電信網和互聯網的安全等級保護,是我國電信網和互聯網安全防護體系中的重要工作之一。為此,我國通信行業標準YD/T 1729《電信網和互聯網安全等級保護實施指南》規定了電信網和互聯網安全等級保護的概念、對象、目標,安全等級劃分,安全等級保護實施過程中的基本原則,并結合電信網和互聯網的生命周期定義了電信網和互聯網安全等級保護工作的主要階段及主要活動。該標準是電信網和互聯網安全等級保護的總體指導性文件,針對具體網絡或系統的安全等級保護可參考相應網絡/系統的安全防護要求和安全防護檢測要求。以下概要介紹安全等級保護實施指南的主要內容,若詳細了解YD/T 1729標準具體內容的請查閱下附件0-1。
附件 0-1:YD/T 1729-2024《電信網和互聯網安全等級保護實施指南》
欲具體了解電信網和互聯網安全防護體系介紹的請進入。
同時,YD/T 3799《電信網和互聯網網絡安全防護定級備案實施指南》規定了電信網和互聯網中網絡和系統單元定級備案的實施方法和劃分準則,包括網絡和系統單元劃分類型、命名規則、定級要素賦值細化指標以及安全等級的計算方法等。因此,介紹YD/T 1729時應結合YD/T 3799標準一起介紹,若詳細了解YD/T 3799標準具體內容的請查閱下附件0-2。
附件 0-2:YD/T 3799-2020《電信網和互聯網網絡安全防護定級備案實施指南》
欲更多了解YD/T 1729與YD/T 3799標準版本情況的請進入。
電信網和互聯網安全等級(Security Classification of Telecom Network and Internet)是電信網和互聯網及相關系統安全重要程度的表征。重要程度可從電信網和互聯網及相關系統受到破壞后,對國家安全、社會秩序、經濟運行、公共利益、網絡運營者造成的損害來衡量。電信網和互聯網安全等級保護(Classified Security Protection of Telecom Network and Internet)是指對電信網和互聯網及相關系統分等級實施安全保護。電信網和互聯網相關系統(System of Telecom Network and Internet)是指組成電信網和互聯網相關網絡/系統單元,具體在YD/T 3799標準中有詳細地命名。
一、電信網和互聯網安全等級保護對象
電信網和互聯網安全防護工作的范圍包括網絡運營者(電信業務經營者、互聯網域名服務提供者和互聯網信息服務提供者)管理運營的公用通信網和互聯網及其組成部分。安全等級保護對象應包括YD/T 3799標準描述的電信網和互聯網安全防護體系中各種網絡或系統。YD/T 3799標準的表1共提供了27種電信網和互聯網安全防護體系中的網絡或系統,具體羅列于下表1中。
表 1:電信網和互聯網安全防護體系中的網絡或系統的類型(27種)
YD/T 3799/表1命名的27種電信網和互聯網安全防護體系中的網絡或系統類型可進一步分為A類網絡/系統單元和B類網絡/系統單元的兩個層次。其中未涵蓋的類型,根據網絡或業務的實際情況,按照:網絡/系統類型→A類網絡/系統單元→B類網絡/系統單元的層次,靈活劃分網絡/系統單元。
二、電信網和互聯網安全等級保護目標
安全等級保護的目標是通過對電信網和互聯網及相關系統進行安全等級劃分,按照電信網和互聯網安全防護管理系列標準中的安全等級保護要求進行規劃、設計、建設、運維等工作,加強電信網和互聯網及相關系統的安全防護能力,確保其安全性和可靠性。
三、電信網和互聯網安全等級劃分
在電信網和互聯網及相關系統中進行安全等級劃分的總體原則是:定級對象受到破壞后對國家安全、社會秩序、經濟運行、公共利益以及網絡運營者的合法權益的損害程度。電信網和互聯網及相關系統的安全等級共劃分為5級,數字越大,網絡安全等級級別越高。下表3給出了電信網和互聯網安全等級劃分及各等級保護責任主體。溫馨提示的是YD/T 1729-2024取消了早期版本中的將第3級進一步細分為3.1級和3.2級的劃分。
