电信网和互联网安全等级保护实施指南编制说明.doc

电信网和互联网安全等级保护实施指南编制说明信息产业部电信研究院2007年7月中华人民共和国通信标准类标准文件电信网和互联网安全等级保护实施指南 编制说明1标准文件“范围”的内容。本标准文件规定了电信网和互联网安全等级保护的概念、对象、目标，安全等级划分原则，并结合电信网和互联网的生命周期定义了电信网和互联网安全等级保护实施过程中的主要阶段及主要活动。本标准文件适用于电信网和互联网的安全等级保护工作。本标准文件是电信网和互联网安全等级保护的总体指导性文件，针对具体网络的安全等级保护可参考具体网络的安全防护要求和安全防护检测要求。2工作简况，主要包括：任务来源、主要工作过程、各起草单位和起草人及其在起草标准文件过程中所承担的工作等情况、对标准文件草案进行会议讨论范围、征求意见的范围、审查的范围。受信息产业部电信管理局委托制定本标准文件。本标准文件由电信网安全防护标准起草组负责起草。本标准文件在编制过程中研究了ISO以及我国相关的国家和行业标准。电信网安全防护标准起草组第一次会议于2006年10月27日在北京召开。讨论了“电信网络（含互联网）等级保护实施指南”提纲；与会代表认真负责地讨论了上述文件，经充分协商，提出了很多有益的意见，会后按照会议意见对标准进行了起草。 “电信网络（含互联网）等级保护实施指南提纲”意见汇总及处理序号单位/提出人章节问题/修改建议处理意见1.标准所题目修改为电信网络和互联网采纳2.移动前言不要说是在公安部的通知指导下，也不要说是在。文件的指导下主要写遵照国标即可采纳3.联通前言写明和安全防护管理规范的关系采纳4.标准所前言“包含以下一个标准文本”建议改为“预计包含”采纳5.标准所1范围说明不同角色如何使用该文档采纳6.移动4.1“电信网络及其信息系统”没有体现出包括数据？电信网络及其信息系统 及相关的数据建议修改为安全防护管理指南中P12第一句话防护范畴采纳7.西邮4.1应该考虑无形的资产、影响等保护对象有三种：物理资产、信息资产、服务资产8.标准所在附录中举例，说明定级方法怎么用可以增加社会影响力、无形资产等是否具体定出等级征求电信管理局的意见采纳9.移动网络和业务不断发展，所以规范中给出方法即可10.移动4.3划分等级的原则中增加对企业经济利益、形象的影响。定级因素增加：社会影响力11.电信4.3定级时考虑的要素可分三种：网络设备成本、承载业务的价值、自身的社会影响力（业务级别来划分：银行、证券出租类）12.西邮4.3每个大的等级再细分，规定等级保护的下限？例如分5级考虑政治、经济、文化因素可参考下周给信产部的报告13.武邮4.3将第三层能够明确化的内容，反映到第二层14.标准所4.34.3放在定级里采纳15.定级要素是否考虑口令、加密等16.标准所4.4满足其所属等级的基本保护要求这句话放在概述中，可以不要4.4这个大标题17.武邮是否把安全基线放在概述中说明不建议增加18.移动7.2安全需求分析要考虑威胁、目标采纳19.电信7.2对于新建网络结合以往建设的网络把安全需要分析出来采纳20.西安7.2参考以往评估过的结果考虑类似网络的结果考虑相关网络考虑与已有的报告间是否冲突，涉及的标准采纳21.标准所本标准只是说明围绕安全防护工作应该做哪些活动，形成哪些报告从哪些方面去考虑22.移动8.3从技术和管理角度分别说明，在7、9、10是否也应该有所体现每个阶段都会有管理制度，运营阶段较完备，其他部分相对欠缺，所以可以强调完善一下采纳23.移动9.6不叫安全检查和持续改进增加评估评估和检查不同不增加24.明确检查、测评的范围术语和定义中明确检查、测评的概念采纳25.9运维阶段是否包括灾难备份？备份的可读性测试26.7在规划设计部分也加入灾难部分的内容，将二者联系起来采纳27.10应该有检查的机制采纳28.3术语和定义中增加互联网采纳电信网安全防护标准起草组第二次会议于2006年11月16-17日在北京召开。讨论了“电信网络（含互联网）等级保护实施指南”征求意见稿，信息产业部电信管理局钟志红处长在讲话中对文件的编写提出了详细要求，并对起草组工作提出了很好的指导意见。