中国电信产品维护经理认证体系教材网络安全_中国电信维护安全
中国电信产品维护经理认证体系教材网络安全由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“中国电信维护安全”。
产品维护经理认证体系教材
--网络安全
中国电信维护岗位认证教材编写小组编制
目 录
第1章 信息安全管理基础.............................................................5
1.1 信息安全概述............................................................................................................5
1.1.1 信息安全面临的主要问题...................................................................................5
1.1.2 信息安全的相对性...............................................................................................5
1.2 信息安全管理相关概念............................................................................................5
1.2.1 什么是信息安全...................................................................................................5 1.2.2 信息安全的发展过程...........................................................................................6 1.2.3 信息安全的基本目标...........................................................................................6 1.2.4 如何实现信息安全...............................................................................................6 1.2.5 信息安全需要遵循的模式...................................................................................7
1.3 BS7799概述...........................................................................................................7
1.3.1 BS 7799................................................................................................................7 1.3.2 ISO 17799............................................................................................................8 1.3.3 安全管理体系规范.............................................................................................14 1.3.4 ISMS管理框架....................................................................................................15
第2章网络安全防护实施标准......................................................17
2.1 电信网和互联网安全防护管理指南.........................................................................17 2.2 电信网和互联网安全等级保护实施指南.................................................................25 2.3 电信网和互联网安全风险评估实施指南.................................................................51 2.4 电信网和互联网安全等级保护实施指南.................................................................76
第3章中国电信安全维护规范......................................................91
3.1 安全域划分及边界整合.............................................................................................91
3.1.1 安全域划分与边界整合.....................................................................................91 3.1.2 定级备案.............................................................................................................91 3.1.3 安全域职责分工.................................................................................................91 3.1.4 网络接入.............................................................................................................91
3.2 安全管理规范.............................................................................................................91
3.2.1 安全操作流程和职责.........................................................................................91 3.2.2 安全对象管理.....................................................................................................92 3.2.3 安全日常维护管理.............................................................................................92 3.2.4 第三方服务管理.................................................................................................93 3.2.5 介质安全管理.....................................................................................................93 3.2.6 设备安全规范管理.............................................................................................93
3.3 访问控制.....................................................................................................................94 3.3.1 网络访问控制.....................................................................................................94 3.3.2 操作系统的访问控制.........................................................................................95 3.3.3 应用访问控制.....................................................................................................95 3.3.4 网络访问与使用的监控.....................................................................................95 3.3.5 远程访问控制.....................................................................................................96
3.4 网络与系统风险评估.................................................................................................96 3.5 安全事件与应急响应.................................................................................................96
3.5.1 安全事件报告机制.............................................................................................96
3.5.2 应急响应.................................................................................................................97 3.6 安全审计管理.............................................................................................................97
3.6.1 审计内容要求.....................................................................................................97 3.6.2 审计原则.............................................................................................................97 3.6.3 审计管理.............................................................................................................98
第4章安全评估.................................................................................99
4.1 安全评估概述..........................................................................................................99
4.1.1 安全评估目的.....................................................................................................99 4.1.2 安全评估要素.....................................................................................................99 4.1.2 安全评估过程...................................................................................................101 4.1.4 安全评估工具...................................................................................................102 4.1.5 安全评估标准...................................................................................................102
4.2 安全扫描...................................................................................................................103
4.2.1漏洞及其分类....................................................................................................103 4.2.2 网络扫描技术...................................................................................................104
第5章常见安全产品......................................................................107
5.1防病毒网关................................................................................................................107
5.1.1 防病毒网关基础概念.......................................................................................107 5.1.2 防病毒网关与防火墙区别...............................................................................108 5.1.3 防病毒网关与防病毒软件区别.......................................................................110 5.1.4 防病毒网关关键技术.......................................................................................111
5.2 防火墙.......................................................................................................................113
5.2.1 防火墙基本知识...............................................................................................113 5.2.2 防火墙基本配置...............................................................................................117
5.3 入侵检测...................................................................................................................123
5.3.1 入侵检测与入侵防御概述...............................................................................123 5.3.2 入侵检测系统介绍...........................................................................................126 5.3.3 入侵防御系统介绍...........................................................................................134
5.4 VPN.............................................................................................................................138 5.4.1 VPN的基本原理................................................................................................138 5.4.2 VPN的安全协议................................................................................................139
附录:第一章安全配置..................................................................156
1.1 网络设备安全配置...................................................................................................156
1.1.1 交换机安全配置...............................................................................................156
1.1.2 路由器安全配置...............................................................................................158
1.2 主机安全配置...........................................................................................................168
1.2.1 Windows安全配置...........................................................................................168 1.2.2 Solaris安全配置...........................................................................................173 1.2.3 Linux安全配置................................................................................................175
附录第二章密码学基础..................................................................177
2.1 密码学概述............................................................................................................177
2.1.1 密码学概述.......................................................................................................177
2.1.2 密码体制的分类.............................................................................................177 2.1.4 密码学的主要应用...........................................................................................180 2.1.5 信息加密方式...................................................................................................180
2.2 2.3 2.4 对称密码学............................................................................................................182 非对称密码学........................................................................................................182 消息认证技术........................................................................................................183 第1章 信息安全管理基础
1.1 信息安全概述
1.1.1 信息安全面临的主要问题
1、人员问题:
信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信息泄漏等问题 特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感数据 内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流动等
2、技术问题:
病毒和黑客攻击越来越多、爆发越来越频繁,直接影响企业正常的业务运作
3、法律方面
网络滥用:员工发表政治言论、访问非法网站
法制不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务)
1.1.2 信息安全的相对性
安全没有100%,完美的健康状态永远也不能达到。安全工作的目标:将风险降到最低。
1.2 信息安全管理相关概念
1.2.1 什么是信息安全
ISO17799中的描述:“Information is an aet which, like other important busine aets, has value to an organization and consequently needs to be suitably protected.”
“Information can exist in many forms.It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation.定义中强调信息:
是一种资产
同其它重要的商业资产一样 对组织具有价值 需要适当的保护
以各种形式存在:纸、电子、影片、交谈等
ISO17799中的描述:“Information security protects information from a wide range of threats in order to ensure busine continuity, minimize busine damage and maximize return on investments and busine opportunities.”
