電信網和互聯(lián)網安全防護管理指南

電信網和互聯(lián)網安全防護治理指南范圍本標準對電信網和互聯(lián)網安全防護的定義、目標、原則進展了描述和標準。同時，對電信網和互聯(lián)網安全防護體系、安全防護體系三局部工作及其關系進展了說明。本標準適用于電信網和互聯(lián)網的安全防護工作。本標準涉及的電信網和互聯(lián)網不包括專用網，僅指公眾電信網和公眾互聯(lián)網。標準性引用文件以下文件中的條款通過本標準的引用麗成為指導性技術文件的條款。但凡注日期的引用文件，其隨后全部的修改單〔不包括訂正的內容〕或均不適用于本標準。然而，鼓舞依據(jù)本標準達成協(xié)議的各方爭論是否可使用這些文件的最版本文件，其最版本適用于本標準。GB/T5271.8-20238術語和定義GB/T5271.8-20233.1電信網TelecomNetwork利用有線和，或無線的電磁、光電系統(tǒng)，進展文字、聲音、數(shù)據(jù)、圖像或其他任何媒體的信息傳遞的網絡，包括固定通信網、移動通信網等．3.2互聯(lián)網Internet泛報廣域網、局域網及終端〔包括計算機、手機等〕通過交換機、路由器、網絡接入設備等基于肯定的通信協(xié)議連接形成的，功能和規(guī)律上的大型網絡．3.3電信網和互聯(lián)網安全防護體系 SecurityProtectionArchitectureofTelecomNetworkandIntemet電信網和互聯(lián)網的安全等級保護、安全風險評估、災難備份及恢復三項工作互為依托、互為補充、相互協(xié)作．共同構成了電信網和互聯(lián)網安全防護體系。3.4刮言網和互聯(lián)網安全等級SecurityClassificationofTelecomNetworkandInternet電信網和互聯(lián)網及相關系統(tǒng)重要程度的表征。重要程度從電信網和互聯(lián)網及相關系統(tǒng)受到破壞后，對國家安全、社會秩序、。經濟運行、公共利益、網絡和業(yè)務運營商造成的損害來衡量。3.5電信網和互聯(lián)網安全等級保護 ClassifiedSecurityProtectionofTelecomNetworkandInternet指對電信網和互聯(lián)網及相關系統(tǒng)分等級實施安全保護。3.6電信網和互聯(lián)網安全風險SecurityriskofTelecomNetworkandInternet人為或自然的威逼可能利用電信網和互聯(lián)網及相關系統(tǒng)存在的脆弱性導致安全大事的發(fā)生及其對組織造成的影響。3.7電信網和互聯(lián)網安全風險評估SecurityRiskAssessmentofTelecomNetworkandInternet指運用科學的方法和手段，系統(tǒng)地分析電信網和互聯(lián)網及相關系統(tǒng)所面臨的威逼及承受的水平，為最大限度地保障電信網和互聯(lián)網及相關系統(tǒng)的安全供給科學依據(jù)。3.8電信網和互聯(lián)網災難 DisasterofTelecomNetworkandInternet由于各種緣由，造成電信網和互聯(lián)網及相關系統(tǒng)故障或癱瘓，使電信網和互聯(lián)網及相關系統(tǒng)支持的業(yè)務功能停頓或效勞水平不行承受、到達特定的時間的突發(fā)性大事。3.9電信網和互聯(lián)網災難備份BackupforDisasterRecoveryofTelecomNetworkandIntemet為了電信網和互聯(lián)網及相關系統(tǒng)災難恢復而對相關網絡要素進展備份的過程。3,10電信網和互聯(lián)網災難恢復 DisasterRecoveryofTelecomNetworkandInternet為了將電信網和互聯(lián)網及相關系統(tǒng)從災難造成的故障或癱瘓狀態(tài)恢復到正常運行狀態(tài)或局部正常運行狀態(tài)并將其支持的業(yè)務功能從災難造成的不正常狀態(tài)恢復到可承受狀態(tài)，而設計的活動和流程。目標和原則電信網和互聯(lián)網安全防護工作的目標就是要加強電信網和互聯(lián)網的安全防護力量，網和互聯(lián)網能夠完成其使命。為了實現(xiàn)該目標網絡和業(yè)務運營商、設備制造商要充分考慮電信網和互聯(lián)網不同等級的水平。電信網和互聯(lián)網安全防護工作要在適度安全原則的指導下，承受自主保護和重點保護方法，在安全防護工作安排部署過程中遵循標準性、可控性、完備性則，實現(xiàn)同步建設、統(tǒng)籌兼顧、經濟有用和循序漸進地進展安全防護工作．——適度安全原則：安全防護工作的根本性原則。安全防護工作應依據(jù)電信網和互聯(lián)網的安全等級，平衡效益與本錢-實行適度的安全技術和治理措施?！獦藴市栽瓌t：安全防護工作開展的指導性原則．