版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、YD中華人民共和國信息產(chǎn)業(yè)部 發(fā)布20-實施20-發(fā)布電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實施指南Implementation Guide for Classified Security Protection of Telecom Network and Internet(送審稿)YD/T 200中華人民共和國通信行業(yè)標(biāo)準(zhǔn)目 次目 次I前 言III電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實施指南11 范圍12 規(guī)范性引用文件13 術(shù)語和定義14 安全等級保護(hù)概述34.1 安全等級保護(hù)對象34.2 安全等級保護(hù)目標(biāo)35 安全等級保護(hù)的實施過程45.1 基本原則45.2 相關(guān)角色和職責(zé)45.3 基本過程55.4 安全等級
2、保護(hù)工作與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期的關(guān)系76 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)定級86.1 定級方法86.2 定級的主要活動106.3 電信網(wǎng)和互聯(lián)網(wǎng)的識別和描述116.4 電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的劃分126.5 安全等級確定127 安全規(guī)劃設(shè)計137.1 主要活動137.2 安全需求分析137.3 安全總體設(shè)計157.4 安全建設(shè)規(guī)劃158 安全實施158.1 主要活動158.2 安全方案詳細(xì)設(shè)計178.3 安全詳細(xì)設(shè)計方案實施178.4 安全等級保護(hù)檢測189 安全運(yùn)維189.1 主要活動189.2 運(yùn)行管理和控制199.3 變更管理和控制209.4 安全狀態(tài)監(jiān)控209.5 安全事件處置和
3、應(yīng)急預(yù)案219.6 安全檢查和持續(xù)改進(jìn)229.7 安全等級保護(hù)檢測2310 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)終止2310.1 主要活動2310.2 信息轉(zhuǎn)移、暫存或清除2410.3 設(shè)備遷移或廢棄2510.4 存儲介質(zhì)的清除或銷毀2510.5 安全等級保護(hù)檢測26附錄A (規(guī)范性附錄) 安全等級的計算方法26A.1對數(shù)法26A.2矩陣法27附錄B (資料性附錄) 定級實例27前 言本標(biāo)準(zhǔn)是“電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系”系列標(biāo)準(zhǔn)之一。該系列標(biāo)準(zhǔn)預(yù)計結(jié)構(gòu)及名稱如下:電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)管理指南電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實施指南電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險評估實施指南電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)實施指南固定網(wǎng)安
4、全防護(hù)要求移動網(wǎng)安全防護(hù)要求互聯(lián)網(wǎng)安全防護(hù)要求增值業(yè)務(wù)網(wǎng)(消息網(wǎng))安全防護(hù)要求增值業(yè)務(wù)網(wǎng)(智能網(wǎng))安全防護(hù)要求接入網(wǎng)安全防護(hù)要求傳送網(wǎng)安全防護(hù)要求IP承載網(wǎng)安全防護(hù)要求核心網(wǎng)安全防護(hù)要求信令網(wǎng)安全防護(hù)要求同步網(wǎng)安全防護(hù)要求支撐網(wǎng)安全防護(hù)要求網(wǎng)絡(luò)終端安全防護(hù)要求固定網(wǎng)安全防護(hù)檢測要求移動網(wǎng)安全防護(hù)檢測要求互聯(lián)網(wǎng)安全防護(hù)檢測要求增值業(yè)務(wù)網(wǎng)(消息網(wǎng))安全防護(hù)檢測要求增值業(yè)務(wù)網(wǎng)(智能網(wǎng))安全防護(hù)檢測要求接入網(wǎng)安全防護(hù)檢測要求傳送網(wǎng)安全防護(hù)檢測要求IP承載網(wǎng)安全防護(hù)檢測要求核心網(wǎng)安全防護(hù)檢測要求信令網(wǎng)安全防護(hù)檢測要求同步網(wǎng)安全防護(hù)檢測要求支撐網(wǎng)安全防護(hù)檢測要求網(wǎng)絡(luò)終端安全防護(hù)檢測要求隨著電信網(wǎng)和互聯(lián)網(wǎng)的
5、發(fā)展,將不斷補(bǔ)充和完善電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系的相關(guān)標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)由中國通信標(biāo)準(zhǔn)化協(xié)會提出并歸口。本標(biāo)準(zhǔn)起草單位:信息產(chǎn)業(yè)部電信研究院。本標(biāo)準(zhǔn)主要起草人: 電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實施指南1 范圍本標(biāo)準(zhǔn)規(guī)定了電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)的概念、對象、目標(biāo),安全等級劃分原則,并結(jié)合電信網(wǎng)和互聯(lián)網(wǎng)的生命周期定義了電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實施過程中的主要階段及主要活動。本標(biāo)準(zhǔn)適用于電信網(wǎng)和互聯(lián)網(wǎng)的安全等級保護(hù)工作。本標(biāo)準(zhǔn)是電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)的總體指導(dǎo)性文件,針對具體網(wǎng)絡(luò)的安全等級保護(hù)可參考具體網(wǎng)絡(luò)的安全防護(hù)要求和安全防護(hù)檢測要求。2 規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)
6、準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn),然而,鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。GB/T 5271.8-2001信息技術(shù) 詞匯 第8部分:安全GB/T xxxx-xxxx信息系統(tǒng)安全保護(hù)等級定級指南GB/T xxxx-xxxx信息系統(tǒng)安全等級保護(hù)實施指南GB/T xxxx-xxxx信息安全風(fēng)險評估實施規(guī)范GB/T xxxx-xxxx信息安全風(fēng)險管理指南GB/T xxxx-xxxx信息系統(tǒng)災(zāi)難恢復(fù)規(guī)劃指南3 術(shù)語和定義GB/T 5271.8-2001確立的術(shù)語和定義
7、,以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1 電信網(wǎng) telecom network利用有線和/或無線的電磁、光電系統(tǒng),進(jìn)行文字、聲音、數(shù)據(jù)、圖象或其它任何媒體的信息傳遞的網(wǎng)絡(luò),包括固定網(wǎng)、移動網(wǎng)等。3.2電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系 security protection architecture of telecom network and Internet電信網(wǎng)和互聯(lián)網(wǎng)的安全等級保護(hù)、安全風(fēng)險評估、災(zāi)難備份及恢復(fù)三項工作互為依托、互為補(bǔ)充、相互配合,共同構(gòu)成了電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系。3.3電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng) systems of telecom network and Internet
8、組成電信網(wǎng)和互聯(lián)網(wǎng)的相關(guān)系統(tǒng),包括接入網(wǎng)、傳送網(wǎng)、IP承載網(wǎng)、核心網(wǎng)、信令網(wǎng)、同步網(wǎng)、支撐網(wǎng)、網(wǎng)絡(luò)終端等。其中,接入網(wǎng)包括各種有線、無線和衛(wèi)星接入網(wǎng)等,傳送網(wǎng)包括光纜、波分、SDH等,核心網(wǎng)包括固定交換、移動交換、軟交換、集群、衛(wèi)星網(wǎng)、3G和下一代網(wǎng)絡(luò)相關(guān)的核心網(wǎng)等,而支撐網(wǎng)包括業(yè)務(wù)支撐和網(wǎng)管系統(tǒng)。3.4 電信網(wǎng)和互聯(lián)網(wǎng)安全等級 security classification of telecom network and Internet電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全重要程度的表征。重要程度可從電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到破壞后,對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商造成的損
