《18.电信网和互联网安全防护管理指南.docx》由会员分享,可在线阅读,更多相关《18.电信网和互联网安全防护管理指南.docx(5页珍藏版)》请在优知文库上搜索。
1、电信网和互联网安全防护管理指南1范围本标准对电信网和互联网安全防护的定义目标、原则进行了描述和规范.同时,对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。本标准适用于电信网和互联网的安全防护工作.本标准涉及的电信网和互联网不包括专用网,仅指公众电信网和公众互联网,2规范性引用文件I:列文件中的条款通过本标准的引用丽成为指导性技术文件的条款.凡是注日期的引用文件,其随后所有的修改中.(不包括勘误的内容)或修订版均不适用于本标准.然而,鼓励根据木标准达成协议的各方研究是否可使用这些文件的此新版本。凡是不注口期的引用文件,其最新版本适用于本标准。GB/T5271.8-2001
2、信息技术词汇第8部分:安全.3术语和定义GB/T5271.8-2001确立的术语和定义以及卜列术语和定义适用于本标准“3.1 电信网TeIeCoaNetvork利用有线和,或无线的电磁、光电系统,进行文字、声音、数据、图像或其他任何媒体的信总传递的网络,包括固定通信网、移动通信网等e3.2 互联网Intemet泛报广域网、局域网及终端(包括计算机、手机等)通过交换机、路由器、网络接入设备等基于定的通信协议连接形成的,功能和逻辑上的大型网络。3.3 电信网和互联网安全防护体系SecurityProtectionArchitectureofTe1.ecoaNetworkandInteaet电信网和
3、互联网的安全等级保护、安全风险评估、灾难符份及恢更三项工作互为依托、互为补充、相互配合.共同构成电信网和互联网安全防护体系。3.4 刮网和互联网安全等S1.SecurityC1.assificationofTe1.econNetvorkandInternet电信网和互联网及相关系统也要程度的表征.也要程度从电信网和互联网及相关系统受到破坏后,对国家安全、社会秩序、。经济运行、公共利益、网络和业务运营商造成的损方来衡量。3.5 电信网和互联网安全等fit保护C1.assifiedSecurityProtectionofTe1.ecoaNetworkandInternet指对电信网和互联网及相关系
4、统分等级实施安全保护.3.6 电信网和互联网安全风险SeCUrityriskofTe1.ecoaNetworkandInternet人为或自然的喊胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成的影响.3.7 电信网和互联网安全风险评估SeCUrityRiskAssessaentofTe1.ecomNetWOriCandInternet指运用科学的方法和手段系统地分析电信网和互联网及相关系统所面临的喊胁及其存在的脆弱性,评估安全事件一旦发生,可能造成的危害程度,提出有针对性的抵御成胁的防护射策和安全措施,防范和化解电信网和互朕网及相关系统安全风陷,将风险控制在可接
5、受的水平,为G大限度地保障电信网和互联网及相关系统的安全提供科学依据.3.8 电信网和互联网灾难DisasterofTe1.ecoaNetworkandInternet由于各种原因,造成电信网和互联网及相关系统故障或瘫痪,使电信网和互联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件,3.9电信网和互联网灾魔备份BaCkUPforDisasterRecoveryofTe1.ecoaNetworkandInteaet为J电信网和互联网及相关系统灾难恢史而对相关网络要索进行备份的过程。3.10电信网和互联网灾魔恢况DisasterRecoveryofTe1.ecoaNe
