电信网和互联网安全防护管理指南_编制说明.doc

电信网和互联网安全防护管理指南编制说明信息产业部电信研究院2007年7月中华人民共和国通信标准类标准文件电信网和互联网安全防护管理指南 编制说明1标准文件“范围”的内容。本标准文件对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。同时，对电信网和互联网安全防护工作中的角色划分以及安全防护体系的组成进行了说明。本标准文件适用于电信网和互联网的安全防护工作。本标准文件涉及的电信网和互联网不包括专用网，仅指公众电信网和公众互联网。2工作简况，主要包括：任务来源、主要工作过程、各起草单位和起草人及其在起草标准文件过程中所承担的工作等情况、对标准文件草案进行会议讨论范围、征求意见的范围、审查的范围。受信息产业部电信管理局委托制定本标准文件。本标准文件由电信网安全防护标准起草组负责起草。本标准文件在编制过程中研究了ISO以及我国相关的国家和行业标准。本标准文件进行了两次会议讨论，相应修改意见和处理结果如下所示：第一次会议：2006.10.27序号章节意见意见处理1.前言、第8节电信网相关系统划分应合理，容易实施，检查按如下方式划分：接入（各种有线和无线、卫星接入）、传送（光缆、波分、SDH、IP承载）、核心（固定交换、移动交换、软交换、集群、卫星网、3G和下一代网络相关的核心网等）、互联网（专注于公众互联网）、信令网、同步网、支撑网（业务支撑、网管系统）、增值业务网（智能网和消息网的业务平台、业务管理平台）网络终端2.前言 “包含以下一个标准文本”建议改为“预计包含”采纳。改为：。本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下：3.第1节在范围内明确各个角色可以如何使用该文档，进行细化 采纳。改为：。本标准适用于信息产业部对电信网和互联网安全防护工作进行监督管理，适用于网络运营商、设备制造商进行电信网和互联网安全防护工作，适用于信息产业部授权的具有安全防护评测服务资质的评测机构进行电信网和互联网安全防护的评测工作。具体的细化工作在第9节，角色划分里进行了详细说明。4.第9节产业协作不太合适？在角色划分中，要考虑到设备制造商的职责。该节第二段，关于信产部相关工作应调整描述方式采纳，产业协作角色划分在第9节中对设备制造商职责进行了说明。在第9节中对信产部角色的描述方式进行了修改。5.第8节对安全防护评测的内涵进一步解释，说明和风险评估之间的差别。采纳。在第8节增加：。此外，该层还针对电信网和互联网相关系统制定了对应的评测准则，目的是为信息产业部或第三方机构提供对电信网和互联网安全防护工作进行检查评测的方法，以此确认网络运营商和设备制造商在安全防护工作部署和具体实施过程中是否满足了相关的安全保障要求。6.第3节、第9节安全防护的目标：应该要做到准实时的状态，要动态了解运营企业的安全防护现状（针对2年的检查）采纳。在第3节有如下说明：。电信网和互联网安全防护工作的目标就是要加强电信网和互联网的安全防护能力，确保网络的安全性和可靠性，尽可能实现对电信网和互联网安全状况的实时掌控，保证电信网和互联网能够完成其使命。7.第9节关于安全防护检查：2年的时间是否合适采纳。改为：。并定期检查安全防护工作的具体实施情况。8.第9节标准里是否需要有安全管理制度的内容？例如，2年进行安全防护工作检查采纳。在第9节安全角色划分，对4种角色的不同职责进行了详细说明，强调了彼此之间的关系，涵盖了对安全防护工作的管理。9.第9节电信网络安全防护工作中，设备制造商的参与非常重要，应有相关说明对设备的安全要求会在安全保障要求中具体体现。对于设备制造商在安全防护工作中的角色，在第9节中有详细说明。10.风险评估实施指南是一个概要性的说明，针对具体网络是不同的，应针对具体的网络进行详细的说明在第二层文件：电信网和互联网安全风险评估实施指南中会有解释说明。管理指南不对具体网络进行详细说明。11.等级保护实施指南，跟风险评估似乎没有直接联系，是不是利用风险管理的概念把这几部分的工作联系起来二者有一定的关系，等级保护实施指南中规划设计阶段可以采用风险评估的方法确定额外的安全需求。风险管理概念比较大，在安全防护体系里不是非常合适，还是采用安全等级保护、安全风险评估、灾难备份及恢复的概念。12.