网络安全-网络安全架构与维护规范.docx

网络安全网络安全架构与维护规范目录第1章通信网络与信息安全法律法规41.1 中华人民共和国工业和信息化部11号令41.2 中华人民共和国工业和信息化部24令8第2章网络安全防护实施标准122.1 电信网和互联网安全防护管理指南122.2 电信网和互联网安全等级保护实施指南202.3 电信网和互联网安全风险评估实施指南472.4 电信网和互联网安全等级保护实施指南72第3章网络安全架构873.1 概述873.1.1 基本原则873.1.2 适应范围873.1.3 安全策略体系架构及目标873.2 组织与人员883.2.1 组织机构883.2.2 人员管理883.3 网络建设与开发893.3.1 设计、建设和验收893.3.2 系统的安全要求893.3.3 开发和支持过程中的安全893.3.4 系统文件的安全893.3.5 安全培训893.3.6 系统验收903.3.7 设备安全准入90第4章安全维护规范914.1 安全域划分及边界整合914.1.1 安全域划分与边界整合914.1.2 定级备案914.1.3 安全域职责分工914.1.4 网络接入914.2 安全管理规范914.2.1 安全操作流程和职责913.2.2 安全对象管理924.2.3 安全日常维护管理924.2.4 第三方服务管理934.2.5 介质安全管理934.2.6 设备安全规范管理934.3 访问控制944.3.1 网络访问控制944.3.2 操作系统的访问控制954.3.3 应用访问控制954.3.4 网络访问与使用的监控954.3.5 远程访问控制964.4 网络与系统分先评估964.5 安全事件与应急响应964.5.1 安全事件报告机制964.5.2 应急响应974.6 安全审计管理974.6.1 审计内容要求974.6.2 审计原则984.6.3 审计管理98第1章通信网络与信息安全法律法规1.1中华人民共和国工业和信息化部11号令通信网络安全防护管理办法已经 2009 年 12 月 29 日中华人民共和国工业和信息化部第 8 次部务会议审议通过，现予公布，自 2010 年 3 月 1 日起施行。部长李毅中二一年一月二十一日通信网络安全防护管理办法第一条为了加强对通信网络安全的管理，提高通信网络安全防护能力，保障通信网络安全畅通，根据中华人民共和国电信条例，制定本办法。第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者以下统称“通信网络运行单位）管理和运行的公用通信网和互联网（以下统称“通信网络）的网络安全防护工作，适用本办法。本办法所称互联网域名服务，是指设置域名数据库或者域名解析服务器，为域名持有者提供域名注册或者权威解析服务的行为。本办法所称网络安全防护工作，是指为防止通信网络阻塞、中断、瘫痪或者被非法控制，以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。第四条中华人民共和国工业和信息化部（以下简称工业和信息化部）负责全国通信网络安全防护工作的统一指导、协调和检查，组织建立健全通信网络安全防护体系，制定通信行业相关标准。各省、自治区、直辖市通信管理局（以下简称通信管理局）依据本办法的规定，对本行政区域内的通信网络安全防护工作进行指导、协调和检查。工业和信息化部与通信管理局统称“电信管理机构”。第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作，对本单位通信网络安全负责。第六条通信网络运行单位新建、改建、扩建通信网络工程项目，应当同步建设通信网络安全保障设施，并与主体工程同时进行验收和投入运行。通信网络安全保障设施的新建、改建、扩建费用，应当纳入本单位建设项目概算。第七条通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分，并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高分别划分为一级、二级、三级、四级、五级。电信管理机构应当组织专家对通信网络单元的分级情况进行评审。通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别，并按照前款规定进行评审。第八条通信网络运行单位应当在通信网络定级评审通过后三十日内，将通信网络单元的划分和定级情况按照以下规定向电信管理机构备案：（一）基础电信业务经营者集团公司向工业和信息化部申请办理其直接管理的通信网络单元的备案；基础电信业务经营者各省（自治区、直辖市）子公司、分公司向当地通信管理局申请办理其负责管理的通信网络单元的备案；（二）增值电信业务经营者向作出电信业务经营许可决定的电信管理机构备案；（三）互联网域名服务提供者向工业和信息化部备案。第九条通信网络运行单位办理通信网络单元备案，应当提交以下信息：（一）通信网络单元的名称、级别和主要功能；（二）通信网络单元责任单位的名称和联系方式；（三）通信网络单元主要负责人的姓名和联系方式；（四）通信网络单元的拓扑架构、网络边界、主要软硬件及型号和关键设施位置；（五）电信管理机构要求提交的涉及通信网络安全的其他信息。