6、tworkandInternet为了将电信网和互联网及相关系统从灾难造成的故障或掰疾状态恢受到正常运行状态或部分正常运行状态并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。4目标和原则电信网和互联网安全防护工作的目标就是要加强电信网和互联网的安全防护能力,确保网络的安全性和可靠性,尽可能实现对电信网和互联网安全状况的实时掌控,保证电信网和互联网能锣完成其使命.为了实现该目标网络和业务运营商、设备制造商要充分考虑电信网和互联网不同等级的安全要求,从环境因素以及人为因素分析电佶网和互联网面临的威胁,从技术和管理两个方面分析电信网和耳联网存在的脆弱性.充分考虑现有安全
7、措施,分析电信网和互联网现存风险,平衡效益与成本.制定灾难备份及恢复计划,将电信网和互联网的安全控制在可接受的水平.电信网和互联网安全防护工作要在适度安全原则的指导下,采用自主保护和更点保护方法,在安全防护工作安排部署过程中遵循标准性、可控性、完备性、最小影阴和保密摩则,实现同步建设、统筹兼顾、经济实用和循序渐进地进行安全防护工作一一适度安全原则:安全防护工作的根本性原则。安全防护工作应根据电信网和互联网的安全等线,平衡效益与成本-采取适度的安全技术和管理措施,一一标准性晚则:安全防护工作开展的指导性原则.指电信网和互联网安全防护工作的开展应遵循相关的国家或行业标准.一一可控性原则:指电信网和
8、互联网安全防护工作的可控性,包括以下三个方面: 人员可控性:相关的安全防护工作人员应具备可靠的政治家侦、职业素侦和专业素质。相关安全防护工作的检测机构应具有主管部门授权的电信网和互联网安全防护检测服务资质. 工具可控性:要充分了解安全防护工作中所使用的技术工具,并进行一些实验.确保这些技术工具能被正确地使用。 项目过程可控性:要对整个安全防护项目进行科学的项目管理,实现项目过程的可控性.一一先特性原则:安全防护工作要覆蛊电信网和互联网的安全范围。一一城小影咱原则:从项目管理层面和技术管理层面,将安全防护工作对电信网和互联网正常运行的可能影里降低到最低限度.-保密性原则:相关安全防护工作人狗应维
9、署协议,承诺对所进行的安全防护工作保密,确保不治假电信网和互联网及安全防护工作的重要和敏感信息,5安全防护体系电信网和互联网安全防护范畤包括基础电信运营企业运营的传输、承载各类电信业芬的公共电信网(含公共互联网)及其蛆成部分,支择和管理公共龟信网及电信业务的业务单元和控制单元以及企业办公系统(含文件管理系统、员工邮件系统、决策支持系统、人事管理系统等)、客服呼叫中心、企业门户网站等非核心生产单元.此外,电信网络安全防护工作的范围还包括经营性互联网信息服务单位、移动信息服务总位、互联网接入服务取位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。根据电信网和互联网安全防护池防,建立
10、的电信网和互联网安全防护体系如图1所示。整个体系分为三层,第一层为整个安全防护体系的总体指导性规范.明确了对电信网和互联网安全防护的定义、目标、原则,并说明了安全防护体系的组成.图1电信用和互联网安全防护体系第二层从宏观的角度明确了如何进行安全防护工作,规范了安全防护体系中安全等级保护、安全风险评估、灾难生份及恢复三部分工作的原则、流程、方法、步骤等。第三层具体规定了电信网和互联网安全防护工作的要求,即安全防护要求和安全防护检测要求.根据电信网和互联网全程全网的特点,电信网和互联网的安全防护工作可从固定通信网、移动通信网、互联网、增值业务网、非核心生产单元来开展其中,互联网包括经打性互联网信息
11、服务单位、互联网接入服务单位、互朕网数据中心、互联网域名服务机构等单位运苜的网络或信息系统.增值业务网包括消息网、智能网等业务平台以及业务管理平台.时固定通信网、移动通信网、互联网实旅安全防护,应分别从构成上述网络的不同电信网和互联网相关系统入手,电信网和互联网相关系统包括接入网、传送网、IP承载网、信令网、同步网、支押网等.其中,接入网包括各种有线、无线和卫星接入网等,传送网包括光戡、波分、SDH,I.星等,而支撑网则包括业务支撑和网管系统.安全防护要求明确电信网和互联网及相关系统渐要落实的安全管理和技术措旅,涵养了安全等级保护、安全风险评估、灾难备份及恢更等三部分内容,其中安全等级保护工作
