電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)實(shí)施指南

1、精選優(yōu)質(zhì)文檔-傾情為你奉上YD中華人民共和國(guó)信息產(chǎn)業(yè)部 發(fā)布20××-××-××實(shí)施20××-××-××發(fā)布電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)實(shí)施指南Implementation Guide for Classified Security Protection of Telecom Network and Internet（送審稿）YD/T ××××200×中華人民共和國(guó)通信行業(yè)標(biāo)準(zhǔn)專(zhuān)心-專(zhuān)注-專(zhuān)業(yè)目 次前 言本標(biāo)準(zhǔn)是“電信網(wǎng)和互聯(lián)網(wǎng)

2、安全防護(hù)體系”系列標(biāo)準(zhǔn)之一。該系列標(biāo)準(zhǔn)預(yù)計(jì)結(jié)構(gòu)及名稱(chēng)如下：電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)管理指南電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)實(shí)施指南電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)實(shí)施指南固定網(wǎng)安全防護(hù)要求移動(dòng)網(wǎng)安全防護(hù)要求互聯(lián)網(wǎng)安全防護(hù)要求增值業(yè)務(wù)網(wǎng)（消息網(wǎng)）安全防護(hù)要求增值業(yè)務(wù)網(wǎng)（智能網(wǎng)）安全防護(hù)要求接入網(wǎng)安全防護(hù)要求傳送網(wǎng)安全防護(hù)要求IP承載網(wǎng)安全防護(hù)要求核心網(wǎng)安全防護(hù)要求信令網(wǎng)安全防護(hù)要求同步網(wǎng)安全防護(hù)要求支撐網(wǎng)安全防護(hù)要求網(wǎng)絡(luò)終端安全防護(hù)要求固定網(wǎng)安全防護(hù)檢測(cè)要求移動(dòng)網(wǎng)安全防護(hù)檢測(cè)要求互聯(lián)網(wǎng)安全防護(hù)檢測(cè)要求增值業(yè)務(wù)網(wǎng)（消息網(wǎng)）安全防護(hù)檢測(cè)要求增值業(yè)務(wù)網(wǎng)（智能網(wǎng)）安全防護(hù)檢測(cè)要求接

3、入網(wǎng)安全防護(hù)檢測(cè)要求傳送網(wǎng)安全防護(hù)檢測(cè)要求IP承載網(wǎng)安全防護(hù)檢測(cè)要求核心網(wǎng)安全防護(hù)檢測(cè)要求信令網(wǎng)安全防護(hù)檢測(cè)要求同步網(wǎng)安全防護(hù)檢測(cè)要求支撐網(wǎng)安全防護(hù)檢測(cè)要求網(wǎng)絡(luò)終端安全防護(hù)檢測(cè)要求隨著電信網(wǎng)和互聯(lián)網(wǎng)的發(fā)展，將不斷補(bǔ)充和完善電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系的相關(guān)標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)由中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)提出并歸口。本標(biāo)準(zhǔn)起草單位：信息產(chǎn)業(yè)部電信研究院。本標(biāo)準(zhǔn)主要起草人： 電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)實(shí)施指南1 范圍本標(biāo)準(zhǔn)規(guī)定了電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)的概念、對(duì)象、目標(biāo)，安全等級(jí)劃分原則，并結(jié)合電信網(wǎng)和互聯(lián)網(wǎng)的生命周期定義了電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)實(shí)施過(guò)程中的主要階段及主要活動(dòng)。本標(biāo)準(zhǔn)適用于電信網(wǎng)和互聯(lián)網(wǎng)的安全

4、等級(jí)保護(hù)工作。本標(biāo)準(zhǔn)是電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)的總體指導(dǎo)性文件，針對(duì)具體網(wǎng)絡(luò)的安全等級(jí)保護(hù)可參考具體網(wǎng)絡(luò)的安全防護(hù)要求和安全防護(hù)檢測(cè)要求。2 規(guī)范性引用文件下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T 5271.8-2001信息技術(shù) 詞匯 第8部分：安全GB/T xxxx-xxxx信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南GB/T xxxx-xxxx信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南GB/T xx

5、xx-xxxx信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施規(guī)范GB/T xxxx-xxxx信息安全風(fēng)險(xiǎn)管理指南GB/T xxxx-xxxx信息系統(tǒng)災(zāi)難恢復(fù)規(guī)劃指南3 術(shù)語(yǔ)和定義GB/T 5271.8-2001確立的術(shù)語(yǔ)和定義，以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。3.1 電信網(wǎng) telecom network利用有線和/或無(wú)線的電磁、光電系統(tǒng)，進(jìn)行文字、聲音、數(shù)據(jù)、圖象或其它任何媒體的信息傳遞的網(wǎng)絡(luò)，包括固定網(wǎng)、移動(dòng)網(wǎng)等。3.2電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系 security protection architecture of telecom network and Internet電信網(wǎng)和互聯(lián)網(wǎng)的安全等級(jí)保護(hù)、安全風(fēng)險(xiǎn)評(píng)估

6、、災(zāi)難備份及恢復(fù)三項(xiàng)工作互為依托、互為補(bǔ)充、相互配合，共同構(gòu)成了電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系。3.3電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng) systems of telecom network and Internet組成電信網(wǎng)和互聯(lián)網(wǎng)的相關(guān)系統(tǒng)，包括接入網(wǎng)、傳送網(wǎng)、IP承載網(wǎng)、核心網(wǎng)、信令網(wǎng)、同步網(wǎng)、支撐網(wǎng)、網(wǎng)絡(luò)終端等。其中，接入網(wǎng)包括各種有線、無(wú)線和衛(wèi)星接入網(wǎng)等，傳送網(wǎng)包括光纜、波分、SDH等，核心網(wǎng)包括固定交換、移動(dòng)交換、軟交換、集群、衛(wèi)星網(wǎng)、3G和下一代網(wǎng)絡(luò)相關(guān)的核心網(wǎng)等，而支撐網(wǎng)包括業(yè)務(wù)支撐和網(wǎng)管系統(tǒng)。3.4 電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí) security classification of telecom

7、 network and Internet電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全重要程度的表征。重要程度可從電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到破壞后，對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商造成的損害來(lái)衡量。3.5 電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù) classified security protection of telecom network and Internet指對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)分等級(jí)實(shí)施安全保護(hù)。3.6電信網(wǎng)和互聯(lián)網(wǎng)基本保護(hù)要求 basic protection requirements of telecom network and Internet為確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)

8、系統(tǒng)具有與其安全等級(jí)相對(duì)應(yīng)的安全保護(hù)能力應(yīng)該滿足的最低要求。3.7 電信網(wǎng)和互聯(lián)網(wǎng)安全檢測(cè) security testing of telecom network and Internet對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)能力是否達(dá)到相應(yīng)保護(hù)要求進(jìn)行衡量。3.8電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn) security risk of telecom network and Internet人為或自然的威脅利用電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。3.9電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估 security risk assessment of telecom network a

9、nd Internet指運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和安全措施。防范和化解電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地為保障電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全提供科學(xué)依據(jù)。3.10電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難 disaster of telecom network and Internet由于人為或自然的原因，造成電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)故障或癱瘓，使電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)支持的業(yè)務(wù)功能停頓或服務(wù)水平不可接受、達(dá)到特定的時(shí)間的突發(fā)性事件。3.1

10、1電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份 backup for disaster recovery of telecom network and Internet為了電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)災(zāi)難恢復(fù)而對(duì)相關(guān)網(wǎng)絡(luò)要素進(jìn)行備份的過(guò)程。3.12電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難恢復(fù) disaster recovery of telecom network and Internet為了將電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到正常運(yùn)行狀態(tài)或部分正常運(yùn)行狀態(tài)、并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)，而設(shè)計(jì)的活動(dòng)和流程。4 安全等級(jí)保護(hù)概述4.1 安全等級(jí)保護(hù)對(duì)象電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)的主要對(duì)象是

