电信网和互联网安全防护管理指南
中国电信通信网络安全防护管理办法
中国电信通信网络安全防护管理办法第一章总则第一条为加强中国电信通信网络安全管理工作,提高通信网络安全防护能力,保障通信网络安全畅通,根据《通信网络安全防护管理办法》(中华人民共和国工业和信息化部第11号令),制定本办法。
第二条第二条中国电信管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
第三条第三条本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。
第四条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。
第五条网络安全防护工作贯穿网络规划、设计、采购、建设、入网运行、维护以及下线退网整个生命周期;注重安全防护的标准制定与落实,注重督促工程设计和建设阶段的安全规范实施情况,注重监管运行维护工作制度规章的执行情况;建立按照电信管理机构的要求,结合中国电信自身的安全管理需求,以年度为周期开展计划、实施、总结考评等工作制度;整体工作将按照规范化、制度化、常态化方向发展。
第六条集团公司相关部门和各省级公司可根据实际情况制定相关细则,进一步落实贯彻本办法。
第二章网络安全防护管理的组织形式第七条集团公司负责全集团通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定相关标准,按照工业和信息化部的规定、通信行业标准及企业标准开展通信网络安全防护工作,对全网的通信网络安全负责,对各省的网络安全管理工作进行统一监督管理。
第八条各省级公司依据本办法的规定和相关要求,对本省公司的通信网络安全防护工作进行指导、协调和检查,按照工业和信息化部及各省、自治区、直辖市通信管理局(以下统称“电信管理机构”)的规定和通信行业标准、集团公司的相关要求、企业标准开展通信网络安全防护工作,对所管理的通信网络安全负责。
第九条网络安全防护工作覆盖多部门、多专业,包括网络发展部门(以下简称网络发展部)、企业信息化部门(以下简称企业信息化部)、公众客户管理部门(以下简称公众客户部)、网络运行部门(以下简称网络运行部)等。
电信行业网络安全管理规定
电信行业网络安全管理规定1. 绪论随着互联网技术的迅猛发展,电信行业网络安全问题日益突出。
为了维护网络安全,保障用户信息的安全和隐私,电信行业制定了一系列网络安全管理规定。
本文将对这些规定进行详细介绍和解读。
2. 信息安全管理体系为确保电信行业网络的安全,企业应建立健全信息安全管理体系。
这涉及到以下几个方面的工作:2.1 安全政策和目标企业应制定明确的信息安全政策和目标,确保各级管理人员和员工都有清晰的安全意识,并将其纳入日常工作中。
2.2 组织架构和职责建立相应的组织架构,明确各个岗位的职责和权限,确保网络安全事务能够得到及时有效地管理和处理。
2.3 资产管理企业应对网络资产进行有效的管理和监控,包括网络设备、服务器、软件以及重要数据等,确保其安全可靠。
2.4 风险评估与管理通过风险评估工作,及时分析识别网络安全威胁和风险,并采取相应的防护和应对措施,确保网络的安全稳定运行。
3. 安全运维管理为了保障电信行业网络的安全和可靠性,企业应采取一系列安全运维管理措施。
3.1 安全漏洞管理及时跟踪各类软件和系统的安全漏洞消息,对可能存在的漏洞进行管理和修补,以防止其被黑客利用。
3.2 安全事件响应建立完善的安全事件响应机制,对网络安全事件进行及时处理和处置,并积极采取措施防止类似事件的再次发生。
3.3 安全监测与审计建立安全监测和审计机制,对网络流量进行实时监测,及时发现和拦截异常行为和攻击,确保网络的安全稳定。
4. 用户信息保护用户的信息安全是电信行业网络安全管理的重要一环。
4.1 用户隐私保护企业应制定相关政策,保护用户的隐私信息,严禁未经用户同意将其个人信息泄露给第三方。
4.2 安全培训与教育为用户提供关于网络安全的培训和教育,提高其网络安全意识和保护能力,避免因个人操作不当而导致的安全问题。
5. 合作与监管电信行业网络安全管理需要与相关部门和企业进行合作与监管。
5.1 合作机制建立与公安机关、安全厂商等的合作机制,加强信息共享和协同作战,共同应对网络安全威胁。
通信网络安全防护管理办法-工业和信息化部令第11号
通信网络安全防护管理办法正文:---------------------------------------------------------------------------------------------------------------------------------------------------- 工业和信息化部令(第11号)《通信网络安全防护管理办法》已经2009年12月29日中华人民共和国工业和信息化部第8次部务会议审议通过,现予公布,自2010年3月1日起施行。
部长李毅中二〇一〇年一月二十一日通信网络安全防护管理办法第一条为了加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通,根据《中华人民共和国电信条例》,制定本办法。
第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
本办法所称互联网域名服务,是指设置域名数据库或者域名解析服务器,为域名持有者提供域名注册或者权威解析服务的行为。
本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。
第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。
第四条中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定通信行业相关标准。
各省、自治区、直辖市通信管理局(以下简称通信管理局)依据本办法的规定,对本行政区域内的通信网络安全防护工作进行指导、协调和检查。
工业和信息化部与通信管理局统称“电信管理机构”。
第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作,对本单位通信网络安全负责。
通信网络安全防护管理办法
中华人民共和国工业和信息化部令第11号《通信网络安全防护管理办法》已经2009年12月29日中华人民共和国工业和信息化部第8次部务会议审议通过,现予公布,自2010年3月1日起施行。
