中国电信产品维护经理认证体系教材-网络安全

1、产品维护护经理认证证体系教材材-网络络安全中国电信信维护岗岗位认证证教材编编写小组组编制目 录TOC o 1-3 h z u HYPERLINK l _Toc420309654 第1章信信息安全全管理基基础 PAGEREF _Toc420309654 h 5 HYPERLINK l _Toc420309655 1.1信信息安全全概述 PAGEREF _Toc420309655 h 55 HYPERLINK l _Toc420309656 1.1.1 信信息安全全面临的的主要问问题 PAGEREF _Toc420309656 h 5 HYPERLINK l _Toc420309657 1.1.2

2、 信信息安全全的相对对性 PAGEREF _Toc420309657 h 5 HYPERLINK l _Toc420309658 1.2信信息安全全管理相相关概念念 PAGEREF _Toc420309658 h 5 HYPERLINK l _Toc420309659 1.2.1 什什么是信信息安全全 PAGEREF _Toc420309659 h 5 HYPERLINK l _Toc420309660 1.2.2 信信息安全全的发展展过程 PAGEREF _Toc420309660 h 66 HYPERLINK l _Toc420309661 1.2.3 信信息安全全的基本本目标 PAGER

3、EF _Toc420309661 h 66 HYPERLINK l _Toc420309662 1.2.4 如如何实现现信息安安全 PAGEREF _Toc420309662 h 6 HYPERLINK l _Toc420309663 1.2.5 信信息安全全需要遵遵循的模模式 PAGEREF _Toc420309663 h 7 HYPERLINK l _Toc420309664 1.3 BSS77999概述述 PAGEREF _Toc420309664 h 7 HYPERLINK l _Toc420309665 1.3.1 BBS 777999 PAGEREF _Toc420309665 h

4、 7 HYPERLINK l _Toc420309666 1.3.2 IISO 177799 PAGEREF _Toc420309666 h 88 HYPERLINK l _Toc420309667 1.3.3 安安全管理理体系规规范 PAGEREF _Toc420309667 h 144 HYPERLINK l _Toc420309668 1.3.4 IISMSS管理框框架 PAGEREF _Toc420309668 h 155 HYPERLINK l _Toc420309669 第2章网网络安全全防护实实施标准准 PAGEREF _Toc420309669 h 17 HYPERLINK l

5、 _Toc420309670 2.1 电信网网和互联联网安全全防护管管理指南南 PAGEREF _Toc420309670 h 17 HYPERLINK l _Toc420309671 2.2 电信网网和互联联网安全全等级保保护实施施指南 PAGEREF _Toc420309671 h 225 HYPERLINK l _Toc420309672 2.3 电信网网和互联联网安全全风险评评估实施施指南 PAGEREF _Toc420309672 h 551 HYPERLINK l _Toc420309673 2.4 电信网网和互联联网安全全等级保保护实施施指南 PAGEREF _Toc420309

6、673 h 776 HYPERLINK l _Toc420309674 第3章中中国电信信安全维维护规范范 PAGEREF _Toc420309674 h 91 HYPERLINK l _Toc420309675 3.1 安全域域划分及及边界整整合 PAGEREF _Toc420309675 h 911 HYPERLINK l _Toc420309676 3.1.1 安安全域划划分与边边界整合合 PAGEREF _Toc420309676 h 91 HYPERLINK l _Toc420309677 3.1.2 定定级备案案 PAGEREF _Toc420309677 h 91 HYPERLI

7、NK l _Toc420309678 3.1.3 安安全域职职责分工工 PAGEREF _Toc420309678 h 91 HYPERLINK l _Toc420309679 3.1.4 网网络接入入 PAGEREF _Toc420309679 h 91 HYPERLINK l _Toc420309680 3.2 安全管管理规范范 PAGEREF _Toc420309680 h 91 HYPERLINK l _Toc420309681 3.2.1 安安全操作作流程和和职责 PAGEREF _Toc420309681 h 991 HYPERLINK l _Toc420309682 3.2.2

8、安安全对象象管理 PAGEREF _Toc420309682 h 992 HYPERLINK l _Toc420309683 3.2.3 安安全日常常维护管管理 PAGEREF _Toc420309683 h 922 HYPERLINK l _Toc420309684 3.2.4 第第三方服服务管理理 PAGEREF _Toc420309684 h 93 HYPERLINK l _Toc420309685 3.2.5 介介质安全全管理 PAGEREF _Toc420309685 h 993 HYPERLINK l _Toc420309686 3.2.6 设设备安全全规范管管理 PAGEREF

9、_Toc420309686 h 933 HYPERLINK l _Toc420309687 3.3 访问控控制 PAGEREF _Toc420309687 h 944 HYPERLINK l _Toc420309688 3.3.1 网网络访问问控制 PAGEREF _Toc420309688 h 994 HYPERLINK l _Toc420309689 3.3.2 操操作系统统的访问问控制 PAGEREF _Toc420309689 h 995 HYPERLINK l _Toc420309690 3.3.3 应应用访问问控制 PAGEREF _Toc420309690 h 995 HYPER

