一、引述
我们知道,对于现代电信网络与互联网络,其人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成影响,这就是电信网与互联网的安全风险。因此,需要对电信网与互联网实施安全保护,我国对电信网与互联网实施的安全保护采用的是分等级安全防护。所谓电信网与互联网安全等级,是指对电信网与互联网及其相关系统重要程度的表征。重要程度从对电信网与互联网及其相关系统受到破坏后对国家安全、社会秩序、经济运行、公共利益、网络与业务运营商等成的损害来衡量。电信网与互联网的相关系统是指,包括接入网(含各种有线、无线、卫星网等)、传送网(含光缆、波分、SDH、卫星等)、IP承载网、信令网、同步网、支撑网(含业务支撑系统和网管系统等)等网络系统。
鉴于上述,电信网与互联网的分等级安全防护,其等级划分主要是基于管理的角度,即是在网络遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级到五级。并对其相应的安全等级提出安全保护能力的最低要求,这种要求主要包括安全风险的评估、灾难备份与恢复。安全风险的评估是指,针对电信网与互联网的存在的脆弱性可能造成的危害程度,提出有针对性的抵御威胁的保护对策和安全措施。灾难备份与恢复是指,一旦电信网与互联网发生灾难时,能够使尽快恢复到可接受的状态而设计的工作活动和流程,把灾难损失尽可能的金地到最小程度。
为此,我国在电信网与互联网的分等级安全防护方面,确立了法规制度的管理要求和建立了具体实施的技术标准要求,为电信网与互联网的分等级安全防护提供了强有力的支撑。
二、管理规定
1、国家法律要求
在2017年开始实施的《中华人民共和国网络安全法》中的第二十一条明确规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。并列出了相应的安全保护义务。
欲详细了解《中华人民共和国网络安全法》具体内容的
请进入。
2、行政法规要求
在现行的《中华人民共和国电信条列》(国务院令第291号)中的第五章“电信安全”,对电信网络的安全管理做出了详细的规定。其中,第五十九条规定:电信业务经营者应当按照国家有关电信安全的规定,建立健全内部安全保障制度,实行安全保障责任制。第六十条规定:电信业务经营者在电信网络的设计、建设和运行中,应当做到与国家安全和电信网络安全的需求同步规划,同步建设,同步运行。
欲详细了解《中华人民共和国电信条列》具体内容的
请进入。
另外,国家信息化工作领导小组在2003年8月26日发布了《关于加强信息安全保障工作的意见》(中办发[2003] 27号)。该《意见》是为进一步提高我国信息安全保障工作的能力和水平,维护公众利益和国家安全,促进信息化建设健康发展而提出的。《意见》内容共有十条,其中,第二条“实行信息安全等级保护”对我国实行信息安全等级保护提出了具体要求,详见下表2-2。
表 2-2:我国实行信息安全等级保护的要求(中办发[2003] 27号)
3、部门规章要求
在2010年1月21日工业和信息化部,为了加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通,根据《中华人民共和国电信条例》,制定并发布了《通信网络安全防护管理办法》(中华人民共和国工业和信息化部令第11号)。其中,第三条明确要求:通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。在第七条规定:通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级。同时,该《管理办法》,还对分级的定级;定级评审、定级报备;相应分等级别的安全措施、风险测评、数据备份等做出了管理要求,以及对通信网络安全防护工作的监督检查提出了要求。该《管理办法》完善了通信网络安全保障法规制度,有利于提高通信网络安全防护能力和水平。
欲详细了解《通信网络安全防护管理办法》具体内容的
请进入。
三、标准要求
1、概述
为了落实上述我国法规制度中关于电信网与互联网分等级安全防护的规定要求,扎实开展电信网与互联网的分等级安全防护工作,工业和信息化部专门制定并发布了一系列的相关通信行业标准,为我国电 信网与互联网分等级安全防护工作的实施提出了具体的技术要求及技术指南,建立健全了电信网与互联网的分等级安全防护体系的标准。所谓电信网和互联网安全防护体系,是指电信网和互联网的安全等级保护与相应等级网络的安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合,共同构成了电信网和互联网安全防护体系。
