电信网和互联网安全防护标准体系介绍(工业和信息化部电信研究、院通信标准研究所2010年3月)

2009年互联网传统安全问题依然严峻 n中国是受网络攻击最严重的国家之一
CNCERT互联网网 络安全指数报告 2009年针对境内基 础网络的主要网络 攻击有增无减。在 2009年11月，运营 商报送的针对基础 IP网络的拒绝服务 攻击次数较上月大 幅增加66.0%。
Source: 工业和信息化部
Source: Websense.com
2
《电信网和互联网安全 等级保护实施指南》， 内容包括安全等级保护 的概念、对象、目标、 原则，安全等级划分和 定级方法，等级保护基 本过程等
3
《电信网和互联网安全 风险评估实施指南》， 内容包括风险评估的要 素及要素之间的关系、 实施流程、工作形式、 遵循的原则，在生命周 期不同阶段的不同要求 和实施要点等
标准起草原则
—
— — —
—
—
参考国际标准（如ISO17799、CC、ISO13355等）、国家标准 （如公安部安全等级定级指南、技术要求等）、行业标准（如 各专业网络的技术要求、安全要求等） 符合国家公安部、原国新办等对等级保护、风险评估等工作的 要求 将安全等级保护、风险评估、灾难备份及恢复三项工作相结合 考虑了运营企业的实际网络情况、存在的安全问题，结合营企 业的安全建设、管理、维护经验，安全服务商的现网评测/评估 经验、测试方法等，设备厂商和研究机构等单位的经验，较为 符合通信行业的实际情况 对不同的网络类型制定不同的安全保护要求，针对同一专业网 络的不同安全等级的安全保护要求不同，安全保护要求综合技 术（业务、网络、系统、设备、物理环境等）和管理（机构、 人员、制度等）方面内容，更有针对性、更适用 安全保护要求的制定按照适度性原则，既保证按照标准能够使 安全保护水平普遍有所提高，又考虑企业的投入
p
举措-管理举措：工业和信息化部领导CNNIC、域名 注册机构和相关管理部门做出快速反应，加强域名审 核、备案、清理工作，表达了政府加强域名管理的决 心。但必须认识到，针对数量庞大、种类繁多的域名 安全管理是个复杂的系统工程，难以一蹴而就，今后 的工作仍然任重道远。
主要内容
• 09年安全形势 • 标准起草过程 • 标准体系介绍 • 标准应用情况
2009年互联网传统安全问题依然严峻
•恶意网站 •2009年度拦截恶意网站 6,550,000个，相比2008年 同期有较大提升； •网马问题 •服务器主要集中在中国 的广东、福建、浙江等地 •恶意域名最多当属“.cn” •通过访问挂马网站下载 的病毒文件，以网络游戏 盗号类木马为主。 来源：天安实验室
•
美国引领安全战略从“被动防守”转向“主动进攻”
– 美国成立“网络司令部”，实行“攻防一体、军民一体”、“先发制人”的新网络安 全战略 – 英国发布网络安全计划，并成立了网络司令部 – 韩国决定把原计划2012年成立信息安全司令部的时间提前到2010年1月1日
网络与安全得到前所未有的重视
网络与信息安全工作已有序展开、实施，取得了较大的进步
标准特设组
•2006年10月,中国通信标准化协会特设 2006年10月 “电信网安全防护标准起草组” 成员单位
工业和信息化部电信研究院
华为技 术有限 公司 中国 铁通 中国 卫通 北京创 原天地 科技有 限公司
中兴通 讯股份 公司
中国 电信
中国 网通
中国 移动
中国 联通
CNCERT/CC
武汉邮电科 学研究院
以标准指导试点工作，通过试点验证相关标准
《电信网和互联网安全防护管理指南》 《电信网和互联网安全等级保护实施指南》 《电信网和互联网安全风险评估实施指南》 《电信网和互联网灾难备份及恢复实施指南》
固定通信网 移动通信网 IP承载网 IP承载网 支撑网
消息网
天津市 《固定通信网 安全防护要求》 安全防护要求》 《固定通信网 安全防护检测 要求》 要求》