前款规定的备案信息生变化的，通信网络运行单位应当自信息变化之日起三十日内向电信管理机构变更备案。通信网络运行单位报备的信息应当真实、完整。第十条电信管理机构应当对备案信息的真实性、完整性进行核查，发现备案信息不真实、不完整的，通知备案单位予以补正。第十一条通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施，并按照以下规定进行符合性评测：（一）三级及三级以上通信网络单元应当每年进行一次符合性评测；（二）二级通信网络单元应当每两年进行一次符合性评测。通信网络单元的划分和级别调整的，应当自调整完成之日起九十日内重新进行符合性评测。通信网络运行单位应当在评测结束后三十日内，将通信网络单元的符合性评测结果、整改情况或者整改计划报送通信网络单元的备案机构。第十二条通信网络运行单位应当按照以下规定组织对通信网络单元进行安全风险评估，及时消除重大网络安全隐患：（一）三级及三级以上通信网络单元应当每年进行一次安全风险评估；（二）二级通信网络单元应当每两年进行一次安全风险评估。国家重大活动举办前，通信网络单元应当按照电信管理机构的要求进行安全风险评估。通信网络运行单位应当在安全风险评估结束后三十日内，将安全风险评估结果、隐患处理情况或者处理计划报送通信网络单元的备案机构。第十三条通信网络运行单位应当对通信网络单元的重要线路、设备、系统和数据等进行备份。第十四条通信网络运行单位应当组织演练，检验通信网络安全防护措施的有效性。通信网络运行单位应当参加电信管理机构组织开展的演练。第十五条通信网络运行单位应当建设和运行通信网络安全监测系统，对本单位通信网络的安全状况进行监测。第十六条通信网络运行单位可以委托专业机构开展通信网络安全评测、评估、监测等工作。工业和信息化部应当根据通信网络安全防护工作的需要，加强对前款规定的受托机构的安全评测、评估、监测能力指导。第十七条电信管理机构应当对通信网络运行单位开展通信网络安全防护工作的情况进行检查。电信管理机构可以采取以下检查措施：（一）查阅通信网络运行单位的符合性评测报告和风险评估报告；（二）查阅通信网络运行单位有关网络安全防护的文档和工作记录；（三）向通信网络运行单位工作人员询问了解有关情况；（四）查验通信网络运行单位的有关设施；（五）对通信网络进行技术性分析和测试；（六）法律、行政法规规定的其他检查措施。第十八条电信管理机构可以委托专业机构开展通信网络安全检查活动。第十九条通信网络运行单位应当配合电信管理机构及其委托的专业机构开展检查活动，对于检查中发现的重大网络安全隐患，应当及时整改。第二十条电信管理机构对通信网络安全防护工作进行检查，不得影响通信网络的正常运行，不得收取任何费用，不得要求接受检查的单位购买指定品牌或者指定单位的安全软件、设备或者其他产品。第二十一条电信管理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密和个人隐私，有保密的义务。第二十二条违反本办法第六条第一款、第七条第一款和第三款、第八条、第九条、十一条、第十二条、十三条、十四条、十五条、十九条规定的，由电信管理机构依据职权责令改正；拒不改正的，给予警告，并处五千元以上三万元以下的罚款。第二十三条电信管理机构的工作人员违反本办法第二十条、二十一条规定的，依法给予行政处分；构成犯罪的，依法追究刑事责任。第二十四条本办法自 2010 年 3 月 1 日起施行。1.2 中华人民共和国工业和信息化部24令电信和互联网用户个人信息保护规定已经 2013 年 6 月 28 日中华人民共和国工业和信息化部第 2 次部务会议审议通过，现予公布，自2013 年 9 月 1 日起施行。部长苗圩2013 年 7 月 16 日电信和互联网用户个人信息保护规定第一章总则第一条为了保护电信和互联网用户的合法权益，维护网络信息安全，根据全国人民代表大会常务委员会关于加强网络信息保护的决定、中华人民共和国电信条例和互联网信息服务管理办法等法律、行政法规，制定本规定。第二条在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动，适用本规定。第三条工业和信息化部和各省、自治区、直辖市通信管理局（以下统称电信管理机构）依法对电信和互联网用户个人信息保护工作实施监督管理。第四条本规定所称用户个人信息，是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。第五条电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息，应当遵循合法、正当、必要的原则。第六条电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。第七条国家鼓励电信和互联网行业开展用户个人信息保护自律工作。第二章信息收集和使用规范第八条电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则，并在其经营或者服务场所、网站等予以公布。