9、害來衡量。3.5 電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù) classified security protection of telecom network and Internet指對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)分等級實施安全保護(hù)。3.6電信網(wǎng)和互聯(lián)網(wǎng)基本保護(hù)要求 basic protection requirements of telecom network and Internet為確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)具有與其安全等級相對應(yīng)的安全保護(hù)能力應(yīng)該滿足的最低要求。3.7 電信網(wǎng)和互聯(lián)網(wǎng)安全檢測 security testing of telecom network and Internet對電信網(wǎng)和互
10、聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)能力是否達(dá)到相應(yīng)保護(hù)要求進(jìn)行衡量。3.8電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險 security risk of telecom network and Internet人為或自然的威脅利用電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。3.9電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險評估 security risk assessment of telecom network and Internet指運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護(hù)對策和安全措施。防范和
11、化解電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全風(fēng)險,或者將風(fēng)險控制在可接受的水平,從而最大限度地為保障電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全提供科學(xué)依據(jù)。3.10電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難 disaster of telecom network and Internet由于人為或自然的原因,造成電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)故障或癱瘓,使電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)支持的業(yè)務(wù)功能停頓或服務(wù)水平不可接受、達(dá)到特定的時間的突發(fā)性事件。3.11電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份 backup for disaster recovery of telecom network and Internet為了電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)災(zāi)難恢復(fù)而對相關(guān)網(wǎng)絡(luò)要素進(jìn)
12、行備份的過程。3.12電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難恢復(fù) disaster recovery of telecom network and Internet為了將電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到正常運(yùn)行狀態(tài)或部分正常運(yùn)行狀態(tài)、并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài),而設(shè)計的活動和流程。4 安全等級保護(hù)概述4.1 安全等級保護(hù)對象電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)的主要對象是電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng),包括固定網(wǎng)、移動網(wǎng)、互聯(lián)網(wǎng)、增值業(yè)務(wù)網(wǎng)、接入網(wǎng)、傳送網(wǎng)、IP承載網(wǎng)、核心網(wǎng)、信令網(wǎng)、同步網(wǎng)、支撐網(wǎng)、網(wǎng)絡(luò)終端等。其中,增值業(yè)務(wù)網(wǎng)則包括消息網(wǎng)、智能網(wǎng)等業(yè)務(wù)平臺以及業(yè)務(wù)管理平臺
13、,接入網(wǎng)包括各種有線、無線和衛(wèi)星接入網(wǎng)等,傳送網(wǎng)包括光纜、波分、SDH等,核心網(wǎng)包括固定交換、移動交換、軟交換、集群、衛(wèi)星網(wǎng)、3G和下一代網(wǎng)絡(luò)相關(guān)的核心網(wǎng)等,支撐網(wǎng)包括業(yè)務(wù)支撐和網(wǎng)管系統(tǒng)。安全等級保護(hù)的具體工作涉及到對電信網(wǎng)和互聯(lián)網(wǎng)分等級實施安全保護(hù)、對電信網(wǎng)和互聯(lián)網(wǎng)中使用的安全產(chǎn)品實行分等級管理、對電信網(wǎng)和互聯(lián)網(wǎng)中發(fā)生的安全事件分等級處理等內(nèi)容。本標(biāo)準(zhǔn)主要關(guān)注于對電信網(wǎng)和互聯(lián)網(wǎng)分等級實施安全保護(hù)提供指導(dǎo),關(guān)于國家對電信網(wǎng)和互聯(lián)網(wǎng)使用的安全產(chǎn)品實行分等級管理以及電信網(wǎng)和互聯(lián)網(wǎng)發(fā)生的安全事件實行分等級處理的管理參見其它的相關(guān)標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)后續(xù)內(nèi)容中所指的“安全等級保護(hù)”,其含義均為“對電信網(wǎng)和互聯(lián)
14、網(wǎng)分等級實施安全保護(hù)”。4.2 安全等級保護(hù)目標(biāo)安全等級保護(hù)的目標(biāo)是通過對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全等級劃分,按照本系列標(biāo)準(zhǔn)中的安全等級保護(hù)要求進(jìn)行規(guī)劃、建設(shè)、運(yùn)維、管理和監(jiān)督,從而加強(qiáng)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全防護(hù)能力,確保其安全性和可靠性。主管部門對不同安全等級的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)提出不同的基本保護(hù)要求,實行不同等級的監(jiān)管,這些基本保護(hù)要求是保障各等級電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全的最基本要求。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)應(yīng)能夠滿足其所屬安全等級的基本保護(hù)要求。電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)工作可以實現(xiàn)對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)重點(diǎn)保護(hù)和有效保護(hù)的目的,增強(qiáng)安全保護(hù)的整體性、針對性和
15、實效性,使電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全建設(shè)能夠突出重點(diǎn)、統(tǒng)一規(guī)范、科學(xué)合理。5 安全等級保護(hù)的實施過程5.1 基本原則電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)工作應(yīng)首先滿足電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)工作提出的適度安全原則、標(biāo)準(zhǔn)性原則、可控性原則、完備性原則、最小影響原則以及保密性原則。在此基礎(chǔ)上,電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)工作在實施過程中還應(yīng)重點(diǎn)遵循以下原則:a) 自主保護(hù)原則在主管部門的監(jiān)督指導(dǎo)下,各網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商遵照本系列標(biāo)準(zhǔn)中確定的安全等級,對本單位的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)自主實施安全保護(hù)。b) 同步建設(shè)原則各運(yùn)營商在對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行新建、改建、擴(kuò)建時,應(yīng)當(dāng)同步規(guī)劃和設(shè)計其安全方案,投
