电信网和互联网安全防护标准体系介绍(工业和信息化部电信研究、院通信标准研究所2010年3月)
中国电信互联网及相关网络路由器设备安全防护要求V1.0.
中国电信互联网及相关网络路由器设备安全防护要求V1.0.中国电信安全策略体系文档文档编号: SOC 02-02-003中国电信互联网及相关网络路由器设备安全防护要求版本号:1.0.0发布日期:修订记录目次前言 (1)1引言 (2)1.1目的 (2)1.2围 (2)2防护策略划分 (3)3管理平面防护策略 (4)3.1管理口防护 (4)3.2账号与口令 (4)3.3认证 (5)3.4授权 (5)3.5审计 (5)3.6远程管理 (6)3.7SNMP安全 (6)3.8系统日志 (6)3.9NTP (7)3.10banner信息 (7)3.11未使用的管理平面服务 (7)4数据转发平面防护策略 (8)4.1流量控制 (8)4.2典型垃圾流量过滤 (8)4.3ToFab (8)5控制平面防护策略 (9)5.1ACL控制 (9)5.2路由安全防护 (9)5.3协议报文防护 (9)5.4引擎防护策略 (10)前言为进一步落实《中国电信互联网及相关网络安全策略总纲》要求,促进中国电信互联网及相关网络在路由器设备选型、工程验收以及运维阶段等环节的规化运作,明确路由器设备必须满足的基本安全防护要求(相关安全防护要求独立于具体厂家),特制定本防护要求(以下简称“要求”)。
各省公司可以根据实际情况,在本要求的基础上制定相应的实施细则并具体实施。
本文档起草单位:中国电信集团公司网络运行维护事业部本文档解释单位:中国电信集团公司网络运行维护事业部1引言1.1目的为促进中国电信互联网及相关网络在路由器设备选型、工程验收以及运维阶段等环节的规化运作,明确路由器设备必须满足的基本安全防护要求(相关安全防护要求独立于具体厂家),特制定本要求。
1.2围本要求适用于中国电信的互联网与相关网络及系统,主要包括IP 承载网,以及承载在其上的各种业务网、业务平台和支撑系统。
IP承载网包括中国电信ChinaNet、CN2、城域网、DCN等网络;业务网包括C网分组域、软交换等;业务平台包括C网业务平台、全球眼、互联星空等;支撑系统包括DNS、网管系统、认证系统等。
电信网和互联网安全防护管理指南
电信网和互联网安全防护管理指南1 范围本标准对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。
同时,对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。
本标准适用于电信网和互联网的安全防护工作。
本标准涉及的电信网和互联网不包括专用网,仅指公众电信网和公众互联网。
2 规范性引用文件下列文件中的条款通过本标准的引用丽成为指导性技术文件的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。
然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8-2001信息技术词汇第8部分:安全3 术语和定义GB/T 5271.8-2001确立的术语和定义以及下列术语和定义适用于本标准。
3.1电信网Telecom Network利用有线和,或无线的电磁、光电系统,进行文字、声音、数据、图像或其他任何媒体的信息传递的网络,包括固定通信网、移动通信网等.3.2互联网Internet泛报广域网、局域网及终端(包括计算机、手机等)通过交换机、路由器、网络接入设备等基于一定的通信协议连接形成的,功能和逻辑上的大型网络.3.3电信网和互联网安全防护体系 Security Protection Architecture of Telecom Network and Intemet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合.共同构成了电信网和互联网安全防护体系。
3.4刮言网和互联网安全等级Security Classification of Telecom Network and Internet电信网和互联网及相关系统重要程度的表征。
重要程度从电信网和互联网及相关系统受到破坏后,对国家安全、社会秩序、。
经济运行、公共利益、网络和业务运营商造成的损害来衡量。
电信网和互联网安全防护管理指南
电信网和互联网安全防护管理指南1 范围本标准对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。
同时,对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。
本标准适用于电信网和互联网的安全防护工作。
本标准涉及的电信网和互联网不包括专用网,仅指公众电信网和公众互联网。
2 规范性引用文件下列文件中的条款通过本标准的引用丽成为指导性技术文件的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。
然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8-2001信息技术词汇第8部分:安全3 术语和定义GB/T 5271.8-2001确立的术语和定义以及下列术语和定义适用于本标准。
3.1电信网Telecom Network利用有线和,或无线的电磁、光电系统,进行文字、声音、数据、图像或其他任何媒体的信息传递的网络,包括固定通信网、移动通信网等.3.2互联网Internet泛报广域网、局域网及终端(包括计算机、手机等)通过交换机、路由器、网络接入设备等基于一定的通信协议连接形成的,功能和逻辑上的大型网络.3.3电信网和互联网安全防护体系 Security Protection Architecture of Telecom Network and Intemet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合.共同构成了电信网和互联网安全防护体系。
