网络安全-网络安全架构与维护规范

。网络安全网络安全架构与维护规范目录第1章通信网络与信息安全法律法规 41.1中华人民共和国工业和信息化部11号令 41.2中华人民共和国工业和信息化部24令 8第2章网络安全防护实施 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 122.1电信网和互联网安全防护管理指南 122.2电信网和互联网安全等级保护实施指南 202.3电信网和互联网安全风险评估实施指南 472.4电信网和互联网安全等级保护实施指南 72第3章网络安全架构 873.1概述 873.1.1基本原则 873.1.2适应范围 873.1.3安全策略体系架构及目标 873.2组织与人员 883.2.1组织机构 883.2.2人员管理 883.3网络建设与开发 893.3.1设计、建设和验收 893.3.2系统的安全要求 893.3.3开发和支持过程中的安全 893.3.4系统文件的安全 893.3.5安全培训 893.3.6系统验收 903.3.7设备安全准入 90第4章安全维护规范 914.1安全域划分及边界整合 914.1.1安全域划分与边界整合 914.1.2定级备案 914.1.3安全域职责分工 914.1.4网络接入 914.2 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 规范 914.2.1安全操作流程和职责 913.2.2安全对象管理 924.2.3安全日常维护管理 924.2.4第三方服务管理 934.2.5介质安全管理 934.2.6设备安全规范管理 934.3访问控制 944.3.1网络访问控制 944.3.2操作系统的访问控制 954.3.3应用访问控制 954.3.4网络访问与使用的监控 954.3.5远程访问控制 964.4网络与系统分先评估 964.5安全事件与应急响应 964.5.1安全事件报告机制 964.5.2应急响应 974.6安全审计管理 974.6.1审计内容要求 974.6.2审计原则 984.6.3审计管理 98第1章通信网络与信息安全法律法规1.1中华人民共和国工业和信息化部11号令《通信网络安全防护管理办法》已经2009年12月29日中华人民共和国工业和信息化部第8次部务会议审议通过，现予公布，自2010年3月1日起施行。部长李毅中二〇一〇年一月二十一日通信网络安全防护管理办法第一条为了加强对通信网络安全的管理，提高通信网络安全防护能力，保障通信网络安全畅通，根据《中华人民共和国电信条例》，制定本办法。第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者以下统称“通信网络运行单位）管理和运行的公用通信网和互联网（以下统称“通信网络）的网络安全防护工作，适用本办法。本办法所称互联网域名服务，是指设置域名数据库或者域名解析服务器，为域名持有者提供域名注册或者权威解析服务的行为。本办法所称网络安全防护工作，是指为防止通信网络阻塞、中断、瘫痪或者被非法控制，以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。第四条中华人民共和国工业和信息化部（以下简称工业和信息化部）负责全国通信网络安全防护工作的统一指导、协调和检查，组织建立健全通信网络安全防护体系，制定通信行业相关标准。各省、自治区、直辖市通信管理局（以下简称通信管理局）依据本办法的规定，对本行政区域内的通信网络安全防护工作进行指导、协调和检查。工业和信息化部与通信管理局统称“电信管理机构”。第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作，对本单位通信网络安全负责。第六条通信网络运行单位新建、改建、扩建通信网络工程项目，应当同步建设通信网络安全保障设施，并与主体工程同时进行验收和投入运行。通信网络安全保障设施的新建、改建、扩建费用，应当纳入本单位建设项目概算。第七条通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分，并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高分别划分为一级、二级、三级、四级、五级。电信管理机构应当组织专家对通信网络单元的分级情况进行评审。通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别，并按照前款规定进行评审。第八条通信网络运行单位应当在通信网络定级评审通过后三十日内，将通信网络单元的划分和定级情况按照以下规定向电信管理机构备案：（一）基础电信业务经营者集团公司向工业和信息化部申请办理其直接管理的通信网络单元的备案；基础电信业务经营者各省（自治区、直辖市）子公司、分公司向当地通信管理局申请办理其负责管理的通信网络单元的备案；（二）增值电信业务经营者向作出电信业务经营许可决定的电信管理机构备案；（三）互联网域名服务提供者向工业和信息化部备案。第九条通信网络运行单位办理通信网络单元备案，应当提交以下信息：（一）通信网络单元的名称、级别和主要功能；（二）通信网络单元责任单位的名称和联系方式；（三）通信网络单元主要负责人的姓名和联系方式；（四）通信网络单元的拓扑架构、网络边界、主要软硬件及型号和关键设施位置；（五）电信管理机构要求提交的涉及通信网络安全的其他信息。前款规定的备案信息生变化的，通信网络运行单位应当自信息变化之日起三十日内向电信管理机构变更备案。通信网络运行单位报备的信息应当真实、完整。第十条电信管理机构应当对备案信息的真实性、完整性进行核查，发现备案信息不真实、不完整的，通知备案单位予以补正。第十一条通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施，并按照以下规定进行符合性评测：（一）三级及三级以上通信网络单元应当每年进行一次符合性评测；（二）二级通信网络单元应当每两年进行一次符合性评测。通信网络单元的划分和级别调整的，应当自调整完成之日起九十日内重新进行符合性评测。通信网络运行单位应当在评测结束后三十日内，将通信网络单元的符合性评测结果、整改情况或者整改 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 报送通信网络单元的备案机构。第十二条通信网络运行单位应当按照以下规定组织对通信网络单元进行安全风险评估，及时消除重大网络安全隐患：（一）三级及三级以上通信网络单元应当每年进行一次安全风险评估；（二）二级通信网络单元应当每两年进行一次安全风险评估。国家重大活动举办前，通信网络单元应当按照电信管理机构的要求进行安全风险评估。通信网络运行单位应当在安全风险评估结束后三十日内，将安全风险评估结果、隐患处理情况或者处理计划报送通信网络单元的备案机构。第十三条通信网络运行单位应当对通信网络单元的重要线路、设备、系统和数据等进行备份。第十四条通信网络运行单位应当组织演练，检验通信网络安全防护措施的有效性。通信网络运行单位应当参加电信管理机构组织开展的演练。第十五条通信网络运行单位应当建设和运行通信网络安全监测系统，对本单位通信网络的安全状况进行监测。第十六条通信网络运行单位可以委托专业机构开展通信网络安全评测、评估、监测等工作。工业和信息化部应当根据通信网络安全防护工作的需要，加强对前款规定的受托机构的安全评测、评估、监测能力指导。第十七条电信管理机构应当对通信网络运行单位开展通信网络安全防护工作的情况进行检查。电信管理机构可以采取以下检查措施：（一）查阅通信网络运行单位的符合性评测报告和风险评估报告；（二）查阅通信网络运行单位有关网络安全防护的文档和工作记录；（三）向通信网络运行单位工作人员询问了解有关情况；（四）查验通信网络运行单位的有关设施；（五）对通信网络进行技术性分析和测试；（六）法律、行政法规规定的其他检查措施。第十八条电信管理机构可以委托专业机构开展通信网络安全检查活动。第十九条通信网络运行单位应当配合电信管理机构及其委托的专业机构开展检查活动，对于检查中发现的重大网络安全隐患，应当及时整改。第二十条电信管理机构对通信网络安全防护工作进行检查，不得影响通信网络的正常运行，不得收取任何费用，不得要求接受检查的单位购买指定品牌或者指定单位的安全软件、设备或者其他产品。第二十一条电信管理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密和个人隐私，有保密的义务。第二十二条违反本办法第六条第一款、第七条第一款和第三款、第八条、第九条、十一条、第十二条、十三条、十四条、十五条、十九条规定的，由电信管理机构依据职权责令改正；拒不改正的，给予警告，并处五千元以上三万元以下的罚款。第二十三条电信管理机构的工作人员违反本办法第二十条、二十一条规定的，依法给予行政处分；构成犯罪的，依法追究刑事责任。第二十四条本办法自2010年3月1日起施行。1.2中华人民共和国工业和信息化部24令《电信和互联网用户个人信息保护规定》已经2013年6月28日中华人民共和国工业和信息化部第2次部务会议审议通过，现予公布，自2013年9月1日起施行。部长苗圩2013年7月16日电信和互联网用户个人信息保护规定第一章总则第一条为了保护电信和互联网用户的合法权益，维护网络信息安全，根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规，制定本规定。第二条在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动，适用本规定。第三条工业和信息化部和各省、自治区、直辖市通信管理局（以下统称电信管理机构）依法对电信和互联网用户个人信息保护工作实施监督管理。第四条本规定所称用户个人信息，是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。第五条电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息，应当遵循合法、正当、必要的原则。第六条电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。第七条国家鼓励电信和互联网行业开展用户个人信息保护自律工作。第二章信息收集和使用规范第八条电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则，并在其经营或者服务场所、网站等予以公布。第九条未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项。电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务。法律、行政法规对本条第一款至第四款规定的情形另有规定的，从其规定。第十条电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。第十一条电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作，涉及收集、使用用户个人信息的，应当对代理人的用户个人信息保护工作进行监督和管理，不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。第十二条电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制，公布有效的联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起十五日内答复投诉人。第三章安全保障措施第十三条电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失：（一）确定各部门、岗位和分支机构的用户个人信息安全管理责任；（二）建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度；（三）对工作人员及代理人实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施；（四）妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体，并采取相应的安全储存措施；（五）对储存用户个人信息的信息系统实行接入审查，并采取防入侵、防病毒等措施；（六）记录对用户个人信息进行操作的人员、时间、地点、事项等信息；（七）按照电信管理机构的规定开展通信网络安全防护工作；（八）电信管理机构规定的其他必要措施。第十四条电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其许可或者备案的电信管理机构报告，配合相关部门进行的调查处理。电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估；影响特别重大的，相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。电信管理机构在依据本规定作出处理决定前，可以要求电信业务经营者和互联网信息服务提供者暂停有关行为，电信业务经营者和互联网信息服务提供者应当执行。第十五条电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。第十六条电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查，记录自查情况，及时消除自查中发现的安全隐患。第四章监督检查第十七条电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。电信管理机构实施监督检查时，可以要求电信业务经营者、互联网信息服务提供者提供相关材料，进入其生产经营场所调查情况，电信业务经营者、互联网信息服务提供者应当予以配合。电信管理机构实施监督检查，应当记录监督检查的情况，不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动，不得收取任何费用。第十八条电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。第十九条电信管理机构实施电信业务经营许可及经营许可证年检时，应当对用户个人信息保护情况进行审查。第二十条电信管理机构应当将电信业务经营者、互联网信息服务提供者违反本规定的行为记入其社会信用档案并予以公布。第二十一条鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度，引导会员加强自律管理，提高用户个人信息保护水平。第5章法律责任第二十二条电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的，由电信管理机构依据职权责令限期改正，予以警告，可以并处一万元以下的罚款。第二十三条电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的，由电信管理机构依据职权责令限期改正，予以警告，可以并处一万元以上三万元以下的罚款，向社会公告；构成犯罪的，依法追究刑事责任。第二十四条电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的，依法给予处理；构成犯罪的，依法追究刑事责任。第六章附则第二十五条本规定自2013年9月1日起施行。第2章网络安全防护实施标准2.1电信网和互联网安全防护管理指南1.范围本标准对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。同时，对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。本标准适用于电信网和互联网的安全防护工作。本标准涉及的电信网和互联网不包括专用网，仅指公众电信网和公众互联网。2.规范性引用文件下列文件中的条款通过本标准的引用而成为指导性技术文件的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T5271.8-2001信息技术词汇第8部分：安全3.术语和定义GB/T5271.8-2001确立的术语和定义，以及下列术语和定义适用于本标准。3.1电信网telecomnetwork利用有线和/或无线的电磁、光电系统，进行文字、声音、数据、图象或其它任何媒体的信息传递的网络，包括固定通信网、移动通信网等。3.2互联网Internet泛指广域网、局域网及终端（包括计算机、手机等）通过交换机、路由器、网络接入设备等基于一定的通讯协议连接形成的，功能和逻辑上的大型网络。