11、電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，包括固定網(wǎng)、移動(dòng)網(wǎng)、互聯(lián)網(wǎng)、增值業(yè)務(wù)網(wǎng)、接入網(wǎng)、傳送網(wǎng)、IP承載網(wǎng)、核心網(wǎng)、信令網(wǎng)、同步網(wǎng)、支撐網(wǎng)、網(wǎng)絡(luò)終端等。其中，增值業(yè)務(wù)網(wǎng)則包括消息網(wǎng)、智能網(wǎng)等業(yè)務(wù)平臺(tái)以及業(yè)務(wù)管理平臺(tái)，接入網(wǎng)包括各種有線、無(wú)線和衛(wèi)星接入網(wǎng)等，傳送網(wǎng)包括光纜、波分、SDH等，核心網(wǎng)包括固定交換、移動(dòng)交換、軟交換、集群、衛(wèi)星網(wǎng)、3G和下一代網(wǎng)絡(luò)相關(guān)的核心網(wǎng)等，支撐網(wǎng)包括業(yè)務(wù)支撐和網(wǎng)管系統(tǒng)。安全等級(jí)保護(hù)的具體工作涉及到對(duì)電信網(wǎng)和互聯(lián)網(wǎng)分等級(jí)實(shí)施安全保護(hù)、對(duì)電信網(wǎng)和互聯(lián)網(wǎng)中使用的安全產(chǎn)品實(shí)行分等級(jí)管理、對(duì)電信網(wǎng)和互聯(lián)網(wǎng)中發(fā)生的安全事件分等級(jí)處理等內(nèi)容。本標(biāo)準(zhǔn)主要關(guān)注于對(duì)電信網(wǎng)和互聯(lián)網(wǎng)分等級(jí)實(shí)施安全保護(hù)

12、提供指導(dǎo)，關(guān)于國(guó)家對(duì)電信網(wǎng)和互聯(lián)網(wǎng)使用的安全產(chǎn)品實(shí)行分等級(jí)管理以及電信網(wǎng)和互聯(lián)網(wǎng)發(fā)生的安全事件實(shí)行分等級(jí)處理的管理參見(jiàn)其它的相關(guān)標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)后續(xù)內(nèi)容中所指的“安全等級(jí)保護(hù)”，其含義均為“對(duì)電信網(wǎng)和互聯(lián)網(wǎng)分等級(jí)實(shí)施安全保護(hù)”。4.2 安全等級(jí)保護(hù)目標(biāo)安全等級(jí)保護(hù)的目標(biāo)是通過(guò)對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全等級(jí)劃分，按照本系列標(biāo)準(zhǔn)中的安全等級(jí)保護(hù)要求進(jìn)行規(guī)劃、建設(shè)、運(yùn)維、管理和監(jiān)督，從而加強(qiáng)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全防護(hù)能力，確保其安全性和可靠性。主管部門(mén)對(duì)不同安全等級(jí)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)提出不同的基本保護(hù)要求，實(shí)行不同等級(jí)的監(jiān)管，這些基本保護(hù)要求是保障各等級(jí)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安

13、全的最基本要求。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)應(yīng)能夠滿足其所屬安全等級(jí)的基本保護(hù)要求。電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)工作可以實(shí)現(xiàn)對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)重點(diǎn)保護(hù)和有效保護(hù)的目的，增強(qiáng)安全保護(hù)的整體性、針對(duì)性和實(shí)效性，使電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全建設(shè)能夠突出重點(diǎn)、統(tǒng)一規(guī)范、科學(xué)合理。5 安全等級(jí)保護(hù)的實(shí)施過(guò)程5.1 基本原則電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)工作應(yīng)首先滿足電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)工作提出的適度安全原則、標(biāo)準(zhǔn)性原則、可控性原則、完備性原則、最小影響原則以及保密性原則。在此基礎(chǔ)上，電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)工作在實(shí)施過(guò)程中還應(yīng)重點(diǎn)遵循以下原則：a) 自主保護(hù)原則在主管部門(mén)的監(jiān)督指導(dǎo)下，各網(wǎng)絡(luò)和業(yè)務(wù)

14、運(yùn)營(yíng)商遵照本系列標(biāo)準(zhǔn)中確定的安全等級(jí)，對(duì)本單位的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)自主實(shí)施安全保護(hù)。b) 同步建設(shè)原則各運(yùn)營(yíng)商在對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行新建、改建、擴(kuò)建時(shí)，應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)其安全方案，投入一定比例的資金實(shí)施安全方案，保障電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)與其所屬安全等級(jí)的要求相適應(yīng)。c) 重點(diǎn)保護(hù)原則通過(guò)對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)劃分不同的安全等級(jí)，提出不同程度的安全保護(hù)要求，實(shí)現(xiàn)不同等級(jí)的安全保護(hù)，集中資源優(yōu)先保護(hù)關(guān)鍵的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)。d) 適當(dāng)調(diào)整原則跟蹤電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的變化情況調(diào)整其安全等級(jí)，并根據(jù)安全等級(jí)的調(diào)整情況及時(shí)調(diào)整相應(yīng)的安全保護(hù)措施。5.2 相關(guān)角色和職

15、責(zé)對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)實(shí)施安全等級(jí)保護(hù)的過(guò)程中涉及到各類(lèi)組織和人員，不同組織和人員將會(huì)參與不同或相同的活動(dòng)。安全等級(jí)保護(hù)實(shí)施過(guò)程中各類(lèi)角色及其職責(zé)如下：a) 主管部門(mén)主管部門(mén)的主要職責(zé)是監(jiān)督、管理網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商遵照本系列標(biāo)準(zhǔn)中確定的安全等級(jí)和安全等級(jí)保護(hù)的要求對(duì)其管轄的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全等級(jí)保護(hù)；對(duì)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商的安全等級(jí)保護(hù)工作開(kāi)展情況進(jìn)行檢查，發(fā)現(xiàn)存在安全隱患或未達(dá)到安全等級(jí)保護(hù)要求的，責(zé)令其限期整改。安全等級(jí)保護(hù)工作的主管部門(mén)是信息產(chǎn)業(yè)部和相關(guān)電信管理局。b) 網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商的主要職責(zé)是根據(jù)本系列標(biāo)準(zhǔn)中確定的安全等級(jí)和安全等級(jí)保護(hù)的要求對(duì)其管轄的

16、電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全等級(jí)保護(hù)的實(shí)施工作，包括規(guī)劃設(shè)計(jì)、建設(shè)施工、運(yùn)維、廢棄等；對(duì)安全等級(jí)是自主保護(hù)級(jí)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，加強(qiáng)其自主保護(hù)工作，對(duì)安全等級(jí)是指導(dǎo)保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，根據(jù)主管部門(mén)的要求上報(bào)其等級(jí)保護(hù)工作的實(shí)施情況；定期對(duì)其管轄的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全狀況檢查，及時(shí)消除安全隱患和漏洞；加強(qiáng)和完善自身安全等級(jí)保護(hù)制度的建設(shè)，制定不同等級(jí)安全事件的響應(yīng)、處置預(yù)案，加強(qiáng)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全管理。c) 設(shè)備制造商設(shè)備制造商的主要職責(zé)是遵照本系列標(biāo)準(zhǔn)中的安全等級(jí)保護(hù)要求開(kāi)發(fā)安全的網(wǎng)絡(luò)設(shè)備，提交網(wǎng)絡(luò)設(shè)備進(jìn)行入網(wǎng)測(cè)試，并且銷(xiāo)售安全的網(wǎng)