运营商考虑安全考虑的角度：通信服务的安全和通信内容的安全，这里安全防护涵盖的范围是什么？这里指的是通信服务的安全，也就是电信网和互联网（网络）的安全。因为本身题目就是电信网和互联网。所以没有必要特意进行解释。13.跟国际标准的协调，E.408、X.805，是否考虑网络边界的问题，网络安全域之间的接口要求进行说明，进一步相关的细化E.408：电信网安全需求。对电信网系统安全进行了层次划分，对角色划分也进行了说明。包括网络运营商、服务提供商、用户、设备制造商，第三方组织等等。（这里进行了借鉴）对安全域、安全目标、威胁、风险、安全需求进行了说明。其中安全需求包括相关服务、安全管理需求、安全服务和OSI架构、安全管理等等。E.408更多的是从安全域的角度对电信网安全进行说明，管理指南对安全域没有涉及。X.805：端到端通信系统的安全架构。定义了8个安全维度、3个安全层（设备、业务、应用）、3个安全面（管理、控制、终端用户）、安全威胁。然后对于3*3的组合，对每个安全维度进行了安全目标的定义。X.805和管理指南在思路上也并不一致。管理指南并不对电信网本身的安全架构进行规范，只是对如何从等级保护、风险评估、灾难备份三个方面进行安全防护进行说明。14.第八节防护体系中，防护工作评测和安全保障要求属于同一个级，并列，评测不是在要求的指导下的工作。采纳。在第8节中进行了修改。安全保障要求和防护工作评测都并列在第三层。15.标题标题改为：电信网和互联网采纳。增加互联网定义：本标准涉及的互联网仅指公众互联网。16第5节安全风险评估实施流程图中，对风险分析过程进行一定的说明采纳。图2中在已有安全措施确认前增加了风险值，已有安全措施确认之后增加了风险分析。第二次会议：2006.11.16序号单位/提出人章节问题/修改建议处理意见1.钟处全文本标准不是基于相应国标，不受国标指导，不是对国标的细化，是独立制定的标准。在全文应改变相应说法。前言中不提国标，引用文件里可以列出。采纳2.中兴前言国标把对应的号加上采纳3.武邮前言信息安全风险评估指南“指南”改为“规范”采纳4.范围范围里加说明：不包括专用网，仅指公众电信网和公众互联网。采纳5.中兴引言/范围第二段“目的”改为“目标”采纳6.中兴引言第二段等级保护体系的三部分内容名称具体说明一下。采纳7. 标准所术语和定义电信网和互联网分开定义，参考相关国标定义。加一个“引用标准”。采纳8.中兴术语和定义备份的翻译是否含recovery与国标保持一致。9.术语和定义2.3安全等级里应包括“社会影响力”采纳10.华为术语和定义电信网定义应详细一些，包括固定网和移动网。采纳11.术语和定义“导致安全事件的发生”是否改为“导致安全事件发生的可能性”与国标保持一致。12.术语和定义2.9是否需要同时恢复网络和业务“可正常运行状态”应考虑修改2.9的名称是否需要改采纳13.目标和原则完整性改为完备性或者全面性。采纳14.安全等级保护第4段“。确定安全保护等级”中加入“社会影响力”等因素。采纳15.安全等级保护“在电信网和互联网废弃阶段，在对信息、设备、介质或网络进行废弃处理时。”去掉“网络”。采纳16.图1“系统定级”改为“电信网和互联网相关系统定级”，“系统终止”也改为“电信网和互联网相关系统终止”。采纳17.图5题目加“和互联网”采纳18.安全风险评估“授权的风险评估服务技术支持方”改为“具有安全防护评测服务资质的评测机构”采纳19.安全风险评估说明自评估由运营商发起？有待确认。按照相应管理规定20.安全风险评估图2的名称加“安全”采纳21.灾难备份及恢复加一个实施流程图采纳22.安全防护体系图3里“落实要求”应换一个说法，避免误解。采纳23.安全防护体系相关系统划分中，把IP承载网单独列出来采纳24.安全防护体系在第三层中增加固定网和移动网，和其他相关系统并列。在相关文字说明中阐述和其他相关系统的关系。采纳25.安全防护体系图4“安全保障要求”改为“安全防护要求”采纳26.安全防护体系“信息产业部应出台。”改为“信息产业部应有。电信网和互联网安全防护评测资质管理办法”。采纳27.安全防护体系“构建于电信网和互联网之上的重要信息系统，例如银行、电力、国防等的安全不属于电信网和互联网安全防护范畴；用户信息系统，例如企业用户、个人用户等的安全不属于电信网和互联网安全防护范畴。”“国防”和“个人”等词后应加“信息系统”的说明。采纳28.安全防护体系增加说明：安全等级保护、安全风险评估、灾难备份及恢复三者与检查评测的关系。