第九条未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项。电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务。法律、行政法规对本条第一款至第四款规定的情形另有规定的，从其规定。第十条电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。第十一条电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作，涉及收集、使用用户个人信息的，应当对代理人的用户个人信息保护工作进行监督和管理，不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。第十二条电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制，公布有效的联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起十五日内答复投诉人。第三章安全保障措施第十三条电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失：（一）确定各部门、岗位和分支机构的用户个人信息安全管理责任；（二）建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度；（三）对工作人员及代理人实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施；（四）妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体，并采取相应的安全储存措施；（五）对储存用户个人信息的信息系统实行接入审查，并采取防入侵、防病毒等措施；（六）记录对用户个人信息进行操作的人员、时间、地点、事项等信息；（七）按照电信管理机构的规定开展通信网络安全防护工作；（八）电信管理机构规定的其他必要措施。第十四条电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其许可或者备案的电信管理机构报告，配合相关部门进行的调查处理。电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估；影响特别重大的，相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。电信管理机构在依据本规定作出处理决定前，可以要求电信业务经营者和互联网信息服务提供者暂停有关行为，电信业务经营者和互联网信息服务提供者应当执行。第十五条电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。第十六条电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查，记录自查情况，及时消除自查中发现的安全隐患。第四章监督检查第十七条电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。电信管理机构实施监督检查时，可以要求电信业务经营者、互联网信息服务提供者提供相关材料，进入其生产经营场所调查情况，电信业务经营者、互联网信息服务提供者应当予以配合。电信管理机构实施监督检查，应当记录监督检查的情况，不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动，不得收取任何费用。第十八条电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。第十九条电信管理机构实施电信业务经营许可及经营许可证年检时，应当对用户个人信息保护情况进行审查。第二十条电信管理机构应当将电信业务经营者、互联网信息服务提供者违反本规定的行为记入其社会信用档案并予以公布。第二十一条鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度，引导会员加强自律管理，提高用户个人信息保护水平。第5章 法律责任第二十二条电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的，由电信管理机构依据职权责令限期改正，予以警告，可以并处一万元以下的罚款。第二十三条电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的，由电信管理机构依据职权责令限期改正，予以警告，可以并处一万元以上三万元以下的罚款，向社会公告；构成犯罪的，依法追究刑事责任。第二十四条电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的，依法给予处理；构成犯罪的，依法追究刑事责任。第六章附则第二十五条本规定自 2013 年 9 月 1 日起施行。第2章网络安全防护实施标准2.1 电信网和互联网安全防护管理指南1. 