3.3电信网和互联网安全防护体系securityprotectionarchitectureoftelecomnetworkandInternet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合，共同构成了电信网和互联网安全防护体系。3.4电信网和互联网安全等级securityclassificationoftelecomnetworkandInternet电信网和互联网及相关系统重要程度的表征。重要程度从电信网和互联网及相关系统受到破坏后，对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.5电信网和互联网安全等级保护classifiedsecurityprotectionoftelecomnetworkandInternet指对电信网和互联网及相关系统分等级实施安全保护。3.6电信网和互联网安全风险securityriskoftelecomnetworkandInternet人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.7电信网和互联网安全风险评估securityriskassessmentoftelecomnetworkandInternet指运用科学的方法和手段，系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施，防范和化解电信网和互联网及相关系统安全风险，将风险控制在可接受的水平，为最大限度地保障电信网和互联网及相关系统的安全提供科学依据。3.8电信网和互联网灾难disasteroftelecomnetworkandInternet由于各种原因，造成电信网和互联网及相关系统故障或瘫痪，使电信网和互联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.9电信网和互联网灾难备份backupfordisasterrecoveryoftelecomnetworkandInternet为了电信网和互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。3.10电信网和互联网灾难恢复disasterrecoveryoftelecomnetworkandInternet为了将电信网和互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。4.目标和原则电信网和互联网安全防护工作的目标就是要加强电信网和互联网的安全防护能力，确保网络的安全性和可靠性，尽可能实现对电信网和互联网安全状况的实时掌控，保证电信网和互联网能够完成其使命。为了实现该目标，网络和业务运营商、设备制造商要充分考虑电信网和互联网不同等级的安全要求，从环境因素以及人为因素分析电信网和互联网面临的威胁，从技术和管理两个方面分析电信网和互联网存在的脆弱性，充分考虑现有安全措施，分析电信网和互联网现存风险，平衡效益与成本，制定灾难备份及恢复计划，将电信网和互联网的安全控制在可接受的水平。电信网和互联网安全防护工作要在适度安全原则的指导下，采用自主保护和重点保护方法，在安全防护工作安排部署过程中遵循标准性、可控性、完备性、最小影响和保密原则，实现同步建设、统筹兼顾、经济实用和循序渐进地进行安全防护工作。——适度安全原则：安全防护工作的根本性原则。安全防护工作应根据电信网和互联网的安全等级，平衡效益与成本，采取适度的安全技术和管理措施。——标准性原则：安全防护工作开展的指导性原则。指电信网和互联网安全防护工作的开展应遵循相关的国家或行业标准。——可控性原则：指电信网和互联网安全防护工作的可控性，包括：·人员可控性：相关的安全防护工作人员应具备可靠的政治素质、职业素质和专业素质。相关安全防护工作的检测机构应具有主管部门授权的电信网和互联网安全防护检测服务资质。·工具可控性：要充分了解安全防护工作中所使用的技术工具，并进行一些实验，确保这些技术工具能被正确地使用。·项目过程可控性：要对整个安全防护项目进行科学的项目管理，实现项目过程的可控性。——完备性原则：安全防护工作要覆盖电信网和互联网的安全范围。——最小影响原则：从项目管理层面和技术管理层面，将安全防护工作对电信网和互联网正常运行的可能影响降低到最低限度。——保密性原则：相关安全防护工作人员应签署协议，承诺对所进行的安全防护工作保密，确保不泄露电信网和互联网及安全防护工作的重要和敏感信息。5.安全防护体系电信网和互联网安全防护范畴包括基础电信运营企业运营的传输、承载各类电信业务的公共电信网（含公共互联网）及其组成部分，支撑和管理公共电信网及电信业务的业务单元和控制单元，以及企业办公系统（含文件管理系统、员工邮件系统、决策支持系统、人事管理系统等）、客服呼叫中心、企业门户网站等非核心生产单元。此外，电信网络安全防护工作的范围还包括经营性互联网信息服务单位、移动信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。根据电信网和互联网安全防护范畴，建立的电信网和互联网安全防护体系如图1所示。整个体系分为三层，第一层为整个安全防护体系的总体指导性规范，明确了对电信网和互联网安全防护的定义、目标、原则，并说明了安全防护体系的组成。第二层从宏观的角度明确了如何进行安全防护工作，规范了安全防护体系中安全等级保护、安全风险评估、灾难备份及恢复三部分工作的原则、流程、方法、步骤等。第三层具体规定了电信网和互联网安全防护工作的要求，即安全防护要求和安全防护检测要求。根据电信网和互联网全程全网的特点，电信网和互联网的安全防护工作可从固定通信网、移动通信网、互联网、增值业务网、非核心生产单元来开展。其中，互联网包括经营性互联网信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。增值业务网包括消息网、智能网等业务平台以及业务管理平台。对固定通信网、移动通信网、互联网实施安全防护，应分别从构成上述网络的不同电信网和互联网相关系统入手。电信网和互联网相关系统包括接入网、传送网、IP承载网、信令网、同步网、支撑网等。其中，接入网包括各种有线、无线和卫星接入网等，传送网包括光缆、波分、SDH、卫星等，而支撑网则包括业务支撑和网管系统。安全防护要求明确了电信网和互联网及相关系统需要落实的安全管理和技术措施，涵盖了安全等级保护、安全风险评估、灾难备份及恢复等三部分内容，其中安全等级保护工作需要落实的物理环境和管理的安全等级保护要求被单独提出作为电信网和互联网及相关系统的通用安全等级保护要求。安全防护检测要求与安全防护要求相对应，提供了对电信网和互联网安全防护工作进行检测的方法，从而确认网络和业务运营商、设备制造商在安全防护工作实施过程中是否满足了相关安全防护要求。随着电信网和互联网的发展，随着安全防护体系的进一步完善，第三层的内容将进一步补充完善。6.安全等级保护电信网和互联网安全等级保护工作贯穿于电信网和互联网生命周期的各个阶段，是一个不断循环和不断提高的过程。首先，根据电信网和互联网及相关系统受到破坏后，对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害程度来确定安全等级；通过进一步分析电信网和互联网及相关系统的安全保护现状与安全等级保护要求之间的差距，确定安全需求，设计合理的、满足安全等级保护要求的总体安全 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ，制定出安全建设规划；并进一步将其落实到电信网和互联网及相关系统中，形成安全技术和管理体系；在电信网和互联网安全运维阶段，根据安全等级保护的需要对安全技术和管理体系不断调整和持续改进，确保电信网和互联网及相关系统满足相应等级的安全要求；在安全资产终止阶段对信息、设备、介质进行终止处理时，防止敏感信息的泄露，保障电信网和互联网及相关系统的安全。安全等级保护工作的实施过程如图2所示。7.安全风险评估电信网和互联网安全风险评估应贯穿于电信网和互联网生命周期的各阶段中，在生命周期不同阶段的风险评估原则和方法是一致的。在电信网和互联网的安全风险评估工作中，应首先进行相关工作的准备，通过安全风险分析计算电信网和互联网及相关系统的风险值，进而确定其风险等级和风险防范措施。安全风险分析中要涉及资产、威胁、脆弱性等基本要素，每个要素有各自的属性。资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；而脆弱性的属性是资产弱点的严重程度等。安全风险评估的实施流程如图3所示。8.灾难备份及恢复电信网和互联网灾难备份及恢复工作利用技术、管理手段以及相关资源，确保已有的电信网和互联网在灾难发生后，在确定的时间内可以恢复和继续运行。灾难备份及恢复工作需要防范包括地震、水灾等自然灾难以及火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件。如图4所示，灾难备份及恢复工作应根据安全等级保护确定的安全等级以及安全风险分析的相关结果进行需求分析，制定、实现相应的灾难备份及恢复策略，并构建灾难恢复预案，这是一个循环改进的过程。针对电信网和互联网的不同网络、不同重要级别的业务，灾难备份及恢复所要达到的目标是不同的。例如，在电信网和互联网中，对于普通话音业务，可以要求网络和业务运营商通过灾难备份及恢复工作，保证在灾难发生后单一地区的灾难不影响灾难发生地理范围以外地区的话音业务，并且发生灾难的地区的话音业务能够通过有效灾难恢复计划的实施，在一定时间范围（指标应与灾难级别对应）内恢复通信。9.安全等级保护、安全风险评估、灾难备份及恢复三者之间的关系电信网和互联网安全防护体系中的安全等级保护、安全风险评估、灾难备份及恢复三者之间密切相关、互相渗透、互为补充。电信网和互联网安全防护应将安全等级保护、安全风险评估、灾难备份及恢复工作有机结合，加强相关工作之间的整合和衔接，保证电信网络安全防护工作的整体性、统一性和协调性。电信网络安全防护工作应按照根据被保护对象的重要性进行分等级保护的思想，通过安全风险评估的方法正确认识被保护对象存在的脆弱性和面临的威胁，进而制定、落实和改进与安全保护等级和风险大小相适应的一系列管理、技术、灾难备份等安全等级保护措施，最终达到提高电信网络安全保护能力和水平的目的。在开展安全等级保护工作时，要充分应用安全风险评估的方法，认识、分析不同类型的网络和业务存在的脆弱性和面临的威胁，进而制定和落实与被保护对象的类型、脆弱性和威胁相适应的基本安全保护措施要求，提高安全等级保护工作的针对性和适用性。在开展安全风险评估工作时，在分析被保护对象综合风险和制定改进方案的过程中，要始终与被保护对象的安全保护等级相结合，合理确定被评估对象的可接受风险和制定确实必要的整改措施，避免无限度的改进提高。在开展灾难备份及恢复工作时，要结合被备份对象的安全保护等级和面临的威胁，制定相适应的备份措施，并将有关备份的要求体现在安全等级保护的要求中进行落实。电信网和互联网安全等级保护、安全风险评估和灾难备份及恢复工作应随着电信网和互联网的发展变化而动态调整，适应国家对电信网和互联网的安全要求。2.2电信网和互联网安全等级保护实施指南1范围本标准规定了电信网和互联网安全等级保护的概念、对象、目标，安全等级划分和定级方法，安全等级保护实施过程中的基本原则，并结合电信网和互联网的生命周期定义了电信网和互联网安全等级保护工作的主要阶段及主要活动。本标准适用于电信网和互联网的安全等级保护工作。本标准是电信网和互联网安全等级保护的总体指导性文件，针对具体网络的安全等级保护可参考具体网络的安全防护要求和安全防护检测要求。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T5271.8-2001信息技术词汇第8部分：安全3术语和定义GB/T5271.8-2001确立的术语和定义，以及下列术语和定义适用于本标准。3.1电信网telecomnetwork利用有线和/或无线的电磁、光电系统，进行文字、声音、数据、图象或其它任何媒体的信息传递的网络，包括固定通信网、移动通信网等。3.2电信网和互联网安全防护体系securityprotectionarchitectureoftelecomnetworkandInternet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合，共同构成了电信网和互联网安全防护体系。3.3电信网和互联网相关系统systemsoftelecomnetworkandInternet组成电信网和互联网的相关系统，包括接入网、传送网、IP承载网、信令网、同步网、支撑网等。其中，接入网包括各种有线、无线和卫星接入网等，传送网包括光缆、波分、SDH、卫星等，而支撑网包括业务支撑和网管系统。3.4电信网和互联网安全等级securityclassificationoftelecomnetworkandInternet电信网和互联网及相关系统安全重要程度的表征。重要程度可从电信网和互联网及相关系统受到破坏后，对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.5电信网和互联网安全等级保护classifiedsecurityprotectionoftelecomnetworkandInternet指对电信网和互联网及相关系统分等级实施安全保护。3.6电信网和互联网基本保护要求basicprotectionrequirementsoftelecomnetworkandInternet为确保电信网和互联网及相关系统具有与其安全等级相对应的安全保护能力应该满足的最低要求。3.7电信网和互联网安全检测securitytestingoftelecomnetworkandInternet对电信网和互联网及相关系统的安全保护能力是否达到相应保护要求进行衡量。3.8电信网和互联网安全风险securityriskoftelecomnetworkandInternet人为或自然的威胁可能利用电信网和互联网及相关系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.9电信网和互联网安全风险评估securityriskassessmentoftelecomnetworkandInternet指运用科学的方法和手段，系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施，防范和化解电信网和互联网及相关系统安全风险，将风险控制在可接受的水平，为最大限度地保障电信网和互联网及相关系统的安全提供科学依据。3.10电信网和互联网灾难disasteroftelecomnetworkandInternet由于各种原因，造成电信网和互联网及相关系统故障或瘫痪，使电信网和互联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.11电信网和互联网灾难备份backupfordisasterrecoveryoftelecomnetworkandInternet为了电信网和互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。3.12电信网和互联网灾难恢复disasterrecoveryoftelecomnetworkandInternet为了将电信网和互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。4安全等级保护概述4.1安全等级保护对象电信网和互联网安全防护工作的范围包括网络和业务运营商运营的传输、承载各类电信业务的公众电信网（含公众互联网）及其组成部分，支撑和管理公众电信网及电信业务的业务单元和控制单元，以及企业办公系统（含文件管理系统、员工邮件系统、决策支持系统、人事管理系统等）、客服呼叫中心、企业门户网站等非核心生产单元。此外，电信网和互联网安全防护工作的范围还包括经营性互联网信息服务单位、移动信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。根据电信网和互联网安全防护标准体系，安全等级保护对象包括固定通信网、移动通信网、互联网、增值业务网等业务网，接入网、传送网、IP承载网、信令网、同步网、支撑网等电信网和互联网相关系统以及非核心生产单元。其中，互联网包括经营性互联网信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统，增值业务网目前包括消息网、智能网等业务平台以及业务管理平台。随着安全防护标准体系进一步完善，标准体系还将包括针对增值业务提供商提供的其他增值业务系统的相关标准。