我国电信网和互联网的安全防护体系介绍
浏览:11001 来源:通信人在线 日期:2023-12-29
一、概述
1、引述
电信网和互联网网络是国民经济的关键基础设施,是众多关系国计民生的重要信息系统不可或缺的支撑平台。由于信息通信技术的不断发展,电信网和互联网规模的不断扩大和网络开放性的不断提高,使得电信网和互联网的安全面临着越来越多的威胁,存在着越来越多的风险和安全问题。
电信网和互联网安全问题的产生是由于网络存在风险,风险是衡量网络安全状况的标准。风险大,网络就是危险的、不安全的;风险小到可以接受,就可以认为是安全的。电信网和互联网安全问题的产生原因有:互联网与电信网的融合给电信网带来了许多原来存在于互联网的威胁;NGN、3G、WiMAX、IPTV等新技术和新业务的引入增加了电信网络的复杂性、不可控性,也为其安全带来不确定因素;运营商之间网络规划、建设缺乏协调配合,网络一旦出现重大事故时难以迅速恢复;相关法规尚不完善,落实安全保障措施缺乏力度等。
为此,中国通信标准化协会(CCSA)从2008年1月开始,陆续颁布了关于电信网和互联网的安全防护方面的系列通信行业标准,其中于2008年1月14日一次性发布了《电信网和互联网安全防护管理指南》(YD/T 1728-2008)等32项标准。该系列标准是根据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27号文件)以及国家网络与信息安全协调小组办公室关于开展等级保护、风险评估和灾难备份及恢复等工作的有关意见,CCSA是于2006年10月启动了网络安全防护系列标准的制定工作。
欲详细了解关于电信网与互联网分等级安全防护的内容介绍的请进入。
2、关于电信网和互联网安全防护体系
电信网和互联网安全防护体系(Security Protection Architecture of Telecom Network and Internet)是指电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合,共同构成了电信网和互联网安全防护体系。电信网和互联网安全防护体系就是将等级保护、风险评估、灾难备份及恢复这三者有机结合,其目的就是要加强电信网和互联网的安全防护能力,确保网络的安全性和可靠性,尽可能实现对电信网和互联网安全状况的实时掌控,保证电信网和互联网能够完成其使命。为此,我国电信网和互联网的整个安全防护体系包括以下五个部分:
在下述五部分中又分为三个层次,管理指南为电信网和互联网的安全防护工作的第一层,是整个安全防护体系的总体指导性规范。第二层是实施指南,它从宏观的角度明确了如何进行安全防护工作,包括了安全防护体系的三项工作。第三层具体规定了电信网和互联网相关系统的安全防护工作的要求,包括安全防护要求和安全防护检测要求;安全防护检测要求与安全防护要求相对应,提供了对电信网和互联网安全防护工作进行检测的方法,从而确认网络和业务运营商、设备制造商在安全防护工作实施过程中是否满足了相关安全防护要求。下图2为我国电信网和互联网的安全防护体系结构图。
图 2:我国电信网和互联网的安全防护体系结构图
二、管理指南
管理指南为整个安全防护体系的总体指导性规范,明确了对电信网和互联网安全防护的定义、目标、原则,同时说明了电信网和互联网的安全防护体系、安全防护体系的三项工作(安全等级保护、安全生产评估和灾难备份及保护)间的关系。
欲详细了解管理指南详细内容的请进入。
三、实施指南
实施指南从宏观的角度明确了如何进行安全防护工作,规范了安全防护体系中安全等级保护、安全风险评估、灾难备份及恢复等三部分工作的原则、流程、方法、步骤等。其中:
1、安全等级保护实施指南
对于安全等级保护实施指南,它规定了电信网和互联网安全等级保护的概念、对象、目标,安全等级划分和定级方法,安全等级保护实施过程中的基本原则,并结合电信网和互联网的生命周期定义了电信网和互联网安全等级保护工作的主要阶段及主要活动。
欲详细了解安全等级保护实施指南详细内容的请进入。
2、安全等级保护定级备案实施指南
对于安全等级保护定级备案实施指南,它规定了电信网和互联网中网络和系统单元定级备案的实施方法和划分准则,包括网络和系统单元划分类型、命名规则、定级要素赋值细化指标以及安全等级的计算方法等。
欲详细了解安全等级保护定级备案实施指南详细内容的请进入。
3、安全风险评估实施指南
对于安全风险评估实施指南,它规定了电信网和互联网的安全进行风险评估的要素和要素之间的关系、实施流程、工作形式遵循的原则,在电信网和互联网生命周期不同阶段的不同要求和实施要点。
欲详细了解安全风险评估实施指南详细内容的请进入。
4、灾难备份及恢复实施指南
对于灾难备份及恢复实施指南,它对电信网和互联网灾难备份及恢复工作的目标和原则进行了描述和规范。同时,规定了电信网和互联网灾难备份及恢复的等级划分和实施等级要求。
欲详细了解灾难备份及恢复实施指南详细内容的请进入。
四、配套要求
1、安全等级“物理环境”和“管理”的保护要求与检测要求
规定了公众电信网和互联网各种网络物理环境方面和管理方面的安全等级保护要求,它适用于安全防护体系中各种网络和系统。同时也给出相应的检测要求。
欲详细了解其网络物理环境方面和管理方面的安全等级保护要求详细内容的请进入。
2、安全防护基线配置要求及检测要求
安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。该部分规定了电信网和互联网安全防护基线的求和检测要求,目前共包括网络设备、安全设备、数据库、操作系统、中间件、Web应用系统、大数据组件等。
欲详细了解其安全基线配置要求详细内容的请进入。
五、电信网和互联网相关系统的安全防护要求和检测要求
是对电信网和互联网安全防护范畴中的专业网络和业务网络安全防护工作的实施进行了具体规范,目前覆盖了固定网、移动网、互联网、消息网、智能网、接入网、传送网、IP承载网、信令网、同步网、非核心生产单元等近30个专业网络或业务网络。
欲详细了解专业网络与业务网络具体要求内容的请进入。
欲进一步了解我国电信网和互联网安全防护体系行业标准情况的请进入。