17、絡(luò)設(shè)備。d) 檢測(cè)機(jī)構(gòu)檢測(cè)機(jī)構(gòu)必須是由信息產(chǎn)業(yè)部授權(quán)的具有安全防護(hù)檢測(cè)服務(wù)資質(zhì)的機(jī)構(gòu)。檢測(cè)機(jī)構(gòu)的主要職責(zé)是根據(jù)主管部門(mén)或網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商的委托，按照本系列標(biāo)準(zhǔn)對(duì)已經(jīng)完成安全等級(jí)保護(hù)建設(shè)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全檢測(cè)。e) 安全服務(wù)商安全服務(wù)商應(yīng)按照國(guó)家和信息產(chǎn)業(yè)部的相關(guān)規(guī)定,在本系列標(biāo)準(zhǔn)的指導(dǎo)下，根據(jù)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商的要求協(xié)助其實(shí)施安全等級(jí)保護(hù)工作。5.3 基本過(guò)程雖然安全等級(jí)保護(hù)是一個(gè)不斷循環(huán)和不斷提高的過(guò)程，但是實(shí)施安全等級(jí)保護(hù)的一次完整過(guò)程是可以區(qū)分清楚的，包括五個(gè)主要階段：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)定級(jí)、安全規(guī)劃設(shè)計(jì)、安全實(shí)施、安全運(yùn)維、電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)終止。如圖1所示。

18、圖1 安全等級(jí)保護(hù)實(shí)施的基本過(guò)程安全等級(jí)保護(hù)的五個(gè)主要階段及其主要活動(dòng)為：a) 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)定級(jí)階段定級(jí)階段主要包括對(duì)電信網(wǎng)和互聯(lián)網(wǎng)的識(shí)別和描述、電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的劃分以及電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全等級(jí)確定等幾個(gè)主要安全活動(dòng)。通過(guò)對(duì)電信網(wǎng)和互聯(lián)網(wǎng)的識(shí)別和描述，進(jìn)一步劃分電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)，根據(jù)本標(biāo)準(zhǔn)中的定級(jí)方法科學(xué)準(zhǔn)確地確定各電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)。b) 安全規(guī)劃設(shè)計(jì)階段安全規(guī)劃設(shè)計(jì)階段主要包括安全需求分析、安全總體設(shè)計(jì)、安全建設(shè)規(guī)劃等幾個(gè)主要活動(dòng)。通過(guò)安全需求分析判斷電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)現(xiàn)狀與安全防護(hù)要求中安全等級(jí)保護(hù)要求之間的差距，確定安全

19、需求；然后根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的實(shí)際情況，設(shè)計(jì)出合理的、滿足安全等級(jí)保護(hù)要求的總體安全方案，并制定出安全建設(shè)的規(guī)劃，以指導(dǎo)后續(xù)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全建設(shè)工程實(shí)施。c) 安全實(shí)施階段安全實(shí)施階段主要包括安全方案詳細(xì)設(shè)計(jì)、詳細(xì)設(shè)計(jì)方案的實(shí)施、安全等級(jí)保護(hù)檢測(cè)等幾個(gè)主要活動(dòng)。通過(guò)安全方案詳細(xì)設(shè)計(jì)，將規(guī)劃設(shè)計(jì)階段的總體安全方案和安全建設(shè)方案具體落實(shí)到電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中去，最終提交滿足安全需求的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)、配套的安全技術(shù)和管理體系。在網(wǎng)絡(luò)實(shí)際運(yùn)行之前，需要由主管部門(mén)組織并委托檢測(cè)機(jī)構(gòu)對(duì)安全等級(jí)保護(hù)工作的實(shí)施情況進(jìn)行檢測(cè)，確保其達(dá)到安全防護(hù)要求。d) 安全運(yùn)維階段安

20、全運(yùn)維階段需要進(jìn)行的安全控制活動(dòng)很多，本標(biāo)準(zhǔn)描述一些重要的安全控制活動(dòng)。通過(guò)運(yùn)行管理和控制、變更管理和控制、對(duì)安全狀態(tài)進(jìn)行監(jiān)控，對(duì)發(fā)生的安全事件及時(shí)響應(yīng)，確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)正常運(yùn)行；通過(guò)安全檢查和持續(xù)改進(jìn)不斷跟蹤電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的變化，并依據(jù)變化調(diào)整其安全等級(jí)和措施，確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)滿足相應(yīng)安全等級(jí)的要求。e) 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)終止階段 終止階段的主要活動(dòng)包括對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中的信息轉(zhuǎn)移、暫存或清除，對(duì)設(shè)備遷移或廢棄，對(duì)存儲(chǔ)介質(zhì)的清除或銷(xiāo)毀。核心關(guān)注點(diǎn)是對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中過(guò)時(shí)或無(wú)用部分進(jìn)行報(bào)廢處理的過(guò)程，防止敏感信息泄漏。在安全運(yùn)維階段

21、，當(dāng)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)局部調(diào)整等原因?qū)е掳踩胧┑淖兓瘯r(shí)，如果不影響其安全等級(jí)，應(yīng)從安全運(yùn)維階段進(jìn)入安全實(shí)施階段，重新調(diào)整和實(shí)施安全措施，確保滿足安全等級(jí)保護(hù)的要求；當(dāng)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)發(fā)生重大變更影響其安全等級(jí)時(shí)，應(yīng)從安全運(yùn)維階段進(jìn)入定級(jí)階段，重新開(kāi)始一次安全等級(jí)保護(hù)的實(shí)施過(guò)程。5.4 安全等級(jí)保護(hù)工作與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期的關(guān)系電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的生命周期包括五個(gè)階段，即啟動(dòng)階段、設(shè)計(jì)階段、實(shí)施階段、運(yùn)維階段和廢棄階段。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)保護(hù)工作將貫穿其生命周期的各個(gè)階段。安全等級(jí)保護(hù)工作可分為：對(duì)新建電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)保護(hù)和對(duì)

22、已建電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)保護(hù)，兩者在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期中的切入點(diǎn)是不同的，但是安全等級(jí)保護(hù)工作的主要活動(dòng)基本相同，其安全等級(jí)保護(hù)過(guò)程與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期的關(guān)系如圖2所示。圖2 安全等級(jí)保護(hù)過(guò)程與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期的關(guān)系新建的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)在生命周期中的各個(gè)階段應(yīng)同步考慮安全等級(jí)保護(hù)的主要活動(dòng)。在啟動(dòng)階段，應(yīng)該仔細(xì)分析和合理劃分各個(gè)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，確定各個(gè)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)，定級(jí)過(guò)程也可能在設(shè)計(jì)階段；在設(shè)計(jì)階段，應(yīng)該根據(jù)各個(gè)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)，進(jìn)行安全規(guī)劃設(shè)計(jì)；在實(shí)施階段，應(yīng)在電信網(wǎng)和互聯(lián)

23、網(wǎng)及相關(guān)系統(tǒng)建設(shè)的同時(shí)，同步進(jìn)行安全措施的實(shí)施；在運(yùn)維階段，應(yīng)按照本系列標(biāo)準(zhǔn)中安全等級(jí)保護(hù)的要求進(jìn)行安全運(yùn)維；在廢棄階段，應(yīng)對(duì)廢棄的設(shè)備、信息或存儲(chǔ)介質(zhì)等進(jìn)行有效的安全管理。已建的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)通常處于運(yùn)維階段，由于在啟動(dòng)階段、設(shè)計(jì)階段和實(shí)施階段可能沒(méi)有同步考慮安全等級(jí)保護(hù)的要求或者對(duì)安全等級(jí)保護(hù)的要求考慮不足，因此應(yīng)在運(yùn)維階段啟動(dòng)安全等級(jí)保護(hù)工作，安全等級(jí)保護(hù)過(guò)程中的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)定級(jí)、安全規(guī)劃設(shè)計(jì)、安全實(shí)施的主要活動(dòng)都將在生命周期的運(yùn)維階段完成。由于是已經(jīng)存在的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，工作的重點(diǎn)是在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上，根據(jù)安全等級(jí)保護(hù)要求，在安全規(guī)劃設(shè)計(jì)階段如何制定滿足