4.2安全等级保护目标安全等级保护的目标是通过对电信网和互联网及相关系统进行安全等级划分，按照本系列标准中的安全等级保护要求进行规划、设计、建设、运维等工作，加强电信网和互联网及相关系统的安全防护能力，确保其安全性和可靠性。本系列标准对不同安全等级的电信网和互联网及相关系统提出不同的基本保护要求，这些基本保护要求是保障各等级电信网和互联网及相关系统安全的最基本要求。电信网和互联网及相关系统应能够满足其所属安全等级的基本保护要求。5安全等级划分及定级方法5.1安全等级划分在电信网和互联网及相关系统中进行安全等级划分的总体原则是：定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及网络和业务运营商的合法权益的损害程度。电信网和互联网及相关系统的安全等级划分如下：第1级定级对象受到破坏后，会对其网络和业务运营商的合法权益造成轻微损害，但不损害国家安全、社会秩序、经济运行和公共利益。本级由网络和业务运营商依据国家和通信行业有关标准进行保护。第2级定级对象受到破坏后，会对网络和业务运营商的合法权益产生严重损害，或者对社会秩序、经济运行和公共利益造成轻微损害，但不损害国家安全。本级由网络和业务运营商依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行指导。第3级进一步划分为两个等级：第3.1级定级对象受到破坏后，会对网络和业务运营商的合法权益产生很严重损害，或者对社会秩序、经济运行和公共利益造成较大损害，或者对国家安全造成轻微损害。本级由网络和业务运营商依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行监督、检查。第3.2级定级对象受到破坏后，会对网络和业务运营商的合法权益产生特别严重损害，或者对社会秩序、经济运行和公共利益造成严重损害，或者对国家安全造成较大损害。本级由网络和业务运营商依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行重点监督、检查。第4级定级对象受到破坏后，会对社会秩序、经济运行和公共利益造成特别严重损害，或者对国家安全造成严重损害。本级由网络和业务运营商依据国家和通信行业有关标准以及业务的特殊安全要求进行保护，主管部门对其安全等级保护工作进行强制监督、检查。第5级定级对象受到破坏后，会对国家安全造成特别严重损害。本级由网络和业务运营商依据国家和通信行业有关标准以及业务的特殊安全需求进行保护，主管部门对其安全等级保护工作进行专门监督、检查。5.2定级方法确定定级对象的安全等级应根据如下三个相互独立的定级要素：a）社会影响力定级对象的社会影响力表示其受到破坏后对国家安全、社会秩序、经济运行和公共利益的损害程度，定级对象的社会影响力赋值原则如表1所示。损害国家安全的事项包括（不限于）如下方面：·影响国家政权稳固和国防实力；·影响国家统一、民族团结和社会安定；·‹影响国家对外活动中的政治、经济利益；·‹影响国家重要的安全保卫工作；·‹影响国家经济竞争力和科技实力等。损害社会秩序的事项包括（不限于）如下方面：·‹影响国家机关社会管理和公共服务的工作秩序；·‹影响各种类型的经济活动秩序；·‹影响各行业的科研、生产秩序；·‹影响公众在法律约束和道德规范下的正常生活秩序等。损害经济运行的事项包括（不限于）如下方面：·‹直接或间接导致国家经济活动主体的经济损失等。·损害公共利益的事项包括（不限于）如下方面：·‹影响社会成员使用公共设施；·‹影响社会成员获取公开信息资源；·‹影响社会成员接受公共服务等。对此定级要素进行赋值时，应先确定对国家安全的损害程度，再确定对社会秩序、经济运行和公共利益的损害程度。定级对象的社会影响力赋值应是对国家安全、社会秩序、经济运行和公共利益的损害程度最严重者。b）规模和服务范围定级对象的规模表示其服务的用户数多少，服务范围表示其服务的地区范围大小，定级对象的规模和服务范围赋值如表2所示。表2电信网和互联网及相关系统的规模和服务范围赋值表c）所提供服务的重要性定级对象所提供服务的重要性表示其提供的服务被破坏后对网络和业务运营商的合法权益的影响程度，其重要性赋值如表3所示。表3定级对象所提供服务的重要性赋值表此定级要素可通过定级对象所提供的服务本身的重要性来衡量，如业务的经济价值，业务重要性，对企业自身形象的影响等方面。在确定好定级对象的社会影响力、规模和服务范围、所提供服务的重要性三个定级要素的赋值后，可采用附录A中安全等级的计算方法确定定级对象的安全等级。在确定某一个定级要素的赋值时，无需考虑其他两个定级要素。安全等级确定可能不是一个过程就可以完成的，而是需要经过定级要素赋值、定级、定级结果调整的循环过程，最终才能确定出较为科学、准确的安全等级。6安全等级保护的实施过程6.1基本原则电信网和互联网安全等级保护工作应首先满足电信网和互联网安全防护工作提出的适度安全原则、标准性原则、可控性原则、完备性原则、最小影响原则以及保密性原则。在此基础上，电信网和互联网安全等级保护工作在实施过程中还应重点遵循以下原则：a)自主保护原则各网络和业务运营商应遵照本标准的定级方法确定其运营的电信网和互联网及相关系统的安全等级，并依据国家和通信行业相关标准对电信网和互联网及相关系统自主实施安全保护。b)同步建设原则各网络和业务运营商在对电信网和互联网及相关系统进行新建、改建、扩建时，应当同步规划和设计其安全方案，投入一定比例的资金实施安全方案，保障电信网和互联网及相关系统与其所属安全等级的要求相适应。c)重点保护原则各网络和业务运营商通过对电信网和互联网及相关系统划分不同的安全等级，根据基本保护要求实现不同程度的安全保护，集中资源优先保护关键的电信网和互联网及相关系统。d)适当调整原则各网络和业务运营商跟踪电信网和互联网及相关系统的变化情况调整其安全等级，并根据安全等级的调整情况及时调整相应的安全保护措施。6.2基本过程虽然安全等级保护是一个不断循环和不断提高的过程，但是实施安全等级保护的一次完整过程是可以区分清楚的，包括五个主要阶段：安全等级确定、安全总体规划、安全设计与实施、安全运维、安全资产终止。如图1所示。安全等级保护的五个主要阶段及其主要活动为：a)安全等级确定阶段安全等级确定阶段主要包括对电信网和互联网的识别和描述，定级对象的划分以及安全等级确定、评审和备案等几个主要安全活动。通过对电信网和互联网的识别和描述，划分并确定定级对象，根据本标准中的定级方法科学准确地确定各定级对象的安全等级，并对定级结果进行评审和备案。b)安全总体规划阶段安全总体规划阶段主要包括安全需求分析、安全总体设计、安全建设规划等几个主要活动。网络和业务运营商通过安全需求分析判断网络安全保护现状与安全要求之间的差距，确定初步的安全需求，通过风险评估确定额外的安全需求；然后根据网络的实际情况，设计出合理的、满足安全等级保护要求的安全总体方案，并制定出安全建设的方案，以指导后续的网络安全建设工程实施。c)安全设计与实施阶段安全设计与实施阶段主要包括安全方案详细设计、安全详细设计方案的实施、安全检测等几个主要活动。网络和业务运营商通过安全方案详细设计，将安全总体规划阶段的安全总体方案和安全建设方案具体落实到网络中，最终提交满足安全需求的网络、以及配套的安全技术和管理体系。网络和业务运营商应在网络实际运行之前对其安全等级保护工作的实施情况进行安全检测，确保其达到安全防护要求。d)安全运维阶段安全运维阶段需要进行的安全控制活动很多，本标准描述一些重要的安全控制活动。网络和业务运营商通过运行管理和控制、变更管理和控制、安全状态监控，对发生的安全事件及时响应，确保电信网和互联网及相关系统正常运行；通过安全检查和持续改进不断跟踪电信网和互联网及相关系统的变化，并依据变化调整其安全等级和安全措施；通过安全检测，确保电信网和互联网及相关系统满足相应安全等级的要求。e)安全资产终止阶段安全资产终止阶段主要包括对电信网和互联网及相关系统中的信息转移、暂存或清除，设备迁移或废弃，存储介质的清除或销毁，安全检测等主要活动。核心关注点是对电信网和互联网及相关系统中过时或无用部分进行报废处理的过程，防止敏感信息泄漏。在安全运维阶段，当电信网和互联网及相关系统发生局部调整时，如果不影响其安全等级，应从安全运维阶段进入安全设计与实施阶段，重新调整和实施安全措施，确保满足安全等级保护的要求；当电信网和互联网及相关系统发生重大变更影响其安全等级时，应从安全运维阶段进入安全等级确定阶段，重新开始一次安全等级保护的实施过程。6.3安全等级保护工作与电信网和互联网及相关系统生命周期的关系电信网和互联网及相关系统的生命周期包括五个阶段，即启动阶段、设计阶段、实施阶段、运维阶段和废弃阶段。电信网和互联网及相关系统的安全等级保护工作将贯穿其生命周期的各个阶段。安全等级保护工作可分为：对新建电信网和互联网及相关系统的安全等级保护和对已建电信网和互联网及相关系统的安全等级保护，两者在电信网和互联网及相关系统生命周期中的切入点是不同的，但是安全等级保护工作的主要活动基本相同，其安全等级保护过程与电信网和互联网及相关系统生命周期的关系如图2所示。图2安全等级保护过程与电信网和互联网及相关系统生命周期的关系新建的电信网和互联网及相关系统在生命周期中的各个阶段应同步考虑安全等级保护的主要活动。在启动阶段，应该仔细分析和合理划分各个电信网和互联网，确定各个定级对象的安全等级，定级过程也可能在设计阶段；在设计阶段，应根据各个定级对象的安全等级，进行安全总体规划；在实施阶段，应在网络建设的同时，同步进行安全措施的设计与实施；在运维阶段，应按照本系列标准中安全等级保护的要求进行安全运维；在废弃阶段，应对废弃的信息、设备或存储介质等资产进行有效的安全管理。已建的电信网和互联网及相关系统通常处于运维阶段，由于在启动阶段、设计阶段和实施阶段可能没有同步考虑安全等级保护的要求或者对安全等级保护的要求考虑不足，因此应在运维阶段启动安全等级保护工作，安全等级保护过程中的安全等级确定、安全总体规划、安全设计与实施的主要活动都将在生命周期的运维阶段完成。由于是已经存在的电信网和互联网及相关系统，工作的重点是在现有网络的基础上，根据安全等级保护要求，在安全总体规划阶段如何制定满足要求的补充的安全建设方案，在安全设计与实施阶段如何保证在不影响现有业务/应用的情况下，分步骤分阶段分目标地使各类安全补救措施可以顺利落实。在已建的电信网和互联网及相关系统基础上进行扩容的安全等级保护工作，扩容部分应与新建的电信网和互联网及相关系统的安全等级保护过程一致。7安全等级确定阶段7.1安全等级确定阶段的主要活动安全等级确定阶段的主要活动如图3所示。7.2电信网和互联网的识别和描述活动输入：电信网和互联网的技术文档、管理文档活动输出：电信网和互联网的总体描述文件活动描述：网络和业务运营商对电信网和互联网的识别和描述过程主要包括以下活动内容：a)识别电信网和互联网的基本信息调查了解电信网和互联网的企业特征、业务范围、地理位置以及其它基本情况。b)识别电信网和互联网的管理信息了解电信网和互联网的组织管理结构及其主要职能、岗位职责等内容，获得支持网络运营的管理特征和管理框架方面的信息。c)识别电信网和互联网的技术信息了解电信网和互联网的物理环境、网络拓扑结构、硬件设备的部署情况、业务/应用范围、网络处理和传送的信息资产、服务范围和用户类型等信息，明确网络边界。d)描述电信网和互联网对收集的电信网和互联网的基本信息、管理信息和技术信息等方面的内容进行整理、分析，形成对电信网和互联网进行总体描述的文件。7.3定级对象的划分活动输入：电信网和互联网的总体描述文件活动输出：定级对象的详细描述文件活动描述：定级对象的划分包括以下主要的活动：a）划分和确定定级对象电信网和互联网根据所提供的业务划分成固定通信网、移动通信网、互联网、增值业务网-消息网、增值业务网-智能网等类型的业务网，业务网的底层支撑网络划分成接入网、传送网、IP承载网、信令网、同步网、支撑网等各类电信网和互联网相关系统。将电信网和互联网按照上述网络类型进行划分，并结合服务地域、责任主体等因素，进一步划分成各个定级对象。将非核心生产单元按照企业办公系统、客服呼叫中心、企业门户网站等类型进行划分，并根据管理级别进一步划分成各个定级对象。划分后的每个定级对象应属于同一种类型的网络/系统，并由单一的责任主体负责。定级对象的划分情况如表4所示。B类定级对象是在A类定级对象的基础上进一步划分出的定级对象，网络和业务运营商可以根据具体网络情况选择A类定级对象或B类定级对象进行定级。表4电信网和互联网安全防护体系的定级对象划分b）详细描述定级对象划分并确定定级对象后，网络和业务运营商应准确描述划分出的定级对象，包括划分后的定级对象的个数，每个定级对象的涵盖范围、架构、边界、设备部署、业务/应用范围、处理或传送的信息资产类型、服务范围和用户类型等方面的内容，形成对定级对象的详细描述文件。7.4安全等级确定、评审和备案活动输入：电信网和互联网的总体描述文件、定级对象的详细描述文件活动输出：定级报告活动描述：包括以下主要活动内容：a）初步确定定级对象的安全等级网络和业务运营商应根据本标准的定级方法，初步确定各个定级对象的安全等级。可采取两种方法确定某一定级对象的安全等级：一种方法是通过本标准的定级方法直接确定其安全等级，另一种方法是在构成此定级对象的B类定级对象的安全等级基础上，通过一定的算法（如取最高安全等级）得到此定级对象的安全等级。b）形成定级报告网络和业务运营商对电信网和互联网的总体描述、定级对象的详细描述、安全等级确定结果等内容进行整理，针对各定级对象形成定级报告，若定级对象包含两个或两个以上的安全等级，需针对每一个安全等级分别形成定级报告。c）定级结果评审和备案网络和业务运营商应根据要求，将定级结果上报评审并办理备案，填写备案信息登记表，并提交最终的定级报告。8安全总体规划阶段8.1主要活动网络和业务运营商在安全总体规划阶段的主要活动内容如图4所示。8.2安全需求分析活动输入：详细描述文件、定级报告、电信网和互联网安全风险评估实施指南、安全防护要求活动输出：电信网和互联网及相关系统的安全需求分析报告活动描述：安全需求分析包括以下主要活动内容：a）确定初步的安全需求网络和业务运营商首先应确定具体进行安全等级保护工作的对象，包括整体对象（如机房、办公环境、网络等）和具体对象（如边界设备、网关设备、服务器设备、工作站、应用系统等）；获得其技术和管理方面的信息，技术方面包括业务/应用、网络、设备、物理环境等信息，管理方面包括安全管理机构、安全管理制度、人员管理、网络建设和运维管理等信息。在此基础上，将安全等级保护对象对应的安全防护要求中安全等级保护管理和技术方面的安全指标作为依据，将安全等级保护对象的安全现状与指标进行逐一对比，通过观察现场、询问人员、查询资料、检查记录等方式进行安全管理方面的比较，通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术方面的比较，判断安全管理和技术的各个方面与等级保护要求中的基本安全要求之间的差距，给出初步的安全需求。b）制定额外的安全需求在确定初步安全需求的基础上，参照《电信网和互联网安全风险评估实施指南》对安全等级保护对象进行安全风险评估，即通过分析安全等级保护对象中的重要资产的资产价值、存在的脆弱性、面临的威胁、以及已经采取的安全措施，判断安全等级保护对象可能存在的安全风险，在初步安全需求的基础上，制定出额外的安全需求。对于安全等级保护对象中的关键系统和数据，为确保在灾难发生后网络能够尽快恢复和继续运行，应制定出有效的灾难备份及恢复的额外需求。在制定额外安全需求时，应明确国家及企业的安全目标，借鉴以往建设的类似或相关的电信网和互联网及相关系统的安全需求，并且确保安全需求与其它相关标准或规范对其的安全需求不发生冲突。c）输出安全需求分析报告总结安全指标对比结果和风险评估的结果，获得安全等级保护对象安全现状的汇总、与安全防护要求中安全等级保护要求的差距汇总和额外的安全需求的汇总，最终形成安全需求分析报告，报告中应包括安全管理状况和安全技术状况。8.3安全总体设计活动输入：详细描述文件、定级报告、安全需求分析报告、安全防护要求活动输出：电信网和互联网及相关系统的安全总体方案活动描述：安全总体设计包括以下主要活动内容：a）设计各电信网和互联网及相关系统的安全措施对一个大型、复杂电信网和互联网及相关系统的构成内容进行抽象处理，提取共性形成模型和要素，如服务器设备、构成网络的网络设备等；根据安全防护要求中的等级保护相关要求和安全需求分析报告，针对模型要素提出需要实现的安全措施，包括安全技术方面的措施和安全管理方面的措施，以指导安全等级保护工作的具体实现。b）设计结果文档化最终将安全总体设计工作的结果文档化，形成满足其所属的安全等级要求的安全总体方案，安全总体方案中包括总体安全策略、技术措施和管理措施等。