一、概述
1、引述
電信網和互聯網信息通信網絡是國民經濟的關鍵基礎設施,是眾多關系國計民生的重要信息系統不可或缺的支撐平臺。由于信息通信技術的不斷發展,電信網和互聯網規模的不斷擴大和網絡開放性的不斷提高,使得電信網和互聯網的安全面臨著越來越多的威脅,存在著越來越多的風險和安全問題。
電信網和互聯網安全問題的產生是由于網絡存在風險,風險是衡量網絡安全狀況的標準。風險大,網絡就是危險的、不安全的;風險小到可以接受,就可以認為是安全的。電信網和互聯網安全問題的產生原因有:互聯網與電信網的融合給電信網帶來了許多原來存在于互聯網的威脅;NGN、3G、WiMAX、IPTV等新技術和新業務的引入增加了電信網絡的復雜性、不可控性,也為其安全帶來不確定因素;運營商之間網絡規劃、建設缺乏協調配合,網絡一旦出現重大事故時難以迅速恢復;相關法規尚不完善,落實安全保障措施缺乏力度等。
為此,由中國通信標準化協會(CCSA)編制,由當時的信息產業部從2008年1月開始,陸續發布了關于電信網和互聯網的安全防護方面的系列通信行業標準,其中于2008年1月14日一次性發布了《電信網和互聯網安全防護管理指南》(YD/T 1728-2008)等32項標準。該系列標準是根據《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003] 27號文件)以及國家網絡與信息安全協調小組辦公室關于開展等級保護、風險評估和災難備份及恢復等工作的有關意見,CCSA是于2006年10月啟動了網絡安全防護系列標準的制定工作。后來我國又不斷發布了大量的該類標準,形成了完整的電信網和互聯網安全防護體系。
欲詳細了解關于電信網與互聯網分等級安全防護的內容介紹的請進入。
2、關于電信網和互聯網安全防護體系
電信網和互聯網安全防護體系(Security Protection Architecture of Telecom Network and Internet)是指電信網和互聯網的安全等級保護、安全風險評估、災難備份及恢復三項重點工作互為依托、互為補充、相互配合,共同構成了電信網和互聯網安全防護體系。電信網和互聯網安全防護體系就是將等級保護、風險評估、災難備份及恢復這三者有機結合,其目的就是要加強電信網和互聯網的安全防護能力,確保網絡的安全性和可靠性,盡可能實現對電信網和互聯網安全狀況的實時掌控,保證電信網和互聯網能夠完成其使命。為此,我國電信網和互聯網的整個安全防護體系包括以下五個部分:
在下述五部分中又分為三個層次,管理指南為電信網和互聯網的安全防護工作的第一層,是整個安全防護體系的總體指導性規范。第二層是實施指南,它從宏觀的角度明確了如何進行安全防護工作的實施,包括了安全防護體系的三項重點工作,以及“三同(同步規劃、同步建設與同步運行)”的實施要求。第三層具體規定了電信網和互聯網相關系統的安全防護工作的要求,包括安全防護要求和安全防護檢測要求;安全防護檢測要求與安全防護要求相對應,提供了對電信網和互聯網安全防護工作進行檢測的方法,從而確認網絡和業務運營商、設備制造商在安全防護工作實施過程中是否滿足了相關安全防護要求。下圖2為我國電信網和互聯網的安全防護體系結構圖。
圖 2:我國電信網和互聯網的安全防護體系結構圖
二、管理指南
管理指南為整個安全防護工作的總體指導性實施規范,明確了對電信網和互聯網安全防護的定義、目標、原則,同時說明了電信網和互聯網的安全防護體系、安全防護體系的三項工作(安全等級保護、安全生產評估和災難備份及保護)間的關系。
欲詳細了解管理指南詳細內容的請進入。
三、實施指南
實施指南從宏觀的角度明確了如何進行安全防護工作,規范了安全防護體系中安全等級保護、安全風險評估、災難備份及恢復等三部分工作的原則、流程、方法、步驟等。另外包括同規劃同建設同運行的實施要求。其中:
1、安全等級保護實施指南
對于安全等級保護實施指南,它描述了電信網和互聯網安全等級保護的概念、對象、目標,安全等級劃分和定級方法,安全等級保護實施過程中的基本原則,并結合電信網和互聯網的生命周期定義了電信網和互聯網安全等級保護工作的主要階段及主要活動。
欲詳細了解安全等級保護實施指南詳細內容的請進入。
2、安全等級保護定級備案實施指南
對于安全等級保護定級備案實施指南,它描述了電信網和互聯網中網絡和系統單元定級備案的實施方法和劃分準則,包括網絡和系統單元劃分類型、命名規則、定級要素賦值細化指標以及安全等級的計算方法等。
欲詳細了解安全等級保護定級備案實施指南詳細內容的請進入。
3、安全風險評估實施指南
對于安全風險評估實施指南,它描述了電信網和互聯網的安全進行風險評估的要素和要素之間的關系、實施流程、工作形式遵循的原則,在電信網和互聯網生命周期不同階段的不同要求和實施要點。
欲詳細了解安全風險評估實施指南詳細內容的請進入。
4、災難備份及恢復實施指南
對于災難備份及恢復實施指南,它對電信網和互聯網災難備份及恢復工作的目標和原則進行了描述和規范。同時,規定了電信網和互聯網災難備份及恢復的等級劃分和實施等級要求。
欲詳細了解災難備份及恢復實施指南詳細內容的請進入。
5、三同步實施指南
電信網和互聯網安全防護應是同步規劃、同步建設與同步運行的。三同步實施指南提出了“三同”的實施要求。
欲詳細了三同步實施指南詳細內容的請進入。
四、電信網和互聯網相關系統的安全防護要求和檢測要求
是對電信網和互聯網安全防護范疇中的各類型專業網絡或系統安全防護工作的實施進行了具體規范,目前覆蓋了固定網、移動網、互聯網、消息網、智能網、接入網、傳送網、IP承載網、信令網、同步網、非核心生產單元等近30個專業網絡或系統。
欲詳細了解各類型專業網絡或系統具體要求內容的請進入。
四、配套要求
所謂配套要求是指信網和互聯網的上述各種類型網絡/系統的通用或共性的安全防護要求及檢測要求,如各種類型網絡/系統的物理環境方面、管理方面、安全基線方面等。
1、安全等級“物理環境”和“管理”的保護要求與檢測要求
規定了公眾電信網和互聯網各種網絡物理環境方面和管理方面的安全等級保護要求,它適用于安全防護體系中各種網絡和系統。同時也給出相應的檢測要求。
欲詳細了解其網絡物理環境方面和管理方面的安全等級保護要求詳細內容的請進入。
2、安全防護基線配置要求及檢測要求
安全基線是一個信息系統的最小安全保證, 即該信息系統最基本需要滿足的安全要求。該部分規定了電信網和互聯網安全防護基線的求和檢測要求,目前共包括網絡設備、安全設備、數據庫、操作系統、中間件、Web應用系統、大數據組件等。
欲詳細了解其安全基線配置要求詳細內容的請進入。
欲進一步了解我國電信網和互聯網安全防護體系行業標準情況的請進入。