24、要求的補(bǔ)充的安全建設(shè)方案，在安全實(shí)施階段如何保證在不影響現(xiàn)有業(yè)務(wù)/應(yīng)用的情況下，分步驟分階段分目標(biāo)地使各類(lèi)安全補(bǔ)救措施可以順利落實(shí)。在已建的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)基礎(chǔ)上進(jìn)行擴(kuò)容的安全等級(jí)保護(hù)工作，擴(kuò)容部分應(yīng)與新建的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)保護(hù)過(guò)程一致。6 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)定級(jí)6.1 定級(jí)方法電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系中，確定安全等級(jí)是進(jìn)行安全等級(jí)保護(hù)的前提和基礎(chǔ)，直接影響和指導(dǎo)安全防護(hù)體系中的安全風(fēng)險(xiǎn)評(píng)估和災(zāi)難備份及恢復(fù)工作。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)應(yīng)根據(jù)本標(biāo)準(zhǔn)確定安全等級(jí)，以保證定級(jí)的科學(xué)性和準(zhǔn)確性。在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中進(jìn)行安全等級(jí)劃分的總體原則是：電信網(wǎng)和互聯(lián)網(wǎng)

25、及相關(guān)系統(tǒng)受到破壞后對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商的損害程度。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)可以劃分為三個(gè)安全等級(jí)，分別為自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)和監(jiān)督保護(hù)級(jí)，其中監(jiān)督保護(hù)級(jí)又分為普通監(jiān)督保護(hù)級(jí)和重點(diǎn)監(jiān)督保護(hù)級(jí)。主管部門(mén)對(duì)不同級(jí)別的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)實(shí)行不同等級(jí)的監(jiān)管。第1級(jí) 自主保護(hù)級(jí)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后僅對(duì)其所有者的利益產(chǎn)生損害，但是不損害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益。本級(jí)按照通信行業(yè)安全標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。第2級(jí) 指導(dǎo)保護(hù)級(jí)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后對(duì)社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商造成輕微損害。本級(jí)在主管部門(mén)的指導(dǎo)

26、下，按照通信行業(yè)安全標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。第3級(jí) 監(jiān)督保護(hù)級(jí)分為兩種情況：3.1級(jí) 普通監(jiān)督保護(hù)級(jí)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商造成較大損害。本級(jí)按照通信行業(yè)安全標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，主管部門(mén)對(duì)其進(jìn)行監(jiān)督、檢查。3.2級(jí) 重點(diǎn)監(jiān)督保護(hù)級(jí)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商造成嚴(yán)重?fù)p害。本級(jí)按照通信行業(yè)安全標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，主管部門(mén)對(duì)其進(jìn)行重點(diǎn)監(jiān)督、檢查。決定電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)的具體定級(jí)要素及其賦值如下：a）電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會(huì)影響力電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)

27、的社會(huì)影響力表示其無(wú)法提供有效服務(wù)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響程度，電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會(huì)影響力賦值如表1所示。表1 對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會(huì)影響力賦值表社會(huì)影響力定義賦值電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無(wú)法提供有效服務(wù)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響較小1電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無(wú)法提供有效服務(wù)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響較大2電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無(wú)法提供有效服務(wù)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響很大3電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無(wú)法提供有效服務(wù)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響非常大4b）電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)

28、系統(tǒng)所提供服務(wù)的重要性電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性表示其提供的服務(wù)對(duì)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商的影響程度。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性賦值如表2所示。表2 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性賦值表所提供服務(wù)的重要性定義賦值電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性一般，無(wú)法提供服務(wù)對(duì)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商產(chǎn)生較小的影響1電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性較高，無(wú)法提供服務(wù)對(duì)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商產(chǎn)生較大的影響2電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性很高，無(wú)法提供服務(wù)對(duì)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商產(chǎn)生很大的影響3電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性非常高，無(wú)法提供服務(wù)對(duì)網(wǎng)絡(luò)和

29、業(yè)務(wù)運(yùn)營(yíng)商產(chǎn)生非常大的影響4c）電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的規(guī)模和服務(wù)范圍電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的規(guī)模表示其服務(wù)的用戶數(shù)多少，服務(wù)范圍表示其服務(wù)的地區(qū)范圍大小，電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的規(guī)模和服務(wù)范圍賦值如表3所示。表3 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的規(guī)模和服務(wù)范圍賦值表規(guī)模和服務(wù)范圍定義賦值電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無(wú)法提供有效服務(wù)會(huì)對(duì)較少的用戶和較小地區(qū)造成影響1電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無(wú)法提供有效服務(wù)會(huì)對(duì)較多的用戶和較大地區(qū)造成影響2電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無(wú)法提供有效服務(wù)會(huì)對(duì)很多的用戶和很大地區(qū)造成影響3電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無(wú)法提供有效服務(wù)會(huì)對(duì)非常多的用戶和非常大地區(qū)造成影響4在確定好電

30、信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會(huì)影響力、所提供服務(wù)的重要性、規(guī)模和服務(wù)范圍三個(gè)定級(jí)要素的賦值后，附錄A中列舉的幾種安全等級(jí)計(jì)算方法可做參考。安全等級(jí)確定可能不是一個(gè)過(guò)程就可以完成的，可能需要經(jīng)過(guò)定級(jí)要素賦值、定級(jí)、定級(jí)結(jié)果調(diào)整的循環(huán)過(guò)程，最終才能確定出較為科學(xué)、準(zhǔn)確的安全等級(jí)。6.2 定級(jí)的主要活動(dòng)定級(jí)階段主要活動(dòng)如圖3所示。包括如下的主要活動(dòng)：第1步 電信網(wǎng)和互聯(lián)網(wǎng)的識(shí)別和描述充分利用查詢(xún)相關(guān)文檔、編制調(diào)查表、與有關(guān)人員訪談、現(xiàn)場(chǎng)實(shí)地觀察等多種方式盡可能多地收集、分析和整理電信網(wǎng)和互聯(lián)網(wǎng)的相關(guān)信息，在此基礎(chǔ)上形成準(zhǔn)確的電信網(wǎng)和互聯(lián)網(wǎng)總體描述文件。第2步 電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的劃分將復(fù)雜的電信網(wǎng)

31、和互聯(lián)網(wǎng)劃分為相對(duì)獨(dú)立的電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)，便于定級(jí)、規(guī)劃設(shè)計(jì)、實(shí)施、運(yùn)維和終止等安全等級(jí)保護(hù)活動(dòng)的開(kāi)展。第3步 安全等級(jí)確定依據(jù)本標(biāo)準(zhǔn)中的定級(jí)方法確定電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)。圖3 定級(jí)階段的主要活動(dòng)6.3 電信網(wǎng)和互聯(lián)網(wǎng)的識(shí)別和描述活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)的技術(shù)文檔、管理文檔活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)的總體描述文件活動(dòng)描述：電信網(wǎng)和互聯(lián)網(wǎng)的識(shí)別和描述過(guò)程主要包括以下活動(dòng)內(nèi)容：a) 識(shí)別電信網(wǎng)和互聯(lián)網(wǎng)的基本信息調(diào)查了解電信網(wǎng)和互聯(lián)網(wǎng)的企業(yè)特征、業(yè)務(wù)范圍、地理位置以及電信網(wǎng)和互聯(lián)網(wǎng)其它基本情況。b) 識(shí)別電信網(wǎng)和互聯(lián)網(wǎng)的管理信息了解電信網(wǎng)和互聯(lián)網(wǎng)的組織管理結(jié)構(gòu)、管理策略、部門(mén)設(shè)置和