范围本标准对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。同时，对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。本标准适用于电信网和互联网的安全防护工作。本标准涉及的电信网和互联网不包括专用网，仅指公众电信网和公众互联网。2. 规范性引用文件下列文件中的条款通过本标准的引用而成为指导性技术文件的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T 5271.8-2001 信息技术词汇第 8 部分：安全3. 术语和定义GB/T 5271.8-2001确立的术语和定义，以及下列术语和定义适用于本标准。3.1 电信网 telecom network 利用有线和/或无线的电磁、光电系统，进行文字、声音、数据、图象或其它任何媒体的信息传递的网络，包括固定通信网、移动通信网等。3.2 互联网 Internet 泛指广域网、局域网及终端（包括计算机、手机等）通过交换机、路由器、网络接入设备等基于一定的通讯协议连接形成的，功能和逻辑上的大型网络。3.3 电信网和互联网安全防护体系 security protection architecture of telecom network and Internet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合，共同构成了电信网和互联网安全防护体系。3.4 电信网和互联网安全等级 security classification of telecom network and Internet 电信网和互联网及相关系统重要程度的表征。重要程度从电信网和互联网及相关系统受到破坏后，对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.5 电信网和互联网安全等级保护 classified security protection of telecom network and Internet 指对电信网和互联网及相关系统分等级实施安全保护。3.6 电信网和互联网安全风险 security risk of telecom network and Internet 人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.7 电信网和互联网安全风险评估 security risk assessment of telecom network and Internet 指运用科学的方法和手段，系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施，防范和化解电信网和互联网及相关系统安全风险，将风险控制在可接受的水平，为最大限度地保障电信网和互联网及相关系统的安全提供科学依据。3.8 电信网和互联网灾难 disaster of telecom network andInternet 由于各种原因，造成电信网和互联网及相关系统故障或瘫痪，使电信网和互联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.9 电信网和互联网灾难备份 backup for disaster recovery of telecom network and Internet为了电信网和互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。3.10 电信网和互联网灾难恢复 disaster recovery of telecom network and Internet 为了将电信网和互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。4. 目标和原则电信网和互联网安全防护工作的目标就是要加强电信网和互联网的安全防护能力，确保网络的安全性和可靠性，尽可能实现对电信网和互联网安全状况的实时掌控，保证电信网和互联网能够完成其使命。为了实现该目标，网络和业务运营商、设备制造商要充分考虑电信网和互联网不同等级的安全要求，从环境因素以及人为因素分析电信网和互联网面临的威胁，从技术和管理两个方面分析电信网和互联网存在的脆弱性，充分考虑现有安全措施，分析电信网和互联网现存风险，平衡效益与成本，制定灾难备份及恢复计划，将电信网和互联网的安全控制在可接受的水平。电信网和互联网安全防护工作要在适度安全原则的指导下，采用自主保护和重点保护方法，在安全防护工作安排部署过程中遵循标准性、可控性、完备性、最小影响和保密原则，实现同步建设、统筹兼顾、经济实用和循序渐进地进行安全防护工作。适度安全原则：安全防护工作的根本性原则。安全防护工作应根据电信网和互联网的安全等级，平衡效益与成本，采取适度的安全技术和管理措施。标准性原则：安全防护工作开展的指导性原则。指电信网和互联网安全防护工作的开展应遵循相关的国家或行业标准。