16、入一定比例的資金實施安全方案,保障電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)與其所屬安全等級的要求相適應(yīng)。c) 重點(diǎn)保護(hù)原則通過對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)劃分不同的安全等級,提出不同程度的安全保護(hù)要求,實現(xiàn)不同等級的安全保護(hù),集中資源優(yōu)先保護(hù)關(guān)鍵的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)。d) 適當(dāng)調(diào)整原則跟蹤電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的變化情況調(diào)整其安全等級,并根據(jù)安全等級的調(diào)整情況及時調(diào)整相應(yīng)的安全保護(hù)措施。5.2 相關(guān)角色和職責(zé)對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)實施安全等級保護(hù)的過程中涉及到各類組織和人員,不同組織和人員將會參與不同或相同的活動。安全等級保護(hù)實施過程中各類角色及其職責(zé)如下:a) 主管部門主管部門的主要職責(zé)是監(jiān)督、管
17、理網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商遵照本系列標(biāo)準(zhǔn)中確定的安全等級和安全等級保護(hù)的要求對其管轄的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全等級保護(hù);對網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商的安全等級保護(hù)工作開展情況進(jìn)行檢查,發(fā)現(xiàn)存在安全隱患或未達(dá)到安全等級保護(hù)要求的,責(zé)令其限期整改。安全等級保護(hù)工作的主管部門是信息產(chǎn)業(yè)部和相關(guān)電信管理局。b) 網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商的主要職責(zé)是根據(jù)本系列標(biāo)準(zhǔn)中確定的安全等級和安全等級保護(hù)的要求對其管轄的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全等級保護(hù)的實施工作,包括規(guī)劃設(shè)計、建設(shè)施工、運(yùn)維、廢棄等;對安全等級是自主保護(hù)級的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng),加強(qiáng)其自主保護(hù)工作,對安全等級是指導(dǎo)保護(hù)級、監(jiān)督保護(hù)級的電信
18、網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng),根據(jù)主管部門的要求上報其等級保護(hù)工作的實施情況;定期對其管轄的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全狀況檢查,及時消除安全隱患和漏洞;加強(qiáng)和完善自身安全等級保護(hù)制度的建設(shè),制定不同等級安全事件的響應(yīng)、處置預(yù)案,加強(qiáng)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全管理。c) 設(shè)備制造商設(shè)備制造商的主要職責(zé)是遵照本系列標(biāo)準(zhǔn)中的安全等級保護(hù)要求開發(fā)安全的網(wǎng)絡(luò)設(shè)備,提交網(wǎng)絡(luò)設(shè)備進(jìn)行入網(wǎng)測試,并且銷售安全的網(wǎng)絡(luò)設(shè)備。d) 檢測機(jī)構(gòu)檢測機(jī)構(gòu)必須是由信息產(chǎn)業(yè)部授權(quán)的具有安全防護(hù)檢測服務(wù)資質(zhì)的機(jī)構(gòu)。檢測機(jī)構(gòu)的主要職責(zé)是根據(jù)主管部門或網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商的委托,按照本系列標(biāo)準(zhǔn)對已經(jīng)完成安全等級保護(hù)建設(shè)的電信網(wǎng)和互聯(lián)網(wǎng)
19、及相關(guān)系統(tǒng)進(jìn)行安全檢測。e) 安全服務(wù)商安全服務(wù)商應(yīng)按照國家和信息產(chǎn)業(yè)部的相關(guān)規(guī)定,在本系列標(biāo)準(zhǔn)的指導(dǎo)下,根據(jù)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商的要求協(xié)助其實施安全等級保護(hù)工作。5.3 基本過程雖然安全等級保護(hù)是一個不斷循環(huán)和不斷提高的過程,但是實施安全等級保護(hù)的一次完整過程是可以區(qū)分清楚的,包括五個主要階段:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)定級、安全規(guī)劃設(shè)計、安全實施、安全運(yùn)維、電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)終止。如圖1所示。圖1 安全等級保護(hù)實施的基本過程安全等級保護(hù)的五個主要階段及其主要活動為:a) 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)定級階段定級階段主要包括對電信網(wǎng)和互聯(lián)網(wǎng)的識別和描述、電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的劃分以及電信網(wǎng)和互
20、聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全等級確定等幾個主要安全活動。通過對電信網(wǎng)和互聯(lián)網(wǎng)的識別和描述,進(jìn)一步劃分電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng),根據(jù)本標(biāo)準(zhǔn)中的定級方法科學(xué)準(zhǔn)確地確定各電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級。b) 安全規(guī)劃設(shè)計階段安全規(guī)劃設(shè)計階段主要包括安全需求分析、安全總體設(shè)計、安全建設(shè)規(guī)劃等幾個主要活動。通過安全需求分析判斷電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)現(xiàn)狀與安全防護(hù)要求中安全等級保護(hù)要求之間的差距,確定安全需求;然后根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的實際情況,設(shè)計出合理的、滿足安全等級保護(hù)要求的總體安全方案,并制定出安全建設(shè)的規(guī)劃,以指導(dǎo)后續(xù)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全建設(shè)工程實施。c) 安全實施階段安
21、全實施階段主要包括安全方案詳細(xì)設(shè)計、詳細(xì)設(shè)計方案的實施、安全等級保護(hù)檢測等幾個主要活動。通過安全方案詳細(xì)設(shè)計,將規(guī)劃設(shè)計階段的總體安全方案和安全建設(shè)方案具體落實到電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中去,最終提交滿足安全需求的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)、配套的安全技術(shù)和管理體系。在網(wǎng)絡(luò)實際運(yùn)行之前,需要由主管部門組織并委托檢測機(jī)構(gòu)對安全等級保護(hù)工作的實施情況進(jìn)行檢測,確保其達(dá)到安全防護(hù)要求。d) 安全運(yùn)維階段安全運(yùn)維階段需要進(jìn)行的安全控制活動很多,本標(biāo)準(zhǔn)描述一些重要的安全控制活動。通過運(yùn)行管理和控制、變更管理和控制、對安全狀態(tài)進(jìn)行監(jiān)控,對發(fā)生的安全事件及時響應(yīng),確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)正常運(yùn)行;通過安全
22、檢查和持續(xù)改進(jìn)不斷跟蹤電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的變化,并依據(jù)變化調(diào)整其安全等級和措施,確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)滿足相應(yīng)安全等級的要求。e) 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)終止階段 終止階段的主要活動包括對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中的信息轉(zhuǎn)移、暫存或清除,對設(shè)備遷移或廢棄,對存儲介質(zhì)的清除或銷毀。核心關(guān)注點(diǎn)是對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中過時或無用部分進(jìn)行報廢處理的過程,防止敏感信息泄漏。在安全運(yùn)維階段,當(dāng)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)局部調(diào)整等原因?qū)е掳踩胧┑淖兓瘯r,如果不影響其安全等級,應(yīng)從安全運(yùn)維階段進(jìn)入安全實施階段,重新調(diào)整和實施安全措施,確保滿足安全等級保護(hù)的要求;當(dāng)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)發(fā)