3.4刮言网和互联网安全等级Security Classification of Telecom Network and Internet电信网和互联网及相关系统重要程度的表征。
重要程度从电信网和互联网及相关系统受到破坏后,对国家安全、社会秩序、。
经济运行、公共利益、网络和业务运营商造成的损害来衡量。
电信行业通信网络安全标准
电信行业通信网络安全标准随着信息技术的迅猛发展,电信行业通信网络安全问题也日益凸显。
通信网络安全标准成为保障电信行业网络安全的重要基石,为了有效防范和应对各类网络威胁,保障广大用户的信息安全,电信行业制定了一系列的通信网络安全标准。
首先,通信网络安全标准明确了网络安全的基本原则。
任何一家电信企业在建立和维护通信网络安全时需要遵守的基本原则包括:保密原则、完整性原则和可用性原则。
保密原则要求企业严守用户信息的保密,确保用户个人隐私不被泄露;完整性原则要求企业保证在通信网络传输过程中信息不被恶意篡改;可用性原则要求企业提供稳定可靠的通信服务,确保用户的通信需求得到满足。
其次,通信网络安全标准规范了网络架构和设备的安全要求。
网络架构是电信行业通信网络安全的基础,要求网络架构具备良好的可扩展性、弹性和安全性。
同时,通信网络安全标准还规定了通信设备的安全要求,包括硬件设备和软件系统的安全性能要求,以及设备的防护机制和监控机制。
另外,通信网络安全标准还明确了对网络运维和管理员的要求。
网络运维人员是保障通信网络安全的重要力量,电信行业通信网络安全标准要求网络运维人员具备专业的安全知识和技能,能够有效应对各类网络安全威胁。
同时,通信网络安全标准还规定了网络管理员的权限管理规范,确保网络管理工作的合规性和安全性。
此外,通信网络安全标准还制定了应急响应和事故处理的相关措施。
电信行业通信网络面临的网络威胁层出不穷,及时有效的应急响应和事故处理至关重要。
通信网络安全标准规定了网络应急响应团队的组建和职责,明确了应急响应和事故处理的流程和步骤。
这些措施能够帮助电信企业在网络安全事件发生时快速反应和恢复,减少损失。
最后,通信网络安全标准还强调了安全教育和培训的重要性。
网络安全是一个系统工程,不仅需要高效的技术手段和设备,还需要全员参与的安全意识。
通信网络安全标准规定了对员工进行网络安全教育和培训的要求,帮助员工提高网络安全意识,掌握应对网络威胁的基本知识和技能。
电信网和互联网安全等级保护实施指南
其他
影响国家机关社会管理和 公共服务的工作秩序
影响各种类型的经济活动 秩序
影响各行业的科研、生产 秩序
影响公众在法律约束和道 德规范下的正常生活秩序
其他
10
社会影响力
定级对象受到破坏后对国家安全、 社会秩序、经济运行、公共利益的损害程度
经济运行
14
社会影响力
安全等级?
规模和服务范围
所提供服务的重要性
安全等级计算方法--对数法
k = Round1{Log2{[α×2I+β×2R+γ×2V]}}
k-安全等级值;I-社会影响力赋值;
R-规模和服务范围赋值;
V-所提供服务的重要性赋值;
Round1{}-四舍五入处理,保留1位小数;
Log2[]表示取以2为底的对数;
12
所提供服务的重要性
定级对象提供的服务被破坏后对网络和业务运营商的合法权益的影响程度
所提供服务的重要性定义
赋值
定级对象所提供服务的重要性较低,被破坏后对网络和业务 1 运营商的合法权益造成轻微损害
定级对象所提供服务的重要性一般,被破坏后对网络和业务 2 运营商的合法权益造成较大损害
定级对象所提供服务的重要性很高,被破坏后对网络和业务 3 运营商的合法权益造成很大损害
26
安全等级确定阶段
输入
技术文档 管理文档
主要活动
电信网和互联网的 识别和描述
输出 总体描述文件
• 识别电信网和互联网的基本信息
• 识别电信网和互联网的管理信息 总体描述文件• 识别电信网定和级互对联象网的的划技分术信息
• 描述电信网和互联网
详细描述文件
通信网络安全防护管理办法-工业和信息化部令第11号
通信网络安全防护管理办法正文:---------------------------------------------------------------------------------------------------------------------------------------------------- 工业和信息化部令(第11号)《通信网络安全防护管理办法》已经2009年12月29日中华人民共和国工业和信息化部第8次部务会议审议通过,现予公布,自2010年3月1日起施行。
部长李毅中二〇一〇年一月二十一日通信网络安全防护管理办法第一条为了加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通,根据《中华人民共和国电信条例》,制定本办法。
第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
本办法所称互联网域名服务,是指设置域名数据库或者域名解析服务器,为域名持有者提供域名注册或者权威解析服务的行为。
本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。
第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。
第四条中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定通信行业相关标准。