可控性原则：指电信网和互联网安全防护工作的可控性，包括： 人员可控性：相关的安全防护工作人员应具备可靠的政治素质、职业素质和专业素质。相关安全防护工作的检测机构应具有主管部门授权的电信网和互联网安全防护检测服务资质。 工具可控性：要充分了解安全防护工作中所使用的技术工具，并进行一些实验，确保这些技术工具能被正确地使用。 项目过程可控性：要对整个安全防护项目进行科学的项目管理，实现项目过程的可控性。完备性原则：安全防护工作要覆盖电信网和互联网的安全范围。最小影响原则：从项目管理层面和技术管理层面，将安全防护工作对电信网和互联网正常运行的可能影响降低到最低限度。保密性原则：相关安全防护工作人员应签署协议，承诺对所进行的安全防护工作保密，确保不泄露电信网和互联网及安全防护工作的重要和敏感信息。5. 安全防护体系电信网和互联网安全防护范畴包括基础电信运营企业运营的传输、承载各类电信业务的公共电信网（含公共互联网）及其组成部分，支撑和管理公共电信网及电信业务的业务单元和控制单元，以及企业办公系统（含文件管理系统、员工邮件系统、决策支持系统、人事管理系统等）、客服呼叫中心、企业门户网站等非核心生产单元。此外，电信网络安全防护工作的范围还包括经营性互联网信息服务单位、移动信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。根据电信网和互联网安全防护范畴，建立的电信网和互联网安全防护体系如图1所示。整个体系分为三层，第一层为整个安全防护体系的总体指导性规范，明确了对电信网和互联网安全防护的定义、目标、原则，并说明了安全防护体系的组成。第二层从宏观的角度明确了如何进行安全防护工作，规范了安全防护体系中安全等级保护、安全风险评估、灾难备份及恢复三部分工作的原则、流程、方法、步骤等。第三层具体规定了电信网和互联网安全防护工作的要求，即安全防护要求和安全防护检测要求。根据电信网和互联网全程全网的特点，电信网和互联网的安全防护工作可从固定通信网、移动通信网、互联网、增值业务网、非核心生产单元来开展。其中，互联网包括经营性互联网信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。增值业务网包括消息网、智能网等业务平台以及业务管理平台。对固定通信网、移动通信网、互联网实施安全防护，应分别从构成上述网络的不同电信网和互联网相关系统入手。电信网和互联网相关系统包括接入网、传送网、IP承载网、信令网、同步网、支撑网等。其中，接入网包括各种有线、无线和卫星接入网等，传送网包括光缆、波分、SDH、卫星等，而支撑网则包括业务支撑和网管系统。安全防护要求明确了电信网和互联网及相关系统需要落实的安全管理和技术措施，涵盖了安全等级保护、安全风险评估、灾难备份及恢复等三部分内容，其中安全等级保护工作需要落实的物理环境和管理的安全等级保护要求被单独提出作为电信网和互联网及相关系统的通用安全等级保护要求。安全防护检测要求与安全防护要求相对应，提供了对电信网和互联网安全防护工作进行检测的方法，从而确认网络和业务运营商、设备制造商在安全防护工作实施过程中是否满足了相关安全防护要求。随着电信网和互联网的发展，随着安全防护体系的进一步完善，第三层的内容将进一步补充完善。6. 安全等级保护电信网和互联网安全等级保护工作贯穿于电信网和互联网生命周期的各个阶段，是一个不断循环和不断提高的过程。首先，根据电信网和互联网及相关系统受到破坏后，对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害程度来确定安全等级；通过进一步分析电信网和互联网及相关系统的安全保护现状与安全等级保护要求之间的差距，确定安全需求，设计合理的、满足安全等级保护要求的总体安全方案，制定出安全建设规划；并进一步将其落实到电信网和互联网及相关系统中，形成安全技术和管理体系；在电信网和互联网安全运维阶段，根据安全等级保护的需要对安全技术和管理体系不断调整和持续改进，确保电信网和互联网及相关系统满足相应等级的安全要求；在安全资产终止阶段对信息、设备、介质进行终止处理时，防止敏感信息的泄露，保障电信网和互联网及相关系统的安全。安全等级保护工作的实施过程如图2所示。7. 安全风险评估电信网和互联网安全风险评估应贯穿于电信网和互联网生命周期的各阶段中，在生命周期不同阶段的风险评估原则和方法是一致的。在电信网和互联网的安全风险评估工作中，应首先进行相关工作的准备，通过安全风险分析计算电信网和互联网及相关系统的风险值，进而确定其风险等级和风险防范措施。安全风险分析中要涉及资产、威胁、脆弱性等基本要素，每个要素有各自的属性。资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；而脆弱性的属性是资产弱点的严重程度等。安全风险评估的实施流程如图3所示。8. 灾难备份及恢复电信网和互联网灾难备份及恢复工作利用技术、管理手段以及相关资源，确保已有的电信网和互联网在灾难发生后，在确定的时间内可以恢复和继续运行。灾难备份及恢复工作需要防范包括地震、水灾等自然灾难以及火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件。