電信網(wǎng)和互聯(lián)網(wǎng)的安全防護(hù)工作是關(guān)乎網(wǎng)絡(luò)安全運(yùn)行、確保提供高質(zhì)量通信業(yè)務(wù)至關(guān)重要的工作。為此,我國(guó)通信行業(yè)標(biāo)準(zhǔn)YD/T 1728《電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)管理指南》對(duì)電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)的定義、目標(biāo)、原則進(jìn)行了描述和規(guī)范。同時(shí),對(duì)電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系、安全防護(hù)體系三部分工作及其關(guān)系進(jìn)行了說(shuō)明。該標(biāo)準(zhǔn)是我國(guó)電信網(wǎng)和互聯(lián)網(wǎng)的安全防護(hù)體系總體指導(dǎo)性規(guī)范。
電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系(Security Protection Architecture of Telecom Network and Internet)是指電信網(wǎng)和互聯(lián)網(wǎng)的安全等級(jí)保護(hù)、安全風(fēng)險(xiǎn)評(píng)估、災(zāi)難備份及恢復(fù)三項(xiàng)工作互為依托、互為補(bǔ)充、相互配合,共同構(gòu)成了電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系。那么在這里,電信網(wǎng)(Telecom Network)是指利用有線和/或無(wú)線的電磁、光電系統(tǒng),進(jìn)行文字、聲音、數(shù)據(jù)、圖像或其他任何媒體的信息傳遞的網(wǎng)絡(luò),包括固定通信網(wǎng)、移動(dòng)通信網(wǎng)等。互聯(lián)網(wǎng)(Internet)泛指廣域網(wǎng)、局域網(wǎng)及終端(包括計(jì)算機(jī)、手機(jī)等)通過(guò)交換機(jī)、路由器、網(wǎng)絡(luò)接入設(shè)備等基于一定的通信協(xié)議連接形成的,功能和邏輯上的大型網(wǎng)絡(luò)。以下概要介紹管理指南的主要內(nèi)容,若詳細(xì)了解的請(qǐng)查閱附件。
附件:YD/T 1728-2008《電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)管理指南》
一、電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)的目標(biāo)
電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)工作的目標(biāo)就是要加強(qiáng)電信網(wǎng)和互聯(lián)網(wǎng)的安全防護(hù)能力,確保網(wǎng)絡(luò)的安全性和可靠性,盡可能實(shí)現(xiàn)對(duì)電信網(wǎng)和互聯(lián)網(wǎng)安全狀況的實(shí)時(shí)掌控,保證電信網(wǎng)和互聯(lián)網(wǎng)能夠完成其使命。為了實(shí)現(xiàn)該目標(biāo),網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商、設(shè)備制造商要充分考慮電信網(wǎng)和互聯(lián)網(wǎng)不同等級(jí)的安全要求,從環(huán)境因素以及人為因素分析電信網(wǎng)和互聯(lián)網(wǎng)面臨的威脅,從技術(shù)和管理兩個(gè)方面分析電信網(wǎng)和互聯(lián)網(wǎng)存在的脆弱性,充分考慮現(xiàn)有安全措施,分析電信網(wǎng)和互聯(lián)網(wǎng)現(xiàn)存風(fēng)險(xiǎn),平衡效益與成本,制定災(zāi)難備份及恢復(fù)計(jì)劃,將電信網(wǎng)和互聯(lián)網(wǎng)的安全控制在可接受的水平。
二、電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)的原則
電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)工作要在適度安全原則的指導(dǎo)下,采用自主保護(hù)和重點(diǎn)保護(hù)方法,在安全防護(hù)工作安排部署過(guò)程中遵循標(biāo)準(zhǔn)性、可控性(包括人員可控性、工具可控性和項(xiàng)目過(guò)程可控性)、完備性、最小影響和保密原則,實(shí)現(xiàn)同步建設(shè)、統(tǒng)籌兼顧、經(jīng)濟(jì)實(shí)用和循序漸進(jìn)地進(jìn)行安全防護(hù)工作。電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)的六項(xiàng)原則的含義詳見(jiàn)下表2-1。
表2-1:電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)六項(xiàng)原則的含義
三、電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)的范疇
電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)范疇包括基礎(chǔ)網(wǎng)絡(luò);業(yè)務(wù)單元和控制單元;非核心生產(chǎn)單元;互聯(lián)網(wǎng)的其它網(wǎng)絡(luò)或信息系統(tǒng)四大部分,具體詳見(jiàn)下表3-1。
表3-1:電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)的范疇
四、電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系