23、生重大變更影響其安全等級時,應(yīng)從安全運(yùn)維階段進(jìn)入定級階段,重新開始一次安全等級保護(hù)的實施過程。5.4 安全等級保護(hù)工作與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期的關(guān)系電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的生命周期包括五個階段,即啟動階段、設(shè)計階段、實施階段、運(yùn)維階段和廢棄階段。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級保護(hù)工作將貫穿其生命周期的各個階段。安全等級保護(hù)工作可分為:對新建電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級保護(hù)和對已建電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級保護(hù),兩者在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期中的切入點(diǎn)是不同的,但是安全等級保護(hù)工作的主要活動基本相同,其安全等級保護(hù)過程與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期的關(guān)系
24、如圖2所示。圖2 安全等級保護(hù)過程與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期的關(guān)系新建的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)在生命周期中的各個階段應(yīng)同步考慮安全等級保護(hù)的主要活動。在啟動階段,應(yīng)該仔細(xì)分析和合理劃分各個電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng),確定各個電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級,定級過程也可能在設(shè)計階段;在設(shè)計階段,應(yīng)該根據(jù)各個電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級,進(jìn)行安全規(guī)劃設(shè)計;在實施階段,應(yīng)在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)建設(shè)的同時,同步進(jìn)行安全措施的實施;在運(yùn)維階段,應(yīng)按照本系列標(biāo)準(zhǔn)中安全等級保護(hù)的要求進(jìn)行安全運(yùn)維;在廢棄階段,應(yīng)對廢棄的設(shè)備、信息或存儲介質(zhì)等進(jìn)行有效的安全管理。已建的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)
25、系統(tǒng)通常處于運(yùn)維階段,由于在啟動階段、設(shè)計階段和實施階段可能沒有同步考慮安全等級保護(hù)的要求或者對安全等級保護(hù)的要求考慮不足,因此應(yīng)在運(yùn)維階段啟動安全等級保護(hù)工作,安全等級保護(hù)過程中的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)定級、安全規(guī)劃設(shè)計、安全實施的主要活動都將在生命周期的運(yùn)維階段完成。由于是已經(jīng)存在的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng),工作的重點(diǎn)是在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上,根據(jù)安全等級保護(hù)要求,在安全規(guī)劃設(shè)計階段如何制定滿足要求的補(bǔ)充的安全建設(shè)方案,在安全實施階段如何保證在不影響現(xiàn)有業(yè)務(wù)/應(yīng)用的情況下,分步驟分階段分目標(biāo)地使各類安全補(bǔ)救措施可以順利落實。在已建的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)基礎(chǔ)上進(jìn)行擴(kuò)容的安全等級保護(hù)工作,擴(kuò)
26、容部分應(yīng)與新建的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級保護(hù)過程一致。6 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)定級6.1 定級方法電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系中,確定安全等級是進(jìn)行安全等級保護(hù)的前提和基礎(chǔ),直接影響和指導(dǎo)安全防護(hù)體系中的安全風(fēng)險評估和災(zāi)難備份及恢復(fù)工作。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)應(yīng)根據(jù)本標(biāo)準(zhǔn)確定安全等級,以保證定級的科學(xué)性和準(zhǔn)確性。在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中進(jìn)行安全等級劃分的總體原則是:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到破壞后對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商的損害程度。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)可以劃分為三個安全等級,分別為自主保護(hù)級、指導(dǎo)保護(hù)級和監(jiān)督保護(hù)級,其中監(jiān)督保護(hù)級又分為
27、普通監(jiān)督保護(hù)級和重點(diǎn)監(jiān)督保護(hù)級。主管部門對不同級別的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)實行不同等級的監(jiān)管。第1級 自主保護(hù)級電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后僅對其所有者的利益產(chǎn)生損害,但是不損害國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益。本級按照通信行業(yè)安全標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。第2級 指導(dǎo)保護(hù)級電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后對社會秩序、經(jīng)濟(jì)建設(shè)、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商造成輕微損害。本級在主管部門的指導(dǎo)下,按照通信行業(yè)安全標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。第3級 監(jiān)督保護(hù)級分為兩種情況:3.1級 普通監(jiān)督保護(hù)級電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商造成較大損害
28、。本級按照通信行業(yè)安全標(biāo)準(zhǔn)進(jìn)行自主保護(hù),主管部門對其進(jìn)行監(jiān)督、檢查。3.2級 重點(diǎn)監(jiān)督保護(hù)級電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商造成嚴(yán)重?fù)p害。本級按照通信行業(yè)安全標(biāo)準(zhǔn)進(jìn)行自主保護(hù),主管部門對其進(jìn)行重點(diǎn)監(jiān)督、檢查。決定電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級的具體定級要素及其賦值如下:a)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會影響力電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會影響力表示其無法提供有效服務(wù)對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響程度,電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會影響力賦值如表1所示。表1 對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會影響力賦值表社會影響力定