各省、自治区、直辖市通信管理局(以下简称通信管理局)依据本办法的规定,对本行政区域内的通信网络安全防护工作进行指导、协调和检查。
工业和信息化部与通信管理局统称“电信管理机构”。
第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作,对本单位通信网络安全负责。
中国电信通信网络安全防护管理办法
第四条 通信网络安全防护工作坚持积极防御、综合防范、 分级保护的原则。
第五条 网络安全防护工作贯穿网络规划、设计、采购、 建设、入网运行、维护以及下线退网整个生命周期;注重安全 防护的标准制定与落实,注重督促工程设计和建设阶段的安全 规范实施情况,注重监管运行维护工作制度规章的执行情况; 建立按照电信管理机构的要求,结合中国电信自身的安全管理 需求,以年度为周期开展计划、实施、总结考评等工作制度;
二安全定级划分及等级建议工信部定级划分要求制定了定级划分标准详见下网络系统类型子网络子系统类型a类定级对象b类定级对象工信部建议安全等级固定通信网2级31级32级关口31级32级省内长途网31级32级省际长途网含国际长途网级32无线接入子系统2级31级数字集群无线接入子系统2级31核心交换网2级31级32级电路域本地网核心交换网2级31级32级内长途网31级32级省际长途网含国际长途网级32级分组域核心交换网2级31级32级国际部分31级互联网域名服务系统域名解析系统2级31级32级4级数据中心1级2级31级32级信息服务系信息浏览服务系统2级31级信息发布服务系统2级31级32级电子邮件服务系统2级31级用户通信服务系统2级31级增值业务网消息网级31级多媒体消息网2级31级增值业务网智能网省内智能网2级31级32级全国智能网2级31级32级接入网光传送网本地传送网含城域传送网接入网2级31级汇聚层2级31核心层2级31级32级省内骨干传送网31级32级省际骨干传送网31级32级4级国际骨干传送网32级4级微波接力传送网省内传送网2级31卫星传送网国内卫星传送网2级31级32级ip承载网
- 11 -
第二十二条 各省级公司应积极配合相关通信网络安全检 查工作;主要检查措施如下:
工业和信息化部令第11号《通信网络安全防护管理办法》解读
中华人民共和国工业和信息化部令第 11 号《通信网络安全防护管理办法》已经2009年12月29日中华人民共和国工业和信息化部第8次部务会议审议通过,现予公布,自2010年3月1日起施行。
部长李毅中二〇一〇年一月二十一日通信网络安全防护管理办法第一条为了加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通,根据《中华人民共和国电信条例》,制定本办法。
第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
本办法所称互联网域名服务,是指设置域名数据库或者域名解析服务器,为域名持有者提供域名注册或者权威解析服务的行为。
本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。
第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。
第四条中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定通信行业相关标准。
各省、自治区、直辖市通信管理局(以下简称通信管理局)依据本办法的规定,对本行政区域内的通信网络安全防护工作进行指导、协调和检查。
工业和信息化部与通信管理局统称“电信管理机构”。
第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作,对本单位通信网络安全负责。
第六条通信网络运行单位新建、改建、扩建通信网络工程项目,应当同步建设通信网络安全保障设施,并与主体工程同时进行验收和投入运行。
通信网络安全保障设施的新建、改建、扩建费用,应当纳入本单位建设项目概算。
第七条通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级。
工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见
工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见文章属性•【制定机关】工业和信息化部•【公布日期】2014.08.28•【文号】工信部保[2014]368号•【施行日期】2014.08.28•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】通信业正文工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见(工信部保〔2014〕368号2014年8月28日)各省、自治区、直辖市通信管理局,中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司,国家计算机网络应急技术处理协调中心,工业和信息化部电信研究院、通信行业职业技能鉴定指导中心,中国通信企业协会、中国互联网协会,各互联网域名注册管理机构,有关单位:近年来,各单位认真贯彻落实党中央、国务院决策部署及工业和信息化部的工作要求,在加强网络基础设施建设、促进网络经济快速发展的同时,不断强化网络安全工作,网络安全保障能力明显提高。
但也要看到,当前网络安全形势十分严峻复杂,境内外网络攻击活动日趋频繁,网络攻击的手法更加复杂隐蔽,新技术新业务带来的网络安全问题逐渐凸显。
新形势下电信和互联网行业网络安全工作存在的问题突出表现在:重发展、轻安全思想普遍存在,网络安全工作体制机制不健全,网络安全技术能力和手段不足,关键软硬件安全可控程度低等。