信息安全:
保护信息免受各方威胁 确保组织业务连续性
将信息不安全带来的损失降低到最小 获得最大的投资回报和商业机会
1.2.2信息安全的发展过程
20世纪初:强调保密性(密码学)
20世纪60年代:保密性、完整性、可用性(CIA)
20世纪80年代:保密性、完整性、可用性、抗抵赖、可控性、真实性
1.2.3信息安全的基本目标
保密性(Confidentiality):确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。
完整性(Integrity):确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。可用性(Availability):确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
1.2.4如何实现信息安全
物理安全技术:环境安全、设备安全、媒体安全; 系统安全技术:操作系统及数据库系统的安全性;
网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫描评估; 应用安全技术:Email 安全、Web 访问安全、内容过滤、应用系统安全; 数据加密技术:硬件和软件加密,实现身份认证和数据信息的CIA 特性; 认证授权技术:口令认证、SSO 认证(例如Kerberos)、证书认证等; 访问控制技术:防火墙、访问控制列表等; 审计跟踪技术:入侵检测、日志审计、辨析取证; 防病毒技术:单机防病毒技术逐渐发展成整体防病毒体系; 灾难恢复和备份技术:业务连续性技术,前提就是对数据的备份。
1.2.5信息安全需要遵循的模式
在信息安全管理方面,BS7799 标准为我们提供了指导性建议,即基于PDCA(Plan、Do、Check 和Act,即戴明环)的持续改进的管理模式。
1.3 BS7799概述
1.3.1 BS 7799
(一)BS 7799简介
BS 7799是英国标准协会(British Standards Institute,BSI)制定的信息安全标准,由信息安全方面的最佳惯例组成的一套全面的控制集,是信息安全管理方面最受推崇的国际标准。
BS7799和ISO17799的区别: BS7799:
英国标准
已被多个国家认同(如澳大利亚等) 第二部分是可认证标准
2002年新修订了第2部分。新版本风格接近ISO9000和ISO14000。ISO17799 2000年采纳了BS7799的第一部分 第二部分还在讨论中
(二)BS 7799的历史沿革
1990年代初 —— 英国贸工部(DTI)成立工作组,立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。
1993年9月 —— 颁布《信息安全管理实施细则》,形成BS 7799的基础。1995年2月 —— 首次出版BS 7799-1:1995《信息安全管理实施细则》。1998年2月 —— 英国公布BS 7799-2:《信息安全管理体系规范》。1999年4月 —— BS 7799-1与BS 7799-2修订后重新发布。
2000年12月 —— 国际标准组织 ISO/IEC JTC 1/SC27工作组认可通过BS 7799-1,颁布ISO/IEC 17799-1:2000《信息技术——信息安全管理实施细则》。
2002年9月 —— BSI对BS 7799-2进行了改版,用来替代原标准(BS 7799-2:1999)使用,并可望通过ISO组织认可。
ISO27001:2005 ——建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。
1.3.2 ISO 17799
图:ISO 17799:2005内容框架
(一)信息安全管理细则
• 信息安全策略 • 安全组织 • 资产分类和控制 • 人员安全 • 物理和环境安全 • 通信和操作管理 • 访问控制
• 系统获得、开发和维护 • 信息安全事件管理 • 业务连续性管理 • 依从性
(二)信息安全策略
目标:
• 信息安全策略——为信息安全提供与业务需求和法律法规相一致的管理指示及支持
安全策略应该做到: •
对信息安全加以定义 •
陈述管理层的意图 •
分派责任
约定信息安全管理的范围
对特定的原则、标准和遵守要求进行说明 •
对报告可疑安全事件的过程进行说明 •
定义用以维护策略的复查过程
(三)安全组织
目标:
信息安全基础设施——在组织内部管理信息安全
外部组织——保持组织的被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全 包含的内容:
建立管理委员会,定义安全管理的角色和责任 •
对软硬件的采购建立授权过程
• 与第三方签订的协议中应覆盖所有相关的安全要求。•
外包合同中的安全需求 • 包括内部组织和外部伙伴
(四)资产管理
目标:
• 资产责任——实现并保持组织资产的适当保护 • 信息分类——确保对信息资产的保护达到恰当的水平
包含的内容:
组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产。•
按照信息资产所属系统或所在部门列出资产清单。
所有的信息资产都应该具有指定的属主并且可以被追溯责任。•
信息应该被分类,以标明其需求、优先级和保护程度。
根据组织采用的分类方案,为信息标注和处理定义一套合适的程序。
(五)人力资源安全 目标:
雇佣前——确保员工、合同访和第三方用户了解他们的责任并适合于他们所考虑的角色,减少盗窃、滥用或设施误用的风险。
雇佣中——确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务,并在他们的日常工作中支持组织的信息安全方针,减少人为错误的风险。
解聘和变更——确保员工、合同方和第三方用户离开组织或变更雇佣关系时以一种有序的方式进行。
包含的内容:
故意或者无意的人为活动可能给数据和系统造成风险 •
在正式的工作描述中建立安全责任,员工入职审查
(六)物理和环境安全
目标:
安全区域——防止非授权访问、破坏和干扰业务运行的前提条件及信息。
设备安全——预防资产的丢失、损坏或被盗,以及对组织业务活动的干扰。 包含的内容:
应该建立带有物理入口控制的安全区域 •
应该配备物理保护的硬件设备 •
应该防止网络电缆被塔线窃听
将设备搬离场所,或者准备报废时,应考虑其安全
(七)通信和操作管理
目标:
操作程序和责任——确保信息处理设施的正确和安全操作。•
第三方服务交付管理——实施并保持信息安全的适当水平,确保第三方交付的服务符合协议要求。
系统规划与验收——减少系统失效带来的风险。•
防范恶意代码和移动代码——保护软件和信息的完整性。•
备份——保持信息和信息处理设施的完整性和可用性
网络安全管理——确保对网络中信息和支持性基础设施的安全保护。•
介质处理和安全——防止对资产的未授权泄漏、修改、移动或损坏,及对业务活动的干扰。
信息和软件的交换——应保持组织内部或组织与外部组织之间交换信息和软件的安全。
电子商务服务 ——确保电子商务的安全及他们的安全使用。• 监督——检测未经授权的信息处理活动。
包含的内容:
防病毒,防恶意软件 •
进行变更控制
做好备份,存储介质的安全处理,保存正确的访问日志,系统文件的安全性
电子邮件安全性 •
保护传输中的数据
(八)访问控制
目标:
访问控制的业务需求——控制对信息的访问。
用户访问管理——确保授权用户的访问,并预防信息系统的非授权访问。
用户责任——预防未授权用户的访问,信息和信息处理设施的破坏或被盗。
网络访问控制——防止对网络服务未经授权的访问。•
操作系统访问控制——防止对操作系统的未授权访问。•
应用访问控制——防止对应用系统中信息的未授权访问。•
移动计算和远程工作——确保在使用移动计算和远程工作设施时信息的安全。 包含的内容: •
口令的正确使用 •
对终端的物理访问 •
自动终止时间 •
软件监视等
(九)系统获得、开发与维护
目标: •
系统的安全需求——确保安全内建于信息系统中。
应用系统的安全——防止应用系统信息的错误、丢失、未授权的修改或误用。
加密控制——通过加密手段来保护细腻的保密性、真实性或完整性。•
系统文件的安全——确保系统文档的安全。
开发和支持过程的安全——保持应用系统软件和信息的安全。• 技术漏洞管理——减少由利用公开的技术漏洞带来的风险。
包含的内容:
在系统设计时应该考虑输入数据校验、数据加密、数据文件的安全性、测试数据的保护
软件开发和维护中应该建立配置管理、变更控制等机制
(十)信息安全事件管理
目标:
• 报告信息安全事件和弱点——确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施。