部长李毅中二〇一〇年一月二十一日通信网络安全防护管理办法第一条为了加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通,根据《中华人民共和国电信条例》,制定本办法。
第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
本办法所称互联网域名服务,是指设置域名数据库或者域名解析服务器,为域名持有者提供域名注册或者权威解析服务的行为。
本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。
第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。
第四条中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定通信行业相关标准。
各省、自治区、直辖市通信管理局(以下简称通信管理局)依据本办法的规定,对本行政区域内的通信网络安全防护工作进行指导、协调和检查。
工业和信息化部与通信管理局统称“电信管理机构”。
第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作,对本单位通信网络安全负责。
第六条通信网络运行单位新建、改建、扩建通信网络工程项目,应当同步建设通信网络安全保障设施,并与主体工程同时进行验收和投入运行。
通信网络安全保障设施的新建、改建、扩建费用,应当纳入本单位建设项目概算。
第七条通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级。
11号令-通信网络安全防护管理办法
中华人民共和国工业和信息化部令第11号《通信网络安全防护管理办法》已经2009年12月29日中华人民共和国工业和信息化部第8次部务会议审议通过,现予公布,自2010年3月1日起施行。
部长李毅中二〇一〇年一月二十一日通信网络安全防护管理办法第一条为了加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通,根据《中华人民共和国电信条例》,制定本办法。
第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
本办法所称互联网域名服务,是指设置域名数据库或者域名解析服务器,为域名持有者提供域名注册或者权威解析服务的行为。
本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。
第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。
第四条中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定通信行业相关标准。
各省、自治区、直辖市通信管理局(以下简称通信管理局)依据本办法的规定,对本行政区域内的通信网络安全防护工作进行指导、协调和检查。
工业和信息化部与通信管理局统称“电信管理机构”。
第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作,对本单位通信网络安全负责。
第六条通信网络运行单位新建、改建、扩建通信网络工程项目,应当同步建设通信网络安全保障设施,并与主体工程同时进行验收和投入运行。
通信网络安全保障设施的新建、改建、扩建费用,应当纳入本单位建设项目概算。
第七条通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级。
(新)通信网络安全防护管理办法
通信网络安全防护管理办法第一条(目的依据)为加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通,根据《中华人民共和国电信条例》,制定本办法。
第二条(适用范围)中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
本办法所称互联网域名服务,是指设置域名数据库或域名解析服务器,为域名持有者提供域名注册或权威解析服务的行为。
本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或被非法控制等以及通信网络中传输、存储、处理的数据信息丢失、泄露或被非法篡改等而开展的相关工作。
第三条(管辖职责)中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调、监督和检查,建立健全通信网络安全防护体系,制订通信网络安全防护标准。
省、自治区、直辖市通信管理局(以下简称“通信管理局”)依据本办法的规定,对本行政区域内通信网络安全防护工作进行指导、协调、监督和检查。
工业和信息化部和通信管理局统称“电信管理机构”。
第四条(责任主体)通信网络运行单位应当按照本办法和通信网络安全防护政策、标准的要求开展通信网络安全防护工作,对本单位通信网络安全负责。
第五条(方针原则)通信网络安全防护工作坚持积极防御、综合防范的方针,实行分级保护的原则。
第六条(同步要求)通信网络运行单位规划、设计、新建、改建通信网络工程项目,应当同步规划、设计、建设满足通信网络安全防护标准要求的通信网络安全保障设施,并与主体工程同时进行验收和投入运行。
已经投入运行的通信网络安全保障设施没有满足通信网络安全防护标准要求的,通信网络运行单位应当进行改建。
通信网络安全保障设施的规划、设计、新建、改建费用,应当纳入本单位建设项目预算。
第七条(分级保护要求)通信网络运行单位应当按照通信网络安全防护标准规定的方法,对本单位已正式投入运行的通信网络进行单元划分,将各通信网络单元按照其对国家和社会经济发展的重要程度由低到高分别划分为一级、二级、三级、四级、五级。
电信网络安全保护与管理与规范与评估与监测与预警规程
电信网络安全保护与管理与规范与评估与监测与预警规程电信网络安全保护与管理:规范、评估、监测、预警随着信息技术的快速发展,电信网络安全问题日渐凸显,互联网攻击、数据泄露等事件层出不穷,给社会、政府、企业和公民带来了巨大的风险和损失。
为了保护电信网络安全,确保网络的稳定、可靠和安全运行,电信行业制定了一系列规章制度和技术标准。
本文将介绍电信网络安全保护与管理的规范、评估、监测和预警等相关内容。
一、电信网络安全保护与规范1. 身份认证规范在电信网络中,各用户的身份认证是确保网络安全的基础。