12、需要落实的物理环境和管理的安全等级保护要求被单独梃出作为电信网和互联网及相关系统的通用安全等级保护要求.安全防护检测要求与安全防护要求相对应,提供J对电信网和互联网安全防护工作进行检测的方法,从而确认网络和业务运营商、设备制造商在安全防护工作实嘛过程中是否满足了相关安全防护要求。随着电信网和互联网的发展,随着安全防护体系的进一步完善,笫三层的内容将进一步补充完笆。6安全等级保护电信网和互联网安全等级保护工作贯穿于电信网和互联网生命周期的各个阶段,是一个不断循环和不断提商的过程.首先-根据电信网和互联网及相关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利战、网络和业务运营商造成的损古程度
13、来确定安全等级,通过进一步分析电信网和互联网及相关系统的安全保护现状与安全等级保护要求之间的差距,确定安全需求,设计合理的、满足安全等级保护要求的总体安全方案,制定出安全建设规划,并进一步将其落实到电信网和互联网及楣关系统中,形成安全技术和管理体系.在电信网和互联网安全运维阶段,根据安全等级保护的需要对安全技术和管理体系不断调整和持续改进,确保电信网和互联两及相关系统湎足相应等级的安全要求:在安全资产终止阶段对信息、设备、介质进行终止处理时,防止檄力信息的泄露,保障电信网和互联网及相关系统的安全.安全等级保护工作的实施过程如图2所示.图2安全等级保护实施的基本过程7安全风险评估电信网和互联网安
14、全风I监评估应钻穿于电信网和互联网生命周期的各阶段中,在生命周期不同阶段的14险评估原则和方法是致的,在电佶网和互联网的安全风险评估工作中,应首先进行相关工作的掂备-通过安全风险分析计算电信网和互联网及相关系统的风险值,进而确定其风险等级和风险防范指旋。安全风险分析中要涉及资产、威胁、脆弱性等基本要素,每个要素有各自的属性.资产的属性是资产价假:威胁的属性可以是戒胁主体、影响时型、出现频率、动机等:施弱性的同性是资产的点的严理程度等,安全风除评估的实施流程如图3所示。图3安全风险评估实施的基本过程8灾难备份及恢复电信网和互联网灾难缶份及恢麓工作利用技术、管理手段以及相关资源,确保已有的电信网和
15、互联网在灾难发生后,在确定的时间内可以恢宴和继续运行。灾难备份及恢复工作需要防范包括地震、水灾等自然灾难以及火灾、战争、恐怖我击、网络攻击、设济系统故障、人为破坏等无法预料的突发事件,如图4所示,灾难备份及恢复匚作应根据安全等级保护确定的安全等级以及安全风险分析的相关结果进行需求分析-制定、实现相应的灾难备份及恢夏策略,并构建灾难恢笈预案,这是一个循环改进的过程。针对电信网和互联网的不周网络、不同或要级别的业务,灾难备份及饮红所要达到的目标是不同的.例如,在电信网和互联网中,对于普通语音业务,可以要求网络和业务运营商通过灾难备份及恢复工作,保证在灾难发生后尊地区的灾难不影响灾难发生地理他用以外
16、地区的语音业务,井H发生灾难的地区的语音业务能绯通过有效灾难修笈计划的实施,在一定时间范围(指标应与灾难级别对应内恢发通信.图1灾难备份及饮”实施的基水过程9安全等级保护、安全风险评估、灾难备份及恢复三者之间的关系电信网和互联网安全防护体系中的安全等级保护、安全风险评估、灾难备份及恢交兰者之间密切相关、互相渗透、互为补充。电佶两和互联网安全防护应将安全等级保护、安全风陵评估、灾难备份及恢笈工作有机结合,加屈相关工作之间的整合和衔接,保证电信网络安全防护工作的整体性、统一性和协调性.电信网络安全防护工作应按照根据被保护时望的座要性进行分等级保护的思想,通过安全风隐评估的方法正确认识被保护对象存在的腌的性和面临的威胁,进而制定、落实和改进与安全保护等级和风险大小相适应的一系列管理、技术、灾难备份等安全等级保护措施,
免费区 