根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)范疇,建立的電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系如圖4-1所示。整個(gè)體系分為三層,每一層的工作內(nèi)容詳見(jiàn)下表4-1。隨著電信網(wǎng)和互聯(lián)網(wǎng)的發(fā)展,隨著安全防護(hù)體系的進(jìn)一步完善,第三層的內(nèi)容將進(jìn)一步補(bǔ)充完善。
圖4-1:電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系
表4-1:電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系的層次
根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)全程全網(wǎng)的特點(diǎn),電信網(wǎng)和互聯(lián)網(wǎng)的安全防護(hù)工作可從固定通信網(wǎng)、移動(dòng)通信網(wǎng)、互聯(lián)網(wǎng)、增值業(yè)務(wù)網(wǎng)、非核心生產(chǎn)單元來(lái)開(kāi)展。對(duì)固定通信網(wǎng)、移動(dòng)通信網(wǎng)、互聯(lián)網(wǎng)實(shí)施安全防護(hù),應(yīng)分別從構(gòu)成上述網(wǎng)絡(luò)的不同電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)入手。電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)包括接入網(wǎng)、傳送網(wǎng)、IP承載網(wǎng)、信令網(wǎng)、同步網(wǎng)、支撐網(wǎng)等。其中,接入網(wǎng)包括各種有線、無(wú)線和衛(wèi)星接入網(wǎng)等,傳送網(wǎng)包括光纜、波分、SDH、衛(wèi)星等,而支撐網(wǎng)則包括業(yè)務(wù)支撐和網(wǎng)管系統(tǒng)。
安全防護(hù)要求明確了電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)需要落實(shí)的安全管理和技術(shù)措施,涵蓋了安全等級(jí)保護(hù)、安全風(fēng)險(xiǎn)評(píng)估、災(zāi)難備份及恢復(fù)等三部分內(nèi)容,其中安全等級(jí)保護(hù)工作需要落實(shí)的物理環(huán)境和管理的安全等級(jí)保護(hù)要求被單獨(dú)提出作為電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的通用安全等級(jí)保護(hù)要求。安全防護(hù)檢測(cè)要求與安全防護(hù)要求相對(duì)應(yīng),提供了對(duì)電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)工作進(jìn)行檢測(cè)的方法,從而確認(rèn)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商、設(shè)備制造商在安全防護(hù)工作實(shí)施過(guò)程中是否滿足了相關(guān)安全防護(hù)要求。
五、電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)
電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)工作貫穿于電信網(wǎng)和互聯(lián)網(wǎng)生命周期的各個(gè)階段,是一個(gè)不斷循環(huán)和不斷提高的過(guò)程。安全等級(jí)保護(hù)工作的實(shí)施分為5個(gè)過(guò)程,如圖5-1所示,每個(gè)過(guò)程的內(nèi)容簡(jiǎn)述如表5-1所示。
圖5-1:安全等級(jí)保護(hù)實(shí)施的基本過(guò)程
表5-1:安全等級(jí)保護(hù)實(shí)施過(guò)程的內(nèi)容
欲詳細(xì)了解電信網(wǎng)和互聯(lián)網(wǎng)的安全等級(jí)劃分和定級(jí)方法的請(qǐng)進(jìn)入。
六、電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估
電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于電信網(wǎng)和互聯(lián)網(wǎng)生命周期的各階段中,在生命周期不同階段的風(fēng)險(xiǎn)評(píng)估原則和方法是一致的。在電信網(wǎng)和互聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)評(píng)估工作中,應(yīng)首先進(jìn)行相關(guān)工作的準(zhǔn)備,通過(guò)安全風(fēng)險(xiǎn)分析計(jì)算電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的風(fēng)險(xiǎn)值,進(jìn)而確定其風(fēng)險(xiǎn)等級(jí)和風(fēng)險(xiǎn)防范措施。安全風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素,每個(gè)要素有各自的屬性。資產(chǎn)的屬性是資產(chǎn)價(jià)值;威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等;脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度等。安全風(fēng)險(xiǎn)評(píng)估的實(shí)施流程如圖6-1所示。
圖6-1:安全風(fēng)險(xiǎn)評(píng)估實(shí)施的基本過(guò)程
欲詳細(xì)了解電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估方法的請(qǐng)進(jìn)入。
七、電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)