8.4安全建设规划活动输入：电信网和互联网及相关系统的安全总体方案活动输出：电信网和互联网及相关系统的安全建设方案活动描述：安全建设规划包括以下主要活动内容：a）确定分阶段的安全建设目标、内容、方案b）安全建设规划是依据电信网和互联网及相关系统安全总体方案、网络和业务运营商当前面临的机遇和挑战以及安全建设时间和经费投入状况，结合安全需求分析结果，同时考虑到网络和业务运营商的中长期发展规划，提出分阶段的安全建设目标、设计建设内容，形成安全建设方案，重点是形成近期可行的安全建设方案。安全建设方案中包括安全技术建设规划和安全管理建设规划。b）规划结果文档化最终将安全建设规划的结果文档化，形成分阶段的安全建设方案，安全建设方案中包括总体安全建设规划、技术体系建设规划和管理体系建设规划等。9安全设计与实施阶段9.1主要活动网络和业务运营商按照安全总体方案的要求，结合安全建设方案，分期分步骤地对其运营的电信网和互联网及相关系统落实安全措施。安全设计与实施阶段的主要活动如图5所示。9.2安全方案详细设计活动输入：电信网和互联网及相关系统的安全总体方案、安全建设方案、各类安全产品技术文档活动输出：电信网和互联网及相关系统的安全详细设计方案活动描述：安全方案详细设计包括以下主要活动内容：a）安全等级保护实施内容设计安全等级保护技术实施内容的设计是网络和业务运营商根据本期建设目标和建设内容，将安全总体方案和安全建设方案本阶段中的要求落实到产品功能或物理形态上，提出指定的产品或组件及其具体规范，明确安全产品的功能和性能要求设计，网络或设备的部署方案。安全等级保护管理实施内容的设计是网络和业务运营商根据当前安全管理和技术需要提出与安全总体方案中管理部分相适应的本期安全实施内容，以保证安全技术建设的同时，安全管理的同步建设。安全管理设计的内容主要考虑：安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。b）设计结果文档化将安全等级保护技术实施内容和安全等级保护管理实施内容的设计汇总，同时考虑工时和经费，最后形成安全详细设计方案，指导具体的安全实施。9.3安全详细设计方案实施活动输入：电信网和互联网及相关系统的安全详细设计方案活动输出：电信网和互联网及相关系统的安全管理规章制度、验收报告活动描述：安全详细设计方案的具体实施包括以下主要活动内容：a）实施安全详细设计方案在本期安全详细设计方案的指导下，进行安全等级保护管理实施和安全等级保护技术实施。安全等级保护管理实施主要是建立与电信网和互联网及相关系统安全技术和安全运行相适应的安全管理机制，包括建立配套的安全管理机构和人员，建立配套的安全管理制度和操作规程，进行人员的安全技能培训等，并且在安全实施过程中，对工程的质量、进度、文档和变更等方面的工作进行监管。安全等级保护技术实施主要是保证按照安全详细设计方案实现各项安全技术措施，包括安全产品采购、安全控制开发、安全控制集成、测试与验收等主要活动环节。安全产品采购是按照安全详细设计方案中对于产品的具体指标要求进行产品采购，根据产品或产品组合实现的功能满足安全设计要求的情况来选购所需的安全产品；安全控制开发是对于一些不能通过采购现有安全产品来实现的安全措施和安全功能，通过专门的设计、开发来实现；安全控制集成依据安全详细设计方案，将安全产品、软件平台和开发的安全控制模块与各种应用综合、整合成为一个系统；最后通过测试与验收检验网络/系统是否严格按照安全详细设计方案进行建设，是否实现了设计的功能和性能，从而确保安全技术措施的有效性。b）实施结果文档化在本期安全实施完成后，建成满足安全需求并通过测试验收的电信网和互联网及相关系统，提交验收报告，内容包括安全产品清单、验收过程及结果等；提交配套的安全管理规章制度。9.4安全检测活动输入：定级报告、安全管理规章制度、验收报告、安全防护要求、安全防护检测要求活动输出：电信网和互联网及相关系统的安全检测报告活动描述：安全检测是依据本系列标准中的安全防护要求和安全防护检测要求，对电信网和互联网及相关系统的安全保护管理制度和技术措施的落实情况、以及安全现状的达标情况进行检查，判断其安全保护措施是否符合相应安全等级的基本保护要求。安全检测完成后，检测方应根据实际检测情况形成检测报告。10安全运维阶段10.1主要活动安全运维是确保电信网和互联网及相关系统正常运行的必要环节。安全运维阶段涉及的内容较多，本标准关注网络和业务运营商在安全运维阶段进行的运行管理和控制、变更管理和控制、安全状态监控、安全事件处置和应急预案、安全检查和持续改进等活动，重点描述各个活动的主要活动内容，网络和业务运营商可根据自身网络实际情况考虑对其它安全运维阶段的活动内容进行添加或删减。安全运维阶段的工作还包括对安全等级保护工作落实情况进行的安全检测。安全运维阶段的主要活动内容如图6所示。10.2运行管理和控制活动输入：电信网和互联网及相关系统的安全详细设计方案、安全组织机构表活动输出：电信网和互联网及相关系统的运行管理人员角色和职责表、运行管理操作规程、操作过程记录文件活动描述：运行管理和控制的目标是确保电信网和互联网及相关系统的安全运行，操作人员应实行正确和安全的操作，并且保证不断变化和种类繁多的运行管理活动得到控制。本标准中，安全运行管理和控制关注的方面主要是运行管理职责确定和运行管理过程控制。运行管理和控制包括以下主要活动内容：a)运行管理职责确定运行管理职责确定是通过对运行管理活动相关的角色划分，并授予相应的管理权限，来确定安全运行管理的具体人员和职责；b)运行管理过程控制运行管理过程控制是通过制定运行管理操作规程，确定运行管理人员的操作目的、操作内容、操作时间和地点、操作方法和流程等，并进行操作过程记录，确保对操作过程进行控制。安全等级越高的电信网和互联网及相关系统，需要控制的运行活动就越多。c)输出结果文档通过运行管理的职责确定形成运行管理人员角色和职责表；通过对运行管理过程进行控制形成运行管理操作规程，以及操作过程记录文件。10.3变更管理和控制活动输入：电信网和互联网及相关系统的变更需求活动输出：电信网和互联网及相关系统的变更报告活动描述：变更管理和控制的目标是确保在电信网和互联网及相关系统发生变化的时候，使用标准的方法和步骤尽快的实施变更。运行管理和控制包括以下主要活动内容：a)变更需求和影响分析通过对变更需求和变更影响的分析，制定变更方案。b）变更过程控制确保变更实施过程受到控制，审核变更内容，对各项变化内容进行记录，保证变更对正在运行的电信网和互联网及相关系统的影响最小。c）输出结果文档根据变更方案和变更实施过程的各项活动，形成变更报告。10.4安全状态监控活动输入：电信网和互联网及相关系统的安全详细设计方案、验收报告活动输出：电信网和互联网及相关系统的安全状态分析报告活动描述：安全状态监控包括以下主要活动内容：a）确定监控对象和工具不同安全等级的电信网和互联网及相关系统在安全状态监控方面要求采用的手段和监控的内容不同，所以应根据监控的必要性和可行性、监控的开销和成本等因素，确定监控对象，形成监控对象列表；根据监控对象的特点、监控管理的具体要求、监控工具的功能、性能特点等，选择合适的监控工具。b）监控对象状态通过监控工具对监控对象的安全状态进行监控，收集来自监控对象的各类状态信息，可能包括网络流量、日志信息、安全报警和性能状况等，或者是来自外部环境的安全标准和法律法规的变更信息。c）监控状态分析和报告对安全状态信息进行分析，及时发现安全事件或安全变更需求，并对其影响程度和范围进行分析，形成安全状态分析报告。10.5安全事件处置和应急预案活动输入：电信网和互联网及相关系统的安全状态分析报告、各类安全事件列表活动输出：电信网和互联网及相关系统的各类应急预案、安全事件处置报告活动描述：安全事件处置和应急预案包括以下主要活动内容：a）安全事件分级安全事件采取分级响应与处置的机制，网络和业务运营商应根据安全事件相关标准中规定的安全事件分级原则和划分结果，结合自身具体的实际情况，通过预测、评估和分析事件对电信网和互联网及相关系统的破坏程度，所造成后果严重程度，将安全事件进行等级划分。b）应急预案制定针对安全事件等级，确定需制定应急预案的安全事件对象。针对不同等级、不同优先级的安全事件制定相应的应急预案程序，说明应急预案启动的条件，发生安全事件后要采取的流程和措施等，充分体现自主保护的原则，保障电信网和互联网及相关系统的持续运行。c）安全事件处置根据安全状态分析报告分析可能的安全事件，如果明确为安全事件的，则需采取适当的方法进行处置，对安全事件的等级和影响程度等进行分析，确定是否启动应急预案。d）输出结果文档对安全事件处置过程进行总结，形成安全事件处置报告，报告中包括安全事件的类型、等级和采取的措施等，并输出制定的应急预案。10.6安全检查和持续改进活动输入：电信网和互联网及相关系统的详细描述文件、变更报告，安全状态分析报告活动输出：电信网和互联网及相关系统的安全检查报告、安全改进方案、验收报告安全检查和持续改进包括以下主要活动内容：a）安全状态检查在电信网和互联网及相关系统安全运维过程中，会发生电信网和互联网及相关系统变更、安全状态改变等情况，因此必须定期对电信网和互联网及相关系统进行安全检查。网络和业务运营商通过安全状态检查，为电信网和互联网及相关系统的持续改进过程提供依据和建议，确保电信网和互联网及相关系统的安全保护能力满足其相应等级的基本安全要求和自身特殊的安全需求。安全检查可以采用定期的安全检测、自我检查等手段实现，本节描述自我检查过程。风险评估可以作为安全检查的一种手段。网络和业务运营商可通过询问、检查和测试等多种手段进行安全状况检查，记录各种检查活动的结果数据，分析安全措施的有效性、安全事件产生的可能性，并可根据检查结果提出对电信网和互联网及相关系统的改进需求和建议等。关于安全检测参见10.7节。b）改进方案制定和实施根据安全检查结果对电信网和互联网及相关系统进行持续改进，确定安全改进的策略，分为如下几种情况：1）如果涉及安全等级的变化，则应进入安全等级保护的一个新的循环过程；2）如果安全等级不变i.如果调整内容较多、涉及范围较大，则应对安全改进项目进行立项，重新开始安全设计与实施过程；ii.如果调整内容较小，则制定安全改进方案进行局部补充或局部调整，确定安全改进的工作方法、工作内容、人员分工、时间计划、管理内容的调整和技术内容的调整等。然后进行安全改进方案的实施，并对改进后的电信网和互联网及相关系统进行验收。通过对电信网和互联网及相关系统进行持续改进，确保电信网和互联网及相关系统的安全保护能力满足相应等级安全要求和自身特殊的安全需求，确保安全等级保护工作的有效性。c）输出结果文档对安全状态检查后，形成安全检查报告；制定安全改进方案，并根据验收结果形成验收报告。10.7安全检测活动输入：电信网和互联网及相关系统的定级报告、验收报告活动输出：电信网和互联网及相关系统的安全检测报告活动描述：遵照安全等级保护相关标准对已经完成安全等级保护建设、并投入运行的电信网和互联网及相关系统进行安全检测，判断其安全保护措施是否符合相应安全等级的基本保护要求。具体活动过程参见9.4节。11安全资产终止阶段11.1主要活动安全资产终止是指电信网和互联网及相关系统中部分设备或者信息由于技术改进或业务升级等原因需要转移、终止或废弃，此时应将网络/系统中的重要信息转移到新的网络/系统中，并且进行相关的设备迁移或介质销毁等工作，从而确保网络和业务运营商的网络、重要信息、为用户提供服务的安全。本标准在安全资产终止阶段关注网络和业务运营商对信息转移、暂存和清除、设备迁移或废弃、存储介质的清除或销毁等活动，重点描述各个活动的主要内容，网络和业务运营商可根据网络的实际情况考虑对安全资产终止阶段具体活动内容进行添加或删减。安全资产终止阶段的工作还包括对安全等级保护工作落实情况进行的安全检测。安全资产终止阶段的主要活动如图7所示。11.2信息转移、暂存或清除活动输入：电信网和互联网及相关系统的信息资产清单活动输出：电信网和互联网及相关系统的信息转移、暂存和清除处理报告活动描述：信息转移、暂存或清除包括以下主要活动内容：a）识别要转移、暂存和清除的信息资产在安全资产终止处理过程中，对于可能会在另外的电信网和互联网及相关系统中使用的信息，应采取适当的方法将其安全地转移或暂存到可以恢复的介质中，确保将来可以继续使用，同时采用安全的方法清除要终止的电信网和互联网及相关系统中的信息。网络和业务运营商应根据要终止的电信网和互联网及相关系统的信息资产清单，对其当前状态进行分析，列出需转移、暂存和清除的信息资产的清单。b）信息资产转移、暂存和清除网络和业务运营商应根据信息资产的重要程度制定信息资产的转移、暂存和清除的处理方案，包括处理方法和过程等。处理方案应该经过审查和批准。审批通过后，根据处理方案对信息资产进行转移、暂存和清除。c）处理过程记录网络和业务运营商应记录信息转移、暂存和清除的过程，包括参与的人员、转移、暂存和清除的方式以及目前信息所处的位置等，输出信息转移、暂存和清除处理报告。11.3设备迁移或废弃活动输入：电信网和互联网及相关系统的设备清单活动输出：电信网和互联网及相关系统的设备迁移或废弃处理报告活动描述：设备迁移或废弃包括以下主要活动内容：a）硬件设备识别网络和业务运营商应根据要终止的电信网和互联网及相关系统的设备清单，对设备当前状态进行分析，列出需迁移或废弃的设备清单。b）硬件设备处理网络和业务运营商应根据规定和实际情况制定设备处理方案，包括重用设备、废弃设备、敏感信息的清除方法等。设备处理方案应该经过审查和批准。审批通过后，根据设备处理方案对设备进行处理，确保迁移或废弃的设备内不包括敏感信息，对设备的处理方式应符合国家和行业相关部门的要求。d）设备处理过程记录网络和业务运营商应记录设备处理过程，包括参与的人员、处理的方式、是否有残余信息的检查结果等，输出设备迁移或废弃处理报告。11.4存储介质的清除或销毁活动输入：电信网和互联网及相关系统的存储介质清单活动输出：电信网和互联网及相关系统的存储介质的清除或销毁处理报告活动描述：存储介质的清除或销毁包括以下主要活动内容：a)识别要清除或销毁的介质网络和业务运营商应根据要终止的电信网和互联网及相关系统的存储介质（包括磁带、磁盘、打印结果和文档）清单，识别载有重要信息的存储介质、所处的位置以及当前状态等，列出需清除或销毁的存储介质清单。b)存储介质处理网络和业务运营商应根据存储介质所承载信息的敏感程度确定存储介质处理方案，包括对存储介质的处理方式和处理流程等内容，处理方式包括数据清除和存储介质销毁等。通过采用合理的方式对存储介质进行清除或销毁处理，防止介质内的敏感信息泄露。处理方案应该经过审查和批准。审批通过后，根据存储介质处理方案对存储介质进行处理。c)存储介质处理过程记录网络和业务运营商应记录处理过程，包括参与的人员、处理的方式、是否有残余信息的检查结果等，输出存储介质的清除或销毁处理报告。11.5安全检测活动输入：电信网和互联网及相关系统的定级报告，信息转移、暂存和清除处理报告，设备迁移或废弃处理报告，存储介质的清除或销毁处理报告活动输出：电信网和互联网及相关系统的安全检测报告活动描述：通过对电信网和互联网及相关系统中的废弃资产进行安全检测，判断其安全保护措施是否符合相应安全等级的基本保护要求。具体活动过程参见9.4节2.3电信网和互联网安全风险评估实施指南1范围本标准规定了对电信网和互联网安全进行风险评估的要素及要素之间的关系、实施流程、工作形式、遵循的原则，在电信网和互联网生命周期不同阶段的不同要求和实施要点。本标准适用于电信网和互联网的风险评估工作。本标准可作为电信网和互联网安全风险评估的总体指导性文件，针对具体网络的安全风险评估可参见具体网络的安全防护要求和安全防护检测要求。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T5271.8-2001信息技术词汇第8部分：安全GB/T9361-2000计算机场地安全要求GB/T19716-2005信息技术信息安全管理实用规则YD/T754-95通信机房静电防护通则YD/T5026-2005电信机房铁架安装设计标准YD5002-94邮电建筑防火设计标准YD5098-2005通信局（站）防雷与接地工程设计规范YDN126-2005增值电信业务网络信息安全保障基本要求YDN127-2005电信设备的安全 准则 租赁准则应用指南下载租赁准则应用指南下载租赁准则应用指南下载租赁准则应用指南下载租赁准则应用指南下载 ISO/IEC13335.1-2004信息技术-安全技术-IT安全管理指南第1部分:IT安全管理概念和模型ISO/IEC17799-2005信息技术-安全技术-信息安全管理实施准则3术语和定义GB/T5271.8-2001确立的术语和定义，以及下列术语和定义适用于本标准。3.1电信网telecomnetwork利用有线和/或无线的电磁、光电系统，进行文字、声音、数据、图象或其它任何媒体的信息传递的网络，包括固定通信网、移动通信网等。