29、義賦值電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響較小1電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響較大2電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響很大3電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響非常大4b)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性表示其提供的服務(wù)對網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商的影響程度。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性賦值如表2所示。表2 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所
30、提供服務(wù)的重要性賦值表所提供服務(wù)的重要性定義賦值電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性一般,無法提供服務(wù)對網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商產(chǎn)生較小的影響1電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性較高,無法提供服務(wù)對網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商產(chǎn)生較大的影響2電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性很高,無法提供服務(wù)對網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商產(chǎn)生很大的影響3電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性非常高,無法提供服務(wù)對網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商產(chǎn)生非常大的影響4c)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的規(guī)模和服務(wù)范圍電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的規(guī)模表示其服務(wù)的用戶數(shù)多少,服務(wù)范圍表示其服務(wù)的地區(qū)范圍大小,電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的規(guī)模和服務(wù)范圍
31、賦值如表3所示。表3 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的規(guī)模和服務(wù)范圍賦值表規(guī)模和服務(wù)范圍定義賦值電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)會對較少的用戶和較小地區(qū)造成影響1電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)會對較多的用戶和較大地區(qū)造成影響2電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)會對很多的用戶和很大地區(qū)造成影響3電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)會對非常多的用戶和非常大地區(qū)造成影響4在確定好電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會影響力、所提供服務(wù)的重要性、規(guī)模和服務(wù)范圍三個定級要素的賦值后,附錄A中列舉的幾種安全等級計算方法可做參考。安全等級確定可能不是一個過程就可以完成的,可能需要經(jīng)過定級要素賦
32、值、定級、定級結(jié)果調(diào)整的循環(huán)過程,最終才能確定出較為科學(xué)、準(zhǔn)確的安全等級。6.2 定級的主要活動定級階段主要活動如圖3所示。包括如下的主要活動:第1步 電信網(wǎng)和互聯(lián)網(wǎng)的識別和描述充分利用查詢相關(guān)文檔、編制調(diào)查表、與有關(guān)人員訪談、現(xiàn)場實地觀察等多種方式盡可能多地收集、分析和整理電信網(wǎng)和互聯(lián)網(wǎng)的相關(guān)信息,在此基礎(chǔ)上形成準(zhǔn)確的電信網(wǎng)和互聯(lián)網(wǎng)總體描述文件。第2步 電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的劃分將復(fù)雜的電信網(wǎng)和互聯(lián)網(wǎng)劃分為相對獨(dú)立的電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng),便于定級、規(guī)劃設(shè)計、實施、運(yùn)維和終止等安全等級保護(hù)活動的開展。第3步 安全等級確定依據(jù)本標(biāo)準(zhǔn)中的定級方法確定電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級。圖3 定
33、級階段的主要活動6.3 電信網(wǎng)和互聯(lián)網(wǎng)的識別和描述活動輸入:電信網(wǎng)和互聯(lián)網(wǎng)的技術(shù)文檔、管理文檔活動輸出:電信網(wǎng)和互聯(lián)網(wǎng)的總體描述文件活動描述:電信網(wǎng)和互聯(lián)網(wǎng)的識別和描述過程主要包括以下活動內(nèi)容:a) 識別電信網(wǎng)和互聯(lián)網(wǎng)的基本信息調(diào)查了解電信網(wǎng)和互聯(lián)網(wǎng)的企業(yè)特征、業(yè)務(wù)范圍、地理位置以及電信網(wǎng)和互聯(lián)網(wǎng)其它基本情況。b) 識別電信網(wǎng)和互聯(lián)網(wǎng)的管理信息了解電信網(wǎng)和互聯(lián)網(wǎng)的組織管理結(jié)構(gòu)、管理策略、部門設(shè)置和部門在電信網(wǎng)和互聯(lián)網(wǎng)運(yùn)行中的作用、崗位職責(zé),獲得支持電信網(wǎng)和互聯(lián)網(wǎng)運(yùn)營的管理方面的信息。c) 識別電信網(wǎng)和互聯(lián)網(wǎng)的技術(shù)信息了解電信網(wǎng)和互聯(lián)網(wǎng)的物理環(huán)境、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、硬件設(shè)備的部署情況、業(yè)務(wù)/應(yīng)用的種
34、類和特性、信息資產(chǎn)的重要性程度、用戶范圍和用戶類型等信息。d) 描述電信網(wǎng)和互聯(lián)網(wǎng)對收集的信息進(jìn)行整理、分析,形成電信網(wǎng)和互聯(lián)網(wǎng)的總體描述文件??傮w描述文件應(yīng)包含電信網(wǎng)和互聯(lián)網(wǎng)的基本情況、管理方面和技術(shù)方面的內(nèi)容。6.4 電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的劃分活動輸入:電信網(wǎng)和互聯(lián)網(wǎng)的總體描述文件活動輸出:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)描述文件活動描述:對電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的劃分包括以下主要的活動:a)劃分電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)依據(jù)電信網(wǎng)和互聯(lián)網(wǎng)總體描述文件,在綜合分析的基礎(chǔ)上將電信網(wǎng)和互聯(lián)網(wǎng)劃分為接入網(wǎng)、傳送網(wǎng)、IP承載網(wǎng)、核心網(wǎng)、信令網(wǎng)、同步網(wǎng)、支撐網(wǎng)、網(wǎng)絡(luò)終端等電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)。b)輸出
35、詳細(xì)描述文件對電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)劃分后,應(yīng)在總體描述文件的基礎(chǔ)上增加電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)劃分信息的描述,準(zhǔn)確描述分解后的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)信息,包括每個電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的概述、網(wǎng)絡(luò)架構(gòu)、設(shè)備部署、業(yè)務(wù)/應(yīng)用的列表、信息資產(chǎn)類型、服務(wù)范圍和用戶類型等技術(shù)和管理方面的內(nèi)容,最終形成詳細(xì)描述文件。6.5 安全等級確定活動輸入:電信網(wǎng)和互聯(lián)網(wǎng)的總體描述文件、電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)描述文件活動輸出:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級定級報告活動描述:安全等級的確定包括以下主要活動內(nèi)容:a) 確定電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級根據(jù)本標(biāo)準(zhǔn)中的定級方法確定各個電信網(wǎng)和互聯(lián)