• 信息安全事故的管理和改进——确保使用持续有效的方法管理信息安全事故。 包含的内容:
• 正常的事件报告和分类程序,这类程序用来报告可能对机构的财产安全造成影响的不同种类的事件和弱点
• 所有的员工、合同方和第三方用户都应该知晓这套报告程序。• 要求员工需要尽可能快地将信息安全事件和弱点报告给指定的联系方。
(十一)业务连续性管理
目标:
• 业务连续性管理的信息安全方面——:防止业务活动的中断,保护关键业务流程不会受信息系统重大失效或自然灾害的影响,并确保他们的及时恢复。 包含的内容:
全面理解业务连续性计划(BCP)
理解组织面临的风险,识别关键业务活动和优先次序。•
确认可能对业务造成影响的中断。•
应该设计、实施、测试和维护BCP
(十二)符合性
目标:
• 与法律法规要求的符合性——避免违反法律、法规、规章、合同要求和其他的安全要求。
• 符合安全方针、标准,技术符合性——确保系统符合组织安全方针和标准。
• 信息系统审核的考虑因素——最大化信息系统审核的有效性,最小化来自/对信息系统审核的影响。 包含的内容:
组织应该确保遵守相关的法律法规和合同义务 •
软件版权,知识产权等
1.3.3 安全管理体系规范
(一)BS7799-2简介
BS 7799标准对信息安全管理体系(ISMS)并没有一个明确的定义,可以将其理解为组织管理体系的一部分。
ISMS涉及到的内容:用于组织信息资产风险管理、确保组织信息安全的、包括为制定、实施、评审和维护信息安全策略所需的组织机构、目标、职责、程序、过程和资源。标准要求的ISMS建立过程:制定信息安全策略,确定体系范围,明确管理职责,通过风险评估确定控制目标和控制方式。
体系一旦建立,组织应该按规定要求进行运作,保持体系的有效性。
ISMS应形成一定的文档,包括策略、适用性声明文件和实施安全控制所需的程序文件。一个文档化的ISMS应该阐述:要保护的资产,组织进行风险管理的途径,控制目标和控制方式,需要的保障程度。
(二)ISMS的作用
强化员工的信息安全意识,规范组织信息安全行为; 对组织的关键信息资产进行全面系统的保护,维持竞争优势; 在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
使组织的生意伙伴和客户对组织充满信心,如果通过体系认证,表明体系符合标准,证明组织有能力保障重要信息,提高组织的知名度与信任度; 促使管理层坚持贯彻信息安全保障体系。
(三)ISO 27001定义的信息安全管理体系
1.3.4 ISMS管理框架
建立ISMS管理框架的过程:
ISMS是一个文档化的体系。文档架构如下图所示:
第一级 :方针策略,《信息安全管理手册》是xx信息安全管理工作的纲领性文件。第二级 :管理规定、规范、程序文件用来规定所要求的管理制度或技术控制措施。第三级 :管理办法和实施细则解释特殊工作和活动的细节。
第四级 :记录活动实行以符合等级1,2,和3的文件要求的客观证据,阐明所取得的结果或提供完成活动的证据
ISMS文件体系逻辑框架图:
第2章 网络安全防护实施标准
2.1 电信网和互联网安全防护管理指南
1.范围
本标准对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。同时,对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。
本标准适用于电信网和互联网的安全防护工作。
本标准涉及的电信网和互联网不包括专用网,仅指公众电信网和公众互联网。2.规范性引用文件
下列文件中的条款通过本标准的引用而成为指导性技术文件的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8-2001 信息技术 词汇 第 8 部分:安全 3.术语和定义
GB/T 5271.8-2001确立的术语和定义,以及下列术语和定义适用于本标准。3.1 电信网 telecom network 利用有线和/或无线的电磁、光电系统,进行文字、声音、数据、图象或其它任何媒体的信息传递的网络,包括固定通信网、移动通信网等。
3.2 互联网 Internet 泛指广域网、局域网及终端(包括计算机、手机等)通过交换机、路由器、网络接入设备等基于一定的通讯协议连接形成的,功能和逻辑上的大型网络。3.3 电信网和互联网安全防护体系 security protection architecture of telecom network and Internet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合,共同构成了电信网和互联网安全防护体系。
3.4 电信网和互联网安全等级 security claification of telecom network and Internet 电信网和互联网及相关系统重要程度的表征。重要程度从电信网和互联网及相关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
3.5 电信网和互联网安全等级保护 claified security protection of telecom network and Internet 指对电信网和互联网及相关系统分等级实施安全保护。
3.6 电信网和互联网安全风险 security risk of telecom network and Internet 人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成的影响。
3.7 电信网和互联网安全风险评估 security risk aement of telecom network and Internet 指运用科学的方法和手段,系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施,防范和化解电信网和互联网及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障电信网和互联网及相关系统的安全提供科学依据。
3.8 电信网和互联网灾难 disaster of telecom network andInternet 由于各种原因,造成电信网和互联网及相关系统故障或瘫痪,使电信网和互联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。
3.9 电信网和互联网灾难备份 backup for disaster recovery of telecom network and Internet 为了电信网和互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。3.10 电信网和互联网灾难恢复 disaster recovery of telecom network and Internet 为了将电信网和互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。
4.目标和原则
电信网和互联网安全防护工作的目标就是要加强电信网和互联网的安全防护能力,确保网络的安全性和可靠性,尽可能实现对电信网和互联网安全状况的实时掌控,保证电信网和互联网能够完成其使命。为了实现该目标,网络和业务运营商、设备制造商要充分考虑电信网和互联网不同等级的安全要求,从环境因素以及人为因素分析电信网和互联网面临的威胁,从技术和管理两个方面分析电信网和互联网存在的脆弱性,充分考虑现有安全措施,分析电信网和互联网现存风险,平衡效益与成本,制定灾难备份及恢复计划,将电信网和互联网的安全控制在可接受的水平。
电信网和互联网安全防护工作要在适度安全原则的指导下,采用自主保护和重点保护方法,在安全防护工作安排部署过程中遵循标准性、可控性、完备性、最小影响和保密原则,实现同步建设、统筹兼顾、经济实用和循序渐进地进行安全防护工作。
—— 适度安全原则:安全防护工作的根本性原则。安全防护工作应根据电信网和互联网的安全等级,平衡效益与成本,采取适度的安全技术和管理措施。
—— 标准性原则:安全防护工作开展的指导性原则。指电信网和互联网安全防护工作的开展应遵循相关的国家或行业标准。—— 可控性原则:指电信网和互联网安全防护工作的可控性,包括:
人员可控性:相关的安全防护工作人员应具备可靠的政治素质、职业素质和专业素质。
相关安全防护工作的检测机构应具有主管部门授权的电信网和互联网安全防护检测服务资质。
工具可控性:要充分了解安全防护工作中所使用的技术工具,并进行一些实验,确保这些技术工具能被正确地使用。
项目过程可控性:要对整个安全防护项目进行科学的项目管理,实现项目过程的可控性。
—— 完备性原则:安全防护工作要覆盖电信网和互联网的安全范围。