10、LINK l _Toc420309691 3.3.4 网网络访问问与使用用的监控控 PAGEREF _Toc420309691 h 95 HYPERLINK l _Toc420309692 3.3.5 远远程访问问控制 PAGEREF _Toc420309692 h 996 HYPERLINK l _Toc420309693 3.4 网络与与系统风风险评估估 PAGEREF _Toc420309693 h 96 HYPERLINK l _Toc420309694 3.5 安全事事件与应应急响应应 PAGEREF _Toc420309694 h 96 HYPERLINK l _Toc420309

11、695 3.5.1 安安全事件件报告机机制 PAGEREF _Toc420309695 h 966 HYPERLINK l _Toc420309696 3.5.2 应应急响应应 PAGEREF _Toc420309696 h 97 HYPERLINK l _Toc420309697 3.6 安全审审计管理理 PAGEREF _Toc420309697 h 97 HYPERLINK l _Toc420309698 3.6.1 审审计内容容要求 PAGEREF _Toc420309698 h 997 HYPERLINK l _Toc420309699 3.6.2 审审计原则则 PAGEREF _T

12、oc420309699 h 97 HYPERLINK l _Toc420309700 3.6.3 审审计管理理 PAGEREF _Toc420309700 h 98 HYPERLINK l _Toc420309701 第4章安安全评估估 PAGEREF _Toc420309701 h 99 HYPERLINK l _Toc420309702 4.1安安全评估估概述 PAGEREF _Toc420309702 h 999 HYPERLINK l _Toc420309703 4.1.1 安安全评估估目的 PAGEREF _Toc420309703 h 999 HYPERLINK l _Toc420

13、309704 4.1.2 安安全评估估要素 PAGEREF _Toc420309704 h 999 HYPERLINK l _Toc420309705 4.1.2 安安全评估估过程 PAGEREF _Toc420309705 h 1101 HYPERLINK l _Toc420309706 4.1.4 安安全评估估工具 PAGEREF _Toc420309706 h 1102 HYPERLINK l _Toc420309707 4.1.5 安安全评估估标准 PAGEREF _Toc420309707 h 1102 HYPERLINK l _Toc420309708 4.2 安全扫扫描 PAGE

14、REF _Toc420309708 h 1003 HYPERLINK l _Toc420309709 4.2.1漏洞洞及其分分类 PAGEREF _Toc420309709 h 1003 HYPERLINK l _Toc420309710 4.2.2 网网络扫描描技术 PAGEREF _Toc420309710 h 1104 HYPERLINK l _Toc420309711 第5章常常见安全全产品 PAGEREF _Toc420309711 h 1107 HYPERLINK l _Toc420309712 5.1防防病毒网网关 PAGEREF _Toc420309712 h 1007 HYP

15、ERLINK l _Toc420309713 5.1.1 防防病毒网网关基础础概念 PAGEREF _Toc420309713 h 1107 HYPERLINK l _Toc420309714 5.1.2 防防病毒网网关与防防火墙区区别 PAGEREF _Toc420309714 h 1008 HYPERLINK l _Toc420309715 5.1.3 防防病毒网网关与防防病毒软软件区别别 PAGEREF _Toc420309715 h 1100 HYPERLINK l _Toc420309716 5.1.4 防防病毒网网关关键键技术 PAGEREF _Toc420309716 h 111

16、1 HYPERLINK l _Toc420309717 5.2 防火墙墙 PAGEREF _Toc420309717 h 1133 HYPERLINK l _Toc420309718 5.2.1 防防火墙基基本知识识 PAGEREF _Toc420309718 h 1133 HYPERLINK l _Toc420309719 5.2.2 防防火墙基基本配置置 PAGEREF _Toc420309719 h 1177 HYPERLINK l _Toc420309720 5.3 入侵检检测 PAGEREF _Toc420309720 h 1223 HYPERLINK l _Toc420309721

17、 5.3.1 入入侵检测测与入侵侵防御概概述 PAGEREF _Toc420309721 h 1223 HYPERLINK l _Toc420309722 5.3.2 入入侵检测测系统介介绍 PAGEREF _Toc420309722 h 1226 HYPERLINK l _Toc420309723 5.3.3 入入侵防御御系统介介绍 PAGEREF _Toc420309723 h 1334 HYPERLINK l _Toc420309724 5.4 VPNN PAGEREF _Toc420309724 h 1388 HYPERLINK l _Toc420309725 5.4.1 VVPN的的

18、基本原原理 PAGEREF _Toc420309725 h 1338 HYPERLINK l _Toc420309726 5.4.2 VVPN的的安全协协议 PAGEREF _Toc420309726 h 1339 HYPERLINK l _Toc420309727 附录：第第一章安安全配置置 PAGEREF _Toc420309727 h 1566 HYPERLINK l _Toc420309728 1.1 网络设设备安全全配置 PAGEREF _Toc420309728 h 1156 HYPERLINK l _Toc420309729 1.1.1 交交换机安安全配置置 PAGEREF _T