36、網(wǎng)及相關(guān)系統(tǒng)的安全等級。電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的安全等級確定應(yīng)采取本標(biāo)準(zhǔn)的定級方法。固定網(wǎng)、移動網(wǎng)、互聯(lián)網(wǎng)和增值業(yè)務(wù)網(wǎng)的安全等級的確定可采取兩種方法:一種方法是通過本標(biāo)準(zhǔn)的定級方法直接確定安全等級,另一種方法是在構(gòu)成上述網(wǎng)絡(luò)的不同電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的安全等級基礎(chǔ)上,通過一定的算法(如取最高安全等級)得到網(wǎng)絡(luò)的安全等級。具體網(wǎng)絡(luò)的定級方法參見具體網(wǎng)絡(luò)的安全防護(hù)要求。b) 輸出定級結(jié)果文檔對總體描述文件、詳細(xì)描述文件、安全等級確定結(jié)果等內(nèi)容進(jìn)行整理,形成電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級定級報告。7 安全規(guī)劃設(shè)計7.1 主要活動圖4 安全規(guī)劃設(shè)計階段的主要活動網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商可依靠自身的技術(shù)力
37、量或在安全服務(wù)商的協(xié)助下對其管轄的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全規(guī)劃設(shè)計,安全規(guī)劃設(shè)計階段的主要活動內(nèi)容如圖4所示,包括:第1步 安全需求分析安全需求分析根據(jù)國家及企業(yè)的安全目標(biāo),首先判斷電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)現(xiàn)狀與安全防護(hù)要求中安全等級保護(hù)要求之間的差距,這種差距作為初步的安全需求;除上述安全需求外,還要通過風(fēng)險分析的方法確定額外的安全需求,這種需求反映在對特殊環(huán)境和威脅的安全保護(hù)要求,或?qū)χ匾獙ο蟮妮^高保護(hù)要求方面。通過現(xiàn)狀差距的分析和特殊要求的分析,明確完整的安全需求。第2步 安全總體設(shè)計安全總體設(shè)計根據(jù)安全需求分析報告和安全防護(hù)要求中的安全等級保護(hù)相關(guān)要求,設(shè)計滿足其所屬
38、的安全等級要求的安全總體方案,包括安全技術(shù)措施和安全管理措施。第3步 安全建設(shè)規(guī)劃安全建設(shè)規(guī)劃首先根據(jù)安全總體方案,結(jié)合企業(yè)中長期的發(fā)展規(guī)劃,制定安全建設(shè)的實施計劃,形成指導(dǎo)今后一段時間內(nèi)安全建設(shè)工作的安全建設(shè)規(guī)劃方案。7.2 安全需求分析活動輸入:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)描述文件、安全等級定級報告,電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險評估實施指南,其它文檔活動輸出:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全需求分析報告活動描述:安全規(guī)劃設(shè)計階段的安全需求分析包括以下主要活動內(nèi)容:a) 確定初步的安全需求通過調(diào)查或查閱資料等方式,確定具體進(jìn)行安全等級保護(hù)工作的對象,包括整體對象(如機(jī)房、辦公環(huán)境、網(wǎng)絡(luò)等)和具體對
39、象(如邊界設(shè)備、網(wǎng)關(guān)設(shè)備、服務(wù)器設(shè)備、工作站、應(yīng)用系統(tǒng)等);獲得電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的信息,包括技術(shù)和管理方面的信息,技術(shù)方面包括物理環(huán)境、網(wǎng)絡(luò)、設(shè)備、數(shù)據(jù)、業(yè)務(wù)/應(yīng)用等信息,管理方面包括安全管理機(jī)構(gòu)、安全管理制度、人員管理、網(wǎng)絡(luò)建設(shè)和運(yùn)維管理等信息。在此基礎(chǔ)上,將其對應(yīng)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全防護(hù)要求中等級保護(hù)的管理方面和技術(shù)方面的安全指標(biāo)作為依據(jù),通過觀察現(xiàn)場、詢問人員、查詢資料、檢查記錄等方式進(jìn)行安全管理方面的比較,通過觀察現(xiàn)場、詢問人員、查詢資料、檢查記錄、檢查配置、技術(shù)測試、滲透攻擊等方式進(jìn)行安全技術(shù)方面的比較,通過將安全等級保護(hù)對象的安全現(xiàn)狀與指標(biāo)進(jìn)行逐一對比,判斷安全
40、管理和技術(shù)的各個方面與等級保護(hù)要求中的基本安全要求之間的差距,給出初步的安全需求。b) 制定額外的安全需求在安全現(xiàn)狀和等級保護(hù)指標(biāo)對比后確定初步的安全需求基礎(chǔ)上,參照電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險評估實施指南,通過風(fēng)險評估可以確定額外的安全需求,即通過分析電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的重要資產(chǎn)的價值、資產(chǎn)的脆弱性、面臨的威脅、以及已經(jīng)采取的安全措施,判斷電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)可能存在的安全風(fēng)險,在初步的安全需求的基礎(chǔ)上,制定出額外的安全需求。對于電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中的關(guān)鍵系統(tǒng)和數(shù)據(jù),為確保在災(zāi)難發(fā)生后網(wǎng)絡(luò)能夠盡快恢復(fù)和繼續(xù)運(yùn)行,應(yīng)制定出有效的災(zāi)難備份及恢復(fù)的額外需求。在制定額外的安全需求時,應(yīng)明確
41、國家及企業(yè)的安全目標(biāo),借鑒以往建設(shè)的類似或相關(guān)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全需求,并且確保安全需求與其它相關(guān)標(biāo)準(zhǔn)或規(guī)范對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全需求不發(fā)生沖突。c) 輸出安全需求分析報告總結(jié)安全指標(biāo)對比結(jié)果和風(fēng)險評估的結(jié)果,獲得電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全現(xiàn)狀的匯總、與安全防護(hù)要求中安全等級保護(hù)要求的差距匯總和額外的安全需求的匯總,最終形成安全需求分析報告,報告中應(yīng)包括安全管理狀況和安全技術(shù)狀況。7.3 安全總體設(shè)計活動輸入:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)描述文件、安全等級定級報告、安全需求分析報告、安全防護(hù)要求活動輸出:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全總體方案活動描述:安全總體設(shè)計包括
42、以下主要活動內(nèi)容:a)設(shè)計各電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全措施對一個大型、復(fù)雜電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的構(gòu)成內(nèi)容進(jìn)行抽象處理,提取共性形成模型和要素,如服務(wù)器設(shè)備、構(gòu)成網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備等;根據(jù)安全防護(hù)要求中的等級保護(hù)相關(guān)要求和安全需求分析報告,針對模型要素提出需要實現(xiàn)的安全措施,包括安全技術(shù)方面的措施和安全管理方面的措施,以指導(dǎo)安全等級保護(hù)工作的具體實現(xiàn)。b)設(shè)計結(jié)果文檔化最終將安全總體設(shè)計工作的結(jié)果文檔化,形成滿足其所屬的安全等級要求的安全總體方案,安全總體方案中包括總體安全策略、技術(shù)措施和管理措施等。7.4 安全建設(shè)規(guī)劃活動輸入:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全總體方案活動輸出:電信網(wǎng)和互聯(lián)網(wǎng)