—— 最小影响原则:从项目管理层面和技术管理层面,将安全防护工作对电信网和互联网正常运行的可能影响降低到最低限度。
—— 保密性原则:相关安全防护工作人员应签署协议,承诺对所进行的安全防护工作保密,确保不泄露电信网和互联网及安全防护工作的重要和敏感信息。
5.安全防护体系
电信网和互联网安全防护范畴包括基础电信运营企业运营的传输、承载各类电信业务的公共电信网(含公共互联网)及其组成部分,支撑和管理公共电信网及电信业务的业务单元和控制单元,以及企业办公系统(含文件管理系统、员工邮件系统、决策支持系统、人事管理系统等)、客服呼叫中心、企业门户网站等非核心生产单元。此外,电信网络安全防护工作的范围还包括经营性互联网信息服务单位、移动信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。
根据电信网和互联网安全防护范畴,建立的电信网和互联网安全防护体系如图1所示。整个体系分为三层,第一层为整个安全防护体系的总体指导性规范,明确了对电信网和互联网安全防护的定义、目标、原则,并说明了安全防护体系的组成。
第二层从宏观的角度明确了如何进行安全防护工作,规范了安全防护体系中安全等级保护、安全风险评估、灾难备份及恢复三部分工作的原则、流程、方法、步骤等。
第三层具体规定了电信网和互联网安全防护工作的要求,即安全防护要求和安全防护检测要求。根据电信网和互联网全程全网的特点,电信网和互联网的安全防护工作可从固定通信网、移动通信网、互联网、增值业务网、非核心生产单元来开展。其中,互联网包括经营性互联网信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。增值业务网包括消息网、智能网等业务平台以及业务管理平台。
对固定通信网、移动通信网、互联网实施安全防护,应分别从构成上述网络的不同电信网和互联网相关系统入手。电信网和互联网相关系统包括接入网、传送网、IP承载网、信令网、同步网、支撑网等。其中,接入网包括各种有线、无线和卫星接入网等,传送网包括光缆、波分、SDH、卫星等,而支撑网则包括业务支撑和网管系统。
安全防护要求明确了电信网和互联网及相关系统需要落实的安全管理和技术措施,涵盖了安全等级保护、安全风险评估、灾难备份及恢复等三部分内容,其中安全等级保护工作需要落实的物理环境和管理的安全等级保护要求被单独提出作为电信网和互联网及相关系统的通用安全等级保护要求。
安全防护检测要求与安全防护要求相对应,提供了对电信网和互联网安全防护工作进行检测的方法,从而确认网络和业务运营商、设备制造商在安全防护工作实施过程中是否满足了相关安全防护要求。
随着电信网和互联网的发展,随着安全防护体系的进一步完善,第三层的内容将进一步补充完善。
6.安全等级保护
电信网和互联网安全等级保护工作贯穿于电信网和互联网生命周期的各个阶段,是一个不断循环和不断提高的过程。首先,根据电信网和互联网及相关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害程度来确定安全等级;通过进一步分析电信网和互联网及相关系统的安全保护现状与安全等级保护要求之间的差距,确定安全需求,设计合理的、满足安全等级保护要求的总体安全方案,制定出安全建设规划;并进一步将其落实到电信网和互联网及相关系统中,形成安全技术和管理体系;在电信网和互联网安全运维阶段,根据安全等级保护的需要对安全技术和管理体系不断调整和持续改进,确保电信网和互联网及相关系统满足相应等级的安全要求; 在安全资产终止阶段对信息、设备、介质进行终止处理时,防止敏感信息的泄露,保障电信网和互联网及相关系统的安全。安全等级保护工作的实施过程如图2所示。
7.安全风险评估
电信网和互联网安全风险评估应贯穿于电信网和互联网生命周期的各阶段中,在生命周期不同阶段的风险评估原则和方法是一致的。在电信网和互联网的安全风险评估工作中,应首先进行相关工作的准备,通过安全风险分析计算电信网和互联网及相关系统的风险值,进而确定其风险等级和风险防范措施。安全风险分析中要涉及资产、威胁、脆弱性等基本要素,每个要素有各自的属性。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;而脆弱性的属性是资产弱点的严重程度等。安全风险评估的实施流程如图3所示。
8.灾难备份及恢复
电信网和互联网灾难备份及恢复工作利用技术、管理手段以及相关资源,确保已有的电信网和互联网在灾难发生后,在确定的时间内可以恢复和继续运行。灾难备份及恢复工作需要防范包括地震、水灾等自然灾难以及火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件。如图4所示,灾难备份及恢复工作应根据安全等级保护确定的安全等级以及安全风险分析的相关结果进行需求分析,制定、实现相应的灾难备份及恢复策略,并构建灾难恢复预案,这是一个循环改进的过程。
针对电信网和互联网的不同网络、不同重要级别的业务,灾难备份及恢复所要达到的目标是不同的。例如,在电信网和互联网中,对于普通话音业务,可以要求网络和业务运营商通过灾难备份及恢复工作,保证在灾难发生后单一地区的灾难不影响灾难发生地理范围以外地区的话音业务,并且发生灾难的地区的话音业务能够通过有效灾难恢复计划的实施,在一定时间范围(指标应与灾难级别对应)内恢复通信。
9.安全等级保护、安全风险评估、灾难备份及恢复三者之间的关系
电信网和互联网安全防护体系中的安全等级保护、安全风险评估、灾难备份及恢复三者之间密切相关、互相渗透、互为补充。电信网和互联网安全防护应将安全等级保护、安全风险评估、灾难备份及恢复工作有机结合,加强相关工作之间的整合和衔接,保证电信网络安全防护工作的整体性、统一性和协调性。电信网络安全防护工作应按照根据被保护对象的重要性进行分等级保护的思想,通过安全风险评估的方法正确认识被保护对象存在的脆弱性和面临的威胁,进而制定、落实和改进与安全保护等级和风险大小相适应的一系列管理、技术、灾难备份等安全等级保护措施,最终达到提高电信网络安全保护能力和水平的目的。
在开展安全等级保护工作时,要充分应用安全风险评估的方法,认识、分析不同类型的网络和业务存在的脆弱性和面临的威胁,进而制定和落实与被保护对象的类型、脆弱性和威胁相适应的基本安全保护措施要求,提高安全等级保护工作的针对性和适用性。在开展安全风险评估工作时,在分析被保护对象综合风险和制定改进方案的过程中,要始终与被保护对象的安全保护等级相结合,合理确定被评估对象的可接受风险和制定确实必要的整改措施,避免无限度的改进提高。在开展灾难备份及恢复工作时,要结合被备份对象的安全保护等级和面临的威胁,制定相适应的备份措施,并将有关备份的要求体现在安全等级保护的要求中进行落实。
电信网和互联网安全等级保护、安全风险评估和灾难备份及恢复工作应随着电信网和互联网的发展变化而动态调整,适应国家对电信网和互联网的安全要求。2.2 电信网和互联网安全等级保护实施指南 1 范围
本标准规定了电信网和互联网安全等级保护的概念、对象、目标,安全等级划分和定级方法,安全等级保护实施过程中的基本原则,并结合电信网和互联网的生命周期定义了电信网和互联网安全等级保护工作的主要阶段及主要活动。本标准适用于电信网和互联网的安全等级保护工作。
本标准是电信网和互联网安全等级保护的总体指导性文件,针对具体网络的安全等级保护可参考具体网络的安全防护要求和安全防护检测要求。2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8-2001 信息技术 词汇 第8部分:安全 3 术语和定义
GB/T 5271.8-2001确立的术语和定义,以及下列术语和定义适用于本标准。3.1 电信网 telecomnetwork 利用有线和/或无线的电磁、光电系统,进行文字、声音、数据、图象或其它任何媒体的信息传递的网络,包括固定通信网、移动通信网等。3.2 电信网和互联网安全防护体系 security protection architecture of telecom network and Internet 电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合,共同构成了电信网和互联网安全防护体系。3.3 电信网和互联网相关系统 systems of telecom network and Internet 组成电信网和互联网的相关系统,包括接入网、传送网、IP承载网、信令网、同步网、支撑网等。其中,接入网包括各种有线、无线和卫星接入网等,传送网包括光缆、波分、SDH、卫星等,而支撑网包括业务支撑和网管系统。3.4 电信网和互联网安全等级 security claification of telecom network and Internet 电信网和互联网及相关系统安全重要程度的表征。重要程度可从电信网和互联网及相关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.5 电信网和互联网安全等级保护