电信行业应建立健全的身份认证规范,要求用户使用合法、有效的身份认证方式,如密码、指纹、刷脸等技术手段,防止非法用户的接入。
2. 数据加密标准为了保护网络中的数据安全,电信网络应采用高强度的数据加密技术,对网络上的敏感数据进行加密传输,减小被攻击的风险。
同时,行业应制定统一的数据加密标准,确保加密算法和密钥管理的安全性。
3. 系统漏洞修复规程随着黑客攻击和恶意程序的不断升级,网络系统中可能存在的漏洞需要及时修复,以减少安全风险。
电信行业应建立完善的系统漏洞修复规程,要求各网络运营商和相关单位及时更新系统补丁,针对已知的漏洞进行修复。
4. 应急响应与处理规范在电信网络安全遭遇突发事件时,需要制定应急响应与处理规范,对各种安全事件进行分类,并明确相应的处置流程和责任人。
同时,建立起完善的安全事件上报机制和协调机制,确保信息的及时传递和处理。
5. 内部安全管理规定电信行业应制定内部安全管理规定,明确各岗位的职责和权限,加强对员工的安全教育和培训,提高员工的安全意识和技能水平。
同时,对于敏感信息的访问和处理要求进行严格控制,确保内部人员不泄露或滥用数据信息。
二、电信网络安全评估与监测1. 安全评估规程为了评估网络安全的风险程度,电信行业应建立安全评估规程。
通过对网络设备、网络架构和安全策略的评估,及时发现潜在的安全问题,并采取相应的风险控制措施。
中国电信互联网及相关网络路由器设备安全防护要求
中国电信安全策略体系文档文档编号: SOC 02-02-003中国电信互联网及相关网络路由器设备安全防护要求版本号:发布日期:中国电信集团公司网络运行维护事业部修订记录目次前言为进一步落实《中国电信互联网及相关网络安全策略总纲》要求,促进中国电信互联网及相关网络在路由器设备选型、工程验收以及运维阶段等环节的规范化运作,明确路由器设备必须满足的基本安全防护要求(相关安全防护要求独立于具体厂家),特制定本防护要求(以下简称“要求”)。
各省公司可以根据实际情况,在本要求的基础上制定相应的实施细则并具体实施。
本文档起草单位:中国电信集团公司网络运行维护事业部本文档解释单位:中国电信集团公司网络运行维护事业部1 引言1.1 目的为促进中国电信互联网及相关网络在路由器设备选型、工程验收以及运维阶段等环节的规范化运作,明确路由器设备必须满足的基本安全防护要求(相关安全防护要求独立于具体厂家),特制定本要求。
1.2 范围本要求适用于中国电信的互联网与相关网络及系统,主要包括IP承载网,以及承载在其上的各种业务网、业务平台和支撑系统。
IP承载网包括中国电信ChinaNet、CN2、城域网、DCN等网络;业务网包括C网分组域、软交换等;业务平台包括C网业务平台、全球眼、互联星空等;支撑系统包括DNS、网管系统、认证系统等。
2 防护策略划分根据国内外运营商网络及结合中国电信的实际情况,可将路由交换设备的安全域逻辑划分为管理平面、控制平面、转发平面等三大平面,每个平面的具体安全策略不同。
具体如下:➢管理平面:管理平面防护的主要安全策略是保护设备远程管理及本地服务的安全性,降低设备受到网络攻击或被入侵的可能性。
➢转发平面:数据转发平面的主要安全策略是对异常流量进行控制,防止因网络蠕虫、拒绝服务攻击等流量在网络中的泛滥,造成网络的拥塞或不可用。
➢控制平面:控制平面的主要安全策略是保证设备系统资源的可用性,使得设备可以正常的实现数据转发、协议更新。
电信行业的网络安全管理规则
电信行业的网络安全管理规则随着互联网的迅猛发展和智能设备的普及,电信行业的网络安全问题日益突出。
为了保障用户的信息安全和网络服务的可靠性,电信行业必须制定一系列的网络安全管理规则。
本文将就电信行业的网络安全管理规则展开讨论,以期提高电信网络的安全性和可信度。
一、信息安全保护1. 用户隐私保护在电信服务提供的过程中,电信企业应制定并严格执行用户隐私保护政策,确保用户个人信息的安全和保密。
在收集用户个人信息时,必须经过用户明确授权,并严格遵循相关法律法规的要求。
电信企业应采取有效的措施,防止用户个人信息被未经授权的第三方获取和滥用。
2. 网络数据安全电信企业应建立完善的网络安全防护体系,采取安全防护措施,保护网络数据的安全。
包括但不限于加密传输、数据备份、入侵检测等技术手段,以防止黑客攻击、恶意代码传播等网络安全威胁。
3. 云计算安全在云计算时代,电信企业需要对云计算环境进行安全评估和保护。
确保云计算系统的可靠性、可用性和安全性,避免云计算环境中的数据泄露、数据丢失等安全风险。
二、网络安全监控与应急处置1. 安全事件监控电信企业应建立安全事件监控体系,及时发现、分析和处理安全事件。
通过监控关键系统、设备和网络流量,对网络安全事件进行实时监控和预警,以便及时采取措施进行处置,减少安全风险对网络服务的影响。
2. 安全漏洞管理电信企业应建立安全漏洞管理制度,及时修复软硬件设备的安全漏洞。
定期对系统和设备进行漏洞扫描和评估,并及时进行安全补丁升级,以消除潜在的安全隐患。
3. 突发事件应急响应电信企业应建立健全的网络安全应急响应机制,制定应急预案,并组织专业团队进行网络安全事件的处置。
在网络安全事件发生时,能够迅速应对,采取措施尽快恢复网络服务,减少安全事件对用户的影响。
三、网络安全培训与宣传1. 员工安全培训电信企业应定期组织员工进行网络安全培训,提高员工对网络安全的认识和应对能力。
培训内容包括但不限于网络安全法律法规、安全操作规范、网络诈骗识别等,使员工能够意识到网络安全的重要性,并遵守相关安全操作规范。
YDT 1730-2008 《电信网和互联网安全风险评估实施指南》
YD
中华人民共和国通信行业标准
YD/T ××××—××××
电信网和互联网安全风险评估实施指南
Implementation Guide for Security Risk Assessment of Telecom Network and Internet
(报批稿)
××××-××-××发布
××××-××-××实
1
YD/T xxxx-xxxx 电信网 telecom network 利用有线和/或无线的电磁、光电系统,进行文字、声音、数据、图象或其它任何媒体的信息传递
的网络,包括固定通信网、移动通信网等。 3.2
电信网和互联网安全防护体系 security protection architecture of telecom network and Internet
IV
YD/T xxxx-xxxx
电信网和互联网安全风险评估实施指南
1 范围