采纳29.角色划分“电信网和互联网的安全防护工作是在信息产业部的领导下，由各网络运营商和设备制造商联合相关管理、评测机构共同实施的。”“联合”的说法不太合适，建议进行修改。采纳30.角色划分“配合信息产业部授权的具有安全防护评测服务资质的评测机构开展安全防护评测工作，定期提供安全防护评测报告。”去掉“配合信息产业部授权的具有安全防护评测服务资质的评测机构开展安全防护评测工作”。采纳31.角色划分去掉“并立即启动电信网和互联网安全防护评测工作。”采纳32.角色划分网络运营商应分自评测和检查评测。采纳33.角色划分最后一段“并根据评测结果要求网络运营商和设备制造商进行相关改进。”说法不合适，应由主管部门要求。采纳34.角色划分“可有步骤、有重点地组织和督促各网络运营商和设备制造商开展电信网和互联网安全防护工作。”应加上第三方机构采纳35.角色划分“信息产业部授权的具有安全防护评测服务资质的评测机构受信息产业部的委托，作为电信网和互联网安全防护专控队伍”改为信息产业部授权的具有安全防护评测服务资质的评测机构作为电信网和互联网安全防护专控队伍，受信息产业部的委托，。采纳36.全文网络运营商改为网络和业务运营商采纳37.全文去掉“谁主管谁负责，谁运营谁负责”的说法，在角色划分的相关说明中涵盖这个原则。采纳38.全文8，9节挪到4前面采纳3标准文件编制原则和确定标准文件主要内容（如技术指标、参数、公式、性能要求、试验方法、检验规则等）的依据（包括试验、统计数据）。本标准文件参考和引用了包括网络、设备、技术、管理等方面与安全相关的国际和国内标准。随着相关领域的技术发展以及相关标准的更新，本标准文件应作相应更新或补充。电信网和互联网安全防护工作的目标就是要加强电信网和互联网的安全防护能力，确保网络的安全性和可靠性，尽可能实现对电信网和互联网安全状况的实时掌控，保证电信网和互联网能够完成其使命。为了实现该目标，网络和业务运营商、设备制造商要充分考虑电信网和互联网不同等级的安全要求，从环境因素以及人为因素分析电信网和互联网面临的威胁，从技术和管理两个方面分析电信网和互联网存在的脆弱性，充分考虑现有安全措施，分析电信网和互联网现存风险，平衡效益与成本，制定灾难备份及恢复计划，将电信网和互联网的安全控制在可接受的水平。电信网和互联网安全防护工作要在适度安全原则的指导下，采用自主保护和重点保护方法，在安全防护工作安排部署过程中遵循标准性、可控性、完备性、最小影响和保密原则，实现同步建设、统筹兼顾、经济实用和循序渐进地进行安全防护工作。根据上述工作目标和原则可确定本标准文件主要内容。4主要试验（或验证）的分析、综述报告。本标准文件主要内容已在中国电信、中国移动等电信运营单位获得验证。5标准文件在起草过程中遇到的问题及解决办法；重大分歧意见的处理经过和依据；有无重要技术问题需要说明。本标准文件起草过程中没有重大分歧意见，没有需要说明的重要技术问题。6与国外标准的关系：包括：采用国际标准和国外先进标准的程度，与国外标准主要技术内容的差异。目前没有与本标准文件对应的国外标准。7修订标准文件时，说明与标准文件前一版本的重大技术变化，并列出所涉及的新、旧版本的有关章条；废止/代替现行有关标准文件的建议。无。8说明标准文件与其他标准文件或文件的关系，特别是与有关的现行法律、法规和强制性国家标准的关系。本标准文件是“电信网和互联网安全防护体系”系列标准文件之一。该系列标准文件预计结构及名称如下：电信网和互联网安全防护管理指南电信网和互联网安全等级保护实施指南电信网和互联网安全风险评估实施指南电信网和互联网灾难备份及恢复实施指南固定通信网安全防护要求移动通信网安全防护要求互联网安全防护要求增值业务网消息网安全防护要求增值业务网智能网安全防护要求接入网安全防护要求传送网安全防护要求IP承载网安全防护要求信令网安全防护要求同步网安全防护要求支撑网安全防护要求固定通信网安全防护检测要求移动通信网安全防护检测要求互联网安全防护检测要求增值业务网消息网安全防护检测要求增值业务网智能网安全防护检测要求接入网安全防护检测要求传送网安全防护检测要求IP承载网安全防护检测要求信令网安全防护检测要求同步网安全防护检测要求支撑网安全防护检测要求随着电信网和互联网的发展，将不断补充和完善电信网和互联网安全防护体系的相关标准文件。9贯彻标准文件的要求和措施建议（包括组织