表 3:電信網和互聯網安全等級的劃分及各等級保護責任主體
四、電信網和互聯網定級方法
1、定級賦值
確定定級對象的安全等級應根據社會影響力、規模和服務范圍、所提供服務的重要性三個相互獨立的定級要素。依據YD/T 1729-2024的要求,電信網和互聯網定級方法應按照YD/T 3799描述的方法對網絡/系統單元進行定級。那么YD/T 3799標準給出了27種網絡/系統類型的對網絡/系統單元(可包含A、B層單元)進行了定級,并且分別直接給出了三個定級要素的賦值(最高分值為5分),結合各類業務系統的特點,定級三要素的具體賦值指標可進一步細分。在確定某一個定級要素的賦值時,無需考慮其他兩個定級要素。
2安全等級的計算方法--對數法
根據YD/T 3799標準,在確定好定級對象的三個定級要素的賦值后,可采用下述的安全等級的計算方法-“對數法”來確定定級對象的安全等級。對數法使用下面的公式來計算定級對象的安全等級值:
k = Roundl {[ Log2 [α×2I + β×2R + γ×2V ]}
其中,k代表安全等級值,I代表社會影響力賦值、R代表規模和服務范圍賦值、V代表所提供服務的重要性賦值,Roundl {}表示四舍五入處理,保留1位小數,Log2 [ ]表示取以2為底的對數,α、β、γ分別表示定級對象的社會影響力、規模和服務范圍以及所提供服務的重要性賦值所占的權重,且α+β+γ=1。通常α、β、γ的取值分別為1/3。計算所得定級對象(網絡/系統單元)的安全等級值與安全等級的映射關系如下表4-2所示。
表 4-2:安全等級值與安全等級的映射關系
五、安全等級保護的實施過程
1、基本原則
電信網和互聯網的安全等級保護工作應首先滿足電信網和互聯網的安全防護工作提出的適度安全原則、標準性原則、可控性原則、最小影響原則以及保密性原則。這些原則是由YD/T 1728-2008《電信網和互聯網安全防護管理指南》中提出的。
欲詳細了解YD/T 1728-2008標準內容的請進入。
在此基礎上,電信網和互聯網的安全等級保護工作在實施過程中還應重點遵循的原則有:自主保護原則、同步建設原則、重點保護原則和動態調整原則,這些原則的釋義詳見下表5-1。
表 5-1:電信網和互聯網的安全等級保護工作在實施過程中還應重點遵循的原則
2、實施的基本過程
雖然安全等級保護是一個不斷循環和不斷提高的過程,但實施安全等級保護的一次完整過程是可以區分清楚的,包括5個主要階段:安全等級確定;安全總體規劃;安全設計與實施;安全運維;服務終止,具體如下圖5-2所示。在YD/T 1729-2024標準中,對實施過程的5個階段所應開展的工作活動分別有其詳細的描述,具體請查閱該標準原文。
圖 5-2:電信網和互聯網安全等級保護實施的基本過程
3、安全等級保護工作與電信網和互聯網及相關系統生命周期的關系
電信網和互聯網及相關系統的生命周期包括5個階段,即:啟動階段、設計階段、實施階段、運維階段和廢棄階段。電信網和互聯網及相關系統的安全等級保護工作將貫穿其生命周期的各個階段。安全等級保護工作可分為對新建電信網和互聯網及相關系統的安全等級保護和對已建電信網和互聯網及相關系統的安全等級保護,兩者在電信網和互聯網及相關系統生命周期中的切入點是不同的,但是安全等級保護工作的主要活動基本相同。安全等級保護過程與電信網和互聯網及相關系統生命周期的關系如下圖5-3所示。
圖 5-3:安全等級保護過程與電信網和互聯網及相關系統生命周期的關系
欲進一步了解通信網絡與信息安全保護等級劃分要求的請進入。