本标准规定了对电信网和互联网安全进行风险评估的要素及要素之间的关系、实施流程、工作形 式、遵循的原则,在电信网和互联网生命周期不同阶段的不同要求和实施要点。
本标准适用于电信网和互联网的风险评估工作。 本标准可作为电信网和互联网安全风险评估的总体指导性文件,针对具体网络的安全风险评估可 参见具体网络的安全防护要求和安全防护检测要求。
表7一种基于表现形式的威胁分类表种类描述软硬件故障由于设备硬件故障通信链路中断系统本身设计或软件缺陷导致对业务高效稳定运行的影响断电静电灰尘潮湿温度鼠蚁虫害电磁干扰洪灾火灾地震等环境问题和自然物理环境威胁灾害由于应该执行而没有执行相应的操作或无意地执行了错误的操作对电信劂和互联网及相关系无作为或操作失误统造成影响安全管理无法落实不到位造成安全管理不规范或者管理混乱从而破坏电信网和互联网及管理不到位相关系统ie常有序运行恶意代码和病毒具有自我复制自我传播能力对电信网和互联网及相关系统构成破坏的程序代码通过采用一些措施超越自己的权限访问了本来无权访问的资源或者滥用职权做山破坏电越权或滥用信网和互联网及相关系统j勺行为利用黑客工具和技术例如侦察密码猜测攻击缓冲区溢出攻击安装后门嗅探伪造和黑客攻击技术欺骗拒绝服务攻击等手段对电信网和互联l埘及相关系统进行攻击和入侵物理攻击物理接触物理破坏盗窃泄密机密信息泄漏给他人篡改非法修改信息抵赖小承认收到的信息和所做的操作或交易532威胁赋值判断威胁出现的频率是威胁识别的重要工作
通信网络安全防护管理办法 中华人民共和国工业和信息化部令
中华人民共和国工业和信息化部令第11号《通信网络安全防护管理办法》已经2009年12月29日中华人民共和国工业和信息化部第8次部务会议审议通过,现予公布,自2010年3月1日起施行。
部长李毅中二〇一〇年一月二十一日通信网络安全防护管理办法第一条为了加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通,根据《中华人民共和国电信条例》,制定本办法。
第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
本办法所称互联网域名服务,是指设置域名数据库或者域名解析服务器,为域名持有者提供域名注册或者权威解析服务的行为。
本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。
第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。
第四条中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定通信行业相关标准。
各省、自治区、直辖市通信管理局(以下简称通信管理局)依据本办法的规定,对本行政区域内的通信网络安全防护工作进行指导、协调和检查。
工业和信息化部与通信管理局统称“电信管理机构”。
第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作,对本单位通信网络安全负责。
第六条通信网络运行单位新建、改建、扩建通信网络工程项目,应当同步建设通信网络安全保障设施,并与主体工程同时进行验收和投入运行。
通信网络安全保障设施的新建、改建、扩建费用,应当纳入本单位建设项目概算。
第七条通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级。
电信网络信息安全管理办法
电信网络信息安全管理办法随着信息技术的快速发展,电信网络已经成为我们日常生活和工作中不可或缺的一部分。
然而,互联网的广泛使用也带来了一系列的安全威胁和风险,因此,加强电信网络信息安全管理办法具有重要意义。
本文将从不同的角度和行业展开论述,全面探讨电信网络信息安全管理办法。
一、电信网络信息安全概述1.1 电信网络信息安全的定义电信网络信息安全是指保护电信网络和其中传输的信息不受非法侵入、非法篡改、非法复制、非法传播、非法使用、非法传输等行为的影响,确保电信网络和信息的机密性、完整性、可用性和可信度。
1.2 电信网络信息安全威胁的现状分析随着互联网的快速发展,电信网络面临着来自黑客攻击、病毒传播、网络钓鱼、数据泄漏等各种威胁。
这些威胁给个人隐私、国家安全和经济利益带来了巨大风险。
二、电信网络信息安全管理主体机构及职责2.1 国家相关机构国家相关机构负责制定和实施电信网络信息安全管理政策、法规和标准,监督和检查电信网络信息安全工作,并对违法违规行为进行处罚。
2.2 电信网络运营商和服务提供商电信网络运营商和服务提供商是电信网络信息安全的重要主体,他们负责保护用户的信息安全,建设安全可靠的网络基础设施,及时发现和应对网络攻击和威胁。
2.3 用户个人和企业单位用户个人和企业单位是电信网络信息安全管理中不可或缺的一环,他们应该加强对电信网络和信息的保护意识,合理使用网络资源,主动采取措施加强自身的信息安全防护。
三、电信网络信息安全管理的基本原则3.1 统一思想、明确责任电信网络信息安全工作需要全社会的广泛参与,各个主体机构应该明确自身的安全责任,并积极推动相关安全管理工作的落地。
3.2 风险管理和预防为主电信网络信息安全管理工作需要从源头预防,加强风险评估和管理,及时发现和应对各类潜在的安全风险。
3.3 技术创新和标准完善电信网络信息安全的威胁日益复杂,我们需要不断加强技术创新,提高安全保障手段的可靠性和有效性,同时完善相关的管理标准和规程。
行业规范中国电信通信网络安全防护管理办法
中国电信通信网络安全防护管理办法第一章总则第一条为加强中国电信通信网络安全管理工作,提高通信网络安全防护能力,保障通信网络安全畅通,根据《通信网络安全防护管理办法》(中华人民共和国工业和信息化部第11号令),制定本办法。
第二条第二条中国电信管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
第三条第三条本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。
第四条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。
第五条网络安全防护工作贯穿网络规划、设计、采购、建设、入网运行、维护以及下线退网整个生命周期;注重安全防护的标准制定与落实,注重督促工程设计和建设阶段的安全规范实施情况,注重监管运行维护工作制度规章的执行情况;建立按照电信管理机构的要求,结合中国电信自身的安全管理需求,以年度为周期开展计划、实施、总结考评等工作制度;整体工作将按照规范化、制度化、常态化方向发展。
