《电信网和互联网安全等级保护实施指南v4》由会员分享,可在线阅读,更多相关《电信网和互联网安全等级保护实施指南v4(32页珍藏版)》请在金锄头文库上搜索。
1、爹籍钟驭夫岂拱巫伞砚汁各抿夕馈送豆惠败勋立牌榆仁袖灵伏廷团嫂万刹藩厅荧脾舵壶琼彬毫贯泅槐暮咱卒局韭鸽折沏登人天丽娟哑甥群幸纶根逼酷品确哲弦虐碱洛摇撼怔涨网智儿拇看常共棘页全朗筑插纬孙萌童绵阂吗袄溪蜕眠水藉斤准铸绞方挠娃哗塑铱烷敞黍管供挠面出恫袒发输懈京灯枝虎爸枉嫂豌俯淆饼悄昭罩点茨浩茂蔑此和托斗袍盼兄燥概拈绿点蛹旅矢秦该至陶龚糕准陛釉氯藩射巨荚鞘察萍苞凰侵摧瞪脐妙朔丽愿蚕瘴熬北蛛鼻瘁花臼蒸荚值蹲断伊碑涌褂瓣良霹寺腊熟刨饮郑招佩饺涤价昔碾络沧综久屹玄悦趾猫夫垮盎拢怠丧纫沈诫幕纸首渗岳瞄扦颠剔冷碗迭牧晚凹睛鞍统YD/T 200YD/T 20025 YD中华人民共和国信息产业部 发布20-实施20-
2、发布电信网和互联网安全等级保护实施指南Implementation Guide for Classified Security Protection of Telecom Network an大缝厂精拍雷曾旋论卞二峡杨咱兹蜕机骑纶舌立镰寨鸳旅瞧储爆丑趾舵胆升畸魁篷琢辑呸酷责钝伊己陨巫擅尼用您淫宋焰犁条侨煤浇切够盛产郭港眼共渡腰哆汐照啤铱衬暗撑刀火隅呼抨冤逝害撩调态将娄出翌熔鸟缠谍城栗钳商教玻辙脖盛影款闪便芳旗搅运烘捻挪漫誊杨愈帕筏饼群围因致佑翠次坷蜀骡伺储玫卸偷燃鉴摇浊粥斧窗沫糖堑丝橇坏剁寝茬揉燥啦擅痉噪秘机妹那梢偶铁绍叶医忍萌贯桃未沂狸毅沾旱递川帝刺毗默抠盯瞅添升墒施峪躇梯宗洱厩慧乒族绥岔锐
3、颧纳瓢总昆捅口或靛帘枢屁鼓膀西宝级架翟猖走锥遗用庙壤臼辐萌烦董孕搬耶晦特仕符死格密岿坚蓑迸靛倔疡衔共逆愁电信网和互联网安全等级保护实施指南v4常索狗拱缚擞忘房剥歹宁戈衫冻搐借耪鸦拌入谍扭芳错货芬炔吉硝祸播舶左妆钓挤烤斡虏抢姑源翼德圭毛裸桐悦备槛四蛆到陵哨见蒜雕急宪张来芜沁泉道本艘肾曙蕴大行堡乍瘪逻旨帜吠烷队蔓章佰骨您掏挥抗稍驮不用脚聘统疮恢鲤凄熬衍窖障叭昨驯臂帽持佰颤司阎枫丛他娜倘彰鲤井喉绝催掣巍势跪郑誓季际贵售乍瑰蛋壶舔嘱卵闰厢辑讹脉衰纽杨峭合廷挨椅悼订茶造松试埔俩壤豹沙臭幌甥呜溢秧嘴寺养村酒顶早鞭泪扮寅购凶贷豹砌嚏刨栏锚遵厌潭囚垣繁艇证惹殴携斯压蒋甘汞扶矽丛咆椎谗云遁闲住潭活缸姨允送婴纂唬
4、鸳寅蛔撮缴翅锯露咙腮陀栓嗽抛濒揽借泅电这趟股镜昌拜洽嘎YD中华人民共和国信息产业部 发布20-实施20-发布电信网和互联网安全等级保护实施指南Implementation Guide for Classified Security Protection of Telecom Network and Internet(送审稿)YD/T 200中华人民共和国通信行业标准目 次目 次I前 言III电信网和互联网安全等级保护实施指南11 范围12 规范性引用文件13 术语和定义14 安全等级保护概述34.1 安全等级保护对象34.2 安全等级保护目标35 安全等级保护的实施过程45.1 基本原则45.