3.2电信网和互联网安全防护体系securityprotectionarchitectureoftelecomnetworkandInternet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合，共同构成了电信网和互联网安全防护体系。3.3电信网和互联网相关系统systemsoftelecomnetworkandInternet组成电信网和互联网的相关系统，包括接入网、传送网、IP承载网、信令网、同步网、支撑网等。其中，接入网包括各种有线、无线和卫星接入网等，传送网包括光缆、波分、SDH、卫星等，而支撑网包括业务支撑和网管系统。3.4资产asset电信网和互联网及相关系统中具有价值的资源，是安全防护体系保护的对象。电信网和互联网及相关系统中的资产可能以多种形式存在，无形的、有形的、硬件、软件，包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源，如IP承载网中的路由器、支撑网中的用户数据、传送网的网络布局。3.5资产价值assetvalue电信网和互联网及相关系统中资产的重要程度或敏感程度。资产价值是资产的属性，也是进行资产识别的主要内容。3.6威胁threat可能导致对电信网和互联网及相关系统产生危害的不希望事件潜在起因，它可能是人为的，也可能是非人为的；可能是无意失误，也可能是恶意攻击。常见的网络威胁有偷窃、冒名顶替、病毒、特洛伊木马、错误路由、火灾、水灾等。3.7脆弱性vulnerability脆弱性是电信网和互联网及相关系统资产中存在的弱点、缺陷与不足，不直接对资产造成危害，但可能被威胁所利用从而危及资产的安全。3.8组织organization组织是由电信网和互联网及相关系统中不同作用的个体为实施共同的业务目标而建立的结构，组织的特性在于为完成目标而分工、合作；一个单位是一个组织，某个业务部门也可以是一个组织。3.9电信网和互联网安全风险securityriskoftelecomnetworkandInternet人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.10电信网和互联网安全风险评估securityriskassessmentoftelecomnetworkandInternet指运用科学的方法和手段，系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施，防范和化解电信网和互联网及相关系统安全风险，将风险控制在可接受的水平，为最大限度地保障电信网和互联网及相关系统的安全提供科学依据。3.11残余风险residualrisk采取了安全措施后，电信网和互联网及相关系统中仍然可能存在的风险。3.12可用性availability电信网和互联网及相关系统可正常提供服务。3.13业务战略businessstrategy电信网和互联网及相关系统的组织为实现其发展目标而制定的一组规则或要求。3.14安全事件securityevent威胁利用脆弱性产生的对电信网和互联网及相关系统的危害情况。3.15安全需求securityrequirement为保证电信网和互联网及相关系统的组织业务战略的正常运作而在安全措施方面提出的要求。3.16安全措施securitymeasure电信网和互联网及相关系统中保护资产、抵御威胁、减少脆弱性、降低风险、控制安全事件的影响，以及打击犯罪而实施的各种实践、规程和机制的总称。安全措施主要体现在检测、阻止、防护、限制、修正、恢复和监视等多方面。完整的安全保护体系应协调建立于物理环境、技术环境、人员和管理等四个领域。3.17自评估selfassessment由网络和业务运营商发起的，依据通信行业标准对电信网和互联网及相关系统进行的风险评估活动。3.18检查评估inspectionassessment由主管部门发起的，依据通信行业标准对电信网和互联网及相关系统进行的具有强制性的检查活动。4风险评估框架及流程4.1风险要素关系风险评估中各要素的关系如图1所示：图1中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。风险评估围绕其基本要素展开，在对这些要素的评估过程中需要充分考虑基本要素相关的各类属性。风险要素及属性之间存在着以下关系：a)业务战略依赖资产去实现；b)资产是有价值的，组织的业务战略对资产的依赖度越高，资产价值就越大；c)资产价值越大则其面临的风险越大；d)风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；e)脆弱性越多，威胁利用脆弱性导致安全事件的可能性越大；f)脆弱性是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；g)风险的存在及对风险的认识导出安全需求；h)安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；i)安全措施可抵御威胁，降低安全事件的发生的可能性，并减少影响；j)风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险。有些残余风险来自于安全措施的不当或无效，需要进一步控制，而有些残余风险则是在综合考虑了安全成本与效益后未控制的风险，是可以被接受的；k)残余风险应受到密切监视，它可能会在将来诱发新的安全事件。4.2实施流程图2给出风险评估的实施流程，第5章将围绕风险评估流程阐述风险评估的具体实施步骤。4.3工作形式根据评估发起者的不同，可以将风险评估的工作形式分为自评估和检查评估。风险评估应以自评估为主，自评估和检查评估相互结合、互为补充。4.3.1自评估自评估是由网络和业务运营商发起，依据通信行业标准，对其所运营的电信网和互联网及相关系统进行的风险评估。通过自评估，网络和业务运营商可以更好地了解自己运营的电信网和互联网及相关系统的安全状况以及存在的风险，从而进一步选择合适的安全措施，降低被评估的电信网和互联网及相关系统的安全风险。4.3.2检查评估检查评估是由上级主管部门发起、通过行政手段加强电信网和互联网及相关系统安全的重要措施。检查评估旨在检查网络和业务运营商的风险评估工作的开展情况，电信网和互联网及相关系统的关键点的安全风险是否在可接受的范围内，实施自评估后采取的风险控制措施取得的效果等。4.4遵循的原则为顺利完成风险评估，应遵循如下原则：4.4.1标准性原则风险评估工作的指导性原则，指遵循通信行业相关标准开展电信网和互联网及相关系统的安全风险评估工作。4.4.2可控性原则在评估过程中，应保证参与评估的人员、使用的技术和工具、评估过程都是可控的。4.4.3完备性原则严格按照被评估方提供的评估范围进行全面的评估。4.4.4最小影响原则从项目管理层面和工具技术层面，将评估工作对电信网和互联网及相关系统正常运行的可能影响降低到最低限度，不会对被评估网络上的业务运行产生显著影响。4.4.5保密原则评估方应与被评估的网络和业务运营商签署相关的保密协议和非侵害性协议，以保障被评估方的利益。5风险评估实施5.1风险评估的准备风险评估的准备是整个风险评估过程有效性的保证。实施风险评估是一种战略性的考虑，其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估实施前，应：a)获得支持和配合；b)确定风险评估的目标；c)确定风险评估的内容；d)组建风险评估团队；e)对被评估对象进行调研；f)确定评估依据和方法。5.1.1获得支持和配合自评估应该获得本单位负责相关工作的管理者的认可，明确风险评估工作中相关的管理和技术人员的任务。对于检查评估，被评估的网络和业务运营商有支持和配合的责任和义务，以确保检查评估的顺利进行。5.1.2确定目标风险评估的准备阶段应明确风险评估的目标，为风险评估的过程提供导向。电信网和互联网及相关系统风险评估的目标是通过识别电信网和互联网及相关系统的技术和管理上的脆弱性、面临的威胁以及可能造成的风险大小，认清客观风险并有重点、有针对地提出和落实相适应的安全保护措施，从而减少安全事件的发生，满足组织业务持续发展在安全方面的需要，维持并提高组织的竞争优势、获利能力和企业形象，满足国家、行业对电信网和互联网及相关系统的要求。5.1.3确定内容基于风险评估目标确定风险评估内容是完成风险评估的前提。电信网和互联网及相关系统安全风险评估内容可以是整个电信网和互联网及相关系统中全部资产、管理机构，也可以是电信网和互联网及相关系统中的某个部分的独立资产、相关的部门等。风险评估的内容包括管理安全的风险和技术安全的风险，管理安全的风险评估内容包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等，技术安全的风险评估内容包括业务/应用安全、网络安全、设备安全、物理环境安全等内容。5.1.4组建团队应组建适当的风险评估管理与实施团队，以支持整个风险评估过程的推进。自评估可由网络和业务运营商内部开发、维护和管理的相关业务骨干、技术人员和管理人员组成风险评估团队。检查评估可由主管机构、评估机构组成风险评估团队。评估团队应能够保证风险评估工作的有效开展。5.1.5评估对象调研风险评估团队应对电信网和互联网及相关系统中的评估对象进行充分的调研，调研内容应包括网络结构与网络环境，主要的硬件、软件及其包含的数据和信息，管理、维护和使用的人员等。重点调研评估对象的资产价值、存在的脆弱性以及面临的威胁，从而为风险评估依据和方法的选择、评估的实施奠定基础。评估对象调研可以采取问卷调查、现场面谈相结合的方式进行。调查问卷是提供一套关于管理或操作控制的问题表格，供技术或管理人员填写；现场面谈则是由评估人员到现场观察并收集被评估方在物理环境和操作等方面的信息。5.1.6确定依据和方法应根据被评估对象的调研结果，确定风险评估的评估依据和评估方法。评估依据包括通信行业安全防护的标准、其它相关的通信行业标准和技术规范等。应综合考虑对电信网和互联网及相关系统进行风险评估的目的、范围、时间、效果、人员素质等因素来选择具体的评估方法，包括访谈、检查和测试等，使之能够与组织环境和安全要求相适应。5.2资产识别5.2.1资产分类电信网和互联网及相关系统资产是具有价值的资源，是安全策略保护的对象。它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。电信网和互联网及相关系统的风险评估中，首先需要将电信网和互联网及相关系统资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求，由评估者来灵活把握。根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类型。表1列出了一种资产分类方法。表1一种基于表现形式的资产分类方法针对电信网和互联网及相关系统中具体网络的资产可参见具体网络的安全防护要求。5.2.2资产赋值资产的赋值过程体现出资产的安全状况对于组织的重要性。资产赋值可综合考虑资产的社会影响力、业务价值和可用性三个安全属性，并在此基础上得出一个综合的结果。为确保资产赋值时的一致性和准确性，组织应建立一个资产价值评价尺度，以指导资产赋值。5.2.2.1社会影响力根据资产在社会影响力上的不同，将其分为五个不同的等级，表示资产在被破坏后对社会的影响。表2提供了一种资产社会影响力赋值的参考。5.2.2.2业务价值根据资产所提供业务的价值的不同，将其分为五个不同的等级，分别对应资产在业务价值缺失时对整个组织的影响。表3提供了一种业务价值赋值的参考。5.2.2.3可用性根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的满足的不同程度。表4提供了一种可用性赋值的参考。5.2.2.4资产价值资产价值应依据资产在社会影响力、业务价值和可用性上的赋值等级，经过综合评定得出。综合评定方法可以根据组织自身的特点，选择对资产社会影响力、业务价值和可用性最为重要的一个属性的赋值等级作为资产价值的最终赋值结果，也可以根据资产社会影响力、业务价值和可用性的不同重要程度对其赋值进行加权计算而得到资产价值的最终赋值。附录A中列举的几种资产价值计算方法可做参考。评估者可根据实际情况灵活选择合适的计算方法，也可以采用其它计算方法。根据最终得到的资产价值将资产划分为五级，级别越高表示资产越重要。表5中提供了一种资产价值等级划分参考。评估者可根据资产赋值结果，确定重要资产的范围，并主要围绕重要资产进行下一步的风险评估。5.3威胁识别5.3.1威胁分类威胁是一种对资产构成潜在破坏的可能性因素，是客观存在的。威胁可以通过威胁主体、动机、途径等多种属性来描述。造成威胁的因素包括技术因素、环境因素和人为因素等。环境因素包括自然界不可抗的因素和其它物理因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。威胁作用形式可以是对电信网和互联网及相关系统直接或间接的攻击，在社会影响力、业务价值和可用性等方面造成损害，也可能是偶发的或蓄意的事件。在对威胁进行分类前，首先要考虑威胁的来源。表6提供了一种根据威胁来源的威胁分类方法。对威胁进行分类的方式有多种多样，表7提供了一种基于表现形式的威胁分类方法。5.3.2威胁赋值判断威胁出现的频率是威胁识别的重要工作。威胁频率等级划分为五级，分别代表威胁出现的频率的高低，等级数值越大，威胁出现的频率越高，对资产的影响越大。表8提供了威胁出现频率的一种赋值方法。威胁出现的频率非常难以度量，评估者应根据经验和（或）有关的统计数据来进行判断。在风险评估过程中，需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率：a）以往安全事件报告中出现过的威胁及其发生频率的统计；b）实际环境中通过检测工具以及各种日志发现的威胁及其发生频率的统计；c）近一两年来国际组织发布的对于通信行业的威胁及其发生频率统计，以及发布的威胁预警。针对电信网和互联网及相关系统中具体网络的威胁可参见具体网络的安全防护要求。5.4脆弱性识别5.4.1脆弱性识别内容脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别，脆弱性是资产本身存在的，威胁总是要利用资产的脆弱性才可能造成危害。如果没有相应的威胁发生，单纯的脆弱性本身不会对资产造成损害；而且如果系统足够强健，再严重的威胁也不会导致安全事件并造成损失。资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。需要注意的是，在识别已经运行的电信网和互联网及相关系统资产脆弱性时，应尽量避免影响电信网和互联网及相关系统的正常运行，尽可能在等同条件的实验环境中完成。脆弱性识别以资产为核心，针对每个资产分别识别其可能被威胁利用的脆弱性，并对脆弱性的严重程度进行评估；也可以从物理环境、设备和系统、网络、业务/应用等层次进行识别，然后与资产、威胁结合起来。脆弱性识别时的数据应来自于资产的所有者、使用者，以及电信网和互联网及相关系统业务领域的专家和软硬件方面的专业等人员等。脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理环境层、设备和系统层、网络层、业务/应用层等各个层面的安全问题；管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面，前者与具体技术活动相关，后者与管理环境相关。对不同的识别对象，其脆弱性识别的具体要求应参照相应的技术或管理标准实施。例如，对物理环境的脆弱性识别可以参照GB/T9361-2000、YD/T5026-2005、YD5098-2005、YD5002-94、YD/T754-95等标准中的技术指标实施；对设备、网络等的脆弱性识别可以参照YDN126-2005、YDN127-2005等标准中的技术指标实施。管理脆弱性识别方面可以参照GB/T19716-2005、ISO/IEC17799-2005和ISO/IEC13335.1-2004等标准中的要求对安全管理制度及其执行情况进行检查，以发现管理漏洞和不足。5.4.2脆弱性赋值可以根据对资产损害程度、技术实现的难易程度、脆弱性流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。由于很多脆弱性反映的是同一方面的问题，或可能造成相似的后果，赋值时应综合考虑这些脆弱性，最终确定某一方面的脆弱性的严重程度。对某个资产，其技术脆弱性的严重程度还受到该资产所属电信网和互联网及相关系统的管理脆弱性的影响。因此，资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。脆弱性严重程度可以进行等级化处理，不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。