1、法律法规 工业和信息化部颁布实施了《互联网网络安全信息通报实施办法》、 《木马和僵尸网络监测处置办法》、《电信网络运行监督管理办法》，修 订完成了《互联网网络安全应急预案》，组织制定了《基础企业安全责任 制》、《通信网络安全防护监督管理办法》等。 2、政府监管 加强域名系统的安全防护管理、网络病毒治理，开展整治互联网低俗 之风专项治理、进行全国通信网络安全检查、推进应急通信工程建设等。 3、技术标准 制订或修订了电信网与互联网安全防护系列标准、绿色上网相关标准、 增值业务安全标准等。
域名安全凸显成基础网络中安全短板
CNNIC 2010年1月发布的《第 McAfee2009年第三季度报告显示，.CN 25次中国互联网络发展状况统 域名位列全球最危险域名第3位 计报告》统计，2009年底我国 域名总数为1681万，其中80% 为.cn域名，国家顶级域名总数 奚国华副部长在中国首届域名大会上指出： 居世界前列。 “域名是互联网上的核心资源，我们不仅
电信网和互联网安全防护 标准体系介绍
工业和信息化部电信研究院 通信标准研究所 2010年3月
主要内容
• 09年安全形势 • 标准起草过程 • 标准体系介绍 • 标准应用情况
美国强化网络空间制控权，引领安全战略进行全面转型
• 网络安全重要性提升，网络空间控制权被强化
– 美国高度强调网络安全重要性，认为信息网络袭击的后果严重程度可能会超过911恐 怖主义袭击 – 进行了全面的网络安全政策评估，总统亲自宣布评估报告结果，认为：“来自网络空 间的威胁已经成为美国面临的最严重的经济和军事威胁之一……保护网络基础设施将 是维护美国国家安全的优先任务。 – 从高层进行领导，总统直接指派高级别官员（网络沙皇）专门负责网络安全事宜， 网络安全办公室直接设在白宫总统行政办公室。 – 从联邦政府组织机构设置、资金及人员投入等多个操作环节入手，切实推进网络安全 新政的有效落实 – 进行2009年网络安全立法”讨论，并进入司法流程。可能赋予美国总统特权在“宣布 网络安全的紧急状态”的情况下关闭部分互联网的权力。
分阶段起草安全防护标准
¢
第一阶段：2006年10月7日～2007年4月27日，经过7次CCSA 标准讨论，完成26个标准
— — — — — — — — — — — — — — —
《电信网和互联网安全防护管理指南》 《电信网和互联网安全等级保护实施指南》 《电信网和互联网安全风险评估实施指南》 《电信网和互联网灾难备份及恢复实施指南》 《固定通信网安全防护要求》和《固定通信网安全防护检测要求》 《移动通信网安全防护要求》和《移动通信网安全防护检测要求》 《互联网安全防护要求》和《互联网安全防护检测要求》 《增值业务网—消息网安全防护要求》和《增值业务网—消息网安全防护检测要求》 《增值业务网—智能网安全防护要求》和《增值业务网—智能网安全防护检测要求》 《接入网安全防护要求》和《接入网安全防护检测要求》 《传送网安全防护要求》和《传送网安全防护检测要求》 《IP承载网安全防护要求》和《IP承载网安全防护检测要求》 《信令网安全防护要求》和《信令网安全防护检测要求》 《同步网安全防护要求》和《同步网安全防护检测要求》 《支撑网安全防护要求》和《支撑网安全防护检测要求》
域名安全凸显成基础网络中安全短板
5.19暴风影音事件
p事件概述： ü5月19日，DNS服务商DNSPod遭到DDOS攻击，电信运 营商因其异常流量将其IP地址封掉，由于DNSPod同时 还为拥有1000万在线客户端的暴风影音软件提供域名 解析服务，暴风影音发送海量的域名请求并拖垮中国 p域名是互联网核心资源，直接影响基础网络安 电信DNS服务器，造成多省DNS服务器瘫痪。 p产生原因—技术因素： 全。现阶段域名系统已成为恶意人员利用和攻击 ü网游私服之间的恶性竞争并发起恶意攻击 的重要目标，域名安全成为基础网络中的安全短 ü域名解析技术自身存在缺陷 板。政府有必要强势介入，加强事前准入、事中 CCTV曝光域名涉黄事件 ü应用软件缺少规范 审查、事后惩戒等全过程监管！ p 事件概述：2009年12月份，央视一套针对.CN域名涉 黄事件进行了连续报道，域名管理中存在的一些薄弱 环节成为关注焦点，也体现出国内域名仍存在一定程 度的域名滥用和泛滥现象。
