互聯網的安全防護要求

一、概述

互聯網（internet）泛指廣域網、局域網及終端（包括個人計算機終端、移動手機終端等）通過數據網絡設備（交換機、路由器等）、網絡接入設備（寬帶網絡接入服務器、WAP網關等）等基于一定的通信協議連接形成的功能和邏輯上的大型網絡。目前我國運營的互聯網業務包括互聯網域名服務、互聯網數據中心、互聯網接入服務、互聯網信息服務（如互聯網信息瀏覽服務、互聯網電子郵件服務、互聯網信息發布服務、互聯網用戶通信服務等）、互聯網虛擬專用網服務、在線數據處理與交易處理服務等。互聯網安全防護范圍包括互聯網各類業務及應用系統、以及各類業務與應用的接入（其網絡包括有線、無線、衛星等接入網絡）、承載（核心層、匯聚層等）、傳輸（SDH、WDM、OTN、衛星等網絡）等相關的互聯網相關系統。下圖1給出了互聯網相關系統組成示意圖。互聯網的相關系統組成至少應包括接入網絡、傳送網絡、IP承載網絡等。

圖 1：互聯網相關系統組成示意圖

我國通信行業標準YD/T 1736《互聯網安全防護要求》對互聯網業務及應用系統安全防護提出了具體要求。互聯網相關系統中，如接入網安全防護的具體要求；傳送網安全防護的具體要求；IP承載網安全防護的具體要求；等等，應見具體的相關系統的要求內容。

欲具體了解互聯網相關系統的安全防護要求的請進入。

根據YD/T 1728《電信網和互聯網安全防護管理指南》中電信網和互聯網安全防護體系的要求，YD/T 1736的互聯網安全防護內容分為安全等級保護、安全風險評估、災難備份及恢復等三個部分。下述簡要介紹其各部分的內容，若要詳細了解YD/T 1736具體內容的請查閱下附件1-1。需要注意的是，互聯網安全防護要求應和其檢測要求配套使用，因此，也請了解互聯網安全防護檢測要求標準YD/T 1737具體內容的可查詢下附件1-2。

附件 1-1：YD/T 1736-2009《互聯網安全防護要求》

附件 1-2：YD/T 1737-2009《互聯網安全防護檢測要求》

欲詳細了解安全防護管理指南（YD/T 1728）具體要求的請進入。

二、安全等級保護

互聯網安全等級保護主要包括定級對象和安全等級確定、業務及應用安全、業務及應用系統安全、設備安全、物理環境安全和管理安全等。各項的含義詳見下表2-0。

表 2-0：互聯網安全等級保護內容的各項含義

1、互聯網定級對象和安全等級確定

我國具有管轄權的互聯網業務及應用系統的定級對象為各個互聯網業務及應用系統。網絡和業務運營商應根據YD/T 1729《電信網和互聯網安全等級保護實施指南》附錄A中確定網絡安全等級的方法對互聯網業務及應用系統定級。針對業務及應用系統，可根據相應的社會影響力、所提供服務的重要性、服務用戶數的大小進行定級，權重α、β、γ可根據具體業務及應用的情況進行調節。

欲詳細了解安全等級保護實施指南（YD/T 1729）具體要求的請進入。

2、互聯網安全等級保護要求

依據YD/T 1729《電信網和互聯網安全等級保護實施指南》的要求，互聯網安全等級也分為5級。那么，依據YD/T 1736：對于第1級不作要求；對于第2級和第3.1級提出了具體要求；第3.2級要求與第3.1級要求相同；第4級要求同第3.2級要求；第5級要求待研究補充。因此，關于第2級和第3.1級具體要求請詳見本文的附件1-1。

互聯網安全等級保護要求是從業務及應用安全、設備安全、物理環境安全、管理安全等4個方面做出的。對于業務及應用安全方面提到的業務與應用的種類詳見下表2-2。另外，物理環境安全要求和管理安全要求應分別滿足YD/T 1754和YD/T 1756中相應等級級別的規定要求。

表 2-2：互聯網業務與應用的種類

欲詳細了解物理環境安全（YD/T 1754）和管理安全（YD/T 1756）具體要求的請進入。

三、互聯網安全風險評估有要求

互聯網安全風險評估有要求主要包括互聯網業務及應用相關資產識別、脆弱性識別、威脅識別、已有安全措施確認、安全風險分析、安全風險評估文件處理等。YD/T 1736標準僅對互聯網業務及應用系統進行資產分析、脆弱性分析、威脅分析（具體分析內容請詳見本文的附件1-1），在互聯網業務及應用系統安全風險評估過程中對資產、脆弱性、威脅的賦值方法及資產價值、風險值的計算方法見YD/T 1730《電信網和互聯網安全風險評估實施指南》標準。

欲詳細了解風險評估實施指南（YD/T 1730）具體要求的請進入。

1、資產分析

互聯網業務及應用系統的資產至少應包括：設備硬件、設備軟件、重要數據、提供的應用、文檔、人員等。在YD/T 1736中給出具體的資產列表及相應資產分析。

2、脆弱性分析

互聯網業務及應用系統的脆弱性可以從技術脆弱性和管理脆弱性2個方面考慮。脆弱性識別對象應以資產為核心。在YD/T 1736中給出了主要的脆弱性識別內容。

3、威脅分析

互聯網業務及應用系統面臨的威脅可分為技術威脅、環境威脅和人為威脅。環境威脅包括自然界不可抗的威脅和其他物理威脅。根據威脅的動機，人為威脅又可分為惡意和非惡意兩種。在YD/T 1736中列舉了互聯網主要面臨的威脅。

四、互聯網災難備份及恢復要求

互聯網災難備份及恢復要求主要包括互聯網業務及應用相關災難備份及恢復等級確定、針對災難備份及恢復各資源要素的具體實施等。根據YD/T 1731《電信網和互聯網災難備份及恢復實施指南》，災難備份及恢復定級應與安全等級保護確定的安全等級一致。

欲詳細了解災難備份及恢復實施指南（YD/T 1731）具體要求的請進入。

因此，根據YD/T 1736中互聯網災難備份及恢復要求：對于第1級不作要求；對于第2級和第3.1級提出了具體要求（具體詳見本文附件1-1）；對于第3.2級要求與第3.1級要求相同；對于第4級要求同第3.2級要求；第5級要求待補充。

欲進一步了解電信網和互聯網安全防護體系的請進入。