表10提供了脆弱性严重程度的一种赋值方法。针对电信网和互联网及相关系统中具体网络的脆弱性可参见具体网络的安全防护要求。5.5威胁利用脆弱性的关联关系表11从环境因素类的威胁、人为因素类的威胁出发，列举出部分威胁与可利用的脆弱性的关联关系，这种关联关系因具体的网络状态和环境而不同，可根据具体的专业、地域、网络状态及环境的不同进一步制定具体的威胁利用脆弱性的关联关系。5.6已有安全措施的确认组织应对已采取的安全措施的有效性进行确认，对于有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对于确认为不适当的安全措施应核实是否应被取消，或者用更合适的安全措施替代。安全措施可以分为预防性安全措施和保护性安全措施两种，预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少因安全事件发生对资产造成的影响，如业务持续性计划。已有安全措施的确认与脆弱性识别存在一定的联系。一般来说，安全措施的使用将减少脆弱性，但安全措施的确认并不需要与脆弱性识别过程那样具体到每个资产的脆弱性，而是一类具体措施的集合。比较明显的例子是防火墙的访问控制策略，不必要描述具体的端口控制策略、用户控制策略，只需要表明采用的访问控制措施。5.7风险分析5.7.1风险计算原理在完成了资产识别、威胁识别、脆弱性识别后，将采用适当的方法确定威胁利用脆弱性导致安全事件发生的可能性，综合资产价值及脆弱性的严重程度判断安全事件一旦发生造成的损失，最终得到风险值。风险计算原理如图3所示：对风险计算原理可以采用下面的范式形式化加以说明：风险值=R（A，T，V）=R（L（Ta，Vb），F（Ia，Va））其中，R表示安全风险计算函数，A表示资产，T表示威胁，V表示脆弱性，Ta表示威胁出现的频率，Ia表示安全事件所作用的资产价值，Va表示脆弱性严重程度，Vb表示存在的脆弱性，L表示威胁利用资产存在的脆弱性导致安全事件发生的可能性，F表示安全事件发生后产生的损失。有以下三个关键计算环节：a）计算安全事件发生的可能性根据威胁出现频率及脆弱性状况，计算威胁利用脆弱性导致安全事件发生的可能性，即：安全事件发生的可能性=L（威胁出现频率，脆弱性）=L（Ta，Vb）在具体评估中，应综合攻击者技术能力（专业技术程度、攻击设备等）、脆弱性被利用的难易程度（可访问时间、设计和操作知识公开程度等）、资产吸引力等因素来判断安全事件发生的可能性。b）计算安全事件的损失根据资产价值及脆弱性严重程度，计算安全事件一旦发生造成的损失，即：安全事件的损失=F（资产价值，脆弱性严重程度）=F（Ia，Va）部分安全事件发生造成的损失不仅仅是针对该资产本身，还可能影响其提供业务的连续性。不同安全事件对组织造成的影响也是不一样的，在计算某个安全事件的损失时，应将对组织的影响也考虑在内。c）计算风险值根据计算出的安全事件发生的可能性以及安全事件的损失，计算风险值，即：风险值=R（安全事件发生的可能性，安全事件的损失）=R（L（Ta，Vb），F（Ia，Va））附录B中列举的几种风险计算方法可做参考。评估者可根据具体情况选择合适的风险计算方法，也可以采用其它计算方法。5.7.2风险结果判定为实现对风险的控制与管理，对风险值进行等级化处理，将风险划分为一定的级别，本标准将风险等级划分为五级，每个等级代表了相应风险的严重程度，等级越高，风险越高。表12提供了一种风险等级划分方法。在得到资产的风险值之后，需要结合资产已经采取的安全措施判断其风险是否在可以接受的范围内，如果风险结果在可接受的范围内，则该风险是可接受的风险，应保持已有的安全措施；如果风险结果在可接受的范围外，是不可接受的风险，需要制定风险处理计划并采取新的安全措施降低、控制风险。应综合考虑风险控制成本与风险造成的影响，并结合资产所在网络或系统的安全等级，提出一个可接受风险阈值。5.7.3风险处理计划对于不可接受的风险，应根据导致该风险的脆弱性和威胁制定风险处理计划。风险处理计划中明确应采取的弥补其脆弱性、降低安全事件造成的损失或减少安全事件发生可能性的新的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应充分考虑到组织、资金、环境、人员、时间、法律、技术和社会文化等多方面的可能限制因素，从管理与技术两个方面考虑，管理措施可以作为技术措施的补充。安全措施的选择与实施应参照国家和行业的相关标准。在对不可接受风险选择新的安全措施后，为确保安全措施的有效性，应进行再评估，以判断实施新的安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以依据本标准的风险评估流程实施，也可做适当裁减。某些风险可能在选择了新的安全措施后，残余风险的风险评估结果仍处于不可接受范围内，应考虑是否接受此风险或进一步增加相应的安全措施。5.8风险评估文件5.8.1风险评估文件记录的要求在对电信网和互联网及相关系统进行风险分析过程中，应记录风险评估过程，作为评估文档保存下来。应该符合（但不仅限于）以下要求：a)确保文件发布前是得到批准的；b)确保文件的更改和现行修订状态是可识别的；c)确保文件的分发得到适当的控制，并确保在使用时可获得有关版本的适用文件；d)防止作废文件的非预期使用，若因任何目的需保留作废文件时，应对这些文件进行适当的标识。对于风险评估过程中形成的相关文件，还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制。5.8.2风险评估文件风险评估文件包括在整个风险评估过程中产生的评估过程文档和评估结果文档，风险评估文件包括（但不仅限于）：a）风险评估方案：阐述风险评估的目标、范围、人员、评估方法、评估结果的形式和实施进度等；b）风险评估程序：明确风险评估的目的、职责、过程、相关的文件要求，以及实施本次评估所需要的各种资产、威胁、脆弱性识别和判断依据等；c）资产识别清单：根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别，形成资产识别清单，明确资产的责任人/部门；d）重要资产清单：根据资产识别和赋值的结果，形成重要资产列表，包括重要资产名称、描述、类型、重要程度、责任人/部门等；e）威胁列表：根据威胁识别和赋值的结果，形成威胁列表，包括威胁名称、种类、来源、动机及出现的频率等；f）脆弱性列表：根据脆弱性识别和赋值的结果，形成脆弱性列表，包括具体脆弱性的名称、描述、类型及严重程度等；g）已有安全措施确认表：根据已采取的安全措施确认的结果，形成已有安全措施确认表，包括已有安全措施名称、类型、功能描述及实施效果等；h）风险评估报告：对整个风险评估过程和结果进行总结，详细说明被评估对象，风险评估方法，资产、威胁、脆弱性的识别结果，风险分析、风险统计和结论等内容；i）风险处理计划：对评估结果中不可接受的风险制定风险处理计划，选择适当的控制目标及安全措施，明确责任、进度、资源，并通过对残余风险的评价以确定所选择安全措施的有效性；j）风险评估记录：要求风险评估过程中的各种现场记录可复现评估过程，并作为产生歧义后解决问题的依据。相关文件是否需要以及详略程度可参见具体网络的安全防护检测要求。6风险评估在电信网和互联网及相关系统生命周期中的不同要求6.1电信网和互联网及相关系统生命周期概述风险评估应贯穿于电信网和互联网及相关系统生命周期的各阶段中，电信网和互联网及相关系统生命周期各阶段中涉及的风险评估的原则和方法是一致的，但由于各阶段实施的内容、对象、安全需求不同，使得风险评估的对象、目的、安全要求等各方面也有所不同，每个阶段风险评估的具体实施应根据该阶段的特点有所侧重地进行。电信网和互联网及相关系统生命周期包含启动、设计、实施、运维和废弃等五个阶段。图4列出了生命周期各阶段中的主要安全活动。6.2启动阶段的风险评估启动阶段风险评估的目的是确定电信网和互联网及相关系统的安全使命，用以支撑电信网和互联网及相关系统的安全需求。启动阶段的风险评估应能够描述电信网和互联网及相关系统建成后的作用，包括技术、管理等方面，并确定电信网和互联网及相关系统建设应达到的安全目标。本阶段的风险评估着重以下几方面：a）整体规划中是否制定总体的安全方针；b）整体规划中是否描述电信网和互联网及相关系统的设备、数据、应用等资产的重要性和潜在的价值、可能的使用限制等；c）整体规划中是否考虑来自资产的应用对象、应用环境、业务状况、操作要求等方面的威胁；d）整体规划中是否描述电信网和互联网及相关系统安全相关的运行环境，包括物理和人员的安全配置，以及明确相关的法规、组织安全政策、专门技术和知识等。启动阶段的评估结果应体现在电信网和互联网及相关系统整体规划或项目建议书中。6.3设计阶段的风险评估设计阶段的风险评估需要根据启动阶段所明确的运行环境、资产重要程度等，在建设方案中提出安全功能需求，并对安全功能符合性进行判断，作为采购过程风险控制的依据。本阶段的评估对象是建设方案，应详细评估其中对威胁的描述、将使用的具体设备、软件等资产的列表，以及这些资产的安全功能需求。本阶段的评估包括以下内容：a）是否对电信网和互联网及相关系统建设后面临的物理和自然环境，内外部入侵等威胁进行了分析，制定电信网和互联网及相关系统建设的总体安全策略；b）是否采取了一定的手段应对电信网和互联网及相关系统可能的故障，是否考虑可能随着其它网络接入而产生的风险；c）是否根据开发的规模、时间及网络的特点选择开发方法，并根据设计开发计划及用户需求，对涉及的软件、硬件与网络进行分析和选型；d）对设计或者原型中的技术实现以及人员、组织管理等各方面的脆弱性进行评估，包括设计过程中的管理脆弱性和技术平台固有的脆弱性；e）设计活动中所采用的安全控制措施、安全技术保障手段对风险结果的影响，在安全需求变更和设计变更后，也需要重复这项评估。设计阶段的风险评估应判定建设方案所提供的安全功能与电信网和互联网及相关系统安全防护要求的符合性。评估结果最终应体现在电信网和互联网及相关系统的设计报告或建设实施方案中。6.4实施阶段的风险评估实施阶段风险评估的目的是根据电信网和互联网及相关系统的安全需求和运行环境对电信网和互联网及相关系统的开发实施过程进行风险识别，并根据设计阶段分析的威胁和建立的安全控制措施，对电信网和互联网及相关系统实施及验收时进行安全检测和质量控制。本阶段的评估对象是安全措施的实现程度，确定安全措施能否抵御现有威胁、脆弱性的影响。实施阶段风险评估包括开发阶段、实施交付阶段两部分评估。开发阶段的具体评估内容包括：a）评估通信行业风险评估相关标准对安全需求的影响；b）评估安全需求是否有效地支持电信网和互联网及相关系统的功能；c）评估电信网和互联网及相关系统的资产、威胁和脆弱性，分析成本与效益的关系，以确定在符合相关法律、政策、标准和功能需要下最合适的防范措施；d）评估开发阶段的安全活动，包括安全开发的内容、开发过程的监视、安全问题的防范、需求更改的响应以及监视外来的威胁。实施交付阶段的具体评估内容包括：a）根据实际建成的电信网和互联网及相关系统，详细分析其面临的威胁；b）根据建设目标和安全需求，对电信网和互联网及相关系统的安全功能进行验收测试；评价安全功能能否抵御安全威胁；c）评估是否建立了与整体安全策略一致的组织管理制度；d）对实现的风险控制效果与预期设计的符合性进行判断，如存在较大的不符合，应重新进行安全策略的设计与调整。本阶段风险评估可以采取对照建设实施方案和标准要求的方式对实际建设结果进行检测。6.5运维阶段的风险评估运维阶段风险评估的目的是了解和控制运行过程中的电信网和互联网及相关系统的安全风险，是一种较为全面的风险评估。本阶段的评估对象是真实运行的电信网和互联网及相关系统资产、威胁、脆弱性等各方面。本阶段的具体评估内容包括：a)资产评估：对真实环境下较为细致的评估，包括实施阶段采购的软硬件资产、系统运行过程中的人员与服务等。本阶段资产识别是前期资产识别的补充与增加；b)威胁评估：真实环境中的威胁分析，应全面地评估威胁的可能性。对非故意威胁产生安全事件的评估可以参照事故发生率；对故意威胁主要由评估人员就威胁的各个影响因素做出专业判断；同时考虑已有控制措施；c)脆弱性评估：是全面的脆弱性评估，包括运行环境下物理、网络、系统、应用、安全保障设备、管理等方面的脆弱性。对于技术的脆弱性评估采取核查、扫描、案例验证、渗透性测试的方式验证脆弱性；对于管理脆弱性采取文档、记录核查进行验证；d)风险分析：根据本标准的相关方法，对主要资产的风险进行定性或定量的风险分析，描述不同资产的风险高低状况。运维阶段的风险评估应定期执行，当组织的业务流程、系统状况发生重大变化时，也应进行风险评估。重大变更包括以下变更（但不限于）：a)增加新的业务/应用或业务/应用发生较大变更；b)网络结构和连接状况发生较大变更；c)技术平台大规模的更新；d)系统扩容或改造后进行；e)发生重大安全事件后，或基于某些运行记录怀疑将发生重大安全事件；f)组织结构发生重大变动对系统产生影响。6.6废弃阶段的风险评估废弃阶段风险评估的目的是确保硬件和软件等资产及残留信息得到了适当的废弃处置，并确保电信网和互联网及相关系统的更新过程在一个安全的状态下完成。本阶段应重点对废弃资产对组织的影响进行分析，并根据不同的影响制定不同的处理方式。对由于废弃可能带来的新的威胁进行分析，并改进新的技术或管理模式。对废弃资产的处理过程应在有效的监督之下实施，同时对废弃的执行人员进行安全教育。维护工作的技术人员和管理人员均应该参与此阶段的评估。2.4电信网和互联网安全等级保护实施指南1.范围本标准对电信网和互联网灾难备份及恢复工作的目标和原则进行了描述和规范。同时，规定了电信网和互联网灾难备份及恢复工作的基本实施方法。本标准适用于电信网和互联网的灾难备份及恢复工作。本标准可作为电信网和互联网灾难备份及恢复的总体指导性文件，针对具体网络的灾难备份及恢复可参考具体网络的安全防护要求和安全防护检测要求。2.规范性引用文件下列文件中的条款通过本标准的引用而成为指导性技术文件的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T5271.8—2001信息技术词汇第8部分：安全3.术语和定义GB/T5271.8-2001确立的术语和定义，以及下列术语和定义适用于本标准。3.1电信网telecomnetwork利用有线和/或无线的电磁、光电系统，进行文字、声音、数据、图象或其它任何媒体的信息传递的网络，包括固定通信网、移动通信网等。3.2互联网Internet泛指广域网、局域网及终端（包括计算机、手机等）通过交换机、路由器、网络接入设备等基于一定的通讯协议连接形成的，功能和逻辑上的大型网络。3.3电信网和互联网灾难disasteroftelecomnetworkandInternet由于各种原因，造成电信网和互联网及相关系统故障或瘫痪，使电信网和互联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.4电信网和互联网灾难备份backupfordisasterrecoveryoftelecomnetworkandInternet为了电信网和互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。3.5电信网和互联网灾难恢复disasterrecoveryoftelecomnetworkandInternet为了将电信网和互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。3.6电信网和互联网安全防护体系securityprotectionarchitectureoftelecomnetworkandInternet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合，共同构成了电信网和互联网安全防护体系。3.7电信网和互联网安全等级securityclassificationoftelecomnetworkandInternet电信网和互联网及相关系统重要程度的表征。重要程度从电信网和互联网及相关系统受到破坏后，对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.8电信网和互联网安全等级保护classifiedsecurityprotectionoftelecomnetworkandInternet指对电信网和互联网及相关系统分等级实施安全保护。3.9电信网和互联网安全风险securityriskoftelecomnetworkandInternet人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.10电信网和互联网安全风险评估securityriskassessmentoftelecomnetworkandInternet指运用科学的方法和手段，系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施，防范和化解电信网和互联网及相关系统安全风险，将风险控制在可接受的水平，为最大限度地保障电信网和互联网及相关系统的安全提供科学依据。