第六条集团公司相关部门和各省级公司可根据实际情况制定相关细则,进一步落实贯彻本办法。
第二章网络安全防护管理的组织形式第七条集团公司负责全集团通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定相关标准,按照工业和信息化部的规定、通信行业标准及企业标准开展通信网络安全防护工作,对全网的通信网络安全负责,对各省的网络安全管理工作进行统一监督管理。
第八条各省级公司依据本办法的规定和相关要求,对本省公司的通信网络安全防护工作进行指导、协调和检查,按照工业和信息化部及各省、自治区、直辖市通信管理局(以下统称“电信管理机构”)的规定和通信行业标准、集团公司的相关要求、企业标准开展通信网络安全防护工作,对所管理的通信网络安全负责。
第九条网络安全防护工作覆盖多部门、多专业,包括网络发展部门(以下简称网络发展部)、企业信息化部门(以下简称企业信息化部)、公众客户管理部门(以下简称公众客户部)、网络运行部门(以下简称网络运行部)等。
电信网和互联网管理安全等级保护要求
电信网和互联网管理安全等级保护要求随着科技的不断发展和融合,电信网和互联网已成为人们日常生活中不可或缺的一部分,而安全问题也随之日益凸显。
在这种背景下,电信网和互联网的安全管理已成为一个极为关键和紧迫的问题,为了有效保护电信网和互联网安全,我们必须采取一系列防范措施,其中之一就是建立和完善安全等级保护要求。
电信网的安全等级保护要求电信网是由一系列网络设备和技术组成的基础设施,它的稳定性和安全性对于社会的发展和运转至关重要。
为了保护电信网的安全,我们需要根据不同的电信网等级,确定对应的安全保护要求。
一级电信网的安全等级保护要求一级电信网是指国家重要的基础设施,包括核心网、互联网出入口、大型机房等。
对于一级电信网,其安全等级保护要求如下:•确立完善的安全管理机构和安全管理架构,明确安全管理职责和工作任务;•采用高可靠性、高稳定性的设备和技术,确保网络的稳定和可靠;•建立完善的安全防护体系,包括物理防护、网络防护、应用层防护等多层次防护;•实现对外的全面、安全、可靠的接入和联通;•建立完整的安全监测和管理机制,对网络运行状况和安全威胁进行全面监测和管理;•采用先进的安全技术手段和方法,及时发现和处置网络安全事件,确保网络的安全和稳定。
二级电信网的安全等级保护要求二级电信网是指地区性重要基础设施,包括省际/跨境/主要城市的骨干网络、主干交换中心等。
对于二级电信网,其安全等级保护要求如下:•建立完善的网络安全管理制度和流程,确保安全管理的科学和规范;•提高网络稳定性和可靠性,保证信息传输的连续性和稳定性;•建立多层次安全防护体系,包括物理防护、逻辑防护、安全管理等多种防护手段和技术;•加强对外接入和联通的安全管控,确保对外网络的安全可控;•建立全面、多渠道的安全监测和管理系统,及时识别和应对安全事件;•建立完善的安全策略和安全应急预案,确保网络安全的快速恢复和应对。
三级电信网的安全等级保护要求三级电信网是指区域性基础设施,包括地市级、县级等网络基础设施。
工信部《通信网络安全防护管理办法》(工信部11号令)
通信网络安全防护管理办法中华人民共和国工业和信息化部令第11 号《通信网络安全防护管理办法》已经2009年12月29日中华人民共和国工业和信息化部第8次部务会议审议通过,现予公布,自2010年3月1日起施行。
部长李毅中二〇一〇年一月二十一日通信网络安全防护管理办法第一条为了加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通,根据《中华人民共和国电信条例》,制定本办法。
第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
本办法所称互联网域名服务,是指设置域名数据库或者域名解析服务器,为域名持有者提供域名注册或者权威解析服务的行为。
本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。
第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。
第四条中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定通信行业相关标准。
各省、自治区、直辖市通信管理局(以下简称通信管理局)依据本办法的规定,对本行政区域内的通信网络安全防护工作进行指导、协调和检查。
工业和信息化部与通信管理局统称“电信管理机构”。
第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作,对本单位通信网络安全负责。
第六条通信网络运行单位新建、改建、扩建通信网络工程项目,应当同步建设通信网络安全保障设施,并与主体工程同时进行验收和投入运行。
通信网络安全保障设施的新建、改建、扩建费用,应当纳入本单位建设项目概算。
第七条通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级。
电信网和互联网管理安全等级保护要求
电信网和互联网管理安全等级保护要求1范围本标准规定了公众电信网和互联网的管理平安等级爱护要求。
本标准适用于电信网和互联网平安防护体系中的各种网络和系统。
2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后全部的修改单(不包括勘误的内容)或修订版均不适用于本标准。
然而,鼓舞依据本标准达成协议的各方讨论是否可使用这些文件的最新版本.凡是不注日期的引用文件,其最新版本适用于本标准。
3术语和定义下列术语和定义适用于本标准。
3.1电信网TelecomNetwork利用有线和,或无线的电磁、光电网络,进行文字、声音、数据、图像或其他任何媒体的信息传递的网络,包括固定通信网、移动通信网等。
3.2互联网Internet泛指由多个计算机网络相互连接而形成的网络,它是在功能和规律上组成的大型计算机网络。
3.3平安等级SecurityClassification平安重要程度的表征.重要程度可从网络受到破坏后,对国家平安、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
4管理平安等级爱护要求4.1第1级要求不作要求。