为有效应对日益严峻复杂的网络安全威胁和挑战,切实加强和改进网络安全工作,进一步提高电信和互联网行业网络安全保障能力和水平,提出以下意见。
一、总体要求认真贯彻落实党的十八大、十八届三中全会以及中央网络安全和信息化领导小组第一次会议关于维护网络安全的有关精神,坚持以安全保发展、以发展促安全,坚持安全与发展工作统一谋划、统一部署、统一推进、统一实施,坚持法律法规、行政监管、行业自律、技术保障、公众监督、社会教育相结合,坚持立足行业、服务全局,以提升网络安全保障能力为主线,以完善网络安全保障体系为目标,着力提高网络基础设施和业务系统安全防护水平,增强网络安全技术能力,强化网络数据和用户信息保护,推进安全可控关键软硬件应用,为维护国家安全、促进经济发展、保护人民群众利益和建设网络强国发挥积极作用。
工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见全文-国家规范性文件
工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见各省、自治区、直辖市通信管理局,中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司,国家计算机网络应急技术处理协调中心,工业和信息化部电信研究院、通信行业职业技能鉴定指导中心,中国通信企业协会、中国互联网协会,各互联网域名注册管理机构,有关单位:近年来,各单位认真贯彻落实党中央、国务院决策部署及工业和信息化部的工作要求,在加强网络基础设施建设、促进网络经济快速发展的同时,不断强化网络安全工作,网络安全保障能力明显提高。
但也要看到,当前网络安全形势十分严峻复杂,境内外网络攻击活动日趋频繁,网络攻击的手法更加复杂隐蔽,新技术新业务带来的网络安全问题逐渐凸显。
新形势下电信和互联网行业网络安全工作存在的问题突出表现在:重发展、轻安全思想普遍存在,网络安全工作体制机制不健全,网络安全技术能力和手段不足,关键软硬件安全可控程度低等。
为有效应对日益严峻复杂的网络安全威胁和挑战,切实加强和改进网络安全工作,进一步提高电信和互联网行业网络安全保障能力和水平,提出以下意见。
一、总体要求认真贯彻落实党的十八大、十八届三中全会以及中央网络安全和信息化领导小组第一次会议关于维护网络安全的有关精神,坚持以安全保发展、以发展促安全,坚持安全与发展工作统一谋划、统一部署、统一推进、统一实施,坚持法律法规、行政监管、行业自律、技术保障、公众监督、社会教育相结合,坚持立足行业、服务全局,以提升网络安全保障能力为主线,以完善网络安全保障体系为目标,着力提高网络基础设施和业务系统安全防护水平,增强网络安全技术能力,强化网络数据和用户信息保护,推进安全可控关键软硬件应用,为维护国家安全、促进经济发展、保护人民群众利益和建设网络强国发挥积极作用。
二、工作重点(一)深化网络基础设施和业务系统安全防护。
认真落实《通信网络安全防护管理办法》(工业和信息化部令第11号)和通信网络安全防护系列标准,做好定级备案,严格落实防护措施,定期开展符合性评测和风险评估,及时消除安全隐患。
通信网络安全防护系列标准
通信网络安全防护系列标准
一、YD/T 1729-2008《电信网和互联网安全等级保护实施指南》
二、YDB 106-2012《增值电信业务系统安全防护定级和评测实施规范-门户综合网站系统》;
三、YDB 107-2012《增值电信业务系统安全防护定级和评测实施规范-即时通信系统》;
四、YDB 108-2012《增值电信业务系统安全防护定级和评测实施规范-网络交易系统》;
五、YDB 109-2012《增值电信业务系统安全防护定级和评测实施规范-信息社区服务系统》;
六、YDB 110-2012《增值电信业务系统安全防护定级和评测实施规范-邮件系统》;
七、YDB 111-2012《增值电信业务系统安全防护定级和评测实施规范-搜索系统》;
八、YDB 112-2012《增值电信业务系统安全防护定级和评测实施规范-互联网接入服务系统》;
九、YDB 113-2012《域名服务系统安全防护定级和评测实施规范》;
十、YDB 114-2012《互联网内容分发网络安全防护要求》;
十一、YDB 115-2012《互联网内容分发网络安全防护检测要求》;
十二、YDB 116-2012《互联网数据中心安全防护要求》;
十三、YDB 117-2012《互联网数据中心安全防护检测要求》;。
互联网安全防护要求
YD/T1729-2008电信网和互联网安全等级保护实施指南
YD/T 1730-2008 电信网和互联网安全风险评估实施指南
YD/T1731-2008电信网和互联网灾难备份及恢复实施指南
YD/T1742-2008接入网安全防护要求
YD/T1744-xxxx传送网安全防护要求
1、本标准的第2章“规范性引用文件”中补充和更新了标准正文中引用的规范文件。
2、
3、本标准的第4章“缩略语”中补充和更新了标准正文中适用的缩略语。
4、
5、本标准的第5章“互联网安全防护概述”中增加了“互联网安全等级保护”相关“系统安全”要求的内容和说明。
6、
7、本标准的第7章“互联网资产、脆弱性、威胁分析”中增加了“环境和设施”类资产及其主要资产说明。
人为或自然的威胁可能利用互联网及相关系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
3.6
互联网安全风险评估 security risk assessment ofInternet
指运用科学的方法和手段,系统地分析互联网及相关系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施,防范和化解互联网及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障互联网及相关系统的安全提供科学依据。