19、oc420309729 h 1566 HYPERLINK l _Toc420309730 1.1.2 路路由器安安全配置置 PAGEREF _Toc420309730 h 1588 HYPERLINK l _Toc420309731 1.2 主机安安全配置置 PAGEREF _Toc420309731 h 1688 HYPERLINK l _Toc420309732 1.2.1 WWinddowss安全配配置 PAGEREF _Toc420309732 h 1668 HYPERLINK l _Toc420309733 1.2.2 SSolaariss安全配配置 PAGEREF _Toc4203

20、09733 h 1773 HYPERLINK l _Toc420309734 1.2.3 LLinuux安全全配置 PAGEREF _Toc420309734 h 1175 HYPERLINK l _Toc420309735 附录第二二章密码码学基础础 PAGEREF _Toc420309735 h 1777 HYPERLINK l _Toc420309736 2.1密密码学概概述 PAGEREF _Toc420309736 h 1777 HYPERLINK l _Toc420309737 2.1.1 密密码学概概述 PAGEREF _Toc420309737 h 1777 HYPERLINK

21、 l _Toc420309738 2.1.2 密码体体制的分分类 PAGEREF _Toc420309738 h 1777 HYPERLINK l _Toc420309739 2.1.4 密密码学的的主要应应用 PAGEREF _Toc420309739 h 1880 HYPERLINK l _Toc420309740 2.1.5 信信息加密密方式 PAGEREF _Toc420309740 h 1180 HYPERLINK l _Toc420309741 2.2对对称密码码学 PAGEREF _Toc420309741 h 1882 HYPERLINK l _Toc420309742 2.3

22、非非对称密密码学 PAGEREF _Toc420309742 h 1182 HYPERLINK l _Toc420309743 2.4消消息认证证技术 PAGEREF _Toc420309743 h 1183第1章信息安安全管理理基础1.1信信息安全全概述1.1.1 信信息安全全面临的的主要问问题1、人员员问题：信息安全全意识薄薄弱的员员工误操操作、误误设置造造成系统统宕机、数据丢丢失，信信息泄漏漏等问题题特权人员员越权访访问，如如：系统统管理员员，应用用管理员员越权访访问、传传播敏感感数据内部员工工和即将将离职员员工窃取取企业秘秘密，尤尤其是骨骨干员工工流动、集体流流动等2、技术术问题：病毒

23、和黑黑客攻击击越来越越多、爆爆发越来来越频繁繁，直接接影响企企业正常常的业务务运作3、法律律方面网络滥用用：员工工发表政政治言论论、访问问非法网网站法制不健健全，行行业不正正当竞争争（如：窃取机机密，破破坏企业业的业务务服务）1.1.2 信信息安全全的相对对性安全没有有1000%，完完美的健健康状态态永远也也不能达达到。安全工作作的目标标：将风风险降到到最低。1.2信信息安全全管理相相关概念念1.2.1 什什么是信信息安全全ISO1177999中的的描述：“Innforrmattionn iss ann asssett whhichh, llikee ottherr immporrtannt

24、bbusiinesss aasseets, haas vvaluue tto aan oorgaanizzatiion andd coonseequeentlly nneedds tto bbe ssuittablly pprottectted. ” “Innforrmattionn caan eexisst iin mmanyy foormss. IIt ccan be priinteed oor wwritttenn onn paaperr, sstorred eleectrroniicallly, trranssmitttedd byy poost or usiing eleectrro

25、niic mmeanns, shoown on fillms, orr sppokeen iin cconvverssatiion. 定义中强强调信息息：是一种资资产同其它重重要的商商业资产产一样对组织具具有价值值 需要适当当的保护护以各种形形式存在在：纸、电子、影片、交谈等等ISO1177999中的的描述:“Innforrmattionn seecurrityy prroteectss innforrmattionn frrom a wwidee raangee off thhreaats in ordder to enssuree buusinnesss coontiinuiity, mi

26、inimmizee buusinnesss daamagge aand maxximiize retturnn onn innvesstmeentss annd bbusiinesss ooppoortuunittiess.”信息安全全：保护信息息免受各各方威胁胁确保组织织业务连连续性将信息不不安全带带来的损损失降低低到最小小 获得最大大的投资资回报和和商业机机会1.2.2信息安安全的发发展过程程20世纪纪初：强强调保密密性（密密码学）20世纪纪60年年代：保保密性、完整性性、可用用性（CCIA）20世纪纪80年年代：保保密性、完整性性、可用用性、抗抗抵赖、可控性性、真实实性1.2.3信息安安

