根據我國相關國家法規與管理規定,特別是國家信息化領導小組于2003年8月發布的《關于加強信息安全保障工作的意見》(中辦發[2003] 27號)�����,中國通信標準化協會(CCSA)于2006年10月啟動了電信網和互聯網的網絡安全防護的系列標準的制定工作�����。并從2008年1月開始陸續頒布了關于電信網和互聯網的安全防護方面的系列通信行業標準�,其中在2008年1月14日就一次性發布了該系列的32項標準。該系列標準是基于國家實行的網絡安全等級保護制度而建立其的電信網和互聯網安全防護體系標準。
欲具體了解電信網和互聯網安全等級及等級防護介紹的請進入�。
一、標準的基本情況
該系列標準參照我國相關信息安全方面的國家標準要求,以指導電信網和互聯網安全防護工作為目的,結合電信網全程全網�、網絡分層的特點,其安全防護范圍包括:基礎網絡�;業務單元和控制單元;非核心生產單元;互聯網的其它網絡或信息系統等四大部分����。該系列標準對電信網和互聯網安全防護體系各部分內容及其關系,安全等級劃分�、定級方法和定級備案�����,安全等級保護實施過程中的基本原則����,風險評估的要素及實施流程、工作形式、遵循的原則����,災難備份及恢復工作的目標和原則等做出了具體規定�。
該系列標準主體構成分為三層,它構成了電信網和互聯網安全防護體系標準���。其第一層是管理指南�����,即YD/T 1728《電信網和互聯網安全防護管理指南》(代替原YDC 049)。第二層是四個實施指南,即YD/T 1729《電信網和互聯網安全等級保護實施指南》(代替原YDC 04950)、YD/T 1730《電信網和互聯網安全風險評估實施指南》(代替原YDC 051)��、YD/T 1731《電信網和互聯網災難備份及恢復實施指南》(代替原YDC 052)和YD/T 3799《電信網和互聯網網絡安全防護定級備案實施指南》。第三層是電信網和互聯網相關系統(即指具體業務網絡或專業網絡)的安全防護技術要求標準,包括“安全防護要求”和“安全防護檢測要求”兩類。
該系列標準將電信網和互聯網安全防護體系中的等級保護、風險評估����、災難備份及恢復這三者有機結合����,其目的就是要加強電信網和互聯網的安全防護能力����,確保網絡的安全性和可靠性,盡可能實現對電信網和互聯網安全狀況的實時掌控�,保證電信網和互聯網能夠完成其使命。下附件匯總了目前已發布的電信網和互聯網安全防護方面的通信行業系列標準索引�。
附件:電信網和互聯網安全防護方面的通信行業標準索引(截止于2024年3月底)
欲詳細了解電信網和互聯網安全防護體系介紹的請進入��。
二�、關于《指南》類標準
電信網和互聯網安全防護的五個《指南》類標準是電信網和互聯網安全防護體系的綱領性標準���,以具體指導電信網和互聯網安全防護工作的規范性實施���。
管理指南(YD/T 1728)為整個安全防護體系總體指導性規范,明確了電信網和互聯網安全防護的定義��、目標���、原則,并說明了安全防護體系的組成�����。四個實施指南從宏觀的角度明確了如何進行安全防護工作�,規范了安全防護體系中,安全等級保護����、安全風險評估�����、災難備份及恢復三部分工作的原則、流程��、方法、步驟及工作內容等���。下表2給出了電信網和互聯網安全防護《指南》類標準的基本情況����,包括標準的編號與名稱���、標準的發布時間與實施時間���、標準的概要和適用范圍等。它們至今都沒有被修訂����。
表 2:電信網和互聯網安全防護《指南》類標準的基本情況
三、關于電信網和互聯網相關系統的安全防護技術要求類標準
由于現代電信網與互聯網是分業務�����、分專業���、分層次所構建的通信網絡��。因此��,電信網與互聯網的相關系統是指,包括接入網(含各種有線、無線、衛星網等)、傳送網(含光纜�、波分、SDH��、衛星等)、IP承載網�����、信令網、同步網�����、支撐網(含業務支撐系統和網管系統等)等網絡系統。承然,關于電信網和互聯網相關系統的安全防護技術要求類標準是電信網和互聯網安全防護體系標準的主要構成部分的內容���,其標準的數量巨大���。
這些電信網和互聯網相關系統的安全防護技術要求類標準����,應包括“安全防護要求”和“安全防護檢測要求”�,兩種要求的標準應配套使用��。其中���,安全防護要求明確了電信網和互聯網及相關系統需要落實的安全管理和技術措施��,涵蓋了安全等級保護���、安全風險評估、災難備份及恢復等三部分內容���;安全防護檢測要求與安全防護要求相對應�,提供了對電信網和互聯網安全防護工作進行檢測的方法,從而確認網絡和業務運營商��、設備制造商在安全防護工作實施過程中是否滿足了相關安全防護要求。
這類標準目前覆蓋了固定網����、移動網�、互聯網���、增值業務網(如消息網、智能網等)����、接入網��、傳送網�、IP承載網��、信令網、同步網、支撐網����、非核心生產單元等近30個專業網絡或業務網絡����。目前����,這類標準,某些業務網絡或專業網絡的已經有修訂版本了����。
需要指出的是:該類標準還包括了:一是關于安全等級保護工作需要落實的物理環境(YD/T 1754和YD/T 1755)和管理(YD/T 1756和YD/T 1757)的安全等級保護要求被單獨提出作為電信網和互聯網及相關系統的通用安全等級保護要求���。二是關于電信網和互聯網相關系統的安全基線配置要求和檢測要求也列在其中,它們由多個標準組成�,目前都沒有被修訂�����。下表3給出了電信網和互聯網安全基線配置要求和檢測要求方面的標準基本情況,包括標準的編號與名稱���、標準的發布時間與實施時間、標準的概要和適用范圍等。
表 3:電信網和互聯網安全基線配置要求和檢測要求標準的基本情況
欲詳細了解電信網和互聯網相關系統的安全防護要求類標準情況的請進入�����。
電信網和互聯網安全防護體系的標準,是隨著電信網和互聯網的發展演進����,將不斷補充和完善的����,相關標準在不斷的制定與發布。
欲進一步了解關于信息系統或信息網絡安全保護方面相關標準情況的請進入。