32、部門(mén)在電信網(wǎng)和互聯(lián)網(wǎng)運(yùn)行中的作用、崗位職責(zé)，獲得支持電信網(wǎng)和互聯(lián)網(wǎng)運(yùn)營(yíng)的管理方面的信息。c) 識(shí)別電信網(wǎng)和互聯(lián)網(wǎng)的技術(shù)信息了解電信網(wǎng)和互聯(lián)網(wǎng)的物理環(huán)境、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、硬件設(shè)備的部署情況、業(yè)務(wù)/應(yīng)用的種類(lèi)和特性、信息資產(chǎn)的重要性程度、用戶范圍和用戶類(lèi)型等信息。d) 描述電信網(wǎng)和互聯(lián)網(wǎng)對(duì)收集的信息進(jìn)行整理、分析，形成電信網(wǎng)和互聯(lián)網(wǎng)的總體描述文件?？傮w描述文件應(yīng)包含電信網(wǎng)和互聯(lián)網(wǎng)的基本情況、管理方面和技術(shù)方面的內(nèi)容。6.4 電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的劃分活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)的總體描述文件活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)描述文件活動(dòng)描述：對(duì)電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的劃分包括以下主要的活動(dòng)：a）

33、劃分電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)依據(jù)電信網(wǎng)和互聯(lián)網(wǎng)總體描述文件，在綜合分析的基礎(chǔ)上將電信網(wǎng)和互聯(lián)網(wǎng)劃分為接入網(wǎng)、傳送網(wǎng)、IP承載網(wǎng)、核心網(wǎng)、信令網(wǎng)、同步網(wǎng)、支撐網(wǎng)、網(wǎng)絡(luò)終端等電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)。b）輸出詳細(xì)描述文件對(duì)電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)劃分后，應(yīng)在總體描述文件的基礎(chǔ)上增加電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)劃分信息的描述，準(zhǔn)確描述分解后的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)信息，包括每個(gè)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的概述、網(wǎng)絡(luò)架構(gòu)、設(shè)備部署、業(yè)務(wù)/應(yīng)用的列表、信息資產(chǎn)類(lèi)型、服務(wù)范圍和用戶類(lèi)型等技術(shù)和管理方面的內(nèi)容，最終形成詳細(xì)描述文件。6.5 安全等級(jí)確定活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)的總體描述文件、電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系

34、統(tǒng)的詳細(xì)描述文件活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)定級(jí)報(bào)告活動(dòng)描述：安全等級(jí)的確定包括以下主要活動(dòng)內(nèi)容：a） 確定電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)根據(jù)本標(biāo)準(zhǔn)中的定級(jí)方法確定各個(gè)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)。電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的安全等級(jí)確定應(yīng)采取本標(biāo)準(zhǔn)的定級(jí)方法。固定網(wǎng)、移動(dòng)網(wǎng)、互聯(lián)網(wǎng)和增值業(yè)務(wù)網(wǎng)的安全等級(jí)的確定可采取兩種方法：一種方法是通過(guò)本標(biāo)準(zhǔn)的定級(jí)方法直接確定安全等級(jí)，另一種方法是在構(gòu)成上述網(wǎng)絡(luò)的不同電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的安全等級(jí)基礎(chǔ)上，通過(guò)一定的算法（如取最高安全等級(jí)）得到網(wǎng)絡(luò)的安全等級(jí)。具體網(wǎng)絡(luò)的定級(jí)方法參見(jiàn)具體網(wǎng)絡(luò)的安全防護(hù)要求。b） 輸出定級(jí)結(jié)果文檔對(duì)總體描

35、述文件、詳細(xì)描述文件、安全等級(jí)確定結(jié)果等內(nèi)容進(jìn)行整理，形成電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)定級(jí)報(bào)告。7 安全規(guī)劃設(shè)計(jì)7.1 主要活動(dòng)圖4 安全規(guī)劃設(shè)計(jì)階段的主要活動(dòng)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商可依靠自身的技術(shù)力量或在安全服務(wù)商的協(xié)助下對(duì)其管轄的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全規(guī)劃設(shè)計(jì)，安全規(guī)劃設(shè)計(jì)階段的主要活動(dòng)內(nèi)容如圖4所示，包括：第1步 安全需求分析安全需求分析根據(jù)國(guó)家及企業(yè)的安全目標(biāo)，首先判斷電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)現(xiàn)狀與安全防護(hù)要求中安全等級(jí)保護(hù)要求之間的差距，這種差距作為初步的安全需求；除上述安全需求外，還要通過(guò)風(fēng)險(xiǎn)分析的方法確定額外的安全需求，這種需求反映在對(duì)特殊環(huán)境和威脅的安全保護(hù)

36、要求，或?qū)χ匾獙?duì)象的較高保護(hù)要求方面。通過(guò)現(xiàn)狀差距的分析和特殊要求的分析，明確完整的安全需求。第2步 安全總體設(shè)計(jì)安全總體設(shè)計(jì)根據(jù)安全需求分析報(bào)告和安全防護(hù)要求中的安全等級(jí)保護(hù)相關(guān)要求，設(shè)計(jì)滿足其所屬的安全等級(jí)要求的安全總體方案，包括安全技術(shù)措施和安全管理措施。第3步 安全建設(shè)規(guī)劃安全建設(shè)規(guī)劃首先根據(jù)安全總體方案，結(jié)合企業(yè)中長(zhǎng)期的發(fā)展規(guī)劃，制定安全建設(shè)的實(shí)施計(jì)劃，形成指導(dǎo)今后一段時(shí)間內(nèi)安全建設(shè)工作的安全建設(shè)規(guī)劃方案。7.2 安全需求分析活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)描述文件、安全等級(jí)定級(jí)報(bào)告，電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南，其它文檔活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全需求分析

37、報(bào)告活動(dòng)描述：安全規(guī)劃設(shè)計(jì)階段的安全需求分析包括以下主要活動(dòng)內(nèi)容：a） 確定初步的安全需求通過(guò)調(diào)查或查閱資料等方式，確定具體進(jìn)行安全等級(jí)保護(hù)工作的對(duì)象，包括整體對(duì)象（如機(jī)房、辦公環(huán)境、網(wǎng)絡(luò)等）和具體對(duì)象（如邊界設(shè)備、網(wǎng)關(guān)設(shè)備、服務(wù)器設(shè)備、工作站、應(yīng)用系統(tǒng)等）；獲得電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的信息，包括技術(shù)和管理方面的信息，技術(shù)方面包括物理環(huán)境、網(wǎng)絡(luò)、設(shè)備、數(shù)據(jù)、業(yè)務(wù)/應(yīng)用等信息，管理方面包括安全管理機(jī)構(gòu)、安全管理制度、人員管理、網(wǎng)絡(luò)建設(shè)和運(yùn)維管理等信息。在此基礎(chǔ)上，將其對(duì)應(yīng)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全防護(hù)要求中等級(jí)保護(hù)的管理方面和技術(shù)方面的安全指標(biāo)作為依據(jù)，通過(guò)觀察現(xiàn)場(chǎng)、詢(xún)問(wèn)人員、查詢(xún)資料、

38、檢查記錄等方式進(jìn)行安全管理方面的比較，通過(guò)觀察現(xiàn)場(chǎng)、詢(xún)問(wèn)人員、查詢(xún)資料、檢查記錄、檢查配置、技術(shù)測(cè)試、滲透攻擊等方式進(jìn)行安全技術(shù)方面的比較，通過(guò)將安全等級(jí)保護(hù)對(duì)象的安全現(xiàn)狀與指標(biāo)進(jìn)行逐一對(duì)比，判斷安全管理和技術(shù)的各個(gè)方面與等級(jí)保護(hù)要求中的基本安全要求之間的差距，給出初步的安全需求。b） 制定額外的安全需求在安全現(xiàn)狀和等級(jí)保護(hù)指標(biāo)對(duì)比后確定初步的安全需求基礎(chǔ)上，參照電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南，通過(guò)風(fēng)險(xiǎn)評(píng)估可以確定額外的安全需求，即通過(guò)分析電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的重要資產(chǎn)的價(jià)值、資產(chǎn)的脆弱性、面臨的威脅、以及已經(jīng)采取的安全措施，判斷電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)可能存在的安全風(fēng)險(xiǎn)，在初步的安全

