在我国,将非核心生产单元的安全防护也纳入到了电信网和互联网安全防护体系之中。非核心生产单元通常包括企业办公系统、客服呼叫中心、企业门户网站等。根据《电信网和互联网安全防护管理指南》(YD/T 1728)中电信网和互联网安全防护体系的要求,将非核心生产单元安全防护内容应为安全风险评估、安全等级保护、灾难备份及恢复等三个部分。为此,我国通信行业标准YD/T 1758《非核心生产单元安全防护要求》规定了非核心生产单元的安全防护的具体要求。以下概要介绍非核心生产单元安全防护要求的主要内容,若详细了解的请查阅附件。
附件:YD/T 1758-2008《非核心生产单元安全防护要求》
一、非核心生产单元定级对象和安全等级确定
我国电信网、互联网络和业务运营企业非核心生产单元的定级对象通常应为企业办公系统、客服呼叫中心、企业门户网站等。网络和业务运营商应根据YD/T 1729《电信网和互联网安全等级保护实施指南》附录A中确定安全等级的方法对非核心生产单元定级,即对企业办公系统、客服呼叫中心、企业门户网站等根据社会影响力、所提供服务的重要性、服务规模的大小分别定级,权重α、β、γ可根据具体网络情况进行调节。
欲详细了解电信网和互联网安全等级保护实施指南的请进入。
二、非核心生产单元资产、脆弱性、威胁分析
1、资产分析:非核心生产单元资产的识别与选取应符合科学性、合理性,非核心生产单元资产大致包括各类设备及主机、数据信息、服务、人员、环境设施等。非核心生产单元的资产分析应包括但不限于表2-1所列范围。
表2-1:资产类别
2、脆弱性分析:非核心生产单元的脆弱性包括技术脆弱性和管理脆弱性两个方面。脆弱性识别对象应以资产为核心。非核心生产单元的脆弱性分析应包括但不限于表2-2所列范围。
表2-2:脆弱性类别
3、威胁分析:非核心生产单元的威胁根据来源可分为技术威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其他物理威胁。根据威胁的动机,人为威胁又可分为恶意和非恶意两种.非核心生产单元的威胁分析应包括但不限于下表2-3所列范围。
表2-3:威胁类别
三、非核心生产单元安全等级保护要求
依据《电信网和互联网安全等级保护实施指南》(YD/T 1729)的要求,非核心生产单元安全等级也分为5级。那么非核心生产单元安全等级第1级不作要求。对于第2级和第3.1级提出了具体要求,分别详见下表3-1和表3-2。第3.2级要求与第3.1级要求相同。第4级要求同第3.2级要求。第5级要求待补充。非核心生产单元安全等级保护要求是从应用安全、网络安全、设备安全、物理环境安全、管理安全等5个方面提出的。其中,物理环境安全要求和管理安全要求应分别满足YD/T 1754《电信网和互联网物理环境安全等级保护要求》和YD/T 1756《电信网和互联网管理安全等级保护要求》中相应等级级别的规定要求。
表3-1-1:应用安全要求(第2级)
表3-1-2:网络安全要求(第2级)
表3-1-3:设备安全要求(第2级)
表3-2-1:应用安全要求(第3.1级)
表3-2-2:网络安全要求(第3.1级)
表3-2-3:设备安全要求(第3.1级)
四、非核心生产单元灾难备份及恢复要求
根据《电信网和互联网灾难备份及恢复实施指南》(YD/T 1731),灾难备份及恢复定级应与安全等级保护确定的安全等级一致。非核心生产单元对于第1级不作要求。对于第2级和第3.1级提出了具体要求,分别详见下表4-1和表4-2。第3.2级要求与第3.1级要求相同。第4级要求同第3.2级要求。第5级要求待补充。
表4-1:非核心生产单元灾难备份及恢复第2级要求
表4-2:非核心生产单元灾难备份及恢复第3.1级要求
欲进一步了解电信网和互联网安全防护要求相关内容的请进入:电信网和互联网安全防护体系;电信网和互联网安全防护体系的标准系列
537.17KB