43、及相關(guān)系統(tǒng)的安全建設(shè)方案活動描述:安全建設(shè)規(guī)劃包括以下主要活動內(nèi)容:a)確定分階段的安全建設(shè)目標(biāo)、內(nèi)容、方案安全建設(shè)規(guī)劃是依據(jù)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全總體方案、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商當(dāng)前面臨的機(jī)遇和挑戰(zhàn)以及安全建設(shè)時間和經(jīng)費(fèi)投入狀況,結(jié)合安全需求分析結(jié)果,同時考慮到網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商的中長期發(fā)展規(guī)劃,提出分階段的安全建設(shè)目標(biāo)、設(shè)計建設(shè)內(nèi)容,形成安全建設(shè)方案,重點(diǎn)是形成近期可行的安全建設(shè)方案。安全建設(shè)方案中包括安全技術(shù)建設(shè)規(guī)劃和安全管理建設(shè)規(guī)劃。b)規(guī)劃結(jié)果文檔化最終將安全建設(shè)規(guī)劃的結(jié)果文檔化,形成分階段的安全建設(shè)規(guī)劃,安全總體方案中包括總體安全建設(shè)規(guī)劃、技術(shù)體系建設(shè)規(guī)劃和管理體系建設(shè)規(guī)劃等。8 安
44、全實施8.1 主要活動圖5 安全實施階段的主要活動網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商可依靠自身的技術(shù)力量或者在安全服務(wù)商、設(shè)備制造商的協(xié)助下按照安全總體方案的總體要求,結(jié)合安全建設(shè)方案,分期分步驟地對其管轄的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)落實安全措施。安全實施階段的主要活動如圖5所示,包括:第1步 安全方案詳細(xì)設(shè)計依據(jù)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全建設(shè)方案,提出本期實施項目的具體實施方案,包括安全等級保護(hù)技術(shù)實施內(nèi)容的設(shè)計、安全等級保護(hù)管理實施內(nèi)容的設(shè)計、實施計劃以及經(jīng)費(fèi)投入等,以便進(jìn)行本期安全方案的實施。第2步 詳細(xì)設(shè)計方案實施包括安全等級保護(hù)管理內(nèi)容的實施和安全等級保護(hù)技術(shù)內(nèi)容的實施。安全等級保護(hù)管理實施主要是在
45、本期安全詳細(xì)設(shè)計方案的指導(dǎo)下,建立配套的安全管理機(jī)構(gòu),建立配套的安全管理制度和操作規(guī)程,進(jìn)行人員的安全技能培訓(xùn)等。保證本期安全實施完成后,安全運(yùn)維有配套的機(jī)制,從而建立與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全技術(shù)和安全運(yùn)行相適應(yīng)的安全管理機(jī)制。安全等級保護(hù)技術(shù)措施實施主要是按照安全詳細(xì)設(shè)計方案,進(jìn)行安全產(chǎn)品采購、安全控制開發(fā)、安全控制集成、測試與驗收等主要活動,確保安全技術(shù)措施的有效性。安全等級保護(hù)管理實施過程和安全等級保護(hù)技術(shù)實施過程應(yīng)該同步進(jìn)行。將規(guī)劃階段的安全建設(shè)方案具體落實到電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中去,其最終的成果是提交滿足安全需求的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)和配套的安全管理體系。第3步 安全等
46、級保護(hù)檢測根據(jù)主管部門的要求,遵照安全等級保護(hù)的管理和技術(shù)方面的標(biāo)準(zhǔn),針對已經(jīng)實施了安全等級保護(hù)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng),檢測實施的安全保護(hù)措施是否符合相應(yīng)安全等級的安全防護(hù)要求。8.2 安全方案詳細(xì)設(shè)計活動輸入:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全總體方案、安全建設(shè)方案、各類安全產(chǎn)品技術(shù)白皮書活動輸出:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全詳細(xì)設(shè)計方案活動描述:安全方案詳細(xì)設(shè)計包括以下主要活動內(nèi)容:a)安全等級保護(hù)實施內(nèi)容設(shè)計安全等級保護(hù)技術(shù)實施內(nèi)容的設(shè)計是根據(jù)本期建設(shè)目標(biāo)和建設(shè)內(nèi)容,將安全總體方案和安全建設(shè)方案本階段中的要求落實到產(chǎn)品功能或物理形態(tài)上,提出指定的產(chǎn)品或組件及其具體規(guī)范,明確安全產(chǎn)品的功
47、能和性能要求設(shè)計,網(wǎng)絡(luò)或設(shè)備的部署方案。安全等級保護(hù)管理實施內(nèi)容的設(shè)計是根據(jù)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商當(dāng)前安全管理和技術(shù)需要提出與安全總體方案中管理部分相適應(yīng)的本期安全實施內(nèi)容,以保證安全技術(shù)建設(shè)的同時,安全管理的同步建設(shè)。安全管理設(shè)計的內(nèi)容主要考慮:安全管理機(jī)構(gòu)和人員的配套、安全管理制度的配套、人員安全管理技能的配套等。b)設(shè)計結(jié)果文檔化將安全等級保護(hù)技術(shù)實施和安全等級保護(hù)管理實施內(nèi)容匯總,同時考慮工時和費(fèi)用,最后形成安全詳細(xì)設(shè)計方案,指導(dǎo)具體的安全實施。8.3 安全詳細(xì)設(shè)計方案實施活動輸入:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全詳細(xì)設(shè)計方案活動輸出:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全管理規(guī)章制度、驗收報告活動描
48、述:安全詳細(xì)設(shè)計方案的具體實施包括以下主要活動內(nèi)容:a)實施安全詳細(xì)設(shè)計方案在本期安全詳細(xì)設(shè)計方案的指導(dǎo)下,進(jìn)行安全等級保護(hù)管理實施和安全等級保護(hù)技術(shù)實施。安全等級保護(hù)管理實施主要是建立與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全技術(shù)和安全運(yùn)行相適應(yīng)的安全管理機(jī)制。安全等級保護(hù)管理實施包括建立配套的安全管理機(jī)構(gòu)和人員,建立配套的安全管理制度和操作規(guī)程,進(jìn)行人員的安全技能培訓(xùn)等,并且在安全實施過程中,對工程的質(zhì)量、進(jìn)度、文檔和變更等方面的工作進(jìn)行監(jiān)督控制和科學(xué)管理。安全等級保護(hù)技術(shù)實施主要是保證按照安全詳細(xì)設(shè)計方案實現(xiàn)各項安全技術(shù)措施,包括安全產(chǎn)品采購、安全控制開發(fā)、安全控制集成、測試與驗收等主要活動環(huán)節(jié)。安
49、全產(chǎn)品采購是按照安全詳細(xì)設(shè)計方案中對于產(chǎn)品的具體指標(biāo)要求進(jìn)行產(chǎn)品采購,根據(jù)產(chǎn)品或產(chǎn)品組合實現(xiàn)的功能滿足安全設(shè)計要求的情況來選購所需的安全產(chǎn)品;安全控制開發(fā)是對于一些不能通過采購現(xiàn)有安全產(chǎn)品來實現(xiàn)的安全措施和安全功能,通過專門進(jìn)行的設(shè)計、開發(fā)來實現(xiàn);安全控制集成依據(jù)安全詳細(xì)設(shè)計方案,將安全產(chǎn)品、軟件平臺和開發(fā)的安全控制模塊與各種應(yīng)用綜合、整合成為一個系統(tǒng);最后通過測試驗收檢驗系統(tǒng)是否嚴(yán)格按照安全詳細(xì)設(shè)計方案進(jìn)行建設(shè),是否實現(xiàn)了設(shè)計的功能和性能,從而確保安全技術(shù)措施的有效性。b)實施結(jié)果文檔化在本期安全實施完成后,建成滿足安全需求并通過測試驗收的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng),提交驗收報告,內(nèi)容包括安全
50、產(chǎn)品清單及其信息、驗收過程及結(jié)果等;提交配套的安全管理規(guī)章和制度。8.4 安全等級保護(hù)檢測活動輸入:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級定級報告、驗收報告、安全防護(hù)要求、安全防護(hù)檢測要求,網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商提供的其它文檔活動輸出:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級保護(hù)檢測報告活動描述:在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全建設(shè)完成后,根據(jù)主管部門的要求對其進(jìn)行安全等級保護(hù)檢測。安全等級保護(hù)檢測可由主管部門委托具有資質(zhì)的檢測機(jī)構(gòu)實施,或者由網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商實施,檢測工作應(yīng)依據(jù)本系列標(biāo)準(zhǔn)中的安全防護(hù)要求和安全防護(hù)檢測要求,重點(diǎn)對屬于監(jiān)督保護(hù)級的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)管理制度和技術(shù)措施的落實情況、以