如图4所示，灾难备份及恢复工作应根据安全等级保护确定的安全等级以及安全风险分析的相关结果进行需求分析，制定、实现相应的灾难备份及恢复策略，并构建灾难恢复预案，这是一个循环改进的过程。针对电信网和互联网的不同网络、不同重要级别的业务，灾难备份及恢复所要达到的目标是不同的。例如，在电信网和互联网中，对于普通话音业务，可以要求网络和业务运营商通过灾难备份及恢复工作，保证在灾难发生后单一地区的灾难不影响灾难发生地理范围以外地区的话音业务，并且发生灾难的地区的话音业务能够通过有效灾难恢复计划的实施，在一定时间范围（指标应与灾难级别对应）内恢复通信。9. 安全等级保护、安全风险评估、灾难备份及恢复三者之间的关系电信网和互联网安全防护体系中的安全等级保护、安全风险评估、灾难备份及恢复三者之间密切相关、互相渗透、互为补充。电信网和互联网安全防护应将安全等级保护、安全风险评估、灾难备份及恢复工作有机结合，加强相关工作之间的整合和衔接，保证电信网络安全防护工作的整体性、统一性和协调性。电信网络安全防护工作应按照根据被保护对象的重要性进行分等级保护的思想，通过安全风险评估的方法正确认识被保护对象存在的脆弱性和面临的威胁，进而制定、落实和改进与安全保护等级和风险大小相适应的一系列管理、技术、灾难备份等安全等级保护措施，最终达到提高电信网络安全保护能力和水平的目的。在开展安全等级保护工作时，要充分应用安全风险评估的方法，认识、分析不同类型的网络和业务存在的脆弱性和面临的威胁，进而制定和落实与被保护对象的类型、脆弱性和威胁相适应的基本安全保护措施要求，提高安全等级保护工作的针对性和适用性。在开展安全风险评估工作时，在分析被保护对象综合风险和制定改进方案的过程中，要始终与被保护对象的安全保护等级相结合，合理确定被评估对象的可接受风险和制定确实必要的整改措施，避免无限度的改进提高。在开展灾难备份及恢复工作时，要结合被备份对象的安全保护等级和面临的威胁，制定相适应的备份措施，并将有关备份的要求体现在安全等级保护的要求中进行落实。电信网和互联网安全等级保护、安全风险评估和灾难备份及恢复工作应随着电信网和互联网的发展变化而动态调整，适应国家对电信网和互联网的安全要求。2.2 电信网和互联网安全等级保护实施指南1 范围本标准规定了电信网和互联网安全等级保护的概念、对象、目标，安全等级划分和定级方法，安全等级保护实施过程中的基本原则，并结合电信网和互联网的生命周期定义了电信网和互联网安全等级保护工作的主要阶段及主要活动。本标准适用于电信网和互联网的安全等级保护工作。本标准是电信网和互联网安全等级保护的总体指导性文件，针对具体网络的安全等级保护可参考具体网络的安全防护要求和安全防护检测要求。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T 5271.8-2001 信息技术词汇第8部分：安全3 术语和定义GB/T 5271.8-2001确立的术语和定义，以及下列术语和定义适用于本标准。3.1 电信网 telecomnetwork 利用有线和/或无线的电磁、光电系统，进行文字、声音、数据、图象或其它任何媒体的信息传递的网络，包括固定通信网、移动通信网等。3.2 电信网和互联网安全防护体系 security protection architecture of telecom network and Internet 电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合，共同构成了电信网和互联网安全防护体系。3.3 电信网和互联网相关系统 systems of telecom network and Internet 组成电信网和互联网的相关系统，包括接入网、传送网、IP承载网、信令网、同步网、支撑网等。其中，接入网包括各种有线、无线和卫星接入网等，传送网包括光缆、波分、SDH、卫星等，而支撑网包括业务支撑和网管系统。3.4 电信网和互联网安全等级 security classification of telecom network and Internet 电信网和互联网及相关系统安全重要程度的表征。重要程度可从电信网和互联网及相关系统受到破坏后，对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.5 电信网和互联网安全等级保护 classified security protection of telecom networkand Internet 指对电信网和互联网及相关系统分等级实施安全保护。3.6 电信网和互联网基本保护要求 basic protection requirements of telecom network and Internet 为确保电信网和互联网及相关系统具有与其安全等级相对应的安全保护能力应该满足的最低要求。3.7 电信网和互联网安全检测 security testing of telecom network and Internet 对电信网和互联网及相关系统的安全保护能力是否达到相应保护要求进行衡量。