39、需求的基礎(chǔ)上，制定出額外的安全需求。對(duì)于電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中的關(guān)鍵系統(tǒng)和數(shù)據(jù)，為確保在災(zāi)難發(fā)生后網(wǎng)絡(luò)能夠盡快恢復(fù)和繼續(xù)運(yùn)行，應(yīng)制定出有效的災(zāi)難備份及恢復(fù)的額外需求。在制定額外的安全需求時(shí)，應(yīng)明確國(guó)家及企業(yè)的安全目標(biāo)，借鑒以往建設(shè)的類(lèi)似或相關(guān)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全需求，并且確保安全需求與其它相關(guān)標(biāo)準(zhǔn)或規(guī)范對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全需求不發(fā)生沖突。c） 輸出安全需求分析報(bào)告總結(jié)安全指標(biāo)對(duì)比結(jié)果和風(fēng)險(xiǎn)評(píng)估的結(jié)果，獲得電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全現(xiàn)狀的匯總、與安全防護(hù)要求中安全等級(jí)保護(hù)要求的差距匯總和額外的安全需求的匯總，最終形成安全需求分析報(bào)告，報(bào)告中應(yīng)包括安全管理狀況和安全技

40、術(shù)狀況。7.3 安全總體設(shè)計(jì)活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)描述文件、安全等級(jí)定級(jí)報(bào)告、安全需求分析報(bào)告、安全防護(hù)要求活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全總體方案活動(dòng)描述：安全總體設(shè)計(jì)包括以下主要活動(dòng)內(nèi)容：a）設(shè)計(jì)各電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全措施對(duì)一個(gè)大型、復(fù)雜電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的構(gòu)成內(nèi)容進(jìn)行抽象處理，提取共性形成模型和要素，如服務(wù)器設(shè)備、構(gòu)成網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備等；根據(jù)安全防護(hù)要求中的等級(jí)保護(hù)相關(guān)要求和安全需求分析報(bào)告，針對(duì)模型要素提出需要實(shí)現(xiàn)的安全措施，包括安全技術(shù)方面的措施和安全管理方面的措施，以指導(dǎo)安全等級(jí)保護(hù)工作的具體實(shí)現(xiàn)。b）設(shè)計(jì)結(jié)果文檔化最終將安全總體設(shè)計(jì)工作的結(jié)

41、果文檔化，形成滿足其所屬的安全等級(jí)要求的安全總體方案，安全總體方案中包括總體安全策略、技術(shù)措施和管理措施等。7.4 安全建設(shè)規(guī)劃活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全總體方案活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全建設(shè)方案活動(dòng)描述：安全建設(shè)規(guī)劃包括以下主要活動(dòng)內(nèi)容：a）確定分階段的安全建設(shè)目標(biāo)、內(nèi)容、方案安全建設(shè)規(guī)劃是依據(jù)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全總體方案、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商當(dāng)前面臨的機(jī)遇和挑戰(zhàn)以及安全建設(shè)時(shí)間和經(jīng)費(fèi)投入狀況，結(jié)合安全需求分析結(jié)果，同時(shí)考慮到網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商的中長(zhǎng)期發(fā)展規(guī)劃，提出分階段的安全建設(shè)目標(biāo)、設(shè)計(jì)建設(shè)內(nèi)容，形成安全建設(shè)方案，重點(diǎn)是形成近期可行的安全建設(shè)方案。安全建設(shè)方

42、案中包括安全技術(shù)建設(shè)規(guī)劃和安全管理建設(shè)規(guī)劃。b）規(guī)劃結(jié)果文檔化最終將安全建設(shè)規(guī)劃的結(jié)果文檔化，形成分階段的安全建設(shè)規(guī)劃，安全總體方案中包括總體安全建設(shè)規(guī)劃、技術(shù)體系建設(shè)規(guī)劃和管理體系建設(shè)規(guī)劃等。8 安全實(shí)施8.1 主要活動(dòng)圖5 安全實(shí)施階段的主要活動(dòng)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商可依靠自身的技術(shù)力量或者在安全服務(wù)商、設(shè)備制造商的協(xié)助下按照安全總體方案的總體要求，結(jié)合安全建設(shè)方案，分期分步驟地對(duì)其管轄的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)落實(shí)安全措施。安全實(shí)施階段的主要活動(dòng)如圖5所示，包括：第1步 安全方案詳細(xì)設(shè)計(jì)依據(jù)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全建設(shè)方案，提出本期實(shí)施項(xiàng)目的具體實(shí)施方案，包括安全等級(jí)保護(hù)技術(shù)實(shí)施內(nèi)容的設(shè)

43、計(jì)、安全等級(jí)保護(hù)管理實(shí)施內(nèi)容的設(shè)計(jì)、實(shí)施計(jì)劃以及經(jīng)費(fèi)投入等，以便進(jìn)行本期安全方案的實(shí)施。第2步 詳細(xì)設(shè)計(jì)方案實(shí)施包括安全等級(jí)保護(hù)管理內(nèi)容的實(shí)施和安全等級(jí)保護(hù)技術(shù)內(nèi)容的實(shí)施。安全等級(jí)保護(hù)管理實(shí)施主要是在本期安全詳細(xì)設(shè)計(jì)方案的指導(dǎo)下，建立配套的安全管理機(jī)構(gòu)，建立配套的安全管理制度和操作規(guī)程，進(jìn)行人員的安全技能培訓(xùn)等。保證本期安全實(shí)施完成后，安全運(yùn)維有配套的機(jī)制，從而建立與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全技術(shù)和安全運(yùn)行相適應(yīng)的安全管理機(jī)制。安全等級(jí)保護(hù)技術(shù)措施實(shí)施主要是按照安全詳細(xì)設(shè)計(jì)方案，進(jìn)行安全產(chǎn)品采購(gòu)、安全控制開(kāi)發(fā)、安全控制集成、測(cè)試與驗(yàn)收等主要活動(dòng)，確保安全技術(shù)措施的有效性。安全等級(jí)保護(hù)管理實(shí)施

44、過(guò)程和安全等級(jí)保護(hù)技術(shù)實(shí)施過(guò)程應(yīng)該同步進(jìn)行。將規(guī)劃階段的安全建設(shè)方案具體落實(shí)到電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中去，其最終的成果是提交滿足安全需求的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)和配套的安全管理體系。第3步 安全等級(jí)保護(hù)檢測(cè)根據(jù)主管部門(mén)的要求，遵照安全等級(jí)保護(hù)的管理和技術(shù)方面的標(biāo)準(zhǔn)，針對(duì)已經(jīng)實(shí)施了安全等級(jí)保護(hù)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，檢測(cè)實(shí)施的安全保護(hù)措施是否符合相應(yīng)安全等級(jí)的安全防護(hù)要求。8.2 安全方案詳細(xì)設(shè)計(jì)活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全總體方案、安全建設(shè)方案、各類(lèi)安全產(chǎn)品技術(shù)白皮書(shū)活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全詳細(xì)設(shè)計(jì)方案活動(dòng)描述：安全方案詳細(xì)設(shè)計(jì)包括以下主要活動(dòng)內(nèi)容：a）安全