27、全的基基本目标标保密性（Connfiddenttiallityy）：确确保信息息在存储储、使用用、传输输过程中中不会泄泄漏给非非授权用用户或实实体。完整性（Inttegrrityy）：确确保信息息在存储储、使用用、传输输过程中中不会被被非授权权用户篡篡改，同同时还要要防止授授权用户户对系统统及信息息进行不不恰当的的篡改，保持信信息内、外部表表示的一一致性。可用性（Avaailaabillityy）：确确保授权权用户或或实体对对信息及及资源的的正常使使用不会会被异常常拒绝，允许其其可靠而而及时地地访问信信息及资资源。1.2.4如何实实现信息息安全物理安全全技术：环境安安全、设设备安全全、媒体体安

28、全；系统安全全技术：操作系系统及数数据库系系统的安安全性；网络安全全技术：网络隔隔离、访访问控制制、VPPN、入入侵检测测、扫描描评估；应用安全全技术：Emaail 安全、Webb 访问问安全、内容过过滤、应应用系统统安全；数据加密密技术：硬件和和软件加加密，实实现身份份认证和和数据信信息的CCIA 特性；认证授权权技术：口令认认证、SSSO 认证（例如KKerbberoos）、证书认认证等；访问控制制技术：防火墙墙、访问问控制列列表等；审计跟踪踪技术：入侵检检测、日日志审计计、辨析析取证；防病毒技技术：单单机防病病毒技术术逐渐发发展成整整体防病病毒体系系；灾难恢复复和备份份技术：业务连连续性

29、技技术，前前提就是是对数据据的备份份。1.2.5信息安安全需要要遵循的的模式在信息安安全管理理方面，BS777999 标准准为我们们提供了了指导性性建议，即基于于PDCCA（PPlann、Doo、Chheckk 和AAct，即戴明明环）的的持续改改进的管管理模式式。1.3BBS77799概概述1.3.1 BBS 777999（一）BBS 777999简介BS 777999是英国标标准协会会（Brritiish Staandaardss Innstiitutte，BBSI）制定的的信息安安全标准准，由信信息安全全方面的的最佳惯惯例组成成的一套套全面的的控制集集，是信信息安全全管理方方面最受受推崇

30、的的国际标标准。BS77799和和ISOO177799的的区别：BS77799：英国标准准已被多个个国家认认同（如如澳大利利亚等）第二部分分是可认认证标准准20022年新修修订了第第2部分分。新版版本风格格接近IISO990000和ISSO1440000。ISO117799920000年采纳纳了BSS77999的第第一部分分第二部分分还在讨讨论中（二）BBS 777999的历史史沿革 19990年年代初 英国国贸工部部（DTTI）成成立工作作组，立立项开发发一套可可供开发发、实施施和测量量有效安安全管理理惯例并并提供贸贸易伙伴伴间信任任的通用用框架。 19993年年9月 颁布信息安安全管理理实

31、施细细则，形成BBS 777999的基础础。 19995年年2月 首次出出版BSS 77799-1:119955信息息安全管管理实施施细则。 19998年年2月 英国公公布BSS 77799-2:信息安安全管理理体系规规范。 19999年年4月 BS 77999-11与BSS 77799-2修订订后重新新发布。 20000年年12月月 国际际标准组组织 IISO/IECC JTTC 11/SCC27工工作组认认可通过过BS 77999-11，颁布布ISOO/IEEC 1177999-11:20000信息技技术信息安安全管理理实施细细则。 20002年年9月 BSII对BSS 77799-2进行

32、行了改版版，用来来替代原原标准（BS 77999-22:19999）使用，并可望望通过IISO组组织认可可。ISO2270001:220055 建立信信息安全全管理体体系（IISMSS）的一一套规范范（Sppeciificcatiion forr Innforrmattionn Seecurrityy Maanaggemeent Sysstemms），其中详详细说明明了建立立、实施施和维护护信息安安全管理理体系的的要求，指出实实施机构构应该遵遵循的风风险评估估标准 。1.3.2 IISO 177799图：ISSO 1177999:220055内容框框架（一）信信息安全全管理细细则信息安全全策略

33、安全组织织资产分类类和控制制人员安全全物理和环环境安全全通信和操操作管理理访问控制制系统获得得、开发发和维护护信息安全全事件管管理业务连续续性管理理依从性（二）信信息安全全策略目标：信息安全全策略为信信息安全全提供与与业务需需求和法法律法规规相一致致的管理理指示及及支持 安全全策略应应该做到到： 对信信息安全全加以定定义 陈述述管理层层的意图图 分派派责任 约定定信息安安全管理理的范围围 对特特定的原原则、标标准和遵遵守要求求进行说说明 对报报告可疑疑安全事事件的过过程进行行说明 定义义用以维维护策略略的复查查过程（三）安安全组织织目标： 信息安安全基础础设施在组组织内部部管理信信息安全全 外