claified security protection of telecom networkand Internet 指对电信网和互联网及相关系统分等级实施安全保护。3.6 电信网和互联网基本保护要求 basic protection requirements of telecom network and Internet 为确保电信网和互联网及相关系统具有与其安全等级相对应的安全保护能力应该满足的最低要求。3.7 电信网和互联网安全检测 security testing of telecom network and Internet 对电信网和互联网及相关系统的安全保护能力是否达到相应保护要求进行衡量。3.8 电信网和互联网安全风险 security risk of telecomnetwork and Internet 人为或自然的威胁可能利用电信网和互联网及相关系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.9 电信网和互联网安全风险评估 security risk aementof telecom network and Internet 指运用科学的方法和手段,系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱
性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施,防范和化解电信网和互联网及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障电信网和互联网及相关系统的安全提供科学依据。3.10 电信网和互联网灾难 disaster of telecom network and Internet 由于各种原因,造成电信网和互联网及相关系统故障或瘫痪,使电信网和互联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.11 电信网和互联网灾难备份 backup for disaster recovery of telecomnetwork andInternet 为了电信网和互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。3.12 电信网和互联网灾难恢复 disaster recovery of telecom network and Internet 为了将电信网和互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。安全等级保护概述 4.1 安全等级保护对象
电信网和互联网安全防护工作的范围包括网络和业务运营商运营的传输、承载各类电信业务的公众电信网(含公众互联网)及其组成部分,支撑和管理公众电信网及电信业务的业务单元和控制单元,以及企业办公系统(含文件管理系统、员工邮件系统、决策支持系统、人事管理系统等)、客服呼叫中心、企业门户网站等非核心生产单元。此外,电信网和互联网安全防护工作的范围还包括经营性互联网信息服务单位、移动信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。
根据电信网和互联网安全防护标准体系,安全等级保护对象包括固定通信网、移动通信网、互联网、增值业务网等业务网,接入网、传送网、IP承载网、信令网、同步网、支撑网等电信网和互联网相关系统以及非核心生产单元。其中,互联网包括经营性互联网信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统,增值业务网目前包括消息网、智能网等业务平台以及业务管理平台。随着安全防护标准体系进一步完善,标准体系还将包括针对增值业务提供商提供的其他增值业务系统的相关标准。
4.2 安全等级保护目标
安全等级保护的目标是通过对电信网和互联网及相关系统进行安全等级划分,按照本系列标准中的安全等级保护要求进行规划、设计、建设、运维等工作,加强电信网和互联网及相关系统的安全防护能力,确保其安全性和可靠性。
本系列标准对不同安全等级的电信网和互联网及相关系统提出不同的基本保护要求,这些基本保护要求是保障各等级电信网和互联网及相关系统安全的最基本要求。电信网和互联网及相关系统应能够满足其所属安全等级的基本保护要求。5 安全等级划分及定级方法 5.1 安全等级划分
在电信网和互联网及相关系统中进行安全等级划分的总体原则是:定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及网络和业务运营商的合法权益的损害程度。电信网和互联网及相关系统的安全等级划分如下: 第1级
定级对象受到破坏后,会对其网络和业务运营商的合法权益造成轻微损害,但不损害国家安全、社会秩序、经济运行和公共利益。
本级由网络和业务运营商依据国家和通信行业有关标准进行保护。第2级
定级对象受到破坏后,会对网络和业务运营商的合法权益产生严重损害,或者对社会秩序、经济运行和公共利益造成轻微损害,但不损害国家安全。
本级由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导。第3级
进一步划分为两个等级: 第3.1级
定级对象受到破坏后,会对网络和业务运营商的合法权益产生很严重损害,或者对社会秩序、经济运行和公共利益造成较大损害,或者对国家安全造成轻微损害。
本级由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行监督、检查。第3.2级
定级对象受到破坏后,会对网络和业务运营商的合法权益产生特别严重损害,或者对社会秩序、经济运行和公共利益造成严重损害,或者对国家安全造成较大损害。
本级由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行重点监督、检查。第4级
定级对象受到破坏后,会对社会秩序、经济运行和公共利益造成特别严重损害,或者对国家安全造成严重损害。本级由网络和业务运营商依据国家和通信行业有关标准以及业务的特殊安全要求进行保护,主管部门对其安全等级保护工作进行强制监督、检查。第5级
定级对象受到破坏后,会对国家安全造成特别严重损害。
本级由网络和业务运营商依据国家和通信行业有关标准以及业务的特殊安全需求进行保护,主管部门对其安全等级保护工作进行专门监督、检查。5.2 定级方法
确定定级对象的安全等级应根据如下三个相互独立的定级要素: a)社会影响力
定级对象的社会影响力表示其受到破坏后对国家安全、社会秩序、经济运行和公共利益的损害程度,定级对象的社会影响力赋值原则如表1所示。
损害国家安全的事项包括(不限于)如下方面: 影响国家政权稳固和国防实力; 影响国家统一、民族团结和社会安定; 影响国家对外活动中的政治、经济利益; 影响国家重要的安全保卫工作; 影响国家经济竞争力和科技实力等。损害社会秩序的事项包括(不限于)如下方面: 影响国家机关社会管理和公共服务的工作秩序; 影响各种类型的经济活动秩序; 影响各行业的科研、生产秩序;
影响公众在法律约束和道德规范下的正常生活秩序等。损害经济运行的事项包括(不限于)如下方面:
直接或间接导致国家经济活动主体的经济损失等。 损害公共利益的事项包括(不限于)如下方面: 影响社会成员使用公共设施; 影响社会成员获取公开信息资源; 影响社会成员接受公共服务等。
对此定级要素进行赋值时,应先确定对国家安全的损害程度,再确定对社会秩序、经济运行和公共利益的损害程度。定级对象的社会影响力赋值应是对国家安全、社会秩序、经济运行和公共利益的损害程度最严重者。b)规模和服务范围
定级对象的规模表示其服务的用户数多少,服务范围表示其服务的地区范围大小,定级对象的规模和服务范围赋值如表2所示。
表2 电信网和互联网及相关系统的规模和服务范围赋值表
c)所提供服务的重要性
定级对象所提供服务的重要性表示其提供的服务被破坏后对网络和业务运营商的合法权益的影响程度,其重要性赋值如表3所示。
表3 定级对象所提供服务的重要性赋值表
此定级要素可通过定级对象所提供的服务本身的重要性来衡量,如业务的经济价值,业务重要性,对企业自身形象的影响等方面。
在确定好定级对象的社会影响力、规模和服务范围、所提供服务的重要性三个定级要素的赋值后,可采用附录A中安全等级的计算方法确定定级对象的安全等级。在确定某一个定级要素的赋值时,无需考虑其他两个定级要素。