57、《信令网安全防护检测要求》
58、
59、《同步网安全防护检测要求》
60、
61、《支撑网安全防护检测要求》
62、
63、《非核心生产单元安全防护检测要求》
64、
65、《域名系统安全防护检测要求》
66、
工业和信息化部办公厅关于印发《电信和互联网行业数据安全标准体系建设指南》的通知
工业和信息化部办公厅关于印发《电信和互联网行业数据安全标准体系建设指南》的通知
文章属性
•【制定机关】工业和信息化部
•【公布日期】2020.12.17
•【文号】工信厅科〔2020〕58号
•【施行日期】2020.12.17
•【效力等级】部门规范性文件
•【时效性】现行有效
•【主题分类】工业和信息化管理其他规定
正文
工业和信息化部办公厅
关于印发《电信和互联网行业数据安全标准体系建设指
南》的通知
工信厅科〔2020〕58号为发挥标准对电信和互联网行业数据安全的规范和保障作用,加快制造强国和网络强国建设步伐,现将《电信和互联网行业数据安全标准体系建设指南》印发给你们,请结合本行业(领域)、本地区实际,在标准化工作中贯彻执行。
附件:电信和互联网行业数据安全标准体系建设指南(略)
工业和信息化部办公厅
2020年12月17日。
【管理制度)行业规范中国电信通信网络安全防护管理办法
(管理制度)行业规范中国电信通信网络安全防护管理办法中国电信通信网络安全防护管理办法第壹章总则第一条为加强中国电信通信网络安全管理工作,提高通信网络安全防护能力,保障通信网络安全畅通,根据《通信网络安全防护管理办法》(中华人民共和国工业和信息化部第11号令),制定本办法。
第二条第二条中国电信管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
第三条第三条本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。
第四条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。
第五条网络安全防护工作贯穿网络规划、设计、采购、建设、入网运行、维护以及下线退网整个生命周期;注重安全防护的标准制定和落实,注重督促工程设计和建设阶段的安全规范实施情况,注重监管运行维护工作制度规章的执行情况;建立按照电信管理机构的要求,结合中国电信自身的安全管理需求,以年度为周期开展计划、实施、总结考评等工作制度;整体工作将按照规范化、制度化、常态化方向发展。
第六条集团公司关联部门和各省级公司可根据实际情况制定关联细则,进壹步落实贯彻本办法。
第二章网络安全防护管理的组织形式第七条集团公司负责全集团通信网络安全防护工作的统壹指导、协调和检查,组织建立健全通信网络安全防护体系,制定关联标准,按照工业和信息化部的规定、通信行业标准及企业标准开展通信网络安全防护工作,对全网的通信网络安全负责,对各省的网络安全管理工作进行统壹监督管理。
第八条各省级公司依据本办法的规定和关联要求,对本省公司的通信网络安全防护工作进行指导、协调和检查,按照工业和信息化部及各省、自治区、直辖市通信管理局(以下统称“电信管理机构”)的规定和通信行业标准、集团公司的关联要求、企业标准开展通信网络安全防护工作,对所管理的通信网络安全负责。
电信网和互联网安全等级保护实施指南
网络和业务运营商依据国家和通信行 业有关标准进行保护。
网络和业务运营商依据国家和通信行 业有关标准进行保护,主管部门对其
安全等级保护主工作管进行指导。 网络和业务运部营商门依据国家和通信行 业有关标准进对行保其护,主管部门对其 安全等级保护监工作督进行监督、检查。
检查 网络和业务运力营商度依据国家和通信行 业安有全关等标级准保进护越行工保作强护进,行主重管点部监门督对、其检
第2级
定级对象受到破坏后,会对网络和业务运营商的合 网络和业务运营商依据国家和通信行 法权益产生严重损害,或者对社会秩序、经济运行 业有关标准进行保护,主管部门对其 和公共利益造成轻微损害,但不损害国家安全。 安全等级保护工作进行指导。
第3级
第3.1级
定级对象受到破坏后,会对网络和业务运营商的合 法权益产生很严重损害,或者对社会秩序、经济运 行和公共利益造成较大损害,或者对国家安全造成 轻微损害。
加强电信网和互联网及相关系统的安全防 护能力
不同安全等级的网络或系统应能满足相应 的基本保护要求
4
主要内容
1. 安全等级保护对象和目标
2. 安全等级划分及定级方法
3. 安全等级保护的实施过程
安全等级划分
描述
第1级
定级对象受到破坏后,会对其网络和业务运营商的 网络和业务运营商依据国家和通信行 合法权益造成轻微损害,但不损害国家安全、社会 业有关标准进行保护。 秩序、经济运行和公共利益。
查。
网络和业务运营商依据国家和通信行 业有关标准以及业务的特殊安全要求 进行保护,主管部门对其安全等级保 护工作进行强制监督、检查。
第5级
定级对象受到破坏后,会对国家安全造成特别严重 损害。
网络和业务运营商依据国家和通信行 业有关标准以及业务的特殊安全需求 进行保护,主管部门对其安全等级保 护工作进行专门监督、检查。 7
电信和互联网用户个人电子信息保护标准介绍
标准制定流程
电信和互联网用户个人信息保护安全防护标准的制定受工业和信息化部委托 ,由工业和信息化部电信研究院牵头,中国互联网络信息中心、北京和升达 信息安全技术有限公司、北京新浪互联信息服务有限公司、深圳腾讯计算机 系统有限公司、中国电信集团公司、中国移动通信集团公司、中国联合网络 通信集团有限公司共同组成起草组参与标准起草。
电信和互联网用户个人电子信息保护标准安全防护要求
操作环节-管理要求-运维支撑人员要求
