件分等级处理等内容。本标准主要关注于 对电信网和互联网分等级实施安全保护提供指导,关于国家对电信网和互联网使用的安全产品实行分等级 管理以及电信网和互联网发生的安全事件实行分等级处理的管理参见其它的相关标准。本标准后续内容中所指的“安全等级保护”,其含义均为“对电信网和互联网分等级实施安全保 护”。4.2 安全等级保护目标安全等级保护的目标是通过对电信网和互联网及相关系统进行安全等级划

12、分,按照本系列标准中 的安全等级保护要求进行规划、建设、运维、管理和监督,从而加强电信网和互联网及相关系统的安 全防护能力,确保其安全性和可靠性。主管部门对不同安全等级的电信网和互联网及相关系统提出不同的基本保护要求,实行不同等级 的监管,这些基本保护要求是保障各等级电信网和互联网及相关系统安全的最基本要求。电信网和互 联网及相关系统应能够满足其所属安全等级的基本保护要求。电信网和互联网安全等级保护工作可以实现对电信网和互联网及相关系统重点保护和有效保护 的目的,增强安全保护的整体性、针对性和实效性,使电信网和互联网及相关系统的安全建设能够突 出重点、统一规范、科学合理。5 安全等级保护的实施

13、过程5.1 基本原则电信网和互联网安全等级保护工作应首先满足电信网和互联网安全防护工作提出的适度安全原 则、标准性原则、可控性原则、完备性原则、最小影响原则以及保密性原则。在此基础上,电信网和 互联网安全等级保护工作在实施过程中还应重点遵循以下原则:a) 自主保护原则在主管部门的监督指导下,各网络和业务运营商遵照本系列标准中确定的安全等级,对本单位的电信 网和互联网及相关系统自主实施安全保护。b) 同步建设原则各运营商在对电信网和互联网及相关系统进行新建、改建、扩建时,应当同步规划和设计其安全方 案,投入一定比例的资金实施安全方案,保障电信网和互联网及相关系统与其所属安全等级的要求相适 应。c

14、) 重点保护原则通过对电信网和互联网及相关系统划分不同的安全等级,提出不同程度的安全保护要求,实现不同等 级的安全保护,集中资源优先保护关键的电信网和互联网及相关系统。d) 适当调整原则跟踪电信网和互联网及相关系统的变化情况调整其安全等级,并根据安全等级的调整情况及时调 整相应的安全保护措施。5.2 相关角色和职责对电信网和互联网及相关系统实施安全等级保护的过程中涉及到各类组织和人员,不同组织和人 员将会参与不同或相同的活动。安全等级保护实施过程中各类角色及其职责如下:a) 主管部门主管部门的主要职责是监督、管理网络和业务运营商遵照本系列标准中确定的安全等级和安全等级保 护的要求对其管辖的电信

15、网和互联网及相关系统进行安全等级保护;对网络和业务运营商的安全等级保护 工作开展情况进行检查,发现存在安全隐患或未达到安全等级保护要求的,责令其限期整改。安全等级保 护工作的主管部门是信息产业部和相关电信管理局。b) 网络和业务运营商网络和业务运营商的主要职责是根据本系列标准中确定的安全等级和安全等级保护的要求对其管辖的 电信网和互联网及相关系统进行安全等级保护的实施工作,包括规划设计、建设施工、运维、废弃等;对 安全等级是自主保护级的电信网和互联网及相关系统,加强其自主保护工作,对安全等级是指导保护级、 监督保护级的电信网和互联网及相关系统,根据主管部门的要求上报其等级保护工作的实施情况;定期对 其管辖的电信网和互联网及相关系统进行安全状况检查,及时消除安全隐患和漏洞;加强和完善自身安全 等级保护制度的建设,制定不同等级安全事件的响应、处置预案,加强电信网和互联网及相关系统的安全 管理。c) 设备制造商 设备制造商的主要职责是遵照本系列标准中的安全等级保护要求开发安全的网络设备,提交网络 设备进行入网测试,并且销售安全的网络设备。d) 检测机构 检测机构必须是由信息产业部授权的具有安

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号