34、部部组织保持持组织的的被外部部组织访访问、处处理、沟沟通或管管理的信信息及信信息处理理设备的的安全 包含含的内容容： 建立立管理委委员会，定义安安全管理理的角色色和责任任 对软软硬件的的采购建建立授权权过程与第三方方签订的的协议中中应覆盖盖所有相相关的安安全要求求。 外包包合同中中的安全全需求包括内部部组织和和外部伙伙伴（四）资资产管理理目标：资产责任任实现现并保持持组织资资产的适适当保护护信息分类类确确保对信信息资产产的保护护达到恰恰当的水水平 包含含的内容容： 组织织可以根根据业务务运作流流程和信信息系统统拓扑结结构来识识别信息息资产。 按照照信息资资产所属属系统或或所在部部门列出出资产清

35、清单。 所有有的信息息资产都都应该具具有指定定的属主主并且可可以被追追溯责任任。 信息息应该被被分类，以标明明其需求求、优先先级和保保护程度度。 根据据组织采采用的分分类方案案，为信信息标注注和处理理定义一一套合适适的程序序。（五）人人力资源源安全目标： 雇佣佣前确保员员工、合合同访和和第三方方用户了了解他们们的责任任并适合合于他们们所考虑虑的角色色，减少少盗窃、滥用或或设施误误用的风风险。 雇佣佣中确保所所有的员员工、合合同方和和第三方方用户了了解信息息安全威威胁和相相关事宜宜、他们们的责任任和义务务，并在在他们的的日常工工作中支支持组织织的信息息安全方方针，减减少人为为错误的的风险。 解聘

36、聘和变更更确确保员工工、合同同方和第第三方用用户离开开组织或或变更雇雇佣关系系时以一一种有序序的方式式进行。 包含含的内容容： 故意意或者无无意的人人为活动动可能给给数据和和系统造造成风险险 在正正式的工工作描述述中建立立安全责责任，员员工入职职审查 （六）物物理和环环境安全全目标： 安全全区域防止止非授权权访问、破坏和和干扰业业务运行行的前提提条件及及信息。 设备备安全预防防资产的的丢失、损坏或或被盗，以及对对组织业业务活动动的干扰扰。 包含含的内容容： 应该该建立带带有物理理入口控控制的安安全区域域 应该该配备物物理保护护的硬件件设备 应该该防止网网络电缆缆被塔线线窃听 将设设备搬离离场所

37、，或者准准备报废废时，应应考虑其其安全（七）通通信和操操作管理理目标： 操作作程序和和责任确保保信息处处理设施施的正确确和安全全操作。 第三三方服务务交付管管理实施并并保持信信息安全全的适当当水平，确保第第三方交交付的服服务符合合协议要要求。 系统统规划与与验收减少少系统失失效带来来的风险险。 防范恶恶意代码码和移动动代码保护护软件和和信息的的完整性性。 备份保持持信息和和信息处处理设施施的完整整性和可可用性 网络络安全管管理确保对对网络中中信息和和支持性性基础设设施的安安全保护护。 介质质处理和和安全防止止对资产产的未授授权泄漏漏、修改改、移动动或损坏坏，及对对业务活活动的干干扰。 信息息和

38、软件件的交换换应应保持组组织内部部或组织织与外部部组织之之间交换换信息和和软件的的安全。 电子商商务服务务 确保电电子商务务的安全全及他们们的安全全使用。监督检测未未经授权权的信息息处理活活动。 包含含的内容容： 防病病毒，防防恶意软软件 进行行变更控控制 做好好备份，存储介介质的安安全处理理，保存存正确的的访问日日志，系系统文件件的安全全性 电子子邮件安安全性 保护护传输中中的数据据（八）访访问控制制目标： 访问问控制的的业务需需求控制对对信息的的访问。 用户户访问管管理确保授授权用户户的访问问，并预预防信息息系统的的非授权权访问。 用户户责任预防防未授权权用户的的访问，信息和和信息处处理设

39、施施的破坏坏或被盗盗。 网络络访问控控制防止对对网络服服务未经经授权的的访问。 操作作系统访访问控制制防防止对操操作系统统的未授授权访问问。 应用用访问控控制防止对对应用系系统中信信息的未未授权访访问。 移动动计算和和远程工工作确保在在使用移移动计算算和远程程工作设设施时信信息的安安全。 包含含的内容容： 口令令的正确确使用 对终终端的物物理访问问 自动动终止时时间 软件件监视等等（九）系系统获得得、开发发与维护护目标： 系统统的安全全需求确保保安全内内建于信信息系统统中。 应用用系统的的安全防止止应用系系统信息息的错误误、丢失失、未授授权的修修改或误误用。 加密密控制通过过加密手手段来保保护

40、细腻腻的保密密性、真真实性或或完整性性。 系统统文件的的安全确保保系统文文档的安安全。 开发发和支持持过程的的安全保持持应用系系统软件件和信息息的安全全。技术漏洞洞管理减少少由利用用公开的的技术漏漏洞带来来的风险险。 包含含的内容容： 在系系统设计计时应该该考虑输输入数据据校验、数据加加密、数数据文件件的安全全性、测测试数据据的保护护 软件件开发和和维护中中应该建建立配置置管理、变更控控制等机机制（十）信信息安全全事件管管理目标：报告信息息安全事事件和弱弱点确保与与信息系系统有关关的安全全事件和和弱点的的沟通能能够及时时采取纠纠正措施施。信息安全全事故的的管理和和改进确保保使用持持续有效效的方