電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)工作利用技術(shù)、管理手段以及相關(guān)資源,確保已有的電信網(wǎng)和互聯(lián)網(wǎng)在災(zāi)難發(fā)生后,在確定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)行。災(zāi)難備份及恢復(fù)工作需要防范包括地震、水災(zāi)等自然災(zāi)難以及火災(zāi)、戰(zhàn)爭(zhēng)、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無(wú)法預(yù)料的突發(fā)事件。如圖7-1所示,災(zāi)難備份及恢復(fù)工作應(yīng)根據(jù)安全等級(jí)保護(hù)確定的安全等級(jí)以及安全風(fēng)險(xiǎn)分析的相關(guān)結(jié)果進(jìn)行需求分析,制定、實(shí)現(xiàn)相應(yīng)的災(zāi)難備份及恢復(fù)策略,并構(gòu)建災(zāi)難恢復(fù)預(yù)案,這是一個(gè)循環(huán)改進(jìn)的過(guò)程。
針對(duì)電信網(wǎng)和互聯(lián)網(wǎng)的不同網(wǎng)絡(luò)、不同重要級(jí)別的業(yè)務(wù),災(zāi)難備份及恢復(fù)所要達(dá)到的目標(biāo)是不同的。例如,在電信網(wǎng)和互聯(lián)網(wǎng)中,對(duì)于普通語(yǔ)音業(yè)務(wù),可以要求網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商通過(guò)災(zāi)難備份及恢復(fù)工作,保證在災(zāi)難發(fā)生后單一地區(qū)的災(zāi)難不影響災(zāi)難發(fā)生地理范圍以外地區(qū)的語(yǔ)音業(yè)務(wù),并且發(fā)生災(zāi)難的地區(qū)的語(yǔ)音業(yè)務(wù)能夠通過(guò)有效災(zāi)難恢復(fù)計(jì)劃的實(shí)施,在一定時(shí)間范圍(指標(biāo)應(yīng)與災(zāi)難級(jí)別對(duì)應(yīng))內(nèi)恢復(fù)通信。
圖7-1:災(zāi)難備份及恢復(fù)實(shí)施的基本過(guò)程
欲詳細(xì)了解電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)的等級(jí)劃分和實(shí)施等級(jí)要求的請(qǐng)進(jìn)入。
八、安全等級(jí)保護(hù)、安全風(fēng)險(xiǎn)評(píng)估、災(zāi)難備份及恢復(fù)三者之間的關(guān)系
電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系中的安全等級(jí)保護(hù)、安全風(fēng)險(xiǎn)評(píng)估、災(zāi)難備份及恢復(fù)三者之間密切相關(guān)、互相滲透、互為補(bǔ)充。電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)應(yīng)將安全等級(jí)保護(hù)、安全風(fēng)險(xiǎn)評(píng)估、災(zāi)難備份及恢復(fù)工作有機(jī)結(jié)合,加強(qiáng)相關(guān)工作之間的整合和銜接,保證電信網(wǎng)絡(luò)安全防護(hù)工作的整體性、統(tǒng)一性和協(xié)調(diào)性。電信網(wǎng)絡(luò)安全防護(hù)工作應(yīng)按照根據(jù)被保護(hù)對(duì)象的重要性進(jìn)行分等級(jí)保護(hù)的思想,通過(guò)安全風(fēng)險(xiǎn)評(píng)估的方法正確認(rèn)識(shí)被保護(hù)對(duì)象存在的脆弱性和面臨的威脅,進(jìn)而制定、落實(shí)和改進(jìn)與安全保護(hù)等級(jí)和風(fēng)險(xiǎn)大小相適應(yīng)的一系列管理、技術(shù)、災(zāi)難備份等安全等級(jí)保護(hù)措施,最終達(dá)到提高電信網(wǎng)絡(luò)安全保護(hù)能力和水平的目的。
在開(kāi)展安全等級(jí)保護(hù)工作時(shí),要充分應(yīng)用安全風(fēng)險(xiǎn)評(píng)估的方法,認(rèn)識(shí)、分析不同類型的網(wǎng)絡(luò)和業(yè)務(wù)存在的脆弱性和面臨的威脅,進(jìn)而制定和落實(shí)與被保護(hù)對(duì)象的類型、脆弱性和威脅相適應(yīng)的基本安全保護(hù)措施要求,提高安全等級(jí)保護(hù)工作的針對(duì)性和適用性。在開(kāi)展安全風(fēng)險(xiǎn)評(píng)估工作時(shí),在分析被保護(hù)對(duì)象綜合風(fēng)險(xiǎn)和制定改進(jìn)方案的過(guò)程中,要始終與被保護(hù)對(duì)象的安全保護(hù)等級(jí)相結(jié)合,合理確定被評(píng)估對(duì)象的可接受風(fēng)險(xiǎn)和制定確實(shí)必要的整改措施,避免無(wú)限度地改進(jìn)提高。在開(kāi)展災(zāi)難備份及恢復(fù)工作時(shí),要結(jié)合被備份對(duì)象的安全保護(hù)等級(jí)和面臨的威脅,制定相適應(yīng)的備份措施,并將有關(guān)備份的要求體現(xiàn)在安全等級(jí)保護(hù)的要求中進(jìn)行落實(shí)。
電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)、安全風(fēng)險(xiǎn)評(píng)估和災(zāi)難備份及恢復(fù)工作應(yīng)隨著電信網(wǎng)和互聯(lián)網(wǎng)的發(fā)展變化而動(dòng)態(tài)調(diào)整,適應(yīng)國(guó)家對(duì)電信網(wǎng)和互聯(lián)網(wǎng)的安全要求。
欲進(jìn)一步了解電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)要求相關(guān)內(nèi)容的請(qǐng)進(jìn)入:電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系;電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系的標(biāo)準(zhǔn)系列