会后按照会议意见对标准进行了修改。2、电信网和互联网安全等级保护实施指南（征求意见稿）意见汇总及处理序号单位/提出人章节问题/修改建议处理意见29.钟处前言不要说“参照国家标准细化、调整和补充”，直接说针对电信网的安全制定增加固定网、移动网、IP承载网采纳30.标准所1范围“安全产品提供商”改为“设备制造商”，“运营单位”改为“网络和业务运营商”，去掉“第三方安全服务商”，本标准其他部分内容等同修改采纳31.标准所1范围删掉“本标准涉及的互联网仅指公众互联网。”采纳32.标准所2 规范性引用文件增加参考的国标的标准及其标准号采纳33.3术语和定义internet改为Internet“基本保护要求”、“安全评测”前面增加电信网和互联网采纳34.3术语和定义3.1电信网和互联网安全等级 第一句改为“电信网和互联网相关系统安全重要程度的表征”。标准中其他部分均将“电信网和互联网”修改为“电信网和互联网相关系统”采纳35.4.1第一段等级保护对象的内容与管理指南一致采纳36.中兴4.2第二段“实行不同强度的监管 ”改为 “实行不同等级的监管 ” 采纳37.5.1先说明和安全防护中原则的呼应，再说明等级保护的具体原则采纳38.5.2c)关于安全产品的说明，应该指网络中的设备,去掉“安全产品提供商包括设备制造商、业务提供商等。”采纳39.5.2在角色中增加对定级活动的说明采纳40.5.4直接说“电信网和互联网相关系统的生命周期包括五个阶段，即阶段，等级保护工作将贯穿”采纳41.移动标准所5.4倒数第二段对已建的电信网和互联网，增加如下说明“在现有网络基础上，根据安全要求，制定保证要求的补充的安全规划和设计，采用分步骤分阶段分目标实施，逐渐采取安全的补救措施”采纳42.电信6.1定级要素中，考虑三个方面1、3归为一个，表示为业务本身的重要性， 2改为规模和服务范围3为社会影响力采纳43.调整定级方法44.6.2第二步的第一句话“子电信网和互联网”修改后“相关系统”采纳45.标准所6.3开始把参与角色去掉，融在活动描述中说明采纳46.7.1第一段保留“电信网和互联网的安全规划设计阶段包括安全需求分析、安全总体设计、安全建设规划几个主要活动”，其余去掉第一步的第一段修改为“安全保护现状与通信行业等级保护基本要求”，并增加对“安全目标”的说明第二步的第二段、第三步的第二段去掉采纳47.移动7.1图4 去掉“企业中长期发展规划”采纳48.8.49.710.5等级保护安全评测是“根据主管部门的要求，运营单位”其他活动参与角色去掉主管部门采纳49.标准所增加扩容时候的等级保护工作说明采纳50.标准所10.1第一句话的“确保组织的安全”修改为 “确保运营企业的网络、保密信息安全，用户服务安全”之类的描述采纳51.电信10.1去掉“电信网和互联网终止阶段的各个活动之间没有顺序的关系”采纳52.10.1说明终止阶段不是电信网和互联网相关系统整个终止，而是其中的部分终止采纳53.标准所参考文献去掉采纳54.附录A根据修改后的定级方法修改采纳电信网安全防护标准起草组第三次会议于11月28-29日在北京召开，讨论了“电信网络（含互联网）等级保护实施指南”送审稿。会后按照会议意见对标准进行了修改。、电信网和互联网安全等级保护实施指南（送审稿）意见汇总及处理序号单位/提出人章节问题/修改建议处理意见55.中兴目录5.4格式有误采纳56.传输所前言标准体系中增加固定网、移动网、互联网采纳57.科技司标准处1范围本标准适用于电信网和互联网的风险评估工作，不要说明具体的角色如何使用采纳58.传输所全文安全等级保护涉及的对象是电信网和互联网及相关系统，采纳59.中兴全文运营维护、运行维护统一为运行维护或运维采纳，统一为运维60.传输所4、5标题增加安全采纳61.钟处、传输所5.2主管部门的职责：去掉第一句话，应该是参照本标准定级，去掉“组织、协调和督促”，突出检查采纳62.传输所5.2网络和业务运营商的职责：增加“报送主管部门”的内容的说明采纳63.亿阳等多家单位5.2建议增加安全服务商，主要职责是为运营商提供安全服务，应符合国家和信产部的相关规定，暂时不提是否具有资质采纳64.