西安邮 电学院
解放军信息 工程大学
亿阳安 全技术 有限公 司
•不断有新成员加入 标准的起草和讨论
CNNIC
绿盟
天融信
北邮恒 安嘉新
以标准指导安全防护工作
p信部电[2007]555号文：为保证电信网络安全防护工作的 有效性和规范性，相关工作应当按照国家和信息产业部组织 制定的有关标准实施。 p部令《通信网络安全防护管理办法》第五条：通信网络运 行单位应当按照电信管理机构的规定和通信行业标准开展通 信网络安全防护工作，对本单位通信网络安全负责。
主要内容
• 09年安全形势 • 标准起草过程 • 标准体系介绍 • 标准应用情况
电信网和互联网安全防护标准体系
“电信网安全防护标 准起草组” 讨论并 确定标准架构，根据 新增的标准不断补充 完善
总体指导性 标准
各专业网 安全标准
一个管理指南、三个实施指南
总体指导性标准
1
《电信网和互联网安全防 护管理指南》，内容包括 定义、目标、原则、安全 防护体系、安全防护体系 三部分工作及其关系等
¢
第四阶段：计划2010年开始
—
制定标准 ¢ 《即时消息业务系统安全防护要求》和《即时消息业务系统安 全防护检测要求》 ¢ 《WAP网关系统安全防护要求》和《WAP网关系统安全防护检测 要求》 ¢ 《信息服务业务系统安全防护要求》和《信息服务业务系统安 全防护检测要求》
•今后还将根据网络和业务发展以及发现的安全问题不断补充和 完善“电信网和互联网安全防护标准体系”的相关标准… 完善“电信网和互联网安全防护标准体系”的相关标准… …
欺诈钓鱼
要提高域名注册数量，更要提高域名发展 质量和效益。” 病毒蠕
虫木马
DNS攻 击
域名安全 威胁
DNS设备故障
域名滥用 拒绝服务攻击
域名劫持
反钓鱼联盟统计数据显示，自2008年7月成立后至 2009年11月底，这一年多时间里经联盟认定并处 理的钓鱼网站域名已达10568个，投诉排行榜前三 名分别为淘宝网、CCTV和腾讯网。
2009年互联网传统安全问题依然严峻 n垃圾邮件、病毒、网络欺诈问题依然严重
威胁 垃圾邮件 （全球） 中国 数量 87.7% 86.9%
病毒（全球）平均286.4 个邮件中含 1个病毒 中国 平均173.3 个邮件含1 个病毒
平均325.2 网络钓鱼 （网络欺诈） 个邮件含1 个网络欺诈
Souቤተ መጻሕፍቲ ባይዱce: MessageLab
辽宁省 《支撑网安全 防护要求》 防护要求》 《支撑网安全 防护检测要求》 防护检测要求》
¢
第二阶段：2007年11月1日～27日，根据试点情况增加6 个标准，修订已有的24个标准 — 试点总结会后新增如下标准 Ø 《非核心生产单元安全防护要求》和《非核心生产 单元安全防护检测要求》 Ø 《电信网和互联网物理环境安全等级保护要求》和 《电信网和互联网物理环境安全等级保护检测要求》 Ø 《电信网和互联网管理安全等级保护要求》 和《电 信网和互联网管理安全等级保护检测要求》
山东省 《移动通信网 安全防护要求》 安全防护要求》 《移动通信网 安全防护检测 要求》 要求》
广州市 《增值业务网增值业务网消息网安全防 护要求》 护要求》 《增值业务网增值业务网消息网安全防 护检测要求》 护检测要求》
上海市 《IP承载网安 IP承载网安 全防护要求》 全防护要求》 《IP承载网安 IP承载网安 全防护检测要 求》
•2008年1月14日，正式发布实施32份行业标准，在全国范围内 2008年 14日，正式发布实施32份行业标准，在全国范围内 依据标准开展通信网络安全防护工作
¢
第三阶段：2009年5月～12月，修订6个标准，增加4个标准， 修订/增加的行业标准已经发布
—
—
修订的标准 ¢ 《移动通信网安全防护要求》和《移动通信网安全防护检测要 求》 ¢ 《互联网安全防护要求》和《互联网安全防护检测要求》 ¢ 《传送网安全防护要求》和《传送网安全防护检测要求》 增加的标准 ¢ 《域名系统安全防护要求》和《域名系统安全防护检测要求》 ¢ 《网上营业厅安全防护要求》和《网上营业厅安全防护检测要 求》