a) 对运维支撑人员操作用户个人电子信息的行为,应建立明确的操作审批流程,定期 进行严密的事后审核。
b) 运维支撑人员因业务投诉、统计取数、批量业务操作、批量数据修复等原因进行的 用户个人电子信息查询、变更必须提交操作申请,按照要求进行操作,不得扩大操 作范围。
电信和互联网用户个人电子信息保护标准安全防护要求
操作环节-管理要求-开发人员要求
a) 开发人员的工作区域应与生产、内部办公、维护区域分离,并采用严格的访问控制 策略和管控手段。
b) 开发人员使用的测试数据不应当包含真实的用户个人电子信息,必须是经过模糊化 处理的数据。
c) 开发人员进入可能接触到用户个人电子信息的生产或维护区域时,应有相应的审批 制度。
电信和互联网行业用户信息具体包括: • (一)身份信息:指能够单独或相互结合识别特定用户身份的信息,如用户基本资
料、通讯录信息和虚拟身份信息等。 • (二)鉴权信息:指用于鉴定用户身份是否合法的信息,如用户登录各种业务系统
的账号和密码、服务密码等。 • (三)日志信息:指用户使用电信业务过程中产生的信息,如用户消费信息、位置
行业规范中国电信通信网络安全防护管理办法
中国电信通信网络安全防护管理办法第一章总则第一条为加强中国电信通信网络安全管理工作,提高通信网络安全防护能力,保障通信网络安全畅通,根据《通信网络安全防护管理办法》(中华人民共和国工业和信息化部第11号令),制定本办法。
第二条第二条中国电信管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
第三条第三条本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。
第四条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。
第五条网络安全防护工作贯穿网络规划、设计、采购、建设、入网运行、维护以及下线退网整个生命周期;注重安全防护的标准制定与落实,注重督促工程设计和建设阶段的安全规范实施情况,注重监管运行维护工作制度规章的执行情况;建立按照电信管理机构的要求,结合中国电信自身的安全管理需求,以年度为周期开展计划、实施、总结考评等工作制度;整体工作将按照规范化、制度化、常态化方向发展。
第六条集团公司相关部门和各省级公司可根据实际情况制定相关细则,进一步落实贯彻本办法。
第二章网络安全防护管理的组织形式第七条集团公司负责全集团通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定相关标准,按照工业和信息化部的规定、通信行业标准及企业标准开展通信网络安全防护工作,对全网的通信网络安全负责,对各省的网络安全管理工作进行统一监督管理。
第八条各省级公司依据本办法的规定和相关要求,对本省公司的通信网络安全防护工作进行指导、协调和检查,按照工业和信息化部及各省、自治区、直辖市通信管理局(以下统称“电信管理机构”)的规定和通信行业标准、集团公司的相关要求、企业标准开展通信网络安全防护工作,对所管理的通信网络安全负责。
第九条网络安全防护工作覆盖多部门、多专业,包括网络发展部门(以下简称网络发展部)、企业信息化部门(以下简称企业信息化部)、公众客户管理部门(以下简称公众客户部)、网络运行部门(以下简称网络运行部)等。
工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见
工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见文章属性•【制定机关】工业和信息化部•【公布日期】2014.08.28•【文号】工信部保[2014]368号•【施行日期】2014.08.28•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】通信业正文工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见(工信部保〔2014〕368号2014年8月28日)各省、自治区、直辖市通信管理局,中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司,国家计算机网络应急技术处理协调中心,工业和信息化部电信研究院、通信行业职业技能鉴定指导中心,中国通信企业协会、中国互联网协会,各互联网域名注册管理机构,有关单位:近年来,各单位认真贯彻落实党中央、国务院决策部署及工业和信息化部的工作要求,在加强网络基础设施建设、促进网络经济快速发展的同时,不断强化网络安全工作,网络安全保障能力明显提高。
但也要看到,当前网络安全形势十分严峻复杂,境内外网络攻击活动日趋频繁,网络攻击的手法更加复杂隐蔽,新技术新业务带来的网络安全问题逐渐凸显。
新形势下电信和互联网行业网络安全工作存在的问题突出表现在:重发展、轻安全思想普遍存在,网络安全工作体制机制不健全,网络安全技术能力和手段不足,关键软硬件安全可控程度低等。
为有效应对日益严峻复杂的网络安全威胁和挑战,切实加强和改进网络安全工作,进一步提高电信和互联网行业网络安全保障能力和水平,提出以下意见。
一、总体要求认真贯彻落实党的十八大、十八届三中全会以及中央网络安全和信息化领导小组第一次会议关于维护网络安全的有关精神,坚持以安全保发展、以发展促安全,坚持安全与发展工作统一谋划、统一部署、统一推进、统一实施,坚持法律法规、行政监管、行业自律、技术保障、公众监督、社会教育相结合,坚持立足行业、服务全局,以提升网络安全保障能力为主线,以完善网络安全保障体系为目标,着力提高网络基础设施和业务系统安全防护水平,增强网络安全技术能力,强化网络数据和用户信息保护,推进安全可控关键软硬件应用,为维护国家安全、促进经济发展、保护人民群众利益和建设网络强国发挥积极作用。