欲详细了解电信网和互联网安全防护体系内容介绍的
请进入。
2、内容构成
关于电信网和互联网安全防护体系的一系列相关通信行业标准,主要是由一个管理指南、三个实施指南、及其相应网络与相关系统的安全等级防护技术要求(包括安全防护要求和安全防护监测要求)等所构成。管理指南对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。同时,对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。该管理指南是我国电信网和互联网的安全防护体系总体指导性规范。三个实施指南是指电信网和互联网的安全等级保护实施指南、安全风险评估实施指南、灾难备份及恢复实施指南,对这三项工作的具体实施给以规范性指导。上述四个指南是电信网和互联网的各类网络及相关系统的安全等级防护技术要求的纲领性要求。
欲详细了解我国电信网和互联网安全防护体系的整套标准情况的
请进入。
三、关于信息网络的安全与电信网/互联网的安全分等级保护
我们知道,信息的安全涉及到信息系统或信息网络的安全,那么信息系统或信息网络的安全保护也是分等级安全保护。下述依据GB/T 22240和YD/T 1729等相关标准,对信息系统或信息网络(简称“信息网络”)的安全分等级保护与电信网/互联网的安全分等级保护做一个简单的对比分析。
欲详细了解我国信息网络安全分等级保护介绍的
请进入。
1、两者的分级定级
两者均分级为五级,但定级要求用所不同。信息网络的安全等级的划分,分为从技术角度的划分和从管理角度的划分;而上述介绍的电信网与互联网的安全等级的划分主要是基于管理角度。信息网络的安全等级技术角度的划分,是根据起对安全技术和安全风险控制的关系确定的(由GB 17859给出其划分准则)。而信息网络、电信网/互联网的安全等级管理角度划分,都是基于网络受到破坏后,会对国家安全、社会秩序、经济建设和公共利益等造成的损害程度而确定的。然而,信息网络和电信网/互联网基于管理角度的划分,由于其定级方法(主要指考虑网络的定级要素,两者定级要素具体详见下表3-1-1介绍)的不同,其定级的结果仍然是略有不同的。为了大家比较,下表3-1-2给出了信息网络和电信网/互联网基于管理角度划分的安全等级情况。
表 3-1-1:信息网络和电信网/互联网基于管理角度的安全等级定级要素
表 3-1-2:信息网络和电信网/互联网基于管理角度的安全等级定级结果
欲详细了解信息网络安全等级基于技术角度划分的
请进入。
欲详细了解两类网络安全等级基于管理角度的划分具体介绍的
请进入:
信息网络;
电信网与互联网
由上可以看出,两者的基于管理角度划分的安全等级的相同点是:级别数字越大其安全等级越高。因此,安全等级越高,发生的安全技术费用和工程成本越高,从而预期能够抵御的安全威胁越大,建立起安全信心越强,使用网络的风险越小(即安全防护能力越大)。
2、两者的安全等级保护范围
事实上,电信网/互联网应是信息网络或信息系统的一种功能应用系统。因为,信息网络或信息系统是指对信息的存储、传输、处理等功能的集合体。因此,信息网络或信息系统的安全等级保护范围应包括其各功能体部分。而电信网/互联网则侧重于体现其中的传输功能(这由YD/T 1728标准对电信网和互联网的定义就可以看出,具体详见下表3-2),即电信网/互联网应是信息网络的不可或缺的组成部分,体现于传递功能。因此,电信网/互联网的安全等级保护范围应主要是各类传输网络。
表 3-2:电信网和互联网术语的定义
3、两者的安全等级保护对象
等级保护对象是指网络安全等级保护工作直接作用的对象。信息网络与电信网/互联网的安全等级保护对象是不相同的,具体详见下表3-3中。
表 3-3:信息网络与电信网/互联网的安全等级保护对象
4、两者的安全等级保护的实施周期
信息网络安全的分等级保护实施应是贯穿于信息系统的整个生命周期,即从规划设计、建设建立到运行使用,直至其终止消除。当然,电信网/互联网安全的分等级保护实施也应基于网络的整个生命周期,但更多的是基于网络的运行维护的使用过程。
欲进一步了解信息网络安全等级保护相关国家标准情况的
请进入。