3.8 电信网和互联网安全风险 security risk of telecomnetwork and Internet 人为或自然的威胁可能利用电信网和互联网及相关系统中存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.9 电信网和互联网安全风险评估 security risk assessmentof telecom network and Internet 指运用科学的方法和手段，系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施，防范和化解电信网和互联网及相关系统安全风险，将风险控制在可接受的水平，为最大限度地保障电信网和互联网及相关系统的安全提供科学依据。3.10 电信网和互联网灾难 disaster of telecom network and Internet 由于各种原因，造成电信网和互联网及相关系统故障或瘫痪，使电信网和互联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.11 电信网和互联网灾难备份 backup for disaster recovery of telecomnetwork andInternet 为了电信网和互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。3.12 电信网和互联网灾难恢复disaster recovery of telecom network and Internet 为了将电信网和互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。4 安全等级保护概述4.1 安全等级保护对象电信网和互联网安全防护工作的范围包括网络和业务运营商运营的传输、承载各类电信业务的公众电信网（含公众互联网）及其组成部分，支撑和管理公众电信网及电信业务的业务单元和控制单元，以及企业办公系统（含文件管理系统、员工邮件系统、决策支持系统、人事管理系统等）、客服呼叫中心、企业门户网站等非核心生产单元。此外，电信网和互联网安全防护工作的范围还包括经营性互联网信息服务单位、移动信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。根据电信网和互联网安全防护标准体系，安全等级保护对象包括固定通信网、移动通信网、互联网、增值业务网等业务网，接入网、传送网、IP承载网、信令网、同步网、支撑网等电信网和互联网相关系统以及非核心生产单元。其中，互联网包括经营性互联网信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统，增值业务网目前包括消息网、智能网等业务平台以及业务管理平台。随着安全防护标准体系进一步完善，标准体系还将包括针对增值业务提供商提供的其他增值业务系统的相关标准。4.2 安全等级保护目标安全等级保护的目标是通过对电信网和互联网及相关系统进行安全等级划分，按照本系列标准中的安全等级保护要求进行规划、设计、建设、运维等工作，加强电信网和互联网及相关系统的安全防护能力，确保其安全性和可靠性。本系列标准对不同安全等级的电信网和互联网及相关系统提出不同的基本保护要求，这些基本保护要求是保障各等级电信网和互联网及相关系统安全的最基本要求。电信网和互联网及相关系统应能够满足其所属安全等级的基本保护要求。5 安全等级划分及定级方法5.1 安全等级划分在电信网和互联网及相关系统中进行安全等级划分的总体原则是：定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及网络和业务运营商的合法权益的损害程度。电信网和互联网及相关系统的安全等级划分如下：第1级定级对象受到破坏后，会对其网络和业务运营商的合法权益造成轻微损害，但不损害国家安全、社会秩序、经济运行和公共利益。本级由网络和业务运营商依据国家和通信行业有关标准进行保护。第2级定级对象受到破坏后，会对网络和业务运营商的合法权益产生严重损害，或者对社会秩序、经济运行和公共利益造成轻微损害，但不损害国家安全。本级由网络和业务运营商依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行指导。第3级进一步划分为两个等级：第3.1级定级对象受到破坏后，会对网络和业务运营商的合法权益产生很严重损害，或者对社会秩序、经济运行和公共利益造成较大损害，或者对国家安全造成轻微损害。本级由网络和业务运营商依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行监督、检查。第3.2级定级对象受到破坏后，会对网络和业务运营商的合法权益产生特别严重损害，或者对社会秩序、经济运行和公共利益造成严重损害，或者对国家安全造成较大损害。本级由网络和业务运营商依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行重点监督、检查。