41、法法管理信信息安全全事故。 包含含的内容容：正常的事事件报告告和分类类程序，这类程程序用来来报告可可能对机机构的财财产安全全造成影影响的不不同种类类的事件件和弱点点所有的员员工、合合同方和和第三方方用户都都应该知知晓这套套报告程程序。要求员工工需要尽尽可能快快地将信信息安全全事件和和弱点报报告给指指定的联联系方。 （十一）业务连连续性管管理目标：业务连续续性管理理的信息息安全方方面：防止止业务活活动的中中断，保保护关键键业务流流程不会会受信息息系统重重大失效效或自然然灾害的的影响，并确保保他们的的及时恢恢复。 包含含的内容容： 全面面理解业业务连续续性计划划（BCCP） 理解解组织面面临的风风

42、险，识识别关键键业务活活动和优优先次序序。 确认认可能对对业务造造成影响响的中断断。 应该该设计、实施、测试和和维护BBCP（十二）符合性性目标：与法律法法规要求求的符合合性避免违违反法律律、法规规、规章章、合同同要求和和其他的的安全要要求。符合安全全方针、标准，技术符符合性确保保系统符符合组织织安全方方针和标标准。信息系统统审核的的考虑因因素最大化化信息系系统审核核的有效效性，最最小化来来自/对对信息系系统审核核的影响响。 包含含的内容容： 组织织应该确确保遵守守相关的的法律法法规和合合同义务务 软件件版权，知识产产权等1.3.3 安安全管理理体系规规范（一）BBS77799-2简介介BS

43、777999标准对对信息安安全管理理体系（ISMMS）并并没有一一个明确确的定义义，可以以将其理理解为组组织管理理体系的的一部分分。ISMSS涉及到到的内容容：用于于组织信信息资产产风险管管理、确确保组织织信息安安全的、包括为为制定、实施、评审和和维护信信息安全全策略所所需的组组织机构构、目标标、职责责、程序序、过程程和资源源。标准要求求的ISSMS建建立过程程：制定定信息安安全策略略，确定定体系范范围，明明确管理理职责，通过风风险评估估确定控控制目标标和控制制方式。体系一旦旦建立，组织应应该按规规定要求求进行运运作，保保持体系系的有效效性。ISMSS应形成成一定的的文档，包括策策略、适适用性

44、声声明文件件和实施施安全控控制所需需的程序序文件。一个文档档化的IISMSS应该阐阐述：要要保护的的资产，组织进进行风险险管理的的途径，控制目目标和控控制方式式，需要要的保障障程度。（二）IISMSS的作用用强化员工工的信息息安全意意识，规规范组织织信息安安全行为为；对组织的的关键信信息资产产进行全全面系统统的保护护，维持持竞争优优势；在信息系系统受到到侵袭时时，确保保业务持持续开展展并将损损失降到到最低程程度；使组织的的生意伙伙伴和客客户对组组织充满满信心，如果通通过体系系认证，表明体体系符合合标准，证明组组织有能能力保障障重要信信息，提提高组织织的知名名度与信信任度；促使管理理层坚持持贯彻

45、信信息安全全保障体体系。（三）IISO 270001定定义的信信息安全全管理体体系1.3.4 IISMSS管理框框架建立ISSMS管管理框架架的过程程：ISMSS是一个个文档化化的体系系。文档档架构如如下图所所示：第一级 ：方针针策略，信息息安全管管理手册册是xxx信息息安全管管理工作作的纲领领性文件件 。第二级 ：管理理规定、规范、程序文文件用来来规定所所要求的的管理制制度或技技术控制制措施。第三级 ：管理理办法和和实施细细则解释释特殊工工作和活活动的细细节。第四级 ：记录录活动实实行以符符合等级级1,22,和33的文件件要求的的客观证证据，阐阐明所取取得的结结果或提提供完成成活动的的证据

46、ISMSS文件体体系逻辑辑框架图图：第2章 网络安安全防护护实施标标准2.1 电信网网和互联联网安全全防护管管理指南南1. 范围 本标准对对电信网网和互联联网安全全防护的的定义、目标、原则进进行了描描述和规规范。同同时，对对电信网网和互联联网安全全防护体体系、安安全防护护体系三三部分工工作及其其关系进进行了说说明。本标准适适用于电电信网和和互联网网的安全全防护工工作。本标准涉涉及的电电信网和和互联网网不包括括专用网网，仅指指公众电电信网和和公众互互联网。2. 规范性性引用文文件 下列文件件中的条条款通过过本标准准的引用用而成为为指导性性技术文文件的条条款。凡凡是注日日期的引引用文件件，其随随后