安全等级确定可能不是一个过程就可以完成的,而是需要经过定级要素赋值、定级、定级结果调整的循环过程,最终才能确定出较为科学、准确的安全等级。6 安全等级保护的实施过程 6.1 基本原则
电信网和互联网安全等级保护工作应首先满足电信网和互联网安全防护工作提出的适度安全原则、标准性原则、可控性原则、完备性原则、最小影响原则以及保密性原则。在此基础上,电信网和互联网安全等级保护工作在实施过程中还应重点遵循以下原则: a)自主保护原则
各网络和业务运营商应遵照本标准的定级方法确定其运营的电信网和互联网及相关系统的安全等级,并依据国家和通信行业相关标准对电信网和互联网及相关系统自主实施安全保护。b)同步建设原则
各网络和业务运营商在对电信网和互联网及相关系统进行新建、改建、扩建时,应当同步规划和设计其安全方案,投入一定比例的资金实施安全方案,保障电信网和互联网及相关系统与其所属安全等级的要求相适应。c)重点保护原则
各网络和业务运营商通过对电信网和互联网及相关系统划分不同的安全等级,根据基本保护要求实现不同程度的安全保护,集中资源优先保护关键的电信网和互联网及相关系统。d)适当调整原则
各网络和业务运营商跟踪电信网和互联网及相关系统的变化情况调整其安全等级,并根据安全等级的调整情况及时调整相应的安全保护措施。6.2 基本过程
虽然安全等级保护是一个不断循环和不断提高的过程,但是实施安全等级保护的一次完整过程是可以区分清楚的,包括五个主要阶段:安全等级确定、安全总体规划、安全设计与实施、安全运维、安全资产终止。如图 1 所示。安全等级保护的五个主要阶段及其主要活动为: a)安全等级确定阶段
安全等级确定阶段主要包括对电信网和互联网的识别和描述,定级对象的划分以及安全等级确定、评审和备案等几个主要安全活动。通过对电信网和互联网的识别和描述,划分并确定定级对象,根据本标准中的定级方法科学准确地确定各定级对象的安全等级,并对定级结果进行评审和备案。b)安全总体规划阶段
安全总体规划阶段主要包括安全需求分析、安全总体设计、安全建设规划等几个主要活动。网络和业务运营商通过安全需求分析判断网络安全保护现状与安全要求之间的差距,确定初步的安全需求,通过风险评估确定额外的安全需求;然后根据网络的实际情况,设计出合理的、满足安全等级保护要求的安全总体方案,并制定出安全建设的方案,以指导后续的网络安全建设工程实施。c)安全设计与实施阶段
安全设计与实施阶段主要包括安全方案详细设计、安全详细设计方案的实施、安全检测等几个主要活动。网络和业务运营商通过安全方案详细设计,将安全总体规划阶段的安全总体方案和安全建设方案具体落实到网络中,最终提交满足安全需求的网络、以及配套的安全技术和管理体系。网络和业务运营商应在网络实际运行之前对其安全等级保护工作的实施情况进行安全检测,确保其达到安全防护要求。d)安全运维阶段 安全运维阶段需要进行的安全控制活动很多,本标准描述一些重要的安全控制活动。网络和业务运营商通过运行管理和控制、变更管理和控制、安全状态监控,对发生的安全事件及时响应,确保电信网和互联网及相关系统正常运行;通过安全检查和持续改进不断跟踪电信网和互联网及相关系统的变化,并依据变化调整其安全等级和安全措施;通过安全检测,确保电信网和互联网及相关系统满足相应安全等级的要求。e)安全资产终止阶段
安全资产终止阶段主要包括对电信网和互联网及相关系统中的信息转移、暂存或清除,设备迁移或废弃,存储介质的清除或销毁,安全检测等主要活动。核心关注点是对电信网和互联网及相关系统中过时或无用部分进行报废处理的过程,防止敏感信息泄漏。
在安全运维阶段,当电信网和互联网及相关系统发生局部调整时,如果不影响其安全等级,应从安全运维阶段进入安全设计与实施阶段,重新调整和实施安全措施,确保满足安全等级保护的要求;
当电信网和互联网及相关系统发生重大变更影响其安全等级时,应从安全运维阶段进入安全等级确定阶段,重新开始一次安全等级保护的实施过程。
6.3 安全等级保护工作与电信网和互联网及相关系统生命周期的关系
电信网和互联网及相关系统的生命周期包括五个阶段,即启动阶段、设计阶段、实施阶段、运维阶段和废弃阶段。电信网和互联网及相关系统的安全等级保护工作将贯穿其生命周期的各个阶段。安全等级保护工作可分为:对新建电信网和互联网及相关系统的安全等级保护和对已建电信网和互联网及相关系统的安全等级保护,两者在电信网和互联网及相关系统生命周期中的切入点是不同的,但是安全等级保护工作的主要活动基本相同,其安全等级保护过程与电信网和互联网及相关系统生命周期的关系如图2所示。
图2 安全等级保护过程与电信网和互联网及相关系统生命周期的关系
新建的电信网和互联网及相关系统在生命周期中的各个阶段应同步考虑安全等级保护的主要活动。在启动阶段,应该仔细分析和合理划分各个电信网和互联网,确定各个定级对象的安全等级,定级过程也可能在设计阶段;在设计阶段,应根据各个定级对象的安全等级,进行安全总体规划;在实施阶段,应在网络建设的同时,同步进行安全措施的设计与实施;在运维阶段,应按照本系列标准中安全等级保护的要求进行安全运维;在废弃阶段,应对废弃的信息、设备或存储介质等资产进行有效的安全管理。
已建的电信网和互联网及相关系统通常处于运维阶段,由于在启动阶段、设计阶段和实施阶段可能没有同步考虑安全等级保护的要求或者对安全等级保护的要求考虑不足,因此应在运维阶段启动安全等级保护工作,安全等级保护过程中的安全等级确定、安全总体规划、安全设计与实施的主要活动都将在生命周期的运维阶段完成。由于是已经存在的电信网和互联网及相关系统,工作的重点是在现有网络的基础上,根据安全等级保护要求,在安全总体规划阶段如何制定满足要求的补充的安全建设方案,在安全设计与实施阶段如何保证在不影响现有业务/应用的情况下,分步骤分阶段分目标地使各类安全补救措施可以顺利落实。在已建的电信网和互联网及相关系统基础上进行扩容的安全等级保护工作,扩容部分应与新建的电信网和互联网及相关系统的安全等级保护过程一致。7 安全等级确定阶段
7.1 安全等级确定阶段的主要活动 安全等级确定阶段的主要活动如图3所示。
7.2 电信网和互联网的识别和描述
活动输入:电信网和互联网的技术文档、管理文档 活动输出:电信网和互联网的总体描述文件 活动描述:
网络和业务运营商对电信网和互联网的识别和描述过程主要包括以下活动内容: a)识别电信网和互联网的基本信息
调查了解电信网和互联网的企业特征、业务范围、地理位置以及其它基本情况。b)识别电信网和互联网的管理信息
了解电信网和互联网的组织管理结构及其主要职能、岗位职责等内容,获得支持网络运营的管理特征和管理框架方面的信息。c)识别电信网和互联网的技术信息
了解电信网和互联网的物理环境、网络拓扑结构、硬件设备的部署情况、业务/应用范围、网络处理和传送的信息资产、服务范围和用户类型等信息,明确网络边界。d)描述电信网和互联网
对收集的电信网和互联网的基本信息、管理信息和技术信息等方面的内容进行整理、分析,形成对电信网和互联网进行总体描述的文件。7.3 定级对象的划分
活动输入:电信网和互联网的总体描述文件 活动输出:定级对象的详细描述文件 活动描述:
定级对象的划分包括以下主要的活动: a)划分和确定定级对象
电信网和互联网根据所提供的业务划分成固定通信网、移动通信网、互联网、增值业务网-消息网、增值业务网-智能网等类型的业务网,业务网的底层支撑网络划分成接入网、传送网、IP承载网、信令网、同步网、支撑网等各类电信网和互联网相关系统。将电信网和互联网按照上述网络类型进行划分,并结合服务地域、责任主体等因素,进一步划分成各个定级对象。将非核心生产单元按照企业办公系统、客服呼叫中心、企业门户网站等类型进行划分,并根据管理级别进一步划分成各个定级对象。划分后的每个定级对象应属于同一种类型的网络/系统,并由单一的责任主体负责。
定级对象的划分情况如表4所示。B类定级对象是在A类定级对象的基础上进一步划分出的定级对象,网络和业务运营商可以根据具体网络情况选择A类定级对象或B类定级对象进行定级。
表4 电信网和互联网安全防护体系的定级对象划分
b)详细描述定级对象
划分并确定定级对象后,网络和业务运营商应准确描述划分出的定级对象,包括划分后的定级对象的个数,每个定级对象的涵盖范围、架构、边界、设备部署、业务/应用范围、处理或传送的信息资产类型、服务范围和用户类型等方面的内容,形成对定级对象的详细描述文件。
7.4 安全等级确定、评审和备案
活动输入:电信网和互联网的总体描述文件、定级对象的详细描述文件 活动输出:定级报告 活动描述:
包括以下主要活动内容: a)初步确定定级对象的安全等级
网络和业务运营商应根据本标准的定级方法,初步确定各个定级对象的安全等级。可采取两种方法确定某一定级对象的安全等级:一种方法是通过本标准的定级方法直接确定其安全等级,另一种方法是在构成此定级对象的B类定级对象的安全等级基础上,通过一定的算法(如取最高安全等级)得到此定级对象的安全等级。b)形成定级报告