电信等多家单位6.1去掉定级赋值表中的举例部分，可文字说明或者放在附录中1、社会影响力表示对社会的影响2、服务的重要性：强调对运营商内部运行的影响采纳65.6.2去掉第一句话，应该是按照标准确定安全等级采纳66.附录B建议附录B中举例时不要说明具体数字，如50万等采纳67.中兴等多家单位6.1第1级、第2级、3.1、3.2级中去掉社会影响力的说明采纳68.中兴7、8、9、10图形的画法参考GB采纳69.传输所7.1、8.1图4 、图5安全保障要求修改为安全防护要求采纳70.7、8、9、10参与角色中融入安全服务商采纳71.中兴9.1关于活动的顺序的说明，可能部分活动之间存在顺序采纳72.附录A矩阵法中说明矩阵值得出采用对数法并考虑了权重，说明3.1和3.2的具体含义采纳73.附录A* 改为、Type等赋值要素可用一个字母表示采纳74.附录B 例1 一个例子用两个方法计算采纳3标准文件编制原则和确定标准文件主要内容（如技术指标、参数、公式、性能要求、试验方法、检验规则等）的依据（包括试验、统计数据）。本标准文件参考和引用了包括网络、设备、技术、管理等方面与安全相关的国际和国内标准。随着相关领域的技术发展以及相关标准的更新，本标准文件应作相应更新或补充。安全等级保护的目标是通过对电信网和互联网及相关系统进行安全等级划分，按照本系列标准文件中的安全等级保护要求进行规划、建设、运维、管理和监督，从而加强电信网和互联网及相关系统的安全防护能力，确保其安全性和可靠性。主管部门对不同安全等级的电信网和互联网及相关系统提出不同的基本保护要求，实行不同等级的监管，这些基本保护要求是保障各等级电信网和互联网及相关系统安全的最基本要求。电信网和互联网及相关系统应能够满足其所属安全等级的基本保护要求。电信网和互联网安全等级保护工作可以实现对电信网和互联网及相关系统重点保护和有效保护的目的，增强安全保护的整体性、针对性和实效性，使电信网和互联网及相关系统的安全建设能够突出重点、统一规范、科学合理。电信网和互联网安全等级保护工作应首先满足电信网和互联网安全防护工作提出的适度安全原则、标准性原则、可控性原则、完备性原则、最小影响原则以及保密性原则。在此基础上，电信网和互联网安全等级保护工作在实施过程中还应重点遵循以下原则：自主保护原则、同步建设原则、重点保护原则、适当调整原则。根据上述工作目标和原则可确定本标准文件主要内容。4主要试验（或验证）的分析、综述报告。本标准文件主要内容已在中国电信、中国移动等电信运营单位获得验证。5标准文件在起草过程中遇到的问题及解决办法；重大分歧意见的处理经过和依据；有无重要技术问题需要说明。本标准文件起草过程中没有重大分歧意见，没有需要说明的重要技术问题。6与国外标准的关系：包括：采用国际标准和国外先进标准的程度，与国外标准主要技术内容的差异。目前没有与本标准文件对应的国外标准。7修订标准文件时，说明与标准文件前一版本的重大技术变化，并列出所涉及的新、旧版本的有关章条；废止/代替现行有关标准文件的建议。无。8说明标准文件与其他标准文件或文件的关系，特别是与有关的现行法律、法规和强制性国家标准的关系。本标准文件是“电信网和互联网安全防护体系”系列标准文件之一。该系列标准文件预计结构及名称如下：电信网和互联网安全防护管理指南电信网和互联网安全等级保护实施指南电信网和互联网安全风险评估实施指南电信网和互联网灾难备份及恢复实施指南固定通信网安全防护要求移动通信网安全防护要求互联网安全防护要求增值业务网消息网安全防护要求增值业务网智能网安全防护要求接入网安全防护要求传送网安全防护要求IP承载网安全防护要求信令网安全防护要求同步网安全防护要求支撑网安全防护要求固定通信网安全防护检测要求移动通信网安全防护检测要求互联网安全防护检测要求增值业务网消息网安全防护检测要求增值业务网智能网安全防护检测要求接入网安全防护检测要求传送网安全防护检测要求IP承载网安全防护检测要求信令网安全防护检测要求同步网安全防护检测要求支撑网安全防护检测要求随着电信网和互联网的发展，将不断补充和完善电信网和互联网安全防护体系的相关标准文件。9贯彻标准文