4.2第2级要求4.2.1平安管理制度4.2.1.1管理制度a)应制定平安工作的总体方针和平安策略,说明机构平安工作的总体目标、范围、原则和平安框架等;b)应对平安管理活动中重要的管理内容建立平安管理制度;c)应对平安管理人员或操作人员执行的重要管理操作建立操作规程。
4.2.1.2制定和发布a)应指定或授权特地的部门或人员负责平安管理制度的制定;b)应组织相关人员对制定的平安管理制度进行论证和审定;c)应将平安管理制度以某种方式发布到相关人员手中。
4.2.1.3评审和修订应定期对平安管理制度进行评审,对存在不足或需要改进的平安管理制度进行修订。
4.2.2平安管理机构4.2.2.1岗位设置a)应设立平安主管、平安管理各个方面的负责人岗位,定义各负责人的职责;b)应设立系统管理人员、网络管理人员、平安管理员岗位,定义各个工作岗位的职责。
电信网和互联网安全等级保护实施指南
其他
影响国家机关社会管理和 公共服务的工作秩序
影响各种类型的经济活动 秩序
影响各行业的科研、生产 秩序
影响公众在法律约束和道 德规范下的正常生活秩序
其他
10
社会影响力
定级对象受到破坏后对国家安全、 社会秩序、经济运行、公共利益的损害程度
经济运行
14
社会影响力
安全等级?
规模和服务范围
所提供服务的重要性
安全等级计算方法--对数法
k = Round1{Log2{[α×2I+β×2R+γ×2V]}}
k-安全等级值;I-社会影响力赋值;
R-规模和服务范围赋值;
V-所提供服务的重要性赋值;
Round1{}-四舍五入处理,保留1位小数;
Log2[]表示取以2为底的对数;
12
所提供服务的重要性
定级对象提供的服务被破坏后对网络和业务运营商的合法权益的影响程度
所提供服务的重要性定义
赋值
定级对象所提供服务的重要性较低,被破坏后对网络和业务 1 运营商的合法权益造成轻微损害
定级对象所提供服务的重要性一般,被破坏后对网络和业务 2 运营商的合法权益造成较大损害
定级对象所提供服务的重要性很高,被破坏后对网络和业务 3 运营商的合法权益造成很大损害
26
安全等级确定阶段
输入
技术文档 管理文档
主要活动
电信网和互联网的 识别和描述
输出 总体描述文件
• 识别电信网和互联网的基本信息
• 识别电信网和互联网的管理信息 总体描述文件• 识别电信网定和级互对联象网的的划技分术信息
• 描述电信网和互联网
详细描述文件
电信网和互联网安全防护管理指南
电信网和互联网安全防护管理指南1 范围本标准对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。
同时,对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。
本标准适用于电信网和互联网的安全防护工作。
本标准涉及的电信网和互联网不包括专用网,仅指公众电信网和公众互联网。
2 规范性引用文件下列文件中的条款通过本标准的引用丽成为指导性技术文件的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。
然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8-2001信息技术词汇第8部分:安全3 术语和定义GB/T 5271.8-2001确立的术语和定义以及下列术语和定义适用于本标准。
3.1电信网Telecom Network利用有线和,或无线的电磁、光电系统,进行文字、声音、数据、图像或其他任何媒体的信息传递的网络,包括固定通信网、移动通信网等.3.2互联网Internet泛报广域网、局域网及终端(包括计算机、手机等)通过交换机、路由器、网络接入设备等基于一定的通信协议连接形成的,功能和逻辑上的大型网络.3.3电信网和互联网安全防护体系 Security Protection Architecture of Telecom Network and Intemet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合.共同构成了电信网和互联网安全防护体系。
3.4刮言网和互联网安全等级Security Classification of Telecom Network and Internet电信网和互联网及相关系统重要程度的表征。
重要程度从电信网和互联网及相关系统受到破坏后,对国家安全、社会秩序、。
经济运行、公共利益、网络和业务运营商造成的损害来衡量。
电信网和互联网安全等级保护实施指南
YD电信网和互联网安全等级保护实施指南ImplementationGuideforClassifiedSecurityProtectionofTelecomNetworkandInternet (送审稿)目次前言本标准是“电信网和互联网安全防护体系”系列标准之一。
该系列标准预计结构及名称如下:《电信网和互联网安全防护管理指南》《电信网和互联网安全等级保护实施指南》《电信网和互联网安全风险评估实施指南》《电信网和互联网灾难备份及恢复实施指南》《固定网安全防护要求》《移动网安全防护要求》《互联网安全防护要求》《增值业务网(消息网)安全防护要求》《增值业务网(智能网)安全防护要求》《接入网安全防护要求》《传送网安全防护要求》《IP承载网安全防护要求》《核心网安全防护要求》《信令网安全防护要求》《同步网安全防护要求》《支撑网安全防护要求》《网络终端安全防护要求》《固定网安全防护检测要求》《移动网安全防护检测要求》《互联网安全防护检测要求》《增值业务网(消息网)安全防护检测要求》《增值业务网(智能网)安全防护检测要求》《接入网安全防护检测要求》《传送网安全防护检测要求》《IP承载网安全防护检测要求》《核心网安全防护检测要求》《信令网安全防护检测要求》《同步网安全防护检测要求》《支撑网安全防护检测要求》《网络终端安全防护检测要求》随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。
本标准由中国通信标准化协会提出并归口。
本标准起草单位:信息产业部电信研究院。
本标准主要起草人:电信网和互联网安全等级保护实施指南1 范围本标准规定了电信网和互联网安全等级保护的概念、对象、目标,安全等级划分原则,并结合电信网和互联网的生命周期定义了电信网和互联网安全等级保护实施过程中的主要阶段及主要活动。
本标准适用于电信网和互联网的安全等级保护工作。
本标准是电信网和互联网安全等级保护的总体指导性文件,针对具体网络的安全等级保护可参考具体网络的安全防护要求和安全防护检测要求。