网络和业务运营商对电信网和互联网的总体描述、定级对象的详细描述、安全等级确定结果等内容进行整理,针对各定级对象形成定级报告,若定级对象包含两个或两个以上的安全等级,需针对每一个安全等级分别形成定级报告。c)定级结果评审和备案
网络和业务运营商应根据要求,将定级结果上报评审并办理备案,填写备案信息登记表,并提交最终的定级报告。8 安全总体规划阶段 8.1 主要活动
网络和业务运营商在安全总体规划阶段的主要活动内容如图4所示。
8.2 安全需求分析
活动输入:详细描述文件、定级报告、电信网和互联网安全风险评估实施指南、安全防护要求
活动输出:电信网和互联网及相关系统的安全需求分析报告 活动描述:
安全需求分析包括以下主要活动内容: a)确定初步的安全需求
网络和业务运营商首先应确定具体进行安全等级保护工作的对象,包括整体对象(如机房、办公环境、网络等)和具体对象(如边界设备、网关设备、服务器设备、工作站、应用系统等);获得其技术和管理方面的信息,技术方面包括业务/应用、网络、设备、物理环境等信息,管理方面包括安全管理机构、安全管理制度、人员管理、网络建设和运维管理等信息。在此基础上,将安全等级保护对象对应的安全防护要求中安全等级保护管理和技术方面的安全指标作为依据,将安全等级保护对象的安全现状与指标进行逐一对比,通过观察现场、询问人员、查询资料、检查记录等方式进行安全管理方面的比较,通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术方面的比较,判断安全管理和技术的各个方面与等级保护要求中的基本安全要求之间的差距,给出初步的安全需求。b)制定额外的安全需求
在确定初步安全需求的基础上,参照《电信网和互联网安全风险评估实施指南》对安全等级保护对象进行安全风险评估,即通过分析安全等级保护对象中的重要资产的资产价值、存 在的脆弱性、面临的威胁、以及已经采取的安全措施,判断安全等级保护对象可能存在的安全风险,在初步安全需求的基础上,制定出额外的安全需求。
对于安全等级保护对象中的关键系统和数据,为确保在灾难发生后网络能够尽快恢复和继续运行,应制定出有效的灾难备份及恢复的额外需求。
在制定额外安全需求时,应明确国家及企业的安全目标,借鉴以往建设的类似或相关的电信网和互联网及相关系统的安全需求,并且确保安全需求与其它相关标准或规范对其的安全需求不发生冲突。
c)输出安全需求分析报告
总结安全指标对比结果和风险评估的结果,获得安全等级保护对象安全现状的汇总、与安全防护要求中安全等级保护要求的差距汇总和额外的安全需求的汇总,最终形成安全需求分析报告,报告中应包括安全管理状况和安全技术状况。8.3 安全总体设计
活动输入:详细描述文件、定级报告、安全需求分析报告、安全防护要求 活动输出:电信网和互联网及相关系统的安全总体方案 活动描述:
安全总体设计包括以下主要活动内容: a)设计各电信网和互联网及相关系统的安全措施
对一个大型、复杂电信网和互联网及相关系统的构成内容进行抽象处理,提取共性形成模型和要素,如服务器设备、构成网络的网络设备等;根据安全防护要求中的等级保护相关要求和安全需求分析报告,针对模型要素提出需要实现的安全措施,包括安全技术方面的措施和安全管理方面的措施,以指导安全等级保护工作的具体实现。b)设计结果文档化
最终将安全总体设计工作的结果文档化,形成满足其所属的安全等级要求的安全总体方案,安全总体方案中包括总体安全策略、技术措施和管理措施等。8.4 安全建设规划
活动输入:电信网和互联网及相关系统的安全总体方案 活动输出:电信网和互联网及相关系统的安全建设方案 活动描述:
安全建设规划包括以下主要活动内容: a)确定分阶段的安全建设目标、内容、方案
b)安全建设规划是依据电信网和互联网及相关系统安全总体方案、网络和业务运营商当前面临的机遇和挑战以及安全建设时间和经费投入状况,结合安全需求分析结果,同时考虑到网络和业务运营商的中长期发展规划,提出分阶段的安全建设目标、设计建设内容,形成安全建设方案,重点是形成近期可行的安全建设方案。安全建设方案中包括安全技术建设规划和安全管理建设规划。b)规划结果文档化
最终将安全建设规划的结果文档化,形成分阶段的安全建设方案,安全建设方案中包括总体安全建设规划、技术体系建设规划和管理体系建设规划等。9 安全设计与实施阶段 9.1 主要活动
网络和业务运营商按照安全总体方案的要求,结合安全建设方案,分期分步骤地对其运营的电信网和互联网及相关系统落实安全措施。安全设计与实施阶段的主要活动如图5所示。
9.2 安全方案详细设计
活动输入:电信网和互联网及相关系统的安全总体方案、安全建设方案、各类安全产品技术文档
活动输出:电信网和互联网及相关系统的安全详细设计方案 活动描述:
安全方案详细设计包括以下主要活动内容: a)安全等级保护实施内容设计
安全等级保护技术实施内容的设计是网络和业务运营商根据本期建设目标和建设内容,将安全总体方案和安全建设方案本阶段中的要求落实到产品功能或物理形态上,提出指定的产品或组件及其具体规范,明确安全产品的功能和性能要求设计,网络或设备的部署方案。安全等级保护管理实施内容的设计是网络和业务运营商根据当前安全管理和技术需要提出与安全总体方案中管理部分相适应的本期安全实施内容,以保证安全技术建设的同时,安全管理的同步建设。
安全管理设计的内容主要考虑:安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。b)设计结果文档化
将安全等级保护技术实施内容和安全等级保护管理实施内容的设计汇总,同时考虑工时和经费,最后形成安全详细设计方案,指导具体的安全实施。9.3 安全详细设计方案实施
活动输入:电信网和互联网及相关系统的安全详细设计方案
活动输出:电信网和互联网及相关系统的安全管理规章制度、验收报告 活动描述:
安全详细设计方案的具体实施包括以下主要活动内容: a)实施安全详细设计方案
在本期安全详细设计方案的指导下,进行安全等级保护管理实施和安全等级保护技术实施。安全等级保护管理实施主要是建立与电信网和互联网及相关系统安全技术和安全运行相适应的安全管理机制,包括建立配套的安全管理机构和人员,建立配套的安全管理制度和操作规程,进行人员的安全技能培训等,并且在安全实施过程中,对工程的质量、进度、文档和变更等方面的工作进行监管。
安全等级保护技术实施主要是保证按照安全详细设计方案实现各项安全技术措施,包括安全产品采购、安全控制开发、安全控制集成、测试与验收等主要活动环节。安全产品采购是按照安全详细设计方案中对于产品的具体指标要求进行产品采购,根据产品或产品组合实现的功能满足安全设计要求的情况来选购所需的安全产品;安全控制开发是对于一些不能通过采购现有安全产品来实现的安全措施和安全功能,通过专门的设计、开发来实现;安全控制集成依据安全详细设计方案,将安全产品、软件平台和开发的安全控制模块与各种应用综合、整合成为一个系统;最后通过测试与验收检验网络/系统是否严格按照安全详细设计方案进行建设,是否实现了设计的功能和性能,从而确保安全技术措施的有效性。b)实施结果文档化
在本期安全实施完成后,建成满足安全需求并通过测试验收的电信网和互联网及相关系统,提交验收报告,内容包括安全产品清单、验收过程及结果等;提交配套的安全管理规章制度。9.4 安全检测
活动输入:定级报告、安全管理规章制度、验收报告、安全防护要求、安全防护检测要求 活动输出:电信网和互联网及相关系统的安全检测报告 活动描述:
安全检测是依据本系列标准中的安全防护要求和安全防护检测要求,对电信网和互联网及相关系统的安全保护管理制度和技术措施的落实情况、以及安全现状的达标情况进行检查,判断其安全保护
措施是否符合相应安全等级的基本保护要求。
安全检测完成后,检测方应根据实际检测情况形成检测报告。10 安全运维阶段 10.1 主要活动
安全运维是确保电信网和互联网及相关系统正常运行的必要环节。安全运维阶段涉及的内容较多,本标准关注网络和业务运营商在安全运维阶段进行的运行管理和控制、变更管理和控制、安全状态监控、安全事件处置和应急预案、安全检查和持续改进等活动,重点描述各个活动的主要活动内容,网络和业务运营商可根据自身网络实际情况考虑对其它安全运维阶段的活动内容进行添加或删减。安全运维阶段的工作还包括对安全等级保护工作落实情况进行的安全检测。
安全运维阶段的主要活动内容如图 6 所示。
10.2 运行管理和控制
活动输入:电信网和互联网及相关系统的安全详细设计方案、安全组织机构表
活动输出:电信网和互联网及相关系统的运行管理人员角色和职责表、运行管理操作规程、操作过程 记录文件 活动描述:
运行管理和控制的目标是确保电信网和互联网及相关系统的安全运行,操作人员应实行正确和安全的操作,并且保证不断变化和种类繁多的运行管理活动得到控制。本标准中,安全运行管理和控制关注的方面主要是运行管理职责确定和运行管理过程控制。运行管理和控制包括以下主要活动内容: a)运行管理职责确定
运行管理职责确定是通过对运行管理活动相关的角色划分,并授予相应的管理权限,来确定安全运行管理的具体人员和职责; b)运行管理过程控制
运行管理过程控制是通过制定运行管理操作规程,确定运行管理人员的操作目的、操作内容、操作时间和地点、操作方法和流程等,并进行操作过程记录,确保对操作过程进行控制。安全等级越高的电信网和互联网及相关系统,需要控制的运行活动就越多。c)输出结果文档
通过运行管理的职责确定形成运行管理人员角色和职责表;通过对运行管理过程进行控制形成运行管理操作规程,以及操作过程记录文件。10.3 变更管理和控制
活动输入:电信网和互联网及相关系统的变更需求 活动输出:电信网和互联网及相关系统的变更报告 活动描述:
变更管理和控制的目标是确保在电信网和互联网及相关系统发生变化的时候,使用标准的方法和步骤尽快的实施变更。
运行管理和控制包括以下主要活动内容: a)变更需求和影响分析
通过对变更需求和变更影响的分析,制定变更方案。b)变更过程控制
确保变更实施过程受到控制,审核变更内容,对各项变化内容进行记录,保证变更对正在运行的电信网和互联网及相关系统的影响最小。c)输出结果文档
根据变更方案和变更实施过程的各项活动,形成变更报告。10.4 安全状态监控
活动输入:电信网和互联网及相关系统的安全详细设计方案、验收报告 活动输出:电信网和互联网及相关系统的安全状态分析报告 活动描述:
安全状态监控包括以下主要活动内容: a)确定监控对象和工具
不同安全等级的电信网和互联网及相关系统在安全状态监控方面要求采用的手段和监控的内容不同,所以应根据监控的必要性和可行性、监控的开销和成本等因素,确定监控对象,形成监控对象列表;根据监控对象的特点、监控管理的具体要求、监控工具的功能、性能特点等,选择合适的监控工具。b)监控对象状态
通过监控工具对监控对象的安全状态进行监控,收集来自监控对象的各类状态信息,可能包括网络流量、日志信息、安全报警和性能状况等,或者是来自外部环境的安全标准和法律法规的变更信息。c)监控状态分析和报告
对安全状态信息进行分析,及时发现安全事件或安全变更需求,并对其影响程度和范围进行分析,形成安全状态分析报告。10.5 安全事件处置和应急预案
活动输入:电信网和互联网及相关系统的安全状态分析报告、各类安全事件列表 活动输出:电信网和互联网及相关系统的各类应急预案、安全事件处置报告 活动描述:
安全事件处置和应急预案包括以下主要活动内容: a)安全事件分级
安全事件采取分级响应与处置的机制,网络和业务运营商应根据安全事件相关标准中规定的安全事件分级原则和划分结果,结合自身具体的实际情况,通过预测、评估和分析事件对电信网和互联网及相关系统的破坏程度,所造成后果严重程度,将安全事件进行等级划分。b)应急预案制定
针对安全事件等级,确定需制定应急预案的安全事件对象。针对不同等级、不同优先级的安全事件制定相应的应急预案程序,说明应急预案启动的条件,发生安全事件后要采取的流程和措施等,充分体现自主保护的原则,保障电信网和互联网及相关系统的持续运行。c)安全事件处置
根据安全状态分析报告分析可能的安全事件,如果明确为安全事件的,则需采取适当的方法进行处置,对安全事件的等级和影响程度等进行分析,确定是否启动应急预案。d)输出结果文档
对安全事件处置过程进行总结,形成安全事件处置报告,报告中包括安全事件的类型、等级和采取的措施等,并输出制定的应急预案。10.6 安全检查和持续改进
活动输入:电信网和互联网及相关系统的详细描述文件、变更报告,安全状态分析报告 活动输出:电信网和互联网及相关系统的安全检查报告、安全改进方案、验收报告 安全检查和持续改进包括以下主要活动内容: a)安全状态检查
在电信网和互联网及相关系统安全运维过程中,会发生电信网和互联网及相关系统变更、安全状态改变等情况,因此必须定期对电信网和互联网及相关系统进行安全检查。网络和业务运营商通过安全状态检查,为电信网和互联网及相关系统的持续改进过程提供依据和建议,确保电信网和互联网及相关系统的安全保护能力满足其相应等级的基本安全要求和自身特殊的安全需求。
安全检查可以采用定期的安全检测、自我检查等手段实现,本节描述自我检查过程。风险评估可以作为安全检查的一种手段。网络和业务运营商可通过询问、检查和测试等多种手段进行安全状况检查,记录各种检查活动的结果数据,分析安全措施的有效性、安全事件产生的可能性,并可根据检查结果提出对电信网和互联网及相关系统的改进需求和建议等。关于安全检测参见10.7节。b)改进方案制定和实施
根据安全检查结果对电信网和互联网及相关系统进行持续改进,确定安全改进的策略,分为如下几种情况:
1)如果涉及安全等级的变化,则应进入安全等级保护的一个新的循环过程; 2)如果安全等级不变
i.如果调整内容较多、涉及范围较大,则应对安全改进项目进行立项,重新开始安全设计 与实施过程;
ii.如果调整内容较小,则制定安全改进方案进行局部补充或局部调整,确定安全改进的工
作方法、工作内容、人员分工、时间计划、管理内容的调整和技术内容的调整等。然后进行安全改进方案的实施,并对改进后的电信网和互联网及相关系统进行验收。通过对电信网和互联网及相关系统进行持续改进,确保电信网和互联网及相关系统的安全保护能力满足相应等级安全要求和自身特殊的安全需求,确保安全等级保护工作的有效性。c)输出结果文档
对安全状态检查后,形成安全检查报告;制定安全改进方案,并根据验收结果形成验收报告。10.7 安全检测
活动输入:电信网和互联网及相关系统的定级报告、验收报告 活动输出:电信网和互联网及相关系统的安全检测报告 活动描述:
遵照安全等级保护相关标准对已经完成安全等级保护建设、并投入运行的电信网和互联网及相关系统进行安全检测,判断其安全保护措施是否符合相应安全等级的基本保护要求。具体活动过程参见9.4节。11 安全资产终止阶段 11.1 主要活动
安全资产终止是指电信网和互联网及相关系统中部分设备或者信息由于技术改进或业务升级等原因需要转移、终止或废弃,此时应将网络/系统中的重要信息转移到新的网络/系统中,并且进行相关的设备迁移或介质销毁等工作,从而确保网络和业务运营商的网络、重要信息、为用户提供服务的安全。
本标准在安全资产终止阶段关注网络和业务运营商对信息转移、暂存和清除、设备迁移或废弃、存储介质的清除或销毁等活动,重点描述各个活动的主要内容,网络和业务运营商可根据网络的实际情况考虑对安全资产终止阶段具体活动内容进行添加或删减。安全资产终止阶段的工作还包括对安全等级保护工作落实情况进行的安全检测。安全资产终止阶段的主要活动如图7所示。
11.2 信息转移、暂存或清除
活动输入:电信网和互联网及相关系统的信息资产清单
活动输出:电信网和互联网及相关系统的信息转移、暂存和清除处理报告 活动描述:
信息转移、暂存或清除包括以下主要活动内容: a)识别要转移、暂存和清除的信息资产
在安全资产终止处理过程中,对于可能会在另外的电信网和互联网及相关系统中使用的信息,应采取适当的方法将其安全地转移或暂存到可以恢复的介质中,确保将来可以继续使用,同时采用安全的方法清除要终止的电信网和互联网及相关系统中的信息。
网络和业务运营商应根据要终止的电信网和互联网及相关系统的信息资产清单,对其当前状态进行分析,列出需转移、暂存和清除的信息资产的清单。b)信息资产转移、暂存和清除
网络和业务运营商应根据信息资产的重要程度制定信息资产的转移、暂存和清除的处理方案,包括处理方法和过程等。处理方案应该经过审查和批准。审批通过后,根据处理方案对信息资产进行转移、暂存和清除。c)处理过程记录
网络和业务运营商应记录信息转移、暂存和清除的过程,包括参与的人员、转移、暂存和清除的方式以及目前信息所处的位置等,输出信息转移、暂存和清除处理报告。11.3 设备迁移或废弃
活动输入:电信网和互联网及相关系统的设备清单
活动输出:电信网和互联网及相关系统的设备迁移或废弃处理报告 活动描述:
设备迁移或废弃包括以下主要活动内容: a)硬件设备识别
网络和业务运营商应根据要终止的电信网和互联网及相关系统的设备清单,对设备当前状态进行分析,列出需迁移或废弃的设备清单。b)硬件设备处理
网络和业务运营商应根据规定和实际情况制定设备处理方案,包括重用设备、废弃设备、敏感信息的清除方法等。设备处理方案应该经过审查和批准。审批通过后,根据设备处理方案对设备进行处理,确保迁移或废弃的设备内不包括敏感信息,对设备的处理方式应符合国家和行业相关部门的要求。d)设备处理过程记录
网络和业务运营商应记录设备处理过程,包括参与的人员、处理的方式、是否有残余信息的