51、及安全現(xiàn)狀的達(dá)標(biāo)情況進(jìn)行檢查,判斷其安全保護(hù)措施是否符合相應(yīng)安全等級的要求。安全等級保護(hù)檢測完成后,檢測方應(yīng)根據(jù)實際檢測情況形成檢測報告。9 安全運(yùn)維9.1 主要活動安全運(yùn)維是確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)正常運(yùn)行的必要環(huán)節(jié)。安全運(yùn)維階段涉及的內(nèi)容較多,本標(biāo)準(zhǔn)關(guān)注網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商在安全運(yùn)維階段進(jìn)行的運(yùn)行管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控、安全事件處置和應(yīng)急預(yù)案、安全檢查和持續(xù)改進(jìn)等活動,重點(diǎn)描述各個活動的活動內(nèi)容,網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商可依靠自身的技術(shù)力量或者在安全服務(wù)商、設(shè)備制造商的協(xié)助下進(jìn)行以上活動,可根據(jù)自身網(wǎng)絡(luò)實際情況考慮對其它安全運(yùn)維活動進(jìn)行添加或?qū)顒觾?nèi)容進(jìn)行刪減。安全運(yùn)維階段的工作
52、還包括根據(jù)主管部門要求對安全等級保護(hù)工作落實情況進(jìn)行檢測。安全運(yùn)維階段的主要活動內(nèi)容如圖6所示。圖6 安全運(yùn)維階段的主要活動9.2 運(yùn)行管理和控制活動輸入:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全詳細(xì)設(shè)計方案、安全組織機(jī)構(gòu)表活動輸出:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的運(yùn)行管理人員角色和職責(zé)表、運(yùn)行管理操作規(guī)程、操作過程記錄文件活動描述:運(yùn)行管理和控制的目標(biāo)是確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全運(yùn)行,操作人員應(yīng)實行正確和安全的操作,并且保證不斷變化和種類繁多的運(yùn)行管理活動得到控制。本標(biāo)準(zhǔn)中,安全運(yùn)行管理和控制關(guān)注的方面主要是運(yùn)行管理職責(zé)確定和運(yùn)行管理過程控制。運(yùn)行管理和控制包括以下主要活動內(nèi)容:a) 運(yùn)行管理職責(zé)確
53、定運(yùn)行管理職責(zé)確定是通過對運(yùn)行管理活動或任務(wù)的角色劃分,并授予相應(yīng)的管理權(quán)限,來確定安全運(yùn)行管理的具體人員和職責(zé);b) 運(yùn)行管理過程控制運(yùn)行管理過程控制是通過制定運(yùn)行管理操作規(guī)程,確定運(yùn)行管理人員的操作目的、操作內(nèi)容、操作時間和地點(diǎn)、操作方法和流程、災(zāi)難備份及恢復(fù)的操作及效果等,并進(jìn)行操作過程記錄,確保對操作過程進(jìn)行控制。安全等級越高的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng),需要控制的運(yùn)行活動就越多。c) 輸出結(jié)果文檔通過運(yùn)行管理的職責(zé)確定形成運(yùn)行管理人員角色和職責(zé)表;通過對運(yùn)行管理過程進(jìn)行控制形成運(yùn)行管理操作規(guī)程,以及操作過程記錄文件。9.3 變更管理和控制活動輸入:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的變更需求活動
54、輸出:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的變更報告活動描述:變更管理和控制的目標(biāo)是確保在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)發(fā)生變化的時候,使用標(biāo)準(zhǔn)的方法和步驟盡快的實施變更。運(yùn)行管理和控制包括以下主要活動內(nèi)容:a) 變更需求和影響分析通過對變更需求和變更影響的分析,來確定變更的類別,制定變更方案。b)變更過程控制確保變更實施過程受到控制,審核變更內(nèi)容,對各項變化內(nèi)容進(jìn)行記錄,保證變更對正在運(yùn)行的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的影響最小。c)輸出結(jié)果文檔根據(jù)變更方案和變更實施過程的各項活動,形成變更結(jié)果報告。9.4 安全狀態(tài)監(jiān)控活動輸入:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全詳細(xì)設(shè)計方案、驗收報告活動輸出:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系
55、統(tǒng)的安全狀態(tài)分析報告活動描述:安全狀態(tài)監(jiān)控包括以下主要活動內(nèi)容:a)確定監(jiān)控對象和工具不同安全等級的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)在安全狀態(tài)監(jiān)控方面要求采用的手段和要求監(jiān)控的內(nèi)容會不同,所以根據(jù)監(jiān)控的必要性和可行性、監(jiān)控的開銷和成本等因素,確定的監(jiān)控對象,形成監(jiān)控對象列表;根據(jù)監(jiān)控對象的特點(diǎn)、監(jiān)控管理的具體要求、監(jiān)控工具的功能、性能特點(diǎn)等,選擇合適的監(jiān)控工具。b)監(jiān)控對象狀態(tài)通過狀態(tài)監(jiān)控工具對監(jiān)控對象的安全狀態(tài)進(jìn)行監(jiān)控,收集來自監(jiān)控對象的各類狀態(tài)信息,可能包括網(wǎng)絡(luò)流量、日志信息、安全報警和性能狀況等,或者是來自外部環(huán)境的安全標(biāo)準(zhǔn)和法律法規(guī)的變更信息,識別和記錄入侵行為。c)監(jiān)控狀態(tài)分析和報告對安全狀
56、態(tài)信息進(jìn)行分析,及時發(fā)現(xiàn)安全事件或安全變更需求,并對其影響程度和范圍進(jìn)行分析,形成安全狀態(tài)分析報告。9.5 安全事件處置和應(yīng)急預(yù)案活動輸入:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全狀態(tài)分析報告,各類安全事件列表活動輸出:電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全事件處置報告、各類應(yīng)急預(yù)案活動描述:安全事件處置和應(yīng)急預(yù)案包括以下主要活動內(nèi)容:a)安全事件分級安全事件采取分級響應(yīng)與處置的機(jī)制,網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商應(yīng)根據(jù)安全事件相關(guān)標(biāo)準(zhǔn)中規(guī)定的安全事件分級原則和劃分結(jié)果,結(jié)合自身具體的實際情況,通過預(yù)測、評估和分析事件對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的破壞程度,所造成后果嚴(yán)重程度,將安全事件進(jìn)行等級劃分。b)應(yīng)急預(yù)案制定針對安全事件等級,確定需制定應(yīng)急預(yù)案的安全事件對象。針對不同等級、不同優(yōu)先級的安全事件制定相應(yīng)的應(yīng)急預(yù)案程序,說明應(yīng)急預(yù)案啟動的條件,發(fā)生安全事件后要采取的流程和措施等,充分體現(xiàn)自主保護(hù)的原則,保障電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的持續(xù)運(yùn)行。c)安全事件處置根據(jù)安全狀態(tài)分析報告分析可能的安全事件,如果明確為安全
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 【正版授權(quán)】 ISO 28560-3:2024 EN Information and documentation - RFID in libraries - Part 3: Fixed length encoding
- 在會計公司實習(xí)報告模板5篇
- 過敏性哮喘基礎(chǔ)知識題庫單選題100道及答案解析
- 專題11.1 平方根【八大題型】(舉一反三)(華東師大版)(原卷版)
- 冠詞中考英語語法預(yù)測試題
- 《學(xué)前兒童衛(wèi)生保健》 教案 11 學(xué)前兒童常見非傳染病、寄生蟲病及其預(yù)防
- 高中英語語法全解-主謂一致
- 機(jī)械通氣模式及波形分析
- 第2講 生命物質(zhì)與健康課件
- 2024-2025學(xué)年專題9.3 大氣壓-八年級物理人教版(下冊)含答案
- 2023年安全工程師《安全生產(chǎn)技術(shù)基礎(chǔ)》考試備考重點(diǎn)題庫(600題版)
- 民事檢察監(jiān)督程序中檢察機(jī)關(guān)調(diào)查取證
- 2024年天津港集團(tuán)有限公司招聘筆試參考題庫附帶答案詳解
- 管道工程新材料與新工藝研究
- 2024年政府采購評審專家入庫考試真題附含答案
- 2023年煙草專賣技能鑒定題庫
- 中控ECS-700系統(tǒng)簡介
- STEM教育課程體系的構(gòu)建與評價
- 家屬談話模板
- 倉庫新員工培訓(xùn)教程
- 鼓膜穿孔術(shù)后護(hù)理查房
評論
0/150
提交評論