47、所有有的修改改单（不不包括勘勘误的内内容）或或修订版版均不适适用于本本标准。然而，鼓励根根据本标标准达成成协议的的各方研研究是否否可使用用这些文文件的最最新版本本。凡是是不注日日期的引引用文件件，其最最新版本本适用于于本标准准。 GB/TT 52271.8-220011 信息息技术 词汇汇 第第 8 部分：安全 3. 术语和和定义 GB/TT 52271.8-220011确立的的术语和和定义，以及下下列术语语和定义义适用于于本标准准。 3.1 电信网 tellecoom nnetwworkk 利用有线线和/或或无线的的电磁、光电系系统，进进行文字字、声音音、数据据、图象象或其它它任何媒媒体的信

48、信息传递递的网络络，包括括固定通通信网、移动通通信网等等。 3.2 互联网 Intternnet 泛指广域域网、局局域网及及终端（包括计计算机、手机等等）通过过交换机机、路由由器、网网络接入入设备等等基于一一定的通通讯协议议连接形形成的，功能和和逻辑上上的大型型网络。 3.3 电信网和和互联网网安全防防护体系系 seecurrityy prroteectiion arcchittectturee off teeleccom nettworrk aand Intternnet电电信网和和互联网网的安全全等级保保护、安安全风险险评估、灾难备备份及恢恢复三项项工作互互为依托托、互为为补充、相互配配合

49、，共共同构成成了电信信网和互互联网安安全防护护体系。 3.4 电信网和和互联网网安全等等级 ssecuuritty cclasssifficaatioon oof tteleecomm neetwoork andd Innterrnett 电信网和和互联网网及相关关系统重重要程度度的表征征。重要要程度从从电信网网和互联联网及相相关系统统受到破破坏后，对国家家安全、社会秩秩序、经经济运行行、公共共利益、网络和和业务运运营商造造成的损损害来衡衡量。 3.5 电信网和和互联网网安全等等级保护护 cclasssiffiedd ssecuuritty prootecctioon of teeleccom

50、 neetwoork andd Innterrnett 指对对电信网网和互联联网及相相关系统统分等级级实施安安全保护护。 3.6 电信网和和互联网网安全风风险 ssecuuritty rriskk off teeleccom nettworrk aand Intternnet 人为或或自然的的威胁可可能利用用电信网网和互联联网及相相关系统统存在的的脆弱性性导致安安全事件件的发生生及其对对组织造造成的影影响。 3.7 电信网和和互联网网安全风风险评估估 seecurrityy riisk asssesssmennt oof tteleecomm neetwoork andd Innterrnet

51、t 指运用科科学的方方法和手手段，系系统地分分析电信信网和互互联网及及相关系系统所面面临的威威胁及其其存在的的脆弱性性，评估估安全事事件一旦旦发生可可能造成成的危害害程度，提出有有针对性性的抵御御威胁的的防护对对策和安安全措施施，防范范和化解解电信网网和互联联网及相相关系统统安全风风险，将将风险控控制在可可接受的的水平，为最大大限度地地保障电电信网和和互联网网及相关关系统的的安全提提供科学学依据。3.8 电信网和和互联网网灾难 dissastter of tellecoom nnetwworkk anndInnterrnett 由于于各种原原因，造造成电信信网和互互联网及及相关系系统故障障或瘫

52、痪痪，使电电信网和和互联网网及相关关系统支支持的业业务功能能停顿或或服务水水平不可可接受、达到特特定的时时间的突突发性事事件。 3.9 电信网和和互联网网灾难备备份 bacckupp foor ddisaasteer rrecooverry oof tteleecomm neetwoork andd Innterrnett为了电信信网和互互联网及及相关系系统灾难难恢复而而对相关关网络要要素进行行备份的的过程。3.100 电信网和和互联网网灾难恢恢复 ddisaasteer rrecooverry oof tteleecomm neetwoork andd Innterrnett 为了了将电信信

53、网和互互联网及及相关系系统从灾灾难造成成的故障障或瘫痪痪状态恢恢复到正正常运行行状态或或部分正正常运行行状态、并将其其支持的的业务功功能从灾灾难造成成的不正正常状态态恢复到到可接受受状态，而设计计的活动动和流程程。4. 目标和和原则 电信网和和互联网网安全防防护工作作的目标标就是要要加强电电信网和和互联网网的安全全防护能能力，确确保网络络的安全全性和可可靠性，尽可能能实现对对电信网网和互联联网安全全状况的的实时掌掌控，保保证电信信网和互互联网能能够完成成其使命命。为了了实现该该目标，网络和和业务运运营商、设备制制造商要要充分考考虑电信信网和互互联网不不同等级级的安全全要求，从环境境因素以以及人

54、为为因素分分析电信信网和互互联网面面临的威威胁，从从技术和和管理两两个方面面分析电电信网和和互联网网存在的的脆弱性性，充分分考虑现现有安全全措施，分析电电信网和和互联网网现存风风险，平平衡效益益与成本本，制定定灾难备备份及恢恢复计划划，将电电信网和和互联网网的安全全控制在在可接受受的水平平。 电信网和和互联网网安全防防护工作作要在适适度安全全原则的的指导下下，采用用自主保保护和重重点保护护方法，在安全全防护工工作安排排部署过过程中遵遵循标准准性、可可控性、完备性性、最小小影响和和保密原原则，实实现同步步建设、统筹兼兼顾、经经济实用用和循序序渐进地地进行安安全防护护工作。 适适度安全全原则：安全