3.11业务影响分析businessimpactanalysis分析业务功能及其相关电信网和互联网资源、评估特定灾难对各种业务功能的影响的过程。3.12电信网和互联网灾难恢复预案disasterrecoveryplanoftelecomnetworkandInternet定义电信网和互联网灾难恢复过程中所需的任务、行动、数据和资源的文件。用于指导相关人员在预定的灾难恢复目标内恢复电信网和互联网的数据、作业能力和业务功能。3.13演练exercise为训练人员和提高电信网和互联网灾难恢复能力而根据电信网和互联网灾难恢复预案进行活动的过程。3.14电信网和互联网相关系统systemsoftelecomnetworkandInternet组成电信网和互联网的相关系统，包括接入网、传送网、IP承载网、信令网、同步网、支撑网等。其中，接入网包括各种有线、无线和卫星接入网等，传送网包括光缆、波分、SDH、卫星等，而支撑网则包括业务支撑和网管系统。4.电信网和互联网灾难备份及恢复概述4.1灾难备份及恢复的工作目标电信网和互联网灾难备份及恢复的工作目标是：在电信网和互联网安全防护体系的框架下，依据电信网和互联网安全等级保护的定级结果和安全风险评估的相关信息，结合网络和业务运营商自身的实际情况，分析电信网和互联网及相关系统不同等级的安全需求，平衡效益与成本，制定灾难备份及恢复策略，在此基础上实现灾难备份技术方案，构建并执行灾难恢复预案，以便于提高电信网和互联网抵御灾难的能力，尽可能减小因灾难引起的各种损失，从而增强电信网和互联网的安全防护能力和持续作业能力，使电信网和互联网能够完成其使命。4.2灾难备份及恢复的工作原则电信网和互联网灾难备份及恢复工作应首先满足电信网和互联网安全防护工作提出的适度安全原则、标准性原则、可控性原则、完备性原则、最小影响原则以及保密性原则。在此基础上，电信网和互联网灾难备份及恢复工作在实施过程中还应重点遵循以下原则：——统筹规划原则：灾难备份及恢复要统筹考虑，合理布局，避免重复建设。——资源共享原则：灾难备份及恢复要充分利用现有资源，讲究实效，保证重点。——“平战结合”原则：应将日常运营与灾难备份及恢复需求结合起来，综合安排。——可靠性原则：灾难备份及恢复要确保备份技术和设施的可靠性以及恢复能力的可靠性。——一致性原则：灾难备份及恢复应与电信网和互联网安全防护体系的相关要求保持一致，依据安全等级保护的评定结果确定灾难备份及恢复等级，充分考虑安全风险评估的相关结论。4.3灾难备份及恢复的管理网络和业务运营商应对电信网和互联网灾难备份及恢复工作进行需求分析，落实资源管理，以便于筹备调配所需资源、制定合理的工作策略、协调各结构和不同人员之间的活动和工作。在此基础上应确定详细任务及时间表，从而有效保证灾难备份及恢复策略的规范实施。在实施过程中应始终跟踪和报告任务进展并进行问题管理和变更管理。4.4灾难备份及恢复的备案和审计电信网和互联网灾难备份及恢复的等级划分、需求分析、策略制定、灾难备份技术方案的设计实现、灾难恢复预案的制定等相关活动，应按有关规定进行备案和审计。5.电信网和互联网灾难备份及恢复等级划分5.1灾难备份及恢复定级原则根据电信网和互联网安全防护体系的相关要求，安全等级保护工作为灾难备份及恢复的实施提供等级划分指导，灾难备份及恢复的等级应与安全等级保护确定的安全等级一致。因此电信网和互联网灾难备份及恢复分为以下五个等级：——第1级：定级对象受到破坏后，会对网络和业务运营商的合法权益造成轻微损害，但不损害国家安全、社会秩序、经济运行和公共利益。本级由定级对象的所有者依据国家和通信行业有关标准进行保护。——第2级：定级对象受到破坏后，会对网络和业务运营商的合法权益产生严重损害，或者对社会秩序、经济运行和公共利益造成轻微损害，但不损害国家安全。本级由定级对象的所有者依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行指导。——第3级：进一步划分为两个级别：第3.1级：定级对象受到破坏后，会对网络和业务运营商的合法权益产生特别严重损害，或者对社会秩序、经济运行和公共利益造成较大损害，或者对国家安全造成轻微损害。本级由定级对象的所有者依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行监督、检查。第3.2级：定级对象受到破坏后，会对网络和业务运营商的合法权益产生特别严重损害，或者对社会秩序、经济运行和公共利益造成严重损害，或者对国家安全造成较大损害。本级由定级对象的所有者依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行重点监督、检查。——第4级：定级对象受到破坏后，会对社会秩序、经济运行和公共利益造成特别严重损害，或者对国家安全造成严重损害。本级由定级对象的所有者依据国家和通信行业有关标准以及业务的特殊安全要求进行保护，主管部门对其安全等级保护工作进行强制监督、检查。——第5级：定级对象受到破坏后，会对国家安全造成特别严重损害。本级由定级对象的所有者依据国家和通信行业有关标准以及业务的特殊安全需求进行保护，主管部门对其安全等级保护工作进行专门监督、检查。根据上述定级原则，结合电信网和互联网的特点，选取和定义支持灾难备份及恢复实施工作的资源要素。在此基础上可对各实施资源要素分别提出不同等级的要求，实现对电信网和互联网灾难备份及恢复的等级划分。电信网和互联网要达到某个灾难备份及恢复等级，应同时满足该等级中所有实施资源要素的要求。针对具体的电信网和互联网及相关系统，其灾难备份及恢复的实施资源要素以及这些实施资源要素针对不同灾难备份及恢复等级的要求应参见具体网络的安全防护要求和安全防护检测要求。5.2灾难备份及恢复实施资源要素可将支持电信网和互联网灾难备份及恢复各个等级所需的资源分为以下六个要素：——冗余系统、冗余设备及冗余链路：指在电信网和互联网组网、优化阶段部署的各种冗余系统、冗余设备以及冗余通信链路等；——冗余路由：指电信网和互联网在路由层面的冗余性设计；——备份数据：指电信网和互联网各种数据的备份；——人员和技术支持能力：对电信网和互联网灾难备份及恢复的实施安排相关人员、提供支撑和综合保障的能力，以实现灾难备份及恢复的预期目标。包括对电信网和互联网及其信息系统安全运行的管理能力、问题分析处理能力等；——运行维护管理能力：包括电信网和互联网运行环境管理、数据管理、资源管理、信息系统管理、安全管理和变更管理等；——灾难恢复预案：用于指导电信网和互联网灾难恢复工作的执行方案，包括各种资源的调配、人员处置以及系统、业务、数据的恢复流程等。5.3灾难备份及恢复实施等级要求根据电信网和互联网灾难备份及恢复定级原则、支持灾难备份及恢复实施的六个资源要素，可对每个等级的实施进行具体要求如下：5.3.1第1级不作要求。5.3.2第2级第2级灾难备份及恢复应具有的技术和管理支持如表1所示。5.3.3第3.1级3.1级灾难备份及恢复应具有的技术和管理支持如表2所示。5.3.4第3.2级3.2级灾难备份及恢复应具有的技术和管理支持如表3所示。5.3.5第4级待补充。5.3.6第5级待补充。6.电信网和互联网灾难备份及恢复需求分析根据电信网和互联网安全等级保护所确定的安全等级，确定电信网和互联网灾难备份及恢复的等级和目标，包括：——电信网和互联网及相关系统的灾难备份及恢复等级：与安全等级保护所确定的安全等级一致；——电信网和互联网及相关系统、业务的灾难恢复指标范围，包括网络或业务恢复顺序、灾难备份及恢复的实施资源要素等。7.电信网和互联网灾难备份及恢复策略的制定7.1灾难备份及恢复策略的制定方法按照灾难备份及恢复实施资源要素的成本应与灾难可能造成的损失之间取得平衡的原则（以下简称“成本风险平衡原则”），根据电信网和互联网灾难备份及恢复的等级和目标，确定电信网和互联网及相关系统的灾难备份及恢复策略，不同的电信网和互联网及相关系统可采用不同的灾难备份及恢复策略。制定电信网和互联网灾难备份及恢复策略需要明确：——灾难备份及恢复实施资源要素的获取方式；——灾难备份及恢复实施资源要素的具体要求。7.2灾难备份及恢复实施资源要素的获取方式7.2.1冗余系统、冗余设备及冗余链路系统、设备和链路部署的冗余性由网络和业务运营商在组网、优化阶段进行获取。7.2.2冗余路由为获取路由的冗余性，需设备制造商在设备设计、生产阶段实现相关功能，并由网络和业务运营商在组网、优化阶段进行设计部署。7.2.3备份数据数据由网络和业务运营商自行维护并备份。7.2.4人员和技术支持能力可选用以下两种方式来设置人员并获取技术支持能力：——由网络和业务运营商自行设置技术支持人员；——由网络和业务运营商与设备制造商或其他厂商签订技术支持或服务合同。7.2.5运行维护管理能力可选用以下两种方式来获取运行维护管理能力：——由网络和业务运营商自行运行、维护和管理；——由网络和业务运营商委托其它机构运行、维护和管理。7.2.6灾难恢复预案可选用以下三种方式完成灾难恢复预案的制定、落实和管理：——由网络和业务运营商独立完成；——由网络和业务运营商聘请外部专家指导完成；——由网络和业务运营商委托外部机构完成。7.3灾难备份及恢复实施资源要素的具体要求7.3.1冗余系统、冗余设备及冗余链路网络和业务运营商应根据灾难备份及恢复等级和目标，按照成本风险平衡原则，确定：——系统、设备及链路部署的冗余性；——系统的处理能力、设备及链路的容量等相关参数；——网络链路保护倒换的速度；——机房其他设备的冗余性。7.3.2冗余路由网络和业务运营商应根据灾难备份及恢复等级和目标，按照成本风险平衡原则，确定：——网络路由设计的冗余性；——网络是否支持流量负荷分担；——网络收敛速度。7.3.3备份数据网络和业务运营商应根据灾难备份及恢复等级和目标，按照成本风险平衡原则，确定：——系统关键数据的组成；——数据备份的形式；——数据备份的范围；——数据备份的时间间隔；——数据备份系统的组成设备；——数据备份的技术；——数据备份介质的可靠性及容量。7.3.4人员和技术支持能力网络和业务运营商应根据灾难备份及恢复等级和目标，按照成本风险平衡原则，确定：——技术支持的组织架构；——在硬件、软件、网络、工作时间等方面的技术支持要求；——各类技术支持人员的数量和素质等要求。7.3.5运行维护管理能力网络和业务运营商应根据灾难备份及恢复等级和目标，按照成本风险平衡原则，确定：——运行维护管理的组织架构；——各类运行维护管理人员的数量和素质等要求；——数据备份及访问授权的管理制度；——机房、硬件、网络、软件的运行管理制度；——与外部组织的联络和协作能力。7.3.6灾难恢复预案网络和业务运营商应根据灾难备份及恢复等级和目标，按照成本风险平衡原则，确定：——灾难恢复预案的整体要求；——灾难恢复预案的制定和实现要求；——灾难恢复预案的教育、培训和演练要求；——灾难恢复预案的管理要求。8.电信网和互联网灾难备份及恢复策略的实现8.1灾难备份及恢复策略的实现方法参照所确定的灾难备份及恢复实施资源要素的获取方式和具体要求，可从六个不同的实施资源要素入手，实现所制定的灾难备份及恢复策略。电信网和互联网灾难备份及恢复策略的实现包括以下关键部分：——灾难备份技术方案的实现；——人员和技术支持能力的实现；——运行维护管理能力的实现；——灾难恢复预案的实现。8.2灾难备份技术方案的实现8.2.1技术方案的设计、验证和确认网络和业务运营商应根据灾难备份及恢复策略制定相应的灾难备份技术方案，需考虑冗余系统、冗余设备及冗余链路、冗余路由和备份数据等要素。技术方案应：——遵循成本风险平衡原则；——具有可扩展性；——具有高可靠性。网络和业务运营商在选择数据异地容灾备份地点时，应遵循以下原则：——与本地之间的地理距离和相应风险匹配；——避免与本地同时遭受同类风险；——与本地之间通信的设施安全可靠。为确保技术方案满足电信网和互联网灾难备份及恢复策略的要求，应由网络和业务运营商的相关部门对技术方案进行验证和确认，并记录、保存验证和确认的结果。8.2.2技术方案的部署和测试网络和业务运营商应按照确认的灾难备份技术方案进行相应部署，增加系统、链路和路由的冗余性，并按要求对数据进行备份。网络和业务运营商应按照确认的灾难备份技术方案和部署情况制定相应测试计划，并组织用户共同进行测试。测试内容主要包括：——网络部署规划对系统和设备冗余性的支持；——网络链路的保护倒换功能及速度；——网络重路由功能及网络收敛速度；——网络流量负荷分担功能；——本地备份数据的恢复功能；——数据的异地备份功能；——异地备份数据的恢复功能。8.3人员和技术支持能力的实现根据所制定的灾难备份及恢复策略，网络和业务运营商应：——获取硬件、软件、网络、工作时间等方面的相应技术支持能力；——建立相应的技术支持组织；——定期对技术支持人员进行操作技能培训。8.4运行维护管理能力的实现为了达到灾难备份及恢复目标，网络和业务运营商按照所制定的灾难备份及恢复策略，应：——建立各种完善的操作和管理制度；——确保数据备份的安全性、及时性、有效性和可靠性；——与外部组织保持良好的联络和协作能力；——确保有效的应急响应和处理能力；——定期对相关人员进行安全管理教育培训。8.5灾难恢复预案的实现8.5.1灾难恢复预案的制定电信网和互联网灾难恢复预案的制定应遵循以下原则：——完整性：灾难恢复预案应包含灾难恢复的整个过程，以及灾难恢复所需的尽可能全面的数据和资料；——易用性：灾难恢复预案应使用易于理解的语言和图表，并适合在紧急情况下使用；——明确性：灾难恢复预案应采用清晰的结构，对电信网和互联网资源进行清楚的描述，工作内容和步骤应具体，每项工作应有明确的责任人；——有效性：灾难恢复预案应尽可能满足灾难发生时进行恢复的实际需要，并保持与实际电信网和互联网和人员组织的同步更新；——兼容性：灾难恢复预案应与国家和行业其它应急预案体系有机结合。电信网和互联网灾难恢复预案制定的过程如下：——起草：参照附录A灾难恢复预案框架，按照风险分析、相关系统和业务影响分析所确定的灾难备份及恢复内容，根据灾难备份及恢复等级的要求，参考国家和行业其他相关的应急预案，撰写灾难恢复预案的初稿。——评审：应对灾难恢复预案初稿的完整性、易用性、明确性、有效性和兼容性进行严格的评审。评审应有相应的流程保证。——测试：应预先制定测试计划，在计划中说明测试的案例。测试应包含基本单元测试、关联测试和整体测试。测试的整个过程应有详细的记录，并形成测试报告。——修订：根据评审和测试结果，对灾难恢复预案进行修订，纠正在初稿评审过程和测试中发现的问题和缺陷，形成灾难恢复预案的报批稿。——审核和批准：由网络和业务运营商的决策层对报批稿进行审核和批准，确定为灾难恢复预案的执行稿。8.5.2灾难恢复预案的教育、培训和演练为了使相关人员了解电信网和互联网灾难恢复的目标和流程，熟悉灾难恢复的操作规程，网络和业务运营商应按以下要求，组织灾难恢复预案的教育、培训和演练：——在电信网和互联网运行的整个生命周期都应进行灾难恢复观念的宣传教育工作；——应预先对培训需求进行评估，开发和落实相应的培训及教育课程，保证课程内容与灾难恢复预案的要求相一致；——应事先确定培训的频次和范围，事后保留培训的记录；——预先制定演练计划，在计划中说明演练的场景。——演练的整个过程应有详细的记录，并形成报告；——应定期组织有最终用户参与的完全演练。8.5.3灾难恢复预案的管理经过审核和批准的灾难恢复预案，应：——由专人负责保存与分发；——具有多份拷贝在不同的地点保存；——分发给参与灾难恢复工作的所有人员；——在每次修订后所有拷贝统一更新，并保留以备查阅，原分发的旧版本应予销毁。为了保证灾难恢复预案的有效性，应从以下方面对灾难恢复预案进行严格的维护和变更管理：——电信网和互联网及相关系统结构的变化、业务的变更、人员的变更都应在灾难恢复预案中及时反映；——灾难恢复预案在测试、演练和灾难发生后实际执行时，其过程均应有详细的记录，并应对测试、演练和执行的效果进行评估，同时对灾难恢复预案进行相应的修订；——灾难恢复预案应根据电信网和互联网实际情况定期评审和修订。第3章网络安全架构3.1概述随着网络与通信技术的迅速发展，IP、IT网络和系统面临的安全威胁逐渐增多，为确保网络安全，保障客户利益，有效地开展网络安全各方面的工作，制定和颁布本安全规范指导书，进一步明确了安徽电信IP、IT相关网络和系统的安全目标、人员组织、指导原则及相关策略，指导网络安全工作在统一的策略体系下的开展，并通过策略、组织、技术、管理各个环节有效配合，整体考虑、统一规划，推动网络安全工作的顺利进行，最大限度的发挥安全工作的效果。