工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见全文-国家规范性文件
工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见各省、自治区、直辖市通信管理局,中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司,国家计算机网络应急技术处理协调中心,工业和信息化部电信研究院、通信行业职业技能鉴定指导中心,中国通信企业协会、中国互联网协会,各互联网域名注册管理机构,有关单位:近年来,各单位认真贯彻落实党中央、国务院决策部署及工业和信息化部的工作要求,在加强网络基础设施建设、促进网络经济快速发展的同时,不断强化网络安全工作,网络安全保障能力明显提高。
但也要看到,当前网络安全形势十分严峻复杂,境内外网络攻击活动日趋频繁,网络攻击的手法更加复杂隐蔽,新技术新业务带来的网络安全问题逐渐凸显。
新形势下电信和互联网行业网络安全工作存在的问题突出表现在:重发展、轻安全思想普遍存在,网络安全工作体制机制不健全,网络安全技术能力和手段不足,关键软硬件安全可控程度低等。
为有效应对日益严峻复杂的网络安全威胁和挑战,切实加强和改进网络安全工作,进一步提高电信和互联网行业网络安全保障能力和水平,提出以下意见。
一、总体要求认真贯彻落实党的十八大、十八届三中全会以及中央网络安全和信息化领导小组第一次会议关于维护网络安全的有关精神,坚持以安全保发展、以发展促安全,坚持安全与发展工作统一谋划、统一部署、统一推进、统一实施,坚持法律法规、行政监管、行业自律、技术保障、公众监督、社会教育相结合,坚持立足行业、服务全局,以提升网络安全保障能力为主线,以完善网络安全保障体系为目标,着力提高网络基础设施和业务系统安全防护水平,增强网络安全技术能力,强化网络数据和用户信息保护,推进安全可控关键软硬件应用,为维护国家安全、促进经济发展、保护人民群众利益和建设网络强国发挥积极作用。
二、工作重点(一)深化网络基础设施和业务系统安全防护。
认真落实《通信网络安全防护管理办法》(工业和信息化部令第11号)和通信网络安全防护系列标准,做好定级备案,严格落实防护措施,定期开展符合性评测和风险评估,及时消除安全隐患。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
西安邮 电学院
解放军信息 工程大学
亿阳安 全技术 有限公 司
•不断有新成员加入 标准的起草和讨论
CNNIC
绿盟
天融信
北邮恒 安嘉新
以标准指导安全防护工作
p信部电[2007]555号文:为保证电信网络安全防护工作的 有效性和规范性,相关工作应当按照国家和信息产业部组织 制定的有关标准实施。 p部令《通信网络安全防护管理办法》第五条:通信网络运 行单位应当按照电信管理机构的规定和通信行业标准开展通 信网络安全防护工作,对本单位通信网络安全负责。
域名安全凸显成基础网络中安全短板
5.19暴风影音事件
p事件概述: ü5月19日,DNS服务商DNSPod遭到DDOS攻击,电信运 营商因其异常流量将其IP地址封掉,由于DNSPod同时 还为拥有1000万在线客户端的暴风影音软件提供域名 解析服务,暴风影音发送海量的域名请求并拖垮中国 p域名是互联网核心资源,直接影响基础网络安 电信DNS服务器,造成多省DNS服务器瘫痪。 p产生原因—技术因素: 全。现阶段域名系统已成为恶意人员利用和攻击 ü网游私服之间的恶性竞争并发起恶意攻击 的重要目标,域名安全成为基础网络中的安全短 ü域名解析技术自身存在缺陷 板。政府有必要强势介入,加强事前准入、事中 CCTV曝光域名涉黄事件 ü应用软件缺少规范 审查、事后惩戒等全过程监管! p 事件概述:2009年12月份,央视一套针对.CN域名涉 黄事件进行了连续报道,域名管理中存在的一些薄弱 环节成为关注焦点,也体现出国内域名仍存在一定程 度的域名滥用和泛滥现象。
分阶段起草安全防护标准
¢
第一阶段:2006年10月7日~2007年4月27日,经过7次CCSA 标准讨论,完成26个标准
— — — — — — — — — — — — — — —
《电信网和互联网安全防护管理指南》 《电信网和互联网安全等级保护实施指南》 《电信网和互联网安全风险评估实施指南》 《电信网和互联网灾难备份及恢复实施指南》 《固定通信网安全防护要求》和《固定通信网安全防护检测要求》 《移动通信网安全防护要求》和《移动通信网安全防护检测要求》 《互联网安全防护要求》和《互联网安全防护检测要求》 《增值业务网—消息网安全防护要求》和《增值业务网—消息网安全防护检测要求》 《增值业务网—智能网安全防护要求》和《增值业务网—智能网安全防护检测要求》 《接入网安全防护要求》和《接入网安全防护检测要求》 《传送网安全防护要求》和《传送网安全防护检测要求》 《IP承载网安全防护要求》和《IP承载网安全防护检测要求》 《信令网安全防护要求》和《信令网安全防护检测要求》 《同步网安全防护要求》和《同步网安全防护检测要求》 《支撑网安全防护要求》和《支撑网安全防护检测要求》
主要内容
• 09年安全形势 • 标准起草过程 • 标准体系介绍 • 标准应用情况
电信网和互联网安全防护标准体系
“电信网安全防护标 准起草组” 讨论并 确定标准架构,根据 新增的标准不断补 安全标准
一个管理指南、三个实施指南
总体指导性标准
1
《电信网和互联网安全防 护管理指南》,内容包括 定义、目标、原则、安全 防护体系、安全防护体系 三部分工作及其关系等
2009年互联网传统安全问题依然严峻