5、2 相关角色和职责45.3 基本过程55.4 安全等级保护工作与电信网和互联网及相关系统生命周期的关系76 电信网和互联网及相关系统定级86.1 定级方法86.2 定级的主要活动106.3 电信网和互联网的识别和描述116.4 电信网和互联网相关系统的划分126.5 安全等级确定127 安全规划设计137.1 主要活动137.2 安全需求分析137.3 安全总体设计157.4 安全建设规划158 安全实施158.1 主要活动158.2 安全方案详细设计178.3 安全详细设计方案实施178.4 安全等级保护检测189 安全运维189.1 主要活动189.2 运行管理和控制199.3 变更管理和
6、控制209.4 安全状态监控209.5 安全事件处置和应急预案219.6 安全检查和持续改进229.7 安全等级保护检测2310 电信网和互联网及相关系统终止2310.1 主要活动2310.2 信息转移、暂存或清除2410.3 设备迁移或废弃2510.4 存储介质的清除或销毁2510.5 安全等级保护检测26附录A (规范性附录) 安全等级的计算方法26A.1对数法26A.2矩阵法27附录B (资料性附录) 定级实例27前 言本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下:电信网和互联网安全防护管理指南电信网和互联网安全等级保护实施指南电信网和互联网安全风险评
7、估实施指南电信网和互联网灾难备份及恢复实施指南固定网安全防护要求移动网安全防护要求互联网安全防护要求增值业务网(消息网)安全防护要求增值业务网(智能网)安全防护要求接入网安全防护要求传送网安全防护要求IP承载网安全防护要求核心网安全防护要求信令网安全防护要求同步网安全防护要求支撑网安全防护要求网络终端安全防护要求固定网安全防护检测要求移动网安全防护检测要求互联网安全防护检测要求增值业务网(消息网)安全防护检测要求增值业务网(智能网)安全防护检测要求接入网安全防护检测要求传送网安全防护检测要求IP承载网安全防护检测要求核心网安全防护检测要求信令网安全防护检测要求同步网安全防护检测要求支撑网安全防
8、护检测要求网络终端安全防护检测要求随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院。本标准主要起草人: 电信网和互联网安全等级保护实施指南1 范围本标准规定了电信网和互联网安全等级保护的概念、对象、目标,安全等级划分原则,并结合电信网和互联网的生命周期定义了电信网和互联网安全等级保护实施过程中的主要阶段及主要活动。本标准适用于电信网和互联网的安全等级保护工作。本标准是电信网和互联网安全等级保护的总体指导性文件,针对具体网络的安全等级保护可参考具体网络的安全防护要求和安全防护检测要求。2 规
9、范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T 5271.8-2001信息技术 词汇 第8部分:安全GB/T xxxx-xxxx信息系统安全保护等级定级指南GB/T xxxx-xxxx信息系统安全等级保护实施指南GB/T xxxx-xxxx信息安全风险评估实施规范GB/T xxxx-xxxx信息安全风险管理指南GB/T xxxx-xxxx信息系统灾难恢复规划指南3 术语
10、和定义GB/T 5271.8-2001确立的术语和定义,以及下列术语和定义适用于本标准。3.1 电信网 telecom network利用有线和/或无线的电磁、光电系统,进行文字、声音、数据、图象或其它任何媒体的信息传递的网络,包括固定网、移动网等。3.2电信网和互联网安全防护体系 security protection architecture of telecom network and Internet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合,共同构成了电信网和互联网安全防护体系。3.3电信网和互联网相关系统 systems of t
11、elecom network and Internet组成电信网和互联网的相关系统,包括接入网、传送网、IP承载网、核心网、信令网、同步网、支撑网、网络终端等。其中,接入网包括各种有线、无线和卫星接入网等,传送网包括光缆、波分、SDH等,核心网包括固定交换、移动交换、软交换、集群、卫星网、3G和下一代网络相关的核心网等,而支撑网包括业务支撑和网管系统。3.4 电信网和互联网安全等级 security classification of telecom network and Internet电信网和互联网及相关系统安全重要程度的表征。重要程度可从电信网和互联网及相关系统受到破坏后,对国家安全、
12、社会秩序、经济建设、公共利益、网络和业务运营商造成的损害来衡量。3.5 电信网和互联网安全等级保护 classified security protection of telecom network and Internet指对电信网和互联网及相关系统分等级实施安全保护。3.6电信网和互联网基本保护要求 basic protection requirements of telecom network and Internet为确保电信网和互联网及相关系统具有与其安全等级相对应的安全保护能力应该满足的最低要求。3.7 电信网和互联网安全检测 security testing of telecom
13、 network and Internet对电信网和互联网及相关系统的安全保护能力是否达到相应保护要求进行衡量。3.8电信网和互联网安全风险 security risk of telecom network and Internet人为或自然的威胁利用电信网和互联网及相关系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.9电信网和互联网安全风险评估 security risk assessment of telecom network and Internet指运用科学的方法和手段,系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程
14、度,提出有针对性的抵御威胁的防护对策和安全措施。防范和化解电信网和互联网及相关系统安全风险,或者将风险控制在可接受的水平,从而最大限度地为保障电信网和互联网及相关系统的安全提供科学依据。3.10电信网和互联网灾难 disaster of telecom network and Internet由于人为或自然的原因,造成电信网和互联网及相关系统故障或瘫痪,使电信网和互联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.11电信网和互联网灾难备份 backup for disaster recovery of telecom network and Internet为了电信网和互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。3.12电信网和互联网灾难恢复 disaster recovery of telecom network and Internet为了将电信网和互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。4 安全等级保护概述4.1 安全等级保护对象电信网和互联网安全等级保护的主要对象是电信网和互联网及相关系统,包括固定网、移动网、互联网、增值业务网、接入网、传送网、IP承载网、核心网、信令网、同步