45、等級(jí)保護(hù)實(shí)施內(nèi)容設(shè)計(jì)安全等級(jí)保護(hù)技術(shù)實(shí)施內(nèi)容的設(shè)計(jì)是根據(jù)本期建設(shè)目標(biāo)和建設(shè)內(nèi)容，將安全總體方案和安全建設(shè)方案本階段中的要求落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出指定的產(chǎn)品或組件及其具體規(guī)范，明確安全產(chǎn)品的功能和性能要求設(shè)計(jì)，網(wǎng)絡(luò)或設(shè)備的部署方案。安全等級(jí)保護(hù)管理實(shí)施內(nèi)容的設(shè)計(jì)是根據(jù)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商當(dāng)前安全管理和技術(shù)需要提出與安全總體方案中管理部分相適應(yīng)的本期安全實(shí)施內(nèi)容，以保證安全技術(shù)建設(shè)的同時(shí)，安全管理的同步建設(shè)。安全管理設(shè)計(jì)的內(nèi)容主要考慮：安全管理機(jī)構(gòu)和人員的配套、安全管理制度的配套、人員安全管理技能的配套等。b）設(shè)計(jì)結(jié)果文檔化將安全等級(jí)保護(hù)技術(shù)實(shí)施和安全等級(jí)保護(hù)管理實(shí)施內(nèi)容匯總，同時(shí)考慮工時(shí)和

46、費(fèi)用，最后形成安全詳細(xì)設(shè)計(jì)方案，指導(dǎo)具體的安全實(shí)施。8.3 安全詳細(xì)設(shè)計(jì)方案實(shí)施活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全詳細(xì)設(shè)計(jì)方案活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全管理規(guī)章制度、驗(yàn)收?qǐng)?bào)告活動(dòng)描述：安全詳細(xì)設(shè)計(jì)方案的具體實(shí)施包括以下主要活動(dòng)內(nèi)容：a）實(shí)施安全詳細(xì)設(shè)計(jì)方案在本期安全詳細(xì)設(shè)計(jì)方案的指導(dǎo)下，進(jìn)行安全等級(jí)保護(hù)管理實(shí)施和安全等級(jí)保護(hù)技術(shù)實(shí)施。安全等級(jí)保護(hù)管理實(shí)施主要是建立與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全技術(shù)和安全運(yùn)行相適應(yīng)的安全管理機(jī)制。安全等級(jí)保護(hù)管理實(shí)施包括建立配套的安全管理機(jī)構(gòu)和人員，建立配套的安全管理制度和操作規(guī)程，進(jìn)行人員的安全技能培訓(xùn)等，并且在安全實(shí)施過(guò)程中，對(duì)工程的質(zhì)量

47、、進(jìn)度、文檔和變更等方面的工作進(jìn)行監(jiān)督控制和科學(xué)管理。安全等級(jí)保護(hù)技術(shù)實(shí)施主要是保證按照安全詳細(xì)設(shè)計(jì)方案實(shí)現(xiàn)各項(xiàng)安全技術(shù)措施，包括安全產(chǎn)品采購(gòu)、安全控制開(kāi)發(fā)、安全控制集成、測(cè)試與驗(yàn)收等主要活動(dòng)環(huán)節(jié)。安全產(chǎn)品采購(gòu)是按照安全詳細(xì)設(shè)計(jì)方案中對(duì)于產(chǎn)品的具體指標(biāo)要求進(jìn)行產(chǎn)品采購(gòu)，根據(jù)產(chǎn)品或產(chǎn)品組合實(shí)現(xiàn)的功能滿足安全設(shè)計(jì)要求的情況來(lái)選購(gòu)所需的安全產(chǎn)品；安全控制開(kāi)發(fā)是對(duì)于一些不能通過(guò)采購(gòu)現(xiàn)有安全產(chǎn)品來(lái)實(shí)現(xiàn)的安全措施和安全功能，通過(guò)專(zhuān)門(mén)進(jìn)行的設(shè)計(jì)、開(kāi)發(fā)來(lái)實(shí)現(xiàn)；安全控制集成依據(jù)安全詳細(xì)設(shè)計(jì)方案，將安全產(chǎn)品、軟件平臺(tái)和開(kāi)發(fā)的安全控制模塊與各種應(yīng)用綜合、整合成為一個(gè)系統(tǒng)；最后通過(guò)測(cè)試驗(yàn)收檢驗(yàn)系統(tǒng)是否嚴(yán)格按照安全詳細(xì)

48、設(shè)計(jì)方案進(jìn)行建設(shè)，是否實(shí)現(xiàn)了設(shè)計(jì)的功能和性能，從而確保安全技術(shù)措施的有效性。b）實(shí)施結(jié)果文檔化在本期安全實(shí)施完成后，建成滿足安全需求并通過(guò)測(cè)試驗(yàn)收的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，提交驗(yàn)收?qǐng)?bào)告，內(nèi)容包括安全產(chǎn)品清單及其信息、驗(yàn)收過(guò)程及結(jié)果等；提交配套的安全管理規(guī)章和制度。8.4 安全等級(jí)保護(hù)檢測(cè)活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)定級(jí)報(bào)告、驗(yàn)收?qǐng)?bào)告、安全防護(hù)要求、安全防護(hù)檢測(cè)要求，網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商提供的其它文檔活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)保護(hù)檢測(cè)報(bào)告活動(dòng)描述：在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全建設(shè)完成后，根據(jù)主管部門(mén)的要求對(duì)其進(jìn)行安全等級(jí)保護(hù)檢測(cè)。安全等級(jí)保護(hù)檢測(cè)可由主管部門(mén)委托

49、具有資質(zhì)的檢測(cè)機(jī)構(gòu)實(shí)施，或者由網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商實(shí)施，檢測(cè)工作應(yīng)依據(jù)本系列標(biāo)準(zhǔn)中的安全防護(hù)要求和安全防護(hù)檢測(cè)要求，重點(diǎn)對(duì)屬于監(jiān)督保護(hù)級(jí)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)管理制度和技術(shù)措施的落實(shí)情況、以及安全現(xiàn)狀的達(dá)標(biāo)情況進(jìn)行檢查，判斷其安全保護(hù)措施是否符合相應(yīng)安全等級(jí)的要求。安全等級(jí)保護(hù)檢測(cè)完成后，檢測(cè)方應(yīng)根據(jù)實(shí)際檢測(cè)情況形成檢測(cè)報(bào)告。9 安全運(yùn)維9.1 主要活動(dòng)安全運(yùn)維是確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)正常運(yùn)行的必要環(huán)節(jié)。安全運(yùn)維階段涉及的內(nèi)容較多，本標(biāo)準(zhǔn)關(guān)注網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商在安全運(yùn)維階段進(jìn)行的運(yùn)行管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控、安全事件處置和應(yīng)急預(yù)案、安全檢查和持續(xù)改進(jìn)等活動(dòng)，重點(diǎn)描

50、述各個(gè)活動(dòng)的活動(dòng)內(nèi)容，網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商可依靠自身的技術(shù)力量或者在安全服務(wù)商、設(shè)備制造商的協(xié)助下進(jìn)行以上活動(dòng)，可根據(jù)自身網(wǎng)絡(luò)實(shí)際情況考慮對(duì)其它安全運(yùn)維活動(dòng)進(jìn)行添加或?qū)顒?dòng)內(nèi)容進(jìn)行刪減。安全運(yùn)維階段的工作還包括根據(jù)主管部門(mén)要求對(duì)安全等級(jí)保護(hù)工作落實(shí)情況進(jìn)行檢測(cè)。安全運(yùn)維階段的主要活動(dòng)內(nèi)容如圖6所示。圖6 安全運(yùn)維階段的主要活動(dòng)9.2 運(yùn)行管理和控制活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全詳細(xì)設(shè)計(jì)方案、安全組織機(jī)構(gòu)表活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的運(yùn)行管理人員角色和職責(zé)表、運(yùn)行管理操作規(guī)程、操作過(guò)程記錄文件活動(dòng)描述：運(yùn)行管理和控制的目標(biāo)是確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全運(yùn)行，操作人員應(yīng)實(shí)行正確