第4级定级对象受到破坏后，会对社会秩序、经济运行和公共利益造成特别严重损害，或者对国家安全造成严重损害。本级由网络和业务运营商依据国家和通信行业有关标准以及业务的特殊安全要求进行保护，主管部门对其安全等级保护工作进行强制监督、检查。第5级定级对象受到破坏后，会对国家安全造成特别严重损害。本级由网络和业务运营商依据国家和通信行业有关标准以及业务的特殊安全需求进行保护，主管部门对其安全等级保护工作进行专门监督、检查。5.2 定级方法确定定级对象的安全等级应根据如下三个相互独立的定级要素：a）社会影响力定级对象的社会影响力表示其受到破坏后对国家安全、社会秩序、经济运行和公共利益的损害程度，定级对象的社会影响力赋值原则如表1所示。损害国家安全的事项包括（不限于）如下方面：u 影响国家政权稳固和国防实力；u 影响国家统一、民族团结和社会安定；u 影响国家对外活动中的政治、经济利益；u 影响国家重要的安全保卫工作；u 影响国家经济竞争力和科技实力等。损害社会秩序的事项包括（不限于）如下方面：u 影响国家机关社会管理和公共服务的工作秩序；u 影响各种类型的经济活动秩序；u 影响各行业的科研、生产秩序；u 影响公众在法律约束和道德规范下的正常生活秩序等。损害经济运行的事项包括（不限于）如下方面：u 直接或间接导致国家经济活动主体的经济损失等。u 损害公共利益的事项包括（不限于）如下方面：u 影响社会成员使用公共设施；u 影响社会成员获取公开信息资源；u 影响社会成员接受公共服务等。对此定级要素进行赋值时，应先确定对国家安全的损害程度，再确定对社会秩序、经济运行和公共利益的损害程度。定级对象的社会影响力赋值应是对国家安全、社会秩序、经济运行和公共利益的损害程度最严重者。b）规模和服务范围定级对象的规模表示其服务的用户数多少，服务范围表示其服务的地区范围大小，定级对象的规模和服务范围赋值如表2所示。表2 电信网和互联网及相关系统的规模和服务范围赋值表c）所提供服务的重要性定级对象所提供服务的重要性表示其提供的服务被破坏后对网络和业务运营商的合法权益的影响程度，其重要性赋值如表3所示。表3 定级对象所提供服务的重要性赋值表此定级要素可通过定级对象所提供的服务本身的重要性来衡量，如业务的经济价值，业务重要性，对企业自身形象的影响等方面。在确定好定级对象的社会影响力、规模和服务范围、所提供服务的重要性三个定级要素的赋值后，可采用附录A中安全等级的计算方法确定定级对象的安全等级。在确定某一个定级要素的赋值时，无需考虑其他两个定级要素。安全等级确定可能不是一个过程就可以完成的，而是需要经过定级要素赋值、定级、定级结果调整的循环过程，最终才能确定出较为科学、准确的安全等级。6 安全等级保护的实施过程6.1 基本原则电信网和互联网安全等级保护工作应首先满足电信网和互联网安全防护工作提出的适度安全原则、标准性原则、可控性原则、完备性原则、最小影响原则以及保密性原则。在此基础上，电信网和互联网安全等级保护工作在实施过程中还应重点遵循以下原则：a) 自主保护原则各网络和业务运营商应遵照本标准的定级方法确定其运营的电信网和互联网及相关系统的安全等级，并依据国家和通信行业相关标准对电信网和互联网及相关系统自主实施安全保护。b) 同步建设原则各网络和业务运营商在对电信网和互联网及相关系统进行新建、改建、扩建时，应当同步规划和设计其安全方案，投入一定比例的资金实施安全方案，保障电信网和互联网及相关系统与其所属安全等级的要求相适应。c) 重点保护原则各网络和业务运营商通过对电信网和互联网及相关系统划分不同的安全等级，根据基本保护要求实现不同程度的安全保护，集中资源优先保护关键的电信网和互联网及相关系统。d) 适当调整原则各网络和业务运营商跟踪电信网和互联网及相关系统的变化情况调整其安全等级，并根据安全等级的调整情况及时调整相应的安全保护措施。6.2 基本过程虽然安全等级保护是一个不断循环和不断提高的过程，但是实施安全等级保护的一次完整过程是可以区分清楚的，包括五个主要阶段：安全等级确定、安全总体规划、安全设计与实施、安全运维、安全资产终止。如图 1 所示。安全等级保护的五个主要阶段及其主要活动为：a) 安全等级确定阶段安全等级确定阶段主要包括对电信网和互联网的识别和描述，定级对象的划分以及安全等级确定、评审和备案等几个主要安全活动。通过对电信网和互联网的识别和描述，划分并确定定级对象，根据本标准中的定级方法科学准确地确定各定级对象的安全等级，并对定级结果进行评审和备案。b) 安全总体规划阶段安全总体规划阶段主要包括安全需求分析、安全总体设计、安全建设规划等几个主要活动。网络和业务运营商通过安全需求分析判断网络安全保护现状与安全要求之间的差距，确定初步的安全需求，通过风险评估确定额外的安全需求；然后根据网络的实际情况，设计出合理的、满足安全等级保护要求的安全总体方案，并制定出安全建设的方案，以指导后续的网络安全建设工程实施。c) 安全设计与实施阶段安全设计与实施阶段主要包括安全方案详细设计、安全详细设计方案的实施、安全检测等几个主要活动。网络和业务运营商通过安全方案详细设计，将安全总体规划阶段的安全总体方案和安全建设方案具体落实到网络中，最终提交满足