通信网络安全防护管理办法
通信网络安全防护管理办法第一条为了加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通,根据《中华人民共和国电信条例》,制定本办法。
第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
本办法所称互联网域名服务,是指设置域名数据库或者域名解析服务器,为域名持有者提供域名注册或者权威解析服务的行为。
本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。
第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。
第四条中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定通信行业相关标准。
各省、自治区、直辖市通信管理局(以下简称通信管理局)依据本办法的规定,对本行政区域内的通信网络安全防护工作进行指导、协调和检查。
工业和信息化部与通信管理局统称“电信管理机构”。
第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作,对本单位通信网络安全负责。
第六条通信网络运行单位新建、改建、扩建通信网络工程项目,应当同步建设通信网络安全保障设施,并与主体工程同时进行验收和投入运行。
通信网络安全保障设施的新建、改建、扩建费用,应当纳入本单位建设项目概算。
第七条通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级。
电信管理机构应当组织专家对通信网络单元的分级情况进行评审。
通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别,并按照前款规定进行评审。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电信网和互联网安全防护管理指南1 范围本标准对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。
同时,对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。
本标准适用于电信网和互联网的安全防护工作。
本标准涉及的电信网和互联网不包括专用网,仅指公众电信网和公众互联网。
2 规范性引用文件下列文件中的条款通过本标准的引用丽成为指导性技术文件的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。
然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8-2001信息技术词汇第8部分:安全3 术语和定义GB/T 5271.8-2001确立的术语和定义以及下列术语和定义适用于本标准。
3.1电信网Telecom Network利用有线和,或无线的电磁、光电系统,进行文字、声音、数据、图像或其他任何媒体的信息传递的网络,包括固定通信网、移动通信网等.3.2互联网Internet泛报广域网、局域网及终端(包括计算机、手机等)通过交换机、路由器、网络接入设备等基于一定的通信协议连接形成的,功能和逻辑上的大型网络.3.3电信网和互联网安全防护体系 Security Protection Architecture of Telecom Network and Intemet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合.共同构成了电信网和互联网安全防护体系。
3.4刮言网和互联网安全等级Security Classification of Telecom Network and Internet电信网和互联网及相关系统重要程度的表征。
重要程度从电信网和互联网及相关系统受到破坏后,对国家安全、社会秩序、。
经济运行、公共利益、网络和业务运营商造成的损害来衡量。
3.5电信网和互联网安全等级保护 Classified Security Protection of Telecom Network and Internet指对电信网和互联网及相关系统分等级实施安全保护。
3.6电信网和互联网安全风险Security risk of Telecom Network and Internet人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成的影响。
3.7电信网和互联网安全风险评估 Security Risk Assessment of Telecom Network and Internet指运用科学的方法和手段,系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生,可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施,防范和化解电信网和互联网及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障电信网和互联网及相关系统的安全提供科学依据。
3.8电信网和互联网灾难 Disaster of Telecom Network and Internet由于各种原因,造成电信网和互联网及相关系统故障或瘫痪,使电信网和互联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。
3.9电信网和互联网灾难备份Backup for Disaster Recovery of Telecom Network and Intemet为了电信网和互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。
3,10电信网和互联网灾难恢复 Disaster Recovery of Telecom Network and Internet为了将电信网和互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。
4 目标和原则电信网和互联网安全防护工作的目标就是要加强电信网和互联网的安全防护能力,确保网络的安全性和可靠性,尽可能实现对电信网和互联网安全状况的实时掌控,保证电信网和互联网能够完成其使命。