指電信網和互聯(lián)網安全防護工作的開展應遵循相關的國家或行業(yè)標準?！煽匦栽瓌t：指電信網和互聯(lián)網安全防護工作的可控性，包括以下三個方面，●人員可控性：相關的安全防護工作人員應具備牢靠的政治素養(yǎng)、職業(yè)素養(yǎng)和專業(yè)資質。●工具可控性：要充分了解安全防護工作中所使用的技術工具，并進展一些試驗，確保這些技術工具能被正確地使用。●工程過程可控性：要對整個安全防護工程進展科學的工程治理，實現(xiàn)工程過程的可控性?！陚湫栽瓌t：安全防護工作要掩蓋電信網和互聯(lián)網的安全范圍?！钚∮绊懺瓌t：從工程治理層面和技術治理層面，將安全防護工作對電信網和互聯(lián)網正常運行的可能影響降低到最低限度?！Ｃ苄栽瓌t：相關安全防護工作人員應簽署協(xié)議，承諾對所進展的安全防護工作保密，確保不泄露電信網和互聯(lián)網及安全防護工作的重要和敏感信息。安全防護體系電信網和互聯(lián)網安全防護范疇包括根底電信運營企業(yè)運營的傳輸、承載各類電信業(yè)〔含公共互聯(lián)網單元和掌握單元以及企業(yè)辦公系統(tǒng)〔治理系統(tǒng)等〕、客服呼叫中心、企業(yè)門戶網站等非核心生產單元。此外，電信網絡安全防護工作的范圍還包括經營性互聯(lián)網信息效勞單位、移動信息效勞單位、互聯(lián)網接入效勞單位、互聯(lián)網數(shù)據(jù)中心、互聯(lián)網域名效勞機構等單位運營的網絡或信息系統(tǒng)。依據(jù)電信網和互聯(lián)網安全防護范疇，建立的電信網和互聯(lián)網安全防護體系如圖l所互聯(lián)網安全防護的定義、目標、原則，并說明白安全防護體系的組成。其次層從宏觀的角度明確了如何進展安全防護工作，標準了安全防護體系中安全等級保護、安全風險評估、災難備份及恢復三局部工作的原則、流程、方法、步驟等。第三層具體規(guī)定了電信網和互聯(lián)網安全防護工作的要求，即安全防護要求和安全防護檢測要求。依據(jù)電信網和互聯(lián)網全程全網的特點，電信網和互聯(lián)網的安全防護工作可從固定通信網、移動通信網、互聯(lián)網、增值業(yè)務網、非核心生產單元來開展一其中，互聯(lián)網包括經營位運營的網絡或信息系統(tǒng)。增值業(yè)務網包括消息網、智能網等業(yè)務平臺以及業(yè)務治理平臺。對固定通信網、移動通信網、互聯(lián)網實施安全防護，應分別從構成上述網絡的不同IP承載網、信令網、同步網、支撐網等．其中，接入網包括各種有線、無線和衛(wèi)星接入網等，傳送網包括光纜、波分、SDH、衛(wèi)星等，而支撐網則包括業(yè)務支撐和網管系統(tǒng)．安全防護要求明確了電信網和互聯(lián)網及相關系統(tǒng)需要落實的安全治理和技術措施，作需要落實的物理環(huán)境和治理的安全等級保護要求被單獨提出作為電信網和互聯(lián)網及相關系統(tǒng)的通用安全等級保護要求．安全防護檢測要求與安全防護要求相對應，供給了對電信網和互聯(lián)網安全防護工作進展層的內容將進一步補充完善．圖1 電信用和互聯(lián)網安全防護體系安全等級保護電信網和互聯(lián)網安全等級保護工作貫穿于電信網和互聯(lián)網生命周期的各個階段，是一個不斷循環(huán)和不斷提高的過程．首先-依據(jù)電信網和互聯(lián)網及相關系統(tǒng)受到破壞后，對國統(tǒng)的安全。安全等級保護工作的實施過程如圖22安全風險評估電信網和互聯(lián)網安全風險評估應貫穿于電信網和互聯(lián)網生命周期的各階段中，在生命周期不同階段的風險評估原則和方法是全都的。在電信網和互聯(lián)網的安全風險評估工作中，應首先進展相關工作的預備-通過安全風險分析計算電信網和互聯(lián)網及相關系統(tǒng)的風險值，進而確定其風險等級和風險防范措旋。安全風險分析中要涉及資產、威逼、脆弱性等根本要素，每個要素有各自的屬性。資產的屬性是資產價值；威逼的屬性可以是威逼主體、影33災難備份及恢復電信網和互聯(lián)網災難備份及恢復工作利用技術、治理手段以及相關資源，確保已有作需要防范包括地震、水災等自然災難以及火災、戰(zhàn)斗、恐懼攻擊、網絡攻擊、設備系統(tǒng)故4確定的安全等級以及安全風險分析的相關結果進展需求分析-制定、實現(xiàn)相應的災難備份及恢復策略，并構建災難恢復預案，這是一個循環(huán)改進的過程。針對電信網和互聯(lián)網的不周網絡、不同重要級別的業(yè)務，災難備份及恢復所要到達以外地區(qū)的語音業(yè)務，并且發(fā)生災難的地區(qū)的語音業(yè)務能夠通過有效災難恢復打算的實施，在肯定時間范圍〔指標應與災難級別對應〕內恢復通信。4安全等級保護、安全風險評估、災難備份及恢復三者之間的關系電信網和互聯(lián)網安全防護體系