55、防防护工作作的根本本性原则则。安全全防护工工作应根根据电信信网和互互联网的的安全等等级，平平衡效益益与成本本，采取取适度的的安全技技术和管管理措施施。 标标准性原原则：安安全防护护工作开开展的指指导性原原则。指指电信网网和互联联网安全全防护工工作的开开展应遵遵循相关关的国家家或行业业标准。 可可控性原原则：指指电信网网和互联联网安全全防护工工作的可可控性，包括： 人员可可控性：相关的的安全防防护工作作人员应应具备可可靠的政政治素质质、职业业素质和和专业素素质。相关安全全防护工工作的检检测机构构应具有有主管部部门授权权的电信信网和互互联网安安全防护护检测服服务资质质。 工具可控控性：要要充分了了

56、解安全全防护工工作中所所使用的的技术工工具，并并进行一一些实验验，确保保这些技技术工具具能被正正确地使使用。 项目过程程可控性性：要对对整个安安全防护护项目进进行科学学的项目目管理，实现项项目过程程的可控控性。 完完备性原原则：安安全防护护工作要要覆盖电电信网和和互联网网的安全全范围。 最最小影响响原则：从项目目管理层层面和技技术管理理层面，将安全全防护工工作对电电信网和和互联网网正常运运行的可可能影响响降低到到最低限限度。 保保密性原原则：相相关安全全防护工工作人员员应签署署协议，承诺对对所进行行的安全全防护工工作保密密，确保保不泄露露电信网网和互联联网及安安全防护护工作的的重要和和敏感信信

57、息。 5. 安全防防护体系系 电信网和和互联网网安全防防护范畴畴包括基基础电信信运营企企业运营营的传输输、承载载各类电电信业务务的公共共电信网网（含公公共互联联网）及及其组成成部分，支撑和和管理公公共电信信网及电电信业务务的业务务单元和和控制单单元，以以及企业业办公系系统（含含文件管管理系统统、员工工邮件系系统、决决策支持持系统、人事管管理系统统等）、客服呼呼叫中心心、企业业门户网网站等非非核心生生产单元元。此外外，电信信网络安安全防护护工作的的范围还还包括经经营性互互联网信信息服务务单位、移动信信息服务务单位、互联网网接入服服务单位位、互联联网数据据中心、互联网网域名服服务机构构等单位位运营

58、的的网络或或信息系系统。 根据电信信网和互互联网安安全防护护范畴，建立的的电信网网和互联联网安全全防护体体系如图图1所示示。整个个体系分分为三层层，第一一层为整整个安全全防护体体系的总总体指导导性规范范，明确确了对电电信网和和互联网网安全防防护的定定义、目目标、原原则，并并说明了了安全防防护体系系的组成成。 第二层从从宏观的的角度明明确了如如何进行行安全防防护工作作，规范范了安全全防护体体系中安安全等级级保护、安全风风险评估估、灾难难备份及及恢复三三部分工工作的原原则、流流程、方方法、步步骤等。 第三层具具体规定定了电信信网和互互联网安安全防护护工作的的要求，即安全全防护要要求和安安全防护护检

59、测要要求。 根据电电信网和和互联网网全程全全网的特特点，电电信网和和互联网网的安全全防护工工作可从从固定通通信网、移动通通信网、互联网网、增值值业务网网、非核核心生产产单元来来开展。其中，互联网网包括经经营性互互联网信信息服务务单位、互联网网接入服服务单位位、互联联网数据据中心、互联网网域名服服务机构构等单位位运营的的网络或或信息系系统。增增值业务务网包括括消息网网、智能能网等业业务平台台以及业业务管理理平台。 对固定通通信网、移动通通信网、互联网网实施安安全防护护，应分分别从构构成上述述网络的的不同电电信网和和互联网网相关系系统入手手。电信信网和互互联网相相关系统统包括接接入网、传送网网、I

60、PP承载网网、信令令网、同同步网、支撑网网等。其其中，接接入网包包括各种种有线、无线和和卫星接接入网等等，传送送网包括括光缆、波分、SDHH、卫星星等，而而支撑网网则包括括业务支支撑和网网管系统统。 安全防护护要求明明确了电电信网和和互联网网及相关关系统需需要落实实的安全全管理和和技术措措施，涵涵盖了安安全等级级保护、安全风风险评估估、灾难难备份及及恢复等等三部分分内容，其中安安全等级级保护工工作需要要落实的的物理环环境和管管理的安安全等级级保护要要求被单单独提出出作为电电信网和和互联网网及相关关系统的的通用安安全等级级保护要要求。 安全防护护检测要要求与安安全防护护要求相相对应，提供了了对电