51、和安全的操作，并且保證不斷變化和種類(lèi)繁多的運(yùn)行管理活動(dòng)得到控制。本標(biāo)準(zhǔn)中，安全運(yùn)行管理和控制關(guān)注的方面主要是運(yùn)行管理職責(zé)確定和運(yùn)行管理過(guò)程控制。運(yùn)行管理和控制包括以下主要活動(dòng)內(nèi)容：a) 運(yùn)行管理職責(zé)確定運(yùn)行管理職責(zé)確定是通過(guò)對(duì)運(yùn)行管理活動(dòng)或任務(wù)的角色劃分，并授予相應(yīng)的管理權(quán)限，來(lái)確定安全運(yùn)行管理的具體人員和職責(zé)；b) 運(yùn)行管理過(guò)程控制運(yùn)行管理過(guò)程控制是通過(guò)制定運(yùn)行管理操作規(guī)程，確定運(yùn)行管理人員的操作目的、操作內(nèi)容、操作時(shí)間和地點(diǎn)、操作方法和流程、災(zāi)難備份及恢復(fù)的操作及效果等，并進(jìn)行操作過(guò)程記錄，確保對(duì)操作過(guò)程進(jìn)行控制。安全等級(jí)越高的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，需要控制的運(yùn)行活動(dòng)就越多。c) 輸出

52、結(jié)果文檔通過(guò)運(yùn)行管理的職責(zé)確定形成運(yùn)行管理人員角色和職責(zé)表；通過(guò)對(duì)運(yùn)行管理過(guò)程進(jìn)行控制形成運(yùn)行管理操作規(guī)程，以及操作過(guò)程記錄文件。9.3 變更管理和控制活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的變更需求活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的變更報(bào)告活動(dòng)描述：變更管理和控制的目標(biāo)是確保在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)發(fā)生變化的時(shí)候，使用標(biāo)準(zhǔn)的方法和步驟盡快的實(shí)施變更。運(yùn)行管理和控制包括以下主要活動(dòng)內(nèi)容：a) 變更需求和影響分析通過(guò)對(duì)變更需求和變更影響的分析，來(lái)確定變更的類(lèi)別，制定變更方案。b）變更過(guò)程控制確保變更實(shí)施過(guò)程受到控制，審核變更內(nèi)容，對(duì)各項(xiàng)變化內(nèi)容進(jìn)行記錄，保證變更對(duì)正在運(yùn)行的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系

53、統(tǒng)的影響最小。c）輸出結(jié)果文檔根據(jù)變更方案和變更實(shí)施過(guò)程的各項(xiàng)活動(dòng)，形成變更結(jié)果報(bào)告。9.4 安全狀態(tài)監(jiān)控活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全詳細(xì)設(shè)計(jì)方案、驗(yàn)收?qǐng)?bào)告活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全狀態(tài)分析報(bào)告活動(dòng)描述：安全狀態(tài)監(jiān)控包括以下主要活動(dòng)內(nèi)容：a）確定監(jiān)控對(duì)象和工具不同安全等級(jí)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)在安全狀態(tài)監(jiān)控方面要求采用的手段和要求監(jiān)控的內(nèi)容會(huì)不同，所以根據(jù)監(jiān)控的必要性和可行性、監(jiān)控的開(kāi)銷(xiāo)和成本等因素，確定的監(jiān)控對(duì)象，形成監(jiān)控對(duì)象列表；根據(jù)監(jiān)控對(duì)象的特點(diǎn)、監(jiān)控管理的具體要求、監(jiān)控工具的功能、性能特點(diǎn)等，選擇合適的監(jiān)控工具。b）監(jiān)控對(duì)象狀態(tài)通過(guò)狀態(tài)監(jiān)控工具對(duì)監(jiān)控對(duì)象的

54、安全狀態(tài)進(jìn)行監(jiān)控，收集來(lái)自監(jiān)控對(duì)象的各類(lèi)狀態(tài)信息，可能包括網(wǎng)絡(luò)流量、日志信息、安全報(bào)警和性能狀況等，或者是來(lái)自外部環(huán)境的安全標(biāo)準(zhǔn)和法律法規(guī)的變更信息，識(shí)別和記錄入侵行為。c）監(jiān)控狀態(tài)分析和報(bào)告對(duì)安全狀態(tài)信息進(jìn)行分析，及時(shí)發(fā)現(xiàn)安全事件或安全變更需求，并對(duì)其影響程度和范圍進(jìn)行分析，形成安全狀態(tài)分析報(bào)告。9.5 安全事件處置和應(yīng)急預(yù)案活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全狀態(tài)分析報(bào)告，各類(lèi)安全事件列表活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全事件處置報(bào)告、各類(lèi)應(yīng)急預(yù)案活動(dòng)描述：安全事件處置和應(yīng)急預(yù)案包括以下主要活動(dòng)內(nèi)容：a）安全事件分級(jí)安全事件采取分級(jí)響應(yīng)與處置的機(jī)制，網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商應(yīng)根據(jù)安全事件

55、相關(guān)標(biāo)準(zhǔn)中規(guī)定的安全事件分級(jí)原則和劃分結(jié)果，結(jié)合自身具體的實(shí)際情況，通過(guò)預(yù)測(cè)、評(píng)估和分析事件對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的破壞程度，所造成后果嚴(yán)重程度，將安全事件進(jìn)行等級(jí)劃分。b）應(yīng)急預(yù)案制定針對(duì)安全事件等級(jí)，確定需制定應(yīng)急預(yù)案的安全事件對(duì)象。針對(duì)不同等級(jí)、不同優(yōu)先級(jí)的安全事件制定相應(yīng)的應(yīng)急預(yù)案程序，說(shuō)明應(yīng)急預(yù)案啟動(dòng)的條件，發(fā)生安全事件后要采取的流程和措施等，充分體現(xiàn)自主保護(hù)的原則，保障電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的持續(xù)運(yùn)行。c）安全事件處置根據(jù)安全狀態(tài)分析報(bào)告分析可能的安全事件，如果明確為安全事件的，則需采取適當(dāng)?shù)姆椒ㄟM(jìn)行處置，對(duì)安全事件的等級(jí)和影響程度等進(jìn)行分析，確定是否啟動(dòng)應(yīng)急預(yù)案。d）輸出結(jié)

56、果文檔對(duì)安全事件處置過(guò)程進(jìn)行總結(jié)，形成安全事件處置報(bào)告，報(bào)告中包括安全事件的類(lèi)型、等級(jí)和采取的措施等；輸出制定的應(yīng)急預(yù)案。9.6 安全檢查和持續(xù)改進(jìn)活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)描述文件、變更報(bào)告，安全狀態(tài)分析報(bào)告活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全檢查報(bào)告、安全改進(jìn)方案、驗(yàn)收?qǐng)?bào)告安全檢查和持續(xù)改進(jìn)包括以下主要活動(dòng)內(nèi)容：a）安全狀態(tài)檢查在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全運(yùn)維過(guò)程中，會(huì)發(fā)生電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)變更、安全狀態(tài)改變等情況，因此必須定期對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全檢查。通過(guò)安全狀態(tài)檢查，為電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的持續(xù)改進(jìn)過(guò)程提供依據(jù)和建議，確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)能力滿足其相應(yīng)等級(jí)的基本安全要求和自身特殊的安全需求。安全檢查可以采用定期的安全等級(jí)保護(hù)檢測(cè)、自我檢查等手段實(shí)現(xiàn)，本節(jié)描述自我檢查過(guò)程。風(fēng)險(xiǎn)評(píng)估可以作為安全檢查的一種手段。通過(guò)詢(xún)問(wèn)、檢查和測(cè)試等多種手段，進(jìn)行安全狀況檢查，記錄各種檢查活動(dòng)的結(jié)果數(shù)據(jù)，分析安全措施的有效性、安全事件產(chǎn)生的可能性，并可根據(jù)檢查結(jié)果提出對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的改進(jìn)需求和建議等。關(guān)于安全等級(jí)保護(hù)檢測(cè)參見(jiàn)9.7節(jié)。b）改進(jìn)方案制定和實(shí)施根據(jù)安全檢查結(jié)果對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行持續(xù)改進(jìn)，確