3.1.1基本原则整体考虑，统一规划；„人员到位，制度完善；„区域划分，重点防护；„科学管理，责任清晰；„系统建设，技术先进；3.1.2适应范围本规范指导书适用于安徽电信IP承载网以及承载在其上的业务网、IT业务系统和支撑系统等业务模块。IP承载网包括安徽电信城域网、DCN、C网承载网等网络，业务模块包含MBOSS信息系统、客户服务及信息系统、C网分组域和电路域、软交换、业务平台、各专业网管系统、各专业支撑系统等。3.1.3安全策略体系架构及目标完善的安全策略体系架构是网络安全建设的目标和方向，安全规范的制定是建立从技术到管理自上而下整体的安全策略体系架构的基础，如图一所示，网络安全策略体系总纲（以下简称纲领）位于安全体系的第一层，是整个安全体系的最高纲领。它主要阐述网络安全的管理范围、管理原则、管理目标及管理策略。总纲具有高度的概括性，涵盖了技术和管理两个方面，对网络安全工作具有通用性。网络安全策略体系的第二层是一系列的技术规范和管理规定，是对总纲的分解和进一步阐述，侧重于共性问题、操作实施和管理考核，提出具体的要求，对安全工作具有实际的指导作用。网络安全策略体系的第三层是对第二层要求的进一步细化，按照具体的网络和应用环境，制订具体的细则、流程和规范等。网络安全策略体系的第四层是操作层面，根据第二层和第三层的要求，结合具体的网络和应用环境，制订具体实施的配置与操作步骤等，具备最直观的可操作性。3.2组织与人员3.2.1组织机构各单位应设立配套的安全技术支撑队伍，形成自上而下、完备的安全组织架构，实现网络安全运营的专业化，将安全职责覆盖到安全域生命周期的各环节，做到职责明晰，分工明确。3.2.2人员管理1．上岗、在岗、离岗管理各责任维护部门应对员工的上岗、转岗、离岗变化建立规范的安全控制程序，确保及时冻结或取消员工所拥有的且与其目前职责不相符的对本单位信息资产的使用权，对人员权限建立相应的审批和复核审计机制，并保留相应记录。2．培训管理为了提高各单位网络安全管理和维护人员的技术水平，培养内部高水平安全人才，通过组织多种形式的安全培训和设立全网统一的网络安全培训机制，培养专业人才队伍。不同岗位的员工应接受符合其工作要求的必要的网络安全专业技能培训。记录并监督安全培训的过程，并应形成相关的培训记录。3．第三方人员维护管理第三方，是指从事网络运维工作的非局方的组织和人员。第三方的访问包括物理访问和逻辑访问，各安全责任维护部门应审核第三方的访问需求，进行风险分析，确定控制措施。在相应的控制措施未落实之前，或相关合同（保密协议）尚未签署之前，第三方不得访问公司的任何网络。3.3网络建设与开发3.3.1设计、建设和验收建设、维护部门必须明确系统设计、建设和验收过程中的安全要求，保障系统在实施上线前达到要求的安全水平。3.3.2系统的安全要求应在项目需求阶段收集整理系统所需的所有安全要求，进行合理性论证，并将这些安全要求形成规范文件作为系统整体建设需求的一部分。3.3.3开发和支持过程中的安全1．开发过程制定相应的安全标准和规范，控制项目开发环境，严格开发建设过程的管理，确保系统建设过程和结果都满足相应的安全策略和管理规定；并且严格管理和监视外包软件的开发。2．变更控制严格控制变更环境，对引入新系统和对已有系统进行变更都必须制定正式的变更控制规程来控制变更的实施，以将变更可能带来的威胁减到最小。变更后需对关键应用进行评审和测试，以确保变更对运行和安全没有负面影响。3.3.4系统文件的安全应严格控制对系统文件和程序源代码的访问，以安全的方式进行项目管理。3.3.5安全培训在工程类项目建设后，须对维护人员和使用人员进行网络安全教育和培训，使之能够良好的使用系统，避免由于缺乏培训带来的误操作。3.3.6系统验收在新建系统、系统扩容、软硬件升级验收之前，应制定相应的网络安全验收标准。验收要求和标准能够被清晰定义、记录和测试，并获得项目组一致同意。只有测试合格的系统方可验收。3.3.7设备安全准入必须明确设备入网的安全标准，在工程建设技术规范书中明确定义相关的安全要求，作为系统准入的安全标准。各责任维护部门应制定系统安全准入制度和流程，负责完成系统设备安全准入的审批和操作。第4章安全维护规范4.1安全域划分及边界整合4.1.1安全域划分与边界整合为了明确网络安全防护边界，应对业务系统进行出口统一防护，将大规模复杂系统的安全问题，化解为小区域简单系统的安全保护问题，并在保证系统与网络的各种互联需求有效提供的前提下，对安全域边界进行合理的整合，对系统与网络接口进行有效的整理和归并，减少接口数量，提高系统与网络接口的规范性，有效实现大规模复杂系统的安全保护。4.1.2定级备案各安全责任维护部门应依据安全域的安全需求，参照系统等级保护基本要求，对网络和业务模块进行定级、测评、备案等工作，明确相应的安全保护级别和标识。4.1.3安全域职责分工安全域维护管理工作应根据安全域安全运营的相关工作职责管理办法，落实具体工作职责分工和工作要求，将安全域维护管理工作落实到位。4.1.4网络接入IP、IT相关系统接入公共互联网和DCN网的方案需要严格审核，原则上不允许服务器和终端同时接入公共互联网和DCN网。办公性终端和生产性终端必须配置在不同的VLAN以进行隔离，并且采用不同交换机上联。加强MBOSS及业务平台等系统接入DCN网络的方案审核，方案须符合DCN网络接入要求。加强终端接入DCN网的安全管理，严格终端上网权限的审批，禁止生产使用的终端连接互联网。对于接入公共互联网的业务平台及系统需要在接入网络边缘部署安全防护设备，加强日志审计和异常安全事件监控。4.2安全管理规范4.2.1安全操作流程和职责为确保网络的正确和安全使用，各安全责任维护部门应建立网络与系统的管理与操作的流程，包括制定安全操作细则和规范。应落实责任的分工，减少疏忽的风险和蓄意的系统滥用。安全操作细则应作为正式文件，履行审批手续，其修改应获得管理人员的授权。操作细则应包含操作活动的职责、内容、目的、时间、场所、方法等。3.2.2安全对象管理为了方便、高效地管理网络和系统相关设备的安全属性，各安全责任维护部门要建立安全对象管理制度，在安全对象管理清单中实时更新网络和系统的信息，如网络、系统的硬件信息和软件信息属性。各安全责任维护部门拥有的安全对象，必须根据归属确定“责任人”，分配其相应的安全管理职权，并由其承担相应的安全责任。“责任人”可以将具体的安全职责委派给“维护人”，但“责任人”仍须承担网络设备安全的最终责任。维护人应根据与责任人达成一致的维护要求，保证所维护网络设备相关的机密性、完整性和可用性。4.2.3安全日常维护管理1.维护作业计划管理为保证网络安全维护工作的规范性与准确性，各安全责任维护部门应遵照安全要求，结合实际情况，编制安全维护作业计划。安全维护作业计划应明确规定安全维护活动的内容和周期。维护人员必须严格执行维护作业计划，未经责任人批准不得随意更改。维护作业计划的执行情况应记录在案，并接受责任人的检查。2.日常维护设备各安全责任维护部门应正确规范维护设备，保护设备的可用性和完整性。在维护过程中，维护人员必须经过授权，根据安全维护作业计划进行。各安全责任维护部门设备维护人员必须具备相应的技术技能，根据设备供应商建议的维护周期和规范进行维护。当设备送到外部场所进行维护时，各安全责任维护部门应当采取有效的控制措施防止信息泄漏。3．恶意软件的防护恶意软件（如病毒、蠕虫、木马等）通常会造成设备损坏、数据丢失、系统崩溃或秘密泄露。为确保网络安全，各安全责任维护部门应从安全意识、合理的系统访问和变更管理控制这三个方面出发，加强技术手段建设、用户教育，强化防范意识，并采取积极有效的检测和预防控制措施，以减少恶意软件入侵带来的风险。4．软件及补丁版本管理各安全责任维护部门应制定软件及补丁版本管理办法，并严格执行，所有安全软件的升级必须由变更控制流程进行控制。5．时钟和时间同步时钟同步是保证系统完整性和可用性的必要条件，各安全责任维护部门应采取有效的技术和管理措施，保证系统时钟和时间同步，例如采用统一的时钟和时间源系统。6．操作日志为了便于对系统运作进行有效的监控，同时也便于调查研究安全事件，各安全责任维护部门应制定相应规范要求记录操作，按规定的保存期限保存该操作日志，并根据规范对其进行定期、独立的日志审核。7．故障管理各安全责任维护部门应制定相关的故障管理制度，将网络安全相关的故障记录在案，并采取相应的补救措施。故障报告应包括故障起止时间、故障现象、业务影响、故障原因分析、处理过程及结果、故障恢复证据、事后的补救措施等。4.2.4第三方服务管理各安全责任维护部门必须核查第三方服务的资质，与第三方服务签订协议，监视协议执行的符合性，并管理服务的变更，以确保第三方交付的服务满足协议的所有要求。必须明确服务的安全安排、服务定义和服务管理的各方面，并对第三方服务进行监督和评审，确保网络安全事件和问题得到适当的处理，对于第三方服务的变更，应根据所涉及的业务系统、业务过程的重要性，对服务的变更过程进行管理。4.2.5介质安全管理各安全责任维护部门应制定有效管理可移动存储媒介的规范，如移动硬盘、磁带、磁盘、卡带等移动存储媒介。为最大限度地降低信息泄露的风险，各安全责任维护部门应制定存储媒介的安全处置流程，规定不同类型媒介的处置方法、审批程序和处置记录等安全要求。4.2.6设备安全规范管理正确配置、实施、维护网络与设备是降低网络和系统遭受非授权访问及安全攻击风险，保护数据不受破坏及丢失的必要措施。各安全责任管理部门应制定所管理的路由器、交换机等网络设备，防火墙、IDS等安全设备，以及主机、中间件、数据库及应用系统的安全功能规范、安全配置规范等技术规范，各维护部门在日常运营工作中应严格执行，保障网络与系统各类设备的安全运营。4.3访问控制访问控制是指基于业务的安全需求对系统和数据的访问进行控制，包括限制访问权限与能力，限制进入物理区域，限制使用网络与信息处理系统及存储数据的过程。4.3.1网络访问控制访问内部和外部网络服务应当受到控制。不安全的网络服务连接可能会影响网络和系统的安全，因此内网和公网的用户只能使用经过授权的网络服务。各安全责任维护部门应制定有关网络及网络服务的使用策略，保护连接服务，避免非法接入，以确保网络中的数据安全。1．逻辑安全区域的划分与隔离应基于访问控制策略和访问需求，根据不同的业务、应用及其所处理信息的敏感性和重要性，同时综合考虑网络性能和成本，将网络与信息系统划分成不同的逻辑安全区域。网络安全组织应根据该安全域内网络与信息系统的价值和安全风险等级，确定各安全域不同的保护等级。2．网元节点验证除了用户身份需要鉴别外，某些情况下各安全责任维护部门也应对网元节点进行验证，以防止非法设备进入公司网络。3．端口保护各安全责任维护部门应制定并实施有效的安全控制措施，保护网络与信息系统的远程诊断、操作、维护、管理等端口，防止未经授权或非法的访问，并记录访问日志。4．网络互联控制各安全责任维护部门应基于业务应用的访问策略和要求，采取适当措施，从技术和管理两方面控制网络互联。例如：–制订互联接口规范和标准。–明确允许和禁止互联的网络和具体应用等。5．网络路由控制各安全责任维护部门应实施路由控制，确保网络连接和信息流符合访问控制策略。路由控制应当基于源地址和目标地址检查机制，并使用网络地址转换（NAT）来隔离内部网络，并阻止网间传播不必要的路由信息。6．网络服务的安全各安全责任维护部门应只允许提供必需的、经过批准的、“可确保安全”的网络服务。所有网络服务都应有清晰的安全属性描述，并明确对应的值，例如：WEB中的HTTP协议是否采用SSL加密。各安全责任维护部门必须保留对网络服务的访问日志，并根据信息的密级确定日志的具体内容，例如：针对低密级信息，可只保留失败访问记录，而针对高密级信息时，必须同时保留失败访问记录和成功访问记录。4.3.2操作系统的访问控制各安全责任维护部门应采取必要的措施来控制对操作系统的访问，严格验证用户身份，并记录所有操作系统的访问日志，确保接入用户不会滥用权限或破坏操作系统的正常运行。4.3.3应用访问控制为避免应用系统中的信息受到非法访问，各安全责任部门应用系统应具备如下安全功能：a)根据访问控制策略，控制用户访问应用系统和信息；b)防止用户在未经授权的情况下使用能够超越系统或应用控制措施的工具和系统软件；c)不应威胁到共享信息资源的其他系统的安全；d)仅向系统所有人和其他指定的授权用户提供信息访问。4.3.4网络访问与使用的监控网络面临的典型威胁包括：未经授权的访问，信息在传送过程中被截获、篡改，黑客攻击，滥用和误用等。这些威胁可能导致敏感信息泄露、信息完整性破坏、信息可用性丢失等后果。因此，各安全责任维护部门应对网络访问和使用进行监控并制定相应的管理规范，以检测违背访问控制策略的活动，并记录相关证据。网络监控可以提高控制措施的有效性，并保证访问控制策略的执行。1．事件记录各安全责任维护部门应建立审计日志，记录网络异常情况及其他安全事件。审计日志应保留规定的时长，以便支持日后的事件调查和访问控制监控。2．监控系统使用情况各安全责任维护部门司应对网络与信息系统的使用建立监控流程。监控流程应包括监控级别、监控内容、监控手段与工具、监控结果审查与措施、记录保存等方面的规定。4.3.5远程访问控制各安全责任维护部门应制定正式的管理办法和相应的策略和流程，明确远程访问控制涉及的物理保护、访问控制措施、加密技术、存储备份以及病毒防护等方面的要求。4.4网络与系统分先评估各安全责任维护部门应定期对网络相关信息系统进行风险评估，并建立相应风险评估管理办法。各安全责任维护部门应保留风险评估过程和结论记录，并根据结论及时采取相应的处置措施进行改进。4.5安全事件与应急响应各安全责任维护部门应遵循并贯彻工信部“积极预防、及时发现、快速响应、确保恢复”的方针，建立安全事件报告机制及应急响应机制。4.5.1安全事件报告机制各安全责任维护部门必须建立正式的事件报告程序，明确事件报告的职责和规程，以确保快速、有效和有序地响应安全事件，最大限度的减少安全事件造成的损害。对报告事件的类型、内容、及时性以及汇报对象的要求，必须符合法律法规、电信行业的安全策略及相关规定。1．事件及预警信息分级事件信息分为特别重大、重大、较大、一般共四级。预警信息分为一级、二级、三级、四级，分别用红色、橙色、黄色、蓝色标识，一级为最高级。具体分级细则见相关文件要求。2．各级事件及预警上报时限对于特别重大、重大事件信息以及一级、二级预警信息，各市分公司应在60分钟内向省网络监控维护中心（省公司通信总值班室）报送并抄送并按月及时汇总，省网络监控维护中心在90分钟内向集团公司报告，并抄送省通信管理局。对于较大事件信息以及三级预警信息，各市分公司应当于2小时内向省网络监控维护中心（省公司通信总值班室）报送并抄送并按月及时汇总，省网络监控维护中心应在3小时内向集团公司报告，并抄送省通信管理局。对于一般事件信息，各市分公司应按月及时汇总，于次月初2个工作日内报送省网络监控维护中心（省公司通信总值班室）；省网络监控维护中心在月初3个工作日内汇总后报送集团公司，并抄送省通信管理局。对于四级预警信息，各市分公司应当于发现或得知预警信息后2个工作日内报送省网络监控维护中心（省公司通信总值班室）；省网络监控维护中心在月初3个工作日内汇总后报送集团公司，并抄送省通信管理局。4.5.2应急响应各安全责任部门应建立应急响应的支持力量（如故障电话、专家队伍等），为安全事件的处理提供建议和帮助，保证并促进与应急响应相关的信息（如应急预案和相应的演练等）和支持资源的可用性。如需要在公司内进行纪律处理等措施而收集和提交证据时，需制定并遵循相应的规程。为确保在网络和系统发生紧急安全事件时尽快恢复网络和系统正常运行，降低安全事件的负面影响，各安全责任部门必须明确网络和系统的安全应急要求，制定应急预案，预案中包括相关人员角色、职责、联络人、联络信息以及如何将中断或失效的系统进行恢复的描述；应急预案必须由网络安全领导小组审批，并下发关键的应急责任人员，并确保涉及的所有成员和其他有关人员了解该应急预案和他们对于网络安全的职责，以确保重要的运行能及时恢复。各安全责任维护部门应定期及不定期对各种意外情况以及应急预案进行安全演练，记录演练过程，对演练中发现的问题进行准确识别、分析并更新相应的应急预案。4.6安全审计管理4.6.1审计内容要求安全审计的内容分为管理和技术两个方面。管理审计侧重管理层面检查安全策略和控制措施的执行结果和执行过程；技术审计应检查安全策略和控制措施在技术层面的落实情况，例如网络接入控制的审计日志。4.6.2审计原则审计应确保独立原则，即保证审计方与被审计方保持相对独立，包括审计职责和流程，以确保审计结果的公正可靠。在审计过程中，各安全责任维护部门应最大限度的降低安全审计对正常运营造成的影响。4.6.3审计管理各安全责任部门必须制定明确的审计管理规程，设定周期进行审计的调查和监视，审计记录应进行严密保护，防止篡改或重要信息泄漏，且需制定基于审计结果的奖惩措施，纳入被审计方的考核内容；并且在审计期间，应有控制措施防护运行系统和审计工具，以免遭受破坏或未授权访问。Welcome!!!欢迎您的下载，资料仅供参考！精选资料，欢迎下载