•恶意网站 •2009年度拦截恶意网站 6,550,000个,相比2008年 同期有较大提升; •网马问题 •服务器主要集中在中国 的广东、福建、浙江等地 •恶意域名最多当属“.cn” •通过访问挂马网站下载 的病毒文件,以网络游戏 盗号类木马为主。 来源:天安实验室
域名安全凸显成基础网络中安全短板
CNNIC 2010年1月发布的《第 McAfee2009年第三季度报告显示,.CN 25次中国互联网络发展状况统 域名位列全球最危险域名第3位 计报告》统计,2009年底我国 域名总数为1681万,其中80% 为.cn域名,国家顶级域名总数 奚国华副部长在中国首届域名大会上指出: 居世界前列。 “域名是互联网上的核心资源,我们不仅
2009年互联网传统安全问题依然严峻 n垃圾邮件、病毒、网络欺诈问题依然严重
威胁 垃圾邮件 (全球) 中国 数量 87.7% 86.9%
病毒(全球)平均286.4 个邮件中含 1个病毒 中国 平均173.3 个邮件含1 个病毒
平均325.2 网络钓鱼 (网络欺诈) 个邮件含1 个网络欺诈
Source: MessageLab
电信网和互联网安全防护 标准体系介绍
工业和信息化部电信研究院 通信标准研究所 2010年3月
主要内容
• 09年安全形势 • 标准起草过程 • 标准体系介绍 • 标准应用情况
美国强化网络空间制控权,引领安全战略进行全面转型
• 网络安全重要性提升,网络空间控制权被强化
– 美国高度强调网络安全重要性,认为信息网络袭击的后果严重程度可能会超过911恐 怖主义袭击 – 进行了全面的网络安全政策评估,总统亲自宣布评估报告结果,认为:“来自网络空 间的威胁已经成为美国面临的最严重的经济和军事威胁之一……保护网络基础设施将 是维护美国国家安全的优先任务。 – 从高层进行领导,总统直接指派高级别官员(网络沙皇)专门负责网络安全事宜, 网络安全办公室直接设在白宫总统行政办公室。 – 从联邦政府组织机构设置、资金及人员投入等多个操作环节入手,切实推进网络安全 新政的有效落实 – 进行2009年网络安全立法”讨论,并进入司法流程。可能赋予美国总统特权在“宣布 网络安全的紧急状态”的情况下关闭部分互联网的权力。
以标准指导试点工作,通过试点验证相关标准
《电信网和互联网安全防护管理指南》 《电信网和互联网安全等级保护实施指南》 《电信网和互联网安全风险评估实施指南》 《电信网和互联网灾难备份及恢复实施指南》
固定通信网 移动通信网 IP承载网 IP承载网 支撑网
消息网
天津市 《固定通信网 安全防护要求》 安全防护要求》 《固定通信网 安全防护检测 要求》 要求》
2009年互联网传统安全问题依然严峻 n中国是受网络攻击最严重的国家之一
CNCERT互联网网 络安全指数报告 2009年针对境内基 础网络的主要网络 攻击有增无减。在 2009年11月,运营 商报送的针对基础 IP网络的拒绝服务 攻击次数较上月大 幅增加66.0%。
Source: 工业和信息化部
Source:
欺诈钓鱼
要提高域名注册数量,更要提高域名发展 质量和效益。” 病毒蠕
虫木马
DNS攻 击
域名安全 威胁
DNS设备故障
域名滥用 拒绝服务攻击
域名劫持
反钓鱼联盟统计数据显示,自2008年7月成立后至 2009年11月底,这一年多时间里经联盟认定并处 理的钓鱼网站域名已达10568个,投诉排行榜前三 名分别为淘宝网、CCTV和腾讯网。
辽宁省 《支撑网安全 防护要求》 防护要求》 《支撑网安全 防护检测要求》 防护检测要求》
¢
第二阶段:2007年11月1日~27日,根据试点情况增加6 个标准,修订已有的24个标准 — 试点总结会后新增如下标准 Ø 《非核心生产单元安全防护要求》和《非核心生产 单元安全防护检测要求》 Ø 《电信网和互联网物理环境安全等级保护要求》和 《电信网和互联网物理环境安全等级保护检测要求》 Ø 《电信网和互联网管理安全等级保护要求》 和《电 信网和互联网管理安全等级保护检测要求》
标准特设组
•2006年10月,中国通信标准化协会特设 2006年10月 “电信网安全防护标准起草组” 成员单位
工业和信息化部电信研究院
华为技 术有限 公司 中国 铁通 中国 卫通 北京创 原天地 科技有 限公司
中兴通 讯股份 公司
中国 电信
中国 网通
中国 移动
中国 联通
CNCERT/CC
武汉邮电科 学研究院
¢
第四阶段:计划2010年开始
—
制定标准 ¢ 《即时消息业务系统安全防护要求》和《即时消息业务系统安 全防护检测要求》 ¢ 《WAP网关系统安全防护要求》和《WAP网关系统安全防护检测 要求》 ¢ 《信息服务业务系统安全防护要求》和《信息服务业务系统安 全防护检测要求》
•今后还将根据网络和业务发展以及发现的安全问题不断补充和 完善“电信网和互联网安全防护标准体系”的相关标准… 完善“电信网和互联网安全防护标准体系”的相关标准… …
p
举措-管理举措:工业和信息化部领导CNNIC、域名 注册机构和相关管理部门做出快速反应,加强域名审 核、备案、清理工作,表达了政府加强域名管理的决 心。但必须认识到,针对数量庞大、种类繁多的域名 安全管理是个复杂的系统工程,难以一蹴而就,今后 的工作仍然任重道远。
主要内容
• 09年安全形势 • 标准起草过程 • 标准体系介绍 • 标准应用情况
山东省 《移动通信网 安全防护要求》 安全防护要求》 《移动通信网 安全防护检测 要求》 要求》
广州市 《增值业务网增值业务网消息网安全防 护要求》 护要求》 《增值业务网增值业务网消息网安全防 护检测要求》 护检测要求》
上海市 《IP承载网安 IP承载网安 全防护要求》 全防护要求》 《IP承载网安 IP承载网安 全防护检测要 求》
•2008年1月14日,正式发布实施32份行业标准,在全国范围内 2008年 14日,正式发布实施32份行业标准,在全国范围内 依据标准开展通信网络安全防护工作