电信网和互联网的安全等级保护,是我国电信网和互联网安全防护体系中的三项重要工作之一。为此,我国通信行业标准YD/T 1729《电信网和互联网安全等级保护实施指南》规定了电信网和互联网安全等级保护的概念、对象、目标,安全等级划分和定级方法,安全等级保护实施过程中的基本原则,并结合电信网和互联网的生命周期定义了电信网和互联网安全等级保护工作的主要阶段及主要活动。该标准是电信网和互联网安全等级保护的总体指导性文件,针对具体网络的安全等级保护可参考具体网络的安全防护要求和安全防护检测要求。以下概要介绍安全等级保护实施指南的主要内容,若详细了解的请查阅附件。
附件:YD/T 1729-2008《电信网和互联网安全等级保护实施指南》
电信网和互联网安全等级(Security Classification of Telecom Network and Internet)是电信网和互联网及相关系统安全重要程度的表征。重要程度可从电信网和互联网及相关系统受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。电信网和互联网安全等级保护(Classified Security Protection of Telecom Network and Internet)是指对电信网和互联网及相关系统分等级实施安全保护。电信网和互联网相关系统(System of Telecom Network and Internet)是指组成电信网和互联网的相关系统,包括接入网、传送网、IP承载网、信令网、同步网、支撑网等。其中,接入网包括各种有线、无线和卫星接入网等,传送网包括光缆、波分、SDH、卫星等,而支撑网包括业务支撑和网管系统。
一、电信网和互联网安全等级保护对象
电信网和互联网安全防护工作范围包括基础网络;业务单元和控制单元;非核心生产单元;互联网的其它网络或信息系统四大部分,具体详见下表1-1。
表1-1:电信网和互联网安全防护的范畴
根据电信网和互联网安全防护标准体系,安全等级保护对象包括固定通信网、移动通信网、互联网、增值业务网等业务网,接入网、传送网、IP承载网、信令网、同步网、支撑网等电信网和互联网相关系统以及非核心生产单元。其中,互联网包括经营性互联网信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统,增值业务网目前包括消息网、智能网等业务平台以及业务管理平台。随着安全防护标准体系进一步完善,标准体系还将包括针对增值业务提供商提供的其他增值业务系统的相关标准。
二、电信网和互联网安全等级保护目标
安全等级保护的目标是通过对电信网和互联网及相关系统进行安全等级划分,按照电信网和互联网安全防护管理系列标准中的安全等级保护要求进行规划、设计、建设、运维等工作,加强电信网和互联网及相关系统的安全防护能力,确保其安全性和可靠性。
电信网和互联网安全防护管理系列标准对不同安全等级的电信网和互联网及相关系统提出不同的基本保护要求,这些基本保护要求是保障各等级电信网和互联网及相关系统安全的最基本要求。电信网和互联网及相关系统应能够满足其所属安全等级的基本保护要求。
三、电信网和互联网安全等级划分
在电信网和互联网及相关系统中进行安全等级划分的总体原则是:定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及网络和业务运营商的合法权益的损害程度。电信网和互联网及相关系统的安全等级共划分为5级,其中第3级又进一步划分为第3.1级和第3.2级两个等级,数字越大,网络安全等级级别越高。下表3-1给出了电信网和互联网安全等级划分及各等级保护责任主体。
表3-1:电信网和互联网安全等级划分及各等级保护责任主体
四、电信网和互联网定级方法
确定定级对象的安全等级应根据社会影响力、规模和服务范围、所提供服务的重要性三个相互独立的定级要素。在确定好定级对象的三个定级要素的赋值后,可采用下述的安全等级的计算方法--“对数法”来确定定级对象的安全等级。在确定某一个定级要素的赋值时,无需考虑其他两个定级要素。安全等级的确定可能不是一个过程就可以完成的,而是需要经过定级要素赋值、定级、定级结果调整的循环过程,最终才能确定出较为科学、准确的安全等级。
1、社会影响力
定级对象的社会影响力表示其受到破坏后对国家安全、社会秩序、经济运行和公共利益4因素的损害程度,定级对象的社会影响力赋值原则见表4-1-1。损害社会影响力4因素的事项包括(不限于)下表4-1-2所示的几个方面。对此定级要素进行赋值时,应先确定对国家安全的损害程度,再确定对社会秩序、经济运行和公共利益的损害程度。定级对象的社会影响力赋值应是对国家安全、社会秩序、经济运行和公共利益的损害程度最严重者。
表4-1-1:定级对象的社会影响力赋值原则
表4-1-2:损害社会影响力4因素的事项
2、规模和服务范围
定级对象的规模表示其服务的用户数多少,服务范围表示其服务的地区范围大小,定级对象的规模和服务范围赋值如表4-2所示。
表4-2:电信网和互联网及相关系统的规模和服务范围赋值
3、所提供服务的重要性
定级对象所提供服务的重要性表示其提供的服务被破坏后,对网络和业务运营商的合法权益的影响程度,其重要性赋值如表4-3所示。此定级要素可通过定级对象所提供的服务本身的重要性来衡量,如业务的经济价值、业务的重要性、对企业自身形象的影响等方面。
表4-3:定级对象所提供服务的重要性赋值
五、安全等级的计算方法--对数法
在YD/T1729-2008的附录A(规范性附录)给出了一种安全等级的计算方法--对数法。它使用下面的公式来计算定级对象的安全等级值:
k = Roundl {[ Log2 [α×2I + β×2R + γ×2V ]}
其中,k代表安全等级值,I代表社会影响力赋值、R代表规模和服务范围赋值、V代表所提供服务的重要性赋值,Roundl {}表示四舍五入处理,保留1位小数,Log2 [ ]表示取以2为底的对数,α、β、γ分别表示定级对象的社会影响力、规模和服务范围以及所提供服务的重要性赋值所占的权重,α≥0、β≥0、γ≥0,且α+β+γ=1。网络和业务运营商可根据具体网络的情况确定α、β、γ的取值。计算所得定级对象的安全等级值与安全等级的映射关系如表5-1所示。
表5-1:安全等级值与安全等级的映射关系
在附录B(资料性附录)中以增值业务网--消息网中的短消息网为例,采用对数法对定级过程进行简要分析,假定确定的定级对象为短消息网A。采用对数法确定短消息网A的安全等级,则短消息网A的安全等级分析如下表5-2所示。通过表中分析可知,短消息网A的安全等级是第2级。
表5-2:短消息网A的安全等级的分析过程
欲更多了解通信网络与信息安全保护等级划分要求的请进入。
欲进一步了解电信网和互联网安全防护要求相关内容的请进入:电信网和互联网安全防护体系;电信网和互联网安全防护体系的标准系列
1008.42KB