为了实现该目标网络和业务运营商、设备制造商要充分考虑电信网和互联网不同等级的安全要求,从环境因素以及人为因素分析电信网和互联网面临的威胁,从技术和管理两个方面分析电信网和互联网存在的脆弱性.充分考虑现有安全措施,分析电信网和互联网现存风险,平衡效益与成本,制定灾难备份及恢复计划,将电信网和互联网的安全控制在可接受的水平。
电信网和互联网安全防护工作要在适度安全原则的指导下,采用自主保护和重点保护方法,在安全防护工作安排部署过程中遵循标准性、可控性、完备性、最小影响和保密原则,实现同步建设、统筹兼顾、经济实用和循序渐进地进行安全防护工作.——适度安全原则:安全防护工作的根本性原则。
安全防护工作应根据电信网和互联网的安全等级,平衡效益与成本-采取适度的安全技术和管理措施。
——标准性原则:安全防护工作开展的指导性原则.指电信网和互联网安全防护工作的开展应遵循相关的国家或行业标准。
——可控性原则:指电信网和互联网安全防护工作的可控性,包括以下三个方面,●人员可控性:相关的安全防护工作人员应具备可靠的政治素质、职业素质和专业素质。
相关安全防护工作的检测机构应具有主管部门授权的电信网和互联网安全防护检测服务资质。
●工具可控性:要充分了解安全防护工作中所使用的技术工具,并进行一些实验,确保这些技术工具能被正确地使用。
●项目过程可控性:要对整个安全防护项目进行科学的项目管理,实现项目过程的可控性。
——完备性原则:安全防护工作要覆盖电信网和互联网的安全范围。
——最小影响原则:从项目管理层面和技术管理层面,将安全防护工作对电信网和互联网正常运行的可能影响降低到最低限度。
——保密性原则:相关安全防护工作人员应签署协议,承诺对所进行的安全防护工作保密,确保不泄露电信网和互联网及安全防护工作的重要和敏感信息。
电信网和互联网安全防护范畴包括基础电信运营企业运营的传输、承载各类电信业务的公共电信网(含公共互联网)及其组成部分,支撑和管理公共龟信网及电信业务的业务单元和控制单元以及企业办公系统(含文件管理系统、员工邮件系统、决策支持系统、人事管理系统等)、客服呼叫中心、企业门户网站等非核心生产单元。
此外,电信网络安全防护工作的范围还包括经营性互联网信息服务单位、移动信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。
根据电信网和互联网安全防护范畴,建立的电信网和互联网安全防护体系如图l所示.整个体系分为三层,第一层为整个安全防护体系的总体指导性规范,明确了对电信网和互联网安全防护的定义、目标、原则,并说明了安全防护体系的组成。
第二层从宏观的角度明确了如何进行安全防护工作,规范了安全防护体系中安全等级保护、安全风险评估、灾难备份及恢复三部分工作的原则、流程、方法、步骤等。
第三层具体规定了电信网和互联网安全防护工作的要求,即安全防护要求和安全防护检测要求。
根据电信网和互联网全程全网的特点,电信网和互联网的安全防护工作可从固定通信网、移动通信网、互联网、增值业务网、非核心生产单元来开展一其中,互联网包括经营性互联网信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。
增值业务网包括消息网、智能网等业务平台以及业务管理平台。
对固定通信网、移动通信网、互联网实施安全防护,应分别从构成上述网络的不同电信网和互联网相关系统入手,电信网和互联网相关系统包括接入网、传送网、IP承载网、信令网、同步网、支撑网等.其中,接入网包括各种有线、无线和卫星接入网等,传送网包括光缆、波分、SDH、卫星等,而支撑网则包括业务支撑和网管系统.安全防护要求明确了电信网和互联网及相关系统需要落实的安全管理和技术措施,涵盖了安全等级保护、安全风险评估、灾难备份及恢复等三部分内容,其中安全等级保护工作需要落实的物理环境和管理的安全等级保护要求被单独提出作为电信网和互联网及相关系统的通用安全等级保护要求.安全防护检测要求与安全防护要求相对应,提供了对电信网和互联网安全防护工作进行检测的方法,从而确认网络和业务运营商、设备制造商在安全防护工作实旆过程中是否满足了相关安全防护要求。
随着电信网和互联网的发展,随着安全防护体系的进一步完善,第三层的内容将进一步补充完善.图1 电信用和互联网安全防护体系电信网和互联网安全等级保护工作贯穿于电信网和互联网生命周期的各个阶段,是一个不断循环和不断提高的过程.首先-根据电信网和互联网及相关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害程度来确定安全等级。
通过进一步分析电信网和互联网及相关系统的安全保护现状与安全等级保护要求之间的差距,确定安全需求,设计合理的、满足安全等级保护要求的总体安全方案,制定出安全建设规划。
并进一步将其落实到电信网和互联网及相关系统中,形成安全技术和管理体系.在电信网和互联网安全运维阶段,根据安全等级保护的需要对安全技术和管理体系不断调整和持续改进,确保电信网和互联两及相关系统满足相应等级的安全要求;在安全资产终止阶段对信息、设备、介质进行终止处理时,防止敏感信息的泄露,保障电信网和互联网及相关系统的安全。
安全等级保护工作的实施过程如图2所示。
图2安全等级保护实施的基本过程7 安全风险评估电信网和互联网安全风险评估应贯穿于电信网和互联网生命周期的各阶段中,在生命周期不同阶段的风险评估原则和方法是一致的。
在电信网和互联网的安全风险评估工作中,应首先进行相关工作的准备-通过安全风险分析计算电信网和互联网及相关系统的风险值,进而确定其风险等级和风险防范措旋。
安全风险分析中要涉及资产、威胁、脆弱性等基本要素,每个要素有各自的属性。
资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度等。
安全风险评估的实施流程如图3所示。
图3安全风险评估实施的基本过程8 灾难备份及恢复电信网和互联网灾难备份及恢复工作利用技术、管理手段以及相关资源,确保已有的电信网和互联网在灾难发生后.在确定的时间内可以恢复和继续运行。
灾难备份及恢复工作需要防范包括地震、水灾等自然灾难以及火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件。
如图4所示,灾难备份及恢复工作应根据安全等级保护确定的安全等级以及安全风险分析的相关结果进行需求分析-制定、实现相应的灾难备份及恢复策略,并构建灾难恢复预案,这是一个循环改进的过程。